对我国个人数据(隐私)保护的探讨
2021-01-10付钰禧
摘要:互联网产业的兴起与发展使我国个人信息数据隐私面临极为严峻的挑战,人工智能、机器学习等技术的普及更加加剧了个人信息泄露与数据滥用的现象,因此建立个人信息数据的法律保护规范极具必要性。我国香港地区在个人信息数据保护领域颇有成效,其《个人资料(私隐)条例》规定了六大保障资料原则:收集个人资料的目的及方式;个人资料的准确性及保留时限;个人资料的使用;个人资料的保安;资讯需在一般情况下可提供;查阅个人资料。希望从中发掘内地可以借鉴与学习的成果,并从该角度对《个人信息保护法》予以建议与反思。
关键词:个人数据;香港;个人信息;隐私保护
中图分类号:D923文献标识码:A文章编号:2095-6916(2021)24-0082-04
一、个人数据(隐私)保护的必要性
随着上世纪80年代互联网技术的引入,互联网在我国已经发展了近40年,从一开始的“web loading”到现在的云计算爆发、人工智能以及机器学习技术的不断完善,以致于人们现在早已无法离开互联网所带给我们的便利环境;互联网所衍生出的各类应用程序以及服务产品也早已渗透至生活各处,与“衣食住行”紧密绑定。根据智研咨询《2021—2027年中国互联网行业发展现状调研及发展趋势预测报告》数据显示:2020年中国网民规模为9.89亿人,渗透率超60%,并涵盖金融理财、出行交通等各个领域。但在互联网经济不断发展的同时,由于法律的滞后性、软件应用开发技术不完善等原因,导致个人数据被开发者、管理者或第三人大量收集且挪用,个人信息泄露事件屡见不鲜,甚至出现第三方平台出售特定人员的手机号、身份证乃至家庭住址的事件,对社会造成极为恶劣的影响。此外,由于部分应用程序的垄断,运营商或企业可以获取大量用户数据,包括身份数据、位置数据、行为数据等,基于此数据库内的收集整理分析后,充分利用“回音壁”效应,固化信息茧房,结合运用“推荐系统”进行个性化推荐,以谋取商业利益;除此之外,利用大量个人信息数据进行结果分析,用于企业运营战略规划,产生难以估量的价值。
然而,上述互联网产业链中的参与者在享受商业暴利的同时,也正在不断地蚕食用户对个人信息的知情权、决定权、控制权,严重地侵害了个人隐私[1]。笔者认为数据,从某种意义上讲,是一种新时代的权柄,对这份权力若不及时加以严格规制,其则会失去控制,成为悬在头顶的达摩克利斯之剑①。因此,对于我国个人数据(隐私)保护立法刻不容缓。
二、香港地区《个人资料(私隐)条例》
我国香港地区法律过去受英国法律影响,对个人信息(隐私)的保护力度一直在世界各国或地区中名列前茅[2]。香港于1995年便制定了《个人资料(私隐)条例》,甚至成立了香港个人资料私隐专员公署来负责监察
执行该条例,且多次进行全面审阅以及咨询修订,有较为完善的体系。香港《个人资料(私隐)条例》于1996年12月20日生效,以保护在世个人有关个人资料的隐私利益。该条例涵盖了直接或间接与活着的个人(数据主体)有关的资料,根据该资料切实可行地确定该个人的身份,并以查阅或处理是切实可行的形式进行。它适用于控制个人数据的收集、持有、处理或使用的任何人员(数据用户)[2]。该条例是“保护个人有关个人资料的隐私的条例”,然而“隐私”的表述本就模糊,因此它可以归因于一个操作定义,即遵守数据保护原则[2],以设定原则背景的方式,来规范主客体之间的关系以及该条例中所规制的具体行为。由此,笔者希望通过以下两个角度来探析《个人资料(私隐)条例》。
(一)概念解析
根据《香港法例》②第四百八十六章《个人资料(私隐)条例》(以下简称《条例》),开篇便阐明该条例所规制的客体范围;个人资料是指下列任何资料:(a)直接或间接与一名在生者有关的;(b)可从该等资料直接或间接地查明某人身份的;及(c)该等资料的存在形式是可予以查阅及处理的。
