查看原文
其他

大数据时代的个人信息保护悖论与法律挑战(二)

2015-03-15 单磊 互联网金融法律评论

单磊,中国移动通信集团公司法律事务部综合制度处副经理。本文是作者于20141222日在上海交通大学凯原法学院举办的“大数据时代的互联网金融”研讨会上的发言,上海交通大学凯原法学院硕士生高振翔同学根据发言录音整理形成书面稿,后经作者审阅。作者在此特向高振翔同学表示感谢。

三、归根结底就是“平衡”:个人信息保护的法律问题和立法建议

说完个人信息保护的严峻形势和大数据的商业价值,我们发现其实在大数据时代个人信息的商业利用和保护之间存在着悖论:无论企业还是个人,都无法拒绝大数据,而个人信息保护又关切到每个人的利益。

这个悖论最终需要法律和商业实践来解决。下面我们从法律的角度探讨一下大数据时代的个人信息保护:如何实现商业价值、公共利益和个人隐私保护的平衡。

(一)从观念到现实的颠覆:信息技术产业革命冲击下的个人信息保护制度

在个人信息保护方面,这场信息技术产业革命带来的第一个改变,是技术和业务环境变迁带来的数据观、隐私观和权利观的改变。

人们对隐私权利的看法随着时代变迁而不断发生变化,相应地,个人信息和个人隐私法律保护架构也不断受到冲击。

比如,云计算的应用使信息脱离了个人终端,信息被储存到成本更低的地方——不是存储在某一台服务器上,而是分散式地存储在不同的服务器上。这使对个人信息的控制越来越难,对信息保护的监管也越来越难,甚至诉讼管辖地也变得模糊、难以确定。如果信息被分开储存到不同地方,原告在何处起诉被告,将成为一个复杂的问题。

又如,社交网络的普及化也使人们的隐私观产生变化。一方面,个人隐私权利的意识越来越强,越来越倾向于用法律等手段保护个人隐私;另一方面,又热衷于在自己的社交网络内与自己认为合适的范围里,主动传播过去普遍被认为属于个人隐私的信息。比如,去哪里旅游了、今天吃了什么、做了什么、自己的感情生活、情绪波动,等等,“秀恩爱”已经变成很多年轻人的日常功课。那么,人们的隐私观是变得更开放了,还是更保守了呢?只能说人们的隐私观不一样了,变得越来越复杂。

再如,移动互联网的普及使信息收集者可以随时随地采集用户高度个人化的信息。与传统PC终端不同,移动终端记载着许多个人化信息,对个人化信息的利用如何把握边界?我认为边界在于所使用的信息是否“去个人化”,消除个人化的身份信息就可避免触及隐私权问题。

前面已经谈到,在大数据时代“身份化”与“非身份化”的边界已经变得并不明显。数据挖掘、分析技术使数据被利用的可能性增加,数据匿名化、模糊化处理难度更高,数据识别个人的可能性明显增强,通过大数据分析,“去身份化”的信息可被重新“身份化”。尽管抹掉了手机号码信息,但通过规律性的行动轨迹,依然可以将信息与特定的个人进行匹配。因此,大数据的应用使得“身份化”和“去身份化”之间形成双向的可逆过程。

美国一家运营商曾经公布了2000多万条Google搜索记录,并作了“去身份化”的隐私处理。尽管如此,经过记者的人工梳理,仍然发现至少还有一半的记录可以重新恢复身份信息。人工分析尚且如此,何况更大范围的海量数据分析呢?

(二)悬崖上的舞蹈:各国个人信息保护立法的最新进展

从宏观上分析各国个人信息保护立法的最新进展。就全世界范围来看,个人信息保护立法持续升温。各国纷纷制定了相关法条,如欧盟《关于1995年个人数据保护指令的改革建议》,美国《消费者隐私权法案(草案)》,韩国《个人信息保护法》、《位置信息保护法》,澳大利亚《隐私法》和法国《云计算保护指南》,等等。

针对云计算、移动应用商店等特定业务的个人信息保护规则也在逐步建立。在云计算方面,个人信息保护和数据安全纳入云计算服务标准、信息境外储存的披露义务、云计算终止前的通知义务和用户的信息处理权也逐渐为各国立法所采纳。在移动互联网方面,各国立法也在逐步采取保障用户知情权,并明确针对用户位置信息、通信信息等隐私信息的收集和使用规则。美国还为儿童等特殊敏感群体采取特别保护手段,采取更严格的保护标准。

