大数据时代个人信息保护的立法路径分析
2020-03-04杨桐桐
杨桐桐
(天津师范大学,天津 300350)
2019年,两会贯彻落实“互联网+”新经济形态,推动移动互联网、云计算、大数据和现代产业结合,促进电子商务与金融共同发展,引导互联网企业迎来中国新经济形势的曙光,由此来开拓国际市场。可以预见,大数据俨然已经成为一项趋势,正在重塑人们生活和思维的方式,但无疑也给个人信息的保护带来了巨大的风险与诸多挑战。所谓“社会数据”,是指关于公民行为方式、社交关系、兴趣爱好等能够识别个体社会属性的数据[1],而在生活中,大数据技术的发展将这些具有社会属性的信息逐渐“公开透明化”,通过对公民社会信息的定义与分析研究,不难发现个人信息已经不局限于过去的仅归属隐私权部分的内容,所以在企业与国家极力蜕变“渴望数据的利维坦”的“大数据”时代下,应当立足分析公民个人信息的保护路径,构建明确的法律规范框架,尽快出台《个人信息保护法》。
一、大数据时代的个人信息之法律素描
(一)个人信息概述
个人信息是指以文字或电子等方式单独识别特定自然人身份的全部信息,传统的个人信息除可以外露的身份信息外,其余大多都被视作隐私进行保护,而现如今随着互联网、大数据技术的发展需求,个人信息不仅包括一般身份信息,还涵盖了健康情况、婚姻状况、宗教信仰、犯罪记录等涉及人格权的事项和物、债等涉及财产权的事项。在学理上,公民个人信息权益的法律属性及范畴始终界定不一,民法学界的不同学者,基于不同价值判断,针对其私法属性多界定为人格权、隐私权和财产权。虽然,个人信息权和隐私权之间存在相似性,但由于大数据时代发展所引起的众多区分点的存在,它们应该属于两个不同的类别:在内容方面,隐私权制度重点是防止个人隐私被非法披露,而个人信息权的法益更注重信息管理者对个人信息的控制与利用是否损害信息主体的利益;在范围方面,隐私和个人信息的内容交叉,但是不重合,大多数传统的隐私权内容现在包括在个人信息权内容中;在救济措施方面,隐私权多采用事后救济,而个人信息权是以防范为主的事前救济。[2]由此可见,个人信息权的法律属性并不完全归于隐私权说。大数据时代的人格权不断延伸与发展,以至个人信息已兼具人格属性与财产属性,所以在现实中的司法实践中,诉讼公平与效率的平衡观念要求我们既要注重保障个人信息权的人格权属性,也不能将财产权属性遗落。然而,现在关键的是,当前我国的权利救济体系尚未搭建起来,在司法实务中更多的是以侵害隐私权(各级法院一般将个人信息权视为隐私权作为诉讼审判依据)或名誉权(当案件涉及他人的社会评价时将个人信息权视为名誉权进行保护)为由请求侵权损害赔偿[3],缺乏单独以公民个人信息权受侵害为由主张侵权损害赔偿的保护机制。
(二)大数据时代个人信息的相关法律保护
在宪法层面,“国家尊重和保障人权”“公民的人格尊严不受侵犯”和“公民享有通信自由和通信秘密的权利”等条款虽然未涉及“个人信息保护”的字眼,但显然可以看做个人信息保护立法的宪法依据。在民法总则层面,第一百一十一条明确提出了个人信息保护的规则性条款,但是也抛砖引玉,证明了个人信息安全问题的重要意义。在刑法层面,《刑法修正案(七)》中规定了“非法获取公民个人信息罪”和“出售、非法提供公民个人信息罪”,这为打击个人信息的网络犯罪提供了坚实的法律基础。在其他的法律方面,近年来,《网络安全法》《未成年人保护法》《商业银行法》《邮政法》等也纷纷规制了个人信息保护相关内容,以适应现实社会的发展进程,解决其中出现的问题与弊端。
但是综合全面来看,个人信息保护问题并不理想,法律并不充分。近些年来,谷歌、YouTube从多个服务器中整合提取用户信息的个人信息非法收集、社交软件查找“可能认识的人”的个人信息过度分析、钓鱼网站网络诈骗的个人信息泄露等问题的出现[4],说明个人信息法律的特征:1)立法碎片化,特别规则多,缺乏体系性;2)保护范围狭隘,法律规定不全面;3)针对网络信息违法甚至犯罪,缺乏统一的国家执行机关,以致无法建立全面的处罚机制。分析这些法律不完善之处,可以得出相应结论:国家应当尽快制定《个人信息保护法》,以解决当前问题与调整方案之间供需不平衡的个人信息保护问题。
