标题 | 大数据时代数据信息收集的法律规制 |
范文 | 侯水平 〔摘要〕我国目前有关数据信息收集的法律法规中提到的收集主体很多,为了规范数据信息的收集,应考虑对数据收集主体进行法律规范,根据所收集数据的性质、范围等,规定适当的条件,有些专门、敏感数据的收集,还需要取得相关部门的授权,数据信息收集人员应具备相应的专业资格,并进一步明确其权利义务和相应的法律责任。对数据信息收集者来说,不应是想收集什么就收集什么,需要法律对数据信息收集的范围和边界、收集数据信息的方式方法进行规制。当前有关数据信息收集,我国已经制定了一些法律法规以及其他规范性文件,但还缺乏系统性和更强的针对性,且层级太低,应着眼于国家大数据战略发展的现实需要,进一步加强相关立法工作。在对大数据进行法律规制上,应更加重视对公民个人数据信息权利的保护。在目前的法治环境下,公民唯一可以期待的,是通过加强政府监管维护自己的数据信息安全。 〔关键词〕 大数据;数据信息收集;法律规制;个人信息权;信息安全;法治政府 〔中图分类号〕D922.17〔文献标识码〕A〔文章編号〕2095-8048-(2018)02-0022-07 计算机网络、移动互联网、智能手机、智能终端以及云计算等信息技术的飞速发展,使得大数据快速进入我们的生活,以至于还没有完全弄清楚大数据是怎么回事,就要面临大数据带来的许多问题。但目前相关企业甚至政府部门更多的是看到大数据带来的好处,从技术层面思考和挖掘大数据的价值,发展大数据产业、大数据经济,而对大数据的法律规制却很少关心。这一方面是因为大数据时代来得太快,且仍在快速发展,而我们对大数据的体验认知还不够充分,特别是对与大数据信息技术发展相伴随的问题及其危害的感受还不够深切,更谈不上对如何解决这些问题积累了足够的实践经验。大数据技术快速发展而相应的法律规制滞后,这好比汽车越来越多、跑得越来越快,而相应的交通规则的建立和遵守还未引起重视,其结果必然影响国家大数据战略的健康发展。 大数据技术发展使其充斥于现代社会生活的各个领域,不可抗拒地影响甚至改变着人们生活,甚至对传统的思维观念也产生了颠覆性的冲击,由此带来的问题是人类社会前所未有的。因此,法律必须对大数据给予足够的关注。法律必须关注社会现实问题,必须能够回答社会现实问题,这是法律的价值所在。“法律发展的真正源泉在于社会现实”,“法律的发展始终是与社会现实相伴随的,随着社会现实的变化而相应地调整法律,是立法者的重要任务之一”。〔1〕大数据发展及其利用法律规制的问题很多,也很复杂,本文只探讨大数据时代的数据信息收集法律规制问题。因为这个问题很重要,在大数据法律规制问题中带有基础性意义。一、明确数据信息收集主体的资格与责任——不是谁想收集就收集 我国目前有关数据信息收集的法律法规中提到的收集主体很多,有网络运营者、国家机关政务网络的运营者、网络产品与服务的提供者、个人信息获得者、关键信息基础设施的运营者、电子信息发送服务提供者、应用软件下载服务提供者、电信业务经营者、互联网信息服务提供者、大数据企业、网信部门和有关部门,①甚至还提到任何个人和组织等。②也就是说,实际上很宽泛,具有开放性。由于法律没有对主体作概念界定,也没有明示范围和资格等限制,感觉上似乎谁都可以收集数据。“对用户来说,在这个大数据时代,生活的每一个角落都布满互联网公司的触手,你的起床时间、通勤轨迹、搜索记录、消费喜好、常去的餐馆、闲逛路线、收货地址都被成千上万只复眼观察、记录、分析。”〔2〕但认真分析有关规定,可以体会到还是暗含了一些资格条件的,例如《电信和互联网用户个人信息保护规定》第11条:“电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作,涉及收集、使用用户个人信息的,应当对代理人的用户个人信息保护工作进行监督和管理,不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务。” 就现实生活中的情况看,由于大数据技术的发展,数据信息的收集基本上是由计算机网络以及手机等智能应用程序“自动”实施,变得越来越方便和低成本,加之法律规制的不完善,导致数据收集的主体相当混乱。中央电视台2频道曾经报道,胡某自制软件,很容易地就获得公民个人信息60余万条,获利20余万元。类似的报道在其他媒体上也有。为了规范数据信息的收集,应考虑对数据收集主体进行法律规范,根据所收集数据的性质、范围等,规定适当的条件,如必要的数据收集、保存、保密条件等。有些专门、敏感数据的收集,还需要取得相关部门的授权,数据信息收集人员应具备相应的专业资格。 ①参见《中华人民共和国网络安全法》第9条、第22条、第27条、第40条、第41条、第42条、第45条,《全国人民代表大会常务委员会关于加强网络信息保护的决定》(2012年12月28日第十一届全国人民代表大会常务委员会第三十次会议通过)一、二、三,《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)第6条(四),《规范互联网信息服务市场秩序若干规定》(中华人民共和国工业和信息化部令第20号)第11条,《电信和互联网用户个人信息保护规定》(中华人民共和国工业和信息化部令第24号)第4条、第5条、第6条、第8条、第9条、第11条等规定。 ② 工业和信息化部制定颁布了《信息安全技术公共及商用服务信息系统个人信息保护指南》,于2013年2月1日起实施。该指南3.5.“个人信息获得者 receiver of personal information,从信息系统获取个人信息的个人、组织和机构,依据个人信息主体的意愿对获得的个人信息进行处理。” 明确数据信息收集者的主体资格,还需要进一步明确其权利义务和相应的法律责任。数据信息收集主体依法行使其数据信息收集权利,受法律保护,与此同时,也要履行相应的法律义务,承担相应的法律责任。目前由于立法不完善,数据收集者的权利义务不明确,在数据信息收集方面权利义务不对等的问题比较突出,容易侵害公民和企业等的权利。例如,现在监控摄像头的使用越来越普遍,清晰度越来越高,安装监控摄像头的主体不仅有公安机关、交管部门、企事业单位、商场,甚至私人都在安装。由于对安装者没有规定相应的权利义务,导致时常侵入私人领域。公民个人在手机、社交媒体、银行网络和电子购物等方面的隐私权、企业的商业秘密和商业信誉等,常受到数据非法收集者的侵害。很多数据是用户根本不知情,或不知道用途的情况下被收集,有些是没有经用户同意的情况下被收集。在一些行业,非法交易数据信息已经形成一些潜规则。在大数据时代,大家都是在裸奔,都是垃圾广告、推销甚至电讯诈骗的受害者。许多人对大数据信息技术已从最初的神秘好奇,而发展到有些担忧。 二、限定数据信息收集的对象与范围——不是想收集什么就收集什么 大数据技术的发展,使得数据信息的收集变得十分容易,而大数据的“大”,暗含了其价值是与数据信息的巨量相联系的,这就使一些数据信息收集者拼命去获得越来越多的数据信息。虽然说我国现行法律对数据信息收集主体没有明确限制,但从国内外的实践看,具体到不同的数据信息收集行为,其收集数据信息的对象、范围是不同的,是有相应限制的。 数据信息收集的对象范围应遵守合法必要原则。如“电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人信息”。①欧盟提出的判断是否必要的原则是“充分、相关以及以该个人数据信息处理目的之必要为限度(‘数据最小化)”。② 随着人们工作生活以及社会交往等被日益发展的数字技术数字化记录,其中包含的商业价值等越来越凸显,现在几乎所有的信息公司、网络软件开发商等,都把获取公民个人数据信息作为主要目标。普遍的现象是,手机应用程序在自身功能不是必须的情况下越界获取用户隐私权限,例如读取用户的短信、通讯记录、地理位置等信息以及检索正在运行的应用、开关WiFi等。高达96.6%的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达69.3%。手机APP越界获取个人信息已经成为网络诈骗的主要源头。〔3〕大数据收集的海量信息,加上越来越智能化的分析工具,使得个人已知,甚至个人不知或还未意识到的与个人相关的事情,大数据控制者都知道。更为可怕的是,你的习惯、潜意识、社会关系等被大数据知悉掌握,大数据几乎可准确地预知你未来可能实施的行为以及可能发生的与你有关的事情。也就是说,大数据成了算命先生,能够准确预测你的未来。还不止这些,甚至可能引导你“主动”作出某些选择、实施某些行为。这样的情景若没有法律约束该是多么可怕!因此,对数据信息收集者来说,不应是想收集什么就收集什么,需要法律对数据信息收集的范围和边界进行规制。 三、规范数据信息收集的方式与要求——不是想怎么收集就怎么收集 对收集数据信息的方式方法,法律也应作出相应的规定。收集数据信息必须遵循以下原则: ①参见《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)第11条。 ② 参见欧盟《一般数据保护法案》(General Data Protection Regulation,GDPR)第5条1(c)。 ③参见《中华人民共和国网络安全法》第44条等。 第一,合法正当。收集数据信息的行为要合法,符合政策,尊重社会公德,遵守商业道德,诚实信用。《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”其他法规等也有相应规定。例如,不得非法侵入他人网络等窃取网络数据,不得窃取或者以其他非法方式获取个人信息等。③ 第二,明示同意。公民个人数据信息关系生命健康、财产安全、名誉等。同传统意义上的财产一样,公民理应对自己的数据信息有一定的控制权。数据信息的收集者收集、使用公民个人数据信息,应当公开其目的、方式和范围,并经被收集者同意。特别是为商业目的收集数据信息,更应如此。未经用户同意,不得收集用户个人数据信息。不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集数据信息。除非法律另有规定,用户等有权查询、更正个人数据信息,有权拒绝提供个人数据信息。欧盟还将“被遗忘权”写进了法律,规定“只要没有保留该数据的合法理由”,该数据就必须删除。①明示同意是原则,作为例外,数据信息主体无明确反对的情况下,可认为其同意。什么情况下允许数据信息主体默示同意,需法律明确规定。②数据信息主体通常与数据信息控制者之间的地位是不平衡的,如企业与员工、医院与病人、学校与学生等,很多时候,同意权的保障实际上比较难。 第三,用途确定。数据信息收集者对于获取的数据信息,必须按照规定或约定的用途使用,不得用于其他用途。在数据信息收集时就要明确是为政用、商用、民用,还是为科研教学等用,而且用途要具体。电信业务经营者、互联网信息服务提供者不得将收集的用户个人数据信息用于提供服务之外的目的。学校、医院等将在工作中获取的公民个人数据信息用于商业目的或其他目的,都是不被允许的。 第四,安全保密。数据信息收集者必须对收集的用户个人数据信息的安全负责,严格保密,防止信息泄露、毁损、丢失。不得篡改其收集的个人数据信息;未经数据信息主体同意,不得向他人提供个人数据信息。依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人数据信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。数据信息接触者及其行为要有记录、留痕。公民、企业的数据信息被泄露,收集者、控制者有义务及时通知数据信息主体。中国互联网协会发布的《中国网民权益保护调查报告2016》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重,84%的网民亲身感受到了个人信息泄露带来的不良影响。③对此现象,必须引起高度重视。 第五,分工共享。数据信息收集是需要成本的,为了节约成本,提高效率,政府数据信息收集部门要进行分工,数据信息企业等之间可通过协商约定,或在政府部门、行业协会的协调下,或依照法律规定或行业规则,建立数据信息收集分工关系和数据信息共享机制。避免重复收集、多头收集,增加社会成本,公众负担。 第六,境内存储。收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应进行安全评估,并遵守法律规定。 ①参见欧盟《一般数据保护法案》(General Data Protection Regulation,GDPR)第17條。 ② 关于“默示同意”在数据收集中适用的可行性、适用条件和适用范围等,参见王玉林《“默示同意”在数据收集中的适用问题研究》,《情报资料工作》2017年第2期。 ③ 中国互联网协会:《中国网民权益保护调查报告2016》,2016年6月26日,http://www.isc.org.cn/zxzx/xhdt/listinfo-33759.html,2018年1月19日访问。四、完善数据信息收集相关立法——夯实法律基础 目前,有关数据信息收集我国已经制定了一些法律法规以及其他规范性文件,主要有自2017年6月1日起施行的《中华人民共和国网络安全法》、自2013年9月1日起施行的《电信和互联网用户个人信息保护规定》(工业和信息化部令第24号)、自2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》(工业和信息化部制定颁布)、2012年12月28日通过并自公布之日起施行的《全国人民代表大会常务委员会关于加强网络信息保护的决定》、2012年6月28日发布的《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)、自2012年3月15日起施行工业和信息化部的《规范互联网信息服务市场秩序若干规定》(工业和信息化部令第20号)等。