说完个人信息保护的严峻形势和大数据的商业价值,我们发现其实在大数据时代个人信息的商业利用和保护之间存在着悖论:大数据无论企业还是个人都无法拒绝,而个人信息保护又关切到每个人的利益。
这个悖论最终需要法律和商业实践来解决。下面我们从法律的角度探讨一下大数据时代的个人信息保护:如何实现商业价值、公共利益和个人隐私保护的平衡。
一、从观念到现实的颠覆:信息技术产业革命冲击下的个人信息保护制度
在个人信息保护方面,这场信息技术产业革命带来的第一个改变,是技术和业务环境变迁带来的数据观、隐私观和权利观的改变。
人们对隐私权利的看法随着时代变迁而不断发生变化,相应的,个人信息和个人隐私法律保护架构也不断受到冲击。
比如云计算的应用使信息脱离了个人终端,信息被储存到成本更低的地方——不是存储在某一台服务器上,而是分散式地存储在不同的服务器上。这使得对个人信息的控制越来越难,对信息保护的监管自然也如此,甚至诉讼管辖地也变得模糊而难以确定。如果信息被分开储存到不同地方,原告可以在何处起诉被告将成为一个复杂的问题。
再比如,社交网络的普及化也使得人们的隐私观产生变化。一方面,个人的隐私权利意识越来越强,越来越倾向于用法律等手段保护个人隐私;另一方面,又热衷于在自己的社交网络内、在各自认为合适的范围里,主动传播过去普遍被认为属于个人隐私的信息。比如去哪里旅游了、今天吃了什么、做了什么、自己的感情生活、情绪波动等等,“秀恩爱”变成很多年轻人的日常功课。那么,人们的隐私观是变得更开放了,还是更保守了呢?只能说人们的隐私观不一样了,变得越来越复杂。
又比如,移动互联网的普及使得信息收集者可以随时随地采集用户高度个人化的信息。与传统PC终端不同,移动终端记载着许多个人化信息,对个人化信息的利用如何把握边界?我认为边界在于所使用的信息是否去个人化,消除个人化的身份信息就可避免触及隐私权问题。
前面已经谈到,在大数据时代身份化与非身份化的边界已经变得并不明显。数据挖掘、分析技术使数据被利用的可能性增加,数据匿名化、模糊化处理难度更高。数据识别个人的可能性明显增强,通过大数据分析,去身份化的信息可被重新身份化。尽管抹掉了手机号码信息,但通过规律性的行动轨迹,依然可以将信息与特定的个人进行匹配。因此,大数据的应用使得身份化和去身份化之间形成双向的可逆过程。
美国一家运营商曾经公布了两千多万条Google搜索记录,并作了去身份化的隐私处理。尽管如此,仍然经过记者的人工梳理,发现至少还有一半的记录可以重新恢复身份信息。人工分析尚且如此,何况更大范围的海量数据分析呢?
二、悬崖上的舞蹈:各国个人信息保护立法的最新进展
下面,从宏观上谈一下各国个人信息保护立法的最新进展。就全世界范围来看,个人信息保护立法持续升温。各国纷纷制定了相关法条,如欧盟的《关于1995年个人数据保护指令的改革建议》,美国的《消费者隐私权法案(草案)》,韩国的《个人信息保护法》、《位置信息保护法》,澳大利亚的《隐私法》和法国《云计算保护指南》等等。
针对云计算、移动应用商店等特定业务的个人信息保护规则也在逐步建立。在云计算方面,个人信息保护和数据安全纳入云计算服务标准、信息境外储存的披露义务、云计算终止前的通知义务和用户的信息处理权也逐渐为各国立法所采纳。在移动互联网方面,各国立法也在逐步采取保障用户知情权的,明确针对用户位置信息、通讯信息等隐私信息的收集、使用规则。美国还为儿童等特殊敏感群体采取特别保护手段,采取更严格的保护标准。
棱镜事件后,数据跨境移动规则的制定和执行受到普遍重视。很多国家规定,只有当信息接收国的保护标准和水平与本国一致时,信息才能够跨境转移到接收国。由此,信息保护认证等国际间的协作也越来越重要。有些国家甚至干脆部分或全部禁止了数据跨境移动。
三、谁能给出准确的答案:个人信息保护立法中的共性问题
概括来看,各国现行个人信息保护立法对几个共性法律问题的规定不尽相同,因而在信息保护和产业发展上也产生了不同影响。
第一,在个人信息的边界问题上,不同法域对个人信息保护的立法态度不一。美国采取的是动态保护标准,对部分个人信息利用行为采取豁免,如所利用的信息数量少于五千条、所利用的信息不具备识别性等。与美国相比,欧盟的保护标准更为严格,只要信息可能被识别为个人信息,就不能以商业为目的使用。中国个人信息保护立法采取的是可以识别或可以组合识别标准,但没有提供具体的认定细则。
