一、大数据时代个人信息概述
(一)大数据概述
1.大数据的概念
大数据(bigdata)是在科技时代,与云计算和数据库密切衔接,将零散数据通过信息收集、传送、分析、处理和呈现等技术,伴随着收集对象的发展变化,同步丰富和扩大数据的内涵,不断动态成长的新资源类型。“BigData”这个词汇最早出现在人们的视线,是在 2011年麦肯锡研究院发布的《大数据:下一个创新、竞争和生产力的前沿》研究报告中,后在世界著名数据分析公司 Gartner和“大数据商业应用第一人”维克托·迈尔·舍恩伯格的宣传推广下,大数据概念逐渐被各个国家接受并应用。
大数据技术是一种强大的信息处理技术,依托互联网技术发展、移动通讯的普及、个人终端智能化水平的提高,实际上是一个通过对数据的包装实现信息增值的过程。大数据技术主要围绕“数据价值化”这个核心展开。舍恩伯格认为大数据提供了一种使人们深化对世界认知水平的新手段,其核心价值是预测。大数据价值主要体现在,从传统的“向后分析”变为“向前分析”,不再执着于对过去经验的总结,而是放眼未来,预测事物发展的趋势。大数据通过算法和硬件系统的支持,方圆之所再现世界百态,将现实人类社会完美复刻在了计算机系统中,
是现实世界的数字化。在硬件系统足以提供足够的空间的、高精度的算法和高处理速度的前提下,套用高效的数据处理建模,随着现实世界发展,实现数据的动态更新,描述和预测这个现实世界的发展动态和趋势,实现指导现实社会的运行和发展的作用。大数据如同前三次科技革命一样,改变了人类社会的发展进程,这也是如今世界各国都重视大数据发展的根本原因。
...........................
作为网络世界的基本组成单位,数据形式的个人信息愈发重要。与传统个人信息不同的是,大数据时代,公民个人信息有了更加丰富的内涵和外延。
1.个人信息概念
我国《中华人民共和国网络安全法》(以下简称《网络安全法》)采取了归纳加列举并行的方法,在第 76 条第 5 款中首次给出了个人信息的定义:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。此外,在 2017 年 3 月《中华人民共和国个人信息保护法(建议稿)》中,基本沿用了《网络安全法》中关于个人信息概念的规定,表明这一定义较为精确地诠释了个人信息的概念。
2.个人信息的界定
关联说理论认为个人信息是一切与个人有关联的数据资料。个人信息的保护和开发不可偏废,该定义模式会导致个人信息范围过于宽泛,将所有与人相关的信息都纳入保护范围,会抑制个人信息利用的创造性发展,难以发挥个人信息的价值,因此广受诟病,实践中很少采用。
隐私说理论认为个人信息属于个人隐私。在普通法系国家,判例这一法律渊源发挥极大的填补作用,通过判例不断丰富隐私的内涵,已涵盖了大陆法系国家关于个人信息保护的内容。故,由于法律体系的差异,对包括我国在内的大陆法系国家而言,个人隐私内容无法实现即时更新,所以不能完全代替个人信息。而且,即便是英美法系国家的英国,隐私说理论也逐渐式微。在 2003年“Durantv.FinancialServicesAuthority”案中,①英国法院最终的结论是:如果某一信息不属于既有的隐私范畴,同时该信息被获取对信息主体没有任何不利影响,那么该信息不属于个人信息。②这一判决作出后即遭到质疑。
.........................
二、个人信息保护面临的大数据技术挑战
(一)个人信息获取方式隐蔽
过去信息主体对个人信息保护的方式是身份证不要随便交给别人,自己的手机号码不要随便告诉别人。现在,对于商业机构来说,并不需要用户精确个人信息,每一次点击鼠标、浏览的每一个网页都会被云端数据库的管理者、经营者锁定和追踪,可以轻易通过大数据技术得到想要的结果。
大数据涉及繁杂的技术手段,而作为信息主体,很少有人能掌握必备的防护技巧,通常都是依赖防火墙系统防止外来入侵。但是黑客可以运用各种技术手段绕过防火墙的阻拦,用非常隐秘的手段的入侵用户终端,所以用户很难及时采取应对措施,对于损害后果往往是后知后觉的。因此,数据技术的高精尖性,促成了侵害方式的多样性和隐秘性。例如,我们在网购平台购物时要输入账号密码,即使我们小心翼翼的设置了包含大小写、标点符号在内的非常复杂的密码,黑客只需通过 SQL注入方式就可以“攻入”我们的电脑,稍费力气就可以非常隐蔽的获取用户的个人信息。当我们上网浏览页面时,外观看起来和正常的 Web访问页面没什么区别,防火墙捕捉不到异常,便不会向用户发出警告,此时黑客就成功绕过了防火墙的阻碍,骗过了安全验证机制,无需账号密码就可以登录用户的个人账户。
...........................
