个人信息合理的使用,需要做到信息主体自愿提供,自主取消,报酬请求,信息收集者明确收集目的,来源正当,安全保密,不得损害他人合法权益及社会公共利益。
近期连续报道出全国各地政府、高校泄露个人信息的案例,又一次触动了人们关于个人信息保护与使用的敏感神经。中国互联网协会公布的《中国网民权益保护调查报告2016》显示,2016年我国6.88亿网民因个人信息泄露、垃圾短信等造成经济损失达915亿,人均133元。人们对于个人信息的泄露惊恐不已,寻找法律保护的途径。立法者也积极地回应人们的诉求,相关法律如民法总则、网络安全法的出台等,都在为个人信息编织保护网。自10月1日正式实施的民法总则第一百一十一条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”“两高”也发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》),为人们注入了一剂强心剂。
个人信息的概念在网络安全法以及“两高”《解释》中均有提及:个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息的价值主要表现在两个方面:一方面,具有人格利益和自由价值。个人信息可以根据个人的生活轨迹勾画出信息主体的外在形象,具有可识别性,随着信息的积累,无论是购物、交谈、网络浏览记录,还是个人基本信息记录,均能形成对特定人生活状态的表述。另一方面,具有一定的财产价值。随着“互联网+”的概念兴起,大数据时代下的经营者对于个人信息的搜集能力显著提高,衍生出许多以搜集个人信息,提供咨询服务的公私商业机构,能精准地了解消费者、用户的需求,让企业付出较少的广告投入从而获取更高的收益。以搜索引擎广告联盟商业模式为例,网站获得广告费的基础是能够利用用户搜索的历史记录,利用含有个人信息的账号向用户投放个性化的广告。用户虽然免费使用搜索引擎,但是用户的搜索记录等数据反哺网站,是搜索业务得以获利的价值源泉。
对于个人信息保护不足,将会导致信息的泄露,造成人身损害与财产损失。但是,对于个人信息过度地保护将会导致信息的闭塞与不流通,阻碍信息社会的经济发展,背离个人信息保护的初衷。如何合理地使用个人信息也是人们关心的问题。对个人信息使用的需求主要有以下几种:
一是商业需求。企业通过收集、处理和利用个人信息将直接产生效益。从可交易的数据来看,位居前列的是关于个人信息的信用数据、行为数据、通信数据、医疗数据。在2017中国大数据产业博览会上,贵阳大数据交易所交出的成绩单是:交易流水累计突破1亿元。
二是公共管理和公益性利用需求,集中表现为国家安全,为防止、查明、追捕刑事犯罪,为国家或其他公共机构的重要经济、金融利益等目的以及社会组织或服务机构以学术研究或统计为目的进行的数据处理且已经采取必要措施确保该数据只用于学术研究或科学统计而进行的信息收集和数据处理等等。
三是个人信息的合理利用还能在社会诸多方面发挥作用。全国统一的个人信用信息基础数据库于2006年正式运行,通过对个人信用信息的利用,使每个公民都要对自己的行为负责,客观上促进了一个具有较高诚信水平社会的形成,例如银行发放贷款时对于个人信用的审核,2015年六盘水市公务员招录工作中根据“考生考试诚信数据库”拒绝录用6名考生。
个人信息合理的使用,笔者认为需要做到信息主体自愿提供,自主取消,报酬请求,信息收集者明确收集目的,来源正当,安全保密,不得损害他人合法权益及社会公共利益。如何合理地使用个人信息?
一是个人信息使用应当遵循合法、正当、必要的原则。消费者权益保护法第二十九条与网络安全法第四十一、四十四条均有明确规定,在收集、使用个人信息时,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,超出了合法性收集、使用的个人信息必然会受到法律的追责。
二是个人信息使用者应做到收集告知、内容正确、安全保护、及时补救。9月24日是“个人信息保护主题日”,由中央网信办、工信部等部门开展的针对普遍存在隐私条款笼统不清,内容晦涩冗长,擅自扩大收集范围,私自共享、转让个人信息等问题,公布对10款网络产品和服务评审结果。微信、淘宝等为用户提供了个人信息在线注销删除功能。滴滴出行细化了获取用户信息与对应的产品功能,用户可以作出选择。在与用户隐私联系最紧密的足迹功能中,百度地图给用户提供了可以选择记录“打开地图时的位置”“导航结束时的位置”,也可以“清空所有足迹”的设置。
三是区别个人敏感隐私信息、可直接识别个人信息与一般个人信息,对于个人隐私以及直接可识别信息,使用者在使用过程中需承担更严格的保护责任,必要时做到匿名化处理。美国、日本、欧盟等国和地区均采用个人敏感隐私信息的概念,将个人信息进行区分,采用不同的保护规则。2015年11月1日我国开始推行快递实名制,要求快递员核实寄件人的电话号码及相关身份信息,快递单上显示的姓名、手机号、地址等内容基本可以还原出99%的个人信息,对此,企业必须加强保护措施。仅2015年,全国快递企业重大信息泄露案43起,外流包含个人信息数据的订单达上百万张。当前,国内多个快递物流企业开始试用快递“隐私面单”,“隐私面单”用技术手段将快递单匿名化,快递单上用户的名字和电话号码中间4个数字,将被*字符取代,只保留基本地址信息,不仅提高行业的安全系数,减少消费者的顾虑,也进一步推动快递实名制的落实。
四是建立个人信息收集使用登记制度以及追踪机制。建立个人信息数据库的同时也应该成立个人信息收集登记与追踪机制,方便信息主体对于个人信息进行更改与补充,确保信息的完整性与真实性。网络安全法第四十二条第二款规定在发生或者可能发生个人信息泄露、毁损、丢失的情况时,网络运营者应当及时告知用户并向有关主管部门报告登记。《个人信息保护法(专家建议稿)》中就提出了建立个人信息保护的登记制度,即政府机关在收集个人信息之前需要就个人信息的名称、内容、使用目的、期限、收集方法等向信息资源主管部门进行登记。这项建议虽然是针对政府机关而言的,但却是个人信息得以合理使用的重要方式之一,将起到为个人信息侵权案件提供有力证据,维护当事人合法权益的效果。
五是健全信息主体维护个人信息权利的机制。网络安全法第四十三条以及四十九条赋予信息主体删除或者更正权,并且要求运营者及时受理并处理有关网络信息安全的投诉和举报。对于个人信息泄露时,信息主体维权过程中产生的“小额多数”的情况,传统单独诉讼不仅浪费司法资源,也加大了维权成本,我国当前代表人诉讼制度则很好地保障了信息主体的权利,符合诉讼制度效率性及经济性。个人信息侵权行为的归责原则可以借鉴德国个人资料保护法中规定的非公务机关个人资料侵权行为适用过错归责原则,并适用举证责任倒置。过错归则原则作为侵权法上的一般原则,赋予了经营者较为宽松的法律环境,有助于促进个人信息合理使用的自由、灵活发展,符合个人信息立法初衷。与此同时,适用举证责任倒置原则,解决了个人信息侵权案件中被侵权者举证难的问题,在一定程度上对侵权行为起到了遏制作用。当发生个人信息侵权时,由于个人信息具有人格利益,对于个人信息侵权行为,适当的精神损害赔偿将加强对个人信息的保护,促进个人信息的合理使用。
(作者米新丽系首都经济贸易大学法学院教授)