【摘要】大数据时代,保护数据信息安全成为社会关注焦点。鉴于大数据在我国起步较晚,相应的法律制度并不完善,造成数据信息收集和处理对个人隐私构成侵犯,危害社会公众自身权益。基于此,有必要围绕大数据时代数据信息收集法律规制开展研究,从主体资格、对象范畴、方式方法、法律基础、法律条款、救济途径、监管责任等维度,为数据信息收集创设法律依据。
【关键词】大数据 数据信息 信息安全 【中图分类号】D82 【文献标识码】A
进入21世纪,数据信息主宰生活,全世界进入大数据时代。据相关数据显示,全世界每天发送数据信息超过40亿,全世界数据信息存储超过1.8万亿吉比特,并以每年40%的速度增长,对社会生活中各个领域产生巨大影响。①如此庞大的数据信息必须受到法律规制,以确保社会公众的生命、财产以及隐私安全。因此,应该围绕大数据时代数据信息收集法律规制开展研究,以期为数据信息收集创设法律依据。
明确数据信息收集主体资格,限定数据信息收集对象范畴
大数据时代数据信息收集的主体过多,诸如网络运营商、网络产品或服务提供者、信息基础设施运营者、电信服务者、应用软件提供商,甚至个人都有可能获取到用户的数据信息。现阶段法律对数据信息收集的主体并未采取限制,任何主体利用技术都能够实现对用户信息的收集,这种现状显然无法保障用户数据信息的安全。大数据时代下数据信息收集的法律规制应从明确收集主体资格做起,缩小数据信息收集主体的范畴,并强调数据信息收集主体的信息保护和管理责任。例如,现代社会高清摄像头的安装十分普遍,无论是商场,还是办公区域都会安装摄像头,甚至个人也会选择在室内进行安装,导致摄像头生产企业、安装企业都能够获取到用户的图像和视频信息,但相关主体并未尽到数据信息保护义务,造成智能家用摄像头屡遭暴力破解,导致成千上万个家庭隐私泄露。面对此种情况,大数据时代下数据信息收集要明确主体资格,将数据信息收集主体范畴缩小,更要对数据信息收集企业资质进行审核,确保企业拥有储存、保护、管理用户数据信息的能力。企业收集数据信息要经过申请、审核、定期检查以及监督管理等一系列流程,确保企业在获取数据信息阶段始终具有对信息保护和管理的能力,从而避免对用户数据信息的泄露,确保用户数据信息绝对安全。
此外,随着大数据技术不断发展,主体收集数据信息变得更加容易,导致具有资质的主体越来越多的收集数据信息,并对这些数据信息加以利用。基于目前我国相关法律,我国并未对数据信息收集的对象范畴进行限制,这意味着主体可以收集用户各类数据信息,可能会对用户的个人隐私构成侵犯,应对主体收集数据信息的对象范畴进行限定。一方面,数据信息收集对象范畴应符合法律规定。主体对客户数据信息收集必须在法律限定之内,一旦超过法律范畴就会侵犯用户的隐私安全。试举一例,APP服务商在用户未同意的前提下读取客户数据信息,比如姓名、身份证号码、通讯记录、地理位置等,未经用户允许私自读取用户数据信息已经构成违法,其行为必须予以制止,但遗憾的是,目前90%的APP服务商会读取用户数据信息,构成对用户隐私权的侵犯。另一方面,数据信息收集应具有合理性。在日常生活中,部分企业开展服务必须借助用户个人信息,比如互联网服务商必须要获取到用户真实姓名、联系方式、地址才能为客户办理业务,互联网服务商获取用户这些数据信息符合法律要求,并得到用户同意,具有相应的合理性,但如果互联网服务商超过合理范畴获取用户的其他数据信息,就形成不合理的数据信息收集,比如收集用户银行卡信息、网络浏览信息等。合法合理是主体收集用户数据信息必要性的两个条件,大数据时代下数据信息收集法律规制需注重合法合理性,对主体收集用户数据信息的对象范畴予以限定。
规范数据信息收集方式方法
数据信息收集的方式方法是法律规制的重点,也是判定数据信息收集是否符合法律规制的关键。
