網絡開放平臺用戶隱私權的風險防范研究*

羅 潔

（中南財經政法大學 法學院，湖北 武漢 430072）

自2007年開放平臺的先驅——擁有1 億多名活躍用戶的社交網站Facebook 因開放平臺迅速成長，成為互聯網產業中的新貴，全球各大互聯網公司競相推出自己的開放平臺戰略，從微軟、谷歌到國內騰訊、百度、淘寶等等，紛紛推出自己的開放平臺。對于眾多開發者來說，開放平臺能為他們提供億萬級的優質用戶、完善的開放合作機制、全面的技術支持以及成熟的運營服務，成為眾多開發者成就創業夢想的平臺。而對于口味越來越挑剔的眾多網絡用戶來說，單個公司已無法滿足所有需求，眾多的第三方開發者加入到平臺當中，可以為用戶提供更多豐富多彩的應用，用戶個性化需求可以得到滿足。而對提供平臺的服務商來說，開放平臺可以吸引更多的用戶，同時留住老用戶，因此獲得更多的點擊率、市場份額和經濟效益。開放平臺作為一種技術創新，實現了平臺方、開發者和用戶的三方共贏，創造了互聯網一片新天地。

然而，科技是把雙刃劍，我們在看到開放平臺種種閃光點的同時，其背后的隱患同樣不可忽視，個人數據的安全就是其中一個重要問題。一旦被非法泄露，個人隱私就要“裸奔”網絡，網絡用戶的個人尊嚴、自由會受到極大傷害。隨著個人權利意識的提高和公民意識的增強，加強對網絡開放平臺用戶隱私權的法律保護的要求會越來越強烈。

一、網絡平臺信息共享與用戶隱私權

（一）開放平臺運營與信息共享

開放平臺存在和發展的基礎就是共享用戶數據，用戶數據是用戶資料和信息的數字化顯示，計算機等智能設備可以識別、讀取、分析。正是因為大型互聯網公司如Facebook、騰訊、百度擁有數量龐大的用戶，才具有開放平臺的資本，這也是吸引眾多應用開發者的核心。用戶數據共享與互聯網時代提倡的“開放、平等、協作、分享”精神也是一致的。在淘寶開放平臺官網上，淘寶對開放平臺的宣傳的首頁中，開宗明義指出：“淘寶擁有海量的用戶、商品、流量等資源。我們通過深度的開放，將這些資源與開發者共享。開發者基于我們的開放業務，可以完成豐富的應用場景，滿足各式各樣的用戶需求”，［1］即明示了開放平臺和第三方開發者、用戶之間關系——用戶通過開放平臺得到了更好的服務，但是用戶的信息生成的數據在開放平臺上是共享的?！暗谌骄W站在用戶授權后，通過調用API可以獲得用戶在淘寶的消費記錄、購物偏好、信用等信息，將信息加以整合利用后，可提高用戶對第三方網站的忠誠度和粘度，［2］進一步揭示了以用戶數據為基礎，第三方開發者的經營之道，也是開放平臺的經營之道。

做生意講究“人氣”、“人脈”，互聯網經濟更是被稱為“眼球經濟”，大型互聯網公司擁有數以億計的用戶資源，充分加以利用，可以直接變現為生產力；與第三方“共享”，無疑可以達到“雙贏”。開發方不需要購置硬件搭建平臺，不需要大量資金投入培育用戶，只需要有技術研發和創新能力，就可以“借船出?！?，借助大公司的平臺輕松快捷創業，獲得研發成果轉化和直接經濟效益。［3］而平臺方借此和第三方分享帶來的收益，實現了利益最大化。

但是我們可以看到，開放平臺商“緊扼利益的喉嚨”。開放平臺商給第三方開發者提供的都是模板化、規范化的運營模式和收益模式，表現出來的他們之間簽訂的協議是格式合同，第三方開發者對此進行談判的空間和能力有限，開放平臺上產生的收益分配由開放平臺商掌握主動權。

