龚志军 何娟
摘要:在大数据时代,个人信息的商业价值越来越大。基于利益的驱使,个人信息被非法收集和利用、被过度挖掘的现象愈见严重,然而面对这些问题,现行法律法规尤其是民事法律未能对个人信息进行有效保护。现有《民法總则》没有明确提出个人信息权,现有个人信息收集的告知-同意原则规定较为笼统,《侵权责任法》对个人信息侵权的侵权构成要件和精神损害赔偿救济力度规定不够合理。因此,大数据时代,我们在充分利用个人信息的同时,为了更好地保护个人信息安全,需要完善民事法律对个人信息权保护的相关规定。
关键词:大数据;个人信息权;民法保护
中图分类号:DF5文献标识码:A文章编号:1004-1494(2020)04-0103-05
大数据技术旨在通过对海量数据进行计算和分析,其实质是一种新处理模式信息资产[1]。这种信息资产的价值可以从多方面体现:第一,有利于国家经济社会管理,大数据分析为更有效地实现经济社会管理提供了针对性依据。第二,有利于扩大和便捷社会交往,大数据技术为人们的社会交流提供了更多的平台和方便。第三,有利于提升商业经营效率,商家通过对各种消费数据、注册信息的分析利用可以更好地了解消费群体、消费习惯、消费偏好,进而为商家经营提供全方位的助力。因此,大数据技术被广泛运用于各行各业,而与之相伴相生的则是大数据技术的滥用,是对个人信息权利的挤压和侵蚀。
一、大数据技术侵犯个人信息权利的主要表现
(一)不合理收集个人信息
1.强制性收集。手机、电脑、ipad等各种上网设备的普遍使用,为了不同需要,人们会在这些电子产品上安装各类应用软件。在安装app时,app运营商会设置用户个人信息同意收集的格式条款,这类协议一般具体阐述了app获取信息的内容,获取信息后的保密协议等,其中也会涉及一些比较专业的术语。以芒果tv应用软件为例,其《用户隐私政策》的内容包括个人信息收集、利用等各项规定,同时涉及Cookie等专业术语。这类协议最大的问题在于协议的条款冗长,专业术语晦涩难懂,导致用户往往不会仔细阅读该内容,所以用户即使知道协议有可能存在潜在风险,为了能够使用该软件,也会同意协议的签订。
2.违法违规收集。由于合法手段能收集到的个人信息是有限度的,所以当通过合法方式获取的个人信息不能满足需求时,部分信息收集利用者会使用非法手段来收集个人信息。以2019年3.15晚会曝光的“社保掌上通”对个人信息的收集为例,用户在使用这款软件时,会被默认同意一份授权协议。协议中约定,在得到用户明示同意以及授权的情况下能使用用户的社保账户密码。根据此协议,“社保掌上通”可以对用户信息进行收集和分析,并模拟用户进入征信、社保公积金等网站获取用户信息。
(二)不合理披露个人信息
现实中,个人信息收集主体,主要包括政府等国家机关以及商业经营者。国家机关对个人信息的收集主要为了更好履行为人民服务的职责,而商业经营者主要基于商业利益对个人信息进行收集。由于国家机关和商业经营掌握了大量的个人信息,因此也易于导致个人信息被泄露。据此,我们可以将个人信息泄露事件主要分为两大类:
1.管理不恰当使个人信息泄露。例如,国家机关通常会区分内部和外部网络,为了更好保护国家机关的内部信息,内网通常不会和外部网络进行连接。相对于对内网安全的重视,政府不够重视外网的网络安全,因此当网站受到他人的恶意攻击或者有木马等病毒程序植入时,个人信息就处于危险之中,有可能被大量泄露。
2.非法披露个人信息。对于商业经营者而言,消费者的个人信息与经营者需要的金钱、设备、人力资源等资本一样已经成为经营者获取利润的重要手段。根据消费者的个人信息,商业经营者能了解顾客的消费习惯,根据其消费习惯做出有针对性的商业决策以更好地满足顾客的消费需求进而获得更多的经济利益。正是由于个人信息具有这样的商业价值,所以激发了越来越多的商业经营者去收集和分析个人信息。部分网络信息平台经营者为了获取更大的经济利益,将搜集到的个人信息非法披露给其他人使用,使得大量的个人信息被泄露。
(三)过度挖掘分析个人信息
大数据时代,数据挖掘技术的不断进步,各种数据分析软件也不断产生,例如,Google Analytics、Spss Statistic、Talking Data等,通过不同技术手段,越来越多的个人信息被识别出来,并且这些被挖掘出的个人信息往往不同于我们在安装应用软件或者在填写客服资料时所提供的个人信息,这类信息可能更加敏感。例如,在淘宝、京东等购物软件中,这些app会根据你的喜好向你推荐类似的商品,百度、头条等浏览器也会根据浏览记录向用户推荐相关阅读信息等等,这类经过数据挖掘技术进一步得出的个人信息更能切实反映用户的消费需求,为信息收集利用者带来更多经济利益。因此,在利益的驱使下,出现许多专门的产业对个人信息进行挖掘分析,造成个人信息被过度挖掘,最终很可能使更多个人隐私信息被暴露。
