大数据时代的个人信息保护
2019-05-17 15:57:23 | 来源:人民法院报 | 作者:刘曼
大数据被称为未来“新石油”。据统计,截至2018年12月,我国网民规模8.29亿,普及率达59.6%;网络购物用户规模6.10亿,年增长率为14.4%。在大数据时代,如何实现网络服务提供者收集共享数据和个人信息保护的平衡,是一个亟待认真对待和解决的重要问题。
一、法律规制现状
构建了多层次法律体系。自2000年以来,我国各级国家机关陆续出台制度,规范收集使用个人信息行为。一是从立法主体来看,涵盖了全国人大及其常委会、国务院、工信部、国家质检总局、最高人民法院、最高人民检察院等,包括法律、行政法规、部门规章和司法解释等。二是从部门法律来看,从民事、刑事、行政等领域强调了网络服务提供者义务。如《关于加强网络信息保护的决定》、消费者权益保护法、网络安全法要求收集使用公民个人电子信息时遵循合法、正当、必要原则,明示收集使用信息的目的、方式和范围。民法总则第一百一十一条规定自然人的个人信息受法律保护。侵权责任法第三十六条提出网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任。刑法修正案(五)和刑法修正案(七)分别增设了窃取、收买、非法提供信用卡信息罪,出售、非法提供公民个人信息罪、非法获取公民个人信息罪。
强调知情同意。《关于加强网络信息保护的决定》首次强调了对个人信息的法律保护,要求网络服务提供者收集、使用个人信息应征得被收集人同意。这在消费者权益保护法、《征信业管理条例》和网络安全法中得到了坚持。在比较法上,经济合作与发展组织《金融消费者保护的高级原则》(2011年)要求成员国建立机制确保消费者个人隐私安全,承认消费者的知情权。欧盟2018年《通用数据保护条例》将数据主体同意基于一项或多项目的对其个人数据进行处理作为合法性要件之一。
兼顾数据收集共享与个人信息保护。不少国家区分敏感和一般信息,禁止收集、处理和利用敏感信息,支持一般信息的合法流动。我国《征信业管理条例》第十四条将宗教信仰、基因、指纹、血型、疾病和病史信息作为禁止收集的个人敏感信息。德国2002年《联邦个人资料保护法》规定了种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康或性生活等敏感信息。欧盟2016年《数据保护法规》列举了种族、民族出身、政治观点、宗教或哲学信仰、工会成员、基因等敏感信息。此外,欧盟2015年《金融服务监管中的数据保护指引》强调数据保护规则旨在实现信息在欧盟内部的自由流动,对个人权益进行保护。欧盟《通用数据保护条例》建立了个人信息的风险评估、数据保护认证(自愿将数据内容进行专业认证以表明处理合法性)、信息安全保障(采取匿名化方式或数据最小化原则减少数据泄露风险)。
二、我国数据共享与个人信息保护存在的问题
立法的统筹性和明确性有待提升。一是个人信息保护法律规范较零散,缺乏专门立法统一引领。二是民法总则第一百一十一条将“个人信息”作为法益,并未上升为个人信息权,造成了个人信息权利的归属、内容、个人可否支配等困惑。三是相近概念未明确区分。如民法总则规定了个人信息和隐私权,但两者的区分却未明确,影响了网络服务提供者收集共享数据的效率和个人法律救济。四是可穿戴设备、无人驾驶等数据共享新形式,在收集共享数据时难以及时征得个人同意,相关法律规范需予以明确。
法律规范可操作性有待加强。一是我国未从整体角度实现个人信息的类型划分,未建立不同类型信息的差异化保护规则,容易增加收集共享成本。二是现行立法采取知情同意,由于个人较之网络服务提供者属于“弱者”,面对授权条款时只能“接受或离开”,但立法对授权的具体方式、授权条款、授权范围和授权例外等未做明确,易生纠纷。三是特殊群体法律规则缺乏。纵观个人信息泄露致害、电信诈骗等案例,未成年人和老年人对信息收集共享的判断能力较弱,目前立法未建立特殊保护机制。
互联网企业的内部控制和风险管理机制有待加强。现阶段互联网技术缺陷、企业内部管理疏忽导致的“监守自盗”,是个人信息泄露的重要原因,互联网企业的内控和风险管理机制需完善。
三、大数据时代加强个人信息保护的建议
未来已来。在大数据时代,为强化优化个人信息保护,笔者提出如下建议:
制定统一规则。一是在评估各类现行规范及其效果基础上,制定个人信息保护统一规则,统筹规范各类信息收集共享行为。二是将个人信息升格为法定权利,明确个人信息权的内容,包括知情同意权、信息查阅权、信息安全维护权、信息更正权、信息删除权等。三是明确信息收集共享基本原则,包括合法、合理、最小化使用和利益平衡原则。一方面,网络服务提供者应严格控制收集范围,考量自身业务范围、需求、是否属于个人核心信息、是否已技术处理等因素,杜绝过度收集。另一方面,个人信息不应由个人排他享有。个人数据作为网络二进制基础上由0和1组成的比特形式,数据收集包含了网络服务提供者的劳动,正是海量数据而非单个信息使其产生经济价值,个人亦是个人数据的受益者,应鼓励合法收集和共享。
