我国个人信息法律保护面临的困境与完善
2019-12-23王茹仪
◆王茹仪
我国个人信息法律保护面临的困境与完善
◆王茹仪
(中国政法大学刑事司法学院北京 100088)
当前个人信息被严重滥用引发了社会信任危机,法律层面的保护也面临着一系列的难题,立法体系存在漏洞,刑法过度涉足,专门立法缺失,用户对信息控制权的薄弱也导致信息保护规则难以切实发挥效用。要解决这一系列问题,必须从多元化的角度完善信息法律保护的整体架构,尤其注重优化现有的信息收集处理规则,突破僵化的瓶颈,同时结合企业内部的自律,进行公私合治。同时仍应当做好技术和监督等方面的保障,以此实现信息社会的平稳发展。
信息滥用;控制权;信息收集处理规则;多元完善角度
0 前言
当前互联网企业凭借着其技术和信息的优势地位,在商业利润的驱使下,过度收集利用信息,挤压并侵犯用户权益。然而,我国信息立法起步较晚,现有的个人信息法律保护较为滞后,面对实践操作许多规则陷入失灵的困境。本文将对我国个人信息法律保护现存的弊病进行分析,着眼于提出相应的完善思路,使得个人信息权益能够得到切实保障。
1 我国个人信息保护面临的新挑战
伴随信息技术的不断发展,互联网企业成为最大的获益者,其形成的“免费+增值服务”的商业模式以燎原之势迅速俘获了大批用户,同时也对传统线下产业造成了大幅冲击。其在发展之初通过免费的方式吸引到了大批用户,借此获得了大量的用户信息。此后对信息进行深度挖掘分析,为用户精准地推送相关服务,赚取增值服务利润的同时,也使得用户对应用或平台产生了依赖性。顺应这种市场需求的热度,企业或者平台不断拓展其所涉及的服务领域,整合各方面的资源,可以说形成了一个庞杂的生态系统,这一生态系统希望不断吸引更多固定的用户,最大限度地搜集和处理他们的信息。[1]在此过程中,用户身份从消费者变相成为免费的劳动力、生产者。互联网企业相对于用户处于绝对的优势地位,其对用户信息的渴求和获取手段也愈加肆无忌惮。
在信息收集环节,互联网企业以各种程序为依托,私下搜集用户信息。对用户的访问内容、访问次数、兴趣偏好、网站地址等进行详细的记载和分析,不断推出的新应用软件实则监视着信息主体的一举一动。另外,注册登录程序和实名认证制度的施行一方面对保障网络环境安全起到一定的积极作用,但同时也迫使个人真实信息被动流出和被强制搜集。
在信息处理环节,首先,系统会根据人们的日常消费或偏好内容,对用户进行分类,类似于“贴标签”。大数据杀熟就是由此产生的一个现象,同一商品针对不同消费能力的群体会显示不同的价格,继而引发社会公平、消费者权益侵害等系列问题。其次,用户信息的后续处理和转手交易泛滥。用户在一个应用软件中的搜索记录,会成为其他软件进行推送的依据,却并没有经过用户授权,如京东与淘宝,B站与网易云音乐。最后,脱敏技术效果正逐渐丧失。在大数据时代,借助绑定的其他来源获得的间接识别信息(如IP 地址、标识符、广告辨识码等)或者关联信息,最终也可以锁定到信息主体。当前用户信息面临着严重被非法利用的风险,为相关民事侵权和刑事犯罪提供了可乘之机,不仅仅危害用户的信息权益,也对用户的人身财产乃至社会公共利益构成了威胁。
2 我国个人信息法律保护现状
我国缺乏个人信息的专门立法保护,条款散布于多个部门法中,较为零散且缺乏细化措施。在此,主要从个人信息内涵的通说理解,整体的立法框架和信息收集处理规则三方面来阐述法律层面保护的现状。
(1) “可识别性”为通说的个人信息界定
