数据背景下个人信息安全法律问题研究的文献综述
张  杰
摘要:互联网、计算机技术的运用,揭开了人们对数据的收集、利用的历史。随着互联网技术的不断发展,及云计算、物联网等新技术的普及和运用,数据量出现了爆炸性的增长,由此孕育了大数据时代的到来。大数据技术运作之下,信息的收集和利用能力得到了质的突破,我们的个人信息在特殊的网络环境下面临被非法收集、非法利用及泄露的危险。本文研究了大数据运作处理个人信息的模式、特点及对大数据运作的侵权方式加以研究,提出了大数据时代保护个人信息安全应当选择自律保护与法律保护相结合的方式,并且提出了完善法律保护的具体建议
关键词:大数据;个人信息;法律保护;自律保护
一、大数据运作侵害个人信息安全的方式和特点
(一)大数据运作侵害个人信息的方式
大数据运作要求超量数据的收集作基础,对于一些大型社交网站和电商网站,如,阿里巴巴来说,数据收集易如反掌。便利的数据收集和大量的信息被他人掌握,由此引发的最突出的问题是对个人信息的保护问题。进行大数据分析的主体看到了大数据的价值潜力,这极大地刺激着他们进一步收集、储存、循环利用我们个人数据的野心。随着存储成本不断降低而分析工具越发先进,釆集和存储数据的数量和规模将呈爆发式的增长。对大数据运作侵犯个人信息安全方式的分析显得尤为重要,只有在对侵害方式有清晰认识的基础上,才能进一步完善对个人信息安全的保护,按照相关行为对个人信息安全的侵害可以分为以下情形:
(1)个人信息的非法收集
大数据运作主体侵害个人信息最直接的方式即对个人信息的非法收集,数据来源性主体拥有大量的互联网用户,如若在未经用户许可的前提下非法收集用户的个人信息,则会造成对数据主体权利的侵害。谷歌公司公布其开始执行的新隐规则策,其中包括多条有关隐私的条例,内容包括了谷歌公司将会从多个服务中整合提取用户信息的规定,其中涉及以及本家的社交网络。然而,规则刚刚发布便遭到消费者隐私保护组织的强力反对,电子产品隐私信息中心甚至提出起诉,希望联邦贸易委员会颁布命令禁止谷歌的新隐私政策。欧盟同样对谷歌
做出警告,相关监管机构要求谷歌公司能够修改它的新隐私政策。除此之外,国内的一些软件公司也饱受非法收集用户信息的争议。年的月份,针对多个产品遭苹果下架的情况,金山公司发表“涉嫌偷窃用户隐私”的文章,并在金山相关软件上设置弹窗,提示产品下架是出于盗窃用户个人信息的原因。随后,一些业界人士、专业人士以及网友们纷纷提出质疑与举证,持续的口水战终于引起工信部介入调查,后向工信部、公安系统的专业机构提交安全浏览器接受检查。非法收集个人信息的行为是基于大数据运作模式决定的,收集信息数据是进行大数据分析的基础,所以收集行为也应当认定为基本的侵害手段。将个人信息的法律属性界定为人格权,那么个人信息所包含的人格利益作为权利人的合法权益受到法律的保护,大数据运作主体必须尊重,对于个人信息的收集应当获得权利人的同意或者许可,否则会造成对当事人合法权益的侵害。非法收集个人信息的行为是基于大数据运作模式决定的,收集信息数据是进行大数据分析的基础,所以收集行为也应当认定为基本的侵害手段。将个人信息的法律属性界定为人格权,那么个人信息所包含的人格利益作为权利人的合法权益受到法律的保护,大数据运作主体必须尊重,对于个人信息的收集应当获得权利人的同意或者许可,否则会造成对当事人合法权益的侵害。
(2)个人信息的过度分析