（二）開放平臺用戶信息共享與用戶個人資料的收集和使用

網絡用戶的個人信息資料主要通過以下四種方式被收集：第一，用戶在注冊時或者在某些網絡活動時，本人或委托他人填寫提供的；第二，用戶在使用網絡服務時留下的cookies；第三，一些不法企業或個人通過非法的窺探工具或木馬程序竊取的；第四，黑客直接入侵相關部門的計算機系統。［4］

開放平臺商主要通過前面兩種方式獲得用戶資料?；诂F在互聯網業生態環境良莠參差不齊狀況，不排除有些企業通過第三、第四種非法的方式來收集用戶信息。

用戶數據資料被收集后，如何被保存？ 保存在何處？會被誰使用？ 在什么情況下被使用？ 如何使用？ 對這些問題，用戶幾乎眼前一抹黑，因此無從知曉，亦無人告知。在開放平臺中，用戶亦得不到答案。在騰訊和淘寶開放平臺均宣稱對用戶數據享有權利，如騰訊宣稱“‘開放平臺運營數據’”的所有權及其他相關權利屬于騰訊，且是騰訊的商業秘密，依法屬于用戶享有的相關權利除外?！保?］淘寶則稱：“淘寶開放平臺運營數據的全部權利，均歸屬淘寶。前述運營數據包括但不限于任何用戶注冊信息、用戶針對服務商應用的使用數據等?！保?］這些文件中幾乎看不到用戶對共享數據資料的參與和控制。

如卡夫卡在小說《審判》中描述的K 的故事，K 從被逮捕到審判、到最后被執行死刑，K 都不知道原因，K 也不知道發生了什么，無法探明最高法院在何處，法官是何人，案卷上列出了那些罪狀，左右這些無知導致其無力反抗，只能奮力掙扎，將生死置于機構官僚化運作的仁慈之下。［7］按照這種思路，用戶數據共享狀態下，用戶主體地位遭到漠視，用戶權利必將遭到侵害。

二、開放平臺用戶隱私權保護存在的法律風險

（一）開放平臺用戶個人隱私面臨的風險

在開放平臺這一框架中，用戶信息不是靜止的，隨著參與開放平臺的網絡活動增多，用戶的信息在不斷的增加，現代計算機強大的計算分析能力從用戶在線時間、在線活動種類等等蛛絲馬跡數據來收集、處理、分析用戶個人信息。同時由于開放平臺運作的模式，用戶數據在開放平臺商和第三方開發者間是共享的，則在用戶資料被收集、處理、傳播過程中，都會對用戶隱私造成侵害。

首先在用戶資料收集過程中個人隱私面臨的法律風險。即使未披露或公開任何信息，不當的收集個人資料自身就足以侵害用戶資料隱私。

其次，用戶個人資料進入處理過程隱私面臨的風險。相關企業得到用戶資料數據后，對數據進行分析、加工、整合，以提高數據的商業價值。若用戶對個人資料未能采取適當的安全保護措施，例如，合理利用密碼設置等技術手段來保障資料的安全，個人資料極易出現遺失、篡改、濫用和損毀等風險，進而損害資料所有人的合法權益。在中國，2011年底，CSDN 遭黑客入侵，600 萬用戶注冊郵箱和密碼被泄露導致大量用戶信息泄露；天涯社區的4000 萬用戶信息被泄漏，占到天涯用戶總數的60%，一時讓網民人人自危。難怪用戶信息在互聯網上“裸奔”！雖然事后這些企業認識到錯誤并受到了處罰，但仍引人擔憂和深思。

最后，用戶資料傳播過程中隱私面臨的風險。資料傳播包括披露真實的個人信息、曝光私密性的信息、增強信息的公開程度、挪用個人資料牟取私利等，他們都有可能在特定情形下造成用戶正當權益的損失。開放平臺上用戶數據共享即為用戶資料在平臺商和第三方開發者之間的一個交互式傳播，雙方據此牟利，這無疑增加了個人資料被濫用的風險。實際上，信息共享可能帶來信息被過度的披露，尤其是那些涉及到個人資料的真實信息，不論這些信息是否被公開，都可能對用戶造成不利。索羅伍認為，限制信息披露有助于提高個人自治和自決。披露的風險可能阻止人們開展某些可促進自我發展的活動。［8］

