• 研究背景现状及意义
信息时代,随着互联网的迅速发展和各种信息设备的广泛应用,我们置身于各种智能设备和软件的包围中,如电脑、手机、身份证和人脸识别系统,如办公软件、打车软件、交友软件、导航APP,等等。这些高科技产品和技术随时随地地收集、存储、加工、传输着我们的个人信息。这些信息混合成了大数据,一方面给我们的生活带来了极大的便利。但是,个人信息处理者在对信息进行采集、处理的同时,没有把握好一个度,在各类APP和智能设备的运行过程中,普遍存在过度采集个人信息的问题,存在着网站浏览记录、位置信息、习惯出行线路、家庭地址和个人生物信息等个人信息泄露甚至被非法转让的问题。大数据时代,信息是最为重要的资源之一,在众多信息中个人信息处于重要地位。在这种背景下,个人信息保护面临着哪些挑战,对于这些挑战又该如何从法律层面进行规制和保护,这是立法者、国家机关以及学者应当考虑的问题。本文从个人信息的内涵和种类入手,借鉴国内个人信息保护经验,通过分析周汉华教授、程啸教授和张新宝教授等人对个人信息保护的最新研究,初步建立起一条适合我国公民个人信息保护的机制。本文的研究具有较强的现实的意义。• 研究方法
1.比较分析研究法:通过阅读国内外立法现状及学者的理论研究,分析域外几个国家的个人信息保护立法模式和监管模式,并对它们进行比较,从中寻求适合我国的制度和模式。
2.案例分析研究法:通过分析个人信息保护的典型案例,发现大数据技术给我们带来的立法和司法以及救济方面的挑战,通过具体案例,验证本文研究的理论意义和实践意义。
3.文献研究法:在本文的写作过程中,收集并阅读了大量的中国、欧盟和日本等学者的论文与著作,从中提取相关信息,并对其进行分析引用。
个人信息来源的复杂性,内容的多样性以及传播的简易性造成了对个人信息的法律保护相对较难,需要一定的立法技术和相当的执法水平。个人信息保护是一个综合性的法律问题,从法律适用上看,应以《个人信息保护法》作为基础,结合民商法、刑法、行政法以及经济法等相关法律对其进行综合保护。从保护主体上看,国家和个人信息处理者都应对个人信息进行保护。从保护方式上看,国家立法机关应该制定相关的法律法规,司法机关应当完善救济途径,个人信息处理者应该制定内部管理制度,这些都是对个人信息进行保护的必经之路。
• 个人信息的概念和分类
(一)个人信息的概念
个人信息是指可直接或间接识别特定自然人的一切数据。[①]通过总结《民法典》中关于个人信息的规定和《个人信息保护法》中对于个人信息的说明,可以得出,个人信息是指能单独识别或与其他信息结合能够识别特定主体的公民信息。
个人信息包含以下特征。第一,享有个人信息的主体只能是自然人,不能是法人或者非法人组织。第二,个人信息的作用是单独指向或通过与其他信息结合共同指向某一特定主体,即具有可识别性。[②]第三,个人信息的载体虽然存在着实物载体但通常表现为电子数据形式。
(二)个人信息的分类
按照不同的特征,个人信息有不同的分类。典型分类有直接个人信息和间接个人信息、敏感个人信息和一般个人信息、已公开的个人信息和未公开的个人信息。
在上述类型的信息中,保护敏感个人信息尤为重要。一旦泄露或者非法使用,容易损害信息主体的人格尊严或者如人身和财产等重要权利的信息为敏感个人信息。此外,未满十四周岁的公民的个人信息也属于敏感个人信息。
(三)个人信息保护与隐私权之辨析
个人信息保护和隐私权这两者的关系是相互联系还是相互独立在学界存在着巨大的争议。周汉华教授认为如果将个人信息保护与隐私权并列于人格权的范畴中,必然会出现逻辑上的矛盾和实践上的冲突。[③]还有学者根据美国法的广义隐私权理论,将个人信息保护列入到隐私权的范畴。对这两者进行辨析,对于法律的适用具有极其重要的作用。
