个人信息保护与企业合理使用的衡平规制

2019-06-13 01:54刘璐
网络空间安全 2019年1期
关键词:个人信息大数据

摘   要:随着大数据技术的发展,个人信息的保护与企业合理利用信息之间的界限问题日益突出。网络时代的个人信息特征异于传统,在立足这些新的特性基础上,通过中外立法模式的对比思考与比较法上的分析,我国在平衡公民个人信息权利与企业经营利益之间的界限认知上仍有很大空间需要探索,以民法总则为核心的司法上的救济方式将成为促进这一平衡的一个有力突破点。

关键词:大数据; 个人信息; 企业使用; 双重保护

中图分类号:DF51          文献标识码:A

Abstract: The development of big data technology has made the boundary issue between personal information protection and the rational use of information by enterprises increasingly prominent. On the basis of the new characteristics of personal information in the Internet era, through the comparative thinking and analysis of Chinese and foreign legal cases and comparative law, this paper finds that there is still a lot of space for China to explore in balancing the recognition of the boundary between citizens' personal information rights and business interests. The remedy of private law, which is centered on the general principles of civil law, will be a powerful breakthrough to promote this balance.

Key words: big data;personal information;business usage; private law protection

1 引言

大數据时代,数字经济迅猛发展,信息技术将每个人“透明化”。随处可见的个人信息(亦称个人数据,本文交叉使用)被企业搜集整合再分析形成自己的数据库,以此作为产品研发、销售获益的重要依据。企业通过个人的电脑来获取个人的信息,它们会让个人的网页浏览器通过Cookies、Flash Cookie等跟踪技术存下用户的电脑硬盘信息,数据商由此跟踪用户在线活动,为其在线行为建立档案,并通过其他方法在向用户的网页或电子邮箱发送信息时获得其信息[1]。

随着信息网络技术的迅猛发展,海量网民信息整合再利用已然成为一个企业的直接财富乃至成为其创新性的核心竞争力。但大量信息的搜集分析再利用可能会侵害个人权益、尊严和自由,甚至会造成人身和财产的损害,而过于严格的信息保护也可能限制企业发展空间,从而影响社会经济发展。个人信息保护与利用之间的冲突势必引起公众的重视,成为大数据时代亟待解决的关键问题。

2 企业数据使用与个人信息现状剖析

在互联网+的新型产业模式下,信息的流动性对社会发展具有重要意义,美国数据民主中心(Center for Digital Democracy)的执行董事杰夫·切斯特(Jeff Chester)称,“鼠标在网页上的所到之处都在他们的追踪范围内,包括你放在购物车里的东西,以及你不买的东西。这是一个非常高科技的商业监控系统。”[2]Facebook便是通过这种收集用户数据的方式取得巨大商业成功。Facebook作为一个备受欢迎的社交媒体聚集了大量的用户信息,它通过充当广告商和个人用户信息数据库的中间人角色来创收。从Facebook 2017年收入构成来看,广告收入占到其总收入的98.25%。除了Facebook外,其他企业数据商也同样会根据“用户”发布到社交网络或者其他网站上的任何信息随时更新“用户”的数据档案,将“用户”的信息商业化。

随着大数据应用产生的经济价值不断显现,需要对数据确权问题进一步加强,从而促进数据产业的发展。为此,欧盟1995年颁布的《欧盟议会与欧盟理事会关于涉及个人数据处理的个人保护以此类数据自由流通的第95/46/EC号指令》作出了相对全面的规定保护个人数据后,2016年又颁布了《一般数据保护条例》(General Data Protection Regulation),被称为“史上最严格的信息保护法”,赋予个人数据主体很多权利以此体现对个人的尊重。为了顺应大数据时代信息使用的框架模式,自1888年美国法官托马斯·库利(Thomas Cooley)首次将隐私权定义为“单独而不受干扰的权利”(To Be Let Alone)以来,美国不断扩展隐私权的保护范围,将更多地信息权利纳入到隐私权的保护范围,同时还赋予个人信息财产权能,扩大了个人信息的保护范围。

