数据法研究——齐爱民：《对开放平台背景下个人信息保护的立法经验与借鉴— 以我国台湾地区为例》

《对开放平台背景下个人信息保护的立法经验与借鉴— 以我国台湾地区为例》

本文刊登于

《社会科学家》2013年第6期

01

作者简介

齐爱民，博士研究生导师，二级教授，重庆英才“名家名师”，八桂学者，国家首批知识产权库专家，国家智库（CTTI）首席专家，国家社科基金重大项目首席专家，全国知识产权领军人才，教育部新世纪人才，广西民族大学知识产权学院名誉院长，广西民族大学区块链研究院院长，广西知识产权发展研究院院长，重庆大学国家网络与大数据战略研究院院长，重庆市协同创新知识产权研究中心主任，国际区块链创新应用联盟常务副理事长，云体系联盟常务理事， 腾讯公司高级专家顾问，齐迹创始人，广西区块链科创园理事长，中国网络法、数据法、电子商务法、区块链法开创者之一。

02

内容摘要

云计算时代，开放平台逐步成为个人信息存储中心，个人信息安全与权利保护亟需法律制度的保障。我国台湾地区“个人资料保护法”确立的个人信息权利体系、个人信息利用要件等个人信息保护制度对于开放平台背景下个人信息的利用与保护具有重要意义，为大陆地区开放平台背景下个人信息保护提供了可资借鉴的经验。

03

关键词

开放平台；个人信息；利益平衡

04

引用格式

齐爱民：《对开放平台背景下个人信息保护的立法经验与借鉴— 以我国台湾地区为例》，《社会科学家》2013年第6期

05

目次

一、开放平台概述

（一）互联网发展与开放平台的产生

（二）开放平台的涵义

（三）开放平台的类型

二、开放平台中的个人信息及其安全危机

（一）开放平台中个人信息

（二）开放平台中个人信息危机

三、我国台湾地区对开放平台背景下个人信息保护的立法及其经验

（一）开放平台用户个人信息权利

（二）开放平台个人信息利用的要件

四、结语

目前国内外主要门户网站与社交网络正掀起一 股“开放”的浪潮，开放平台是未来互联网发展的必然 趋势，是云计算时代的服务模式。如何透过“ 开放平台 ”实现平台服务提供商与第三方开发者的共同发展、互利共赢，为网络用户提供更好的服务， 更高水准的现代网络生活，而不以损害用户利益为代价，成为开放平台发展中的核心问题。面对这一问题，研究如何透过法律制度来保障平台运营和用户权益具有重要的理论意义和现实意义。开放平台中，共享用户个人信息是平台发展的基础，是吸引众多第三方应用开发者的核心。共享用户个人信息可以向用户提供体验更好、产品更加多元化的服务，但是，用户个人信息的分享必须建立在坚决保护用户权益和维持平台正常运营秩序基础上，需要一系列法律制度来加以明确规定。本文借鉴我国台湾地区“ 个人资料保护法”的经验，探讨开放平台背景下个人信息保护法律制度的构建，为开放平台用户个人信息的共享利用与保护提供制度保障，以利于实现促进个人信息的流通和个人信息权利保护之间的衡平。

一、开放平台概述

（一）互联网发展与开放平台的产生

互联网萌芽于20世纪 60 年代美国国防部的，1986年美国国家科学基金会 NSF 资助建成 了连接美国若干超级计算中心、主要大学和研究机构的主干网 ，世界上之一个互联网诞生。1994 年，中国正式接入互联网，成为加入互联网的第77个国家。从此，互联网开始了在中国的蓬勃发展，并对中国的政治、经济、文化和社会的发展产生了深远的影响。

