【摘要】“互联网+”时代的网络安全法律体系建设,在强调互联网秩序和安全基础上,应当尤其重视网络用户对个人信息的自主性和可控性,重视个人信息权利的保障。无论公权力机关对公民身份信息的获取,抑或一般用途的网络用户信息获取,都应当符合合法、正当、必要的原则,从而避免过度采集对公民个人信息权利的侵害。
【关键词】大数据 个人信息 网络安全 【中图分类号】D923 【文献标识码】A
2017年《网络安全法》的颁布,结束了我国网络安全法律体系基本法空白的局面。在这一背景下,加强个人的网络信息安全防御,应对网络安全和信息化发展的双重挑战,是国家网络强国建设和全球互联网治理体系建设的必然要求。
大数据时代的个人信息风险
首先,个人信息控制者的信息收集、使用存在风险。一方面,数据运营商的用户信息采集未以明显可识别的方式向用户告知。2018年初,多平台以年度总结形式发布的数据分析,就涉及用户账单支付信息、音乐偏好信息的采集是否被充分告知的问题。另一方面,社交平台未提供账号及账号下数据信息的删除途径,也未提供必要且最少的信息保存时限。这些网络数据一经网络平台发布,便难以获得寻求救济的机会。
其次,个人信息以转卖等方式泄露。通过梳理最高检发布的相关典型司法案例,公民个人信息的侵害主体涉及特殊主体和一般主体。个人信息泄露的主要方式包括:国家机关工作人员借助职务便利从公务系统获取并转卖个人信息;网络经营者或服务行业经营者向他人泄露合法收集的用户个人信息;以及一般主体通过植入恶意程序等黑客手段、或利用网络平台的技术漏洞非法获取个人信息。近年来,对公民身份信息的非法交易屡禁不止,被交易的信息内容主要包括用户登记和日常生活所涉身份、账户和活动信息,交易信息来源也涉及通讯社交、电子商务、快递服务等行业,呈现出明显的广泛性。
最后,以非法获取个人信息为手段实施关联犯罪。随着信息技术的高度发展,信息化程度不断提高,对个人信息的窃取方式更加难以防范。网络信息相关犯罪,涉及侵犯公民个人信息罪和其他关联犯罪。数据信息的泄露,不仅可能侵害公民个人信息权、隐私权、被遗忘权等人格权和公民财产权,更直接或间接地对国家安全和社会公共安全产生侵害。尤其是涉及关键行业的数据信息时,法益侵害程度将更为严重,侵害范围也更为广泛。
大数据时代个人信息保护的新要求
第一,对网络空间治理能力现代化提出挑战。随着全球互联网治理体系的变革,信息安全和个人信息权保护也蕴含了新的时代内涵。近年来,各国陆续发布了统一数据保护法律规范和各领域相关法律。数据信息的跨地域特征决定了网络安全治理的国际合作战略,网络空间治理,必然面临被遗忘权与公众知情权等各项权利之间的冲突。现阶段公民数字信息的被遗忘权保护存在缺失,未成年人的个人信息权益也未受到充分保护。其个人信息的不适当暴露不仅可能造成难以恢复的人格权损害,涉及先前不良信息的部分更将对其正常回归社会造成阻碍。
第二,对明确收集使用个人信息的程序和限度提出考验。如何通过必要性和合比例性实现信息收集和适用的禁止过度原则,是网络信息安全治理的重要问题。2012年通过了《关于加强网络信息保护的决定》。该决定一方面加强了网络空间治理,规定用户应当提交真实身份信息的情形;另一方面从收集使用的目的、方式和所涉个人信息的范围角度,明确了这一信息收集、使用的原则。但是,当前规制个人信息收集、使用的法律法规仍亟待完善,个人信息保护与信息数据的商业使用之间尚未实现合理的平衡。
第三,对完善个人信息权利受到侵犯的法律责任提出要求。当前侵犯公民个人信息权利的侵权成本不高,导致数据运营者缺乏网络信息监管审查的内在动力。充分健全和落实网络信息安全相关的法律责任,能够从监管层面对网络运营者形成倒逼机制,加强其网络信息监管能力,提高其数据信息保护意识,督促其提供必要保护措施和技术措施,履行数据信息管理和保护的义务。