个人信息保护和隐私权主要有以下几个方面的区别:
第一,从两者的范围来看。个人信息保护的范围主要是能直接或间接识别到可以确定到某个人的信息资料,如姓名、电话、家庭住址、征信记录、病例等。隐私权的范围主要是公民在日常生活中所必要的安宁和私密,如身体的私密部位、私密活动等。在构成隐私的全部信息中,除一些私密信息涉及到敏感个人信息以外,其他类型的隐私与个人信息并无相关性。就某些敏感个人信息而言,即使权利人可能出于特定的目的而自愿将其公开,这些已经公开的信息客观上已经不再是隐私,但仍然属于敏感个人信息。[④]
第二,从二者的价值上看。隐私权是人格权的一种,更倾向于精神性层面的意义,相较于个人信息而言,财产价值相对较弱。而个人信息保护则是一种综合性的权利,同时兼具了人格利益和财产利益,在大数据时代其具有现实的或潜在的财产价值。[⑤]
第三,两者所保护的客体表现形式不同。隐私往往是看不见摸不着的,可见性不是其必条件,对他人住宅内的生活或者私密的身体部位进行偷拍,是侵犯个人隐私的一种常见方式。个人信息保护所保护的通常是由可视化的电子信息或文字承载的个人信息,对于个人信息的侵犯往往表现为违法收集、存储、使用等方式。
根据欧盟《一般数据保护条例》的规定,隐私权和个人信息保护是一种平行适用的关系。这表明了国际社会对两者区分问题的最新认识。[⑥]
我国相关法律表现出了个人信息保护与隐私权两者并非相互交织而是相互平行,这对我国司法实践过程中的法律适用问题上提供了指引,有利于明确《个人信息保护法》的独立地位,对于侵犯个人信息的行为,适用该法。
• 我国个人信息保护现状和挑战
(一)我国个人信息保护现状
从立法方面看,我国对于个人信息保护的立法涉及众多法律部门,呈现出一种综合的保护模式。
1.刑事立法保护。《刑法》中规定了侵犯公民个人信息罪。该罪指违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的行为。本罪的责任形式为故意,特定目的与动机不是本罪的责任要素。[⑦]
刑法中关于公民个人信息的罪名还有诸如窃取、收买、非法提供信息卡信息罪和私自开拆、隐匿、毁弃邮件、电报罪。根据两院发布的关于办理侵犯公民个人信息刑事案件的司法解释,网络服务提供者违反信息网络安全管理义务,责令改正而拒不改正,造成严重后果的以拒不履行信息网络安全管理义务罪定罪处罚。
对于上述各罪,通常只有在造成严重后果时才构成犯罪,当个人信息处理者对于单个人的个人信息的侵犯往往不属于“情节严重”,也即,此种情况并不能得到刑法的保护。
2.民事立法保护。我国《民法典》明确了自然人的个人信息受法律保护。个人信息处理者(组织或个人)应当依法保护和合理使用其所掌握的个人信息。同时《民法典》规定了信息处理者有信息安全保障义务,以及个人信息泄露、篡改、丢失后应采取的报告等措施。
根据《民法典》的规定,处理个人信息要符合合法、正当、必要性等纲领性原则。合法包括信息处理者的主体合法,信息处理的目的合法、程序合法、方式合法、依据合法。正当原则要求信息处理的目的、方式和程序正当。必要原则强调不得收集与目的、用途无关的信息,根据需要收集最小数量的信息,不得过度收集、处理信息等。
另外,还《民法典》还规定了知情同意规则、公开原则和安全保障原则。知情同意原则要求收集、处理个人信息时要征得该自然人或者其监护人同意。公开原则要求信息处理者公开收集、处理信息的规则, 明示处理的目的、方式和范围。安全保障原则要求个人信息处理者收集个人信息后,要采用必要的技术手段和措施保证个人信息质量和个人信息安全,不违反法律、行政法规的规定和双方约定的规则。
