周灿｜网络运营商数据监控行为的法律边界——以云存储服务商为例

原创 周灿 上海市法学会 东方法学 收录于合集 #2023世界人工智能大会法治青年论坛文集 4个

周灿

新疆大学法学院硕士研究生，武汉大学竞争法与竞争政策研究中心助理研究员

要目

一、云存储服务商的数据监控行为

二、数据监控产生的权益冲突

三、数据监控的法律困境

四、数据监控法律界限的廓清

数字经济的发展带来了云计算产业和技术的发展，而云存储技术正是云计算功能实现的基础。云存储市场在发展初期经历过一段时间的“野蛮生长”，用户滥用云存储功能的行为造成了对公共利益的破坏。而随着相关法律法规的出台，数据监控作为一种规范用户行为的手段而被云存储服务商所使用，云存储行业也得以平稳发展。但随着用户对数据价值的认知不断加深和对隐私保护的需求越来越强烈，数据监控引发了公共利益、云存储服务商发展利益、用户人身性和财产性利益之间的冲突。为了缓释三者之间的张力，平衡三者之间的权益，需要对数据监控的必要性重新进行审视，为此一是需要以合目的性原则与目的限制性原则来完善相关法律法规，为数据监控行为提供指引，严格限制数据监控的目的、手段、时间、结果的运用，保障数据监控能够顺利、合法、合理的运行，发挥出实效。二是需要通过监控范围的限缩、监督程序的保障、救济手段的完善让用户的人身性权益、财产性权益得以维护。

一、云存储服务商的数据监控行为

云存储及行业发展简述

数据的价值一方面来源于社会主体通过劳动赋予能够转化为数据并记录的劳动成果价值，另一方面来源于记载社会主体存在、活动等个人信息的数据在汇聚与流动中由网络运营商处理而产生的价值。云存储服务获取的数据价值主要是第二种，云存储通过分布式文件系统，将大量闲散在互联网空间闲置的存储资源整合进行有效利用，向用户提供数据存储空间。在这个过程中，用户的数据得以聚集，云存储服务商提供存储等服务以获收益。作为云服务的基础建设，云存储的功能价值并不仅限于存储：用户将数据资源上传到云端之后，其个人传播数据及信息的能力获得了极大程度上的提升，第三人获得授权后可以直接通过访问用户的云存储空间来对其存储的数据进行下载、处理、利用，数据价值本身的非对立性优势得到有效发挥，同一数据可以得到“多主体、多层次、多元化”的开发，大幅降低数据传递和交易的成本，是实现数据资源利用帕累托最优的有效工具。

在数字经济时代，个人所拥有的数据量呈爆发式增长。云存储以价格低廉，使用便捷高效等优点在多种个人数据存储方式发展过程中脱颖而出，再加上国家政策予以的支持，云存储市场规模得以不断扩大。2022年2月1日，IDC发布的《中国公有云服务市场（2021第三季度）跟踪报告》显示，2020年全球公有云服务整体市场规模（ioas／peas／SaaS）达到3124.2亿美元，同比增长24.1%；中国公有云服务整体市场规模达到193.8亿美元，同比增长49.7%，全球各区域中增速最高。IDC预计，到2024年中国公有云服务市场的全球占比将从2020年的6.5%提升为10.5%以上。随着操作系统企业相继加入市场，用户设备中的数据进行云端存储变得更为便利，用户规模进得以进一步扩大：2021年中国个人云存储的用户规模达4.41亿人，预计2022年达4.89亿人。

在目前我国的云存储服务行业中，按照部署的方式可以将云存储服务商分为公有云存储服务提供商、私有云存储服务提供商、混合云存储服务提供商。因为私有云存储仅限私人网络中的用户可以使用，信息传播的空间相对封闭，不存在第三方监控的问题，因而本文中所指的云存储服务商监控行为主要是公有云存储及混合云存储中的公有部分。

云存储数据监控的诞生

云存储技术的发展为法律规范的调整与匹配带来了挑战，如何对云存储中庞大的数据进行监管是云存储发展要解决的首要问题。

于公共利益而言，侵权者利用云存储拓展的分享能力，在互联网空间大肆传播侵权作品。在2015年上半年监测的大部分院线大片中，网络云盘的侵权量占各类传播渠道侵权量的10%到20%，有的甚至超过20%。将云存储作为传播媒介的侵权行为使得版权市场遭受重创，创作者也因其蒙受损失，创造力受到抑制，知识产权领域出现了“劣币驱除良币”的恶性循环现象。除此之外，云存储空间的私密性特点使一些侵犯公民个人隐私、传播淫秽物品和毒品交易等违法信息、传播虚假新闻、传播侮辱诽谤信息等违法犯罪行为的实施更为隐蔽，给执法活动带来了极大阻碍。在2018年最高人民检察院发布的六起侵犯公民个人信息犯罪典型案例中的郭某某侵犯公民个人信息案，犯罪人将侵犯个人隐私的行为上传到云存储空间，通过分享的方式将其出售以获得不法收入。由此可见，用户对云存储的空间私密性和分享能力不加限制的利用，给社会的公共利益的保护带来了前所未有的挑战。