于2017年10月1日起施行的《民法总则》中也有相关条款。这些法律法规等在借鉴国外经验的基础上,结合我国实际,规定了数据信息收集的基本原则以及一些具体要求。例如,《信息安全技术公共及商用服务信息系统个人信息保护指南》就具体规定了个人敏感信息在收集和利用之前,必须首先获得个人信息主体明确授权。并规定了目的明确、最少够用、公开告知、个人同意、质量保证以及安全保障等基本原则。①这些规定对于个人数据信息收集的规范具有很重要的意义。但上述规范性文件,相对于大数据时代的数据信息收集保护利用等要求,存在着明显不足。一是虽然有一些数据信息收集方面的规定,但都不是专门针对大数据制定的,有关大数据时代数据信息的收集利用等规定还缺乏系统性和更强的针对性。二是层级太低,而且大多不具有法律法规的效力,从而影响了其在规制数据信息收集等方面作用的发挥。有学者分析了我国个人数据信息保护制度现状,指出存在的主要问题是:个人信息保护缺乏顶层设计,个人信息权还没有被确认为一项新生的独立权利;个人数据保护专项立法滞后,超出传统隐私权范围的部分往往得不到有效的保护;数据保护没有明确的监管机构;数据保护制度体系不完善等。〔4〕 当前应着眼于国家大数据战略发展的现实需要,进一步加强相关立法工作。在实践探索的基础上,将那些不具有法律强制力的行业规范及指导性文件等上升为法规法律,对大数据时代的数据信息收集利用等作出系统和针对性的规定。在制定法律条件一时还不成熟的情况下,各地可先行探索制定地方法规。贵州省在推进国家大数据(贵州)综合实验区建设中,率先进行了相关地方立法探索,《贵州省大数据发展应用促进条例》2016年1月15日经省十二届人大常委会第二十次会议表决通过,成为全国首部大数据地方法规。该《条例》共6章39条,包括大数据发展应用、共享开放、安全管理等内容,其中对数据信息采集等作出了规定。宁夏也在积极推进相关地方立法。根据《宁夏回族自治区大数据产业发展促进条例(草案)》第18条,对行政部门和行政部门以外的单位和个人采集数据,作出了规定。②《民法总则》第127条对数据财产的法律保护作出了原则性的规定,第111条对个人信息保护作出了规定。这些规定为数据信息收集及保护利用构建了重要的立法基础。在数据信息收集保护立法方面也有国际经验可以借鉴。2016年4月14日,欧洲议会投票通过了《一般数据保护法案》(General Data Protection Regulation,GDPR),该法案将于2018年5月25日正式生效。该法案对数据信息收集的原则等做了详细规定,增强了数据信息主体的权利,个人同意规定更加清晰,加大了个人隐私的保护。〔5〕 ①参见工业和信息化部:《信息安全技术公共及商用服务信息系统个人信息保护指南》,4.2基本原则。 ②宁夏回族自治区人民政府法制办公室:《关于公开征集<宁夏回族自治区大数据产业发展促进条例(草案)>意见的公告》,2017年3月7日,http://www.nx.gov.cn/zdml/yjzj/146871.htm,2017年10月21日访问。 目前国家有关规范性文件和大数据的地方立法中,主要是以大数据安全管理和相关产业发展为主要立法目的。重视这两方面的问题无可非议,但在对大数据进行法律规制上,应更加重视对公民个人数据信息权利的保护,特别是公民在互联网、手机、银行网络、电子转账支付、健康保险等方面个人隐私等数据信息的保护。之所以强调在保护上向个人倾斜,是因为个人数据信息与个人隐私、生命健康以及财产安全等密切相关,而“大数据、云计算、移动互联网、社交网络以及各种智能终端的普及使得个人数据无处遁形,而自然人的天然弱势地位导致其难以掌控自身数据”。〔6〕在数据信息收集中,软件开发商等具有利益驱动和技术等优势,共同的利益又容易使开发商等相关企业形成联盟,在影响数据信息收集相关立法等问题上,拥有话语优势。政府方面更多的是考虑大数据的产业价值和经济效益,以及维护国家安全、社会稳定等。在数据信息收集、使用等方面,个人基本上还没有话语权。因此,在数据信息收集方面,在多元利益关系和表达中,应建立倾听公民个人声音的法律制度。在制度设计上应明确公民等被收集数据信息时的权利,赋予其个人数据信息控制权,使其能够依法有效控制个人数据信息。除了政府、司法机关等特殊部门外,其他任何部门无权强行收集公民企业的个人数据信息。被收集数据信息时,有拒绝权,有要求以适当的方式合理使用数据信息的权利等。