大数据环境下加强个人信息安全与隐私保护的对策建议
2019-05-20魏来,陈洋
魏 来,陈 洋
(沈阳工程学院 法学院,辽宁 沈阳 110136)
一、大数据环境下个人信息的属性及应用
1.个人信息的特征
个人信息和个人隐私在含义上存在差异,区别主要体现在权利属性和权利客体上:在权利属性中,隐私权是精神性的人格权,而个人信息权并不完全是精神性的人格权,它是兼有人格权与财产权双重属性的综合性权利,既包括了精神价值,也包括了财产价值;从权利客体看来,隐私是个人不愿意公开披露且不涉及公共利益的部分,而个人信息可能与隐私重合,但是还可能表现为可识别的其他信息。例如,隐私不必表现为记载性的信息,也可以是私人的生活方式,这与个人信息不同。个人信息的特征表现为:
(1)个人信息的主体为个人。尽管不同国家对于主体是否包括已逝者有分歧,普遍都规定为自然人,社会组织、法人的数据信息不属于个人信息范畴。
(2)个人信息可以识别个人。无论是直接还是间接,只要能识别个人,便视为个人信息。
(3)个人信息兼有人格权性质与财产权双重属性。个人信息与个人人格密不可分,人格权性质是其天然属性。随着大数据产业的飞速发展,大量的个人信息或其所形成的数据反映出某一种商品或服务的特定趋势或个性化内容,商业领域可以对其加以利用。个人信息具有一定的经济价值,其财产权属性愈发凸显。
(4)部分个人信息属于个人隐私。并非所有个人信息都是隐私,每个碎片化的个人数据有时不是隐私,一旦将其组合分析,便涉及个人隐私。
2.大数据环境下个人信息的应用领域
随着对大数据认知的深入及大数据技术的发展,个人数据被应用的行业及范围越来越广,从应用目的的角度,目前个人信息的应用领域主要包括:
(1)企业经营目的的应用。各公司通过对大数据采集、分析,更加明确地了解市场需求,从而更有针对性地进行投资,节约了成本,大大减少了投资风险;企业可以根据大数据分析结果,更加精确地定位顾客,针对性地向顾客进行营销,提升广告投放的精确度,提高营销效果,提升服务质量。
(2)政府管理目的应用。借助于对国民个人数据、国民生活消费数据、交通数据等的收集和分析,政府部门可以实现更高效、更有针对性的市场经济调控,完善公共卫生安全防范,提升紧急应急能力,完善社会舆论监督,实现智慧交通等。
(3)公益目的的应用。主要是针对医疗、科技研究单位而言,即借助于大数据应用,对医疗、科学技术发展做出之前无法实现的突破或改善。比如,大数据分析应用的计算能力可以让我们在几分钟内解码整个DNA,从而使医疗人员制订出最新的治疗方案。
(4)个人目的的应用。个人目的应用是那些对改善个人生活品质更直接的大数据应用,如我们现在的手机或智能装备收集的每天的生活数据,包括热量消耗、睡眠质量甚至是心肺功能,通过对这些数据的分析,对我们个人的身体健康做出提示和反馈
3.个人信息的利用流程
个人信息的利用流程如图1所示,主要包括以下环节:
图1 大数据环境下个人信息利用流程
二、大数据环境下个人信息与隐私观念调查结论
此项研究通过问卷调查,调查社会公众所认知的隐私内容、隐私关注、隐私泄露现状、隐私泄露容忍度等,找出个人隐私信息泄露的可能途径,研究加强个人信息安全与隐私保护的具体策略,为促进大数据环境下个人信息保护提供参考。于2017年12月在辽宁省共发放调查问卷500份,回收有效问卷409份,其中男性200份,女性209份。
1.隐私内容认知
在调查问卷中列举了12种个人信息,调查显示:绝大多数公民都认为个人电话号码属于隐私;人们意识到家庭成员和个人生物数据等信息的特殊性,大多数人把其列入隐私的范畴;工作单位、婚姻与生育状况这些也反映了个人特殊身份的信息,并没有引起公众足够的重视;公共场所拍摄的视频和音频资料、上网记录、网购记录这些以电子载体存在的数字化信息,近一半的公民没有将这些个人信息纳入隐私范畴;社交网站的朋友动态及遵纪守法情况的信息没有引起公民足够的重视。
