大数据时代个人信息的法律保护【刘春泉专栏-14】
文 / 刘春泉,作者系上海泛洋律师事务所高级合伙人,本文来自作者《上市公司知识产权》系列文章,作者新浪微博为:@刘春泉律师
一、为何要保护网络个人信息及隐私?
个人信息泄露与滥用,侵犯个人隐私并不是互联网所特有的现象。但进入互联网时代以来,个人信息复制、散播极其便捷,滥用个人信息给公众造成骚扰甚至伤害的现象普遍存在,侵犯个人隐私的事件也层出不穷,因而对个人信息进行保护以预防和制止滥用,保护网络隐私逐渐成为多数人的共识。个人信息被极端滥用的典型事件以2005年韩国发生女子因未清理宠物粪便导致的所谓“狗屎女”事件为典型,该事件是如今被称为“人肉搜索”的第一次公共事件,因个人信息被公布,当事人受到巨大影响,退学、搬家直至罹患精神疾病都难以摆脱困扰,是导致韩国一度实行网络实名制的标志性事件。侵犯网络隐私也很普遍,具体表现则与个人信息有交叉也有不同。同时,大数据应用也是机遇,必须对大数据应用的商业利益与公众的隐私保护需求做出适度的平衡。
二、个人信息与隐私的含义,区别与联系
个人信息是指与自然人个人或家庭密切相关数据或者资料,有些能够定位或者识别个人身份,有些虽然不能定位或者确定身份,但与个人特征、信仰、健康状况、行为习惯、联络方式等有关。隐私在我国是历史上是早已有之的概念,但1949年以后至今,新中国法律意义上的隐私最早是1956年《全国人大常委会关于不公开审理案件的决定》首次在立法中使用的“阴私”提法:“人民法院审理有关国家机密的案件,有关当事人阴私的案件和未满十八周岁少年人犯罪的案件,可以不公开进行。”此后,1979年刑事诉讼法,人民法院组织法,最高法院在批复中也使用的是“阴私”这个提法,并界定了阴私案件的范围。从1982年《民事诉讼法(试行)》开始,1991年实行的《未成年人保护法》39条规定“任何组织和个人不得侵犯未成年人隐私”,从此我国法律和司法解释开始使用“隐私”而不再用“阴私”的提法。隐私的含义主要是指当事人不愿意他人知晓或者他人不便知晓的个人信息,事宜或不愿意或者不便他人介入的领域。《现代汉语词典》第五版对阴私的解释是不可告人之事,多指不好的事情,1998年重印的修订本解释则为“不可告人的坏事”,隐私:“不愿意告人或者不愿公开的个人的事”。可见,即使从非法律的普通人理解来看,隐私范畴大于阴私,隐私概念更为中性,没有贬义,除了阴私还有个人信息的内容可以构成隐私。
个人信息与隐私有区别也有联系:个人信息的内涵和外延都较大,与隐私有一部分交集,也有不完全相同之处。通常个人的信息包括:姓名,性别,年龄,婚姻家庭情况,联络方式(特别是手机等通讯设备号码,或者其他用户身份识别标识,包括码号,电子邮箱,即时通讯账户ID,家庭住址,可用以判断用户地理位置的移动或者其他设备的地理位置信息,等),健康状况,病史,基因信息,生物识别信息(指纹,脚印,血型,等),行为信息,包括个人活动信息,因使用移动计算机终端设备产生的浏览,搜索,交易,支付等信息。个人信息的概念比较中性,原来不是法律术语,2003年《居民身份证法》开始对警察泄露个人信息行为予以法律约束,2009年刑法修正案七规定非法提供、获取个人信息定为犯罪,此后,此概念成为法律用语,换言之,刑法先于民法对个人信息进行了保护。但目前还没有法律对个人信息的含义与范围作出规定或者限定,根据目前技术发展迅速的特点,个人信息的概念可能还会随着技术和商业发展有所变化。
