网站地图985论文网
主要服务:硕士论文、论文发表、论文修改服务 
法律论文:数据搜集中的个人数据保护法律问题研究
来源:985论文网 添加时间:2020-06-04 16:26
数据搜集中的个人数据保护法律问题研究
摘要
本文将通过个人数据搜集中所产生的法律问题进行研究,同时介绍了我国个人数据保护的现状。并根据欧美等国家个人数据保护的方法,提出了相应的意见,明确了个人数据与个人信息的关系。目前,我国已经针对相关个人数据信息的采集制定了的一些法的律法规的和规范的性文件的,但还缺的乏系统的性和更的强的针的对性。要着眼的于我国的大数据的战略进的展的现的实需要,进一步的加强相的关立法的任务。在大数的据的法的律规制中,应更加注重对公民个人数据权利的保护。在当前的法律环境下,公民唯一能期待的就是通过政府监管保护自己的数据信息安全。针对大数据时代我国政府应如何保护公民个人数据信息安全,提出了有效的建议。
关键词:个人数据个人信息数据搜集法律规制
引言
随着信息时代的发展,我国有关数据收集的法律法规中出现了许多相关的主题。为了更好地规范数据信息的收集,应当对数据收集的主体进行法律规制,并根据数据收集的性质和范围规定适当的条件。有些涉及敏感数据的收集,需要相关部门的授权。数据采集人员还应具备相应的专业资格,进一步明确其权利义务和相应的法律责任。对信息数据搜集者来说,不应是想搜集什么就搜集什么,需要法律对数据信息搜集的范围和边界、搜集数据信息的方式进行规制。刚才说到搜集数据信息不能想搜集什么就搜集什么,在这里法律也应该做出相应的规制规定,数据采集还必须遵循以下原则:第一,无论是合法的还是不合法的。信息采集行为应当合法,符合政策,尊重社会公德,遵守商业道德,诚实信用。《民法通则》第一百一十一条规定:“自然人的个人信息受法律保护。任何组的织或者的个人需要获得的他人的的个人信的息的,应当依的法获得的并保证的信息安的全,不得非法收集、使用、加工、传输他的人的个的人信息的,不得非法买卖的、提供、泄露他人的的个人信的息。”其他法的律、法规也的有相应的的规定的。不可以的非法侵入的他人的的网络或的窃取网的络数据的或以其的他非法方式的窃取或的获取个的人信息的。
第二,是否有的明示同的意。公民个的人数据的信息关的系到生的命健康的,财产安的全,名誉等的,与传统的财产一的样,公民应当对自己的数据信息拥有一定的支配权。数据信息采集者收集,使用公民个人数据信息,应当公开其目的,方式和范围,并经采集者同意。特别是为商业目的收集数据和资料。未经用户同意,不得收集用户个人数据的信息。不得以的欺骗,误导,胁迫或的者违反的法律,行政法的规和双的方约定的的方式的收集数据信的息。除法律的另有规的定外,用户和的他人有的权查询的,更正个的人数据的信息,拒绝提的供个人的数据信的息。欧盟也的将“被遗忘的权”写入法的律,规定“只要没有合法理由保留数据”,就必须删除数据。明示同意是原则。作为例ͺ外情况ͺ,数据信ͺ息主体ͺ无明确ͺ异议可ͺ视为同ͺ意。在什么ͺ情况下ͺ允许数ͺ据信息ͺ主体默示同意ͺ,法律有ͺ明确规ͺ定。数据信ͺ息的主ͺ体与数ͺ据信息ͺ的控制ͺ者之间ͺ的地位ͺ通常是ͺ不平衡ͺ的,如企业ͺ与员工ͺ,医院与ͺ患者,学校与ͺ学生等ͺ,在很多ͺ情况下ͺ,同意权ͺ的保护ͺ实际上ͺ是比较ͺ困难的。
第三,使用的ͺ确定性ͺ。数据信ͺ息采集者必须按照规ͺ定或者ͺ约定的ͺ目的使ͺ用获取ͺ的数据ͺ信息,不得挪ͺ作他用。在收集数据信息时,要明确是为了政治,商业,民用,科研和教学,目的要具体。电信业务经营者,互联网信息服务提供者不得将收集的用户个人数据信息用于提供服务以外的目的。不允许学校,医院等将在工作中获取的公民个人数据和信息用于商业目的或其他目的。
第四,是否实现保密。数据收集者必须对用户收集的个人信息负责保密,严格保密,防止信息泄露、损坏或者丢失。不得篡改收集的个人信息,未经数据主体同意,不得向他人提供个人信息。依法负责网络安全监督管理的部门及其工作人员必须严格保密在履行职责过程中知悉的个人信息、隐私和商业秘密,不得泄露、出售或者非法提供给他人。数据接触和其行为应当予以记录、记录。企业的数据信息被泄露,收集者、控制器有义务及时通知数据信息主体。根据中国互联网络协会发布的一项关于保护互联网用户权益的调查,54%的网民认为个人信息泄漏严重,21%的网民认为信息泄漏非常严重,84%的网民感到个人信息泄露的负面影响。对此现象,必须引起高度重视。
第五,是分工共享。数据和信息收集需要成本。为了节约成本,提高效率,政府数据信息采集部门需要分工。数据信息企业可以通过协商一致,或者在政府部门和行业协会的协调下,或者依照法律、行业规则,建立数据信息收集分工关系和数据信息共享机制。避免重复和长期征收,增加社会成本和公共负担。
随着大数据时代的到来宣告着各行各业的发展必须有所改进和突破,大数据在很多方向发展发挥了巨大的作用,大数据通过各行各业的资源整合集中在一起,通过对资源的整合和分析来决定最后决策的实施,而且我们也已经看到大数据在应用中确实取得了成果,特别是在经济和社会服务等方面显现出了巨大的优越性,但同时我们也应该注意到在大数据迅速发展的同时,也涉及到了许多的法律问题,需要引起足够的重视。
区别于传统意义上对个人数据信息的定位更侧重于人格自由而言,个人数据信息在经济产业发展中所具备的经济价值也是当下信息时代立法者应当更加注重的问题。今天的个人数据信息在社会中显现的价值越来越往多元化发展,立法者应当全面考虑和衡量个人信息的多重价值属性,其目的也都是为了保障个人数据信息保护与合理利用方面的利益平衡为目标。个人数据信息的保护不单是看数据信息本身,而是更注重信息背后所蕴含的深层次的意义和价值,人格独立、精神自由、财产保护等都是其价值的具体表现形式。个人信息权具有国家宪法依据的根本权力,我们国家有义务对该权利加以确认。
第一章大数据时代与个人数据
1.1大数据时代
自2012年以来,“大数据”一词被越来越多的人提及。人们用它来描述和定义信息爆炸时代产生的海量数据,并命名相关的技术发展和创新。数据的快速扩张和增长,决定了公司未来的发展。虽然企业可能没有意识到数据爆炸性增长带来的潜在问题,但随着时间的推移,人们会越来越意识到数据对企业的重要性。在大数据时代,人类控制数据的能力面临着新的挑战,为人们ͺ提供了ͺ前所未ͺ有的空ͺ间和潜ͺ力,让人们ͺ获得更ͺ深入、更全面的见解ͺ。大数据ͺ已经成ͺ为时代ͺ发展的ͺ必然产ͺ物,大数据ͺ不断加ͺ速渗透ͺ到我们ͺ的日常ͺ生活中ͺ。在大数ͺ据时代ͺ,一切都ͺ可以被ͺ量化和ͺ分析。随着大ͺ数据应ͺ用的发ͺ展,大数据的价值得以充分体现。大数据已经成为企业和社会层面的重要战略资源。数据已成为每个人新的战略制高点和新的把握。大数据作为一种工具,使区块链、人工智能等技术概念得以快速发展,使企业与用户之间的沟通降低成本、提高效率、更加精准。因此,大数据ͺ已经成ͺ为企业ͺ的一个ͺ重要的ͺ发展优ͺ势,但另一ͺ方面,我们必ͺ须承认,仍存在ͺ一些问ͺ题在建设ͺ的个人ͺ目前个ͺ人数据ͺ保护的ͺ法律体ͺ系,如行政ͺ领域的立ͺ法相对ͺ落后,缺乏行ͺ政执法ͺ缺乏监ͺ督和限ͺ制行为ͺ,缺乏行ͺ政救济ͺ的个人ͺ数据,以及过ͺ度依赖ͺ私人自ͺ律。法律带ͺ来的是ͺ稳定的ͺ期望和ͺ权利与ͺ义务之ͺ间的平衡。大数据等革命性的新事物会在一定程度上改变甚至打破现有的社会秩序和平衡,从而给法律制度带来变革。
1.1.1大数据的概念
大数据是指常规软件工具无法在特定时间范围内抓取,管理和处理的数据收集。购物网站消费记录等信息资源是庞大的,快速增长的,多样化的信息资源。需要新的处理模型具有更强的决策能力,洞察能力,发现能力和过程优化能力。这些数据只有经过处理和整合后才有意义。
大数据技术的战略意义不在于掌握大量的数据信息,而在于将这些有意义的数据专业化。也就是说,如果将大数据与某个行业相比较,行业盈利的关键是提高数据的“处理能力”,通过“处理”实现数据的“增值”。
大数据需要特殊的技术来有效地处理随着时间推移可以容忍的大量数据。适用于大数据的技术包括大规模并行处理数据库,数据挖掘,分布式文件系统,分布式数据库,云计算平台,互联网和可扩展存储系统等。
随着信息技术的的发展的,特别是的云计算的,物联网的和社交的网络的的发展,除了传的统结构的化数据的的增长的外,大量的的半结构的化数据的和非结构化的数据,特别是的各种文的本,音频,图像和的视频信息正的以几何的速度增的长。于是,大数据的的概念的应运而的生。大数据是容量大,类型多,存取速度快,应用价值高的数据集。大容量是具有一定规模的数据。这些类型包括按照不同标准分类的数据,如结构化数据,半结构化数据和非结构化数据,以及文本,音频,视频等,访问速度快是因为数据的价值随着时间的推移迅速下降。因此,数据处理和分析必须在瞬间完成。应用价值高是指大数据保护的必要性,因为如果没有价值,就没有保护的必要。目前,业界对大数据的关注已经逐渐从基础设施层转移到分析应用层,实现大数据的价值。由于大数据的价值,很多数据交易中心都在争夺数据交易。
1.1.2大数据运营模式
首先,大数据的操作平台架构分层为数据源层,数据传输层,数据存储层,编程模型层和数据分析层。
为什么要从一开始就抛出大数据架构?很简单,大数据所有的商业变现模式都是基于这个大数据架构。不同的企事业单位应用场景不同,因此大数据架构也不的同。大数据的架构图的也是大的数据产的业链的的核心。
在整个的大数据的架构版的图上,每一块的都是机的会,每一块的都能产的生商业的价值。我会从的大数据的架构的的角度来的理解大的数据的的商业变的现模式的。
搭建大的数据平的台,建设政的务云平的台,就是基的础设施的的典型的应用。大数据的是作为的基础设的施建设的的,成本主要来自于“建设”和“维护”。施工方面可分为整体施工和局部施工。这部分的商业价值在于技术输出能力。由于输出技术量的不同,收取的费用也不同。做这件事的公司很多,比如百分点,阿里数加,亚信数据等。
1.2个人数据
随着信息时代的到来,让我们都成为“透明人”,你的大部分行为已经转化为数据记录,由各个部门或企业整理成个人大数据,用来判断你的下一步走向或作为金融机构的参考。所以我们需要了解自己的数据记录,保护自己的信用记录,不要破坏个人数据。
那么个人资料指的是什么呢?
