曾辉
摘要:随着移动互联网、云计算的不断发展,大数据技术也愈发成熟。大数据时代的到来给人们带来了许多便利,各行各业的人需要运用互联网娱乐、消费、工作和交流。但同时也出现了电信诈骗,用户画像个性化营销推荐,大数据杀熟,等一系列怪象。通过对国外相关优秀制度的学习,同时结合我国的实际情况。分析目前个人信息保护过程中出现的问题,从完善立法保护、行政监管和行业自律等角度进行探析,构建个人信息的保护路径。
关键词:个人信息;立法保护;行政监管
2016年8月16日下午山东省临沂市的一位高考考生徐玉玉的电话接到了一个称自己是教育部门助学工作的人员要给她2600元的助学金,要求徐玉玉往一个账户里先存9900元学费。这名考生按要求操作之后长时间没有下文,一家人感觉不对就去报警了,在回来的路上徐玉玉晕倒了最终抢救无效身亡了。案件发生之后公安部门高度重视,在千里之外将这起电信诈骗案的嫌疑人郑宪康和陈文辉抓获。通过这个案件人们反思,嫌疑人是如何知道徐玉玉的姓名、电话、高考情况和其他个人信息的?我们每个人的信息數据应该由谁保护,怎样保护?
个人信息概念的界定
张新宝教授认为:“个人信息这一概念是我们对一个人身份的认识,或者通过这些特征可以识别出这个人,通常表现为姓名、性别、出生年月、家庭住址、身份证、看病记录、教育背景等能够识别出自然人的信息。”[1]个人信息应该具有以下特征:(1)主体特定性。(2)内容广泛性。(3)包含人格权和财产权的相关内容。(4)具有私人属性与公共属性。个人输入完成后经过企业后续加工和处理成为一种有特定目的特定用途公共属性的数据资产。过于限制会影响企业的发展,过度放松个人的信息同样得不到有效保护。
界定个人信息的概念边界是个人信息保护的前提。在明确属于个人信息的权利受到侵犯的时候,可以请求侵权主体承担相应的侵权责任,构成犯罪的可以追究刑事责任。同时相关的行政机关可以提前介入,进行行政干预。边界清晰同时也是对企业使用个人基础信息权利的一种保护。也避免打击范围过大而损害企业对数据正常使用的需求。
个人信息保护中存在的问题
个人信息的过度披露、非法采集与泄露
数据时代的来临,让人们的沟通变得更自由,生活交流方式也发生了变化。个人信息的获渠道也越来越丰富。[2]大数据杀熟就是常见一种不平等对待的操作,利用个人信息数据分析个人习惯喜好和生活水平,因人画像,通过精准推送使得本来同样的商品同样的服务在不同的客户端却不同定价,如果不与其他人客户端比较自己很难发现被区别对待,商家因此实现利益最大化,消费者在价格上遭遇了不平等对待。[3]
《最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释》在很早就确立了网络信息服务者信息披露制度,但只有内容并不完善只有寥寥几句,从2017年颁布的《民法总则》到最新的《民法典人格编草案》立法机关通过完善相关法律来改善个人信息保护中存在的问题,从整体来说,由于缺乏系统的个人信息保护法,个人信息披露过度的现象依然存在。同时征信机构掌握大量公民基本信息,一般的信贷公司因业务需要就能查到个人相关信息。[4]
现有法律在保护个人信息上存在局限性
大数据区块链云计算技术的不断更新使得可操作门槛变低,个人信息数据被侵害也经常发生,目前的立法状况是在《刑法》《民法总则》《网络安全法》等法律中初步形成一定的保障体系,但没有《个人信息保护法》这样的专门系统的法律,个人信息始终难以被完整保护。现有的法律没有明确个人信息权属,法律的基本职能是界定权利义务关系,确定个人信息权利才能更好保护个人信息。
当前个人信息受到侵犯只能通过私力救济。2015年的《刑法修正案(九)》,扩大了非法获取公民个人信息罪的犯罪主体和个人信息侵权行为的范围。司法救济能为当事人提供保护,但存在效力效率低下的问题,作为守护公平正义的最后一道防线,通常只调整已经发生了的侵权行为,无法对事先潜在的威胁预防,当事人通过诉讼的方式请求司法救济还要面临复杂的程序和花费大量的时间精力费用等诉讼成本。无法对恶意侵害事件作出快速反应和相关制裁。[5]
