王一鸿
(吉林市万通社区服务中心,吉林 吉林 132011)
隐私权是一个法律概念,并且相对比较抽象,其形式体现为人格权,具有人身性、真实性、私密性和限制性等特征。《中华人民共和国民法典》第1032条第2款将“隐私”界定为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”消费者的隐私权,与通常意义上的隐私权相比,其内涵上更多了一层经济利益的含义。为此,我们可以把消费者隐私权定义为:专属于参与消费活动的自然人主体的,可供消费者支配的与消费者有关的一切私人信息及消费信息不为他人知悉并禁止他人干涉的权利。
只有参与消费活动的自然人主体才被称为消费者,而在消费过程中获知的,如扫码付款中所留下的个人信息,包括消费手段、付款账号、交易地点、商品名称、购物时间等,刷脸消费中还存在脸部特征识别等信息,都属于消费者个人隐私权所保护的范围。
消费者的个人信息与消费者隐私同属于消费者人格权,但是消费者的个人信息不等同于消费者隐私。消费者个人信息是包括消费者隐私在内的,以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息(《个人信息保护法》第4条)。消费者个人信息是指凡是与消费者本人有关的,并隶属于消费者的所有描述。比如,消费者的姓名、性别、出生日期、家庭住址、电话号码、车牌号码、即时地理位置、房产状况、家中装修风格、购物爱好、消费水平、消费者家人的如上情况,等等,都属于消费者的个人信息。而这些个人信息中,消费者本人拒绝公开的,被公开后会给消费者的生活和安全带来不便的,我们称之为“隐私”。
数据价值的提出是人类开始步入数字化生活时代以及人工智能发展不可回避的话题和核心要素。数据的含义会跟使用人和使用的语境不同有所差异。在我国《数据安全法》中,数据被定义为“任何以电子或者其他方式对信息的记录”。在数据价值链中,数据经历了从“原始数据”到“衍生数据”的处理过程。消费者所提供的数据,是财产化了的信息,所反映的是数据的法律本质,其想成为开放的、共享的数据,需要将其进行处理,即不能包含隐私。
消费者的个人数据已经普遍性地被视为具有重大价值的资产,其内容包括:购物数据、社交数据、位置或出行数据、住宿数据、教育数据、健康数据、基因数据、生物识别数据等。消费者在消费过程中,会有意无意将数据分享给数据收集者,比如会员注册、享受折扣、分享数据获得收入或奖励等。
大数据时代开始后,人们对大数据的认识和利用,从投石问路,到肆无忌惮。大数据一方面让政府治理和百姓的工作、生活更高效、更便捷,同时,因大数据背后通常隐藏着巨大的利益,不仅具有人身属性,也表现出其财产属性。因此大数据也成为经营者甚至跨境企业间争夺的重要数据资源。在业已成熟的法律设计下,隐私权的保护具有被动性、单一性和界限明确等特点,也正是因为如此,其被大数据技术收集并运用的概率几乎达到百分百。随着时代变革,面对消费者个人信息和数据保护的严峻问题,要求我们在隐私和个人信息问题上打破这一限制。
企业内部泄密也可称为数据库泄密。因存在对企业内部监管难的问题,越来越多的数据泄露发生在企业内部,甚至形成“行业互换”。首先,运营商掌控服务平台,因此,消费者在平台消费后,运营商可对其留下的消费信息进行筛选、分析,将消费者按照爱好、消费能力进行分类,进而预测其消费空间,进行相应商品和价格调整。消费者却对此浑然不觉。其次,容易发生有意或无意的数据库泄密。据多方公开报道,信息泄露的情况在我国诸多民生领域,如房产交易、教育培训、金融保险等行业较为普遍。参与调研的消费者表示,莫名就会收到精准地针对自己个人信息的营销广告,一定是个人信息发生了泄露。2013年支付宝出现员工利用工作之便,将用户资料从后台下载多次出售。第三,数据的“行业互换”是泄露消费者个人信息的途径之一。涉及数据安全的企业需要受到互联网安全等级保护评测机制制约,因此受到黑客、木马等技术攻击而发生信息泄露的情况发生率较低,大多是通过行业互换的方式,交换消费者消费隐私和个人消费信息及消费数据,比如,同行业公司之间互相交换客户信息,服务企业与保公司交换消费者资源等。第四,个别企业网络安全意识差,技术升级滞后等引发网络漏洞被利用,如2014年智联招聘网站因技术漏洞,导致黑客获取其86万用户的个人信息。
