大数据时代个人信息保护的法律路径
2019-03-18张林鸿周小扬
张林鸿, 周小扬
(贵州大学 法学院 ,贵州 贵阳 550025)
数据时代来临之前,大数据的利用价值尚未有明显体现,个人信息的收集与利用一直停留在初级阶段。随着数据时代的到来,大数据在全球生产、分配、消费活动、经济运行、社会活动上和国家治理能力交汇融合,成为推动经济转型和发展的新动力,是增强国家竞争优势和提升政府治理能力的新机遇[注]参见:国务院〔2015〕50号《促进大数据发展行动纲要》,2015年8月31日。。同时,大数据因其容量大、类型多、存取速度快、应用价值高等特点,快速提升了对数据进行采集、存储和分析的能力,并从中发现知识、创造价值、增强功能从而成为新一代信息技术和服务业态[1]80。在数据成为具有价值资源的时代,个人信息在经过大数据算法分析后,帮助政府、企业做出更好的决策,优化管理和运营,提升科技水平,加快信息流通,使人们生活更加便利。但由于个人信息的保护制度尚未建立,出现了个人信息的收集未征得主体同意,信息易被泄露、滥用,个人隐私极易暴露给信息控制者等问题,在一定程度上影响了人们正常的生活秩序。如何确保个人信息安全,防止个人信息被滥用和操纵,建立安全可靠的在线流通和跨境流动信息模式,已成为各国关注的立法焦点。当前存在美国商业利益优先理念下的宽松立法、欧盟个人权利优先理念下的严格立法等模式,本文在对欧美个人信息保护立法模式进行分析的基础上,根据中国的国情,力求找寻当前我国个人信息保护存在的问题和解决之道。
一、大数据时代个人信息保护困境
大数据技术的飞速发展深刻改变着人们的生活,激活了巨大的经济价值和社会价值,在更为精准、高效、赋能的同时,大数据自身的复杂性、不确定性和风险也随之而来。尽管我国从多方面加强了对个人信息的保护,但利用与保护之间失衡的可能性仍然很大,而且外部监管的严苛抑制了大数据的开发利用;缺乏监管或合规行为,会以牺牲个人信息保护为代价来使用大数据;监管游移不定,陷入大数据既没有利用好、个人信息也没有保护好的双输格局[2]6。笔者将从企业发展、大数据发展、现有法律体制与个人信息保护的冲突及行政监管在个人信息保护中的缺位,分别对我国现阶段存在的法律困境展开分析。
1.企业对个人信息的不正当使用
自大数据行业发展以来,在对数据进行收集、传输、储存、处理和分析、检索和挖掘等过程中,人们发现,通过梳理杂乱无章的数据,可以得到数据里蕴藏着的规律:有人从规律里看到了电商的未来,有人看到了直播的未来。通过总结和利用规律,企业者们预测到未来发展趋势并付诸实践从而获得成功。比如,BAT、谷歌等互联网市场平台,依靠其优势进行大量个人网络访问数据的收集、存储,结合云计算技术,精准处理大数据信息,从而制定符合市场需求的决策,投放满足消费者需求的产品和服务,以此获得迅速发展成为业内巨头。可以说,在大数据时代,脱离了大数据的企业就是脱离了市场发展趋势的孤舟,缺乏了创造价值与获得知识的源泉与动能。
在巨大的利益驱动下,企业愈发频繁地收集、储存、利用个人信息,除了收集基础个人信息外,还会在用户不知情、未授权的情况下,收集用户的地理位置、金融信息、购物记录、工作内容等涉及个人隐私的网络活动数据,使得大量的营销短信、广告邮件、电话推销、信息贩卖等现象层出不穷。在追求利润的同时,企业过度收集信息,未经用户同意与第三方共享信息等滥用信息的行为,严重威胁到了用户信息的安全。企业在保护个人信息上,体现出了市场的失灵性,即很少有企业把用户个人信息当作核心资产,投入相当财力、物力去维护其所收集、储存的个人信息。在2018年,基于对我国500家网站的实证调查结果显示:商业类网络信息控制者总体合规程度偏低,信息管理者不采取必要技术措施来履行保护信息的承诺;相较商业网站,政府、教育和社会组织类网站合规程度更低;对于个人信息保护而言,需要更强的约束力与执法力,才能真正提升实践中信息控制主体对个人信息的保护水准[3]。
近年来,我国先后制定了相关法律法规及国家标准,用以保护个人信息的权利。《网络安全法》规定,网络运营商在收集和使用个人信息时应明确说明其使用信息的目的、方式和范围,并且需征得被收集者同意;《电信和互联网用户个人信息保护规定》强调,收集、使用个人信息前需征得用户同意。对个人信息权利保障的规定还体现在《刑法修正案(九)》《民法通则》等其他法律、行政法规和规章中。对于企业和网络经营者而言,随着国家对个人信息权利保护的重视和加强,也意味着企业主体对个人信息取得的难度增大,获取信息的时间增长,保护信息的技术成本增加,信息收集、使用的合规难度增大,需耗费更多的人力、物力与财力去提升信息保护的基础设施设备,同时承担更大的保护责任。这对企业及网络经营者来说无疑增加了经营成本,一定程度上也减缓了企业的成长速度和规模的壮大。
