新闻详情

走出个人信息保护的认识误区

 二维码 56
发表时间:2016-04-15 13:29作者:朱芸阳来源:中国征信


作者:朱芸阳,现任中央民族大学法学院讲师。


使用搜索引擎搜索信息、在网络购物平台挑选心仪的产品,用绑定的银行卡快捷支付,通过快递将货品送达,将个人照片放到网络空间或者是朋友圈……这似乎是现代人特别是年轻人日常生活中最普通不过的一天缩影。然而,网络创新在给人们的生活带来方便快捷的同时,个人信息安全的问题也不容忽视。个人信息所蕴含的潜在商业价值,更多地源于对个人信息的开发以及在此基础上的创新利用,在巨大经济利益的驱动之下,泄露和非法使用个人信息的事件频发,而垃圾短信、网络诈骗、人肉搜索等网络恶意行为不孔不入。2015年中消协联合360互联网安全中心发起的“网民个人信息保护状况调查”结果显示,将近六成的消费者对于互联网个人信息保护现状,选择非常不满意和不满意;三分之二的消费者在接受调查时明确表示,过去一年内个人信息曾被泄露或窃取,有33.14%的受访者称,曾遭受过经济损失和人身伤害。个人信息的不法使用正在严重困扰人们的正常生活,广大网络用户对于个人信息的保护需求日益增强。


网络世界不是不法之地,信息创新不能以牺牲信息安全为代价,相反,正如习近平所指出,网络安全和信息化必须统一谋划、统一部署、统一推进、统一实施。我国已出台一系列有关网络和信息安全的法律制度,为网络健康有序安全发展提供了有力保证。但现有的规定过于原则或笼统、可操作性不强,并且散落在不同的法律、法规、规章和司法解释中,侧重于事后追究法律责任的救济模式,使得我国的个人信息保护法律制度滞后于发达国家,无法应对大数据环境下信息爆炸式增长的时代背景,与世界接轨困难重重。因此,要治愈个人信息滥用的“痼疾”,实施国家大数据战略和网络强国战略,需要加快制定统一的个人信息保护立法。


大数据环境之下信息收集和处理技术的广泛应用,是信息创新、社会发展的“新趋势”,也为个人信息保护带来了“新问题”。个人信息的核心特征是“可识别个人身份”,既包括身份证号码等直接识别用户身份的信息,也包括银行账号、电话号码、住址等无法单独以此信息识别个人,但与其他信息相结合可以指向特定个人的间接识别信息。个人信息的潜在风险正是来源于该信息能够与特定个人相关联。电信诈骗为何屡屡得手?究其根源正是在于犯罪分子利用所掌握的个人信息,使得受害人丧失应有的警戒心。信息“匿名化”处理是保障信息安全,实现信息分享的前提。个人身份和信息内容彼此分离,该信息内容也就不能指向特定的个人,潜在的风险也不会变成实际损失。在用户免费使用、广告收益为收入来源的现代互联网经济模式中,不可否认,人们正是用信息分享来换取更为优质的用户体验,同时,恰恰是因为信任互联网企业能够匿名化处理个人信息、保障个人信息安全,广大用户们才选择在互联网上展示自己、建立和发展网上友情和从事商业活动。因此,美国等发达国家对于个人信息的利用是以信息主体对个人信息的控制为基石,以信息匿名化处理为技术手段,严格限制收集和处理可识别个人身份的信息。


然而,数据搜集与再识别化技术的应用,使得个人信息的范畴面临扩大化。不仅传统意义上“不可识别身份的信息”可能转化为“可识别身份的信息”,甚至不同种类的“非可识别个人身份的信息”相结合后可能转变成“可识别个人身份的信息”。 例如,美国一项研究显示,将邮编、出生日期以及性别这些“非可识别个人身份的信息”集合起来基本上可以确定这个人的身份,这种可能性达到了87%。而具有资金和技术优势的信息管理者,例如百度等国内大型网络服务提供者具有相当多的媒体资源,也加剧了信息管理者与信息主体之间的不平等地位。海量的数据聚合在社交网络平台、电子商务平台及移动智能终端平台,信息管理者采用大数据技术对这些碎片化的信息进行挖掘和处理,就可以从互联网的虚拟世界中还原出个人的身份特征。近期在我国引起热议、被称为“北京百度网讯科技公司与朱烨隐私权纠纷案”中一审、二审判决结果的急剧反转,正是反映出司法实践中对于用户追踪技术(Cookie)技术形成的在线行为信息是否属于个人信息的性质界定存在巨大争议。然而用户心中的Cookie隐私疑云尚未消退,另一则新闻又起波澜,近期阿里巴巴集团旗下的网络营销平台“阿里妈妈“高调宣布新推出的营销平台“达摩剑”通过收集网络用户的在线行为信息并整合其他数据平台,已经能够实现真人识别,从而实现针对特定个人的精准营销。


