个人信息网络侵权的形式及治理策略
2014-08-08赵静
基金项目:本文系南京大学研究生科研创新基金项目“电子商务环境下网络隐私体系的可用性及隐私冲突协调机制研究”(项目编号:2013CW11),河南省科技厅软科学研究项目“电子商务环境下隐私冲突协调机制研究”(项目编号:132400410794)研究成果之一。
作者简介:赵静(1978-),女,讲师,在读博士,研究方向:信息经济学、电子商务。·理论探索·
〔摘要〕个人信息网络侵权主要有个人信息的不当收集、个人信息的不当利用、个人信息的不当管理3种形式,可以通过“加强宣传教育,提高个人信息保护意识,营造尊重个人隐私的社会氛围”、“制定可操作性强的政策和法律,规范网络业者的行为”、“开展标准制定和隐私认证,实施行业自律”、“实施多方监管,提高个人信息网络侵权成本”及“积极运用技术手段,防个人信息网络侵权于未然”等多维途径进行治理。
〔关键词〕个人信息;网络侵权;侵权形式;治理策略
DOI:10.3969/j.issn.1008-0821.2014.03.007
〔中图分类号〕DF5〔文献标识码〕A〔文章编号〕1008-0821(2014)03-0029-03
Online Infringement Forms and Government Strategies of Personal InformationZhao Jing1,2
(1.School of Information Management,Nanjing University,Nanjing 210093,China;
2.Zhengzhou Institute of Aeronautical Industry Management,Zhengzhou 450015,China)
〔Abstract〕Online infringement of personal information mainly included three forms:improperly collecting personal information,improperly using personal information,and improperly managing personal information.You can govern online infringement of personal information through multi-dimensional approaches:enhancing the protection awareness of personal information and creating a social atmosphere of respecting for individual privacy by strengthening publicity and education,developing workable policies and laws to regulate the behaviors of the network industry,conducting standards and privacy certification to implement industry self-regulation,implementing multi-supervision to improve the online infringement cost of personal information,and actively using technical means to nip online infringement of personal information in the bud.
〔Keywords〕personal information;online infringement;infringement form;government strategy
Internet的快速发展和普及极大便利了人们信息获取和交流,电子商务的应用使得消费者足不出户即可购买各种产品。网络带给人们便利的同时,个人信息网络侵权现象却愈演愈烈,强大的人肉搜索、频发的网络安全事件、网络商家与消费者的冲突等使很多以往并不易为他人所知的各种个人信息通过网络在本人不知情的情形下泄露出去,个人信息时刻面临着被侵犯的危险。2011年12月,知名程序员网站CSDN的600余万用户数据库被泄密;随后,人人网、猫扑、天涯社区等网站的部分用户数据库也被传到网上。个人信息网络侵权已成为目前个人信息侵权最常见的方式,可能给权利人造成精神上或财产上的损失,甚至危害个人生命安全[1]。随着互联网的广泛普及和信息通讯技术的飞速发展,个人信息网络侵权的方式日趋复杂和多样化。
