查看原文
其他

中伦观点 | 大数据应用与个人信息保护的平衡考虑

2016-10-20 陈际红 中伦视界

摘要:
发展大数据应用是中国的一项重要战略,信息技术的发展亦需要对个人信息进行适度的法律保护,在大数据应用和个人信息保护间找到恰当的平衡点对大数据产业的健康发展至关重要。本文梳理了中国关于个人信息保护的立法进展,并分析了欧盟和美国的立法模式,提出了关于个人信息立法的若干思考和建议。

关键词:
大数据,个人信息,隐私权,网络信息保护


国务院于二O一五年九月发布《国务院关于印发促进大数据发展行动纲要的通知》(“纲要”),《纲要》旨在推动大数据在政府和产业的广泛应用,同时亦指出我国大数据发展存在顶层设计和统筹规划、法律法规建设滞后等诸多问题。在大数据的法制建设中,个人信息保护应当是重要的一个环节,进一步讲,建立个人信息保护的完善法律体系,在大数据应用和个人信息保护间寻找恰当的平衡点,是大数据产业健康发展的关键。 
一、大数据应用的发展与个人信息保护需求间的日益紧张关系
“大数据”(Big Data) 最早由全球知名咨询公司麦肯锡提出, 麦肯锡认为:数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。 国际数据公司(IDC)归纳了大数据的四个特征,即海量的数据规模(Volume)、快速的数据流转和动态的数据体系(Velocity)、多样的数据类型(Variety)和巨大的数据价值(Value)。
大数据的特性决定,大数据应用的发展以数据的充分流动、获取和利用作为基础。 为了满足大数据流动性的要求,贵阳也于二O一五年四月在国内成立了首家大数据交易所,面向全国提供数据交易服务。
但是,作为信息技术发展的另一面,我国个人信息滥用问题也日益突出,个人信息的滥用主要表现在以下的几个方面:
第一种是个人信息的过度收集。
为保护个人信息之目的,“最少够用”在欧盟等国家或地区已经成为一项广泛接受的基本原则,该原则在我国的《个人信息保护指南》中也得到采纳。但是,作为信息收集方的商家或行政机关,在办理业务或行政过程中,收集和所办理事项无关的信息的情况仍然普遍存在。

第二种是擅自披露个人信息。
作为信息收集方,应当对所收集的信息采用保密措施,保证信息的安全,对外披露应当以信息主体的授权或同意为前提。 但是,国内的实际情况是,擅自披露个人信息的情况在行政机关、银行、学校等机构经常发生。

第三种是擅自提供个人信息。
个人信息的收集方在收集个人信息时应当对应特定的目的,该特定目的之外对信息的使用,比如向第三方提供个人信息,必须要得到信息主体的同意。经过调查发现,为了推广商业之目的,商家经常会在关联公司间交换个人信息数据库。

第四种是非法交易个人信息。
诸如快递员出售消费者信息、电信员工出售电信用户信息的案例时有报道。

第五种是个人信息收集方未尽到信息安全责任,致使个人信息泄露。
比如携程网因系统存技术漏洞,导致用户个人信息、银行卡信息等泄露的案例。
以上可以看出,大数据应用需要保持数据的充分流动性,而信息社会对个人信息保护提出了更高的需求,需要防止个人信息的滥用。在两者诉求间如何寻找适度的平衡点,对立法者提出了挑战。

二、我国个人信息保护的立法进程
谈个人信息的保护,应当从隐私权开始。隐私权作为一项人格权利,在西方国家历史悠久,只是由于信息技术的发展,引发信息传播方式的变革,使得隐私权在信息社会的保护凸显困难和重要。 而个人信息保护则是随着信息技术的发展而产生的概念。 依照张新宝教授《从隐私到个人信息之利益再衡量》一文的观点,个人隐私与个人信息呈交叉关系,即部分个人隐私属于个人信息,而部分个人隐私则不属于个人信息;有的个人信息特别是涉及个人私生活的敏感信息属于个人隐私,但也有一些个人信息因高度公开而不属于隐私。
国内对网络隐私权的广泛关注和讨论发端于“王菲诉张乐奕侵犯名誉权案”((2008)朝民初字第10930号)。此案被广大的网民称为“人肉搜索”第一案,之所以如此受到社会关注,概源于以下的原因:
(一)“人肉搜索”无约束的滥用,导致侵犯隐私权行为在网络上的泛滥;
(二)立法滞后,法律没有给公众、网络行政管理者和司法机构树立一个明确的隐私权保护规范;
(三)中国隐权保护传统缺失与信息社会对隐私权保护的强烈要求之矛盾日益突出。

