摘 要: 随着大数据时代的来临和信息技术的快速发展,个人信息时刻处于泄漏的边缘。分析大数据时代个人信息的特征和国外个人信息保护的法律体系,结合我国个人信息保护的立法现状,建议尽早制定统一的个人信息保护法,明确个人信息收集的原则、个人信息权,设立监督机构,以实现大数据时代公民个人信息保护的理想状态。
关键词: 大数据时代; 个人信息; 隐私; 法律保护;
Abstract: With the advent of the era of big data and the rapid development of information technology,personal information is always at the edge of leakage. This paper analyzes the characteristics of personal information in the era of big data and the legal system of personal information protection in foreign countries. Combined with the current legislative situation of personal information protection in China,it suggests that a unified personal information protection law should be formulated as soon as possible,the principles of personal information collection,the right of personal information should be clarified,and a supervision mechanism should be set up to realize the ideal state of personal information protection of citizens in the era of big data.
Keyword: big data era; personal information; privacy; legal protection;
0、 引言
大数据时代互联网经济的繁荣发展,在带来肉眼可见的便利的同时,也产生了一系列新型违法行为。互联网企业凭借自身在行业内的领军地位,依靠先进的技术,不断搜集用户的个人信息和隐私,甚至为了攫取更大的商业利润,不断地挤压侵犯客户的商业利益[1]。在利益的驱逐下,大多数用户的个人信息和隐私不断地以各种形式被泄露、被侵犯,但法律的不完善使得此种现象没有得到有效的遏制。为此,有必要进行反思,探索解决问题的出路。
1、 大数据时代个人信息的特征
1.1 、个人信息的可识别性
个人信息,顾名思义,指的就是与个人有关的信息。但对于何为个人信息,不同的法律有不同的界定。自2013年9月1日起施行的中华人民共和国工业和信息化部《电信和互联网用户个人信息保护规定》(以下简称《规定》)中第四条明确提出“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”。自2017年6月1日起施行的《中华人民共和国网络安全法》将个人信息界定为“是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。这两部法律对用户个人信息界定的核心之处都是能够单独或者与其他信息结合识别用户的信息。可见,在大数据时代,可识别性是鉴定个人信息的主要特征。可识别性是指通过对所给的信息进行较低程度的甄别,从而识别出特定的个人,诸如个人的身份证号码、手机号码、护照号码等一人一证的信息资料。
1.2、 个人信息的隐私性
在大数据时代,传统上认为不具有特定的可识别性的个人信息,也逐渐在向可识别的个人信息方向发展。
近年来,广受关注的网络大数据案件有淘宝大数据案、百度大数据案、360大数据案、房产大数据案等。百度大数据案一审认为在网络上搜索“减肥、丰胸、人工流产”等词汇的行为,会在网络上留下私人的痕迹,显示个人上网的偏好,应当属于个人隐私的范围。但是二审判决持相反立场,认为该信息是未能与网络用户个人身份信息相对应的信息,不应当属于个人信息。其中关键之处在于二审法院秉持了“个人信息=可直接识别出个人的信息”,将大数据时代的除姓名、身份以外的使用习惯、搜索记录以及各种网络浏览器中收集的Cookie数据等信息排除在个人信息之外[2]。
