身處大數據時代,在享受網絡技術給我們的生活帶來便利的同時,也面臨著個人信息洩露帶來的各種負面影響——
個人信息保護:一道難解的必答題
吳之如/漫畫
無處不在的信息收集與洩露
近日,有這樣兩則新聞賺足了眼球。一是“史上最大數據竊取案”告破,揭開了微博“被加粉”背後的秘密。據報道,幾乎國內所有的核心互聯網企業無一倖免,也就是說,用戶在網上搜索過哪些隱秘信息、去了什麼地方、何時何地開房、買過什麼東西,這些信息,都被這一犯罪團伙掌握。二是有關高鐵“座霸”的後續消息,視頻公開後,網友對佔座男子展開了地毯式的“人肉搜索”,該男子的個人信息包括姓名、身份證號、戶籍所在地、工作單位等均被網友扒出來,曬到網上。看似無關的兩則新聞,卻指向同一問題——大數據時代,個人信息保護猶如安徒生筆下“身著新裝”的皇帝,在眾目睽睽之下裸奔。
為更好地保護個人信息,打擊侵犯公民個人信息的違法行為,8月24日,北京市朝陽區法院召開涉個人信息保護類民事案件研討會,對審理侵害公民個人信息案件時遇到的難題進行研討。
朝陽區法院分析該院近十年內審理的有關侵犯公民個人信息的近100件(由於公民個人信息保護近幾年才進入民法規範層面,相關案件數量有限)案件發現,對公民個人信息保護有較大影響的行為分為以下幾種:
第一,因保管不當導致的與個人信息有關的檔案丟失。此類案件佔比為7%,實踐中主要表現為醫療機構保管病案信息不當導致的信息缺損、人事機構保管人事檔案不當導致的信息缺損、電子設備維修方不當刪除設備記錄等。第二,因錯誤登記導致的個人信息公開。此類案件佔比為6%,主要表現為影視作品中無意中公佈的真實手機號,婚介機構錯誤公佈招婚者信息,職員離職後公司網站仍登記其手機號、QQ號、郵箱等信息。第三,冒用、盜用個人信息。此類案件佔比10%,主要表現為不存在真實基礎法律關係的冒用他人名義和盜用他人身份,如學校謊稱優秀學員由其培養進而公佈學員信息,公司以聘用知名設計師、學者為幌子的虛假宣傳,公司利用他人身份信息虛假登記其為法定代表人或者股東,中介經紀人擅自利用客戶身份及房源信息偽造固定住所進而取得北京市居住證。第四,以使用信息為目的公開個人信息。此類案件佔比11%,實踐中主要表現為存在真實的基礎法律關係但無權使用個人信息,如醫療機構擅自公開成功治癒的病患信息,婚介公司和攝影公司未經同意公開客戶信息的宣傳行為等。第五,不以使用信息為目的的單純公開和披露個人信息。此類案件佔大多數,佔比達56%,主要以隱私權糾紛出現,較為多發的是利用網絡公佈他人個人信息,典型的如“網絡人肉行為”等。第六,信息保管人轉讓、洩露個人信息。此類案件佔比10%,主要表現為大型電商企業、旅遊服務經營者、電信公司所保管信息的外傳,從權利人的角度而言,往往體現為將信息提供給某一特定主體後,其他人亦獲得相應信息並由此進行的詐騙或營銷。
“當前,收集個人信息的渠道數不勝數,從電信運營商、各類網站、App到手機設備本身。特別是近年來,隨著人工智能的快速發展,手機硬件廠商在設備上增加各類功能,實現跨App平臺的數據收集和處理。此外,各類爬蟲技術也能實現跨平臺的數據抓取。同時,在外部環境下,智慧城市中各類物聯網設備也在無時無刻收集個人信息,形成城市管理的‘超級大腦’。再加上在我國法律政策框架下,由於實名制要求廣泛存在,被收集、處理的個人信息很容易直接和個人真實身份相關聯,進一步增大了信息洩露之後的安全威脅。個人真實信息的收集、處理渠道增加,意味著洩露的渠道在增加,安全威脅同步在放大。”騰訊互聯網法律研究中心專家法律顧問王融說。
而身為一名普通公民,大家或許也都有所體會,從清晨起床使用手機開始,也就開始了信息被收集的一天:手機號是實名的,其中涉及到個人基本身份信息;走在路上,打開百度地圖,選擇需要前往的地方,查詢路線,位置信息會被蒐集,因為經常使用,家庭地址和公司地址會被知曉;出門坐地鐵,打開易通行,註冊時需要輸入身份證號,出站時個人的位置、消費金額會被蒐集;網上購物時,訂單信息盡在網店掌握中並被收集;無論是瀏覽網頁還是在手機App之間的切換,這些信息也都會留有痕跡並被抓取……
哪些個人信息應該受到保護
大數據時代已經到來,人們對於個人信息應該受到保護已經達成共識,法律法規也相繼出臺。但是,是不是所有與公民個人有關的信息都應該受到保護?