(三)企业更注重商业价值而忽略对个人信息的保护
现有的一些单位如银行业贷款保险等业务没有统一的个人信息保护的法律规定。一些零散的规定也只是涉及保密内容条款,对信息主体的数据权利的保护很少规定。网络运营商对个人信息保护也不够重视,大数据的发展使网络运营商看到了新的商机,不同的企业和网站对个人信息的使用收集处理方式也不同,一般大型领军企业会对个人信息加以保护,而有些小的网站为了利益会收集访问者的个人信息甚至出售。
我国信息产业繁荣发展与之相关的行业自律机制还没有形成。个人信息被过度的商业化利用,“徐玉玉案”就是信息泄露引发的恶性电信诈骗案件。类似的案件不断出现,呼吁企业承担责任的呼声也越来越高。其原因还是企业天然追逐利益的属性,只注重商业利用而不注重个人信息保护。
具体保护路径的探析
(一)建立个人信息保护法
我国是以成文法为立法模式的大陆法系国家,在立法时要全面考虑全球技术发展的情况以及我国的国情,欧盟的立法对个人的信息保护具有强制性,可以有力的保障个人的权益,但也存在滞后性。美国的立法较为分散主要是依靠行业自律来保护个人信息数据,这样不会制约经济和技术发展,但缺乏强有力的保障。日本是采取立法和行业自律相结合的折中方式结合了欧盟和美国的优点。
我国的《个人信息保护法》至今仍未出台,民法典第一千零三十四条至一千零三十九条对个人信息的概念和信息处理者的信息保障义务以及国家机关、承担行政职能的法定机构及其工作人员的保密义务等做出了规定。民法典于2021年1月1日起实施。当前保护个人信息最重要的还是2016年通过的《网络安全法》。但是,该法的立法目的包括“ 保障网络安全工作和国家主权安全、信息安全、保护社会的公共利益和人民以及社会组织在信息安全领域的合法权益,使得经济社会平稳健康的发展”等多重目标(《网络安全法》第1条)。[6]
个人信息的权利属性是争论的焦点,大多数的观点认为个人信息是一种具体的人格权,但现在更多的是被用来交易,这样就有了财产权的属性。[7]“可识别性”是网络安全法中对个人信息的界定的标准。但随着互联网公司的蓬勃发展这样的“标准”也在被不断的挑战。典型案例是朱烨诉百度cookie侵权纠纷。这起案件中两级法院争论的焦点“上网轨迹”最终也并未给出明确的法律界定。这种碎片化的信息应该属于个人范畴,在遭到侵害时应该被保护。 [8]互联网企业收集个人信息然后利用大数据分析出个人的兴起爱好精准推送商业广告这种侵权最为常见,在之后制定《个人信息保护法》的过程中应该扩大对个人信息的认定范围。
(二)通过行业自律进行管理
《2017社交电商网络白皮书》中显示,我国在电子商务领域的发展已经发生变化,由平台建设,支付方式,物流送货等基础设施建设转向消费升级更加注重高质量。“微商”也变得比之前容易接受,互联网与商业更加深入融合,这时我们就更需要行业自律。
构建完善的行业自律体系需要从以下几个方面展开。第一,相关的企业与企业之间相互沟通协调以形成行业内的行为规范,相互督促共同成长。同时将行业规范与政府立法保持一致,例如《中国互联网定向广告用户信息保护行业框架标准》是根据《消费者权益保护法》和《广告法》制定的行业规范。[9]第二,企业之间联合形成一个认证组织,比如信息行业协会,通过行业协会制定个人信息保护的标准和行业规则来进行信息自律组织,自律审查。行业内的企业通过认定获得相应的标识,消费者用户可以根据此认证来自行选择,这样可以更好地保护个人信息安全。第三,行业自律组织与政府对接,通过政府对自律组织资格的审核和监管提升自律组织的公信力。第四,通过设置奖励机制和惩罚措施来保障自律行业规范有效实施,对违犯行业规定的机构可以采取警告、罚款、公示和黑名单等具体惩罚措施来约束相关机构重视保护个人信息和行业自律。[10]
(三)政府牵头设立行政机构、个人信息数据保护委员会