二、准确理解欧美个人信息保护的机制
(一)欧盟个人数据保护机制
2016 年4 月,欧洲会议批准通过的规范欧盟境内公民数据如何被公司严格使用的规则《一般数据保护条例》(GDPR,简称《条例》)已正式生效实施。相较以往,《条例》完成了四项实质性的法律突破:其一,适用范围的扩大化,GDPR不仅适用于欧盟企业内部数据监督,也同样适用于欧盟以外所有正在处理个人数据的供货商和服务商;其二,对个人数据内容的扩张补充,《条例》中除了传统意义上的常规个人信息外,还新增加了基因数据、健康数据、政治观点以及性取向;其三,《条例》规定了六项一般原则,分别为“合法性、合理性和透明性”“目的限制”“数据最小化”“准确性”“限期储存”“诚实与保密”,以上六项原则为欧盟立法提供了原则性指引,这提高了对数据控制者处理个人数据的要求,也可以最大限度地降低相关企业滥用个人数据的可能性;其四,数据主体权利的增强,《条例》规定了数据主体对个人数据的访问权、更正权、控制权、被遗忘权、数据携带权等多项权利。以个人信息权为中心制定多项权利,尤其重点设定了被遗忘权与数据携带权等新型权利,全面保障数据主体的个人信息权不受侵害。
除此之外,《条例》还在第四章规定了数据控制者和处理者的义务与责任,对个人数据采取的是默认保护原理,收集、处理和删除数据都专注于保密性的程序保障。义务的第四部分是关于数据保护官(DTO)的规定,在公共机构组织中进行大规模数据处理时,任命数据保护官有效地领导企业的数据安全保护工作,在企业中还应保持自身的独立性。[5]在最后部分,《条例》详细规定了严格的问责与处罚制度,违反GDPR法规的企业或组织将被处以全球年营业额的4%或者2000万欧元甚至更高的罚金,数据主体有权在数据控制者、处理者侵害数据主体的个人信息权时向监管机构及司法机构提起民事诉讼并且要求赔偿。欧盟的《一般数据保护条例》按照传统民法体系的“权利—义务—责任”的模式进行立法,但特殊的地方是权利规定偏向于数据主体的权利、义务规定偏向于数据控制者、处理者的义务,这种机制是调整数据主体与数据控制者之间易失衡的性质,更能体现出欧盟对个人信息保护的立法目的。从价值属性上看,欧盟更注重个人数据的人格权特性,已经逐渐构造起以个人信息权为中心的保护机制。
(二)美国个人数据保护机制
通过信息技术革命,美国引领了世界第二次大战以来最长的经济繁荣时期,在数据采集和信息处理方面具有较强的优势,主导着全球互联网信息技术的发展进程,是世界上最大的数据进口国与数据出口国。在私营部门,美国出于对市场调节的依赖和支持信息技术发展的考虑,依靠自律机制实现对个人信息的保护,有企业相应的监管部门保护个人信息免于非法收集、处理与利用。在信息化发展进程中,美国联邦健康、教育与福利署于1973 年深层次研究信息资源公平利用问题,提出并发布了“公平信息实践法则”。该法则主要包括五项基本原则,分别为“公开性原则”“限制性原则”“数据质量原则”“责任与安全原则”和“个人信息权利保护原则”,其中主要强调了数据管理者公开告知与数据主体同意框架的强化、数据安全处理的义务、数据管理者的侵权责任制。五项原则体现了信息主体有权知晓、有权纠正、有权拒绝等多项个人信息权。[6]“公平信息实践法则”也构成了后来1974 年《隐私权法》的基础并处于核心位置,而个人数据信息多在隐私制度下得以保护。在公共领域,美国进行了隐私权法案立法,1974 年联邦颁布了《隐私权法》。后来,采取了相对较为宽松的分散式立法,分别针对特定行业或领域例如在消费、通信,金融,儿童上网等方面进行互联网信息安全保护立法,解决不同行业各自产生的信息收集、使用问题,例如《消费者信息隐私权法案》《电子通讯隐私法案》《金融服务现代化法案》《儿童网上隐私保护法》等。即使是注重行业自律的美国,也逐渐倚重隐私权立法角度出发去保护个人数据信息。美国的个人信息保护更注重保障信息的机密性与完整性,从整体上可以看出,其保护机制的核心在于以隐私权平衡个人利益与公共利益,从而维护国家的信息产业地位。