1、个人风险综合查询违法犯罪记录:刑事、行政拘留信用逾期记录:互联网金融申请、银行贷款多笔贷款检测:银行、小额贷款、P2P、互联网金融(在线贷款)贩毒记录、互联网不良痕迹、法院起诉记录、执行记录。
2、供电商授权数据实名认证数据、风险等级、支付宝授权信息、收货地址、购物记录、认证时间、消费能力画像、购物偏好等。
3、运营商有权报告异常呼叫:香港、澳门、台湾、夜间异常呼叫、实名认证检测急诊科电话号码、使用时间、紧急联系电话频率、开户地址、高频联系人、旅行记录(漫游场所)、呼叫分配区。
4、身份证实名制信息查询实名校验、公安部系统等。
5、平台风险查询平台借贷记录、多头借贷自动提醒、借贷预警。
6、手机号码定位信息定位功能开通、位置记录。
7、个人资产报告房产:房地产地址,全额付款或抵押汽车生产:车牌号,车辆型号,购买价格,时间和教育程度查询。
8、车贷模的块驾驶执照:配置,违规,价值评的估,维护记的录,保险记的录(风险时间的,索赔金的额,保险情的况)车辆基的本信息的:车主姓的名,配置,出厂日的期,价格手的册查询的,验证信息的。
9、信用模的块个人的风险评级的系统,银联卡的查询记的录,信用黑名单检的测,信用收的集查询记的录。
10、各种应的用程序的和浏览的器的搜的索记录的分析。市场上的的大多的数应用的程序现的在都会的将所有的数据记录在注册用户的个人或设备上(不限于手机)。日常使用实际上是数据的产生和积累。
虽然有人说信息时代但就目前的情况而言个人数据仍然是一种宝贵的资源不能完全共享这涉及到个人隐私的问题只能由有关国家的政府机构来控制。
1.2.1个人数据概念
个人资料是指与已经确定身份或者可以确定身份的自然人(数据主体)有关的任何信息。能够确定身份的人,是指能够直接或者间接确定身份的人,特别是通过身份证号码或者与其身体、心理、生理、经济、文化或者社会身份有关的一个或者多个特殊因素来确定身份的人。个人数据处理是指对个人数据的任何操作或一系列操作,无论操作是否以自动化方式进行,如收集、记录、组织、存储、修改或改编、恢复、查询、使用、披露、整理或组合、通过传播进行标识和隔离等,分发或以其他方式向他人提供个人数据、删除或销毁个人数据。
1.2.2个人数据界定标准
对于“个人数据”一词,我国现有的法律条文并没有过多的使用和应用,由于个人数据特性的原因,反而更加适合用于计算机和金融行业领域,不过也会运用于欧盟等部分欧洲国家关于公民个人信息保护的规定当中,每个国家对于“信息”一词都有不同的界定标准。
1.2.3个人数据法律属性
随着全球大数据产业的快速发展,数据存储安全问题也时有发生。2018年初,Facebook泄密事ͺ件让大ͺ数据行ͺ业的“地下交ͺ易”浮出水ͺ面。2018年底,中国铁ͺ路12306网站被ͺ曝光用ͺ户信息ͺ被泄露和出售ͺ,事件涉ͺ及60多万个ͺ账户和ͺ410万条数ͺ据信息ͺ。虽然12306事件被ͺ官方澄ͺ清为不ͺ实信息ͺ,但在频发的泄ͺ密事件ͺ背后,却折射出风险和法律保护不完善的趋势。因此,规范个人数据的法律属性,完善监管迫在眉睫。
个人数据不明确的法律属性和数据交易监管的空白是造成上述问题的两个主要原因。目前,我国虽然有10个地方大数据交易中心和20多个大数据交易平台,但贵阳大数据交易所,即使是最具代表性、唯一获批命名的大数据交易所,直到2018年4月才实现盈利,年交易额也只有2亿多元,由于法律属性不清,监管空白,导致大多数企业对大数据交易的尊重和疏远。因此,大数据在法律上应认定为无形的,即承认其财产法律属性,从而更好地促进创新创业,保护产权。在此基础上,尽快出台新政策,完善行政监督。
具体针对提升个人数据安全保护措施。对于网站和移动应用,建议引入更深层次的加密技术,如密钥和区块链钱包。此外,建议尝试研究“BtoC”的私有区块链技术,即在网站/客户端和每个用户之间建立一个私有区块链,记录用户的每一次操作,这样即使账户被盗,甚至有经济损失,也可以将被盗前的节点退回,用户也可以更改密码后继续使用。
引入可选择的ͺ遗忘权ͺ。我国电ͺ子商务ͺ法没有ͺ规定网ͺ络平台ͺ有绝对ͺ义务保ͺ护用户ͺ信息和ͺ数据不ͺ被盗用ͺ和攻击ͺ,因此我ͺ们可以ͺ在网站ͺ/客户端ͺ和用户ͺ之间的ͺ合同中ͺ增加一个条款,即“如果用户保留了所有的浏览痕迹,网站/客户将承担网络攻击造成的60%的损失”。
接受公众监督。大数据管理部门会同各大行业联盟定期发布《大数据交易及安全使用信息披露报告》,定期或不定期向社会公布各大企业成员对大数据的使用情况和交易方向,提高行业透明度。它不仅能全面反映国内外云计算和大数据的发展、应用和交易情况,也为社会公众监督提供了便利。
强化大数据企业自我监督责任。从企业内部控制和内部审计入手,一方面在年度审计或ͺ阶段审ͺ计中增ͺ加对个ͺ人资料ͺ管理和ͺ使用的ͺ相关评ͺ价;另一方ͺ面,增强独ͺ立董事ͺ的管理ͺ职能和ͺ监督权ͺ限,对大数ͺ据使用ͺ和交易ͺ方向的ͺ审查也ͺ纳入工ͺ作范围ͺ,并赋予ͺ其随时ͺ查阅、复制的ͺ权利(无独立ͺ董事的ͺ,由监事ͺ履行相ͺ关职能ͺ),在此基础上,对公司治理进行制衡。在现有独立董事和监事制度的基础上,将与大数据业务相关的监督权移交给独立董事或监事,确保大数据的合法使用和交易。
建设规范安全的大数据交易平台。总结推广贵阳大数据交易所的业务经验,积极引进区块链、数据确权等高新技术,确保市场安全,尽快实现盈利。贵阳大ͺ数据交ͺ易所成ͺ立之初ͺ,就明确ͺ了绝不ͺ交易涉ͺ及国家ͺ秘密、商业秘ͺ密和个ͺ人隐私ͺ的数据ͺ的底线ͺ。涉及敏ͺ感度的ͺ基础数ͺ据必须在交易ͺ前隐藏ͺ和识别ͺ。此外,近年来ͺ不断引ͺ进区块ͺ链、数据确ͺ权、数据匹ͺ配等最ͺ新技术ͺ,实现盈ͺ利。因此,我们可以借鉴和吸收有益的经验,改进数据隐藏身份、分析等业务,提高工作效率,确保合法合规。
1.3大数据背景下的个人数据价值
在具体介绍了大数据及个人数据之后,现在来总结一下为什么各行各业现在都急需掌握庞大的数据信息,到底数据在现在会有多大的价值,但同时又会显现出哪些法律问题,我会在这里重点解答分析。
自古以来,数据一直伴随着我们,但在过去,由于我们的数据没有得到有效的记录和整理,造成了数据的浪费。在现代社会,由于上网时会记录用户的操作,所以以前不能保留的数据会存在,用户的数据会集中进行归纳处理,归纳后价值会突然出现。
例如,当我们需要在网上订购外卖时,商家可以很容易地获得我们的很多个人信息,比如送ͺ饭上门所ͺ需的家庭ͺ或单位ͺ的地址ͺ和电话ͺ号码;还可以ͺ根据用ͺ户以往ͺ的消费ͺ习惯调ͺ整菜品ͺ,比如是ͺ否辣;根据用ͺ户的移ͺ动支付ͺ渠道,它可以ͺ了解用ͺ户更多的信用信息以及你是否有其他贷款。从上面的例子可以看出,如果有必要的话,企业甚至可以继续追踪,直到用户完全被描绘出来。这是数据足以形成大数据的时候,也是大数据、大容量、多样性、相关性强、应用价值高的特点。特别是在即将到来的物联网时代,数据将呈指数级增长。我们使用的所有智能设备都可以通过数据记录我们的所有行为。数据的快速增长也将为我们提供一个更准确的图像。