互联网在中国近 20年的发展历史，可以分为接入阶段、内容阶段、应用阶段和开放阶段等四个阶段。接入阶段（1995-1998 年），该阶段为互联网在中国的早期发展阶段，互联网企业以提供互联网接入服务为主，即为网络服务提供商（ISP），如中国在线、瀛海威等。内容阶段(1998-2004 年)，该阶段互联网企业以提供丰富、优质的内容为手段，吸引用户，形成了“ 门户三雄”，即搜狐、新浪和网易三大门户网站，这些门户网站提供大量的政治、经济、社会方面信息，基本满足了用户的信息需求。应用阶段（2004-2010 年），该阶段用户已经不再满足与信息和内容的获取，开始有了更高层次的需求，于是视频、游戏、电子商务、搜索、社交网站等应用性互联网企业得以高速发展，“ 网络游戏业务成为互联网行业之一现金牛，搜索引擎改变用户 的信息查找方式和企业的营销推广理念，电子商务成 为互联网改变实体经济的排头兵，而 SNS 则成为承载 上述各种应用的平台雏形而崭露头角”。开放阶段 （2010 年至今），在应用阶段，互联网应用企业各自发展，形成了一个个互联网企业“ 独立王国”，虽然能基本满足用户对于应用的需求，却不便于用户的使用，且各互联网企业同质化程度加深，面对用户日益增长的应用需求，互联网企业显得力不从心，开放与合作 成为互联网企业进一步发展的重要途径。早在2008年社交网站“人人网”已经宣布开放平台，至 2010 年，开心网、网易、盛大、百度、新浪纷纷开放平台，中国互联网企业走上了开放之路。2011 年，360与腾讯宣布开放， 中国大型互联网企业全部开放平台，这一年被称为“互联网开放元年”。

（二）开放平台的涵义

开放平台分为广义的开放平台和狭义的开放平 台。广义的开放平台是指软件业和网路中，软件系统 通过公开其应用程序编程接口（API） 或函数（） 来使外部的程序可以增加该软件系统的功能或 使用该软件系统的资源，而不需要更改该软件系统的源代码。[1]广义的开放平台包括应用型开放平台、服务型开放平台和数据型开放平台，应用型开放平台如 开放平台、新浪微博开放平台等，服务型开 放平台如 App 、微软的Azure、 EC2/S3 等，数据开放平台如百度数据开放平台等。

狭义的开放平台主要是指应用型开放平台，是互联网企业通过公开其应用程序编程接口( , API)，使第三方的服务能够以相 应的形式接入的网络服务模式。狭义的开放平台，即应用型开放平台是目前开放平台中的主流形式，涉及平台服务提供商、第三方开发者和用户三方关系，对其法律关系进行研究，具有重要的意义。本文所研究的开放平台即是指狭义的开放平台。

（三）开放平台的类型

本文基于开放平台个人信息利用与保护出发，以 开放平台共享用户信息的不同程度为标准， 将开放平台分为单向应用型开放平台、信息交互型开放平台和共享用户型开放平台②。

单向应用型开放平台是指开放平台服务提供商 仅为第三方开发者提供应用编程接口，使得第三方应用可以在其平台进行发布和推广， 而平台服务提供商不需要向第三方开发者提供用户个人信息的开放平台类型。此类开放平台如苹果 APP Store 应用商店、360应用开放平台等。

信息交互型开放平台是指除提供第三方应用发 布外，平台服务提供商还在一定程度上向第三方开发 者提供用户个人信息，使得第三方开发者和用户之间 可以互动与对话的开放平台类型。此类开放平台如新浪微博开放平台。

共享用户型开放平台是指除发布应用、信息交互外，开放平台服务提供商与第三方开发者之间共享核心用户，实现互通共赢的开放平台类型。此类开放平台的开放程度更高，共享和利用的用户个人信息也最 多，如与 实现同步发帖互通，双方共享用户。

根据共享用户信息的程度划分开放平台的类型， 有利于针对不同类型的开放平台个人信息利用进行管理并制定相应法律规则，促进用户个人信息的合理利用，规制个人信息滥用的行为。

二 、开放平台中的个人信息及其安全危机

（一）开放平台中个人信息

参照我国台湾地区“ 个人资料保护法”第 2条规定，个人信息是指自然人的姓名、出生年月日、身分证 号码、护照号码、特征、指纹、婚姻、家庭、教育、职业、 病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他能以直接或间接方 式识别该个人的信息。开放平台中一般涉及到用户的多种个人信息， 如用户注册信息中一般包含用户姓名、性别、出生年月、电子邮箱等个人信息。因此，开放平台中凡是能够以直接或间接方式识别该个人的信 息，均属于开放平台中的个人信息。