“棱镜”事件后,数据跨境移动规则的制定和执行受到普遍重视。很多国家规定,只有当信息接收国的保护标准和水平与本国一致时,信息才能够跨境转移到接收国,有些国家甚至干脆部分或全部禁止数据跨境移动。由此,信息保护认证等国际间的协作也越来越重要。

(三)谁能给出准确的答案:个人信息保护立法中的共性问题

概括来看,各国现行个人信息保护立法对几个共性法律问题的规定不尽相同,因而在信息保护和产业发展上也产生了不同影响。

第一,在个人信息的边界问题上,不同法域对个人信息保护的立法态度不一。美国采取的是动态保护标准,对部分个人信息利用行为采取豁免,如所利用的信息数量少于5000条、所利用的信息不具备识别性等。与美国相比,欧盟的保护标准更为严格,只要信息可能被识别为个人信息,就不能以商业为目的使用。中国个人信息保护立法采取的是可以识别或可以组合识别标准,但没有提供具体的认定细则。

科学的个人信息保护标准应该是动态的、有弹性的。美国在立法中明确规定个人信息利用的豁免情节并不多,较为激进的法律政策取向可以最大范围地激发创新,这也是美国信息经济领先全球的原因之一。

第二,个人信息保护法的规范主体面临调整。各国的信息保护立法大多源于20世纪80年代OECDOrganisation for Economic Co-operation and Development,经济合作与发展组织)的信息保护指南。该指南主要规范的是企业和政府在个人信息保护上的行为。但现在,个人在数据产生与传播中发挥更大作用,越来越多的个人隐私传播来源于朋友圈的截图、转发。个人不仅是数据保护的主体,也同时向数据控制者的身份转化。因此,个人信息保护立法中的保护主体需要调整。

欧盟现有立法将规范主体分为“数据控制者”和“数据处理者”两类。实际上两者的责任已经很难区分,而且这两类主体也难以覆盖实践中个人信息保护的行为。

目前,全国人大决定采用组织和个人的“两分法”来定义规范主体,个人不仅是保护主体,也是规范主体。这显然是一种进步,但决定并没有区分组织和个人两类主体保护义务上的区别,实践中还不能完全适应保护的需要。工信部《电信和互联网用户个人信息保护规定》的规范主体主要是电信和互联网企业,这是由工信部作为行业管理部门的职能定位限制所决定的。

第三,个人信息被遗忘权的问题。被遗忘权(right to be forgotten),又称数字遗忘权,是大数据时代的新型人格权。具体而言,被遗忘权是指用户有权要求服务商删除用户在服务平台上的部分或全部行为记录。这些记录归属于用户,用户享有支配权、修改权。有观点认为,被遗忘权是大数据时代用户核心权利。

目前,国际上对被遗忘权的定性和保护范围有一些立法尝试,如欧盟于2012125日发布《一般数据保护条例立法提案》(全称为《欧洲议会和理事会关于制定有关个人数据处理中个人数据保护和自由流动条例的立法提案》)。欧盟法院在2014年的“谷歌西班牙案”中支持被遗忘权。欧盟法院在判例中要求搜索引擎或网络服务提供者对一些历史网页中令人尴尬的图片或内容履行删除义务。英国在《1998年个人数据保护法》第14条规定,“如果满足以下条件,法院可判令数据控制者纠正、阻隔、删除、粉碎以下个人数据……这些数据对于数据主体是不明确的;数据控制者拥有的包含有在法院看来是基于那些不准确的个人数据表达的意见的数据”。

但是,总的来说还存在一定的争议。个人信息如何定性?被遗忘权的法律性质是相对权还是绝对权?信息生产者是谁?这都是亟须解决的问题。

我倾向于认为个人信息是一种绝对权,是人身权利的一部分,具有属人性。个人信息也具有财产性,能够产生经济价值;但与一般的物不同,它不具有物的稀缺性,可以在不减损的情况下实现无限复制。转让人在将信息传递给受让人后,转让人并不失去信息的控制权。

对个人信息所有者的认定并非易事。信息的所有者究竟是信息指向的主体,还是信息的生产者?以一个用户的购买行为而例,这个行为的信息生产者究竟是用户还是服务企业?实践中常常难以区分。如果认真复盘业务实现流程,会发现很多时候用户只是信息的相关者,但信息的采集和生成却由机器完成。如果按照“谁生产,谁所有”的标准,信息并不归属用户所有,被遗忘权就缺乏存在基础。

