电子数据的收集利用及有关法律问题的探析

文/北京高文律师事务所律师　胡　伟

 内容提要：数据一直是经济社会发展所需的重要资源。大数据时代，数据的经济价值得到巨大彰显，成为网络产品和服务创新发展的源泉，已经成为互联网发展的基础要素。作为用户在网络空间的行为测量和记录，电子数据包含个人大量信息，其产生、收集、利用和再利用带来很多法律问题，引发广泛讨论。本文从电子数据的收集、权属、利用和再利用几个基本行为出发，探讨了当前法律规定和法律实施中的问题以及相关案例，并提出加强用户或消费者电子数据保护的建议。

 关键词：电子数据 收集 匿名化利用 权属

 引 言

  数据是对客观的测量和记录。具体来说，数据是科学实验、检验、统计等所获得的和用于科学研究、技术设计、查证、决策等的数值[1]。经常和数据关联使用的还有“信息”一词。数据和信息都直接反映客观事物，信息采用数据表示、数据是信息的载体，数据可转换为信息。一般情况下，数据和信息的含义是相同的。

  数据一直是经济社会发展所需的重要资源。在互联网经济领域之外，大量的数据以政府数据、公用数据、企业数据等形式存在，个人数据的收集成本较高。随着互联网成为我们的生产生活的重要渠道和方式，数据的产生、收集和利用也很大程度上转移到互联网上，个人数据收集更加便利和快速，开启了大数据时代，产生电子数据概念。

  电子数据即为对用户使用网页、微博、即时通信工具、社交软件、网络交易平台等互联网产品和服务过程的测量和记录，并以数字化形式存储、处理、传输。简单来说，用户在网络空间的行为产生的所有信息都是电子数据，文字、位置、记录、沟通等等都可以变为数据。在法律实践上，电子数据首先作为一种新的证据形式已被国际上许多国家所接受，我国司法实践中将其纳入可采纳证据范畴，确立了电子数据作为合法证据的法律地位。同时，由于电子数据所蕴含的巨大经济价值，电子数据的产生、收集、分享转让、利用和再利用等行为也产生了很多的法律问题，引起司法领域、互联网领域专家学者的广泛讨论。

 一、关于电子数据的收集

  对于数据的收集行为，我国《网络安全法》、《消费者权益保护法》、《合同法》等法律都有明确的规定。

 《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

《消费者权益保护法》第二十九条针对经营者收集、使用消费者个人信息行为，也有类似明确的规定。工信部2016年发布、2017年7月1日实施的《移动智能终端应用软件预置和分发管理暂行规定》第五条（二）规定，未经明示且经用户同意，不得实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等侵害用户合法权益或危害网络安全的行为。

  根据法律规定，网络经营者收集用户（消费者）个人数据所必须遵循的原则和条件十分明确。结合网络消费中的问题，有三个方面特别需要强调。

  一是收集用户信息必须征得被收集者同意。收集用户信息应当以显著方式提请消费者注意，并应征得消费者的同意。经营者不能以含有默认同意的不公平格式条款取代用户的对收集信息的知情同意权。而实践中，有些互联网服务提供者将有关条款笼统和用户使用协议放在一起，通过冗长晦涩不明显的隐私政策来获取用户同意，或者让用户在签订业务协议时通过“打钩”方式作出一揽子授权。很多用户并不了解和清楚用户协议包含授权收集使用数据的内容。很多浏览器和网站通过Cookie收集用户信息，没有给予用户任何提醒就擅自收集用户网络方位信息。

  二是收集必须遵循正当、必要原则。互联网需要数据基础来提供产品和服务，特别是新型的移动互联网应用，比如网约车、地图、OTO应用，这些都是基于地理位置信息（LBS）提供的，如果没有用户位置数据也就无法提供服务，用户数据也是互联网个性化服务改进的基础。必要原则的应有之义是最小化原则，收集信息的范围“满足且仅满足”正常服务即可。但现实中，很多软件收集不必要的用户信息。比如，有些手机品牌收集用户移动网络名称、WiFi信息等，很多应用要求读取用户通讯录功能，浏览器软件可以不必要收集用户信息，但有些浏览器也在收集用户信息，有些内容软件收集用户手机号码、网络、IP地址等信息，等等。

