摘要:随着信息技术和数字经济的快速发展,大数据已逐渐成为一项对个人信息挖掘的“工具”。在大数据的时代背景下,因个人信息的不当收集以及滥用等相关问题的频繁出现,这使得对于个人信息的立法保护成为必然要求。近些年来,我国立法在个人信息保护问题上也在逐步完善,但各部门立法还相对分散,仍然存在法律体系的不统一和不健全,立法、监督和技术也存在一定的实际困难。面对各种新情况的出现,理应充分借鉴国外的先进经验去建立起一套专门性的个人信息保护制度,以此形成一套全方位的“综合治理模式”,去面对数据挖掘、商业智能带来的挑战。
关键词:大数据;个人信息;信息安全权;数据保护
一、大数据时代个人信息保护制度面临的形势与挑战
随着移动互联网各项技术的发展,个人数据也逐渐成为互联网企业发展的重要资源之一。然而正是这些庞大的数据“宝藏”,为企业的迅速发展带来“石油先机”的同时,个人数据的滥用也变得日渐猖獗,“黑市交易”便有了生存的土壤。在现有的法律体系下,个人数据信息的保护并不是“法律真空”,虽然我国目前还没有正式出台个人信息保护法,但相关的法律法规仍然存在,且相关的信息保护也已经逐渐开始完善。一方面,对于个人信息的保护意识逐渐增强,从过去对隐私保护到人格自由和人格尊严的全面转变。另一方面,用户信息权的内容也在扩大,在《网络安全法》中增加了新的权利,如删除权和纠错权。然而目前个人信息保护中最突出的问题在于各项大数据产业蓬勃发展却依旧无法满足个人信息保护的需要[1]。
(一)现行法律保护的滞后性。首先,关于个人信息的规制一直采用“知情-同意”的保护模式,但在数据时代隐私侵权问题已经从原本的单一使用问题扩展到信息数据的“二次使用”。即侵权主体、方式和适用范围都发生了显著变化。侵权主体不仅仅是网络服务提供者和其他的互联网用户们,还出现社会商业网站和其他平台的数据处理公司等。侵权方法也已从直接侵犯个人信息转变为用户信息的“二次使用”。此外侵犯个人隐私的“二次使用”的动机也不同于传统上对个人隐私进行报复,现在还包括了通过数据分析和处理获得的商业价值的经济动机。因此,我国的信息保护法需要进一步完善,以适应时代的新变化。传统的隐私保护策略显然已经不能适应当今时代的需要。其次,在大数据挖掘与多方企业利益抗衡的今天,企业间对于个人信息数据的连接日渐频繁,保护个人信息不仅成为企业的发展优势更是一项社会责任。但我国却尚未形成有关互联网服务提供商相关的法律责任机制,这是发挥数据业者保护个人信息能动性和积极性的关键。最后,有关信息保护的实体法规定因太过原则性而不够具体明确,可操作性仍有待加强。《民法典》第一千零三十四条第一款规定:“自然人的个人信息受法律保护。”同时《民法典》中还规定了关于个人信息界定的内涵和外延,适用于“可识别”作为其判断个人信息的标准。可见在现代信息社会中,获得个人信息的权利逐渐被立法者视为一项重要的人格权利加以保护。《民法典》第一百二十七条还对“数据”进行了概括性保护,弥补了我国法律对虚拟财产的保护的不足,但却留下了关于个人信息数据等虚拟财产保护具体的法律空白。新《反不正当竞争法》第十二条作为“互联网专条”,其中增加了互联网领域的特殊规定,但或许在大数据背景下能真正发挥作用的仅有第四条款的兜底条款了。
(二)网络监管的缺失。政府治理在法律保护中发挥着不可或缺的作用。但是,目前的行政管理存在一定的问题。首先,监管机构不明,没有权责清晰的管理机构并作为专门的监督机构。其次,监管标准不具有强制性,相关指导性技术文件因不具有较强约束力而在信息保护监管问题上缺乏完整标准的严格性保护,如《信息安全公共技术及商用服务信息系统个人信息保护指南》(2013)。最后,监管措施的非严格化程度导致大量样本统计数据偏离真实的个人信息,影响个人形象的错误结论。此外,资料垄断者与个人之间缺乏对个人隐私资讯的严格管理,也会造成一些资料垄断者利用个人资讯进行预测、广告服务及个人服务,个人只能被动地接受垃圾广告,无用信息的干扰无疑会严重影响生活和工作的秩序。从实践来看,国家机关以及承担法定职责的工作人员在履行职务的过程中也会收集到更多的个人信息,这对在法律上确保其承担一定的保密义务具有一定的现实意义。因此,《民法典》第一千零三十九条就规定了有关国家机关及其工作人员需要注意的保密义务。但本条却未规定违反保密义务所带来的法律后果,若结合《国家赔偿法》相关规定自然应承担一定的责任后果。