依据传统侦查学理论,从痕迹中可以追查到犯罪嫌疑人,通过在网络上留下的搜索记录、网页浏览器记录的Cookie等信息均可以关联到特定的个人。大数据时代正从“谁也不知道坐在电脑前上网的是狗”向“不仅知道是狗坐在电脑面前,还知道什么品种的狗以及狗的外貌”转变。根据美国财政部的统计,通过“性别+邮政编码+出生日期”可以识别出87%的美国人。通过Cookie数据也能识别出特定个人,诈骗犯甚至还能通过Cookie数据制造完美的诈骗犯罪。
2 、国外个人信息保护的法律体系
2.1、 美国的个人信息保护法
在时代的发展过程中,美国采取了一种较为宽松、放任的政策。美国1974年通过的《隐私法》被看作是美国保护个人信息的核心法律。《隐私法》对公法领域和私法领域进行了区分,但规定的主要是联邦政府执行职务所必须遵循的标准,主要目的是防止公权力的滥用以致侵害了公民个人的信息权和隐私权。《隐私法》对政府收集、使用和保密的行为提出了较为详细的规定。政府机构在对公民信息进行收集时,要将信息的用途告知他人,并在得到他人允许的前提下才能将信息予以保存。美国公民也享有是否决定公开自己的信息以及是否允许别人访问的权利。除《隐私法》外,美国还颁布了《家庭教育权利和隐私法》《财务隐私法》《电子通信隐私法》等法律。其中《电子通信隐私法》禁止政府没有得到授权的电子监听行为。美国隐私保护法案针对的主体均为联邦政府,并没有对各州以及各企业制定相对应的权利保护法案。在美国,个人信息的保护并不是一种绝对的无条件的保护,而是个人利益和公共利益之间所需要维持的一种平衡。
2015年以来,美国又陆续推出了《消费者隐私法案》《数据隐私》《欧洲和美国隐私保护协议》等相关法律[3]。美国公众希望存在一部全面保护个人信息的权利法案,美国政府正朝该方向逐步加强对个人信息的保护。
2.2、 欧盟的个人信息保护法
若说美国的政策是宽松、放任型政策,欧盟则选择另外一种模式。不同于美国的立法与市场并行,欧盟采取的是立法先行。
1981年签署的《个人数据自动化处理的个人保护公约》(以下简称《公约》)较为全面地保护了个人信息。它分别从信息使用者、信息主体双方的权利和义务两方面来表述对个人信息的保护。《公约》中的信息主体不仅包括公民个人,也包括法人、社会团体和政府。
1995年的《个人数据保护指令》(以下简称“95指令”)是欧盟出台的首部针对个人数据保护的法律[4]。该指令以信息自决权(即公民对个人信息享有决定权)作为制定该指令的依据,遵循数据管理者的义务、个人信息主体的权利和数据传递至第三国的原则,明确将个人信息定义为任何已识别或可识别的自然人(数据主体)的信息。
在95指令的基础上,欧盟颁布了《通用数据保护条例》,并且于2018年5月25日开始实施。此法令被称作是史上最严的欧盟条令[5],它是关于数据隐私的重要新规,整合了欧盟之前各个关于隐私保护的条例。该条例创新性地规定了在企业内部设立数据保护官一职,承担数据保护合规等相关职责。除此之外,该条令还为信息主体提供了多种保护自身权益的方案。
2.3、 亚洲国家的个人信息保护法
在20世纪70年代,日本少数地方的公共政府便开始着手制定个人信息保护的法规。2005年,日本颁布了《个人信息保护法》,这意味着日本已经制定了相对完整的个人信息保护法。该法律适用于行政机关和私营企业在内的公法领域和私法领域,不过,也有相当一些机构诸如宗教媒体等不受自愿性法规约束。
韩国的个人信息保护遵循着二重立法的原则,即公共部门和民间部门遵循着不同的律法。随着信息技术的发展和网络时代的不断演进,侵害个人隐私的行为不断增加以及此类事件的影响性不断加强,韩国政府不得不开始重视个人信息保护的重要性。2011年,韩国颁布了《个人信息保护法》,一改之前二重立法的原则,改为政府统一立法保护隐私的立法体系。2014年,韩国政府又颁布了《大数据下个人信息保护指引》,以此来加强公民对数据隐私保护的信心[6]。
3、 我国个人信息保护的立法现状
3.1 、个人信息保护的难度
