法律如何保护个人信息与治理大数据
凤凰周刊2020年年底,成都一位新冠肺炎确诊患者的个人隐私信息被泄露并广泛传播,引起舆论关注,官方也迅速介入查处。以往类似的事件不断上演,不过令人欣慰的是,社会和政府对于个人信息保护的意识和动作已经有不小的进步。
过去一年中,在个人信息保护、数据治理等领域,立法层面出台了诸多相关的规范,司法机关在重要案件中积极适用和解释法律规则,行政监管和执法也在积极作为。立法、司法、行政、产业界都在为规则构建、难题破解、权利保护做出尝试和努力。本文挑选了2020年国内在个人信息保护、数据治理领域的重要法律规范规则和典型案例、重要事件,希望能够从中聚焦关注共识,展望国内后续个人信息与数据治理领域的发展趋势。
法律规范与规则建构
本部分选择了《民法典》《未成年人保护法》等综合性法律中有关个人信息保护方而的内容以及个人信息、数据安全等方而的专门性规范、规则进行梳理。在数字时代下,个人信息保护的“高度、宽度和深度”都不断扩展,以此更全面规范平台发展,保护个人权益。
(一)《民法典》关于个人信息保护
2020年5月28日,全国人大表决通过了《民法典》,人格权编独立成编,对个人信息受法律保护的权剩内容及其行使作了原则性规定,标志着个人信息主体的权利获得了基本法的确认,是我国个人信息保护立法体系的重要进步。
《民法典》第997条被称为人格权保护禁令条文,填补了以往在人格权保护领域行为保全制度的空白。第1032条第2款首次于国内法环境下对隐私权的概念和保护范围进行了明确,核心在于“私密性”;1034条第2款对于个人信息进行了定义,仍以识别性作为判断个人信息的标准。1034条第3款还规定了隐私权与个人信息之间的联系与区分,私密信息是个人信息与隐私权客体的交叉部分。1035条规定了处理个人信息的“合法、正当、必要”的原则,与《网络安全法》保持一致。1037条规定了个人信息主体的相关权利,除了延续《网络安全法》规定的更正权和删除权外,该条款进一步规定了自然人可以依法查阅或者复制其个人信息的权利。1038条规定了信息处理者的安全保障义务。
(二)《个人信息保护法(草案)》
2020年10月21日,全国人大常委会公布了《个人信息保护法(草案)》进行公开征求意见。《个人信息保护法》将是我国第一部关于个人信息保护的专门陛立法,是个人信息领域最为全面最为集中的法律规范,有学者称之为“个人信息保护的法治里程碑”。
《个人信息保护法(草案)》共八章70条,从个人信息处理规则、个人信息跨境提供的规则、个人茌个人信息处理活动中的权利、个人信息处理者的义务等方面进行了规定。在该草案中,明确了个人信息及相关概念的定义,并且,明确了法律的适用范围,坚持“属地管辖”原则的同时,也突出了必要的域外适用。确立了个人信息处理应遵循的基本原则,并对敏感个人信息处理提出增强性要求。完善了个人信息跨境流动规则,强调国际数据规则“对等”原则。与《民法典》相衔接,明确了个人在个人信息处理活动中的各项权利,包括知情权、决定权、查询权、更正权、删除权、规则说明权等。
(三)《数据安全法(草案)》
2020年7月3日,全国人大常委会公布了《数据安全法(草案)》进行征求意见,体现了国家对于数据安全领域的高度重视。草案共分为七章,分别为总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任及附则。该草案首次将数据作为生产要素,作为促进数字经济发展的关键因素纳入立法草案中。在总则第2条中依据保护管辖原则,赋予了《数字安全法》域外适用效力。首次提出数据出口管制概念,即国家对与履行国际义务和维护国家安全相关的属于管制物项的数据依法实施出口管制。并且明确了数据的分级分类保护制度,要求国家根据数据的重耍程度,以及危害程度确定数据的分级分类保护。