完善个人信息保护体制机制,增强公民个人数据保护意识
第一,健全个人信息保护法律体系。完善并落实网络安全中的个人信息安全法律规范,是实现网络空间有序治理的必由之路。首先,我国应当完善与《网络安全法》等相配套的具体规范。我国网络空间治理是一个循序渐进的发展过程。2014年修订的《消费者权益保护法》已经确认了消费者个人信息保护权,并对经营者设定了具体的法定义务。2017年实施的《网络安全法》加大了个人信息保护的力度,并从立法上为个人信息作出了具体的阐释。随后,相继颁行的《民法总则》和《信息安全技术个人信息安全规范》,强化了对个人信息的法律保护。其次,应当在现行法律体系的基础上,加快推进《个人信息保护法》等个人信息保护专项立法。应当充分关注未成年人的合法权利,为弱势群体的个人数据提供更为全面严格的法律保护。同时,可以探索设立被遗忘权和数据可携权。
第二,优化相关部门的监督管理职责。首先,应当在公正与效率并重的目标模式下高效有序推进网络空间治理。基于侵害个人信息安全的行为特征,充分运用部门联动机制;鉴于网络介质的特性和技术性要求,建议对重点治理环节的执法监管和证据收集加大经费投入,避免技术设备欠缺对其形成掣肘。其次,与隐私权相较,数据信息的专项权利保护路径更加注重事前预防。对信息收集的事前告知义务加强审查,方能充分保障信息主体的知情同意权,并为是否随意扩大信息收集范围的判断提供依据。当信息主体对信息收集范围和方式存在质疑时,应当根据数据信息收集使用的目的和程度,依照比例原则对个案的正当性和必要性进行客观考量,并说明理由。
第三,加强网络运营方的网络信息管理。首先,网络运营者应当履行对用户个人信息的保护义务。尤其对于直接显示个人身份的网络信息和可间接识别个人身份的网络信息,应当履行法定的数据信息保护义务。其次,畅通个人信息安全的用户反馈渠道,建立网络安全应急报告制度。当用户的个人信息安全遭受侵害时,应当提供公开的举报投诉途径;当网络信息安全遭受第三方侵害的程度严重、影响范围广,应当及时向相关部门报告。被侵害人得以通过便捷途径通知网络运营商,也是“避风港”原则发挥实质作用的前提。网络运营者应当从法治规范和信息技术的双重路径,对信息安全实行有效监管,加强行为规范和矫治。
第四,发挥行业组织的行业自治机制。“互联网+”时代的数据信息保护具有自身的复杂性。针对互联网所涉个人信息的特殊问题,行业组织应当充分发挥对网络信息安全建设的积极作用。包括中国互联网协会发布的《中国互联网行业自律公约》在内,行业协会和其他社会主体相继出台了相关行业规范,有力地推动了我国的网络空间治理。行业的监管和引导,有利于创造合法有序的信息化发展环境,规范数据信息的收集和使用,对于互联网行业的发展意义重大。
第五,增强公民个人数据权利的保护意识。随着身份信息识别技术的提升和网络信息安全侵害手段的多样化,公民个人对于钓鱼诈骗类网站和信息缺乏充分的分辨意识,个人的信息风险防范能力明显欠缺。面对要求收集使用身份信息和其他可识别信息的情形,个人信息的权利主体应当提高甄别防范能力。当个人信息权、隐私权和被遗忘权受到侵害时,及时向侵害方提出要求行使删除、更正等相关法律权利。
(作者为吉林大学司法文明协同创新中心博士研究生)
【参考文献】
①王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》,2013年第4期。
②张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》,2015年第3期。
责编/孙垚 美编/杨玲玲 史航(见习)
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。