网络电商用户实名制下的个人信息保护

作为人类社会生活的三大要素之一, 信息伴随着社会的发展和信息时代的到来, 逐渐取代物质和能源, 成为人类最为关心的话题。自2003年阿里巴巴集团创立淘宝, 开启电商先河, 诸如京东、天猫等C2C网上购物平台如雨后春笋般涌入市场, 成为人们日常生活不可或缺的一部分, 这也意味着, 随着互联网应用的普及, 人们在享受极大便利的同时也在面临着个人信息安全的极大威胁。从2017年6月1日正式实施的《网络安全法》到2018年5月1日正式实施的《信息安全技术个人信息安全规范》, 足可见我国在个人信息保护方面所做的努力。

一、个人信息保护之域外经验

(一) 针对个人信息保护我国在立法上已采取的行动

在《网络安全法》实施以后, 我国现阶段个人信息保护相关的既存立法体系主要包括《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国电信条例》《互联网信息服务管理办法》、全国信息安全标准化技术委员会《信息安全技术:个人信息安全规范》 (简称《安全规范》) 等。虽然我国在立法方面已经做了足够的努力, 但目前该立法体系还不够完善成熟。立法法所确立的正式法源包括宪法、法律、行政法规、地方性法规、自治条例、单行条例及规章、国务院部门规章和地方政府规章, 在这个基础上, 最新实施的《安全规范》并不在列。

除了宏观的立法体系, 现存的相关法律、规范本身也存在一定的问题。例如《网络安全法》第40条至第44条虽然在个人信息的收集、保存、使用等方面出了相关规定, 明确了网络运营者应遵守的相关原则和处罚性规定, 但并无详细具体的阐释说明, 针对现实生活中发生的各类信息被恶意泄露、滥用的案件, 并无实质性的指导意义。再如其40条规定的“建立健全用户信息保护制度”, 并未进一步规定这一保护制度的相关评判标准, 这样易出现每一家公司企业都有一套自己的所谓“健全”的制度, 当用户提出诉讼而企业以此提出抗辩时, 法院无法做出真正公平的决定, 最终受伤害的还是用户本身。

(二) 个人信息保护域外经验之借鉴

纵观世界, 国外对于个人信息的重视与保护亦历史悠久。实际上, 西方国家对于个人信息的保护分为两个阶段:第一个阶段是对公民隐私权的保护;第二个阶段是在过渡到网络时代后对个人信息的保护。反观我国, 鉴于一些历史原因, 我国目前是个人隐私权保护与个人信息保护处于齐头并进的境地, 虽然大部分西方国家与我国分属不同法系, 但仍有值得借鉴之处。

1. 美国——从宪法高度保护隐私权

个人信息起源于隐私, 而隐私权的概念即源于美国。1890年沃伦与布兰代斯发表文章《论隐私权》, 第一次将隐私权定义为“独处的权利”, 开启了隐私保护的现代先河。美国的隐私权除了是普通法予以保护的权利, 更是是宪法所赋予公民的权利。一方面, 美国实行分散型立法模式保护个人信息, 如在《隐私法》中从成文法的角度集中规范隐私权的保护, 在《公平信用报告法》中禁止信用机构滥用其管理、掌握的个人信息;另一方面, 美国第一次运用宪法判决确立了宪法上隐私权的地位, 以保证隐私权得以对抗来自国家高度的干预。随着信息时代的来临, 从隐私的保护逐渐升级到对个人信息的保护。美国以隐私的名义来保护个人信息免受来自行政权力的侵犯[1]。

2. 欧洲——人格尊严基础上的信息自决权

欧洲的文化传统崇尚自由、推崇个人主义, 因此对隐私权的保护标准一般都比较高。英国有句古谚“风能进, 雨能进, 国王不能进”, 这句谚语道出了英国历史上公权力与私权利的明确界限, 更是凸显了对个人隐私和个人权利的尊重。20世纪60年代, 英国开始讨论隐私权的立法, 如1967年里昂《隐私权法案》, 1969年沃顿《隐私权法案》, 1984年《数据保护法》。而在德国, 1983年德国联邦宪法法院对“第二人口调查案”的判决确认了“信息自决权”, 德国法以此为起点构建了系统严密的个人信息公法保护机制, 但同时联邦宪法法院申明“信息自决权利并非无限。对于其‘自身’信息, 个人并不具有任何绝对和无限的控制”。

