摘要: 个人信息在大数据时代具有“公共性”, 但对个人信息的利用可能导致对个人信息权益的侵害。传统个人信息保护模式着眼于确保信息主体对有关其个人信息收集和处理行为的控制, 但网络大数据时代的一些新变化使得信息主体对其个人信息进行有效控制几无可能。我国未来应当在实现个人信息收集和处理全过程透明、区别敏感个人信息与一般个人信息进行差异化保护的基础上, 建立个人信息风险管理机制。
关键词: 个人信息; 透明度; 敏感个人信息; 风险管理;
网络技术的发展在给我们的生产生活带来革新和便利的同时, 也在急剧放大整个社会的风险。近年来, 个人信息泄露 (1) 频发, 已严重危及公民的隐私和财产安全。中国青年政治学院互联网法治研究中心和封面智库于2016年11月21日发布的《中国个人信息安全和隐私保护报告》显示:多达81%的人收到过对方知道自己姓名或单位等个人信息的陌生来电;53%的人因网页搜索、浏览后泄露个人信息;在租房、购房、购车、考试和升学等个人信息泄露后, 受到营销骚扰或诈骗的高达36%。另据12321举报中心在2016年6月发布的《中国网民权益保护调查报告2016》, 身份信息、网上活动信息和通讯信息是信息泄露的重灾区。由于个人信息泄露导致的诈骗案件屡见不鲜, 公安部自2016年4月起部署全国公安机关开展为期半年的打击整治网络侵犯公民个人信息犯罪专项行动。截至2016年7月, 仅三个月间, 全国公安机关累计查破刑事案件750余起, 抓获犯罪嫌疑人1900余名, 缴获信息230余亿条, 清理违法有害信息35.2万余条, 关停网站、栏目610余个。 (2) 面对如此触目惊心的现实, 我们应当反思现有个人信息保护模式存在怎样的问题, 在网络时代, 特别是大数据技术普遍应用的当下, 我们应当如何从规则角度为个人信息保护构建合理的路径。
一、个人信息的“公共性”及其利用过程中可能存在的对个人信息权益的侵害
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。个人信息的范围涵盖较广, 姓名、住址、电话号码、社保账号、驾驶证号、金融账户号码、生物数据等都属于个人信息。 (1) 由于个人信息包含丰富的内容, 自有人类社会以来, 个人信息就一直发挥着巨大的作用, 个人信息的价值随着信息利用的频度和深度的加大而愈加突显。进入21世纪以来, 个人信息已然成为数字经济时代的“货币”。在信息时代, 个人信息不仅只对信息主体 (2) 而言是有价值的, 对于全社会而言同样是重要资源。个人信息的价值表现在: (1) 商业价值。个人信息的挖掘和商业使用可以改变营销模式, 建立健全完善的社会信用体系, 形成各种类型的个人信息库, 为人们提供更好的产品和服务。 (2) 公共管理价值。对个人信息的收集和利用, 可以更好地推进公共管理和公共服务。 (3) 在商业领域, 个人信息的交易已经形成一个巨大的数据市场, 用户的个人信息成为热销商品, 有着巨大的价值。在信息时代, 个人信息不再只作为一种绝对的财产权或人格权对象而出现, 而具有一定的“公共性”, 因而应当允许相关方对个人信息进行充分收集、分析和使用, 提升公共福祉。 (4)
与个人信息利用相伴的是对个人信息利用过程中可能存在个人信息滥用以及对隐私侵害的担忧。当前, 个人信息权益受到侵害的一个突出表现是个人信息未经信息主体同意被任意收集并滥用于各种商业用途, 导致信息主体饱受骚扰甚至遭受财产损失。此外, 个人信息权益所面临的威胁是个人信息利用过程中对个人隐私的侵害。隐私包括生活安宁和私人秘密两个部分。生活安宁指自然人对于自己的正常生活所享有的不受他人打扰、妨碍的权利, 而私人秘密是指个人的重要隐私, 涵盖的范围比较宽泛。 (5) 个人信息与隐私在客体上具有交错性。一方面, 许多未公开的个人信息属于隐私的范畴。另一方面, 数字化技术的发展使得许多隐私同时具有个人信息的特征, 部分隐私权保护客体也属于个人信息的范畴。 (6) 由于个人信息和隐私在存在交叉, 大规模地收集和处理 (7) 个人信息难免会损害到信息主体的隐私权益, 因此必须关注到个人信息利用过程中的隐私保护问题。