关于“公民个人信息”的概念刑法典自身未作规定,《刑法修正案(七)》和《刑法修正案(九)》也未作涉及,最高人民法院、最高人民检察院发布的《关于依法惩处侵害公民个人信息犯罪活动的通知》(网安法之前)将个人信息从电子信息扩大到了所有类型的信息,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(网安法之后)将反映特定自然人活动情况(行为信息)纳入,但是内容存在牵强和自相矛盾之处[2]。因而当前更多的是将“广义可识别性”界定作为通说,规定于《网络安全法》第76条第5款中。
(2)当前个人信息保护立法体系
当前立法中,《网络安全法》、《电子商务法》、《民法总则》、《刑法》、《侵权责任法》、《消费者权益保护法》是主要依据的规范。其中,《刑法修正案(九)》在原有涉及计算机罪名的基础上修改和新增了相应罪名,例如拒不履行网络安全管理义务罪,帮助信息网络犯罪活动罪等,进一步延伸了帮助犯正犯化,预备犯正犯化的理论和扩张解释的思路。《民法总则》111条规定个人信息受到法律保护,但仍未将其上升至权利的层面。《网络安全法》第四章专章对网络信息安全进行了明确的规定,为个人信息保护制度奠定了框架性规则。《侵权责任法》中也规定了一些和个人信息有关的权利,如不得侵犯姓名权、隐私权等。《消费者权益保护法》新增的29条规定了经营者收集、使用消费者个人信息应当遵守的规则和应采取的补救措施。
新出台的《电子商务法》也对个人信息保护制度做出了相应强调,例如第23条规定了电子商务经营者在合规的基础上搜集使用个人信息,第25条规定了电子商务经营者向有关主管部门的信息报送制度,并要求主管部门应当严格保密所涉的个人信息,不得泄露、出售或非法向他人提供,涉及企业数据处理企业和政府之间的关系。第31条则是对平台经营者记录保存信息和保障其安全的义务做出了规定。第18条提及广告推送的问题,但只是规定参考《中华人民共和国广告法》,条文颇为概括且争议较大,专门的措施与落实还需要日后进一步完善。就整个法律体系而言,《电子商务法》一方面弥补了现有信息法律制度的不足,另一方面也有利于处理好与其他法律的衔接问题。
(3)个人信息收集处理规则
根据对前述立法条文的归纳,信息收集处理规则可以概括为以下几个方面:
第一,有特定目的的限制收集。有特定目的的限制收集可细分为两个规则:“有特定目的”和“限制收集”。应当按照特定的目,不得没有、超出或改变目的范围收集个人信息。要求必须在边界内收集个人信息,不得越界收集与目的无关的其他个人信息,原则上应当直接向信息本人收集,尤其在涉及敏感个人信息时[3]。
第二,信息主体知情同意。我国《网络安全法》将告知的主体限定于“网络经营者”,第41 条仅规定告知的内容为“收集、使用信息的目的、方式和范围”。第43条规定了信息的删除权,若网络运营者违反规定收集和使用信息,信息主体有权要求删除。
第三,信息内容需要真实可靠。个人信息搜集者要确保信息内容准确,关注并重视个人信息的质量,并及时更新。
第四,收集处理过程保障安全。信息收集处理者不得非法向他人提供或出售所收集处理的信息,不得篡改、泄露或毁损信息内容,同时要采取相应的监控或加密技术予以保障。
3 当前个人信息法律保护面临的困境
当前个人信息收集处理规则有效性的前提在于个人能够有效行使其对个人信息的控制权利,并在理性判断基础上做出决定,对个人信息的保护偏重于信息主体的主观意愿。[4]然而在面对现实中错综复杂的信息流动链条和利益关系时,这一系列规则逐渐显得力不从心。
(1)“可识别性”理论在实际操作中面临困难
