标题 | 大数据视角下“公民个人信息”的界定 |
范文 | 徐雄杰 叶丹枫 摘 要:《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》采用识别性界定模式,将可以指向于特定公民个体的信息作为公民个人信息,并对常见的公民个人信息进行列举。在大数据背景下,公民个人信息在未经允许的情况下被收集、分析、共享乃至交易,且所包含的内容亦超出日常理解的“信息”的范围。基于个人信息权益保护与信息自由流动并重,且适当倾向于个人信息权益保护的原则,大数据中“公民个人信息”的界定应以“识别”为基础,具体的适用上以技术层面上的匿名化为核心,兼以价值层面的情景判断为补充,将公民个人信息的保护提前到个人网络数据的阶段。 关键词:大数据 公民个人信息 识别 匿名化 日益发展、丰富的网络技术和网络行为催生了一个超地域性的网络虚拟社会,现实中的问题也投射到网络虚拟社会中,而依存于其中的网络犯罪行为更是异化为一种不同于传统刑事犯罪行为,具有犯罪现场和空间的虚拟性、犯罪行为隐蔽性、犯罪手段智能性、犯罪危害扩散性等特征。[1]《刑法修正案(七)》将侵犯个人信息行为纳入到刑法的规制中来,虽理论界仍存在不少质疑的声音,但侵犯公民个人信息犯罪的高发态势,而且与电信网络诈骗等犯罪呈合流态势的现实却证明对侵犯个人信息的刑法规制,[2]其问题并不在于该种行为是否入罪,而在于如何构建起一套贴近现实、具有可操作性的规制体系。后《刑法修正案(九)》中对《刑法修正案(七)》中相关规定进行调整,将出售、非法提供公民个人信息罪和非法获取公民个人信息罪罪名,统一为“侵犯公民个人信息罪”。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称“《解释》”)中则进一步明确了“公民个人信息”的定义,但从更长远的角度来看,互联网+大数据的蓬勃发展对公民个人信息安全提出了更高的要求,也为公民个人信息的界定提供了全新视角。 一、“公民个人信息”概述 (一)“公民个人信息”界定的不同学说 对于“公民个人信息”的立法界定存在概括式界定、列举式界定等多种界定模式,除此之外学界对“公民个人信息”的界定亦存在基于个人信息的隐私性或识别性的界定模式。 学界在传统上将隐私权界定为一种“免受外界干扰的、独处的”权利,随着隐私概念的扩张,传统的隐私权概念被赋予新的内涵,将公民个人信息包括在其中,在德国与美国部分关于个人资料、个人信息保护的立法中也的确将公民的个人信息作为隐私来看待。但从权利的内涵来看,公民对其个人信息所享有的权利与隐私权存在明显的差异,法律对个人信息的保护以禁止随意获取、披露为表现形式,实质是对公民控制其个人信息的尊重[3]。而姓名、身份证信息、电话信息等个人信息的搜集与管理是社会管理的必经途径,必须在一定范围内为人所周知,简单地将公民个人信息与隐私等同起来与当下社会治理的现实相悖。 在识别性界定模式中,公民个人信息是指根据信息与信息主体之间客观存在的某一可能性,进而能够确定个人身份的信息。具体是指公民的姓名、职业、身体情况等,这类信息与公民存在直接或间接的确定关系,对具有个体性特征的一条或者多条信息进行一定的数据处理便可以识别出特定的公民个人。相对于隐私性界定模式而言,识别性界定模式以承载个人信息的客体是否能够被公众或者他人所识别作为判断个人信息的核心要素,将个人信息与个人数据这一概念进行了联系,对个人信息的界定标准亦更为明确,因此在立法上的应用更为普遍。 (二)我国对“公民个人信息”的界定 在我国的立法中,“公民个人信息”这一表述最早出现在《刑法修正案(七)》中。《刑法修正案(七)》第7条规定了两种典型侵犯公民个人信息的犯罪,即出售、非法提供公民个人信息犯罪,窃取、非法获取公民个人信息犯罪。《刑法修正案(七)》弥补了在刑法领域对公民个人信息保护的空白,且直接表述为“公民个人信息”,意味着对公民个人信息的保护从原来通过保护隐私权、人格权等间接保护变为现在的直接保护。但同时,在《刑法修正案(七)》中把犯罪对象设定为国家机关或者单位的工作人员利用履职或者是向他人提供服务时所取得的有力地位而获得的公民个人信息,人为地将犯罪對象的范围作了缩小规定,而且更重要的是并未对公民个人信息作出具体的界定。 在随后《最高人民法院、最高人民检察院、公安部关于依法惩处侵犯公民个人信息罪活动的通知》中,公民个人信息被界定为“包括公民的姓名、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码等能够识别公民个人身份或者涉及公民个人隐私的信息、数据资料”。在列举常见的公民个人信息同时,对公民个人信息的识别性与隐私性作出概括性的规定,这是对公民个人信息的界定作出的有益尝试,但在界定模式上摇摆于识别性与隐私性之间,而且以通知的形式作出界定,在正式性上存在缺失。 