大数据时代敏感个人信息的立法保护
2022-02-10姜昀宜苏嘉懿张尤佳
姜昀宜 苏嘉懿 张尤佳
东北大学文法学院,辽宁 沈阳 110169
数据的快速传播为我们的生活带来了极大的变化,大数据时代为我们的生产生活创造了越来越多的便利,网络越来越成为人们展现自我的舞台,但是数据快速膨胀带来的互联网狂欢中,个人信息尤其是敏感个人信息不断暴露在数据面前,指纹信息、虹膜信息、面部信息等作为敏感信息更容易被数据处理者获取,敏感个人信息一旦泄露,将会对数据主体造成不可逆的伤害,通过立法对敏感个人信息进行保护有待进一步探索。
一、大数据时代敏感个人信息的概念界定
(一)大数据概念的界定
在这个数据不断膨胀的时期,大数据时代已经到来,最早提出大数据时代到来的是麦肯锡,根据他的描述可以推知,在他的观点中,大数据时代指的是数据被广泛渗透到人们生产生活的各种领域,成为生产力发展的重要因素,人们不断对大数据进行开发和利用,推进生产率不断增长的消费者盈余浪潮的到来。[1]可见,大数据时代就是一个信息快速流通、发展的时代。
(二)大数据时代敏感个人信息的界定
《中华人民共和国个人信息保护法》(下简称《个人信息保护法》)第二十八条对敏感信息的定义为“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满14周岁未成年人的个人信息”。在大数据时代敏感个人信息正在逐步扩展,当下普遍认同的敏感个人信息分类将其分为个人财产信息(如银行账号、存款信息等)、个人身份信息(如身份证、护照等)、个人生物识别信息(如指纹、面部特征、虹膜等)、个人健康生理信息(如医嘱单、用药记录等)、网络身份标识信息(如系统账号、邮箱账号及其地址等)、其他信息(如宗教信仰、性取向等)等六类。[2]
二、大数据时代敏感个人信息的特点
《个人信息保护法》第二十八条同时规定了:“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。”之所以对于处理敏感个人信息设置了如此严苛的标准,正是因为敏感个人信息具有私密性、主体确定性、易传播性和可获利性等特点。
(一)私密性。敏感个人信息本就包括许多人们不愿意透露给外界的信息,这些信息与外界交流具有天然的屏障,它们的存在充分体现了每个公民的思想、认识、行为方式等方面的不同。在面对有关敏感信息的讨论时,每个人都具有保持沉默的权利,人们有权保持其敏感信息不外漏。一旦敏感信息遭人泄露,会导致人的精神世界受到重创,并不利于社会的稳定及民众安居乐业。但大数据时代,包括网站浏览偏好等部分人视作“敏感信息”的信息已能够为除公民本人外的其他主体所获取,其私密性(即只可为本人所知)已受到冲击。
(二)主体确定性。这一确定性建立在公民主体差异的基础上,正是因为公民具有主体差异,因而每个人的“敏感信息”的内容并不相同,敏感信息一旦泄露,数据处理者在通过大数据比对后很容易轻松定位到其所属个人,进而确定主体,因此大数据时代的敏感信息更多了一层主体确定性的特点。
(三)易传播性。网络信息化时代,在数据处理者获取到敏感个人信息后,能够通过极为便捷的互联网将其运用、传播乃至贩卖到非法的数据使用者手中,相较于非大数据时代,这些信息更容易被检索和传播,互联网使信息流通的速度大大加快并超出人们能够认识的速度,因此私人命案信息一旦被泄露,所面临的易传播性是难以估量的。
(四)可获利性。无论是电商平台还是社交软件,对于敏感信息的获取都是出于营利的角度考量。以人们经常使用的某网购平台为例,在它们为广大人民的生活消费带来无限便利的同时,也在检测着人们的购物偏好,更有甚者利用手机监听着人们日常生活中的交流、谈话,这听来令人毛骨悚然的事件正切实发生在人们的生活中。同时它们还能通过监视人们的搜索、查询信息和窃取公民社交关系网,以推送广告等方式牟利,乃至通过贩卖信息而获得更高昂的收益。