三、我国个人信息保护的立法路径
对欧美个人保护机制详细地分析后,我国应该尽快制定与社会主义市场经济相适应的法律制度。首先要进行的是一定程度上的法律移植,与所谓国际社会“接轨”,但同时不能放弃法律继承,成为一部“本土化”的法律。中国国情适应现代社会的市场经济,并且协同飞速发展的大数据技术,简单说市场经济更多的是法制经济[7],所以在这种体制下对个人信息的保护也是对市场的保护。
(一)明确个人信息保护的基本理念与原则
可以借鉴欧盟《条例》,我国首先应当明确立法目的是加强个人信息安全保护,在此基础上促进个人信息的充分利用。在立法目的确定后,公民的个人信息权应处于该法的核心地位,受到国家与企业等数据管理者的尊重和保障,确定公民个人信息权与国家、企业的开发利用权并重的价值理念,并以此为指导思想分析立法路径,继而制定《个人信息保护法》。基本原则如下:
第一,目的特定与限期储存原则。个人信息的收集目的在收集前就应明确,并在其后的使用仅限于实现这些目的。对于能够识别信息主体的个人信息,其保存应当不长于为了实现个人信息处理目的所必要的期限。
第二,公开原则。参照欧盟《条例》的透明性原则和美国“公平信息实践法则”中的告知与有权知晓内容,应当设立便于确定个人信息的存在和属性、使用目的及信息管理者身份等内容的公开性原则。对此,政府可以建设公益性质的公证机构、设立相关网站或创建同步APP,信息管理者登记相关信息,以供信息主体可随时查询,全网由政府个人信息保护部门全权掌控,也可以委托相应公司进行及时管理、更新与维护。
第三,个人参与原则。信息主体享有个人信息权的多项权能,分别为信息知悉与更正权、信息决定与反对权、信息携带权、信息删除权、收益权。这是将欧盟《条例》与美国“公平信息实践原则”合理结合后适用于我国的给予信息主体多项权利原则,也是保障公民个人信息权的关键。
第四,安全保护与诚信保密原则。个人信息的处理应当通过合理的技术或组织手段,保障公民个人信息的安全。双方秉持诚实、恪守承诺,尤其是信息管理者,应当对所控制的公民信息实行严格的保密机制,不得泄露,否则将对泄露之后的损害后果承担相应责任,并交纳泄露信息的处罚金。
(二)确立信息主体的权利与义务
信息主体在《个人信息保护法》中应确立如下权利:
第一,信息知悉权与更正权。信息主体有权通过公共查询服务知道其个人信息被收集与利用的情况。[8]此项权利能够保证商业“透明化”,达到望眼欲穿的效果,极大程度的保证信息主体的个人信息安全,深刻落实个人信息保护法的公开原则。再次,信息主体有权在信息管理者提供的更正错误信息的程序中对不准确、不全面的自我信息进行完善,保证信息的合理性。
第二,信息决定权与反对权。信息主体在涉及较为私密的信息时可以自主确定信息管理者收集、利用的权限和范围,以及信息主体有权在任何时候拒绝被收集、利用信息,法律有特殊规定的除外。这深刻体现了信息主体的支配权即个人信息权的财产权属性,其中借鉴了美国“公平信息实践原则”的内容,将信息决定权与拒绝权赋予公民。
第三,信息携带权。参照欧盟《条例》,信息主体有从现有的控制器管理范围内的个人信息部分或全部传输到另一个控制器的权利,程序简单且不需支付操作费用。在竞争法的角度思考,大数据技术的逐步提升和广泛使用使得占数据优势的经营者越来越强,导致独寡占市场结构的加速形成,一旦平台经营者的数据垄断地位形成,其很可能妨碍信息主体在同等条件下选择更优质的隐私安全服务权利的实现。[9]所以信息携带权将有效保障信息主体的自由选择权,选择更安全的个人信息保护服务。
第四,信息删除权。目的在于使信息主体的相关信息在一定时间后不可搜索,在特定领域中对信息主体过往的负面信息进行披露与使用的限制。信息主体选择限期储存,在期限内信息管理者可以控制与利用信息,期限届满时个人信息将被自动清除,然而时间的不确定性到现在对于信息主体和信息管理者仍然皆是未知谜题,需要研究者们更进一步探讨;信息主体也可在提出一定理由后向信息管理者主张删除特定信息,但这是否会影响企业的大数据发展仍待验证,建议信息主体采用事前、事后相结合的方式。劳动、消费者以及预防犯罪等领域应该联合限制负面信息的披露,个人信息公开的文化与网络无法遗忘之间的矛盾强烈要求确立信息删除权,将“被遗忘权”进行本土化法律适用。
