大数据背景下个人信息安全法律问题研究的文献
综述
张 杰
摘要:互联网、计算机技术的运用,揭开了人们对数据的收集、利用的历史。随着互联网技术的不断发展,及云计算、物联网等新技术的普及和运用,数据量出现了爆炸性的增长,由此孕育了大数据时代的到来。大数据技术运作之下,信息的收集和利用能力得到了质的突破,我们的个人信息在特殊的网络环境下面临被非法收集、非法利用及泄露的危险。本文研究了大数据运作处理个人信息的模式、特点及对大数据运作的侵权方式加以研究,提出了大数据时代保护个人信息安全应当选择自律保护与法律保护相结合的方式,并且提出了完善法律保护的具体建议。 关键词:大数据;个人信息;法律保护;自律保护
一、大数据运作侵害个人信息安全的方式和特点
(一)大数据运作侵害个人信息的方式
大数据运作要求超量数据的收集作基础,对于一些大型社交网站和电商网站,如,阿里巴巴来说,数据收集易如反掌。便利的数据收集和大量的信息被他人掌握,由此引发的最突出的问题是对个人信息的保护问题。进行大数据分析的主体看到了大数据的价值潜力,这极大地刺激着他们进一步收集、储存、循环利用我们个人数据的野心。随着存储成本不断降低而分析工具越发先进,釆集和存储数据的数量和规模将呈爆发式的增长。对大
数据运作侵犯个人信息安全方式的分析显得尤为重要,只有在对侵害方式有清晰认识的基础上,才能进一步完善对个人信息安全的保护,按照相关行为对个人信息安全的侵害可以分为以下情形: (1)个人信息的非法收集
大数据运作主体侵害个人信息最直接的方式即对个人信息的非法收集,数据来源性主体拥有大量的互联网用户,如若在未经用户许可的前提下非法收集用户的个人信息,则会造成对数据主体权利的侵害。谷歌公司公布其开始执行的新隐规则策,其中包括多条有关隐私的条例,内容包括了谷歌公司将会从多个服务中整合提取用户信息的规定,其中涉及以及本家的社交网络。然而,规则刚刚发布便遭到消费者隐私保护组织的强力反对,电子产品隐私信息中心甚至提出起诉,希望联邦贸易委员会颁布命令禁止谷歌的新隐私政策。欧盟同样对谷歌做出警告,相关监管机构要求谷歌公司能够修改它的新隐私政策。1
除此之外,国内的一些软件公司也饱受非法收集用户信息的争议。年的月份,针对多个产品遭苹果下架的情况,金山公司发表“涉嫌偷窃用户隐私”的文章,并在金山相关软件上设置弹窗,提示产品下架是出于盗窃用户个人信息的原因。随后,一些业界人士、专业人士以及网友们纷纷提出质疑与举证,持续的口水战终于引起工信部介入调查,后向工信部、公安系统的专业机构提交安全浏览器接受检查。非法收集个人信息的行为是基于大数据运作模式决定的,收集信息数据是进行大数据分析的基础,所以收集行为也应当认定为基本的侵害手段。将个人信息的法律属性界定为人格权,那么个人信息所包含的人格利益作为权利人的合法权益受到法律的保护,大数据运作主体必须尊重,对于个人信息的收集应当获得权利人的同意或者许可,否则会造成对当事人合法权益的 1
罗锦莉.《大数据时代下,的用户隐私》[J].金融科技时代,2012,12.