二、大数据时代个人信息权民法保护存在的主要问题
(一)个人信息权保护范围不确定
1.个人信息权保护的对象不确定
个人信息权保护对象不确定主要在于:其一,当前,我国民法没有对个人信息权的概念进行统一规定,只能从相关法律法规中体现。例,《全国人民代表大会常务委员会关于加强网络信息保护的决定(2012年)》(以下简称《决定》)规定国家对公民个人电子信息的保护,主要在于能否通过该信息识别出公民的个人身份和个人隐私;《电信和互联网用户个人信息保护规定(2013年)》(以下简称《规定》)中指出用户个人信息主要指用户姓名、出生日期等信息,这些信息能单独或者与其他信息相结合识别出用户个人;《网络安全法(2016)》中规定,个人信息主要在于能否识别出个人身份,这些信息包括但不限于自然人的姓名、身份证件等信息。其二,由于数据挖掘技术的不断进步,越来越多看似与个人关系不大的数据经过大数据技术的分析都能识别出相关个人。如,二维码的使用,单看二维码似乎并不涉及个人信息,但是通过相应的技术分析,我们也能根据支付信息获取用户信息。因此,当个人信息权概念没有被明确界定的情况下,大数据分析技术的广泛使用,不易确定到底哪些信息属于个人信息权的保护对象。
2.个人信息权属定性争议大
数据挖掘技术的发展,个人信息的财产价值不断凸显,而个人信息本身又来源于各个信息主体,所以其人格权也不容忽视。由于我国法律没有明确界定个人信息的权利属性,学者们根据不同价值取向对个人信息权的权属定性有不同观点。主要有三种观点:第一种,隐私权说。认为隐私权中包含了个人信息[2]。第二种,所有权说。基于个人信息能产生的较大经济价值,学者们支持个人信息的财产权属性。例如刘德良老师认为,个人信息中包含着商业价值[3]。第三种,人格权说。包含一般人格权与具体人格权。其中,马俊驹教授认为个人信息权更多地体现出信息主体的人格尊严、人性自由等基本权利;而王利明教授将个人信息权作为一种独立的人格权,并且是具有财产性和人格性双重属性的人格权[4]。
(二)个人信息告知同意模式存在不足
数据挖掘技术的进步,越来越多的个人信息被识别出来。为了防止个人信息被过度识别而损害信息主体的权利,我们需要利用个人信息告知同意模式来将信息的收集利用限制在一定范围内。但是,目前我国个人信息告知同意模式存在一定不足,使得该模式不能很好发挥其约束作用。
1.个人信息告知同意模式未被广泛使用。从现行法律法规来看,个人信息告知同意模式只在部分法律法规中有所规定,例如,《信息安全技术公共及商用服务信息系统个人信息保护指南》中提出了公开告知原则和个人同意原则[5]。而《规定》中主要强调了个人信息收集的必要性、合法性以及正当性;《民法总则》同样也只强调了信息收集手段的合法性,没有明确提出个人信息告知同意原则。因此,可以看出对个人信息收集的告知同意模式的重视程度不高。
2.个人信息告知同意模式规定较为笼统。首先,没有区分一般个人信息和敏感个人信息的不同收集规则。对于一般的个人信息,信息主体一般会允许运营商等信息收集者对该信息的收集。对于敏感的个人信息,因为其很可能侵犯个人隐私,所以信息主体往往不愿意被他人收集。但由于个人告知同意模式没有对这类信息的收集进行区分,所以信息主体也只能同意此类信息被收集。其次,未区分原始的个人信息和经过加工的个人信息的收集方式。个人信息不仅能被一次利用,还能被二次利用。信息收集利用者在获取原始数据时,往往都会根据同意告知模式的规定获取信息主体的同意。而对于二次分析得到的数据,个人信息同意告知模式没有对其收集、利用等内容进行特别规定,信息收集利用者基于利益的需要会尽量扩大二次数据的利用范围,这样容易造成个人信息被过度挖掘利用。
(三)个人信息权侵权救济困难
1.侵权事实难以证明
