大数据时代个人信息安全问题探析
——基于中美欧制度的比较
张嘉鑫
(兰州大学 法学院,甘肃 兰州 730100)
[摘 要 ]大数据时代带来了新的个人信息安全问题和挑战。近年来各国不断颁布完善相关法律法规,对公民个人信息的储存、加工、流转、应用进行规范。欧洲以基本人权为基础和美国以隐私权为主保护个人信息安全的制度值得为我国个人信息保护制度构建所借鉴。同时,需要考虑我国特有的制度、市场环境以及公民的观念意识,将观念引导、公权力介入与私法保护相结合,在效率与安全、企业利益与信息主体权益之间寻求平衡,方能有效保护和使用个人信息,从而促进大数据时代的社会进步和经济发展。
[关键词 ]大数据;个人信息安全;隐私权;个人信息权利化;中美欧制度
2011年5月,麦肯锡(McKinsey)公司发布了全球第一份从经济和商业角度研究大数据发展潜力的专题研究报告——《数据:创新、竞争和生产力的下一个前沿》,指出“数据渗透到每一个行业领域……海量数据的使用预示着新的生产力增长点和消费者剩余波的到来。”[注] 麦肯锡.大数据:创新、竞争和生产力的下一个前沿领域[R].2011. 数字经济时代的信息挖掘技术也使得以前的非敏感数据变成敏感性数据,将原本无价值的信息变的有价值,当个人信息受到侵害时,可能造成的损失不可估量。由于个人信息的重要性和不断加强的财产属性,大数据交易平台数量逐年增长,在巨大潜力的市场以及拥有雄厚资本的企业的支持下,不断体系化和规模化。
1 我国大数据个人信息安全问题概述
1.1 问题的提出
“法律保护隐私,因为当我们的隐私被非法地暴露在公众面前时,我们的自尊被摧毁,我们与他人的关系被破坏。”[注] Ruth Gavison, privacy and limitations of law, 89 Yale Law Journal 421471 (1980). 数据分析和挖掘以发现或推断未知事实为目标,它不完全依赖于因果关系,且新发现的信息是非直观和不可预知的,这使得整个过程变得非常不透明。[注] From data mining to knowledge discovery, this paper summarizes six developments of knowledge discovery and data mining cited in U-M Fayed et (EDS): Menlo Park: AAAI, 19%. 当某个主体在人们身上搜集数据,再描述测写他们,就有了更多能够加以利用的信息,就知道该如何细化样本。然后在他们关心的事件上用他们更可能产生共鸣的语言、图像给予信息,从而产生“用户画像”继而引发个人信息安全的诸多问题。在个人信息安全问题的复杂性、个人与企业之间的博弈状态、个人在个人信息安全问题的被动地位以及我国个人信息安全保护制度起步晚发展时间短的背景下,如何在数字经济领域中对个人信息保护是我们急需在当下解决的难题。与此同时,还应当考虑如何在保护公民合法的个人信息安全的同时,关注数字经济产业的经营效率,构建公平安全的营商环境,从而促进经济发展。
1.2 我国私法保护个人信息安全的框架
1.2.1 《侵权责任法》
数字经济领域保护个人信息的私法典型依据可以追溯到2010年7月1日生效的《侵权责任法》第36条的规定,但该规定仅仅从三个具体行为方面进行论述,未具体规定行为和结果的联系,法条在民事法律诉讼中并未实质上对被侵权人进行救济。
1.2.2 《消费者权益保护法》与《广告法》
微生物品种种类多、应用范围广,并能够促进有机物料腐熟,改善农产品品质,改良和修复土壤。截至2018年9月,我国微生物肥料年产量在1600万吨,年产总值达到300亿元。微生物肥料累积应用面积3亿亩以上,应用范围包括蔬菜、果树等。微生物肥料已成为新型肥料中年产量最大、应用面积最广的品种。可以说,微生物肥料具备国家战略需求特征。
1.2.3 《网络安全法》
我国《网络安全法》第22条与第37条对网络服务运营者对个人信息的收集、使用和储存进行了规定。第41条至第45条从收集和保密两个主要方面进行论述。第64条对于违反本法第22条第3款、第41条至第43条规定的行为规定了侵害个人信息需承担的法律责任,而盗窃、非法获取、销售个人信息的行为会被处以高额赔偿。与此同时,本法第76条对个人信息的概念进行了较为清晰的规定。