除法律明确授权的政府机关等,收集数据信息应公开进行,不得秘密收集公民、企业的信息数据。现在我国实行网络实名制,这对于加强网络管控无疑具有特别重要的意义,但这样以来,匿名对个人隐私的保护功能荡然无存。这就需要加强网络实名制下的个人数据信息收集和利用的监管,在网络管控和个人隐私保护之间求得一定的平衡,特别是对以“人肉搜索”为目的的大数据隐私挖掘行为等加以法律規制。 为了完善数据信息收集相关立法,有一些基础理论问题需要解决,如公民个人的数据信息权利的属性和内容、数据信息主体与数据信息收集者、控制者等的法律关系,公民如何更好地控制个人数据信息等。与一般物权不同,个人数据信息被他人收集后,与该数据信息所关联的个人状况表面看似乎一点也没有改变,但该数据信息的保管、使用却可能对其产生影响。在大数据领域也存在明晰产权问题,数据信息权属明确,是大数据产业有序健康发展的前提。在权利属性和内容不明确的状况下是很难谈加强权利保护的,没有建立起完善的数据产权保护制度,相关的大数据产业也是很难发展的。目前,从数据信息的权利属性和相关的产权关系上看,都是不清晰的,这是导致随意收集和数据信息滥用等的一个很重要的原因。 除上述几个方面的问题外,在制定数据信息收集利用等法律法规中,还应探索建立科学的数据信息标准体系,以提高数据信息收集的质量,提升收集和应用共享的效率。也要建立制度,规定数据信息收集者要对所收集数据信息进行识别、把关责任,要求数据信息的提供者个人、企业及政府部门等,保证所提供数据信息的真实、合法、准确、完整和可用。满足这些要求的数据信息才有价值。五、明确数据信息收集的政府责任——加强法律监管 在大数据时代,公民对个人数据信息保护处于绝对的弱势地位,那些强调手机用户要树立数据信息安全意识、采取防范措施的观点貌似合理,实际上即使不是为了推卸责任,至少也是空话。面对复杂的信息技术和互联网公司绝对的强势,用户个人在自我保护上所能够做的实在有限。一些学者还给个人数据信息遭受侵害者指出了通过诉讼维权的路径,这无疑是一个方向,但在集体诉讼和公益诉讼制度还不是很完善的情况下,用户个人通过诉讼维权,面对高昂的诉讼成本(时间、费用等),只能望而却步。因此,在目前的法治环境下,公民唯一可以期待的,是通过加强政府监管维护自己的数据信息安全。 目前数据信息收集领域违法现象十分严重。数据信息收集法律规范不完善,监管不力,造成了严重的社会问题。在数据信息收集主体不具备相应的资格、收集行为不规范、数据信息主体权利义务不明确的情况下,不仅公民个人的隐私权等易受侵害,数据信息的真实性、准确性、完整性也得不到保证。在这样的基础上推进大数据的利用可能影响数据信息产业的发展,甚至造成社会危害。依法收集、运用数据信息,监管数据信息的收集活动,在大数据时代是法治政府建设的一个重要内容,是推进依法行政的一个具体体现。政府作为数据信息的收集者和利用者,要带头守法,这是依法行政的应有之义;对于商业机构或其他非政府机构收集数据信息的活动进行监督,是法治政府的职责;规范数据信息收集和数字资源管理,保护公民法人的合法权益,促进数字产业发展,更是法治政府的责任。对违反法律规定收集数据信息的行为,要依法追究法律责任。在这方面,可以借鉴欧盟的经验。欧盟《一般数据保护法案》第83条对违法行为设定了严厉的罚款标准。对于一般性的违法,罚款上限是1000万欧元或对企业而言上一年度全球营业收入的2%(两者中取数额大者);对于严重的违法,罚款上限是2000万欧元或对企业而言上一年度全球营业收入的4%(两者中取数额大者)。① 传统的个人隐私保护制度在大数据时代已经显得苍白,需要制度创新以应对新的问题。更重要的是,要强化法律法规的实施,加强数据信息收集的法律监管。只有这样,才能为国家大数据战略的顺利实施创造良好的法治环境。 ① 参见欧盟《一般数据保护法案》(General Data Protection Regulation,GDPR)第5条。 〔参考文献〕 〔1〕王建国.关注社会现实:法律发展不可或缺的主题——解读卡多佐的社会学法学思想〔J〕.法学评论,2008,(5). 〔2〕〔3〕寒冰.大数据时代,我们一丝不挂〔EB/OL〕.中国新闻周刊,2018-01-10. 〔4〕吴晓灵.个人数据保护的制度安排〔J〕.中国金融,2017,(11). 〔5〕王融.《欧盟数据保护通用条例》详解〔J〕.大数据,2016,(4). 〔6〕何治乐,黄道丽.欧盟《一般数据保护条例》的出台背景及影响〔J〕.科技前沿,2014,(10). 【责任编辑:劉彦武】 |
随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。