(四)《未成年人保护法》关于未成年人食人信息保护
2020年10月17日,《未成年人保护法》(以下简称《未保法》)修订通过。与2006年版本的《未保法》相比,其中的一个亮点是增加了未成年入网络保护的专章,这也是立法与时俱进,回应网络时代热点问题的体现,与未成年人传统保护体系形成互补。
修订后的《未保法》在总则第四条规定了处理涉及未成年人事项,应当符合“保护未成年人隐私权和个人信息”的要求。并在72条第一款规定了信息处理者处理未成年人个人信息时应遵循的“合法、正当、必要”的原则;并规定了处理14周岁以下的未成年人个人信息的,应征得“未成年人的父母或者其他监护人同意”。72条第二款规定了未成年人、父母或其他监护者对信息处理者的可以要求其删除和更正未成年人个人信息的权利。虽然是比较原则性的条款,但是已经体现出了立法对于未成年人个人信息保护的重视,为后续的专门立法准备了条件。
(五)其他规范规则
2020年3月6日,《个人信息安全规范》2020版公布,修订部分也更加强调尊重用户意志。其中在个人信息收集部分增加了“多项业务功能的自主选择”的要求.来破解捆绑授权的突出问题;明确征得用户同意时,不可采用“一揽子授权”方式。新增了用户画像、个性化展示的使用要求,同时更加关注到生物识别信息,对其收集和使用提出了更高的要求。
另外,2020年10月20日,市场监管总局也发布了新版《网络交易管理办法(征求意见稿)》,也从网络交易维度,对网络交易经营者提出了收集、使用用户个人信息的要求,着重提出“收集、使用生物识别信息、健康信息、财产信息、社交信息等敏感信息的,应当逐项取得被收集者授权同意”。
司法实践与监管执法
本部分主要选取了2020年宣判的涉及个人信息利用、企业数据竞争、人脸识别等方面的典型案例,从法院的裁判观点和理由出发,梳理总结类型化法院观点,聚焦共识、厘清争议,以及简要介绍监管执法内容,了解监管态势。
(一)司法实践
1.公开个人信息的再利用也应尊重个人信息主体的选择权利
2020年9月l0日,北京互联网法院公开宣判了“校友录”头像被爬一案【(2019)京0491民初10989号】。本案中被告百度网讯公司收录并置顶原告在“chinaren校友录”网站上传的个人账户头像、图片以及其与原告姓名的关联关系涉及个人隐私、个人信息,原告认为被告行力侵犯其隐私权及个人信息等权益。
2020年6月10日,苏州中院二审宣判了“启信宝抓取中国裁判文书网和人民法院公告网上判决、裁定书案”【(2019)苏05民终4745号】。本案中,被告启信宝网站转载了原告作为当事人的网上公开的法律文书,任何人均可通过启信宝网站搜索、查询到上述文书。原告认为被告行为侵犯其包括个人信息权益在内的人格权。
该两起案件均涉及公开个人信息的再利用问题,两案中原告也均曾要求数据抓取平台删除数据,平台均未删除。在此类案件中,法院的观点倾向于认为在原告通知删除之前,被告行为可以构成公开个人信息的合理使用,但在原告通知删除之后,被告拒绝删除则构成对原告个人信息的非法公开使用。
个人信息权益的核心在于自然人对其个人信息的知情同意权和对信息传播的控制权。个人信息主体对信息传播控制的人格权益显然高于已经合法公开的个人信息流通所产生的潜在财产权益,个人信息主体对其个人信息传播控制的权利更不因个人信息已经合法公开而被当然剥夺。
2.用户信息提供者对网络平台中的单个原始数据应享有控制权和使用许可权
2020年6月2日,杭州互联网法院公开宣判了“微信群控”案【(2019)浙8601民初1987号】,系首例涉及微信数据权益认定的不正当竞争案。原告为腾讯公司,被告开发运营的“某群控软件”,利用外挂技术将该软件功能模块嵌套于个人微信产品中运行,功能包括监测、抓取微信用户账号信息、好友关系链信息以及用户操作信息(含朋友圈点赞评论、支付等)存储于其服务器。案件争议焦点之一为被诉软件擅自收集、存储微信用户数据是否属于违反《反不正当竞争法》第二条规定的不正当竞争行为。
