大数据时代的个人隐私权:困境与策略
2018-03-31米展顾霞
米展 顾霞
(南京工业大学,江苏 南京 211800)
20世纪四五十年代,第三次工业革命给人类带来了计算机技术,人类由此迈入信息化时代。随着云计算、物联网等技术的发展,人类对信息数据的存储、利用能力有了显著提升。现在,监视器、摄像头遍布商场、路口、小区的每一角落,记录人们的一举一动;淘宝、京东等网上购物记录,百度、谷歌等网页浏览记录,QQ、微信等聊天记录,随时随地被反馈给第三方;个人电话、家庭住址等个人私密信息,被广泛登记于政府、学校以及其他组织。当这些被存储的数字化信息达到1太字节的时候,人类就进入大数据时代。[1]截止2012年,人类拥有的信息总量(包括网络日志、音频、视频、图片等)约为2.8泽字节(1泽字节=270字节)。[2]毫无疑问,我们早已进入大数据时代。
大数据时代的到来,对经济发展、社会治理、国家管理、人民生活都产生了重大影响。然而,由于对个人信息的过度挖掘、开发,使得公民毫无隐私可言。2013年美国的“棱镜门”、2017年中国铁道部12306账户密码泄漏事件,为公民隐私权的保护敲响了警钟。如何保护个人隐私,是目前亟需解决的重点问题之一。
一、核心概念
(一)大数据
大数据最早来源于2011年5月美国麦肯锡全球研究院发表的名为《大数据:未来创新、竞争、生产力的指向标》的研究报告。他们主要是通过与常规数据库工具获取、存储、管理能力的比较来定义大数据。
截至目前,学术界对大数据尚未形成统一的看法,各学者各抒己见,看法各不相同。如日本学者城田真琴从大数据的特征(大量性、高速性、多变性)入手,认为大数据是获取有实用价值信息的过程。[3]而邬贺铨主要从数据集处理所获得结论的可信度入手,认为大数据是指其规模大到(或变量复杂到)从中可以挖掘出符合事物发展规律性的数据集。[4]
笔者认为,大数据是指通过云计算、云存储等技术,在较短时间内,对人力或常规数据库无法处理的海量、零散、复杂的数据集进行收集、存储、分析整合,并转化为具有价值、可信度且能被人们所理解的形式的数据信息。
(二)隐私权
1890年美国学者Samuel D.Warren和Louis D.Brandeis在《论隐私权》中首次对隐私权作出明确的界定,他们认为隐私权是指他人所享有的一种独处权,该种独处权在性质上属于一种不得被他人侵犯的人格权[5]。
在我国,关于隐私权的定义存在较大分歧,但归根结底主要集中在隐私权主体与内容上。截至目前,学术界形成了三种主要观点,即信息说(保护私人不愿公开或告知的个人事情)、信息安宁说(保护私生活)、信息+安宁+决定说(保护个人信息、个人生活与个人私事决定)。[6]
综合上述三种观点,张新宝教授认为:“隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的一种人格权,而且权利主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。”[7]
然而在大数据时代中,隐私权被赋予新的涵义。大数据时代的隐私权是指信息所有者对其个人信息(主要指网络数据信息、网络空间等)的控制权,在无正当理由的情况下,他人不得对其加以收集、控制、利用等,否则即为侵犯他人隐私。
二、个人隐私权的保护困境
在大数据时代中,网络成为人们工作、生活、社交的主要媒介,而硬盘存储器成为最好的史官。通过对存储信息的分析,可以精准了解用户的个人价值、消费偏好。这不仅给广大商家带来巨大的商机,也为违法者侵犯公民隐私提供了广阔空间,对个人隐私权的侵犯从线下转移到线上。
(一)个人信息的不当收集与利用
在高速发展的信息时代,网络服务商以“提供优质服务”为名,要求广大用户在使用前,先进行网上实名认证,否则不予其使用该服务。所谓的网上实名认证,就是要用户填写一些诸如真实姓名、出生日期、联系电话、银行卡、电子邮箱等,然而这些均属于个人隐私信息的范畴。服务商美其名曰是以防用户忘记密码后,可以快速找回原账户密码。有些聪明的用户企图以填写错误的个人信息,实现网上实名认证。然而,网络服务商发明了向用户发送“短信验证码”或“邮箱验证链接”,要求用户必须填写真实的信息。
网络服务商在收集到用户的个人信息后,就有责任和义务保护好这些用户数据,并将数据用途告知给广大用户。尽管一些网络服务商在用户完成注册之后,会在首页跳出一项关于个人隐私数据使用的同意书,但这仅是一种形式主义。一些服务商出于一些个人目的、利益,随意泄露他人信息,甚至出现专门的QQ群,用于买卖他人隐私信息,并按照“价值”的差别,将其分为“三六九等”。这使得用户经常收到大量的垃圾邮件、诈骗短信,以及被骚然电话轰炸,对人们的生活造成严重影响。
