大数据征信下“被遗忘权”问题初探
关键词 大数据 征信 “被遗忘权” 个人信息保护
基金项目:本文系四川省高校人文社会科学重点研究基地基层司法能力研究中心JCSF2015-11成果之一。
作者简介:李颖,桂林电子科技大学马克思主义学院,法学博士。
中图分类号:D920.4 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文献标识码:A ? ? ? ? ? ? ? ? ? ? ? ?DOI:10.19387/j.cnki.1009-0592.2020.06.249
征信系统的全社会覆盖,是我国全面推动社会信用体系建设的必要举措。近年来,随着互联网、云计算等技术的快速发展与逐渐成熟,催生了大数据与征信业务融合发展的新型征信业态。大数据征信在创造巨大数据红利的同时也导致个人信息安全处于较为危险的境地,如何平衡数据红利与信息安全以实现兼容,是亟待解决的问题。我们认为,在大数据征信下探索“被遗忘权”的实现,或许能为大数据征信的良性发展提供思路,进一步助力社会信用体系建设。目前“被遗忘权”并非我国法定权利,那么立足中国国情探讨大数据征信下的“被遗忘权”问题实际上涉及到何以必要、何以可能、何以实现三方面的内容。一、大数据征信下“被遗忘权”何以必要
近年来,大数据征信作为新兴征信业态得到快速发展,虽然在理论界和征信业界对大数据征信模式和监管机制仍存在一定争议,且中国人民银行作为征信业管理机构尚未向征信机构颁发个人征信业务牌照,但阿里、腾讯、平安等互联网企业或传统金融机构纷纷涉足大数据征信行业则已是不争的事实。大数据征信依托大数据技术,对海量的个人信息进行处理分析,不可避免地会对个人信息主体的信息保护产生较大冲击。从法律规范的角度实现对个人信息数据的保护比单纯运用技术手段保护个人信息更能解决数据红利与信息保护之间的矛盾、更加符合大数据征信发展的需要。大数据征信下“被遗忘权”何以必要可以通过以下几方面得以体现:
(一)大数据征信下个人信息保护面临严峻挑战
首先是信息主体的知情权、同意权无法保证。在大数据征信中,信息主体对自身信息的自主支配权遭到严重削弱。部分网站在用户注册时就设置允许网站使用用户数据的强制性条款,若用户不同意,就无法完成注册。大数据征信的数据处理过程呈现出黑箱化,信息主体无法了解自身的信息是否被采集,以及采集后的用途,造成个人信息保护方面的权利弱化、虚化。其次是个人数据保护的边界较为模糊。与传统征信相比,大数据征信的数据采集范围往往突破征信规定的要求,不仅会采集信息主体的金融数据、司法数据、行政处罚信息等,还大量采集个人的网上交易、社交网络等非直接必要信息,且采集的信息之间呈现个人标识可识别分析的强关联性,大数据征信机构很容易在不同信息间建立起个人身份之间的关联,危害个人信息安全。最后是个人信息保护的救济手段有限。由于大数据征信涉及征信机构、政府、企事业单位、个人等多种主体,同一个人的信息有可能被多家机构重复采集,经过多个不同的大数据征信机构的处理分析,形成征信信息使用者想要的结果,用户在整个过程中很难掌握个人信息的流向,在个人信息保护方面缺乏有效救济途径和维权手段。
(二)我国对大数据下个人信息保护的立法尚不健全
从我国立法情况来看,涉及到大数据下个人信息保护问题的主要有《中华人民共和国网络安全法》和《中华人民共和国侵权责任法》,为网络侵权问题提供了法律依据。从具体的法条来看,实际上指向的是网络行为中的隐私权侵权。我国法律明确规定了隐私权的存在,《中华人民共和国侵权责任法》第三十六条以及《中华人民共和国网络安全法》第四章关于“网络信息安全”的内容都体现了对网络隐私权的保护。那就存在一个问题了:网络隐私权的保护等同于大数据下的个人信息保护吗?我们认为,两者绝不能简单地划等号。从学界的研究来看,对于隐私权与个人信息权的划分有多种方式,结合大数据征信的实际情况,我们较为认可王利明教授所提出的狭义隐私权之说,实际上隐私权与个人信息权是各自独立的人格权利,两者在个人生活秘密这部分存在一定的重合。按照这样的划分,网络隐私权的保护并不等于完全的网络个人信息保护,两者存在一定的交叉,但并不完全相同。