摘 要:大数据技术的发展对个人信息保护规则带来极大挑战,在数据共享、流转和二次利用成为常态的情形下,以知情同意为原则和以控制权为基准的个人信息保护方式存在一定的不合时宜性。明确信息主体对其个人信息享有信息权,在“场景理论”指引下对个人信息保护规则进行梳理和重构,在立法层面、监管层面、权益保障层面进行适法性矫正,构建一套既能促进大数据产业发展又能提升个人信息保护水平的信息保护规则。
关键字:大数据;个人信息;信息权;场景理论
中图分类号:D923 文献标识码:A 文章编号:1672-4437(2018)02-0081-04
随着智能设备、信息化技术、云存储的广泛应用,个人信息的收集、使用和存储规制发生了巨大变革。个人信息保存模式,由传统的纸质档案转变为信息化介质,极大地提高了数据企业对信息的获取和利用能力,降低了使用者的成本。当带有财产和人身属性的个人信息成为塑造信息主体虚拟形象的底层资料时,信息的收集、使用、泄露、滥用,均会对信息指向主体的隐私、人身、财产带来诸多不利,更会对之前行之有效的时代规则和社会秩序造成极大挑战。与此同时,对个人信息的收集、使用、储存规则进行立法指引,成为各国的通行做法。我国在制定《民法总则》时在民事权利章节中创设了信息保护条款,但与大数据发展的时代要求相比,此种保护规则仍存在一定的可改进之处。
一、个人信息保护模式面临的挑战
大数据时代下,包含个人信息在内的数据保存和处理方式由手动转变为自动,这使运行良好的既有秩序和社会制度形成了一定程度上的破裂。当前大数据技术的应用使不同主体收集的不同层面的个人信息,在技术驱动下聚集在一起,并展现出对信息主体精准画像的能力,在此背景下,个人的隐私和信息权利将变得“毫无意义”。首先,个人信息呈现聚集效应。个人的身份、通讯、教育、医疗、涉税等由不同主体收集的信息在共享机制下根据留存的“数据脚印”,可以起到对个人轨迹的完整记录。其次,大数据使个人信息永久保存。储存于云端且可在移动终端调取的个人信息,将人类记忆无限拉长,将任何可能与个人相关的信息的遗忘权理念被抛弃。再者,个人信息大范围二次利用。大数据的价值不单纯来源于它的基本用途,更多源于它的二次利用,通过海量数据的挖掘,全方位复原信息主体的个人形象,并达到对个体差异化的精准营销和商业推广。以上特征使得不论是隐私权还是人格权均难以正当地确保个人信息不受非法的利用和侵害,基于此,我们亟需审视当前信息保护规则和保护模式。
(一)“知情同意”模式面临困境
形成于上世纪70-80年代的国际社会个人信息保护原则,在数据化时代,其信息内容形式、应用场景和使用方式均发生较大变化,包括欧盟、美国、OECD在内的国家或组织,早期的信息保护思路是以个人隐私和基本人权保护为切入点,限制大数据的应用与跨境数据的传输,并制定相应法律法规规制互联网或者电子商务等大数据产业中对个人信息的采集和使用[1]。但在技术应用和产业升级的潮流下,立法者意识到大数据对个人信息的采集和流转成为必然。
以法律形式应对个人信息采集和利用的市场化改革,成为维护个人基本权利的有效手段。但是,个人信息保护在大数据背景下呈现出的特征使得世界范围内个人信息保护原则和理念均在做适时性的调整,其中作为判断标准的“知情同意”原则几乎丧失殆尽。因为,无所不在的数据收集对个人形成密集追踪;大量机器对机器的被动信息收集,不为用户所知悉;个人信息的累积、分析、对比,构建出完整的人格图像,极易挖掘出个人不愿为他人知晓的敏感信息,这些是“知情同意”原则难以触及的。