1.2.4 《民法总则》
本法第111条明确规定了个人信息受到法律保护,但并未对个人信息进行权利化,在条文中也未出现“权”字,旨在以行为规制模式保护法益。叶金强教授认为,在不进一步探讨个人信息权的前提下,采取行为规制模式是明智、审慎的,对个人信息领域有了更清晰的认识之后,可以采用权利规制模式。笔者认为立法机关应当将个人信息作为隐私权保护对象还是单独保护还处在讨论和衡量阶段,个人信息权利化的趋势还需继续探讨,若在隐私权下可以给予个人信息足够的保护,则不应进行单独规制。
1.2.5 《电子商务法》
美国现有立法规定只能在限定范围内以市场目的从事消费者数据的收集、使用和出售,并没有统一规制信息的收集和交易。[注] Government Accountability Office, Information Resellers: Consumer Privacy Framework needs to reflect changes in technology and marketplace, Sep.2013. 另外,通常准许为研究等目的收集、使用、公开个人健康信息,并处理信息使其不能联系到个人身份信息。[注] Information and privacy Commissioner, Ontario, Canada: Dispell the Myhts Surrounding De─identification: Anonymization Remains a Strong Tool for Protecting Privacy, June 2011. 2012年2月,白宫最终报告《网络环境下消费者数据的隐私保护——在全球数字经济背景下保护隐私和促进创新的框架》[注] The White House, Consumer Data Privacy in a Networked World: A Framework For Protecting Privacy And Promoting Innovation in The Global Digital Economy 32 n.39 (Feb.2012). 中确立了消费者的一些隐私类权利。并于2015年的《消费者隐私权利法案》中坚持了技术中立,以公平信息实践法则为基础,对“告知与同意”框架进行强化,规定了数据保存与处理的安全责任,制定了事后问责制的内容。对于《消费者隐私权利法案》,微软首席隐私官Brendon Lynch表示,虽然有些人反对,有些人赞同,但不管怎样这都是一个好消息,因为人们开始为之对话了。消费者将在访问商家储存的个人数据上拥有越来越完整的权利,这无疑是美国对于个人信息安全的一次重大制度尝试。
将于2019年1月1日起施行的《中华人民共和国电子商务法》中有关个人信息的条款众多。第17、18条和第25、27条要求电子商务经营者对进入平台的消费者积极履行保护个人信息性质的义务。第59条至第63条提出,针对个人信息发生的纠纷可以先选择平台投诉、协商和解的方式解决争议。同时第62条对上述行为的举证进行了规定,对之前法律法规未对个人信息举证问题进行规定这一漏洞的填补,有利于解决个人信息被侵犯举证难的问题。本法第79条将其与《网络安全法》衔接,加上第83条对侵害消费者合法权益的责任进行具体化规定,使个人信息保护保护体系日趋完善。
1.3 我国公法保护个人信息安全的法律框架
第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人大常委会关于加强网络信息保护的决定》第一条明确规定了所保护的个人信息的性质。我国《刑法修正案(九)》将“情节严重”解释为造成被害人人身伤害或者死亡,严重影响被害人的名誉,并加强对“情节严重”的处理,加大力度保护名誉。《刑法》第253条于2017年11月4日重新颁布且当日生效,具体规定了侵犯个人信息安全罪的构成要件。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确具体地规定了“公民个人信息”的含义以及违法的行为类型,并对第253条进行了全方位解析。司法实践中,如周某某等侵犯公民个人信息案[注] 浙江省平湖市人民法院/(2016)浙0482刑初1022号/2016.12.07. 和夏某某侵犯公民个人信息案[注] 浙江省绍兴市柯桥区人民法院(原浙江省绍兴县人民法院)/(2017)浙0603刑初97号/2017.02.10. 等最高法院发布的典型案例中,刑法第253条成为判决的重要法律依据。