三、敏感个人信息保护的立法现状梳理
(一)《宪法》
我国《宪法》中并未明确表示对于公民隐私权及敏感信息的保护,但《宪法》在对于公民的权利和义务进行规范时,第四十条指出:“中华人民共和国公民的通信自由和通信秘密受法律的保护。除因国家安全或者追查刑事犯罪的需要,由公安机关或者检察机关依照法律规定的程序对通信进行检查外,任何组织或者个人不得以任何理由侵犯公民的通信自由和通信秘密。”这在一定程度上体现了国家公权力对于公民隐私权及敏感信息的保护,是公法对人权的保护在隐私权上的展现。
(二)其他法律
1.《消费者权益保护法》
于1993年颁布并分别于2009年、2013年两次修正的《消费者权益保护法》中也明确规定了在进行消费时存在的消费者个人信息保护的相关义务和规范,该法于第二十九条明确指出了对于生产经营方收集使用消费者个人信息的一些必须要遵守的原则和程序,同时也阐述了允许收集的适用目的以及收集使用的范围。最后,直接强调了经营者在收集使用过程中需遵守相关的法律法规和双方约定,具有合意的色彩;并以“必须”“禁止”等字眼明确规定了经营者必须对信息进行严格的保密、采取一定的技术措施进行保护,并预设了可能出现的个人信息泄露和丢失时的补救措施。此条规定明确了进行网络合法经营的经营者必须要注重对于消费者敏感的个人信息的保护,不得使用非法的手段对其进行传播和处理,有效降低了消费者在进行网上购物时所遇到的敏感信息泄露等风险,但未明确惩治力度,稍显不足。
2.《民法典》侵权责任编
我国《民法典》侵权责任编中同样对于网络侵害民事权益的行为进行了规定。首先,原《侵权责任法》在第二条中划定了其所管辖的侵害民事权益并需承担侵权责任的范围,这些民事权益包括生命权、名誉权、隐私权和继承权等在内的多项权益,正属于开宗明义的规定。《民法典》侵权责任编第一千一百六十四条继承了原《侵权责任法》第二条的规定,证明了隐私权属于侵权责任法所规范的范畴,而大数据时代下私人敏感信息的保护,正与对于隐私权的保护如出一辙。其次,《民法典》侵权责任编在第一千一百九十四条至一千一百九十七条,即有关网络侵权案件的侵权责任承担,作了具体的规定,其内容大致为利用网络侵害其他用户民事权益的,应受到侵权责任编的规范,被侵权人可以通过本编的相关规定要求网络服务提供者(即俗称的平台运营者)采取一定的措施以保护其合法权益。该条不仅细化了作为网络用户之一的数据处理者的侵权责任,更是在此基础上明晰了网络服务提供者,即平台运营者的第三方的连带责任,使二者的行为都置于法律的规范下,扩大了约束主体的范围,有利于更好地保障敏感信息主体的权益。
3.《个人信息保护法》
大数据时代为保护公民私人信息的安全,迫切需要一部法律对数据传输过程中各主体的行为加以规范。《个人信息保护法》的颁布不仅是我国加强法制建设,建设社会主义法治国家的重大进展,也是社会实践中保障公民私人信息,特别是敏感信息的重大突破。相较此前公民个人信息保护相关的法律、法规以及行为规范,《个人信息保护法》具有明显的进步性与创新性。
在立法原则上,《个人信息保护法》规范了数据处理者对数据的收集行为以及安全保障义务。在第五章个人信息处理者的义务中,第五十六条规定了“信息处理者应当对个人信息保护影响进行评估,其说明信息处理者收集信息的行为,必须建立在一定的合理性与必要性的基础之上,准确衡量信息收集的效益与损害,才能进行获取行为”。而第五十一条又明确规定了个人信息处理者在防止信息泄露上应当承担的义务,五十八条规定了用户体量较大的信息平台应当承担的保护义务。义务的设定将信息处理者约束在法律规范的框架下,在得到用户同意的情形下,获取公民的私人信息。同时,该法在数据的使用限制上规定,持有并使用数据方的行为必须具有法律的支撑,不能超出法律许可的范围。
