摘要 : 1、大數據時代個人信息的商業利用和保護之間存在著悖論,法律應當始終追求商業價值實現、公共利益和個人隱私保護的平衡。2、技術和業務環境變遷帶來的數據觀、隱私觀和權利觀的改變,進而沖擊著相應的法律保護架構。大數據的應用使得身份化和去身份化之間形成雙向的可逆過程,個人信息利用和保護遭遇尷尬。3、法律就是環境。個人信息保護立法既有共性又有分歧,立法價值取向不同導致產業發展冰火兩重天。4、中國的個人信息保護立法不能因噎廢食,要在嚴格保護個人信息的前提下,為商業和技術上的創新留出空間。
說完個人信息保護的嚴峻形勢和大數據的商業價值,我們發現其實在大數據時代個人信息的商業利用和保護之間存在著悖論:大數據無論企業還是個人都無法拒絕,而個人信息保護又關切到每個人的利益。
這個悖論最終需要法律和商業實踐來解決。下面我們從法律的角度探討一下大數據時代的個人信息保護:如何實現商業價值、公共利益和個人隱私保護的平衡。
一、從觀念到現實的顛覆:信息技術產業革命沖擊下的個人信息保護制度
在個人信息保護方面,這場信息技術產業革命帶來的第一個改變,是技術和業務環境變遷帶來的數據觀、隱私觀和權利觀的改變。
人們對隱私權利的看法隨著時代變遷而不斷發生變化,相應的,個人信息和個人隱私法律保護架構也不斷受到沖擊。
比如云計算的應用使信息脫離了個人終端,信息被儲存到成本更低的地方——不是存儲在某一臺服務器上,而是分散式地存儲在不同的服務器上。這使得對個人信息的控制越來越難,對信息保護的監管自然也如此,甚至訴訟管轄地也變得模糊而難以確定。如果信息被分開儲存到不同地方,原告可以在何處起訴被告將成為一個復雜的問題。
再比如,社交網絡的普及化也使得人們的隱私觀產生變化。一方面,個人的隱私權利意識越來越強,越來越傾向于用法律等手段保護個人隱私;另一方面,又熱衷于在自己的社交網絡內、在各自認為合適的范圍里,主動傳播過去普遍被認為屬于個人隱私的信息。比如去哪里旅游了、今天吃了什么、做了什么、自己的感情生活、情緒波動等等,“秀恩愛”變成很多年輕人的日常功課。那么,人們的隱私觀是變得更開放了,還是更保守了呢?只能說人們的隱私觀不一樣了,變得越來越復雜。
又比如,移動互聯網的普及使得信息收集者可以隨時隨地采集用戶高度個人化的信息。與傳統PC終端不同,移動終端記載著許多個人化信息,對個人化信息的利用如何把握邊界?我認為邊界在于所使用的信息是否去個人化,消除個人化的身份信息就可避免觸及隱私權問題。
前面已經談到,在大數據時代身份化與非身份化的邊界已經變得并不明顯。數據挖掘、分析技術使數據被利用的可能性增加,數據匿名化、模糊化處理難度更高。數據識別個人的可能性明顯增強,通過大數據分析,去身份化的信息可被重新身份化。盡管抹掉了手機號碼信息,但通過規律性的行動軌跡,依然可以將信息與特定的個人進行匹配。因此,大數據的應用使得身份化和去身份化之間形成雙向的可逆過程。
美國一家運營商曾經公布了兩千多萬條Google搜索記錄,并作了去身份化的隱私處理。盡管如此,仍然經過記者的人工梳理,發現至少還有一半的記錄可以重新恢復身份信息。人工分析尚且如此,何況更大范圍的海量數據分析呢?
