个人信息隐私保护的法律及技术双重角度思考
摘 要
在新型网络环境下,中国在个人信息隐私保护方面愈发重视,本文从法律和技术两方面介绍了相关情况,并通过案例简析及借鉴国外相关法律,提出在现有法律基础上健全个人信息隐私保护范围、判定依据、明确权利内涵等建议,并建议结合区块链和云计算取证等新兴技术为个人信息隐私保护提供技术支持。
关键词:隐私保护 网络实名制 技术与法律
背景介绍
中国互联网信息中心在2019年2月发布的第43次《中国互联网络发展状况统计报告》显示,截至2018年12月,中国网民规模达到8.29亿,全年新增网民5653万,互联网普及率达到59.6%,手机网民规模达到8.17亿,新增手机网民6433万,网民中手机使用比例达到98.6%。从数据中可知,中国已然是互联网大国,每天各类移动端APP、各类网络应用服务访问数量多不胜数,加之云计算、区块链、大数据等互联网新型技术的兴起和盛行,大数据物联网时代成为当下新型互联网时代的代名词。
处于新型互联网时代下的生活看似愈加便利快捷,但是百度CEO李彦宏在2018年3月26日的中国发展高层论坛中的一句话却引人深思,他说:“中国人对隐私问题的态度更开放,也相对来说没那么敏感。如果他们可以用隐私换取便利、安全或者效率。在很多情况下,他们就愿意这么做。当然我们也要遵循一些原则,如果这个数据能让用户受益,他们又愿意给我们用,我们就会去使用它的。我想这就是我们能做什么和不能做什么的基本标准。”新型互联网时代下,数据对于企业发展的重要性不言而喻,同样的,数据安全对于个人而言也尤为重要,尤其是涉及个人隐私等重要信息。每个人都希望社会生活更加便捷高效,但是并不意味着可以无条件牺牲个人信息,而应在有较好个人信息保障环境下,由个人自主选择提供个人信息的情景下,由互联网提供生活的便捷。
然而,当下中国的互联网环境,无论是法律体系制度、企业的自觉度、个人的保护意识,还是信息保护技术的发展,都尚未达到令人满意的程度,中国网络个人信息保护无论在法制还是技术上都任重道远。本文通过研究新型网络环境下的中国已有隐私保护法律现状及技术发展状况,对如何更好地实施个人信息隐私保护,从法律健全和技术支持两方面提出思考和建议。
法律层面的分析及建议
关于个人信息保护,不同行业机构都存在零散的规定条款[5][6],而在全国范围实行的法律条文有主要如下:
*《电信和互联网用户个人信息保护规定》的第四条和第九条,列举了在电信和互联网服务提供中对个人信息的定义和保护规定;
*《网络安全法》中四十四条、四十五条和七十六条,对收集个人信息的合法性和保护规定进行明确;
*《民法总则》第一百一十条和第一百一十一条,规定了隐私权以及个人信息受法律保护;
*《侵权责任法》第二条,明确规定隐私权是公民的基本权利;
*《关于加强网络信息保护的决定》第一条,指出公民个人信息受国家和法律保护。
总体而言,我国法律体系中尽管有涉及个人信息保护的相关规定,但是没有针对个人信息保护的专门法律及相应实施细则。在个人信息保护法律体系还未健全的情况下,国家互联网应急响应中心在2019年4月发布《2018年我国互联网网络安全态势综述》显示,个人用户信息包括姓名、身份证、个人资产、银行账户、地址等隐私遭到窃取的人数多达150万,移动应用APP在高权限下获取用户信息,假冒 “热点”APP等诱骗用户下载并提供个人信息等,都使得用户隐私信息遭到泄露。2018年圆通快递公司外泄约10亿用户信息,华住酒店集团泄露约5亿用户信息,万豪酒店泄露约5亿用户信息,顺丰速运泄露约3亿用户信息,这些只是影响较大而被披露才为人所知,实际上被泄露的个人用户信息可能还有更多。而作为用户个人,并不知道自己的信息何时被收集、何时被用于何事,除企业机构未能较好地保障用户信息原因外,无明确的可落地的实施细则也是重要因素。
此外,互联网环境本身是一个匿名化网络环境,尽管不像暗网、深网等对网络内容实施高度匿名化,但是也并非真实世界环境,由此也引发了如网络暴力、虚假消息传播、不良信息传播等负面影响事件。对此,国家通过网络实名制的方式,希望改善网络环境并为更有力的监管提供条件[1]。
面对当下的网络环境因素,个人信息与隐私是否已经具备良好的保障机制?当前的法律体系对个人信息保护还需要哪方面的完善和细化?在新型网络环境下大数据的应用是否也能由新型技术进行保护数据的隐私属性不被利用?实施全面网络实名制是否可行?面对多种多样的新技术应用场景如何保障个人信息的安全性?这些疑问或许在很多人心中都存在,但如何消除疑问,如何解决困惑,是摆在立法执法部门面前亟待应对和解决的问题。
