浅析大数据时代个人信息的法律保护
来源:用户上传
作者:
摘要:随着信息数据的爆发式增长,个人信息的保护愈加困难,个人信息泄露和侵权事件层出不穷,这对民法如何保护个人信息和救济受害者权益提出了新的挑战。有关个人信息应作为隐私权保护还是作为独立的权利进行保护尚未达成共识,各国提供不同的立法模式如何取舍也仍未明晰,亟需在立法和司法上对该问题做出回应。为进一步完善个人信息的民法保护,规范个人信息管理和使用,应制定《个人信息保护法》,明确规定主体对个人信息享有的权利和信息管理者的义务,完善个人信息侵权诉讼制度,同时,还要加强公共监管,以公权力介入企业个人信息管理,规范行业制度,为隐私保护筑起高墙。
关键词:大数据;个人信息;隐私权
中图分类号:DF49 文献标识码:A
文章编号:1005-913X(2019)07-0063-03
一、问题的提出——以典型案例为视角
2014年10月11日,庞某委托鲁超通过去哪儿网平台订购了机票1张。去哪儿网订单详情页面显示该订单登记的乘机人信息包括原告姓名及身份证号,联系人信息、报销信息均为鲁超及其尾号1858的手机号。13日,庞某尾号9949手机号收到号短信,提示庞某所定MU5492航班已取消,要求庞某支付改签费20元。鲁超知晓上述短信后拨打东航客服电话予以核实,客服人员确认该次航班正常,并提示庞某收到的短信应属诈騙短信。而鲁超购买本案机票时未留存庞某手机号,庞某遂以个人信息被泄露、个人隐私遭到严重侵犯为由起诉趣拿公司和东航公司。法院认为,姓名、电话号码及行程安排等事项属于个人信息。随着对个人信息保护的重视,隐私权中已经被认为可以包括个人信息自主的内容,即个人有权自主决定是否公开及如何公开其整体的个人信息。将姓名、手机号和行程信息结合起来的信息归入个人隐私进行一体保护,也符合信息时代个人隐私、个人信息电子化的趋势。
从现有证据看,庞某已经证明自己是通过去哪儿网在东航官网购买机票,东航和趣拿公司以及中航信都有能力和条件将庞某的姓名、手机号和行程信息匹配在一起。第三人将这些信息匹配在一起的可能性非常低,东航和趣拿公司存在泄露庞某隐私信息的高度可能,并且存在过错,应当承担侵犯隐私权的相应侵权责任。
在现实生活中大量存在着类似上述案件的个人信息泄漏事件,如滴滴、携程大数据杀熟,Facebook泄漏五千万客户信息,华住集团旗下酒店打包出售五亿客户数据等,个人信息买卖似乎已形成产业链。在利益的驱使下,对公民隐私的保护和交易引发的安全隐患被漠视,平台和商家竭力挖掘数据背后隐藏的巨大商业价值,数据之争甚至引发了阿里、腾讯、顺丰之间的大战。公民的隐私权被严重侵犯,个人信息泄漏引发的安全问题也频繁发生,昭示着民法对于个人信息保护的不健全,这主要表现在以下几方面。
第一,个人信息民事权利的定位不明。《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。但是该条并没有明确个人信息的保护方式,究竟是作为法益进行保护,还是作为“个人信息权”进行保护,需要进一步明确。有学者认为个人信息权是隐私权的一种,应将个人信息作为隐私进行保护。有学者认为由于个人信息具有明显的经济价值,在定位时应当强调其财产属性。有关个人信息法律属性的争鸣尚未达成共识,法院以“隐私权纠纷”对个人信息进行保护,但是个人信息权与隐私权不能完全等同,虽然个人信息与隐私具有一定的交叉,但隐私权制度的重心在于防范个人秘密不被非法披露,而对于个人信息的侵犯则在于非法搜集、非法利用、非法存储、非法加工或非法倒卖个人信息等行为形态,两者不能混同,应当将个人信息权作为独立的人格权进行保护。