数据的价值在于发现其背后的规律。总之,在收集和分析这些数据之后,我们会发现大数据比我们自己更了解我们。这不难理解。我们不记得自己一直在做什么,但我们ͺ可以通ͺ过智能ͺ设备准ͺ确地记ͺ录下来ͺ,我们也ͺ会对它ͺ进行组ͺ织和分ͺ析。不要低ͺ估数据ͺ的价值ͺ。当数据ͺ量仍然ͺ稀缺时ͺ,由于缺ͺ乏联动ͺ性,价值尚ͺ未显现ͺ。然而,当有足ͺ够的样ͺ本时,就会从ͺ中发现ͺ一定的ͺ规律,这是价ͺ值的体ͺ现。但当数ͺ据量不ͺ够时,可能会ͺ得出错ͺ误的结ͺ论。
例如,当我们ͺ在绝对ͺ公平和ͺ没有外ͺ力干扰ͺ的情况ͺ下掷硬ͺ币太少ͺ时,我们可ͺ能会因ͺ为运气ͺ而导致ͺ同一面反复出ͺ现。此时,我们可ͺ能会错ͺ误地认ͺ为,一方比ͺ另一方ͺ更可能ͺ出现。但通过增加投掷次数,我们会发现双方的概率接近一半。随着数据量的增加,这个数字将接近数据价值的一半,并探索其中的规律。
在大数据时代,通过收集足够多的数据进行分析,可以挖掘出潜在的规律。发现这些规律后,除了为用户画一幅画,还能为企业改善运营,降低运营成本,进行精细化运营做出更多贡献。比如,通过收集客户信息,可以知道客户喜欢运动,注重健康,尤其喜欢饭后慢跑,甚至知道具体的跑步时间和路线。对于电商来说,它可以给消费者推荐一些运动生活用品,对于餐饮行业来说,它可以推荐一些适合养生的菜品,或者结合用户的其他更多的数据,它可以精准的判断它的需求是什么,所以精准的运营会让企业在节省大量成本的前提下,创造更多的价值,这就可以称为大数据时代下的精准营销所带来的价值。
当然,这样做的一个后果是数据安全。个人数据或许可以帮助企业更好地了解用户,让用户享受到更好的服务,但当这些服务变成骚扰,推荐变成轰炸时,用户已经知道自己的数据被泄露了。
个人数ͺ据泄露是当今ͺ最常见ͺ的网络ͺ犯罪。数据泄ͺ露也会给ͺ个人带ͺ来严重ͺ问题,从信息ͺ骚扰,推送到ͺ信用卡ͺ盗用,个人信ͺ息滥用ͺ,甚至刑ͺ事犯罪ͺ。因此,对于用ͺ户来说ͺ,目前国ͺ内个人ͺ数据安ͺ全形势ͺ十分严ͺ峻。由于特ͺ殊国情ͺ,许多应ͺ用程序ͺ必须允许客ͺ户公开ͺ个人隐ͺ私数据ͺ后才能ͺ使用。数据显ͺ示,目前,手机应ͺ用跨境ͺ获取个人信息已成为网络诈骗的主要源头。高达96.6%的安卓应用会获取用户的手机隐私,而IOS应用的数据则高达69.3%。
通过这些跨境的个人隐私数据,全球出现了一个庞大的“黑色产业”,年产值甚至达到数千亿元。这些黑色产业从业者开始跨越法律边界,利用大数据精准推送,诱导用户消费。这些巨大的流动性也证明了个人数据的价值,希望用户能够明白自己的数据有多珍贵。
中国消费者愿意用自己的隐私数据来换取便利。但需要注意的是,目前消费者可能不得不为了方便而使用隐私,但随着人们越来越重视个人隐私数据,这类企业也将不得不做出改变。用户的数据被埋在地下金矿里。我们发现,我们可以使用它来获得更好的服务,但它不是强制性的。毕竟,数据的所有权在用户自己。大数据时代,我们自己的数据会更有价值。让用户了解自己数据的价值,让用户掌握自己的数据,让用户平等对待企业,这才是大数据时代的真正意义。
1.3.1个人数据的非法获取
个人数据非法获取指的就是以不正当手段通过计算机的方式搜集取得公民的数据信息,然后通过别的渠道来使获取到的数据信息变现,我这有个案例可以简单说明一下个人数据的非法获取。
案例:出卖信息致敲诈勒索非法获取数据信息被追责
李某于2014年2月花费500元购买了“云客宝”软件的账号和密码。之后,他利用“云客宝”软件从网上非法获取公民个人信息16万余条,并用于出售。日前,李某因涉嫌非法获取公民个人信息罪被昌平区人民检察院提起公诉。
2014年6月25日,一起敲诈勒索案牵出了背后的源头犯罪--非法获取公民个人信息罪。涉嫌敲ͺ诈勒索ͺ的马某冒充ͺ歹徒,通过电ͺ话询问ͺ对方是ͺ不是“某某”,并神秘ͺ地告诉ͺ对方,如果有ͺ人要报ͺ复,给他钱ͺ就可以ͺ了。马某是如ͺ何获得ͺ被害人ͺ个人信ͺ息的?据马某供述,2014年5月,他通过网络向李某购买了1毛钱,2毛钱等300元的公民个人信息,包括个人联系方式,户籍地址,工作单位,车辆信息等。根据这一线索,工作人员掌握了李某涉嫌非法获取公民个人信息罪。
经过调查,原来这不是李某第一次因为涉嫌非法获取公民个人信息罪被立案调查,2013年9月份,李某夫妇就因涉嫌此罪被安徽警方刑事拘留。2014年1月9日李某被采取取保候审,2月份回到北京的李某出于经济目的又重操旧业直至马某供述而案发,而此时,李某刚刚在安徽省某法院以非法获取公民个人信息罪被判处缓刑。
李某如何收集公民个人信息?2010年,李某夫妇接手了朋友创办的网站。除了在网站上ͺ发布工ͺ程招投ͺ标,中标,房地产ͺ开发等ͺ信息外ͺ,他们还ͺ在网站ͺ辅助栏ͺ中记录ͺ了一些ͺ工程师ͺ的个人ͺ信息,这些信ͺ息是使ͺ用付费ͺ软件“云客宝ͺ”从网上ͺ收集而来的ͺ。据悉,“云客宝ͺ”是一款ͺ客户信ͺ息搜索ͺ引擎,只能下ͺ载并用ͺ于支付ͺ。出于利益考虑,李某夫妇在自己的网站上设置了密码。他们只有在注册成为会员后才能看到这些个人信息。会员注册费为1980元/年。2013年9月,李某夫妇因非法获取公民个人信息被安徽警方刑事拘留。李某被取保候审后,通过网上支付购买了新的“云客宝”账户和密码,并在网上收集公民个人信息16万余条进行出售。日前,李某因涉嫌非法获取公民个人信息罪被昌平区人民检察院提起公诉。
随着国家法律制度的逐步完善,公民的个人数据信息和隐私越来越受到法律的保ͺ护。侵犯他ͺ人隐私ͺ,或者买ͺ卖他人ͺ个人信ͺ息的,可以依ͺ法追究ͺ,轻者提ͺ起民事ͺ赔偿,重者承ͺ担刑事ͺ责任。个人基ͺ本数据ͺ信息在ͺ一定范ͺ围内属ͺ于个人ͺ秘密,是公民ͺ应当享ͺ有的基ͺ本权利ͺ,不允许ͺ非法获取ͺ,不允许ͺ公民个ͺ人信息ͺ进行非法获利,或者私自利用公民个人信息进行交易。行为人明知不能擅自泄露、泄露或者用于其他目的,仍向他人出卖或者非法泄露、泄露或者提供的,离罪近一步。
非基于维护国家利益,社会公共利益的需要或者信息所有者的意志,任何组织和个人都无权公开,买卖,获取个人信息。非法获取他人隐私信息的,可能构成刑法中的非法获取ͺ公民个ͺ人信息ͺ罪。依照刑ͺ法第二ͺ百五十ͺ三条的ͺ规定,窃取或ͺ者以其ͺ他方法ͺ非法获取ͺ公民信ͺ息,情节严ͺ重的,处三年ͺ以下有ͺ期徒刑ͺ或者拘ͺ役,并处罚ͺ金;而且根ͺ据司法ͺ实践,只要行ͺ为人买ͺ卖几十ͺ条甚至ͺ十几条ͺ公民个ͺ人信息ͺ,就可能ͺ构成上ͺ述罪名ͺ而入狱ͺ,所以,在日常ͺ生活中ͺ不要轻ͺ易偷窥ͺ他人隐ͺ私,泄露他人信息,以免踩到法律的红线。
