大数据时代下的个人信息保护研究*
任丹妮 吴雪樊 吴巧莲 薛怡怡 周 璇
山东理工大学,山东 淄博 255000
摘 要: 在大数据时代背景下,收集利用个人信息已经非常普遍,由于我国个人信息保护的法律法规不够体系化,导致出现了很多法律适用上的困惑。学习欧美等国在个人信息保护方面的立法经验,个人信息保护应该以立法保护为起点完善保护体系,鼓励建立全面的行业自律体系并实现自我管理与约束,同时以提高公民个人信息保护权利意识为补充。
关键词: 个人信息;立法;权利保护
目前我国对个人信息的保护非常薄弱,其原因在于缺乏系统明确的法律规定,相关部门也缺少法律依据打击恶意侵犯个人信息的行为。在个人信息不断受到侵犯的今天,由于缺乏系统明确的法律规定,导致我国的政府和司法机关很难保护公民的切身利益,所以我们应该对个人信息权进行明确的界定,并积极推动个人信息保护法的立法工作,让公民的个人信息能够得到切实有效的保护。
本文旨在从时代发展与个人信息保护之间的关系、国外对于个人信息保护的立法经验以及我国目前立法成果和不足的角度寻找出一条可行、适当的解决办法并提出建议。
一、大数据时代下个人信息保护的背景
富兰克林股票团队副总裁兼基金经理Grant Bowers曾表示石油历来是巨大的经济力量的关键。但在未来,数据将在数字时代拥有类似的经济力量。信息是经过加工以后并对客观世界产生影响的数据,是大数据技术发挥作用的基石。
尽管VCR具有强大的矫形能力,能切除整个椎体及其附件,但是不能治疗脊髓内的病变;传统VCR需要前后路联合进行,而在胸椎、胸腰段及腰椎行前路手术时,因解剖入路不同,术者需要具备丰富的解剖知识及精湛的手术技术。
自二十一世纪以来,世界各国逐步迈入大数据时代。人们方方面面都因此享受到了极大的便利:精准、确切地获取所需商品或服务的信息;“未卜先知”地了解城市路况以避免交通拥堵节省时间等。大数据技术发挥着不可或缺的作用的同时,个人信息泄露事件也层出不穷。
1.5 统计学方法 采用SPSS 19.0统计学软件对数据进行处理。计量资料以均数±标准差表示,组间比较采用t检验;计数资料以例(百分率)表示,组间比较采用χ2检验。以P<0.05为差异有统计学意义。
近年来,各大企业或机构均曾陷入过信息泄露事件。个人信息保护面临着新的挑战与困难,信息的利用与信息的保护两者的冲突需得法律找到一个利益平衡点,既做到物尽其用,又保护民众的个人信息不为时代所牺牲。
综上所述,本研究证实了激素性股骨头坏死骨髓间充质干细胞内组蛋白H3K27存在过甲基化修饰,GSK126通过降低其甲基化水平显著促进细胞增殖。这为激素性骨坏死疾病的机制研究和临床防治提供了新思路。
二、个人信息的界定
探讨任何数据的法律问题,都需要先理解关于数据的理论基础。应当注意,网络时代中的“个人数据”与“个人信息”的概念有所不同,前者是指附着在电子信息系统载体的客观事物记录,是未经过处理的个人原始记录;后者是指个人数据经过加工处理后,形成的具有使用价值的内容——信息。数据本身没有意义,它只有对实体行为产生影响时才成为信息,数据是信息的表现形式和载体;信息是数据的内涵,是加载于数据之上,对数据具有含义的解释。
个人信息保护的目的,在于保护具有使用价值的个人信息,并不是全部个人数据。因此,我国《网络安全法》和《民法总则》等法律在立法技术上均采用了“个人信息”的表述。其中,作为第一部明确界定个人信息的法律——《网络安全法》采用“识别性”模式界定个人信息的概念①。
在我国的多数企业中,尤其是中小型企业,他们都可以认识到财务风险,并且可以提前开展相关的预防工作,但是因为财务管理并不完善,并且很多中小企业中,也没有有效的风险管理体制,这就使得无法对风险进行规范,一旦企业产生财务风险,就必须要提高风险管理能力,加强风险管理工作,但是风险过去以后,却没有实质性的改变,没有建立有效的制度,因此,这也必然导致了财务风险。还有很多企业,虽然也十分关注制度建设,但缺乏执行力,制度建设都形同虚设,无法采取有效的管理,这也加剧了财务风险。