从公共利益保护视角考量，在用户使用云存储的过程中，需要对其所有数据进行监控，以保护知识产权和防范违法犯罪行为。根据危险控制理论，作为网络运营商的云存储服务商是侵权危险的控制者，负有与其能力相匹配的注意义务，再加上云存储服务商作为社会力量加入数据监管也可以缓解现阶段执法资源不足的窘境。从提供云存储服务的企业发展需要角度考量，云存储服务商也乐意通过数据监控以聚合更多的用户数据，进而得到抢占市场的先机，同时也可以规避用户滥用云存储功能却由云存储企业承担责任的法律风险。于是，对云存储空间进行的数据监控便这样在多种因素的催化下应运而生。

数据监控手段的实施现状

在谈论云存储数据监控行为对社会产生的影响之前，首先要对数据监控的概念进行厘清。监控应当包含“监”与“控”两个内涵。大卫·里昂在（David Lyon）在《监控研究》一书中对监控进行了如下定义：聚焦性、目的性、系统性、常规性地关注个人事务（即“监”），以对个人实施影响、管理、保护或指引（即“控”）。区别于“监视”，“视”偏向于一种消极的、静态的动作，而“控”更强调于监控主体对被监控者的行为主观能动性的影响。在大数据时代，个人事务被高度信息化，多以数据为载体而存在，数据监控可以理解为针对个人的，且具有持续性的，通过信息系统来获取个人信息，进而对个人信息进行分析、处理从而对其施加影响，以达成维护公共利益及监控主体自身发展的目的。本文之所以将网络运营商对用户数据收集的行为称之为数据监控，是基于其行为的两个特点：一是他是针对用户个人进行的数据收集在时间上的持续性；二是其收集的数据过程本身就已经对用户施加了影响，其结果的运用更是以影响用户行为及数据存在状态来达成其收集的目的。

为了规范侵权者利用云存储技术侵害公共利益的行为，保护知识产权中创作者的合法权利，国家版权局2015年10月发布了《关于规范网盘服务版权秩序的通知》（以下简称《通知》），要求云存储服务商建立必要管理机制，运用有效技术措施，主动屏蔽、移除侵权作品，防止用户违法上传、存储并分享他人作品，通过为云存储服务商设定义务的方式，有效遏制了侵权作品利用云存储空间肆意传播。2017年网络安全法第47条也规定网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，这条规定将《通知》中的规定上升至法律位阶，为云存储服务商提供了监控用户空间数据资源的合法性理由，让云存储服务商得以规避因数据监控而对用户造成的一定限度损害从而承担责任的法律风险。

云存储服务商为履行自己的信息监管义务，利用了以下两种技术手段：哈希（Hush）值检测、人工或人工智能读取文件内容。两种检测技术手段交叉使用，互为补充。哈希值检测是通过对上传的文件赋予一个独一无二的数字编码，在检测数据资料分享传播时，通过比对相同编码以追溯源头，当一个数据资料多次分享之后，便会对原始的数据资料进行人工或人工智能读取文件内容的检验，当人工智能学习技术不能满足检测数据内容合法性的需要时，便会通过人工来进行审核。以上两种手段进行的云存储数据监控具有如下技术性特征：（1）监控范围的广泛性。监控的范围包括用户上传的以数据为载体的全部资料，包括文档、图片、音频、视频、软件等多种格式，不论是否进行分享，都需通过对数据内容的审核，再赋予其哈希值编码。（2）监控目标的普遍性。监控面向全部使用云存储产品的用户，随着市场规模的扩大，监控的目标也在不断泛化。（3）监控行为的持久性。相比于传统的视频监控行为，云存储的监控还会收集用户的元数据，并将其一并存储于云端，用于服务商改善服务质量；并且用户上传的数据资料只要是在服务商的云端存储，那么整理、下载、使用、修改的行为踪迹都会被记录。