二、基于控制理论的传统个人信息保护模式及其不足
由于个人信息只是与隐私存在一定交叉, 但个人信息权 (8) 与隐私权本质上属于两种不同的权利, 因而不能完全套用隐私保护的法律制度实现对个人信息的全面保护。为保障个人信息不被滥用, 在利用个人信息的过程中不侵害信息主体的隐私权益, 一种有效的方式是要求收集和处理个人信息经过信息主体的同意, 信息主体有权选择收集和处理有关其个人信息的种类和范围, 个人信息的后续利用应当告知信息主体。传统个人信息立法正是构建在这一逻辑基础之上, 衍生出基于控制理论的个人信息保护模式。
(一) 传统个人信息保护法律模式
控制理论是主导当前个人信息立法的基础理论。控制理论源于美国, 强调选择和个人自我决定在个人信息保护中的作用, 可概括为基于主观管理和个人偏好表达实现控制的信息管理理论。在控制理论之下, 个人被假定为是理性的, 因此有权控制有关其个人信息的收集和处理。控制理论的核心是信息主体的“同意”使收集、使用、披露和交易个人信息合法化。欧洲大陆与控制理论十分相似的是个人信息自决权论。个人信息自决权论源于德国法, 根据该理论, 任何违反当事人意志的信息收集、处理或者利用的行为都侵犯了信息主体的自决权。 (1) 个人信息自决权论在本质上与控制理论并无区别。基于控制理论衍生出的“公平信息行为准则” (Fair Information Practice Principles (FIPP) , (2) 将传统个人信息保护模式的精髓展露无遗。目前最为通行的“公平信息行为准则”主要包括如下规则: (1) 目的限定。在收集个人信息前必须先披露收集的目的, 个人信息的后续利用必须与该目的相符; (2) 信息最小化。个人信息收集及利用应以实现特定目的的最小必要为限; (3) 披露和使用限定。除非基于当事人同意或有法定理由, 个人信息不能被任意披露或用于其他目的; (4) 信息质量原则。收集的个人信息应当准确、完整和最新; (5) 个人参与。信息主体拥有收集个人信息的知情权、获取该信息权、要求修改权等; (6) 透明度。个人信息的收集者和处理者应当告知社会公众隐私政策和安全保障措施; (7) 信息安全。应当采取合理安全措施保护个人信息免于泄露、破坏、使用和修改等风险; (8) 责任原则。控制个人信息收集和处理的主体有责任采取措施确保前述规则的实施, 否则应当承担相应责任。
当前我国有关个人信息保护的规定散见于各种法律文件中。《全国人民代表大会常务委员会关于加强网络信息保护的决定》《消费者权益保护法》《民法总则》《网络安全法》中均有关于个人信息保护的规定, 仔细梳理这些法律文件中的相关规定, 我国的个人信息保护可总结为:一是要求个人信息收集必须经信息主体同意, 公开收集、使用信息的目的、方式和范围。二是信息收集者收集的个人信息必须严格保密, 不得泄露、篡改、毁损, 不得出售或者非法向他人提供。三是信息收集者和处理者应当采取技术措施保护个人信息安全。四是赋予信息主体对于侵害其个人信息合法权益的行为, 有要求制止的权利。 (3) 从这些规定可以看出, 我国目前采取的也是基于控制理论的个人信息保护模式。
由以上分析可见, 传统个人信息保护模式的核心在于确保信息主体对有关其个人信息收集和处理行为的控制。这种模式有效性的前提在于个人能够有效行使对其个人信息的控制, 并在理性判断基础上行使自己的各项权利, 对个人信息的保护偏重于信息主体的主观意愿。
(二) 大数据时代传统个人信息保护模式之不足
传统个人信息保护法强调信息主体对其个人信息的“控制”。目前欧美仍在使用的个人信息保护法大多制定于上世纪90年代或本世纪初, 当时互联网的发展方兴未艾, 大数据、电子商务、社交网络、搜索引擎等还未充分发展。最近十多年网络的迅猛发展和相关信息处理技术的大量出现正在逐步破坏信息主体对其个人信息的控制能力, 基于控制理论的个人信息保护面临着“失灵”的危险。