2.大数据产业对个人信息的不合理开发
正如查尔斯·狄更斯所说:“这是最好的时代,这是最坏的时代。”大数据时代是一个极具创新创意的时代,大数据结合云计算,人工智能结合大数据,勾绘出每个用户的“人物肖像”,再以此为依据,从衣食住行的方方面面给每个用户推送“量身定制”的产品和服务,打开网页或手机应用,从新闻的推送,到产品的推广、旅行线路的推荐等,无不体现着个性化的特征,大数据的发展为人们提供了全新的移动支付、自动驾驶、智能机器人等舒适高效、智能化的生活模式。世界各国也致力于将大数据与互联网、云计算、人工智能相结合,建设新的智能发展导向型社会。我国于2015年就发布了《促进大数据发展行动纲要》,并在之后相关政策措施和行政法规中提出了建设大数据型社会的目标方针,力图以数据算法推动经济转型和发展,提升国家综合实力,树立国际竞争优势。但与此同时,大数据的发展为个人信息安全带来了诸多社会风险,原有法律制度也不再适用于新型的法律问题,大数据对个人隐私、敏感信息的深度分析转变为日后攻击个人的潜在威胁,不法分子利用大数据制造危险引发的后果涉及公民范围广,易诱发社会、个人道德风险等。同时,在平台经济中,起步早、发展规模大的一些主导平台,更容易出现数据垄断问题,影响了社会公平和消费者权益,使得未来对个人信息权利保护的难度增大。大数据的发展依赖数据的支持,而数据来源于每个公民的日常生活、注册资料、网络活动痕迹、电子设备监控等,数据的产生、收集、存储、开发、传输、处理等环节众多,若每个环节都加以保护,在技术和经济成本上会面临巨大的挑战和高额的成本。因此,大数据开发与个人信息保护间的平衡,亦是大数据时代必须面临的规制难题。
3.立法缺失对个人信息保护的制约
大数据本身并不是一个静态的概念,而是处于一个动态的过程,涉及数据的收集、处理、存储等各个环节,数据安全的威胁来源和攻击手段也处在不断变化之中[4]。个人信息的侵权途径多种多样,侵害方式也往往很隐蔽,用户一旦通过使用网络、手机和注册账户等方式留下的痕迹,都能被大数据和云计算技术勾勒出信息主体图像,从而引发信息主体隐私泄露及其支付宝、金融账户遭受攻击等,而权利维护的难度增大是大数据时代个人信息保护的重要特征。
对于寻求司法救济而言,《民法总则》第111条将个人信息权作为一项新的民事权利纳入其中,然而除了原则规定外,并无对其内涵及外延展开论述,也无配套的具体救济措施,加之用户难以对侵犯其个人信息的主体及行为进行举证,致使司法救济尚不能对个人信息保护提供足够保障。对于寻求行政部门救济而言,由于尚未形成专门的个人信息保护监管机构,各信息保护行政机构的监督管理权限划分不明,不同的信息处理部门之间没有共同的数据库来传输和共享个人信息,行政机构内没有专门的个人信息保护部门或办公室,公民向负有监管义务的行政部门申请救济过程繁琐,极大增加了维权成本,降低了公民维权的积极性。对于寻求企业本身或行业协会救济而言,虽互联网行业协会、通信行业协会林立,但公民往往面临与之信息不对称和地位不平等的局面,而行业自律规范大多由互联网巨头商定,无法有效保护广大中小互联网企业的利益,大多数自律规范都以宣誓性、倡导性条款为主,缺乏具体实施细则和救济途径[5]。并且,由于信息控制者有强烈的使用动机而缺乏相同程度的保护激励,如果法律规则不符合立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者自发的内在需要,那么简单施加强制性规定势必因为激励不相容影响法律有效实施[2]5。故而当个人寻求企业、行业协会救济时,行业自律组织的混乱及企业保护激励的缺乏也限制了公民的私力救济权利行使,使公民行使个人信息权成为一纸空文。