建立差异化保护机制。一是在类型划分方面,应根据个人信息和隐私、人格尊严的关联程度,区分敏感信息和非敏感信息,对于前者严格保护,对于后者支持便捷利用。个人敏感信息主要包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹、性取向、性生活、银行账号密码、财产情况、病史等。二是在合理注意义务方面,应分析不同场景中的信息处理行为能否为当事人合理预见,建立敏感、非敏感信息与合理注意义务之间的对应关系。对于敏感信息,个人对信息收集共享的容忍程度更低,网络服务提供商则应承担更高注意义务。三是在信息主体方面,研究制定收集共享特殊主体信息的保护规则。未成年人对信息收集共享缺乏独立判断能力,老年人对大数据收集运用场景缺乏足够了解,两类群体均易因信息泄露受骗致害。因此,建议收集共享未成年人所有信息均需经其法定监护人明示同意,收集共享70岁以上老年人敏感信息需经老年人及其赡养义务人明示同意,且共享未成年人和老年人上述信息须采取匿名化或加密处理,降低信息泄露风险。
完善授权同意规则。一是授权方式。尽管不同立法例对授权同意为明示或默示同意不尽相同,笔者认为,网络服务提供者收集共享个人敏感信息时应明示同意,彰显信息保护;收集共享个人非敏感信息时可采取默示同意,突出数据共享便捷。二是授权条款。应规范授权条款,如通过字体变化或字号加粗提示关注、行业组织提供条款模板,要求起草者充分解释等。三是授权范围。个人信息的收集共享均应得到授权,授权范围的表述应明确易懂。四是授权例外。基于国家利益、社会公共利益和个人紧急情况(如出行平台驾乘人员出现生命安全隐患时提供相关个人信息),明确无需个人同意即可收集信息的情形。
研究采取配套措施。一是加强企业内部控制和风险管理,细化信息收集共享风险评估,强化内部人员管理,完善数据加密和匿名化等网络安全技术。二是完善集团公司与下属子公司、子公司之间的信息共享机制,网络服务提供者应在授权同意环节明确信息共享的情形与范围,并采取技术保护措施。三是开发个人信息安全保险产品,由保险公司分担个人信息泄露所致财产损失,支持互联网产业发展。四是加强培训教育,增强个人及相关从业人员的信息安全意识。
(作者单位:人民法院新闻传媒总社)
一、法律规制现状
构建了多层次法律体系。自2000年以来,我国各级国家机关陆续出台制度,规范收集使用个人信息行为。一是从立法主体来看,涵盖了全国人大及其常委会、国务院、工信部、国家质检总局、最高人民法院、最高人民检察院等,包括法律、行政法规、部门规章和司法解释等。二是从部门法律来看,从民事、刑事、行政等领域强调了网络服务提供者义务。如《关于加强网络信息保护的决定》、消费者权益保护法、网络安全法要求收集使用公民个人电子信息时遵循合法、正当、必要原则,明示收集使用信息的目的、方式和范围。民法总则第一百一十一条规定自然人的个人信息受法律保护。侵权责任法第三十六条提出网络服务提供者利用网络侵害他人民事权益的,应承担侵权责任。刑法修正案(五)和刑法修正案(七)分别增设了窃取、收买、非法提供信用卡信息罪,出售、非法提供公民个人信息罪、非法获取公民个人信息罪。
强调知情同意。《关于加强网络信息保护的决定》首次强调了对个人信息的法律保护,要求网络服务提供者收集、使用个人信息应征得被收集人同意。这在消费者权益保护法、《征信业管理条例》和网络安全法中得到了坚持。在比较法上,经济合作与发展组织《金融消费者保护的高级原则》(2011年)要求成员国建立机制确保消费者个人隐私安全,承认消费者的知情权。欧盟2018年《通用数据保护条例》将数据主体同意基于一项或多项目的对其个人数据进行处理作为合法性要件之一。
兼顾数据收集共享与个人信息保护。不少国家区分敏感和一般信息,禁止收集、处理和利用敏感信息,支持一般信息的合法流动。我国《征信业管理条例》第十四条将宗教信仰、基因、指纹、血型、疾病和病史信息作为禁止收集的个人敏感信息。德国2002年《联邦个人资料保护法》规定了种族血统、政治观点、宗教或哲学信仰、工会成员资格、健康或性生活等敏感信息。欧盟2016年《数据保护法规》列举了种族、民族出身、政治观点、宗教或哲学信仰、工会成员、基因等敏感信息。此外,欧盟2015年《金融服务监管中的数据保护指引》强调数据保护规则旨在实现信息在欧盟内部的自由流动,对个人权益进行保护。欧盟《通用数据保护条例》建立了个人信息的风险评估、数据保护认证(自愿将数据内容进行专业认证以表明处理合法性)、信息安全保障(采取匿名化方式或数据最小化原则减少数据泄露风险)。
