编者按:
非法获取学校同学的个人信息用于颜值打分网站,是无知还是自作聪明?数据潜藏的巨大价值决定了,只要有信息的收集和存储行为,就有信息泄露的风险。
本文深剖个人信息的保护与利用,回答了:在朋友圈、微博晒的照片会受到保护吗?不同APP之间的信息窃听是合法的吗?个人隐私权也是有适用范围的?我国的个人信息保护举措有哪些?
本文摘自《中国新经济:创新与规则》中“个人隐私与信息保护:创新产业绕不过去的坎”一章,内容与我们每个人息息相关,摘出以飨读者。
01 数据泄露乱象
随着大数据价值日益凸显,数据成为被抢夺的宝贵资源。在此背景下,数据泄露事件的发生频率和被泄露数据的规模都有增无减。
酒店客户的身份信息、开房记录数据在网上标价出售;快递数据在网上被公然售卖,包括寄件人和收件人的姓名、地址、电话等信息,该数据售卖产业链条涉及快递代理商、文化公司及无业游民……
此外,政府机构和医疗、金融、教育等公共服务机构往往也会成为窃取数据的目标。与互联网企业不同,政府机构和公共服务机构掌握着大量个人敏感信息,一旦数据泄露,将引发不可估量的后果。
02 个人信息保护的边界在哪里
个人在网上公开的信息是否受保护?汇聚在庞大数据库中的信息种类庞杂,除了性取向、犯罪记录、病历这些明显带有私密性的信息之外,更多的是姓名、性别、年龄、职业、电话号码等零散琐碎、看似无关紧要的信息。其中,不少信息还是我们自愿公之于众的。最为典型的当属人们在社交平台上发布的观点和状态。此类已公开的信息是否还受保护呢?透过司法实践可以发现,法院倾向于否认这类信息的私密性,而将其排除在隐私保护范围之外。
美国人辛西娅在全球第二大社交网站Myspace网页上张贴了一篇文章,文章内容涉及对其家乡某地的负面评价。另一位用户在阅读这篇文章之后,将其投稿到某地的地方性报纸上,且署名辛西娅。这篇文章招致不少当地居民的不满,辛西娅及家人受到骚扰和排斥,甚至是死亡威胁,一家人所经营的商店也被迫停业。事情发生之后,辛西娅起诉了这家地方性报纸,认为报纸的举动侵犯了自身隐私权。但是,加州上诉法院的判决却认为,报纸所刊登的文章内容并非隐私之事,某人将信息发布在网络上,就应该意识到该信息事实上已经公开或是已成为公共领域的一部分,潜在读者众多,即使信息发布者主观上仅是期待与特定好友分享交流,该信息也不因为这种主观上的期待而具有私密性。换言之,一旦某人于网络平台上发布信息,就不能合理期待该信息还能保持私密性。
单个看似无关紧要的信息可能不足以归入隐私保护范畴,但这并不意味着,这类信息的收集、处理和使用不会带来任何问题。例如,个人在图书馆的单次借阅信息可能无法说明什么,但是,对某人多次借阅信息的综合分析完全可能总结出其阅读偏好,这种阅读偏好作为私人生活的一部分,可能恰恰是其不愿意被他人知晓的隐私。
Cookie信息:个人隐私还是个人信息?简单来说,Cookie技术就好比网站服务器与用户浏览器之间的“传话筒”。借助Cookie技术,网站服务器可以了解浏览器浏览的网页内容;通过对浏览内容的分析,可以推测该浏览器使用者的个性化需求,进而向浏览器端提供个性化推荐服务。
网民朱烨发现,不论是使用自家网络,还是利用单位网络,只要通过“百度搜索引擎”搜索相关关键词后,在访问其他网站时网页上便会显示与关键词有关的广告。在线活动轨迹竟时时被人“关注”,这令朱烨感到愤怒和恐慌,于是其向法院提起了诉讼。一审朱烨胜诉,但二审却发生“逆转”,法院判决认为百度公司的个性化推荐行为不构成侵犯朱烨的隐私权。
在Cookie信息定性上的分歧是造成一审和二审判决相悖的主要原因。倘若朱烨案发生在当下,二审法院的判断很可能会有所不同。
2017年6月1日,《网络安全法》正式生效,明确了个人信息的定义,即以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
基于此,“特定个人可识别性”成为判断个人信息与否的核心要件。特定个人可识别性,指的是透过该信息能够将其所指涉的特定个人与他人区分开来。这不仅包括事实上已经识别出特定个人的情况——虽尚未识别出特定个人但存在识别出特定个人可能性的情况也涵盖其中。换言之,单凭某一信息无法识别出特定的人,但如果与其他信息相结合,能够识别出特定个人的话,该信息也应认定为个人信息。Cookie信息便属于此范畴。
03 谁的数据谁做主?
