大数据视角下的个人信息保护研究
2022-01-01福建农林大学沈建辉
福建农林大学 沈建辉
一、个人信息的含义与特征
(一)个人信息的含义
为了更好的实现对个人信息保护,做好对个人信息的含义界定是其逻辑起点。《民法典》已于2021年1月正式生效,其中对个人信息详细表述为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。需要关注的是,识别的对象扩大为“特定自然人”,并对相关情况展开举例说明,增大其保护范围。当前,对于个人信息的定义中含有两个关键点,一是被以电子或者其他方式所记录,二是已识别或可识别。
(二)个人信息的特征
个人信息具有价值性。个人信息之所以被人利用,主要在于个人信息的有用性。从信息的广度上说,个人信息在数据链中所呈现的是片段化状态。单个的个人信息价值并不高,但是将众多个人信息综合起来时,才会有更多的利用价值,个人信息的有用性便呈现出数倍增长。由此看出,个人信息更多地体现的是整体价值与隐性价值。从信息的深度来讲,往往体现在信息“匹配”过程, “匹配”信息越精准,匹配速度越快,获得信息效率越高,所产生的价值越高。
(三)个人信息具有可识别性
通过收集并通过信息配比选定一定范围的数据,经过系统分析得出确认的结果。识别可分为两类,一是直接识别,二是间接识别。直接识别的过程中,通过分析计算并按照一定方式的对比来进行匹配,最终“圈定”目标明确身份;而间接识别则要求广泛,要求在识别过程中通过多种渠道、利用排列组合的方式与个人人格和身份都有相应的联系。无论是针对个人,还是针对个人的信息组合,都能被认定具有识别功能。在识别的过程中,还应考虑可能被信息控制者或其他人,利用识别的方法确认出信息主体。
(四)个人信息具有流转性
进入大数据时代,人工智能技术的到来,个人信息与网络数据一样,都具有一定的生命周期。很难预计个人信息是否可以通过爬虫软件自动抓取,而不被控制可以自由流转。个人信息一旦泄露,网络的传输速可以使个人信息瞬间被推送出去,所能造成的损害是不可估量的。也由于此,企业才能在个人信息的“聚合”中去挖掘其价值。
二、我国个人信息立法现状和存在的问题
(一)我国个人信息立法现状
2021年11月1日,《中华人民共和国个人信息保护法》将开始施行,其中明确强调了不得过度收集个人信息,不得非法交易个人信息,不得进行“大数据杀熟”,进一步强化了个人信息保护力度。
然而,总体上说,我国关于个人信息保护仍呈现出分散式立法模式,尚未形成统一的立法体系。在相关执法机构具体实践中,容易导致出现混乱的场面:一方面,各个执法机关由于分工不明导致容易重复执法或者互相推诿,损害其权威性;另一方面,相关监管机关也呈现出多部门分散监管的特征。
(二)个人信息立法存在的问题
1.相关法律法规不完善
细品《民法典》内隐私权定义,仍可看出存在着些许可改进之处:第一,很多的私密性信息是允许一些人知晓的。民法典中,“不愿为他人知晓”成为隐私情况的前提条件,根据该定义,允许一些人知晓的私密情况不属隐私,但立法本意是该私密情况仍然属于隐私,这个定义显然与立法本意不符;第二,按照民法典的定义理解,对被允许知晓私密情况的人来说,自然人的私密情况不属隐私。如果对被允许知晓私密情况的人来说自然人的私密情况不是隐私,他就不需要遵守民法典对隐私权保护的规定,则意味着他可以处置他被允许知晓的隐私,这与立法本意又不符。事实上,自然人的私密情况即便允许一些人知晓,对被允许知晓的人来说,它仍然是隐私;第三,生活安宁从字面意思上讲就是一种生活状态,与隐私没有从属关系,也不是一个意思,虽然私人生活安宁与隐私有密切关联,但毕竟与隐私不是一个概念,因此把私人生活安宁归为隐私有所不当;第四,民法典把隐私情况仅分为“私密空间、私密活动、私密信息”缩小了隐私情况这一概念的外延,应当对隐私情况的外延进行扩充。
2.监管力度不足
当前政府也一直在积极开展对网络服务企业的监管工作,也取得了良好的成效。通过对民意调查的结果中进行分析,不难发现,在遇到相关危害到自身网络安全时,大部分群众并不知哪个部门能够帮助其维护自身权益,同时民众的投诉积极性受到了投诉后却无法解决的严重影响。因此,相关政府部门必须要明确职能分工,加强监督、保护力度。
四、大数据背景技术下个人信息泄露的风险
大数据应用是依靠有关技术处理大数据以用来分析数据达到决策的目的的过程。在这个过程中,数据的收集、储存、使用、加工、分析、传输、公开等各个环节都有可能发生非法收集、泄露、篡改和利用等问题。
