六合彩快速报码
设为首页 加入收藏
您当前所在的位:法律法规->法律研究->研究思考

合规使用保障权益 守护消费清朗环境

——E法论坛“个人信息保护与数据合规研讨会”专家发言摘要

访问量:[]
发布时间:2019-04-16 09:43 来源:
分享:
0

  随着我国经济结构转型升级、电子商务的快速发展,消费者个人信息逐渐成为一种重要资源。掌握这一重要资源的各种类型互联网平台,无疑在消费者个人信息保护中扮演着重要角色。
  梳理当前消费者个人信息保护存在的主要问题,大概有以下三种:一是未经消费者同意,收集、使用消费者个人信息;二是泄露、出售或者非法向他人提供所收集的消费者个人信息;三是未经消费者同意或者请求,或者消费者明确表示拒绝的,向其发送商业性信息。
  消费者个人信息保护现存问题,引起了政府部门的高度重视。市场监管总局于近?#38556;?#21457;《关于开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动的通知》,决定自2019年4月1日至9月30日,集中开展“守护消费”暨打击侵害消费者个人信息违法行为专项执法行动。
  不可回避的现实是,在互联网行业,消费者个人信息保护的边界、平台及第三方合规使用相关数据信息应遵循什么原则,商业竞争中如何确定相关数据信息的性质,以及排他性使用的范围等问题,尚存在不少争议,有待在实践中进一步厘清。
  近日,由?#26412;?#22823;学法治与发展研究院提供学术指导的互联网领域权威学术研讨平台——E法论坛举办个人信息保护与数据合规研讨会,组织?#21040;?#19987;家、学者围绕上述问题进行了深入探讨。

第三方从开放平台获取数据应遵循三重授权原则
  区分个人信息和数据两个概念,正确理解对两个权利客体进行保护的不同立法目的。保护个人信息不仅仅因为信息是个人所有的,类似于某人拥有一台手机,而是因为通过个人信息能够定位到、识别到这个人,如果不加以保护,可能导致泄露,进而可能造成人身危害或财产损失。
  数据是一?#20013;?#22411;的财产性权益,能够在整个社会生产中产生很高的商业性价值。可以将其与知识产权进行类比,功能上是一种财产性的权益。
  应按照赋权理论将数据财产权益分配给付出汗水与能将数据效用最大化的主体。数据权益如何分配?在尚无明确法律框架规范新型的财产性权益的情况下,需要参考已有赋权理论和权益分配的规则。
  具体而言,数据权益的赋权规则可以参?#21152;?#22269;著名哲学家、思想家约翰·洛克提出的“劳动财产权论?#20445;?#20063;称“汗水原则?#20445;?#21363;谁为权益的生成付出了劳动和汗水、投入了精力、花费了金钱,就应正当地享有权益。数据权益究竟如?#38395;?#32622;?这要看数据是怎么生成的,谁为数据的产生投入了劳动。数据权益应该分配给花了很多精力、投入很多物力,以各种可视方式将数据展?#22659;?#26469;的互联网公司等平台方,基于汗水原则和科斯定律,开放平台方享有数据权益,具有正当性。
  第三方未经平台授权或违反平台规则获取用户数据构成不正?#26412;?#20105;。基于“汗水原则”拥有数据权益,在用户授权、平台同意的前提下,即在“三重授权原则”的前提下,第三方平台可以介入开放平台,这样既有利于开放平台,也有利于开放平台上的开发者和用户。平台可以选择授权给第三方使用,?#37096;?#20197;不授权给第三方使用,并可以基于个人信息保护、履行安全管理义务?#26085;?#24403;理由,对授权给第三方使用的范围、方式、内容等进行限定,这种限定主要是基于合同关系的授权。
  第三方获取、使用数据的正当性应来自于平台方的授权。任何第三方在未得到授权的情况下,非法抓取、使用开放平台所拥有的数据信息的行为,属于不正当侵犯他人合法权益的行为,在性质上构成不正?#26412;?#20105;行为,应当承担相应的法律责任。
  第三方从开放平台获取数据应遵循三重授权原则。在Open API 开发合作模式中,第三方通过Open API获取用户信息时应遵循三重授权原则。平台将数据授权给第三方平台使用,第三方平台的权益基础来自于进行授权的平台,是否授权、授权范围、授权程度、使用方式都是基于合同关系产生的,超越授权使用数据,就构成违约行为。三重授权原则已成为开放平台领域网络经营者应当遵守的商业道德和基本规则。
  三重授权原则包括“用户授权+平台授权+用户授权?#20445;?#21363;开放平台方直接收集、使用用户数据需获得用户授权,第三方开发者通过开放平台Open API接口间接获得用户数据,必须获得用户授权和平台方授权。需要注意的是,该原则之所以称为三重授权原则,意味着必须同时满足“用户授权+平台授权+用户授权”三个条件,缺少任?#25105;环?#25480;权,都违反了三重授权原则。
  司法机关对涉及数据商业化应用的热点案件的审判实践,已经确定了保护个人信息和经营者数据权利两条法律底线。平台在得到用户明确同意的前提下获取用户个人信息,这种做法符合我国法律对个人信息保护的相关规定。同?#20445;?#24179;台方基于自己的运营行为而获得的数据信息,属于其拥有的核心商业资产,受到法律保护。
  数据不正?#26412;?#20105;或数据权益保护未来展望。关于数据权益,现有法律尚无明确规定。通过个案审理?#38382;?#29983;成判例法规则,通过判例法规则逐渐界定相关问题,无疑是行之?#34892;?#30340;路径。
  在涉及数据权益和商业化应用的案件中,通常的救济方式是损害赔偿,但实?#20160;?#20316;层面很难证明和量化受损数额。?#25910;?#35748;为,除了损害赔偿之外,还可以考虑停止侵害的救济方式。比如申请诉前禁令,以及时制?#20849;?#27491;当行为,防止损害扩大,实现?#34892;?#25937;济。