面对层出不穷的个人信息保护威胁与救济难问题,我国尚未制定专门的个人信息保护法作为应对,个人信息的规定分散在各法律、行政法规、规章和标准之中。如全国人民代表大会常务委员会在2000年颁布的《关于维护互联网安全的决定》,2012年颁布的《关于加强网络信息保护的决定》,2016年通过的《中华人民共和国网络安全法》等法律、法规和规章,并在《刑法修正案(七)》《刑法修正案(九)》《民法总则》等法律中规定了对信息保护的条款。然而,上述法律法规在大数据高速发展的背景下存在过于原则、不够具体等问题。在缺乏一部单独且详尽的个人信息保护法的情形下,即便是我国对个人信息规定最详尽的《网络安全法》,在大数据时代背景下保护个人信息的效果也是极为有限的。现阶段,中国个人信息保护的对象主要涉及国家、集体利益安全和计算机系统安全的信息,这导致了对国家网络安全的保护替代了个人信息保护,同时存在过于原则化和救济以刑事处罚为主的问题。在没有其他法律,特别是民法提供的最基础保护的情况下,“刑先民后”势必让刑法规制独木难支[6]。当“刑法被用作保护个人信息的廉价工具,刑法的功能定位也将会模糊不清”[7]。
4.行政监管在个人信息保护中的缺位
随着大数据与互联网、云计算的结合,数据信息成为政府解决监管问题的重要依据之一,个人信息成为国家和企业的重要资产,各国政府机关在进行公共管理活动的过程中,都致力于实现在法律框架下,发挥政府能动职能高效解决个人信息保护问题。在面对数据商业化、网络黑产盛行的情况下,政府部门应当对个人信息保护的治理需求予以回应,使得人们的隐私、利益、信息安全得到保障。目前,中国政府尚未建立明确的专门保护个人信息的机构,大数据监管部门散落在工业和信息化部、国家市场监督管理总局及地方工商行政管理局等各个部门,政府部门各自执法,缺乏共通的数据库和密切的沟通联系,使得我国个人信息保护的行政监管机构保护强度不一,很容易造成执法资源浪费和管理难度大等问题。除了对外部市场应尽到行政监督管理职责外,政府还应对自身处理信息的行为负责,设立内部约束的有效机制。正如舍恩伯格指出,在大数据时代,我们需要建立一个更着重于数据使用者对其行为负责的模式。对于自然人、法人和组织而言,因社会生产、社会活动过程而产生的信息很大一部分不仅存储在非政府盈利机构,还储存在政府机关单位的数据库中。政府下的公安系统、各类数据库系统,收集储存了更多更为隐私和重要的个人信息,但对于政府数据库收集、处理的个人信息,却缺乏详细的法律来进行规制[8]。为避免形成“全方位监控型社会”,政府权力的行使应努力确保为个人自治留出空间,并在进入私人领域时,保持国家权力的谦逊态度[9]。由于尚未有成文法明确规定政府作为信息控制者时的义务,同时政府拥有信息垄断的权力并且缺乏竞争者,因而欠缺了改进技术来保护个人信息的动力。为防止政府机关权力过大而没有得到相应的约束,以及信息过于集中后泄露造成更为严重的影响,应给予公权力机构处理个人信息法律规制的重视,并加强政府内部规章制度的设立。
二、大数据时代欧美个人信息保护立法经验
纵观世界,个人数据权利在欧盟一直被视为一项基本权利,也是一项基本政治要求。《欧洲人权公约》规定人们享有要求尊重其私人和家庭生活、通讯的权利。欧盟对信息主体自主的控制权给予了很大的保护;而美国与欧盟形成了两种不同的模式,相较而言,由于美国对自由市场发展的需求高,美国宪法和联邦法律都有关于保护个人信息的具体立法,加之强大的外部执法机制和较为成熟的诉讼救济渠道,在个人信息保护领域,美国较为宽松自由和重视被管理对象参与、回应积极性的模式,已成为现如今许多国家所效仿的立法方向。
1.大数据下欧美个人信息保护法案概述
2018年5月25日,欧盟《一般数据保护条例》[注]本文所引《一般数据保护条例》均来源于欧盟法律法规数据库(Eur-lex)。https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504。条文为作者自己翻译,兼参考中国政法大学互联网金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)组织翻译的欧盟GDPR《一般数据保护法案》。(也被称作《通用数据保护条例》,GeneralDataProtectionRegulation,GDPR)正式实施,致力于规制大数据时代下的个人数据侵权行为,是整个欧盟境内个人信息保护的“上位法”。GDPR的实际意义和社会影响非常重大,因为它成为了适用于整个欧盟的统一和更新的规则以及欧洲公民的所有数据处理依据;它旨在避免欧盟市场的分散,促进跨境商业发展和企业活动,保障个人数据的自由流通以及欧洲公民的基本权利[注]CHURCH, The new European Union General Regulation on Data Protection and the legal consequences for institutions, Efren Daz Daz,Bufete Mas y Calvet (law firm), Madrid, Spain, COMMUNICATION AND CULTURE,2016 VOL.1, NO.1,第206-239页。 