互联网个人信息的保护与合理使用的法律规制

2018-12-31 03:53柳剑晗周伟良
关键词:控制者人格权个人信息

柳剑晗,周伟良

(1.安徽行政学院/安徽经济管理学院 社会与公共管理系;2.安徽行政学院/安徽经济管理学院 管理学教研部,安徽 合肥 230059)

中国大步迈进信息化时代,互联网为信息化提供了一个宽广的平台,数亿公民在这个大平台上提交信息、获取信息、存储信息、交流信息。

信息化的发展推动了电子政务、电子商务的产生与发展。各级政府部门运用现代信息技术,搭建起全面、高效、公平的政府运作平台,对公民个人信息的收集、存储进入信息化程序,建立起相应的综合个人信息数据库。

电子商务迅速发展,各经营主体为经营、服务的需要如网上销售、网上报名、网上贷款、网上售票、网上查询资料、下载资料等等对公民个人信息进行收集、存储、交流。公民提交的各类信息,包括姓名、年龄、通讯地址、身份证号码、职业、婚姻状况等,甚至还包括诸如自身生理的缺陷、病历记录、人脸识别等极具个人隐私的信息。这些信息是反映主体的自然属性和社会属性的原始数据资料,真实、可靠,直接指向信息主体个人,是直接个人信息。

互联网深入到人们工作、生活的每个角落,自然人以实名或匿名的身份所进行的网络行为被真实地、一丝不苟地记录下来,信息主体个人的活动轨迹与信息痕迹等数据资料,被存储到网络的数据库中。这些数据反映信息主体的兴趣、爱好、消费能力、行为方式等,一般也真实、可靠,有的虽不直接指向信息主体本人,但经过与其它信息组合、分析、识别,也可以指向信息主体本人,是间接个人信息。存储在各个网站的个人信息是重要的商业资源,数亿万个信息主体的信息资料在大量聚集,经信息控制者去识别化程序处理后,以大数据的形式呈现出来的庞大的信息数据集合是排除了个人身份特征的脱敏信息,已不再具备识别主体功能,却可以反映出经济的动向,社会的需求。

一方面,每个公民对存放在互联网平台上的个人信息,享有个人信息权。信息主体出于对人格尊严的保护,一般不愿意个人信息被他人知晓,更不愿意为他人利用。但在现实中,个人信息被盗用、滥用的情况却屡见不鲜。

另一方面,个人信息内含的商业价值,会给信息的控制者带来巨大的商机和利润。个人信息需要走向交易市场,成为大数据产业的基础。信息控制者发掘它的商业价值,进行商业运作,推动新的商业服务模式产生,促进经济快速发展,方便人民的生活,这是社会的进步,时代的需求。

既要保障信息主体的人格权和财产权,也要顺应时代发展,开发个人信息的商业价值,推动经济发展。如何平衡“对个人信息权保护”和“合理开发利用个人信息”之间的关系,是我们急需解决的问题。

一、个人信息具有人格权和财产权双重属性,应予以法律保护

个人信息是一组能够识别特定个人的信息组合,包括姓名、年龄、家庭住址、家庭收入、电话号码、医疗记录,也可以是日常行走路线、个人消费爱好、上网查阅资料记录等。随着信息化的深入发展,个人信息的内容越来越丰富,几乎可以包含信息主体的所有自然属性和社会属性。个人信息最基本的特征是具有可识别性,即可以根据一系列数据信息,识别出现实生活中的具体的个体。个人信息的可识别性特征使其属于人格权的属性已为学术界逐步肯定。保护人格尊严和人格自由,就应保护个人信息权不受侵害。

在信息时代,个人信息所具有的潜在的商业价值使之又具有财产权的属性。“个人信息财产权是指个人对其个人信息中所蕴涵的商业性使用价值而非人格利益的支配权。”[1]个人信息财产权属性主要体现在其商业价值上。信息主体对个人信息的商业性使用价值享有占有、使用、收益、处分的权利,应该受到财产权的保护。随着信息技术快速发展,个人信息商业价值日渐凸显,所蕴含的财产价值也不断提升。个人信息可以因被许可使用而获得直接经济利益,也可以被商家用于市场营销而获利。