目前正在从个人计算机为主的互联网走向移动互联网时代,隐私主要有:与性有关的行为或者其他信息,不宜公开的照片及音视频资料,财产、个人金融信息,生理情况,个人卫生和排泄等行为,不便公开的健康和疾病信息,等,在网络时代比较突出的网络隐私主要有:个人计算机终端设备产生、访问的敏感信息,用户通讯内容,用户的各类账户密码信息,等。
目前开始崭露头角的可穿戴设备,以及具备检测人体各项指标的手环,手表等各种设备,其对人体各种数据的采集即使个人信息也属于隐私。因而,如何确定个人信息的使用将平衡个人隐私保护与新技术给人类带来的福音。
三、中外个人信息与隐私的案例比较与分析
我国已经发生的个人信息泄露与滥用的案件很多都与隐私受到侵犯密切相关,比较典型的案例有“海运女”案件,“微博开房门”事件,“郭美美”事件,王菲诉张乐奕“北飞的候鸟”侵犯隐私案,等。美国发生过的有较大影响的个人信息案例包括2012年FTC调查谷歌隐私案,因safari浏览器隐私问题而对谷歌处以2250万美元的罚款。
在海运女案件中,法院判决搜索引擎因未履行《互联网信息服务管理办法》规定的监管责任,“百度公司在知道或应当知道网络用户利用其服务传播侵权内容的情况下,未采取合理的必要措施,应当承担责任”。本案判赔金额仅仅为2.2万元。在另外一个影响甚广的王菲诉张乐奕“北飞的候鸟”案件中,法院经公开召开研讨会,后判决侵权成立,赔偿人民币5000元。如果说后案因为存在道德上的争议,法院判决赔偿较低可以理解的话,前者的赔偿金额较低,就是我国目前常见的“赢了官司输了钱”现象的反映了。相比较而言,2001年DoubleClick公司就设立了首席隐私官职位,2007年该公司并入谷歌,2012年谷歌还是发生safari浏览器隐私问题罚款2250万美元。可见网络个人信息和隐私保护必须从长计议,不是简单某个措施就可以解决的。
四、个人信息保护的法律途径
刑法修正案七,非法获取个人信息罪,这是对于新兴网络现象刑法再一次走在民事立法之前,刑法率先对个人信息的贩卖等行为采取严厉刑事制裁措施。
2011年修订的《居民身份证法》第6条规定:“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息,应当予以保密。”第13条规定:“有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,应当予以保密。”第19条规定:“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,由公安机关处十日以上十五日以下拘留,并处五千元罚款,有违法所得的,没收违法所得”。
2012年底通过的《全国人大常委会关于加强网络信息保护的决定》,明确提出保护能够识别个人身份和涉及隐私的电子信息。2014年3月15日实施的《消费者权益保护法(修正案)》规定,个人信息依法得到保护,确立了工商行政机关可以对侵犯个人信息进行行政处罚的职能,确认了公民可以向法院起诉。但这两部法律都没有解决如何赔偿问题。因而,在法律实施到现在,还没有发生有影响力的个人信息方面的民事案件。日常生活经验表明,个人信息广泛被贩卖和滥用的情况没有取得明显的好转。仍需要思考如何从制度上确立预防和制止个人信息泄露与滥用的有效机制。