https://www.tandfonline.com/doi/full/10.1080/23753234.2016.1240912?src=recsys。随着互联网、大数据的迅猛发展,相关信息处理技术正逐步破坏着信息主体对其个人信息的控制能力,传统个人信息保护法已无法规制新的信息侵权行为,原有立法面临着 “失灵”,故而《一般数据保护条例》(以下简称《条例》),以更严格的标准来确立大数据时代下个人信息应有的保障,明确强调保护个人数据的权利。条例规定了保护自然人的个人数据处理和个人数据自由流动的规则[注]《一般数据保护条例》第1、第4条规定:“个人数据”指与已识别或可以识别的自然人有关的任意资料;“个人”指可以直接或间接识别的人,特别是通过参考诸如姓名、身份证号、位置数据、在线标识符或一个或多个特定于物理、生理及该自然人的遗传、心理、经济、文化或社会身份;“处理”指针对个人数据或个人数据集合的任何一个或一系列操作,诸如收集、记录、组织、建构、存储、自适应或修改、检索、咨询、使用、披露、传播或其他的利用,排列、组合、限制、删除或销毁,无论此操作是否采用自动化的手段。2018年5月25日。。扩大了数据处理者、控制者内涵,将行政机关纳入规制主体中,切实限制了行政权力的行使,减少了滥用行政权力的可能。适用范围也从属地主义向属人主义转化,规定在欧盟境内成立、为欧盟境内数据主体提供商品、服务活动或者对欧盟境内数据主体进行监控的数据控制者或数据处理者都适用本法[注]参见:《一般数据保护条例》第3条,2018年5月25日。。其广泛的管辖范围辐射到世界各国。在美国,制定个人信息保护法案工作从2010年开始,美国政府提出了白宫白皮书,并在两年后发布了FTC报告。2015年2月,由奥巴马政府发布的《消费者隐私权利法案》(ConsumerPrivacyBillofRightsActof2015,CPBR)提出的场景评估理念和风险评估机制,成为各国对美国个人信息保护参考和借鉴的模本。虽然该法案最终并未生效,但大数据时代下美国提出的个人信息保护政策更加具有普适性,符合大数据的应用与发展,因而被许多国家作为制度设立的参考及借鉴标准。
2.大数据下欧美个人信息保护立法理念
随着大数据与云计算、互联网、物联网的深度融合,数据的收集、处理、使用从互联网、物联网到可移动便携设备及云端时时都在发生,通过整合计算后的信息价值远大于独立的信息本身,这也使得在利益相冲突的情况下,手里掌握着数据的数据处理者、控制者极易为满足自身利益需求而侵犯数据主体权益。原有法律制度对于现代数据收集技术的隐形化,行业数据之间界限的模糊,数据如何合理运用,第三方进行信息储存与责任承担等问题的规制具有较大局限性。
美国政府尽量在不阻碍大数据发展的前提下,提出解决个人信息权利保护问题的方案,进行政策调整与技术革新,以保障大数据的发展为经济社会带来创新动力。美国政府认为,传统的“告知与同意”原则已不能满足个人信息保护的需要,冗长和难以理解的用户声明,形式意义大于实际意义,用户并没有实际可以协商和改变该声明的权利,即便信息的收集征得了信息主体的同意,但信息的后续挖掘和开发才是信息价值的重要体现。然而,该阶段信息主体参与度较低,在去中心化的大数据系统中,信息主体对加入的第三方主体、数据中间商也没有建立直接联系。因此,CPBR首先确定了消费者有权控制企业对个人信息的收集和使用;企业应赋予消费者选择权,且要对第三方进行尽职调查;消费者有权撤销授权,而且撤销应与授权一样方便。其次,在透明度上,CPBR要求应保障消费者无障碍地理解和获取有关个人信息,公司应该专注于披露与消费者期望不一致的个人数据使用行为。再次,需做到情景一致,即企业使用、公开个人数据的具体情景应当特定,其后续传播和应用需要在原始的情景当中,如果与初始场景的目的不同,企业应该以消费者可以轻松回应的方式进行特别说明。CPBR引入的最重要的理念即控制风险与情景理念,该理念认为企业在应用消费者的个人信息时,应把重心放在信息使用的情境和风险上,在对消费者初期承诺的合理范围内使用信息,如果超出预期风险,应及时、明确地向消费者进行告知,并提供给消费者可以选择的处理、救济方式。该理念跳出了传统的“知情同意模式”,在更符合大数据时代对信息利用要求的同时,也实时监控保障着信息主体的权利,于合理范围内灵活地进行个人信息保护。在大数据发展与个人信息保护的博弈中,美国政府更倾向于利用大数据技术促进经济社会发展,以保持美国在相关领域的领先地位。