二、懸崖上的舞蹈:各國個人信息保護立法的最新進展
下面,從宏觀上談一下各國個人信息保護立法的最新進展。就全世界范圍來看,個人信息保護立法持續升溫。各國紛紛制定了相關法條,如歐盟的《關于1995年個人數據保護指令的改革建議》,美國的《消費者隱私權法案(草案)》,韓國的《個人信息保護法》、《位置信息保護法》,澳大利亞的《隱私法》和法國《云計算保護指南》等等。
針對云計算、移動應用商店等特定業務的個人信息保護規則也在逐步建立。在云計算方面,個人信息保護和數據安全納入云計算服務標準、信息境外儲存的披露義務、云計算終止前的通知義務和用戶的信息處理權也逐漸為各國立法所采納。在移動互聯網方面,各國立法也在逐步采取保障用戶知情權的,明確針對用戶位置信息、通訊信息等隱私信息的收集、使用規則。美國還為兒童等特殊敏感群體采取特別保護手段,采取更嚴格的保護標準。
棱鏡事件后,數據跨境移動規則的制定和執行受到普遍重視。很多國家規定,只有當信息接收國的保護標準和水平與本國一致時,信息才能夠跨境轉移到接收國。由此,信息保護認證等國際間的協作也越來越重要。有些國家甚至干脆部分或全部禁止了數據跨境移動。
三、誰能給出準確的答案:個人信息保護立法中的共性問題
概括來看,各國現行個人信息保護立法對幾個共性法律問題的規定不盡相同,因而在信息保護和產業發展上也產生了不同影響。
第一,在個人信息的邊界問題上,不同法域對個人信息保護的立法態度不一。美國采取的是動態保護標準,對部分個人信息利用行為采取豁免,如所利用的信息數量少于五千條、所利用的信息不具備識別性等。與美國相比,歐盟的保護標準更為嚴格,只要信息可能被識別為個人信息,就不能以商業為目的使用。中國個人信息保護立法采取的是可以識別或可以組合識別標準,但沒有提供具體的認定細則。
科學的個人信息保護標準應該是動態的、有彈性的。美國在立法中明確規定個人信息利用的豁免情節并不多,較為激進的法律政策取向可以最大范圍激發創新,這也是美國信息經濟領先全球的原因之一。
第二,個人信息保護法的規范主體面臨調整。各國的信息保護立法大多源于1980年代OECD(經濟合作與發展組織)信息保護指南。該指南主要規范的是企業和政府在個人信息保護上的行為。但現在,個人在數據產生與傳播中發揮更大作用,越來越多的個人隱私傳播來源于朋友圈的截圖、轉發。個人不僅是數據保護的主體,同時向數據控制者的身份轉化。因此,個人信息保護立法中的保護主體需要調整。
歐盟現有立法將規范主體分為“數據控制者”和“數據處理者”兩類。實際上兩者的責任已經很難區分,而且這兩類主體也難以覆蓋實踐中與個人信息保護行為。
目前,全國人大決定采用組織和個人的兩分法來定義規范主體。個人不僅是保護主體,也是規范主體。這顯然是一種進步,但決定并沒有區分組織和個人兩類主體保護義務上的區別,實踐中還不能完全適應保護的需要。工信部《電信和互聯網用戶個人信息保護規定》的規范主體主要是電信和互聯網企業,這是由工信部作為行業管理部門的職能定位限制所決定的。
第三,是個人信息被遺忘權的問題。被遺忘權是指用戶有權要求服務商刪除用戶在服務平臺上的部分或全部行為記錄。這些記錄歸屬于用戶,用戶享有支配權、修改權。
目前,國際上對被遺忘權的定性和保護范圍還存在一定的爭議。個人信息如何定性?被遺忘權的法律性質是相對權還是絕對權?信息生產者是誰?這都是亟需解決的問題。
我傾向于認為個人信息是一種絕對權,是人身權利的一部分,具屬人性。個人信息也具有財產性,能夠產生經濟價值;但與一般的物不同,它不具有物的稀缺性,可以在不減損的情況下實現無限復制。轉讓人在將信息傳遞給受讓人后,轉讓人并不失去信息的控制權。