此外,在大数据时代,有些服务商甚至直接通过一些程序代码,在后台搜集个人信息,用户对此毫不知情。即使一些用户习惯将自己的浏览记录删除,服务商也可通过一些恢复软件(如flash cookies),进行信息重生。
(二)相关法律制度的缺失
尽管我国在不少法律上,都涉及隐私权的保护,却缺少对隐私权的明确规定,只是间接的将其看作为一种人格权来保护,这些保护仅限于一种形式或精神保护。例如《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”《民法通则》第101条规定:“公民、法人享有名誉权,公民的人格尊严受法律保护,禁止用侮辱、诽谤等方式损害公民、法人的名誉。”
随着大数据时代的到来,这种简单的人格权定义已经远远落后,不能满足当前的现状。2017年3月15日第十二届全国人大第五次会议通过的《中华人民共和国民法总则》,其中第111条规定:“任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”这是我国立法进程中,一次真正意义上,对个人信息的定义,也是隐私权保护的一大进步。然而在《民法总则》中还是缺少关于隐私权的具体定义,关于隐私权保护的具体救济措施也并不完善。而真正意义上,对公民隐私权保护做得比较好的当属地方法规、规章。但是由于地方法规、规章的立法层级较低,缺少上级立法的支持,导致公民隐私权的保护无法全面实施。
各种法律法规分布较为分散,制定主体、实施主体各不相同,使得各种法律法规的内容较为空泛、含糊、缺乏衔接,实际操作性不强。此外,由于互联网的开放性,对隐私侵权的界定、追踪较为复杂、困难。因此,用同一的法律标准来判断某一行为,是否侵犯个人隐私,缺乏可行性。
(三)政府监管与宣传力度不够
随着大数据时代的到来,各级政府在保护个人隐私、个人信息以及维护网络文明、网络安全上,有着不可推卸的责任与义务。然而,由于我国对互联网的发展起步较晚,网络环境的复杂多变性,各级政府对公民隐私权保护的监管常心有余而力不足,存在诸多问题。
首先,政府缺乏专门的隐私保护监管机构。隐私权涉及的范围较为广泛、内容较为丰富,这就要求我们必须建立一个专门的、权责清晰的政府监管机构。然而我国并未成立专门的监管机构,仅靠国家工信部、公安机关等部门规章制度来管理网络行业,其中对隐私权的保护也缺乏具体的职能分工与管理条例。因而在遇到隐私侵权问题时,由于各执法机关缺乏统一指导,对侵权问题的处理便会陷入相互推诿、相互扯皮、逃避职责、各行其职的怪圈。最终导致任何一个机关都未能对侵权事件作出回应,侵权事件不了了之。这不仅使得政府办事效率低下、行政资源浪费严重,还损害了政府形象和政府公信力。
其次,政府制定的隐私管理标准效力低下,缺乏强制性,对隐私侵权的惩罚力度较弱。2013年我国出台了《信息安全技术公共及商用服务信息系统个人信息保护指南》,这是首个关于个人信息保护的国家标准。然而,由于该标准效力低下,缺乏强制性,在实施过程中反响平平,对公民隐私的保护并未取得实质性的效果。此外,我国关于隐私侵权的处理仅要求对受害者进行精神赔偿或给予口头警告或处以3万元以下的罚金。这种惩罚在巨额利润面前,根本是九牛一毛,不值一提。
最后,政府缺乏对隐私权保护的宣传与引导。相对于法律法规等强制性举措,政府关于隐私保护的宣传更有重要。由于政府宣传力度不够,使得广大人民尚未意识到隐私泄露与隐私保护的严重性,在隐私遭到侵犯后,也不懂得寻求法律的帮助。此外,一些信息收集者也未意识到,他们的行为已经侵犯到他人的隐私权,处在违法犯罪的边缘。
三、提升个人隐私权保护的策略
随着大数据时代的来临,我国在个人隐私权保护上暴露出诸多不足,如政府监管与宣传力度不够、法律制度不健全等。要想解决这些不足,就需要各级政府、社区组织、人民群众共同努力,拧成一股绳,劲往一处使。
(一)规范个人信息获取与利用方式
随着大数据时代的来临,网络行业进入高速发展阶段。在巨额利润的诱惑下,一些网络服务商不顾法律、道德底线,随意泄露、贩卖他人隐私信息。这不仅给广大用户的生活带来不便,还极有可能造成严重的经济损失。