开放平台中个人信息一般包括用户注册信息、扩展信息、行为信息和社会关系信息等四种类型。注册 信息是指用户在注册开放平台时所提交的包括姓名 或用户名、账号、密码、性别、出生年月日、电子邮箱等 个人信息。扩展信息是指在注册信息基础上，用户为了得到更好地服务或者为了更好地展示自己，而向开放 平台提交的诸如教育状况、工作单位、职业、兴趣爱好、 婚姻状况、联系方式等非注册必须的个人信息。行为信 息是用户在开放平台中活动状态的信息，如访问踪迹、 浏览习惯、站内搜索的关键字等。社会关系信息是指用 户在开放平台中的好友关系、黑名单、特别好友、配偶 或恋爱关系等方面能体现用户社会关系的个人信息。

（二）开放平台中个人信息危机

开放平台以用户个人信息共享利用为核心，促进 平台服务商和第三方开发者之间的合作，为用户提供 更大的便利。但与此同时也给用户个人信息带来巨大的危机，主要涉及到用户个人信息安全危机、用户个人信息超出特定目的使用危机和用户个人信息归属 危机等方面的问题。

1.个人信息安全危机

开放平台，特别是社交类开放平台，正逐渐成为用户个人信息存放基础平台， 其安全事关重大。2011 年底，CSDN 用户信息泄露事件爆发，引发中国更大的泄密事件，数亿计的用户帐号密码公开暴露于网络[2]， 个人信息保护与安全遇到空前的危机，个人信息保护 立法的重要性更加凸显。泄密事件爆发后，国内各主 要开放平台纷纷提醒用户修改个人账号密码。新浪微 博开放平台对此更是发布了有关强制部分用户修改密码的公告，公告显示，“针对近日发生的 CSDN 等网 站大量用户帐号密码泄漏事件，平台立刻采取对用户 帐号的保护措施。目前帐号不安全的用户所有授权将 在 1 周后被冻结， 需要用户修改密码后重新授权”。此次泄密主要是以明文方式保存的用户密码遭到泄露， 从而危险用户个人信息。国内主要开放平台对于应用 授权采用的是国际通用 OAuth 协议，该协议在将用户信息高度加密后会提供一个 给第三方网站， 能够有效保护用户信息。但有部分开放平台在授权上分为 Oauth 和 Xauth，而 Xauth 可以获取用户明文密 码，对于用户个人信息安全造成威胁。

2.超出特定目的使用危机

开放最本质革命，在于一个平台通过多种接口向第三方开放用户、用户关系及用户行为数据，通过用户间的互动，个性化、精准化地传播与推广各种服务和信息。开放平台服务提供商将用户个人信息与第三方开发者共享利用，容易造成超出收集时特定目的使用，使个人信息脱离其主体的掌控之中，危及个人人格权利。

3. 个人信息归属危机

曾经有博客界著名用户 因使用一些 Web 工具把自己在 上面的个人信息下载下来移到别处使用， 结果被 自动侦测机制发现，账号被停权，因为 的使用者条款不允许这样操作。[4]该事件引发了开放平台个人信息归属问题的探讨。我国台湾地区著名科技产业评论 网站《数位之墙》创办人黄绍麟先生指出：“ 如果这些 数据的所有权是属于用户个人的，凭甚么不能自由甚 至方便的在各大社交网络中间转移？这个时候，商业 竞争所竖立起来的用户壁垒，是完全有可能导致 *** 介入打破的。而这样的介入行为并非没有前例可循， 例如发生在电信行业的‘ 号码可携 ’就是一例。”但是 由于开发平台个人信息权利基础的不明晰，导致在个 人信息归属上的危机，使得用户对于自己个人信息不 能很好掌控。

三 、我国台湾地区对开放平台背景 下个人信息保护的立法及其经验

我国台湾地区“ 个人资料保护法 ” 的立法深受 1980 年 OECD《关于保护隐私和个人数据跨国流通指 导原则》（ the of and Flows of Data）个人信息保护 八大原则影响，这八大原则， 即限制收集原则、信息内容完整正确原则、目的特定原则、限制利用原则、个人参与原则、公开原则、安全保护原则和责任原则，并体现在具体制度构建中。

