网络时代个人信息的法律保护
2021-11-24踪雪莲
踪雪莲
(乌鲁木齐市诚信公证处,新疆 乌鲁木齐 830002)
一、网络时代下个人信息保护的概念界定
(一)网络个人信息
在网络技术快速发展的背景下,个人信息的获取越来越便捷,个人信息主要就是人的基本信息以及网络行为产生的信息。网络上的一些性别、年龄、证件号等都是基础数据。而网络行为则是通过浏览历史记录,例如聊天记录、支付记录等得到信息。二者不同之处在于前者是在本人知情情况下被记录,而后者是在本人不知情情况下记录的[1]。一般情况下,网络个人信息有两种方式进行定义,分别为具体举例和抽象概括。而抽象概括这种定义方式则是指在网络中存在的符号系统可以对其他物品进行识别。
(二)网络环境下个人信息的特点
1.网络环境下个人信息具有识别性
如上所述,个人信息主要是由心理、生活、社会、经济、教育等各种可识别信息组成。在当前的网络环境下,个人信息可以用两种方式被网络识别信息主体,分别是直接识别和间接识别。由于电子载体上依附着个人信息,因此可以对自身现象和自身认知进行更完善的表达。
2.网络环境下个人信息主体为自然人
基于网络的背景进行分析,自然人是一个独立的个体。当然这些个体中不包括法人,但是不能在性质上对自然人和法人的不同进行忽略。如果用相同的要求对自然人和法人进行规范,那么立法的目的也达不到想象的效果,制度在设计过程中也要面临一些困境。所以,从本质上来说,保护个人信息就是对自然人进行的保护。
3.网络环境下个人信息具有两种属性——人格和财产
随着网络的高速发展,为了使个人信息可以被记录、存储并传播供个人利用,就必须转化为数字形式。与此同时,一些不法分子将用户各种零碎的个人信息,例如姓名、性别、电话号码,甚至是上网时的浏览记录以及交易记录利用一些技术手段进行拼凑,这种行为是对个人人格的侮辱与侵犯[2]。通过大数据分析,对用户在购物时的喜好与购买历史进行分析,了解某个用户的性格或者是隐私生活等都是可以进行商业化操作与利用的,并在其中牟取暴利。综上所述,在当前开放的市场经济的环境下,不法分子对用户个人信息财产和利益的侵犯十分猖獗。
二、网络时代我国个人信息保护的现状与不足
(一)我国在网络时代中保护个人信息的方式
1.直接保护
在国内,《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》于2014年6月由最高人民法院通过,指出个人信息保护的范围主要包括:家庭住址、过往病史、私人活动、犯罪史、自然人出生信息以及健康检查资料,除了以上几类个人隐私信息,相对于开放的信息被定为个人信息。
2.间接保护
我国还从法律层面,指出了个人尊严以及隐私保护的必要性,这也对个人信息起到了一定的保护作用。从宪法的角度来说,“公民的通信自由、通信秘密也是受到法律保护的”这些条款中,都是宪法给予个人信息的间接保护。从我国的民法通则来说,均对公民的人格、名誉等实施了保护措施,这也会在一定程度上对个人信息进行保护。此外,在我国的刑法中也有提到未成年人犯罪不能公开进行审理,这也是对未成年人信息的一种变相保护。
在我国当前的特殊行业立法中有些也体现出了在特殊领域对个人信息的保护,比如《拍卖法》和《信息法》,禁止医生泄露患者任何治疗过程与隐私的《执业医师法》,以及要求母婴相关工作人员保密的《母婴保护法》[3]。
3.相关法律草案及建议稿
周汉华和齐爱民教授前后主持并起草了对个人隐私保护的相关建议稿,其中指出,在进行个人信息保护的过程中,主要就是对主体的要求、权利、义务等进行保护,需要在法律规定承担责任。由于对个人信息保护进行立法具有复杂性,再加上网络发展得非常快速,促使我国立法层面的保护并不完善,学术界的研究成果与快速发展的社会相比,并没有太大的借鉴性[4]。
(二)我国在网络时代下保护个人信息中的不足
1.现存的相关法律操作性较弱
在司法实践中我们发现,当侵害个人信息以后,有相当一部分的被侵害者会选择停止并消除影响,并要求一定的赔偿,司法部门的支持力度较小。特别是在网络发展的背景下,如果个人信息出现泄漏,资金被盗取,不断收到骚扰短信和电话,犯罪分子一般不会受到处罚,只是在经济层面对受害人进行较少的补偿。由此来看,我国法律在此方面的操作性还有待提高。
2.缺少法律保护的统一体系
目前,我们国家对于保护个人信息方面,还侧重于对公共秩序和安全的保护,对于自然人利益的保护方面还有所欠缺。在《中华人民共和国民法典· 合同编》与《中华人民共和国民法典· 侵权责任编》内也要对个人信息保护进行体现。最后,在网络环境中的个人信息保护要根据环境变化进行规定。
三、网络时代下个人信息的法律保护的策略
(一)个人信息保护的调整范围
1.不应摈弃个人身份可识别信息的概念
“个人身份可识别信息”这个概念,令许多学者望而却步。比较难的一点就是对个人身份进行识别,这一概念不再是充当个人信息保护领域的核心概念。欧姆曾指出“个人身份可识别信息”这一概念不仅内容不固定,用处也不大。从他的观念来讲,就“个人身份可识别信息”来说,总有一些信息是不能将其进行包括的。同时,“个人身份可识别信息”里面所举出的各种数据和信息将会倍数递增,不然就是所有“个人身份可识别信息”都列在清单上,这个清单才会暂停。欧姆认为,如果想给“个人身份可识别信息”下一个比较生动形象的定义就如同经典的“打地鼠”节目一样,这只地鼠打完,又冒出另一只,永远打不完。