3. 亚洲——欧美影响下的不断探索

对于绝大多数亚洲国家来说, 其对个人信息的保护主要是学习和借鉴欧美各国对隐私的保护制度。其中较为典型的国家日本, 在早期接受同为大陆法系的德国影响, 二战后受到欧美各国的影响, 既参考了欧盟的立法模式, 又采纳了美国的保护规制, 通过政府立法与行业自律实现个人信息安全。在经过长期的探索与实践之后, 日本于2003年通过了《个人信息保护法》, 并在此基础上制定了《关于行政机关持有的个人信息保护的法律》、《关于独立行政法人持有的个人信息保护的法律》, 形成了相对完善的个人信息保护法律体系。

二、个人信息保护之对策

(一) 技术保护

针对外界的恶意攻击和电商平台内部技术的不够完善, 必须采取一定的应对措施。对于病毒的感染和黑客的攻击, 用户个人除了选择安全有效的防病毒软件, 时常对手机进行检测杀毒外, 目前尚无其他行之有效的方法。对于电商平台来说, 则应建立起一个有效的网络安全体系结构, 采用防火墙技术, 入侵检测技术, 网络隔离技术等, 实现安全服务, 安全机制和安全管理。

针对平台本身的数据库的保护, 应使用相关的数据库系统隐私保护技术, 如用户认证、访问控制, 数据变换技术、密码和密码协议以及匿名化技术等, 提高数据库系统的“防御能力”[2]。

(二) 商业保护

1. 信息采集——分层规定

对于电商在个人信息采集上的问题, 《个人信息安全规范》中做出了相应的规定来解决。首先, 要判断电商是否收集了用户的个人信息, 如果电商并没有利用网络而是仅在本地获取了信息, 就不能视为收集了信息。而且电商应保护用户的自主决定权和知情权, 即不能用欺诈、诱骗、强迫的手段使用户提供其个人信息, 并且不能隐瞒产品或服务所具有的收集个人信息的功能, 在此基础上, 用户协议的设计应尽可能便利用户实现自己的权利。其次, 区分用户在电商平台上所能使用的核心功能和附加功能, 明确告知用户相应功能要使用的个人信息和拒绝提供信息之后的影响。对于核心功能概括获取授权, 而对于附加功能采用逐一授权的模式。最后, 电商采集到的信息应分为敏感信息和普通信息, 对于不同的信息采用不同的技术和安全保护机制, 尽量减少敏感信息的使用。

2. 信息的保存与使用——协议补充约定

对于用户个人信息的保存时间, 电商应作出一定的限制。当用户在平台上完成消费或者注销了平台账号之后, 应在合理范围内以实现用户的目的为限设定一个最小时间, 在时间经过后即永久删除用户的信息。另外, 对于已经收集到的信息, 在保存时应做“去标识化”等技术处理, 相当于为每一份用户信息加了个密钥, 同时对于可解密的信息做严格限制。对于信息的使用, 除了应严格遵守法律所规定的相关原则, 在大数据和人工智能技术的助推下, “自动决策”作为提供产品服务之外收集个人信息的最重要应用领域, 在应用时要保证技术的成熟。《个人信息安全规范》虽然赋予了个人对自动决策结果进行申诉的权利, 但在双方具体权利边界、实现方式、申诉效果等方面并未详细说明, 因此电商企业在与用户之间的协议中要细致约定。

3. 信息的转让——“四步走战略”

电商平台在将用户信息转让之前应分四步进行处理, 缺一不可:第一步是同意, 转让的前提是用户个人的事先同意, 对于要转让的是全部还是部分的信息, 部分信息中的哪种信息, 转让对象的身份, 信息的用途及安全能力等事项在取得用户同意时均应明确告知;第二步是评估, 电商平台要先对转让对象的安全能力进行评估, 在此基础上确定是否能够转让、转让的内容范围及需要采取的保护措施等。这既是对用户的负责, 也是对自己的负责;第三步是记录, 应明确详细地记录转让的信息数据和具体情况;第四步是确责, 明确因转让而对用户造成损害后所要承担的责任, 并在问题发生后及时救济。除了平台个体所要做的事情, 对于信息的转让制定一个健康安全的行业公共机制, 比如建立一个官方透明的分享平台, 从根源解决问题[3]。

4. 电商企业内部管理机制——“共同控制者”制度

作为《网络安全法》具体细化和补充, 《个人信息安全规范》在电商企业内部管理机制上也起到了一定的指引作用。为此《个人信息安全规范》设计了“共同控制者”的相关制度, 要求平台应在协议中专门约定其保护个人信息安全的义务承担和责任划分。在对安全事件应急处置和报告, 安全事件的告知, 明确企业内部责任部门与人员, 开展个人信息安全影响评估, 建立数据安全能力、落实必要的管理和技术措施, 人员管理与培训和安全审计等方面, 对控制者做出不同的要求。

5. 物联网大数据环境——“物金技术平台”

