大数据时代个人信息“公共性”的法律逻辑与法律规制
孙清白1,王建文2
(1.河海大学马克思主义学院博士研究生
2.南京航空航天大学人文与社会科学学院教授)
在信息时代,个人信息不仅具有商业价值还有公共管理价值。个人信息不再只作为一种绝对的财产权或人格权对象而出现,而具有一定的“公共性”,因而应当允许相关方对个人信息进行充分地收集、分析和使用,提升公共福祉。与个人信息利用相伴的是对个人信息利用过程中可能存在个人信息滥用以及对隐私侵害的担忧。当前,个人信息权益受到侵害的一个突出表现是个人信息未经信息主体同意被任意收集并滥用于各种商业用途,导致信息主体饱受骚扰甚至遭受财产损失。此外,个人信息权益所面临的威胁是个人信息利用过程中对个人隐私的侵害。
为保障个人信息不被滥用,在利用个人信息的过程中不侵害信息主体的隐私权益,一种有效的方式是要求收集和处理个人信息经过信息主体的同意。传统个人信息立法正是构建在这一逻辑基础之上,衍生出基于控制理论的个人信息保护模式。当前我国有关个人信息保护的规定散见于各种法律文件中。仔细梳理这些法律文件中的相关规定,可将我国的个人信息保护规则总结为:一是要求个人信息收集必须经信息主体同意,公开收集、使用信息的目的、方式和范围。二是信息收集者收集的个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。三是信息收集者和处理者应当采取技术措施保护个人信息安全。四是赋予信息主体对于侵害其个人信息合法权益的行为,有要求制止的权利。从这些规定可以看出,我国目前采取的也是基于控制理论的个人信息保护模式。传统个人信息保护模式的核心在于确保信息主体对有关其个人信息收集和处理行为的控制。这种模式有效性的前提在于个人能够有效行使对其个人信息的控制,并在理性判断基础上行使自己的各项权利,对个人信息的保护偏重于信息主体的主观意愿。
然而,最近十多年网络的迅猛发展和相关信息处理技术的大量出现正在逐步破坏信息主体对其个人信息的控制能力,基于控制理论的个人信息保护面临着“失灵”的危险。首先,信息不对称和网络运营者的“霸王政策”正侵蚀着基于控制理论的个人信息保护模式的合法性基础。其次,个人信息流转过程中信息主体很难实现对个人信息处理的“全过程控制”。最后,一些新技术的应用,正在颠覆传统个人信息的收集和处理方式,使得信息主体对个人信息的控制根本无从谈起。基于以上原因,网络大数据时代,依赖信息主体对其个人信息进行有效控制几无可能。在大数据时代,信息主体虽然是其个人信息的权利人,但却并非个人信息利用过程中的“主角”,无法对个人信息效用的发挥产生决定性影响,而涉及个人信息收集和处理的网络运营者才是网络大数据时代的“主角”,因而对个人信息保护规制的重心应当放在对网络运营者行为的规制上。我们认为,改革传统个人信息保护模式的核心在于建立网络运营者有关个人信息收集和处理的风险管理法律规则。只有在确保个人信息收集和处理对信息主体全过程透明的基础上,才能及时识别信息处理过程中的各种风险,并使信息主体及时行使各项权利成为可能。此外,个人信息利用过程中所面临的最大风险是隐私泄露,因而有必要区别敏感个人信息和一般个人信息的保护。网络运营者个人信息风险管理机制的构建必须建立在这两个前提条件基础上。
在大数据时代,实现个人信息收集和处理的全过程透明是欧美个人信息保护立法改革的重点。未来我国制定个人信息保护法时,应当将透明度机制贯穿到个人信息处理的全过程,使信息主体能及时了解有关其个人信息处理的风险、安全措施以及享有的权利。特别是考虑到在大数据时代传统架构无法解决信息主体与信息中间商联系缺失的问题,当信息经由信息中间商处理时,应当要求信息中间商主动向信息主体披露信息处理状况并提供权利行使机制。
欧美的个人信息保护法区分敏感个人信息和一般个人信息,并将涉及高度隐私的部分剥离出来作为敏感个人信息,设置更严格的保护规则。未来制定个人信息保护法时,我国同样应确定敏感个人信息禁止收集处理,除非基于信息主体明示同意、保护公共利益、信息已合法公开、科学研究或统计需要等法定情形。此外,敏感个人信息的收集和处理只能由特定机构经合法程序实施。
在网络大数据时代信息主体对其个人信息难以进行有效控制的情况下,未来制定个人信息保护法的重心是改变当前立法单纯依赖信息主体“权利中心”的“静态”控制模式,构建网络运营者“义务中心”的“动态”监管。在实现个人信息收集和处理全过程透明并区别敏感个人信息与一般个人信息进行差异化保护的基础上,我们可以尝试构建以安全保障措施(人信息的假名化和加密;确保持久的机密性、完整性、可用性和数据处理系统可恢复性的能力;当发生物理或者技术事故时及时修复数据可用性、可访问性的能力;定期测试、评定、评估技术和管理措施有效性)、个人信息处理风险评估(将风险程度划分为高、中、低三级,并根据具体场景中评估出的风险等级,设计信息主体控制机制及风险处置措施)、个人信息泄露报告(网络运营者在有个人信息泄露情况发生,且该泄露可能给信息主体造成一定损害时,向监管机构履行报告义务)为核心的风险管理机制。
本文仅供法治推广,宣传及学习,若来源标注错误或侵犯到您的权益,烦请告知,我们将立即删除。
有关法律案例,维权可以来电咨询。
联系电话:010-59462424
法治实施编辑部邮箱:zgfz88888@163.com
欢迎各位读者留言!
关注中国法治网,了解法治动态及有关法律知识。
