互联网定向广告中个人信息安全风险及其法律防范
2019-09-10闫海韩旭
闫海 韩旭
摘要:互联网定向广告运用信息数字技术,收集用户在线行为信息,通过有价值的信息分析与挖掘建立个人信息库,根据预测出的用户偏好和需求规律,进行精准地商品或服务信息个性化投放。互联网定向广告为消费者提供更准确、更便利的消费信息,有助于节约广告成本,实现精准投放,但存在不当收集、使用、泄露等侵害个人信息安全的风险。我国应当借鉴欧盟、美国的立法经验,建立统一和专门双重个人信息安全风险防范的法律体系,加强用户的个人信息自决控制,强化经营者的个人信息安全维护义务与责任。
关键词:互联网;定向广告;个人信息;信息安全;信息自决权;安全保护义务
中图分类号:D920 文献标志码:A 文章编号:1003-9945(2019)01-0055-06
引言
随着互联网技术的迅猛发展和广泛应用,互联网定向广告应运而生。互联网定向广告又被称为精准广告、个性化广告,其核心运作机制是借助Cookies等数字信息技术,收集用户在线行为信息,通过对个人信息库的有价值信急分析与挖掘,预测出用户偏好和需求规律,从而精准地展开商品或服务信息个性化投放。互联网定向广告能够为消费者提供更准确、更便利的消费信息,增强其交互体验感。同时,广告投放者使用互联网定向广告,不仅可以节约成本,还能获取更多的经济效益。但是,互联网定向广告本身具有复杂性与不透明性等因素,对个人信息安全产生破坏性影响,因而促进互联网定向广告的发展,尚须运用法律手段防范其对个人信息的侵害等负面影响,充分实现其正面功能。
一、互联网定向广告中个人信息安全风险的界定
1987年《民法通则》既无隐私亦无个人信息,1988年最高人民法院出台《关于贯彻执行<中华人民共和国民法通则>若干问题的意见(试行)》(办发[1988]6号)首次以名誉权保护涵盖隐私保护。之后立法进而以隐私涵盖个人信息,例如《行政处罚法》第42条第1款第3项、《民事诉讼法》第66条等均以“国家秘密、商业秘密和个人隐私”统稱需要予以特殊保护的信息。2009(侵权责任法》第2条第2款始将隐私权单列为民事权益之一。2012年,全国人大常委会《关于加强网络信息保护的决定》(以下简称2012年《决定》)关于“识别公民个人身份和涉及公民个人隐私的电子信息”提法,在一定程度上区分隐私与个人信息。2017年《民法总则》则首次对隐私权和个人信息保护并行规定在前后条款之中,即第110条第1款将隐私权列为自然人具体人格权之一,第111条规定自然人的个人信息受法律保护以及相对方的保护义务。隐私权与个人信息的交错关系映射于互联网定向广告之中,更为复杂乃至模糊,因此应当基于互联网定向广告视角,通过隐私权和个人信息保护比较,厘清其范围和内容。
(一)互联网定向广告中个人信息安全风险的范围
2016年《网络安全法》第76条第5项规定,“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”个人信息的识别性及其与特定自然人的关联性是区别于其他信息的关键[1]。刘金瑞按照个人信息所负载利益对其予以类型化:(1)个人私密信息,一旦披露导致人格尊严受损的个人信息;(2)个人特征信息,能够直接识别主体身份的个人信息;(3)可能影响人的消极自由的个人信息,滥用此类个人信息,可能侵扰当事人不被打扰的生活安宁;(4)可能影响人的积极自由的个人信息,包括因个人行为所伴生的个人生活经历信息和个人足迹信息。前两类与个人尊严存在直接关系;后两类与个人尊严没有直接关系[2]。
互联网定向广告利用Cookies等技术在线抓取用户ID,浏览网页、搜索关键词、浏览时间等个人信息,进而分析其兴趣爱好、媒介习惯等消费人群特征,该环节主要使用的是第(4)类个人信息,但在互联网定向广告投放环节则可能使用的是第(3)类信息。因为互联网定向广告以设备信息或互联网标识为定向,一般不会涉及姓名、身份证号、肖像等第(2)类信息,第(1)类信息对互联网定向广告基本上没有意义。申言之,就个人信息本身而言,互联网定向广告使用的Cookies等信息一般不涉及个人尊严的问题。但是,一旦互联网定向广告使用的信息与诸如消费信息、社交网络等其他能够识别本人身份的信息相结合,则极有可能引发对人格尊严的侵害,即构成隐私权侵害。当然,隐私范畴不限于信息性隐私,还包括个人生活空间、个人生活方式等非信息性载体的隐私[3]。