相较之前的法律规范,《个人信息保护法》在进一步明确权利主体即用户享有的告知、同意的权利的同时,也阐述了有关敏感个人信息的约束规则。[3]在大数据条件下,个人信息不断暴露在数据面前,敏感信息随着数据的传输而不断细化,指纹信息、虹膜信息、面部信息等作为敏感信息更容易被数据处理者获取、使用。但是敏感信息一经泄露或非法使用,容易导致自然人的人格尊严受到侵害、人身财产安全受到危害,对其专列一节进行规范可以强调敏感信息保护的重要地位,进而规范数据传输过程中各方的行为。[4]
四、大数据时代敏感个人信息法律保护存在的弊端
(一)敏感个人信息的范围界定存在空白
大数据飞速发展的影响下,敏感个人信息的边界正在逐渐扩大。以虹膜识别技术为例,虹膜识别技术的发展最早可以追溯到19世纪80年代,直到1991年才实现自动虹膜识别系统。曾经的虹膜信息获取难度较大,数据处理者难以迅速获取,如今随着大数据的发展,虹膜信息的获取更加便利,人们不得不开始注重对虹膜信息的保护。大数据的发展是永不停歇的,大数据的“触手”可能会触碰到曾经未涉及的敏感个人信息,《个人信息保护法》对敏感性个人信息的界定较为空泛,难以应对将来形势的发展变化,应当更加细化敏感信息的具体分类。
(二)敏感个人信息保护的滞后性
大数据时代数据的传输速度比以往任何时期都要迅速,人们的敏感个人信息始终处于运动的状态,此时对敏感信息的保护便会出现滞后的现象。2020年全国公安机关网安部门公布违法收集公民个人信息的十大案例中的“J公司清理大师”等APP利用隐私协议获取公民的个人信息,甚至包括公民的通信记录等敏感个人信息。通过十大案例可以直观感受到这些APP涉及从婴幼儿到老年人各个层面的各类信息,涉及范围十分广泛,同时利用大数据时代获取信息的隐蔽性,无形中获取了大量的个人信息,在相关部门尚未公开的情况下,公民便很难了解到自己的敏感个人信息正在遭受侵害,即使事后发觉也因为其滞后性,无法挽回已经造成的损失。
(三)敏感个人信息举证的困难性
大数据时代,当敏感个人信息受到损害时,公民的举证路途充满荆棘,在《个人信息保护法》第七章法律责任的第六十九条可以看出当个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任,这也就向我们展现了当公民敏感个人信息受到损害时,相应的数据处理者承担的为过错推定责任,此时数据主体应当负有对侵权行为、侵权结果、侵权行为与侵权结果之间的因果关系进行举证的责任。大数据时代对敏感个人信息的侵害是隐蔽的、滞后的,当敏感个人信息遭受威胁时,举证理由尚不充分,而敏感个人信息一旦受到损害,对数据主体的信息安全的冲击又是毁灭性的,二者之间的矛盾为敏感个人信息的保护提出挑战。
(四)敏感个人信息侵害因果关系复杂性
大数据时代,公民的个人信息直接暴露在数据的“海洋”中,敏感个人信息受到损害时,多个主体都应当承担一定的责任,对公民来说找到相应的侵权主体,并证明其侵权行为与自身损害结果发生的因果关系具有一定的困难性。如今,越来越多的APP涌入人们的生活,人们无法避免地将自己的信息输向不同的数据处理者,无疑将加重敏感信息侵权发生时因果关系的复杂程度。敏感信息对数据主体的地位相较于一般数据更加重要,敏感个人信息侵权如果继续适用过错推定责任难免会降低敏感个人信息的保护效果,不利于公民的敏感数据安全。
五、大数据时代敏感个人信息保护立法建议
(一)数据主体的权利