针对同一矢量图形的文件,CDR格式文档要远远小于AI格式文档;地图中若含有栅格图像,CDR格式的文档也比含相同要素的AI格式的文档小。

向相关的网站提交自己的个人信息,使信息主体在外出旅行、餐馆订餐、乘车购票、日常购物、查询资料等方面享受着精准服务带来的极大便利,但同时身份、位置、银行账号等重要个人信息也可能正被信息控制者泄露和滥用。其结果可能是垃圾信息、推销邮件、定向广告铺天盖地地扑来,信息主体的个人生活的安宁权受到干扰、破坏;可能是个人银行账号被他人盗用,精准诈骗正在进行中,个人的财产权、健康权甚至生命权被侵犯;也可能是个人信息在存储期间被篡改,完整性被破坏,真实人格被扭曲,个人的形象被损害;也可能是个人的生活轨迹被曝光,个人隐私被公示,人格尊严扫地;还可能是个人的遗忘权被侵犯,大数据忠实地记录了每个人的人生轨迹,可以永久保留,而人们并不希望所有的往事被记录、被提醒,它会使人们生活得小心翼翼,个人信息被遗忘权遭侵犯。

个人信息具有人格权和财产权双重属性。所以,当侵犯的是信息主体的人格权益时,法律应维护信息主体的人格尊严和人格自主,给予人格权保护;当涉及主体个人信息的商业性使用价值的财产利益时,就应该给予其财产权保护。对信息控制者收集、开发、利用个人信息的行为予以规范。

二、个人信息合理使用的必要性

科技的进步使得行政管理、商务经营、社会活动等都可以在网络上完成,网络化、信息化、数字化,形成了新的经济体系——数字经济。数字经济是信息化发展的高级阶段,是数字中国的重要组成部分,是驱动我国经济发展的重要力量。

习近平总书记指出,要加快推进网络信息技术自主创新、加快数字经济对经济发展的推动,加快提高网络管理水平,加快增强网络空间安全防御能力,加快用网络信息技术推动社会治理,加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力[2]。

各级政府部门通过网络收集、整理公民个人信息建立行政管理的数据库,快捷、方便、高速,大大提高了工作效率。经营商利用网络进行经营活动,低成本、高速度、方便简捷,对商家和消费者是双赢的。大数据下的数字资源,容量巨大,内容丰富,存取方便,这其中最基本、最有价值的信息是个人信息。信息控制者通过对信息主体海量、高速、多变的数据进行有针对性的分析,可以了解信息主体的喜好,预测其未来需求,为其提供更好的个性化服务,同时数字经济下的个人信息数据也成为重要的商业资源,信息主体在网络上的社会活动数据和网络交易数据被信息控制者用来作为规划工作目标的重要依据。在数字经济的环境中,大数据在为信息主体的需求提供方便、带来高品质服务的同时,也给数据控制者带来巨大的经济效益,这是社会发展所需要的。

信息主体的个人信息权中财产权益与商家的个人信息数据库的财产权益是有区别的。商家对海量的信息数据收集、加工、处理并匿名化后建立商家的个人信息数据库,数亿万人海量的个人信息的集合可以挖掘出有价值的规律,衍生出新的商业服务模式。这里的信息,已经不是原来每个个体的个人信息,而排除了个人身份的脱敏信息,是脱离了人格属性的数据财产,是能反映出经济发展动向的数字集合。这个信息数据库中的信息已经不再与现实中的个体一一对应了,也就是说不具备识别性的特征了,数据库中的资料已经转变为信息控制者享有财产权益的数据财富。

大数据的开发和利用是数字经济发展的必然趋势,个人信息的采集、存储、利用、流动已成为常态,限制数据的开发利用会使我们错失发展机会。在数字经济时代,允许对个人信息合理、合法收集,是必要的。在合理、合法的范围内强化对个人信息的利用,是社会发展的正常需求。注重发挥个人信息的经济价值,鼓励数据库的市场化是市场发展的必然趋势。所以在对个人信息权中财产权益保护的同时,也应认识到信息控制者在合法的收集、整理数亿万个人信息并去识别化后,形成的信息数据库的财产权益已属于信息控制者,应给予肯定和保护。