国外关于个人信息的保护,主要立法经验有:美国有《隐私权法》《电子通讯隐私法》等多部法律,主要是隐私保护,在美国隐私观念深入人心,用户有较强的隐私保护意识。欧盟以《个人数据保护指令》确立的个人数据保护模式,德国于1976年颁布《联邦资料保护法》,法国于1978年通过《法国自由、档案、信息法》,1984年英国制订《数据保护法》。根据笔者与来华的这些国家国籍的朋友交流情况来看,这些国家个人信息滥用远不如中国严重,笔者分析认为主要原因还在于较强的隐私意识文化传统及其成熟的法治,一旦侵犯个人隐私会承担较为严重的法律后果。
笔者认为,根据目前已经能看到的个人信息在移动互联网时代的广泛采集和应用,原有隐私权不能满足对个人信息应用和保护的需要,有必要在民法上创设个人信息权概念,是一种人身权(人格权)兼具财产权性质,类似知识产权的一种复合型民事权利。具体权能为:知情权(对采集、应用、存储、管理和销毁个人信息有知情了解的权利),处分权(允许采集、应用、存储、销毁个人信息),受益权(对个人信息的商业性使用获得收益的权利),不作为请求权(对不符合个人意愿的个人信息采集使用行为有拒绝、请求停止、消除的权利,此权能可以包含美欧目前已经被广泛讨论的“被遗忘权”)。隐私权的生活安宁权虽能涵盖一部分前述的权能内容,但个人信息可以许可他人使用,并从从获取经济收益,这些行为与传统的隐私权人格权特征有较大出入,因而单独确立个人信息权可以成立。
五、个人信息民事立法的基本制度构建
虽然我国已经在个人信息保护上进行了若干立法,但仍然存在明显的缺陷,即没有惩罚性的民事制裁措施,无法从制度上预防个人信息滥采滥用,也无法斩断个人信息的灰色利益链条。由于行政处罚需要证据,刑事处罚需要一定门槛,法律规定的行政惩罚措施和刑事打击在日常生活中罕见使用,因而在经济利益驱动下,几乎每个人在生活中都仍然难免经常性遭遇个人信息泄露与滥用的危害。借鉴博弈论的经济学理论,笔者建议在个人信息保护立法中建立以下基本民事制度,以引导企业遵守保护个人信息的法律规范:
首先是设立个人信息使用者和收益者对个人信息来源进行合法性审查的合理谨慎义务。即要求使用个人信息进行商业宣传或者其他推广的机构和个人应当对信息来源合法性进行合理谨慎的注意,为避免企业通过子公司或者第三方规避此义务,因而有必要加上受益人也负有此责任,包括广告主和实际受益人,不限于广告经营者或者直接发布者。只有建立了此制度,才能杜绝正规企业采购营销服务不审查个人信息的合法性,从而在客观上助长个人信息泄露与滥用的现象。同时,如果能够较好执行本制度,等于打击和消灭了非法采集和滥用个人信息的销售、变现渠道,使其失去违法的经济驱动力。
其次是建立递进式惩罚性赔偿制度。我国立法已经确立了企业对个人信息和隐私的保护义务,可以在此基础上扩展为企业对个人信息的安全保障义务。对于违反企业信息安全保障义务的,确立递进式惩罚性赔偿制度。我国侵权责任法已经有惩罚性赔偿制度的规定,但由于法院在确定赔偿时过于审慎,迄今为止没有看到有影响力的适用侵权责任法关于惩罚性赔偿的民事判决案件。消费者权益保护法自立法之初即确立了对欺诈的惩罚性赔偿制度,二十年来,通过典型案例的媒体报道,在社会上有广泛的影响,是我国民事法律中发挥了较好引导作用的法律规范。而且,我国的惩罚性赔偿限于欺诈或者主观恶意,消法修改后,欺诈的惩罚性赔偿额限于实际损失三倍以下,也规避了美国司法制度中赔偿过于庞大的负面作用。因而,在个人信息侵权行为的民事赔偿方面,有必要继承前述法律已经有的成果。鉴于个人信息侵权行为往往难以证明损害后果,如果法律不规定法定赔偿标准或者计算方法,由于我国法院坚持填平式赔偿原则,实际诉讼中赔偿将延续目前较低局面而不会具有威慑力,仍然无法改变在利益驱使下泄露滥用个人信息的局面。