第二,个人信息侵权责任不明确。个人信息侵权纠纷的责任不明确,尤其是未明确是否可以获得精神损害。个人信息具有较高的经济价值,而个人信息的泄漏、出卖会为受害人带来极大的损害,这种损害往往是潜在的难以计算和证明的。在目前的案件个人信息侵权案件中,即使胜诉,受害人也仅仅受到象征性的赔偿,难以填平损失。这将严重打击当事人起诉的积极性,尤其是在胜诉几率本就不大的情况下。更重要的是,较低的赔偿无法对掌握信息的平台、商家形成威慑,有可能放纵他们继续侵犯个人信息权。
第三,个人信息侵权诉讼举证困难。个人信息侵权诉讼案件中,原告是一般公民,被告是网络平台或大型企业,两者具有明显的信息不对称,而且原告在资金技术、人力资源方面都明显弱于被告,两者的诉讼实力不平衡。在目前的举证制度下,根据“谁主张,谁举证”,原告需证明被告泄漏或出售原告个人信息的事实,而在原告对个人信息已失去掌控的情况下,这根本是无法完成的任务。由于个人信息侵权行为较为隐蔽,即使存在证据一般也掌握在被告的手中,原告无从知晓被告储存利用原告信息的过程,更加无法证明,只能承担举证责任的不利后果,即驳回诉讼请求。大数据时代信息保护的障碍:只要使用软件,个人数据就会悄然无声的转移到网络服务商,传统信息保护的方式已失去作用,需要建立新的个人信息保护路径,唤醒公民信息权利意识,规范信息管理者对信息的采集和使用。
二、个人信息基础理论
(一)个人信息的概念
学界关于个人信息定义有多种学说,有的学者认为:“个人信息是现实当中不希望被他人知道的或是个人对这部分信息很看重而不希望别人知晓的信息。”有的学者认为:“个人信息包括自己的私人生活有关的信息和所参与的社会活动和组织性的个体活动信息。”《欧洲数据保护公约》的理解是:凡是与一个人有关并且根据该信息能够被他人识别的信息就是个人信息,这种信息可以是直接的或者间接的,也可以是物质的或精神的。法律保护个人信息一方面是出于对隐私的尊重,另一方面,个人信息具有一定的价值,并且存在被不当使用而造成威胁的可能。因此,个人信息应当突出其价值,并且能够与其他信息相区分,笔者认为,应当采用以下定义:个人信息是指与个人相关的、不希望被他人知晓的且能够与个人相匹配的一切信息。 (二)个人信息的法律特征
个人信息在大数据时代成为了一种被争夺的商业资源,从法律特征上说,它具有人格属性和财产属性。首先,个人信息的主题必须是自然人。当然,也有部分国家认为个人信息的主体不限于自然人,也包括法人等主体。但是法人没有完整的人格权,并且其信息更侧重于商业价值,应该以商业秘密的形式进行保护,不应该列入个人信息的范畴。其次,个人信息应与主体有密切的联系,能够与其他信息相区别,并通过能够信息第一时间确认信息主体,既具有可识别性。再次,个人信息应具有一定的价值,可以被利用或者转化成一定的利益。这一价值对于网络公司来说尤为明显,利用信息数据分割市场,掌握消费习惯和偏好,夺取更多消费者剩余,创造更多的经济利益。
(三)个人信息保护理论
1.个人信息控制权学说。个人信息控制权学说认为,个人信息的主体有权决定个人信息何时何地被使用,任何人要使用主体的个人信息都必须经过许可。个人信息控制学说强调主体对信息积极的控制,但这种控制可能会造成信息流通的障碍。
2.个人信息财产权保护理论。个人信息财产权保护理论认为,个人信息是一种财产权利,主体对个人信息享有所有权,对信息财产的处分、利用是个人信息所有者的权利,他人不得干涉和侵犯。经济学家认为这种理论能够提高个人信息的使用效率,呼应大数据对信息保护的现实需求,更能夠有效应对信息数据倒卖和泄漏的问题。
三、域外个人信息保护模式
(一)美国
美国将个人信息作为隐私权进行保护,主要有决定权、知情权、更正权三项权力。在信息采集过程中规定:未经信息主体个人许可,不得采用不合理入侵的方式方法获取其私人信息。在信息披露过程中,美国法律规定:必须取得主体许可,否则只有在公共领域的日常信息和本人自愿公开的公共领域非常规信息;只可在明确许可范围内披露。值得注意的是,美国对儿童信息保护设定了较为严苛的标准,要求收集13岁以下儿童信息时取得家长同意,收集13岁到16岁未成年信息时应当让家长有机会监督,希望监护人承担保护儿童信息的责任。