對個人信息所有者的認定并非易事。信息的所有者究竟是信息指向的主體,還是信息的生產者?以一個用戶的購買行為而例,這個行為的信息生產者究竟是用戶還是服務企業?實踐中常常難以區分。如果認真復盤業務實現流程,會發現很多時候用戶只是信息的相關者,但信息的采集和生成卻由機器完成。如果按照“誰生產,誰所有”的標準,信息并不歸屬用戶所有,被遺忘權就缺乏存在基礎。
歐盟在2012年發布的《個人數據保護指令修正案》中肯定了被遺忘權,這是承認被遺忘權的首次立法嘗試。但至今,該法還沒有得到歐盟委員會批準。美國傾向于通過合同約定解決被遺忘權問題,對被遺忘權的保護并不一定需要通過絕對權法律框架實現,也可以通過合同的法律安排予以實現。
在中國,工信部《電信和互聯網用戶個人信息保護規定》規定電信和互聯網企業在用戶終止使用電信服務或者互聯網信息服務后,應當停止對用戶個人信息的收集和使用,并為用戶提供注銷號碼或者賬號的服務。但并沒有規定用戶使用服務中所產生的信息應當刪除或者用戶可以要求刪除,這是因為我國在網絡安全管理要求網站要對日志信息和相關內容需要在產生后保存六個月以上。這和被遺忘權存在一定的沖突。
第四,是信息的可攜帶權。用戶使用互聯網服務時產生大量信息,那么用戶不再使用這項服務轉而使用其他服務時,是否有權利要求服務商將信息從一個平臺遷移到另一個平臺,轉移給另一個服務商呢?這就出現了信息可攜帶權問題。
這一問題提出的契機,是基于信息對消費者的黏性。一個平臺上積累的信息足夠多時,可能影響到消費者對互聯網服務的自主選擇。因為這些信息是用戶割舍不掉的,即使不喜歡這個服務也只能繼續使用。它的法理基礎在于用戶是信息的所有者,理所當然應當具有支配權。
因此有學者指出,要尊重和保護消費者選擇權需允許消費者攜帶信息,不被信息牽絆。但目前,還沒有哪個國家以立法形式確認個人信息攜帶權,更多的是以政府倡議方式來倡導企業進行攜帶權保護的嘗試,變通開放企業的數據保護和管理制度。
反對者認為,消費者選擇權的問題是競爭法的范疇,可以通過競爭法中的不正當競爭、濫用市場支配地位等規則解決,不必要牽涉個人信息保護法的問題。
第五,個人信息保護的具體制度亟待完善,包括從設計著眼保護隱私(privacy by design, PbD)、數據泄露通知制度(data breach notification)、數據跨境移動規則、特殊群體信息保護四個方面。
前面已經提到工信部《電信和互聯網用戶個人信息保護規定》明確了互聯網企業對用戶信息的采集應當遵循合法、正當、必要的原則,但在實踐中很難得到落實。在采集信息前,服務者往往給用戶提供一份幾千上萬字的服務協議,其中包括了同意采集信息和信息保護的條款。但手機屏幕能顯示的內容是很有限的,這份協議要刷幾屏甚至十幾屏,實際上不會有幾個用戶認真閱讀,往往是翻屏過后就點選了“同意”按鈕。于是,服務商就看似“合法”地獲得了大量個人信息權益,包括服務所不必需的信息。
如果按照“從設計著眼保護隱私”的原則,企業在程序開發時,便避免程序自動采集不必要的客戶信息,同時隱私保護的協議表述應更簡潔有力,讓用戶一目了然便能真正自主、自愿地做出選擇。
這只是一個例子,對“從設計著眼保護隱私”原則的落實體現在產品和服務設計的每個細節,體現在產品和服務的規范和標準中。在現階段,我國直接出臺法律規定或許并不現實,但可以倡導行業組織自治和企業自律。