欧盟在2012年发布的《个人数据保护指令修正案》中肯定了被遗忘权,这是承认被遗忘权的首次立法尝试。但至今,该法还没有得到欧盟委员会批准。美国倾向于通过合同约定解决被遗忘权问题,对被遗忘权的保护并不一定需要通过绝对权法律框架实现,也可以通过合同的法律安排予以实现。

在中国,工信部《电信和互联网用户个人信息保护规定》规定电信和互联网企业在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。但并没有规定用户使用服务中所产生的信息应当删除或者用户可以要求删除,这是因为我国的网络安全管理要求网站要对日志信息和相关内容需要在产生后保存6个月以上。这和被遗忘权存在一定的冲突。

第四,信息的可携带权。用户使用互联网服务时产生大量信息,那么用户不再使用这项服务转而使用其他服务时,是否有权利要求服务商将信息从一个平台迁移到另一个平台,转移给另一个服务商呢?这就出现了信息的可携带权问题。

这一问题提出的契机,是基于信息对消费者的黏性。一个平台上积累的信息足够多时,可能影响到消费者对互联网服务的自主选择。因为这些信息是用户割舍不掉的,即使不喜欢这个服务也只能继续使用。它的法理基础在于用户是信息的所有者,理所当然应当具有支配权。

因此有学者指出,要尊重和保护消费者选择权需允许消费者携带信息,不被信息牵绊。但目前,还没有哪个国家以立法形式确认个人信息携带权,更多的是以政府倡议方式来倡导企业进行携带权保护的尝试,变通开放企业的数据保护和管理制度。

反对者认为,消费者选择权的问题是竞争法的范畴,可以通过竞争法中的不正当竞争、滥用市场支配地位等规则解决,不必要牵涉个人信息保护法的问题。

第五,个人信息保护的具体制度亟待完善,包括从设计着眼保护隐私(privacy by design)、数据泄露通知制度(data breach notification)、数据跨境移动规则、特殊群体信息保护四个方面。

前面已经提到工信部《电信和互联网用户个人信息保护规定》明确了互联网企业对用户信息的采集应当遵循合法、正当、必要的原则,但在实践中很难落实。在采集信息前,服务者往往给用户提供一份几千上万字的服务协议,其中包括了同意采集信息和信息保护的条款。但手机屏幕能显示的内容是很有限的,这份协议要刷几屏甚至十几屏,实际上不会有几个用户认真阅读,往往是翻屏过后就点选了“同意”按钮。于是,服务商就看似“合法”地获得了大量个人信息权益,包括服务所不必需的信息。

如果按照从设计着眼保护隐私的原则,企业在程序开发时,应该避免程序自动采集不必要的客户信息,隐私保护的协议表述应更简洁有力,让用户一目了然,这样才能让用户真正自主、自愿地做出选择。

这只是一个例子,对从设计着眼保护隐私原则的落实体现在产品和服务设计的每个细节,体现在产品和服务的规范和标准中。在现阶段,我国直接出台法律规定或许并不现实,但可以倡导行业组织自治和企业自律。

数据泄露通知制度则要求一旦大规模数据泄露事件发生,服务商要向政府部门和用户报告。目前,我国的立法只要求企业向主管部门报告,没有包括向用户告知。

在数据跨境移动规则上,目前有观点认为大数据不仅是财富,更是战略资源,信息数据安全关系到经济安全甚至国家安全,因此主张全面限制甚至禁止数据跨境移动。前一段时间公开征求意见的反恐怖法草案中规定“在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内”。我认为这样的论调和规定有些过于绝对化、矫枉过正了。

互联网时代的经济是开放的经济,流动和开放性是信息的本质属性。对数据跨境移动的规制,可以体现在关乎安全、特殊群体保护的重要、敏感数据的跨境限制上,可以体现在对接收国信息保护水平的认证上,可以体现在对等原则的国际协作上,可以体现在必须经用户同意的要求上,也可以体现在数据跨境移动规范、标准、协议文本的制定和行为引导上,但不应当表现为“一竿子打死”。否则,最终丧失的将是信息经济的活力和机会。

针对特殊群体的敏感信息保护已经逐渐成为共识,分歧只在于特殊群体的范围。儿童、残疾人等弱势群体的列入几乎没有争议,美国等国家已经付诸实施。对同性恋、特殊癖好者等边缘人群信息的特殊保护在个别国家也得到了提议。目前,我国还没有形成完整的特殊群体敏感信息保护规则。

(四)不得不做的小结:对中国个人信息保护立法的建议

最后,再简单阐述一下我对我国个人信息保护立法的建议。尽管这些建议都是大而不当的,它在立法和实践中落实到的每一个具体文字和行为才对社会有着真正的实际意义,哪怕只是点点滴滴,但我相信其中贯穿的关于开放、创新、利用、有序、安全的一些基本价值取向还是有价值的。