那么在当前的立法状况下,就存在一些滞后于大数据征信现实需要的问题:首先是个人信息权尚未成为法定权利,只是学界广泛探讨的应然权利。个人信息权作为独立的人格权利,在我国的立法中并未体现,有的学者认为隐私权可以做广义解释以包含个人信息权,我们认为并不合适。将个人信息权从应然权利转变为实然权利,才有助于进一步规范大数据征信,促进社会信用体系的有序建设。其次是隐私权保护的重视与个人信息权保护的缺失形成强烈反差。在现有的法律规范条件下,对于隐私权的保护日益完善,这其中包含了在大数据征信下对隐私权的保护。然而大数据征信下的个人信息安全问题涉及到的既有隐私权也有个人信息权,不管是《中华人民共和国网络安全法》还是《中华人民共和国侵权责任法》都是立足于隐私权的保护来展开的,这就使得大数据下的个人信息权的保护处于真空地带,实际上形成了隐私权保护的重视与个人信息权保护的缺失之间的矛盾,使得大数据征信出现诸多无法用法律去规范的状况。
(三)公众对“被遗忘权”的认知很匮乏
“被遗忘权”实际上是个人信息权的下位权利,属于个人信息权的一部分,被遗忘权是通过删除数据以达到弱化他人记忆来实现的。在传统社会中,物化的信息可以通过撕毁、毁灭等方式删除以实现被遗忘,从而保障个人信息的安全。随着大数据时代的来临,传统的数据删除方式已不再适应个人信息保护的现实需要,媒体介质的作用使得个人信息安全存在很大风险,因此“被遗忘权”逐渐体现出其适应大数据需要的价值。然而,由于个人信息权和被遗忘权在我国并不是法定权利,只是学界探讨的范畴,在实践中公眾对被遗忘权的认知匮乏体现在:首先是认为隐私权等同于个人信息权,隐私权保护就等于个人信息保护,在大数据征信中重视隐私权的保护却对个人信息保护的不力状况产生迷茫。其次是将个人信息权与被遗忘权等同,忽视两者的层级关系。最后是大多数人并不清楚“被遗忘权”意味着什么。学界对被遗忘权的探讨颇多,但是从实践层面,大多数公众并没有被遗忘权的概念,也不知道被遗忘权如何保护,公众的认知匮乏在一定程度上也导致了大数据征信下的个人信息保护失控。
综合以上因素,大数据征信下引入“被遗忘权”是必要的:大数据征信下隐私权与个人信息权并不一致;大数据征信中个人信息保护关注的不仅是信息主体的隐私,更需要关注信息主体的可识别性和对信息主体的信用状况评判功能;“被遗忘权”是帮助信息主体改过自新的重要手段。二、大数据征信下“被遗忘权”何以可能
在大数据征信下引入“被遗忘权”既然是必要的,那么从中国国情出发,在大数据征信中实现“被遗忘权”又是否可能,被遗忘权要从应然权利走向实然权利是否具备基础条件?我们认为,国外“被遗忘权”的有益实践对我国的启示、我国网络信息安全立法的不断完善、国内学界对 “被遗忘权”的研究成果不断丰富等,為大数据征信下“被遗忘权”的实现提供了有利条件。
(一)国外“被遗忘权”有益实践的启示
国外对于“被遗忘权”的探索要追溯到20世纪70年代,从法国“忘却权”到欧盟“删除权”再到大数据时代的“被遗忘权”,欧盟对于“被遗忘权”的探索是积极有益的,并且在对“谷歌诉冈萨雷斯被遗忘权案”的处理结果中体现了“被遗忘权”在法律实践中的重要价值,引起广泛关注。国外“被遗忘权”的有益实践对我国的启示有以下几方面:首先是要划定大数据征信“被遗忘权”的效力边界。在互联网、大数据环境中,个人信息数据分布在不同的节点中,即使大数据征信机构删除在征信系统中的个人数据,也无法保证不会在下一次数据抓取中被重新采集。由于互联网具有跨国界、开放性,即使一个国家内的征信机构和网络运营者删除或屏蔽了相关个人信息,但在国外的相关网站极有可能搜索到同一信息,在数据的采集中仍有可能被抓取,因此要划定大数据征信“被遗忘权”的效力边界。其次是要明确大数据征信“被遗忘权”的权利主体。由于大数据征信具有数据来源广泛、涉及信息多样、处理技术复杂以及应用渠道交织等特点,大数据征信中的个人信息数据所有权、控制权等权利尤为复杂。因此,要对不同类型信息主体的“被遗忘权”进行分类设置,以实现个人信息保护与大数据经济效益的平衡。最后是要明确大数据征信下“被遗忘权”的义务主体。比如审查义务主体和通知义务主体,个人提出的大数据征信“被遗忘”申请需要相应的主体负责审查,确认是否属于应删除的范围。出于全面保护个人信息权的目的,应在大数据征信系统外,对符合“被遗忘权”的个人信息进行整体删除,因此对于确认“被遗忘权”申请的个人信息,应明确相关主体向提供原始数据的网络运营者发出删除通知,这都需要确认义务主体。