侵害。非法收集个人信息的行为是基于大数据运作模式决定的,收集信息数据是进行大数据分析的基础,所以收集行为也应当认定为基本的侵害手段。将个人信息的法律属性界定为人格权,那么个人信息所包含的人格利益作为权利人的合法权益受到法律的保护,大数据运作主体必须尊重,对于个人信息的收集应当获得权利人的同意或者许可,否则会造成对当事人合法权益的侵害。 (2)个人信息的过度分析
大数据时代个人信息安全问题的还来自于对个人信息的过度分析,这也是基于大数据运作模式产生的。对于当前互联网发展越来越成熟的中国,大多数国内网民都是一款名为的通讯工具的用户,同时这些用户大多会同步开通其中的“朋友网”功能,这本来是方便用户查找自己同学和朋友的一个好途径,但是越来越多的使用者反映该“朋友网”功能侵犯了用户的个人信息。以笔者为例,打开“朋友网”当中的寻找好友界面,再选择“可能认识的人”,系统告知为我找到了个可能认识的人,在其提供的巨大的关系网中,遍布了我的高中与大学的同学,然而除此之外甚至还可以寻找到早己失去联系的小学同学和完全不认识但是有在同一学校上学经历的人。现在问题在于,笔者未曾提供给“朋友网”任何个人的上学经历,但是其能够反馈给我们一个庞大的关系网,充分说明了这是其对用户个人信息的深入挖掘和分析的结果。同时该网络不仅仅提供的可能认识的人的姓名,还提供了用户发表的日志、相册、留言板、班级、学历、等等一切信息都被暴露在光天化日之下可被其他人浏览。相关技术的运用在一方面确实为用户提供了强大的寻人功能,但是在另一方面也反映了其对网络用户个人信息的过度分析。用户的个人信息被大量搜集,并从多方面加以分析,获得相关用户的联系人网络,这同样是对他人个人信息的侵犯。在大数据时代,仅仅从外部屏蔽大数据主体挖掘个人信息是很难实现的,收据运作者可通过多种数据掌握他人个人信息。目前,各社交网站一般会不同程度地
开放其用户所产生的实时数据,这些信息可能被一些数据提供商收集,另外,还存在一些监测数据的市场分析机构,通过对人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合,己经可以以非常高的精度锁定某个人以及挖掘出其个人信息体系,用户的信息安全问题堪忧。
2
因此大数据时代下对于个人信息的过度分析是侵犯个人信息安全的另一种情形,在保护个人信息安全的过程中需要考虑如何规范过度分析的行为,从而做到针对性的规制。 (3)个人信息的泄露
个人信息具有人格权属性,其不仅包含精神利益,同时也包含经济利益。大数据时代对于数据价值的追求达到历史的新高度,数据拥有者为了获得相关经济利益出售个人数据的行为则会造成个人信息的泄露,侵犯权利人的合法权益。另外,第三人对于大数据拥有者的网络进攻会造成个人信息的泄露或者传播。在互联网空间中,大数据是更容易被搜寻到的大目标。一方面,大数据意味着海量的数据,其中包括许多复杂、敏感的数据,这些数据具有巨大的经济价值,从而吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得倘若外来进攻获得成功,那么一次性就将取得更多的数据,无形中降低了黑客的进攻成本,大数据成为网络攻击的显著目标。 (二)大数据运作侵害个人信息的特点 (1)侵害个人信息行为的隐蔽性
侵害个人信息的行为难以被察觉体现在两个方面:
第一,大数据信息的搜集方式本身非常隐蔽。例如,淘宝公司等大的社交网络和电商公司,他们具备大量的网络用户和体验者,用户们在其网络上 的一举一动都可以被记录下来,并且成本低廉。假如这些数据收集者意欲 2
李满意.《大数据安全》[J].保密科学技术,2012,9.
收集相关信息,搜集行为非常方便,即便未经许可行为,用户们也不得而知。而且在绝大多数情况下收集者对我们搜索记录、浏览记录的收集并不违反相关法律法规的规定,但问题在于,信息常常存在联系性,看似不起眼的数据经过科学的分析,就可能得出精确于某个个人的相关信息,涉及到此人的隐私或个人信息也就不足为奇。
第二,大数据信息的泄露具有隐蔽性。遭遇“泄密门”、韩国社交网站“赛我网”的万用户资料被窃,到近期曝光的美国国家安全局的“棱镜计划”通常,外界无法在第一时间获知泄露事件的发生,甚至大数据信息的掌控者也不知晓其遭受到攻击,导致信息己经发生了泄漏,然而泄露的事实却因隐蔽的行为而延迟发觉。正如棱镜计划一样,假如斯诺登没有做出所谓的“背叛国家”的行为,美国国安局的行动能否在未来为世人所知晓还是一个未知数。因此,我们当真正察觉池漏事件时,大数据侵权可能已经产生了极其严重的后果和恶劣影响。 (2)侵权形式随科学技术的发展不断广张