市民小趙在接受記者採訪時表示,他認為,其個人的身份證號、手機號、家庭成員和住址、銀行賬戶以及其他第三方支付平臺、社交平臺的賬戶和密碼、聊天記錄等都屬於其個人信息,都應該得到保護。
而在司法實踐中,北京市朝陽區法院酒仙橋法庭副庭長羅曼則指出,個人信息範疇的界定是法院審理侵犯公民個人信息案件時面臨的一大難點。
記者注意到,在王某訴B公司、C公司侵權糾紛一案中,王某通過其個人賬戶購買了乘機人為孫某的機票,該機票訂單信息是否構成王某的個人信息一度成為雙方爭議的焦點。
“個人信息與隱私權關係密切,兩者之間有一小部分重合,但是個人信息已經超越了隱私權的範疇,很多個人信息是隱私權無法涵蓋的。”清華大學法學院教授程嘯說。他進一步指出,關於個人信息的界定,我國現行立法採取的是識別標準,即直接或者間接可識別自然人身份的信息都屬於個人信息。
“在我國,對於個人信息的認識和保護是在逐步發展完善的。”中國法學會研究部副主任彭伶指出,根據網絡安全法規定,個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。而《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》則在前述定義的基礎上加入了“反映特定自然人活動的各種信息”,“賬號密碼、財產狀況、行蹤軌跡”也被列舉出來,拓寬了公民個人信息範疇。此外,作為推薦性國家標準的《個人信息安全規範》對個人信息的範疇在刑事司法解釋的基礎上又有進一步拓展。
關於個人信息的界定,彭伶認為,歐盟的《一般數據保護條例(GDPR)》對個人信息的界定值得借鑑,其中指出,“個人數據是指與一個身份已被識別或者身份可識別的自然人(數據主體)相關的任何信息……”她認為,GDPR對個人信息的保護是最完善和最全面的,“這種普遍性保護的好處在於把確定是否侵犯個人信息的權利交到了受過專業訓練的法官手中,這樣就不至於還需要探討這個信息是否屬於法律上保護的個人信息。”
王融也指出,我國現在關於個人信息的界定在不斷擴展,並不斷向GDPR靠近,已經遠遠超出了識別的範疇,不僅把關聯身份的信息視為個人信息,而且把反映特定人的活動的也視為個人信息。
中央財經大學法學院教授尹飛則認為,對個人信息的界定,在現有法律體制下,應該回到人格權的本質進行討論。“個人信息作為人格權的本質,不能泛泛羅列哪些屬於個人信息哪些不屬於,個人信息應該與特定的自然人相聯繫,在個案中根據具體情形進行判斷,對個人信息保護太過是否合適值得思考。在現有法律框架下,個人信息能通過隱私權進行保護的就通過隱私權予以保護。”尹飛說。
記者也發現,即便屬於立法上認可的個人信息,司法實踐中也不是毫無保留地予以保護。在朝陽區法院審理的邵某訴四方公司違法侵權一案中,邵某因嚴重違反公司的規章制度,公司決定於2015年1月9日與其解除勞動合同,在將《解除勞動通知書》送達其本人及通過郵件送達均遭拒收後,公司不得已通過報紙刊登聲明,主要內容包含了邵某的身份證號及公司聲明與其解除勞動合同的具體日期及邵某多次拒收通知書的說明。法院經審理認為,四方公司為送達解除勞動合同通知而刊登公告具有事實依據且並無明顯不當之處,原告亦未舉證證明登載身份證號的行為給其造成實際損害後果。因此,原告的侵權主張最終未獲法院支持。法院判決稱,四方公司的做法屬於“以合理使用排除行為的違法性”。
信息保管主體的責任
記者注意到,在朝陽區法院梳理的各類侵犯公民個人信息案件中,大量侵權案件的發生都與信息保管主體相關,這些主體不僅包括企業,還包括一些行政機關、事業單位以及醫療機構等。那麼,在公民個人信息保護方面,這些主體扮演著怎樣的角色,又應該承擔哪些責任和義務?
