搜索引擎商对个人信息利用、控制的限制
2018-06-07刘梦洁
摘 要 数字化记忆的长久、全面的储存使得个人信息被更容易的识别、更简单的定位成为可能。大数据下,个人数据的流动和整合推动了数据产业的发展,并推定了数据权利制度的发展;然而现阶段用户个人数据得不到保证,精准诈骗等个人信息的灰色链条崩坏了大众对数据信心的构建。当个人信息被不当获取或不合理使用时,被遗忘权为此提供了救济,本文重点讨论在被遗忘权构建框架下,数据传播的重要链条之搜索引擎网络运营商在保护个人信息中应承担怎么样的义务以及我国应该如何应对被遗忘权的本土化发展需求。
关键词 个人信息 被遗忘权 隐身份制度 数据安全
作者简介:刘梦洁,华中师范大学法学院。
中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.05.140
一、被遗忘权下搜索引擎上的性质界定与义务
被遗忘权是指信息主体拥有对于已在网络上发布的、与自身不恰当的、不相关的、继续保留会导致信息主体社会评价降低的信息,并且要求信息控制者在不违反特例的情况下予以删除相关信息的权利。其中信息控制者则为被遗忘权的义务主体,对于信息主体负有对不当、不符信息删除的义务。
从各国司法实践来看,欧盟法院使“谷歌们”这样的大型搜索引擎运营商承担删除义务,而美国立法——“橡皮擦法案”则基于保护未成年人权益的目的,将未成年人活跃的Facebook类的社交网站作为删除义务主体。被遗忘权的出现给了人们第二次机会,基于现阶段信息时代数据储存的永久性等,既往的不光彩的、不合时宜的内容可能对现有和将来的生活产生不好的影响,被遗忘权使得信息主体得以对法定许可范围内的信息进行重新筛除,为最大程度实现信息主体的这类期待,有学者提出被遗忘权的主体不仅仅包括搜索引擎商和社交类网站,对于信息具有实际控制的其他自然人、法人抑或是公共机构都应负有此类义务,但从技术角度出发,社交类网站等并不具有实际信息控制者的地位,要求其承担通知、披露、删除义务,建立被遗忘权申请通道等,不仅增加了互联网公司的經济负担,还有可能造成此类案件的滥诉,增加法院负担。现阶段,若建立“被遗忘权”的个人信息保护制度,应将搜索引擎商作为唯一义务主体,积极保障信息主体对相关信息的期待和所造成的社会评价的正当诉求。
我国《网络安全法》第四十三条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。我国虽并未将“被遗忘权”列入个人信息保护中,但从第四十三条可见,网络运营商,在接到信息主体的书面通知后,应当删除所涉及信息,更正还应包括对于已经授权第三方公开的此类信息,信息控制者应及时通知第三方删除相关信息。
但《网络安全法》对可以要求删除的信息范围及主体身份没有做出进一步细化的规定。如应区别成年人与未成年人,公众人物与普罗大众以及罪犯与普通人等,保障公众利益,倾斜保护未成年人,儿童,实现其最大利益,同时还应注意判断信息的合法性与合理性,如相关犯罪记录等对信息主体敏感、私人的信息,或是对其具有风险性的信息。
对于搜索引擎商还应积极构建用户交流通道,并对要求删除的信息进行负有必要的审查义务, 防止此项权利的滥用。但相关信息的相关性、隐私性等尺度把握,仍是一个难题,这也反应了“被遗忘权”与言论自由的矛盾,网络运营商可以建立人工审查评估机制等,对相关信息进行审慎分析,对于满足要求的信息尽快进行删除,避免再次传播,二次伤害,但其中付出的成本与商业利益又使得引擎服务商左右为难,再者审查需要一定时间和一定人才的专业鉴别,其中的滞后性又会造成对信息主体的利益损害。
大数据自媒体时代,技术上的难度使得个人想成为完全的社交“隐形人”这一期待难以实现。即使删除了直接纰漏个体身份的数据、信息但技术甚至大众还是可以从残存下的细枝末节中推算出唯一的个人。而切断传播最重要的一步——阻止网络用户未经授权地复制数据是不太可能实现的,就国内而言,如明星误发内容,秒删微博,还是会有热心网友保存截图,将信息主体的无心之举推上热搜的风口浪尖。因此,删除信息等的执行效果也有待考究。被遗忘权代表了信息主体的一种期待利益,不特定公众搜索相关关键词时,搜索引擎服务商最终呈现出的信息页以及对其信息承担的义务仍无定论,在保障互联网用户对相关合理信息的知情权的前提下,被遗忘权使用的合理边界也应以键入某人姓名所呈现的搜索链接为限。
二、被遗忘权的构建对搜索引擎商的挑战
(一)被遗忘权VS言论自由
被遗忘权提出后,已经有人提出欧盟对于人人有权把个人在网络上的数字痕迹删除干净是错误的。这在实践上是不可行的,甚至可能对于公共本应获取的公益范围内的数据过度干涉,削弱了政府打击犯罪,维护社会安全的能力。
对待被遗忘权,美国与欧盟呈现了两种截然不同的立法态度与趋势。欧盟近年通过《一般数据保护条例》等对个人隐私呈现更加严格、疏密的保护,对比美国,基于其对于隐私权下“个人信息一旦公开后就不能主张隐私”的传统理解,对于删除等义务进行了更审慎的限制,其次宪法第一修正法案不允许其限制言论自由和出版自由,删除义务与修正案的冲突,使得“被遗忘权”的发展步步维艰。