坦率地讲,由于没有隐私权的历史传统,在此案之前,我国在此领域的立法也几乎是空白。在《民法通则》中,与隐私权最密切的权利规定是九十八条关于生命健康权、九十八条关于公民的姓名权、一百条关于肖像权和一百零一条关于名誉权的规定。《最高人民法院关于贯彻执行《民法通则》若干问题的意见(修改稿)》第160条规定,以书面、口头等形式宣扬他人的隐私,或者捏造事实公然丑化他人人格,以及用侮辱、诽谤等方式损害他人名誉,造成一定影响的,应当认定为侵害公民名誉权的行为。在这一意见中,很明显,最高人民法院把宣扬隐私视为侵害公民名誉权的行为。
显然上,隐私权与名誉权的外延与内涵都不尽一致。 司法解释在此问题上的不一致,恰恰反映了司法解释制定者的困境和矛盾:司法解释应当源于法律,因此,司法解释所提及的“隐私权”必须在法律上找到根基;同时,司法解释要呼应社会发展的需求,把隐私权保护单独和明确地体现到司法解释中。
而在法院的判决中,是对隐私权和名誉权作了明确区分的。判决认为,隐私一般是指仅与特定人的利益或者人身发生联系,且权利人不愿为他人所知晓的私人生活、私人信息、私人空间及个人生活安宁。而在法律适用上,法院依据《中华人民共和国民法通则》第一百零一条之规定作出判决,又把隐私权归入名誉权的范畴。
2009年制定的《刑法修正案(七)》,明确规定了 “出售、非法提供公民个人信息罪”和“购买、非法获取公民个人信息罪”。事实上,《刑法修正案(七)》对于打击严重的个人信息犯罪行为起到了很大的作用,有一些金融、电信等具有公共服务职能的单位的工作人员应此而获刑。
2009年12月颁布的《侵权责任法》第一次在法律中引入了隐私权的概念,虽然没有具体规定隐私权的内涵和外延,但把它作为一项公民基本权利规定出来。
2012年12月全国人大常委会表决通过《关于加强网络信息保护的决定》,从立法的层面上对能够识别公民身份和涉及公民个人隐私的电子信息进行保护,具有宣示性的意思。该决定规范了网络服务提供者和其他企事业单位使用、收集、保密、管理公民的电子信息的行为,并明确了公民有拒绝接收垃圾信息的权利,在侵权行为发生时,公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。
2014年6月最高人民法院发布《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,第十二条规定,网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。该条款用列举的方式试图框定个人隐私和其他个人信息的外延。
2015年8月全国人大常委会通过《刑法修正案(九)》,与《刑法修正案(七)》相比,对个人信息的保护进行了增强。 变化之一是犯罪主体身份一般化,《刑法修正案(九)》将个人信息保护的两罪名的犯罪主体扩大为一般主体及单位;变化之二是获取方式不限,对于通过履行职责或者提供服务以外的其他方式合法地获得公民个人信息后,又将该信息出售、非法提供给他人的行为,纳入到刑法的打击范围;变化之三是最高刑提高至七年,加大了处罚力度。
除以上的立法之外,工信部还依据《关于加强网络信息保护的决定》制定了《电信和互联网用户个人信息保护规定》的部门规章,规范电信和互联网领域的个人信息保护。 《个人信息保护指南》是我国首部个人信息保护国家标准,属国家标准“指导性技术文件”,对利用信息系统处理个人信息的活动起指导和规范作用,目的是提高企业个人信息保护技术水平,促进个人信息的合理利用。
从以上的梳理可以看出,对于个人信息的保护,我国缺乏系统性的立法,以碎片化立法为主。更为重要的是,关于个人信息权利的本质属性,其权利范围,以及和隐私权的关系,都没有明确的法律规定。司法过程中,亦不能获得统一的尺度。 比如北京百度网讯科技公司与朱烨隐私权纠纷案((2014)宁民终字第5028号)中,一审和二审法院就使用cookie软件收集的用户上网信息是否为个人信息,侵犯个人信息隐私是否仅限于将信息加以公开,使用cookie软件收集个人用户信息是否存在某种告知即可等问题观点明显不同,判决也在学界和业界引起巨大的争议。