牛黄解毒片样品按文献[15]进行样品前处理,称取牛黄解毒片样品0.2 g,加入人工肠液25 mL,置37℃水浴中超声处理20 min,摇匀,离心或过滤,吸取中层溶液 10 mL,用微孔滤膜(10 μm)滤过,精密量取滤液1 mL,用 0.02 mol/L乙二胺四乙酸二钠溶液稀释至100 mL,摇匀。分别吸取一定体积的溶液,上机测定,其吸收量与砷元素形态含量成正比,与标准系列比较定量。标准曲线取6个浓度点,每个浓度点重复进样3次,以系列标准曲线溶液不同形态或价态砷的峰面积为纵坐标,浓度为横坐标,绘制标准曲线。同时作空白试验。
三、我国个人信息保护的立法与不足
我国目前尚没有个人信息保护的专门法律,个人信息在民法、行政法保护也不完善的背景下,其保护的范围一直模糊不清,并且呈现出分散立法的局面。据统计,我国目前规定个人信息的法律法规不在少数,有近40部法律、30余部法规,以及近200部规章涉及到个人信息保护,其种类涵盖了互联网信息、医疗信息、个人信用管理等多个领域。
早在上世纪八十年代,我国《宪法》中就规定了关于个人信息保护的条款,其中第三十八条、三十九条中关于公民的人格尊严、住宅不受侵犯之规定,第四十条中公民的通信自由和通信秘密权的规定,均可理解为个人信息应受保护的合宪性基础,也即个人信息权的基础法律渊源。除此以外,我国《刑法》第二百五十二、二百五十三条以及《刑法修正案(七)》中也规定了关于侵犯公民通信自由权利、违反国家有关规定,向他人出售或者提供公民个人信息、将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人、窃取或者以其他方法非法获取公民个人信息情节严重的具体惩罚措施。
四川办事处主任高建平双脚沾满泥土,走进柑橘地里服务指导一呆就是一天;陕西办事处主任王国峰把猕猴桃园当作办公场所;晋东南办事处主任赵松林搭建零距离服务农民“直通车”;宁夏办事处主任李玉宝起早搭黑奔忙在西北大地指导农民施肥;晋南办事处主任王志斌实施“配肥套餐”奇迹把冻害葡萄成果挽救实现高产……销售人员用辛劳背影,勾勒出“希望田野上的流动服务路线图”,他们的足迹成为大地丰收曲线谱上跳跃的“耕耘音符”。
第一,个人信息基本定义零散、标准不完全统一。
自科技逐渐进入人们的生活以来,关于个人信息的法律保护问题已经成为各个国家积极研究与讨论的新兴领域。目前,全球已经有60多个国家制定了专门的个人信息保护法。笔者将从美国、欧盟、日本这三个不同的国家去阐述关于个人信息保护的国外经验。
承前所述,我国在个人信息保护领域依旧存在较多待解决的问题,通过借鉴外国先进经验并结合大数据产业快速发展这一基本国情,为此笔者将从立法保护、行业自律以及如何提高公民个人意识三个维度全面提高对公民的个人信息保护。
然而美国并不单单依靠这种分散立法形式对公民的个人信息进行保护。基于对市场自由化的重视,美国对于个人信息的保护在行业自律层面非常成熟,其分为两种机制:一种是非强制性的,建议性的行业指引,这种方式旨在在同行业内提供一个关于个人信息保护的政策,如在线隐私联盟。另一种是网络隐私认证,这种方式强调通过制定个人信息保护准则等方式约束加入的成员,公民则可以通过此种隐私认证标志来识别某项产品是否有隐私保护机制。这种双轨保护机制促进了美国个人信息保护的发展,这种做法获得了世界上许多国家和地区的好评。
只有戳脚门的高手“花鞭”吴斌楼在拜访过张三后,说在他家院里的一棵树上,见到竖着一块练功的门板,应该是练轻功“墙上挂画”用的,但是也只见道具,未见人练。
四、大数据时代下个人信息保护的国外立法借鉴