由于我国没有明确规定个人信息权,也就更未对个人信息的侵权构成要件进行特殊规定,所以实践中多采用一般的侵权责任构成要件,此时被侵权人需要证明的内容较多。然而在个人信息侵权案件中,当被侵权人是普通的社会公民时,其自身的经济实力往往不强,而掌握数据分析技术的侵权人往往是具备一定实力的公司或其他机构。因此,相对于信息收集利用者,作为信息主体的个人不管是在技术处理、资金实力还是问题解决能力等方面处于明显的弱势地位,并且,由于云计算大数据时代的到来,个人信息挖掘技术越来越复杂,一般人凭借自身的知识很难了解信息是如何被整合分析的,因此很难证明侵权人的侵权责任。例如,在“马春艳诉中国南方航空股份有限公司网络侵权案件”中,马某难以证明南方航空公司是造成信息泄露的唯一因素[6]。此时,一旦被侵权人无法证明相关内容,那么就要承担败诉的法律风险,这不利于个人信息的保护。
2.精神损害赔偿救济力度小
根据《侵权责任法》的规定,如果个人信息权被侵犯造成了信息主体的精神损害,信息主体可以请求侵权者承担精神损害赔偿责任。但实际上,这种救济方式对个人信息权的保护力度并不大,主要原因在于:首先,信息主体是否受到精神损害并不容易确定,其往往是法官根据案情发挥自由裁量权来确定。例如,在“庞某与北京趣拿公司隐私权纠纷案”中,法院认为趣拿公司泄露庞某个人信息的行为未给庞某带来显著的精神痛苦,所以庞某最终没有获得精神损害赔偿金[7];而在“孙蕾案”中,法院认为学集公司的侵权行为给孙某的精神造成了某种程度的损害,故判令学集公司向孙某支付2000元的精神损害赔偿金[8]。其次,被侵权人能获得的精神损害赔偿金较低。例如在“杨某与小花(厦门)互联网金融信息服务有限公司名誉权纠纷”和“唐某与李某一般人格权纠纷”案中,法院最终判定的精神损害金额分别为2000元和1000元[9]。可以看出,被侵权人最終的精神损害赔偿金都不高,这种状况使得侵权者的违法成本较低,可能导致个人信息侵权的情况变得更加严重。
三、大数据时代个人信息权民法保护的完善建议
(一)明确个人信息权的内涵
1.明确个人信息权的概念
学界对个人信息权概念的定义方式,主要包括三大类:“概括式定义”“概括式加列举式定义”以及通过个人信息可识别性等内在特点定义个人信息。综合这些定义方式,笔者支持采用多种定义相结合的方式对个人信息权的概念进行定义。首先,肯定个人信息可识别性的内在特点。通过考察现行法律法规对个人信息的规定,可以看出各法律法规对个人信息的概念定义虽有不同,但是大多数都肯定了个人信息的可识别性,并且个人信息具有的经济价值往往也来源于其可识别性,所以应将可识别性作为个人信息最重要的特征。其次,数据分析技术的运用,使得个人信息权涵盖的对象具有多样性、不确定性的特点,所以我们需要通过概括式定义方式来体现个人信息的总体特征。此时,即使随着时间的发展,个人信息的具体内容有所变化,也不容易造成法律规定的滞后,利于维护法律的权威性。最后,在概括式的基础上,通过列举的方式可以对个人信息权涵盖的具体内容有较直观的感受。
2.明确个人信息权的权利属性
首先,个人信息权属于具体人格权。原因在于:第一,在《民法总则》中,个人信息的保护被规定在民事权利部分,所以可以看出民法将个人信息权作为一种单独的权利进行保护;第二,由于个人信息权规定在第111条,其前110条为人格权,其后112条为身份权条款,根据其所处的位置,可以将个人信息权定性为具体的人格权。其次,个人信息权是一种能直接体现出财产性利益的具体人格权。个人的姓名权、肖像权等具体人格权通常情况下表现为他人消极的不侵害该权利,一般不直接表现为财产性利益,只是当权利被不法侵害时可以请求财产性损害赔偿;而个人信息权虽然也作为一种具体人格权,却能通过信息交易等方式直接表现出财产性利益。如,网络上曾曝光的“明星隐私倒卖链”新闻,黄牛通过直接贩卖朱一龙、易烊千玺等明星的身份证信息获得大量的金钱。
(二)完善个人信息的收集模式
为了更好发挥个人信息收集告知同意模式的作用,一方面,需要在确定个人信息权概念和个人信息权权属定性的基础上,用法律的形式将告知同意模式规定为一项具体的个人信息收集原则;另一方面,细化个人信息告知同意模式对个人信息的收集。首先,可以根据个人信息的敏感程度将个人信息分为普通的个人信息和敏感的个人信息,对于敏感的个人信息可以规定个人信息独立原则。即,当信息主体不同意个人敏感信息被收集时,仍然可以使用相关软件。其次,完善对个人信息二次分析利用的规定。由于通过技术手段二次分析得出的数据往往具有更大商业价值,所以,我们要支持信息收集利用者对个人信息的收集利用,同时也要避免个人信息被过度挖掘。因此,在细化个人信息告知同意模式时,我们应当关注用户自身的利益,同时考虑商业经营者的利益,在尊重用户个人权益的基础上挖掘个人信息的商业价值,即信息收集利用者对个人信息进行二次挖掘利用时需要用户的明确授权。同时,若信息收集利用者要将二次挖掘分析到的数据向第三人披露,应当提前与用户进行协商。
