徐凯
政府、商业机构采集了大量公民个人信息,由此建立了庞大的数据库,但个人信息保护尚未形成分层次、结构化的法律体系,这是个人信息权遇到的主要障碍
近日,媒体报道在百度网盘可以看到大量私人信息,百度网盘虽不自带搜索功能,但通过第三方网盘搜索引擎可查询到百度网盘用户的大量照片、通讯录,甚至政府、高校及公司内部文件等隐私内容。网友惊呼又“被裸奔”。
日光之下无新事。当互联网催生的大数据经济进一步发展时,网盘数据泄露,顺丰速递和菜鸟网络的数据接口之争,以及《花呗用户服务合同》引发的争议,有意或无意地屡屡将数据财产权问题置于公众视野。
法眼
民事权利依其本质,乃共同体对个体自治自决意思的认可。即便持有自然法观念的学者,也不得不承认,权利的范畴需经由法律界定。人类立法史的大部分情形下,法律是被动地接受新技术和新经济催生的利益集团的诉求,将原有权利结构调整以适应新技术和新经济。
中国现有人格权法已无法适应大数据经济。在新利益阶层的游说下,回应他们的诉求,分离出用户个人信息权,并以此为基礎建立数据财产权体系,是必行之事。
虽然我国目前尚无一部成文法,但公民个人信息受法律保护已无异议。
将于10月1日实施的《民法总则》,再度确认了我国实行大陆法系的民事权利体系。自然人的个人权利可分为人身权和财产权。其中人身权包括人格权和身份权,人格权又包括一般人格权和具体人格权,具体人格权包括隐私权。
个人信息权虽未明确列明作为一种具体人格权,但仍归于人格权之下。《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
此外,《刑法修正案(九)》、《网络安全法》、《征信业管理条例》、《电信和互联网用户个人信息保护规定》等法律法规、规章制度从各个方面也作出规定,比如责任承担的角度(见表1)。
目前仍有以下问题尚未得到解决。
首先是个人信息的涵义。《民法总则》并未定义个人信息;而其他法律中关于个人信息的内涵在不同的部门法中有不同的范围(见表2)。
分析上述定义,可以区分出三类不同性质的个人信息:
一是用户身份信息。这类信息单独或者集合能用于识别特定个体,锁定具体个人身份,包括:姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
二是个人行为信息。包括用户的行踪轨迹(比如手机定位功能搜集的信息)、用户在互联网上被cookie等技术记录的互联网浏览信息,以及用户在特定社交媒体如微博、微信朋友圈上发表的内容等。
三是身份和行为信息以外的用户隐私信息。包括用户的犯罪记录、两性关系、健康记录等。
实践中,三类信息互有交叉,各有侧重,一项侵犯个人信息的行为,很可能同时包含了上述三类信息。
对于隐私权和个人信息权之间的差别,在最高法院的规定中,似乎将个人隐私涵盖在个人信息的范围内;而实践中,如果可以将个人信息权作为独立诉由,它和隐私权的界限,很可能不明显,二者是择一而适用的竞合关系。
分析现有立法,虽各有侧重,但没有针对不同的个人信息,建立起结构化的保护体系。
《网络安全法》侧重个人身份信息;两高《关于办理侵犯公民个人信息刑事案件司法解释》包含了个人身份信息和个人行为信息;最高法院《关于利用网络侵犯人身权益的规定》,则将重点放在隐私信息上,对个人信息的保护实际上以隐私信息为主。
此外,公民个人信息虽是一项权利,但亦是一项义务,即经法律规定,必须向政府或运营主体提供。《居民身份证法》、《婚姻法》、《城市房屋管理法》、《公司法》等法律下,公民都有向有关部门或机构提供个人信息的义务。
2012年全国人大常委会《关于加强网络信息保护的决定》规定,互联网服务提供者应当要求用户提供真实信息,并应当采取技术及其他措施保护信息安全。
此后,包括《网络安全法》在内的法律法规进一步要求,网络运营者在与用户签订协议或者确认提供服务时,应当要求用户提供真实身份信息。用户不提供真实身份信息的,网络运营者不得为其提供相关服务。
