資料庫經營如何保障個人資訊安全

作者：中南财經政法大學教授　韓偉

資料是不是财産，在網際網路絡時代，似乎是一個無可争辯的問題。資料可以産生效益，資料的分析和商業應用早已形成了産業鍊，是以，把資料作為财産加以保護，已經成為未來網際網路絡發展的重要方向。

随着越來越多的資料分析公司如雨後春筍般湧現，有關資料使用的法律糾紛越來越多。如果沒有個人資訊的積累，就沒有所謂的大資料。如果使用個人資訊都必須征得每個公民知情同意，那麼，大資料公司要想經營擷取的資料庫就需要巨大的成本。資料經營公司擷取的資訊，可能是采用技術手段通過網際網路絡篩選獲得的資訊，也可能是通過交易手段擷取的資訊。

網際網路絡平台公司搜集資料的時候，往往通過網際網路絡協定的方式，要求網際網路絡使用者放棄自己的部分權利。一些網際網路絡經營者甚至在協定中明确約定網際網路絡經營者可以搜集網際網路絡使用者的資訊。對于這種約定的合法性學術界存在争議。部分學者認為這項約定屬于無效條款，因為它可能違反消費者權益保護法。但是，也有部分學者認為這項約定不屬于合同法所規定的無效條款。無論是通過合法的途徑獲得網際網路絡使用者的資訊，還是通過其他途徑獲得網際網路絡使用者的資訊，網際網路絡資料經營者一旦将這些資訊變成資料庫的内容，并且采用商業的方式經營資料庫，那麼，就會面臨如何處理資料庫使用權與網際網路絡使用者資訊所有權關系的問題。

雖然2012年全國人大常委會頒布的《關于加強網絡資訊保護的決定》對保護網絡資訊作出明确規定，如果網際網路絡經營者合法獲得個人資訊，必須妥善加以保管，不得用于非法經營活動。但是，對于網際網路絡經營者通過合法途徑獲得的資訊形成的資料庫究竟該如何加以規範，我國現行法律規定存在盲點。

由于我國現行資料庫經營法律依據不足，一些公司利用自己搜集到的資料建立資料庫，并在此基礎上從事商業化經營活動，擷取巨額利潤。這是一種令人擔憂的現象。無論是知名的電子商務網站，還是專門從事個人資料搜集整理分析經營的資料公司，都必須把保護公民的基本權利作為優先考慮的問題，如果個人隐私得不到有效維護，或者資料經營公司在經營大資料産業的時候，把個人隐私當作商業财産加以轉讓，那麼，有可能會導緻個人隐私受到嚴重損害。

筆者認為，制定個人資訊保護法，或者在電子商務法（草案）中對資料庫的經營作出明确法律規定，或許能在一定程度上解決我國目前資料經營過程中出現的一系列法律問題。保護個人資訊應當成為我國資料經營立法的基本原則，資料庫經營者在經營大資料的時候，必須把保護個人資訊作為首要任務，切實維護公民的隐私權，防止由于個人資訊洩露而導緻公民的名譽權和人格尊嚴權受到嚴重損害。目前，還應堅持以下原則：

第一，網際網路絡經營者利用合法手段擷取個人資訊，應當妥善加以保管，如果在經營的過程中由于保管不當而導緻資訊洩露，損害消費者的利益，侵犯公民的隐私權和名譽權，那麼，網際網路絡經營者應當承擔民事責任，情節嚴重的應當承擔刑事責任。

第二，網際網路絡經營者轉讓自己的資料庫或者獲得個人資訊，應當征得資訊所有權人同意。無論是商業機構還是國家機關、企事業機關通過合法方式擷取個人資訊，隻能在本系統使用，不得通過合作轉讓等方式将自己掌握的資訊形成資料庫或者資料鍊交給他人使用。全國人大常委會可以通過特别立法的方式，允許國家機關在法律允許的範圍内共享個人資訊，譬如，可以允許公安機關、社會保障機關、教育管理機關等具有社會管理職能的機關共享資訊，但是，如果國家機關超出法律許可的範圍，洩露公民資訊或者将個人資訊用于商業目的，那麼，依照《政府資訊公開條例》的規定，應當追究其行政責任。總之，知情同意應當成為資料庫經營的基本原則，如果違背了這個原則，資訊所有權人可以提起民事訴訟，行政機關可以作出行政處罰，情節嚴重的還應當追究資訊經營者刑事責任。

第三，資料庫經營者不得采用資料細分的方式，從浩如煙海的資料中逆向操作，将合法擷取的個人資訊分離出來，并且對個人進行騷擾。如果未經消費者知情同意，通過電話或者其他方式騷擾消費者，那麼，消費者可以要求市場監管機構追究資料庫經營者的法律責任。國家工商總局起草、提請國務院稽核準許的《消費者權益保護法實施條例》對資料庫使用作出原則性規定，如果經營者通過特殊方式獲得消費者的資訊，試圖與消費者建立聯系，消費者拒絕廣告推銷或者其他銷售行為，那麼，資料庫經營者必須立即将消費者從資料庫中剔除出去，因為隻有這樣，才能從根本上保護消費者的利益不受損害。

不僅如此，如果資料庫經營者轉讓自己的資料庫，必須簽訂保密條款。如果資料庫經營者轉讓資料庫損害消費者的利益，或者洩露個人隐私，那麼，資料庫經營者必須承擔連帶的法律責任。換句話說，如果資料庫經營者将自己擷取的資料以及資料分析報告轉讓給其他商業機構或者個人，讓他們從中擷取商業利益，其他商業機構或者個人洩露資料庫中個人資訊或者損害消費者合法權益，資料庫經營者必須承擔連帶責任，因為隻有這樣才能確定我國資料庫經營産業發展不會損害消費者的利益，不會洩露個人隐私，不會在資料庫轉讓的過程中，一次又一次損害公民的基本權利。

如果網際網路絡使用者的資訊是公開的，将公開的資訊用于商業目的，是否應當征得網際網路絡使用者同意，這是一個需要讨論的問題。筆者認為，未征得網際網路絡使用者同意的情況下，資料庫經營企業不得采用技術手段或者其他手段擷取網際網路絡使用者個人資訊。如果将擷取的個人資訊用于商業目的，那麼，應當承擔由此産生的法律後果。全國人大常委會制定個人資訊保護法或者審議電子商務法（草案）的時候，可以考慮西方國家的做法，要求網際網路絡資料經營者在使用網際網路絡資料的時候，切實保護消費者的知情權，切實保護公民個人隐私，如果将網際網路絡公開的資訊作為資料庫的組成部分，在資料使用過程中損害當事人的利益，那麼，法律應當提供司法救濟措施，允許當事人直接向資料經營者提出申訴，如果資料經營者不及時删除或者屏蔽有關資訊，那麼，其應當承擔相關法律責任。

本文轉自d1net（轉載）