2.通过可识别信息对个人身份进行定义
首先我们要思考并明确采用标准和对其界定采用规则的方式,才是我们在定义“个人身份可识别信息”的概念时需要的准备。相比于硬性规则的方式,开放性的标准方式更加具有弹性。第二,非公开的定义方式。此方式下,“个人身份可识别信息”是指那些公众无法接触的个人信息。第三,还有一种特殊类型的定义方式,这个模式把个人身份可识别信息通过列举的方式进行列举。这两种方法相对来说都非常标准,而第三种属于规则的定义方法。在标准的定义方法下,决策者有很大的自由裁判权,可以自由判断并决定“个人身份可识别信息”时应该要考虑的因素。由于在原来的政策之下决策者可以更好地识别这些因素,从而政策与现有的事实可以更好地相互适应。实话说,标准的定义方法与规则的定义方法都没能更好地解决哪些信息属于“个人身份可识别信息”范畴。标准的定义方法只是一个简单的概括性规定,不能导致界定范围的僵化与狭窄,而规则的定义方式可以,这就是二者的区别。
(二)个人信息保护的基本原则
1.收集限制原则
在对个人信息进行采集时,我们必须要对被采集者的个人选择权进行尊重。在网络环境下,如果所有的信息收集都需要得到被采集者的同意,显然是不现实的,但是我们也不可放任他人随意使用个人信息,这样会使人的隐私自己尊严受到较大的打击。所有,在信息采集的过程中,必须要制定“收集限制”原则。实际上,国际上的各个国家,从立法层面分析个人信息保护时,用户在形式选择权时一般都是默示同意和明示同意两种情况。默示同意就是,在采集信息时如果用户明示同意,也就是没有拒绝,那么就可以对信息进行采集,并进行合理化的应用。明示同意就是用户明确同意可以对信息进行采集。由此可见,明示同意的情况下,我们可以更好地对个人信息进行保护,但是这也会对个人信息的自由流通带来限制。而默示同意就是通过“选择退出”的方式,对明示同意的不足进行弥补。在我国的《指南》中也有提出,在对个人信息进行收集时,只有用户默示同意就可进行个人信息采集,如果需要对较为敏感的信息进行采集,则需要用户的明示同意。这种基于原则上的区分是较为科学的,一方面可以对个人信息进行有效保护,一方面也没有限制信息流通的自由性。针对如果辨别敏感和普通信息上,我国相关法律还需要进行清楚的界定,但是这也是我国立法实线过程中所面临的一个难题。
2.安全保障原则
当个人信息被采集完成以后,信息的采集就需要对这些个人信息进行有效的保存,针对丢失、破坏等风险,要进行有效的防护。同时要严禁利用个人信息从事违法行为,要有安全保障原则。20世纪90年代,是互联网发展的大爆炸时期,使其得到了发展与普遍应用,大量的个人信息通过网络的方式流通,我们可以利用网络轻松地对个人信息进行查询、搜集以及使用,甚至利用一些技术手段可以不留痕迹的实施篡改、消除、截取等行为。网络是把双刃剑,在带给人们极大便利的同时,也隐藏着个人信息流失的风险。
(三)个人信息权内容
1.个人信息知情权
在对个人信息进行搜集时,必须要获得信息主体的同意,在准许的情况下才能进行个人信息的搜集和使用。可根据不同的情况通过明示以及默示的方式进行同意,信息采集以后,信息的主体有权对信息的使用情况进行查询。
2.个人信息决定权
“自决权”逐步衍生出个人信息控制权,也就是说主体具有对自己信息进行控制的权利,这个就相当于商家具有对活动进行解释的权利一样。换而言之,当信息的主体已经同意他人对信息进行采集时,是具有知情以及决定权的,也有权对这些信息进行改正、封存以及删除。如果信息的主体发现信息出现了错误,有权提出改正或者删除的要求。
3.个人信息控制权
“自决权”逐步衍生出个人信息控制权,也就是说信息的主体可以享有对自己信息最终控制的权利。就如果商家对于所做出的活动,具有解释权是一样的。换而言之,当信息的主体已经同意他人对信息进行采集时,其是具有知情以及决定权的,也有权对这些信息进行改正、封存以及删除。如果信息的主体发现信息出现了错误,有权提出改正或者删除的要求。
4.个人信息安全请求权
个人可以对信息的掌控者请求对信息进行合理的保护。事实上,在英国、法国等国家,已经专门的设置了专员保护制度,对个人的数据进行保护。同时,在保证个人信息决权的基础上,还要注意进行一定的限制,既要保证平衡自由流通,也要注意国家、公众的利益不能受到损害。但是在限制个人信息自决权时必须要从法律层面进行明确的规定。
(四)网络时代侵犯个人信息权的民事责任
网络自身具有开放、虚拟等特点,对个人信息进行侵犯的主体也具有身份广泛性、隐匿性等特点,再加上网络侵权方式的多样化,促使主体信息被侵犯后难以仅举证,无法追究责任。损害赔偿的方式主要就是进行精神赔偿和财产赔偿,具体的赔偿数额需要根据受害主体的受害程度进行判断,但是在个案中必须要注意赔偿的数额要公平、合理、稳定。
四、总结
现阶段,网络技术发展非常快速,个人信息保护也成为重点。但是由于我国法律层面对网络个人信息保护尚不完善,常导致个人信息权无法得到保证。再加上,网络复杂性、虚拟性、开放性等特点,促使网络个人信息保护受到了较大的挑战。我国相关的立法,必须结合网络时代的特征,对个人信息保护的相关法律进行完善,提高法律的权威性。