在个人信息未能通过法律得到明确保护时,可以通过隐私权来对部分个人信息予以保护。但《中华人民共和国宪法》(以下简称《宪法》)中没有明确规定隐私权,仅在1988年修改的《宪法》中规定了通信自由和通信秘密等基本权利。理论上可以参照此权利来保护隐私,但这并不是法院作出判决的依据,因此隐私权在一定程度上得不到基本的保护。自2010年7月1日起施行的《中华人民共和国侵权责任法》(以下简称《侵权责任法》)对包括隐私权在内的一系列公民的人身、财产权利提供全方位保护,隐私权开始成为一项独立的具体人格权。
隐私权和个人信息权虽有交叉,但并不能等同。在网络时代发展之初,个人信息并没得到充足的发展,隐私权占据主流地位[7]。随着大数据时代的来临,隐私权本身的局限性以及频发的个人信息侵权事件,使得个人信息保护的重要性开始凸显。因此,加强对个人信息的保护,请求在法律上赋予个人信息权的呼声开始出现。
3.2、 个人信息保护立法的不足
相对于国外已制定统一完整的法律,我国保护个人信息的法律则比较零散,缺乏完整的法律体系。在我国法律法规检索系统上传的法律法规中,截至2019年12月,以“个人信息保护”为关键词的法律有宪法和法律45部、行政法规24部、地方性法律法规2587部、部门规章有45部、司法解释35部。地方性法律法规虽然占绝大多数,但效力层级低,规定不明确。
自改革开放以来,我国的个人信息保护一直处于可有可无的状态。个人信息保护的缺失除了民众的从众心理以外,也与国家对个人信息保护意识的重视程度不够有关。截至目前,我国的民主法治程度还不完善,与宪法有关的私权利尚未得到充分落实。
2015年《刑法修正案(九)》将出售、非法提供公民个人信息罪修订为侵犯公民个人信息罪。但是该法条仅仅适用于向他人出售或者提供个人信息的行为,对于不当泄露、毁坏、收集以及使用的行为却不适用。更有甚者,数据管理公司可以通过大数据的计算进一步推衍出新的甚至是敏感的个人信息。不难看出,实施到今日的《中华人民共和国刑法》对网络时代新型的侵权手段难以起到规制作用。
自2017年10月1日起实施的《中华人民共和国民法总则》(以下简称《民法总则》)第111条虽然规定“自然人的个人信息受法律保护”[8],但是概括式的语言表示,使得在缺乏明确的个人信息保护法的前提下,如何正确使用《民法总则》的规定去保护个人信息,仍然是一个亟待解决的问题。
不难看出,我国对个人信息的保护正处于基础阶段,所制定的法律尚不能适应大数据时代。
3.3、 个人信息保护立法的必要性
放眼国际,无论是欧盟还是美国甚至其他一些独立的经济体,都相继出台了个人信息保护的法案,特别是欧盟,更是出台了被称为史上最严的条令,使得个人信息保护在公民权利的地位中显得更加突出、更加重要。因此统一完整的个人信息保护法将会是未来国际经济合作中一项必不可少的考虑指标。
但是,我国至今仍未制定统一完整的个人信息保护法。没有统一的法律使得个人信息保护如同“空中楼阁”。在大数据时代,信息泄露事件数量逐渐增多,其造成的后果也愈发严重,现行零散的法律法规难以切实有效地遏制此类行为。若是企图进一步制止此类行为,统一的个人信息保护法不可或缺。因此,有必要将各个零散的法律法规甚至规章加以整合[9]。
个人信息保护在我国的立法条件是成熟的。我国目前的经济实力已经处于世界前列,经济发展速度也逐渐从高速转向中高速,政治体制改革逐渐深化,文化也愈发重要。政治、经济、文化三方面也对公民个人信息的保护提出了一系列的要求[10]。更何况,个人信息保护并不是要求“无中生有”,而是将已有的法律法规加以整合,以一部统一的形式表示出来以满足人们的需求。
4、 我国个人信息保护的立法建议
4.1、 明确个人信息收集的原则
在大数据时代的背景下,信息收集是不可避免的。应当在个人信息保护法中对信息收集权限加以规制,明确信息收集的基本原则。
(1)合法性原则。信息的收集、使用、保存都应该符合合法性原则。不论是信息收集目的、手段,还是最终信息保存和删除的途径都应该是符合法律规定的。
(2)知情同意原则。收集者在收集个人信息的时候,应当征求信息主体的同意,并且告知收集目的以及处理方式,让用户自己决定是否提供以及是否允许网络企业保存信息。
(3)明确目的原则。信息收集者并非无限制收集信息主体的信息。信息收集者不能毫无顾忌,必须具有确定的合法目的,并且收集行为应当具备必要性。
(4)妥善保存原则。信息收集者在征求信息主体的同意后,将收集到的个人信息予以保存,必须保证信息保存的安全性。信息收集者应当采取必要的手段,保障个人信息在收集、保存、传输和使用过程中,不会遭受到非法的篡改、使用和丢失。信息收集者在内部应当建立信息事故应急机制。