既然信息交流愈发重要,每一项信息都承载着一定的价值,不能单凭信息是否涉及私密生活来判断信息是否受保护,那为何不直接赋予信息主体支配和控制权呢?这样的话,是否公开、向谁公开、公开哪些信息等都可以由信息主体来自行决定。
早在1967年,美国学者阿伦·韦斯丁就在《隐私与自由》一书中富有洞见地写道:“隐私权指的是个人、组织或机构能够自己决定何时、如何以及在多大程度上将有关自身的信息告知他人。”为何不适宜再将隐私权理解为一种个人独处的权利呢?阿伦·韦斯丁给出了解释。他认为,从个人和社会参与的关系来看,由于每个人都有参与社会交往的意愿,所以人们对隐私的渴望并非绝对的。事实上,我们每个人心里本就有一个标尺,以此来根据所处环境和社会观念的变化,在隐私保护与社会交往之间找寻一个平衡点。
在德国,“谁的数据谁做主”的观念逐渐被普遍接受,甚至直接触发了德国联邦个人信息保护法的第二次修法运动。但是,德国联邦宪法也认为,每个人作为具有社会关联性且受社会约束的一员,必须在一定范围内忍受关于其个人的调查。换言之,只有涉及个人私密领域的国家抽样调查行为才被法律禁止。不涉及私密领域,而且只要国家采取匿名化处理等保障措施,则可以切断被调查信息与被调查人之间的人格关联。在1983年的一起案件中,德国联邦宪法法院审视了在自动化信息处理条件下无限制地收集、存储、使用和传送个人信息对人格自由发展的侵害,进而提出了影响深远的“个人信息自决权”,但是也强调这不是宽泛的个人信息自决权,而是这种自决权有着特定的适用范围。
04个人信息保护的八项原则
从个人信息保护具体规范来看,各个国家之间存在诸多差异。经济合作与发展组织(OECD)发布的《隐私保护与个人数据跨境流通指南》,作为个人信息保护国际规则的先驱,确立了个人信息保护的八项原则。
第一,收集限制原则。收集个人数据应在数据主体知情同意的情况下,以合法和公平的方式进行。
第二,数据质量原则。为特定目的所使用的数据应保持正确、完整和更新。
第三,目的特定原则。收集个人数据之目的应明确特定,后续使用应限于最初收集目的或与之相容的目的;如果改变使用目的,应予以说明。
第四,使用限制原则。个人信息不得用于特定目的之外的目的。
第五,安全保障原则。为防止个人信息丢失、未经授权的访问、损坏、利用、修改、泄露等风险,应采取合理的安全保护措施。
第六,公开原则。针对个人信息的发展、实践及政策制定一般性政策并予以公开。
第七,参与原则。数据主体有权在合理期间,以合理方式获知数据控制主体是否持有与其相关的数据,有权质疑数据并删除、改变、完善数据。
第八,可问责性原则。数据控制主体应遵守上述原则,承担相应责任。
05 我国的举措:命令控制与激励诱导并重
信息控制者通常具有相当强的数据利用激励,却缺乏同等程度的数据保护激励。如果法律规则不能因势利导,只是一味施加种种禁止性或强制性规定的话,或许短期内可以产生立竿见影的效果,但从长远来看,势必会因为激励不相容难以形塑信息控制者展开个人信息保护的内驱力。
因此,命令控制型工具与激励诱导型工具相容的监管之道是共通之路。我国较为典型的激励诱导型制度设计当属个人信息保护负责人、合规审计以及个人信息保护影响评估。
个人信息保护负责人。《个人信息保护法》确立了个人信息保护负责人制度,即处理个人信息达到国家网信部门规定数量的个人信息处理者应当明确个人信息保护负责人。个人信息保护负责人实则搭建起了个人信息控制者与监管机构、个人信息主体、其他利益相关者等多元主体之间的沟通桥梁。
合规审计。个人信息处理者应当定期就其个人信息处理活动遵守法律、行政法规的情况进行合规审计。建构合规体系是现代企业为避免或减轻可能因违法违规经营而受到的行政处罚、刑事处罚,进而避免产生更大的经济或其他损失,而采取的一种内部治理方式。置于个人信息保护法体系下来看,与“告知—同意”等命令控制型义务不同,展开合规审计属于个人信息处理者的一项法定义务。针对如何进行合规审计、展开合规审计的周期等问题,立法者为信息处理者预留了相当程度的自主决定空间。
个人信息保护影响评估。以风险管理理念为基础,《个人信息保护法》设计了个人信息保护影响评估制度。
有以下情形时,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:处理敏感个人信息;利用个人信息进行自动化决策;委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;向境外提供个人信息;其他对个人权益有重大影响的个人信息处理活动。
个人信息保护影响评估制度可以将特定应用场景中信息处理行为的风险与具体保护措施有机连接起来——由信息处理者以个案或类案为基础,评估信息处理行为的风险,进而采取相应程度的保护措施,并根据风险水平予以动态调整。审视信息处理行为是否合法往往是影响评估的主要内容之一,但系统性、持续性的影响评估过程并不止步于打钩式合规检查,而是重在识别、分析和最小化信息处理活动对信息主体权益的潜在不利影响,为此所采取的风险管理措施并不限于立法中规定的措施。
