范晓峰,王 浩
(1.河北广播电视大学,河北 石家庄 050071;2.河北司法警官职业学院,河北 石家庄 050081)
大数据时代个人资料隐私权的法律保护
范晓峰1,王 浩2
(1.河北广播电视大学,河北 石家庄 050071;2.河北司法警官职业学院,河北 石家庄 050081)
隐私权随着社会进步与自身权益的觉醒而产生,并由最初的民事权利上升到宪法属性的权利。而个人资料伴随着信息科技的发展又逐渐成为新型的隐私权保护客体。尤其是在大数据时代,以个人资料为重要组成部分的海量数据具有了新的价值,成为机构和个人攫取的目标,个人资料隐私权的保护面临严峻的挑战,借鉴他国经验,完善现有法律制度,规范机构和组织行为,是当前保护个人资料隐私的重要举措。
大数据;个人资料;隐私权;法律保护
个人资料指的是与特定人相关,能够反映个体特征且区别于其他个体的信息资料,如夫妻私生活、家庭成员、财产状况、工作情况、私密空间等。个人资料最主要的特征有两个:一是它反映人的生理的、心理的、社会的、文化的、经济的、家庭的等各种特征的总和,二是它能够直接或间接地和特定的人产生联系从而通过这些特征识别本人。
1.个人资料的保护现状
随着社会的发展,个人的隐私保护面临着严重的挑战。特别是进入计算机和互联网时代,无所不在的信息采集设备和发达的计算机存储技术可以轻而易举地获取、分析、整合各种个人的信息,从而使得原来属于公民专享的个人资料成为可被利用的资源。个人资料不仅成了政府部门控制管理社会的公共资源,同时也是商家渴望挖掘的宝藏和金矿。这一切引发了人们对个人信息安全的担忧,迫切需要通过建立包括隐私权在内的各种制度加以保护。自20世纪70年代至今,各国对个人资料保护的制度建设和法制建设一直都在强化,个人资料隐私权逐渐成为一项重要的新型隐私权。[1]
1973年的《瑞典个人资料保护法》是世界上第一部有关个人资料保护的成文法典。美国于1974年通过了《隐私权法》成为行政法中保护公民个人资料隐私权的一项重要法律。在此之后,德国、英国及其他西方国家相继制定了自己的个人资料保护法。我国关于个人资料保护的规定首见于2007年的《政府信息公开条例》,其中规定行政信息公开不得涉及个人隐私。2012年12月全国人大常委会通过的《关于加强网络信息保护的决定》明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,标志着我国对个人资料隐私保护迈出了重要一步。
2.个人资料的隐私权性质
由于包含了重要的人身属性和财产权益,个人资料已成为一项重要的权利客体,但是将个人资料作为隐私权还是其他权利加以保护存在分歧。典型的观点有三种,分别是隐私权说、人格权说和财产利益说。[2]
隐私权说源于美国,1974年美国保护个人资料的立法就称为《隐私权法》,为规范政府机构对个人信息的采集、使用、公开和保密等问题所制定,目的在于平衡公共利益与个人隐私权之间的矛盾。人格权说主要以德国为代表,认为个人资料所体现的是一般人格利益。财产利益说是美国学者波斯纳提出的,他认为个人资料虽然具有隐私权的性质,但同时个人资料本身是有价值的,可以通过购买来获取,个人资料主体对资料拥有产权,并可以进行交易,取得财产利益。
对个人资料权利属性的不同认识,反映了对个人资料保护的发展过程。最初将个人资料视为隐私是为了对抗公权力对私权利可能的侵害,但是随着时代的发展,隐私权日益受到重视,逐渐具有了一般人格权的属性,个人资料的属性也随之提升。当信息技术和商品经济发展到个人资料和隐私也能带来经济利益时,传统隐私权的内容也发生了改变,利益范围有所扩大,不仅限于人格利益同时具有了财产属性。因此,笔者认为不能简单地说个人资料属于隐私或是人格利益或是财产,而是兼具三种利益属性,总体来说它还是在隐私权的保护范畴,但是和隐私权一样,开始受到一般人格权的保护,同时个人资料的权利性质开始从相对权转向绝对权,从被动保护到主动行使和利用,成为包含人格利益和财产利益的个人资料隐私权。
1.大数据与个人资料
大数据(Big Data)有多种定义,通常的说法是需由专业平台处理的,经过整合加工提炼产生的,能够提供更强的决策力、洞察力和优化能力的海量数据集。大数据是随着近年来传输和存储技术的高速发展出现的,其中既有各种电子设备自动记录生成的信息,也有人为采集的信息。在大数据时代,个人资料是大数据的重要组成部分,人人都是信息的提供者,政府机构以公共利益的名义公开采集和获取私人信息,各类商家的各种设备无时无刻不在收集社会公众的信息。这些规模庞大的用户数据,经过专业软件整合分析处理,最终生成有用的信息资料,在政府管理、商业推广、技术开发等多领域发挥重要作用。大数据被认为是“二十一世纪的石油”,正成为新型的原材料,将带来巨大商机和潜在价值。