个人信息网络侵权事件的不断涌现使得个人信息网络侵权也逐渐引起了学术界的关注。在文献调研中,陈癑[2]提出过度收集、错误收集、个人信息的传输和交易、二次开发利用4种方式,并主要从法律角度分析这些方式对个人信息权的危害。徐敬宏、文利民[3]将电子商务中的个人信息侵权划分为信息被非法收集和非法利用两种;又将非法收集分为未经许可而搜集、欺骗性地搜集和向有关机构或公司购买3种,非法利用细分为将其所收集的信息用于别的用途和非法转让或出售个人信息两种。
由前述可知,与个人信息网络侵权事件日渐增多、侵权方式多样化和复杂化的趋势相比,个人信息网络侵权形式的研究明显偏少。因此,本文拟系统梳理个人信息网络侵权形式,并在此基础上探寻个人信息网络侵权的治理策略。
1个人信息网络侵权的形式
个人信息主要有两类:一是标识个人自然属性的信息,如性别、肖像、指纹等;二是标识个人社会属性的信息,这类信息又主要包括:①个人学习、工作和生活的信息,如学习成绩、电话号码、住址等,②个人资产及信用信息,如个人收入、信用记录等,③与网络有关的个人信息,如网上活动踪迹、电子邮箱地址、网络上的各种帐号密码等[4]。个人信息网络侵权主要涉及第二类标识个人社会属性的信息,特别是与网络有关的信息。
11个人信息的不当收集
个人信息收集是网络业者从储存有个人信息的数据库以及网络中提取和收集有关个人信息的过程。个人信息的不当收集未必一定会对个人造成侵权后果,但它侵犯了网络用户对其个人信息的控制权和支配权,极易带来安全隐患,是非法处理和利用个人信息的源头。
111非授权访问路径跟踪
非授权访问路径跟踪是指,网络业者未经过访问者同意,通过追踪软件对访问者IP、ID及访问路径等进行监控,跟踪访问者的网络行为、消费习惯等。商家通过追踪消费者的网上行为,可以了解其个人兴趣及偏好,从而展开有针对性的广告和营销业务,如2012年谷歌绕过苹果公司Safari浏览器的隐私设置而收集用户的上网信息,利用Cookie文件,记录Safari浏览器用户的上网历史和习惯,并据此展示针对性的广告,该行为最终被美国联邦贸易委员会处以2 250万美元罚款。而一些非商业性的路径跟踪,也可以造成个人隐私的泄露,给个人带来严重的精神上的压力。
112恶意攻击获取信息
endprint
恶意攻击获取信息是指,网络业者通过被动攻击或主动攻击有计划地监听、偷窃个人信息。被动攻击在不影响网络和计算机系统正常工作的情况下,监听网络传递的各种敏感信息并对之进行分析,在此基础上确定具体攻击目标及攻击策略、展开主动攻击获取用户信息。钓鱼网站、特洛伊木马、软硬件供应商的后门等都是恶意攻击者进行攻击时常用的手段。中国反钓鱼网站联盟2013年的最新统计数据显示,8月份共处理钓鱼网站7 313个,截止8月份累计认定并处理钓鱼网站136 194个。
113过度收集个人信息
过度收集个人信息是指,网络业者超出其收集目的范围,过量收集他人信息。在网络环境下,受商业利益的驱使,很多网站在用户进行注册时,设置的必填项目超出其目的范围,大量收集用户信息。同时随着移动互联网应用的发展,许多基于GPS的个人位置信息被搜集;基于手机通讯录的即时通讯软件使得很多亲朋好友的手机号码等被收集。目前很多手机应用程序APP过度搜集用户个人信息已是业内共知的秘密。
12个人信息的不当利用
网络业者通过合法途径收集的个人信息是其市场竞争和盈利的重要资源,可以利用这些个人信息进行产品或服务的个性化,实施个性化推荐、定价和服务,增加客户的忠诚度[5]。但是,这些个人信息一旦被不当利用,其后果轻则是信息主体经常受到推销广告的困扰,重则甚至会危及信息主体的个人财产甚至生命安全。
121个人信息的买卖和利益交换
在互联网产生之前,个人信息买卖和利益交换现象已经存在;随着互联网的发展,个人的消费偏好、网络行为记录、电子邮箱地址等成为个人信息买卖和利益交换的重要对象,传统的个人信息买卖和利益交换也借助互联网愈发便利和隐匿,造成的侵害程度更深,影响范围更广。网络环境下个人信息买卖的方式有:售卖邮件搜索引擎,以网络论坛、即时通讯工具等为媒介发布个人信息买卖广告,建立网站买卖个人信息网站;而个人信息利益交换最常见的方式是网络业者与其他公司共享用户信息。
122利用个人信息恶意骚扰或犯罪