(二)互联网定向广告中个人信息安全风险的内容
隐私权保护与个人信息保护在内容上存在交叉和重合,但隐私权主要强调个人秘密不受他人的非法披露,因此法律保护重点是对个人私密信息的非法披露予以预防和救济。互联网定向广告是对记录用户在线行为的Cookies等信息予以收集、保存、使用,Cookies等信息不是隐私权客体,披露也仅涉及保存单一环节,因此隐私权保护不足以成为互联网定向广告中个人信息法律保护的权利基础。个人信息保护的核心是个人对相关信息的支配和自主决定,因此权利保护的内容包括用户对个人信息被收集、使用等行为的知情权,以及自己使用或者授权他人使用的决定权等,即便可以公开且必须公开的个人信息,用户也应当予以一定控制,权利化术语称之为“信息自决权”。互联网定向广告中个人信息安全的侵害主要是未经许可而收集和使用个人信息,表现为非法搜集、非法使用、非法存储、非法加工或非法倒卖个人信息等行为形态。
二、互联网定向广告中个人信息安全的风险表现
互联网定向广告所运用的数据技术极其复杂,其可能会不当收集、使用和泄露个人信息,以致个人信息的风险与日俱增。
(一)互联网定向广告中个人信息的不当收集风险
用户对自己个人信息的控制存在较为严重的技术障碍,虽然可以通过拒绝或删除浏览器上Cookies等方式阻断个人信息被收集,但越来越多网络服务提供者将追踪技术与本地共享对象关联,使得用户难以删除有关信息,无法控制个人信息是否被收集。经营者可能会超出互联网定向广告对个人信息的需要,收集大量非必要或完全无关但具有敏感性的个人信息,例如身份证号码、宗教信仰、党派信息、配偶资料乃至联系人资料等。这些个人信息具有身份的高度关联性,与用户生活经历信息和个人数字信息串联起来,虽有助于经营者对个人信息的资源开发,但严重侵害“裸奔”数据人的人格尊严。随着大数据分析技术的发展,经营者享有更多的便利可以较为全面了解消费者[4],即对非身份个人信息进行数据建模,加之分析用户在网络活动中透露出的其他信息,就能够描绘出个人特征,进而对大量未知信息予以识别,而用户对收集自己的个人信息行为处于不知情或无法控制的困境。
(二)互联网定向广告中个人信息的不当使用风险
互联网定向广告经营者收集的个人信息,一方面基于本身商业目的而被用于数据分析,另一方面可能被用于共享或交易,从而流入其他经营者手中。互联网定向广告经营者之间为了合作利益而展开信息交流,共享各自收集到的个人信息,使得个人信息被更多经营者所利用,由此造成对个人信息的侵害。有的互联网定向广告经营者为了获取更多利益而将个人信息作为商品来打包销售,尤其吸引信贷、保险等机构对购买的个人信息进行二次开发。受互联网定向广告不透明性的影响,这些个人信息的共享和交易行为难以被用户所知悉,加之个人信息的二次开发过程缺乏监管,用户不知晓自己的个人信息是否挪作他用,更无法控制个人信息被收集后的使用。
(三)互联网定向广告中个人信息的不当泄露风险
个人信息一旦被收集,就存在被泄露的风险。个人信息泄露的原因不外乎互联网定向广告经营者的数据保护技术不够严谨和成熟,甚至数据库遭受恶意攻击而被违法行为获取个人信息[5]。无论是用户的疏忽披露,信息收集者的擅自提供、越权买卖,还是他人的非法盗取,个人信息一旦被泄露,就会产生极大的连锁风险,尤其敏感性个人信息的泄露,可能带来严重的财产损失、精神损害等。一些用户为了获取免费商品或服务,将个人信息泄露给互联网定向广告经营者,倘若发生众多无法预料的后果,经营者往往以受害人同意为抗辩理由阻断其获取个人信息的违法性[6]。
三、国外互联网定向广告中个人信息安全风险的法律防范
目前,各国个人信息立法主要存在两种典型模式:一是制定单独的个人信息保护法,称为综合法律规制模式,例如欧盟法;二是通过不同法律来保护个人信息,称为分别法律规制模式,例如美国法[7]。两种模式具有不同的特点和侧重点,但互联网定向广告个人信息安全风险的法律防范均被纳入其中。
(一)欧盟对互联网定向广告中个人信息安全的风险防范
