大數(shù)據(jù)被稱為未來(lái)“新石油”。據(jù)統(tǒng)計(jì),截至2018年12月,我國(guó)網(wǎng)民規(guī)模8.29億,普及率達(dá)59.6%;網(wǎng)絡(luò)購(gòu)物用戶規(guī)模6.10億,年增長(zhǎng)率為14.4%。在大數(shù)據(jù)時(shí)代,如何實(shí)現(xiàn)網(wǎng)絡(luò)服務(wù)提供者收集共享數(shù)據(jù)和個(gè)人信息保護(hù)的平衡,是一個(gè)亟待認(rèn)真對(duì)待和解決的重要問(wèn)題。 一、法律規(guī)制現(xiàn)狀 構(gòu)建了多層次法律體系。自2000年以來(lái),我國(guó)各級(jí)國(guó)家機(jī)關(guān)陸續(xù)出臺(tái)制度,規(guī)范收集使用個(gè)人信息行為。一是從立法主體來(lái)看,涵蓋了全國(guó)人大及其常委會(huì)、國(guó)務(wù)院、工信部、國(guó)家質(zhì)檢總局、最高人民法院、最高人民檢察院等,包括法律、行政法規(guī)、部門(mén)規(guī)章和司法解釋等。二是從部門(mén)法律來(lái)看,從民事、刑事、行政等領(lǐng)域強(qiáng)調(diào)了網(wǎng)絡(luò)服務(wù)提供者義務(wù)。如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)安全法要求收集使用公民個(gè)人電子信息時(shí)遵循合法、正當(dāng)、必要原則,明示收集使用信息的目的、方式和范圍。民法總則第一百一十一條規(guī)定自然人的個(gè)人信息受法律保護(hù)。侵權(quán)責(zé)任法第三十六條提出網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)侵害他人民事權(quán)益的,應(yīng)承擔(dān)侵權(quán)責(zé)任。刑法修正案(五)和刑法修正案(七)分別增設(shè)了竊取、收買、非法提供信用卡信息罪,出售、非法提供公民個(gè)人信息罪、非法獲取公民個(gè)人信息罪。 強(qiáng)調(diào)知情同意!蛾P(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》首次強(qiáng)調(diào)了對(duì)個(gè)人信息的法律保護(hù),要求網(wǎng)絡(luò)服務(wù)提供者收集、使用個(gè)人信息應(yīng)征得被收集人同意。這在消費(fèi)者權(quán)益保護(hù)法、《征信業(yè)管理?xiàng)l例》和網(wǎng)絡(luò)安全法中得到了堅(jiān)持。在比較法上,經(jīng)濟(jì)合作與發(fā)展組織《金融消費(fèi)者保護(hù)的高級(jí)原則》(2011年)要求成員國(guó)建立機(jī)制確保消費(fèi)者個(gè)人隱私安全,承認(rèn)消費(fèi)者的知情權(quán)。歐盟2018年《通用數(shù)據(jù)保護(hù)條例》將數(shù)據(jù)主體同意基于一項(xiàng)或多項(xiàng)目的對(duì)其個(gè)人數(shù)據(jù)進(jìn)行處理作為合法性要件之一。 兼顧數(shù)據(jù)收集共享與個(gè)人信息保護(hù)。不少國(guó)家區(qū)分敏感和一般信息,禁止收集、處理和利用敏感信息,支持一般信息的合法流動(dòng)。我國(guó)《征信業(yè)管理?xiàng)l例》第十四條將宗教信仰、基因、指紋、血型、疾病和病史信息作為禁止收集的個(gè)人敏感信息。德國(guó)2002年《聯(lián)邦個(gè)人資料保護(hù)法》規(guī)定了種族血統(tǒng)、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員資格、健康或性生活等敏感信息。歐盟2016年《數(shù)據(jù)保護(hù)法規(guī)》列舉了種族、民族出身、政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)成員、基因等敏感信息。