三、个人信息保护的国际视野
总体来讲,关于个人信息保护的立法模式,有欧盟的统一立法模式和美国的分别立法模式。

(一)欧洲关于个人信息的保护
欧盟通过立法确定个人信息保护的各项基本原则和具体的法律规定。由于悠久的人格尊严至上的传统,欧盟各国普遍认为,人格权是法律赋予自然人的基本权利,个人信息体现了自然人的人格利益,应当采取相应的法律手段加以严格保护。
最能体现欧盟对个人信息保护司法态度的一个案例,是2011年发生在西班牙关于“被遗忘权”的案件。原告通过使用谷歌搜索发现,自己早年因财务窘迫被法院强制出售财产的新闻仍然在网络传播,遂将新闻原发网站的主办者《先锋报》和谷歌告上了法庭,案由是《先锋报》和搜索引擎侵害了原告的隐私权。法院最终以新闻自由认定《先锋报》不承担责任,而谷歌作为搜索引擎不能以新闻自由而豁免,为了保障公民的被遗忘权,谷歌应该承担删除责任。
经常引起互联网业界观察和思考的一个问题时,欧洲为什么没有世界级的大的互联网公司的产生,除其它原因之外,欧洲对信息技术和互联网不宽容的法律环境,或许不适合互联网公司的成长和生存。
作为基础性的个人信息保护法律,欧洲议会制定的《保护自动化处理个人数据公约》(Council of Europe: Convention For the Protection Of Individuals with Regard to Automatic Processing of Personal Data)对个人信息保护规定了八项原则:
第一,必须公平合法地取得供个人数据存储用的信息;
第二,只有为特定的、合法的目的,才能持有个人数据;
第三,使用或透露个人数据的方式不能与持有数据的目的相冲突;
第四,持有个人数据的目的本身,也必须中肯,不显得过分;
第五,个人数据必须准确;对于需要以最新材料存档的那些内容来说,还必须不陈旧、不过时;
第六,如果持有某些个人数据要达到的目的是有期限的,则持有时间不得超过该期限;
第七,任何个人均有权在支付了合理费用后,向数据持有人了解有关自己的信息是否被当作个人数据存储;
第八,必须采取安全措施,以防止个人数据未经许可而扩散、更改、透露或销毁。

(二)美国关于个人信息的保护
在立法的价值取向上,美国政府既希望个人信息得到有效保护,又不希望因过于严格和机械的立法切断信息的自由流动。可以说,美国较欧洲而言,更关注个人信息保护和信息自由流动的平衡。
美国于1974年通过的《隐私权法》,考虑到政府是个人信息收集和利用的最主要的参与主体之一,该法成为美国行政法中保护个人隐私的重要法律。《隐私权法》对政府机构收集、使用、公开个人信息和个人信息保密制定了详细的规范,明确“隐私权为联邦宪法所保障的基本人权”。 美国在一些比较敏感的领域,如儿童信息、医疗档案、金融数据等,采取分别立法的方式保护个人信息,如《消费者网上隐私法》、《儿童网上隐私保护法》和《电子通讯隐私法案》等。
在个人信息保护的实现路径上,美国更愿意鼓励采取政策性引导下的行业自律模式来实施,国会立法只起到补充和辅助作用。目前来看,行业自律方式主要包括建议性的行业指引、网络隐私认证计划、技术安全模式和安全港模式等。