欧盟对违反个人数据行为的处罚非常严格,包括发布禁令救济,建立监督和调查数据处理行为的专门机构,处数额巨大的罚款等。欧盟《条例》已根据1995年颁布的《个人数据保护指令》进行了拓展,规定数据主体享有数据知情权、访问权、纠正权、被遗忘权、反对权、可携带权等基本权利,极大地扩充了数据权利的范围和保护机制,凸显了其对数据主体权利的严格保护制度。从各项规定来看,其立法目的紧紧围绕数据主体权利的充分保障来设定。数据控制者必须以充分、简单的方式给予个人对各项信息行使知情权;积极配合数据主体自由访问和获得数据,及时纠正有关数据主体不准确的个人数据,以保障数据主体的访问权和纠正权;确保数据主体有对抗数据控制者的绝对拒绝权,对数据控制者出于自身利益或营销行为而进行的数据处理行为有权拒绝。除了基本权利保障以外,作为新型权利引入的被遗忘权和数据携带权成为GDPR立法亮点。当数据主体撤回同意或者数据控制者不再有合法理由继续处理数据时,数据控制者应根据用户的请求删除数据,如果数据已公开传播,则应通知其他第三方停止利用和删除该数据。该做法是对传统“删除权”的扩张[10]。可携带权指数据主体有权无障碍地将其提供给控制者的个人数据转移传输给另一个控制者,原信息控制者需积极配合转移。在大数据时代下,GDPR更多地保障了数据主体对于自身数据的控制权,促进了信息控制者自身的制度设计及设施的更新完善。
3.大数据下欧美个人信息监管救济模式
大数据时代,各国对网络安全异常重视,将大数据的合理利用及风险防控上升到国家安全战略高度是大势所趋,筑牢大数据安全保障的行政监管防线也是各国所探索的热门。但由于大数据兴起初期对数据使用的权利界限规定模糊,除了对涉及国家利益、社会利益相关信息的侵权行为进行规制外,对于维权力量薄弱的用户个人,数据侵权不易受到追究,这使得一段时间内个人信息成为被侵权的重灾区。
欧盟《条例》在构建行政监管机制时规定,每个成员国应当建立一个以上的独立公共机构,负责监控条例的实施,设立的主导监管机构对企业所有数据活动享有监管权力,同时赋予监管机构调查权,以保障对所在地的数据控制者有实质的监管权力。除此以外,特设了数据保护委员会作为欧盟各个监管机构之上的综合监管机构,欧盟数据保护委员会具有完全独立性并直接对欧盟负责[注]参见:《一般数据保护条例》第50、51、60、61、68条,2018年5月25日。。而在信息主体权利救济途径上,《条例》首先明确了主体有向监管机构提起申诉的权利,监管机构应当告知申诉者进展和结果,若未在三个月内进行处理,数据主体有权提起诉讼。这从根本上保障了行政监管空缺时司法救济快速弥补上的可能性;其次,对于监管机构做出的对数据主体有法律约束力的决定,数据主体有权再提出司法救济;再次,数据主体对控制者或处理者同样享有司法救济权,任何数据主体认为权利被侵犯时都有获取司法救济的权利[注]参见:《一般数据保护条例》第77~79条,2018年5月25日。。值得一提的是,《条例》规定了高额的赔偿范围和标准,对于涉及条款的违法行为视程度不同,最高可施加1000~2000万欧元的行政罚款,或最高可处企业上一年全球总营业额2%~4%金额的罚款,两者取其高。这对于类似Facebook、Google、百度等跨国大型企业来说,若违反条例规定,将面临巨额罚款,从而大大增加了数据控制者对数据处理的谨慎性。而这种对监督机构规定明确、赋予执法权的模式,在我国尚未建立,借鉴欧盟建立统一的个人信息保护部门,不仅有利于执法资源的整合,同时可以消除各个监管部门的监管真空和效率不高的问题。
美国CPBR提供了一项问责制度,涵盖企业对员工行为控制、内部数据使用监督以及向第三方公开数据等。CPBR注重企业自律,强调事后责任,并要求企业设立用户择出机制,在用户个人信息使用出现隐私风险时,提供给用户控制或选择机制,如果用户没有异议,即视为默认同意信息继续使用。然而,该选择机制实质上可能将个人信息处理的风险转移给用户,以此减少企业主动补偿的责任,并且未能就用户权利行使的困境提出方案,以及过度依赖用户授权和默认同意来降低风险的方式也遭到了其他国家的质疑。相比之下,CPBR的事后问责救济模式并未像GDPR救济模式那样严格和完善。