《刑法修正案(九)》对《刑法修正案(七)》中保护公民个人信息的相关规定作出修改,将原有的两个罪名修订为“侵犯公民个人信息罪”,在一定程度上弥补了《刑法修正案(七)》对侵犯公民个人信息类犯罪的立法不足,将全体公民均纳入到公民个人信息犯罪主体的范畴,使刑法对公民个人信息的保护作用得到更好地发挥。《刑法修正案(九)》虽仍未对“公民个人信息”作出明确的界定,但跳出了《刑法修正案(七)》中犯罪主体范围狭窄的困境,将犯罪主体的范围扩大到任何公民和组织,基本解决了对一些非国家机关工作人员或者特定单位工作人员实施侵犯公民个人信息犯罪行为打击不能的问题,更好地满足了时代发展的新要求。 根据2017年6月1日开始施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条的规定,公民个人信息是指“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等”。该《解释》是在立法层面上第一次对“公民个人信息”作出明确的界定,采用识别性界定模式将可以指向于特定公民个体的信息作为公民个人信息,并对常见的公民个人信息进行列举,结合《解释》中关于“非法获取”的认定标准、侵犯公民个人信息罪的定罪量刑标准等规定, “侵犯公民个人信息罪”的适用有了更为可靠的法律基础。 二、界定“公民个人信息”的大数据背景 (一)大数据运作的特点 从字面上看大数据指的是規模庞大的数据,但仅从规模上理解大数据,不能有效地体现出大数据的价值。现有的界定中往往从大数据的特征出发,通过对大数据的特征进行归纳从来得出定义。[4]大数据价值的实现有赖于多种技术的统一协同应用,从大数据“收集—分析—量化服务”的运作模式来看,其运作有以下两个特点: 第一,大数据运作所收集的数据与公民个人信息密切相关。大数据的应用是以人为对象的,对其分析之后指引某一商业行为,其指向的亦是用户个体。所以大数据所收集的原始数据虽来源复杂、数目繁多,但目标始终是个体的信息,数据收集方法的改进也是以更加有效收集公民个人信息为目的的。 第二,数据分析是大数据处理的核心。大数据关键在于数据分析和利用,[5]而大数据的价值直接产生于分析过程中。规模大并不意味这价值高,数据规模增长之后对数据分析的要求进一步提高,数据的拥有者在利用数据前需要在预处理后对数据进行分析,才能实现更有效的利用,并且对相关数据的分析方式和分析深度的不同,也影响着信息的开发程度及其背后的获利程度。 (二)大数据时代公民个人信息所面临的风险 作为商业手段与政府管理辅助工具的大数据格外引人注目,但在频频吸引大众青睐的同时,隐含在大数据之下对公民个人信息保护的威胁亦不容忽视,其具体表现在以下几个方面: 首先是公民个人信息在不知情的情况下被收集。当用户在使用互联网时,除了经过用户许可的而被收集的个人信息之外,互联网用户的网络轨迹往往是在未经授权的情况下被收集。从技术层面上来看,使用网络爬虫获取特定网页信息已是了解互联网用户的个性化需求的常用手段,[6]在商业利益的推动下,网络爬虫技术的进步使得抓取网页中的公民个人信息愈发高效,且其准确性也不断提升,而在上述信息被抓取时,互联网用户并未获得有效的提示。 其次是网络服务提供商在未经同意的情况下推送服务。当下互联网用户使用互联网的日常中,其使用搜索引擎或购物网站搜索某一项物品之后,在一段时间内浏览其它网站,网页广告栏中常会出现相关物品的推荐,即当用户在互联网上所表露的某一需求被获取并识别后,网络服务提供者能通过技术手段得知用户的具体需求,并推送个性化的信息,而在这一过程中用户无法自主选择是否接受此类推送。 最后是公民个人信息被随意共享和交易。在个人数据被秘密收集、分析的同时,更为触目惊心的是对包括公民个人信息在内的个人数据分享、交易,2016年7月20日,公安部官网《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》的报道中提到全国公安机关累计查破刑事案件750余起,缴获信息达230亿条。[7] 三、界定“公民个人信息”的价值取向 价值是法律科学的基本范畴之一,在统一而完整的法律体系中,每一款法律条文都体现着一定的价值,法律价值的明确不仅有利于对现有若干法律概念的分析,而且可以对相关概念的进一步解读提供基本方向。 法律的价值不是互斥或者单一的,而是一个多元的、虽有内在冲突但仍相互联系渗透的有机整体。界定“公民个人信息”的价值取向就是界定“公民个人信息”时所追求的具体理想目标。毋庸置疑,大数据技术正在改变每个人的生活,在给互联网用户的生活带来便利的同时,也需要互联网用户让渡出部分权利。大数据背景下的公民个人信息保护以个人信息权利保护原则与信息自由流动原则为基础,在承认公民个人信息理应得到充分保护的同时,也需要认识到大数据的应用也需要包含公民个人信息在内的个人数据的自由流通,因此不能将个人信息保护绝对化。