四、立法建议与讨论

(一)关于立法的时机
目前我国关于个人信息保护的专门立法还处于专家建议稿的阶段,距通过立法似乎还有一段距离。但是,随着公民私权意思的增强,以及信息技术尤其是大数据应用的发展,个人信息的立法又显得具有迫切性。
一方面,个人信息的保护无章可循,商家对个人信息的收集和使用等没有明确的法律边界,造成个人信息滥用日益严重,更甚者,社会上形成了个人信息非法交易的链条。在这样的环境下,人人成为“透明人”,个人生活的私有空间经常被打扰, 非法获得的个人信息被用于诈骗等非法目的也屡见不鲜。从公众利益角度出发,有一部保护个人信息的法律,在个人信息被侵犯时,能得到法律的有效救济,才能使得个体在信息社会中获得安全感,不会对信息技术和大数据产生抗拒感。这也是大数据能够得以健康发展的社会基础。
 另一方面,对于大数据应用和产业而言,明确的法律边界也至关重要。 传统产业向互联网+的转型过程中,通过大数据的收集和分析能够实现精细化的市场定位和精准营销,有助于其竞争力的提高;对于大数据产业本身,其存在的前提条件就是能够持续获得作为“原材料”的流动性的大数据。但是,目前产业界普遍的困境是,在有限的、模糊的关于个人信息保护的法条下,如何构建合法的商业模式、控制法律风险显得非常困难。比如说,大数据公司经常会利用到个人信息“脱敏”的技术手段,也就是把个人信息中敏感的信息掩盖或删除,希望能否通过“脱敏”规避侵犯个人信息的法律风险。但是,关于“脱敏”的程度和标准及法律风险的判断,由于缺乏法律指引,也因公司而异。

(二)关于立法的若干考虑
首先,应当明确个人信息权利的私权性质,进而应当充分尊重交易双方在个人信息安排和处分中的意思自治。
信息技术的发展日新月异,针对个人信息的开发和利用也会多种多样,应当把个人信息如何利用的决定权交由权利人来决定。比如北京百度网讯科技公司与朱烨隐私权纠纷案((2014)宁民终字第5028号),暂不论其判决正误,单就Cookie技术的应用而言,本来就是“甲之甘露,乙之砒霜”。一部分人会觉得Cookie技术的使用为消费者带来了便利,能为其内容选择和电子商务提供个性化的指引;而对另一部分人而言,可能会觉得受到了冒犯,其更愿意把个人的上网历史作为私有信息对待,亦可以理解。尊重个体对个人信息权利的处分和对新技术的选择,便逐步会在个人信息保护和大数据利用的博弈中找到自然的平衡点。
明确个人信息权利的私权性质,另一方面而言,意味着不必要在法律中设置过多的强制性的规定,而应当以补充性规定的方式来弥补当事人未作出约定情形下的权利义务安排。比如我们常提到的欧盟的“特定和合法目的原则”,也就是说信息收集方只有为特定的、合法的目的,才能收集和持有个人信息数据。可以试想一种情形,消费者基于对商家的信赖关系,明确允许商家将其收集的个人信息用于未来的、不特定的产品和服务,即使不符合特定目原则,又何尝不可?
其次,对于特定领域的个人信息的保护,应当制定明确的法律规范,
比如医疗信息、儿童信息和电信及金融信息等的保护,这也是美国关于个人信息保护的立法思路。儿童和患者,及对于商家而言的消费者,是相对弱势的群体;金融信息和通讯信息,涉及用户的重大利益,也可能涉及国家的金融和信息安全。

第三,关于数据跨境传输和存储的考虑。
随着全球化的发展,个人信息的跨境传输和存储不可避免,互联网使得世界变成了地球村,而信息流动是地球村的中枢神经。国际化的另一个表现是跨国公司的广泛存在,跨国公司对信息的管理一般会采取集中数据库的管理方式,各子公司间会进行跨境的数据流动。因此,在立法过程中,一般情况下,应当允许数据的跨境流动性。 但是,数据的传输和存储又会涉及国家信息主权和信息安全等诸多问题,对特定信息进行特殊管理,要求信息的本地处理和存储又是国际上的惯例。  例如,对于个人金融信息,我国法律法规规定,在中国境内收集的个人金融信息的储存、处理和分析应当在中国境内进行。除法律法规及中国人民银行另有规定外,银行业金融机构不得向境外提供境内个人金融信息。
 在《网络安全法(草案)》中,引入了关键信息基础设施的概念,国家对关键信息基础设施实行重点保护。关键信息基础设施的运营者应当在中华人民共和国境内存储在运营中收集和产生的公民个人信息等重要数据;因业务需要,确需在境外存储或者向境外的组织或者个人提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。我们认为这种设定是适当的,兼顾了信息流动和国家信息安全的考虑。

作者简介:

陈际红 律师中伦律师事务所 合伙人 

业务领域:知识产权,反垄断与竞争法

作者往期文章推荐:
强化核心技术  提高专利水平》

《<互联网广告管理暂行办法>的实务解读》

《大数据应用与个人信息保护的平衡考虑(PPT版)》

投稿需知请在微信后台回复“投稿信箱”。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存