其他
中伦观点 | 大数据应用与个人信息保护的平衡考虑
大数据的特性决定,大数据应用的发展以数据的充分流动、获取和利用作为基础。 为了满足大数据流动性的要求,贵阳也于二O一五年四月在国内成立了首家大数据交易所,面向全国提供数据交易服务。
但是,作为信息技术发展的另一面,我国个人信息滥用问题也日益突出,个人信息的滥用主要表现在以下的几个方面:
以上可以看出,大数据应用需要保持数据的充分流动性,而信息社会对个人信息保护提出了更高的需求,需要防止个人信息的滥用。在两者诉求间如何寻找适度的平衡点,对立法者提出了挑战。
国内对网络隐私权的广泛关注和讨论发端于“王菲诉张乐奕侵犯名誉权案”((2008)朝民初字第10930号)。此案被广大的网民称为“人肉搜索”第一案,之所以如此受到社会关注,概源于以下的原因:
(二)立法滞后,法律没有给公众、网络行政管理者和司法机构树立一个明确的隐私权保护规范;
(三)中国隐权保护传统缺失与信息社会对隐私权保护的强烈要求之矛盾日益突出。
显然上,隐私权与名誉权的外延与内涵都不尽一致。 司法解释在此问题上的不一致,恰恰反映了司法解释制定者的困境和矛盾:司法解释应当源于法律,因此,司法解释所提及的“隐私权”必须在法律上找到根基;同时,司法解释要呼应社会发展的需求,把隐私权保护单独和明确地体现到司法解释中。
而在法院的判决中,是对隐私权和名誉权作了明确区分的。判决认为,隐私一般是指仅与特定人的利益或者人身发生联系,且权利人不愿为他人所知晓的私人生活、私人信息、私人空间及个人生活安宁。而在法律适用上,法院依据《中华人民共和国民法通则》第一百零一条之规定作出判决,又把隐私权归入名誉权的范畴。
2009年制定的《刑法修正案(七)》,明确规定了 “出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”。事实上,《刑法修正案(七)》对于打击严重的个人信息犯罪行为起到了很大的作用,有一些金融、电信等具有公共服务职能的单位的工作人员应此而获刑。
2009年12月颁布的《侵权责任法》第一次在法律中引入了隐私权的概念,虽然没有具体规定隐私权的内涵和外延,但把它作为一项公民基本权利规定出来。
2012年12月全国人大常委会表决通过《关于加强网络信息保护的决定》,从立法的层面上对能够识别公民身份和涉及公民个人隐私的电子信息进行保护,具有宣示性的意思。该决定规范了网络服务提供者和其他企事业单位使用、收集、保密、管理公民的电子信息的行为,并明确了公民有拒绝接收垃圾信息的权利,在侵权行为发生时,公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。
2014年6月最高人民法院发布《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,第十二条规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。该条款用列举的方式试图框定个人隐私和其他个人信息的外延。
2015年8月全国人大常委会通过《刑法修正案(九)》,与《刑法修正案(七)》相比,对个人信息的保护进行了增强。 变化之一是犯罪主体身份一般化,《刑法修正案(九)》将个人信息保护的两罪名的犯罪主体扩大为一般主体及单位;变化之二是获取方式不限,对于通过履行职责或者提供服务以外的其他方式合法地获得公民个人信息后,又将该信息出售、非法提供给他人的行为,纳入到刑法的打击范围;变化之三是最高刑提高至七年,加大了处罚力度。
除以上的立法之外,工信部还依据《关于加强网络信息保护的决定》制定了《电信和互联网用户个人信息保护规定》的部门规章,规范电信和互联网领域的个人信息保护。 《个人信息保护指南》是我国首部个人信息保护国家标准,属国家标准“指导性技术文件”,对利用信息系统处理个人信息的活动起指导和规范作用,目的是提高企业个人信息保护技术水平,促进个人信息的合理利用。
从以上的梳理可以看出,对于个人信息的保护,我国缺乏系统性的立法,以碎片化立法为主。更为重要的是,关于个人信息权利的本质属性,其权利范围,以及和隐私权的关系,都没有明确的法律规定。司法过程中,亦不能获得统一的尺度。 比如北京百度网讯科技公司与朱烨隐私权纠纷案((2014)宁民终字第5028号)中,一审和二审法院就使用cookie软件收集的用户上网信息是否为个人信息,侵犯个人信息隐私是否仅限于将信息加以公开,使用cookie软件收集个人用户信息是否存在某种告知即可等问题观点明显不同,判决也在学界和业界引起巨大的争议。