  三是不得利用借助技术手段强制收集。不能把用户同意收集数据作为双方签订合同的前提。有些互联网应用将用户同意作为使用的前提，如果不同意，可能无法使用某互联网产品和服务。目前大部分用户数据处理条款都是和整体用户协议一体的，如果不同意，只能放弃使用此产品或服务。有些智能手机开机时候，只有一份用户协议，且含有隐私条款，如果不同意就不能继续使用手机。

  以上均是在网络环境下，侵害用户和消费者权益的行为。应当在司法实践中予以规制。

 二、电子数据的匿名化利用原则

  数据收集后，接下来就是数据的利用和再利用问题。从国际范围来看，很多国家从法律层面对利用匿名化数据的合法性进行了认可。欧盟强调个人数据的严格保护，很早对数据匿名化充分处理进行了肯定，企业可以处分经匿名化的数据，也可以从中获取财产利益。日本2015年修订个人数据保护法，其条文明确，企业可以对外提供用户数据，一个前提做到充分的去身份化，并承诺在后续利用中不得恢复身份，只要满足这个前提就可以利用。

  我国的《网络安全法》也是实际确立了这一条原则。《网络安全法》第四十二条规定，网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。

  根据这一规定，向他人提供个人数据有两种情况：一是涉及到的个人同意，二是经过匿名化处理，不经涉及个人同意也可以提供。由于互联网数据的规模，无法获得每一个权利人的同意，普遍存在的数据转让情况就是匿名化处理后进行交易。如果非匿名化，比如出售未经同意出售个人身份信息、联系电话、是否购买房产等信息是违法的，根据司法解释，达到一定条数即属于犯罪行为。

 三、关于数据的权属

  关于数据的权属，目前法学界有很多不同的观点。数据的权属需要结合数据的产生、收集、使用统一来看。为了便于分析，可以从微观层面讨论：

  1.单个用户单条数据不具有财产权、人格权，仅仅是信息的呈现，涉及个人隐私保护。比如，今天我在某网站购买了某产品多少元，今天我通过滴滴打车从A地到了B地，，今天我通过搜索引擎搜索了“汽车”这个词……，等等这些信息本身仅是对事物的测量记录和表述。但法律需要保护这些个人隐私，其他人不得非法窃取、披露和转让。此时，网络会对此行为进行记录和处理，用标签或者其他标识来代替个人身份信息，同时进行个性化推荐。

  2.单个用户单条数据的累积也不具有财产权、人格权，也仅涉及隐私保护。比如，某消费者过去一年通过某网站花费多少元，某用户一个月浏览了某汽车网站20次，……，等等。这些仍然属于隐私保护内容。

  3.多个用户单条或多条数据的累积具有经济价值。比如，某天，有多少人通过某网站购买了A产品，等等。这些数据的价值在于其包含了市场趋势，暗含了可以促成交易的信息，可以促使人们更加全面准确的把握某项事物的规律。在这些收集的得来的庞大数据基础上，如果投入了智力成果，付出了成本，利用用户数据得到的分析报告，就具有了知识产权属性，加工者拥有合法权益。比如对消费者的购买行为数据进行研究而得出的消费者男女比例、支出模式、平均支出金额等数据，是在原始数据基础上进行加工得到的，毫无疑问，加工者是衍生数据的所有者。

  目前，各国立法实践普遍也是从隐私保护角度对电子数据进行立法规制，对电子数据的权属性进行回避处理。

 四、电子数据的获取方式与不同的法律责任

  网络运营者收集的电子数据一方面自己可以利用，另一方面，很多时候也在被第三方利用。根据网络运营者是否主动参与存在两种方式。一种是网络运营者参与的向第三方提供个人数据的行为，比如进行网络营销公司从社交媒体获取用户关注信息进行个性化推荐、信用卡发卡组织从航空公司获取个人航空信息、淘宝根据用户搜索和浏览记录针对用户展示相关产品。此种情形下，只要满足上述两种数据提供形式即用户同意授权或匿名化处理就可以转让。

  另一种是网络运营者收集、展示的用户数据被动被第三方抓取的行为。此种行为在国内外都出现了相关司法案例，不同情形下的不同判决结果，值得深思。需要明确，第三方抓取网络运营者的数据仍然必须是匿名化的数据或者排除指向个人信息的数据，否则即构成违法。