《网络安全法》第76条第五项对个人信息概念做出的“广义可识别性”理解现虽已成为通说,具有一定的理论基础,但是在实际操作中仍然存在着一些难题。一方面,就一些数据分析公司而言,在收集和处理单条信息时,均不具有可识别性,但是将所有单条信息综合起来,则会呈现出对信息主体的清晰画像,具有可识别性。另一方面,当前信息泄露对信息主体造成侵害并不一定需要识别到具体的身份。[5]例如,淘宝和许多歌曲、视频软件的每日推送,根据的仅仅是主体某一方面的爱好兴趣相关信息。采用“可识别性”的标准并不能将其视为个人信息,由此将使互联网企业间此类信息的交易肆虐泛滥,影响公民的生活并严重损害主体的其他权利。
(2)用户对自身信息的控制和自决难以实现
信息收集处理者与用户之间存在着严重的信息不对称,收集者凭借其专业技术,天然地处于信息优势地位,用户则处于十分被动的境地。企业在处理该信息后可能与其他个人信息结合使用,也可能继续多次转手,甚至与数个交易对象同步进行交易。在此情况下,用户对自身信息的流向,面临的损害风险没有全面的了解,无从预估,也无法介入流程,信息主体的整体控制力非常微弱。
(3)传统知情同意的可操作性被弱化
一方面,虽然当前软件APP使用前都会显示用户协议的弹窗,并让用户做出是否同意的选择,但大多隐私条款声明内容冗长用语晦涩,用户难以仔细阅读且完全理解;另一方面,如果用户勾选“不同意”,则直接无法进入后续应用获取服务,大多数用户为了满足自身的工作学习或生活需要而选择同意,无奈放弃维护自己的信息权益,因此用户面对信息收集处理实则没有选择,“知情同意”的原则成为虚设,甚至反而成为诉讼中企业抗辩的理由。
(4)传统个人信息保护模式无法覆盖特殊情形
随着信息技术的发展,有一些信息的自身收集方式存在特殊之处,比如谷歌街景和百度全景地图,采用的全景技术是通过专业相机将现实世界的空间场景捕捉下来,利用软件将多幅平面照片拼接合成,并模拟成三维空间的360度全景景观。[6]虽然全景地图开发者已经通过打码等方式对地图中的人脸、车牌号等进行模糊处理,但是根据收入地图中的其他景观、标志、符号、体型等仍有可能识别出特定个人。[6]在此种情况下,传统的个人信息保护模式将面临失灵的难题。
(5)立法体系仍有待完善
总体而言,虽然前文提及《刑法》《民法总则》《网络安全法》及相关法律法规已初步构建了我国个人信息保护体系,但我国的法律规则与当前信息资源的特点尚未完全配适。我国《个人信息保护法》迟迟未立,存在个人信息保护专门立法的空白,现有相关条文零碎分散、思路局限,缺乏全面完善的保护体系。我国至今明确没有规定个人信息权,因而信息规制体系的权利基础也存在模糊地带。就部门法而言,在我国对于侵犯公民个人信息的行为,一直以《刑法》为准,其也因此成为主要的制裁依据。然而,个人信息的权源在于民法领域,刑法亦具有谦抑性,我国民事立法对个人信息的定性、损害填补与救济措施缺乏详细的规定。另外,在将刑法等传统部门法内容扩张适用于网络空间的过程中,能够发现不同条文的解释之间经常存在矛盾,缺乏统一和自洽的解释体系。
4 个人信息法律保护的完善思路
完善个人信息保护制度,需要采取立法改进与企业自律的公私合治思路,其中立法改良的侧重在于突破当前条文内容和思路的局限,优化相应规则以提高可操作性。同时补充专门立法,填补体系的空缺,进一步明确信息内涵与权利属性,另外仍制定相应的配套措施帮助落实,综合形成多方位的保障。
4.1 加强个人信息保护规则的可操作性
伴随着数据的深度挖掘与利用,信息在产生后与主体几乎分离,以控制论为核心和前提的信息收集处理规则很难有效应对大数据时代个人信息保护面临的新挑战。要解决这一问题,需要针对当前规则的症结之处进行改良,同时融合补充新的途径。
(1)使“虚设”的告知同意规则“落地”