《消费者权益保护法》第29条规定经营者要履行合法、保密、侵犯信息的义务,当侵权情况发生时,应采取补救措施。《消费者权益保护法》的第29条与50条明确具体了责任,其后实施的《广告法》中第43条,45条以及63条是对《消费者权益保护法》的补充,对侵犯个人信息的广告行为进行了规定,并且在第63条中确定了罚金数额。尽管《消费者权益保护法》与《广告法》的内容更加具体,但《消费者权益保护法》未对“个人信息”进行法律上的概念确定。同时仅要求侵权行为发生时采取补救措施,未说明未采取措施的责任。同时,侵权责任的承担方式过于笼统,五种侵权责任承担方式应如何选择以及赔偿金额没有得到适当规定。
2 美国对个人信息保护的法律框架
2.1 基于隐私权进行保护
美国对个人信息的保护由隐私权的相关法律完成,涵盖了联邦与各州层面。最初,美国隐私权保护主要针对公权力对公民隐私权的侵犯,1934年的《侵权法重述》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。在美国,隐私权是宪法中的基本权利,即每个人可以控制其身体、家庭、财产、思想、感情、秘密等各个领域的内容,选择是否披露,如何披露并防御他人的非法侵扰、知悉、收集、利用和公开。[注] ONN Y.Privacy in the Digital Environment, Haifa Center of Law & Technology,2005:1-12. 显然,在包罗万象的美国隐私权体系中,个人信息是其中的一类保护对象。
2.2 “隐私的合理期待”概念的提出
1964年,美国最高法院通过Katz V. United States 案确立了“隐私权的合理期待”标准,至今依旧被使用。隐私权主要通过监视场所、监视侵犯程度、监视对象性质三个要素来考察。用依据普通人的常识和逻辑能够推论出的标准来对推断出个人信息的隐私标准,并对其加以保护。
美国通过“隐私权”这一宽泛的概念来保护个人的隐私,更强调其中的隐私风险评估,通过隐私风险评估来确定标识符是否可识别。1974年的《隐私法案》规定,联邦机构限制可识别信息的披露,并要求机构提供对个人信息记录的访问。1986年通过的《电子通信隐私法》主要禁止未经授权的电子窃听行为,对信息传输安全、存储安全和监视合法性进行了规定。1998年,美国通过了《儿童在线隐私保护法》,规定网站经营者必须披露其隐私保护政策,说明寻求儿童监护人同意的时间和方式,以及侵害儿童隐私的责任。2001年HIPAA修正案的目标之一是保护患者的电子健康记录并提出具体的保护标准,该法规定了行政保障、实物保障、技术保障及安全责任的分配。对于违反安全标准的实体,规定最高罚款25万美元,并处以最高10年监禁的严重惩罚。[注] http://world.huanqiu.com/article/2015-07/7090361.HTML.
2.3 关于“隐私权”保护的代表性法律规范
高居翰教授曾在美国华盛顿弗利尔美术馆服务近十年,并担任该馆的中国艺术部主任。他也曾担任已故瑞典艺术史学者喜龙仁的助理,协助其完成了七卷本《中国绘画》(Chinese Painting:Leading Masters and Principles)的撰写计划,自1965年起,他开始任教于伯格利分校加州大学的艺术史系,负责中国艺术史的课程,1997年获得学院颁发的终生杰出成就奖,美国时间2014年2月14日,高居翰病逝于加州。
2.4 美国关于个人信息安全的制度创新
It clears sooner than it snows, bad weather in successive days.