同时,当下通行的“知情同意”存在较大的困境。所谓“知情同意”原则,当前通常的做法是:数据收集者面对“知情同意”原则的要求,在用户使用信息收集者提供的服务或设备之前,信息收集者以格式化的合同要求用户同意其个人信息被服务提供者收集、使用或者以合理的条件转让,同时以前置性的同意形式为用户设置了只有同意方能享受收集者提供或者设备的选项。在信息化时代,动辄数万字的专业化格式文本,是普通使用者无暇也无能力知晓其究竟同意和授予了信息收集者如何处置和使用其信息的权利。但是,当信息收集者将个人信息用作其他用途或者不当泄露之时,信息收集者却可以以格式文本中的规定作为对信息主体事先同意的抗辩,宣称用户知晓且同意了其个人信息被收集的方式,并对信息的事后处理规则达成了一致。数据代表个人信息,对数据的尊重亦表明政府对于个人尊严和自由的保护。在此种情形下,以“知情同意”为架构的传统个人信息收集机制使得用户的隐私和个人信息难以得到有效保护,同时给企业的发展附加了额外的负担,严重阻碍了数据的流通和创新的应用,不利于大数据时代下经济和产业的发展[2]。
(二)“自主控制”假设存在悖论
大数据时代,个人信息的价值主要是数据收集之后的流转、比对、交易等环节创造的,个人信息所有者面对的不再是单一、直接的与服务提供者进行的信息交换,需要接受信息被收集后,在中间商、后续利用者之间的流转事实,并视之为享受初次服务的“对价”。简而言之,信息主体对其信息被收集之后的掌控能力在逐渐降低。如果仍以信息主体对个人信息享有自主控制为信息收集和利用规制前提的话,在大数据背景下会存在以下两大悖论。
1.个人信息权利易受忽视
一方面,面对一项应用或者服务需要获取消费者10多项个人信息的今天,消费者被商家视为其是同意用个人隐私换取社会便利和高效服务的;另一方面,消費者在被收集信息时可能存在疑惑和顾虑,但为了获取不可或缺的服务,不得不将个人信息以格式文本的形式授予给服务提供者。这种“不得不”的选择,在信息主体和信息收集者看来,人们似乎很珍视自己的隐私和个人信息,但为了取得相应的服务,又似乎对自身的隐私和信息并不在乎。虽然我们仍认为信息主体是个人信息的控制者,但这种控制实际上是一种“名存实亡”,无法展现出任何权利的特性。
2.个人并非控制所有信息
不论是传统的数据交流方式还是当前大数据时代下的信息传输,个人的信息并非完全由信息主体控制。首先,人们可以通过政府部门或公共机构,查询不为信息主体控制但指向信息主体的信息,这是对信息主体个人特征或隐私揭示的重要方式,但并不需要信息主体的事先同意或授权;其次,无处不在的监控和人像识别技术,可以在信息主体毫无知觉的情形下获取个人信息,并将之用于相关领域;再者,非法主体通过不法手段窃取用户的个人信息,以不正当手段进行非法售卖,并将之转化为大数据产业的数据来源。基于上述分析可以得知,并非所有的个人信息都可以被信息指向的主体所拥有或者控制,正是个人信息所面临的上述挑战,世界各国均开始关注大数据背景下的信息保护规则,并进行相应的立法和修订工作,以适应时代之要求。
二、个人信息保护的学理探究
由于对个人信息权属和规制问题的相异理解,出现了欧盟为代表的以基本人权为价值取向的综合性规制模式和美国为代表的以市场自律为价值取向的行业性规制模式[3]。对于尚未建立起完整个人信息保护制度的我国而言,通过立法保护信息主体的信息权利,并促进数据的有序使用和流通,对立法机关是一个较大的考验。
(一)个人信息法律属性论争
在个人的信息权利方面,学术界一致存在着争论。当前对个人信息的法律属性而言,主要有隐私权客体说、人格权客体说、所有权客体说,各学说的产生均伴随着对个人信息权利的理解和认知,并服务于当时的社会经济发展。我国现阶段对个人信息进行保护的立法基准存在一定的混乱:一方面,部分立法侧重信息所指向主体的隐私权,注重保护信息主体對不涉及公共利益的信息,即不公开披露且不愿为别人所知晓的部分;另一方面,部分立法侧重保护信息的人格权,重在保障信息主体作为人的一种尊严,将信息视为自然人人格的一种展现形式,对个人信息的保护即视为对自然人人格权的保护。不论是隐私权说还是人格权说,个人信息在此框架下均是一种消极的防御权利,目的是确保个人信息不受其他主体的非法侵害。但是在大数据和人工智能飞速发展的当下,仅依靠隐私等被动权利进行个人信息保护,很难做到信息主体权利的合理保障,亦不符合对数据开发利用的产业需求,保护方式存在一定的改进必要性。