[8] 从理想的角度来看,用法律手段对公民个人信息进行保护时,需要兼顾“权利保护”与“自由流动”。“权利保护”与“自由流动”最理想的状态是相辅相成的状态,当公民个人信息得到妥善的保护时,公民基于其个人信息受到充分保护的信任,积极参与交易,使得有足够的信息得以流动,为大数据产业提供支撑,而信息自由流通所带来的收益使得信息获取者更加珍视真实、可靠的信息提供者,出于自身利益考量也积极保护公民个人信息。 从现实的角度来看,作为一项权利,公民个人在其个人信息中所体现的权利与网络服务提供商的对抗中处于弱势地位,各大网络服务提供商着力深耕于大数据的情况下,个人信息处于几乎毫无秘密可言的地步。针对当下公民个人信息权利受到严重侵害的乱状,在意识到兼顾“权利保护”与“自由流动”的同时,也需要适当倾向于“权利保护”,以保护处于大数据爆发浪潮中的公民个人权利。因此在界定“公民个人信息”时,尤其是在大数据视角下界定“公民个人信息”时,需要将所有可以指向于公民个人的信息以及数据纳入到公民个人信息中来。 四、以匿名化与具体情境判断为依据的“识别” 大数据所抓取的是整体性的海量数据,对数据进行分析之后才能进行应用,判定所获取的数据是否与公民个人相关联时,也较普通的信息更为复杂。大数据本身是一个“信息生态系统”,由数据到信息再到知识价值,是一个动态过程,因此认定大数据中的公民个人信息也是一个以“识别”为核心的动态过程。 (一)基于匿名化技术的“可识别” 就可以直接指向于公民个人的网络数据而言,其识别标准在于技术层面,即网络数据被收集之后,所采用的匿名隐私保护技术是否能够保证公民个人不被识别。大数据所收集的网络数据是整体数据,匿名化是整体数据与需要予以保护的、可识别个人信息的个人数据的界限,这主要是技术层面的问题。目前常用的个人信息保护技术主要有基于数据失真的保护技术、基于数据加密的保护技术和基于数据匿名化的保护技术,[9]其中数据匿名化技术凭借其数据缺损小、计算成本低的优点,得到越来越广泛的应用。 当然,数据挖掘、分析技术是不断发展的,目前所能做到的匿名化可能在短短几年内就落后于时代,同时匿名化技术尚无明确的界定标准,试图对匿名的效果做出绝对化的判断是不严谨,这也为基于情境价值判断的“间接识别”留下发挥作用的空间。 (二)基于具体情境判断的“间接识别” 就不能直接指向于公民个人的网络数据而言,判断其是否属于公民个人信息需要在具体的情景中进行。间接识别的情形下,凭借其他附加的信息,个人可以被区分出来。一些属性仅凭借自身就能独特地识别,另外一些可能需要借助与其他属性的关联来识别。 在判断特定类型敏感数据外的其他数据是否落入公民个人信息的范围内,可以参考借鉴的标准有三种,即目标数据的类型、目标数据的组合方式、目标数据的时间延续性。以个人支付账号为例,如果其中的支付记录、收货方式被窃取,即使姓名及电话号码等可直接识别特定人的信息被隐藏,长时间对间接信息的分析,不难得出特定人的位置信息、交易习惯、购买倾向等。 结语 就公民个人信息的法律界定而言,一切能够单独或者与其他信息结合识别特定人的信息都属于公民个人信息,那么相互结合后即可指向于特定自然人的网络数据也应属于公民个人信息。明确大数据视角下公民个人信息的界定标准是公民个人信息权利保護的第一步,当下蓬勃发展的大数据产业在带来机遇的同时,也伴生着风险——公民个人信息一旦泄露之后几乎没有补救的手段,这更需要在产业发展的源头就构筑起完备的保护制度。 注释: [1]参见张宗亮:《全球化背景下的网络犯罪及其控制对策》,载《中国人民公安大学学报》2003年第4期。 [2]参见最高人民法院就发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》答记者问,http://www.court.gov.cn/zixun-xiangqing-43932.html,访问日期:2017年6月6日。 [3]王利明:《隐私权概念的再界定》,载《法学家》2012年第1期。 [4]参见孟小峰、慈祥:《大数据管理:概念、技术与挑战》,载《计算机研究与发展》2013年第1期。 [5]参见李满意:《大数据安全》,载《保密科学技术》2012年第9期。 [6]于娟、刘强:《主题网络爬虫研究综述》,载《计算机工程与科学》2015年第2期。 [7]参见中华人民共和国公安部:《公安机关打击整治网络侵犯公民个人信息犯罪成效显著》,http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html,访问日期:2017年6月12日。 [8]王昭武、肖凯:《侵犯公民个人信息犯罪认定中的若干问题》,载《法学》2009年第12期。 [9]谭瑛:《数据挖掘中匿名化隐私保护研究进展》,载《科技导报》2013年第1期。 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。