目前，我国网络用户数量超过了人口总数的一半，网络市场活跃度日益提高，人们日常学习、生活、工作等各种行为大都在网络世界中留痕，互联网已经催生了大数据时代。持有大量用户信息的各类网站、网络平台、互联网产品等的经营者，一方面努力吸引用户，留存更多的用户信息，另一方面也不断发挥各自优势，积极分析、充分挖掘用户信息特点，进一步优化产品和服务，开拓新业务。创业伊始的互联网应用产品经营者大都希望搭上已形成一定用户规模的开放平台的"东风"，迅速聚集人气，开展业务。由于我国现阶段还没有出台用户信息保护方面的专门法律法规，互联网应用与开放平台经营者之间一般以提供OpenAPI接口的方式进行合作，以合同条款约束双方行为。

 

　　笔者有幸审理了一起开放平台与互联网应用之间缘起于合作的不正当竞争纠纷案件，虽然其中涉及非常复杂的不正当竞争行为的技术实现方式以及认定问题，但让笔者更有感触的是，该案暴露出来的当前用户信息保护堪忧的现状。大数据时代已经来临，谁来保护我们的用户信息？

 

　　本文先从用户信息的范畴、归属，用户信息对于互联网经营者的重要意义进行简单梳理，再从反不正当竞争法视角下探讨用户信息保护问题。

 

　　什么是用户信息

 

　　大数据时代的用户信息是全方位多角度刻画出某个用户的综合信息，不仅有"你是谁"的信息，还有"你做了什么"的信息，前者主要为用户的个人姓名、昵称、头像、职业、教育、银行帐号、兴趣爱好等个人身份信息，还包括与用户相关的联系人信息、好友关系等；后者主要是对用户反映在互联网经营者服务器端对的操作状态、使用记录、使用习惯等信息的全部记录。用户每一次与网络的接触，都可能被相关经营者的服务器真实记录下来。将这些多维度、碎片化的用户信息整合分析，就能大致描绘出这位用户的日常生活轨迹、习惯、喜好、工作和生活圈子。曾经那句"网络上没有人知道你是一条狗"的名言，在大数据时代会非常现实地改为"网络上谁都知道你是一条狗"。

 

　　用户信息归谁所有

 

　　每一次用户信息泄露事件，都会引发大量用户的恐慌和义愤，认为自己的隐私被侵害了，这种感受是正常的。但需要指出的是，并非所有的用户信息都属于用户隐私，也非所有的用户信息都归用户所有。用户自愿公开分享到社交网络平台中的用户个人身份信息，显然不属于隐私。法律意义上的所有权，应当具有权利人对财产享有的占有、使用、收益、处分的完整权能。除了那些与用户个人紧密相关的身份信息，通常认为应归属于用户个人外，对于上文所提到的与用户行为相关的信息，虽然有用户本人的参与，但其个人无法实现占有、使用、收益及处分，甚至无从知晓，更谈不上所有权。举个例子，对于生活在城市中的人们来说，每天平均有200个摄像头记录各自的生活轨迹，个人虽然是这些影像中重要的组成部分，但能对这些影像主张所有权吗？显然不能。用户从开机连网，指尖触及的每一个动作都可能形成用户信息记录，这样的信息对于用户个人而言，甚至无法知晓何人将其信息记录存储于何处。

 

　　当然，通常情况下，用户在泄密事件中所担忧的，是用户自愿或出于需要而提供给相关网络经营者的信息，但经营者却未能尽到合格的管理人义务而造成泄密，从而给用户带来的不安全感。事实上，对于持有大量用户信息的经营者而言，在任何技术都无法保证不被突破的今天，他们更担忧自身的信息安全。

 

　　保持合法获取的用户信息的安全性，是经营者使用这些用户信息开展经营活动的重要前提。经营者只有首先提供给用户关于自身信息能保证安全的基本承诺，才能进一步论及如何开展业务吸引并留住用户的问题。这也是近几年发生用户信息泄露事件时，大部分经营者会遮遮掩掩刻意回避自身信息安全存在重大漏洞的原因。

 

　　用户信息能为经营者带来什么

 

