◎李凡迪
大数据时代个人信息法律保护探析
◎李凡迪
随着互联网技术的飞速发展,云计算、大数据等对社会生活的影响越来越深刻,个人信息的范围不断扩大,内容增多,个人信息的法律保护面临诸多困境。2017年3月,《中华人民共和国民法总则》通过,其中明确规定了自然人的个人信息权。面对大数据时代,理性看待我国个人信息保护中所存在的问题,积极应对并选择适合我国国情的法律保护模式。
大数据时代特点。大数据是一个相对而言较抽象的概念,最早是由享誉全球的咨询公司麦肯锡提出。大数据是作为生产工具的数据挖掘技术和作为生产资料的数据累积发展到一定阶段的产物。面对这些海量数据,借助强大的计算能力和相关算法,通过一定运算规则进行全面分析并探寻数据之间的联系,从而发现事物之间的某种相关性。大数据全面分析海量数据,可以提供研究对象之间的相关关系而非因果关系。
个人信息权。个人信息与个人数据紧密相连,但也有所差别,个人数据比个人信息包含的数据范围更广泛。网络环境中的个人信息以网络为主要传输渠道,以数据流为载体。
2017年3月通过的《民法总则》在民事权利内容中明确规定了自然人的个人信息权。个人信息是人格利益与财产利益或经济利益的双重载体,而个人信息权作为民事权利中的一种,兼具人格权和财产权的双重属性。个人信息权的主体是个人信息所指向的本人,即能够支配、控制自身信息的自然人。个人信息权的客体是与本人有关的各类信。个人信息权的内容包括个人信息本人享有的知情权、自决权、删除权、获得救济权等权利。
欧盟和美国立法。欧盟将个人信息作为公民的一项基本权利,给予其全面并且有效的保护。相较于欧盟采取统一和集中的立法模式,美国采取的是较为零散的部门性立法。本文主要介绍美国、欧盟的立法模式。
欧盟采取了统一和集中的立法模式,于1995年颁布《个人数据保护指令》,除此之外,还有《隐私与电子通讯指令》、《欧洲Cookie指令》,又于2015年颁布《一般数据保护条例》。美国采取的是较为零散的部门性立法。1966年《信息自由法案》明确了政府数据的开放原则,分别于1974年、2012年、2014年颁布《隐私法案》、《消费者隐私权法案》、《数字问责和透明法案》,要求联邦将有关非链接文件转换成开放的、标准化的数据。
国内个人信息保护现状。目前,我国对于个人信息直接保护的立法主要包括《刑法》、《侵权责任法》、《互联网信息服务管理办法》、《关于加强网络信息保护的决定》等。《民法总则》第一百一十一条指明了自然人的个人信息权。
然而,相较于其他国家,我国个人信息的保护处于比较落后的地位,存在很多问题:第一,概念划分不清,立法上未对个人信息、个人数据、个人信息权等下明确的定义。第二,现有立法调整范围有限,个人信息直接保护的有关规定中只针对“加害行为”,并没有针对大数据处理生命周期中的收集行为、分析行为、处理行为。第三,执法不严,缺乏有关部门对数据处理的监管,个人信息泄露的事件频发。第四,行业自律程度较低,基本停留在倡导阶段,在内容上缺乏实质性和实用性。
明确数据控制者义务和责任,制定以私权为中心有关个人信息保护法律。
数据的两端一方是数据主体,另一方为数据控制者,互联网各类主体中的数据控制者应该作为数据保护的核心义务主体。数据控制者根据其控制数据的用途主要可分为商业机构、政府机关、公共机构。作为数据的控制者,处理的数据范围广泛,应作为民事法律主体承担相应的义务,受到数据保护立法同等的规制。个人信息具有一定的公共属性,但究其根本,个人信息权的主体是本人,只有从根本上保护了个人信息的权利,才有可能更好地保护公共利益。
完善“通知-同意”法律规则。欧盟在2015年通过的《一般数据保护条例》中对“通知-同意”法律规则做出了明确的规定。欧盟所确定的“通知-同意”规则实际上是进一步缩小为“通知-积极同意”规则。这虽然有利于个人信息的保护,但也导致了交易过程中商业成本增加。因此,总体上“积极”与“消极”应结合使用,对于某些特殊领域,例如刑事侦查、医疗等,应采用“积极同意”。
确立专门机构对信息泄露问题进行监督。针对网络的使用形成信息存量造成信息泄露的问题,应确立专门机构对网络信息进行监督,对高危信息进行提醒。现代社会中,个人信息已经在不经意间由各个渠道泄露,并且信息主体对泄露结果并不知情,也没有相关机制进行预防、相关机构对其进行提醒。确立专门机构对信息泄露问题进行技术监管,及时提醒用户修改密码或设置安全保障。
细化行业自律规范。工信部作为我国专门机构应该对有关行业自律情况进行监督,发挥其作用。激发行业自律积极性,细化行业自律规范,促进行业发展和个人信息保护向良性方向发展。我国行业自律规范应跳出倡导阶段,进一步制定各类实施细则和相应的救济措施,在内容上增加其实质性和实用性。
(作者单位:北京科技大学文法学院)