法学前沿
Frontiers of Law
- 主办单位:未來中國國際出版集團有限公司
- ISSN:3079-7101(P)
- ISSN:3080-0684(O)
- 期刊分类:人文社科
- 出版周期:月刊
- 投稿量:0
- 浏览量:342
相关文章
暂无数据
大数据时代个人信息保护:问题剖析与路径探索
Personal Information Protection in the Era of Big Data: Problem Analysis and Effective Path Exploration
引言
近年来随着互联网大数据的迅速发展,人们生活更加便利快捷,网上购物、网上办理业务更是常态。大数据带给我们便利的同时,诈骗短信、骚扰电话、垃圾邮件等也随之而来,严重影响人们生产生活的安宁。我国虽已颁布《民法典》《个人信息保护法》等法律法规,但个人信息被泄露风险提高、处罚监管力不足及网络诈骗等问题并没有实质性改观。以“人脸识别”技术为例,其在便利推广的同时也加剧了信息泄露风险。为妥善审理利用人脸识别技术处理个人信息的民事案件,保护数据主体合法权益,促进数字经济的发展,最高人民法院在2021年颁布了《人脸识别司法解释》。该解释的出台有助于规范技术应用,但仍难以应对日益复杂的个人信息保护需求。如何更好地保护个人信息引起了众多学者思考,一些学者认为应在场景风险管理理念下对个人信息进行重构,也有学者认为应以“安全价值优先”为立法路径来对我国个人信息进行保护。本文旨在分析我国个人信息保护的立法与司法现状,借鉴域外经验,以期为我国个人信息保护提出切实可行的建议。
一、大数据时代下个人信息概述
(一)个人信息的相关基础概念
1. 个人信息的概念
关于“个人信息”这一概念,学界争议颇大,目前主要存在关联说、隐私说和识别说三种学说。识别说主张通过辨别具体个人身份信息来界定个人信息,该学说在学术研究与立法实践中均获得了广泛认同。我国也采用了该学说,规定个人信息以可识别为核心要素。
2. 个人信息与相关概念区分
第一,个人信息与隐私。个人信息和隐私之间有四个不同点:其一,特征不同—个人信息具有可辨识性,而隐私是不为人知的;其二,保护重点不同—个人信息保护强调信息自治权(自决权),隐私保护侧重人格尊严;其三,保护范畴不同—个人信息既包含非公开信息也包含公开信息,而隐私更关注非公开性;其四,载体不同—隐私对载体没有太多要求,而个人信息对载体的要求会随着时代变化有所改变。
此外,个人信息与隐私也存在竞合关系:个人信息在未公开之前可属于隐私,隐私在公开后也可能成为个人信息。《民法典》第1034条第3款对两者关系做出规定,即分开管理,私密信息和隐私等受到《民法典》保护,未规定的则由《个人信息保护法》保护。
个人信息与数据
个人信息与数据之间存在密切联系,我国《民法典》中对两者的区分作出规定。通常认为,数据是以信息为内容的信息表现形式。在大数据时代,数据具有虚拟性,是个人信息在网络空间中的载体。然而,可识别的个人信息在使用前应进行匿名处理,未匿名的数据仍归类为个人信息。数据可通过信息显名技术转化为个人信息,但数据控制者不得利用此类信息进行非法活动。个人信息的表现形式除了数据外,还可以是听觉、视觉等感官可感知的形式,而数据反映的内容则包括有价值和无价值的信息。
第三,个人信息与敏感个人信息
根据信息的敏感度不同,可将个人信息细分为敏感与一般两类。《个人信息保护法》第28条第1款对敏感个人信息作出定义。对两类信息的处理也分别规定:处理敏感个人信息侧重获得数据主体的明确同意,并要求处理者采取比一般信息更严格的保护措施;一般个人信息在符合法定情形下可在不取得同意的情况下处理,且相应的注意义务相对较低。
(二)大数据时代下侵犯个人信息的特点
1. 主体多元化
科技发展使各类服务(如送餐送菜等)依赖用户提供详细个人信息。信息的掌控者不再仅是政府,教育机构、医院、平台企业等都可能掌握公民的部分个人数据。
2. 行为的隐蔽性
许多App通过用户授权,在后台收集和分析用户行为,从而实现精准推送。例如,购物软件可能推送用户最近提及或浏览的商品,看似“懂你”,实则通过监听与数据分析实现。这类侵犯方式在日常生活中屡见不鲜,且随着技术进步越发隐蔽。
3. 后果的严重性
在利益驱动下,个人信息在收集、传输等环节易发生非法交易。由于倒卖个人信息的暴利远高于处罚金额,相关主体仍肆无忌惮地违规贩卖个人信息,从而造成严重后果。
