随着互联网、大数据、人工智能的发展,数据资料在科技应用中所扮演的角色越来越重要,个人数据的使用让我们的生活更加便捷。然而,以支付宝、Facebook为代表的互联网企业,却在用户使用的过程中涉嫌非法使用用户个人信息数据。在对此感到恐慌过后,我们更应该思考:企业抓取个人信息数据的界限在哪儿?个人信息被利用后用户该如何得到救济?个人信息和数据保护应当如何完善?
本文为作者向无讼阅读独家供稿,转载请联系无讼阅读小秘书(wusongyueduxms)
Facebook剑桥分析事件一石激起千层浪,Facebook此前也遭受过个人数据泄露的调查和纠纷,但此次Facebook泄露数据的严重程度不可同日而语,因为这一次竟有可能牵扯到川普总统选举操纵问题,而剑桥分析公司作为第三方数据分析公司为其提供了精准投放的服务。个人数据的应用场景竟会和政治相关,人们不禁要问:我做的决定真的是我自愿作出的还是别人引导我作出的呢?恰好百度集团董事长李彦宏3月26日发言表达了一个观点“中国人愿意用隐私交换便利性”,再次引发公众对个人信息安全的热议。
随着大数据的广泛使用,个人信息暴露在公共空间的可能性越来越大。公众对于个人信息安全的需求和意识也越来越强,法律必须予以回应,司法裁判也应当发挥出社会指引作用。为理清我国现阶段在个人信息保护方面的情况,笔者梳理了个人信息的保护规范,以及个人信息权(或数据权)方面的司法经典案例。
一、个人信息保护规范梳理
(一)个人信息保护规范汇总
(二)个人信息保护规范特点
1. 不同行业主管部门制定规范,个人信息保护趋向于严格。从上述规范可以看出,制定主体有工信部、公安部、银监会、国标委等,呈现出不同主管部门制定个人信息保护规范的趋势。个人信息保护具有一定的时空性,欧盟由95指令到GDPR(TheGeneralDataProtectionRegulations,《一般数据保护条例》),对个人信息保护都趋向于更加严格,明确了知情同意原则、可携带权、可遗忘权等;而与之相反,美国在个人信息保护方面更加宽松了。从我国目前的规范中,明显可以看出倾向于欧盟严格的立法态度,尤其是网安法,将个人信息自决权或个人信息权上升为人格权进行保护,个人要控制个人信息使用的全过程。
2.刑事化惩罚为主,且呈现出更为严厉趋势。我国个人信息偏重刑事化保护且有过度的倾向,如《刑法》第253条之一规定了侵犯公民个人信息罪(合并了刑七的出售、非法提供公民个人信息罪与非法获取公民个人信息罪两个罪名),第286条之一规定了拒不履行信息网络安全管理义务罪等。然而,不少学者认为数据的定义、权属等基本问题还没有厘清,就直接追究刑事责任,未免不符合逻辑和过于严苛,这也有可能影响行业的发展和数据规则的积极探索。下图是笔者查询的无讼案例中“刑事”“侵犯公民个人信息罪”关键词分析图表。
3.历时较久,仍未形成统一规范。我国正在进行个人信息保护立法,2017年3月全国人大代表、全国人大常委、财经委副主任委员吴晓灵,全国人大代表、中国人民银行营业管理部主任周学东以及45位全国人大代表今年两会提交《关于制定<中华人民共和国个人信息保护法>的议案》,建议尽快制定《中华人民共和国个人信息保护法》。今年两会上也有代表建议加快个人信息保护法的立法工作。但是,我国个人信息及数据目前发展态势并不明朗,并没有形成统一规范。
二、我国“个人信息权”(或“数据权”)经典案例与启示
(一)案例索引表格
(二)经典案例启示
1.大众点评诉爱帮不正当竞争纠纷:法院审理认为,“大众点评网”的商户简介和用户点评,是汉涛公司搜集、整理和运用商业方法吸引用户注册而来,汉涛公司由此产生的利益应受法律保护。