首先,数据收集正当合法。基于《民法》相关规定,个人信息受法律保护,任何组织和个人获取信息必须依法取得,并确保信息安全,不得非法收集数据信息。这意味着主体收集数据信息必须采取合法途径,利用非法入侵、木马、密码破解等方式盗取数据信息属非法行为。
其次,数据收集需用户明示。用户对于自身的数据信息具有控制权,主体针对用户数据信息收集必须经过用户同意,在未经用户同意的前提下不得对相关数据信息进行收集。值得注意的是,用户同意主体收集数据信息必须采取明示方式,需要用户以书面或口头的方式同意。
再次,确定使用用途。主体收集用户数据信息必须按照规定的用途使用,比如网络服务商收集用户数据信息,必须仅限于开通网络服务、维修网络等相关业务范畴内,如超出业务使用范畴,即便合法收集数据信息也将受到法律规制,以此避免数据信息收集主体滥用用户数据信息。
最后,确保安全保密。主体收集用户数据信息后,必须对相关数据信息的安全负责,严禁泄露、丢失、贩售相关数据信息,未经用户同意不得篡改相关数据信息。但是,据《中国网民权益保护调查报告》显示,全国超过55%的网民信息遭受泄露,并有20%的网民因信息泄露导致生活不便。数据信息安全是法律规制的重点内容,尤其是涉及商业机密、个人隐私的数据信息更应重点关注,应对违法泄露用户信息的行为进行严厉打击。
夯实数据信息收集法律基础
随着大数据不断发展,我国陆续出台和完善相关法律法规,以此形成对大数据环境下个人数据信息的有效保护。诸如《中华人民共和国网络安全法》《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》等相关法律法规的出台,有效地保护了个人数据信息安全,协调大数据信息技术和数据信息安全之间的平衡,确保社会公众既享受到源自大数据的快速便捷,又能守住个人信息安全的底线。但是,在相关法律的实施过程中仍存在多种问题,比如立法层级较低、缺乏顶层设计、保护体系不完善等,随着大数据的迅速发展,这些立法尚不能全面保护个人数据信息安全。
着眼于现实需要,我国大数据相关立法必须要夯实法律基础,综合全面地对个人数据信息进行法律保护,在全国统一法律尚未出台之时,各个区域政府应探索性地制定地方性法规,以弥补立法不足现象,对大数据环境下的个人数据信息进行先行保护。②基于实践,江苏、浙江、广东等省市均出台地方性法规,用于保障个人数据信息安全,但相关地方性法规明显具有倾向性,仍从经济利益视角进行考量,对用户个人安全角度的考量并不充足。基于地方性法规存在的问题,在国家立法中应予以注意,要将视角移至用户群体利益之上,明确个体数据信息属性,理清用户、收集者、使用者的法律关系,解决如何控制个人信息流向等关键性问题。此外,国家立法还应探索科学的数据信息标准体系,并建立相应的数据使用约束机制,做好个人数据信息识别和风险控制工作,确保个人数据信息被科学、合理、合法、真实的使用,坚持做好个人信息保护工作。
增设数据信息收集法律条款
我国对于个人数据信息的保护条款众多,但分散于各个法律规制之内,其中并未包括数据信息收集完毕后消除的义务。欧盟等发达国家在个人数据信息保护方面的立法较为完善,并确定了“被遗忘权”,规定主体获取数据信息并使用完毕后应及时予以删除,避免给用户生活造成不必要的麻烦。我国应效仿欧盟国家,在个人数据信息保护中增设“被遗忘权”的相关法律条款,更好地对个人数据信息实施保护。以谷歌为例,谷歌在欧洲等国开展网络搜索业务,已经将“被遗忘权”纳入到条款之中,随时对涉及用户个人数据信息的内容进行删除,仅2014年,谷歌收集个人数据信息25万人/次,涉及100万URL请求,经过谷歌系统评审后删除40%,对个人数据信息安全起到了良好的保护作用,相比之下我国搜索引擎企业在个人信息保护方面该更加关注。③