1.“资料”的概念
从上述条例(c)中我们不难发现,资料的存在形式被要求为是可以被外界予以查验处理的。也就是说,对于某些无法由外界查验处理形式存在的信息,并不归于本条例的客体范畴,如人的回忆、思想等,只要没有外显形成可查验的形式,是不受本条例规制的;又或于存在于某种特殊情况下的电子数据,如进行实时监控的闭路电视,仅作为实时观察使用,并未将视频数据留痕的情况下,也不作为本条例中的“资料”。
从“可予以查阅及处理的”另一个角度来说,即使是存在文件外显于外界且有留存形式的情况下,如果没有能查阅和处理的可能性或可行性,也就不属于本条例中所述“资料”。“Tso Yuen Shui v.Administrative Appeals Board”案中,法官對“查阅可能性”做出解释:如果个人资料的原始数据需要特定解码器才可查阅,而该解码器仅为资料使用人所持有,那么这些原始数据并不属于《条例》中的“资料”[2]。
2.“个人”资料的概念
除了“资料”的定义外,“个人”的概念也尤为重要。这涉及资料当事人的身份主体的问题,而从《条例》中我们不难发现,其更加关注的是与在生者相关的信息;简而言之,若是有相关人员收集死者的个人资料,死者的亲属也无权根据《条例》做出投诉,因为其并未将逝者列入“个人”的概念。
关于《条例》中要求“可从资料直接或间接地查明某人身份”的意思也便如文所述,需要存在有从资料中查明某人身份的可能性才能作为“个人”的资料,不过根据上下文的结构理解,原文所指的“某人”也应仅限于“在生者”而已。
(二)保障资料原则
《条例》附录I对于保障资料六大原则做出了详细的规定,该六大原则是该《条例》的真正内涵,其规定了资料的收集、保存、使用、保安、提供和查阅所应遵从的原则。
第一原则:收集个人资料的目的及方式
从《条例》附录I可知,该原则对于收集目的有三个方面的要求,目的与资料使用者职能或活动相关、目的合法且适度、资料收集对于目的来说是必需或相关。在实务中,公署根据不同行业的特点发放了数份《实务守则》,用于完善上述规定和帮助抽象概念进行辅助理解。除此之外,该原则后续明确个人资料须以合法、公平的方法收集。
第二原则:个人资料的准确性及保留时限
该原则总结为两个方面,首先是要求资料的使用者需要采取“切实可行”的步骤来保障资料的准确性[3];其次是要求个人资料的保存时限不得超过以贯彻资料被使用或会被使用的目的所需要的时间。
该原则是为了保障个人资料信息在披露、公布或传播中能够准确地进行传播,减少信息失真的可能性,从而进一步保障资料当事人的权益;但从《条例》中所要求的“切实可行”的表述可以发现,《条例》对于资料使用者的资料准确性保障义务也并未过于苛责,仅需要资料使用者在合理的层面实施切实可行的行為保障资料准确性即可。
第三原则:个人资料的使用
本原则在于限制资料使用者对于收集资料后的使用行为,《条例》规定,除了将资料用于收集时的目的或与前述目的相关的目的之外,资料使用者不得未经资料当事人同意将资料用于其他目的。但该原则规定的内容在资料使用者看来过于狭隘且操作成本过高,因此资料使用者在收集资料时往往会将自己的目的描述得过于庞大且宽泛,从而对第三原则进行规避,导致第三原则的适用力度及保障性减弱。对此,公署有关“目的”的定义依据更多地偏向于资料当事人对于被收集后的资料使用目的的理解,而非资料使用者的一面之词,以回应资料当事人对于资料使用的合理期待。
第四原则:个人资料的保安
本原则要求,需采取所有切实可行的步骤,以确保由资料使用者持有的个人资料受保障而不受未获准许的或意外的查阅、处理、删除或其他使用的影响。
该原则所指向的是要求资料使用者对于所持有的个人资料的保护义务,要求资料使用者对于信息泄露所造成的后果及损害进行考量,从而对于个人资料保存的地点、方式、安保措施以及可能直接或间接接触到所保存的个人资料的人员身份规制进行相应的保护措施[3]。