(二)信息主体享有信息权利
相较于隐私权和人格权保护模式而言,确认信息主体对其信息享有信息权或是法律保障的最好方式。《民法总则》虽然在民事权利章节中将自然人的信息保护规制作为单独一条加以明确,但是法律文本并未明确提出自然人对其信息享有信息权,不可谓是一种遗憾。信息权是信息主体对其作为主体所对应的信息享有的民事权利,是一种可以堪比所有权的权利,具有排除他人不当侵害,享有占有、使用、收益、处分等权益的功能[4]。和仅为消极防御性质的隐私权相比,信息权对信息主体而言,具有更多的主动性,是信息主体对本人信息更为便利化的使用。在大数据时代下,信息主体在使用或者享受信息收集者提供服务的同时,可以选择性的将个人信息提供给收集者,但是信息真正的权利仍然保留于信息主体,当信息收集者或者共享者违反信息收集目的、不正当的侵害个人权利或对个人生活形成骚扰时,信息主体可以依靠信息权进行主动干预,甚至可以停止对外的信息授权,确保信息主体合法权益不受侵害。
(三)场景理论保护学说兴起
在大数据背景下,个人信息的掌控主体逐渐由个人转向收集者和共享者;信息的规制方式,逐渐由规制收集者转向规制使用者。在此过程中,信息的使用和保存很难严格遵循“知情同意”原则,学界对个人信息保护模式的探讨逐渐转向以风险管理为目的的“场景理论”。此种理论认为,任何信息的敏感性不是与生俱来的,信息基于具体的场景附带的敏感性是个人信息保护应当关注的重点[5]。将抽象且不符合大数据时代发展需求的“知情同意”模式转变为提升个人保护水平并平衡信息产业发展的“场景理论”,具有一定的积极意义。同时,采用风险管理理念,以信息的使用场景为依托,能够形成更适合时代要求的、对信息的动态风险管控机制[6]。
三、个人信息保护的制度完善
(一)加快个人信息保护的立法工作
个人信息保护是大数据发展的基础,作为互联网大国,我国对个人信息保护的规则散见于《民法总则》《刑法》《网络安全法》《侵权责任法》等单行法律,同时附带于各行政部门出台的行政法规、部门规章、制度或者决定。虽然,通过上述方式确立了个人信息保护的简单规则,但是和实践需求、国外立法相比,不论是在立法水准还是保护程度上均存在一定的差距。为改进并完善个人信息保护规则,亟需制定《个人信息保护法》,明确各方权责,以便在大数据时代更好地将个人信息的保护理念贯彻于信息者、使用者、监管者等主体,使公权力机关和信息获取者更加严格地遵从个人的信息权利,确保个人信息保护措施和监管手段得到有效实施和恰当执行,以对我国个人信息保护制度的构建起到立法引领的作用[7]。
(二)强化信息保护的执法监管机制
涉税信息的保护机构是税务机关,消费信息的保护机关是工商行政部门,我国当前并不存在一个明确的专司个人信息保护的机构。在数据流通和交汇融合的当下,很难确保泄露或不正当使用的信息仅为某种单一类型的,此种情形下,会存在执法重叠和执法空白,同时执法标准也很难统一。在大数据产业发展下,我国对个人信息的执法监管应当进行以下方面的调整:首先,建立统一的个人信息保护机构,明确此机构职责范围,确保不同种类信息的统一保障;其次,明确个人信息保护的监管机制,信息保护机构应当在审视当前数据流通、开发和利用基础上,主动对侵害个人信息的违法行为进行监督,而非被动接收当事人的举报;最后,监管机构应当适度转变监管思路,将个人信息保护的重点由控制权转向场景适用,跳脱传统“知情同意”的桎梏,同时将审查重点立于信息保存或者共享者的不当使用,以实现阻却个人信息滥用的目的。
(三)明确信息主体权利的保障措施