2.隐私关注
隐私关注是指个人将其数据信息提供给某个组织后,对组织如何使用及保护个人信息的一般关注。隐私关注一般包括:不知情的情况下被收集、收集后本人失去控制权、收集后不遵守承诺滥用、收集后不能保障安全、发生事故后没有相应的补偿。
调查显示,公众无论对政府部门还是企业收集数据的行为都会有隐私安全的顾虑,隐私关注的具体情况如下:超五成公民提供了大量个人信息数据但没有采取特别保护措施,仅有27.6%的公民主动采取措施保护个人隐私信息;近七成公民对于个人信息的应用不知情;绝大部分公众认为个人信息的保护救济很重要,但主动采取维权途径的很少。
3.隐私信任
隐私信任的缺乏,意味着人们将不会轻易分享其个人信息,从而使个人数据成为无本之源,也就谈不上个人数据资源的开发利用。
通过问卷调查和访谈,发现当前个人隐私顾虑有以下特点:对使用频率最高的网购和聊天工具隐私顾虑最大;对买车、买房、旅游住宿等日常消费存在严重的隐私顾虑,通过访谈得知,对于这一类型的隐私顾虑主要有:垃圾广告、垃圾短信、骚扰电话的直接影响,以及个人数据被卖或者被黑客获取后对个人隐私侵犯带来的负面影响;对金融、电信、教育等公共事业缺乏信任;对政府也缺乏信任主要表现在过多的数据搜集,形成了人身控制,使得个人的人身、思想、言论自由受到威胁;对小范围的社团活动隐私顾虑较少。
三、大数据环境下个人信息利用过程中存在的法律问题
1.个人信息的过度收集
企业在搜集个人数据时,为了规避责任或者诱导用户可能存在以下投机行为:一是没有隐私条款。根据法律规定,在搜集个人数据时,应有《用户隐私权保护和个人信息利用政策》(简称隐私条款)的相关说明,使用户对数据的用途有知情权。但国内不少网站在搜集个人数据时,隐私条款设置不完备,甚至没有设置隐私条款。二是隐私条款中有一些免责条款。例如,某知名门户网站的隐私条款如下,该声明将隐私定义为姓名、身份证号、联系方式、家庭住址,将其他个人数据排除在外,这实际是一种免责条款。
2.擅自披露及提供个人信息
信息收集方应当对所收集的信息采用保密措施,对外披露应当征得以信息主体的授权或同意为。但目前的实际情况是,擅自披露个人信息的情况在行政机关、银行、学校等机构经常发生。
个人信息的收集方在收集个人信息时应当对应特定的目的,对于该特定目的之外的信息使用,必须要得到信息主体的同意,比如向第三方提供个人信息。但经调查发现,为了推广商业之目的,商家经常会在关联公司间交换个人信息数据库。
3.个人信息交易市场不规范
诸如快递员出售消费者信息、电信员工出售电信用户信息的案例时有报道。政府部门有一定的权力获得和使用所需信息数据,而企业获取和使用数据获取和使用受到管制,我国刑法中设有“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,而个人信息交易在我国法律地位模糊,处于监管缺失、约束缺位、权责不明的非规范阶段,有些企业为了获取个人数据资源,采取非法手段和方法,我国个人信息交易以黑市形式存在,不仅使个人合法权益收到侵害,更影响整个社会的信用体系。
4.个人信息收集方未尽到信息安全责任
比如携程网因系统存在技术漏洞,导致用户个人信息、银行卡信息等泄露的案例。大数据环境下,较之于传统的网络环境,个人数据隐私泄露风险极大提升。当个人为享受某项互联网服务而提供了个人的数据隐私时,其对数据隐私的控制即告丧失。互联网服务提供商可以自由处置搜集到的个人数据信息,或自己加工数据发现商机,或直接出售数据而赢利,而个人数据隐私信息的拥有者则无法再参与这些活动或知晓数据的再利用情况,面临个人数据隐私随时被泄露、公之于网络的风险。
四、完善大数据环境下个人信息安全与隐私保护的对策建议
1.完善企业自治制度,加强行业自律