国外在个人信息保护立法方面,或多或少走在了中国前面,不少国家或组织已发布了相关法律和条例[3][4],例如《个人信息保护法》、《通用数据保护条例》、《个人数据法案》、《消费者隐私权利保护法案》等,为个人信息保护提供法理依据。
直接照搬国外的个人信息保护法律条例显然不适用于中国特色社会主义环境,中国并没有像美国一样的自身重视个人隐私的历史文化和像德国一样的法制土壤[12]。但我认为,对于西方的隐私保护法律中对个人信息和隐私的保护范围、判定依据、新型权利等条文,中国是可以借鉴的。例如,个人信息需要保护的属性包含哪些?其个体性和公共性是否应该规定限制的范围,还是依据不同情景进行动态平衡其判定标准?被遗忘权是否应归属到个人信息保护的权利范围?这些是可以参考国外的法律法规,并依据中国自身的网络环境和个人信息保护情况,吸收并制定更为合适中国国情的法律条文。
而对于网络实名制[10][15][16],尽管中国已经出台相关政策法规逐步推行网络实名制,但对于完全网络实名制仍在观望。我认为网络实名制推行的初衷是好的,是为了促进网络环境更加健康,但是网络实名制需要考虑其推行程度,即权衡匿名化是否不能存在于未来网络之中。本人支持有限制的实名制的观点[14]。网络实名制也有其积极作用,但是网络匿名化并非一无是处。网络匿名化本身使得一部分人能够更为理性的发表言论而无需担心遭到恶意报复,这在人民监督政府工作以及举报不良行为上有着积极作用;而实名制对于利用匿名网络而随意发动网络暴力、散播不良信息的行为有着遏制作用。因此,建议在需要实名化监管的领域推行实名制,而对于容易泄露隐私信息的领域采取匿名化。当然,匿名化不意味着肆意而为,匿名表达也需要受到约束和限制[7],对于违反约束的匿名表达可以依靠技术手段进行控制。
技术层面的分析及建议
在法律制度难以监管的领域,可以通过技术进行弥补,从技术应用层面保护个人信息隐私。密码算法的更新迭代、取证技术的升级、匿名技术的衍变等技术应用都为隐私保护提供了技术保障,并为应对愈加复杂和潜在未知安全威胁的网络提供了对抗技术。
以网络实名制推行为例,韩国是世界首个全面推行网络实名制的国家,但是推行进程在四五年之后便惨遭终结[8]。一个主要原因便是实名制之后的保障技术还不够牢固,黑客攻击数据库并贩卖个人实名数据,致使实名制弊端凸显。同时,在大数据时代下,数据挖掘与关联分析技术得到应用,这无疑增加了隐私保护的困难程度。针对此类问题,学者们提出了多种匿名模型和算法,包括k-匿名规则、l-多样性模型、t-接近模型等基于数据发布的隐私保护技术,以及包括用户分类的隐私保护数据挖掘算法、基于安全多方计算与随机干扰结合的算法等针对数据挖掘的数据扰动隐私保护技术。
但是,数据隐私保护技术也存在着难点亟待突破,如全同态加密方案难以高性能实现具体应用、差分隐私保护算法的时间复杂度较高、大数据的爆发式增长带来的原有保护算法的扩展性问题等,这些既是中国隐私保护所要面对和攻克的技术难关,也是世界性的难题。
总结
基于以上论述,我个人认为,随着时代发展,个人自我隐私保护意识逐渐增强,隐私保护法等相关法律的出台呼声日益增长,更为细化的个人信息保护法规必将成为中国法律体系中的一员。而需要重点考虑的是:执法机构如何监查企业单位是否存在违法利用个人信息行为,对于个人的隐私采集知情权的维护应该如何具体化,对现有的隐私协议问题如何解决,用户面对冗长且带有法学专业术语的协议信息难以捕捉关键信息的问题如何应对,等等。
我建议,可以通过业界规定条文的试行,明确企业采集、使用、处理个人信息及涉及隐私的规范化流程;通过中和企业和个人用户之间对隐私信息的理解差异性,减少潜在的违法收集个人信息的擦边球行为;通过简化提炼隐私协议中的关键信息,让用户能直观清晰的了解与自身信息相关的采集与使用条款;同时,对人工智能带来的新产业模式(如无人驾驶中需要采集大量的真实信息数据,其中也会包括对乘车人的拍照等)等特定领域或新型领域相关的隐私保护,是否能在法律中留有空间并适应时代的发展调整,进而仍能对隐私保护提供法理依据。
面对固有隐私保护技术的瓶颈,或许去中心化思想的区块链技术能起到革新作用[18],通过区块链技术的防丢失、防篡改、可追溯、可扩展性强、成本低等特性,为隐私信息提供更为高效的保护技术方案未尝不可,同时结合云计算取证技术为预防信息的违法利用提供进一步技术保障[17]。
最终要实现个人信息与隐私的保护效果,我相信这是需要个人、企业、法律标准、技术支持等因素互相融合实现的,要做到事前知情同意、事中风险评估、事后个案认定,相信隐私保护在未来健全的法律保障和成熟的技术支持下,能够为每个人带来更加安稳、便捷的物联网生活。
参考文献
[1]李丽.秩序还是自由[J].法制与社会,2009.8,23:103-104