此外,歐盟2015年《金融服務(wù)監(jiān)管中的數(shù)據(jù)保護(hù)指引》強(qiáng)調(diào)數(shù)據(jù)保護(hù)規(guī)則旨在實(shí)現(xiàn)信息在歐盟內(nèi)部的自由流動(dòng),對(duì)個(gè)人權(quán)益進(jìn)行保護(hù)。歐盟《通用數(shù)據(jù)保護(hù)條例》建立了個(gè)人信息的風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)保護(hù)認(rèn)證(自愿將數(shù)據(jù)內(nèi)容進(jìn)行專業(yè)認(rèn)證以表明處理合法性)、信息安全保障(采取匿名化方式或數(shù)據(jù)最小化原則減少數(shù)據(jù)泄露風(fēng)險(xiǎn))。 二、我國(guó)數(shù)據(jù)共享與個(gè)人信息保護(hù)存在的問(wèn)題 立法的統(tǒng)籌性和明確性有待提升。一是個(gè)人信息保護(hù)法律規(guī)范較零散,缺乏專門(mén)立法統(tǒng)一引領(lǐng)。二是民法總則第一百一十一條將“個(gè)人信息”作為法益,并未上升為個(gè)人信息權(quán),造成了個(gè)人信息權(quán)利的歸屬、內(nèi)容、個(gè)人可否支配等困惑。三是相近概念未明確區(qū)分。如民法總則規(guī)定了個(gè)人信息和隱私權(quán),但兩者的區(qū)分卻未明確,影響了網(wǎng)絡(luò)服務(wù)提供者收集共享數(shù)據(jù)的效率和個(gè)人法律救濟(jì)。四是可穿戴設(shè)備、無(wú)人駕駛等數(shù)據(jù)共享新形式,在收集共享數(shù)據(jù)時(shí)難以及時(shí)征得個(gè)人同意,相關(guān)法律規(guī)范需予以明確。 法律規(guī)范可操作性有待加強(qiáng)。一是我國(guó)未從整體角度實(shí)現(xiàn)個(gè)人信息的類型劃分,未建立不同類型信息的差異化保護(hù)規(guī)則,容易增加收集共享成本。二是現(xiàn)行立法采取知情同意,由于個(gè)人較之網(wǎng)絡(luò)服務(wù)提供者屬于“弱者”,面對(duì)授權(quán)條款時(shí)只能“接受或離開(kāi)”,但立法對(duì)授權(quán)的具體方式、授權(quán)條款、授權(quán)范圍和授權(quán)例外等未做明確,易生糾紛。三是特殊群體法律規(guī)則缺乏?v觀個(gè)人信息泄露致害、電信詐騙等案例,未成年人和老年人對(duì)信息收集共享的判斷能力較弱,目前立法未建立特殊保護(hù)機(jī)制。 互聯(lián)網(wǎng)企業(yè)的內(nèi)部控制和風(fēng)險(xiǎn)管理機(jī)制有待加強(qiáng)。現(xiàn)階段互聯(lián)網(wǎng)技術(shù)缺陷、企業(yè)內(nèi)部管理疏忽導(dǎo)致的“監(jiān)守自盜”,是個(gè)人信息泄露的重要原因,互聯(lián)網(wǎng)企業(yè)的內(nèi)控和風(fēng)險(xiǎn)管理機(jī)制需完善。 三、大數(shù)據(jù)時(shí)代加強(qiáng)個(gè)人信息保護(hù)的建議 未來(lái)已來(lái)。在大數(shù)據(jù)時(shí)代,為強(qiáng)化優(yōu)化個(gè)人信息保護(hù),筆者提出如下建議: 制定統(tǒng)一規(guī)則。一是在評(píng)估各類現(xiàn)行規(guī)范及其效果基礎(chǔ)上,制定個(gè)人信息保護(hù)統(tǒng)一規(guī)則,統(tǒng)籌規(guī)范各類信息收集共享行為。二是將個(gè)人信息升格為法定權(quán)利,明確個(gè)人信息權(quán)的內(nèi)容,包括知情同意權(quán)、信息查閱權(quán)、信息安全維護(hù)權(quán)、信息更正權(quán)、信息刪除權(quán)等。三是明確信息收集共享基本原則,包括合法、合理、最小化使用和利益平衡原則。一方面,網(wǎng)絡(luò)服務(wù)提供者應(yīng)嚴(yán)格控制收集范圍,考量自身業(yè)務(wù)范圍、需求、是否屬于個(gè)人核心信息、是否已技術(shù)處理等因素,杜絕過(guò)度收集。另一方面,個(gè)人信息不應(yīng)由個(gè)人排他享有。