(二)德国
德国是典型的将个人信息作为一般人格权进行保护的国家,规定了“信息自决权”。信息自决权的主要含义是,个人对于自己的个人信息有决定何时何地采用何种方式公开的权利,并且其他公司或机构公开个人信息必须取得明确的授权,使用所收集的数据必须具有严格且明确的目的,对于个人信息权利的限制只能由法律规定。
(三)欧盟
欧盟关于个人信息保护的规定主要有《欧盟数据保护基本条例》《个人数据保护指令》等。欧盟法律规定,在一定期限内,信息主体可以免费获得个人信息并可以校对;主体可以对他人收集自己个人信息的行为提出异议,并通过法律手段追究其自认;对违法使用个人信息的行为可以通过民事诉讼要求赔偿;个人信息有权要求被遗忘,即要求他人删除或者停止传播。欧盟还建立了专门的监督机关以保护个人信息,通过行政处罚的方式加强对滥用个人信息行为的威慑。
(四)小结
美国、德国、欧盟对个人信息采用了不同形式的保护,有各自的优势所在:美国注重信息的流通,享受该模式带来的效率和便利,德国和欧盟给予了个人信息更严格和平等的保护,更注重私人权利和人格尊严。我国从法律体系和发展趋势上看,宜采用德国模式,将个人信息权作为独立的人格权进行保护。并且借鉴欧盟,以严格的立法规制,建立完备的个人信息法律保护体系,以应对我国个人信息侵权泛滥、数据泄漏事件频发等问题。
四、改善个人信息保护的建议
(一)制定《个人信息保护法》
信息数据被公司泄漏和出售的事件层出不穷,个人信息贩卖已经形成产业链,信息的不当使用埋下了诸多安全隐患,威胁着网络安全和社会稳定。急需制定《个人信息保护法》,明确个人信息的法律定位,建立系统、科学的个人信息保护体系,完善个人信息保护和救济途径。《个人信息保护法》应界定个人信息权的内涵和外延,明确规定知情权、决定权、选择权、删除权等内容;明确信息管理者的义务和法律责任,确定个人信息权保护的原则等。制定《个人信息保护法》,既能够回应社会对个人信息数据保护的强烈需求,又能够顺应国际趋势,与发达经济体保持一致,避免对我国贸易产生不良影响。
(二)完善个人信息诉讼制度
个人信息侵权事件频发,引发的诉讼也越来越多。但是诉讼效果并不理想,表现在举证困难、难以获得赔偿等方面。应该考虑个人信息侵权案件原被告实力相差悬殊、证据亲被告远原告、被告易于证明等因素,并结合保护公共利益、倾斜保护弱者原则,弱化个人信息侵权的证明标准,即原告只需证明被告掌握原告个人信息、被告存在不当使用的可能性即可,由被告举证说明其储存、利用的过程以证实其不存在滥用的行为并尽到了妥善保管的义务。在损害赔偿方面,应确定个人信息侵权可获得精神赔偿,赔偿数额根据侵权人的过错程度获利情况合理确定。
(三)加强公共监管
个人信息数据具有经济价值,仅靠市场和行业自律难以规范个人信息的采集和使用。为进一步保护个人信息安全和公共利益,应运用公权力监管信息控制者,构建完善的监督体系和监督制度。具体而言,应建立个人信息保护部门,行使监管权和执法权,以刑事手段和行政手段相结合的方式,规范信息获取和利用,处罚不当使用个人信息的行为,加强个人信息的事前保护和事后救济。
参考文献:
[1] 梁慧星.民商法论丛(第 43 卷)[M].北京:法律出版社,2009 .
[2] 崔聪聪.个人信息保护法研究[M].北京:北京邮电大学出版社,2015.
[3] 刁胜先.个人信息网络侵权问题研究[M].上海:上海三联书店,2013.
[4] 王利明.隐私权的新发展[J].人大法学评论,2009(1).
[责任编辑:方 晓]
转载注明来源:https://www.xzbu.com/2/view-15014032.htm