首先, 信息不对称和网络运营者的“霸王政策”正侵蚀着基于控制理论的个人信息保护模式的合法性基础。基于控制理论的个人信息保护模式的法律假设是信息主体作为理性经济人, 有能力实现对个人信息的有效控制, 只要经过信息主体同意的个人信息收集和处理即是合法的。然而事实上, 对于大多数人而言, 无法掌握与个人信息风险有关的充分信息, 并不了解共享和交换个人信息的潜在后果。另外, 网络运营者向消费者提供的隐私政策过于冗长且晦涩难懂, 很多消费者根本无法理解这些隐私政策, 不少网络运营者也未严格依照隐私承诺保护消费者的个人信息。更有甚者, 有一些网络服务必须以用户接受对其个人信息的收集为前提, 如果用户拒绝对其个人信息的收集, 就无法享受相应的服务。在这种“霸王政策”之下, 用户的“同意”已非其真实意志的表达, 用户也不可能实现对其个人信息的“控制”。
其次, 个人信息流转过程中信息主体很难实现对个人信息处理的“全过程控制”。假使信息主体能够掌握充分信息, 理解网络运营者的隐私政策并做出合乎理性的决策, 也并不意味着信息主体就可以实现对其个人信息的有效控制。网络时代, 信息收集的主体多元化, 很多情况下个人信息经由某一网络运营者收集或处理后还有可能流转到其他网络运营者处, 在个人信息经多方流转之后, 信息主体很难知晓有关其个人信息的后续处理, 更无法向第三方行使“控制”。特别是当个人信息已由信息收集方转移到专以个人信息处理为业的中间商时, 信息中间商在处理个人信息时很少寻求信息主体的同意, 信息主体已完全失去对其个人信息的控制。
最后, 一些新技术的应用, 正在颠覆传统个人信息的收集和处理方式, 使得信息主体对个人信息的控制根本无从谈起。以基于三维空间的拟真交互体验式地图浏览 (如谷歌街景和百度全景地图) 为例, 该技术的核心是通过专业相机将现实世界的空间场景捕捉下来, 利用软件将多幅屏幕照片拼接合成, 并模拟成三维空间的360度全景景观。街景的拍摄通过捕获人物或附近街道、车牌以及其他图像会产生交互的视觉地图, 不经意间导致对个人信息的收集、使用和披露。虽然全景地图开发者已经通过打码等方式对地图中的人脸、车牌号等进行模糊处理, 但是根据收入地图中的其他景观、标志、符号、体型等仍有可能识别出特定个人。于此情形下的信息主体根本无法行使传统意义上对其个人信息的有效控制, 无法执行基于同意为基础的个人信息保护规则。
面对这样一些变化, 信息主体的“知情同意”遭到破坏, 个人信息的决定自由难以实现, 传统基于控制理论的个人信息保护规则已无法实现预定目的。以FIPP为例, 在目的限定原则方面, 与传统对个人信息的收集和简单利用相比, 网络时代个人信息的后续比对挖掘和价值开发成为创造价值的主要来源, 收集的个人信息用于超出原初收集的、无法预知的目的十分常见。与此同时, 个人信息日益成为重要生产资料, 个人信息资源的有效利用, 可以提升社会福祉, 传统“信息最小化”原则的合理性被逐渐削弱。透明度原则是FIPP的核心要求之一, 然而在大数据背景下, 信息主体很难知道其个人信息的收集、分析与利用是否基于已被告知的特定目的。
基于以上原因, 网络大数据时代, 依赖信息主体对其个人信息进行有效控制几无可能。面对网络大数据时代个人信息保护的新挑战, 除维持现有对信息主体的权利保护外, 必须通过强化网络运营者义务和责任的方式。我们认为, 改革传统个人信息保护模式的核心在于建立网络运营者有关个人信息收集和处理的风险管理法律规则 (简称“个人信息风险管理法律规则”) 。
三、个人信息风险管理法律规则的建构