(三)技术手段的落后。良好的技术手段能够有效保护信息安全,防止信息泄露的经常性非法破坏。但一方面,我国目前的技术手段对保护个人信息还十分有限,不能完全适应保护个人信息安全权的技术需要。企业在保护个人信息提供的管理上、技术上或物理上的安保措施也十分有限,未能对个人信息安全威胁的可预见性以及技术措施的有效性提供高效的监测运行。另一方面,企业在技术保护方面的自主创新仍然停滞不前,再加上缺少资金的投入也难以让技术的发展超前。要想让企业在技术的支持下进行新一轮发展,获取更多的外在优势,更应该利用先进技术首先保护用户的利益。
(四)行业内部自约力欠缺。行业自律是信息保护的关键。许多个人信息的搜集挖掘等都需要网络中介来完成,信息挖掘和商业智能让收集的数据还原并预测个人生活状态,这样形成的个人隐私会曝光在网络之下,例如不道德的“人肉搜索”。某些企业还为了获取较大的经济利益专门通过泄露、交易买卖等行为获取企业发展先机。加之行业内部并没有严格的管理机制与处罚规定,在没有严格约束力的情况下,企业违法行为怅然而生[2]。
(五)个人信息保护意识的缺乏。个人信息被泄露以及滥用的情况很重要一个原因还是自身对于网络信息安全意识不够警惕。网络用户在平时生活中会不加防范地随便输入个人信息后也没有安全保护和删除相关信息,无意识地便将信息泄露出去。用户们在处理个人信息的社会事务时,也没有约定相关的保密义务。即使日后发现个人信息泄露,也会因为取证困难或者维权成本太大等原因不愿维权甚至无法维权。在个人信息的性质上,我国立法部门对此权利性质也在不断深化,明确了个人信息保护对维护人格尊严具有重要现实意义,其作为一项重要的人格权利,不容忽视。[3]
二、我国个人信息保护制度的完善
当今世界,数据安全问题已经受到了各国的极大关注,我国也相继出台和颁布了《电信和互联网用户个人信息保护规定》以及《网络安全法》,但专门性的《个人信息安全保护法》却尚未出台。在大数据发展的背景下,个人信息的保护问题还有待在实践中得到进一步检验。
(一)立法的价值取向应充分考虑价值平衡。我国的保护价值取向应在不同主体之间寻求平衡,即保护个人权益和行业发展之间的平衡,公共和私人权利之间的平衡以及法律和技术之间的平衡。首先我们应该对个人数据的认识保持理性的态度。它不仅具有人格权,它也是一种社会经济资源,作为数据挖掘技术与数据分析上被商业利用。其次,我们需要正确对待权利保护与权利限制间的关系。保护个人信息立法的核心就是权利的保护,但倘若过分强调权利保护一定程度上会抑制数据流动的机会,以此加大商业成本,抑制了商业的发展。因此对于权利的限制应作为对权利保护的补充,并应根据“案件平衡”原则加以减损[4]。
(二)确立个人信息保护的单独立法模式。迄今为止,世界上大多数国家都对个人信息进行单独立法,但是,我国没有关于个人信息的专门立法,且在数据时代国际上普遍对个人信息保护问题专门立法趋势的背景下,以及面对人工智能的变动性与不确定性,我国也应该尽快制定符合我国国情的一套立法模式。笔者在此建议我国应倾向于欧盟的统一模式立法,在此基础上结合美国的以行业自律的方式分散式立法。原因在于:第一,欧盟和我国同属于大陆法系国家,在法律制度上与我国有一定的兼容性,很大程度上可以为我国提供借鉴。第二,对比美国而言,它的行业组织较为发达,这种较为发达的行业组织之间的频繁互动也能衍生出更多行业自律。与之相反我国的行业体系不具备这样强大的影响力与行业类别,可见在各个领域分散立法与我国国情并不相融。当然为鼓励创新与引导行业自律,也应适当给予行业自我约束的效力,使其成为立法的有益补充。第三,我国对个人信息的保护受一系列法律的分散制约,包括民法、刑法、行政法和相关程序法中都有关于保护个人信息的特殊规则,但这只是问题的一个方面。如何在法律上保护这种数据信息的新型资产,如何界定其权利的归属等相关问题都是值得关注并尽快解决的一系列重要问题。因此,就很难通过各种分散法律进行调整,在实践中也容易出现法律保护的漏洞,所以理应出台一部专门的《个人信息保护法》。