在未来发展过程中,我国相关法律条款中也应增设“被遗忘权”内容,规定主体收集数据信息,在使用完毕后应予以删除,否则应基于法律规定按照非法收集用户个人数据信息处理,但涉及公众人物信息、言论自由信息以及影响社会公众安全等相关法定允许信息除外。同时,社会公众也有权向数据信息获取主体进行申请,要求主体对个人数据信息进行删除,并允许当事人予以监督和检验,一旦发现主体未尽删除义务,有权向相关数据信息收集主体进行索赔。当“被遗忘权”相关内容被纳入到法律规制中,我国的个人数据信息将受到更好的保护,用户也能在原有法律救济途径下增加新的路径,形成个人数据信息个人做主的发展趋势,更好地制约数据信息收集主体的收集和使用行为,对个人信息起到良好的保护作用。
赋予数据信息收集用户救济途径
大数据时代,数据信息收集已成为趋势,越来越多的用户信息安全遭受威胁,数据信息法律规制中应赋予用户多元救济途径,允许用户对个人信息被非法获取和使用现象进行救济,以此保证用户个人信息安全。用户在公权力部门或企业开展相关业务时,认为公权力部门或企业存在对个人信息的非法收集与使用,应向司法机关提出诉讼申请,要求相关数据信息主体删除个人数据信息,停止非法收集和使用数据信息行为,并给予相应赔偿。基于目前法律规范来看,我国《身份证法》《侵权责任法》均对个人信息保护问题进行了相应的规定,明确数据信息收集主体的权利和义务。《刑法》中更是强调国家机关或公共事业部门违反国家规定,在履行服务的过程中获取数据信息,以出售或其他方式提供给他人,应处三年以下有期徒刑。④
当然,用户面对个人信息的泄露,不应仅利用诉讼途径予以解决,而应赋予用户更多的救济途径,比如向数据信息监管部门申诉,利用非诉讼形式完成救济,减少用户的时间和经济成本,政府应成立数据信息监管部门,由该部门承担用户投诉和申诉,确保用户救济途径能够进一步扩大。
完善数据信息收集监管责任
大数据时代对数据信息收集越来越频繁,收集数据信息产生的弊端和问题逐渐增多。面对数据信息收集主体的强势地位,个人难以维护自身的数据信息安全,必须由公权力对个人权益予以保障。因此,政府及相关部门应对数据信息收集主体进行监管,确保主体能够按照法律允许的方式收集和使用个人数据信息,并且对数据信息收集主体资格、数据信息收集对象范畴、数据信息收集方式予以监管,防止出现损害用户个人隐私的现象。⑤
在完善法律规制的过程中要明确政府及相关部门的监管责任,对违法收集数据信息的主体进行惩罚。在数据信息收集主体中,多数主体具有公权力的背景,这些主体在收集数据信息时要起到模范作用,一旦存在违法收集数据信息的现象,应对管理者进行处罚。其余主体主要为企事业单位,部分企业为获取更大的商业利益采取非法收集数据信息,政府及相关部门必须严厉打击,具体的处罚标准可参照国际经验,针对一般性非法收集数据信息行为采取企业年收入2%的处罚标准,对于重大性非法收集数据信息行为采取企业年收入4%的处罚标准。一旦政府或监管部门失职,未能发现主体存在非法收集数据信息的行为,应针对监管主体负责人予以处罚,在健全的监管和处罚机制下,个人数据信息将得到更好的保护。
(作者单位:对外经济贸易大学法学院)
【注释】
①龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》,2017年第7期。
②吕耀怀、罗雅婷:《大数据时代个人信息收集与处理的隐私问题及其伦理维度》,《哲学动态》,2017年第2期。
③吴晓灵:《个人数据保护的制度安排》,《中国金融》,2017年第11期。
④武长海、常铮:《论我国数据权法律制度的构建与完善》,《河北法学》,2018年第1期。
⑤侯水平:《大数据时代数据信息收集的法律规制》,《党政研究》,2018年第1期。
责编/孙娜 美编/杨玲玲
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。