随着互联网经济的飞速发展,个人信息的商业价值日益凸显,网络服务商作为信息收集与处理的核心节点,其保护用户个人信息的责任也愈发重大。近年来频发的数据泄露与非法使用事件,暴露了我国网络服务商个人信息保护制度在实践中仍存在诸多缺陷。2016年的“新浪微博诉脉脉案”作为国内首例涉及大数据不正当竞争的典型案例,深刻揭示了平台间数据抓取与用户授权的复杂法律问题,为我们审视与完善相关制度提供了重要镜鉴。
一、 从“新浪微博诉脉脉案”看制度缺陷
本案中,脉脉通过技术手段抓取新浪微博用户的职业、教育等信息,并利用微博Open API接口获取用户信息时,存在超越授权范围的行为。法院最终认定脉脉构成不正当竞争。此案虽以竞争法路径解决,却折射出个人信息保护制度的关键短板:
- “知情-同意”原则的虚化与失效:微博用户对其个人信息被脉脉获取、使用的具体范围、目的可能并不知情,其向微博平台提供的“概括性同意”被第三方轻易突破。这反映出当前制度下,用户的同意往往流于形式,缺乏真正的自主性与针对性,平台及第三方对授权条款的解释与执行拥有过大空间。
- 平台责任边界模糊:微博作为信息提供方,其Open API管理是否存在漏洞?其对第三方应用(如脉脉)获取数据后的使用行为应负何种程度的监督义务?现行法律对此规定尚不清晰,导致平台可能疏于对合作方的管控,或在出事后将责任完全推给第三方。
- 个人信息权益的救济困境:本案由微博平台提起不正当竞争诉讼,而非用户提起侵权诉讼。这侧面反映出个体用户在面对大型平台及复杂技术行为时,存在举证难、维权成本高、损害难以量化等现实障碍,个人信息主体权利未能成为直接的、有力的法律武器。
- 数据流通规则缺失:案件触及了不同网络服务平台间数据流通的合法边界问题。在鼓励数据要素流动的背景下,何种数据、以何种方式、在何种条件下可以合法共享或利用,缺乏清晰、可操作的法律规则与标准,容易引发争议。
二、 完善网络服务商个人信息保护制度的路径
针对上述缺陷,结合《个人信息保护法》的施行,应从以下方面着力完善:
- 强化“告知-同意”规则的实质化与分层化:要求网络服务商以显著方式、清晰易懂的语言告知用户个人信息处理的具体场景、目的、方式及保存期限,特别是涉及向第三方提供的情形。推行“分层同意”或“具体场景同意”,对敏感信息或特殊处理活动需获取用户的单独同意,改变“一揽子”授权模式。
- 明确并压实网络服务商的全流程管理责任:确立其作为个人信息处理者的“看门人”责任。不仅要求其自身合规,还需对接入的第三方应用、合作伙伴的数据处理行为进行必要审核与持续监督。在Open API等接口管理上,应实施技术措施确保数据输出范围与用户授权严格一致,并建立数据流向监控与违规行为处置机制。
- 构建多元协同的个人信息权益救济体系:降低用户维权门槛,探索集体诉讼、公益诉讼在个人信息保护领域的应用。强化行政监管,网信等部门应加强主动执法与处罚力度。鼓励行业组织制定自律标准,建立便捷的投诉举报渠道,形成司法、行政、社会、行业多方位的权益保障网络。
- 建立健全数据要素合法流通的规则框架:在保障个人信息权益的前提下,研究制定数据共享、交易的标准合同指引、安全评估办法与认证机制。明确数据来源合法性要求,鼓励在匿名化、去标识化等技术保障下促进数据安全利用,平衡保护与发展的关系。
- 加强技术保障与合规科技应用:鼓励网络服务商利用隐私计算、差分隐私、区块链等技术创新,实现“数据可用不可见”,从技术底层降低滥用风险。推动其内部建立数据保护官(DPO)制度,定期进行合规审计与影响评估,将保护要求内嵌于产品设计之中(隐私 by design)。
结语
“新浪微博诉脉脉案”如同一枚棱镜,映射出数字经济时代个人信息保护面临的复杂挑战。制度的完善非一日之功,它需要法律规则的持续细化、监管执法的精准有力、行业自律的切实推进以及技术手段的不断创新。唯有构建起权责清晰、执行有效、救济顺畅的个人信息保护治理体系,才能夯实网络经济发展的信任基石,真正实现数字红利与公民权利保障的协同共进。