基于算法和云计算而进行数据监控使隐私权失去了最重要的保护手段——遗忘，并且对于数据内容和个人信息的收集与分析，将会对用户的隐私权等人身权利进一步造成侵犯。此外，对于某些被第三人知晓便失去价值的数据来说，还会同时侵犯了用户数据的财产性权益。根据相关法律规定，云存储服务商可以采取消除等处置方式。在监控手段并不精准的条件下，消除处置将会对用户数据的财产性权益造成不可弥补的损失。在相关投诉平台上通过“网盘封禁”进行检索，共有197条结果，大多具有云存储服务商以违反国家相应法律法规为由而误删用户数据的情形。并且，相比于互联网平台企业，在用户形成对产品依赖之后，云存储的监控行为将会更直接对用户造成影响：相关数据被封禁后，不管是否存在算法失误情形，用户的对于数据的使用和控制都会受到限制。类似情形的出现，使得基于保护公共利益的需要对云存储空间进行的数据监控的实效性进一步探究。

此外，云存储服务商的数据监控助长了其攫取用户个人信息获得市场优势地位的行为，这将可能影响到市场的公平竞争秩序，从而影响到其他市场主体及消费者的整体利益。澳大利亚的学者马克·安德烈耶维奇从将云计算作为一个商业模式的视角出发，认为网络运营商之所以愿意进行数据监控，是因为数据已经“成为营销以及生产过程中的一个入口”，是“价值链条中的一个重要因素”。数据之所以被称作21世纪的石油，是因其在意愿经济时代中具有极强的使用价值，但是相比于石油，数据具有可再开发性，同一组数据并不由开发主体的使用而丧失使用价值，并且随着算法算力的不断提升，数据规模的边际效益会持续递增。虽然数据具有可再开发性，但是如果对同一组数据若能早先开发，将会获得时间优势带来的机会收益。比如云存储服务企业若是能先一步获得用户数据的授权及存储数据，就能够抢先占有市场，获得市场占有率的提升。当市场占有达到一定规模，形成市场支配地位之时，就可能出现不正当竞争的问题。企业之间的竞争包括价格和非价格两个维度，质量就是非价格维度的一个重要因素，对消费者数据的滥用和对隐私的损害就是质量下降的一个指标。消费者选择一家云存储产品进行数据存储之后，随着他在此产品中数据存储数量的提高，其更换云存储产品的转移升本也会随之提升，并且相比于其他互联网企业，消费者对云存储服务产品更具有依赖性，这也使得云存储服务行业的新进入者很难与拥有大量用户的在位经营者展开有效竞争。因此拥有市场支配地位的云存储企业进行的数据监控若缺少边界，包含消费者的隐私的个人信息将被更加肆无忌惮的收集，从而进一步降低服务质量，增加云存储服务商滥用地位优势，破坏市场公平竞争秩序的风险。

在美国学者肖珊娜·佐伯芙将网络运营商的数据监控行为称之为新型资本主义形态的新型盈余方式，它扩大了网络运营商占有行为剩余的深度和范围，不断通过优化算法来预测并修正人类认知和行为，以作为制造收益和市场控制的手段,使“新的数字改造手段和新的经济目标的融合，产生了创造和垄断这些新形式盈余的全新技术”。网络运营商可以通过支配非数字企业的生产、分配、交换和消费的过程，扩大其智能系统占有行为剩余的范围，且大型网络运营商也可以通过技术优势控制小型网络运营商，使智能系统技术不断更新，以此进行垄断竞争，形成一个具有强大整合能力的垄断智能系统。从这个视角来看，作为网络运营商的云存储服务企业进行数据监控的动因至少不只是出于对公共利益的保护需要，甚至可以说它有通过获取、整合大量数据来形成垄断地位之嫌疑。基于以上数据监控的现状问题，我们不得不反思，在数字经济时代，利用网络运营商的数据监控来维持稳定的数字经济社会秩序是否合理。秉持对其消极影响的克制态度，本文先从数据监控产生的权益冲突开始分析。

二、数据监控产生的权益冲突

云存储的出现的确在一定程度上提升了信息传递的效率，是资源配置优化的有效工具。但基于科斯定理，若想实现资源配置最优，首先是要对财产权利进行明确界定，可我国目前关于数据权属的法律规范并不健全。主要原因是数据的来源——个人信息具有人身性的属性，这就使数据具有了人身性、财产性的双重复杂属性，加上数据的使用牵扯多方主体，这使数据界权变得根牙磐错。在数据衍生的诸多社会关系中，若只在界定数据财产权、人身权时单向保护某一方权利主体的权益，势必会对基于数据产生的法律关系中的其他利益主体或利益关系相对人的权益保护造成影响，甚至影响数字市场的竞争秩序，以致对数字经济的发展产生负外部性效应。基于损害具有相互性的本质，在以发展数字经济、保护网络环境，营造知识创新等目的来界定数据权属，用户就不得不舍去一定的隐私权益，甚至于增加了数据的某些财产性利益遭受侵害的风险。数据监控即是如此，在限制了用户的分享能力以维护社会公共利益的同时，云存储空间的私密性被打破，隐私权益遭到限制，用户数据财产性权益也面临着威胁。