(二)个人信息管理和保护难
“打铁还需自身硬”,对于收集到的个人信息,信息管理者理应采取相应的技术手段以防被入侵或泄露。但是从各种个人信息泄露事件来看,我国数据库防护技术尚待加强。通常,大量的个人信息都集中在一个或几个数据库,仅仅突破几层简单的技术防范机制就能获得全部数据。近几年不断发生信息泄露问题,有的是因为自身数据库保护技术上存在漏洞,导致网络黑客侵入,有的问题发生则是从业者职业道德的缺失,例如 2017 年京东“临时工”郑某勾结黑客,“监守自盗”,致使公司保管的 50 亿条个人信息被黑客非法获取并大肆贩卖。个人信息一旦被非法处置,牵涉的个人信息数量之多、流转速度之快、影响之大是无法想象的。
我们在网上购物时,有很多个人信息例如地址、电话号码都是必须要提交的,平台将这些信息收集以保证交易的安全和顺畅,这便是个人信息的“一次利用”。“二次利用”是指在未得到用户的知情或者许可的情况下,超越信息收集时的目的和权限,对基础数据进行深度挖掘,通过对数据的关联性和规律性进行分析得出新的数据。个人信息的“二次利用”的危害非常明显:网络服务提供商将通过cookie技术合法收集的个人信息深度分析,不告知或者不经用户同意,根据上网习惯进行广告投放;不知从何而来的营销电话、诈骗电话、恐吓短信扰乱个人生活安宁,还有可能威胁人们的财产安全;大数据“杀熟”,在获取不同消费者的消费习惯后,确定出针对不同人群的交易价格,经常购买奢侈品的用户,会比经常购买廉价商品的用户在购买同一件商品时获得不同报价,每个人在网络里都可能受到不公平的对待;甚至有的商家将自己掌握的用户个人信息进行非法买卖或是分享,最终导致用户个人信息的流向完全失去控制。因此,“二次利用”才是侵犯个人信息应集中攻坚的“重灾区”。
...........................
三、从审判实务视角看个人信息民法保护的不足...................................10
(一)案例总览..............................10
(二)个案中凸显的个人信息民法保护的问题................................10
四、个人信息民法保护的域外考察.............................15
(一)美国........................15
1.分散立法模式.......................15
2.集团诉讼..........................15
五、我国个人信息民法保护建议.............................20
(一)明确个人信息权....................................20
1.正式确立个人信息权......................25
2.被遗忘权的本土化..........................25
五、我国个人信息民法保护建议
(一)明确个人信息权
有关前述个人信息是否视为一项独立的民事权利的争议,笔者支持王利明教授和梁慧星教授的观点,《民法典》中也并未正式确立个人信息权,但是为个人信息权的确立打下基础。确认个人信息权是一种具体人格权,能防止个人信息权与隐私权的混同,有利于个人信息权的行使和专门保护。个人信息确权是世界趋势,所以我国应当借鉴欧盟经验,在个人信息保护立法中尘埃落定,将个人信息从隐私权保护体系中抽离出来,正式将个人信息权作为独立的新型具体人格权予以特别保护。
1.正式确立个人信息权
第一,明确个人信息权与隐私权的区别。首先,权利属性有所不同。隐私权着重保护精神利益,并无财产属性的附加,而个人信息却兼顾精神价值和财产价值的双重保护。其次,权利客体不同。隐私权注重私密性,凡是不愿公开且不涉及公共利益的客体都可以称之为隐私,即隐私权是“一次权”,一经公开即失去了私密性,不能再适用隐私权的保护手段。个人信息在某些方面和隐私会有重合,但相对公开性,有些个人信息会涉及社会利益甚至国家利益,是个人信息与隐私的重要区别。第三,权利内容不同。隐私权的保护具有消极性和防御性,在隐私权尚未受到冲击时,我们无法主动出击,而个人信息权以信息自决性为基础,是一种积极的、能动的掌控权。最后,保护方式不同。对个人信息的保护应该更加侧重于预防和积极止损,可以通过行政、司法多元手段救济,必要的财产救济和惩罚措施也必不可少。而对于个人隐私,更多的是事后防御和精神上的抚慰措施。
..........................
结语
科技的活跃,对于人们了解世界的方式以及相互间的沟通,产生巨大的影响。大数据技术发展方兴未艾,改变了个人信息收集、传输、利用的方式,充分挖掘了个人信息的价值,也使个人信息保护面临诸多挑战。在大数据时代下,个人信息侵权事件不断发生,我国目前的法律框架虽然一直在完善,仍无法满足公民个人信息安全与信息共享之间的利益平衡需求。因此,通过专门立法确立个人信息权,是保护个人信息安全的主要工作方向,同时以取多元化的救济措施辅之,方能够全面的应对个人信息侵权问题。
个人信息使用乱象屡禁不止,信息主体或能从中获利,但也对大数据技术望而生畏。经过多年的立法实践经验积累和对大数据技术特点的分析,我国终于将个人信息保护专项立法工作提上日程。本文结合与主题贴合度较高的几个具体案例,分析我国现行个人信息民法保护存在的不足,结合国外立法例,杜绝简单的“拿来主义”,要结合我国国情,去构建“接地气”的个人信息保护制度,形成国家、社会和个人多元共治的新局面,平衡个人信息的保护与利用之间的矛盾,并在不断探索中发展完善我国的个人信息保护体系,以制度为个人信息价值开发保驾护航。
参考文献(略)