我国的《网络安全法》《民法总则》也都对个人信息保护做出了规定,但由于对其概念、性质、以及保护范围的模糊规定,司法实践中还是有大量有争议性案件。2014年“朱某诉北京百度网讯科技有限公司隐私权纠纷案”是国内相关问题首个案例。百度未经朱某允许,利用跟踪技术记录其搜索的相关内容并进行广告投放,该行为侵犯了朱某的隐私权,对朱某的生活和精神造成了极大的影响,因此要求百度立即停止侵害进行损害赔偿。一审江苏省南京市鼓楼区人民法院判决被告百度公司向原告朱某赔礼道歉并赔偿其公证费1000元。但二审法院裁定驳回了朱某所有的诉讼请求。同一个案子一审认定其侵犯隐私权而二审认为不侵犯隐私权,两级法院对案件的性质认定做出了不同的判决,由此可见对于个人信息保护的范围、界限及法律适用问题目前司法实践部门还存在很大分歧。同时个人隐私、个人信息等相关概念及保护范围、保护价值、权能属性等理论层面也需要进一步理清,否则司法实践中还会出现大量基于对个人信息保护的法律理解和适用不同导致审判标准及审判结果截然对立的案件,这将直接降低司法审判的权威性,同时也会打击企业的积极性以及误导民众对个人信息如何支配使用的正确认识。

3 企业使用中个人信息保护的法律困境

3.1 个人信息保护的立法缺失

个人信息有别于隐私权和一般人格权,是一种新型人格权,具有人格权与财产权双重属性,着眼于我国傳统法律体系无法对其全方位保护,因此应当对其单独立法保护。与德国、美国等一些发达国家相比,他们在互联网还未发展普及时便意识到个人信息保护的重要性,并制定相关法律对其进行全面的保护。而我国对个人信息的法律保护是随着互联网的兴起才开始正视其重要性,最早对个人信息的保护是将信息安全视为网络安全,利用刑法手段维护信息主体的个人信息合法权益。随后又相继出台和修订多部法律法规,都对个人信息保护作出了明确的法律规定。

2014年《消费者权益保护法》修订时,新增第29条,从三个方面对经营者收集、使用个人信息作出了规制,给予了个人信息保护的高度重视。2017年实施的《网络安全法》第74、75条明确了个人信息的定义及侵权责任并设有专章对个人信息安全进行规范。在《民法总则》制定过程中,个人信息保护经历了从无到有的一个漫长过程,徐玉玉电信诈骗案、清华教授电信诈骗案使得《民法总则》中增加个人信息保护势在必行。2017年正式生效的《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。

看似个人信息保护涉及到多部法律法规,实则对个人信息的内涵与外延都未有清晰的界定,在体系框架上杂乱无章,很难形成体系化法律保护,难掩我国法律对个人信息保护基本立法缺失的现状。这样的现状会使得个人信息保护存在诸多问题在。

一是对个人信息保护的权利内容不全面。个人信息作为特殊人格权,对其保护应当是预防性的,是积极的人格权。权利内容应当具有个人信息保护权、信息知情权、信息决定权、信息更正权、被遗忘权、信息锁定权、报酬请求权等多项权利。但现行的法律法规中对个人信息保护主要以消极的方式从义务人角度规定其保障义务,而对于权利人的积极权利内容只规定了知情权、更正权、遗忘权等权利,对于报酬请求权、锁定权等权利都未曾有规定,且个人信息是否具备这些权利属性在学理上都还存在很大争议。

二是个人信息保护缺乏独立的请求权基础。目前我国没有对个人信息的保护设立独立的请求权基础,还需依靠隐私权的请求基础寻求法律保护。但个人信息与隐私权是交叉关系,个人信息中有部分内容归属于隐私权的保护范围,但更多的部分是独立于隐私权之外的,二者并不能等同,所以利用隐私权请求基础 并不能完整的涵盖个人信息的所有请求。

3.2 个人信息与人格权关系模糊化

个人信息是自然人日常生活所产生的与自身密切相关的信息,具有典型的人格化属性,所以美国作为最早对个人信息进行保护的发达国家首先采用的是隐私权模式对个人信息保护。在我国,个人信息被很多学者认为与自然人有着密不可分的联系。在网络空间中,信息即是自然人的存在形式,自然人即是信息,相关的信息即可表征自然人。因此个人信息也很自然地被划分到人格权范畴内保护[3]。但对于个人信息应该以一般人格权保护还是特殊人格权保护的问题上,法学界仍存在很大分歧。不少学者指出个人信息不应适用一般人格权保护,在侵权行为中,个人相较于企业所掌握的信息处于弱势地位,信息不对等导致个人对证据的举证难度较大。为了使受害者处于更有利的地位,切实地保护受害者的合法权益,使加害者的责任加重,应采用过错推定原则,而一般人格权只能采取过错原则,实行“谁主张,谁举证”[4]。