科学的个人信息保护标准应该是动态的、有弹性的。美国在立法中明确规定个人信息利用的豁免情节并不多,较为激进的法律政策取向可以最大范围激发创新,这也是美国信息经济领先全球的原因之一。
第二,个人信息保护法的规范主体面临调整。各国的信息保护立法大多源于1980年代OECD(经济合作与发展组织)信息保护指南。该指南主要规范的是企业和政府在个人信息保护上的行为。但现在,个人在数据产生与传播中发挥更大作用,越来越多的个人隐私传播来源于朋友圈的截图、转发。个人不仅是数据保护的主体,同时向数据控制者的身份转化。因此,个人信息保护立法中的保护主体需要调整。
欧盟现有立法将规范主体分为“数据控制者”和“数据处理者”两类。实际上两者的责任已经很难区分,而且这两类主体也难以覆盖实践中与个人信息保护行为。
目前,全国人大决定采用组织和个人的两分法来定义规范主体。个人不仅是保护主体,也是规范主体。这显然是一种进步,但决定并没有区分组织和个人两类主体保护义务上的区别,实践中还不能完全适应保护的需要。工信部《电信和互联网用户个人信息保护规定》的规范主体主要是电信和互联网企业,这是由工信部作为行业管理部门的职能定位限制所决定的。
第三,是个人信息被遗忘权的问题。被遗忘权是指用户有权要求服务商删除用户在服务平台上的部分或全部行为记录。这些记录归属于用户,用户享有支配权、修改权。
目前,国际上对被遗忘权的定性和保护范围还存在一定的争议。个人信息如何定性?被遗忘权的法律性质是相对权还是绝对权?信息生产者是谁?这都是亟需解决的问题。
我倾向于认为个人信息是一种绝对权,是人身权利的一部分,具属人性。个人信息也具有财产性,能够产生经济价值;但与一般的物不同,它不具有物的稀缺性,可以在不减损的情况下实现无限复制。转让人在将信息传递给受让人后,转让人并不失去信息的控制权。
对个人信息所有者的认定并非易事。信息的所有者究竟是信息指向的主体,还是信息的生产者?以一个用户的购买行为而例,这个行为的信息生产者究竟是用户还是服务企业?实践中常常难以区分。如果认真复盘业务实现流程,会发现很多时候用户只是信息的相关者,但信息的采集和生成却由机器完成。如果按照“谁生产,谁所有”的标准,信息并不归属用户所有,被遗忘权就缺乏存在基础。
欧盟在2012年发布的《个人数据保护指令修正案》中肯定了被遗忘权,这是承认被遗忘权的首次立法尝试。但至今,该法还没有得到欧盟委员会批准。美国倾向于通过合同约定解决被遗忘权问题,对被遗忘权的保护并不一定需要通过绝对权法律框架实现,也可以通过合同的法律安排予以实现。
在中国,工信部《电信和互联网用户个人信息保护规定》规定电信和互联网企业在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人信息的收集和使用,并为用户提供注销号码或者账号的服务。但并没有规定用户使用服务中所产生的信息应当删除或者用户可以要求删除,这是因为我国在网络安全管理要求网站要对日志信息和相关内容需要在产生后保存六个月以上。这和被遗忘权存在一定的冲突。
第四,是信息的可携带权。用户使用互联网服务时产生大量信息,那么用户不再使用这项服务转而使用其他服务时,是否有权利要求服务商将信息从一个平台迁移到另一个平台,转移给另一个服务商呢?这就出现了信息可携带权问题。
这一问题提出的契机,是基于信息对消费者的黏性。一个平台上积累的信息足够多时,可能影响到消费者对互联网服务的自主选择。因为这些信息是用户割舍不掉的,即使不喜欢这个服务也只能继续使用。它的法理基础在于用户是信息的所有者,理所当然应当具有支配权。
因此有学者指出,要尊重和保护消费者选择权需允许消费者携带信息,不被信息牵绊。但目前,还没有哪个国家以立法形式确认个人信息携带权,更多的是以政府倡议方式来倡导企业进行携带权保护的尝试,变通开放企业的数据保护和管理制度。
反对者认为,消费者选择权的问题是竞争法的范畴,可以通过竞争法中的不正当竞争、滥用市场支配地位等规则解决,不必要牵涉个人信息保护法的问题。
第五,个人信息保护的具体制度亟待完善,包括从设计着眼保护隐私(privacy by design, PbD)、数据泄露通知制度(data breach notification)、数据跨境移动规则、特殊群体信息保护四个方面。