从当前技术手段来看,大数据时代的运作主体主要包括,电子商务网站,社交网站,搜索引擎,聊天工具等传统互联网公司。然而随着技术运用的深层次发展与多领域运行,大数据运作对个人信息的侵害主体有不断扩张的趋势。如在领域,大量的手机和交通工具配置了定位设备,相关技术的运用完全可以顺利掌握到用户的住所地以及经常居住地等相关信息,从而造成个人信息被他人掌控,引发个人信息的不安全因素。并且与此相关的车联网技术也正处于快速发展阶段,汽车等交通工具与互联网的链接,也会造成相类似的困境。另外,例如智能电表的爆发式增长,电子邮件的信息交流,网络硬盘,云存储技术的发展。在这些领域都可以造就数据大亨的成形,大数据对于个人信息安全的侵权模式可以随着技术的发展而不断出现新的变化,法律对于大数据的规制范围和方式必须随着科技的继续发展而发展。
二、我国大数据时代个人信息保护现状
我国对个人信息的保护也包括法律保护和自律保护两方面。目前我国尚未出台专门的法律对个人信息的收集、分析、使用等行为加以规制,但是存在一些相关领域的法律和行政规章,以及侵权责任法、刑法等部门法的相关规定对个人信息安全加以保障。同时,在大数据领域当中自律保护也正在逐渐形成并且得以发展。现对大数据时代下我国个人信息保护现状加以介绍,并且分析当前现状存在的一些问题,以期为完善个人信息保护提供更多依据。
(一)我国大数据时代下个人信息保护现状 (1)法律保护
《全国人大常委会关于加强网络信息保护的决定》
该《决定》公布施行,目的正是在于保护网络信息安全,保障公民、法人和相关组织的合法权益,《决定》的内容涉及当前互联网个人信息数据管理中的问题,为一些必要的互联网管理措施提供法律上的依据。该《决定》第1条规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息;第2条规定了网络服务提供者针对个人电子信息的收集、使用应当遵循“合法、正当、必要”的原则,同时要求收集、使用他人个人信息需要经过信息主体的同意,并且要明示所收集、使用信息的目的、方式和范围;第10条规定了国家机关及其工作人员对在履行国家职责过程中知悉公民个人电子信息的保密义务;第12条规定了违反法律规定的惩罚措施,违法者应承担相应的侵权责任,加大违法成本。《决定》当中的这些规定是基本并且非常重要的规制内容。其中包含了进行个人信息收集、利用行为须履行的原则,权利人许可制度,惩罚措施等内容,为大数据时代下保护个人信息安全起到了很好的指导作用,对于互联网当中个人信息保护的规定,符合科学技术发展
和大数据技术运作的要求,具有相当的实际价值。 (2)自律保护
学者普遍认同“美国拥有普遍的自律机制或者说是自律传统”3
。互联网在我国的迅速发展,也催生了一些行业自律规范的产生。百度、奇虎、搜狗、腾讯、网易、新浪等12家搜索引擎及相关企业在北京签署的《互联网搜索引擎服务自律公约》就反映了中国互联网行业的自律实例,《公约》表示将自觉遵守自律公约各项规定,努力提升服务水平,不断改善用户体验,其中第10条规定:搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全,收到权利人符合法律规定的通知后,应及时删除、断开侵权内容链接。另一方面国家也积极倡导行业自律的发展,在《电信和互联网用户个人信息保护规定》当中就有明文规定:国家鼓励电信和互联网行业开展用户个人信息保护自律工作。2004年我国制定了《中国互联网行业自律公约》,由中国互联网协会作为公约的执行机构,负责公约的组织实施,这一公约旨在规范从业者的行为,促进和保障互联网行业的健康发展。其中第八条规定:自觉维护消费者的合法权益,保守用户信息秘密;不利用用户提供的信息从事任何与向用户做出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益。由此体现出我国的自律保护正在处于发展阶段,虽然还不及美国行业自律的发展程度,但是行业主体的自律意识与政府部门的积极倡导,为利用自律规范保护个人信息安全打下了良好的基础。
三、完善我国大数据时代个人信息的法律保护对策
(一)保护个人信息方式的选择 3
齐爱民.《拯救信息社会中的人格》[M].北京大学出版社版,2009,第186页.