但使用隐私权进行保护的方式显然不可取。信息相较于隐私,其外延的范畴更宽泛,所谓隐私,就是欧盟《一般数据条例》中所表示的敏感数据,即个人的种族和族群身份、政治观点、宗教或哲学信仰、工会会员身份及与医疗或性生活有关的数据。它们有造成损害的潜在风险,对该等数据的处理极易对数据主体造成不合理的负面影响。由于其政治立场、民族文化的不同,不同国家在划分隐私的具体范畴时会有所差异,但核心标准都是极易对数据主体造成不利影响,隐私权就是要保护这些信息不被他人所知晓,是对人格权的消极保护,其主要的救济方式是事后救济且方式单一。而个人信息不仅包含隐私信息,还包括我们姓名、性别、联系方式等日常行为所留下的信息痕迹,其本质在于可识别性。与隐私权相比,个人信息要保护的是对信息的控制与利用,这种权利兼具了个人权益与财产权益,相较于隐私权的消极保护方式个人信息保护更加积极主动,可以主动行使权利维护自身利益。

在推崇言论自由且网络信息科技产业最为发达的美国,理论界认为,个人信息之所以受到保护,根本原因在于它具有财产属性,可以视为财产权,即“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用。”[5]也就是说,个人信息应当作为一种自身对个人信息作为商业化处分的财产利益保护。但对于个人信息,其鲜明的人格色彩决定了即使商品化也依旧具有不可磨灭的人格权属性,其所带来的经济利益与财产权中蕴含的经济利益不同。由此来看个人信息应该被作为一种新型的权利进行保护,而不是单一地使用个人格权或财产权保护。《民法总则》第111条在制定过程中是否要将个人信息做为一种具体的人格权保护也存在很大争议,最终《民法总则》没有采纳“个人信息权”的模式保护个人信息,但将个人信息纳入到“民事权利”中规定,且没有明确这一权利的内容及性质,仅仅是将其作为一种权益受到法律保护,导致在司法实践中存在争议较大,且大多倾向于用人格权属性进行保护。

3.3 个人信息缺乏救济路径

在民法救济体系中,个人信息的救济路径主要有两种:一种以人格权为请求权基础,另一种是直接使用《侵权责任法》第36条规定的“网络侵权责任”作为请求权基础 [6]。首先,以人格权为请求权基础存在以下问题:个人信息虽具有鲜明的人格权属性,但目前的《民法总则》第111条并未将其明确规定为个人信息权,不具有独立的请求权基础。在司法实践中多适用隐私权的请求权基础即《侵权责任法》第2条、第6条、第15条及第22条的规定。但个人信息与隐私权的内容是交叉关系,所以很多不属于隐私范畴的个人信息无法使用隐私权保护,从而丧失了请求权基础,权利无法得到保护。其次,以《侵权责任法》第36条为请求权基础,只能保护企业以网络为媒介侵害个人信息要承担的法律结果,但个人信息的保护应当是积极的预防性保护,而不应是消极的“结果论”保护,该条只规定了个人信息有侵害结果发生时所要承担的责任,并未赋予企业任何的预防义务,结果加重了个人对个人信息保护的责任,弱化了企业的责任承担。

4 企业使用个人信息的法律界限

4.1个人信息的“匿名化”处理

匿名化的法律概念最早源于1995年欧盟《数据保护指令》,后在《一般数据保护条例》中进一步明确“匿名化”是指以某种方式处理个人数据。如果没有其他信息,则无法识别数据主体的处理方式。我国《网络安全法》第76条及《全国人民代表大会常务委员会关于加强网络信息保护的决定》第一条也对个人信息与匿名信息做出了明确规定,受到国家保护的个人(隐私)信息要与特定的主体之间有密切的联系能够通过信息准确识别到特定的自然人(信息主体),包括直接识别和间接识别[7]。如前述“朱某诉百度案”中二审法院的判决理由:百度公司在提供个性化推荐服务中收集、利用的数据信息,其匿名化特征不能使“个人信息”具有可识别性,虽然朱某通过使用百度形成检索关键词记录,可反映出他的网络活动轨迹及上网偏好,但这种轨迹及偏好一旦与朱某身份相分离,已不再属于个人信息的范畴,而是经过匿名化处理的普通数据[8]。