(一)数据收集中的风险
数据收集过程中的安全风险主要在于处理者收集范围过大,对开展有关业务不需要收集或没有经过数据主体同意的数据进行收集,或者在经过数据主体同意后使用超过必要时间。
在大数据应用背景下,一方面处理者相对于个人占据技术优势,处理者可以动用技术手段在个人使用互联网时轻而易举的收集个人信息,而个人往往难以防范。也有个别企业采用不合法的限制访问或使用的方式强迫个人同意其收集信息。另一方面,在数据财产理论和立法方面还不太完善的背景下,企业出于获取利润和发展有关技术的需要而收集个人信息的行为得不到保障,不利于企业良性发展。
(二)数据储存中的风险
数据储存中的安全风险主要在于数据处理者没有尽到足够的监管义务,监管措施不到位,导致数据泄露或被非法公开。
大数据技术的快速发展解决了大数据储存方面的难题,却也因大量数据储存于一个企业之中使得个人信息泄露风险的提高,给个人信息保护带来了困难。从企业内部来说,数据收集、储存及之后的处理环节都有可能发生数据泄露或被非法公开问题。同时,个人信息的储存时间也是保护信息安全的影响因素,个人信息在处理者处的储存时间越长,个人信息被泄露和滥用的风险越大。
(三)数据加工、使用中的风险
数据的加工和使用是数据处理的核心环节,但也可能涉及数据的泄露问题,数据的加工可能会导致对数据的非法篡改,数据的使用可能会侵害个人的人格权和其他权利。
数据的加工中的安全风险在于企业对个人信息进行加工和使用具有高度的隐蔽性,企业员工受到利益诱惑很容易突破规则的约束,过度处理个人信息。数据使用中的安全风险在于数据使用可能会非法公开个人信息从其侵犯个人信息。此外,处理者可能会非法利用个人信息从事非法活动。
(四)数据传输、提供、公开中的风险
数据的传输、提供和公开是数据流动的重要形式,数据流动带来的数据泄露风险、数据篡改风险和非法公开风险等都是个人信息安全的主要威胁。
数据传输的风险主要在于大数据应用中,个人想要对收集其信息的处理者进行监督已经十分困难,若不告知个人其信息被第三方处理以及有关信息则其信息被侵害的风险极大。是实践中由于企业将其收集和储存的个人信息传输给第三人十分容易,所以这一过程很容易跳过个人直接发生。
数据提供是数据传输过程中的一种形式,事实上由于信息经济时代许多企业提供的服务都是需要通过网络实现的,相较于以往传统的线下面对面的服务和交易方式,线上服务和交易越来越普遍。线上交易需要获取用户的某些信息才能完成,部分服务甚至需要获取个人的敏感信息方能进行。导致在这过程中,风险的可能性急速上升。
数据公开是个人信息利用的重要方式,这些信息在这些网络应用或平台上都可以被陌生人其他企业、机构看到,并被别有用心之人盗取使用。
五、对我国个人信息安全保护的建议
目前我国已颁布《中华人民共和国个人信息保护法》。为了提高对个人信息的保护力度,必须要完善相关法律法规,可以从以下三方面入手:
首先,完善个人信息的定义。目前的定义中,匿名化处理的信息并未被纳入到个人信息定义内。然而,由于个人信息具有关联性,单少数的匿名化信息无法精准识别到个人身上,然而,以大数据技术将其与个人数据进行后台对比,企业家很容易识别出匿名化后的数据来源,从而实现不违反法律规定内容的情况下收集并利用个人信息。
其次,完善个人信息侵权的赔偿数额、举证责任的规则。第一,完善隐私情况定义,对被允许知晓隐私情况的人来说,隐私人的隐私情况仍然是隐私,其权利也仅被限定为知晓,仍需遵守保护隐私的法律;第二,把私人生活安宁单独规定加以保护,做到对隐私定义的名正言顺;第三,完善与赔偿相关的规则,可以在法律中规定最高与最低的标准,给予法官一定的自由裁量权。
最后,我们要建立多元纠纷解决渠道,可以从以下三方面入手:第一,提供良好投诉渠道,明确好投诉的受理结构,实施多样化受理方式。建立统一投诉管理部门,接收到投诉后,必须依法及时给予反馈,尽快解决;第二,实施网络和解措施。信息所有者和网络企业距离较远,因此,需要充分利用好通信技术,实施网络和解,实现降本增效;第三,采用社会信用机制,组建征信部门,赋予信息数据整合权限,公示征信结果。
六、结语
总之,做好对个人信息的保护加强工作,在规范化网络服务者工作发展的同时还能有效净化网络空间。对此,在个人信息保护法即将施行的背景下,需提高关注度,加强监管力度,完善法律法规,保障合法权益。