（二）信息共享與傳統隱私權保護間的沖突

信息共享與傳統隱私權保護無疑是沖突的。

總體而言，傳統的隱私權理論可分為三大類：“獨處權說”、“有限的接近自我說”、“個人信息控制權理論”。夫斯塔法官在Times，Inc.v.Hill 案中指出：“簡而言之，隱私就是獨處權，即個人有權選擇自己的生活方式，而不受外界的干擾、侵擾或侵害，除非存在明確的社會需要與合法依據?！保?］作為有限接近理論的集大成者，嘉偉森認為，隱私權是指“他人在多大程度上知悉與我們相關的信息，他人在多大程度上接近我們，我們在多大程度上成為他人注意的對象?！保?0］20 世紀60年代末至70年代初，面對個人資料的計算機化，美國學者逐步確立了以個人信息控制權為核心的隱私權理論。米勒認為：“有效隱私權的一個基本特征是個人有能力控制與自己相關信息的流動?！保?1］在用戶信息在網絡傳播的過程中，正是由于信息被過多、不合理、不正當的收集、使用和散播，才使得用戶逐漸喪失了對資料的控制和對信息傳播的參與，進而導致了隱私權侵權的問題。

用戶信息資料同個人權益密切相關，傳統隱私權以個人自由、尊嚴和權益為中心；開放平臺模式中用戶數據共享的各過程的都未告知獲取的用戶的同意，更何況數據被編輯、整理等處理各過程；個人權利遭漠視，沖突不可避免。

總之，用戶個人信息在開放平臺運營模式下的收集、共享、傳播過程中存在遭受的非法行為侵害潛在風險，此時，這種傷害多集中于精神層面。但是，當資料被應用于某些個人或者公私機構的現實管理和交易關系時，這種非法使用用戶信息的隱私侵害風險就會變成現實，其行為也可能侵害到個人的其他合法權益。因此，開放平臺框架下，用戶信息的共享必須由法律作出規范，防止侵犯用戶隱私風險的發生。

三、法律框架下開放平臺用戶隱私權保護的具體措施

（一）歐美國家開放平臺用戶隱私權的風險防范

1.開放平臺服務商對用戶隱私權保護的技術措施。軟件保護模式是通過一定的技術支持，由用戶自己選擇、自我控制信息隱私保護的一種模式。該模式主要是通過采用一些計算機軟件的設置，幫助網絡用戶實現個人信息資料的保護。（1）關于技術保護的最著名的軟件即個人隱私偏好平臺（P3P，the Platform for Privacy Preferences）。［12］（2）提高保密性的技術——“身份保護器”。其在系統中創建身份保護功能，使用者進入該系統時，如果選擇使用該功能，系統就會發給該用戶一個“面具”或“經授權的假身份”，但這種方式僅能夠起輔助保護的作用。［13］

2.開放平臺隱私權保護的行業自律措施。行業自律模式的代表性國家是美國。美國為了鼓勵和促進網絡以及與網絡相關產業的發展，對網絡服務提供商一直采取的是相對較寬松的政策。其主要是通過英特網行業自律的辦法來實現對網絡傳播中非法搜集使用個人隱私材料的控制。該模式最具特色也是最普遍的形式是網絡隱私認證計劃（online privacy seal program），如著名的TRUSTe組織。［14］

3.開放平臺服務商的隱私聲明等其他措施。網站開放平臺的隱私保護聲明應包含的內容：開放平臺用戶申請和使用服務可能帶來的人個權利的危害；告知開放平臺收集個人信息資料的目的和收集方式；告知開放平臺用戶收集資料的范圍和將用于何處；對開放平臺用戶個人信息資料的處理作出承諾；明示在何種情況下利用個人信息資料；對收集的個人信息資料作出安全承諾；告知開放平臺用戶對其個人信息資料擁有補充、刪除、更正、停止使用和對侵權行為進行投訴等權利；未成年人隱私的特別保護；網站的免責條款。（1）建議性的行業指引（Suggestive Industry Guidelines）（2）網絡隱私認證計劃（Online Privacy Sed program），網絡隱私認證計劃是一種私人行業實體致力于實現網絡隱私保護自律形式。

