大数据时代个人信息保护的法律完善与路径选择
摘 要 大数据时代个人信息利用更加广泛,也造成个人信息被泄露的现象越来越严重,加强个人信息保护是大数据时代亟待解决的问题。本文在参照前人研究成果的基础上,指出了大数据时代个人信息面临的安全风险,分析了大数据时代个人信息保护的现实困境,在完善大数据时代个人信息立法保护的前提下,提出了大数据时代个人信息保护的路径选择。具体路径包括:加强道德建设、健全行政监管、强化技术保护、加强行业自律、提高自我保护、优化救助機制。
关键词 大数据 个人信息 保护 法律完善 路径选择
作者简介:王艾迪,辽宁大学法学院。
中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.06.023
大数据是依赖于互联网技术而产生的,是基于数据挖掘和数据分析技术实现经济价值和社会价值的大量数据,通过影响经济生活、政治博弈、社会管理、文化教育、科学科研、医疗卫生和保健休闲等行业,对经济社会发展产生深远影响。大数据时代是以大数据技术为潮流的新技术时代,数据的创新应用深刻改变着人们的思维方式,并与每个人的日常生活密切相关。大数据正在重塑人们的工作、学习和思维方式,人们在享受大数据时代方便快捷的同时,个人信息却遭遇“裸奔”,个人信息安全成为全球关注的热点话题。
个人信息是指任何可以识别特定自然人的个人私有信息,包括有关个人自然情况的信息、有关个人社会情况的信息、有关个人财产情况的信息和有关个人上网情况的信息等。大数据时代的个人信息具有以下特征:主体唯一性,信息承载的主体只能是个人;可扩充性,信息随着时间的变化将不断扩充;可识别性,通过识别来确定个人信息的内容及范围;可处理性,通过获取、收集、管理和存储等处理环节得到有价值的信息;可存储性,信息可以通过各种方法存储;可转换性,信息是可以由一种形态转换成另一种形态;价值倍增性,通过数据处理拓展大量单一数据的增值空间。大数据时代个人信息利用更加广泛,也造成个人信息被泄露的现象越来越严重,对信息主体的权利造成越来越大的侵害,因此,个人信息保护是大数据时代亟待解决的问题。通过本文研究,理论上进一步丰富和补充了现有的个人信息保护的相关理论和方法,实践上可为个人信息保护的立法、司法、执法和守法提供一定的科学参考依据。
一、大数据时代个人信息面临的安全风险
大数据时代的个人信息应用更加广泛,将发挥更大的经济价值和社会价值,随之而来的是更大的安全风险,突出表现在以下几个方面:
第一,信息收集的知情权风险。在大数据时代个人信息收集渠道很多,人们无法拒绝个人信息被收集,但个人信息的收集应以人身权或敏感信息不受伤害为基本原则。商业公司在用户信息收集方面可以说是不遗余力,很多情况下用户并取得用户同意,用户只能是“要么接受,要么离开”,并未被充分告知信息被收集的具体情况,用户的知情权未得到重视。
第二,信息推送服务风险。推送服务是信息服务的方式之一,在大数据的支持下更加隐蔽和精确,具有主动性、目的性和高效性等特点,突出信息的主动服务和面向个人的定制化服务,即改“人找信息”为“信息找人”。但目前的很多推送服务未经用户同意,是“被享受”的一种服务,侵犯了人们享受安宁生活的权利。
第三,信息共享和交易风险。大数据时代倡导全力打通信息孤岛,实现数据共享,深度推进信息数据的归集、开发和利用。信息共享带来方便快捷的同时,也存在着很多个人隐私信息被共享,扩大了共享范围和暴漏面,侵害了公民个人的隐私权。还有很多数据被秘密交易,不同机构之间的合作也使交易数据更加隐蔽,人个信息成为机构或个人谋利的手段。
第四,个人信息的泄露风险。大数据时代个人信息泄露事件层出不穷,主要途径包括网络服务商泄露、掌握信息的单位员工倒卖、数据库遭受黑客强烈攻击、存储信息的设备或介质中病毒等。个人信息泄露给人们的生活造成了影响,垃圾短信和骚扰电话等扰乱了日常生活,甚至会影响到财产安全和人身安全。
二、大数据时代个人信息保护的现实困境
大数据是基于虚拟的信息环境,现实世界与网络世界自由联通,个人信息的收集和利用无处不在,个人信息保护正遭受着严峻的挑战,面临着许多现实困境,主要表现在以下几个方面:
