隨著互聯網經濟的飛速發展,個人信息的商業價值日益凸顯,網絡服務商作為信息收集與處理的核心節點,其保護用戶個人信息的責任也愈發重大。近年來頻發的數據泄露與非法使用事件,暴露了我國網絡服務商個人信息保護制度在實踐中仍存在諸多缺陷。2016年的“新浪微博訴脈脈案”作為國內首例涉及大數據不正當競爭的典型案例,深刻揭示了平臺間數據抓取與用戶授權的復雜法律問題,為我們審視與完善相關制度提供了重要鏡鑒。
一、 從“新浪微博訴脈脈案”看制度缺陷
本案中,脈脈通過技術手段抓取新浪微博用戶的職業、教育等信息,并利用微博Open API接口獲取用戶信息時,存在超越授權范圍的行為。法院最終認定脈脈構成不正當競爭。此案雖以競爭法路徑解決,卻折射出個人信息保護制度的關鍵短板:
- “知情-同意”原則的虛化與失效:微博用戶對其個人信息被脈脈獲取、使用的具體范圍、目的可能并不知情,其向微博平臺提供的“概括性同意”被第三方輕易突破。這反映出當前制度下,用戶的同意往往流于形式,缺乏真正的自主性與針對性,平臺及第三方對授權條款的解釋與執行擁有過大空間。
- 平臺責任邊界模糊:微博作為信息提供方,其Open API管理是否存在漏洞?其對第三方應用(如脈脈)獲取數據后的使用行為應負何種程度的監督義務?現行法律對此規定尚不清晰,導致平臺可能疏于對合作方的管控,或在出事后將責任完全推給第三方。
- 個人信息權益的救濟困境:本案由微博平臺提起不正當競爭訴訟,而非用戶提起侵權訴訟。這側面反映出個體用戶在面對大型平臺及復雜技術行為時,存在舉證難、維權成本高、損害難以量化等現實障礙,個人信息主體權利未能成為直接的、有力的法律武器。
- 數據流通規則缺失:案件觸及了不同網絡服務平臺間數據流通的合法邊界問題。在鼓勵數據要素流動的背景下,何種數據、以何種方式、在何種條件下可以合法共享或利用,缺乏清晰、可操作的法律規則與標準,容易引發爭議。
二、 完善網絡服務商個人信息保護制度的路徑
針對上述缺陷,結合《個人信息保護法》的施行,應從以下方面著力完善:
- 強化“告知-同意”規則的實質化與分層化:要求網絡服務商以顯著方式、清晰易懂的語言告知用戶個人信息處理的具體場景、目的、方式及保存期限,特別是涉及向第三方提供的情形。推行“分層同意”或“具體場景同意”,對敏感信息或特殊處理活動需獲取用戶的單獨同意,改變“一攬子”授權模式。
- 明確并壓實網絡服務商的全流程管理責任:確立其作為個人信息處理者的“看門人”責任。不僅要求其自身合規,還需對接入的第三方應用、合作伙伴的數據處理行為進行必要審核與持續監督。在Open API等接口管理上,應實施技術措施確保數據輸出范圍與用戶授權嚴格一致,并建立數據流向監控與違規行為處置機制。
- 構建多元協同的個人信息權益救濟體系:降低用戶維權門檻,探索集體訴訟、公益訴訟在個人信息保護領域的應用。強化行政監管,網信等部門應加強主動執法與處罰力度。鼓勵行業組織制定自律標準,建立便捷的投訴舉報渠道,形成司法、行政、社會、行業多方位的權益保障網絡。
- 建立健全數據要素合法流通的規則框架:在保障個人信息權益的前提下,研究制定數據共享、交易的標準合同指引、安全評估辦法與認證機制。明確數據來源合法性要求,鼓勵在匿名化、去標識化等技術保障下促進數據安全利用,平衡保護與發展的關系。
- 加強技術保障與合規科技應用:鼓勵網絡服務商利用隱私計算、差分隱私、區塊鏈等技術創新,實現“數據可用不可見”,從技術底層降低濫用風險。推動其內部建立數據保護官(DPO)制度,定期進行合規審計與影響評估,將保護要求內嵌于產品設計之中(隱私 by design)。
結語
“新浪微博訴脈脈案”如同一枚棱鏡,映射出數字經濟時代個人信息保護面臨的復雜挑戰。制度的完善非一日之功,它需要法律規則的持續細化、監管執法的精準有力、行業自律的切實推進以及技術手段的不斷創新。唯有構建起權責清晰、執行有效、救濟順暢的個人信息保護治理體系,才能夯實網絡經濟發展的信任基石,真正實現數字紅利與公民權利保障的協同共進。
