大数据时代个人信息权保护路径探究
2019-06-11黄月婷
[摘要]个人信息未经同意即被采用甚至滥用的情况频繁发生。自然人个人信息权本应被互联网巨头企业从源头上展开主动保护,如今却成为众矢之的。个人信息成为大数据时代最具潜力的整合与挖掘对象,而加强对个人信息权的保护正是21世纪法治发展的重要领域。现有部门法对个人信息权的保护无法涵盖数据处理的技术性。由此提出,统筹推进以国家网信办为核心领导主体、地方各级网信办分级指导,相关行政机关“合规”审查,全国各级消费者协会为补充,企业行业自律为兜底的个人信息权保护综合机制。
[关键词]大数据;个人信息权;私法路径;公法路径;国家网信办
[中图分类号]D923 [文献标识码]A [文章编号]1009—0274(2019)02—0099—05
[作者简介]黄月婷,女,西南政法大学法学院硕士研究生,研究方向:民事诉讼法。
一、大数据时代下个人信息权概述
美国国家安全局和联邦调查局主导的“棱镜门”事件所带来的信息安全问题,呈现出大数据时代带来的诸多不利因素,包括微软、谷歌、苹果等在内的9家国际网络巨头公司的中心服务器里的数据成为情报搜集的目标,致使个人信息泄露成为大概率事件。但是,个人信息权的保护规范未被完全整合,自然人个人寻求司法救济往往不被法院支持。因此,一方面,个人信息成为大数据时代最具潜力的整合与挖掘对象;另一方面,加强对个人信息权的保护也是21世纪法治发展的重要领域。
(一)个人信息权与传统隐私权
个人信息权是一种新型权利,是指凡能被一定技术识别并与自然人人格相关的信息都应该受到法律保护的权利。个人信息权是一种与隐私权紧密关联但又存在重大差别的权利。首先,个人信息权与隐私权联系紧密。例如某用户的购物信息被网络平台公布,该用户将相关网购平台告上法庭。此例明显涉及自然人的隐私权。但与此同时,相关信息以数据形式留存于网络上,又涉及个人信息权。但笔者认为在这种数据运用情境中个人信息权应该更为重要。这是因为相关企业通过处理这类数据可以发掘更大的商业潜能。这种处理和运用过程本身无可避免地会影响到个人信息权。而隐私权通常具有一次性的特征,公布后便无进一步提升价值的空间。其次,从概念上看,个人信息权是新型财产权,以数据形式体现自然人身体、心理、基因、文化等其他因素的权利;而隐私权通常是自然人现实可控的存在现实世界的未公开内容。个人信息权与传统隐私权重要区别在于,前者以数据为载体散落在互联网而后者为现实生活中个人不公开的具体内容。
(二)大数据时代个人信息的价值与危机
作为世界第二大经济体,我国成为全球大型互联网公司的中心。在“互联网女皇”玛丽·米克尔发布的2018年互联网趋势报告中,全球市值最高的20家互联网公司当中,美国占据了11家,中国占据了9家。包括人工智能在内的现代科技因大数据模式的引入发展迅速,已经成为国际竞争的新焦点和经济发展的新引擎。
身处大数据时代,与传统社会相比我们生活方式的变化可谓天翻地覆。从负面效应看,或许很多用户已经察觉:“被监视”的当代社会人“裸奔”在互联网世界。“亚马逊监视着我们的购物习惯,谷歌监视着我们的网络浏览习惯,而微博似乎什么都知道,不仅窃听到了我们心中的‘TA,还有我们的社交关系网”。[1]一方面,数据于亚马逊、谷歌等互联网大公司是价值不菲的宝藏。网上用户在购物、享受网络服务的时候留下“痕迹”,这些信息并不会在这一轮活动后便消失殆尽,而是投入新一轮数据的生成。大数据采用海量数据并利用相关性开发数据的潜能,换言之,每个网民的“痕迹”或个人信息“馈赠”给各大互联网运营商。自然人个人信息为基础的网络海量数据价值无限。另一方面,互联网企业利用数据和个人信息获得利益,然而未经个人信息主体同意便采用甚至滥用的情况频繁发生。自然人个人信息权利在互联网各大企业对个人数据不正当利用和处理的情况下被侵害,原本应被各大企业主动保护的权利却成为被侵犯的众矢之的。
二、个人信息权保护的私法路径
我们已经进入大数据时代,但在开发和利用大数据和人工智能时,如何尊重和保护个人隐私和信息,也是各国法律普遍面临的严峻挑战。[2]目前而言,我国保护个人信息权的法律和规范性文件不少。《全国人民代表大会常务委员会關于加强网络信息保护的决定》明确规定对个人信息的保护;《电信与互联网用户个人信息保护规定》细化收集、使用个人信息的规则与保障措施;《网络安全法》第四章以专章形式规定个人信息保护;另外,《中华人民共和国民法总则》(以下简称《民法总则》)《征信业管理条例》《中华人民共和国消费者权益保护法》(以下简称《消费者权益法》)等法律规范均涉及个人信息权的保护。