3.行政立法保护。在个人信息保护领域我国行政部门制定了相当的行政法规,主要立法文件有《网络安全法》和《电信和互联网用户个人信息保护规定》。本文对个人信息保护方面的行政立法主要文件进行了归纳整理(详见表1)。通过比较这些立法文件的监管对象、主要内容和监管措施等方面的内容,可以发现我国的个人信息保护行政监管制度存在的问题,并做出针对性的举措。
4.专项立法保护。《个人信息保护法》在千呼万唤中通过并于2021年11月1日起生效。该法对于个人信息的范围进行了扩张,针对一直存在着争议的个人信息的范围,听取各方意见,综合考虑后决定采取“识别说”,能够直接或者间接识别到特定个人的信息即为个人信息。个人信息保护法自制定之初,其立法宗旨就是要解决以计算机处理个人数据带来的巨大风险问题,处理好技术进步与个人权利保护之间的关系。[⑧]《个人信息保护法》一是确立了多层次的责任体系,二是规定了个人信息处理者承担过错推定责任,三是确立了损害赔偿责任,四是明确了公益诉讼制度在个人信息保护方面的适用。[⑨]
(二)大数据背景下我国个人信息保护面临的挑战
随着大数据和人工智能技术的广泛应用,个人信息保护面临着巨大的挑战。人自己生成并分享了关于自身的大量信息,同时,其他机构或平台也在我们不知情的情况下生成并应用了大量的关于我们的个人信息,其中不乏包括像购买记录、网站浏览记录等购物偏好和私密信息等。
在传统数据时代,个人信息往往只是识别个人主体身份的一种或几种特定符号,其商业价值和社会价值远没有现在之重要。在大数据时代,个人信息种类繁多,收集渠道多种多样,用途范围广,商业价值大。个人信息处理者在收集和使用用户信息时或多或少的存在违法违规现象。目前社会上存在着的侵犯公民个人信息的情形主要有两种,一是手机APP违法违规收集公民个人信息,二是生物信息识别设备违法违规收集个人生物识别信息。
1.手机APP个人信息收集乱象
手机APP违法违规搜集用户个人信息在侵犯公民个人信息保护的情形中最为普遍。2021年9月海南省网信办发布了《关于对“加油海南”等7款App违法违规收集使用个人信息情况的通报》(见下页表2)。[⑩]在这7款APP中普遍存在的问题有:(1)未公开个人信息的使用规则;(2)在收集用户敏感信息时未同步告知(或明确告知)其目的。甚至在取得用户授权时便开始收集用户的敏感信息;(3)收集的用户信息种类与具体的业务需要无关;(4)未给用户提供便捷有效的更正、删除个人信息及注销账户的功能。
总结相关数据,手机APP违法收集个人信息主要可以概括为以下几种类型:
(1)隐私政策告知问题。隐私政策是APP运营商向用户说明他们如何处理用户的个人信息的规范性文件。个人信息处理者在为用户提供服务时向用户提供的隐私政策往往没有完全告知上述内容。[11]
(2)默认授权问题。在没有得到用户明示的同意时,APP就开始收集并使用未经个人授权的个人信息。通常表现为在隐私政策中默认同意取得用户授权或者在安装APP时就为用户默认打开各种权限。
(3)过度索权问题。过度索权是指APP在提供服务时手机的信息超过了必要的范围。
(4)用户权利受损问题。个人信息处理者未给用户提供便利的查阅APP收集的本人信息的方式,未提供给用户便利的更正或删除其个人信息的功能,当用户不需要再继续使用该APP时,未给用户提供注销账户的功能。
2.生物信息违法收集乱象
被称为“人脸识别第一案”的郭某是杭州野生动物园的年卡用户,因不满动物园将入园方式从指纹识别改为人脸识别,双方就退卡事项协商不成起诉至法院。法院判决野生动物世界赔偿郭某合同利益损失和交通费等费用合计1038元,并删除郭某的人脸识别信息和指纹识别信息。[12]