1.3.2个人数据与个人信息的关系
个人数据是指与任何已识别或可识别的自然人“数据主体”有关的信息;可识别自然人是指可以直接或间接识别的个人,特别是姓名,身份号码,位置数据,网上识ͺ别或者ͺ与自然ͺ人的身ͺ体,体质,遗传,心理,经济,文化或ͺ社会身ͺ份有关ͺ的一个ͺ或多个ͺ因素。
记录个ͺ人信息ͺ指的是ͺ各种各ͺ样的信ͺ息通过ͺ电子或ͺ其他方ͺ法可以ͺ识别自ͺ然人的ͺ个人身ͺ份单独ͺ或结合ͺ其他信ͺ息,包括但ͺ不限于ͺ姓名、出生日ͺ期、身份证ͺ号码、个人的ͺ生物特ͺ征信息ͺ,自然人ͺ的地址ͺ和电话ͺ号码。
数据和ͺ信息都ͺ直接反ͺ映客观ͺ事物。信息由ͺ数据表ͺ示。数据是ͺ信息的ͺ载体,数据可ͺ以转化ͺ为信息ͺ。在国外,如欧盟、法国、德国等国家,个人信息保护立法将个人信息视为个人资料。在这里我是这么理解个人信息与个人数据的关系和定义。个人数据应是脱离不了电子计算机系统而独立存在的,一切与主体相关的信息比如:上网浏览记录、收藏的文件包括去体检在医院留下的未被处理的原始记录,这些都算做个人数据。但是,个人信息应该是有价值的,既可以是电子信息,也可以是独立于电子信息的。例如,体检的原始数据可以被加工成一份有价值的体检报告,它可以以电子状态或纸质状态的形式存在。由此可以得出个人数据包涵的面要更广泛,但是如果说到价值,那就是个人信息=个人数据+分析处理。个人数据本身不具有价值,而是通过对大数据的精准采集和整合,然后网络运营者或经营者等等对此有需求的就会得到每个公民的需求,从而得到收益,因此就形成了价值。
1.3.3大数据背景下个人数据侵害特征
由于网络空间的虚拟性,开放性和隐蔽性,对个人数据使用的侵害日益严重。具体而言,根据隐私的性质和当前网络隐私引发的一些问题,侵犯个人数据隐私的ͺ原因可ͺ归结为ͺ以下几ͺ种:(1)非法收集个人数ͺ据,主要是ͺ指未注ͺ册的个ͺ人或组ͺ织收集其个人ͺ信息。未经资ͺ料当事ͺ人同意ͺ而提供ͺ的个人ͺ资料。收集个人资ͺ料必须取得资ͺ料当事ͺ人的同ͺ意。采集者在采ͺ集未成年ͺ人个人ͺ资料时ͺ,还需要征得ͺ未成年ͺ人法定ͺ代理人ͺ的同意ͺ。不仅如ͺ此,个人资ͺ料的收ͺ集还需要法律ͺ手段。任何以欺诈,胁迫,盗窃,黑客攻击等不正当手段获取个人资料的行为均属侵权行为。(2)非法使用个人资料在现阶段侵犯了个人资料的隐私权,主要表现为个人资料的使用超出其原有目的,特别是商业机构滥用个人资料。在商业利益的驱使下,许多网络服务提供者提供各种个人数据信息用于出租,甚至公开出售更多的个人信息。此外,学校,社会团体,政府部门等机构也将其因业务需要收集的个人资料出售给商业机构作为邮寄名单使用,这无疑是对个人隐私的严重侵犯。(3)泄露他人个人资料(4)利用手中的个人资料破坏他人生活安宁。通过以上这四点就可以在日后碰到有关个人数据的侵权问题就可以用来借鉴和联系相关部门维护自己的权利。
第二章保护个人数据安全的法律法规及不足
2.1具体立法
当前,我国还ͺ没有完ͺ善的个ͺ人数据ͺ保护法ͺ,仍在修订当中。在这里我主要介绍国外比较成熟的通用数据保护条例,简称GDPR,前身是欧盟1995年制订的计算机数据保护法。
GDPR的核心是一套新的规则,其目的ͺ是让欧ͺ盟公民ͺ更好地ͺ控制自ͺ己的个ͺ人数据ͺ。它旨在简化企业的监管环境,以便欧盟的公民和企业都能充分受益于数字经济。GDPR增加了组织因滥用数据而面临的潜在罚款,并使人们更容易发现组织对其的信息。从本质上讲,它旨在为人们提供更多透明度,让他们了解数据组织收集的内容,以及这些组织使用它的内容,以及使人们能够防止不必要的数据收集。这些改革旨在反映我们现在所处的世界,并为整个欧洲带来法律和义务,包括围绕个人数据,隐私和同意的法律和义务,以加速互联网时代的发展。
从根本上说,我们生活的几乎每个方面都围绕着数据。从社交媒体公司到银行,零售商和政府到我们使用的几乎所有服务都涉及收集和分析我们的个人数据。您的姓名,地址,信用卡号码等都是由组织收集,分析,也许是最重要的。
GDPR被称为ͺ大数据ͺ时代最ͺ强监管ͺ不无道ͺ理,下面主要介绍GDPR体系下的重要制度。GDPR的两大ͺ基础:基本原ͺ则与主ͺ体权利ͺ。
基本原ͺ则包括ͺ:1、合法,公正和ͺ透明原ͺ则:所体现的是数据处理实现合法性、合理性与透明性的统一。2、目的限定原则:数据的搜集应当以初始设立的具体、清晰、正当的目的为限。3、最小化原则:数据处理应当是必要、相关而适当的。4、准确性原则:应确保数据的准确,并在必要时及时更新。5、限期储存原则:对数据的储存实践应以实现其目的所必须的时间为限。6、完整保密原则:采用一定的手段确保数据的安全。
主体权利分为知情权、访问权、被遗忘权、限制处理权、反对权、可携带权。GDPR堪称是史上最严厉、最翔实的一部保护用户数据安全的法律,在用户的角度来看,它是对目前愈演愈烈的个人信息安全问题下的一剂猛药。因此,不少人会欢迎鼓舞。对身处欧洲之外、作为普通用户的我们来说,也会因为“沾光”而获得部分利益。
但是,凡事皆有两面性。过于严苛的隐私保护条例和高额的罚款会让部分企业直接退出欧洲市场。此外,GDPR在实际执行时也会面临着不少挑战,欧盟成员国之间的法律制度不尽相同,部分国家监管部门部分甚至对GDPR知之甚少。部分条文也存在争议,例如,公共利益这样抽象的概念在现实中应该如何去界定。
当然,总得来说,在个人数据安全保护上,欧洲人已经向前踏出了一大步。究竟未来会产生怎样的影响,现在尚不明确,但现在至少有人开始尝试了,它的成败得失都可以成为提供给我们的宝贵经验。
2.1.1宪法的信息保护
对个人信息的宪法保护是保障公民自由的必然要求之一。保护人的自由是宪法的宗旨。《宪法》保障人的自由和政府的义务。从权利与权力的关系来看,宪法责任是保证公民权利不受政府权力侵犯,并在侵犯公民权利时提供各ͺ种补救ͺ措施。公民对ͺ个人信ͺ息的自ͺ主决定ͺ是公民ͺ实现自ͺ由权利ͺ的重要ͺ基础。如果连ͺ个人的ͺ个人信ͺ息都无ͺ法控制ͺ和决定ͺ,那么这ͺ个公民ͺ事实上ͺ就没有ͺ自由,因为他ͺ的一举ͺ一动都ͺ会暴露在所有ͺ人面前。在民众ͺ看来,这无疑ͺ违背了ͺ宪法的ͺ宗旨。保障公ͺ民自由ͺ。对于个ͺ人信息ͺ保护与ͺ自由的ͺ关系,有学者ͺ指出:“个人信ͺ息保护ͺ的本质ͺ在于通ͺ过对公ͺ民个人ͺ信息的ͺ控制和ͺ决定,提高人的主ͺ体地位ͺ,实现公ͺ民的社会自由。”因此,国家既要保障公民的个人信息权不受他人侵犯,又要保证公民的个人信息权在受到公权力侵害时能够得到救济,并采取有效措施制约公权力。
2.1.2个人数据民事立法状况
当前关于民法保护个人数据的争议主要集中在:第一,个人信息概念的定义;第二,是否将个人数据信息包括在隐私保护中;第三,民法对个人数据信息的保护是单独制定法律还是纳入现行保护法规?