立法保护与自律保护相结合可以在一定程度上弥补行业自律的不足,增强自律规范的执行力,适当增加公权力的监督,更加有利于保护个人信息主体的合法权益。行业自律对个人信息的保护有特有之优势,但是不能效仿美国主要依靠自律规范,因为自律保护存在其自有的缺陷:首先,自律机制主体必然考虑行业内部的利益。自律规则由行业的相关主体制定,那么其在自我约束与个人利益的平衡中,可能会偏向于自己的利益,从而在对个人信息主体权利的保护过程中出现保护不利的情形。其次,自律规范缺乏强制力。缺少强制力是自律规则普遍存在的缺陷,毕竟法律由国家强制力为后盾得以实施,而自律规范没有国家强制力的直接保障,这也就造成
了相关争端解决机制与纠纷处理程序不完善的情形。再次,行业自律在我国仍需进一步的发展,自律保护模式要求公民具有较强的法律意识、自我保护意识,而由于历史传统及社会发展的制约,我国公民的此类意识非常薄弱4
。我国在个人信息保护自律规范当中存在许多宣誓条款,在内容上欠缺实用性的规则,关于自我制约的细节性规则较少,对于侵害个人信息的赔偿机制也不够完善,并且规范的领域也过窄,单纯利用行业自律保护个人信息安全是不行的。立法保护与自律保护相结合可以完善法律在稳定性、滞后性上的不足,并且发挥自律保护的内在规制优势。科技改变着人们的生活方式和生产方式,并且变化迅速,一次次突破我们的理解范围和认知范围5
,而法律的稳定性和滞后性,使其在实施的同时可能就开始落后于现实的发展。大数据运作对个人信息的侵害又一次体现出了立法保护的滞后。纵观其他国家的立法,同样存在相同的问题,欧盟至今仍以处于互联网萌芽时期施行的《欧盟数据保护指令》作为其信息保护框架的核心,正在通 4
金品凤.《网络隐私权保护研究》[M],河北师范大学硕士学位论文,2012. 5
舒国滢.《法理学导论》[M].北京.北京大学出版社,2009.
过的《欧盟数据保护规则》草案更新了众多针对新技术和新时代的规制内容,但是从另一方面同样证明了法律天生的滞后性。另者,法律属外在规制,对于大数据运作的针对性存在欠缺。这也是立法保护较于行业自律的不足之处,个人信息的自律保护是由数据管理者共同商讨、协议相关的规则,确立保护个人信息的规范,这属于自发的机制,这样的自生规范更具有针对性。互联网己经深入到人们的日常生活当中,大数据运作的成本不断下降,大数据公司以很便利的方式即可获取其用户在互联网中产生的数据,因此,仅仅利用单纯的立法保护不能很好的适应大数据时代下保护个人信息安全的要求,利益的驱使会推动大数据运作主体不断进行数据的收集和挖掘行为,加强对数据的处理和预测获取个人信息。综上所述,笔者认为保护个人信息方式的选择应当采取立法保护与自律保护相结合的方式。欲使该种结合实现其重要作用,一方面应当发展行业自律在大数据运作中的作用,发挥自律保护的内生规制,注意自律保护与法律的结合细节,增加其执行力和实施力度。另一方面完善相关立法,增加更多的针对性规制,弥补我国法律关于大数据时代个人信息保护中的不足,从而更好的保护个人信息安全。
(二)立法保护的完善
第一,针对个人信息非法收集的立法规制。个人信息的非法收集通常发生在大数据主体收集数据的过程中,主要由拥有大量用户的互联网公司实施。立法应当规定“通知”和“许可”义务加以规制,即大数据主体在需要收集用户个人信息时,必须向用户发出明确的通知,告知其可能存在的信息收集行为,并且说明收集个人信息的用途和目的;同时个人信息的收集行为需要获得用户的许可,经过明确许可方能进行相关数据的收集,而该种许可应为可撤销的许可,被用户撤销许可之后,互联网公司不得再收集该用户的个人信息;另外,对于面向儿童收集个人信息的行为,需要获得其监护人的特殊许可。
第二,针对个人信息过度分析的立法规制。对于大数据运作过度分析个人信息的行为可以分以下三步加以规制:首先,立法应当规定对个人信息储存时间的限制。设置个人信息保存的时间期限,在合理情况下,信息的储存时间达到规定期限则必须进行删除,并且在完成相关个人信息的利用目的和无合理理由继续被他人保留时,数据掌控者必须删除该个人信息。其次,规定个人信息主体有要求删除其个人信息的权利。信息主体可以向可能掌握其个人信息者确认是否存储了其个人信息,并且有权要求对方删除其个人信息。再次,规定个人信息可供分析的程度。立法应当对于分析个人信息的程度做出规制,因为对于个人信息的过度分析,可能会涉及个人生活的隐私性信息的暴露,立法应当规定对个人信息的分析只可用于判断用户的选择喜好和消费喜好,而不得通过对用户信息的过度分析进而掌握用户的生活范围和社交内容。