我国首个大数据交易所(贵阳交易所)负责人也曾对大数据交易下个人隐私将如何保障的问题给出解释:“交易的数据是基于底层数据,通过数据的清洗、分析、建模、可视化后的结果,并不直接交易底层数据。”[9]也就是说企业所使用的是大数据分析结果而非数据本身,数据在使用前先要进行脱敏,抹去与个人隐私相关的问题,进行信息的匿名化处理使信息达到不具有可识别性且不能复原。当个人信息匿名化处理后,个人信息的人格权益与财产权益分离,匿名化信息只具有财产权益,数据控制者在维护数据主体个人信息权的前提下,获得相关的数据财产权,以便充分保障人们的隐私[10]。

4.2 个人信息的社会公共价值

社会的群体性决定了个人信息的社会公共属性,而不应该由个人完全控制个人信息。从社会信赖利益角度来讲,人们只要生活在社会群体中必然要参与社会活动,个人信息是社会“识别”公众的一个重要手段,具有社会公共性。过度保护个人信息不利于合作信任的建立,会致使人们习惯不为自己的行为活动负责,造成社会关系的混乱。在信息技术发展如此迅速的当下,人们的行为轨迹都被网络所记录,企业进行信息的分析再使用,这些数据常常会失实,与信息主体不对称,被塑造为“第二个我”;这些有失准确、公平的信息所塑造的主体形象很多时候会影響到人们的正常生活,如银行会因为网络中“用户”的消费记录等信息来评估其信用值,以此决定是否办理贷款等业务;所以信息时代人们更愿意隐藏自己的个人信息。

托马斯·汉尼斯指出:“身份和构筑它的个人信息本质上是不可分的。它是匿名的对立面,我们不能两头都想要:你可以拒绝与其他人打交道而保持匿名,一旦你开始打交道,你必然失去匿名,获取了在他人眼里关于你的身份的认知。在这一点上你的身份不是也不可能是你的私人控制。”[11]因此,个人信息不应当被作为信息主体的绝对权利进行保护,信息主体对个人信息自决权的同时也要保证个人信息社会公共价值的发挥。

4.3 企业使用信息的正当性

法律应当保护企业合法收集和使用的个人数据。首先,根据《网络安全法》第41条规定,企业经被收集者同意,明示使用信息的目的、方式和范围且遵循合法、正当、必要的原则,可以对个人信息进行公开收集使用。正如前述所说,企业使用的个人信息先运用脱敏方式匿名化处理,个人信息达到不具识别可能性的标准。由于匿名信息已经不再是个人信息,所以企业对匿名信息的处理使用均不受个人信息保护规范的约束。企业通过法律的许可,收集大量信息分析处理形成自己的数据库,是一种原始数据的取得。如前述《著作权法》的规定,企业在收集原始数据后进行脱敏处理,并将其整合成新的数据库,成为数据库的著作权人,享受对数据支配的民事权利,不需要再依靠其他的授权许可。同时,企业花费大量的时间成本并支付合理的金钱等价交换被收集者的个人信息,符合民法的公平原则。所有的企业对数据的收集都不是凭空的,都需要通过一个媒介载体,所以企业都是需要付出成本,通过持续不断的研发新产品并向用户提供便利的服务以此来获取更多的个人信息[11]。

其次,天下没有免费的午餐,用户在享受企业提供的便利同时也要让渡出一部分个人权益作为合理对价。如百度通过提供免费搜索引擎服务供用户使用,看似免费的服务用户虽没有提供金钱上的支付,但在使用前用户需要同意《隐私协议》中所规定的在合法范围内对其个人信息的收集使用,并告知用户其使用目的且保证不侵害到用户的民事权益。用户想要使用这款产品就必须“被迫”接受该协议,让步自己对个人信息控制权,否则无法继续使用。这种双方基于供需关系所达成的供应模式,是企业收集使用(个人信息)正当性的基础。