随着个人数据泄露引起的事件数量越来越多,许多国内学者也在研究这些问题。他们首先研究什么是个人信息。在理论界中,存在三种观点:个人隐私理论,联想理论和身份认同。说。根据个人隐私,陈其兴持这种观点,认为个人信息是人们拒绝向外界公开的信息。协会表示,顾名思义,与个人有关的所有信息都是个人信息;该定义表示个人信息是指可以直接或间接识别一个人的信息。目前,国内外大多数立法和学术界都采用“识别理论”。
在大数据时代,个人信息权与个人数据权相同。有两个原因。首先是信息是数据的内容,数据是信息的形式。不可能将数据与信息分开以抽象的方式讨论数据中的权利。个人数据之所以具有经济利益和个性利益,是因为它包含个人信息。仅当数据以信息形式提供时,才会出现有关数据所有权,资源稀缺性的争议,并且有必要讨论是否应对数据进行私人控制以及公共执法机构如何保护数据的民权。因此,讨论个人数据的民权就是讨论以数据形式呈现的个人信息的民权。其次,与知识产权法体系相比,作为知识产权对象的作品,商标,发明和商业秘密也是无形资产,也可以受到民法保护。数据是否可以受到民法保护,不取决于数据的特征,而取决于民法作为对象。我认为,通过民法保护个人数据有助于最大程度地提高社会福利,并可以解决个人数据泄漏和使用不当的问题,法律对个数据进行保护也能够迫使企业支付使用个人数据的成本。
2.1.3网络安全法
网络安全法于2017年6月1日正式实施。我将从三个方面详细介绍网络安全法的重要性和主要内容。
为什么要立法?没有规矩不成方圆。我国是一个互联网大国,随着互联网的快速发展,互联网领域的相关问题复杂多样,甚至涉及国家主权。面对日益严峻的网络安全形势,如果没有合适的法律作为具体情况的参考,网络产品和服务提供商逃避自身责任,网络运营商无视自身安全义务,互联网用户的个人信息无法得到保护,那么我们如何管理网络,如何保护国家和人民的利益呢?在第二届世界互联网大会上,习近平主席强调,网络空间是人类活动的共同空间。各国应加强沟通,扩大共识,深化合作,共同构建网络空间命运共同体,并提出四项原则和五点。四项原则:尊重网络主权,维护和平与安全,促进开放合作,构建良好秩序。五项主张:加快全球网络基础设施建设,促进互联互通;构建网络文化交流共享平台,促进交流互鉴;促进网络经济创新发展,促进共同繁荣;保障网络安全,促进有序发展;构建互联网治理体系,促进公平正义。网络安全是一个全球性的问题,日益威胁着世界各国的社会经济安全。许多与网络安全有关的法律法规在各国相继出台和审查,如新加坡网络安全立法中的国内安全法、个人信息保护法、网络行为法等;2010年美国网络安全法、2010年网络安全增强法等;澳大利亚政府各部门制定了一系列与信息安全有关的法律、标准和指南,包括《电信传输法》、《反垃圾邮件法》、《数字保护法》、《信息安全手册》等。,2014年日本国会众议院通过的网络安全法律法规是网络安全的有力“盾牌”和“保护伞”,是开展网络活动的立足点。为维护网络安全,维护网络空间主权、国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,《中华人民共和国网络安全法》正式颁布实施。
网络安全法的目标是什么?任何个人或机构在接驳互联网时参与使用及传送个人资料,均须符合更严格的保安要求及规定。网络安全法约束的是网络上的所有参与者,即网络上的每一个人,如主管部门,网络运营商,设备服务商,信息安全解决方案提供商,个人等,《网络安全法》将主要管理互联网在中国境内的活动,授权单位负责监控并采取防范措施,防止那些发生在中国境内或境外,但对中国造成负面影响(如安全风险和威胁,网络犯罪和电信诈骗等)。
网络安全法的核心是什么?1.明确网络空间主权原则;2.明确网络产品和服务提供者的安全保障义务;3.明确网络运营者的安全保障义务;4.进一步完善个人信息保护规定;5.建立关键信息基础设施安全防护体系;6.制定关键信息基础设施和关键数据跨界传输规则。
具体细化来看:第一点是明确网络空间主权原则。突尼斯协定提出了一个共识,即尽管互联网是全球性的,但每个国家对每个国家的统治方式都有自己的主权。2014年7月,习近平主席在巴西发表演讲时提出了“信息主权”的概念。他强调,尽管互联网高度全球化,但不应侵犯每个国家在信息领域的主权。2016年7月颁布的《国家安全法》首次明确规定了“维护国家网络空间主权”的形式。
第二点是明确网络产品和服务提供者的安全保障义务。个人信息泄露是网络诈骗泛滥的重要原因。公民个人信息的泄露,收集,转卖,形成了一条完整的黑灰产业链。对此,《网络安全法》作出了具体规定:互联网产品,服务具有收集用户信息的功能,其提供者应当明示并征得用户同意;网络运营者不得泄露,篡改,销毁其收集的个人信息;任何个人和组织不得窃取或者以其他非法手段获取个人信息,不得非法出售或者非法向他人提供个人信息,并规定相应的法律责任。
第三点,明确网络运营商的安全义务。网络经营者必须采取技术措施,对网络运行状况和网络安全事故进行检测和记录,相关网络日志应当保存不少于6个月。同时,网络运营商必须依法配合,对网络运营商进行监督检查。根据国家安全和刑事侦查的需要,执法机关要求网络运营商在法律程序上进行配合,这也是国家安全在保障网络运营商安全义务上的具体体现。
第四点是个人信息保护制度进一步完善。根据《网络安全法》,网络运营商应对其收集的用户信息进行保密,并建立和完善用户信息保护制度。网络经营者收集、使用个人信息,应当遵循合法、合法、必要的原则,公开收集、使用规则,明确收集、使用信息的目的、方法和范围,并征求意见。换句话说,公民有权要求网络运营商删除或更正其收集的个人信息,这在保护个人信息方面取得了很大的进步。同时,该法律的一个亮点强调了个人信息收集的边界,即“不收集与其提供的服务无关的个人信息”。例如,地图导航软件需要用户的实际位置,这是一个功能性需求,是可以满足的。您不需要向用户询问姓名和ID号。其次,在《网络安全法》中,首次明确了个人信息数据泄露的通知制度,当当前的个人信息泄露无法完全消除时,可以通知用户,增加对相关欺诈行为的警惕,可能会影响用户。这也将迫使机构提高他们的网络安全能力,减少个人信息泄露的风险。
第五点,建立关键信息基础设施安全防护体系。《网络安全法》第三章用近三分之一的空间规范网络运行安全,强调要确保关键信息基础设施运行的安全。关键信息基础设施是指一旦发生破坏、功能丧失或数据泄露等严重危害国家安全、国民经济、人民生活和公共利益的系统和设施。网络运行安全是网络安全的核心,关键信息基础设施的安全是重中之重,与国家安全和社会公共利益密切相关。《网络安全法》强调,在网络安全等级保护制度的基础上,对关键信息基础设施实施保护,明确关键信息基础设施经营者承担更多的安全保护义务,同时对国家安全审查和重要措施的实施。数据本地存储等法律措施的实施,确保了关键信息基础设施的安全运行。
第六,建立关键信息基础设施关键数据跨境传输规则。《网络安全法案》明确了在关键信息基础设施中跨境传输重要数据的规则。一是关于个人信息和重要数据本地存储的立法,加强了对跨境数据流动的管控和管辖。二是监管机构是重点信息基础设施运营商,主要涉及公共通信与信息服务、能源、交通、水利、金融、公共服务、电子政务等重点信息基础设施运营商;三是跨境数据流安全评估机制。也就是说,如果有特殊情况需要跨境数据流向国外,则应按照网络信息授权机构制定的方法进行安全评估。
总之,《网络安全法》是我国第一部系统的网络安全法,其出台具有里程碑式的意义,网络安全从此有法可依了!
