大数据背景下个人信息保护预防机制研究
2021-01-28王睿
摘 要:随着大数据技术的发展,作为数据系统的核心数据——公民个人信息数据,正面临着过度滥用、非法利用的威胁。新修订的《民法典》中虽然明确了个人信息保护的相关条款,但是对于预防措施的研究则较为疏忽。在个人信保护领域,我国应当以现有的法律法规及各项制度为主要研究对象,将个人信息进行更为细致的分类并建立相应的保护机制,通过明确个人信息权益边界及保护范围、构建信息收集主体的审查机制;建立政府主导、行业协同、社会参与的信息保护机制、加紧规范数据流转市场方法,真正保护公民个人信息。
关键词:大数据;个人信息分类;预防措施
新修订的《民法典》第1034条规定,自然人的个人信息受法律保护。第1035条、1036条则是对个人信息具体收集方式、收集程序和处理权限等做出了具体的规定,然而,从立法的效果来看,目前我国在个人信息保护方面仍存在许多不足之处:一是对于个人信息的内涵及法律属性的定义还不够完善;二是对于个人信息保护预防机制还不够健全;三是目前国内法对于个人信息的保护着重于罚款、自由刑等事后罚,并不能及时有效地消除个人信息泄露對公民的影响。
一、大数据背景下下公民个人信息权属及内涵
(一)个人信息的权属
本文认为,个人信息应属于广义上的人格权,因为在网络空间中,信息即是自然人的存在形式,自然人即是信息,相关的信息即可表征自然人。个人信息与主体的关系密切,且所反映的,并非完全都可以归为隐私的内容,部分信息如性别、姓名等属于个人信息的范畴但并不属于隐私的范畴。
(二)个人信息的内涵
关于个人信息的内涵,《民法典》中规定,个人信息是以电子或者其它方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮件地址、行踪信息等。
这个规定比较完善,但是对于个人信息的保护来说,并不能够真正意义上加以合适的保护。个人信息保护的目的在于保护公民的正常生活和人身财产安全,个人信息内涵丰富,不同的信息所含有的价值不尽相同,因此,应当从个人信息与个人物质生活和精神文明生活相关性的角度,将个人信息区分为敏感性信息、安全性信息、生活性信息三个方面进行定义并分类,并针对处于不同类别的个人信息进行不同程度的保护措施与处罚方式,以体现法律的科学性。
敏感性信息是指与公民精神文明生活关系最为密切而与物质生活影响不大的信息。包括:1.民族出身2.政治观点3.宗教或哲学信仰4.涉及健康、性生活或性取向的数据5.基因数据6.经处理可识别特定个人的生物识别数据等。
识别性信息是指与公民精神文明生活和物质生活均有一定影响的信息,该类信息与带有明确的个人指向性,与个人安全联系最为紧密。主要包括:1.账号和密码2.个人或家庭财产状况3.通信通讯联络方式4.诚信记录及信用状况5.照片6.社会关系7身份、身体特征信息8家庭住址9电话号码等10犯罪记录或行政、刑事处罚记录11.职业信息12. 行踪轨迹等。
财产性信息是指与公民精神文明生活联系较少而与物质生活影响较大的那一类信息,该类信息的特点是商业利益巨大,通过大数据技术手段可以有效的为决策者提供精确的分析,辅助决策。主要包括:1.消费记录2.个人爱好3.搜索记录4.运动信息5.社会评价信息6.学历学籍信息等。
二、大数据背景下我国公民个人信息保护的现状与不足
从现有数据上看,个人信息泄露问题仍是所有问题中最严重的问题,其比例为24%甚至高于网络诈骗21.5%,一方面,由于个人信息能为公民带来财产性利益相对较小;另一方面,大型的互联网公司对于个人信息数据的争夺日趋激烈且技术手段相对隐蔽,为行业的监管带来不小的难度。此外,现有的法律法规对政府工作人员的监管还有一定的漏洞。
(一)现行法律法规对于个人信息保护还存有漏洞。2019年5月出台的《数据安全管理办法(征求意见稿)》(以下简称“办法”),在保障个人信息和重要数据安全方面做出了较为系统的规范,但是其中部分内容还存在一定的模糊。一是对于 “敏感信息”划分还不够清楚。《办法》第十五条规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。但是何种数据属于 “敏感信息”,法规并没有明确。二是数据安全责任人的独立性有待考察。《办法》第十七条规定,网络运营者以经营为目的收集重要数据或个人敏感信息的,应当明确数据安全责任人。仅从法条上看,数据安全责任人难以发挥既服从于运营商又监督运营商的作用,该制度并非是一种监督制度,而更像是保护数据安全的前置制度。三是知情权政策成效不大。在大数据时代,作为个人信息保护核心的“知情同意”原则,根本无法保障信息主体及信息处理者预知其收集的个人信息的用途。现实中信息主体往往很少仔细阅读隐私政策,直接点击同意。