2.Cookies朱某诉百度隐私权纠纷:网络用户通过使用搜索引擎形成的检索关键词记录,虽然反映了网络用户的网络活动轨迹及上网偏好,具有隐私属性,但这种网络活动轨迹及上网偏好一旦与网络用户身份相分离,便无法确定具体的信息归属主体,不再属于个人信息范畴。
3.被遗忘权案任某诉百度名誉权纠纷:法院认为涉案信息是对原告的工作经历的真实反映,与其目前所属行业的个人资信具有直接相关性,这些信息的保留对于相关公众知悉任原告的相关情况具有客观的必要性,“被遗忘权”不具有正当性和保护必要性。
4.大众点评诉百度地图不正当竞争纠纷:大众点评网的点评信息是汉涛公司的核心竞争资源之一,能给汉涛公司带来竞争优势,具有商业价值。汉涛公司为运营大众点评网付出了巨额成本,网站上的点评信息是其长期经营的成果。在靠自身用户无法获取足够点评信息的情况下,百度公司通过技术手段,从大众点评网等网站获取点评信息,用于充实自己的百度地图和百度知道。百度公司的行为构成不正当竞争。
5.微博诉脉脉不正当竞争纠纷:北京知产法院首次提出明确网络平台提供方可以在用户同意的前提下基于自身经营活动收集并进行商业性使用的用户数据信息主张权利。该案确认了信息时代的数据包含一定的商业价值,是反不正当竞争法中应当保护的商业价值。判决书强调第三方平台使用授权平台所收集的用户数据的“三重授权原则”,即:对于API平台在收集用户数据应当经过用户授权,API数据合作方之间的权限应当经过平台授权,而在API中数据调取和使用平台在使用用户数据中应当经过用户的再次授权。
6.庞某诉去哪儿网隐私权纠纷:法院指出个人有权自主决定是否公开及如何公开其整体的个人信息,将姓名、手机号和行程信息结合起来的信息归入个人隐私进行一体保护,也符合信息时代个人隐私、个人信息电子化的趋势。法院从消费者个人信息安全的角度说明经营者在掌握大量个人信息的同时,应当有相应的能力保护消费者个人信息免收泄露。
7.华为、腾讯数据争夺战:此案例没有进入诉讼程序,而是通过政府出面协商和解。概言之,腾讯认为华为正在通过其荣耀Magic智能手机收集用户活动信息,以打造其人工智能功能,收集的数据包括微信的聊天信息,这一行为侵犯了本应属于用户和腾讯的数据,并侵犯了微信用户的隐私,腾讯已请求政府部门介入此事。华为方面则表示,所有用户数据都属于用户,不单方面属于腾讯或华为,该公司在荣耀Magic设备上处理用户数据之前经过了用户授权。硬件厂商与服务提供商之间的数据之战引发了公众关于数据权属的思考,以及数据控制者如何获得用户授权的问题。
三、总结
“大数据”是当下的热门词汇,个人信息的保护问题是题中应有之意。然而,个人信息保护与数据相关行业的创新之间如何平衡,也是非常重要的问题。
在此问题上,欧盟和美国采取不同的态度。欧盟的互联网企业并不发达,而在人权保护方面始终领先,即将在今年5月份生效实施的GDPR也是延续了欧盟的人权保护的一贯严格的态度。随着互联网的发展,企业间的数据流转很多,如果按照欧盟GDPR的要求,每次数据流转都要经过消费者同意,这势必会影响企业效率和发展。美国3月23日通过了CloudAct法案,该法案使得执法机构更容易访问存储在国外的数据,而这也体现了美国对个人信息保护的低水平,其目的在于促进个人信息自由地跨境流动,为美国公司方便地获取、掌握,但同时也为少量适格政府(qualifying foreign governments)提供调取美国数据的机会以换取这些国家放弃数据本地化的规定。
那么,我国究竟向左还是向右?随着我国优秀的互联网企业走出国门创造价值,发挥了一定的影响力,我想我们应该有能力根据本国国情和国民特点,制定具有中国特色的个人信息保护路径,同时能够促进产业创新和发展。
编排/郗博鸣
责编/孙亚超 微信号:elesun724