大数据时代个人信息安全问题的还来自于对个人信息的过度分析,这也是基于大数据运作模式产生的。对于当前互联网发展越来越成熟的中国,大多数国内网民都是一款名为的通讯工具的用户,同时这些用户大多会同步开通其中的“朋友网”功能,这本来是方便用户查自己同学和朋友的一个好途径,但是越来越多的使用者反映该“朋友网”功能侵犯了用户的个人信息。以笔者为例,打开“朋友网”当中的寻好友界面,再选择“可能认识的人”,系统告知为我到了个可能认识的人,在其提供的巨大的关系网中,遍布了我的高中与大学的同学,然而除此之外甚至还可以寻到早己失去联系的小学同学和完全不认识但是有在同一学校上学经历的人。现在问题在于,笔者未曾提供给“朋友网”任何个人的上学经历,但是其能够反馈给我们一个庞大的关系网,充分说明了这是其对用户个人信息的深入挖掘和分析的结果。同时该网络不仅仅提供的可能认识的人的姓名,还提供了用户发表的日志、相册、留言板、班级、学历、等等一切信息都被暴露在光天化日之下可被其他人浏览。相关技术的运用在一方面确实为用户提供了强大的寻人功能,但是在另一方面也反映了其对网络用户个人信息的过度分析。用户的个人信息被大量搜集,并从多方面加以分析,获得相关用户的联系人网络,这同样是对他人个人信息的侵犯。在大数据时代,仅仅从外部屏蔽大数据主体挖掘个人信息是很难实现的,收据运作者可通过多种数据掌握他人个人信息。目前,各社交网站一般会不
同程度地开放其用户所产生的实时数据,这些信息可能被一些数据提供商收集,另外,还存在一些监测数据的市场分析机构,通过对人们在社交网站中写入的信息、智能手机显示的位置信息等多种数据组合,己经可以以非常高的精度锁定某个人以及挖掘出其个人信息体系,用户的信息安全问题堪忧。因此大数据时代下对于个人信息的过度分析是侵犯个人信息安全的另一种情形,在保护个人信息安全的过程中需要考虑如何规范过度分析的行为,从而做到针对性的规制。
(3)个人信息的泄露
个人信息具有人格权属性,其不仅包含精神利益,同时也包含经济利益。大数据时代对于数据价值的追求达到历史的新高度,数据拥有者为了获得相关经济利益出售个人数据的行为则会造成个人信息的泄露,侵犯权利人的合法权益。另外,第三人对于大数据拥有者的网络进攻会造成个人信息的泄露或者传播。在互联网空间中,大数据是更容易被搜寻到的大目标。一方面,大数据意味着海量的数据,其中包括许多复杂、敏感的数据,这些数据具有巨大的经济价值,从而吸引更多的潜在攻击者。另一方面,数据的大量汇集,使得倘若外来进攻获得成功,那么一次性就将取得更多的数据,无形中降低了黑客的进攻成本,大数据成为网络攻击的显著目标。
(二)大数据运作侵害个人信息的特点
(1)侵害个人信息行为的隐蔽性
侵害个人信息的行为难以被察觉体现在两个方面:
第一,大数据信息的搜集方式本身非常隐蔽。例如,淘宝公司等大的社交网络和电商公司,他们具备大量的网络用户和体验者,用户们在其网络上
的一举一动都可以被记录下来,并且成本低廉。假如这些数据收集者意欲收集相关信息,搜集行为非常方便,即便未经许可行为,用户们也不得而知。而且在绝大多数情况下收集者对我们搜索记录、浏览记录的收集并不违反相关法律法规的规定,但问题在于,信息常常存在联系性,看似不起眼的数据经过科学的分析,就可能得出精确于某个个人的相关信息,涉及到此人的隐私或个人信息也就不足为奇。
第二,大数据信息的泄露具有隐蔽性。遭遇“泄密门”、韩国社交网站“赛我网”的万用户资料被窃,到近期曝光的美国国家安全局的“棱镜计划”通常,外界无法在第一时间获知泄露事件的发生,甚至大数据信息的掌控者也不知晓其遭受到攻击,导致信息己经发生了泄漏,然而泄