因而,比较现实可行的是建立递进式的惩罚性赔偿制度,即对于三次以上侵犯个人信息权,或者经行政处罚或者诉讼判决侵权成立,仍然拒不改正的,法律应设定较大的法定赔偿责任,或者在按照普通民事侵权三倍以下予以赔偿,或者经由消费者保护组织起诉的,可以设定较大额赔偿,由消费者组织在受害者中予以分配。只有违法行为人了解一旦实施违法行为其法律责任将超过其获得的收益时,才可能根本上扭转个人信息过度收集,随意泄露和普遍滥用的混乱局面。
第三是建立个人信息规范、合理使用的制度。在大数据应用前景极为广阔的今天,应该为企业大数据应用留下空间,引导企业规范使用,而不能因噎废食,因限制过严导致企业无法开展大数据应用,公众也无法享受网络技术发展带来的便捷与进步。因而,建议确立在满足下面三个条件的前提下,允许企业采集、应用、存储、管理并销毁个人信息:
1、经公示或者告知信息收集目的,收集、应用、存储和销毁规则,并且采取合理措施履行保护个人信息避免泄露和滥用;
2、不披露具体个人的信息,也不能根据数据应用的结果反向联系或者确定到具体个人;
3、不违反隐私保护的强制性规定。
个人信息的合理使用,是指为履行与用户所订立合同目的,或者为保护用户之合法权益,按照最低必要限度原则收集个人信息,并诚实信用使用个人信用使用个人信息,包括身份验证,通知联络,履行合同订立的先合同义务以及履行合同后的附随义务等。合理使用应当是非商业目的,并且不得违反法律的强制性规定。
第四、建立个人信息举证责任倒置。网络时代信息由企业收集,存储于企业的服务器,用户往往难以举证,因而,在个人信息收集、存储、管理、应用和销毁相关事实发生争议时,应由服务器所有人的企业进行举证,否则维权人将因为举证不能而无法获得保护。有必要说明的是,鉴于可能泄露信息的环节可能很多,为避免企业承担过重的举证责任以及被滥用,因而举证责任倒置应该是指企业提供存储的个人信息,以及举证证明自己按照法律和相关行业标准履行了个人信息保护的软件和硬件、管理等相关标准和要求,即履行了信息安全保障的法定合理谨慎义务。
六、立法要考虑国情和实际情况,应当参考国际立法经验,但不能照抄照搬
根据我国目前个人信息普遍存在随意收集,过度使用,普遍滥用的现状,我国的个人信息立法应当遵循“规范收集,约束使用,预防、制裁滥用”的原则。刑事打击虽然对遏制个人信息违法行为有一定作用,但只要不铲除个人信息获得利益的土壤和个人信息买卖滥用的黑色利益产业链条,就会永远有人由于受利益驱动而甘愿行政处罚甚至冒刑罚制裁的风险。客观来说,非法获取或者非法提供个人信息罪的法定刑期三年以下,在我国刑法体系中并不算重,按照我国司法机关较为重视有形财产损失的观念,这种对受害人造成骚扰而没有明显物质损害的犯罪,也难以提升处罚的力度,因而,刑事和行政处罚制裁的实效是有限的。就像刑法可以制裁犯罪,但社会治理却不能仅仅依照刑法。还是应该注重研究人性的客观规律,引导市场主体谨慎收集信息,规范使用,如果正规企业都约束了自己的采购信息服务的行为,这样个人信息采集和滥用失控的局面才会因为失去利益来源而逐步好转。
欢迎大家加入科技杂谈菁英汇,交流思想、分享信息。仅限行业商端人士参与。参与方式:点击左下方“阅读原文”填写您的加入信息,科技杂谈通过审核后,会添加入群。
本文仅代表作者观点,科技杂谈授权刊登。
转载必须注明作者与科技杂谈,侵权必究。
科技杂谈文章,均同步发布于犀牛财经网。
已入驻搜狐新闻客户端,网易阅读客户端。