《民法总则》《中华人民共和国侵权责任法》与《消费者权益法》属于民事私法领域关于自然人个人信息权保护的部分规范并在个人信息保护领域起到一定作用。公法是关于罗马国家的法律,私法是关于个人利益的法律。[3]随着《民法总则》的颁布,个人信息权的私法保护是目前学界讨论的热点。下文就具有代表性的私法作出简要分析以探求个人信息权私法保护的具体功效。
(一)《民法总则》
《民法总则》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”民法首次对数据的保护作出规定,希望通过民法规范确认公民个人数据的基本权利。数据在性质上属于新型财产权,但数据的保护更多的涉及这类财产权的转移、利用、保管等法律问题。[4]《民法总则》第111条①规定自然人信息,强调组织和个人在收集、使用、加工、传输信息的系列过程中应当保护自然人个人信息权。通过以上《民法总则》两个重条文能完全保护个人信息权吗?笔者认为不然。
个人信息权的保护于大数据时代下具有特殊性。传统的民事权利,是指民事权利主体要求对方为一定行为或者不为一定行为的法律权益。此种行为通常是具体的、可操作,行为对象通常也是相对明确。例如,动产所有权主体享有要求任何相对人不得侵害其动产的权利。反观个人信息权,其主体应当向谁主张一定行为?需要注意的是,互联网用户在网上发文用不文明、具有侮辱性的表达侵害特定自然人名誉或隐私,这并不属于个人信息权的内容,该用户也不是要求一定行为的对象。另外,如果行为的对象是互联网企业,行为主体通过何种方式要求互联网巨头企业服从要求?显而易见,面对大型互联网企业,网络用户的话语权微弱,互联网企业按照自然人所要求的行为主动进行相关操作,这很难实现。纵使互联网企业同意进行相关行为,问题来了:这种行为究竟是何?个人信息数据化于网络上,超复杂、高精密的技术化指令是一般用户无法知晓的。换言之,个人信息权的主体本身便无从知晓要求互联网企业所做行为的详尽内容。
個人信息权的保护更多需要考虑技术因素,从个人数据的产生、采集、流转、占有等系列过程规制互联网企业的行为。既然个人信息权不同于传统民事权利具有要求特定主体具体、明确行为的特征,其保护的路径就应该另寻他路。《民法总则》第111条、第127条对个人数据、个人信息的规定均太原则性,未体现数据信息的技术性特征。由《民法总则》相应规定作为个人信息权的基本权利来源值得商讨,至少其无法在民法制度框架内规定数据主体、数据处理操作等具体内容,从而无法主动地先行地保障自然人个人信息权。
(二)侵权责任法
21世纪是科技主导、信息爆炸的时代,互联网用户在享受网上服务过程中同时生产数据,而这些数据作为价值信息反馈给“大数据”。“平台推荐”“搜索引擎”等热门应用均涉及大数据。自然人个人信息是推动上述产业的重要环节,采样网络用户的海量信息促成互联网商业的快速发展。然而,大数据时代下互联网的快速发展给用户带来个人信息“无法控制”状态,伴随而产生的常常是个人信息权的被侵害。现有民事救济途径通常为侵权责任规范,事后救济型侵权责任法提供的仅仅是被动的、消极的赔偿责任。可得知的是,个人信息权被侵害后,通常是无法弥补的,即自权利损害事实发生时该权利无法恢复原状。个人信息权法是权利法,侵权责任法是救济法。权利的保护应当是先行的主动的,仅由事后弥补性的侵权责任法保护个人信息权,这是不现实的。况且,侵权责任法本身无法规定个人信息权的具体内容,仅以事后救济时确认是否属于个人信息权的做法有损该权利自身的独立性和完整性。还需注意的是,若在侵权责任法内规定个人信息权,是否应当规定“过错”要件。过错是一个社会的概念。[5]侵害社会名人与普通人的标准是否同一,这值得思考。由此,以侵权法为主导的个人信息权保护路径实施效果并不理想。
(三)消费者权益保护法
自然人与互联网企业地位的强弱不一,若自然人向法院起诉企业侵犯个人信息权,胜诉的关键之一在于能否完成举证。这实际上同样在于个人信息的技术性问题。若原告选择侵权诉讼,需证明侵权成立的四个要件:侵权行为、损害结果、因果关系、侵权人过错。事实上,原告在证明侵权行为第一个要件(侵权行为)便存在难度。互联网企业若否认其在采用数据、处理数据时的违法违规操作,消费者并无他法。因为相关企业并不会主动给出示侵权的证据。