第一,法律体系不健全。近年来我国加快了个人信息安全保护的立法和修法进程,初步建立了个人信息保护的基本法律体系。但结合大数据的时代背景,仍然存在着过于原则、不够具体和操作性差等问题,缺乏专门性立法和补偿救济机制,难以适应新形势下个人信息保护的客观环境,制约着个人信息的全面保护。
第二,监管流程不衔接。大数据作为资产性资源的优势更加凸显,市场交易风险也愈加突出。事前监管方面,缺乏制度性措施规制交易主体的不法行为;事中监管方面,数据收集和分析环节较多,政府部门的监管行为处于真空状态;事后监控方面,地方政府采取保护主义政策,对违法行为的处罚力度不足。
第三,行业自律不规范。相关部门已经制定了大数据行业相关规范,但这些规范不具备法律效力,规制范围比较狭窄,很多内容流于形式且缺乏具体的操作规则。部分网络运营商制定了个人信息保护声明,但对收集和存储未有强制执行措施,保护内容不够全面且是单方行为,为用户追溯个人信息泄露根源造成困难。
第四,协同治理机制不健全。大数据采集和应用涉及的部门较多,应鼓励多元主体参与,共同健全个人信息保护的协同机制,即包括政府内部主体间的协同,又包括政府与外部主体间的协同。目前的状况是很多应用局限于特定的地区或部门,不同机构间缺乏有效的沟通和协同,造成了重复建设和资源浪费,政府部门以自我为中心,没有充分调动外部力量,制约了数据价值的发挥。
三、大数据时代个人信息保护的法律完善
我国现有的法律法规对个人信息具有一些保护条款,发挥了一定的保护功能。比如,《居民身份证法》明确规定居民身份证信息受到保护,《电子支付指引》规定保密个人信息,《关于加强网络信息保护的决定》强调保护公民个人身份和涉及公民个人隐私的电子信息,《中华人民共和国网络安全法》对个人信息保护有着更为精细化的规定,《民法典草案》对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题做出了明确说明。但仍然存在着法律边界不明确、救济途径不成熟、专门性立法缺失、法律体系不健全和执法机制滞后等问题,造成公民个人信息方面的权利无法得到有效保障,不适应大数据时代个人信息保护的现实需求。因此,需要从以下几方面进一步完善:
第一,明确个人信息立法保护的基本原则。个人信息保护基本原则是立法的核心內容,经济合作与发展组织的八项个人信息保护原则具有参考价值。在不阻碍信息产业自由发展的前提下,大数据时代个人信息立法保护应遵循信息最小化、信息主体同意、个人参与、限制信息收集和信息安全保护等基本原则。
第二,制定专门的《个人信息保护法》。我国目前的很多法律法规虽然包括了个人信息保护的相关条款,明确了相关的保护内容,但仍然不够全面,需要综合性立法,建立整体的法系框架,制定专门的《个人信息保护法》,严厉打击和制止非常收集和使用个人信息的现象,规范大数据时代个人信息的保护措施。
第三,扩大立法对个人信息的保护范围。很多零散的个人信息看起来并不重要,但是大量零散信息经过大数据处理后就能得到重要的间接信息,被他人掌控就会使个人遭受侵害。因此,必须扩大立法对个人信息的保护范围。同时,将个人信息的侵权行为扩大至垄断企业和政府部门的过失行为,使掌握个人信息的企业和部门不可肆意妄为,并对违法行为给予从重处罚。
第四,完善个人信息立法保护的辅助体系。个人信息分布于工作和生活的各个方面,不同领域存在不同的法律关系,单部法律保护具有片面性,需要民法、经济法、行政法和刑法等领域的辅助作用。即以《个人信息保护法》为主要内容形成核心体系,并与辅助体系相互作用,形成完整的个人信息保护法律体系。
四、大数据时代个人信息保护的路径选择
大数据时代个人信息保护是复杂的系统工程,针对大数据时代个人信息的安全风险和个人信息保护的现实困境,参照前人相关研究成果,结合作者多年的工作和学习经验,本文提出的大数据时代个人信息保护的路径选择如下:
第一,加强道德建设。道德建设的对象针对使用主体。首先,要注重个体道德意识与群体道德规范的一致性,共同遵循具有普遍性的道德规范;然后,提高道德自律水平,每个使用主体做出的行为都具有一定的道德指向性;最后,充分发挥道德他律功能,主要是指外在的强制性约束力量,即来自权力机关的约束。