网络大数据时代, 网络信息具有数据量巨大、数据类型繁多、数据处理速度快等特点。伴随着大数据技术更加全面、深入的应用, 单纯限制个人信息收集和利用已不合时宜。从根本上讲, 网络大数据时代, 信息主体虽然是其个人信息的权利人, 但却并非个人信息利用过程中的“主角”, 无法对个人信息效用的发挥产生决定性影响, 而涉及个人信息收集和处理的网络运营者才是网络大数据时代的“主角”, 因而对个人信息保护规制的重心应当放在对网络运营者行为的规制上。大数据时代对于个人信息的保护虽不再着眼于限制个人信息的收集和利用, 但防止个人信息被滥用于不正当目的, 给信息主体造成财产和隐私上的损害却是重中之重, 这就要求尽可能化解个人信息收集和处理过程中存在的各种风险。因此, 我们提出建立以网络运营者个人信息风险管理为核心的保护架构, 改变目前主要依赖信息主体个人控制的传统模式。
(一) 个人信息风险管理机制实施的前提
建立网络运营者个人信息风险管理机制的目的在于防范个人信息收集和处理过程中的可能存在的各种风险, 并在发生风险时及时、有效地化解风险或尽可能较少对信息主体的权益损害。因此, 只有在确保个人信息收集和处理对信息主体全过程透明的基础上, 才能及时识别信息处理过程中的各种风险, 并使信息主体及时行使各项权利成为可能。此外, 个人信息利用过程中所面临的最大风险是隐私泄露, 因而有必要区别敏感个人信息和一般个人信息的保护。网络运营者个人信息风险管理机制的构建必须建立在这两个前提条件基础上。
1. 实现个人信息收集和处理全过程透明。
在大数据时代, 实现个人信息收集和处理的全过程透明是欧美个人信息保护立法改革的重点。欧盟《通用数据保护条例》第12条规定, 有关个人信息的收集、使用和处理对于信息主体必须是透明的, 与个人信息处理有关的任何信息都应当容易获得且容易理解, 信息主体应当了解有关其个人信息处理的风险、规则、安全措施、权利以及如何行使权利。为解决金融领域个人信息处理不透明问题, 1999年美国颁布了格雷姆-里奇-比利雷法 (Gramm Leach Bliley Act) , 法案要求金融机构向消费者提供隐私通知, 解释金融机构收集消费者个人信息的种类、使用目的、信息共享以及对信息的保护。目前我国信息收集和处理透明度主要方式是“隐私声明”, 即事先公开收集、使用信息的目的、方式和范围。然而传统透明度机制日渐沦为“摆设”, 语言晦涩难懂, “隐私声明”中的关键信息也不显着标明, 导致用户通常既不仔细阅读具体声明内容, 也无法理解其内涵。为提高信息收集与处理的透明度, 应当要求信息收集者或处理者以尽可能浅显的语言描述其“隐私政策”, 并对其中的关键内容通过加粗、斜体、加着重号等方式显着标明。另外, 针对目前透明度机制主要适用于事前收集的状况, 未来制定个人信息保护法时应当将透明度机制贯穿到个人信息处理的全过程, 使信息主体能及时了解有关其个人信息处理的风险、安全措施以及享有的权利。特别是考虑到在大数据时代传统架构无法解决信息主体与信息中间商联系缺失的问题, 当信息经由信息中间商处理时, 应当要求信息中间商主动向信息主体披露信息处理状况并提供权利行使机制。
2. 区别敏感个人信息与一般个人信息进行差异化保护。
在信息网络时代, 对个人信息的收集利用已成为常态。但是, 个人信息中涉及隐私的部分进行大量商业化使用并不合适。因此, 在收集利用个人信息时必须将涉及高度隐私的部分剥离出来, 设置更严格的保护规则, 个人信息中有关个人高度隐私的信息称为“敏感个人信息”。通常认为, 敏感个人信息是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。针对个人健康信息多方流转、使用泛滥的状况, 在保险领域, 美国于1996年通过了《健康保险携带及责任法案》 (The Health Insurance Portability and Accountability Act of 1996) , 规定个人健康信息只能被特定的、法案中明确的主体使用并披露。欧盟《通用数据保护条例》第9条和第10条规定, 敏感个人信息包括能够表明个人的种族、政治主张、宗教和哲学信仰、工会会员资格、基因数据、生物数据、关于个人健康或者性生活的数据以及有关个人犯罪和违法的数据。敏感个人信息一般禁止处理, 除非特定的例外条件能够满足。