数据监控与用户人身性利益之间的冲突

云存储服务商的数据监控行为之所以被立法者、执法者所利用，是因为其在维护社会公共利益上所能发挥的作用。社会公共利益既抽象又具体，是个人利益的集合，又体现于个人利益之中。在马克思理论中，他是普遍性与特殊性、整体性与局部性的辩证统一。因而至少包含以下两部分内容：一是公共秩序的和平与安全，即前文所述的利用云存储传播违法信息的行为；二是经济秩序的健康、安全及效率化，比如对知识产权领域中创作者的成果的保护。为了社会公共利益的实现来对用户在云存储空间的数据进行监控似乎合理，但是他首先面临的是与用户的个人利益——数据人身权益中的隐私权的冲突。云存储空间具有私密性，用户对于上传至云存储空间的数据和使用记录也有不被第三人所知晓的合理期待。数字经济时代中的数据有商品化趋势，用户的隐私在民法上往往被当作是一个可以放弃的权利，“隐私权的内涵和外延面临着解构的风险”。我们不能忽视用户关于隐私权的个人利益，也需要警惕公共利益的绝对化，为此应对大数据时代的隐私权价值进行重新审视。

对于用户来说，隐私权是与互联网企业议价的工具。以云存储服务商为例，为了合法合理的收集用户的个人信息，他们会提供给用户一些“免费”的产品与服务，比如提供免费的云存储空间，但需要用户授权该云存储产品能够收集用户个人信息为条件。虽然用户可能会面临着要么同意云存储服务商不合理的收集用户隐私的条件，要么就放弃使用这部分功能的两难处境，但是在同样需要以隐私的让渡而获取的云存储产品中，用户可以选择在市场上提供更大存储空间等更优质服务的其他产品。用户在用隐私与互联网企业进行谈判的过程中，服务商不得不优化自身产品以防止用户流失和吸引新的消费者，云存储服务市场公平的竞争秩序也因而得以维护。而数据监控使云存储服务商获取用户隐私的理由正当化，降低了用户与其谈判的议价资本，隐私在交易上所能发挥的价值被贬损。

数字经济的发展需要企业收集用户隐私来保证经济效益，也需要用户保有个人隐私来作为与互联网企业议价的工具以促进市场公平竞争。国家需要收集公民的个人信息以保障和平稳定的社会秩序，也需要保护公民隐私权益来保障法治实现。以保护社会公共利益为目的的数据监控，无疑是建立在用户人身性权益的让步基础之上。因而对他的要求至少应当是：既不能回避用户对云存储空间私密性的期望，又要满足防止用户滥用云存储功能侵犯他人合法权益、维护社会公共利益的需要。为此我们需要明晰隐私权在数据时代的价值，把握数据监控行为的边界，以此来缓释公共利益与用户隐私权益之间的张力。

数据监控与用户财产性权益的冲突

1.与用户数据财产性权益的冲突

在讨论企业与个人关于数据财产性权益的冲突之前，我们需要对个人数据与个人信息的概念予以厘清，以免混淆概念从而使个人数据的财产性权益遭到否认。学界普遍认为，个人信息是数据形成的基础，数据是个人信息的载体或媒介。个人信息由个人主观能动的行为踪迹转化，因而更具人身性属性；数据是由个人信息的汇聚、处理等转化而来，因而更具财产性属性。个人信息在转化成数据的过程中所消耗的成本曾是个人处理数据的主要障碍，而在当今技术发展的背景下却显得微乎其微，但这并不代表着数据的价值在这一阶段中可以被忽视，这一过程付出的成本恰是数据具有财产性属性的本质原因。此外，数字技术的不断进步推动着数字全息化时代的到来，数据作为一种媒介或载体，他所能记录的并非只有个人信息，图片、声音、视频甚至气味，人所能感知的一切都在随着技术的进步而被数据所记录，信息本身的价值也被转化而成的数据所继受。这就降低了数据的利用门槛，不仅仅是互联网企业汇聚并流动才能创造数据价值，普通自然人个体也可以通过劳动将成果用数据记载而赋予数据价值。但相比于其他传统媒介，数据获得和复制的成本更低廉，因而其价值更容易贬损或被攫取：比如用户将纯文本写作的文稿上传至云存储空间后，一旦被第三人获悉或者分享，其初创性便不复存在。我国现有关于数据财产性权益分配规则的法律规范尚未健全，可对于数据财产性属性的利用却不断下沉，更多的自然人主体意识到了数据价值的可挖掘性，加上云存储空间为普通用户存储的数据提供了可扩展性的容量，用户对自己所上传至云端的数据的保密性、完整性、可用性的需求与日俱增。