2.大数据与侵犯隐私权
大数据固然可以为行政部门提供决策帮助,为商家提供商业利益,但是对公民的隐私权也可能带来侵害。大数据提升了信息的处理能力和信息价值,同时也对个人资料的隐私权保护提出了挑战。
第一,大数据使我们的生活更加透明化。由于发达的信息采集和存储功能,人们的任何生活和消费行为都可能被记录在案,比如身份信息、健康信息、会员信息、信用卡信息、实名制信息,等等。这些碎片化的信息看似没有什么意义,但是互联网环境下的大数据具有聚合碎片信息的超凡能力,经过时间、空间数据的多重锁定和库叠,会还原一个整体的你。当大数据“关注”到我们具体某个普通人的时候,带来的可能是隐私的困扰和侵害。
第二,云计算使大数据成为一把双刃剑。云计算改变了大数据的信息处理与存储方式,无限放大了个人计算机的功能,同时也可能带来安全上的漏洞。当我们的个人信息储存在公共平台和空间时,我们并不知道这些数据确切的存放位置,也无法对其进行有效的管理和控制,可能产生数据混同和数据丢失。同时信息数据在网络传输的过程中可能因窃听和电磁泄漏而被他人获取。尤为严重的是在数据处理的过程中,服务商提供的设备安全保密性可能出现漏洞,或未建立起相应完备的访问控制和身份认证管理,储存个人资料可能遭遇账户劫持、密钥丢失等威胁用户的数据隐私安全。
第三,政府以公共服务名义采集的大数据可能会影响到个人资料的安全。随着云计算和大数据的出现,涉及金融、医疗、保险、财产、家庭等方面的大量个人资料集中掌握在政府部门或机构手中, 一旦被他人非法获取,或者未经本人同意擅自将这些数据用于职责以外的其他目的,就很容易对公民的隐私权造成侵害。同时政府收集整合个人资料用于公共服务时,依照信息公开原则需要公开某些资源,如果在没有保障公民个人资料隐私权前提下,片面强调公众的知情权,也会损害到个人的隐私权益。
鉴于信息技术发展过程中个人资料隐私权保护的重要性和迫切性,全世界已有二十多个国家出台了相关的法律,美国和欧盟等还专门针对大数据环境下个人资料隐私权修订了相关的条款或制定了相应的法规。我国人大常委会颁布了《关于加强网络信息保护的决定》(以下简称《决定》),有关部委也制定了《信息安全技术公共及商用服务信息系统个人信息保护指南》,对大数据时代的个人资料的管理和保护做出了原则性的规定。
《决定》的颁布明确了公民对个人资料隐私的权利和网络服务商及相关机构的义务,规范了上述机构和组织收集、使用、保管公民个人资料信息的行为,规定了违法侵权应承担的法律责任,对大数据时代公民个人资料隐私保护提供了法律上的支撑,在网络信息保护方面具有重要的意义,但其不足也是显而易见的。《决定》内容规定较为概括,只有十二条原则性的规定,因此带有更多的宣示性意味,如要切实起到保护作用,还需要进一步的细致规范。
尽管有相应的法律规范,但是在大数据时代保护公民的个人资料隐私权还是有一定困难的。第一,公民的部分个人资料是以数据库形式储存在政府相关部门的,此外,一些社会组织机构和企业也在通过各种渠道收集公民的个人资料数据,这些收集工作往往是隐秘进行的,公民个人很难知晓且无权查阅,难以得到有效保护。第二,大数据搜集到的多是个人碎片化的信息,单独的碎片化信息并不属于公民个人资料的范畴,只有经过分析、整合、提纯后,形成相对完整的个人资料方具有保护价值,但是判断碎片化信息的整合程度还缺乏相应的标准。第三,对于在互连网上留存个人资料,比如登陆微博、微信的公共平台或网商交易平台填写个人身份、提供个人资料的,是否意味着放弃个人资料隐私权保护,是否属于《决定》第二条规定的“经被收集者同意”,还需要具体的解释。
从各国对个人资料隐私权的保护经验来看,一些做法值得我们借鉴:
一是将个人资料隐私权作为一种积极的权利。隐私权一般认为不是一项积极的权利,它只是消极地发挥作用,如禁止他人窥探,防止他人入侵,阻止他人使用等。随着隐私权逐渐成为一般人格权,个人资料的权利性质也开始从相对权转向绝对权,权利人有权决定如何利用以及在何种范围内利用这种权利,对于相关机构发布的错误的个人资料信息有权予以更正,对于可能收集本人资料的相关单位和组织有权了解查询。