三、建立健全个人信息法律体系,加强对个人信息的法律保护和合理使用的法律规制

数字经济时代需要信息的流动和分享,但不能牺牲对个人信息安全的保护。立法应推动科技的发展,防范规避技术发展中的风险,而不能因噎废食。强调在对个人信息权保护的同时,也要肯定个人信息的合法利用,立法应对个人信息的法律保护与合理使用两个方面进行规制,分清个人信息保护与个人信息的正常合法利用之间的界限,谨慎鉴定个人信息的法律保护范围与界限,发挥个人信息最大社会价值,兼顾个人信息流动利用、个人信息安全保护等诸多方面因素。

2016年11月7日通过的《中华人民共和国网络安全法》对个人信息做出了界定。该法第四章“网络信息安全”共11条,用较大的篇幅专章规定了公民个人信息保护的基本法律制度。如:“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”;“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意”。于2017年10月1日生效的《民法总则》以民事基本法的形式规定了个人信息,该法第一百一十一条明确规定自然人的个人信息受法律保护。

《民法总则》和《网络安全法》为个人信息的立法工作奠定了基础。但对个人信息的保护和利用需要进行进一步的立法。因为:第一,《民法总则》和《网络安全法》作为基本法、上位法,无法对每个具体的权利做细化的、详尽的规定,需要制定相应的下位法来细化、完善。第二,对个人信息保护和利用具有很强的技术性需求。《民法总则》《网络安全法》很难对这些技术性规则作出相应的规定。第三,信息技术的发展正处在上升阶段,日新月异,个人信息的收集、利用是依托着信息技术的进步与发展而发展的,这就意味着个人信息的类型、收集、利用随着信息技术的进步与发展也会有新的发展和变化,相关的个人信息的法律法规就需要做出相应更新、变动和补充。而基本法需要相对稳定,所以对个人信息的保护和利用需要进行进一步的立法。

首先,在未来的《人格权法》中应该给个人信息权独立的法律地位。人格权是以人格利益为客体的权利,是民事主体依法固有的为维护自身独立人格所必备的权利,是维护公民人格尊严不被侵犯的权利。人格权应该是一个开放的、发展的体系,个人信息的内容如姓名、体重、家庭收入、电话号码、银行账户等,是每个公民自己所处的社会环境、地位、声望、工作环境、家庭关系等各种主客观的综合,是其人格尊严、人格价值和社会价值的体现,需要得到尊重。个人信息权作为一项重要的人格权,应该被肯定。所以在未来的《人格权法》中应有相关条款,明确界定个人信息权是人格权的一个具体类型,规定个人信息权的相关内容。如个人信息权法律关系中主体的权利义务:信息主体对个人信息应享有的决定权、知情权、更正权、信息泄露救济权、信息删除请求权等基本权利。个人信息控制者应该承担的义务,如收集信息的目的应合法、明确,收集他人个人信息,应告之收集的目的,收集的信息与收集目的应相关且必要;经信息主体同意方可收集其信息;收集的信息应准确完整;使用和转移公民个人信息时,应征得信息主体的同意;信息存储的期限应是有限的;对保管的个人信息,应当采取合理的措施,防止信息泄露、丢失、损毁等。

其次,针对个人信息权中涉及到的具体的、专门的、特殊性的问题,应制定《个人信息权法》及其相关的法律法规,建立起关于个人信息的完整法律体系。

对此,笔者提出以下几点建议:

一是在《个人信息权法》中对个人信息的内涵作出准确界定。建议采用具体列举式与一般条款式相结合的模式对个人信息内涵进行界定。仅用具体列举式,无法穷尽个人信息的类别,且随着信息技术的发展,还有新的信息类别产生;仅用一般条款式则过于抽象,可操作性差。采取结合的模式,通过列举个人信息的典型类型,使个人信息的类别形象化、具体化,易操作;同时采用具有高度概括性和普遍实用性的一般条款来兜底界定其内涵,以应对随着信息技术的飞速发展而可能产生的新的个人信息的类别。

二是个人信息的分类应考虑到对个人信息的保护的实际情况做出明确规定。对个人信息的类型分类,提议以“与信息主体关联程度”为标准,从法律层面将个人信息分为敏感个人信息和一般个人信息。敏感个人信息是指可以直接或间接识别信息主体的含有个人隐私的敏感信息,如个人健康状况、婚姻生活、财产状况、文件密码、资金账号、犯罪记录、指纹信息、人脸识别等,此类信息不经个人同意,不得收集、不得公开、不得利用,如确实需要,也应该经过法定的程序。除此以外的个人信息属于一般个人信息,包括性别、年龄、购物记录、聊天记录、行走路线等,此类信息可反映出信息主体的兴趣、爱好、生活习惯等,应允许信息控制者在合法合理的范围内收集、开发、利用。