我国立法层面有关个人信息保护的各项规定尚未区分敏感个人信息和一般个人信息。最高人民法院和最高人民检察院颁布的司法解释尝试对敏感个人信息作了列举性规定, 主要包括基因信息、健康检查资料、犯罪记录、家庭住址、私人活动、轨迹信息、通信内容、征信信息、财产信息、住宿信息、通信记录、交易信息等。 (1) 明确区分敏感个人信息和一般个人信息并不容易。随着信息技术的发展, 尤其是再识别技术和手段的进步, 敏感个人信息和一般个人信息的界限也越来越模糊, 如果数据足够庞大, 并有有效机制在这些数据之间形成联系, 一般个人信息也有可能转化为敏感个人信息。因此, 有关“敏感个人信息”的定义应充分反映科学技术和实践操作的发展与变化。 (2)
未来制定《个人信息保护法》时, 我国同样应确定敏感个人信息禁止收集处理, 除非基于信息主体明示同意、保护公共利益、信息已合法公开、科学研究或统计需要等法定情形。此外, 敏感个人信息的收集和处理只能由特定机构经合法程序实施。网络运营者在对敏感个人信息进行商业利用时, 必须去除信息主体的身份识别要素, 如果保留身份识别要素是必要的, 必须经过信息主体的明示同意。明示同意的应当通过“选入”机制实现, 即由信息主体一一选择其可以被收集和处理的敏感个人信息, 而非通过“一键同意” (1) 的方式一揽子决定。
(二) 网络运营者个人信息风险管理机制
在网络大数据时代信息主体对其个人信息难以进行有效控制的情况下, 未来制定个人信息保护法的重心是改变当前立法单纯依赖信息主体“权利中心”的“静态”控制模式, 构建网络运营者“义务中心”的“动态”监管。在实现个人信息收集和处理全过程透明并区别敏感个人信息与一般个人信息进行差异化保护的基础上, 我们可以尝试构建以安全保障措施、个人信息处理风险评估、个人信息泄露报告为核心的风险管理机制。
1. 安全保障措施。
个人信息风险管理规则首先应当明确网络运营者有义务构建完善的个人信息安全保障措施。对于个人信息的安全保障措施, 《电信和互联网用户个人信息保护规定》 (部令第24号) 第三章从防止用户个人信息泄露、毁损、篡改或者丢失, 加强对从业者个人信息保护相关知识、技能和安全责任培训, 例行自查等方面进行了规范, 这些规定初步搭建了网络运营者安全保障措施的框架, 但还不够全面, 并且没有强调安全保障措施应当根据个人信息处理的风险水平和业务类型做出区分。在制定个人信息保护法时, 可借鉴欧盟《通用数据保护条例》第32条规定, 要求网络运营者执行恰当的技术和管理上的措施以确保与风险相匹配的安全保障水平。这些安全处理措施包括:个人信息的假名化和加密;确保持久的机密性、完整性、可用性和数据处理系统可恢复性的能力;当发生物理或者技术事故时及时修复数据可用性、可访问性的能力;定期测试、评定、评估技术和管理措施有效性。对于如何判断网络运营者的安全保障措施是否到位, 应当根据在当时条件下为保护个人信息广为接受的管理上的、技术上的或物理上的安保措施, 对个人信息安全威胁的可预见性, 网络运营者所采取的技术措施有效性, 执行及定期评估安全措施的成本, 黑客使用的技术及防范的可能性等综合判定网络运营者的安全保障措施是否合理。
2. 个人信息处理风险评估。
如果对个人信息的处理有可能会对信息主体的隐私构成侵害, 应当事先对个人信息处理进行风险评估, 并根据评估出的风险等级采取相应程度的保护措施, 对个人信息处理进行动态控制。对此, 欧盟《通用数据保护条例》第35条的规定, 在对个人信息进行处理时, 如果某种信息处理方式, 考虑到处理方式的本质、范围、情境和目的, 有可能给信息主体权利和自由带来很高的风险, 在处理之前, 数据控制者应当进行处理行为对个人信息保护的影响评估。如果评估显示数据处理行为是高风险的, 且数据控制者没有降低风险的措施, 欧盟《通用数据保护条例》第36条要求, 数据控制者应当向监管机构进行事先协商, 由监管机构提出书面处理意见或措施。