（一）开放平台用户个人信息权利

我国台湾地区“ 个人资料保护法”第 3 条明确规定了当事人的权利，并且“ 不得预先抛弃或以特约限制之”，这些权利主要包括五种：查询及请求阅览权、 请求制给复制本权、请求补充或更正权、请求停止电 脑处理及利用权、请求删除权。

1. 查询及请求阅览权

查询及请求阅览权，位居其他诸权利之开端[5]，是 当事人行使其他权利的基础。我国台湾地区“个人资料保护法”规定，当事人有请求查询或请求阅览的权利①, 除法律规定的情形外，公务机关或非公务机关应依当事人的请求，就其收集的个人资料，答复查询、提供阅览②。开放平台用户对于自己存储于开放平台服务提 供商或第三方开发者处的个人信息，也有权请求查询 或阅览，以便更好地管理自己的个人信息。

2. 请求制给复制本权

“ 个人资料保护法”规定，公务机构或非公务机构 应依当事人之请求，制给复制本。

现代科技的发展，使得复制本早已不局限于纸质 材料，电子形式的复制本既方便快捷又节约成本。开放平台用户有权利请求平台服务提供商或第三方开发者以纸质形式或电子形式提供存储的个人信息的复制本。

3. 请求补充或更正权

请求补充或更正权与德国法的更正请求权类似， 只不过德国法的“更正”已经包含了“补充”。“更正请 求权系源自资讯自决权，是资料处理与资料保护之一 般原则。更正应是任何储存机关对于应更正资料所负 之责任。更正请求权不仅包括错误资料之更正，而且 亦应对当事人已被储存之资料应予补正或补充载 述。”“个人资料保护法”第 11 条第 1 项规定“公务机 关或非公务机关应维护个人资料之正确，并应主动或 依当事人之请求更正或补充之。”[5]第 11 条第 5 项规 定“ 因可归责于公务机关或非公务机关之事由，未为 更正或补充之个人资料，应于更正或补充后，通知曾 提供利用之对象。”

开放平台用户可以随时请求平台服务提供商补 充其个人信息， 以保证其所展示的个人信息完整、正确和时新。对于开放平台中存储的错误的个人信息， 用户有权请求更正，以维护其“数字化”人格形象。因 可归责于开放平台服务商的事由，未为更正或补充的 个人信息，应当在更正或补充后，通知曾提供利用的 对象，如第三方开发者。

4. 请求停止收集、处理或利用的权利

请求停止电脑处理及利用权与德国法上的“ 资料 封锁权”性质类似。“个人资料保护法”对于停止处理 及利用请求权规定了三种类型：因资料正确性发生争 议、因特定目的消失或期限届满、违反“本法”收集、处 理或利用个人资料三种。开放平台中个人信息正确性 发生争议、个人信息收集的特定目的消失或期限届满 时，应主动或依用户的请求，停止处理或利用其个人 信息， 除非因执行业务所必须或经用户书面同意的。平台服务提供商、第三方开发者违法收集、处理或利 用个人信息的，应主动或依用户请求， 停止收集、处理 或利用其个人信息。

5. 请求删除权

请求删除权的行使是资料在特定目的完成后不被滥用到其他方面的保障，“个人资料保护法”第 11 条第 3 项、第 4 项规定了请求删除权得以行使的两种情形：特定目的消失或期限届满；违法收集、处理或利 用个人资料的。

开放平台在个人信息收集的特定目的消失或期 限届满时， 应主动或与依用户请求，删除其个人信息， 除非因执行业务所必须或经用户书面同意。对于违法 收集、处理或利用的个人信息，应主动或依用户请求删除。

“ 个人资料保护法”中规定的当事人权利除了上 述五种外，还有损害赔偿请求权、请求行政或司法救 济权、告诉权等，这些权利与上述实体权利一道形成 一个包含实体权利和程序权利的权利体系，为开放平 台个人信息的合理利用和完整保护发挥着重要作用。

（二）开放平台个人信息利用的要件

1.开放平台个人信息利用的一般要件

开放平台服务提供商和第三方开发者对个人信 息的利用，“应尊重当事人之权益，依诚实及信用方法 为之，不得逾越特定目的之必要范围，并应与收集之 目的具有正当合理之关联”。