对于个人信息保护,我国目前在立法、司法以及行政执法上面都存在众多不完善的地方。行业自律的优点在于根据行业自身特点制定的行业规范具有很强的针对性且能够随着技术的革新及时更新调整。行业自律规范应当由行业组织中具备业务经验、法律知识的专家及行业成员共同制定,同时可以鼓励用户群体代表参与讨论和修改;为确保行业成员对自律规定的遵守,应该加入严厉的内部惩罚机制或者披露机制,如公示违法成员名单等;可以考虑将自律规范作为该企业团体与消费者的格式合同条款,从而一致性地保障消费者的信息权利。
2.增强信息主体的数据控制权
(1)对数据采取分类别的管理制度。从目前的立法趋势来看,对数据采取分类别的管理制度很有可能写入未来的《个人信息保护法》。那么对于敏感信息与一般信息的区分应该尽量模糊化,由于包括数据收集者在内的数据实际控制者都无法确定哪些信息经过大数据应用便可能产生识别效果,所以在法律实践中,应该尽可能地给法律解释留有空间,以便最大化地解释敏感信息,从而最大化地保障信息主体的权利。建议可以考虑将信息分为三类:高敏感信息、低敏感信息以及一般信息。对于高敏感信息,应该完全不能公开;对于低敏感信息,在脱敏后,可以参照目前个人敏感信息的模式进行处理。
(2)明确删除权、更正权及“泄露——通知”制度。《网络安全法》中规定了用户的删除权和更正权,但适用条件是以信息主体的知情权为前提。但用户对于网络运营者的使用情形并没有实际的或法律授予的知情权,也无相应的投诉和举报机制。而“泄露——通知”制度只是规定网络运营者在发生或者可能发生信息泄露、毁损、丢失的情况时,应当告知可能受到影响的用户,但并没有对告知方式以及可能受影响的用户范围做出明确约定。因此,建议在未来能出台的《个人信息保护法》中对删除权、更正权和“泄露——通知”制度做出更加明确和可操作的规定。
3.规制政府的个人信息处理行为和监管权
政府是最大的个人信息收集和处理者,在我国这一特征尤其明显。对政府的个人信息收集及处理行为予以规范,是个人信息保护的重要方面。通过大数据的应用,可以大大提高政府的公共管理智慧。同时,对于企业来说,各企业通过对政府掌控数据的分析,可以挖掘出更多对自己有利的商业信息。这些都是我国不断鼓励政府进行数据共享的主要原因。
因此,建议在之后出台的《个人信息保护法》或其他特别法中,明确把各行政机关作为规范主体进行必要的法律规制。如果继续将政府的行为排除在调整范围之外,必将造成我国公民个人信息保护的重大疏漏,不利于良好社会环境的形成。当然对于政府部门,可以采取与普通商业企业不同的通知规则和责任追究机制,但是对于个人信息的保密义务,由于政府部门掌握的信息,相比于企业可能更加重要,因此通常需要更加严格的保密措施和补救措施。
4.健全个人信息保护救济机制
我国现行法律法规基本都是对故意侵权人或直接侵权人、过错人进行刑事、民事或行政责任追究,而对于过失侵权人或数据收集主体、数据管理主体等间接侵权人的责任过于宽泛且易于免责,如银行对于员工泄露客户信息的行为的过失责任、云平台网站对于数据泄露的免责。
(1)确立举证责任倒置原则。对于明显处于强势地位的互联网企业、电信企业等数据控制者,可以考虑确立举证责任倒置原则,要求在信息主体做出初步证明后,由数据控制者承担更多的举证责任。当数据主体不能确定具体的侵权主体时,由数据控制者与处理者承担连带侵权责任。此外,面对时常出现的数据泄露和非经授权的商业化利用,可以考虑通过设立举报制度和行政处罚制度,配合法律法规,进一步防止侵犯个人信息的违法行为的发生。
(2)加大对违法企业的惩治力度。欧盟对侵犯个人数据的行为处罚措施十分严格,包括禁令救济,对公司工作场所和数据处理设施的稽查和调查,数额巨大的罚款,以及对于特大违法行为的刑事责任处罚等。除此之外,欧盟数据保护机构还会对侵犯个人数据的公司予以曝光,增大惩戒力度。这些惩罚机制,都值得我们借鉴,目前我国只是对在《电信和互联网用户个人信息保护规定》等法律中对电信业务经营者、互联网信息服务提供者规定了相应的行政责任,所以可以在其他行业通过立法的方式规定更为系统的法律责任。