數據泄露通知制度則要求一旦大規模數據泄露事件發生,服務商要向政府部門和用戶報告。目前,我國的立法只要求企業向主管部門報告,沒有包括向用戶告知。
在數據跨境移動規則上,目前有觀點認為大數據不僅是財富,更是戰略資源,信息數據安全關系到經濟安全甚至國家安全,因此主張全面限制甚至禁止數據跨境移動。前一段時間公開征求意見的《反恐怖法草案》中規定“在中華人民共和國境內提供電信業務、互聯網服務的,應當將相關設備、境內用戶數據留存在中華人民共和國境內”。我認為這樣的論調和規定有些過于絕對化、矯枉過正了。
互聯網時代的經濟是開放的經濟,流動和開放性是信息的本質屬性。對數據跨境移動的規制,可以體現在關乎安全、關乎特殊群體保護的重要、敏感數據的跨境限制上,可以體現在對接收國信息保護水平的認證上,可以體現在對等原則的國際協作上,可以體現在必須經用戶同意的要求上,也可以體現在數據跨境移動規范、標準、協議文本的制定和行為引導上,但不應當表現為一竿子打死。否則,最終喪失的將是信息經濟的活力和機會。
針對特殊群體的敏感信息保護已經逐漸成為共識,分歧只在于特殊群體的范圍。兒童、殘疾人等弱勢群體的列入幾乎沒有爭議,美國等國家已經付諸實施。對同性戀、特殊癖好者等邊緣人群信息的特殊保護在個別國家也得到了提議。目前,我國還沒有形成完整的特殊群體敏感信息保護規則。
四、不得不做的小結:對中國個人信息保護立法的建議
最后再簡單闡述一下我對我國個人信息保護立法的建議。盡管這些建議都是大而不當的,它在立法和實踐中落實到的每一個具體文字和行為才對社會有著真正的實際意義,哪怕只是點點滴滴,但我相信其中貫穿的關于開放、創新、利用、有序、安全的一些基本價值取向還是有價值的。
在形式上,我國應該制定統一的個人信息保護法。目前,我國關于個人信息保護的規定僅有全國人大常委的一個決定和工信部的一個規章,其他相關規則散見于各種法律、行政法規、規章和規范性文件中,過于零散。更重要的是,規定在立法價值取向上從各自所屬的制度出發,存在頗多彼此沖突之處,應當加以協調。同時,還要妥善處理個人信息保護立法和網絡、信息安全管理等法規制度的關系。
要精確平衡個人信息保護、經濟學和發展之間的關系,尤其應當注意的是不能因噎廢食。要在嚴格保護個人信息的前提下,為商業和技術上的創新留出空間。
要逐步明確“個人信息”的邊界,為保護預留彈性空間。互聯網信息技術發展一日千里,與法律自身的穩定性存在巨大的沖突。因此立法技術上,預留彈性空間是個人信息保護法有效運作的關鍵。
在具體制度上,應當考慮逐步引入被遺忘權;鼓勵產業界逐漸賦予用戶數據的可攜權;區分敏感信息和費敏感信息,建立信息的分類保護制度;進一步完善數據泄露的通知制度,把用戶納入通知范圍;明確通過技術標準和安全保障措施,貫徹信息設計的保護機制;按照開放、有序、安全的原則,確立數據跨境移動的規則,加強國際之間的認證和協作,以開放的態度解決數據利用和安全問題。
花了那么長時間,跟大家描繪了包括大數據在內的信息技術產業革命“未知大于已知”的應用前景,也分析了它在個人信息保護上的負外部性。從法律角度提供克服這種負外部性的制度資源,是對移動互聯網時代法律體系的挑戰。世界各國都開始了各自的探索,面對共性問題選擇的處理方式有同有異。立法價值取向和具體制度的差異,影響著各國在這場信息技術產業革命中的前途命運。我國的個人信息保護立法應當首先順應產業革命的潮流,堅持開放、創新、利用、有序、安全的原則,在具體制度設計上精妙地平衡個人信息利用和保護的關系,在撲面而來的產業革命中恰當地保護個人隱私和合法權益。
謝謝大家!
京公網安備 11010502049343號