而对云存储空间的数据监控需要对数据所记载的内容进行理解，且不谈目前人工智能技术的发展程度还不能使数据内容审核完全摆脱人工的方式，人工智能对数据进行合法性审核若要实现精准也需要对内容中所包含的信息进行深度挖掘，并结合用户的使用场景来继续分析。事实上，要达到能够理解数据内容功能的人工智能技术条件，需要云存储企业不断加大投入成本，而基于法律设定义务而进行数据监控的云存储服务商缺少继续增加投入的动力。基于以上原因，我们可以判断，用户数据财产性权益的安全正处于来自云存储服务商数据监控的威胁之中。

2.与用户个人信息财产性权益的冲突

此外，云存储企业为进行数据监控而获取数据内容中包含的个人信息是否侵犯了用户的财产性权益呢？探求这个问题的答案，还需要先厘清个人信息本身是否具有财产属性以及信息主体是否应当对个人信息享有财产性权益。

关于个人信息是否具有财产属性，学界尚无一个统一定论，有学者认为，信息主体对于个人信息的控制缺乏理性，若赋予个人信息以财产属性，将会导致信息主体控制力的丧失；并且财产应当具备“稀缺性”这一要素，而个人信息具有“非损耗性”和“可再生性”；还有学者认为个人信息缺乏与自身劳动的结合而不具有财产属性。本文认为，以上观点分别混淆了财产权与财产属性的概念、忽视了个人信息价值的运动状态、否认了个人信息与主体活动之间的联系。首先，财产应当是对某一客体是否具有价值属性的描述，而财产权则是一种分配规则，个人信息的主体是否会失去控制力并不完全依赖于财产权这一种分配规则路径，美国法学家霍菲尔德就曾提出以“法律关系”学说来取代传统的界权思路，通过否认信息主体的财产权来否认个人信息的财产属性经不起逻辑推敲。其次，个人信息虽本身不具有“稀缺性”这一要素，但就其所蕴含的价值来说，也在不断重复使用过程中被消耗，并且仅从“稀缺性”的角度来否认个人信息的财产属性的论调未免过于机械。最后，个人信息由信息主体在日常行为踪迹中产生，主体的行为就是一种为信息赋予价值的“劳动”，主体停止行为，其信息的产生也会为此中断；而且也并非所有财产都通过信息主体自身劳动产生，“基因信息、生物识别信息及其他表征信息主体生理特征的个人信息是信息主体与生俱来的，对于这些个人信息所承载的财产利益，似乎并不需要信息主体付出一定的劳动就能获得”。反之，个人信息因其在流动中能够产生的经济效益、客观存在而能够被信息主体掌控、价值在不断开发过程中的减损状态而应当具有财产属性。

那么信息主体应当享有对个人信息的财产权益吗？以目前学界的观点来看，至少不应予以否认。有学者主张以赋予信息主体对个人信息的财产权来完善个人信息的财产权益；也有学者以区分个人信息及数据资产为基础，在肯定信息主体对个人信息享有人格权和财产权双重权利的基础上，主张赋予数据经营者以类似于他物权的相应权益；也有学者另辟蹊径，主张以霍菲尔德的法律关系学说为框架来进行相关权利的界定。可不管哪种观点，都没有否定作为信息主体的用户应当享有相应财产权益。这其实也是符合数字经济发展规律的，既能满足信息主体出于隐私权保护等目的而进行相应数据保护的需要，也能顺应数字市场发展对信息利用的需求。“人格权的价值在于个人自主，人格权上的财产价值乃彰显个人的经济自主，因此人格特征体现的财产价值应归于权利主体。”既然个人信息具有财产属性，并且个人信息依托于人身而存在，那么用户作为信息主体而享有个人信息的财产性权益便有了当然性。通过赋予作为信息主体以财产权益，可以使其能够用以对抗互联网企业对个人信息的不当攫取，保护隐藏在财产权益之下的人格权益，并在遭受侵害之时能够获得司法救济。

既然个人信息具有财产属性，作为信息主体的用户也对这部分个人信息享有相应财产权益，那么云存储服务商出于保护公共利益目的进行的数据监控对用户上传数据内容中包含的个人信息进行搜集，毫无疑问将会造成对用户财产性权益的侵害。更不论云存储企业也存在着为其自身发展而收集用户个人信息的动机，即使这可能是数字经济发展的需要。英国学者克里斯蒂安·福克斯认为，数据监控是“用来产生或防止群体或个人的某些行为，以便能够针对人类的潜在或实际的身体、思想或结构性暴力，从而影响其行为。这种影响是通过强制手段造成的，给某些群体带来利益，而牺牲了其他群体”。结合前文所述，牺牲群体所付出的除了隐私等人身性权益，也包括数据及个人信息所附带的财产性权益。因而我们需要在数据监控导致的现实问题之中，平衡不同主体之间的权益分配。