欧盟以统一、集中的立法方式来实现对互联网定向广告的监管与个人信息保护。1995年,欧盟颁布《个人数据保护指令》(以下简称《指令》)为欧盟各国个人信息数据监管提供参考,但须转化为各国国内法,才能产生约束力,例如英国《1998年数据保护法案》。2016年欧盟委员会通过《一般数据保护条例》(General Data Protection Regulation,GDPR),条例作为欧盟的最高立法形式,具有高于指令的法律效力,其不必转化为国内法,即可完整、直接地适用于所有成员国。GDPR因此取代之前各成员国根据《指令》所制定的相关立法,成为欧盟成员国的唯一、统一个人信息保护立法。GDPR适用于所有收集、处理、储存、管理欧盟公民个人数据的行为,对企业收集与处理个人信息的权限予以限制,旨在将个人信息的最终控制权交还给用户本人。2002年欧盟委员会的《电子隐私指令》则对互联网定向广告等电子商业领域个人信息予以集中、具体规范,较为详细地规定Cookies等技术的相关使用问题,对“明示同意”、“默认同意”和“选择退出”等“告知一同意”機制予以解释。欧盟委员会还专门建立互动广告局和数据保护办公室,共同协助指令的实施。欧盟对个人信息的统一、集中立法和政府主导监管,在互联网定向广告的个人信息保护方面取得了良好的执行效果。
(二)美国对互联网定向广告中个人信息安全的风险防范
美国采取广义的隐私概念,未出台一部适用于个人信息保护的全领域法律,而是散见于不同领域的单行法令之中,例如《家庭教育权和隐私法》《电子通讯隐私法》《录像隐私保护法》《电话购物消费者保护法》《驾驶员隐私保护法》《儿童网上隐私保护法》《金融服务现代化法》等。同时,美国较为信任市场的自我调节能力,侧重通过技术手段与行业自律治理互联网领域的个人信息保护问题。互联网定向广告作为互联网广告行业发展的产物,主要接受行业自律规制,美国联邦贸易委员会(FTC)要求互联网定向广告中个人信息使用应当遵循透明、安全、信息保留等原则,要求互联网经营者设置“请勿追踪(Donot track)”系统,用户可以通过该系统拒绝Cookies等技术对其个人信息的收集,从而在技术上突破了“告知一同意”机制的弊端。建议性行业指引、第三方认证制度、互联网技术保护和安全港协议在内的行业自律模式可以较好地平衡互联网定向广告与个人信息保护之间的矛盾[8]。为商品和服务的创新留存较大空间,但行业自律规范不具有法律强制力,依靠经营者自愿接受,且无法覆盖整个行业,司法裁判也难以直接予以援引。
四、我国互联网定向广告中个人信息安全风险的立法体系
个人信息保护乃是信息社会的发展基础,法律对个人信息收集、使用行为予以规制,有助于推动信息产业化进程,以及更好地应对大数据和互联网对个人信息的冲击。我国个人信息保护立法以刑法先行,2009年《刑法修正案(七)》增设第253条之1的侵犯公民个人信息罪。2012年《决定》对公民个人电子信息予以较为全面的保护。2013年《消费者权益保护法神多改,第13条规定消费者享有个人信息依法得到保护的权利,第29条对经营者的个人信息保护义务予以规定,第50、56条规定经营者侵害消费者个人信息的法律责任。2016年《网络安全法》专设第四章网络信息安全,承袭2012年《决定》和《消费者权益保护法》,对网络运营者的个人信息保护义务予以较为全面、深人地规定。2017年《民法总则》单设第111条规定自然人的个人信息受法律保护以及相对方的保护义务。2018年《电子商务法》除第22条对经营者的收集、使用用户个人信息的行为予以规范,还在第23条首次明确用户查询、更正、删除与注销等信息自决权的内容以及经营者相应的义务。总之,个人信息保护已经成为近年来我国法律制定、修改的关注焦点,初步形成以刑事、民事基本法为基础,电子商务、网络安全、消费者保护专门立法为支撑的个人信息法律规制体系。
2014年,在中国广告协会网络互动分会的主持下,新浪、搜狐、网易、腾讯、百度等主流互联网企业、广告公司、第三方公司和广告主多方参与,发布了《中国互联网定向广告用户信息保护行业框架标准》(以下简称《框架标准》)。通过行业自律手段保护互联网用户的个人信息,将个人信息安全作为互联网数据使用的前提。《框架标准》规定较为具体的操作办法,建立合规审查、用户投诉等个人信息保护机制。但是,《框架标准》仅是行业协会提出的行业标准,不具有法律效力,况且我国缺乏美国式行业自律机制。因此,减少互联网定向广告对个人信息的侵害无法依赖于行业自律,需要建立法律主导下的个人信息侵害行为的规制体系。