個(gè)人數(shù)據(jù)作為網(wǎng)絡(luò)二進(jìn)制基礎(chǔ)上由0和1組成的比特形式,數(shù)據(jù)收集包含了網(wǎng)絡(luò)服務(wù)提供者的勞動(dòng),正是海量數(shù)據(jù)而非單個(gè)信息使其產(chǎn)生經(jīng)濟(jì)價(jià)值,個(gè)人亦是個(gè)人數(shù)據(jù)的受益者,應(yīng)鼓勵(lì)合法收集和共享。 建立差異化保護(hù)機(jī)制。一是在類型劃分方面,應(yīng)根據(jù)個(gè)人信息和隱私、人格尊嚴(yán)的關(guān)聯(lián)程度,區(qū)分敏感信息和非敏感信息,對(duì)于前者嚴(yán)格保護(hù),對(duì)于后者支持便捷利用。個(gè)人敏感信息主要包括身份證號(hào)碼、手機(jī)號(hào)碼、種族、政治觀點(diǎn)、宗教信仰、基因、指紋、性取向、性生活、銀行賬號(hào)密碼、財(cái)產(chǎn)情況、病史等。二是在合理注意義務(wù)方面,應(yīng)分析不同場(chǎng)景中的信息處理行為能否為當(dāng)事人合理預(yù)見(jiàn),建立敏感、非敏感信息與合理注意義務(wù)之間的對(duì)應(yīng)關(guān)系。對(duì)于敏感信息,個(gè)人對(duì)信息收集共享的容忍程度更低,網(wǎng)絡(luò)服務(wù)提供商則應(yīng)承擔(dān)更高注意義務(wù)。三是在信息主體方面,研究制定收集共享特殊主體信息的保護(hù)規(guī)則。未成年人對(duì)信息收集共享缺乏獨(dú)立判斷能力,老年人對(duì)大數(shù)據(jù)收集運(yùn)用場(chǎng)景缺乏足夠了解,兩類群體均易因信息泄露受騙致害。因此,建議收集共享未成年人所有信息均需經(jīng)其法定監(jiān)護(hù)人明示同意,收集共享70歲以上老年人敏感信息需經(jīng)老年人及其贍養(yǎng)義務(wù)人明示同意,且共享未成年人和老年人上述信息須采取匿名化或加密處理,降低信息泄露風(fēng)險(xiǎn)。 完善授權(quán)同意規(guī)則。一是授權(quán)方式。盡管不同立法例對(duì)授權(quán)同意為明示或默示同意不盡相同,筆者認(rèn)為,網(wǎng)絡(luò)服務(wù)提供者收集共享個(gè)人敏感信息時(shí)應(yīng)明示同意,彰顯信息保護(hù);收集共享個(gè)人非敏感信息時(shí)可采取默示同意,突出數(shù)據(jù)共享便捷。二是授權(quán)條款。應(yīng)規(guī)范授權(quán)條款,如通過(guò)字體變化或字號(hào)加粗提示關(guān)注、行業(yè)組織提供條款模板,要求起草者充分解釋等。三是授權(quán)范圍。個(gè)人信息的收集共享均應(yīng)得到授權(quán),授權(quán)范圍的表述應(yīng)明確易懂。四是授權(quán)例外。基于國(guó)家利益、社會(huì)公共利益和個(gè)人緊急情況(如出行平臺(tái)駕乘人員出現(xiàn)生命安全隱患時(shí)提供相關(guān)個(gè)人信息),明確無(wú)需個(gè)人同意即可收集信息的情形。 研究采取配套措施。一是加強(qiáng)企業(yè)內(nèi)部控制和風(fēng)險(xiǎn)管理,細(xì)化信息收集共享風(fēng)險(xiǎn)評(píng)估,強(qiáng)化內(nèi)部人員管理,完善數(shù)據(jù)加密和匿名化等網(wǎng)絡(luò)安全技術(shù)。二是完善集團(tuán)公司與下屬子公司、子公司之間的信息共享機(jī)制,網(wǎng)絡(luò)服務(wù)提供者應(yīng)在授權(quán)同意環(huán)節(jié)明確信息共享的情形與范圍,并采取技術(shù)保護(hù)措施。三是開(kāi)發(fā)個(gè)人信息安全保險(xiǎn)產(chǎn)品,由保險(xiǎn)公司分擔(dān)個(gè)人信息泄露所致財(cái)產(chǎn)損失,支持互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展。四是加強(qiáng)培訓(xùn)教育,增強(qiáng)個(gè)人及相關(guān)從業(yè)人員的信息安全意識(shí)。 (作者單位:人民法院新聞傳媒總社) |
|
|