我国《个人信息保护法》对个人在信息处理过程中所享有的权利进行了确认,总则第二条概括说明了公民享有个人信息的权利即“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权利”。但笔者认为,社会不断发展变化,公民享有的敏感个人信息方面的权利不应当过于宽泛,而应当细化、具体,才能更好地落实权利的保护。数据主体的敏感信息应当享有以下权利的规定:
1.敏感信息访问许可权
数据主体自然享有对自身包含的一切敏感信息,也自然享有敏感信息的访问许可权限。敏感信息保护的滞后性一部分源于数据主体无法及时查看敏感个人信息的状态,基于访问许可权,数据主体可以随时随地查看自己所需的敏感个人信息,了解其是否处于安全、被保护的状况,在数据的传输过程中,数据主体处于弱势地位,只有让数据主体享有查看自身敏感个人信息的权利,才能强化主体对信息的保护意识,进而强化对其他主体的监督。[5]
2.敏感信息处理同意权
敏感信息包含着的信息一经泄露,数据主体的身份权财产权益就会受到不可逆的侵害,我国《个人信息保护法》第二十九条虽然规定了数据处理者在处理敏感个人信息时应当取得的个人的单独同意,但尚未具体规定取得的具体路径,这便无形中削弱了数据处理者的义务意识。对敏感数据处理同意权加以规定,在数据处理者处理敏感信息前,通过“电子认可协议”或书面同意的方式征得数据主体同意,可以有效避免信息处理者绕过数据主体,擅自处理敏感信息的现象。
(二)数据处理者的义务
1.提高数据透明度
笔者认为,通过法律的形式赋予数据处理者更多义务,强制其提高数据透明度,使数据主体能够随时随地检查其敏感个人信息的使用状况,防止数据处理者擅自随意使用其敏感个人信息。同时在与主体签订隐私保护协议时,应当对注意事项进行明示,禁止处理者利用信息差使主体忽视涉及自身信息保护的条款,此举可以为今后的非法信息处理奠定基础。[6]公开、透明的数据是数据主体参与监管的有效途径,只有禁止盲目处理,才能将敏感个人信息置于安全地位。
2.禁止盲目自动化处理
如今数据自动化处理已经成为常态,数据处理者直接将部分信息交由技术系统自动处理,能够极大降低其管理与信息处理的成本。然而技术系统自动处理大多基于既有算法,算法面对繁多的信息无法迅速区分普通个人信息与敏感个人信息,因此盲目接受自动化处理可能会导致敏感个人信息处于有效控制之外,一旦被泄露,则难以挽回。因此,在法律制定中,应当考虑对自动化处理进行规范,对不会涉及敏感个人信息安全的普通信息,可以放宽自动化处理的限制,利用自动化处理提高处理效率;而对于与敏感个人信息密切相关的数据,应当加强监管力度,设置更严格的处罚标准,提高犯罪成本,减少盲目自动化处理现象的发生。[7]
3.数据处理者承担无过错责任
结合数据处理者在处理公民敏感个人信息的过程中占有绝对有利地位,与敏感信息对数据主体的不可替代性地位,在公民敏感个人信息保护时,应当适用无过错责任原则,此时数据主体在维护自身敏感个人信息安全时只需负有侵权行为、侵权结果的举证责任,数据处理者是否具有过错在所不问。[8]通过无过错责任原则降低数据主体的举证难度,提高成功保护敏感个人信息的期待性,有利于规范数据处理者的行为,进一步保障敏感个人信息的安全。
六、结论
大数据及其相关技术的快速发展使得大数据对信息的掠夺能力不断强化,但无论大数据如何发展本质上都应当是为人类服务的,而让大数据履行这一职能不能仅仅需要依靠大数据的自我约束,还应当从外界对其加以规范。《个人信息保护法》颁布、实行仅一年有余,在其实践中仍存在大量法律约束的空白亟待去完善、解决,留给立法者的工作任重而道远。只有充分认识到大数据使用所带来的问题才能够防患于未然,让技术在人们的控制范围内服务于人类。