2. 开放平台敏感个人信息利用的要件

“ 个人资料保护法”第 6 条规定，有关医疗、基因、 性生活、健康检查及犯罪前科之个人资料，不得收集、 处理或利用。这些个人信息即为理论界所称“敏感个 人信息”，第 6 条还规定了对敏感个人信息利用的选 择要件：（1）法律明文规定；（2）公务机关执行法定职 务或非公务机关履行法定义务所必要，且有适当安全 维护措施；（3） 当事人自行公开或其他已合法公开之 个人资料；（4）公务机构或学术研究机构基于医疗、卫 生或犯罪预防之目的， 为统计或学术研究而有必要， 且经一定程序所为收集、处理或利用之个人资料。开 放平台对于用户敏感信息的利用可遵循上述前三项 要件之一。

3. 开放平台人信息特定目的外利用的要件

“ 个人资料保护法”第 20 条规定了非公务机关将 个人信息于特定目的之外利用的选择要件：（1） 法律 明文规定；（2）为增进公共利益；（3）为免除当事人之 生命、身体、自由或财产上之危险；（4）为防止他人权 益之重大危害；（5） 公务机关或学术研究机构基于公 共利益为统计或学术研究而有必要，且资料经过提供 者处理后或收集者依其揭露方式无从识别特定之当 事人；（6）经当事人书面同意。”这些例外要件主要基 于公众利益或紧急事宜而作出，以利于在非常情况下将原收集的个人信息作特定目的以外的合理利用，牺 牲相对小的利益来维护更为重大的利益。

开放平台服务提供商将先前收集的用户个人信 息提供给第三方开发者使用，通常为特定目的外的利 用，在这种情况下，需要得到用户的特别授权，即上述 第六项选择要件“ 经当事人书面同意”。在网络环境 中，当事人书面同意可以通过电子化方式实现，从而 授权开放平台服务商将用户的个人信息作特定目的 外的使用。

4. 开放平台个人信息国际传输利用的禁止要件

“ 个人资料保护法”第 21 条规定，非公务机关的 目的事业主管机关基于法定的重大事由，可以对非公 务机关国际传输及利用个人信息进行限制， 这些事由 包括：①涉及国家重大利益；②国际条约或协定有特 别规定；③接受国对于个人资料之保护未有完善之法 规，致有损当事人权益之虞；④以迂回方法向第三国 （地区）传输个人资料规避“本法”。

互联网的全球性，使得开放平台中个人信息国家 传输成为无可回避的话题 。例如全球更大社交网 用户已超过 9 亿[6]，用户分布在世界各国，而 服务器位于美国， 开放平台的第三牲相对小的利益来维护更为重大的利益。

开放平台服务提供商将先前收集的用户个人信 息提供给第三方开发者使用，通常为特定目的外的利 用，在这种情况下，需要得到用户的特别授权，即上述 第六项选择要件“ 经当事人书面同意”。在网络环境 中，当事人书面同意可以通过电子化方式实现，从而 授权开放平台服务商将用户的个人信息作特定目的 外的使用。

结语

科学技术的迅猛发展，在给人类社会带来幸福的同时，也给人们的个人信息保护带来前所未有的挑 战，开放平台将逐步发展为个人信息基础平台，是个 人信息保护领域中的重要问题。我国台湾地区自 1995 年“ 电脑处理个人资料保护法”通过以来，历经了实施 细则的出台与修正案的多次提出，最终于 2010 年 4 月通过最新的“个人资料保护法”，在“立法”实践上又 迈出一大步。新“个人资料保护法”适用于开放平台个 人信息保护， 对于开放平台中用户个人信息共享利用 构建了较为合理的法律制度，有利于平衡个人信息流 通与用户个人权利之间的关系。目前，我国大陆地区 开放平台发展迅速， 而个人信息保护法律制度也在进 行积极的探索，我国台湾地区在个人资料保护方面所 做的努力及其经验， 为大陆地区的个人信息保护立法 提供了可资借鉴之处。

［参考文献］

[1] 乔岩. 开放平台：云计算时代的战略选择[J]. 高科技与产 业化，2011,（7）: 45.

[2] 超1亿用户密码被黑客公开泄露 明文密码是祸首？[EB/OL]. /dfpd//2011-12/27/.-12-27.