□文/李静芹
(河北政法职业学院 河北·石家庄)
我国移动互联网发展已经进入全民时代。截至2014年6月,中国网民规模达6.32亿,其中,手机网民规模5.27亿,互联网普及率达到46.9%。在网民上网设备中,手机使用率达83.4%,超越传统PC 整体80.9%的使用率,移动终端已经成为一种重要的媒介,占据了人们越来越多的时间,成为用户日常生活不可分割的一部分。与此同时,大数据是互联网乃至移动互联网时代的标志之一。
人们用大数据一词来描述和定义信息爆炸时代产生的海量数据,并命名与之相关的技术发展与创新。
大数据成为政府管理、社会服务和商业拓展的重要手段和资源,带来了显著地经济效益和社会效益,方便社会大众生活。与此同时,QQ、微博、博客、微信等自媒体凭借自身的公开性和易窥窃性很容易将用户隐私暴露,使得用户的数据很容易遭到非法收集、储存、传播、截取、篡改和利用,从而导致用户利益受损。2012年1月,奥巴马在消费者隐私条例草案发布会说“隐私从一开始一直是我们民主制度的心脏,而目前比以往任何时候更需要它,大数据时代更加如此”。“技术不是价值中性的,会产生伦理效应。然而,它究竟产生善还是恶,却取决于人对于这种伦理后果的自觉,取决于人的意志。”
(一)用户数据的收集领域越来越广泛。政府部门在提供公共服务和社会福利的时候,在人口普查、公安户籍、民政婚姻、车辆管理、税收、犯罪记录、社会保障等方方面面收集着社会大众的大规模数据。目前,大数据贯穿七大行业。医院在为病人提供诊疗护理服务的同时,收集病人的出生信息、病历资料等数据;学校在提供教育服务的同时,不断收集学生的教育数据;银行保险等机构提供保险服务的同时也在收集客户的数据;企业尤其是互联网企业在为用户提供求职应聘、婚恋交友、应用下载、快递收取、投资理财、旅游住宿等等服务的同时,也在同时收集者用户的大规模信息。可以说,在计算机和互联网技术的推动下,用户数据在越来越广泛的领域时时刻刻在被采集。
(二)用户数据的收集方式从告知收集向强行或者暗中获取发展。
随着网络、搜索引擎等技术的发展和广泛运用,加之移动终端的普及,传统的纸质收集数据的方式正被以电脑为载体的新型数据采集方式所取代。数据收集也从告知收取向强行或者暗中获取发展。比如,公共场所几乎无处不在的监控设施,收集了个人在公共场所的全部活动,甚至包括个人的私密生活。又比如,用户在下载第三方应用程序APP时,因为收集用户信息有利于其产品的推广,规模较大的正规应用厂商收集用户个人信息的过程中,总会或多或少对信息的用途进行提示,并且对于其安全性给予一定的保证。一个很简单的案例,在应用商店下载一款很普通的五子棋游戏,这样一个小游戏就可能会提示需要定位权限(是为了方便游戏联网)、需要访问手机麦克风(开启游戏内的语音功能)、同步通讯录(联网和朋友一起玩,顺便推送给用户的朋友圈),如果用户注册账号那手机号肯定必不可少、一些软件会以各种名目要求用户上传个人信息或者开放隐私权限,山寨软件尤甚。在获取用户成本逐渐上涨过程中,小型APP 开发团队在制作各种软件时,相当部分APP 应用在用户下载好之后就已经默默开启了权限,尽可能用各种方式强行或是暗中获取用户信息。
搜索引擎的出现,使得社会大众搜索用户的信息变成了一件分分钟就能实现的事情。各种各样的人肉搜索出现,不论是寻人、还是寻找疑似小偷,或者是新闻事件中的当事人,一旦开始了人肉搜索,就变成了全民关注的事件。被搜索者的信息全部被挖了出来,放在了网络上。信息内容不但包括基本的姓名、性别、工作单位,甚至连违法记录,旅店开房记录等隐私内容都被曝光在公众的视野里。
(三)用户数据的收集范围不断扩展。最初的用户数据收集范围集中在静态的个人识别性信息,既包括个人出生时间、民族、家庭住址、血型、婚姻状况等基本信息,也包括个人的教育、医疗、刑事或者职业记录、财务资料等信息。但是随着信息技术的进步,通过高科技手段收集个人信息的方法正在不断扩展个人信息的范围。比如,由于移动通讯工具的出现,个人所处的位置很容易通过手机定位查明。而且随着我国要求住宿、电话、存款、上网等“实名制”的增加,个人被记录下来的活动信息也越来越多。用户个人信息的范围从静态的识别性信息扩展到包括日常生活、婚姻恋爱、夫妻生活、家庭生活、社会交往等动态的活动信息。
用户数据的类型日益繁多,不但有文字的网络日志、静态的图片,还有动态直观的音频、视频、地理位置信息,等等。