这一切表明,海量数据的存在,大数据技术的应用,信息管理者所处的垄断优势地位,正在改写着传统意义上的“匿名神话”,信息主体日益“透明化”,即使是在无形的互联网世界里也无法遁形,信息主体与信息管理者之间不平等的地位,既加剧了个人信息不法使用的潜在风险,又实质上削弱了信息主体对个人信息的控制权。因此,应当进一步完善个人信息保护法律体系,发挥法律规范的正向引导作用,纠正大数据背景之下信息管理者与信息主体地位的失衡状态。


第一,走出“加强个人信息保护,就是遏制信息流动”的认识误区,明确保障信息安全和推动科技创新和是辩证统一的关系。基本权利保障与促进信息自由流动是各国个人信息保护立法的基本价值功能,如何平衡信息主体的利益和信息管理者的利益,在信息安全与信息创新之间找到一个最佳平衡点,是个世界性的法治难题。既要看到大数据背景下信息创新对促进社会经济发展、改善人民生活福祉的正向效应,不能因噎废食、全面排斥个人信息的商业化应用,也要增强风险防御和控制的防范意识,坚持信息安全是维系和促进信息创新的底线。在这个信息分享和信息收集的规模急剧增长的大数据时代,我们比过去任何时候都更需要保障信息安全,为实施网络强国战略“保驾护航”。 保障信息主体的基本权利与促进信息自由流动是各国个人信息保护立法的基本价值功能。


第二,打破“信息安全重在企业”的思维定势,社会公众也需要从源头上增强信息安全意识。保持创新活力,离不开各方的共同努力;实现协调发展、共享发展,离不开各方利益的共同增长。个人信息保护应当遵循比例原则,权利保护的范围和强度应与创新的高度和贡献程度相适应,避免过高或过低的保护。例如,网络服务提供者收集个人信息时,在依照法律规定保障信息主体的知情权和选择权,明确是谁在收集信息、信息的范围、收集目的和用途,为公民提供清晰简明、有效可行的选择机制的前提下,信息主体也应当增强信息安全意识,加强自我保护能力来实现对个人信息的自我控制。因此,应当坚持信息创新和信息安全并重的原则,通过统一化的个人信息保护立法,构建以数据主体的控制权、信息管理者的信息安全保障义务为核心的法律规则。


第三,纠正重视“硬约束”、轻视“软调节”的错误倾向,采取“硬约束”加“软调节”相结合的监管模式。一方面,通过个人信息保护立法实现“硬约束”,明确信息管理者的保障信息安全义务,建立个人信息保护的问责机制,以及多种责任相结合的法律保护体系。另一方面,为了应对日新月异的科技创新弹性,更需要通过多方参与机制来实现“软调节”,加强行业自律监管,定期对企业的个人信息保护相关的实践做法进行测评,发挥自治规则的正向调节作用,为企业履行保护信息安全的义务提供切实可行的行为准则。


第四,消除创新者“承担法律责任”的顾虑,倡导“技术中立”理念。十八届五中全会提出五大“发展”理念,“创新发展”被摆在发展全局的核心位置,创新始终是推动一个国家和民族发展最重要的驱动力。科技创新随处可见,随时发生,大量的商机和经济增长来源于对个人信息的创新性利用。创新技术本身是中立的,并非生来带有“原罪”,不能仅因为某种创新技术可能被用于侵害他人的信息权益,就认定应当追究技术开发者或者经营者的法律责任。需要准确把握“技术中立”的精神,既不能使创新者因畏惧法律责任而束缚手脚,又要防止以技术中立为名行侵权之实。


总之,我国国家大数据战略和网络强国战略并举,“网络安全和信息化是一体之两翼、驱动之双轮,”只有筑牢信息安全的法治基石,探索出适合我国国情的个人信息保护模式,创新经济才能有根本性的法治保障,创新经济也才能健康持续发展。一个无序、失范、野蛮生长的互联网环境是不可持久发展的,当滥用个人信息腐蚀信息安全的法治基石,公民对于互联网信息安全的信任崩然坍塌之时,就是信息创新的源泉枯竭之时。


会员登录
登录
我的资料
留言
回到顶部