相关热词搜索:
个人数据保护若干问题的反思策略分析6500字
个人数据保护若干问题的反思策略分析6500字 1 引言 信息技术的飞速发展正持续而深刻地改变着人类的存在方式。在人们尚不知 云计算为何物时,大数据就已迫不及待地浸入了人们的生活;在人们刚享受到信 息技术带来的便利之时,“棱镜门”事件一下子就将人们吓了一身冷汗:信息技 术的发展给我们带来的不止是愉悦体验,更有着莫测的风险。李国杰院士领衔的 “战略性新兴产业培育与发展之信息技术领域”课题组表示,个人产生的数据占 到大数据总量的75%,如何应对大数据时代中的个人数据保护,业已成为当前一 个亟待解决的难题。
2 立法现状 在中国,涉及个人数据保护的法律、规有70余部,地方性立法200余部。如 2009 年 2 月公布的《修正案(七)》规定了严重侵犯个人信息的刑事责任,首 次将刑事责任引入个人人信息保护领域。工信部 2011 年 12 月发布了《规范互 联网信息服务市场秩序若干规定》(以下简称《若干规定》),首次对电信和互 联网用户“个人信息”作了描述,并规定了互联网信息服务提供者收集、使用个 人信息的基本规则及违反规定收集和使用个人信息的法律责任。在工信部《若干 规定》之前发布的《互联网电子邮件服务管理办法》、《电信服务规范》等立法 亦曾涉及个人信息保护,但《若干规定》是第一次有针对性地对公民信息的保护 作出法律规定,在加强公民个人信息保护的制度建设方面具有标志性意义。
2012年12月全国人大常委会发布的《关于加强网络信息保护的决定》(以下 简称《人大决定》)与2013年6月工信部通过的《电信和互联网用户个人信息保 护规定》均在一定程度上体现了当前信息保护国际立法的原则,如信息收集限制 原则、公开原则等。此外,、行政法、消费者权益保护法等法律部门及金融、等 行业规章中关于个人信息保护的规定亦是我国当前关于个人信息保护立法的组 成部分。就整体而言,我国个人数据保护立法凌乱分散,相关的理论研究和制度 安排滞后于现实的发展需求。3 个人数据保护立法中的主要问题 3.1 个人数据的定义 OECD在其1980年的《隐私与个人数据保护指导原则》及其2013年的修订版中, 将个人数据定义为“与一个身份已被识别或可被识别的自然人相关的任何信息”, 欧盟与OECD采用了相同的定义方式。而美国由于没有统一的个人数据保护法,也 没有关于个人数据统一的法律定义,分部门的个人数据保护立法往往只对本部门 法调整的数据类型进行界定,其较为常用的是“个人识别信息”(Personally Identifying Informaion,PII),该概念相比欧盟1995指令中的“个人数据” 范围要小很多,那些没被纳入专门立法的保护范围的个人数据,并非一概被认为 不受保护,而更多地通过行业自律的方式得以保护。
2013年6月我国通过的《电信和互联网用户个人信息保护规定》第四条指出, 该规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供 服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账 号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的 时间、地点等信息。2012年12月,全国人大常委会《关于加强网络信息保护的决 定》(以下简称《人大决定》)第一条规定,国家保护能够识别公民个人身份和 涉及公民个人隐私的电子信息。上述两则法律关于个人信息的定义都在不同程度 上借鉴了OECD的思路。但仔细回味,上述关于个人数据概念的界定上,有几点需 要进一步探究。
(1)个人数据的最小单元。
能够“单独”识别个人身份的信息,其中的“单独”该如何理解,此间是否 涉及到一个关于信息的计算单元问题,也就是说,个人数据的最基本单元是什 么? (2)个人数据的权利内容与权利边界。
当前,个人数据保护中呈现了知情同意原则、目的限制原则等权能的弱化、 个人数据的保护管控的重点从数据收集向数控使用环节转移的趋向,我们在讨论 我国的个人数据权利的内容时,对这些现象应有足够的重视。此外,关于个人数据的内容认定,在当前新技术、新营销手段层出不穷的背景下,应该避免采取那 种非此即彼的判定方式,而应建立一套判断标准,针对具体情况作具体分析。
(3)个人数据与个人隐私的关系。
1)对于隐私一词的阐释,当前学界引用最为广泛的是张新宝教授的定义, 但是不可否认,对隐私及隐私权保护的相关法律制度,在未来相当长的时间内仍 将处于建构阶段。而我们当前面临的窘境恰是,要将个人数据这个未有准确定义 的概念与个人隐私这个同样不是很清晰的的概念作出区分。
具体而言,在个人数据与个人隐私的关系上,个人隐私不仅包括私生活秘密, 亦包括私生活安宁,因此,就概念所涵盖的面而言,个人隐私要大于个人数据。
但当二者均以数字化方式存在,个人隐私应是从属于个人信息的范围之内。概言 之,个人隐私与个人数据是有着广泛交集的,其二者间并非是重合或者从属性的 关系。