对于可以用于申请进行删除的个人信息的敏感性、隐私性以及高风险性等仍需要进行评估,而评估过程体现了言论自由与个人信息隐私之间的较量,被遗忘权的实现模糊性太大,更多的是需要个案确定,没有一个体系、统一的标准,出于言论自由的目的信息控制者可以做出不删除相关的信息的申请拒绝,过于模糊的法律规定以及不明确的链接申请执行标准使得信息控制者裁量的权利和空间太大,让其在个人隐私与言论自由中进行掂量、判断,担任法官的角色,也并不合适。
(二)被遗忘权VS商业利益
被遗忘权对网络服务提供商施加的义务使网络服务提供商、搜索引擎提供者需投入巨大的人力、物力成本对请求进行识别的信息进行判断和筛选,信息删除等加重了其经济负担,造成企业发展压力。甚至可能导致企业逆向选择,删除大量没有必要进行抹除的历史数据和公共信息,阻碍了数字经济的发展和蓬勃。此外,个人信息对于主体身份具有识别性,在大数据时代,对于提供个性化定制,专属资讯、广告推送等具有重要作用,被遗忘权确立后,用户选择隐去自己的数据,使得依靠碎片化信息挖掘、准确定位其消费者的企业丧失竞争优势。
除了正当的商业数据使用,个人信息现阶段被非法买卖、交易的现象仍十分严重,看似零散的个人数据,经专业聚合筛选后,可能会侵犯到用户的隐私权等相关权利。被遗忘权虽可以在一定程度上抑制个人信息非法交易等商业行为,但现在数据利用过程是不透明的,为了商业利益而去模糊用户权力,有意隐瞒用户数据被使用的目的和走向的,违法成本较低。用户不知不觉被技术剥夺了其独具信息的控制优势,这甚至滋生新的灰色产业链,如职业删帖、不正当删帖等使得“被遗忘权”在实施中存在较大困难。在网站未明确审查标准和处理期限下,网络删帖更体现为对用户信息的原则性保护,不法机构和个人可能利用自己获得的信息优势对信息主体进行近乎勒索式的删帖服务,以获得暴利。
(三)被遗忘权VS技术瓶颈
首先是信息主体面临数据泄漏时个人技术甄别的瓶颈。专业的黑客攻击、木马植入、病毒侵入等技术的运用使得主体的个人信息可能在任何一个环节全盘托出,而用户受限于互联网技能,很难及时发现和制止数据泄露,即使发现信息泄漏风险,沟通渠道不畅等仍将进一步阻碍被遗忘权的具体实现。
其次,數据利用过程走向不定、复杂多变,信息控制者删除相关的链接和副本后,若还需对被授权的第三方转载的数据承担责任,责任负担太重。依靠现有的技术,追踪到所有应及时删除而被第三方保存的个人信息是不太可能实现的,即使法律免除其协助删除来自第三方服务可能有转载或复制信息的请求,新媒体流量时代,数据控制者庞大,仍不能免除应删个人信息被第三人再次发布的风险,被遗忘权的建立面临个体与企业的技术瓶颈。
三、被遗忘权构建的过渡途径
(一)法律完善
被遗忘权的构建需要统筹信息公开、数据开放与个人信息隐私保护的平衡,调和言论自由与个人隐私的矛盾,综合考量商业发展与社会公益的双赢,最大化实现数据开放与个人信息权益保护的经济社会效益。
我国应尽快制定出台《个人信息保护法》,并对个人信息的具体范围、保护原则、救济途径等统一、明确规定,并将被遗忘权作为个人信息权下的一项,进行法定化,明确其法律属性、行使范围,救济方式、例外情形等,平衡言论自由与信息权益。
(二)行业自律
首先,搜索引擎服务商应建立畅通的被遗忘权申请通道,疏导被遗忘权纠纷,推动信息主体与搜索引擎服务商之间的良性沟通,并通过简化申请步骤、确定申请处理时限等,确实保障用户被遗忘权实现途径,并审慎行使审查义务。
在法律尚未完善之际,行业可以优先制定个人信息可以“被遗忘”以及隐身份的行业标准,规范数据交易市场。根据不同行业、不同用途,明确不同类型个人信息删除义务的限度以及个人信息隐身份的水平,评估和管控相关数据流通风险。同时,行业可联合接受第三方个人数据监管平台的的监督和定期审查,保障用户数据安全和合理用途使用。
(三)技术措施
大数据背景下,面对海量数据,这对信息控制平台的数据隐私评估、安全保密、跟踪溯源、监管技术等提出了新的挑战。
在2018年3月的两会上,周汉民委员提出要充分发挥隐身份技术在个人信息保护和利用中的作用,为了降低个人信息利用阶段的隐私风险,搜索引擎商可以考虑采用前述匿名化或者去身份化的方式使得具有识别性的隐私信息转化为单纯的数据,平台利用的是处理后的信息数据而非个人信息将极大地降低隐私风险。但此时,企业仍然应该匿名化处理后的信息利用的安全风险等进行评估,如若脱敏化后的数据对信息主体的风险仍较大,平台仍应该限制对该信息的利用、收集。
此外,搜索引擎商还可依托大的数据保护专业平台,对信息进行托管识别处理,并完善信息储存期限,使过期信息定期清理,敏感信息及时删除等。在此过程中,网络用户也应该提高自己的媒介素养和个人信息保护意识,谨慎面向不同用途的用户信息使用授权和同意等。
参考文献:
[1]杨立新、韩煦.被遗忘权的中国本土化及法律适用.法学论坛.2015(2).
[2]薛亚君.数字时代个人信息的被遗忘权.情报理论与实践.2015(4).
[3]王叶刚.个人信息收集、利用行为合法性的判断——以《民法总则》第111条为中心.甘肃社会科学.2018(1).