早在1970年,德国黑森州便制定了世界上第一部专门的个人数据保护法《黑森州数据法》。欧盟近期颁布的《欧洲通用数据保护条例》(GDPR)对个人信息安全保护进行了系统明确的规定。GDPR是全球目前最先进的隐私保护制度,GDPR中规定将各家公司的数据治理模型分成三块:收集(关注用户计数)、使用(关注对访问控制的管理)和审计(关注GDPR的可追踪性的需求);它还提供了数据抽象层,以加强对数据的审计和隐私保护,违反GDPR相关规定的公司可能被处以高达年收入4%的罚款。
2.5 比较与借鉴
美国商业领域有着健全的营商环境,美国公民对自身权利关注度较高,通过以隐私权为基础的法律制度来保护个人信息自然水到渠成。我国学说在研究个人信息安全问题上,多数归纳在“隐私权”这一大概念之下,研究思路与美国通过“隐私权”来保护有相似处,其中关于“隐私的合理期待”等观点我国应当予以采纳。同时,美国时刻关注着个人信息与利用之间的联系,在其体系构建的过程中,明确了保护个人信息的准则,限制企业在各环节非法利用信息,从各个方面考虑并加以规制,也在不断加强消费者对其个人信息的控制力,有关个人信息保护的举措应当引起我国重视,并且在制度建设中进行学习借鉴。
3 欧盟个人信息保护制度
3.1 基于基本人权的保护
欧盟对个人信息的保护基于对基本人权的保护。与美国相比,欧盟在数据再利用的方面,更加注重匿名技术在个人数据保护中的重要性,更多的考虑反向工程,对可能采取的一般合理手段进行关注,严格限制数据掌握者对信息的重新识别。耶鲁大学教授怀特曼认为,隐私保护系统在欧洲和美国有两个不同的核心价值观: “一是主要被大众媒体威胁的个人尊严利益,这属于欧洲;二是主要被政府威胁的自由利益,这存在于美国。”[注] James Q.Whitman,The Two Western Cultures of Privacy: Dignity Versus Liberty,113( 6) Yale Law Journal 1151,1221(2004). 欧盟相较于美国,对信息的商业价值保护力度较弱,更加关注个人信息安全与权利本身之间的联系,对基本人权的保护从而进行个人信息保护的味道浓厚。
3.2 典型法律和立法模式
全区参加宪法知识闭卷考试的干部包括:区人大机关工作人员和各街道人大工作室主任;区政府部门主要负责人;区监察委员会副主任、委员;区法院员额法官、区检察院员额检察官,共计115人。开展宪法知识考试,旨在进一步宣传学习宪法,引导全区干部以习近平新时代中国特色社会主义思想为指导,坚持党的领导、人民当家作主、依法治国有机统一,维护宪法权威,把全面贯彻实施宪法提高到一个新水平,让全区领导干部切实把思想和行动统一到区委“1+541”工作主线上来,自觉做宪法权威的捍卫者、宪法实施的推动者,全面提高全区领导干部的宪法思维和宪法意识,深入推进依法行政、依法监察、公正司法,为建设“法治槐荫”作出新贡献。
3.3 德国“信息自决权”的创新提出
近年我国学者提出通过个人信息权利化来保护个人信息的新思路,并得到一些学者的认可。德国的信息自决权与个人信息权利化较为相似,通过权利化构造对个人信息保护的法律框架从而进行全面保护,是值得考虑的一个新想法。欧洲因其法律制度基础浓厚,在构建新型法律框架去保护一个新型权利时游刃有余。同时,美国和欧洲在个人信息保护制度建设上,逻辑体系完备,体系化健全,往往各个法律相互补充,所以在此基础上增添新的方式和思路,是画龙点睛之笔。
博罗水文站大断面平均水深比较表明与1966年大断面相比较,1989年、1995年、2000年大断面地形分别增加0.20 m、0.39 m、1.14 m,最大下切约4 m。
3.4 比较与借鉴