二、我国数据共享与个人信息保护存在的问题
立法的统筹性和明确性有待提升。一是个人信息保护法律规范较零散,缺乏专门立法统一引领。二是民法总则第一百一十一条将“个人信息”作为法益,并未上升为个人信息权,造成了个人信息权利的归属、内容、个人可否支配等困惑。三是相近概念未明确区分。如民法总则规定了个人信息和隐私权,但两者的区分却未明确,影响了网络服务提供者收集共享数据的效率和个人法律救济。四是可穿戴设备、无人驾驶等数据共享新形式,在收集共享数据时难以及时征得个人同意,相关法律规范需予以明确。
法律规范可操作性有待加强。一是我国未从整体角度实现个人信息的类型划分,未建立不同类型信息的差异化保护规则,容易增加收集共享成本。二是现行立法采取知情同意,由于个人较之网络服务提供者属于“弱者”,面对授权条款时只能“接受或离开”,但立法对授权的具体方式、授权条款、授权范围和授权例外等未做明确,易生纠纷。三是特殊群体法律规则缺乏。纵观个人信息泄露致害、电信诈骗等案例,未成年人和老年人对信息收集共享的判断能力较弱,目前立法未建立特殊保护机制。
互联网企业的内部控制和风险管理机制有待加强。现阶段互联网技术缺陷、企业内部管理疏忽导致的“监守自盗”,是个人信息泄露的重要原因,互联网企业的内控和风险管理机制需完善。
三、大数据时代加强个人信息保护的建议
未来已来。在大数据时代,为强化优化个人信息保护,笔者提出如下建议:
制定统一规则。一是在评估各类现行规范及其效果基础上,制定个人信息保护统一规则,统筹规范各类信息收集共享行为。二是将个人信息升格为法定权利,明确个人信息权的内容,包括知情同意权、信息查阅权、信息安全维护权、信息更正权、信息删除权等。三是明确信息收集共享基本原则,包括合法、合理、最小化使用和利益平衡原则。一方面,网络服务提供者应严格控制收集范围,考量自身业务范围、需求、是否属于个人核心信息、是否已技术处理等因素,杜绝过度收集。另一方面,个人信息不应由个人排他享有。个人数据作为网络二进制基础上由0和1组成的比特形式,数据收集包含了网络服务提供者的劳动,正是海量数据而非单个信息使其产生经济价值,个人亦是个人数据的受益者,应鼓励合法收集和共享。
建立差异化保护机制。一是在类型划分方面,应根据个人信息和隐私、人格尊严的关联程度,区分敏感信息和非敏感信息,对于前者严格保护,对于后者支持便捷利用。个人敏感信息主要包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹、性取向、性生活、银行账号密码、财产情况、病史等。二是在合理注意义务方面,应分析不同场景中的信息处理行为能否为当事人合理预见,建立敏感、非敏感信息与合理注意义务之间的对应关系。对于敏感信息,个人对信息收集共享的容忍程度更低,网络服务提供商则应承担更高注意义务。三是在信息主体方面,研究制定收集共享特殊主体信息的保护规则。未成年人对信息收集共享缺乏独立判断能力,老年人对大数据收集运用场景缺乏足够了解,两类群体均易因信息泄露受骗致害。因此,建议收集共享未成年人所有信息均需经其法定监护人明示同意,收集共享70岁以上老年人敏感信息需经老年人及其赡养义务人明示同意,且共享未成年人和老年人上述信息须采取匿名化或加密处理,降低信息泄露风险。
完善授权同意规则。一是授权方式。尽管不同立法例对授权同意为明示或默示同意不尽相同,笔者认为,网络服务提供者收集共享个人敏感信息时应明示同意,彰显信息保护;收集共享个人非敏感信息时可采取默示同意,突出数据共享便捷。二是授权条款。应规范授权条款,如通过字体变化或字号加粗提示关注、行业组织提供条款模板,要求起草者充分解释等。三是授权范围。个人信息的收集共享均应得到授权,授权范围的表述应明确易懂。四是授权例外。基于国家利益、社会公共利益和个人紧急情况(如出行平台驾乘人员出现生命安全隐患时提供相关个人信息),明确无需个人同意即可收集信息的情形。
研究采取配套措施。一是加强企业内部控制和风险管理,细化信息收集共享风险评估,强化内部人员管理,完善数据加密和匿名化等网络安全技术。二是完善集团公司与下属子公司、子公司之间的信息共享机制,网络服务提供者应在授权同意环节明确信息共享的情形与范围,并采取技术保护措施。三是开发个人信息安全保险产品,由保险公司分担个人信息泄露所致财产损失,支持互联网产业发展。四是加强培训教育,增强个人及相关从业人员的信息安全意识。
(作者单位:人民法院新闻传媒总社)
责任编辑:庞宇
网友评论:
0条评论