露的事实却因隐蔽的行为而延迟发觉。正如棱镜计划一样,假如斯诺登没有做出所谓的“背叛国家”的行为,美国国安局的行动能否在未来为世人所知晓还是一个未知数。因此,我们当真正察觉池漏事件时,大数据侵权可能已经产生了极其严重的后果和恶劣影响。
(2)侵权形式随科学技术的发展不断广张
从当前技术手段来看,大数据时代的运作主体主要包括,电子商务网站,社交网站,搜索引擎,聊天工具等传统互联网公司。然而随着技术运用的深层次发展与多领域运行,大数据运作对个人信息的侵害主体有不断扩张的趋势。如在领域,大量的手机和交通工具配置了定位设备,相关技术的运用完全可以顺利掌握到用户的住所地以及经常居住地等相关信息,从而造成个人信息被他人掌控,引发个人信息的不安全因素。并且与此相关的车联网技术也正处于快速发展阶段,汽车等交通工具与互联网的链接,也会造成相类似的困境。另外,例如智能电表的爆发式增长,的信息交流,网络硬盘,云存储技术的发展。在这些领域都可以造就数据大亨的成形,大数据对于个人信息安全的侵权模式可以随着技术的发展而不断出现新的变化,法律对于大数据的规制范围和方式必须随着科技的继续发展而发展。
二、我国大数据时代个人信息保护现状
我国对个人信息的保护也包括法律保护和自律保护两方面。目前我国尚未出台专门的法律对个人信息的收集、分析、使用等行为加以规制,但是存在一些相关领域的法律和行政规章,以及侵权责任法、刑法等部门法的相关规定对个人信息安全加以保障。同时,在大数据领域当中自律保护也正在逐渐形成并且得以发展。现对大数据时代下我国个人信息保护现状加以介绍,并且分析当前现状存在的一些问题,以期为完善个人信息保护提供更多依据。
(一)我国大数据时代下个人信息保护现状
(1)法律保护
《全国人大常委会关于加强网络信息保护的决定》
该《决定》公布施行,目的正是在于保护网络信息安全,保障公民、法人和相关组织的合法权益,《决定》的内容涉及当前互联网个人信息数据管理中的问题,为一些必要的互联网管理措施提供法律上的依据。该《决定》第1条规定:任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息;第2条规定了网络服务提供者针对个人电子信息的收集、使用应当遵循“合法、正当、必要”的原则,
同时要求收集、使用他人个人信息需要经过信息主体的同意,并且要明示所收集、使用信息的目的、方式和范围;第10条规定了国家机关及其工作人员对在履行国家职责过程中知悉公民个人电子信息的保密义务;第12条规定了违反法律规定的惩罚措施,违法者应承担相应的侵权责任,加大违法成本。《决定》当中的这些规定是基本并且非常重要的规制内容。其中包含了进行个人信息收集、利用行为须履行的原则,权利人许可制度,惩罚措施等内容,为大数据时代下保护个人信息安全起到了很好的指导作用,对于互联网当中个人信息保护的规定,符合科学技术发展和大数据技术运作的要求,具有相当的实际价值。
(2)自律保护
学者普遍认同“美国拥有普遍的自律机制或者说是自律传统”。互联网在我国的迅速发展,也催生了一些行业自律规范的产生。百度、奇虎、搜狗、腾讯、网易、新浪等12家搜索引擎及相关企业在北京签署的《互联网搜索引擎服务自律公约》就反映了中国互联网行业的自律实例,《公约》表示将自觉遵守自律公约各项规定,努力提升服务水平,不断改善用户体验,其中第10条规定:搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全,收到权利人符合法律规定的通知后,应及时删除、断开侵权内容链接。另一方面国家也积极倡导行业