第二,健全行政监管。行政监管是依据国家相关法律法规,政府对其辖区内某些事物的控制。作为个人信息保护的重要手段,行政监管具有独特的价值。采用直接监管与间接监管相结合的方式,通过直接监管,对于个人信息的违法违规操作加大惩罚力度;通过间接监管,引导应用主体对个人信息保护的企业文化。
第三,强化技术保护。技术手段是法律措施的有效补充,以技术手段应对科技挑战最为简单有效。一方面,运用技术手段保护信息安全,提高系统设备的安全性和可靠性,保证个人信息不被盗取、错用和滥用;另一方面,加大信息安全投入,鼓励企业研究高安全性的新产品和新技术,并借鉴其他领域先进技术。
第四,加强行业自律。行业自律是保护个人信息安全的重要环节,通过规范行业行为、协调利益关系、维护公平竞争,促进行业健康发展。首先,培育自律机制,弥补法律法规滞后的缺陷;然后,改变服务模式,把服务信息的定向推送改变为主动满足需求;最后,建立惩罚机制,使违规违法行为付出沉重代价。
第五,提高自我保护。在法律法规尚不完善的背景下,提高自我保护意识就显得尤其重要。加强日常学习,掌握网络信息安全相关的知识和技能;养成良好习惯,使用网络时尽量不提供个人的真实信息;网络购物时注意交易安全,防止被他人盗取个人信息;当个人信息遭受侵害时,及时运用法律手段维护自己权利。
第六,优化救助机制。通过救助机制降低个人信息被泄露或非法使用时造成的损失。一方面,采用数据泄露通知机制,个人信息泄露时,不是隐瞒事实真相,而是及时通知用户采取补救措施;另一方面,优化个人信息保护的司法救助,重新分配个人信息侵权中的举证责任,将个人信息案件诉讼引入集体诉讼。
参考文献:
[1]范晓明、陈晨.大数据视角下个人信息安全风险及对策浅析.北京警察学院学报.20 18,31(1).
[2]范为.大数据时代个人信息保护的路径重构.环球法律评论.2016, 38(5).
[3]郝思洋.大数据时代个人信息保护的路径探索.北京邮电大学学报(社会科学版).20 16,18(5).
[4]李月、侯卫真.政府大数据应用的多元主体协同策略研究.图书情报工作.2017,61(10).
[5]史卫民.大数据时代个人信息保护的现实困境与路径选择.情报杂志.2013, 32(12).
[6]杨震、徐雷.大数据时代我国个人信息保护立法研究.南京邮电大学学报(自然科学版).2016,36(2).
关键词 大数据 个人信息 保护 法律完善 路径选择
作者简介:王艾迪,辽宁大学法学院。
中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.06.023
大数据是依赖于互联网技术而产生的,是基于数据挖掘和数据分析技术实现经济价值和社会价值的大量数据,通过影响经济生活、政治博弈、社会管理、文化教育、科学科研、医疗卫生和保健休闲等行业,对经济社会发展产生深远影响。大数据时代是以大数据技术为潮流的新技术时代,数据的创新应用深刻改变着人们的思维方式,并与每个人的日常生活密切相关。大数据正在重塑人们的工作、学习和思维方式,人们在享受大数据时代方便快捷的同时,个人信息却遭遇“裸奔”,个人信息安全成为全球关注的热点话题。
个人信息是指任何可以识别特定自然人的个人私有信息,包括有关个人自然情况的信息、有关个人社会情况的信息、有关个人财产情况的信息和有关个人上网情况的信息等。大数据时代的个人信息具有以下特征:主体唯一性,信息承载的主体只能是个人;可扩充性,信息随着时间的变化将不断扩充;可识别性,通过识别来确定个人信息的内容及范围;可处理性,通过获取、收集、管理和存储等处理环节得到有价值的信息;可存储性,信息可以通过各种方法存储;可转换性,信息是可以由一种形态转换成另一种形态;价值倍增性,通过数据处理拓展大量单一数据的增值空间。大数据时代个人信息利用更加广泛,也造成个人信息被泄露的现象越来越严重,对信息主体的权利造成越来越大的侵害,因此,个人信息保护是大数据时代亟待解决的问题。通过本文研究,理论上进一步丰富和补充了现有的个人信息保护的相关理论和方法,实践上可为个人信息保护的立法、司法、执法和守法提供一定的科学参考依据。
一、大数据时代个人信息面临的安全风险