我国目前的现状是相关法律分散,市场监督管理部门在一般消费领域通过《消费者权益保护法》保护消费领域消费者的个人信息。在互联网领域和电信领域由工业和信息化部、网络安全部门和公安机关依据《网络安全法》《电信和互联网用户个人信息保护规定》等相关法律对个人信息进行保护。中国人民银行在征信领域保护个人信息数据。国家邮政管理局负责管理快递行业个人信息数据保护。
由于缺少统一的监管机构,在实践中个人信息被侵犯的事情也经常发生。如在医疗或者旅游领域虽然有《旅游法》《执业医师法》但由于缺少监管主体,当发生侵权行为时也没有相关的监管机构来执行。[11]这种分散的多部门监管有时会出现盲区,当个人信息被侵犯时无人管理,同时也会出现重叠监管的情况增加行政相对人的负担。缺少顶层设计的相互独立监管,在监管机关之间发生冲突也时有发生。[12]
我们需要建立个人信息保护的全局性和顶层设计的机构,个人信息数据保护委员会,排除其他个人和组织的妨害,保证其独立性,完成保护个人信息安全的使命。这种独立性不仅体现在业务上,还要在“人、财、物”等方面独立,保证其执法不受干扰。委员会应该直接是政府的组成部门,而不是隶属哪个部门或直属机构。人员编制应该是公务员序列,不能从事其他生产经营活动,使用国家财政预算。最大程度保证委员会履行法定的监管职能。[]
(四)加强公民个人信息保护的意识
公民是个人信息保护的直接利害关系人,必须提高自我信息的保护意识。在丧失主观能动性的基础上完全依靠外力的保护,是不可取的,就像懒人吃饼一样。增强公民的个人信息保护意識可以从两点进行。第一,政府主导宣传具有先天优势,例如各地司法局开展法制宣传教育时将个人信息保护内容加入其中,还可以通过广播电视公益广告进行宣传。第二,公民从个人层面提升信息保护意识,学习相关法律内容和一些典型案例,公民也可以自发的拍摄小视频,通过朋友圈等新媒体进行学习交流保护个人信息和防止隐私泄露。
互联网和大数据的发展使得个人信息得到前所未有的应用,个人信息保护也成为我们关注的重点。行政监管是高效可行的办法,垂直的监管设置与水平的权利义务关系都是保护个人信息重要的方式。
完善顶层设计,将原来的低层级分散式的执法方式整合起来,在国家层面设立个人信息数据保护委员会,明确其监管目标、职权范围。同时企业要加强行业自律,积极承担保护个人信息的责任,遵守相关法律规定和网络秩序。作为公民也要提升个人信息保护意识和防止隐私泄露。从完善立法保护、加强行业自律和行政监管等多维度进行个人信息保护路径的构建。
参考文献
[1] 张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(03):38-59.
[2] 张雅婷.互联网背景下征信体系建设中的信息主体权益保护问题研究[J].征信,2016(02):24-27.
[3] 赵超.大数据“杀熟”的现实困境与规制策略[M].山东政法管理干部学院学报,2020:34
[4] 田丰、夏远航.我国征信市场信息披露制度的完善-基于金融行业监管比较视角[J].征信,2019(03):12-19
[5] 张平.大数据时代个人信息保护的立法选择[J].北京大学学报(哲学社会科学版),2017(03):150.
[6] 杨合庆.中华人民共和国网络安全法释义[J].中国法制出版社,2017:37-40.
[7] 刘权、应亮亮.比例原则适用的跨学科与反思[J].财经法学,2017(05):42-43
[8] 姜博胧.个人信息法律保护的路径探析[J].沈阳干部学刊,2020:40-41
[9] 姜盼盼.大数据时代个人信息保护的理论困境与保护路径研究[J].现代情报,2019(06):154
[10] 邓辉.我国个人信息保护行政监管的立法选择[J].交大法学,2020(02):143-144
[11] 陈甦.中国社会科学院民法典分则草案建议稿[J].法律出版社,2019:493
[12] 周汉华.中华人民共和国个人信息保护法(专家建议稿)及立法研究报告[J].法律出版社,2006:83-84