4.開放平臺用戶個人的自我防范。目前，對網絡隱私權特別是開放平臺用戶隱私權的保護主要指公民在網絡空間或存儲于計算機硬盤上的個人信息不被窺視，不被侵入的權利。用戶使用郵箱、交流信息及從事交易活動不被非法干涉；不被非法搜集利用的權利，主要指非經特定程序，合法擁有開放平臺用戶信息的網絡服務商不得隨意轉讓用戶的信息隱私；以及權利受到侵害時向司法機關請求救濟的權利。［15］

（二）中國開放平臺用戶隱私權的風險防范

1.開放平臺服務商對用戶隱私權保護的技術制衡。目前，開放平臺服務商對用戶隱私權保護的技術制衡方面，比較有效的技術措施是采用軟件過濾，通過自動搜尋不適宜的關鍵字而篩選不良信息的模式。過濾阻止技術的實現有兩種形式：一是依靠單個的過濾軟件。在網絡開放平臺出口上加上過濾功能，拒絕不良信息的網址。二是依靠通用的內容分級標準。它主要是通過開放平臺行業規定來實現，通過一個預設的詞庫來過濾有害信息，自動與詞庫中的詞進行比較，一旦發現了符合過濾條件的內容就進行過濾，而無害的信息則可以順利通過開放平臺。目前許多開放平臺服務商也選擇了服務器端的過濾服務。

從保護網絡開放平臺用戶隱私的角度出發，保護個人信息安全的隱私參數選擇平臺（P3P）是一項可以采用的技術。這項技術可使訪問開放平臺的用戶更好地了解平臺服務商的隱私保護政策，使用戶能夠有效的了解網站和開放平臺搜集和共享利用個人信息的模式。因此。加強技術創新，推出科技含量高、使用便捷性強和適合開放平臺用戶的綠色網絡技術，是保護開放平臺網絡安全最基礎的應對舉措。

2.開放平臺用戶隱私權保護的行業自律。法律總是落后于社會的實踐，單純依靠法律規范來保障開放平臺規則和秩序的建立，或者僅僅依靠法律的完善調節和規范開放平臺從業者的行為，是遠遠不夠的。再加上開放平臺空間廣，信息容量大、傳輸快，單純依靠立法和司法監督來有效保護開放平臺用戶隱私權是不可能的。因此，就需要采用行業自律模式作為補充。行業自律是許多國家保護隱私權的一種重要方式。

具體做法是，通過采取行業自律措施來規范其在個人資料收集、利用、交易方面的行為，以達到保護開放平臺用戶隱私權的目的。這種模式從商家的角度出發，利用當前已經成熟了的一些開放平臺安全保護措施，采用技術保護手段向開放平臺用戶承諾保護其個人信息資料，為開放平臺用戶提供機會選擇是否允許對其個人信息進行監控，以保證個人信息的準確性和阻止信息的不合法使用。［16］美國在采用行業自律模式上有較為成功的經驗，因此我國可以借鑒其經驗。我國在這些方面還基本上處于空白狀態。因而需要業界聯合制定出行業指引。行業自律的確立依據是行規，而行規的重要表現形式就是行業的執業標準和執業道德規范。所以加強和提高從業者的執業標準和執業道德規范是行業自律的重點。具體的我國的行業指引應包括以下兩方面：（1）保證個人信息資料在開放平臺儲存和共享過程中的安全性，訂立一套行業內部的個人信息資料安全處理規范，規范中應對平臺系統的安全性保障、用戶信息資料的收集與應用、接觸人員的管理等方面做出規定。（2）開放平臺網絡服務商應當制定一份隱私權保護范圍及使用方法，并告知開放平臺用戶，讓其了解個人信息資料在平臺服務中享有的各項權利。除以上措施以外，還應建立相應的中介機構對各開放平臺用戶隱私權保護政策的執行情況進行監督。中國互聯網協會已經在借鑒國外經驗的基礎上，并結合我國的國情形成了“中國互聯網行業自律公約”。［17］這種自律機制能夠有效的配合法律對于開放平臺進行合理化管理，能夠很好的將自律與他律方式結合起來，能夠充分發揮網絡對社會經濟發展的積極作用，還能有效地避免網絡產業帶來的消極影響也會更加有利于保護網絡用戶的網絡隱私權。