灰色数据交易即以售卖公开数据为名暗藏销售消费者隐私、个人信息和数据的行为。我国法律尚未规定将公开数据打包售卖视为违法行为,部分人会利用搜索引擎中使用的“爬虫”技术抓取消费者网络公开信息及公开数据,这并不为法律所禁止,但不法分子和商家会同时混进通过撞库、诱导、群发、钓鱼等黑客、木马程序窃取的消费者个人信息,变相侵犯消费者的隐私权和个人信息保护权,甚至引发不正当竞争。
有些计算机爱好者掌握一定计算机专业技能,并熟悉黑客技巧和工具,这些人以利用其技能攻击个别网站为乐趣,甚至出现以此相互比试等恶作剧行为,其后果是无辜企业和消费者用经济利益的损失为其买单。
随着我国反诈力度加大,骗子的行骗手段和技术也在不断升级。不时有消费者反映,在手机应用中心里下载到假的公安APP,有些消费者因“配合”公检法机关工作人员而将自己财产进行处分后无法追回等案件。有些消费者手机短信或微信收到不明链接后,只要点开就会立刻植入木马,盗取其个人信息或财产。
通常人们认为消费者在交易中处于弱势地位,消费者的损失理所当然应该归责于商家,但就消费者自身来说,也存在防范意识不强,贪图小便宜等心理而导致严重后果。商家获取消费者隐私和个人信息往往是以回报消费金或礼品为由,让消费者以新用户注册、填写个人信息、参与抽奖等,导致在实践中也不断出现消费者名下莫名出现贷款、借款及储蓄款被转走等案件,均是因消费者个人信息被他人使用所造成的,在这些案件中,消费者应反思自己对个人隐私和信息的保护意识。
互联网的发达使得个人隐私及信息泄露日益成为一个全球性问题。在国外,居民们也倍受垃圾邮件中廉价商品链接、网络流氓药店、暴力色情网站、使用信用卡支付等导致信息泄露困扰。为此,世界各国纷纷采取措施,保护消费者信息及数据安全。
从1970年个人数据保护立法活动在德国开始以后的35年里,全球共有109个国家和地区对个人数据保护进行立法,分别管辖公共部门和私营部门的个人数据,从个人数据的收集、访问、使用、加工、披露、修改与删除等给予法律上的保护,保证个人数据的准确与安全,并对敏感数据给予特殊保护。此举大大缓和了国家和地区间因在全球经济中的地位和比重不同而带来了数据保护标准方面的冲突。
当两个国家或地区,或者多个国家或地区之间就消费者个人信息及隐私等问题在管辖、法律规定、时间不对等、信息不对称等方面出现争执时,协商进而达成共识成为一种解决问题的手段。隐私保护已经成为全球性的问题,不具有立法权的经济组织或专业领域更加需要多边协调机制,既竞争又合作,其趋势是逐渐形成专业化的多边协调机制。
《中华人民共和国民法典》对隐私权及个人信息保护在人格权编第六章进行了相关规定,其意义在于:宣示了自然人享有隐私权,明确了隐私权的内涵。同时,对侵害隐私权的方式也进行了界定,如“刺探、侵扰、泄露、公开等”,在此基础上,消费者被经营者以电话、短信、即时通讯工具、电子邮件、传单等方式侵扰,未经消费者允许收集或者公开其个人信息,均属违法行为。
《个人信息保护法》是公法和私法的混合,私法部分作为《中华人民共和民法典》的特别法,用来全面保护个人信息。其以《民法典》为基础,借鉴欧盟比较法经验,强调个人信息的“告知-同意”规则,对个人信息处理者提出要求,规定其有严格保护敏感个人信息的义务。此规定不仅彰显了《个人信息保护法》的时代性和先进性,同时也惠及我国消费者,对消费者个人信息的保护问题加大了防护范围。