2)是否存在不涉及身份信息的个人隐私。全国人大常委会在其《关于加强 网络信息保护的决定》中,将个人信息分为能够识别个人身份的信息与涉及个人 隐私的信息,这种对个人信息的概念界定是否合理?具有私密性的个人信息,如 果不能与特定的主体发生关联,还可以称之为隐私吗? 3.2 个人数据权利的法律定位 经过两次世界大战洗礼,尤其是二战中纳粹集权主义对于人们自由及生命的 戕害,使得欧盟对涉及个人隐私及自由的个人数据极为看重。在欧盟个人数据保 护指令3的立法说明中,强调了个人数据保护立法对于守护和平、增进自由及促 进宪法意义上的民主等重大社会价值的积极意义。
《欧盟基本权利宪章》第八条就明确了个人数据权(The Right to the Protection of Personal Data Concerning Him or Her),赋予其宪法层面的 意义。而美国法上隐私权概念较为开放,普通法中所认为的肖像权、姓名权等都 被纳入到了隐私权之中,在对于个人信息和隐私的关系方面,美国法采取将个人 信息以隐私形式分别在金融、电信、消费者权益与儿童隐私保护等领域以分散立 法的形式加以保护。就中国的背景、制度环境而言,欧盟和美国的个人数据保护立法对中国的借鉴意义不大。
国内学者就个人数据的 法律定位一直争论纷纭,未能达成统一的意见,其中有几种比较有代表性的 观点。
杨立新教授认为,隐私权就是公民个人电子信息保护的权利基础。作为一个 具有较大弹性的具体人格权,隐私权有能力将公民个人电子信息的保护涵盖在其 内。
刘德良教授则认为,个人信息权应被视为信息财产权,其中包括两类:一类 是狭义的知识产权,即以独创性信息的商业价值为客体的权利;
另一类即是狭义 的信息财产权,即以非独创性信息的商业价值为客体的权利;
两者加起来就是广 义上的信息财产权。
王利明教授基于对个人信息的内容的界定,认为个人信息这一概念远远超出 了隐私权的范畴,应当将个人信息权单独规定,而非附属于隐私权之下。
个人数据具备人格权特质的同时也具有一定的财产价值,这些学界已基本认 同。问题在于是将其纳入到隐私权的范围内,还是与构建一个从属于人格权、与 隐私权并列的个人信息权,亦或是另辟蹊径,将其定位为一项独立的数据财产权。
当前我们对个人数据、个人隐私等基本概念都难有清晰的界定,且信息技术 的发展给人们生活方式带来的影响也一时难以作出准确的预判,更为重要的是, 人们在传统社会中所享有的各项权利的权能,如占有、控制、支配、利用等,在 网络空间已经被极大地稀释、分散,人们基于传统生活场景所抽象出的各类法律 概念及对相关的利益切分方式,在网络空间已经显得力不从心。过早对个人信息 权利的内容与性质作出判断,未必契合未来技术与社会发展的实际需要。
3.3 个人数据保护立法的价值导向 我国现有涉及个人信息保护立法中的突出问题在于立法价值取向侧重于,忽 视个人信息私权保护。
不论全国性的立法还是地方性的法规,均是如此。学界的一些个人信息保护 法建议稿亦采取了类似的进路。其多为基于行政管理的立场,从公法角度强调对个人的管控。如2012年的《人大决定》中规定用户接受信息服务时要提供真实的 身份信息,2013年工信部的《电信和互联网用户个人信息保护规定》中要求,一 旦用户个人信息发生或者可能发生泄露、毁损、丢失的,造成或者可能造成严重 后果的,服务提供者应当立即向电信管理机构而非信息主体报告。
个人数据保护的公法规制是为了个人信息保护法律体系中必不可少的一环, 但行政资源的有限及行政权力行使着自身可能出现的权力恣意,提醒我们不应忽 视个人信息的私权保护,构建个体对抗信息服务提供者及国家机关的权利机制将 是个人数据权利实现的根本所在。
3.4 个人数据立法的位阶 立法分散是当前我国个人数据保护相关法律的一个重要特点。究其原因,或 许就是在更高位阶法律的缺失的背景下,不同部门、地区对个人数据保护扮演“救 火队”的结果。根据我国当前的社会治理现状、行政管理模式及民众的信息权利 意识,在个人数据保护立法方面,我们可能需要更高位阶的国家层面的立法,其 意义在于以下几点。
首先,有利于对行政机关及其他公共服务提供者的制约。行政机关掌握及一 些公共服务机构掌握着当前最庞大、最精准的个人数据信息,目前这些数据部分 处于即将“唤醒”的状态,如目前国内“智慧城市”的建设中,将离不开对于公 众个人数据的挖掘使用,而金融业已经着手对自身客户数据的挖掘分析。而当前 的关于个人信息保护的相关规定,大多出自这些行政机关及行业服务提供者之手, 作为立法者,在其制定的规定中缺乏对自身的规制。而其恰恰是个人数据的做大 威胁者所在,正在发酵的“棱镜门”事件就是一个极好的例证。
其次,更高位阶的立法有利于既有法律的整合。当前,各部门立法、地方立 法均不同程度体现着立法者的利益诉求,通过更高位阶的立法或许能够实现对各 部门立法的规范与整合,给公众提供一个简洁、明晰的行为规范。