三、大数据时代个人信息保护的法律路径
在大数据、人工智能融合发展时代,大数据带来了信息技术进步及舒适、便捷的智能化生活模式以外,也带来了更高、更难以预料的社会化风险。大数据好比一把双刃剑,用得好,会极大地促进科技进步和人工智能的发展,为人们带来福祉;用不好,将带来侵犯个人信息、搅乱市场秩序、打破经济平衡、威胁国家安全等严重后果。为此,在借鉴欧美国家立法经验基础上,通过结合我国现阶段的国情,建议从多元化共同治理、统一行政监管、强化信息保护机制、完善法律法规等方面协同配合,建立起从个人信息权利保护到权利救济的完整体系,以适应大数据时代我国对个人信息保护发展的需求。
1.建立场景化及主体自发性保护框架
近年来,我国个人信息保护法律体系有了初步发展,但大数据时代下个人信息侵权形势仍然严峻。诚然,制定专门法律更有利于系统保障个人信息权利的实施,然而,现阶段我国个人信息保护不仅存在立法的缺失,更重要的是尚未搭建起科学的个人信息保护框架,调动市场参与者积极保护个人信息权利。基于对美国《消费者隐私权利法案》和欧盟《一般数据保护条例》的分析借鉴,我们认为,确立场景化的风险评估机制和促进多元化主体共同维护个人信息权利,是当前情势下必要和有效的制度构建。
如前所述,传统的“知情同意模式”已不能有效规制大数据时代下信息使用的复杂问题,我国可借鉴美国经验,建立以“场景和风险评估”为导向的个人信息保护机制,弱化形式化的个人同意行为,更加强调信息控制者在一开始对用户承诺的信息使用场景,明确收集、储存、利用、传输信息的目的、范围、方式等信息,征得用户同意后,在承诺的该“情景”中,进行个人信息的处理行为。同时,建立信息使用风险评估机制,对信息使用及处理过程进行风险评估,若超出承诺“场景”风险,信息控制者需通知信息主体,以保障信息主体的知情权,提供给信息主体不同的处理方案。同时,信息控制者应积极做出降低信息使用风险的补救措施,以避免用户可能遭受更大损失。该框架在保护和促进大数据发展的同时,也在动态风险的把控模式下兼顾到了个人信息的合理保护。
在调动市场主体对个人信息保护的积极性,促进多元化主体共同维护个人信息权利方面,除了司法、行政机关,市场中的自然人、法人、其他组织亦是不容忽视的重要主体组成部分,在去中心化的大数据信息多元流转的系统下,除了信息控制者或信息处理者,还出现了中间商和第三方机构等主体。传统的信息使用者尚未建立起大数据就是核心竞争力的意识,而这样的观念仅仅依靠法律规制和行政监管无法完全解决。因而,在法律法规对信息使用者行为进行规制的同时,也应让其积极建立起信息即是未来企业发展竞争力的观念,改变传统企业的信息保护模式,充分利用行业协会的宣传力度,从市场主体的内部制度构建做起,帮助市场主体建立起完整和符合大数据时代发展要求的个人信息保护制度,提高企业这一重要信息使用主体的信息保护观念,调动其内生动力,以实现个人信息保护的多元化体系。与此同时,信息主体,即用户的个人信息安全意识也亟需提高,在数据收集十分普及的今天,用户个人的安全防范意识和信息安全教育、信息安全知识也会在一定程度上减少信息被泄露和滥用的可能。比如,培养用户定期使用网络安全防护杀毒软件,提高个人账户密码难度,不轻易提供个人隐私数据,不随意授权商家对自己的地理位置和健康数据进行跟踪收集等,从而降低个人信息的安全隐患。
2.强化个人信息保护的行政监管
大数据信息侵权通常存在大量性和隐蔽性的特点,当腾讯、雅虎等网络平台出现泄露个人信息问题时,被侵权的主体众多,无法一一寻求司法救济或行业救济,行政监管部门的优势就体现出来。行政监管机构在对大量信息主体权利被侵害事件的处理中,可以对信息控制者进行统一调查,行使行政处罚权,以解决对公共领域的监管及救济问题。不仅如此,行政监管模式可以发生在事前、事中、事后,从预防个人信息侵权到及时介入调查并作出行政处罚,行政监管机构能有效快速地做出反应。由于司法救济周期较长,行业救济缺乏相应的处罚权,行政监管可以兼具高效及威慑力两大优势,对侵犯个人信息权的行为加以管制。如今,大数据技术的飞速发展对政府治理提出了新的要求,该治理行为应在法律框架内进行,形成具有调查、执法及处罚于一体的高效治理模式,并且应建立统一的信息行政监管机构,以便政府更好地履行个人信息保护职责。