二、大数据时代下个人信息保护的现状与问题
(一)大数据时代下个人信息保护的现状
1. 个人信息保护的立法现状
我国《宪法》未明确规定个人信息保护,但第38条关于“人格尊严不受侵犯”以及第40条“通信自由与秘密受法律保护”的条款,可视为个人信息受法律保护的依据,在一定程度上约束国家公权力对个人信息的侵害。
《民法典》中有关个人信息保护内容主要体现在总则和分则部分。例如,总则第111条明确指出,自然人的个人信息受到法律保护;人格权编第六章第1034条第2款对个人信息作了较为清晰的界定。在《民法典》出台之前,个人信息相关保护多为散见法规,未对隐私与个人信息进行清晰界定,因此在大数据背景下民法典的制定对保障个人信息安全至关重要。
2021年11月1日施行的《个人信息保护法》是针对个人信息保护的专门立法,借鉴国外经验并结合我国实际,明确主体权利、信息处理规则及处理者责任等,为大数据时代个人信息保护提供基本准则。
此外,自2011年以来相关部门发布了一系列实操性和覆盖面较广的规章和规范性文件,如工信部、网信办等在儿童个人信息保护、App违法违规收集使用用户个人信息认定等方面出台的具体规定。
2. 个人信息保护的司法现状
《个人信息保护法》实施三年来取得积极效果,但司法实践仍存在问题。首先,知情同意原则在司法实践中存在被异化现象。例如,2015年“中国Cookie第一案”中,法院将“默示同意”视为对“知悉”的认定,从而扩大了对知情同意的解释范围。这一倾向可能加剧知情同意在实践中的异化。虽然法律规定企业在收集个人信息时须遵守知情同意原则,但未明确未尽到义务应承担何种法律后果,缺乏足够威慑力,导致企业在实际收集中常未尽合理告知义务。
其次,随着法治意识提高,受害者在查找侵权人和证据收集方面的成本(人力、物力、财力)往往高于所得赔偿,导致多数受害者放弃通过法律途径维权,从而间接助长侵权行为。
(二)大数据时代下个人信息保护存在的问题
1. 侵权风险的增加
在网络化时代,人们的大部分社交活动依赖互联网服务,这些服务与个人姓名、银行账户等敏感信息紧密绑定。网络黑客、灰色产业的发展使得个人信息面临巨大威胁,依靠单一主体难以对抗。
2. 配套法规不健全
《个人信息保护法》第14条规定公司必须取得使用者的知情同意才能处理个人信息,但缺乏配套操作细则,导致实际运行效果不佳。平台常通过冗长难懂的条款完成告知流程,用户不阅读即同意,使隐私政策实质上成为单方面强制条款;此外,用户若不同意则无法使用产品,导致权利不对等,使知情同意原则形同虚设。软件频繁更新也使得反复获取同意在实践中难以推进。
3. 处罚监管力度不足
例如“大数据杀熟”现象普遍存在,尽管法律明令禁止,但由于处罚轻微、执法不力、监管不足等原因,法律规定难以发挥应有作用。
4. 公民个人信息保护意识淡薄
许多用户在享受互联网便利的同时忽视信息保护,例如随意扫码授权、参与小活动等,导致骚扰电话、网络诈骗等问题频发。面对信息泄露,举证困难和高昂维权成本使得大多数受害者选择沉默或放弃维权。
三、个人信息保护制度的域外借鉴
(一)国外个人信息保护
1. 德国的个人信息保护
作为欧盟成员国,德国的个人信息保护深受欧盟模式影响又具本国特色。德国自1970年巴登—符腾堡州出台世界首部《数据保护法》起便走在前列,1977年联邦层面颁布《联邦数据保护法》,多次修订后逐步确立以“知情同意”为核心原则的法律框架,强调信息自决权和对信息独立决定权的保护。
2. 美国的个人信息保护
美国采取分领域立法与行业自律相结合的模式。隐私保护通过联邦基本法律、联邦普通法及州立法三个层面构成。1974年《隐私权法》奠定联邦隐私保护基础;各专项法律和州法(如2018年加利福尼亚消费者隐私法案CCPA)在不同领域起到重要作用。美国行业自律侧重技术保护、网络隐私认证和建议性行业规范,强调个人信息自由流通与经济效益。
3. 欧盟的个人信息保护
欧盟采用统一立法模式,以GDPR为代表,该条例具有直接适用性、扩大了个人信息范畴并根据处理风险设定相应义务,实现了成员国间保护规则的一致性和平衡数据保护与经济发展的关系。
4. 日本的个人信息保护
日本采取融合式保护模式,既考虑本国实际又借鉴国际经验。2003年颁布《个人信息保护法》,并于2015年、2020年等多次修订,成立独立监管机构“个人信息保护委员会”,并对法律定期评估和完善,扩大域外适用范围以应对互联网挑战。