欧洲国家中对个人信息安全研究最为深入的德国学界提出了“信息自决权”(Das Recht auf informationelle Selbstbestimmung)的概念,这一概念也成为目前德国《联邦数据保护法》的理论基础,以及德国学界对个人信息法律研究的基点和方向。德国学者施泰姆勒在《联邦数据保护法(草案)说明》中将“信息自决权”表述为“人们有权自由决定外在世界可多大程度上获知自己的思想及行动。”[注] Steinmüller/Lutterbeck/Mallmann/Harbort/kob/schneider,Grundfragendes Datenschutzes,Gutachten im Auftrag des Bundesministeri-ums des Inneren, 1972, BT -Drucksache Vi 3826, 1.Aufl.,S.684 ff. 此表述也是目前对“信息自决权”较为权威的解释。马尔曼在其著作中认为,信息自决权对人格的建构和发展起着决定性的作用。他们更加强调人格的自由发展,正如施密特(Schmidt)认为人格自由发展和人格尊严的前提是决定自由。[注] Vgl. Christoph mallmann, Datenschutzin Verwaltungsinformationssysttemen, München, 1976, S.56. 个人信息暴露得越多,越容易受到他人的影响,对自由的限制也越多。[注] Vgl.Walter Schmidt, Die bedrohte Entscheidungsfreiheit, JZ 1974,241(245). 德国学术界以“信息自决权”这一消极防御性的基本权利为核心,从积极视角回答个人信息的价值问题,构建个人信息保护的法律框架。
目前,纸病在线检测系统普遍采用“电荷耦合器件(Charge Coupled Device,CCD)相机+计算机”的硬件结构模式,通过CCD高速相机实时采集纸张图像数据并传送至检测系统PC端,系统的核心处理器利用图像处理技术对纸张图像进行处理和辨识,实现对黑斑、孔洞、划痕、裂边等缺陷的识别和分类[1- 3]。但是随着纸机车速的提升、纸幅的加宽以及对纸病辨识精度的提高,CCD相机采集到的海量图像数据,给系统的快速性甚至稳定性带来了巨大冲击,如何解决打破纸病辨识快速性这一瓶颈已成为当前研究纸病检测技术的关键问题。
4 大数据个人信息安全保护制度探索
4.1 隐私权保护个人信息的制度合理性
大数据时代数据信息地位的不断提升,体现为数据信息的个人隐私和自主权如私人生活隐私、通信安全、个人金融隐私、未成年人隐私的保护已迫在眉睫。住宅隐私权的保护、公共场所隐私权的保护、公众人物隐私权的保护与限制、他人隐私权的合理限制、隐私权与公众舆论监督的矛盾与冲突早已形成了隐私权保护的问题框架,现代科学技术的发展尤其是信息技术的发展在为隐私权的保护提供了新方式之外,也带来了更多的挑战。[注] 王利明.使人格权在民法典中独立成编[J].当代法学,2018(3). 从隐私权角度出发对个人信息的保护的法律制度是个人信息保护的重要力量,能够实现消耗较为低廉的成本对个人信息安全遭遇的问题加以解决。加之隐私权保护个人信息在我国拥有比较成熟的理论基础,基于隐私权对个人信息进行全面的保护是一个可以选择的合理方式。
4.2 权利化保护个人信息的趋势与路径
就现行立法而言,个人信息保护的总体方向是将其归类为隐私权和人格权的保护,并以侵权责任为手段予以救济。2017年3月,全国人大代表吴晓灵、中国人民银行营业管理部主任周学东以及45位全国人大代表在“两会”中提交议案[注] 在会议中建议全国人大常委会尽快制定《中华人民共和国个人信息保护法》。提交议案的同时将《中华人民共和国个人信息保护法(草案) 》作为附件提交. ,草案共分为五大章节,“个人信息权”是其中第二章,草案中国家机关与非国家机关作为两个主体分列于第三章和第四章进行规制,第五章的法律责任章中新加入了“精神损害赔偿”与“共同侵权”的概念。草案逻辑性强目的性明确,将个人信息权利化作为重点,不再通过隐私权标的进行保护,而是将个人信息上升为一种民事权利进行保护,与欧洲基于基本人权进行保护相似,其特点相较于基于隐私权保护更加明确具体,但成本更高。草案相较于GDPR有明显不足,GDPR规定了公司的数据治理模型,同时规定用一层数据抽象层来加强对数据的审计和隐私保护,除了被动保护之外,它更加强调主动保护,希望通过规定数据治理模型和审计,隐私保护将侵犯个人信息的行为扼杀在摇篮中。GDPR的创新规定应当引起立法者和学者的重视,草案需吸取和发展,不仅仅停留在救济阶段。