對此,朝陽區法院在龐某訴東航和趣拿公司侵權糾紛一案的判決書中寫道,“東航和趣拿公司作為各自行業內的知名企業,一方面其經營性質掌握了大量的個人信息,另一方面亦有相應的能力保護消費者的個人信息免受洩露,這既是其社會責任,也是其應盡的法律義務。”
與會專家均認為,信息保管主體負有妥善保管公民個人信息的義務。有專家還指出,應該確立保管個人信息的合理期限,在到期後對公民個人信息進行合理銷燬。
“根據騰訊社會研究中心聯合DCCI互聯網數據中心發佈的《2017年度網絡隱私安全及網絡欺詐行為分析報告》,幾乎所有的App都在收集個人信息,而且越重要的信息收集的比例越高,而個人在大多數情況下對此並不知情。在個人處於絕對弱勢情況下,數據控制者當然負有妥善保管個人信息的義務。”彭伶說。
而記者也發現,打開微信閱讀或者進入遊戲界面,系統會推送告知哪些好友也在閱讀同一本書或者在玩同一款遊戲;打開支付寶會發現,系統已經“貼心”地為你關注了眾多公眾號。而在信息收集方面,儘管法律法規一再強調,應該經過用戶同意方可收集和使用個人信息,但眾多的App都設置了不同意使用某些個人信息就無法安裝使用App的限制,同意與否也就形同一道擺設。
對此,王融回應稱,用戶可以選擇隱藏或者不同意公開。但實際上,記者發現,公開是默認選項,不公開的設置選項往往較為隱蔽,不容易發現。
對於企業在保護公民個人信息方面應承擔相應的社會責任,王融指出,從保護個人的角度來說,信息銷燬很有必要,特別是在違法處理或者在超出預定期限的情況下,確實應該合理銷燬。而關於信息保管的期限,她指出,根據國內安全需要,各行各業對信息保管的期限有所差別,難以統一,所以實踐中具體期限可能需要法官自由裁量。
對於信息保管的期限和保管到期後的銷燬,北京市高級法院研究室副主任劉書星認為,這是一柄雙刃劍,確定信息保管期限及到期後合理銷燬有利於保護公民個人信息。但是,有些信息的收集在某些時候可以作為公民提起其他訴訟的證據,從這一角度而言,負有信息保管義務的機構如果無法提供相關證據,可能承擔舉證不能的不利後果。
如何有效保護公民個人信息
身處大數據時代,公民個人對於其信息的收集和使用往往顯得無能為力,但在個人信息成為重要資源的時代背景下,保護公民個人信息是一個不可迴避的問題,也是大勢所趨。在這種形勢下,最重要的問題是,如何才能有效地保護公民個人信息?
對此,彭伶認為,個人信息的保護寄希望於技術手段的發展和進步,而在法律層面,她認為,應該把對個人信息權益的保護上升到憲法保護的高度。“只有上升到憲法層面,才能獲得更好的保護。同時,在法律上應該嚴格控制個人信息的流通和使用,加強企業和其他信息保管者的社會責任,要求他們履行最嚴格的保管義務。”彭伶說。她還指出,司法實踐中,應該加大對非法使用公民個人信息行為的處罰,通過懲罰性賠償以及精神損害賠償的經常性適用,起到預防和威懾作用。
王融則認為,在個人信息洩露相關的侵權案件中,很難在損害後果和洩露事件中找到確定的因果關係,也很難證明到底是哪一個渠道洩露的個人信息。儘管可以探索性地適用高度蓋然理論來解決一部分問題,但在外部環境收集數據渠道越來越多的情況下,此類問題將面臨更大挑戰,需要在侵權法上找到新的思路。
尹飛則認為,根據現行法律規定,精神損害賠償的適用範圍有限,對於侵犯公民個人信息的違法行為,不一定非要適用精神損害賠償金這種方式,他認為,有時候讓侵權人在指定的媒體上公開賠禮道歉,可能會讓受害人心裡覺得更舒服。
“對於一些大規模侵犯公民個人信息的行為,以後可能會出現公益訴訟,據我所知,消協一直在做這方面的努力。”程嘯說。
閱讀更多 龍泉驛區人民檢察院 的文章