目前,我国个人信息保护的法律规定较为分散且不够具体,立法碎片化严重影响个人信息安全风险的法律规制。因此,加强个人信息保护的顶层设计,制定《个人信息保护法》,尽快统一各领域各行业个人信息保护的立法,已经成为普遍共识。同时,鉴于互联网定向广告侵害个人信息的问题具有差异性、特殊性和复杂性,应当在《个人信息保护法》统一规定的同时,对互联网定向广告的个人信息保护予以专门立法,进一步明确互联网定向广告经营者等相关主体的义务与责任,健全个人信息的法律保护体系。
五、互联网定向广告用户对个人信息的自主控制
用户对个人信息的自决控制是互联网定向广告中个人信息安全风险防范的关键,主要包括用户对个人信息的事前授权和事后退出。
(一)用户对个人信息的事前授权
2012年《决定》规定,“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。”《消费者权益保护法》第29条第1款、《网络安全法》第41条第1款采取近乎一致的规定,此被称为个人信息的“告知一同意”机制,即信息控制者对用户告知其收集的个人信息种类、使用目的、用途、是否进行二次开发等事宜,用户自主决定其个人信息是否、在何种范围、向何人如何公开。
“告知”与“同意”有机结合,知情是授权的前提,也是个人信息自决控制的信息要素[9]。互联网定向广告经营者一般以“隐私政策声明”方式对用户予以告知,但隐私政策声明的内容过于冗长且专业,用户往往难以理解。绝大多数用户不会阅读隐私政策声明而直接选择同意;部分用户点开并大概浏览,但不会仔细了解相关内容;只有极少数用户会仔细阅读条款,但由于条款的晦涩难懂,用户无法真正理解互联网定向广告的Cookies技术对个人信息的收集与使用。此种情形下的“同意”不是充分获取、了解“告知”并考虑后作出的选择,以致隐私政策声明形同虚设,不能真正保障用户对个人信息的自决控制。我国应当加强互联网定向广告的个人信息收集、使用立法,以更为详细的法律规范替代经营者各行其是的隐私政策声明,使之集中于经营者独具特色的方面,同时应当建立以用户个体认知为基础的告知义务履行标准,督促互联网定向广告经营者以通俗易懂的方式向用户阐明隐私政策。
“同意”是用户对个人信息被收集、使用的授权,未经用户同意不得采集其个人信息。“同意”形式包括明示同意和默示同意两种。在理论上,明示同意加大互联网定向广告经营者收集用户个人信息的难度,最大程度上保障用户的知情权和选择权,更好地实现用户对个人信息的控制。但是,明示同意势必降低用户的消费体验,并不一定受到用户欢迎,也会制约互联网行业的创新和发展。鉴于明示同意的做法过于严厉反而缺乏执行力,目前互联网定向广告普遍地采用的是默示同意形式。我国应当采取个人信息分级制度,敏感性较强的信息适用“明示同意,;敏感性一般的信息可以允许适用“默示同意”。同时,用户对互联网定向广告经营者的隐私条款只有被动接受和拒绝的选择自由,一旦拒绝便无法使用经营者提供的互联网商品或服务,缺乏对隐私政策条款的协商。我国应当以法律方式要求互联网定向广告经营者根据隐私政策的不同提供差异化的互联网商品或服务,并以消费者协会为用户代表,建立起其与经营者之间的隐私政策协调机制。
(二)用户对个人信息的事后退出
用户对个人信息的自决控制,既包括有权决定本人的个人信息可否被收集,被收集的范围,被收集的时间,亦包括当用户不愿意个人信息持续被收集时,可以自行退出。《电子商务法》第24条规定,“电子商务经营者应当明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户信息查询、更正、删除以及用户注销设置不合理条件。电子商务经营者收到用户信息查询或者更正、删除的申请的,应当在核实身份后及时提供查询或者更正、删除用户信息。用户注销的,电子商务经营者应当立即删除该用户的信息;依照法律、行政法规的规定或者双方约定保存的,依照其规定。”目前,若用户关闭Cookies需要预先在瀏览器选项中手动将Cookies设置为禁用模式,才能避免被“追踪”。但是,此Cookies的关闭方法一般规定在互联网定向广告经营者的隐私政策声明中,大多数用户并不知道这一操作,加之操作不具有便捷性,在实践中较少被使用。因此,我国法律应当要求互联网定向广告经营者为用户提供简洁化的事后退出机制,例如窗口提醒等方式建议用户关闭Cookies等,方便用户行使退出的选择权。同时,还应当要求互联网定向广告经营者为用户选择定向广告投放时间等提供及时便利,避免其对用户的过多打扰。