  案例1：2015年，“大众点评网”运营公司汉涛公司因百度未经许可，使用爬虫技术从汉涛公司运营的“大众点评网”上大量获取用户点评信息，用于自家的百度地图及百度知道产品，以“不正当竞争”为由将百度告上法庭，并经二审法院审理后，最终认定百度公司的行为损害了汉涛公司的利益，构成不正当竞争，需停止以不正当的方式使用点评信息[2]。

  案例2：2017年8月14日，位于美国加州的北区联邦地方法庭法官经过审理进行初步裁决，发出了初步禁令，要求全球最大的职业社交网站领英(LinkedIn)必须在法庭禁令颁布后24小时内取消对hiQ Lab（一个利用爬虫技术的数据分析公司）数据抓取的技术阻拦措施，撤回两封“勒令停止侵权函”，并不得再以同样理由发出“侵权函”。

  以上两个案例的涉及网络个人数据的公开和使用的基本问题。针对百度爬取用户点评信息并使用的行为是否具有不正当性，一审法院进行认为：1）大众点评网的点评信息是汉涛公司的核心竞争资源之一，能给汉涛公司带来竞争优势，具有商业价值。2）点评信息是汉涛公司长期经营的成果，付出了巨额成本。3）百度公司通过技术手段获取大众点评网上的点评信息用于充实自己的百度地图和百度知道，是实质性替代大众点评网向用户提供信息，对汉涛公司造成损害。4）百度应本着诚实信用的原则和公认的商业道德，合理控制来源于其他网站信息的使用范围和方式。

  在HiQVLinkedIn一案中，法院认为：第一，平台上的数据由用户自行发布在公共空间，LinkedIn不能证明他们拥有这些数据，从而也就没有权利屏蔽他人使用这些数据。第二，理论上说，任何人都可以手动点开每一个人的信息，拿纸笔抄下来，然后再录入到电脑里。

  两者的判决都回避了用户信息的权属问题。出现不同的判决结果，从两个案子的不同行为是有区别的。

  1.商业模式是否相同或近似。百度地图和大众点评都属于OTO应用，大众点评现在主要也是基于地理位置信息提供服务。百度地图如果具有附近商家的点评功能，可以说和大众点评是竞品关系。在这种情况下，直接复制对方网站的个人数据显然是违背商业道德的。HIQ公司是利用LinkedIn网站数据作为输入，提供员工行为评测服务，比如预测员工可能何时辞职，为公司雇佣员工提供参考，和LinkedIn职业社交网络模式是不一样的。

  2．获取对方的信息是否会对对方造成直接损害。正如判决书所阐明，大众点评作为数据的收集、控制者，付出了成本，对其数据的使用应当不损害其利益。百度公司通过技术手段获取大众点评网上的点评信息用于充实自己的百度地图和百度知道，是实质性替代大众点评网向用户提供信息。这种“不劳而获”行为也是不利于市场竞争和发展。而在HIQ案中，HIQ公司是利用LinkedIn的公开数据进行再加工，并不是直接复制LinkedIn数据，并不替代用户对LinkedIn的使用。

  这两个法院均未在案件中否定“爬取公开信息并使用”的行为。对于HIQ案，还有多种可能性。目前只是地方法院做出的初步禁令，以避免在正式裁决前一方遭受无法挽回的损害。这个案子还会继续进行有关司法程序，正如HIQ代理人美国宪法学会的联合创始人、哈佛大学法学教授劳伦斯·特赖布所说，“这个案子将对在社交媒体如何行使宪法权力建立一个经久的先例”。随着互联网的发展，这种关于数据使用争议的案件将会越来越多。

 五、完善法律责任，加强用户个人电子数据保护

  电子数据的产生、收集和利用促进了社会发展，也让我们从中获益，但也带来了实实在在的风险。公民个人信息被出卖非法获利、被不法分子利用，从事电信诈骗等活动事件频发。《中国网民权益保护调查报告（2015）》显示，网民被泄露的个人信息涵盖范围非常广泛，其中78.2%的网民个人身份信息被泄露过，包括姓名、学历、家庭住址、身份证号及工作单位等。此外63.4%的网民个人网上活动信息被泄露过，包括通话记录、网购记录、网站浏览痕迹、IP地址、软件使用痕迹及地理位置等。而最近浙江松阳法院判决的一起特大侵犯公民信息案，7亿条个人信息遭泄露，8000余万条公民信息被贩卖。这些案例显示，用户电子数据保护面临的形势十分严峻，需要采取进一步措施加强电子数据保护。