[2]陈兴蜀,杨露,罗永刚.大数据安全保护技术[J].工程科学与技术,2017.9,49(5):1-12
[3]徐琦.大数据时代美国隐私保护之困[N].Feature特写,2013,17:40-44
[4]张弘.大数据下个人信息保护研究[D].兰州:兰州大学法学院,2018
[5]齐爱民,张哲.识别与再识别:个人信息的概念界定与立法选择[J].重庆大学学报,2018,24(2):119-131
[6]韩旭至.个人信息概念的法教义学分析[J].重庆大学学报,2018,24(2):154-165
[7]杨福忠.公民网络匿名表达权之宪法保护——兼论网络实名制的正当性[J].法商研究,2012,5:32-39
[8]康美丽,曹凯.韩国网络实名制对我国网络管理的借鉴意义研究[J].情报杂志,2010,29:62-66
[9]肖岳.后网络安全时代个人隐私保护难题[N].特别报道,2018-02
[10]张欢,杨霖.身份映射关系:网络实名制的法理基础[J].山西高等学校社会科学学报,2009,21(4):97-104
[11]董习雯.完善无人驾驶汽车权益保护对策的分析[J].民商探索
[12]靳海婷.美、德个人信息宪法保护路径比较与启示[J].重庆邮电大学学报,2018,30(4):46-55
[13]王利明.人工智能时代对民法学的新挑战[J].东方学报,2018,3:4-9
[14]路鹃.网络匿名表达权在司法实践中的冲突与平衡[J].西南政法大学学报,2018,20(6):110-118
[15]陈远,邹晶.网络实名制——规范网络信息传播的必由之路[J].2009,1:66-69
[16]周永坤.网络实名制立法评析[J].暨南学报,2013,2:1-8
[17]李维奉,羌卫中,李伟明,邹德清.云环境隐私侵犯取证研究[J].网络与信息安全学报,2018,1(4):26-35
[18]周亮瑾.基于区块链和分布式数据库的铁路旅客隐私保护技术研究[D].北京:中国铁道科学研究院,2018
附录
国内法律条款中规定个人信息保护的条款:
1.《电信和互联网用户个人信息保护规定》
第四条“本规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。”
第九条“未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人信息。”
2.《网络安全法》
第四十四条“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”
第四十五条“依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
第七十六条“本法下列用语的含义:
(一)网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
(二)网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
(三)网络运营者,是指网络的所有者、管理者和网络服务提供者。
(四)网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
(五)个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
3.《民法总则》
第一百一十条“自然人享有生命权、身体权、健康权、姓名权、肖像权、名誉权、荣誉权、隐私权、婚姻自主权等权利。法人、非法人组织享有名称权、名誉权、荣誉权等权利。”
第一百一十一条“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”
4.《侵权责任法》
第二条“侵害民事权益,应当依照本法承担侵权责任。本法所称民事权益,包括生命权、健康权、姓名权、名誉权、荣誉权、肖像权、隐私权、婚姻自主权、监护权、所有权、用益物权、担保物权、著作权、专利权、商标专用权、发现权、股权、继承权等人身、财产权益。”
5.《关于加强网络信息保护的决定》
为了保护网络信息安全,保障公民、法人和其他组织的合法权益,维护国家安全和社会公共利益,特作如下决定:
一、国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。
任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。
中国保密协会
科学技术分会
长按扫码关注我们
作者:林鑫杰
责编:蔡北平
往期精彩文章TOP5回顾
近期精彩文章回顾