(一)采集用户数据的过程侵害用户的知情权和控制权。在大数据环境中,可以通过医疗就医记录、购物及服务记录、网站搜索记录、手机通话记录、手机位置轨迹记录来获取用户的信息。2013年央视财经3·15 晚会,互联网企业被指责存在“第三方广告商协同网站方通过追踪Cookie,窃取用户隐私”,舆论一度哗然。虽然广告界业内普遍认为,一般追踪Cookie可以获取到用户的浏览记录、IP 地址、广告投放的点击互动行为,并不包含如姓名、地址、电话、密码、用户名(如QQ号码)、性别、年龄、职业、收入、受教育程度,因此并不能将网络上的某个行为和真实的用户对应起来,不存在侵犯隐私的问题。但是,在采集数据、追踪数据的过程中,用户应有知情权。
网站有义务告知用户,在何种情况下可能会被第三方Cookie 追踪,用户有权利选择不允许网站在自己的电脑里设置第三方Cookie,如果用户觉得这是对自己有害的,是有权利进行清空和删除的。例如,你注册了邮箱,只有邮箱的服务提供商才能拥有你的相关信息,第三方数据公司是不能直接获得的。毕竟当广告邮件塞满了邮箱,用户被推送了不想看到的促销信息的时候,对Cookie 带来的不良体验是非常反感的。
美国《请勿打我电话法》建立了行之有效的明示拒绝机制。明示拒绝是指消费者拒绝接受对没有获得其事先同意而单方面发送的广告邮件或电话等直销方式。该法赋予用户明示拒绝的具体条款以及例外条款,例如商家只能给已建立的客户打电话进行直销。对于已经在联邦委员会登记的电话号码,商家若没有获得拨打的许可,贸然拨打会受到11,000美元的罚款。美国《请勿打我电话法》颁布后,消费者到美国联邦贸易委员会登记的电话号码超过1亿,此法起到了让公司或者企业遵守个人数据合理使用原则的作用。
当用户获得了知情权后,除了有权自主决定信息是否被记录,还对信息如何被使用和分享享有自主权,对用于数据的平台商和第三方数据公司,是否可以将这些数据给广告主拥有控制权。
(二)肆意收集用户数据侵犯隐私权。包括政府部门在内,在收集用户数据时都经常发生侵犯用户隐私的问题。2013年6月发生的“棱镜门”事件发生。前中情局(CIA)职员爱德华·斯诺登将两份绝密资料交给英国《卫报》和美国《华盛顿邮报》,并告之媒体何时发表。按照设定的计划,6月5日,美国国家安全局有一项代号为"棱镜"的秘密项目,要求电信巨头威瑞森公司必须每天上交数百万用户的通话记录。美国《华盛顿邮报》披露称,过去6年间,美国国家安全局和联邦调查局通过进入微软、谷歌、苹果、雅虎等九大网络巨头的服务器,监控美国公民的电子邮件、聊天记录、视频及照片等秘密资料。美国舆论随之哗然。保护公民隐私组织予以强烈谴责,表示不管奥巴马政府如何以反恐之名进行申辩,不管多少国会议员或政府部门支持监视民众,这些项目都侵犯了公民基本权利。
由于我国用户数据隐私权保护观念滞后,在行政权力行使惯性的背景下,一些政府部门在收集数据时侵犯个人信息隐私的行为经常发生。“自2007年开始,我国开始整合政府各部门的人口信息资源,以公安人口信息为基础,逐步融合计划生育、统计、民政、社会保障、税务、教育等部门的相关信息资源”。用户数据的不断融合和互通,几乎能够推理出用户所有的敏感信息,无形中使得用户的隐私面临着被泄露的危险。
当前,人们在互联网上的一言一行都掌握在互联网商家手中,包括购物习惯、好友联络情况、阅读习惯,检索习惯等等,多项实际案例说明,即使无害的数据被大量收集后,也会暴露个人隐私。
(三)擅自公开用户数据侵犯隐私。近年来,伴随着中国网络规模的持续增长,移动互联网,三网融合,云计算技术的不断创新发展,应用的不断丰富以及电子商务的逐步普及,互联网安全的严峻形势正日益凸显,互联网安全事件时有发生。
2011年12月21日,360 安全卫士官方微博较早发布消息称,“今日有黑客在网上公开了CSDN 网站用户数据库信息,包括600余万个明文的注册邮箱账号和密码”,一石激起千层浪。22日,此事急剧升温,嘟嘟牛、7K7K、人人网等网站的“密码集”也先后出现在网络上。
2014年12月25日,乌云漏洞平台曝光称,大量12306 用户数据在互联网上被传播售卖,包括用户账号、明文密码、身份证号码、电子邮箱等。
由于许多网民的邮箱、微博、游戏、网上支付、购物等账号设置了相同的密码,如果一家网站服务器被黑客攻破,用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号一并失窃。用户数据泄露的深层次的危害是容易引发诈骗、绑架、非法讨债等下游犯罪。
中国青年报2011年调查“公民个人信息是如何泄露的”,86.5%的公民认为自己的个人信息曾被泄露,受访者认为在泄露自己信息可能性的部门与机构中,政府为24.9%、教育为24.3%、银行为39.8%、保险公司为37.0%。