三是肯定个人信息的财产权益的属性。信息主体对个人信息中的财产权益享有占有、使用、处分、收益的权利。在数字经济的环境下,个人信息的商业化是客观存在的,信息主体对自己的个人信息享有一定的财产权益已逐步被认可了。在个人信息被商业化使用的背景下,肯定信息主体对个人信息享有财产权可以为合法的个人信息交易提供相应的法律规范,也为因个人信息的财产权利用产生的纠纷提供相应的法律依据,真正促进信息产业的健康发展。

四是明确一定范围内收集、利用个人信息的必要性和合法性。如经信息主体个人同意,信息控制者可以在合理、合法的范围内开发个人信息;经去识别化后,为特定的目的可以开发利用;再如国家机关为执行行政职能对公民个人信息进行收集、利用,可以不需要征求个人同意;因紧急情况或意外事故的发生,可以根据需要公开信息主体的部分个人信息。

五是强调法律的预防功能,激励信息控制者的自律。现行个人信息的保护,往往表现出重刑事、轻民事,重事后处理、轻事前预防,重责任追究、轻过程防范,重惩罚、轻对当事人的有效激励的机制。在个人信息权的法律关系中,信息控制者是强者,他们较全面、熟练地掌握了收集、存储、利用、共享的技术方法,从而获得对个人信息的实际控制权,而信息主体处在弱势地位上,对自己的个人信息控制权很薄弱,一旦权益被侵犯,切实获得救济很有限。所以立法应明确信息控制者的责任义务,即通过规定当事人应承担的责任来有效地引导人们正确行为,预防和遏制各种损害的发生,保持社会秩序的稳定和社会生活的和谐。激励信息控制者的自律,将个人信息保护要求嵌入产品与服务之中,防患于未然,促使信息控制者积极履行责任,防范风险发生。树立信息安全第一的理念,把数据当做核心资产,确立用户个人信息至上的基本价值观[3]。

六是区分个人信息权中的财产权益与个人信息数据库财产权益,对个人数据信息进行区别保护和利用。在数字经济时代,信息控制者对个人信息数据去识别化后的再开发利用已普遍存在。经过去识别化后进入信息数据库的个人信息,已经不具备识别信息主体的功能了。信息控制者对这部分个人信息在严格的执行去识别化制度和禁止溯源制度,实现数据的不可追溯后,形成了可以反映经济动态、社会发展趋势的信息数据库,以供商家进行开发利用,实现了对个人数据信息保护与利用的双赢。这个数据库的财产权属于数据控制者,也应予以保护。

同时,对信息如何进行匿名化处理、如何不断更新陈旧信息、禁止溯源制度如何落实等问题,要从法律层面和技术层面制定出严格的规章制度和切实可行的技术方案,建立信息利用的监督和追踪机制,确保个人信息数据库中的信息的不可识别,保护信息控制者数据库的财产权益,推动数据信息的开发利用。

七是国家机关在在履行行政职能的过程中需要掌握大量的个人信息。2016年9月,国务院出台了《政府信息资源共享管理暂行办法》,政府信息共享、政府信息公开进一步明确化、规范化。各级政府部门收集的个人信息以查询、交换和发布的方式在各政府部门共享,意味着部分个人信息在一定范围内的交流、流动已是法定的义务。政府信息公开和共享是一项庞大而系统的重要工程,是保障人民群众知情权、参与权、表达权、监督权的重要保障,既为个人信息的开发利用打开了新的篇章,也为个人信息的保护提出了新的课题。应进一步完善政府信息共享的法律体系,保障信息公开、共享顺利进行和信息安全保护。

此外,对个人信息的保护和合法利用,还需进一步推动互联网行业自律规范的完善、提升信息主体自我防范意识、优化社会整体环境。

猜你喜欢
控制者人格权个人信息
防范电信网络诈骗要做好个人信息保护
个人信息保护进入“法时代”
论一般人格权条款与具体人格权条款的规范适用关系
浅论人格权独立成编的必要性
民法典人格权编的重要社会价值
从“控制者”变身“隐形人”
摆脱控制从我做起
主题语境九:个人信息(1)
论人格权的财产化对于传统人格权的消极防御
警惕个人信息泄露