4.3 大数据个人信息保护制度的建构意见
应在以人格权保护为核心的基础上,对个人信息概念进行细致划分,以个人信息的性质分类,将有财产性质商业价值的个人信息予以更深层次的保护和更宽泛多样化的救济途径。内部治理机制与外部法律制度相辅相成,除公权力规制外,需要私法秩序对平等主体进行规制,在个人信息安全领域给予关注,给予个人适当的权利,从而提供个人人格发展的空间。辅之以政府部门的管理和刑法上的相关规定,对个人信息进行层次性体系化的保护,不仅依靠过错推定原则,基于损害事实的客观存在推定加害人或组织行为有过错并因此而承担赔偿责任,依托司法三段论对加害人或组织的法律行为与法律规范相连接做出合理正确的判决,同时对大数据、互联网企业的数据治理模型构建、审计数据储存使用以及经营者数据收集和保护进行规定,达到防患于未然的目的。
除此之外,公权力监管机构与行业自律组织还应当在行业引导和观念意识教育方面发挥作用。根据我国《电子商务法》《民法总则》《网络安全法》《侵权责任法》等法律积极引导征信机构和信息实际控制者,激励与管制并存,使其意识到合理利用个人信息的重要性以及对企业信誉的影响,引导他们树立正确的个人信息观,正确使用个人信息,获得商业价值。政府部门应以指导性意见为主,以行政强制为辅,规制信息控制者。落实企业对个人信息利用的公开透明原则,让信息主体有权利和能力去监督企业并及时维权和救济,降低搜集证据的难度,针对当事人取证难的问题对举证责任进行细化规定,使个人在与互联网企业的博弈中尽量占据主动地位,避免出现极度消极防守的情况。既要对消除相关影响,恢复名誉和赔偿道歉等相关行为应做出规定,同时对财产性的个人信息的侵犯应当进行惩罚性赔偿措施,用以弥补侵权与维权为信息主体带来的损失和成本,激发公民积极维护个人信息的热情。
5 结 论
“大数据时代,隐私权已死。”[注] http://www.euronews.com/2014/01/06/big data big brother and the death of privacy in the digital age/ 2018/11/13访问. 的论断在近几年尤为兴盛,人们笼罩在个人信息透明化与被分析的恐慌之中,个人信息安全问题的解决已刻不容缓。任何制度的建立并非只是一味地寻求赔偿和惩罚,最终的目的是调整社会关系,使之达到衡平的状态,对于个人信息的制度建设亦是如此。在借鉴美国、欧洲相应制度的同时,需要考虑我国特有的制度、市场环境以及公民的观念意识,在效率与安全、企业利益与信息主体权益之间寻求平衡。只有将观念引导、公权力介入与私法保护相结合,让个人拥有监督权利与救济途径,能够保护以及合理利用自己的信息,让大数据从业者合理的收集利用信息,让权利救济、行为监管与激励市场制度相辅相成,方能有效保护和使用个人信息,从而促进大数据时代的社会进步和经济发展。
综上所述,作为一名高校数学教师,应不断提升自身数学文化素养,将传统的高职数学教育提升至数学文化教育层面,以提高学生数学素养,为学生可持续发展奠定良好基础。实践证明,在数学文化背景下学习数学,对学生情感态度、思维能力和价值观等都有积极而深远的影响,使培养的学生不局限于所学专业技能,充分发挥自身能力和智慧,主动适应环境,更好地融入经济社会的大潮中。
参考文献 :
[1] 王利明.使人格法在民法典中独立成编[J].当代法学,2018(3).
[2] 李晓升.大数据时代个人信息安全的刑法立法与完善[J].中国市场,2018(16).
[DOI ]10.13939/j.cnki.zgsc.2019.12.010
[作者简介 ]张嘉鑫(1998—),男,汉族 ,四川营山人,就读于兰州大学法学院,研究方向:民商法。