　　互联网经济是"眼球"经济，"眼球"实际代表了用户，只有吸引并留住用户，才能通过互联网"滚雪球效应"广泛开展经营业务。用户自愿或为接受网络服务而提供给网络经营者的信息，对于网络经营者而言，是其重要的经营资源，甚至是商业秘密，体现了经营者的竞争优势和合法经营利益。

 

　　经营者对于其所掌握的用户信息，不仅能分析用户特点，也能进一步推导出用户需求，从而针对性地优化自身业务。以用户网购行为所产生的信息为例，电商经营者能通过某位用户在某个时间段内的购物频次、所购物品、满意度留言、支付方式等信息，了解该人在该时间段的需求、对货品的要求、接受服务的宽容度等；综合较长时期该人的购物行为记录，则能较为清晰地推断出该人年龄、性别、喜好、消费习惯等特点；分析某一区域的用户在相关时间段内的购物行为特点，则能发现经营者自身服务的缺陷或潜在商机。不论是向这些用户推送精准营销广告，还是向用户提供更多针对性的关联产品和服务，都能大大增加营销成功的几率，提升用户满意度，增强用户粘性，从而使经营者获得更多的竞争优势。

 

　　新兴的互联网应用产品经营者更愿意借助于网络开放平台所集聚的大量用户信息，将开放平台用户从潜在客户发展为自己的注册用户，迅速开拓市场，形成自身优势。当前，大部分互联网应用产品都以接受Open API协议的方式接入网络开放平台而寻求快速做大。正如一款上线不到一年的职场社交软件，因为接入了一个亿级用户的开放平台，就能宣称已"累计400亿条人脉关系，2亿张个人名片，80万职场圈子"。尽管2亿张个人名片中的用户，大部分还不是该应用软件的注册用户，但这些用户是谁，他们在做什么，和哪些人形成人脉圈子，都能被该应用软件经营者"尽收眼底，一览无余"。相比较传统企业，依靠销售人员揽业务，仔细计算成本利润求得稳步发展的情况，大数据时代所带来的天然优势，让许多互联网企业有机会在短时间内迅速做大。

 

　　谁来保护用户信息

 

　　一般情况下，用户是产生用户信息的关键因素，但用户具有分散性、不持有相关用户信息、对个人信息保护能力弱等特点，因此现代社会通常都不将用户个人作为用户信息保护的主体，而是对持有、使用用户信息的主体课以保护义务和责任。大数据时代进一步突出强化了这种特点。

 

　　大数据时代的信息大都能被细化为与用户相关的信息，对用户信息的收集、整理、使用等行为，已经形成了一定的产业规模，甚至是一些"黑色产业链"。之所以出现目前频繁发生的用户信息泄露事件，除了相关行业稳定成熟的自律规范尚未形成、部门监管权责不明、处罚方式和处罚力度不清晰等原因外，非常重要的原因是当前我国个人信息保护专门立法的缺位。虽然我国从刑法修正案（七）开始就对于严重侵犯用户个人信息的行为设有相关罪名，但通过刑事手段保护的用户信息范围相对较窄，一般限于姓名、身份证号、联系方式等体现个人身份特点的信息，无法涵盖广义上的用户信息。在此情况下，笔者从反不正当竞争法规范经营者行为的角度，探讨如何保护用户信息。

 

　　尽管我国《反不正当竞争法》将消费者权益保护作为与经营者权益保护并行的立法目的，但在规范层面，现行立法对经营者行为正当性的评判标准仅为经营者是否违反法律规定，损害其他经营者合法权益、扰乱社会经济秩序，并未将违法使用用户信息等损害消费者权益的行为认定为不正当竞争行为，也未赋予消费者个人对不正当竞争行为提起维权诉讼的权利。当然，之所以这样规范，最有说服力的理由是有专门的消费者权益保护法，可以对经营者侵害消费者权益的行为作专门规制。虽然网络用户不能完全等同于法律意义上的消费者，但二者在大部分情形下身份重叠，本文对此不作具体区分。

 