河北省廊坊市康桥知园售楼处、杭州某置业公司售楼处等多处售楼处都在其售楼处大厅安装人脸识别人像头。目的是抓拍前来看房的顾客人脸信息,当这些顾客再想通过中介在该楼盘买房时便会遭到该开发商的拒绝,原因是找中介买房会得到返利优惠,开发商宣称这会损害其自身的利益。因为开发商的这些举动,有些消费者被迫在购房时戴头盔,以避免其人脸信息被采集。此种行为已经严重侵犯了公民的权利。
我们不得不承认,人脸识别技术是我们科技的重大进步。与之前传统的的数字字母组合密码不同,人脸识别所依赖的是人脸面部信息,正常情况下人的面部在短时间内不会发生显著变化,即人脸信息在短时间内是固定的。人脸识别信息作为敏感的个人信息,一方面具有较强的人格属性,另一方面可以实现人脸支付,这还关系到个人财产安全,一旦泄露被非法利用,这会严重损害我们的利益。与其他生物识别信息比较而言,人脸识别信息具有更高的敏感度性、多样化和灵活的采集方式等特点。经营者不合理收集并违法使用公民的人脸识别信息将给公民带来人身或财产上的损失以及其他在现行情况下难以预测的风险。对于上述风险,应当加强人脸识别功能的应用规制和人脸识别信息保护,经营者只有在消费者充分知情并同意的前提下,方能收集和使用。
• 域外个人信息保护制度分析
据不完全统计,截止于目前,全球已经有一百多个国家或地区颁布实行了与个人信息保护相关的法律法规。由于世界各国立法背景和立法习惯的不同,各国对个人信息的保护机制主要分为以下几种:以美国为代表的行业自治与分散立法机制,以欧盟为代表的严格立法驱动下的统一监管机制,以日本为代表的政府主导和行业自律机制。[13]在此,本文通过比较美国、欧盟以及日本在个人信息方面的立法模式和监管机制,为我国保护个人信息提供借鉴。
(一)美国——行业自治和分散立法
美国对个人信息的保护采取的是分散的立法模式。所谓的分散立法是指立法规范文件包括三大类,即联邦法规、州法规和行业自律。美国制定的与个人信息保护有关的法律主要有《信息自由法》、《儿童网上隐私保护法》和《隐私法》等。其中对个人信息保护影响最大的是《隐私法》。虽然美国存在着诸多的立法文件,但是在这些法律规范中均没有规定个人信息保护权的概念,而是采取了一种将个人信息作为隐私权的客体进行保护的模式。
美国的《隐私法》一直处于变化和扩张之中,在加强行政部门对个人信息处理者监管的同时,也在规制着个人信息处理者对由其掌握的个人信息的利用和保护。由政府主导建立相关的行业自律机制,其中包括第三方独立监督和执行机制。[14]这里引入的第三方进行监督和执行能对个人信息处理者进行有效的监督。当然,这里的第三方应该是政府对其授予行政许可的特殊行业。
(二)欧盟——严格立法和统一监管
欧盟的《个人数据保护指令》针对个人数据的收集,提出了最低限度要求。随着大数据和人工智能等高新科技的快速发展,上世纪颁布的指令已经不能满足现在社会的需要。欧盟《通用数据保护条例》于2018年正式实施。该条例高度重视个人信息的保护与对个人信息处理者的监管,并为之规定了相应的保护制度。[15]该条例的施行也意味着欧盟严格立法和统一监管模式的形成。
这里所说的统一监管模式是指以欧盟为中心一点,以各成员国为分支。即在欧盟设置欧盟数据保护委员会作为个人信息保护的最高负责机构,同时在各成员国设立各自的个人信息保护机构,如德国的联邦数据保护委员,由这些机构统一负责欧盟及各国的个人信息保护工作。各机构必须设立专门的主管人员,即数据保护官。同时细化了个人信息处理者的责任和义务,设立相应的问责机制。