信息主体享有对自我信息处置的权利,有权反对信息收集者或共享者对本人信息实施的自动化处理以及根据自动化处理所附带的营销、推广等。欧盟2018年5月施行的《通用数据保护条例》规定,信息主体享有以合理理由拒绝信息使用者处理其信息的权利;享有反对数据控制者为销售等目的向其他任何第三方披露数据的权利。反对权,实际上是“现实我”有权拒绝产生“虚拟我”,同时有权拒绝信息使用者或者共享者根据“虛拟我”对待“现实我”,进而实现个人私生活不因个人信息的被收集或共享而带来打扰的结果。归结到底,“反对权”是平衡信息主体和信息使用者各方关系做出的妥协和让步。在“反对权”的基础上,信息主体亦应享有对个人信息授权的撤销同意权。在大数据时代,我国互联网企业发展较为迅猛,但在个人信息保护方面,信息主体却处在较为弱势的地位,我国在立法或者司法实践中,在促进互联网经济发展时明确信息主体的信息权利,树立信息主体在信息授权之后的“反对权”和“撤销同意权”,可以更好地体现对信息主体信息权利的尊重和保护。
(四)构建企业和社会的信息保护共治机制
企业作为信息的收集者或者保存者,在个人信息保护中承担着不可忽视的作用。一方面,企业应当承担合同义务,为收集到的信息承担安全保障措施;另一方面,企业应当承担社会责任,履行法律、法规、行业规范要求的社会责任。美国《消费者隐私权法案》中提到信息主体责任时即明确表示,如果企业将数据向第三方披露,除非法律另有规定,其应确保数据接受者按照有强制效力的合同义务来遵守法案的原则[8]。所以,企业的责任贯穿信息收集到后续开发的全过程。大数据时代下,个人信息的收集方多为数据公司,流通亦在数据公司间进行,数据公司间建立数据保护行业组织,形成行之有效的数据保护行业规范,是督促企业落实数据保护责任的重要方式。虽然个人信息的保护规则,在向场景理论拓展,但并不代表数据收集者和保存者可以对个人信息施加不受限制的利用方案。相反,应对信息的传递者和共享者提出更高的安全保障要求,要求其按照在信息归集时的目的约定利用个人信息。总的来说,企业和行业间信息保护规则的构建,对达成信息保护的规范化治理,具有重大作用。
大数据背景下,个人信息保护规则的完善和重构是时代发展的必然,同时亦是对个人信息权利的尊重和保障。在推进大数据发展的同时,我们应当看到信息权和场景理论对未来个人信息保护的重大作用。只有将个人信息的底层数据进行必要且合理的保护,大数据产业方可蓬勃发展。
参考文献:
[1]张平.大数据时代个人信息保护的立法选择[J].北京大学学报(哲学社会科学版),2017(3):144.
[2]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5):94.
[3]刘金瑞.个人信息与权利配置——个人信息自决权的反思和出路[M].北京:法律出版社,2017:5.
[4]张旭光.民法总则视域下纳税人涉税信息保护机制研究[J].税收经济研究,2017(6):72.
[5]Wong R.Data Protection Online: Alternative Approaches to Sensitive Data?[J].Journal of International Commercial Law and Technology,
2007(2):12.
[6]姬蕾蕾.个人信息保护立法路径比较研究[J].图书馆建设,2017(9):19.
[7]个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017:2.
[8]TW House, Consumer data privacy in a networked world: A framework for protecting privacy and promoting innovation in the global digital economy[J]. Journal of Privacy & Confidentiality,2012(2).