首先,统一行政监管机构应积极推动各部门间合作治理。我国目前对于个人信息保护的行政执法机构分散在金融监管机构、通信部门、公安部门等,缺乏统一的执法标准,容易因信息不对称造成监管缺位或执法资源浪费。统一的信息管理行政机构作为机构之间的联系纽带,能够积极整合执法资源,增强各个行政执法机构之间的联系,互通各个部门之间的执法现状和执法经验,不断提高自身和其他部门的行政执法效率。其次,统一行政监管机构应当具备监管、调查和处罚违法行为的职能。个人信息在大数据时代的极大暴露,使得个人信息极易受到泄露和滥用,对此应加强信息整合和使用环节监督,加大对相关领域信息滥用和泄露的处罚[1]84。可将统一信息监管机构规定为主要的个人信息行政监管机关,并在各地设立分支机构,统一信息监管机构有权责令信息控制者提供数据处理说明,依法要求其进行整改,给予违法处罚等,以实现对个人信息收集和处理行为的监管。通过立法赋予统一信息监管机构调查权、处罚权、行政拘留权等权力,以实现行政监管的自发性、及时性、高效性和高灵活性,大大缩短信息主体的维权时间和成本。再次,统一行政监管机构应具有宣传及教育职能。介于加强企业和个人对信息保护的法律意识十分重要,从全球行政改革的大趋势来看,信息管理者有很强的信息利用激励,但缺乏同等程度的保护激励,如果法律规则不能以情况为导向,而只是强加各种禁止或强制性规定,则必然会因激励不相容而影响法律的有效实施[2]5。因此,通过统一信息监管机构对企业、个人进行信息保护意识的引导和强化,可逐步树立起全民对信息保护的自觉意识[注]参见:《一般数据保护条例》第57条:(b)在其管辖范围内,每个监管机构应当提高公众意识,对和处理相关的风险、规则、安全保障和权利的理解.对针对儿童的活动保持特别注意。2018年5月25日。,帮助公民、法人、政府单位等主体树立个人信息保护正确意识,促生个人信息保护的内部激励机制。在大数据高速发展的信息社会中,个人数据不仅具有人格属性,也具有财产属性,信息控制者对个人信息的商业化利用往往伴随着用户信息被泄露和侵害的风险,侵权行为会造成信息主体的人格权及财产权的双重损害,在这一社会阶段,积极发挥行政部门监管优势,以弥补其他个人信息保护方式的空缺与局限成为当务之急。
3.适时出台专门的个人信息保护法
如今,世界各国对出台个人信息保护相关法律呼声渐高,在大数据产业发展上升到国家战略高度的今天,对个人信息使用应纳入到更加规范的信息流通和处理利用模式当中。我国个人信息保护的规定分散于各法律、行政法规及规章、国家行业规范中,过于原则化和缺乏义务性规定,难以充分保护个人信息权利,导致我国对个人信息保护的效果大打折扣。为此,我国设立专门的《个人信息保护法》是未来发展趋势,也是大数据时代发展的要求。对于设定专门的个人信息保护法,应将下列几点考虑其中:
首先,应完善信息主体权利保护机制。个人信息保护法应注重对信息主体的权利明示,将个人信息权利以列举加概括的方式呈现:一方面,列举模式可以阐明个人信息主体现阶段享有的知情权、同意权、纠正权、访问权等基本性权利,考虑到大数据的流通及利用必要性,应同时规定信息主体仅在其关键信息上享有被遗忘权和拒绝权;另一方面,概括式的表述也便于以后在个人信息保护领域的基础上,根据大数据时代发展的变化,对法条加以解释,以保障法律符合时代变化的需要。其次,对信息控制者、信息处理者的责任加以严格规定,对二者内部的制度设立提出法律要求,要求信息控制者和信息处理者在对信息进行处理时,具备相应的制度设立或者信息处理流程,以促进信息控制者和处理者内部激励制度发展,完善和加强其对信息的保护力度。结构决定功能,有效的结构将促使信息控制者自发积极地完善其体系,使个人信息保护成为其内生机制。个人信息保护法应明确要求信息控制者设立专门机构或聘请有资质的人员,专门从事对个人信息保护的重大决策讨论、风险评估、政策制定、接待投诉、业务培训等工作,该机构或人员应独立履行职责,直接对内部最高层负责,确保信息保护工作落到实处[2]15。再次,对司法救济和其他救济模式予以设定,明确司法救济和其他救济方式的适用和补充情形,确立信息主体向信息监管行政机构进行申诉的同时,始终享有司法救济的权利,并且规定个人信息保护主体寻求救济时各个程序阶段的时间限制,以保障信息主体寻求救济时对救济行为的可预测性及可选择性,这不仅保障了信息主体享有双重的救济渠道,还对行政监管机构形成了潜在的监督机制。在司法救济中,考虑到信息主体与信息控制者之间地位和资本上的巨大差异,应改变原有“谁主张谁举证”的原则。信息主体收集证据的资金、技术等能力有限,难以与信息控制者对抗,转而建立信息控制者承担举证责任制度,在个人信息保护问题上采取举证责任倒置原则,由信息控制者证明其处理信息行为的合法性及合理性,将更能推动司法救济对于个人信息维权的积极作用。