二是“隐私的合理期待”的判断标准[3]。1988年,美国哥伦比亚广播公司(CBS)的一名记者向联邦调查局提出申请,要求公开一名嫌犯的犯罪记录遭到拒绝,于是CBS向法院起诉美国司法部,理由是这名嫌疑人的相关犯罪记录以前在某个时期曾公开过,已经为公众所知晓,不再属于个人隐私了。但最终美国最高法院判决上述嫌疑人的相关信息仍属于个人隐私。这项判决提出了“隐私的合理期待”以及判断标准,认为在一个开放的社会里,几乎所有个人信息都可能被别人知晓或公开过,但是这不能成为再次利用传播上述信息的理由,不管是零散地利用,还是重新整合,还是原封不动地引用,除非本人故意公开,否则他人不能对本人认为是隐私的信息予以披露。这项规则就很好地解决了碎片化的个人资料以及已经公开的个人资料隐私权的保护问题。
三是加强对个人资料隐私权的技术保护。信息技术的发展加剧了个人资料隐私侵权的程度和规模,因此解决个人资料隐私权的保护问题也要从技术角度出发,寻求建立防范个人资料隐私泄露的技术保障。从目前各种保护模式来看,一种简称PET的隐私保护技术已经发展得较为成熟。PET的技术原理是用户在使用个人资料时,能够帮助其尽可能减少资料使用量和信息披露,对相关资料在云存储和云计算过程中进行加密,防止被人任意处理,同时帮助用户了解个人资料信息的储存地点和流向,在技术层面对个人资料加以保护。[4]
此外,面对大数据时代信息爆发式增长,立法部门也需要使法律更加具体和细化,积极推动云服务和大数据产品在隐私和个人信息安全方面标准的制定,为监管部门提供及时有效的监管依据。同时,公民作为个人资料的所有者也要增强自我保护意识,在遭受侵害时勇于依法维护自身的权益。
[1]刘德良.网络时代的民法学问题[M].北京:人民法院出版社,2004:78.
[2]李建新.两岸四地的个人信息保护与行政信息公开[J].法学,2013(7):56.
[3]张新宝.隐私权的法律保护[M].北京:群众出版社,2008:156.
[4]张进京.云计算中的隐私保护[J].中国信息界,2012(10):24.
TheLegalProtectionofPersonalDataPrivacyinBig-DataEra
FAN Xiaofeng1, WANG Hao2
(1.Hebei Radio & TV University, Shijiazhuang, Hebei 050071;
2.Hebei Vocational College for Correctional Police, Shijiazhuang, Hebei 050081, China)
The right of privacy, originating from social development and the awakening of individual rights and interests, has upgraded from civil rights into constitutional rights. However, with the development of information technology, the personal data has gradually become one of the protecting objects of privacy. Especially in the big-data era, personal data, as one of main components of mass data, has been endowed with more values and become the seizing goal of some organizations and individuals. Therefore, the legal protection of personal data has been confronted with severe challenges. Accordingly, it is the effective measure to the protection of personal data privacy to learn from experience of other countries, improve the existing legal system and to normalize the act of organizations.
big data; personal data; right of privacy; legal protection
2014-09-01
范晓峰(1962-),男,河北保定人,教授,主要从事法学理论、远程教育教学研究。
D913
A
1008-469X(2014)06-0075-03