 一是完善电子数据保护的法律制度。目前，关于电子数据保护的规定较为分散、内容涵盖面不足等问题，有必要制定统一系统的信息保护方面的法律。一些社会团体、专家学者也都提出过此类建议，整合现有分散零碎的保护规范，统一规制个人信息收集、保存和利用行为，有效保护公民个人信息。从国外司法实践看，欧盟、日本、美国都有专门的个人数据保护方面的法律。可借鉴国外立法实践，增加个人两项权利：撤回同意权和数据被遗忘权，即允许用户随时撤回之前做出的“允许收集用户数据”的权利，任何公民可以在其个人数据不再需要时提出删除要求。

 二是增强电子数据保护有关法律条款的可操作性。我国《刑法（修正案九）》第二百五十三条之一，规定了侵犯公民个人信息罪，对非法出售或提供、窃取或非法获取个人信息予以惩罚。但情节严重的，才构成此项犯罪。《网络安全法》第六十四条、《消费者权益保护法》第五十六条规定了相关行政责任，对于大量存在规模较小的擅自收集行为缺乏有效惩罚打击力度。在民法方面，《侵权责任法》第三十六条规定，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。在处理此类案件中，如果严格按照侵权责任要件的要求，对层出不穷的电子信息泄露显得制裁不力。

  考虑到网络运营者拥有的巨大资金和技术优势，一是可以适当运用举证责任缓和规则，适当放宽原告证明的标准，在用户已经提出相当的证据证明其主张事实具有较大可能性，因客观条件限制无法继续举证，应当转换举证责任，让网络运营者承担免责的举证责任。第二，适当运用法官职权调查，在原告无法举证，符合法院调查的情形，应当主动调查证明。第三，可以使用快速审理程序。总之，根据互联网特点，确定合法合理的被侵害人获得赔偿和救济的途径和方式，有效应对互联网个人电子数据泄露。

 三是加强电子数据行政执法。明确执法责任主体，如公安机关网监部门、互联网监管机构、工信部门、工商部门等，明确关于个人信息保护方面的执法主体和责任主体。完善执法程序比如在接到公民关于个人信息泄露的举报后，具体该如何处理、在多长时间内办理、如何向举报和控告人反馈等都应尽快加以完善。互联网时代应善于利用新的技术手段来实施监管，对监控、预防、取证等环节加强新的技术应用。

 四是对掌握电子数据的互联网企业加强监管，引导行业自律。引导互联网行业制定行业标准来规范行业内个人信息处理规则。引导相关行业、科研机构研究、编制个人数据保护相关标准，建立个人信息保护评价体系。对收集用户数据的互联网企业，促使专门建立有关数据隐私保护方面的措施和技术防范手段。对有关技术人员进行培训和加强管理，可以设立信息安全人员责任人。一旦发生员工贩卖数据的案例，应依法严肃查处相关个人，也要对企业进行连带处罚，对被侵害人承担连带责任。

 五是落实个人数据收集的法律原则。对收集用户数据的网络产品和应用，要充分保障用户知情权和选择权。收集用户数据，如何明确告知，告知哪些内容，用户不同意是否继续提供服务，是否有限制条件，收集用途、保存方式、转让规则是什么，等等都要给予充分说明。受害公民“有权要求网络运营者删除其个人信息”如何提出、如何确定公民是该信息的合法提供者、处理时间多久，都需要明确。

 六是提高个人电子数据安全防范意识。安全的网络环境是行业发展的基础。互联网企业应首先担负起提高消费者安全防范意识的责任，在网站、APP、社交媒体等渠道，广泛宣传，进行合理提醒。在重大信息泄露事件发生后，要提醒用户尽快修改有关密码、更新验证方式等。

 关于电子数据产生、权属、利用和保护问题已经成为互联网司法领域的一个焦点问题，期待在未来的司法进程中，能比较清晰明确的确立一些准则，保护用户隐私数据，同时合理划分用户、信息控制者的权利责任，促进经济社会发展进步。