2.1.4个人数据刑事立法状况
目前,我国刑法涉及大量保护公民个人信息的规定,较以往更加细致具体,入罪门槛较低,体现了国家不断加强公民个人信息保护,打击侵犯公民个人信息行为的趋势。相关法律法规
刑法第253条之一规定了侵犯公民个人信息罪。定义:侵犯公民个人信息罪是指违反国家有关规定,向他人出售或者提供公民个人信息;窃取或者以其他方法非法获取公民个人信息,属于情节严重的行为。从重处罚情节:违反国家规定,将在履行职责或者提供服务过程中获取的公民个人信息出售或者提供给他人的,从重处罚。量刑幅度:情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。单位犯罪:单位犯本罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员依照第二百五十三条的规定处罚。通过以上几条规定,这也清楚地表明了中国对个人数据信息保护的重视。
2.2立法不足
我国现行法律法规对个人信息的保护并不是一个空白,但是相比于国外其他国家,我国的立法状况还很落后,存在着许多不足。虽然在宪法、民法、刑法中个人信息的保护都有体现,但是没有解决实体问题。大部分的条款都是对个人信息保护问题简单而间接的规定,或者只是规定有保护个人隐私和个人尊严的必要,没有在实体上解决问题,反映不出个人信息保护的价值。
2.2.1民法保护空置
首先,个人信息的保护范围不明确,个人信息与个人资料的界限不明确。个人资料是个人资料的内容,个人资料是个人资料的物化形式。表达和存在个人信息的方式有很多,而个人信息不一定是个人资料。同时,也有一些信息没有物化为个人数据,比如一个人的自然个人属性。数据是客观的东西,信息是人工处理后的数据内容。个人资料的立法保护目的是保护以个人资料形式出现的个人资料,而非全部个人资料。只有人们可以使用的有价值的数据,即信息,才能成为受保护的对象。个人信息概念准确地表达了被保护对象的特征,具有识别效果和资源价值。个人资料必须是个人资料,但个人资料不一定是个人资料。此外,个人数据显示更多的属性属性,而个人信息显示更多的个性属性。个人信息与个人隐私的界限。隐私有三种形式:一是私人信息,即无形的隐私;二是私人活动,即动态隐私;第三是私人空间,即有形的隐私。个人信息与个人隐私之间存在着诸多差异。首先,许多个人信息不涉及个人隐私,如公开的、琐碎的个人信息;其次,隐私权注重保护个人隐私的权利,个人信息保护的目的不仅限于保护信息主体的权利,但也平衡保护信息主体之间的关系和收集、使用、处理和传播他人的个人信息。因此,保护这两项权利的立法目的是不同的。因此,在保护个人信息时,我们应该准确界定个人信息与个人隐私的区别。
其次,个人信息的保护程度不明确。根据是否涉及个人隐私,个人信息可分为敏感的个人信息和琐碎的个人信息。法律不仅要保护敏感的个人信息,也要保护琐碎的个人信息,但两者的保护方法和程度应该不同。根据个人信息是否公开,可分为公开的个人信息和未公开的个人信息。法律不应限制对依法披露的信息的处理和使用;法律应禁止处理和使用非法披露的信息。对于未披露的信息,法律也应禁止对其进行处理和使用,除非有特殊情况,如法律的特殊规定、当事人的约定或者对个人信息主体利益的保护。
个人信息没有明确的属性属性。个人信息权是指自然人依法控制和排除他人个人信息侵权的权利。个人信息权作为人格权的保护会导致一个问题:侵犯人格权的救济方式是道歉、恢复名誉、消除影响。情节严重,构成犯罪的,依法追究刑事责任。这些救济不涉及财产救济,除非以道德损害为理由向法院提起诉讼,并要求对道德损害作出赔偿。然而,在实践中,精神损害赔偿并不是一种有效的补救措施:首先,精神损害赔偿难以证明。只有当侵权人证明他有精神损害时,法院才能支持他。其次,最终获得的精神损害赔偿金数额可能与实际的精神损害赔偿金数额相差甚远。维权成本高,但“收入”缺乏,使得许多受害者不愿维权,侵权人无需承担任何后果。这是一个恶性循环。因此,如果不去除个人信息的财产属性,对侵权人施加经济处罚,就不可能对个人信息侵权提供财产救济。
2.2.2缺乏专门立法
由于大数据时代发展过快,中国目前在这方面没有具体立法,所以导致出现很多问题没有办法解决,所以我想通过阅读国外的一些成熟的法规给出自己的一点思考和建议。首先,美国受到市场经济自由主义的影响,追求自由市场经济就是从宪法的角度研究和讨论私有财产的保护。正确披露个人数据还反映了宪法对言论自由的保护。内部可以解决的问题最好不受政府干预。第二个国家是欧盟,它遵循成文法的传统,并强调国家权力对社会生活的干预。
中国应建立以欧盟为主体的更全面的保护模式,并适当加入美国的立法模式,既不会过于松散也不会太死板,由于大数据时代发展过快,拿捏的尺度很容易掌握不好。我国个人信息保护法还当具备以下原则。第一,目的明确原则。收集个人信息时,不管收集目的是不是在收录的时候发生转移,都要以明示的方式告知个人信息主体。第二,知情同意原则。收集者在收集个人信息时,必须事先征得收集者的同意,并把收集的细节详细告诉被收集者。第三,信息品质原则。要求管理者及时地更新,保证信息的完整和正确。第四,安全原则。信息管理人必须保证信息的安全,不能让其遭到纰漏、泄露、灭失的危险发生。第五,政策公开原则。这里的公开不是公开个人信息内容,而是对个人信息管理者的公开责任,管理者应该提供可行的办法对个人信息进行有效的查询,管理者不得以任何方式限制信息主体的查询。
第三章制定专门立法
我国现行的个人信息保护立法难以满足实际需要,全国人大代表也多次呼吁尽快出台个人信息保护的专门立法。我国知名学者齐爱民、周汉华也曾为专门立法拟写过专家稿,但是十余年过去了,专门立法却迟迟没有出台,个人信息保护立法就处在了“雷声大,雨点小”的尴尬境地,但专门立法势在必行。信息安全技术公共和商用服务信息系统个人信息保护指南(以下简称《个人信息保护指南》),虽然法律层次较低,却是在制定者认真研究外国类似立法后制定出的可操作性较强的文件。因此个人信息的专门立法可以在专家稿和《个人信息保护指南》的基础上,借鉴外国当前经验,制定适合我国国情的个人信息专门立法。
3.1立法目的
出台《个人信息保护法》对大数据背景下个人信息的获取、储存、利用等信息处理行为进行规范是为了实现对公民个人信息安全的保护。《瑞典个人信息数据法》的第一条就指出:出台本法律的目的是为避免因个人数据处理而对其正直信誉造成损害。欧盟在个人信息保护方面一直强调“个人数据权”是公民的项基本权利,被写入了欧盟1995年《个人数据保护指令》的序言。日本也在日本《个人信息保护法》中强调“对公民的个人信息权利利益加以保护”总结各国立法可得出结论,对公民个人信息加以的直接目的是实现宪法中“公民基本全权利与自由”,但归根结底对个人信息的保护即是对人的尊严的保护。2如果单说“对保护个人信息即是对个人尊严的保护”有些抽象,笔者认为个人信息保护中的基本权益应与“普世价值”相联系,从信息主体对个人信息自治的视角进行说明,能更好的理解这一说法。个人信息与个人利益紧密相连属于个人事务,因此,信息主体有权对个人信息做出独立的决定权。。自主决定权是保护其个人信息免于“被决定”、“被处理”情况的发生。公司获取大数据环境下的个人信息后,常在未经授权的情况下“再利用”,未经授权的信息“再利用”就是个人信息的“被处理”。这就等于将信息主体权利架空,将信息主体视为无物,这是蔑视和侵犯人格尊严和自由。保护信息主体对个人信息处理行为的自决权是个人信息保护的应有之义,但信息自治、自决并不意味着“信息排他”,而是说在个人信息的利用上,使信息主体能掌握主动权参与其中而不处于被动。因此可以说,出台《个人信息保护法》的直接目的是实现对人的保护。社会是对人的集合,实现社会对每个人的保护,也就实现了对社会的保护。
企业通过大数据技术处理个人信息数据,进而对消费者行为进行分析,分析结果用于商品服务的改进和营销,以便从中获取商业利益。通过大数据分析获得的用户头像,广受消费者市场、广告行业、教育领域青睐,因为谁大量的占有个人信息数据肖像,某种程度上就意味着谁有更大的市场、更大的竞争力,所以个人信息已经无可争议的成为一种新的竞争性新资源。企业海量占有数据后,以成功的商业模式的与之相配,可以最大化个人信息的商业价值,成为行业里的佼佼者或是处于市场的主导地位。可见,个人信息数据流通对于企业的发展,社会经济的推动所发挥的巨大作用。出台《个人信息保护法》是为了规范大数据环境下个人信息自由流通中存在的不规范行为,保证信息安全,维护信息主体对市场的信任进而继续提供个人信息。《个人信息保护法》并非单方面保障个人信息安全,就设置门槛限制信息自由流通的立法,而是追求在信息自由流通中保证个人信息的安全的立法。这是一部遵循国际立法精神,旨在平衡个人信息使用和自由流通的个人信息保护法。可以说立法的根本目的还是在于促进信息自由流通,发挥个人信息商业价值促进经济繁荣。