第五,收益权,指信息主体要求管理者支付相应对价的权利。此处所谓的对价,并非一定表现为金钱,还可以表现为获得服务、获得具有金钱价值的物等。[10]因为个人信息已经由人格权逐渐商业化,基于个人信息权的财产权属性,信息管理者应当支付对价。
权利与义务普遍存在对应性与制约性,信息主体最应履行的义务就是配合大数据时代发展的需要,提供准确的个人信息并及时更新。这个时代的数据资源可谓“黄金”资源,与国家的经济发展有着密切联系,公民应该在注重自我个人信息安全的同时,理解社会前进的方向,尽力满足实现公共利益的需要。
(三)确立信息管理者的权利与义务
国家将大数据产业作为新经济,企业将大数据作为重要的商业资源。信息管理者作为利用大数据推进社会发展的助力器,享有一定的权利。其一,信息管理者可以合法收集、处理和利用个人信息;其二,信息管理者有权要求用户为获取相应服务而支付数据对价,例如当用户注册使用互联网应用时需要同意《使用条款和隐私政策条款》,其中就包括应用开发商可以收集使用相关用户的隐私数据,此种授权可以视为用户获取免费服务所提供的对价。
在个人信息收集处理的过程中,信息主体始终处于弱势地位,信息管理者处于控制地位。为恢复双方地位之间的平衡,应当突出强调信息管理者的义务及对信息主体的责任。信息管理者的义务应当包括[11]:1)预先告知义务;2)向信息主体公开义务;3)尊重信息主体自主决定权和反对权的义务;4)收集、利用信息时支付信息主体相应对价的义务;5)方便信息主体参与管理个人信息的义务;6)保障个人信息安全的义务。
(四)完善个人信息保护的监管及救济制度
个人信息保护的监管机制应分为两个层面,一个层面为国家公权力监管,另一层面为企业监管。大数据时代的信息多具有商业价值,往往很容易在管理过程中造成信息泄露和侵害,所以仅靠企业自律性并不能监管方方面面的环节,国家应该设立统一的监管机关——个人信息保护委员会。此委员会主要设立严格的监管制度来监督《个人信息保护法》以及其他关于个人信息的使用和处理的法规执行,定期审查企业的信息处理工作,保证市场有序的进行。个人信息保护委员会不仅要进行事前、事中的严格监管,还应当加大事后的处罚力度。设置不同等级额度的处罚金,建立违法行为“公示”制度,将违法企业列入“黑名单”等方式都可以有效遏制侵犯公民个人信息权的行为发生。[12]个人信息保护企业中应当设置个人信息监管部门,其职责为:对信息登记核实、对信息主体公开数据、维护查询系统、监督数据处理活动等,并且与国家个人信息保护委员会进行对接,形成一个完整的体系网来保护信息主体的利益不受损害。
信息主体遭到侵害后有权获得司法救济,若信息管理者的加害行为给信息主体造成财产损失或严重的精神损害,管理者将承担赔偿责任并接受国家监管部门处罚。解决私法纠纷包括正式的诉讼机制和其他非诉讼机制,以实际获得或享受权利救济,信息主体和信息管理者发生个人信息保护权益争议的,可以通过下列途径解决:1)与企业个人信息监管部门协商和解;2)向国家个人信息保护委员会投诉;3)提请仲裁机构仲裁;4)向人民法院提起诉讼。
四、结语
由于全球大数据技术的成熟与资源的增长,利用数据信息很大可能使得公民个人信息受到侵害,然而我国并没有可以依据的实效性法律依据,所以需出台《个人信息保护法》对个人信息安全加以规范。透过对欧美个人信息保护机制的分析可以发现,欧盟《一般数据保护条例》采取了逐步确立个人信息权保护机制而美国则采取行业自律模式和隐私制度进行规制。我国需要一部适应我国国情的本土化个人信息保护法,从保护原则、信息主体的权利与义务、信息管理者的权利与义务和监管与救济模式进行分析,其中重点强调了信息主体的权利。故此,借助这些立法指南的描述不仅能够帮助立法者树立大体方向,更重要的是唤起对个人信息保护重要性的认识。