第三,针对个人信息泄露的立法规制。首先,立法应当规定个人信息的掌控者有妥善保管个人信息的义务。个人信息的掌控者必须妥善保管用户的个人数据,不得在未经信息主体许可的情况下,将个人信息传输给其他第三者,并且应当定期对其存储的数据进行安全评估。其次,立法须规定若发生数据泄露事故,个人信息储存者负有通告义务。当发生个人信息泄露及遭受破坏的情形,必须及时通知相关信息的主体,告知其数据的安全情况。再次,立法规定对于窃取、攻击个人信息数据的行为要承担的法律责任和处罚方式,加大违法成本。第四,立法规定专门机构监管自律组织与自律规范。自律规范只有经由审查机构通过才能被认为符合法律规定与符合个人信息保护的要求,审查机构能否有序行使其职责是立法保护与自律保护结合能否发挥巨大作用的关键所在,也是自律规范能否切实保护大数据时代个人信息安全的重要核心,因此应当通过立法明确细化的规则,规范审查机构的工作流程,严格按照法律规定为自律规范的实施提供程序保障。在我国,可以立法授权工业和信息化部(工信部)作为该专门机构对
自律组织和自律规范加以引导和管理,授权现有的国家机构可以大大减少保护权益的成本,并且避免不必要的冲突。 (三)《侵权责任法》的完善
大数据时代保护个人信息安全还应当对现有法律做出完善,不仅可以降低立法成本,也可以起到更好的保护作用,《侵权责任法》的完善应当包含以下内容:
第一,完善《侵权责任法》第36条的规定。该法第36条是网络侵权责任的专门条款,规定了网络用户和网络服务提供者利用网络侵害他人民事权益应当承担侵权责任。实践当中本条主要规制网络上侵害肖像权、名誉权和隐私权的行为,笔者认为,可以增加该条的规定,如增加一款“网络主体非法收集、过度分析、泄露网络用户个人信息,造成他损害的,该行为人不能证明自己没有过错的,应当承担侵权责任”,明确规定对利用网络侵害个人信息的侵权责任,并且对于侵害行为方式加以概括,使其能够直接用于对个人信息安全保护。第二,过错推定的选择。过错推定是过错原则适用的一种特殊情况,是指受害人若能证明其受损害是由行为人所造成的,而行为人不能证明自己对造成损害没有过错,则法律就推定其有过错并就此损害承担侵权责任。6
《侵权责任法》第36条规定的网络侵权责任的归责原则为过错责任原则,笔者认为大数据时代下个人信息安全的侵权的归责问题,应当采用过错责任原则中的过错推定进行处理。正是因为此,上文建议的增加条款描述为:行为人不能证明自己没有过错的,应当承担侵权责任7
。
数十年来,全球范围内的隐私规范开始让人们自主决定是否、如何以及经由谁来处理他们的信息,把这种控制权放在了人们自己手中。8
但是大数据 6
杨立新.《侵权责任法》[J].法律出版社,2013.
7 杨立新.如何理解侵权责任法中网络侵权责任[J].检察日报.2010. 8
维克托迈尔舍恩.《大数据时代:生活、工作与思维的大变革》[M].浙江人民出版
对于信息获取的主动权在于商业运营者,而信息真正所有者则处于被动的地位,所以对于个人信息的保护应当着重于数据使用者为其行为承担责任,而不是只将重心放在收集数据过程中取得个人的同意上。大数据运作过程中,大型互联网公司可以直接收集网络用户的海量信息,而大数据分析公司可以通过对个人数据的专业分析直接或间接的获取个人信息,这一系列的行为又十分隐蔽,数据的专业分析和二次利用是大数据运作的显著特征,依靠单纯的信息获取许可不能保证个人信息的安全,因此,面对大数据时代对个人信息安全的侵害,立法应当选择保护弱者的一方,通过选择适用过错推定,当大数据运作主体不能证明其侵害个人信息的行为没有过错时,则推定其在主观上存在过错,从而更好的保护权利人的合法权益。 (四)自律规范的制定
针对大数据时代个人信息安全的自律规范,其制定者主要为数据来源性主体和技术分析型主体,前者主要是大型的互联网巨头,拥有可直接获取的海量信息的用户,后者主要为数据分析主体,具备专业的技能可致力于数据分析的大数据公司。因此,制定行业自律规范的主体不是单纯的搜索引擎公司,使得自律组织能够涵盖更多业务类型的公司,完善我国自律保护规范范围过窄的不足。大数据运作主体组成的行业自律组织应当按照行业的实际情况,协商确定符合个人信息保护要求的自律规范,确保宣誓性的条款转化为实际的具体规则,并且及时修改相关规则以符合科技的不断发展,通过实施合理的自律规范以求做到切实保护数据权利人的合法权益。另外,行业自律规范还应当符合立法的规定,在法律的指导之下,进一步细化保护个人信息的方式,同时自律规范也应当作为立法的补充,对于立法没有规定的地方,自律组织可以制定更加具有针对性的规制;对于己经 社,2013.
规定的内容,自律规范可以指定比立法更加严格的保护标准。