　　由于现行反不正当竞争法所列举的具体不正当竞争行为中，未包括经营者非法获取、故意泄露、不当使用用户信息等行为，因此，经营者保护用户信息的行为，应在反不正当竞争法原则性条款的基础上进行考虑，即是否遵循自愿、平等、公平、诚实信用的原则，遵守公认的商业道德。当前，个人用户与网络经营者之间、网络经营者相互之间，对于可能涉及的用户信息以及对用户信息的收集、保存、使用等行为的约束，都是通过合同方式进行。由于互联网高效便捷的特性，这类合同大都以在线格式条款的方式存在。一方面，许多用户合同条款草拟得晦涩难懂，阅读不便，而且设置成接受相关产品或服务无法跳过的确认环节，许多用户为了进入下一步，往往在没有仔细阅读，甚至都未打开浏览就确认。另一方面，网络开放平台与第三方互联网应用之间涉及Open API的合同，也是以第三方应用在网络开放平台中注册帐号，以注册用户身份接受相关合同条款，按开放平台要求申请相关用户信息接口并在获得审核通过的情况下获取用户信息。

 

　　上述情形下，要评判互联网经营者获取、使用用户信息等行为的正当性，就不得不考虑相关行为是否符合合同约定，若不满足双方合同约定，则是否有其他正当理由，例如是否属于为网络服务正常开展的必要行为。对于上述情节的基本审查方式，有两点需要说明。

 

　　一是审查合同内容及效力。正如上文提及互联网合同的普遍现状，格式条款提供方不仅在合同中设置大量排除自身义务和责任的"霸王条款"，而且一般都保留自己随时修改合同的权利，并设置所有修改内容具有溯及力等优势条款，合同相对方仅有同意或者不同意全部合同条款的权利。并且，由于互联网数据更改便利且不留痕迹，一旦发生纠纷，要证明双方缔约及正常履行合同当时的约定内容，接受格式合同的一方往往处于举证证明责任劣势地位。

 

　　二是审查技术外衣下的行为正当性。大数据时代，经营者为了证明自己掌握并使用的用户信息来源合法正当，更愿意使用一些听似"高大上"的技术为自己的行为进行包装。比如，有经营者主张其通过协同过滤算法计算获得用户信息。顾名思义，协同过滤算法是一种基于关联性和相似性数据的计算方法，在用户信息计算方面，如以共同好友的相互关系、背景特点，计算出该用户的一些特定信息。类似的大数据计算方法是许多互联网经营者都在使用的，但要计算结果准确，取决于两个关键要素，一是计算方法设置的科学有效，二是用于计算的数据充足且准确。对于一些起步不久的互联网企业，其所能掌握的用户信息量较为有限，所以单纯依靠所谓的协同计算，通常情况下难以获得大量准确的用户信息。

 

　　另外，笔者注意到，《反不正当竞争法（修订草案送审稿）》已经将不正当竞争行为扩展到了损害消费者合法权益的行为，并赋予消费者在受到不正当竞争行为侵害时享有维权诉讼的权利。并且，该送审稿还将经营者利用相对优势地位进行不公平交易的行为也认定为不正当竞争行为，这可能对互联网领域格式合同中普遍的不公平交易条款起到一定的作用。尽管如此，在涉及消费者权益的不正当竞争行为中，该送审稿在列举诸项不正当竞争行为时，也未涉及非法获取、不当使用用户信息等行为，不失为遗憾之处。同时，对于理论和实务界关于消费者如何就自身合法权益被侵害，向经营者提起不正当竞争之诉，以及该诉与用户依照消费者权益保护法提起的维权诉讼有何区别，笔者认为只有在区分请求权基础的情况下，对不同类别的诉讼要件予以明确，方能真正维护消费者的合法权益。

 

　　大数据时代，用户信息的收集方式日益便利，使用方式也日益多样，对于经营者而言，只有遵守合同约定诚信经营，遵守法律规定正当经营，才能在确保自己持有的用户信息安全，且在不侵害其他经营者用户信息合法权益的情况下，不断获得竞争优势。

 

　　当然，笔者也需要对用户个人作一些善意的提醒：用户信息的保护，除了规范、限制经营者行为外，用户自身行为的随意性也是信息泄露的重要因素。虽然用户个人的行为并没有法律上可苛责之处，但笔者建议，要是介意自己的用户信息在互联网中被广泛传播，在接受一些互联网产品和服务时，提示框中出现"需要上传您的手机通讯录"、"需要读取您的好友关系"、"需要获取您的好友信息"时，请稍微作些思考，再决定是否点击"确定"按钮。从行为源头开始多一份慎重，让用户自身权益多一份保障。