一方面,对传统告知同意规则进行细化和优化,实现信息处理过程的全公开。告知是取得同意的前提,应扩大告知义务主体的范围,将个人信息的收集、利用、存储和分享者等各类企事业单位包括在内。应扩大告知内容的范围,除了目的、方式和范围,搜集人的基本信息,存储的期限以及是否向第三方提供、第三方的信息(若需要向第三方提供)外,不提供个人信息可能受到的不利后果,信息主体具有的权利和救济途径都应当包括在内。分阶段和多次收集的,要逐次告知;持续收集的,须给予用户选择退出的机会。若在后期处理过程中超出收集时告知的目的和使用范围,也须及时告知信息主体,并再次取得同意。同意就是在告知的基础上,权利人做出自由意思表示。同意需要注意以下四点:同意选项要有显著标识;作为权利人任何时候都可以撤销同意;双方地位悬殊时,同意并不代表合法;由收集使用人承担举证责任。同意的方式宜采取清晰、真实意愿的书面同意,在个别不便采取书面方式的情况下,可以在保障信息主体真实意愿的前提下采取口头方式。当然,当涉及国家公务、法定义务、社会公共利益、第三方重大权益或者有明确证据证明信息主体已经知晓该事项时,可以免除该项义务。企业提供的隐私声明或个人信息保护协议中,应当对事关用户权益的关键条款和词语,用加粗、放大、标记或更改颜色等明显的方式进行提醒。同时需要对声明和协议的内容进行精简,采取通俗易懂的表达。另外,应当对不同场景下用户同意的自主性做出评估[7],在知情同意原则中最大限度地保障用户的自由意志。
另一方面,转变用户被迫同意的无奈情形。针对用户可能不同意隐私条款的情况,较之于完全不允许用户享受服务,企业可以采取区分对待的措施,例如对不同意条款的用户限时试用或者限制部分功能的开放,或者对于同意和不同意条款的用户,分别提供信息保护程度不同的服务。并且企业应当重视统计同意和不同意隐私声明的用户数量和比例,关注用户的意见反馈,及时对隐私声明内容进行合理修改,由此使“知情同意”的规则切实发挥作用。
(2)完善个人信息处理中的删除权
《网络安全法》43条和《电子商务法》第24条第2款对删除权做出了明确的规定。对比欧盟GDPR对“被遗忘权”的规定,当前的条文存在着两点不合理之处。第一,将删除责任人限定于“网络运营者”,适用范围较窄,未来立法时应扩大责任主体范围,一切个人信息收集者、处理者均包含在内与此相同。第二,行使删除权不应当以信息收集处理者违反收集使用规定为前提,信息主体可以基于意思自治随时提出申请。[8]另外,删除权的兜底条款如何规定,在接到申请后应当在多长时限内删除,如何保障信息删除的彻底和消除删除前对信息主体造成的影响,删除权与企业费用成本如何平衡,也都是应当考虑的问题。
( 3 ) 明确匿名化的标准
当前的关联识别技术使得通过非敏感信息也能识别到信息主体,即使是做了匿名化处理的敏感信息也能通过脱敏技术还原[9]。解决前者非敏感信息面临的问题可以通过立法手段从处理权限上加以限制。欧盟《个人数据保护与流通指令》做出了一个很好的范例,规定了非敏感个人信息处理的条件:“个人信息本人毫不含糊地表明其同意;或此前有约定信息本人同意或请求处理;或为履行法律义务;或为保护个人信息本人的重大利益;或为保护公共利益或者获得他方授权完成事务;或为追求合法利益。只有出现这些情形并且有必要处理时才能处理。”而对于后者敏感信息,个人认为则更应当从技术标准上做出明定,这就需要考虑信息匿名化应当达到怎样的标准。《网络安全法》42条第1款,将匿名信息界定为“经过处理无法识别特定个人且不能复原”,结合《网络安全法》76条第5款的规定可做进一步理解,即“单独或者与其他信息结合均无法识别”。综合来看,我国应采取的匿名信息标准为:在现有的技术水平条件下,从数据本身不能够识别到个人,即使经过关联比对也不能再识别到个人。数据本身识别不到个人和终端又包括两层含义,数据处理者本身无法再恢复识别,其他的数据获得者也无能力再还原[10]。但是信息匿名化后,信息主体自身仍有权决定披露该信息。