三、数据监控的法律困境

数据监控行为在相关法律出台以前就已经存在。之前的数据监控多是互联网企业为寻求自身的发展需要，通过监控行为来对用户的个人信息进行搜集。法律规范是维持公平“天秤”平衡基准的有效路径，但是相关法律之间的冲突和抵牾却使其难以实现。《关于规范网盘服务版权秩序的通知》（以下简称《通知》）第2条规定与网络安全法第47条规定通过义务性条款，使作为网络运营商的云存储服务商进一步获得对用户数据内容进行监控的正当理由，而在实践过程中，相关法律之间固有的冲突暴露了出来，并影响着各方权益分配及网络安全环境。

法律价值冲突使得监控目的产生偏移

“发展”与“安全”在相关数据安全及个人信息保护的法律规范中都有所体现，是其宏观层面的价值所在。在网络安全法第1条就明确“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定本法。”发展与安全两个价值贯穿本法条文始终。但发展和安全本身就是冲突的根源：一方面数据自由的流动的确有利于优化资源配置，推动数字经济的发展，为此需要更少的对数据交换进行干预；另一方面又不能放任数字经济“野蛮生长”，需要对相关主体关于数据的行为进行规制，保证国家数据安全及个人信息安全。“现代数据技术的发展和国家的数据战略布局，数据安全风险有其特殊性”，却并非只存在冲突，两个价值也能够发挥协同效应。数字经济的发展绝对不仅依靠网络运营商的活跃，我们不能无视作为消费者的用户在其中发挥的作用。数据来源于用户，作用于用户消费者福利的实现，也在推动着数字市场经济的发展。因此保障用户对数据和个人信息的安全性，是发展的应有之义。同时，数字经济发展带来的数字技术的进步也作用于安全保障工作的完善。但目前来看，数据监控仅注重了“安全”而疏忽了用户针对数据的发展需求。数据监控如要同时贯彻发展与安全两个价值，需要有相应的法律原则来协调两者之间的矛盾，以此达成价值间的协同效应，保证数据监控的目的不发生偏移。

法律规定抵牾使得监控行为依据不明

1.网络安全法与宪法相关条文之间的抵牾

网络安全法第47条规定：“网络运营者应当加强对其用户发布的信息的管理，发现法律、行政法规禁止发布或者传输的信息的，应当立即停止传输该信息，采取消除等处置措施，防止信息扩散，保存有关记录，并向有关主管部门报告。”这是云存储服务商对用户数据进行监控的基本依据，可以通过“管理”的方式来“发现”用户的违法行为。可如上文所述，数据监控将会对用户的隐私权等人身性权益造成侵害，隐私权作为我国公民的基本人权而被包含在宪法之中。通信自由是隐私权的重要内容，用户上传数据至云端不管是存储还是分享，都不应受到除公安机关或者检察机关以外任何组织和个人的干预。按照下位法服从上位法的原则，网络安全法第47条的实施存在着落于形式化的风险。

2.《通知》、网络安全法与个人信息保护法相关条文间的抵牾

个人信息保护法于2021年11月1日开始实施，在第2条便规定“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益”，结合了我国数字时代的现实需要，可以理解为对通信自由做出了与时俱进的细化规定。但这也使个人信息保护法与《通知》第2条、网络安全法第47条规定产生了直接冲突。虽然个人信息保护法第6条规定“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”，以合目的性原则和利益平衡原则来对网络运营商的信息处理行为设定限制，似乎可以缓释与《通知》第2条、网络安全法第47条规定的冲突，但是基于数据的可重复开发的特性，一种目的收集的信息可以有多种的利用方式，例如云存储服务商以维护公共利益目的而收集的个人信息在用作“发现”用户是否存在违法行为之后，这组个人信息该如何处置？用户如何发现这组数据的使用方式有哪些？如何能够确保不被另作他用？如何保证这种使用是“对个人权益影响最小的方式”？这一直以来都是被忽视的问题，如今值得我们再去思考。

3.网络安全法本身条文之间的抵牾

网络安全法在第41条的规定“网络运营者不得收集与其提供的服务无关的个人信息”，这实际上就已经对网络运营商的信息收集行为做了限制，那么第47条监控用户违法行为是否属于“与其提供的服务无关”呢？目前来看，对网络运营商收集用户个人信息的行为仍然缺少限制，当前的法律规定关于合法合理的界限也较为模糊，第47条规定有变相地对网络运营商收集信息的目的内涵做扩张之嫌，这也是网络安全法条文之间的冲突根源所在。