这种情况主要出现在社交网站、购物网站及寻人网站中,一般情况下不涉及商业目的。社交网站上本应受到保护的个人注册信息,在当事人无法预知、不受欢迎的范围内传播,如Facebook就发生了多起用户被骚扰的情况,国内的社交网站上此类情况也经常发生;购物网站上,卖家掌握了大量的买家信息,如果买家给了卖家“差评”或“中评”,有的卖家就会利用掌握的买家个人信息威胁甚至实施骚扰行为,淘宝的“大便门”、“寿衣门”事件即是典型;寻人职能网站上留下的个人联系方式也成为一些人进行骚扰、推销、诈骗的重要信息来源。
123不正当的技术分析
不正当的技术分析主要表现为利用数据挖掘工具、人肉搜索等对个人信息的分析整合。用户在网络上零星的、分散的个人信息都可能被应用于数据挖掘,形成比较完整的个人信息,从而可能对用户造成威胁[6];尽管数据挖掘在作为商家营销工具时这种工作未必是非法的。而备受争议的人肉搜索不但侵犯个人信息,同时还存在许多其他的法律问题。它使得手机号码、家庭住址、家庭成员状况等大量私人信息被公布在网上,有的被搜索对象因此接到大量骚扰电话或被周围人群鄙夷,学习工作生活受到极大干扰。曾闹得沸沸扬扬的反人肉搜索第一案——“姜岩死亡博客案”最终以两网站侵犯原告(姜岩的丈夫)隐私权和名誉权而告终。
13个人信息的不当管理
网络业者对通过正常途径合法获得的个人信息具有防止其泄露的管理责任。但有些网络业者因为意识、技术或管理上的安全保护措施不善,没有尽到应尽的个人信息保护义务而致使个人信息泄露。这既可导致网络业者商业秘密的曝光,更重要的是侵犯了用户个人信息或为侵犯用户个人信息提供了便利。一些个人信息泄露均与网络业者个人信息管理不当有关。例如,程序员网站CSDN的600万注册用户信息泄露与该网站明文存储账号和密码有密切关系,一些用人单位因缺乏个人信息保护意识,在网站上公布考试成绩的同时公布考生身份证号码,谷歌地图街景服务因涉嫌侵犯无线网络用户的个人信息及披露街景中的个人信息,而在韩国、法国、意大利等多国当局对此展开调查,其中法国向谷歌开出了10万欧元的罚单。
2个人信息网络侵权的治理途径
21加强宣传教育,提高个人信息保护意识,营造尊重个人隐私的社会氛围网络用户个人信息保护意识不强、社会缺乏尊重个人隐私的氛围是个人信息网络侵权频发的重要原因。可以通过电视、报纸、杂志、广播、网络等多种媒体手段,加大个人信息保护的宣传力度,相关部门可以联合学校、社区、企事业单位开展个人信息保护的教育和培训,提高个人信息保护意识,营造尊重个人隐私的社会氛围。网络用户在网上进行注册、交友、购物等行为时应提高信息保护意识,仔细阅读网站的隐私保护政策、留意网站的隐私保护设置,不随意公开个人信息;网络业者要提高道德素养和法律意识,避免不当收集、利用、披露个人信息。
315晚会作为亿万消费者信赖的舆论阵地,在2013年就曝光了网易等通过邮箱Cookie收集用户隐私及包括高德地图等在内的安卓系统手机软件严重窃取用户隐私的事件,在全国范围内引起了包括移动网络用户在内的广大网民的关注。
22制定可操作性强的政策和法律,规范网络业者的行为在有大量数据累积可形成很多个人文档的网络环境下,有效的个人信息政策和法律对防范和处理个人信息网络侵犯是非常必要的[7]。欧盟是通过立法保护个人信息的典范,制定了完善的个人信息保护政策和法律。1995年欧盟制定了《数据保护指令》,2002年又公布了《隐私与电子通讯指令》,并于2012年提出对《数据保护指令》进行修改更新。
目前,我国对个人信息网络侵权的政策和法律规范主要散见于宪法、刑法、民法、侵权责任法、行政法等,同时还有一些行政法规、部门规章及地方性的法规也适用于个人信息网络侵权的处理,如《全国人大常务委员会关于维护互联网安全的决定》、《互联网医疗保健信息服务管理办法》、《网络商品交易及有关服务行为管理暂行办法》、《上海市促进电子商务发展规定》等。我国还没有专门的个人信息保护法,2003年起部署起草的《个人信息保护法》还没有出台。学者建议以民法典和单行法的二元立法模式来对个人信息进行保护[8]。
23开展标准制定和隐私认证,实施行业自律
由于网络环境的动态性和复杂性、个人信息网络侵权的隐蔽性,个人信息网络侵权主要依靠政策和法律规范有其局限性。在对个人信息网络侵权利用法律政策进行规范的同时,应积极探索行业自律模式,设立独立的非盈利性的认证机构,在行业内设立统一的个人信息保护原则,加强行业自律。网络业者要严格自律,合理区分用户的一般信息和敏感信息,恰当地收集、利用和披露个人信息,不断开发和应用有效的信息安全技术,切实保护网络用户的个人信息。