□?#26412;?#22823;学法学院副院长 薛 军



用户信息与互联网平台互生共存
  国内不少互联网企业致力于打造开放业态,这是一种开放平台的构建理念,是一种平台化业态的尝试,也是一种竞争策略。开放使得众多开发者接入,?#29615;?#38754;让用户有更好的体验,另?#29615;?#38754;用户会更多使用平台。对于行业发展而言,秉持开放的理念有助于形成互利共生的生态。
  用户信息(或数据)实际上与平台共存,两者是互生共存的关系。在一些具体案例中,如果没有平台,用户的数据无处安放;如果没有用户的数据,平台也难以成为平台。对于一些具有鲜明个人信息属性的信息的使用,现实中引发争议的并非这类信息本身的法律属性问题,而是在平台这一特殊应用场景下相关信息的法律属性问题。
  司法实践中,有司法机关在审理互联网领域具有较大影响的个人信息使用引发不正?#26412;?#20105;诉?#31995;?#22411;案件的?#38376;?#25991;书中,明确了平台及第三方使用个人信息的三重授权原则,明示互联网平台可以就他人未经许可擅自使用其经过用户同意收集并使用的用户数据信息主张权利。三重授权原则实际上承认了个人信息使用的商业价值和理由,如企业的竞争利益、竞争优势、商业资源。从理论角度讲,其最大的创举是承认了同一批数据信息同时存在不同主体的不同利益。
  平台和用户是合同双方,第三方应用使用开放平台上的数据?#20445;?#24212;遵守平台和用户的?#32423;ā?#22914;果第三方应用超出合同权益规定使用相关数据,就属于违约行为。
  ?#36865;猓?#23545;于个人信息保护案件,关于举证责任可以借鉴举证责任倒置的思路。

□中国法学会研究所副研究员 刘金瑞



开放平台的开放性并非没有规则
  开放平台最能够代表互联网“开放、合作、分享”的精神,这样的发展理念无论对于产业还是用户?#21152;?#30410;,而且用户是最大受益者。开放是互联网不可逆的潮流、不可违背的规律,也是不可冲撞的行业规则、生态规则。可以?#25285;?#22312;互联网产业发展进程中,没有开放就没有移动互联网,更没有智能互联网业态。
  但必须说明的是,开放平台的开放性,并非意味着没有规则。任何企业都必须遵守底线,包括遵守个人信息保护和数据合规方面的基本准则。
  当前,互联网行业存在的一些不正?#26412;?#20105;、过度竞争行为,已经危害了用户权益,从根本上分析是因为一些企业在发?#26500;?#31243;中忽视了规则。显现的问题主要集中在以下九个方面。
  第一,在非功能所必须的情况下获取用户数据。互联网数据?#34892;?DCCI)持续八年进行App收集数据的分析检测研究,每年对上千款App获取用户的信息情况进行检测,包括未经用户授权读取通讯录、短信、位置、通话记录等,其中的危害不容小觑。
  第二,未经?#24066;?#36328;域、跨应用获取其他应用服务的cookie等数据。从技术规则、行业通识来看,这突破了行业规则。
  第三,未经用户许可监测用户的使用行为。在PC时代,用户使用浏览器访问的每一个链接,停留多长时间,装载哪些软件,软件的使用时长等信息被未经许可抓取使用。
  第?#27169;?#26410;经其他App许可获取数据。获取的数据有用户本身的数据,也有App背后服务商的数据,其中以用户在客户端产生或者手机、电脑中的数据为主,且不限于cookie数据。
  第五,未经许可抓取服务器端用户个人数据信息。最传统最老套的做法是爬虫,现在也有一些新的做法,比如模拟一般用户访问等,甚至还通过云端、服务器端等手段进?#20449;?#21462;。
  第六,未经许可滥用数据接口的权限。其中包括在开放平台模式下,未经授权超范围使用open API的接口权限。
  第七,未经许可转移、转让、转售数据,或者转售数据的使用权。通过用户协议收集数据,却将数据分享或者售卖给第三方。尤其到了人工智能时代,个人信息保护用“迫在眉睫”四个?#20013;?#23481;毫不为过。
  第八,通过其他渠道(比如通过电信渠道)截取地域范围内的所有数据用于广告宣传活动,做所谓的大数据生意。
  第九,通过形形色色的渠道,包括?#30097;?#30340;、黑色的,或者以合法的外衣作掩护非法获取数据。比如,通过公共场所的wifi非法获取数据。
  保护用户个人信息是大数据应用的前提与基础。大数据应用不可能突破个人信息保护这一基本前提。任?#25105;?#20010;互联网企业都必须遵守底线,包括未经数据平台方的?#24066;恚?#20219;何第三方不得随意抓取、使用数据平台方的数据;未经用户的二次授权,不得随意使用敏感类数据,如通讯录等信息;未经用户同意不得随意将敏感类数据分享给第三方。数以亿计用户的合法权益能不能得到保护和尊重,决定了互联网产业是否可以健康发展,互联网企业是否可以稳健成长。□互联网数据?#34892;?DCCI)、未来智库创始合伙人 胡延平

(责任编辑?#21512;?#32479;管理?#20445;?

Copyright 1984-2016 CHINA INDUSTRY & COMMERCE NEWS AGENCY All Rights Reserved

中国市场监管报 版权所有

六合彩快速报码