总结上述法律条文冲突，我们可以发现其原因在于：一是条文规定过于抽象。虽然《通知》第2条和网络安全法第47条似乎使网络运营商有了数据监控的合法依据，但是条文中规定的是可以在“管理”用户“发布的信息”的过程中去“发现”用户的违法行为，可如何“管理”，何为“发布的信息”，何为“发现”却没有进一步细化。二是用户与网络运营商之间存在着关于信息用以何处的信息壁垒。同一组数据可以多次开发利用，加上用户在授予网络运营商以个人信息使用之时，往往缺少议价资本，用户在授权之时缺乏理性，往往对个人信息将以何种用途被利用缺乏了解，关于合目的性和利益平衡原则的抽象规定在用户处于信息获得的弱者地位时难以达到立法者所期待的效果。三是当前法律规范对于网络运营商的个人信息收集行为缺少界限规定，对于收集目的、手段、用途等规定过于模糊，基于不同群体的不同利益需求，对相关条文理解存在着过多解释空间。基于上述法律规定条文间的抵牾，云存储服务商是否有依据能够对用户进行数据监控还难以判断。

法律界限不清导致监控权力异化

按照宪法规定，只有公安机关或者检察机关才有权力能够按照法定程序对用户的隐私进行干预。“政府监控”的启动、进行、结束都有相应的法定程序，手段和过程也更加透明：首先是在行使主体上做了严格限制，只有公安机关和检察机关的侦查部门才有权决定是否启动；其次是在启动条件上做了限制，必须在立案之后的侦查阶段才能申请进行；最后在手段、方式上，有严密的监督程序，比如审批权和执行权的分离，设定有限的监控期限，规定相应救济程序，出台监控结果是否能够作为证据的采纳规定等等。而网络运营商的监控行为启动来自用户的授权，可用户在授权时正处于不授权就无法使用相应功能的两难处境，并且基于用户隐私协议的烦琐和隐蔽性，用户对于个人信息被收集的手段、范围、用途等难以掌握。云存储数据监控进行伴随着用户对产品使用，并且在后台的运行使信息收集行为被隐匿，监控的期限、时间用户也缺乏了解。更隐蔽的监控却更加缺乏监督，云存储服务商并不具备能够在最小限度影响用户利益而进行监控的能力。综上，即使依据公司法第5条的规定，网络运营商的确负有使社会不遭受自己的运营活动、产品及服务的消极影响的责任，但这不代表他就有拥有可以进行监控的无边界的权力；即使收集信息的行为有用户的授权，但这不代表可以在收集的时间、范围、用途上可以无限的扩张。缺乏相应监督程序，收集过程和用途又缺乏透明度使云存储服务商的数据监控行为缺少界限，极易导致其监控权力异化，加大对用户权益侵害的程度，甚至有悖于立法者希望其在维护公共利益的上发挥作用的初衷。

四、数据监控法律界限的廓清

即使云存储服务商的监控行为在法律依据、主体是否适格上存在疑虑，但针对目前云存储发展中出现的问题及相关部门执法资源上的制约，仍然有承担相应的社会责任与相关部门配合的义务，数据监控不应被完全否定。正如大卫·里昂在《监控的社会分类：隐私、风险和自动歧视》一书中所强调的，监控兴起的根源是极其普通的，监控本身是一个中性词，他现在已经与我们的生活密不可分，已经构成现代性的特定社会过程。我们在分析数据监控带来的消极影响之时应当保持克制，因为他是“社会运转必不可少的管理措施”，只是应该在完善相应法律法规的基础上划清监控的界限所在，避免其监控权力无限的扩张。

应秉持的法律原则

为了缓释相关法律之间的价值冲突，应将合目的性原则和目的限制性原则贯穿在数据监控立法、执法、司法的全过程并灵活适用。合目的性原则强调目的是对象的原因，对象因目的的存在而存在，且“客观合目的性是自然内在地趋向于最高目的。”合目的性原则反对结果的倒推以确定行为的合理性，因而在判断是否有必要进行数据监控、把握数据监控的时机上，应以维护知识产权,保护和打击违法犯罪行为等公共利益的目的作为逻辑起点，避免不必要的监控行为。目的限制性原则是对云存储服务商信息处理活动的限制，强调其在收集数据和信息时应当具有明确、合理的目的，并应当与收集目的直接相关，主要体现在两个阶段：一是数据收集目的明确，云存储服务商以不迟于数据收集的时间为节点来确定数据收集目的；二是云存储服务商在利用数据时的使用目的不得突破收集时确定的初始目的。通过两个原则的交叉适用，完善相关法律法规，在监控行为的手段、范围、时间、结果运用上做出限制，以此方可寻求划清界限之方案，保证监控目的不偏移。