本案中法院对于平台数据权益和用户信息权益进行了论述,认为两原告主张数据权益的微信平台数据,可以分为两种数据形态:一是数据资源整体,二是单一数掘个体。就微信平台数据资源整体而言,微信产品数据资源系两原告投入了大量人力、物力,经过长期经营积累聚集而成的,能够给两原告带来商业利益与竞争优势,微信平台应当享有竞争权益。就微信平台单一数据个体而言,该部分数据只是微信平台的原始数据,对于原始数据,数据控制主体只能依其与用户的约定享有有限使用权。由于网络资源具有“共享”的特质,单一用户数据权益的归属并非谁控制谁享有,使用他人控制的用户数据只要不违反“合法、正当、必要、不过度、征得用户同意”的原则,一般不应被认定为侵权行为。
杭州互联网法院认为从促进创新竞争和利于消费者的角度考量,在给予网络用户平台方权利保护的同时,也应对其权利进行必要限制,避免平台权利滥用和数据垄断,在司法上实现用户信息权益与平台数据权益之间的平衡。
3.跨APP使用数据需在具体场景下充分考虑用户使用产品的合理预期,获得用户有效的知情同意
2020年7月30日,北京互联网法院对黄某起诉“微信读书3.3.0版本”侵害其个人信息权益及隐私权一案【(2019)京0491民初16142号】一审宣判。原告黄某在使用微信读书时发现,在其不知情的情况下,该软件获取原告微信好友列表、向原告共网使用该应用的微信好友公开读书信息、为原告自动关注微信好友并使得关注好友可以查看原告读书信息,黄某认为侵害了其个人信息权益及隐私权。
法院认为就微信读书收集原告好友列表,向共同使用微信读书的微信好友公开读书信息这一整体行为,并未获得有效的用户知情同意。微信读书中的信息组合与人格利益较为密切,微信读书迁移微信好友关系、默认向未关注的微信好友公开读书信息等,存在较高的侵害用户隐私的风险,应就信息处理方式向用户显著告知并征得同意。而该案中微信读书没有征得原告有效的同意,构成对原告个人信息权益的侵害。在判决中,法院提出用户“合理预期”的概念,提出“从微信读书与微信的关系来看,两个软件共用好友关系不符合一般用户的合理预期”,本案场景下,原告阅读的两本涉案书籍不具有“不愿为他人知晓”的“私密性”,故该案中对原告主张腾讯公司侵害其隐私权,法院不予支持。
对于互联网平台通过长期运营积累的数据资源,平台自然是可以在一定的限度内进行商业利用,而且即使是跨平台的数据使用,也不应被当然禁止。北京互联网法院提出,跨软件的数据使用应当根据具体场景,综合考虑软件之间的关系、数据使用的特点及数据的处理方式、获得用户知情同悫的方式。
4.个人信息收集应遵循“合法、正当、必要”原则,人脸识别信息收集使用需谨慎
2020年11月20日,国内“人脸识别第一案”郭兵诉被告杭州野生动物世界案一审公开宣判。2019年,郭兵购买了野生动物世界年卡,确定指纹识别方式入园。后野生动物世界将年卡客户入园方式从指纹识别调整为人脸识别,否则将无法正常入园。争议焦点为对经营者处理消费者个人信息,尤其是指纹和人脸等个人生物识别信息行为的评价和规范问题。我国法律强调对个人信息处理过程中的监督和管理,个人信息收集要遵循“合法、正当、必要”的原则和征得当事人同意,被告采集原告人脸信息,超出了法律意义上的必要原则要求,故不具有正当性。
“人脸识别第一案”虽然已经一审宣判,但是围绕人脸信息的采集使用、人脸识别的技术问题的争议远没有停止。面部识别信息应为个人生物特征信息,属于敏感个人信息。对于敏感个人信息的采集与使用,应当更加慎重。也有实务专家建议出台强制性标准,启用事前监管,才能更好地保护敏感个人信息。