第五原则:资讯需在一般情况下可提供
本原则要求,资料使用者须采取所有切实可行的步骤,以确保任何人:能确定资料使用者在个人资料方面的政策和实行方式;能被告知资料使用者所持有的个人资料的种类;能被告知资料使用者持有的个人资料是为或将会为什么主要目的而使用的。
本原则中,对于资料使用者在个人资料方面的政策和实行行为并未规定是要式或非要式,因此对实行标准上便存在理解偏差[4]。但往往在实际操作中,由于资料使用者存在需要提供相应证明的义务,因此更多地采取要式的形式对政策或实行方式等予以记录,也更加方便记录留存或出示。例如,在企业中,企业主会对员工进行相关条例的宣读与传达,并要求员工在理解后进行书面文件的签署,以证明自身并未违反本原则。
第六原则:查阅个人资料
本原则确定个人对于资料使用者是否持有以他为资料当事人的个人资料的权利(信息查阅权),并多处强调查阅的合理化,如合理时间、合理形式、适度合理的收费。因为资料使用者处于优势地位,采取不合理的方式阻碍他人查验实则也是一种变相拒绝,为了减弱资料使用者的优势地位,本原则便对资料使用者可能采取的变相拒绝的方式进行了规制。
除此之外,本原则还规定了资料当事人改正个人资料的权利(资料修正权)。资料当事人要求资料使用者进行个人资料的修正后,资料使用者需在40天之内采取效应措施,如无法在40天内采取措施或拒绝修正的,都应当向资料当事人说明拒绝理由。
三、我国建立个人信息数据保护制度的反思与建议
(一)我国个人信息数据保护制度现状
早在2002年12月23日第九届全国人大常委会第三十一次会议首次审议的民法草案中已明确界定私人信息等属于隐私范畴,但是至今为止我国依旧把隐私权列入人格权的范畴,通过名誉权以及人格尊严的角度来予以保护,没有单列系统且周详的法律进行规范,相关的规定还散落在宪法、刑法、民法典等法律各处。
然而由于社会的迫切需要、国家战略的推进以及各类,如“万店掌”事件③、滴滴数据事件的发酵④,于2021年8月20日,《个人信息保护法(草案)》成功通过第三次审议。这部对公民个人、信息行业和监管机关都影响重大的法律被正式颁布,并于2021年11月1日起正式施行。《中华人民共和国个人信息保护法》(以下简称《保护法》)是我国第一部专门针对个人信息保护的统领性法律文件[5]。《保护法》的颁布代表着我国个人信息保护制度已成功迈入新的阶段。
(二)对《个人信息保护法》的建议与反思
《保护法》共八章七十四条,涵盖个人信息处理规则、信息处理的权利及义务、法律责任等等方面,在立法中借鉴了香港《个人资料(私隐)条例》以及欧盟GDPR⑤等法律的成功经验。比如,我国香港地区为了保障《条例》的实施成立了个人资料私隐专员公署来负责监察执行该条例,由专门机构来负责专项事宜,高效践行法律;内地也同样采取类似形式,授权国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,作为主要监管部门来保障实施。除此之外,在《保护法》的多处都有类似《条例》中的叙述,如资料修正权(更正、补正)的描述、对于用作家庭事务的豁免(不适用)以及围绕“资料收集目的”的规范等阐述都与《条例》中相似,《保护法》可以说较好地借鉴《条例》中的特殊规范和六大原则,更加贴合我国国情。
笔者认为,《保护法》更关注的是资料当事人的个体意识,重视当事人之间的意思自治,大多对于数据使用条件以当事人之间的“知情且同意”为前提开展。但我国幅员辽阔人口众多,且国民素质差异化明显,采用该前提的信息运作方式,可能会给信息流通或使用带来较为严苛的障碍。在实际适用场景中,给企业或其他资料使用者带来更多成本支出,从而制约了数据经济的发展。相较于《条例》以设定原则来规制具体行为所导致的“宽松”,《保护法》的具体条款显得更为“紧致”;当然这也跟香港特别行政区法官拥有更大的释法权与区域的法律体系相关,但内地也应进一步探讨同意规则在个人数据保护中的实际效用,探索新时代语境下同意规则的合理性及适用问题。
