网络数据安全与公民个人信息保护
作者:***
来源:《法制博览》2018年第05期
        摘 要:大数据时代来临,网络的使用者激增,网络数据泛滥,对随之而来的以数据为载体的个人信息保护成为时代议题。目前我国还未建立体系的个人信息的保护规范,对个人信息的保护存在不足。《、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的出台提升了对个人信息保护的力度,但仍然存在用语模糊,保护范围不够以及保护时间存在偏差的缺陷。本文梳理了个人数据、个人信息、识别的相关概念,深入探究了网络数据安全背景下公民个人信息的保护路径。
        关键词:个人信息;网络数据;识别;财产权模式;动态保护;匿名化
        中图分类号:D924 文献标识码:A 文章编号:2095-4379-(2018)14-0168-02
        作者简介:刘思宏(1994-),女,汉族,四川苍溪人,四川大学法学院,硕士,研究方向:刑事诉讼法。
        一、问题的提出
        进入网络时代,智能时代和数据时代之后,电子设备尤其是手机不可避免地时时刻刻记录着个人的行踪和状态。比如开启健身数据之后手机对每日步行及跑步数据的记录,个人向外卖平台提供、地址和支付方式以享受送餐服务,用户通过提供个人、支付方式以及实时的位置共享换取共享单车的服务。网络为个人的生活提供了更为便捷的条件,然而由此产生的海量的个人数据也不可避免的存在安全隐患,个人信息安全的威胁凸显。
        根据赛门铁克2016年发布的《互联网安全威胁报告》,2015年有5亿条个人记录遭窃取或泄露。赛门铁克2017年发布的《互联网安全威胁报告》显示,过去8年,资料外泄导致超过71亿笔身份资料遭到暴露①。中国互联网协会发布的《中国网民权益保护调查报告2016》显示,54%的网民认为个人信息泄露严重,其中21%的网民认为非常严重。84%的网民亲身感受到了由于个人信息泄露带来的不良影响。其中“APP获取个人信息,用户并不知情”的现象排在侵犯网民权益现象的第三位。截至报告发布前近一年,我国网民因为垃圾信息、信息、个人信息泄露等遭受的经济损失为人均133元,比上一年增加9元,总体经济损失约91
5亿元②。2017年7月31日,我国工信部公布了2017年二季度检测发现问题的42款应用软件名单,其中有四款软件存在未经用户同意,收集、使用用户个人信息的问题[1]。
        二、我国个人信息保护规范的发展与反思
        首先,由于缺乏对个人数据与信息保护的内在联系的研究,我国法律对个人信息的定义显然缺乏相关要素,对个人信息的保护并不充分。其次,内部非法行为的内容不完整。再次,静态的财产权保护模式存在缺陷。最后,保护时间存在偏差。我国的相关规范对公民个人信息的保护体现出一种滞后性
        (一)应动态定义“个人信息”,完善“个人信息”的概念
        静态的基础信息列举无法满足数据网络的千变万化,也不属于当下亟待讨论的问题。大数据情景下,数据的分析并非针对特定个人,而是针对大量不同个人的数据集合,“侵犯公民个人信息犯罪的对象必须是一旦泄露即可能导致公民权利遭受侵害的信息”,因此,对个人信息的保护重点在于去特征化[2]。我国2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》将个人信息区分为个人一般信息和个人敏感信息。个人敏感
信息是指一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息。个人一般信息指除个人敏感信息外的信息。但是此《指南》中的个人敏感信息囿于不良影响的范围,无法涵括更大的数据范围,无法对当下个人信息进行全面的保护。因此为了更为完整得保护个人信息,对特定的个人数据保护立法应分为两个阶段:第一,基础身份信息的匿名化,第二,对“识别”非明显身份数据(其中包括匿名化的基础身份信息)的规范。法律保护的核心应当在于“识别”非明显身份数据阶段。其中开发商对匿名化的基础身份信息的再识别应当完全禁止,而对开发商“识别”非明显身份数据则必须基于公民的知情与同意,此时应赋予公民知情同意权,《个人信息司法解释》中提供合法收集的数据给第三人的被收集者的同意权扩展到“识别”阶段。该解释也已经正式提出了“识别”的概念,我国应尽快推进《个人信息保护法》的出台,对“识别”一词进行更为详细的定义。