尽管我国相关法律已对个人信息做出了相对完整的定义。但是基于“匿名”信息通过技术处理也可重新具备识别功能。因此个人信息的“识别性”定义已不能满足时代的需求。一般来说,对于个人信息内涵的界定问题,是判断侵犯个人信息个案应当适用哪一具体法律规范的基础问题。个人信息基本定义界定模糊,不仅不利于被侵权人合法权益的有效保护以及在司法实践中法官对于具体案件性质的定义与法律规范的援引,而且一定程度上制约了数据的流通与互联网产业的创新发展。这也是我国个人信息保护法律法规不在少数,但一般无法在执行中落实、可操作性差的症结之一。
更值得一提的是,新出台的《民法总则》第一百一十一条的规定,一改以往民事法律对于个人信息保护界定不清,只能通过援引其他人格权相关的法律规定,对具体侵犯个人信息的行为做出法律评价的现状,使得公民的个人信息应受保护变得更加明确,但当前我国公民个人信息保护体系中仍存在大量问题亟需解决。
(一)美国在个人信息保护上的立法
美国主要采取分散立法与行业自律双面机制对公民的个人信息进行保护。在分散立法下美国没有一部专门的个人信息保护法律进行统一规制,其最早出台的关于个人信息保护的法律是1967年《信息自由法》,随后在1974年,美国又颁布了《美国隐私法》,这部法律是保障个人信息安全的基础法律,它将公民的个人信息归属于隐私权价值范畴中。迄今为止,美国已经相继出台130多部法律对个人信息保护进行规制,并且在个人信息保护的立法上分为防止政府部门侵害的公共领域的立法保护和具体法案具体救济的非公共领域的立法保护。
与发达国家相比我国尚没有一部例如《隐私法》或《个人信息保护法》之类的制定法能够将公民的个人信息的收集、使用、保存等系统地进行法律规制,尽管我们能够在现行的法律法规规章中看到关于公民个人信息类的相关条款,但是这种分散立法的个人信息保护大多是间接的,或者说是一种隐形的保护。这种“保护”无法明确个人信息的法律属性,无法明确我国公民在个人信息保护中享有哪些具体权利,承担哪些具体义务,以及侵权者应承担何种法律责任。
(二)欧盟的个人信息保护立法
欧盟对于个人信息的保护方式与美国截然不同,欧盟将个人信息保护上升到基本人权的高度,将个人信息示以人格尊严,采用统一立法方式对其进行保护。因此,个人自信息保护在立法上采取极高的标准。欧盟于1995年出台的《个人数据指令》是最重要的法律,其在个人信息的收集、处理、使用等方面建立了六大原则:合法目的原则、透明原则、适当原则、保密和安全原则、监控原则。欧盟在个人信息保护方面的立法非常全面,有2001年出台的《欧共体公共机构组织在个人数据处理中保护个人权利的法规》、2002年颁布的《隐私与电子通讯指令》、2006年出台的《数据保存指令》。在此需要说明的是,欧盟对个人信息保护的立法分为两个层面:一是欧盟统一立法。通过建立统一的系统化的个人信息保护法律体系来规定成员国的最低保护标准,降低各成员国的个人数据信息流通成本。二是欧盟成员国在欧盟最低保护标准的基础上根据各国具体情况分别立法。
(三)日本在个人信息保护上的立法
日本的个人信息保护立法不同程度上受到了美国和欧盟的影响,最终则选择了折衷主义。一方面日本建立了全面的行业自律体系来实现自我管理与约束,著名的有JIPDEC(日本个人信息保护标识机制);另一方面,日本又相继出台多部法律来规范公民个人信息的使用、处理、传播等行为。例如日本国会于2003年颁布的“五联法”,分别包括《个人信息保护法》、《行政机关个人信息保护法》、《独立行政法个人信息保护法》、《信息公开与个人信息保护审查会设置法》以及《对<行政机关所持有之个人信息的法律>等的实施所涉及的相关法律进行完善的法律》。这种折衷式的立法模式很大程度上来自于日本的国情,其试图做到既保障信息自由流通又兼顾公民个人信息权益的保护。
五、大数据时代我国个人信息保护的立法建议
第二,我国目前尚没有完整的、体系化的个人信息保护的法律机制。
(一)采取单独立法模式,制定《个人信息保护法》
通过上文研究表明,我国对个人信息的保护呈现分散、救济难、实践难等现实问题,因此该部法律应当着重界定个人信息权、细化个人信息保护的规则和原则以及权利救济这三个方面做出规定。