在形式上,我国应该制定统一的个人信息保护法。目前,我国关于个人信息保护的规定仅有全国人民代表大会常务委员会的一个决定和工信部的一个规章,其他相关规则散见于各种法律、行政法规、规章和规范性文件中,过于零散。更重要的是,规定在立法价值取向上从各自所属的制度出发,存在颇多冲突之处,应当加以协调。同时,还要妥善处理个人信息保护立法和网络、信息安全管理等法规制度的关系。

要精确平衡个人信息保护、经济学和发展之间的关系,尤其应当注意的是不能“因噎废食”。要在严格保护个人信息的前提下,为商业和技术上的创新留出空间。

要逐步明确个人信息的边界,为保护预留弹性空间。互联网信息技术发展一日千里,与法律自身的稳定性存在巨大的冲突。因此立法技术上,预留弹性空间是个人信息保护法有效运作的关键。

在具体制度上,应当考虑逐步引入被遗忘权;鼓励产业界逐渐赋予用户数据的可携权;区分敏感信息和费敏感信息,建立信息的分类保护制度;进一步完善数据泄露的通知制度,把用户纳入通知范围;明确通过技术标准和安全保障措施,贯彻信息设计的保护机制;按照开放、有序、安全的原则,确立数据跨境移动的规则,加强国际之间的认证和协作,以开放的态度解决数据利用和安全问题。

本文不仅自大家描绘了包括大数据在内的信息技术产业革命“未知大于已知”的应用前景,也分析了它在个人信息保护上的负外部性。从法律角度提供克服这种负外部性的制度资源,是对移动互联网时代法律体系的挑战。世界各国都开始了各自的探索,面对共性问题选择的处理方式有同有异。立法价值取向和具体制度的差异,影响着各国在这场信息技术产业革命中的前途命运。我国的个人信息保护立法应当首先顺应产业革命的潮流,坚持开放、创新、利用、有序、安全的原则,在具体制度设计上精妙地平衡个人信息利用和保护的关系,在扑面而来的产业革命中恰当地保护个人隐私和合法权益。

说明:

(1)本文在转载过程中删除了注释。本文全文下载地址为http://law.sjtu.edu.cn/Article150503.aspx

(2)本文著作权归作者所有,转载请与《互联网金融法律评论》编辑部联系,并注明出处;

(3)《互联网金融法律评论》电子刊物下载地址为http://law.sjtu.edu.cn/Detail17176.aspx

----------------

约稿启事:

得益于当下中国金融体系市场化发展态势的一日千里,以及网络科技大潮的来势迅猛,互联网金融近年来在中国异军突起。鉴于此,上海交通大学金融法律与政策研究中心决定于201412月起创办《互联网金融法律评论》(Journal of Internet Finance and Law)(以下简称《评论》),构建一个全新的观点交流平台,以此容纳来自不同领域关于互联网金融蓬勃发展过程中法律问题的真知灼见。上海交通大学凯原法学院教授、金融法律与政策研究中心执行主任许多奇担任《评论》主编,编辑部设于上海交通大学凯原法学院。

《评论》希望在社会各界的支持下,扮演互联网金融法律问题领域的观念引领者和冷静思考者的角色,在确保学术品质的前提下,尽最大可能为来自金融和法律实务界、一行三会及金融办等监管部门、公检法等司法部门以及学术共同体的广大读者提供最独到的信息和观点,且将每季度举行一场互联网金融与法律的专题论坛或研讨会。

《评论》为双月刊,主要以网络传播(http//www.financiallaw.sjtu.edu.cn/Pages/Article.aspx?lm=0107&pg=0)和内部交流的形式与读者分享,并选择部分优秀文章于年底公开结集出版。《评论》对所刊登的文章秉持言之有物、言简意赅的原则,不主张冗长赘述。所有稿件一经刊登,编辑部即支付润笔若干,并采取优稿优酬之原则。

《评论》拟设本期专论观点争鸣热点透视案例分析业界连线等栏目,热忱欢迎来自学术界、实务界、监管部门、司法部门以及其他各界对互联网金融法律问题感兴趣的人士来稿并参会。

来稿请以电子邮件的方式惠寄至jifl_sjtu@126.com。审稿周期为60天内;60天未收到修改意见或录稿通知,可自行处理。

投稿地址:上海市徐汇区华山路1954号法学院318,《互联网金融法律评论》编辑部;邮编:200030;电话:021-6293 2051


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存