侵害公民个人信息
        (二)滞后性向前瞻性的转换:从对服务商监管到赋予公民“被遗忘权”
        对特定个人数据保护的第一阶段应当成为立法的必备环节,也即基础身份信息的匿名化应当成为我国公民的一项基本权利,以得到充分保护。欧盟的《一般数据保护条例》提出与此相似的“被遗忘权”赋予了个体自主权,把对个人信息的保护从事后惩罚提前到事前预防。“
被遗忘权”是指公民在其个人数据不再有合法的需要时,享有的要求将其删除或者不再使用的权利。2015年年初,中国裁判文书网公开了北京市中级人民法院二审审结的任某某与某公司名誉侵权纠纷案一审、二审判决书,法院在该案中首次支持了原告的“被遗忘权”。被遗忘权始于法国的一种被称为“Le droit à l'oubli”的权利,此权利设置的最初目的是为了使被定罪量刑的罪犯能重新回归社会,而拒绝公开其罪行和监禁情况。我国2012年修改的《刑事诉讼法》
        第275条也规定了未成年人的犯罪记录有限封存制度。《关于审理利用网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条同样规定了犯罪记录的“被遗忘权”—除公开者是国家机关时,当犯罪记录的公开主体是网络用户或者网络服务提供者等,该犯罪记录可以适用被遗忘权而予以删除。“在信息权力与时间的交汇处,永久的记忆创造了空间和时间的‘圆形监狱’,在其中,每个人都可能不停地被诱使去进行自我审查”。[3]数字化时代,每个人都生活在“圆形监狱”之中,网络载体对个人数据的记载没有期限,全景式的观察让每个人无可遁形。罪犯可以享有要求犯罪记录“被遗忘”的权利以实现重新踏入社会,这样的权利也同样适用于一般公民以保障其宁静的生活[4]。“被遗忘权”从刑事法律扩展到民事法律,成为一种民事权利,成为个人可选择行使的权利。但不可避免在个人向网络服
务商等行使“遗忘”个人数据之后,网络服务商未满足要求并将该个人数据用于非法活动,这样的行为理应当受到刑法的规制。
        (三)加强对内部数据犯罪的打击
        我国法律规范对内部数据犯罪的打击除应包含已有的“购买”、“收受”、“交换”和“窃取”手段之外,还应当增加以下情形:第一,经营者由于故意而导致的管理活动中出现的诸多的安全漏洞;第二,经营者未经许可对公民个人信息进行二次开发利用,进行定向强制推销的相关行为;第三,经营者利用消费者个人信息进行的行为,该类行为不以非法搜集个人信息为前提,即使合法手机的个人信息也应当以行为论处。
        [ 注 释 ]
        ①具体参阅赛门铁克2017[EB/OL].https://www.symantec/zh/tw/security-center/threat-report.
        ②具体参阅中国互联网协会相关信息>[EB/OL].http:///zxzx/xhdt/listinfo-33759.html.
        [ 参 考 文 献 ]
        [1]姚翀.工信部公布二季度电信服务质量“黑名单”[N].南方日报,2017-08-03(B01).
        [2]张磊.司法实践中侵犯公民个人信息犯罪的疑难问题及其对策[J].当代法学,2011,25(01):72-78.
        [3][英]维克托·迈尔-舍恩伯格.删除[M].袁杰译.浙江:浙江人民出版社,2013:117.
        [4][法]米歇尔·福柯.规训与惩罚[M].刘北成,杨远婴译.北京:生活·读书·新知三联书店,2016:219.