传统养鱼经验认为,鱼、鳖不能共生存,鳖是鱼池中的敌害生物。但实践表明,鱼鳖不但可以共生存,而且能相互促进相互利用,提高水体利用率,挖掘生产潜力。
1.界定个人信息权的法律属性。关于个人信息的保护,现行法律规范中并没有直接赋予公民个人信息权,而2017年出台的《民法总则》一百一十一条也只是从消极的角度确立了个人信息使用的禁止性规范,可想而知法律也没有直接规定个人信息权的法律属性。对此问题,学者们对于个人信息具有“可识别性”这一本质特征达成较为统一的观点,但是就个人信息法律属性而言存在多种观点,例如否定权说、一般人格权说、隐私权说以及具体人格权说等。其中隐私权说和具体人格权说这两个对立的理论受到学界的广泛热议。其中隐私权说认为人格权应当纳入隐私权的范畴之内,将公民的个人信息等同于隐私。而具体人格权说认为个人信息权应当是一项具体人格权,其本质内容与隐私权并不相同,隐私权的内容无法真正包含个人信息权,因而是一种独立的具体人格权。笔者赞同具体人格权说,而且从《民法总则》中也不难看出立法者并没有将个人信息纳入隐私权中而是将个人信息单独规定,对个人信息采取单独保护的方式,这也为我们制定《个人信息保护法》提供了上位法的法律渊源。
2.明确个人信息权的内容、规则及原则。一部法律体系得以完善与这三部分密不可分。一方面我们要对个人信息权就内容和具体规则做出创设性的规定,例如欧盟GDPR第三章规定了数据主体的各项权利,如知情权(第13条)、同意权(第14条)、访问权(第15条)、更正权(第16条)、删除权(第17条)、限制处理权(第18条)、可携带权(第20条)、反对权(第21条)。我国台湾地区“个人资料法”第3条、第8条、第15条规定,信息主体享有如下权利:知情权、同意权、查询或请求阅览、请求制给复制本、请求补充或更正、请求停止搜集、处理或利用以及请求删除。由上可知这些内容都存在相同之处,其大多采取列举式。因此我国《个人信息保护法》也可以借鉴这样的方式,将个人信息权所包含的内容一一列举,采用这样的方式公民可以更好的理解法律、运用法律,同时司法者裁判时可直接援引规则做出公正裁判。另一方面我们要将分散于各部门法或者其他规章以及司法解释中的法律进行整合,例如将分散于《民法总则》、《中华人民共和国网络安全法》中有关个人信息保护的条文进行抽离,将其系统纳入《个人信息保护法》中,解决个人信息保护分散、不成体系、难以及运用这一难题。在上述内容中将个人信息权内容采用列举式,会不可避免的降低司法实践中的灵活性,从而可能导致可操作性差、保护范围狭窄等问题。为此可以制定全面的原则,例如合理使用原则、合法性原则、透明原则等。这些原则要尽可能的权衡多方的利益,在坚持保护公民个人信息权的同时,也要保护数据产业对数据信息的合理使用。
3.应制定详尽的救济手段。众多周知没有救济就没有权利,在探讨创设权利的同时,解决权利如何救济也是一个不容忽视的问题。目前在大数据时代下,公民的个人信息没有得到良好的管理,数据产业的信息收集者肆意共享、买卖公民个人信息以至于公民的个人信息在互联网上出现“裸奔”的局面,面对公民个人信息被泄露,而法律并没有规定有效的救济措施,公民明知个人信息被泄露却找不到侵权人或者即使公民明知谁是侵权人,可是对于个人信息的侵权人没有任何的制裁措施,导致公民的个人信息权没有得到根本的维护。公民在个人信息保护领域内往往处于弱势地位,不言而谕大数据产业往往处于强势地位,例如当我们在适用某APP时对公民的个人信息的保护一般只提供格式条款,存在“强迫”公民同意的情况。因此我们应当在这些方面制定详尽的救济手段,笔者认为对个人信息权的保护应当采取举证责任倒置的方式,在个人信息侵权案件中举证难是维权者普遍的难题,因为在侵权案件中需要原告来证明因果关系,这一证明标准使得本来处于弱势地位的维权者更不敢随意的提起个人信息保护权的诉讼。而采用举证责任倒置这一方式将主要的证明责任由强势一方的数据产业承担,若其无法证明其对公民的数据信息尽到妥善的管理责任,即其需要承担侵权责任。通过举证责任的改变,方便了公民提起保护个人信息的诉讼,同时有利于数据信息管理者完善管理机制更加重视对公民个人信息的保护。