再次,更高位阶的立法是有利于个人数据权利的实现。一方面,基于历史与 文化传统,个人隐私、个人信息等概念在多数民众心目中还比较模糊,民众的信 息权利意识相对薄弱,更高位阶的立法一方面有利于加强的公众信息权利意识,对信息权利的侵害者也易形成震慑。另一方面,随着数据跨境流动的加强,个人 信息保护已经不少一个国内法的问题,通过国家层面的立法,更便于与国际规则 的协调、接轨。
最后,更高位阶的立法有利于促进产业的发展。当前学界的一个普遍共识 就是个人信息权利保护与产业发展要保持平衡。但是实际上,更高位阶的立法可 能会更有利于有实力的产业组织“走出去”,为相关产业发展提供信誉保证。反 之,如果我们的个人信息保护立法依旧处于较低的层级,那么有可能导致国内外 的商业组织将其自身的数据转储于域外保护标准更高的云服务商,不利于我们在 新一轮技术变革中把握先机。
3.5 个人数据保护的专门机构 设立专司个人数据保护的机构是当前的一个关注点。欧盟1995年指令要求其 成员国应建立专门机构专司个人信息保护法的实施监督,此举在我国香港地区也 有借鉴,国内学者的个人信息保护立法的建议稿中也对此作了介绍。但结合我国 的法治环境,我们很难真正建立像欧盟那样专门的独立监督机构。
当然,在个人数据保护的初级阶段,尤其是在我国当前个人数据保护立法令 出多门的背景下,我们可以尝试建立起一个个人数据保护的综合协调部门,其可 以面向用户、企业提供服务,并能代表国家参与相关事务的国际协调,但其性质、 定位可能与欧盟的独立且权限广泛的个人数据保护机构迥异。
4 个人数据商业化机制的构建 大数据时代,个人数据权不应再是被动的保护对象,我们有必要尝试构建有 效的商业机制,促进个人数据的生产与流通,在这种机制中,个人数据信息的分 类存储并根据不同经营者的需求有针对性地提供,个人可以有意识地充实完善自 身的数据库,充分发挥个人数据的经济价值与社会效用。
促进个人数据的数量增长与权益实现。在个人数据的构成来源中,既有对个 人自然状况的记录,亦有对人们生活、行为过程的描述,前者相对而言是个稳定 的常量,而后者则是一个可控的动态变量。一旦个人数据财产价值有了产生实现 的渠道,必将有力促进个人及社会的数据总量的增长,在大数据时代,这亦意味着社会财富总量的增长。
促进 t> 产业的发展。有效、精准的个人数据也是经营者梦寐以求的重要资源。在大 数据时代,数据之“大”,并非仅仅指数据的规模,亦指数据分析、挖掘等数据 加工过程的纷繁复杂,从粗糙杂乱的原始数据中提取自身所需要的信息耗费了经 营者的大量成本,在个人数据商业化机制的构建,经营者可以根据自身的需求, 有针对性地索取自身所需要的数据资源,减少数据加工过程的资源投入。
对于个人数据的商业化利用,已有域外商业组织进行了初步尝试并取得了些 许进展。欧盟2012年修订的个人数据保护指令中所确立的个人数据“被遗忘权” (Right to be Forgotten)、“可携权”(Right to Data Portability)也为 其个人数据商业化机制的构建奠定了法律基础。
[1] 李长喜.中国个人信息之立法保护.中国法律,2013年4月. [2] 张新宝.隐私权的法律保护.群众出版社,2004年5月. [3] Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data.(95/46/EC). [4] Charter of Fundamental Rights of the European Union.(2000/C 364/01). [5] 杨立新,陶盈.公民个人电子信息保护的法理基础.法律适用,2013年第 8 期. [6] 刘德良.信息财产化及其对传统民基本理论的挑战.http:
//www.iprcn.com/Rdjj_Show2.aspx?News_PI=329. [7] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为 中心.现代法学,2013年7月. [8] Thomas Heath.Web site helps people profit from information collected about them, (http:
//www.washingtonpost.com/business/economy/web-�¥site-�¥helps-�¥people-�¥ profit-�¥from-�¥information-�¥collected-�¥about-�¥them/2011/06/24/AGPgkRmH_story.html. 基金项目:
北京市自然科学基金面上项目(4132011):“基于多维证据的信任度评估 模型及应用研究”。
史三军(1980-),男,江苏淮安人,北京信息科技大学,法学硕士,讲师;
主要研究方向和关注领域:与信息安全法律、教育法制。