最后是关于《保护法》中“去标识化”和“匿名化”以及“一般”信息的区分对待问题。《保护法》第七十三条对上述三种信息进行了区分说明,且匿名化信息在第四条中以无法识别相关自然人身份为由,不受该保护法的规制(与《条例》类似)。然而在《保护法》中,虽然明确了“去标识化”和“匿名化”两种特殊的个人信息形式,却对“去标识化”的信息没有特殊规定[5],仍使用对待一般信息的一般规则,笔者认为这一点是有待商榷的。在《保护法》在第五章关于个人信息处理者的义务中指出,个人信息处理者应采取相应的加密、去标识化等安全技术措施。立法者本意為期望信息处理者将信息去标识化地处理,这样在个人信息泄露或者被窃取、篡改、删除所造成的社会危害性更小,风险更低。但是《保护法》对于“一般”与“去标识化”两者本质差异颇大的信息未进行区分对待,反而一概而规之,不仅没有体现对于信息的分层分级分性质的阶梯式处理,更无法起到对于信息处理者将信息“去标识化”的激励作用。因此,在立法中若能更好地考虑到法律具体实施后的所形成的现实成效,会使法律更加具备长久的生命力和持续力。
注释:
①达摩克利斯之剑:又称悬顶之剑。达摩克利斯是公元前4世纪意大利叙拉古的僭主狄奥尼修斯二世的朝臣,他奉承狄奥尼修斯道:作为一个拥有权力和威信的伟人,狄奥尼修斯实在很幸运。狄奥尼修斯提议与他交换一天的身份。在晚上举行的宴会里,达摩克利斯非常享受成为国王的感觉。当晚餐快结束的时候,他抬头才注意到王位上方仅用一根马鬃悬挂着的利剑。他立即失去了对美食和美女的兴趣,并请求僭主放过他,他再也不想得到这样的幸运。达摩克利斯之剑通常被用于象征这则传说,代表拥有强大的力量非常不安全,很容易被夺走,或者简单来说,就是感到末日的降临。
②《香港法例》是中华人民共和国香港特别行政区现存的成文法法例编汇。由于香港的法律制度以普通法为依归,对于有争议的判例或有必要遵守的规定,都会以成文法的形式颁布并实行。
③“万店掌”事件:2021年3月15日,央视3·15晚会曝光苏州万店掌网络科技有限公司(以下简称苏州万店掌)为商家门店提供人工智能摄像头,非法收集人脸信息。
④2021年7月2日,网络安全审查办公室发布公告,称为防范国家数据安全风险,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,对“滴滴出行”实行网络安全审查。7月4日,“滴滴出行”因App存在严重违法违规收集使用个人信息问题,被国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定下架。
⑤欧盟GDPR:GDPR一般指通用数据保护条例。《通用数据保护条例》(General Data Protection Regulation,简称GDPR)为欧洲联盟的条例,前身是欧盟在1995年制定的《计算机数据保护法》。
参考文献:
[1]华劼.移动互联网时代个人信息隐私保护[J].重庆邮电大学学报(社会科学版),2017(5).
[2]张金城,廖永威.香港个人资料隐私保护之经验——兼论我国个人资料保护法之制定[J].河北法学,2008(11).
[3]刘传会,汪小亚.个人信息权利的法律保护——香港的立法与启示[J].清华金融评论,2019(8).
[4]陈海帆,赵国强.个人资料的法律保护:放眼中国内地、香港、澳门及台湾[M].北京:社会科学文献出版社,2014.
[5]黄道丽,胡文华.《个人信息保护法(草案)》的立法评析与完善思考[J].信息安全与通信保密,2021(2).
作者简介:付钰禧(1998—),男,汉族,广东广州人,单位为香港浸会大学,研究方向为数据安全及隐私合规、数据法学、数据挖掘与分析。
(责任编辑:杨超)