4.建立健全信息追溯体系及跨境审查制度
大数据的广泛利用,使得网络攻击者的水平也在日益提升,原有信息保护技术产生了一定局限性。当前,自然人对于个人信息被泄露或被侵害的维权过程较难,面临着侵权主体无法确定,难以对侵权行为进行取证,以及难以衡量信息受侵害程度等问题,由于信息处理主体的多元化和信息处理过程的复杂化,导致信息侵权主体可能为个人、企业或政府机构等,信息侵权行为可能发生在信息的收集、使用、转移等过程中。要解决这些问题,应以信息记录为基础构建追溯体系平台,建立以大数据使用记录为基础的追溯体系。对于政府和企业,应针对大数据时代下个人信息易被侵权的模式,努力提高技术层面的保护措施,开发大数据信息收集、使用、储存、流转等环节的信息处理记录体系,实现每个信息控制者处理信息的活动得到完整记录,包括信息处理主体的详细信息,处理信息的目的,信息处理主体的类别,转移至第三国家的收件人等。有了详细的信息收集、存储、使用、(跨境)转移等过程的记录,可以有效建立起信息处理主体及过程的追溯机制,在每个环节都能有据可循,不仅有利于被侵权人迅速定位到具体侵权主体和侵权行为发生的环节,减少诉讼成本,一定程度上也能促使信息控制者重视内部治理和行为模式,增强对个人信息的保护意识,促进其内部信息保护机制的建立与完善。
随着大数据时代的来临,为给人工智能的发展创造出良好环境,国际社会对个人信息的重视程度大大提升,从美国拟定的《消费者隐私权利法案》、日本修订的《个人信息保护法》,到欧盟颁布的《一般数据保护条例》等各国对个人信息保护出台的专门法律来看,在大数据时代,个人信息尤其是特殊隐私信息,在国家安全和经济发展中起着至关重要的作用,为适应国际趋势和我国国家安全及社会发展需求,我们需要认识到跨境信息保护的重要性。
我国《信息安全技术个人信息安全规范》对个人敏感信息定义为,泄露、非法提供或滥用可能危害人身和财产安全,容易导致个人声誉、身心健康受损或歧视性待遇,但作为国家标准,该定义并无强制性的法律约束力。我国可以将带有民族性、地域性、基因信息、健康状况信息、与财产有关账户信息等个人敏感信息以法律形式确定下来,尤其在信息跨境传输问题上,订立审慎原则,严格审查特殊信息是否可以跨境流转,或者将个人信息匿名处理后确认无法被恢复倒推的情况下再允许跨境传输。这样的审慎审查原则有利于防止我国特殊个人信息被境外不法机构进行“数据画像”[注]根据欧盟《一般数据保护条例》,“数据画像”是指任何通过自动化方式处理数据来专门分析预测个人特定的健康、经济、偏好、位置等私人信息。2018年5月25日。。在建立跨境信息处理审慎原则的同时,再配套具体的法律操作、违法后果及处罚,以较小的审查成本,达到极大降低个人信息被境外不法分子利用从而损害本国利益的可能性,在数据技术与全球网络的发展下,将利于维持境内严格保护个人信息的成果。
四、结语
大数据时代,数据的流通已是全球发展的趋势,信息安全受到了来自各方的威胁,海量的个人信息可能被大数据处理分析,得出涉及国家政治、经济等方面的保密数据,因而个人信息安全不仅关系到信息主体的人格权及财产权,也与国家安全密不可分。目前,中国处于个人信息保护的早期阶段,个人信息保护的治理规则也应该建立在中国的制度和发展基础上,不应盲目跟从,在借鉴欧美法律设立经验时,也应综合考虑法律、政策、科技、伦理道德等因素:立法上完善我国上位法规定的缺失,在未来时机成熟时以成文法形式确立个人信息权利的保护机制;国家行政管理上着手建立统一行政监管机构,综合治理及监督使用、处理个人信息的行为;救济方式上,从国家行政监管机构主动监管到信息主体寻求行政机关救济或司法救济层面,分别进行完善,以保障在大数据技术发展的同时,我国个人信息主体的权利得到最大化保障。然而,个人信息保护相关立法和制度达到成熟不仅需要一个漫长的时期,还需要不断推进符合时代要求的改革创新等,更重要的是要让信息保护的理念深入每个自然人、企业法人和政府部门当中,这需要加强对公民保护个人信息意识的宣传力度,强化企业法人对信息保护的内生激励机制,转变政府部门对个人信息处理及管理理念,还需要不断完善个人信息保护法治理念和借鉴国际先进立法经验与实践成果。只有紧跟数据化时代和人工智能时代的步伐,才能使我国更好地维护公民的个人信息安全,成为个人信息保护和利用的强国。