5.个人信息保护公益诉讼探索
2020年,检察机关在个人信息保护的公益诉讼方而进行了积极的探索,检察机关也公开表态,要以民法典实施为契机,推动做妤公民隐私权、个人信息保护等方面的公益诉讼检察工作。原因也在于个人信息泄露事件频发,但个人取证能力、维权成本等方面都面临难题,检察机关公益诉讼是目前解决此一系列问题的有效方式。
2020年,江西、四川、吉林、陕西等地也都有公民个人信息相关公益诉讼案件的审理和宣判,更有包括广东、江苏、浙江、上海在内的14省份检察机关陆续探索将个人信息保护纳入公益诉讼范围。由此可见,检察机关为公民个人信息保护作出了诸多努力和尝试。
(二)行政监管执法
行政机关在个人信息保护方面呈现多元监管、主动监管的态势。2020年7月22日,中央网信办、工业和信息化部、公安部、国家市场监管总局四部门联合启动2020年APP违法违规收集使用个人信息治理工作,该项工作也是行政部门主动执法的重要体现,通过印发相关政策法规、成立专项工作组、对APP进行深度测评等方式帮助规范APP收集使用个人信息行为。
此外,行政机关还通过行政处罚的方式进行互联网个人信息领域的治理,通过警告、罚款甚至是下架APP、责令关闭网站等措施敦促企业做好个人信息保护工作。
个人信息保护、数据治理发展趋势与展望
(一)基础概念与体系急需厘清
对于“个人信息”的概念,相关的法律法规及案例都进行了一定的规范和解读,凸显出了个人信息的核心特点在于”可识别性”,但是不同的法律规范又有不同。《网络安全法》第七十六条的措辞是“识别自然人个人身份”、《民法典》第一千零三十四条表述为“识别特定自然人”,而《个人信息保护法(草案)》第四条为“与已识别或者可识别的自然人有关的各种信息”。不同的表述下,个人信息基础概念的内涵和外延是否存在差别,也是留待思考和研究的问题。
今后个人信息、数据治理规则体系的构建应更注重具体领域规则的确立,将现有法律一般性规定与特定领域具体规则相结合,才能真正做到符合行业特点、指导行业实践。如何有效完善规则保护体系,使各法律规范之间能够相互协调、相互补充,也是行业的迫切期待。
(二)企业数据利益与用户个人信息权益的平衡
一直以来,实践中涌现出了诸多企业数据权益与用户个人信息权益争议的案件,对于二者的边界,也一直引发了热烈的讨论。在此之前,“新浪微博与脉脉”案中,法院提出了“三重授权的原则”,法院一方面考量了在先企业的诉求,而用户意志的违反也是具有重要权重的考量因素。
近两年的争议也上升到关于用户明示同意后甚至是用户主动发起的对自己数据的获取并利用的行为,对相关问题,司法还没有明确观点回应。但可以确定的是,注重企业与用卢之间的利益平衡、挖掘数据的流通价值、保护数据安全、维护行业竞争自由、推动创新、促进消费者福利、防止数据垄断等,必将是实践努力的方向。
(三)立法、司法、监管共同发力,构建全方位个人信息保护格局
2020年的相关立法及规则构建,不仅仅是在《民法典》《个人信息保护法(草案)》中关注个人信息,更扩展了个人信息保护的规则领域。从未成年人保护到网络交易,相关规范也都对个人信息保护内容有所提及,显示出了国家对个人信息保护的重视。
法院及检察系统亦是积极研讨争议问题,探索保护路径,行政监管机关变被动执法为主动执法,积极发现违规行为,并进行相应处理和规制,形成了全方位的个人信息保护格局。
随着国家、社会对个人信息保护的态度趋向明晰,公民对更深入、更广泛的保护个人信息的需求也日益增加,涌现出了诸多个人投诉、起诉的案例,像“人脸识别第一案”就是其中的典型代表。这也反过来促进了立法、司法、行政等各部门形成合力,共同打击侵犯公民个人信息的行为,构建个人信息保护、数据安全的防火墙。