行业自律可采用两种模式:建议式指引和网络隐私认证。美国是实施行业自律主导的典范,有许多个人信息保护组织发放隐私认证标志,最有名的是TRUSTe和BBBonline[9],还有一些建议式的行业指引如美国在线隐私联盟指引OPA;欧盟虽然在个人信息保护方面以法律为主导,但也在积极实施行业自律,如EuroPriSe的欧洲隐私标志(EPS);还有日本的P-MARK认证也广为熟知。在我国,2007年大连软件行业协会最早推出了PIPA认证,2013年开始正式实施的国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(GB/Z 28828-2012)作为建议式指引为网络业者进行个人信息保护提供了指导。
endprint
24实施多方监管,提高个人信息网络侵权成本
行业自律可以通过行业内部的自我规范和自我约束来保护用户个人信息,但是以行业利益为出发点的行业自律在实施中仍然存在诸多问题。一方面网络业者进行隐私认证是自愿的,即便通过了隐私认证仍然出现大量侵犯用户个人信息的案例;另一方面建议式指引的标准也只是指导性而非强制性的。因此,在加强行业自律的同时,政府、隐私认证组织、社会媒体及网络用户应监督网络业者有关个人信息的行为,多管齐下,提高个人信息网络侵权的成本。政府相关部门可以成立专门的个人信息保护组织,如欧盟的第29条数据保护工作组等,监管个人信息侵权事件,加大个人信息网络侵权的惩罚力度;隐私认证组织在授予网络业者张贴隐私认证标志后要对其进行持续深入监控,而不是走过场的简单审核,发现违规情况及时调查处理,甚至撤销张贴隐私认证标志;社会媒体对网络业者的个人信息侵权行为要及时揭露、报道、评论或抨击,发挥舆论监督的功能;网络用户发现个人信息侵权要及时与网络业者沟通、与媒体交流甚至向政府举报。
25积极运用技术手段,防个人信息网络侵权于未然信息技术发展为网络用户保护个人信息带来了前所未有的技术手段。很多组织和研究者致力于网络信息安全工作,开发出了许多技术工具保护网络用户的个人信息,防止用户的个人信息被非授权的跟踪和恶意攻击获取用户信息。网络用户及网络业者可以积极运用这些技术工具,将个人信息网络侵权扼杀在摇篮之中。网络用户可以利用匿名软件、Cookie抑制器、隐私偏好的设置、伪装软件等防止非授权的跟踪,使用加密软件、过滤软件、杀毒软件和防火墙等,并对其不断升级更新防范恶意攻击获取用户信息;网络业者也可以利用入网访问控制和身份鉴别技术、加密技术、杀毒软件和防火墙、IP禁止等防止搜集到的个人信息被攻击和偷窃。
总之,随着包括移动互联网在内的网络应用的普及,个人信息在网络上面临的侵权风险越来越大。而个人信息网络侵权的治理涉及到国家、社会、组织和网络用户等多个方面,应从多个维度加强对个人信息的保护,遏制个人信息网络侵权事件的发生。
参考文献
[1]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013,(4):69-79.
[2]陈.网络环境下个人信息隐私权的侵权方式及保护对策[J].太原理工大学学报:社会科学版,2006,(2):56-58.
[3]徐敬宏,文利民.论电子商务消费者个人信息及其保护[J].图书情报工作,2009,(8):130-133.
[4]刘爱静.我国个人信息侵权问题研究[D].大连:大连理工大学,2008.
[5]Lee DJ.,Ahn JH.,Bang Y.Managing Consumer Privacy Concerns in Personalization:A Strategic Analysis of Privacy Protection[J],2011,35(2):423-442.
[6]Bhavani Thuraisingham.Data Mining,National Security,Privacy and Civil Liberties[J].SIGKDD Exploration,2002,4(2):1-5.
[7]Ciocchetti CA.E-Commerce and Information Privacy:Privacy Policies as Personal Information Protectors[J].American Business Law Journal,2007,44(1):55-126.
[8]石佳友.网络环境下的个人信息保护立法[J].苏州大学学报:哲学社会科学版,2012,(6):85-96.
[9]易斌,潘亚南.网络个人信息隐私认证机制探讨[J].情报理论与实践,2012,(5):41-43,68.
(本文责任编辑:马卓)
endprint