六、互联网定向广告经营者的个人信息安全保护义务与责任
互联网定向广告经营者收集的个人信息数量巨大且十分复杂,包括身份信息、经济信息、一般兴趣爱好、社交信息等,一旦泄露会产生较为严重的后果。但是,互联网定向广告具有不透明性,用户在个人信息被收集、使用过程处于信息不对称的弱势地位,因此在用户对个人信息自决控制的同时,还应当明确互联网经营者对收集的个人信息安全保护义务,以及违反此项义务所应当承担的责任。
互联网定向广告经营者应当在信息分级基础上,建立个人信息安全保护的机制。经营者应当对收集的个人信息根据主体和内容差异予以风险评估,并采取重点保护措施。例如,未成年人属』1个人信息安全保护的重点群体,复杂的互联网环境容易对未成年人造成不良影响,我国法律应当对互联网定向广告经营者向未成年人收集个人信息和投放广告行为予以严格规制。又如,敏感性等级较高的个人信息应当定期进行风险评定,及时调整安全保护措施。
《电子商务法》第18条第2款,“电子商务经营者向消费者发送广告的,应当遵守《中华人民共和国广告法》的有关规定。”《广告法》虽然经过2015年修订、2018年修正,但其仍然以传统广告为规制对象,没有针对互联网定向广告予以规定,亦未规定互联网定向广告中个人信息安全风险的法律防范。《广告法》关于广告主、广告经营者和广告发布者等传统广告主体的分类不能适应互联网定向主体复杂的特点。因此,我国法律应当对互联网定向广告中广告主、广告投放平台、接受广告投放的平台及对信息二次开发主体的个人信息安全责任予以明确:(1)广告主有责任保证其选择的广告投放平台是安全的,对于其选择投放平台的过错造成的用户损失,广告主应当承担相应责任;(2)广告投放平台应当加强对其收集的个人信息的保存和管理,不经用户同意不得用于信息交易,确保其不被泄露给任何第三方;(3)接受投放广告的平台负有审查监管责任,应当核实广告的真实性与合法性;(4)信息二次开发主体应当确保其开发行为已经获得用户的明确授权,其使用方式、途径合法,不会损害用户合法权益。除外,我国法律还应当建立广告监督管理信息系统,将广告主、广告经营者、广告发布者等违法行为记人信用档案,对社会予以公示。
结语
互联网定向广告逐渐影响、改变着人类的生活方式,在带来经济效益与活力的同时,也对个人信息安全提出了严峻的挑战。互联网定向广告的易用性和个人信息安全在某种程度上乃是一对矛盾,在加强互联网定向广告中个州言息安全风险防范的同时,更应当认识到互联网定向广告存在的经济、社会意义,我国法律不应当矫枉过正,互联网定向广告中个人信息安全风险防范的法律限度是需要进行反复、慎重权衡的关键点。
参考文献:
[1]陈甦.民法总则评注(下)[M].北京:法律出版社,2017:786.
[2]刘金瑞.个人信息与权利配置——个人信息自决权的反思与出路[M].北京:法律出版社,2017:134-136.
[3]朱芸阳.定向广告中个人信息的法律保护研究——兼评“Cookie隐私第一案”两审判决[J].社会科学,2016(1):103-101.
[4]朱松林.论行为定向广告中的网络隐私保护[J].国际新闻4,2013(4):94-102.
[5]程明,赵静宜.论大数据时代的定向广告与个人信息保护—兼论美国、欧盟、日本的国家广告监管模式[J].浙江传媒学院学报,2017(4):97-153.
[6]王全弟,赵丽梅.论网络隐私权的法律保护[J].复旦学报(社会科学版), 2002(1):107-137.
[7]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4):62-72.
[8]严茜.论互联网行为定位广告与个人隐私权的保护[J].新闻界,2013(24):73-74.
[9]齐爱民.拯救信息社会中的人格——个人信息保护法总论[M].北京:北京大学出版社,2009:260.
[10]杨秀.大数据时代定向广告中的个人信息保护——《中国互联网定向广告用户信息保护行业标准框架》分析[J].国际新闻界,2015(5):138-154.