作为大数据时代的关键一员,网络行业应加强自律建设,促进产业健康发展。首先,建立统一的行业自律组织协会。该协会的主要目的是建立隐私保护的行业规范和标准,加强对协会人员的内部监督,是对政府、法律法规等外部监督的一种补充。它是隐私保护的第一道防线。其次,建立健全行业自律公约。具体说来,该公约主要包括以下两个方面:一方面,在数据的收集、存储、分析、处理、流通等过程中,一旦涉及到个人隐私,网络服务商必须事先征求信息所有者的同意,并详细告知信息用途,不得直接收集、非法转卖等;另一方面,建立问责机制,对违反公约规定的服务商,要有严厉的处罚措施。最后,实行第三方认证机制。在隐私保护上,符合有关规定的网络服务商颁发资格证书。该认证机制不仅能督促服务商形成良好的行业规范,还能够赢得公众的信任。众人拾柴火焰高,单靠网络行业来保护个人隐私不被泄漏是不够的,还应加强个人的自我保护意识。第一,在使用网络服务商提供的服务时,要学会事先了解网站的安全性、信誉等。在使用前,还要仔细阅读服务商的隐私声明,了解数据的用途、收集方式等。第二,学会安装防火墙、杀毒软件等,定期对电脑、手机进行杀毒,防止木马、病毒。第三,养成注重隐私保护的习惯。如定期跟换淘宝、支付宝等涉及诸多个人隐私信息软件的账户密码;在公共场所不随意使用免费 Wi-Fi;对商家的“扫一扫”(二维码),送面纸、牙膏等小便宜,学会拒绝等。
(二)建立完备的法律制度体系
近年来,由大数据引发的隐私侵权事件屡见不鲜,导致广大群众对隐私权保护的呼声越来越高。我国必须尽快构建完备的法律制度体系,才能在个人隐私权遭受侵犯时,可以诉诸法律,法官也能有法可依。此外,这也是促进法治中国建设的重要途径之一。
首先,完善现有的法律制度。一方面,要将隐私权从名誉权中分离出来,作为一种单独的人格权写入宪法,从而赋予特定的法律地位。另一方面,形成以宪法为中心,民法为重点,刑法、诉讼法、行政法等为辅的法律保护体系。[8]在这些现行法律的基础上,明确隐私权的主客体、各自的权利义务以及在损害个人隐私后的具体救济措施等。
其次,建立专门的个人隐私保护法。随着大数据时代的到来,对个人隐私的侵犯方式、手段越来越多样化,也越来越隐蔽。因而,单凭宪法、民法、行政法等法律来保护个人隐私权,是远远不能满足时代发展的需求,必须制定一部专门的隐私保护法。一方面,在法律的制定过程中,要协调好政府、个人、企业三者之间的利益关系。另一方面,该法律还必须包括如下几个方面:第一,界定清楚隐私权的具体内涵与特征;第二,确定隐私权的具体责任形式与管辖范围;第三,个人隐私被侵犯后的救济途径与赔偿方式等。最后,各级地方政府还应结合本地具体情况,制定相应的地方规章。
(三)加强政府监管与宣传力度
由于法律制定的周期较长,而大数据时代下的隐私侵权问题又层出不穷、手段新颖,这就导致刚制定的法律跟不上时代发展的步伐,具有严重的滞后性。因此,在大数据时代下,政府监管成为保护公民隐私权的重要手段之一。
首先,建立专门的政府监管机构。目前,我国关于个人隐私的保护是由工信部、公安部等多个职能部门负责。这种多方负责的监管极易导致政府监管效率低下、漏洞百出、秩序混乱以及责任不清等。因此,成立专门的个人隐私监管机构是十分必要的。这不仅可以缓解多头负责的无序现象,还可以提升各行政机关的办事效率,赢得广大群众的称赞,挽救政府形象。
其次,完善政府监督问责机制。我国各级政府对于个人隐私保护的监督主要集中在事后监督,即服务商在违反相关法律规定,对他人生活造成影响、财产损失后,由执法机关对其作出一定的处罚。而对于事前、事中的监督较少,甚至几乎没有这方面的监督。所谓的事前监督即严格规定各服务商、企业的市场准入机制,对缺乏完善隐私保护机制的服务商、企业不允许其进入市场;事中监督即对服务商的经营行为进行定期或不定期的检查,使其在进入市场到退出市场,这一整个过程都严格遵守相关法律规定。[12]只有将事前、事中和事后监督统一起来,才能实现个人隐私保护效用最大化。
最后,加强政府的宣传与引导力度。我国大多数公民经常会无意识的将自己的隐私暴露在“阳光”之下,如随意在网上发布个人定位等。对自己隐私权遭受侵犯后,也不懂得利用法律维权。而部分服务商对未征得他人同意的情况下,私自收集他人信息的行为,已属违法行为而不自知。因此,政府应加大对公民、服务商的普法宣传力度,使其了解隐私权保护的重要性。
大数据时代的来临,丰富了人们的物质生活,各级政府通过大数据提高了政府的办事效率,增强了政府的公信力,并通过为广大公众提供一对一的特色服务,赢得了诸多好评。而企业通过大数据可以实现精准营销,有针对性地生产产品,从而获得高额利润。然而,大数据是把双刃剑,给人们带来便利的同时,也给人们带来诸多困扰。如对个人信息的不当收集导致公民毫无隐私可言;相关法律制度的缺失,导致公民隐私权遭受侵犯时,诉诸无门;政府监管制度的缺失,导致服务商无法无天等。
因此,笔者认为在大数据时代要想保护公民隐私权,必须规范个人信息获取与利用方式、建立完备的法律制度体系、加强政府监督与宣传等,最终实现大数据时代下的隐私保护,降低隐私侵权事件的发生率,营造健康的网络空间环境。