应给予的法律保障

对云存储空间进行的数据监控的确在保护知识产权、打击违法犯罪行为上具有实效，具有存在的合理性。但是其合法性尚存不足，应当通过相应的法律法规予以支持和完善。首先，通过解释来明确相关条文中的词义。关于网络安全法第47条规定中的“管理”一词应理解为在提供产品及服务过程中，经过用户合法授权而进行的一切信息收集及数据内容读取行为；对于同款规定中的“发现”一词可解释为通过法律规定且用户已经知晓的手段进行的数据监控活动，检测出的疑似违反国家法律法规的数据或个人信息元数据，仅承认其手段的合法性，否认其对元数据分析行为的合法性，以此最大程度上保障用户的个人隐私。其次，通过实施细则来为云存储服务商的数据监控行为提供指导。明确监控的目的是为了知识产权保护、打击违法犯罪行为等社会公共利益的实现。通过相关规定限制监控采取的技术手段，监控的范围和时间，进一步为其提供指引，同时便于企业能够通过自我合规来保障用户的相关权益，实现自身发展利益、信息主体利益、社会公共利益的平衡。最后，通过义务豁免规定来保障数据监控能够顺利合法的进行。基于目的限制性原则为网络运营商设定最低限度的义务豁免规则，可实现数据和信息保护与公共利益保护的平衡，在要求其承担最大程度上的注意义务之下仍然有依据可以继续进行监控。

应廓清的法律界限

通过上文所述，数据监控在人们的生活中已经无法避免，但我们可以发挥法律规范的引导与规制作用，规范网络运营商数据监控的行为。借用福柯的生命权力理论“规范是不同常态中的一个作用。规范性居于首位，而规范是从它推导出来的，或者说正是从对常态的研究出发，规范得以确定下来并完成其操作性功能……这里不是确立规范的问题，而是规范化问题”，我们可以通过相关立法条文的细化、程序的完善、救济手段的丰富，廓清数据监控的法律界限，以使数据监控规范化，尽可能避免数据监控的负外部影响。

1.监控范围的限缩

对网络运营商收集信息的范围进行限缩，使数据监控尽可能发挥积极作用。对于网络安全法第47条规定中的用户发布的信息中的“发布”一词，应当做缩小解释，明确在例如微博、虎扑论坛、百度贴吧等具有开放特性的公共领域内主动分享的数据为发布，而云存储空间属于私人领域，其中存储的数据包含着与人身利益相关的个人信息，不应该以任何理由被读取。并且在用户授权个人信息使用的签订过程中，云存储服务商应当尽到提示义务，可参考欧盟一般数据保护条例，规定不得以模糊和复杂难懂的语言及冗长的条文来给用户理解协议内容增加难度。关于监控的时间也应当对用户提示，以明显的标识告知其个人信息正在被收集，以帮助用户做出理性判断。

2.监督程序的保障

监控行为的启动、进行、结果运用应当全程受到监督。这是保障用户权益可以在最低限度受到影响的基础。对于是否有必要进行数据监控宜交给网信部门及其他相关部门来根据网络运营商的服务及功能进行审查和判断。网络运营商进行数据监控的时间、范围、手段应当严格按照协议的内容进行，并就相关手段实施的情况和过程定期向用户公示及向相关部门汇报，尽可能公开透明。关于收集而来的信息运用上，不宜进行一次性授权，除自身功能实现的需要之外，不得在用户隐私协议中以“将会提供给第三方”等模糊、难以预见的词义做事先约定，应根据信息分享的对象及用途等事项来进一步获得用户授权。以此通过用户和相关部门的合力，保障数据监控的合法性和合理性。

3.救济手段的完善

应完善司法救济的工具箱，防止用户因为数据监控遭受持续性的损失。在诉讼活动中，用户处于信息获取的弱势方，举证能力与网络运营商相比犹如天堑，为此可考虑引入证据开示制度以缓解用户与网络运营商在关于隐私的民事诉讼中的“证据偏在”问题。此外，用户应当继续享有数据内容和个人信息能够被遗忘的权力，即“被遗忘权”，用户可以要求网络运营商删除在产品使用过程中被收集的一切信息，并要求其保证这些信息不会遭到泄露、不会在任何时间再次出现、不会被任何人所再利用。

结语

发展和安全之间的协同，以及公共利益、网络运营商利益、个人利益之间的权衡，这两个问题贯穿于数字经济发展的全过程。云存储是云计算的基础性功能，云存储相关产业的发展是数字经济发展的重要组成部分，云存储服务商对用户的数据监控的界限关系着数字经济发展与安全的双重的价值需求。数据监控并非不可，只是应当把握界限，在保护公共利益的同时保障用户的数据发展需求及相关权益。本文试图通过云存储数据监控这一现实问题来透析数字经济发展症结所在，以微观视角切入，探究问题所在，以求为数字经济的健康成长做出更多的智识贡献。

原标题：《周灿｜网络运营商数据监控行为的法律边界——以云存储服务商为例》

阅读原文