(二)我国网络信息安全立法不断完善
目前,我国大数据征信发展远比国外发达国家活跃,为保护个人信息主体在大数据征信等互联网上的隐私权,我国已制定出台了一些个人信息保护的法律法规。如《中华人民共和国网络安全法》第四章明确了网络信息安全的权利义务。《中华人民共和国侵权责任法》也明确了网络侵权需要承担责任。我国《征信业管理条例》也明确禁止征信机构在没有告知信息主体后果和取得书面同意的情况下擅自采集个人信息。中国人民银行颁行的《征信机构信息安全规范》规定通过征信系统采集到的个人不良信息在超过法定期限后应当予以删除或者去标识化处理,保证个人信息不能被识别。此外,我国《征信业管理条例》中规定“征信机构对个人不良信息的保存期限,自不良行为或者事件终止之日起为5年;超过5年的,应当予以删除”,实际上就是征信领域“被遗忘权”的一种具体实现。上述法律法规表明,我国的法律和征信业相关法规都已对个人征信信息的删除权等个人信息权利进行了规范,这为大数据征信下的“被遗忘权”的实现提供了必要的支撑。
(三)国内学界对“被遗忘权”的研究成果不断丰富
随着大数据时代的来临,个人信息安全问题越来越受到公众的广泛重视,“被遗忘权”的研究开始受到国内学界的关注,从2012年至今5年左右的时间涌现了许多研究成果,围绕着被遗忘权的概念、演化进程、构成要素等本体论以及被遗忘权的中国化问题、如何在大数据环境下实现“被遗忘权”进行了广泛的探讨。学界普遍认同的是:第一,被遗忘权不同于隐私权,两者是不同的概念。第二,基于我国国情,被遗忘权有必要保障实现。第三,个人信息保护可以通过“被遗忘权”来实现。第四,大数据环境下“被遗忘权”是有现实价值的。第五,“被遗忘权”的保障实现要紧贴中国化、本土化实际。虽然学界对如何实现“被遗忘权”的途径和方法众说不一,但是对“被遗忘权”本体论的研究较为成熟,这为大数据征信下“被遗忘权”的实现提供了有利条件。三、大数据征信下“被遗忘权”何以实现
实践是检验真理的唯一标准,我们对大数据征信下“被遗忘权”的探讨最终指向的是实践,旨在为规范征信市场、加快建设社会信用体系提供动力。根据对“被遗忘权”的剖析,我们认为在大数据征信下要实现“被遗忘权”可以通过规则适用的方式来实践。在规则适用上要体现三个理念:一是兼顾对大数据信息的合理利用和个人信息主体合法权益保护的平衡,寻求社会公共利益与个人经济效益的最有效结合点;二是注重“被遗忘权”实现的技术可行性,需要将个人信息保护纳入到大数据征信整体技术框架设计中,强化个人信息保护的可操作性;三是针对大数据征信的海量数据复杂计算处理特点,明确对自然型个人信息和合成型个人信息的差别化规则选择,实现个人信息的穿透式保护。
在“卡-梅框架”和“凌式框架”的基础上,结合中国当前大数据征信的实际情况,我们认为大数据征信下“被遗忘权”的实现应建立信息选择菜单,对不同类型的数据适用不同的规则。大数据征信下的个人信息的数据法益应当归属于数据生产者,通过采取不同规则适用来规范和调整数据生产者的行为,进而构建完备的大数据征信的个人信息保护体系。我们可以通过以下表格来分析:
表1:法益归属于数据生产者的规则适用结果
(一)无为规则适用结果
在适用无为规则时,大数据征信对数据本身采取“不保护、不处罚”的态度,大数据征信机构可以自由地利用信息主体的个人信息进行获利。适用无为规则虽然有利于在短期内促进大数据征信的快速发展,达到“放水养鱼”的目的,但也会严重威胁个人隐私、财产利益、商业秘密甚至国家安全。从表1中可以看出,在无为规则适用中,数据安全最小化、数据红利从经济价值和社会治理方面体现出最大化。在大数据征信发展初期,由于相关法律法规的不完善、大数据征信机构主体身份不明晰、个人信息保护意识不强等客观条件限制,无为规则适用无疑是客观存在的。但从远期看,为保证大数据征信的健康有序发展,无为规则必将被其他有为规则所替代。