3.2立法原则
与立法模式选择虽然各国都秉持着“追求个人信息利用与自由流通的平衡”的立法理念,但不同国家对保护模式的选择不同:美国是分散立法与行业自律相结合的立法模式;这一立法模式侧重于确保信息的自由流动。美国对个人信息保护的权利来于隐私权,由于部分个人信息涉及个人隐私,所以美国对涉及隐私部分的个人信息保护相当严格,而其他部分的个人信息保护的侧重点在保证自由流通。
信息自由的立法模式对美国科技进步和社会经济的繁荣起到了巨大的推动作用。
分权立法与行业自律相结合的立法模式,有很强的灵活性,针对新的问题有针性的进行规制,能较为有效的弥补法律的滞后性的不足。但是,分散立法模式又不能适用于私领域的机构,行业自律模式只能约束行业内的行为,保护范围有限,且约束力来自内部缺乏强制性。欧盟使用统一的立法模型来保护个人信息,这种立法模式的理念是私权至上。欧洲将个人信息权视为公民的一项基本权利,体现立法对人尊严的尊重。与美国将隐私权集中于个人利益、完成自我目标实现不同,欧盟将隐私作为一种公共需求看待。这种价值和个人、和社会都紧密相关,因此欧盟基于人权保障将个人数据的维护看做对民主的维护。统一立法模式的优势在于它是强制性的,保护对象不限于某一类,范围较广。该模式最大的缺点主要来自于成文法本身的滞后性可能导致法律保护的真空,以及成文法立法的周期性长、程序繁琐。
立足我国具体国情和法律传统,笔者认为我国大数据背景下的个人信息保护应当合理借鉴欧盟的立法经验,采取私权至上的立法理念,以确保知情权由个人信息决定,。考虑到追求个人信息保护与信息自由流通两者相平衡的立法精神,还有个人信息自由流通对科技创新、经济发展的作用,再加之,按市值计算,中国的互联网公司在全球前20名互联网公司中占7个。因此,也有可能适当借鉴美国模式,在制定该法律时考虑相关行业对个人信息的需求,并采用以行业自我监管模式为补充的统一立法,这样的好处在于在行业自律的灵活性能弥补成文法的滞后性,国家法的强制性弥补行业自律约束力的不足。
3.3大数据背景下个人信息保护原则
对于个人信息立法保护原则,周汉华教授认为,个人信息保护的基本原则应包括:合法、权利保护、利益平衡、信息质量、信息安全、职业义务、救济的原则。齐爱民教授认为,我国未来个人信息保护的基本原则应概括为直接收集,明确目的,限制使用,数据质量,安全保障,政策公开,信息保密期限,自由流通和法律约束。各学者的观点虽然大同小异,但是核心思想一致,国外的个人信息立法原则也与国内学者秉持的观点基本相同。因此,个人信息保护应遵守传统的“限制收集原则”,“信息质量原则”,“特定目的原则”,“特定目的原则”,“公开披露原则”和“个人同意原则”,“安全保障原则”,“个人参与原则”,“责任原则”等基本原则。但笔者认为,在基本原则上应当深化一些原则的内涵或者做相应的修改。
3.3.1深化个人同意原则内涵
“个人同意原则”指信息控制者将收集信息数据的行为以及使用目的告知用户后,取得用户明示或者暗示同意。该原则意在保障用户对个人信息的控制权与个人信息的自治性,°可事实并非如此,信息控制者在用户拒绝同意后却没有提供其他的选项,“强迫”用户明示同意,或者将用户的“沉默”等默示行为作为个人同意的信号。因此,可以参考欧盟的“通用数据保护指令”,将个人同意原则缩限为:数据控制者收集个人信息时,不能将用户默示行为等同于用户同意只有用户在“非强制性”明示同意情况下才可进行信息收集行为。深化后的原则,在一定程度上能改变“变相免责条款”的问题,实现用户对个人信息的控制。
3.3.2改目的特定、使用限制为情境一致原则
有很多数据的收集利用只限于收集时所告知的目的,并无更多目的之外的用途,然而,大数据“再利用”所创造的价值,要比按目的收集进行利用创造的价值大得多。最好的例子就是日本某研究所进行试验:座椅下方安装传感器,将收集到的乘坐者坐时的姿势、体重、重量分布等资料进行量化,精确测量每个人坐座椅时不同的施压方式,每个乘坐者形成个人独有的数据。由于每个人的施压方式的不同,因此产生了数据差异,进而可以精准识别乘坐者的身份。该项目的初衷是防止汽车被盗,但是随着研究的深入,研究人员发现该项目的数据也可以用于防止司机疲劳驾驶:根据坐姿数据判断驾驶者是否处于安全行驶状态,如驾驶者已经处于疲劳状态,系统会采取警示、系统自动刹车以及向周围的车发出警告等方式,避免交通事故发生。从其数据的收集目的来看,数据的应用早已超出了收集时所承诺的使用范围,这就属于大数据的“再利用”。如遵循现有的目的特定原则,这些数据另作他用前需要重新通知信息主体并取得授权。
目的限制原则是个人信息保护的核心原则,使用限制是其衍生原则。数据的再利用”已经普遍存在,目的限定原则与使用限制原则在“新业态”的应用中却走入困境。因此,不应当再固守已经僵化的原则,应当顺应新的趋势改变原则,该原则可以在保护个人信息安全的同时,兼顾个人信息的合理利用。“新目的是否引发不合理的风险,是否符合用户的预期与个人披露信息时的情境”是判断个人信息“再利用”是否合理的主要标准。因此,在大数据背景下的个人信息保护原则应当使用“情景一致原则”替代目的限定原则与使用限制原则。
“情景一致原则”是指企业实际获取、使用、披露个人信息的方式应与其承诺的情形保持一致,被收取信息者也有权期望企业在使用信息时与其承诺的情形保持一致。如果企业获取个人信息另作他用,则企业需要采取用户容易获知的方式向其告知,同时赋予用户选择权不得“强制”的默示同意,同时,有必要增加信息处理的透明度。情景一致原则要求,企业使用个人信息应当与其所承诺的情形保持一致,个人信息的使用应当是企业为了向用户提供更好的产品与服务,满足客户需求。
当企业为了获取商业利益而向第三方披露用户个人信息,第三方以此向不同用户投放针对性的广告,在这种情况下,如果用户拒绝向第三方披露信息,公司必须通知用户,则企业不能披露。若用户同意企业向第三方披露,但第三方将因为其他目的而再次继续使用个人信息时,企业需要向用户进行详细的说明,并给予用户同意或者拒绝的选择机会。
情景一致原则既保留了目的限定原则与使用限制原则的原有精神内涵,又解决了这两个原则在大数据“再利用”中的困境,所以这样的原则是一种创新,能使个人信息被合理的“再利用”,使个人信息价值得到充分发挥。
3.4明晰个人信息概念与范围
准确界定个人信息是保护个人信息安全的基础,个人信息的定义决定了个人信息法保护的范围、对象。我国有关的法律法规采用“可识别性”特征作为判断是否属于个人信息的标准,大数据背景下可能只需要两到四个不具备“识别性”的信息就可以精准定位一个人,以往理论上不具备识别性的信息也有可能威胁个人信息安全,例如IP地址。所以,应当考虑到大数据环境下的个人信息表现多样化,仅以“身份”作为个人信息的判断要素,已不合时宜。“公民个人信息的概念必须从一个动态系统的角度,通过元素细化定义概念,以实现完整到位的保护”,因此可借鉴借鉴欧盟的经验,将位置信息、IP地址等其他要素加入个人信息的概念中。除了要从动态的角度出发,它还应解释“个人隐私”和“个人信息”之间的关系。我国一直将“个人隐私”作为“个人信息”的同位概念,但随着互联网技术的发展,个人信息的范围更广,“个人信息”的范围已经远远超出了“个人隐私”的范畴,虽然外延比“个人隐私”更广,但是两者仍旧是交叉存在。
个人信息保护法应参照新加坡法律,在立法开篇就对“个人信息”概念进行明确规定,该概念在保留传统的“可识别性”要素的基础上,引入动态的判断要素进行判别。如果在“可识别性”要素与动态要素之外,仍有理论上不具备识别性的信息可以直接对信息主体进行精准定位,那么笔者认为该类信息应采用罗列的方式列明。这样以要素判断方式与罗列方式相结合,它可以全面覆盖个人信息的保护范围,也可以在一定程度上弥补成文法的不足。
3.5对个人信息分类保护