最能体现欧盟对个人信息保护司法态度的一个案例,是2011年发生在西班牙关于“被遗忘权”的案件。原告通过使用谷歌搜索发现,自己早年因财务窘迫被法院强制出售财产的新闻仍然在网络传播,遂将新闻原发网站的主办者《先锋报》和谷歌告上了法庭,案由是《先锋报》和搜索引擎侵害了原告的隐私权。法院最终以新闻自由认定《先锋报》不承担责任,而谷歌作为搜索引擎不能以新闻自由而豁免,为了保障公民的被遗忘权,谷歌应该承担删除责任。
经常引起互联网业界观察和思考的一个问题时,欧洲为什么没有世界级的大的互联网公司的产生,除其它原因之外,欧洲对信息技术和互联网不宽容的法律环境,或许不适合互联网公司的成长和生存。
作为基础性的个人信息保护法律,欧洲议会制定的《保护自动化处理个人数据公约》(Council of Europe: Convention For the Protection Of Individuals with Regard to Automatic Processing of Personal Data)对个人信息保护规定了八项原则:
第二,只有为特定的、合法的目的,才能持有个人数据;
第三,使用或透露个人数据的方式不能与持有数据的目的相冲突;
第四,持有个人数据的目的本身,也必须中肯,不显得过分;
第五,个人数据必须准确;对于需要以最新材料存档的那些内容来说,还必须不陈旧、不过时;
第六,如果持有某些个人数据要达到的目的是有期限的,则持有时间不得超过该期限;
第七,任何个人均有权在支付了合理费用后,向数据持有人了解有关自己的信息是否被当作个人数据存储;
第八,必须采取安全措施,以防止个人数据未经许可而扩散、更改、透露或销毁。
美国于1974年通过的《隐私权法》,考虑到政府是个人信息收集和利用的最主要的参与主体之一,该法成为美国行政法中保护个人隐私的重要法律。《隐私权法》对政府机构收集、使用、公开个人信息和个人信息保密制定了详细的规范,明确“隐私权为联邦宪法所保障的基本人权”。 美国在一些比较敏感的领域,如儿童信息、医疗档案、金融数据等,采取分别立法的方式保护个人信息,如《消费者网上隐私法》、《儿童网上隐私保护法》和《电子通讯隐私法案》等。
在个人信息保护的实现路径上,美国更愿意鼓励采取政策性引导下的行业自律模式来实施,国会立法只起到补充和辅助作用。目前来看,行业自律方式主要包括建议性的行业指引、网络隐私认证计划、技术安全模式和安全港模式等。
一方面,个人信息的保护无章可循,商家对个人信息的收集和使用等没有明确的法律边界,造成个人信息滥用日益严重,更甚者,社会上形成了个人信息非法交易的链条。在这样的环境下,人人成为“透明人”,个人生活的私有空间经常被打扰, 非法获得的个人信息被用于诈骗等非法目的也屡见不鲜。从公众利益角度出发,有一部保护个人信息的法律,在个人信息被侵犯时,能得到法律的有效救济,才能使得个体在信息社会中获得安全感,不会对信息技术和大数据产生抗拒感。这也是大数据能够得以健康发展的社会基础。
另一方面,对于大数据应用和产业而言,明确的法律边界也至关重要。 传统产业向互联网+的转型过程中,通过大数据的收集和分析能够实现精细化的市场定位和精准营销,有助于其竞争力的提高;对于大数据产业本身,其存在的前提条件就是能够持续获得作为“原材料”的流动性的大数据。但是,目前产业界普遍的困境是,在有限的、模糊的关于个人信息保护的法条下,如何构建合法的商业模式、控制法律风险显得非常困难。比如说,大数据公司经常会利用到个人信息“脱敏”的技术手段,也就是把个人信息中敏感的信息掩盖或删除,希望能否通过“脱敏”规避侵犯个人信息的法律风险。但是,关于“脱敏”的程度和标准及法律风险的判断,由于缺乏法律指引,也因公司而异。
明确个人信息权利的私权性质,另一方面而言,意味着不必要在法律中设置过多的强制性的规定,而应当以补充性规定的方式来弥补当事人未作出约定情形下的权利义务安排。比如我们常提到的欧盟的“特定和合法目的原则”,也就是说信息收集方只有为特定的、合法的目的,才能收集和持有个人信息数据。可以试想一种情形,消费者基于对商家的信赖关系,明确允许商家将其收集的个人信息用于未来的、不特定的产品和服务,即使不符合特定目原则,又何尝不可?
在《网络安全法(草案)》中,引入了关键信息基础设施的概念,国家对关键信息基础设施实行重点保护。关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。我们认为这种设定是适当的,兼顾了信息流动和国家信息安全的考虑。
业务领域:知识产权,反垄断与竞争法