大数据时代的个人信息应用更加广泛,将发挥更大的经济价值和社会价值,随之而来的是更大的安全风险,突出表现在以下几个方面:
第一,信息收集的知情权风险。在大数据时代个人信息收集渠道很多,人们无法拒绝个人信息被收集,但个人信息的收集应以人身权或敏感信息不受伤害为基本原则。商业公司在用户信息收集方面可以说是不遗余力,很多情况下用户并取得用户同意,用户只能是“要么接受,要么离开”,并未被充分告知信息被收集的具体情况,用户的知情权未得到重视。
第二,信息推送服务风险。推送服务是信息服务的方式之一,在大数据的支持下更加隐蔽和精确,具有主动性、目的性和高效性等特点,突出信息的主动服务和面向个人的定制化服务,即改“人找信息”为“信息找人”。但目前的很多推送服务未经用户同意,是“被享受”的一种服务,侵犯了人们享受安宁生活的权利。
第三,信息共享和交易风险。大数据时代倡导全力打通信息孤岛,实现数据共享,深度推进信息数据的归集、开发和利用。信息共享带来方便快捷的同时,也存在着很多个人隐私信息被共享,扩大了共享范围和暴漏面,侵害了公民个人的隐私权。还有很多数据被秘密交易,不同机构之间的合作也使交易数据更加隐蔽,人个信息成为机构或个人谋利的手段。
第四,个人信息的泄露风险。大数据时代个人信息泄露事件层出不穷,主要途径包括网络服务商泄露、掌握信息的单位员工倒卖、数据库遭受黑客强烈攻击、存储信息的设备或介质中病毒等。个人信息泄露给人们的生活造成了影响,垃圾短信和骚扰电话等扰乱了日常生活,甚至会影响到财产安全和人身安全。
二、大数据时代个人信息保护的现实困境
大数据是基于虚拟的信息环境,现实世界与网络世界自由联通,个人信息的收集和利用无处不在,个人信息保护正遭受着严峻的挑战,面临着许多现实困境,主要表现在以下几个方面:
第一,法律体系不健全。近年来我国加快了个人信息安全保护的立法和修法进程,初步建立了个人信息保护的基本法律体系。但结合大数据的时代背景,仍然存在着过于原则、不够具体和操作性差等问题,缺乏专门性立法和补偿救济机制,难以适应新形势下个人信息保护的客观环境,制约着个人信息的全面保护。
第二,监管流程不衔接。大数据作为资产性资源的优势更加凸显,市场交易风险也愈加突出。事前监管方面,缺乏制度性措施规制交易主体的不法行为;事中监管方面,数据收集和分析环节较多,政府部门的监管行为处于真空状态;事后监控方面,地方政府采取保护主义政策,对违法行为的处罚力度不足。
第三,行业自律不规范。相关部门已经制定了大数据行业相关规范,但这些规范不具备法律效力,规制范围比较狭窄,很多内容流于形式且缺乏具体的操作规则。部分网络运营商制定了个人信息保护声明,但对收集和存储未有强制执行措施,保护内容不够全面且是单方行为,为用户追溯个人信息泄露根源造成困难。
第四,协同治理机制不健全。大数据采集和应用涉及的部门较多,应鼓励多元主体参与,共同健全个人信息保护的协同机制,即包括政府内部主体间的协同,又包括政府与外部主体间的协同。目前的状况是很多应用局限于特定的地区或部门,不同机构间缺乏有效的沟通和协同,造成了重复建设和资源浪费,政府部门以自我为中心,没有充分调动外部力量,制约了数据价值的发挥。
三、大数据时代个人信息保护的法律完善
我国现有的法律法规对个人信息具有一些保护条款,发挥了一定的保护功能。比如,《居民身份证法》明确规定居民身份证信息受到保护,《电子支付指引》规定保密个人信息,《关于加强网络信息保护的决定》强调保护公民个人身份和涉及公民个人隐私的电子信息,《中华人民共和国网络安全法》对个人信息保护有着更为精细化的规定,《民法典草案》对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题做出了明确说明。但仍然存在着法律边界不明确、救济途径不成熟、专门性立法缺失、法律体系不健全和执法机制滞后等问题,造成公民个人信息方面的权利无法得到有效保障,不适应大数据时代个人信息保护的现实需求。因此,需要从以下几方面进一步完善:
第一,明确个人信息立法保护的基本原则。个人信息保护基本原则是立法的核心內容,经济合作与发展组织的八项个人信息保护原则具有参考价值。在不阻碍信息产业自由发展的前提下,大数据时代个人信息立法保护应遵循信息最小化、信息主体同意、个人参与、限制信息收集和信息安全保护等基本原则。