3.構建網絡平臺用戶隱私權法律保護。除了傳統的民法、合同法等為用戶提供的隱私保護，為了保護網絡信息安全，保障公民、法人和其他組織的合法權益，維護國家安全和社會公共利益，2012年12月28日全國人大常務委員會通過了《關于加強網絡信息保護的決定》。該規定第三條明確指出，網絡服務提供者和其他企業事業單位及其工作人員對在業務活動中收集的公民個人電子信息必須嚴格保密，不得泄露、篡改、毀損，不得出售或者非法向他人提供，并明確了網絡服務提供者和其他企事業單位違反該規定所要承擔的法律責任。

4.開放平臺服務商與平臺用戶對隱私權的協議保護機制。開放平臺服務商雖然是一個全新的事物，但其同樣不能背離網絡的基本特性。網絡的精髓在于自由、高速與分享，平臺服務商必須傳承它的精神；信息服務商的任務就在于保證網絡信息的龐大性、綜合性和包容性；而支撐網絡的中性技術，也是平臺服務商從業所必須依靠的。然而，作為一個法律主體，在于平臺用戶的隱私保護協議框架下，仍然需要承擔相應的責任與義務。

按照主觀過錯程度的不同，可對開放平臺服務商承擔的責任作如下區分：（1）嚴格的違約責任。一旦開放平臺服務商違反了雙方之間的約定義務，就應承擔嚴格的違約責任。（2）一般侵權責任。如果開放平臺服務商由于故意或過失違反了法定的注意義務，則應承擔一般侵權責任。（3）違反安全保障義務的補充責任。如果違反了這種安全保障義務，開放平臺用戶服務商就有可能承擔違反安全保障義務的補充責任。在司法實踐中開放平臺用戶服務商所承擔的責任，更多的是一種違反法定義務的責任。［18］

開放平臺服務商侵害網絡隱私權的民事責任承擔方式應為如下三種：（1）停止侵害。在對于開放平臺服務商的直接侵權行為，開放平臺用戶或其授權人當然可以要求開放平臺內容提供商停止侵害。（2）賠禮道歉。當網絡開放平臺服務商故意侵害他人隱私權時，應當承擔賠禮道歉的責任。（3）賠償損失。在網絡開放平臺服務商的網絡隱私權責任中，開放平臺用戶受害人同樣可以要求賠償損失。

［1］［2］［5］參見http://open.taobao.com/index.htm，2014-07-03 訪問.

［3］［6］詹新惠.開放平臺的喜與優［J］.青年記者，2011，（11）。

［4］彭禮堂，饒傳平.網絡隱私權的屬性:從傳統人格權到資訊自決權［J］.法學評論，2006，（1）.

［7］孔令杰.個人資料隱私的法律保護［M］.武漢:武漢大學出版社，2009.

［8］Daniel J.Solove，The Virtues of Knowing Less:Justifying Protections Against Disclosure［J］，53 Duke L.J.967（2003）.

［9］U.S.Supreme Court，Times，Inc.v.Hill，85 U.S.374（1967）.

［10］Ruth Gavision，Privacy and the Limits of Law ［J］，89 Yale L.J.421（1980）.

［11］Arthur R.Miller，The Assault on Privacy-Computers，Data Banks，and Dossiers ［M］，Signet，1971.

［12］余能斌.民法學［M］.北京:中國人民公安大學出版社，人民法院出版社，2003.

［13］徐瑾.美國網絡隱私權法律保護［J］.現代情報，2005，（6）.

［14］呂益林，吳子貴.網絡隱私權保護模式探析［J］.情報雜志.2004，（7）.

［15］朱曉薇，朱雪忠.網絡隱私權保護模式探析［J］.電子知識產權，2002，（8）

［16］梅紹祖.電子商務法律規范［M］.北京:清華大學出版社，2000.

［17］楊宗建.對網絡上隱私權法律保護的思考［J］.集美大學學報（哲學版）.2003，（6）.

［18］譚筱青.數字時代知識產權保護的理論與判決研究［M］.蘇州:蘇州大學出版社，2005.