《中华人民共和国数据安全法》于2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过,自2021年9月1日起施行。在信息网络和大数据技术迅猛发展的时代,作为记录信息手段的数据包含文字、数字和其他方式,并且随着数字产业和数字经济的发展,数据被认为是一种新型的生产要素,具有财产属性,即通常所说的“数据产权”。因法律基于个人隐私和人格权意义对消费者个人信息进行保护,消费者的个人数据属于财产权范畴。对其进行立法保护的意义在于,体现数据的独占性和排他性,保护数据涉及的人格利益与财产性利益。
但是,经济运行的实践及法律自身的滞后性和需要逐步到位的特点表明,仅靠法律的限制不足以杜绝一切对消费者隐私及个人信息侵害问题,需要寻求更广范围、更深程度和适用性更强的保护消费者隐私、个人信息及数据的路径及方式。
立法活动属于顶层设计,是对消费者个人信息保护起引领和震慑作用的首要环节,也是必由之路。数据为王的时代,一方面要大力发展经济,另一方面,也要让消费者在安全、自由的消费空间中进行消费活动。法律由国家强制力保证其实行,会给消费者带来极大的安全感。我国颁布了《中华人民共和国民法典》《个人信息保护法》《数据安全法》《网络安全法》等相关法律,但其公布时间较短,社会实效尚待观察。
除制定法律外,还应从政策方面建立消费者个人信息保护战略框架。政策与法律相比,具有灵活性高、可操作性强等特点,更容易贴合市场经济活动,迎合消费者信息保护实际需要。建立政策保护体系,要求我们选择和利用合理有效的政策平台,也可以弥补法律暂时无法覆盖的消费者数据保护范围。如,消费网站在显著位置公开个人信息保护政策,明确告知其对消费者个人信息的收集、对Cookie及web beacon的使用、个人信息的存储、个人信息的使用和对外提供、个人信息的保护和安全措施、对未成年人个人信息的特别保护、个人信息的使用和对外提供以及争议的解决方式等。
我国需要建立独立的数据保护制度(弓永钦,2018),客观公正地对公共机构和私营领域进行监管,真正参与国际多边协调机制进行隐私保护活动。鼓励涉外企业了解国际规则,建立专业的隐私保护认证机构,加深加大认证的深度和广度,提高企业对消费者隐私和个人信息的保护水平。
消费者隐私及信息和数据被泄露,与消费者自身的维权意识和防范意识不无关系。一般消费者的行为具有相对性,仅发生在消费者与经营者之间,此时发生的消费者个人信息被非法获取情况通常由消费者自己发觉。如果因没有维权意识或者维权观念较弱,则会造成放纵不法分子侵犯其利益的后果。有时,消费者是在明知信息会被对方获取的情况下,以某些条件达成信息公开,因信息的可复制性和传播性,导致消费者信息超出其所许可范围。为此,消费者应分辨其自身责任,理性分享个人信息。
消费者的生活区域均划归不同基层自治组织,如社区、村委会等,在基层完善与消费者有关的普法工作是与消费者距离最近、最亲切的教育手段。消费者们的消费行为基本是根据个人习惯、亲友推荐或者广告影响,真正知晓消费方面和数据保护方面法律的消费者并不多,因此,基层自治组织加强消费普法,是成本最小,波及面最广的保护消费者隐私和信息数据的方式。此外,要加强社会监督力度,对侵犯消费者隐私的行为及时指出并加以改正,以案说法,对全行业及消费者都起到提醒作用。
学术界在研究隐私和个人信息及数据保护问题时,一直强调行业自律,但从高发的用户信息泄露情况看,行业自律的呼吁收效甚微。消费者信息泄露现象背后,基本都是利益趋使,因此仅凭倡导行业自律容易沦为空话。必须设置行业处分及处罚手段,方能补充监管漏洞,形成行业制约。消费者的信任是经济发展的引擎,行政监管手段和行业处罚制度,一方面可以切实地保护消费者消费隐私和个人信息及相关数据;另一方面也让消费者直观地看到从政府到企业,重视消费者信息保护问题,真诚保护消费者的利益。这不仅是对包括消费者在内的信息主体权的维护,同时也是从宏观角度防止因个人信息被滥用而对经济发展造成进一步的伤害,为消费者的消费活动提供保障,重建消费者信任,提高消费者的消费积极性,维护社会主义市场经济秩序稳定。