法律可以实现对个人信息的分类和保护,可以参照欧盟《一般数据指令》进行分类。按信息非法或者不合理利用时是否会对信息主体造成不良影响,个人信息分为一般个人信息和敏感个人信息,提供不同程度的保护。加强敏感个人信息数据保护,原则上绝对禁止网络营商对敏感个人信息数据的收集、利用行为,只有当因国家安全、公共利益的需要,通过公安部开出的证明文件,才可以收集、利用这类信息。敏感个人信息包含个人政治取向、宗教信仰、生物识别数据、性取向等信息,与“自身”相关必然会涉及个人隐私,因此应当进行更为严苛的保护。一般个人信息与社会交往密切相关常与“他人”产生联系,可以说一般个人信息是一个人在社会上的“标志”。我们与社会中的其他人进行交往、商业往来、政治活动等,都需要相互介绍姓名、任职单位、工作职位等不冋的个人信息、从这个角度观察,我们会发现一般个人信息的“互动性”更强,而敏感信息几乎是“单向”的并不与社会的其他信息主体直接产生“互动”。因为一般个人信息较为零散、重要性较低、社会互动性强,但不合理或是非法利用仍会侵犯个人信息安全。所如果将一般个人信息与敏感个人信息进行同等程度的保护,违反《个人信息保护法》的立法精神,将不利于个人信息的自由流通,所以对于一般个人信息保护和利用都要考虑,但在利用上要偏重一些。
3.6建立健全个人信息保护监督机构
3.6.1个人信息保护监督机构的设置方式
欧盟的1995年《数据保护指令》与新加坡《新加坡个人信息保护法》都要求设置专门机构对个人信息安全实行保护职能,并规定了专门机构的职责。除了欧盟和新加坡,德国、日本、荷兰等国家也设置了专门机构,由此可见,专门机构在个人信息安全保护方面扮演着重要角色,虽然每个国家专门机构所履行的职能存在一些差异。中国还应设立一个专门机构--个人信息保护委员会,监督个人信息的获取,存储和使用,保障公民权益。个人信息保护委员会可分级设置,中央和地方分别设立,中央政府将协调地方发展个人信息保护。中央个人信息保护委员会负责宏观的工作安排,对地方个人信息委员会的工作进行监督、指导。国家单位或者法人、其他组织等发生侵犯个人信息事件时由地方个人信息委员会发布通知、进行调查、报告事件进存在故意的违规、违法行为要对该单位进行处罚。3.6.2个人信息保护监督机构的职责
笔者认为,个人信息保护委员会其主要职责之一是分担法院的部分案件压力。个人信息保护委员会拥有指示权、复审权以及调査权,在短时间内高效率处理民事地位平等当事人,因个人信息侵害产生的案件。如果双方对个人信息保护委员会的处理结果不满意,可以对结果进行复议或者起诉。个人信息保护委员会不但要解决纠纷本身,还需要满足个人信息纠纷之余的其他现实诉求。个人信息保护委员会还承担着监督《个人信息保护法》执行情况的职责;指导和管理个人信息保护的自律工作。3.7明确侵权归责原则及赔偿标准
3.7.1根据对象适用不同的归责原则
大数据背景下的个人信息侵权主体复杂,所以当个人信息侵权事件发生时应根据侵权对象的不同,采取不同的归责原则。可能造成个人信息侵权主体的有:国家机关、法人、其他组织、自然人等。因此应当将侵权对象划分称成国家机关与非国家机关。国家机关利用公共权力收集个人信息,以满足公共服务或社会管理需要,相对于非国家机关掌握的个人信息获取更便捷、内容更全面,有时甚至不需要告知信息主体。故保护个人信息也是国家机关的责任。因国家公权力的特殊性,无过错责任原则应适用于个人信息侵权案件。对于非国家机关侵权而言,由于双方都是平等的民事主体,因此不宜采取无过错推定原则。如果此时侵权一方为网络服务商,被侵权一方为自然人,由于个人信息具有管理特殊性,可以说个人信息的非法获取与利用行为等侵权行为的证据几乎由侵权人掌握,被侵权人是掌握信息的弱势方,被侵权人与侵权人的举证能力客观存在差异巨大。大数据背景下的个人信息侵权隐患和技术特征使被侵权者证明侵权与损害结果之间存在因果关系。基于以上原因,被侵权人经常面临举证无能的境地。被侵权人在互联冈个人信息侵权案件的民事诉讼中不属于“举证责任倒置”的特殊侵权案件,应当在分配责任时考虑当事人收集证据的可能性和举证的难易程度,进行重新分配。笔者认为,被侵权人作为原告只需证明个人信息由被告收集、储存,以及自己的信息受到侵害的事实即可。作为被告的一方适用过错推定原则,证明他在发生信息违规方面没有过错,而且已经尽到了管理义务。如果个人信息的泄露涉及第三机构处理信息的行为,那么也应适用过错推定原则。这样的举证责任分配方式,使原告举证困难的问题得到了解决。3.7.2完善民事损害赔偿制度
由于法律规定中缺乏明确的规定,所以实现侵害个人信息安全的民事求偿困难重重。应当针对个人信息民事赔偿制定明确的法律,确定具体的救济赔偿制度,弥补公民因个人信息侵害所遭受的损失。学界的大多数学者都支持,个人信息兼具人格权和财产权。2016年准大学生徐玉玉被骗九千余元的学费后,脏骤停失去宝贵生命,所以个人信息侵害案件造成的损害有可能是双重的,被侵权人可以寻求人格权和财产权中的单独某一项或者双重救济。在司法实践中,除了因个人信息泄露给被侵杈人造成直接财产损失案件外,其他没有造成直接财产损失的案件若要求按照实际损害赔偿则很难计算。若是请求精神性损害赔偿,则需要达到“严重”的精神损害,“严重”亦没有统一标准进行判断很难确定。如果达到精神损害赔偿标准,其赔偿的数额和范围又很少,难以弥补受害者的损失。基于个人信息侵害案件带来的严重后果及以上原因,笔者认为可以参照《食品安全法》第148条设置惩罚性赔偿,设置最低赔偿额度但额度不易过低,惩罚性赔偿旨在增加侵权人的侵权费用。惩罚性损害赔偿一定程度上能有效遏制继续侵权的行为,也能弥补受害人损失,扭转受害人较高的经济损失与侵害人付岀畸低代价的现状。3.8加强行业自律建设
3.8.1设立行业自律组织
除去国家主导的《个人信息保护法》的保护体系,还应当在法人、其他组织之间开展行业白律。行业白律是在国家主导之下,行业内部形成的白律组织,出台自律规则规范行业内部成员行为,进行自律管理。个人信息的行业自律几乎在我国处于空白状态,因此,充分发挥行业自律的主动性,鼓励相关企业承担个人信息保护的社会责任,还有更大的空间。
美国的个人信息产业在自我监管方面处于世界领先地位,可以作为我国学习的对象。所以设立“个人信息安全监管会”作为自律组织,并确定委员会的基本职能、选举领导成员、下设理事会和监事会,将有能力处理个人信息行为的企业、组织尽可能的登记为会员等,使个人信息保护自律形成完整链。“个人信息自律委员会”的职责有两个:一是负责为公民提供救济咨询意见和技术性服务。二是对成员的个人信息处理技术、隐私政策内容进行定期与不定期抽查。“个人信息自律委员会”身为自律组织更能了解个人信息侵害现状,可以为个人信息的立法、修改提供建设性意见,并且能够召开会议促进个人信息保护的学术交流。
3.8.2完善自律规则
除了金融界的行业自律做的相对成熟以外,我国其他行业的行业自律发展较为落后,甚至没有行业自律组织与自律规则。自律规则与国家制定的“硬法”相比属于软法。它通过自律组织成员的内部监督、恪守道德保证实施,不需要国家强制力干预,维护秩序成本低。自律规则因其从微观方面考虑制定,制定程序简洁、民主,可以针对当下问题及时作出反应,灵活性较强实践中更具操作性。因此,自律规则的制定可以以现有的《互联网搜索引擎服务自律公约》为基础,结合行业的实践经验,根据公民投诉情况汇总邀请学者、成员代表讨论解决方案,将处于“空中楼阁"的宣示性条款进行修改,使制定的行业自律规则更有针对性。根据公民投诉情况汇总邀请学者、成员代表讨论解决方案,将处于“空中楼阁”的宣示性条款进行修改。自律规则应当以简洁易懂的方式,在进行具体个人信息处理业务的过程中对信息主体进行说明。3.8.3设立网络隐私认证制度
网络隐私认证制度也是行业的自律形式之一,其中以美国TRUST以及BBBonline最为典型我国也可以借鉴这种自律形式。鉴于美国的网络隐私认证由民间机构进行、自愿加入的模式,这样的认证方式存在着加入企业不多或是不愿公布隐私政策、认证客观性遭质疑的困境。因此,笔者认为网络隐私认证应当由“个人信息安全监管会”进行认证,是作为获得处理个人信息资格的一种必要条件。获得认证后的企业、组织进行备案,在系统或者网页等用户可以知晓的地方进行显著标识。有关部门进行按季度随机抽査或是对投诉情况定点审査其隐私政策,主要包括:是否存在“霸王条款”、是否变相剥夺公民的“免责条款”以及信息处理是否遵循其隐私政策等情况。考虑到美国的属于普通法系国家对“隐私权”的定义与大陆法系的“隐私权”的定义差异大,因只是作为制度进行借鉴,该制度的具体内容仍需要根据中国的实际国情进行制定、安排。
重要提示:转载本站信息须注明来源:985论文网,具体权责及声明请参阅网站声明。
阅读提示:请自行判断信息的真实性及观点的正误,本站概不负责。
论文服务
专科论文咨询