(5)信息公开、信息主体查询原则。信息收集者对于收集到的信息,应当公开信息收集目的、使用方式和使用期限,并且允许信息主体享有参与查询、修改甚至在经过相关管理层的同意后删除自己个人信息的权利。在信息保存期届满前,应该及时通知信息主体删除该信息的时间与方式,并作出不对该信息留存副本的承诺。
4.2 、明确个人信息权
《民法总则》只规定了法律保护公民的个人信息,却并没有将个人信息权加以描述。模糊的术语虽然是法律的立法技术,但是给公民保护个人信息权造成了一定的困扰。因此,有必要赋予公民具体的个人信息权。
(1)知情权。纵观世界各国信息保护的法律,无不将公民的知情权作为信息保护的首要前提[11]。知情权是宪法赋予公民个人的权利,也是公民能够行使其他权利的前提。个人信息的知情权应当始于政府、企业收集个人信息,终于其将收集的数据予以删除。知情权不限于信息收集者的名称、职能、收集目的以及信息可能被用于的范围,还应当包括信息主体对信息的保护手段和救济手段。其中最关键的,应当是信息主体对信息收集者保存数据的知情权。
(2)查询、修改和删除权。信息收集者在征得信息主体的同意后,将所收集的信息予以保存。与此同时,也应当赋予信息主体查询、修改和删除权。信息主体有权查询自己的记录信息,关注是否有误,并且在发现错误的前提下,有权更正错误的信息。删除权是指有权将之前同意保存、现在反对的信息予以删除的权利。
(3)反对权。信息主体不仅拥有对个人信息的同意权,更应该拥有反对权。在信息主体同意时,收集者可以收集信息。但在信息主体明确表示反对时,信息收集者应当及时停止,并将之前收集的信息予以删除。
(4)救济权。信息主体有权向侵害个人信息权者请求赔偿。与此同时,法律应当尽早明确将个人信息权作为民事权利的其中一种,方便信息主体向法院起诉。赔偿方式应当包括支付赔偿金、赔礼道歉等行为。
4.3 、设立监督机构
“有法可依”是“有法必依”的前提条件,“有法必依”是“有法可依”的必经之路。在统一个人信息保护法之后,必须要加强法律的实施,并且为公民进行个人信息保护维权增加必要的途径。由于个人信息保护案件集中发生于经济发达的地区,因此在法律适用前期,可以在这些区域加大监管力度,设立必要的监督机构。总结出经验,由小及大,逐步推广到全国,建立一个“全国统一,高效管理”的专门监督机构,对个人信息保护法的实施进行监督。
5、 结语
大数据时代对个人信息的保护提出了更高的要求。一部完善统一的个人信息保护法是对现行频发的侵害个人信息的行为最有效的规制手段。国家应当重视个人信息的保护,及时将个人信息保护法的整合制定提上日程,规范个人信息的收集和利用过程,特别是在网络这个信息泄漏的重灾区,通过法律赋予公民个人信息保护权,来对抗日益严重的侵权行为。随着中国特色社会主义法治社会的建设,公民的个人信息必将会得到愈发完善的保护。
参考文献
[1] 王茹仪.我国个人信息法律保护面临的困境与完善[J].网络安全技术与应用,2019(5):20-23.
[2] 宋亚辉.个人信息的私法保护模式研究:《民法总则》第111条的解释论[J].比较法研究,2019(2):86-103.
[3] 张小丰.互联网时代个人信息的侵权保护研究[D].苏州:苏州大学,2017.
[4] 沈逸.美国推进隐私保护立法加剧全球网络空间治理复杂性[N]. 21世纪经济报道,2019-02-20(4).
[5] 何玉颜.欧盟《通用数据保护条例》解读及其对我国个人数据保护的启示[J].图书情报导刊,2018,3(11):67-72.
[6] 孙泽龄.大数据背景下域外隐私保护法现状及对我国的启示[J].中国管理信息化,2019(10):209-210.
[7] 姬汶君,蒙晚月.个人信息权的民法保护研究:以个人信息权与隐私权的区分为角度[J].法制与社会,2019(11):39-40.
[8] 石昕弘,林蓝羽,程舒宁,等.探讨个人信息保护新路径:以《民法总则》第111条为视角[J].法制与社会,2019(13):36-38.
[9] 时怡.论个人信息的法律保护:以《民法总则》区分规定隐私权与个人信息权为背景[J].山东行政学院学报,2019(2):79-83.
[10] 靳炜钰.我国大数据背景下个人信息保护的法律研究[D].杭州:浙江大学,2018.
[11] 马纯鹏.我国公民个人信息的法律保护完善研究[D].南昌:南昌大学,2018.