(三)健全个人信息权侵权责任制度
1.举证责任倒置
由于数据挖掘技术的发展,数据分析中会涉及许多专业技术问题,例如,如何通过spss数据软件对收集到的个人信息进行分析得出个人消费偏好。对于这类问题,一般的个人信息主体很难了解其原因,而信息收集利用者一般具有较强的专业技术,容易知晓数据是如何被挖掘利用的;同时,大数据挖掘技术的进步使得个人信息保护问题变得严峻,一旦维护不当,可能造成社会大众集体利益的损失。例如,数据显示,2015年,全国超过30多个省市社保、卫生系统的个人信息存在安全隐患,大量的个人信息面临泄露危险,若这些个人信息被泄露,不仅会影响个人信息的安全,更甚者会威胁到整个社保系统的安全[10]。面对大數据技术可能造成的严重后果,应该加重信息收集利用者的负担,由其承担更多的证明责任。因此,综合考虑侵权人具有的经济实力,信息处理的专业性以及其造成的数据安全问题等因素,我们可以采用举证责任倒置的方式,由侵权人证明是否对个人信息安全尽到合理注意义务以及其数据分析利用行为与信息主体间的损失有无因果关系。
2.加大精神损害的救济力度
为了能更好弥补信息主体遭受的精神损失,我们需要有针对性的解决个人信息精神损害赔偿中存在的损害事实难以确定和精神损害赔偿金额较低的问题。首先,对个人信息精神损害赔偿中存在的损害事实难以确定的问题,我们可以根据个人信息不同的分类来大致判断信息主体是否遭受精神损害。例如,将个人信息分为敏感和一般的个人信息。通过深度的数据分析,敏感的个人信息更容易侵犯个人隐私造成信息主体的精神损害。其次,在确定精神损害的具体赔偿数额时,可结合《侵权责任法》第20条①的规定和其他国家综合考虑,如果能确定被侵权人遭受的精神损害,就以具体损失来确定赔偿数额;若不能确定精神损害的大小,就将个人信息侵权直接造成的损害与预期利益或可得利益相加,确定精神损害赔偿的最高和最低数额,在该区间内综合其他因素确定具体赔偿数额。
注释:
①《侵权责任法》第二十条规定:侵害他人人身权益造成财产损失的,按照被侵权人因此受到的损失赔偿;被侵权人的损失难以确定,侵权人因此获得利益的,按照其获得的利益赔偿;侵权人因此获得的利益难以确定,被侵权人和侵权人就赔偿数额协商不一致,向人民法院提起诉讼的,由人民法院根据实际情况确定赔偿数额。
参考文献:
[1]王玉洁.大数据时代个人信息权民法保护研究[D].南昌:南昌大学,2017.http://cdmd.cnki.com. cn/Article/CDMD-10403-1017239392.htm.
[2]王泽鉴.人格权的具体化及其保护范围·隐私权篇(中)[J].比较法研究,2009(1):1-20.
[3]刘德良.个人信息的财产权保护[J].法学研究,2007(3):83-91.
[4]王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(6):68-75.
[5]信息安全技术公共及商用服务信息系统个人信息保护指南[EB/OL].https://wenku.baidu.com/ view/08cab93a83c4bb4cf7ecd16b.html.
[6]叶辉华.消费者个人信息民事纠纷举证难研究[J].知识经济,2019(3):16-19.
[7]北京市第一中级人民法院(2017)京01民终509号民事判决书[EB/OL].https://www.qcc.com/ wenshuDetail / 09ccf4a92edd85de2e20f5660b4065ad. html.
[8]北京市朝阳区人民法院(2018)京0105民初2738号民事判决书[EB/OL].https://xin.baidu.com/ wenshu?wenshuId=f9137c83c899e9ed5bfba1ad9115 f80d9c49eb7a.
[9]李娜.大数据时代下我国个人信息保护的民法实践——以《民法总则》111条为线索[D].济南:山东师范大学,2019.https://kreader.cnki.net/Kreader/ CatalogViewPage. aspx? dbCode=cdmd&filename=101 9118500.nh&tablename=CMFD201902&compose=& first=1&uid=.
[10]刘武俊.海量社保信息泄露倒逼立法提速[N].第一财经日报,2015-04-23(A15).
责任编辑陆莹