(二)个人信息泄露预防机制不够健全。一是市场数据库交易规范亟待出台。从技术角度看,经过大数据手段处理后的个人信息数据库,结合当前数据画像等技术手段,将严重侵犯个人隐私。另一方面,目前国内实行的网络实名制,很多互联网公司或多或少均掌握着公民身份证信息,账号,居住地址等信息,在有着巨大的利润的个人信息交易领域,也有着铤而走险的可能。二是个人信息立法着眼于事后救济,只能在个人权利受到侵害后才能有追诉的权利,通过这些惩罚并不能及时有效的消除个人信息泄露带来的影响。三是缺乏对政府工作人员的监管。在刑事侦查领域,大数据技术广泛应用提高了侦查效率与此同时也出现了滥用侦查权利侵犯公民个人信息领域、泄露公民个人信息等违法行为,部分政府工作人员利用职务之便,非法倒卖个人信息的案件时有发生
(三)个人信息泄露追责机制还不完善。一是缺乏有效的个人救济程序。《办法》中明确,在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。但是随着互联网技术的快速发展,仅靠网信部门受理公民的个人诉求,所能达到的效果非常有限。二是行政处罚模式尚需改进。由于个人信息侵权涉及人数众多,具体到信息主体个人而言损失的赔偿数额非常低,比如《网络安全法》第六章中明确的罚款,其数额大多在10万元以下,相较于侵犯个人信息的违法获利,处罚力度明显偏弱。同时,《办法》中还明确了没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚措施,但并未好相关的罪责体系,这就使得政府部门在行政处罚上的任意性过大,不符合法治初衷。
三、大数据背景下完善我国公民个人信息保护预防机制建议
(一)明确个人信息权益边界及保护范围。本文将个人信息区分为敏感性信息、识别性信息、财产性信息,其目的,在于针对不同的群体采取不同的保护措施时更加明确。对于普通公民,应当尊重其信息主体权利,对于敏感性信息和识别性信息进行严格的保护,对于财产性信息,实行匿名化处理。对于政府工作人员、公众人物及有影响力的社会人员,应当严格保护其敏感性信息,除涉及国家利益、商业秘密和公众利益外,對于识别性信息和财产性信息采取放松的政策,以达到对他们进行监督的作用。
(二)构建信息收集主体的审查机制。对于政府工作人员、企业及非政府单位工作人员,开展个人信息收集工作前要进行严格的审查与政审,确保信息收集者没有犯罪、练习法轮功等不良嗜好,无吸毒等不良爱好。同时明确其收集信息范围,对于敏感性信息的收集,应当控制在政府工作人员范围内,并严禁相关数据在市场流转;对于识别性信息收集,采用市场准入机制;识别性信息收集的企业及非政府机构,由网信部门进行资格审查,对于安全技术不到位的企业不得允许其开展识别性信息收集工作。对于财产性信息收集收集的企业实行备案制,严格按照《网络安全法》、《数据安全管理办法》等相关法律法规规定的要求开展信息收集工作。
(三)建立政府主导、行业协同、社会参与的信息保护机制。由网信部门牵头,由各企业数据安全责任人、从事信息保护的企业及有着一定专业素质的在校大学生,组成信息监管委员会,对政府部门、企业中个人信息收集范围、用途、内部监管机构设立和安全技术情况进行审核,接受对个人信息管理者危害个人信息安全行为的投诉和举报,对于个人信息收集工作中未能按要求落实的单位和个人进行严肃问责。
(四)加紧规范数据流转市场。国内有学者指出,中国应借鉴金融衍生品市场的模式,建立数据交易市场,通过透明公开的交易平台,发挥资本市场的作用。本文认为通过交易市场进行数据交易的做法既有根治个人信息交易的灰色地带,也有利于监管部门发挥作用。同时,将隐私风险评估作为一种信息控制者和信息处理者的强制性义务加以执行,贯穿于个人信息流通的整个过程之中。同时规定“合理使用”的场景,若个人信息处理行为合理,则无需经过信息主体的同意。信息控制者还应定期向社会公布个人信息风险评估报告,个人信息监管机构应当建立并公开必须进行隐私风险评估的处理操作类型清单和不需要进行隐私风险评估的处理操作清单。
作者简介:王睿(1992年5月)男,汉族,安徽滁州人,国防大学政治学院硕士研究生,研究方向,法学.
参考文献
[1] 谭建初、李政辉:《论互联网中的隐私权:由一则案例谈起》,《河北法学》2001 年第 2 期。
[2] 王忠:《大数据时代个人数据隐私规制》[J],北京:社会科学文献出版社,2014年版,141-146
(国防大学政治学院西安校区 陕西 西安 710000)