大数据时代个人信息保护的法律路径

2022-09-11

一、大数据时代的个人信息的界定

(一) 个人信息的概念

个人信息和个人隐私有重合的部分, 个人信息中具有私密性的信息可称为个人隐私, 个人隐私归属于人格权, 个人信息兼具财产权和人格权的属性。而个人数据和个人信息本质上差异较小, 个人数据是个人信息表达的载体, 个人信息是个人数据的表现内容。

(二) 个人信息的法律属性

1. 人格利益属性

个人信息和个人隐私都具有人格权的法律属性, 二者都体现了人格利益个人信息属于个人的私密生活领域, 能够体现出一个人的人格形象, 属于人格权应当保护的内容。

2. 财产价值属性

大数据时代, 个人信息与个人的生活息息相关, 蕴含着巨大的商业价值。有些个人信息能够被商家运用到市场营销中带来商业利润, 有些个人信息商家通过被许可使用值得获取商业利润。

(三) 个人信息保护的理论分析

个人信息的产生主体为特定的个人, 所有权应当归属于个人是合理合法的。根据科斯定理, 当权力分配时, 应当注意交易成本问题。假设为了促进数据的市场交易, 将个人信息的所有权归属于企业, 那么企业便可以肆无忌惮的暴露个人的隐私, 获得商业利润, 此时特定的个人就要为了维护自己的隐私不被暴露而去向所有可能泄露自己信息的网站或者平台去交涉, 购买自己的信息, 此时大大的加重了信息交易的成本。所以, 将个人的信息的所有权归属于个人, 是能够在权利初始配置时, 尽可能的达到资源的最优配置, 从而有效的降低交易成本。另外, 个人可以将自己对信息的所有权的部分权益让渡给企业, 从而使企业能够为自己提供更加优质的服务。

二、大数据时代个人信息保护的现状

(一) 个人信息保护面临的新挑战

1. 侵权主体更广

近年来, 互联网技术的发展和大数据应用相结合, 使越来越多的个人信息在不同的网站、APP等平台留下痕迹, 网络服务商能够在用户不知情的情况下对这些信息进行利用、贩卖获取商业利润。此时, 网络服务商和不法分子均就成为了个人信息的侵权主体, 使得侵权主体的范围进一步扩大。

2. 泄露风险更大

随着大数据等信息技术的应用和发展, 任何信息都可以被网络收集并能永久存储, 并可以被黑客等技术所破解。因为个人信息的商业价值越来越明显, 就会引来更多的不法网络技术人员确定攻击目标, 这就使得加剧了个人信息被泄露的风险, 使得网络信息安全面临严重威胁[]。

3. 损害后果更重

互联网技术的发展, 使得数据的分析和处理的手段更加多样化, 个人信息更加容易被追踪和利用, 人们愈加觉得自己的私人生活有可能被他人快速、广泛和严重地窥视着。

(二) 个人信息保护存在的问题分析

1. 法律体系不完善

我国网络空间方面有关的个人信息数据保护只是在《侵权责任法》、《刑法》的相关司法解释寥寥数语中有所体现[]2017年6月施行的《网络安全法》从诸多方面对公民个人信息作了保护规定, 但仍然存在法律规定不细致、可操作性差等问题。

2. 行业自律不充分

2004年中国互联网协会向全社会公布的《中国互联网行业自律公约》显示了互联网行业从业者中的签约主体接受公约的自律规则。随后, 各个涉及个人信息行业领域发布的行业息率公约中会多多少少的涉及一些保护个人信息的相关规定, 例这些行业的自律规范大多都是宣誓性的规定, 并且规定简单涉及领域少, 可操作性和实效性较差。

3. 监管措施不到位

大数据时代, 互联网企业数不胜数, 且增长速度惊人, 难以进行监督和管理。我国缺乏专门的监管机构对能够进入互联网行业的企业进行许可制度, 缺乏一个较高层次的门槛, 将不良商家拒之行业外。同时, 也缺乏对互联网企业进行年度审核、定期抽查、不定期检查等监督措施, 难以督促互联网企业合法合规的经营。

三、域外个人信息保护模式的借鉴

(一) 欧盟法律规制主导模式

欧盟采用法律法规主导的模式为个人信息的保护提供基本原则和行为规范, 并要求其成员国也建立统一的法律法规体系共同保护个人信息的安全。采用统一立法模式, 规定建立独立的信息保护机构, 侧重保护信息主体的权利, 鼓励欧盟各个成员国的业界制定符合本土市场的行为准则。