(四)分析利用用户数据导致侵犯隐私。大数据时代,用户的某些数据分散开来,曾经公开过,不能算是隐私,但如果对其进行数据的汇总、整合可能形成某公民的人格图,可以解析出其隐私。“这些‘数据脚印’,保存在不同的系统中,可能无伤大雅。如果建立起中央数据银行,通过数据整合和信息加总,就可以再现一个人生活的全部轨迹和全景,各个系统之间的数据可以彼此印证、互相解释,个人隐私就无所遁形。”一个典型的例子就是某零售商通过历史记录分析,比家长更早知道其女儿已经怀孕的事实,并向其邮寄相关广告信息。而社交网络分析研究也表明,可以通过其中的群组特性发现用户的属性。例如通过分析用户的Twitter 信息,可以发现用户的政治倾向、消费习惯以及喜好的球队等。
用户数据保护的本旨在于维护人格尊严和自由,同时对用户数据的收集和利用有利于公共福祉和科学技术的进步与发展。为了有效解决人格自由和用户数据流动自由发生的冲突,各国纷纷制定了个人数据保护法。我国目前缺乏一部专门的综合性用户数据流动的法律来规范网络行为,明确用户、企业等相关方面责任义务,有效保障用户数据安全。即便是在已经制定了用户数据保护法律的国家和地区,用户数据的有序收集、利用等问题并没有得到根本解决,仍需要在实践中不断完善。在立法滞后的情况下,为了保护用户数据不被非法侵害和提供有力的救济,裁判者在处理具体案例时,应提供一定的司法保护。
(一)对用户数据进行司法保护的原则
第一,坚持私权保护原则。既要充分尊重信息交流与沟通的需要,满足公共福祉和科技进步的需求,又要保障用户数据不受非法侵害。在网络世界中,也必须遵循管理公共事务所进行的网络信息管制和收集利用。但即便是为了满足社会公共利益的需求,也同样需要在获取和发布涉及公民网络隐私权的行为时坚持合法性和必要性原则,由法律对该行为做出明确的限定,以保护公民的网络隐私权不受侵害。在个人利益和国家利益发生冲突时,一般来说国家利益高于个人利益,在个别情况下要舍弃个人利益以保护国家利益的完整性。但是,国家利益不能无限制的扩张,在网络隐私权问题上表现在政府收集和利用个人数据要坚持合法性和必要性原则,法律必须对政府的行为做出明确界定,以保护网络用户的隐私权。
第二,用户数据类型不同,他们所承载的人格利益受保护的程度和方式就不同。一般来说,用户数据类型有:1、敏感数据与琐细数据。敏感数据是指与本人隐私有关的个人信息,譬如种族、血型、病史、犯罪记录以及性生活记录等,琐细数据则是敏感信息以外的个人信息。显然处理前者的行为应该受到更多的限制。具体地说,主体对敏感数据实施收集、利用行为之前,应当得到本人的明示同意,而处理琐细数据仅默示同意即可。对此,欧盟数据保护指令第7条有类似规定;2、已公开用户数据与未公开用户数据。前者在被收集之前已经通过合法途径公之于众,而后者则不然。诚如我国台湾地区“电脑处理个人资料保护法”第18条阐述的,他人收集与利用事前已经公开的个人信息无害本人人格利益,从而为促进个人信息有效利用以满足处理者与公众的利益,已公开个人信息被处理与利用之前无需经过本人同意。
(二)完善用户数据利益的司法保护途径。没有救济的权利就不是真正的权利。应该建立以民事责任和行政责任为主,刑事责任为辅的多种保护途径。
民事上,从侵权法角度救济用户数据利益,用户可以通过民事诉讼途径实现,要求用户数据的搜集者包括相关网站、服务提供商、第三方等改正错误的信息搜集、使用行为,承担民事责任,赔偿用户因此遭受的损失。
对于由于政府监管不力,导致其工作人员或者其授权使用用户数据的单位与个人,侵犯用户数据隐私权时,应当赋予用户通过行政复议和行政诉讼的方式救济其权利。
最后,当民事责任、行政责任不足以保护用户数据利益的时候,可运用刑法手段施加惩罚。早在2009年《刑法修正案(七)》通过,出售公民个人信息罪、非法获取公民个人信息罪就已入刑。其第二百五十三条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员,违反国家规定,将本单位在履行职责或者提供服务过程中获得的公民个人信息,出售或者非法提供给他人,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。窃取或者以其他方法非法获取上述信息,情节严重的,依照前款的规定处罚。单位犯前两款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照该款的规定处罚。”■