为了保护我国的互联网金融安全, 国家互联网金融分析技术平台 (“互金技术平台”) 应运而生, 目前处于一边建设一边使用的状态。“实现了对国家互联网金融安全宏观监测, 对互联网金融业务的运行异常、网络安全风险的实时监测和预警。”而当前我国的网络安全风险正向物联网蔓延, 物联网所面临的安全问题同样严峻。鉴于“互金技术平台”的成功, 我们完全可以参照其建立起物联网金融技术平台, 实现对物联网的金融安全、金融业务的运行、网络安全风险的监测。对于物联网来说, 行业监管的完善以及每个平台个体自身的安全能力尤为重要, 建立起这样一个平台之后, 相当于为物联网设置了一个视角广泛的监视器, 这样一来, 个体受到监控必会重视起安全问题, 加强对自身的安全能力, 当出现问题时也可以交由平台统一处理, 公开透明, 为其他个体敲响警钟。

(三) 法律保护

1. 协调好实名制与匿名化处理

在《网络安全法》第24条规定的实名制的前提下, 《个人信息安全规范》对个人信息的匿名化进行了强调, 其第3.13条规定“匿名化 (anonymization) 是指通过对个人信息的技术处理, 使得个人信息主体无法被识别, 且处理后的信息不能被复原的过程”, 并注释“个人信息经匿名化处理所得的信息不属于个人信息”。然而, 随着解匿名化技术的发展, 对于任何所谓“匿名化”的信息, 都可以进行识别和复原的信息。但匿名化个人信息却不受《个人信息安全规范》的约束, 这样会使得实名注册的用户信息得不到法律的实际保护, 因此在接下里的立法里应当对匿名化个人信息进行法律优待, 同时借助民法、刑法、行政法规则, 来禁止违法解匿名化的行为, 以此实现个人信息的保护。

2. 形成完善的个人信息保护法律体系

面对大数据时代的到来, 构筑起我国完善的个人信息法律保护体系刻不容缓。一方面应当赋予个人信息主体权利, 将个人信息权作为一项独立的权利写入法律。我国《民法总则》虽将个人信息权确定为一种具体人格权, 并纳入到民事权利中的人格权章节中, 但个人信息权与隐私权、所有权等民事权利存在一定区别, 应将其作为一种独立的权利保障个人信息的安全。另一方面, 对于个人信息保护应逐渐转变为“以事后救济为主”的状态, 建立起有效的司法救济途径, 明确用户在其个人信息权益受到侵害时时可以通过什么途径获得何种司法救济, 实现个人信息保护在刑事责任、民事责任和行政责任上的衔接[4]。

(四) 自我保护

个人信息安全与我们每个人的工作、学习、生活具有直接的联系, 保护个人信息就是保护个人财产安全和人生安全。因此, 除了国家制定一系列的法律、规章制度进行宏观保护之外, 最重要的是我们每个人要建立起自我保护意识, 提高警惕, 比如我们在网络上消费时要尽量选择信誉好、安全性高的电商平台, 选择安全可靠的支付手段;面对收到的陌生短信, 尤其内含网络链接的短信, 不要轻易点开;如果意识到自己的个人信息受到了侵害, 一定要及时向相关部门反映维护自身合法权益, 并注意留存证据等等。只有我们每个个体都树立起强大的自我保护意识, 整个社会才会形成自我保护的良好风气, 也更有利于有关部门工作的开展。

三、结语

这是一个“互联网+”的时代, 也是一个极度重视网络安全和个人信息安全的时代, 没有网络安全就没有国家安全, 就没有经济社会的稳定运行, 个人利益也难以得到保障。在这种时代背景下, 个人信息保护遇到了前所未有的契机。“以习近平总书记为核心的党中央坚持从发展中国特色社会主义、实现中华民族伟大复兴中国梦的战略高度, 系统部署和全面推进网络安全和信息化工作, 为推动我国网络安全体系的建立, 树立正确的网络安全观指明了方向。”安全是发展的前提, 发展是安全的保障。个人信息奠定了网络经济的基石, 在实名制的条件下, 如何处理好个人信息安全与网络经济发展的关系, 是未来推进网络强国建设的关键。

参考文献

[1] 赵宏.信息自决权在我国的保护现状及其立法趋势前瞻[J].中国法律评论, 2017, (1) :147-161.

[2] 国家计算机网络应急技术处理协调中心.2017年我国互联网网络安全态势综述[Z].2018-4.

[3] 李晓丹.“大数据时代的个人信息保护—上海共识”发布[EB/OL].http://sh.xinhuanet.com/2018-05/25/c_137206131.htm/2018-05-25.

[4] 没有网络安全就没有国家安全——三论学习贯彻习近平总书记全国网信工作会议重要讲话[N].光明日报, 2018-04-24 (03) .