4.2 制定个人信息保护专门立法
《个人信息保护法》还未出台,但目前已经提上了立法议程。《个人信息保护法》要解决当前问题:一方面,必须要重视当前复杂的多方利益关系。正如周汉华教授所提到的:激励信息控制者主动保护个人信息安全,实现对个人信息权利的保护,立法需要改变原来的命令控制式,而寻求多元互动[11]。另一方面,可以强调构建信息安全信任机制的重要性。当前大数据时代,个人信息的流转无可避免也是必要的,对信息的收集处理,对信息主体权益的保护,很大程度上依赖于企业和用户之间的信任。借助立法旨意,政府、第三方服务、媒体和用户的共同推动,我们可以考虑构建双向信任管理机制,以企业处理个人信息风险评估、个人信息泄露报告和用户个人信用情况评估为核心。由此把控企业收集处理信息风险的同时也能够规范用户自身的行为,实现信息收集处理过程中多方主体利益的内部自恰。再者,也有利于民法诚实信用原则的应用,推动整体社会信用制度的建立。
再者,前文提到《网络安全法》“可识别性”的通说标准面临着挑战,多条信息相联系具有可识别性,软件根据单方面兴趣爱好进行推送的泛滥给司法带来了认定上的困难,朱烨诉百度侵权案[12]就是一个典型例子。因而在《个人信息保护法》中,可以对《网络安全法》中的“可识别性”做进一步扩张理解:即将个人与其他人区分开来,并能够联系到个人或者其使用的设备。个人的基本情况,搜索记录、浏览记录,终端信息等都应当被纳入,在个人信息的界定中强调信息的关联性和个人信息保护范围的动态性,打破僵化的模式。
4.3 发挥行业内部的自律作用
针对当前互联网企业的商业模式,通过行业自治,在其内部形成良好的激励与驱动机制,与国家层面立法相结合,能够更好地实现公私合治的效果,也有助于商业利益、用户权益与国家利益的平衡。
一方面,互联网企业自身可以通过协商制定行业规范,规范商业运作与服务模式,设定相应的惩戒与处罚措施,形成自律机制。例如,2014 年中国广告协会网络互动分会发布的《中国互联网定向广告用户信息保护行业框架标准》就是一个先例。另一方面,互联网企业之间可以进行联合,设立一个独立的认证组织,由这一组织制定个人信息保护规则,同意遵守这些规则的企业将获得该组织的授权和认证标志,网络用户可凭此识别[13]。由此,也有助于形成前文所提到的用户与企业间信任机制的形成,帮助其贯彻。
4.4 辅以配套措施填补漏洞与保障救济
立法设计与行业规范需要相应的配套措施加以辅助,营造良好的实施环境,在保障落实的同时实现救济。具体包括以下几个方面:
( 1 ) 监督机制
监督分为内外两部分,内部监督可以靠行业自律来实现,外部监督除了法律政策监督,公共舆论监督,还可以考虑设立独立的监督机构。公共部门对个人信息进行管控,但是在效率、专业性和覆盖范围方面均存在着缺陷。独立的监管机构可以集中当前分散的个人信息监管事务,全面、有力、高效地维护信息安全。我国也可以参考欧美采取的措施,给予监管机构申请审查和复议的权利,防止个人信息滥用,监管机构针对实际情况,可撤销该部门处理个人信息的授权或许可。
( 2 ) 技术措施