(二)对我国的借鉴及启示
我国《个人信息保护法》受欧盟统一立法影响,但在应对技术发展带来的挑战时仍显不足。可结合欧盟统一立法的系统性与美国行业自律的灵活性,结合我国国情灵活借鉴。另可参考日本设立专门监管机构的做法,避免监管职责分散、推诿问题。建议设立统一且专业的监管机构,并在其内部建立监督部门以防止内部无人监管现象。
四、大数据时代下个人信息保护制度的完善
(一)强化技术保护降低侵权风险
为应对侵权风险提高,应强化技术手段:
第一,国家和互联网企业应加大对数据安全关键技术研发的资金投入,以激励技术创新和研发。
第二,互联网从业人员应不断提高技术能力,持续更新安全系统(如防火墙、防病毒系统),采取IP登录限制、数据库算法编译、网络追踪等手段强化数据收集与存储安全。
第三,加强流程管理。对住宅地址、账户密码、行动路线、血型等敏感信息,应采取身份与密码双重验证后方可查看。
(二)完善个人信息保护配套法规
在大数据时代应进一步完善“知情同意”原则:
第一,可参考GDPR的“分级同意机制”,对严重影响个人权益的信息要求主体的“明确同意”及更高的通知和同意方法。
第二,承担个人信息保护统筹协调职责的国家网信部门应制定知情同意范本,实现规则化与一致化。一般知情同意书应说明收集与使用目的、方式、范围等并取得主体授权同意。
第三,可借鉴美国行业自律模式,由中国互联网协会等行业组织在法律框架内出台详细的告知同意适用准则。
第四,可引入经济激励措施作为告知同意的补充条款,以经济补偿换取主体同意范围外的信息,但需在内容上加以约束以防滥用。
第五,引入惩罚性赔偿,建立健全个人信息赔偿机制。为解决司法实践中维权成本高、赔偿低的问题,应在个人信息保护体系中纳入惩罚性赔偿制度。
(三)健全自律机制及监管机制
针对政府监管不到位及行业内部自律缺失问题,应从强化政府监管与加强行业自律两方面入手:
第一,可借鉴日本设立个人信息保护委员会的经验,设立统一专业监管机构,赋予其受理泄露事件、入内检查、劝告和紧急命令等权力,并协助各行业制定行业标准、监督执行、开展普法宣传教育。
第二,借鉴美国行业自律模式,由行业协会制定行业规范、提高行业准入门槛并对内部人员开展自律教育,同时加强对各行业的监督,鼓励提升对个人信息保护的重视。
(四)提高公民个人信息保护意识
个人信息保护不仅依赖法律、行业自律与技术,更需从公民角度提升意识:
第一,公民应提升风险意识:避免浏览可能钓鱼的网站,不随意输入个人信息,下载软件时认真阅读授权条款,快递去除包装个人信息后再丢弃,避免通过刷单等方式泄露信息。
第二,政府应加强普法宣传与教育:可在社区由司法所开展宣传,在中小学课程中增加个人信息保护内容,在高校开展系列普法教育,并利用互联网持续开展防电信诈骗宣传,及时传达最新诈骗手段。
第三,鼓励公民举报以强化社会监督效能:发现个人信息被泄露时,应保留聊天记录、邮件等证据并向相关部门举报;必要时申请网页公证或向工商行政部门举报,保存聊天记录、电话录音等可作为证据并及时报案。
五、结论
伴随技术进步,生活便利的同时个人信息面临更多侵害,个人信息保护关系到国家竞争力与网络社会健康发展,必须高度重视。尽管《民法典》《个人信息保护法》等的施行表明我国在该领域取得进步,但与国外相比仍存在挑战。本文分析发现大数据时代我国个人信息保护面临侵权风险增加、处罚监管不足、公众保护意识淡薄等问题。可借鉴美国行业自律、日本折中模式及欧盟统一立法经验,结合我国国情,通过加强自律与监管、完善法律法规、提升技术手段以及增强公众保护意识等措施,不断完善符合中国国情的个人信息保护体系。尽管目前仍有不足,但通过完善相关法规和细则,个人信息在未来可望得到切实保障。
参考文献:
- [1] 何渊. 个人信息保护法与日常生活[M]. 上海: 上海人民出版社, 2021.
- [2] 张璐. 个人网络活动踪迹信息保护研究——兼评中国Cookie隐私权纠纷第一案[J]. 河北法学, 2019, 37(05):133-148.
- [3] 刘金瑞. 德国联邦数据保护法2017年版译本及历次修改简介[J]. 中德法学论坛, 2017(02):339-338.
- [4] 江书晔. 个人信息保护中知情同意规则有效实施的路径选择[J]. 信息安全研究, 2023, 9(02):154-161.