《消费者权益法》第29条规定了,经营者在搜集、使用消费者个人信息应当符合法律、法规并且经过消费者同意。另外,《消费者权益法》第37条明确消费者协会的职能,赋予其“就损害消费者合法权益的行为,支持受损害的消费者提起诉讼或者依照本法提起诉讼”的法定权利。自然人在购物或享用网上服务时个人信息权被互联网企业侵害,作为公益性质的消费者协会具有法定立场与权能代替消费者进行诉讼或者协调各方利益。至少,消费者协会作为组织机构其地位并不比互联网企业弱,在搜集侵权行为证据方面具有绝对优势。凭借消费者权益保护组织的法定地位,消费者协会可要求相关企业提供其自身行为符合相关数据处理规定的证据。囿于社会影响与公司利益,大型互联网企业多数不愿意进行诉讼,最终选择法院调解或私下和解。
消费者协会参与诉讼有助于促进个人信息权案件双方当事人的平衡,弥补了自然人举证的弱势地位,增强了个人信息权权利保障的力度。需要注意的是,这并非证明责任的倒置。民事诉讼法中证明责任的一般规则是《中华人民共和国民事诉讼法》第65条规定“当事人对自己提出的主张应当及时提供证据”。只有在法律对特定构成要件进行具体规定时,证明责任才转由对方承担。在现行《民事诉讼法》及相应司法解释未对个人信息权案件进行特殊规定的情况下,笔者认为,应当遵循现有规范内容而不是呼吁改变相关立法。
三、个人信息权保护的公法路径
德国学者基尔克提及:“公法和私法的区别,是今日整个法律秩序的基础。”个人信息的公法保护与私法保护必然有截然不同的效果。公法强调国家主体对私人与组织的管理与约束,这区别于平等主体间自由进行交易与活动的私法规范。此处的“公法”并不等同于宪法、行政法等传统划分范畴,而是指以行使公权力为核心并具有一定强制效力的行为。公共政策与公权力强制性行为在约束群体与个人的类型行为往往更具针对性与直接性,成效亦是显著。中华人民共和国国家互联网信息办公室(以下简称“国家网信办”)虽是事业单位,但其在个人信息保护领域所起到的实际作用高于行政机关与社会组织。以国家网信办为最高指导统筹推进个人信息权的保护,行政机关的“合规”审查和行业自律为配套,这是达成保护个人信息权目标的不错选择。
(一)行政机关的“合规”审查
既然民法、侵权责任法无法提供个人信息权的基本保障加上大数据时代下个人信息权保护的技术特征,笔者认为,由行政机关出面强制性地要求互联网巨头企业“合规化”行为这是最为有效的选择。实际上,尽管我国缺乏高位阶法律的规范,但为了适应产业发展的需要,我国已经初步建成数据处理制度框架,主要体现为一系列部门规章、行业规范和技术标准。[6]包括《中华人民共和国网络安全法》《国务院办公厅关于印发科学数据管理办法的通知》(国办发〔2018〕17号)、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》和《国务院关于印发促进大数据发展行动纲要的通知》在内的现有法规体现国家对公民个人数据的保护,主要是规制互联网企业的处理数据行为,通过要求互联网巨头企业的行为符合一定的标准从而达到保护自然人个人信息权的目的。
通过部门规章和行业标准规整互联网企业的数据处理行为,这具有天然的优势。其一,从主体的地位来看,互联网企业远高于网络用户,行政机关的介入是保护用户个人信息的更佳选择。从某种意义上说,具有国家强制力作为后盾的政府能够最大程度避免互联网企业的不合规行为。其二,操作的简便性。由自然人行使个人信息权不具有明确的内容,从而使权利被架空或虚化。行政机关的行为则简便并且具体,其只需审查互联网企业的数据采用、处理等行为是否符合其先前确认公布的标准即可。其三,举证的强制性。当政府与相关企业对具体数据处理操作是否合规发生歧义时,由互联网企业承担举证责任。原因在于,数据采取、流转与处理等过程极富专业性与复杂性,包括大数据模式下算法的“黑匣子”[7],即便有专业人员的讲解也不一定能知晓其中原理。由此,将举证证明“合规”的责任施加给互联网企业,这是解决个人数据处理的合理、有效途径。
(二)国家网信办为核心领导的个人信息保护
1.企业行业自律。我国曾试图推动行业自律以保护个人信息权。中国互联网协会发布的《中国互联网行业自律公约》(2004)、《博客服务自律公约》(2007)等对互联网信息服务自律作出规定。以上规定比较原则性且未涉及个人信息,下述规定开始涉及个人信息的保护。《互联网搜索引擎服务自律公约》(2012)第10条规定搜索引擎服务提供者应当协助保护用户隐私和个人信息安全,并在收到权利人相应通知后及时删除、断开相关侵权内容链接。《中国互联网金融协会会员自律公约》第7条规定会员的金融消费者权益保护义务。