前面已经提到工信部《电信和互联网用户个人信息保护规定》明确了互联网企业对用户信息的采集应当遵循合法、正当、必要的原则,但在实践中很难得到落实。在采集信息前,服务者往往给用户提供一份几千上万字的服务协议,其中包括了同意采集信息和信息保护的条款。但手机屏幕能显示的内容是很有限的,这份协议要刷几屏甚至十几屏,实际上不会有几个用户认真阅读,往往是翻屏过后就点选了“同意”按钮。于是,服务商就看似“合法”地获得了大量个人信息权益,包括服务所不必需的信息。
如果按照“从设计着眼保护隐私”的原则,企业在程序开发时,便避免程序自动采集不必要的客户信息,同时隐私保护的协议表述应更简洁有力,让用户一目了然便能真正自主、自愿地做出选择。
这只是一个例子,对“从设计着眼保护隐私”原则的落实体现在产品和服务设计的每个细节,体现在产品和服务的规范和标准中。在现阶段,我国直接出台法律规定或许并不现实,但可以倡导行业组织自治和企业自律。
数据泄露通知制度则要求一旦大规模数据泄露事件发生,服务商要向政府部门和用户报告。目前,我国的立法只要求企业向主管部门报告,没有包括向用户告知。
在数据跨境移动规则上,目前有观点认为大数据不仅是财富,更是战略资源,信息数据安全关系到经济安全甚至国家安全,因此主张全面限制甚至禁止数据跨境移动。前一段时间公开征求意见的《反恐怖法草案》中规定“在中华人民共和国境内提供电信业务、互联网服务的,应当将相关设备、境内用户数据留存在中华人民共和国境内”。我认为这样的论调和规定有些过于绝对化、矫枉过正了。
互联网时代的经济是开放的经济,流动和开放性是信息的本质属性。对数据跨境移动的规制,可以体现在关乎安全、关乎特殊群体保护的重要、敏感数据的跨境限制上,可以体现在对接收国信息保护水平的认证上,可以体现在对等原则的国际协作上,可以体现在必须经用户同意的要求上,也可以体现在数据跨境移动规范、标准、协议文本的制定和行为引导上,但不应当表现为一竿子打死。否则,最终丧失的将是信息经济的活力和机会。
针对特殊群体的敏感信息保护已经逐渐成为共识,分歧只在于特殊群体的范围。儿童、残疾人等弱势群体的列入几乎没有争议,美国等国家已经付诸实施。对同性恋、特殊癖好者等边缘人群信息的特殊保护在个别国家也得到了提议。目前,我国还没有形成完整的特殊群体敏感信息保护规则。
四、不得不做的小结:对中国个人信息保护立法的建议
最后再简单阐述一下我对我国个人信息保护立法的建议。尽管这些建议都是大而不当的,它在立法和实践中落实到的每一个具体文字和行为才对社会有着真正的实际意义,哪怕只是点点滴滴,但我相信其中贯穿的关于开放、创新、利用、有序、安全的一些基本价值取向还是有价值的。
在形式上,我国应该制定统一的个人信息保护法。目前,我国关于个人信息保护的规定仅有全国人大常委的一个决定和工信部的一个规章,其他相关规则散见于各种法律、行政法规、规章和规范性文件中,过于零散。更重要的是,规定在立法价值取向上从各自所属的制度出发,存在颇多彼此冲突之处,应当加以协调。同时,还要妥善处理个人信息保护立法和网络、信息安全管理等法规制度的关系。
要精确平衡个人信息保护、经济学和发展之间的关系,尤其应当注意的是不能因噎废食。要在严格保护个人信息的前提下,为商业和技术上的创新留出空间。
要逐步明确“个人信息”的边界,为保护预留弹性空间。互联网信息技术发展一日千里,与法律自身的稳定性存在巨大的冲突。因此立法技术上,预留弹性空间是个人信息保护法有效运作的关键。
在具体制度上,应当考虑逐步引入被遗忘权;鼓励产业界逐渐赋予用户数据的可携权;区分敏感信息和费敏感信息,建立信息的分类保护制度;进一步完善数据泄露的通知制度,把用户纳入通知范围;明确通过技术标准和安全保障措施,贯彻信息设计的保护机制;按照开放、有序、安全的原则,确立数据跨境移动的规则,加强国际之间的认证和协作,以开放的态度解决数据利用和安全问题。
花了那么长时间,跟大家描绘了包括大数据在内的信息技术产业革命“未知大于已知”的应用前景,也分析了它在个人信息保护上的负外部性。从法律角度提供克服这种负外部性的制度资源,是对移动互联网时代法律体系的挑战。世界各国都开始了各自的探索,面对共性问题选择的处理方式有同有异。立法价值取向和具体制度的差异,影响着各国在这场信息技术产业革命中的前途命运。我国的个人信息保护立法应当首先顺应产业革命的潮流,坚持开放、创新、利用、有序、安全的原则,在具体制度设计上精妙地平衡个人信息利用和保护的关系,在扑面而来的产业革命中恰当地保护个人隐私和合法权益。