第二,制定专门的《个人信息保护法》。我国目前的很多法律法规虽然包括了个人信息保护的相关条款,明确了相关的保护内容,但仍然不够全面,需要综合性立法,建立整体的法系框架,制定专门的《个人信息保护法》,严厉打击和制止非常收集和使用个人信息的现象,规范大数据时代个人信息的保护措施。
第三,扩大立法对个人信息的保护范围。很多零散的个人信息看起来并不重要,但是大量零散信息经过大数据处理后就能得到重要的间接信息,被他人掌控就会使个人遭受侵害。因此,必须扩大立法对个人信息的保护范围。同时,将个人信息的侵权行为扩大至垄断企业和政府部门的过失行为,使掌握个人信息的企业和部门不可肆意妄为,并对违法行为给予从重处罚。
第四,完善个人信息立法保护的辅助体系。个人信息分布于工作和生活的各个方面,不同领域存在不同的法律关系,单部法律保护具有片面性,需要民法、经济法、行政法和刑法等领域的辅助作用。即以《个人信息保护法》为主要内容形成核心体系,并与辅助体系相互作用,形成完整的个人信息保护法律体系。
四、大数据时代个人信息保护的路径选择
大数据时代个人信息保护是复杂的系统工程,针对大数据时代个人信息的安全风险和个人信息保护的现实困境,参照前人相关研究成果,结合作者多年的工作和学习经验,本文提出的大数据时代个人信息保护的路径选择如下:
第一,加强道德建设。道德建设的对象针对使用主体。首先,要注重个体道德意识与群体道德规范的一致性,共同遵循具有普遍性的道德规范;然后,提高道德自律水平,每个使用主体做出的行为都具有一定的道德指向性;最后,充分发挥道德他律功能,主要是指外在的强制性约束力量,即来自权力机关的约束。
第二,健全行政监管。行政监管是依据国家相关法律法规,政府对其辖区内某些事物的控制。作为个人信息保护的重要手段,行政监管具有独特的价值。采用直接监管与间接监管相结合的方式,通过直接监管,对于个人信息的违法违规操作加大惩罚力度;通过间接监管,引导应用主体对个人信息保护的企业文化。
第三,强化技术保护。技术手段是法律措施的有效补充,以技术手段应对科技挑战最为简单有效。一方面,运用技术手段保护信息安全,提高系统设备的安全性和可靠性,保证个人信息不被盗取、错用和滥用;另一方面,加大信息安全投入,鼓励企业研究高安全性的新产品和新技术,并借鉴其他领域先进技术。
第四,加强行业自律。行业自律是保护个人信息安全的重要环节,通过规范行业行为、协调利益关系、维护公平竞争,促进行业健康发展。首先,培育自律机制,弥补法律法规滞后的缺陷;然后,改变服务模式,把服务信息的定向推送改变为主动满足需求;最后,建立惩罚机制,使违规违法行为付出沉重代价。
第五,提高自我保护。在法律法规尚不完善的背景下,提高自我保护意识就显得尤其重要。加强日常学习,掌握网络信息安全相关的知识和技能;养成良好习惯,使用网络时尽量不提供个人的真实信息;网络购物时注意交易安全,防止被他人盗取个人信息;当个人信息遭受侵害时,及时运用法律手段维护自己权利。
第六,优化救助机制。通过救助机制降低个人信息被泄露或非法使用时造成的损失。一方面,采用数据泄露通知机制,个人信息泄露时,不是隐瞒事实真相,而是及时通知用户采取补救措施;另一方面,优化个人信息保护的司法救助,重新分配个人信息侵权中的举证责任,将个人信息案件诉讼引入集体诉讼。
参考文献:
[1]范晓明、陈晨.大数据视角下个人信息安全风险及对策浅析.北京警察学院学报.20 18,31(1).
[2]范为.大数据时代个人信息保护的路径重构.环球法律评论.2016, 38(5).
[3]郝思洋.大数据时代个人信息保护的路径探索.北京邮电大学学报(社会科学版).20 16,18(5).
[4]李月、侯卫真.政府大数据应用的多元主体协同策略研究.图书情报工作.2017,61(10).
[5]史卫民.大数据时代个人信息保护的现实困境与路径选择.情报杂志.2013, 32(12).
[6]杨震、徐雷.大数据时代我国个人信息保护立法研究.南京邮电大学学报(自然科学版).2016,36(2).