1 引言
信息技术的飞速发展正持续而深刻地改变着人类的存在方式。在人们尚不知云计算为何物时,大数据就已迫不及待地浸入了人们的生活;在人们刚享受到信息技术带来的便利之时,“棱镜门”事件一下子就将人们吓了一身冷汗:信息技术的发展给我们带来的不止是愉悦体验,更有着莫测的风险。李国杰院士领衔的“战略性新兴产业培育与发展之信息技术领域”课题组表示,个人产生的数据占到大数据总量的75%,如何应对大数据时代中的个人数据保护,业已成为当前一个亟待解决的难题。
2 立法现状
在中国,涉及个人数据保护的法律、行政法规有70余部,地方性立法200余部。如2009 年 2 月公布的《刑法修正案(七)》规定了严重侵犯个人信息的刑事责任,首次将刑事责任引入个人人信息保护领域。工信部 2011 年 12 月发布了《规范互联网信息服务市场秩序若干规定》(以下简称《若干规定》),首次对电信和互联网用户“个人信息”作了描述,并规定了互联网信息服务提供者收集、使用个人信息的基本规则及违反规定收集和使用个人信息的法律责任。在工信部《若干规定》之前发布的《互联网电子邮件服务管理办法》、《电信服务规范》等立法亦曾涉及个人信息保护,但《若干规定》是第一次有针对性地对公民信息的保护作出法律规定,在加强公民个人信息保护的制度建设方面具有标志性意义。
2012年12月全国人大常委会发布的《关于加强网络信息保护的决定》(以下简称《人大决定》)与2013年6月工信部通过的《电信和互联网用户个人信息保护规定》均在一定程度上体现了当前信息保护国际立法的原则,如信息收集限制原则、公开原则等。此外,宪法、行政法、消费者权益保护法等法律部门及金融、教育等行业规章中关于个人信息保护的规定亦是我国当前关于个人信息保护立法的组成部分。就整体而言,我国个人数据保护立法凌乱分散,相关的理论研究和制度安排滞后于现实的发展需求。
3 个人数据保护立法中的主要问题
3.1 个人数据的定义
OECD在其1980年的《隐私与个人数据保护指导原则》及其2013年的修订版中,将个人数据定义为“与一个身份已被识别或可被识别的自然人相关的任何信息”,欧盟与OECD采用了相同的定义方式。而美国由于没有统一的个人数据保护法,也没有关于个人数据统一的法律定义,分部门的个人数据保护立法往往只对本部门法调整的数据类型进行界定,其较为常用的是“个人识别信息”(Personally Identifying Informaion,PII),该概念相比欧盟1995指令中的“个人数据”范围要小很多,那些没被纳入专门立法的保护范围的个人数据,并非一概被认为不受保护,而更多地通过行业自律的方式得以保护。
2013年6月我国通过的《电信和互联网用户个人信息保护规定》第四条指出,该规定所称用户个人信息,是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。2012年12月,全国人大常委会《关于加强网络信息保护的决定》(以下简称《人大决定》)第一条规定,国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。上述两则法律关于个人信息的定义都在不同程度上借鉴了OECD的思路。但仔细回味,上述关于个人数据概念的界定上,有几点需要进一步探究。
(1)个人数据的最小单元。
能够“单独”识别个人身份的信息,其中的“单独”该如何理解,此间是否涉及到一个关于信息的计算单元问题,也就是说,个人数据的最基本单元是什么?
(2)个人数据的权利内容与权利边界。
当前,个人数据保护中呈现了知情同意原则、目的限制原则等权能的弱化、个人数据的保护管控的重点从数据收集向数控使用环节转移的趋向,我们在讨论我国的个人数据权利的内容时,对这些现象应有足够的重视。此外,关于个人数据的内容认定,在当前新技术、新营销手段层出不穷的背景下,应该避免采取那种非此即彼的判定方式,而应建立一套判断标准,针对具体情况作具体分析。
(3)个人数据与个人隐私的关系。
1)对于隐私一词的阐释,当前学界引用最为广泛的是张新宝教授的定义,但是不可否认,对隐私及隐私权保护的相关法律制度,在未来相当长的时间内仍将处于建构阶段。而我们当前面临的窘境恰是,要将个人数据这个未有准确定义的概念与个人隐私这个同样不是很清晰的的概念作出区分。
具体而言,在个人数据与个人隐私的关系上,个人隐私不仅包括私生活秘密,亦包括私生活安宁,因此,就概念所涵盖的面而言,个人隐私要大于个人数据。但当二者均以数字化方式存在,个人隐私应是从属于个人信息的范围之内。概言之,个人隐私与个人数据是有着广泛交集的,其二者间并非是重合或者从属性的关系。
2)是否存在不涉及身份信息的个人隐私。全国人大常委会在其《关于加强网络信息保护的决定》中,将个人信息分为能够识别个人身份的信息与涉及个人隐私的信息,这种对个人信息的概念界定是否合理?具有私密性的个人信息,如果不能与特定的主体发生关联,还可以称之为隐私吗?