5 构建新型个人信息权保护路径

传统法律框架下对用户赋予个人信息人格权的简单模式已经无法适应当下迅速发展的互联网产业对于复杂数据的需求,海量的信息流动常常会存在被第三方利用的风险,法律应该确保信息的权利归属及使用安全。《民法总则》第111条、第127条都对个人信息(数据)保护做出了相关规定,但对于个人信息保护的具体规则还比较零散,尚未形成切实可行的保护体系[12]。

立足当下社会经济发展形势,数据化的市场经济要求个人信息保护不能仅仅停留在适用人格权保护阶段,而是应当丰富对个人信息权益的保护模式。考虑到个人信息不仅具有人格权属性,其权利中还存在处分收益的财产权利,可以采用“人格权+财产权益”的双重保护模式,构建新型个人信息权。对个人信息中含有隐私信息的内容进行人格权保护,在此之外的个人信息可以借鉴知识产权的财产权保护方式:通过许可的方式赋予他人对其信息商业化的使用权利,将个人信息作为个人所拥有的一种财产权利对其进行保护。但由于个人信息具有极强的人身依附属性,不同于著作权中的人身权,所以应当赋予个人在合理且不损害社会经济发展的前提下随时解除许可的权利,并可以要求企业对其信息进行删除“遗忘”。

6 结束语

为了个人的生活便利、信息流动的效率,权利人可以根据信息的隐私程度不同设置不同的许可方式,并从中获取相应的报酬,而无论哪种许可方式都不会使权利人的人格权能丧失。这既保障了权利人对个人信息获取报酬请求权的财产权益,也不会丧失权利人维护个人人格尊严不受侵害的权利。根据《网络安全法》第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用个人信息的,侵害到了个人的尊严与自由或违背公序良俗时,权利人有权利请求企业停止使用删除其个人信息并进行损害赔偿。当个人发现信息存储存在错误时,有权要求企业予以更正。同时,企业通过支付合理对价换取对用户个人信息的正当使用权利,避免了个人信息保护与使用的不必要冲突。被授权企业既具有合理使用个人信息的权利,还享有自身数据库的著作权保护,可以有效避免企业之间的数据盗用侵权状况的发生,从而促使市场经济公平健康地发展。

参考文献

[1] [美]洛丽·安德鲁斯(Lori Andrews)李贵莲,译.我知道你是谁,我知道你做过什么——隐私在社交网络时代的死亡[M].中国友谊出版社,2015年版,第34页.

[2] Louise Story.“F.T.C.to Received Online Ads and Privacy”[N]. The New York Times ,Nov.1.

[3] 谭建初,李政辉.论互联网中的隐私权——由一则案例谈起[J].河北法学,2001(02):105-110.

[4] 张里安,韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛,2016,31(03):119-129.

[5] 程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(03):102-122+207-208.

[6] 李永军.论《民法总则》中个人隐私与信息的“二元制”保护及请求权基础[J].浙江工商大学学报,2017(03):10-21.

[7] 黄伟峰.个人信息保护与信息利用的利益平衡——以朱某诉北京百度网讯科技公司隐私权案为例的探讨[J].法律适用(司法案例),2017(12):37-43.

[8] 宁民终字第5028号民事判决书[Z].2014.

[9] 邱玥.大數据时代的数据买卖[N]. 光明日报,2015-04-23(008).

[10] 韩旭至.大数据时代下匿名信息的法律规制[J].大连理工大学学报(社会科学版),2018,39(04):64-75.

[11] 高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018,40(03):84-101.

[12] 石丹.大数据时代数据权属及其保护路径研究[J].西安交通大学学报(社会科学版),2018,38(03):78-85.

作者简介:

刘璐(1994-),女,汉族,山东枣庄人,中国社会科学院研究生院,硕士;主要研究方向和关注领域:民商法、新闻传媒法、网络信息法。

猜你喜欢
个人信息大数据
个人信息保护实务大全(上)
保护死者个人信息 维权要不留死角
敏感个人信息保护:我国《个人信息保护法》的重要内容
浅论非法使用个人信息的刑法规制
主题语境九:个人信息(1)
刊评调查
大数据环境下基于移动客户端的传统媒体转型思路
基于大数据背景下的智慧城市建设研究
数据+舆情:南方报业创新转型提高服务能力的探索