该条例的实行无疑是对欧盟各国公民对自己的个人信息的控制权和决定权的加强。条例规定个人信息处理者不得引诱或者强迫个人做出同意信息处理的意思表示,即便是个人做出了相关的意思表示,也不等于全部授予个人信息处理者处理个人信息的全部权利。个人有权查看被收集的信息及其用途,并且有权要求信息处理者将其删除。
(三)日本——政府主导和行业自律
日本早在2005年就开始施行了《个人信息保护法》(以下简称“日本法”)。因该法的施行,日本公民对自己的个人信息保护的敏感程度大大提高。中国和日本两部个人信息保护法的总则、行政机关职责和个人信息处理者的义务等方面具有类似规定。此处着重比较二者的差异,其差异主要有以下几个方面:
1.个人信息的跨境处理问题。我国《个人信息保护法》专章规定个人信息跨境处理的规则,日本法则无相关规定。
2.地方公共团体的职责。日本法第二章第五条规定地方公共团体有责任依照该法规定,制定符合其本区域要求的所必须的管理政策,并且国家英才局必要措施支持地方团体的政策。在我国个人信息保护体系中,履行个人信息保护职责的部门为网信部和县级以上地方的有关部门,并未赋予相关团体职责。
3.个人信息处理者自律机制。日本法对个人信息处理者的义务规定更加具体化、详细化。日本通商产业省规定事业者(即个人信息处理者)为保护个人信息,应在公司内应采取更加明确的“JIS Q 15001标准”。事业者需要满足上述关于个人信息保护的措施的第三者认证制度,来履行其负有的保障个人信息安全的义务。目前我国亟待一个对个人信息处理者制定本公司内部管理制度进行约束的具体标准。
4.法律责任。日本法在第六章的第56条至第59条作出罚则规定。该罚则以个人信息使用事业者以及认定个人信息团体为对象,没有明确对个人信息处理者的员工的罚则。我国法对违反规定的个人信息处理者实用的罚则为双罚制,即处罚单位和自然人。
• 大数据背景下我国个人信息保护法律机制的构建建议
(一)细化个人信息保护的基本原则
根据《民法典》和《个人信息保护法》的规定,可以总结出公民个人信息保护的四大基本原则:合法、正当、必要和诚信原则。
对于上述基本原则在个人信息处理者处理个人信息时应如何适用,本文以美团APP为例进行说明。《美团APP收集个人信息清单》(部分)(表3)是美团APP向用户告知的隐私政策中的一部分,从该清单中可以看出APP在运行不同功能时所需的用户个人信息存在差异。
就清单中所列的各项用户信息类型。APP在收集时遵循以下原则:第一,APP收集用户信息之前应当首先告知用户,告知的内容应包括收集用户信息的方式、范围、用途和是否公开、共享等。此谓知情同意规则,要求个人信息处理者在处理个人信息时应对信息主体进行告知,在取得其同意后方可处理,否则既违法,法律另有规定的除外。[16]第二,为用户提供合理的拒绝方式,当APP对用户进行告知时,应当提供合理的拒绝方式,如部分拒绝,而不是接受与否的二选一。第三,APP在收集用户信息时应当遵循必要原则,必要原则也称为最小原则,比如打车软件在为用户提供叫车服务时,仅可收集用户的位置信息等必要信息,不得收集用户的消费能力等信息以“杀熟”或提供更为昂贵的服务。第四,APP收集个人信息时应采用合法的方式,如位置信息的采集,仅可以通过用户设置的位置、GPS或通信营运商基站来确定用户位置,APP对用户上传相片和视频进行解析来确定用户位置时,有过分处理之嫌。个人信息处理者不得引诱或者强迫个人做出同意信息处理的意思表示,即便是个人做出了相关的意思表示,也不等于全部授予个人信息处理者处理个人信息的全部权利,该权利非必要不行使,行使时也要限制在最低限度。
(二)建立健全个人信息保护中的行业自律机制