3.2 个人数据权利的法律定位
经过两次世界大战洗礼,尤其是二战中纳粹集权主义对于人们自由及生命的戕害,使得欧盟对涉及个人隐私及自由的个人数据极为看重。在欧盟个人数据保护指令3的立法说明中,强调了个人数据保护立法对于守护和平、增进自由及促进宪法意义上的民主等重大社会价值的积极意义。
《欧盟基本权利宪章》第八条就明确了个人数据权(The Right to the Protection of Personal Data Concerning Him or Her),赋予其宪法层面的意义。而美国法上隐私权概念较为开放,普通法中所认为的肖像权、姓名权等都被纳入到了隐私权之中,在对于个人信息和隐私的关系方面,美国法采取将个人信息以隐私形式分别在金融、电信、消费者权益与儿童隐私保护等领域以分散立法的形式加以保护。就中国的文化背景、制度环境而言,欧盟和美国的个人数据保护立法对中国的借鉴意义不大。
国内学者就个人数据的法律定位一直争论纷纭,未能达成统一的意见,其中有几种比较有代表性的观点。
杨立新教授认为,隐私权就是公民个人电子信息保护的权利基础。作为一个具有较大弹性的具体人格权,隐私权有能力将公民个人电子信息的保护涵盖在其内。
刘德良教授则认为,个人信息权应被视为信息财产权,其中包括两类:一类是狭义的知识产权,即以独创性信息的商业价值为客体的权利;另一类即是狭义的信息财产权,即以非独创性信息的商业价值为客体的权利;两者加起来就是广义上的信息财产权。
王利明教授基于对个人信息的内容的界定,认为个人信息这一概念远远超出了隐私权的范畴,应当将个人信息权单独规定,而非附属于隐私权之下。
个人数据具备人格权特质的同时也具有一定的财产价值,这些学界已基本认同。问题在于是将其纳入到隐私权的范围内,还是与构建一个从属于人格权、与隐私权并列的个人信息权,亦或是另辟蹊径,将其定位为一项独立的数据财产权。
当前我们对个人数据、个人隐私等基本概念都难有清晰的界定,且信息技术的发展给人们生活方式带来的影响也一时难以作出准确的预判,更为重要的是,人们在传统社会中所享有的各项权利的权能,如占有、控制、支配、利用等,在网络空间已经被极大地稀释、分散,人们基于传统生活场景所抽象出的各类法律概念及对相关的利益切分方式,在网络空间已经显得力不从心。过早对个人信息权利的内容与性质作出判断,未必契合未来技术与社会发展的实际需要。
3.3 个人数据保护立法的价值导向
我国现有涉及个人信息保护立法中的突出问题在于立法价值取向侧重于行政管理,忽视个人信息私权保护。
不论全国性的立法还是地方性的法规,均是如此。学界的一些个人信息保护法建议稿亦采取了类似的进路。其多为基于行政管理的立场,从公法角度强调对个人的管控。如2012年的《人大决定》中规定用户接受信息服务时要提供真实的身份信息,2013年工信部的《电信和互联网用户个人信息保护规定》中要求,一旦用户个人信息发生或者可能发生泄露、毁损、丢失的,造成或者可能造成严重后果的,服务提供者应当立即向电信管理机构而非信息主体报告。
个人数据保护的公法规制是为了个人信息保护法律体系中必不可少的一环,但行政资源的有限及行政权力行使着自身可能出现的权力恣意,提醒我们不应忽视个人信息的私权保护,构建个体对抗信息服务提供者及国家机关的权利机制将是个人数据权利实现的根本所在。
3.4 个人数据立法的位阶
立法分散是当前我国个人数据保护相关法律的一个重要特点。究其原因,或许就是在更高位阶法律的缺失的背景下,不同部门、地区对个人数据保护扮演“救火队”的结果。根据我国当前的社会治理现状、行政管理模式及民众的信息权利意识,在个人数据保护立法方面,我们可能需要更高位阶的国家层面的立法,其意义在于以下几点。
首先,有利于对行政机关及其他公共服务提供者的制约。行政机关掌握及一些公共服务机构掌握着当前最庞大、最精准的个人数据信息,目前这些数据部分处于即将“唤醒”的状态,如目前国内“智慧城市”的建设中,将离不开对于公众个人数据的挖掘使用,而金融业已经着手对自身客户数据的挖掘分析。而当前的关于个人信息保护的相关规定,大多出自这些行政机关及行业服务提供者之手,作为立法者,在其制定的规定中缺乏对自身的规制。而其恰恰是个人数据的做大威胁者所在,正在发酵的“棱镜门”事件就是一个极好的例证。
其次,更高位阶的立法有利于既有法律的整合。当前,各部门立法、地方立法均不同程度体现着立法者的利益诉求,通过更高位阶的立法或许能够实现对各部门立法的规范与整合,给公众提供一个简洁、明晰的行为规范。