(三)完善个人信息保护的相关立法。建立我国个人信息保护的立法价值取向和立法模式后为了更加完善我国的信息保护问题,还应该从实践中发现问题并不断进行完善。因为我国的个人信息保护立法不仅要以“静态”来进行规制,还要加强“动态”监管明确其义务。1.明确用户协议在信息保护中的法律地位在互联网环境下,用户们和供应商之间法律关系的基础便是用户协议。但长期以来用户协议的重要性一直被网络用户们忽视,面对协议的冗长性和不可修改的文本对用户来说几乎都是不利的。用户直接会点击“同意”,这种草率的态度给争议的解决留下了巨大的隐患。与此同时随意变更用户协议的文本已经成为行业常态,在协议中甚至会将这种随意变更的权利明确规定,对于要接受这份协议的用户来说这显然是有失公平的,会让整份协议的效力大打折扣。因此用户协议作为互联网时代企业合作的法律基础,就要足够重视起其作用。2.创新“知情同意”原则的隐私保护模式为了满足企业发展的实际需要,用户的知情同意规则应向数据处理者或数据收集者对不当使用行为承担责任的方向延伸。首先,面对陌生和冗长的隐私协议,专业人士需要就私人和公共利益提供标准化建议。具体来说,立法者及产业界应发挥自身专业优势,将数据处理过程中的适用问题进行归纳总结,再提出明确的具体化要求,以规范企业故意或恶意不履行或不完全履行告知义务的行为。其次,要加强对知情同意原则的使用范围,授权必须是明确且科学的,授权条款写得不清楚,即便消费者同意,也不能认为是获得了授权。在世界范围来看,美国模式采用“未反对即视为同意”的做法,欧盟的一般数据保护条例中采取“未明确授权即视为拒绝共享”的授权模式。我国在此并没有明确规定,所以建议授权也必须是明确的才能视为同意。3.加强网络服务商对个人信息的保护首先给予网络服务者们收集权利的同时也应该加强限制收集的对象范围。不同的数据收集行为和数据收集的不同对象范围都要做出相应限制。同时对收集数据信息的方式和方法也应遵循最小化利益。其次实施好个人信息的安全保护措施,可提前对个人信息进行风险评估,之后根据评估显示的风险等级采取适当级别的保护措施。同时可建立起个人信息的披露报告制度,要求网络运营商们在个人信息泄露时及时履行好对监管机构的报告义务,泄露情况可能对信息主体造成一定损害。
(四)加强对个人信息的外部保护。首先,行政机关可通过规范运营商收集、保存、使用和传输用户个人信息的行为进行监督整改,还可通过评估和宣传形成一定的社会示范效应,以此推动整个行业的个人信息保护水平。面对数据商业化的违法行为,可加大行政处罚力度,建立宣传制度,对列入“违法行为黑名单”的违法企业进行通报并处罚。其次,在民事诉讼上规范建立被告的举证规则,在运用新技术的合理商业竞争行为中首先应推定具有正当性,反之运用技术的不正当竞争行为则需要证据加以证明。另外不能确定侵权标的,应当由控制人和处理人对侵权行为承担连带责任。总之,未来的数据信息治理仍然需在“摸着石头过河”中循序渐进,只有等到时机成熟与经验丰富之后,我国的立法才会完善。未来我国数据信息保护也应强调多元平衡。在大数据发展的浪潮中,应积极学习国外的成功经验模式,勇于探索出符合本国国情的治理模式。只有重视个人数据信息的保护,加快立法进程,才有利于个人信息安全,也会更有利于国家的安定与团结。
参考文献:
[1]王银银.论个人信息网络侵权的法律保护[J].法制与经济,2017(02):72-74.
[2]钱静,张世文,宋禹侨,何天慈.网络空间的个人信息法律保护路径研究[J].辽宁教育行政学院学报,2016(06):13-15.
[3]汤秀斌.浅谈网络信息安全法律制度系统化建设[J].法制与社会,2016(27):207-208.
[4]潘泽,李维杰.浅谈个人信息网络安全的法律保护[J].劳动保障世界,2016(11):79+81.
作者:雷婧 单位:吉首大学