(二) 美国行业自律主导模式

美国对个人信息的保护采用行业自律为主, 法律规制为辅的监管模式。联邦贸易委员会也制定了一系列的行业自律规范来保护个人信息等能够在一定程度上带动行业的良性竞争, 从而降低个人信息被侵害的风险。但这种行业自律主导的模式也会出现市场失灵的现象, 对违反行业规则的企业难以进行具有强制力的处罚, 存在着一定的弊病。

四、大数据时代我国个人信息保护路径探究

(一) 制定《个人信息保护法》

首先, 明确个人信息保护的范围。大数据时代, 有些直接的个人信息较为敏感, 应当确定在个人信息保护的范围内。有些间接的个人信息是个人的生活行踪信息, 如果这些信息能够经过去识别化的处理, 通过复原不能追溯到特定的个人, 此时这些信息就在适合纳入个人信息保护的范围。其次, 明确个人信息的权力体系。权力体系应当以信息主体对信息的所有权为核心, 主要体现为对信息的控制权利。即构建以“隐私权”、“处分权”、“知情权”、“被遗忘权”等权利为内容, 同时充分考虑大数据发展的需要, 并对信息主体“信息控制权”的权利以“同意规则”进行限制。最后, 明确分级保护原则和平衡保护原则。涉及个人隐私的为个人的敏感信息, 涉及个人日常行踪的为个人一般的信息, 前者更注重于如何保护不被泄露, 后者侧重于如何利用不被侵权。另外, 个人信息从产生到发挥价值, 主要涉及三方主体:个人、企业、政府。此时就需要法律法规要以平衡三方主体的利益为原则, 保护个人隐私的同时促进产业的发展。

(二) 加强行业的自律管理

针对个人信息的保护, 我国还没有专门的行业自律规范, 只能零零散散的分布在一些自律公约之中。目前, 我国保护个人信息的法律法规体系还不完善, 从事网络信息的企业应当依照严格《互联网企业个人信息保护测评标准》履行自身的义务, 通过行业内部的监督等自律管理方式来降低个人信息被侵害的风险, 从而形成良好的产业竞争环境, 更好的平衡产业发展和个人信息保护之间的关系。

(三) 构建协调的监管机制

美国的个人信息保护采用以行业自律为主, 政府监管为辅的模式, 存在一定的弊病, 不一定完全适合我国市场经济的发展。根据我国的实际国情, 应当设置专门的监管机构来弥补政府专业知识缺乏、行业自律失灵的缺陷。工商部门可以设置专门的机构来对个人信息进行专业的保, 例如对使用个人信息的企业进行门槛审核、年度核查、定期抽查等措施更好的监督个人信息的去识别化使用。

(四) 建立个人信息保护的社会共治体系

由上文可知, 个人信息保护仅仅依靠法律方面的界权保护是远远不够的, 不可能完全避免个人信息的泄露等侵权事件的发生。所以, 个人信息的保护需要个人、企业、政府等多层次主体的共同参与和努力。个人与企业之间, 要根据契约规则, 通过“同意规则”的适用, 由个人将个人信息所有权中的部分权利让渡给企业, 从而享受企业能够提供的更加优质、个性化的服务。个人与政府之间, 政府作为社会的管理者, 应当根据对匿名化的个人信息进行分析, 从而为群体提供更加便民的服务, 同时也能为解决个人信息相关纠纷。企业与政府之间, 企业可以通过技术对个人信息进行去识别化处理之后的成果让渡给政府, 由政府根据这些统计制定更加符合实际生活的科学政策, 并为社会群体提供更加契合实际生活的优质公共管理服务。另外, 政府也要监管企业使用个人信息的具体活动, 通过立法、执法、司法对侵害个人信息的企业进行制裁, 从而保障个人信息的安全。企业与企业之间, 要形成彼此监督, 通过达成自律协议或者签订公约来避免侵害个人信息事件的发生, 从而更好的保护个人信息。

总之, 个人、企业、政府要携手共同构建社会共治体系来保障个人信息的安全, 从而保证个人信息在不被侵害的情况下能够享受到更加便利、个性化的服务。

摘要：大数据在创造巨大经济效益和社会效益的同时, 也给个人信息安全带来了挑战。未来的《个人信息保护法》可以对《网络安全法》的内容进行细化, 构建信息控制权体系, 并对信息主体“信息控制权”的权利以“同意规则”进行限制, 并在借鉴国外立法的基础上, 结合我国国情设计出法律规制为主导、行业自律为辅并成立专门监管机构的“三位一体”的法律保护模式和完善的社会共治体系。

关键词：大数据,个人信息权,法律保护