浅谈大数据时代下个人信息的法律保护

2018-05-16 09:18作者:王平浏览数:305

2015年8月31日,国务院以【国发(2015)50号文】印发《促进大数据发展行动纲要》,运用大数据将成为推动经济转型发展的新动能;完善治理、提升服务、优化监管的新途径。时至今日,大数据战略性资源作用,以及大数据资产价值已被很多商业主体重视和挖掘。


在大数据视野下,任何信息都可能被认为是与特定个人相关的信息,个人信息与非个人信息边界正在变得模糊,何为个人信息?


《网络安全法》第76条对“个人信息”用语含义解释为:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”


《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》对刑法第253条之一所规定的个人信息则解释为:“公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”


近年来,因个人信息数据权属争议、不当获取与利用、侵犯主体权利等案件时有发生。在大数据语境下个人信息保护问题包括但不限于非法获取、过度搜集、不当分析利用、擅自公开或非法交易、技术漏洞导致数据泄露等。


如何对个人信息进行法律保护,实践中已有三个维度例证:

第一,个人信息法律保护之民事维度:

2014年10月11日,庞某委托其鲁姓朋友通过某网订购某航的机票,订票过程中该鲁姓朋友仅提供自己的手机号码,从没有提供过庞某的手机号码。订票成功后的相关信息均以手机短信方式发送至鲁姓朋友的手机号。不久后,庞某的手机上收到一条疑似诈骗短信,称预订的某航航班因机械故障已取消,可改签并提供具体的改签费用及相关操作链接。订票人鲁姓朋友并未收到该条“航班取消通知”短信。庞某则以自己手机号码及行程信息被某网和某航泄露为由将两主体单位诉至法院。2017年3月27日,庞某与北京某信息技术有限公司、中国某航空股份有限公司之隐私权纠纷案,北京市第一中级人民法院依法作出判决,以隐私权被侵犯为由部分支持庞某诉请,判令北京某信息技术有限公司、中国某航空股份有限公司承担相应侵权责任。


《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”以《民法总则》为纲,借助《侵权责任法》通道可为个人信息提供一定范围的民事权益保护。


第二,个人信息法律保护之行政维度:

2017年9月11日,西班牙数据保护监管部门AEPD判定社交媒体Facebook软件因收集西班牙用户的个人信息且并未告知用户会将上述信息用于何种用途;在收集、使用上述信息前,也未获得用户的知情同意;且在使用上述信息后,并没有及时删除上述信息,又将之用于发放广告;因此,决定对Facebook罚款120万欧元。


2018年1月11日,针对中国媒体报道相关手机APP应用软件存在的侵犯用户个人隐私问题,国家工业和信息化部信息通信管理局约谈北京百度网讯科技有限公司、蚂蚁金服集团公司(支付宝)、北京字节跳动科技有限公司(今日头条)。信息通信管理局指出,对照《网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等有关规定,三家企业均存在用户个人信息收集使用规则、使用目的告知不充分的情况,要求三家企业本着充分保障用户知情权和选择权的原则立即整改。


根据《网络安全法》相关规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。”上述规定,也为行政执法提供基础性法律依据。


第三,个人信息法律保护之刑事维度:

2009年2月28日《刑法修正案(七)》正式施行。在《刑法》第253条后增加一条侵犯公民个人信息罪,作为第253条之一。2015年11月1日《刑法修正案(九)》正式施行,将侵犯公民个人信息罪条款修改完善为“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”


最高人民法院、最高人民检察院于2017年5月8日联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,细化此类型案件司法裁判标准。


2017年5月9日,最高人民法院发布侵犯公民个人信息犯罪7个典型案例。2017年5月16日,最高人民检察院也发布近年来全国检察机关办理的侵犯公民个人信息犯罪6个典型案例。


综上所述,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了前述危及个人信息安全的各种问题。基于来源规模性、流动快速性、分析多样性以及多源数据再利用等大数据自身特点,使得其在搜集存储、分析利用及合规监管等多方面挑战传统法律规则,相关立法及司法实践也在试图为大数据产业链各环节提供规范性指引。例如,2017年12月29日,国家质量监督检验检疫总局、国家标准化管理委员会联合发布的《信息安全技术个人信息安全防范》(GB/T 35273-2017),上述国家标准已于2018年5月1日生效。虽然该标准为推荐性国家标准,但对个人信息开展收集、保存、使用、共享、转让、公开披露等活动提供应遵循的原则和安全要求,既适用于规范各类组织个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。此外,国家层面关于个人信息保护的专门立法尚处在学界研讨及专家建议稿阶段,正式通过尚需时日。


如何在信息保护、数据安全、合理利用和大数据产业经济发展之间寻求最佳平衡点未来将成为各方关注焦点。本文抛砖引玉,供大家深入研讨,既要做好制度的顶层设计,抓住监管要点、守护法律底线,也要统筹规划、鼓励并支持大数据产业健康有序发展,让每个人安全享受技术变革带来的红利。