美国联邦贸易委员会指出,“自律规范是一种侵入性最少、效率最高的方式,以保护公平的信息惯例”[8]。尽管美国联邦贸易委员会呼吁隐私保护行业进行自治,规范企业的信息处理活动,并由专门机构监督法律施行。不过,在收集、使用和销售个人信息带来巨大利润的前提下,要想依赖行业自律完全保护自然人的个人信息权并不现实。由此,目前在我国想要完全通过行业自律实现个人信息权的保护也是行不通的。数据的法律建设需要加强,其中重要的是基础领域的法律监管,行业自律的作用绝不是主导的。
2.国家网信办发挥好作用。根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》等规定,国家互联网信息办公室实际上具有非常广泛的管理权限,在实践中也发挥了远超出其法律定位的巨大作用。
2018年11月,针对自媒体账号存在问题,国家网信办依法约谈新浪微博等自媒体平台,要求其按照全网一个标准,全面自查自纠。约谈后,新浪微博等平台负责人自查自纠,积极整改。上述自媒体平台在国家网信办约谈后,纷纷整改相关内容以落实统一标准、保护个人信息。从保障个人信息权的角度,国家网信办约谈相关自媒体平台所起到的作用不容小觑。
2018年3月,《深化党和国家机构改革方案》出台,中共中央将中央网络安全和信息化领导小组改为中国共产党中央网络安全和信息化委员会。中国共产党中央网络安全和信息化委员会的办事机构为中央网络安全和信息化委员会办公室(以下简称“中央网信办”)。中央网信办与国家网信办协同推进个人信息保护工作,指导各大互联网企业的“合规”行为。
3.网信办领导为主,行业自律为补充。消费者协会保护自然人个人信息权纵使有立法基础,不过实践上效果不如网信办的作用好。个人数据、隐私仅被聚集在中国的少数大型互联网企业中,其强大的经济力量与企业实力通常是消费者协会无法抗衡的。但是,各大企业有义务主动承担保护自然人数据安全的责任是由我国国家性质决定的。
习近平总书记于2018年4月在全国网络安全和信息化工作会议中系统阐释了网络强国重要思想,指出要形成多主体参与、多手段结合的综合治网格局。在时代背景和党的政策下,建立以国家网信办为核心领导主体,地方各级网信办分级指导,企业行业自律为辅助的个人信息权保护机制。行政性“合规”标准规范为审查方式。这样的方式从技术上是能够操作的,并且能更加高效地主动地保障个人信息权。
四、总结
《十三届全国人大常委会立法规划》第61个项目为个人信息保护法,关于个人信息保护的专门立法正在进行。个人信息保护法作为单独制定的法律,其地位、作用应当明确。首先,个人信息保护法不应是民法的下位性法律。数据处理的技术性问题使得个人信息保护法不被任何部门法涵盖、吸收,其地位属于原生性、第一性。其次,有关个人信息保护法的现有法律、行政法规和部门规章仍然有效。目前我国个人信息保护以分散立法为主。仅凭个人信息保护法或许不足以保护个人信息权。尽管其应当是以提取公因式地方式吸收现有规范关于个人信息保护的内容,不过个人信息也具有很多类型与方式更设计不同的主体法益。个人信息保护法律体系框架基本不变,不过是需要在未来制定的个人信息保护法的统领下运行。最后,多元化主体参与的机制。统筹推进以国家网信办为核心领导主体,地方各级网信办分级指导,行政机关“合规”审查,全国各级消费者协会为补充,企业行业自律为兜底的个人信息权保护机制。数据安全是大数据发展的底线。由于数据不可避免的聚集在少数大型互联网企业中,这就需要加强企业自律。不过也需要时刻警惕,这绝不是主要的路径。
参考文献:
[1](英)维克托,迈尔·舍恩伯格.大数据时代[M].盛杨燕等译,浙江人民出版社,2013:193.
[2]谢远扬.信息论视角下个人信息的价值——兼对隐私权保护模式的检讨[J].清华法学,2015(3):95.
[3]夏勇.公法(第1卷)[M].北京:法律出版社,1999:1.
[4]王利明.人工智能時代对民法学的新挑战[J].东方法学,2018(3):7.
[5]Andre Tunc, International Encyclopedia of Comparative Law,vol.4,Torts,Introduction,J.C.B.Mohr,Paul Siebeck,Tubingen,1974,p.63.
[6]刘泽刚.欧盟个人数据保护的“后隐私权”变革[J].华东政法大学学报,2018(4):63.
[7]何强.大数据计算的“黑匣子”[J].中国统计,2015(12):22.
[8]Federal Trade Commision,Self-regulation and Privacy Online:a Report to Congres,1999.
责任编辑:张洋