《网络安全法》还进一步确认,国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。
政府和商业机构采集了大量的公民个人信息,由此建立了庞大的数据库,但个人信息保护目前并未形成分层次、结构化的法律体系,这也是个人信息权目前遇到的主要障碍。
据中国信息研究院统计,2016年中国大数据市场规模为168亿元,增速达到45%,预计未来三年仍将以每年30%的速度增长。
此统计仅是流通市场规模,但实际上,数据更多的使用是在企业内部,如阿里巴巴将自己定位为一家数据公司,马云更宣称,大数据将重新定义市场经济和计划经济,大数据“让计划和预判成为可能”。
不可否认,大数据的来源多元化,比如企业内部生产的数据,并不都是个人信息,个人信息结合的大数据,也是最有商业价值的部分。“技术既无好坏,亦非中立”,大数据AI可能“比你更了解自己”,其价值观则需要人来赋予。
网络经营者搜集用户信息,除法定情形外,均要基于其和用户的约定进行。此后经过加工(包括去身份化处理)、储存等环节,再走向应用:企业自用,如用户数据在阿里巴巴集团内部的分析与使用,或分享、销售给第三方,比如顺丰和菜鸟网络的数据接口。
这其中每个环节,都应当经过用户同意,因为用户对个人信息拥有自决权,有权利自行决定其信息可否被利用以及利用到何种程度。
但目前立法主要导向在于防止侵害,对个人如何积极行使其信息权并无进一步指引。
鉴于目前网络运营的实际状况,用户对于注册协议或使用协议都无太多了解。网络运营者取得用户同意的方式也是默示同意,即用户使用该项产品或服务,推定其接受相关注册或使用协议。因此多数用户意识不到其个人信息被收集或使用的情况。
以个人默示同意方式为基础建立起来的大数据产业,处于双重不稳定状态:
一是授权不稳定。用户几乎不看协议;对于平台使用其信息的方式和范围一无所知。假使逐项询问,用户很可能不会同意。
二是产权不稳定。制度经济学认为,产权是一束权利,由一组契约构成。而用户(被采集者)和企业间的契约关系并非基于明示同意而是默示同意,授权不稳定,使契约在本质上处于不稳定状态,数据财产权的归属必然處于长期争议中。
比如,6月30日支付宝旗下蚂蚁花呗发布了《花呗用户服务合同》(下称《合同》)条款调整公告,《合同》对用户信息搜集范围之广,却无“为提供服务所必需”的基础,也没有取得用户的明示同意的正当性条件,因此受到公众广泛讨伐。随后花呗于7月3日更新了这一服务协议,修改了其最受争议的内容。
在建立分层次结构化的个人信息权基础上,参照中国科学技术法学会制定的《互联网企业个人信息保护测评标准》,应当要求企业在下述情况下必须取得用户明示同意:
1.收集个人信息的行为超出告知的目的、方式、范围;
2.超出收集时所告知的目的和范围加工、使用个人信息;
3.分享或者销售个人信息给第三方;
4.除非作为法定义务用户必须提供的,否则涉及核心敏感个人信息的一切收集、加工、存储和流通行为。
参照欧盟经验以及国家质检总局2012年颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》,立法应该区别核心敏感信息和一般个人信息,对核心敏感信息采取特别保护制度,限制企业使用范围和交易范围。与此同时,对未成年人个人信息进行更为严格的限制采集、存储和交易管理。
我国还应借鉴欧盟经验,建立被遗忘权,在一定条件下用户有权以通知方式,要求企业删除并不再储存个人信息,这一方式与《侵权责任法》下的“通知—删除”规则精神一致,在实践中并不难以实行。并且对于极端重视个人信息的人而言,是一条重要的救济渠道。
阿里巴巴和腾讯掌握了足够多的用户数据,但现有阶段,拥有个人信息数据最多的主体仍是政府。
与阿里巴巴等商业机构不同,政府采集、存储、使用、分享公民个人信息,应主要靠法定规范,即“法有授权方可为”。
目前尚未看到,政府部门收集、存储、加工和使用个人信息,应当遵循何等条件、正当程序和安全保护措施。而这些内容,应当是一个社会关于个人数据的社会契约中优先级最高的条款。
(作者为北京律师,编辑:王敬恺)