(二)财产规则适用结果
在适用财产规则时,数据生产者在自愿决定交易价格的前提下,实现数据的自由流动。数据生产者出于个人隐私和信息保护的考虑,有可能采取三种形式的理性行为:对非常在意的个人信息,可直接拒绝其数据被采集;对完全不在意的个人信息,可允许数据采集者在支付交易对价的前提下采集、处理和应用;对一般在意的个人信息,则可以要求数据采集者达到一定的个人信息保护条件后方可使用。从表1中可以看出,在财产规则的适用中,数据安全和数据红利均出现最大化。
(三)责任规则适用结果
在适用责任规则时,其法定价格除开数据本身的对价外,更多的是个人信息权和隐私权受到侵犯时的赔偿价格。当大数据征信中个人信息的数据法益归属于数据生产者,且法定价格高于或等于数据利用所获得的收益時,适用责任规则能够对处于数据寡头地位的大数据征信机构形成较有力的约束。从表1中可以看出,适用责任规则会带来最小化的数据安全保护和最大化的数据红利,实际上个人信息安全面临很大的威胁。
(四)管制规则适用结果
管制规则是指在法律明确了法益归属的前提下,在严格限定法益转移的法定条件下,允许法益转移,且法定条件是国家或代表国家的机构制定的,其出发点是为了保护公共利益的社会价值。管制规则主要是通过对交易方式的法定,确保数据既能够顺利“流动”,又能够保证数据的基本安全。从表1中可以看出,在管制规则的适用中,数据安全、体现经济价值和社会治理的数据红利均表现为适中。
(五)禁易规则适用结果
禁易规则是最严格的数据保护规则,在适用禁易规则时,数据生产者能够自由支配自己产生的数据,但互相之间不能交易,则能够最有效的保护个人信息安全,但却容易形成数据孤岛,限制大数据经济的发展。我国的法律法规明确禁止包括大数据征信机构在内的各类征信机构采集、存储、处理和使用个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息,实际上就是禁易规则的体现。从表1可以看出,适用禁易规则可以实现数据保护的最大化,但是却出现数据红利的最小化。
(六)结论
基于以上分析,我们认为立足于我国国情,在大数据征信下“被遗忘权”的实现方式:将数据法益归属于数据生产者且适用财产规则作为一般规定,在此基础上对几种特定类型的数据适用原则进行特殊规定。特殊规定主要体现在以下几方面:第一,对于涉及国家安全和法律法规禁止采集的个人信息,应无条件适用禁易规则。第二,对大数据征信机构违规采集、存储、处理、使用和交易的,数据生产者拥有“删除权”,大数据征信机构都应立即删除。第三,对于法律法规未禁止采集且数据生产者愿意交易的个人信息,应适用财产规则允许交易,但对于过期、非相关的个人数据,也应允许信息主体拥有“被遗忘权”。第四,对于法律法规规定需要采取管制规则的大数据征信数据,个人数据生产者也应拥有与适用禁易规则相似的“删除权”,从而实现维护国家信息安全和个人信息隐私等目的。第五,对于侵犯信息主体隐私权的大数据征信数据,应当适用责任规则,由相关主体向数据生产者支付法定价格,但数据生产者不再拥有对相应数据的“被遗忘权”。
总的说来,大数据征信作为新兴征信业态,是建设社会信用体系要面对的一个重要问题,如何实现大数据征信规范有序,关系着国家-社会-个人发展的协调统一。我们认为要解决当前大数据征信面临的诸多问题,可以从引入“被遗忘权”着手,通过权利的实现来清除大数据征信发展的障碍,进一步加强个人信息保护,以实现社会和谐稳定发展。我们从大数据征信下“被遗忘权”何以必要、何以可能、何以实现三个方面阐述了对该问题的思考,以期抛砖引玉!
参考文献:
[1]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4).
[2]王勇,王蒲生.大数据征信的隐私风险与应对策略[J].自然辩证法研究,2016(7).
[3]王茜茹,相丽玲.被遗忘权的演化进程研究[J].现代情报,2015(9).
[4]肖冬梅,文禹衡.法经济视野下数据保护的规则适用与选择[J].法律科学,2016(6).