自律的发展,在《电信和互联网用户个人信息保护规定》当中就有明文规定:国家鼓励电信和互联网行业开展用户个人信息保护自律工作。2004年我国制定了《中国互联网行业自律公约》,由中国互联网协会作为公约的执行机构,负责公约的组织实施,这一公约旨在规范从业者的行为,促进和保障互联网行业的健康发展。其中第八条规定:自觉维护消费者的合法权益,保守用户信息秘密;不利用用户提供的信息从事任何与向用户做出的承诺无关的活动,不利用技术或其他优势侵犯消费者或用户的合法权益。由此体现出我国的自律保护正在处于发展阶段,虽然还不及美国行业自律的发展程度,但是行业主体的自律意识与政府部门的积极倡导,为利用自律规范保护个人信息安全打下了良好的基础。
三、完善我国大数据时代个人信息的法律保护对策
(一)保护个人信息方式的选择
立法保护与自律保护相结合可以在一定程度上弥补行业自律的不足,增强自律规范的执行力,适当增加公权力的监督,更加有利于保护个人信息主体的合法权益。行业自律对个人信息的保护有特有之优势,但是不能效仿美国主要依靠自律规范,因为自律保护存在其自有的缺陷:首先,自律机制主体必然考虑行业内部的利益。自律规则由行业的相关主体制定,那
么其在自我约束与个人利益的平衡中,可能会偏向于自己的利益,从而在对个人信息主体权利的保护过程中出现保护不利的情形。其次,自律规范缺乏强制力。缺少强制力是自律规则普遍存在的缺陷,毕竟法律由国家强制力为后盾得以实施,而自律规范没有国家强制力的直接保障,这也就造成了相关争端解决机制与纠纷处理程序不完善的情形。再次,行业自律在我国仍需进一步的发展,自律保护模式要求公民具有较强的法律意识、自我保护意识,而由于历史传统及社会发展的制约,我国公民的此类意识非常薄弱。我国在个人信息保护自律规范当中存在许多宣誓条款,在内容上欠缺实用性的规则,关于自我制约的细节性规则较少,对于侵害个人信息的赔偿机制也不够完善,并且规范的领域也过窄,单纯利用行业自律保护个人信息安全是不行的。立法保护与自律保护相结合可以完善法律在稳定性、滞后性上的不足,并且发挥自律保护的内在规制优势。科技改变着人们的生活方式和生产方式,并且变化迅速,一次次突破我们的理解范围和认知范围,而法律的稳定性和滞后性,使其在实施的同时可能就开始落后于现实的发展。大数据运作对个人信息的侵害又一次体现出了立法保护的滞后。纵观其他国家的立法,同样存在相同的问题,欧盟至今仍以处于互联网萌芽时期施行的《欧盟数据保护指令》作为其信息保护框架的核心,正在通过的《欧盟数据保护规则》草案更新了众多针对新技术和新时代的规制内容,但是从另一方面同样证明了法律天生的滞后
性。另者,法律属外在规制,对于大数据运作的针对性存在欠缺。这也是立法保护较于行业自律的不足之处,个人信息的自律保护是由数据管理者共同商讨、协议相关的规则,确立保护个人信息的规范,这属于自发的机制,这样的自生规范更具有针对性。互联网己经深入到人们的日常生活当中,大数据运作的成本不断下降,大数据公司以很便利的方式即可获取其用户在互联网中产生的数据,因此,仅仅利用单纯的立法保护不能很好的适应大数据时代下保护个人信息安全的要求,利益的驱使会推动大数据运作主体不断进行数据的收集和挖掘行为,加强对数据的处理和预测获取个人信息。综上所述,笔者认为保护个人信息方式的选择应当采取立法保护与自律保护相结合的方式。欲使该种结合实现其重要作用,一方面应当发展行业自律在大数据运作中的作用,发挥自律保护的内生规制,注意自律保护与法律的结合细节,增加其执行力和实施力度。另一方面完善相关立法,增加更多的针对性规制,弥补我国法律关于大数据时代个人信息保护中的不足,从而更好的保护个人信息安全。