法律手段不可避免地具有滞后性,网络空间的规制离不开技术的架构,要深度防范个人信息被侵害,就必须设置技术防线。风险防范技术不仅仅需要降低信息收集处理的过程产生的风险,还应当尽量降低数据在后续利用环节中可能产生的风险,比如针对数据的二次利用和关联识别的问题,可以在收集处理阶段建立个体识别风险预测模型,实现进行预估计算[13]。此外,考虑到效率与成本,应当对安全保障措施分级,对不同种类,敏感程度不同的信息采取不同等级的技术保障。
( 3 ) 救济措施
用户在发现其信息权益被侵害后,无法得到及时合理的救济,也是造成用户维权积极性低,任由企业收集处理的因素之一。当前《网络安全法》和《刑法》多是从行政责任和刑事责任的角度加以规定。个人信息的权源在于民法领域,在研究规制措施中,需要补足和逐步完善民事责任的承担。首先要明确的就是赔偿数额的计算方式:被侵权人信息权益本身遭受的损失,因侵犯个人信息引发的其他财产损失,侵权行为的手段和危害性等均应当作为考虑因素。另外,可以考虑引入惩罚性赔偿制度,更好地遏制侵犯个人信息的行为,同时提高用户维权的积极性[14]。
( 4 ) 树立用户自主意识
在分享经济的社会背景下,用户的信息权益被严重侵害,一方面是因为企业与用户间的地位不对等,后者明显处于弱势地位;但另一方面,我国缺乏私权意识的土壤,用户缺乏自主意识,放任企业随意收集处理自身信息也是不容忽视的一个重要因素。用户作为信息主体,在技术和架构成为根本驱动的大背景下,应当不断培养自主意识,正确认识和控制个人信息的利用,而非单纯沦为企业的免费生产者。
5 结语
个人信息保护是当今时代的关键词,从宏观社会发展趋势到微观个人权益,均与其息息相关。一方面我们要融合新的途径对现有立法细化优化,使知情同意、匿名化、删除权等规则切实“落地”有效,注重个人信息专门立法,构建完备的立法体系;另一方面,要充分发挥内部行业自律的作用,与立法互为补充。最后,监督、技术、救济、自主意识等配套措施作为不可或缺的外围防线,也应当得到重视。希望本文对我国个人信息法律保护面临问题的归纳与完善措施的构想,能够对实现信息时代安全与效益共举,个人利益与商业利益平衡,起到一定的参考作用。
[1]胡凌.网络法的政治经济起源[M].上海:上海财经大学出版社,2016.
[2]于志刚.“公民个人信息”的权利属性与刑法保护思路[J].浙江社会科学,2017(10).
[3]高志明.个人信息流转环节的法律规制[J].上海政法学院学报,2015(03).
[4]孙清白,王建文.大数据时代个人信息“公共性”的法律逻辑与法律规制[J].行政法学研究,2018(3).
[5]王秀哲.大数据时代个人信息法律保护制度之重构[J].法学论坛,2018(6).
[6]百度百科:“百度全景地图”词条,网址https://baike.baidu.com/item/百度全景地图/9699291?fr=Aladdin,2018-12 -20.
[7]姜盼盼.欧盟个人信息保护法中当事人同意的立法经验与启示[J].图书馆建设,2018(11).
[8]杨菲儿.互联网下的“被遗忘权”[J].法制博览,2018(32)
[9]徐卫华.大数据时代个人信息保护与互联网广告治理[J]. 浙江传媒学院学报,2017(2).
[10]韩旭至.大数据时代下匿名信息的法律规制[J]. 大连理工大学学报,2018(4).
[11]周汉华:探索激励相容的个人数据治理之道—中国个人信息保护法的立法方向[J].法学研究,2018(2).
[12]凯迪综合网.百度隐私权保护声明:寻找个人信息保护和利用的平衡点-朱烨诉百度隐私权侵权案. http://www.szkai-di.cn/a/2017/1106/26005.html,2017-11-06.
[13]范为.大数据时代个人信息定义的再审视[J].信息安全与通信保密,2016(8).