再次,更高位阶的立法是有利于个人数据权利的实现。一方面,基于历史与文化传统,个人隐私、个人信息等概念在多数民众心目中还比较模糊,民众的信息权利意识相对薄弱,更高位阶的立法一方面有利于加强的公众信息权利意识,对信息权利的侵害者也易形成震慑。另一方面,随着数据跨境流动的加强,个人信息保护已经不少一个国内法的问题,通过国家层面的立法,更便于与国际规则的协调、接轨。
最后,更高位阶的立法有利于促进产业的发展。当前学界的一个普遍共识就是个人信息权利保护与产业发展要保持平衡。但是实际上,更高位阶的立法可能会更有利于有实力的产业组织“走出去”,为相关产业发展提供信誉保证。反之,如果我们的个人信息保护立法依旧处于较低的层级,那么有可能导致国内外的商业组织将其自身的数据转储于域外保护标准更高的云服务商,不利于我们在新一轮技术变革中把握先机。
3.5 个人数据保护的专门机构
设立专司个人数据保护的机构是当前的一个关注点。欧盟1995年指令要求其成员国应建立专门机构专司个人信息保护法的实施监督,此举在我国香港地区也有借鉴,国内学者的个人信息保护立法的建议稿中也对此作了介绍。但结合我国的法治环境,我们很难真正建立像欧盟那样专门的独立监督机构。
当然,在个人数据保护的初级阶段,尤其是在我国当前个人数据保护立法令出多门的背景下,我们可以尝试建立起一个个人数据保护的综合协调部门,其可以面向用户、企业提供服务,并能代表国家参与相关事务的国际协调,但其性质、定位可能与欧盟的独立且权限广泛的个人数据保护机构迥异。
4 个人数据商业化机制的构建
大数据时代,个人数据权不应再是被动的保护对象,我们有必要尝试构建有效的商业机制,促进个人数据的生产与流通,在这种机制中,个人数据信息的分类存储并根据不同经营者的需求有针对性地提供,个人可以有意识地充实完善自身的数据库,充分发挥个人数据的经济价值与社会效用。
促进个人数据的数量增长与权益实现。在个人数据的构成来源中,既有对个人自然状况的记录,亦有对人们生活、行为过程的描述,前者相对而言是个稳定的常量,而后者则是一个可控的动态变量。一旦个人数据财产价值有了产生实现的渠道,必将有力促进个人及社会的数据总量的增长,在大数据时代,这亦意味着社会财富总量的增长。
促进产业的发展。有效、精准的个人数据也是经营者梦寐以求的重要资源。在大数据时代,数据之“大”,并非仅仅指数据的规模,亦指数据分析、挖掘等数据加工过程的纷繁复杂,从粗糙杂乱的原始数据中提取自身所需要的信息耗费了经营者的大量成本,在个人数据商业化机制的构建,经营者可以根据自身的需求,有针对性地索取自身所需要的数据资源,减少数据加工过程的资源投入。
对于个人数据的商业化利用,已有域外商业组织进行了初步尝试并取得了些许进展。欧盟2012年修订的个人数据保护指令中所确立的个人数据“被遗忘权”(Right to be Forgotten)、“可携权”(Right to Data Portability)也为其个人数据商业化机制的构建奠定了法律基础。
参考文献
[1] 李长喜.中国个人信息之立法保护.中国法律,2013年4月.
[2] 张新宝.隐私权的法律保护.群众出版社,2004年5月.
[3] Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data.(95/46/EC).
[4] Charter of Fundamental Rights of the European Union.(2000/C 364/01).
[5] 杨立新,陶盈.公民个人电子信息保护的法理基础.法律适用,2013年第8 期.
[6] 刘德良.信息财产化及其对传统民法学基本理论的挑战.http://?News_PI=329.
[7] 王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学,2013年7月.
[8] Thomas site helps people profit from information collected about them, (http://business/economy/web-‐site-‐helps-‐people-‐profit-‐from-‐information-‐collected-‐about-‐.
基金项目:
北京市自然科学基金面上项目(4132011):“基于多维证据的信任度评估模型及应用研究”。
作者简介:
史三军(1980-),男,江苏淮安人,北京信息科技大学,法学硕士,讲师;主要研究方向和关注领域:电子商务与信息安全法律、教育法制。
中国论文网(www.lunwen.net.cn)免费学术期刊论文发表,目录,论文查重入口,本科毕业论文怎么写,职称论文范文,论文摘要,论文文献资料,毕业论文格式,论文检测降重服务。