我国同样有必要引入个人信息处理风险评估制度, 对于可能侵害个人隐私的信息处理行为, 必须事先进行个人信息处理风险评估, 区别隐私侵害的风险程度, 根据评估结果, 划分个人信息处理的风险等级, 例如采取欧盟《通用数据保护条例》的路径将风险程度划分为高、中、低三级, 并根据具体场景中评估出的风险等级, 设计信息主体控制机制及风险处置措施。例如, 风险等级为低时, 网络运营者无需向信息主体主动披露并提供控制机制;风险等级为中时, 网络运营者可向信息主体披露高风险因素让信息主体选择哪些个人信息不纳入处理范畴;当风险等级为高时, 网络运营者应当向信息主体及时披露相关风险, 主动采取措施降低风险, 甚至有必要要求向监管机构汇报。 (1) 当个人信息用于统计分析、提升服务等“无辨识特定个人必要”的用途时, 应当采取匿名化或假名化处理等合理方式, 尽量降低对用户带来的隐私风险。未来, 还可考虑设立激励机制, 鼓励网络运营者定期向社会公布个人信息处理风险评估报告。报告的内容包括信息处理可能造成影响的分析、预测和评估, 预防或者降低风险的对策和措施等, 使社会公众充分了解个人信息处理过程中所涉及的相关风险, 以便于今后在涉及个人信息处理事务上做出合理的选择。
3. 个人信息泄露报告。
网络时代, 个人信息的存储方式多样, 个人信息处理的频度和范围都比以往大大增加。大规模、多元化的信息处理方式难免会导致信息泄露。一旦有个人信息泄露发生, 必须及时向监管机构和权利人报告, 以便采取相应措施。我国尚未建立个人信息泄露报告制度, 而当前个人信息泄露问题十分严重, 个人信息泄露的主要渠道是互联网, 建立网络运营者个人信息泄露报告制度迫在眉睫。可仿照欧盟《通用数据保护条例》第33条、第34条的规定, 要求网络运营者在有个人信息泄露情况发生, 且该泄露可能给信息主体造成一定损害时, 向监管机构履行报告义务。由于网络传播信息十分迅速, 网络运营者在发现信息泄露后应当毫不迟延地 (最多不超过72小时) 向监管机构报告。同时, 如果个人信息泄露有可能对信息主体的权利造成极大风险时, 除非网络运营者已经采取诸如加密等技术保护措施, 或采取后续措施确保消除可能对信息主体的权利和自由造成的风险以外, 网络运营者还应当毫不迟延地将个人信息泄露的事实告知信息主体。网络运营者报告的内容应当包括泄露个人信息的种类和数量、有关个人信息泄露处理的联系方式、个人信息泄露的可能后果、为应对个人信息泄露所采取的措施等。
四、结语
《民法总则》《网络安全法》及相关法律法规已初步搭建了个人信息保护的基本框架, 但由于仍采控制理论的个人信息保护模式, 很难有效应对大数据时代个人信息保护的迫切需要。基于此, 我们提出构建以个人信息风险管理为核心的个人信息保护模式。在网络大数据时代, 如何平衡个人信息的正当使用和隐私保护无疑是个人信息立法的重中之重。我国未来制定《个人信息保护法》时, 必须关注到网络大数据时代传统个人信息保护模式的不足, 从风险管理角度尽可能化解个人信息处理给信息主体造成的损害。信息时代, 唯有确保个人信息安全, 才能使人们更好地享受技术进步带来的便利, 更有获得感。
注释
1 指对个人信息进行非法的破坏、修改、未经授权的披露、访问、传播、存储或其他处理等。
2 参见《公安机关打击整治网络侵犯公民个人信息犯罪成效显着》, 公安部官网, http://www.mps.gov.cn/n2253534/n2253535/n2253537/c5429869/content.html. (最后访问时间:2017年5月20日) 。
3 《网络安全法》第76条第5项。
4 即个人信息所指向的特定自然人, 个人信息的权利人。
5 张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》, 载《中国法学》2015年第3期。