(二)鼓励健全行业自律体系,实现自我管理与约束
应当注意,在国家强制力保障层次上制定相关单独立法来规制个人信息的侵权与保护问题显然不是万全之计。我国人口众多,数据收集广,个人信息流通性强的国情特点决定了行业协会自律式规制的必要性。基于此种观点,我们提出以下建议:
1.增加行业自律主体,扩大监督范围。目前我国行业自律机制主体主要在互联网行业,然而大数据对个人信息的保护不仅在采集、分析层面,还存在于传播、使用等多个层面,涉及多种行业主体,因而我们认为其他行业也应积极地在自己的行业内针对大数据与个人信息的关系特征不同程度的进行行业内部规制,同时行业内部也应集中力量发展信息保护技术,防止不法侵害人采用非法手段恶意入侵数据库对公民的个人信息随意散播。
2.对于滥用或者非法传播个人信息的行业主体,行业内部加大惩罚力度。对行业主体进行信用等级评估,对于信用等级较低的主体可联合相关行政主体对其进行监督与管理。
3.我们认为在行业自律层面可以参照美国的认证标志经验,建立个人信息保护认证标志体系。在所有涉及利用大数据技术合法采集、分析、传播以及使用个人信息等层面“贴上”个人信息保护标志,增加公民的安全感。
(三)提高公民对个人信息的保护意识以及维权意识
在大数据时代下,如何更好的使个人信息免受非法行为侵犯,具体到个人层面,其应当做到信息泄露的事前预防行为和权益被侵犯后的补救行为。对于信息泄露的事前预防,由于现实生活中大多数民众个人信息权保护意识淡薄,用自身信息换取免费产品导致个人信息被窃取、传播而不自知的情况不在少数,在这种意义上,公民自主进行、接受个人信息保护意识培训就显得十分重要。个人信息被侵犯后的补救行为,要求权利主体熟悉法律规范对个人信息被侵犯后的救济方式、程序等多方面规定,从而保证其能够独立运用法律来维护其合法权益。
六、结语
随着科技的不断进步,利用大数据收集并整合个人信息是必然的结果,但是人们时常因为个人信息的泄漏而感到忧虑,因为此种泄漏也不同程度的对公民的权益造成了损害。现阶段,我国对个人信息权益的保护在个人信息侵权问题面前仍显不足,如果我们不加快建立合理的个人信息法律保护机制的步伐,公民的个人信息权益将会受到越来越严重的侵犯,甚至影响社会公共利益,威胁社会安全与稳定。笔者认为每个时代都会有它要面临的新型法律问题,个人信息的保护问题作为大数据时代下的重要问题应该受到国家的重视。
[注释]
①《中华人民共和国网络安全法》第七十六条第五款规定:个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等.
[参考文献]
[1]王珊,萨师煊.数据库系统概率.第5版[M].高等教育出版社,2014.4.
[2]王春晖.个人信息权是公民的基本民事权利[J].检察日报,2017(4).
[3]程啸.论大数据时代的个人数据权利[J].中国社会科学,2018(3).
[4]叶名怡.论个人信息权的基本范畴[J].清华法学,2018(5).
[5]王春晖.GDPR个人数据权与网络安全法个人信息权之比较[J].中国信息安全,2018(7).
*山东理工大学2018年第029号大学生创新创业研究基金资助。
中图分类号: D923
文献标识码: A
文章编号: 2095-4379- (2019 )30-0005-04
作者简介: 任丹妮(1997- ),女,山东理工大学,2016 级在读;吴雪樊(1998- ),女,山东理工大学,2016 级在读;吴巧莲(1998- ),女,山东理工大学,2016 级在读;薛怡怡(1998- ),女,山东理工大学,2016 级在读;周璇(1998- ),女,山东理工大学,2016 级在读。