行业自律是有效的市场治理方法之一,一方面能够弥补市场监管和立法的不足,另一方面能够约束市场参与者自身的不当行为。[17]对于行业自律机制的建立,可以通过建立行业协会,通过行业协会制定统一的标准,还可以由公司本身制定对内的管理制度,但是这种方式订立的制度是需要批准的,否则可能会导致权力滥用。
在日本个人信息保护制度体系中,《个人信息保护法》位于制度的顶层,再者是由民间各领域的行业规范和专门针对政府机关、国有企业和公共事业团体组成的第二层级。[18]从日本对于个人信息保护的制度体系中可以体现出行业规范的重要作用。
行业自律制度加个人信息保护负责人制度双重制度在立法上对建立健全行业自律机制提供了明确的指导。通过双重制度的指导,个人信息处理者制定自律制度由内的对本身及工作人员进行约束,从各方面规范其行为。同时,个人信息处理者还需设计企业内部问责机制,外部由国家对个人信息处理者进行监督,内部由个人信息处理者对其工作人员进行监督问责。
(三)加强行政监督
行业自律虽然具体现的是本行业内的共同意志,但是其缺乏强制力和有效的救济手段,遵守行业规范往往依赖的是参与人的良知。当个人信息处理者违反本行业的共同意志,行政监管的及时介入可以有效防止法益侵害程度的扩大。
对于之前的我国个人信息保护和监管部门比较分散,涉及到网信部门、中国人民银行、通信管理部门和公安部门等机关均有相关职能,这种权利配置的分散导致了个人信息保护监督制度存在一定缺陷。设专责机构便于规范个人信息保护法的施行和提升个人信息保护的专业化水准。[19]《个人信息保护法》颁布以后,将统筹协调的权力统归网信部行使。
行政部门对个人信息处理者的监管,应当覆盖个人信息处理者处理个人信息的全过程,包括事前批准,事中监督和事后追惩三个部分。指导性执法文件应以《个人信息保护法》为主,以其他法律和行政法规为补充。以网信部为主导的行政部门在加强行政监督和行政执法的同时,不仅要严格适用《个人信息保护法》等法律,还要紧跟科技发展的脚步制定相应的部门规章以加强对公民个人信息的保护。
(四)建立完善的司法救济机制
公力救济是保护公民权利的重要途径,个人信息保护也不例外。一些手机APP、智能设备的开发者利用技术不对称、信息处理的隐秘性等特点侵害公民的个人信息保护法益。[20]在公民遭遇个人信息被侵害时,往往很难通过自己的力量进行救济。取证难、诉讼程序繁琐以及自身法律知识匮乏等多种原因造成了公民自身权利受到侵犯时不知如何保护自身合法权益的困境。个人信息处理者在违法违规处理公民个人信息时,往往不是针对个人,而是对其所有用户的信息处理都存在违法违规现象。从这个方面来说,个人信息处理者违法违规处理公民个人信息已经不是侵犯个人法益,而是侵犯了某一集体(即其所有用户)的法益。因此,针对个人信息侵权公益诉讼显得尤为重要。检察机关保护个人信息公益诉讼的法律监督范围是个人信息处理者与个人信息处理活动。[21]对于严重侵害公民个人信息的行为,检察机关应当提起公益诉讼。
相对于传统侵权行为而言,侵犯个人信息具有高度的隐秘性,导致了举证难和举证成本高的问题。因此鉴于原被告的技术能力问题,应该将举证责任倒置,由个人信息处理者或其他侵权主体证明自己无侵权行为。举证责任倒置一方面可以约束个人信息处理者的行为,另一方面切合了公益诉讼的目的。
结论
大数据时代,个人信息成为这个时代重要的商业资源,个人信息处理者滥用权力导致了公民个人信息受到侵害的情况频频发生。本文从个人信息处理者责任、行业自律、行政部门监督和司法救济途径四方面提出了构建我国个人信息保护的综合性机制,以期对我国个人信息保护的制度以完善有所帮助。
作者:岳臣,现为北京市百瑞(济南)律师事务所实习人员。