大数据背景下公民隐私保护的困境与出路
作者:黄丹丹
来源:《商情》2019年第39期
【摘要】科学技术是一把双刃剑,在造福人类的同时也会给人类的生活造成一定的危害。大数据背景下,人们在享受着互联网带来的衣食住行等方面的快捷服务的同时,又不得不为自身隐私权受到侵犯而困扰。本文首先介绍大数据背景下隐私权侵权的几种方式,再通过分析域外国家对公民隐私保护的相关规定,最后提出保护隐私权侵权问题的建议和措施。 【关键词】大数据;隐私权;立法保护
如今,人们生活的方方面面都离不开互联网,但由于我国没有严格的立法而导致公民的隐私信息大量被泄漏和不当使用。例如随意打开一个网站进行搜索,当再次打开该网站时,平台就会持续推荐类似商品并永久保存用户的浏览记录等。近年来,国内外发生的隐私权侵权案例也不计其数,例如2013年的cookie隐私第一案,朱烨诉百度公司在未经其知情和选择的情况下,利用网络技术记录和跟踪其搜索的关键词,对其浏览的网页进行广告投放,侵犯其隐私权。再如2018年的Facebook公司由于管理纰漏,造成超过5000万的用户信息数据被泄漏,并被政治数据公司“剑桥分析”获取并利用等。这一系列事件证明在大数据时代人类隐私权正在面临着巨大的威胁。
一、大数据时代的隐私权侵权方式
第一种方式是隐私数据的不当收集。用户在使用软件进行生活活动时,软件通常会强制用户提供个人信息进行验证或者需要用户允许平台访问其相册或者通讯录等,否则就会产生无法登录的现象。据新华社调查发现,部分信用卡客户的隐私信息在QQ群中进行“黑市”交易。并根据数据信息“质量”的差异,价格也会有所不同。使用QQ群查找功能,搜索“电话销售”这一关键词,找到约200多个有“数据交流”的QQ群。在微信及一些电子商务平台“电子销售”交流圈也大量存在,多位信息贩子表示:每条信息价格从2分钱到五毛钱不等。此外,黑客非法入侵也对隐私信息产生威胁,近年来黑客侵入个人网络空间获取隐私信息、酒店非法安装摄像头进行敲诈勒索等案件层出不穷,对隐私权造成了极大威胁。
第二种方式是对隐私信息数据的二次利用。大数据的价值不再单纯来源于它的基本用途,而更多源于它的二次利用。通过加工、分析、提炼等方式通过数据的关联性与规律性得到新的隐私信息。特别是在电子商务领域内,对消费者的数据加以分析从而获得更大的商业价值已经变成各个商家的重要竞争手段。二次利用的弊端在于,一方面,隐私信息数据的收集者通常不会告知用户数据的使用情况,甚至还故意隐瞒数据的用途;另一方面,隐私数据的二次使用大多数未获得隐私主体的知情或许可。
龙源期刊网 http://www.qikan.com.cn
第三种方式是隐私信息数据的扩散。根据中消协2018年9月发布的《App个人信息泄露情况》统计数据,超过85%的消费者遇到过个人信息泄露的情况。2018年8月底,在美上市的连锁酒店集团华住酒店被曝旗下酒店约5亿条个人信息遭泄露,并在境外黑市中售卖。黑市中的卖家声称,以上数据信息的截止时间为2018年8月14日,数据共140G约5亿条,标价8个比特币,约为38万元人民币。2018年9月,常州大学怀德学院部分学生报警称:有在校学生身份信息遭到泄露,泄露信息的学生人数超过2600名,这些个人隐私被卖到多家企业,疑被企业用于偷逃税款。这些被泄露的隐私数据由于经济利益或其他原因被扩散后,使得“人肉搜索”等侵权手段亦频繁发生。 二、我国隐私权保护的法律追溯
我国对个人隐私的保护反映在不同地法律当中。《宪法》第38条规定:“中华人民共和国公民的人格尊严不受侵犯。禁止以任何方式侮辱、诽谤和诬告公民。”虽然该条款没有直接规定“隐私权”但可以将其视为保护公民隐私权不受侵犯的基础。《宪法》第39条规定“公民住宅不受侵犯”以及《宪法》第40条规定“公民享有通信和通信自由的权利”也同样为保护公民隐私权提供了宪法依据。在部门法的层面,《刑法》第245条“非法搜查他人身体、住宅,或者非法侵入他人住宅的”处三年以下有期徒刑或者拘役。《侵权责任法》第2条和第36条对“隐私权”和“网络服务提供者的侵权责任”进行了规定。《未成年人保护法》第39条规定“任何组织或者个人不得披露未成年人的个人隐私。此外,还有部分行政法规、司法解释等也有所规定。但缺点在于我国对隐私权保护的立法过于分散和碎片化,隐私权保护专门法缺位,特别规则多,普遍规则少。这种立法使得规则在现实生活中的适用具有不确定性。部门规章太多,行业主体不指导具体应当遵守哪项规则,执法部门不明确具体的职责。此外,现有法规通常仅适用于部分私人信息。例如侵权责任法只保护私密性的隐私信息,金融和保险行业只保护某些类型的私人信息,如何保护未包含的私人信息却没有法律依据。随着人工智能和大数据的快速发展,各类隐私信息都有可能面临着被非法侵犯,因此这种不具体、范围不够宽泛的规定显然是不够的。
三、隐私权保护的域外规定 (一)美国
美国对于公民的隐私保护没有具体的相关法律规定,主要体现在行业自律。立法层面包括:1974年的隐私法案,这是一项保护隐私权的全面立法。该法详细介绍了政府机构该如何收集个人信息,可以储存哪些个人信息,如何向公众存储和披露个人信息以及信息主体的权利。这规范了联邦政府对个人信息的处理,并平衡了隐私保护与个人信息的有益使用之间的紧张关系。此外,还在通讯、教育、金融等领域开展了特别立法,例如1999年的金融服务现代化法和2015年的消费者隐私权法案等。对于国家立法未涵盖的领域,美国大都采用行业自律模式,通过更灵活、更简单的行业规则来保护个人隐私。目前,行业自律主要有两种模式:推荐的行业指南和在线隐私认证计划。大多数推荐的行业指南都是由保护个人隐私的自律组织制定的,参与组织的成员必须遵守行业准则。例如“美国隐私在线联盟”,该组织在联盟成员在线
龙源期刊网 http://www.qikan.com.cn
收集用户隐私信息时,引入了“在线隐私指南”需遵守该指引的相关要求。网络隐私认证通过向符合通过个人隐私保护标准的组织颁发隐私认证书来促进个人隐私保护。此类组织要求所有经过其认证的成员都发布隐私声明,使用户能够控制其私人信息,并为争议提供适当的安全措施和投诉解决机制。 (二)欧盟
1995年欧盟颁布了数据保护指令,该指令规定了私人数据处理原则,法律补救措施,向其他国家转移私人信息数据以及监管和执法措施。立法概念以保护个人隐私为基础,同时考虑到信息的自由流动。为响应大数据和人工智能的发展,欧盟于2012年颁布了一般数据保护条例。一般数据保护条例在隐私数据安全监管上中具有以下特征:明确个人数据的范围,位置数据、IP地址和cookies等网络识别数都是个人数据,基因数据也属于个人数据;数据管理员应及时清除其保留的个人数据,并明确清理数据的权利;数据主体有权使用被数据服务提供商所持有的自己的数据,也有权将自己的数据从一个服务商移送到另一个服务商;增加数据控制者的义务。
四、大数据背景下隐私权保护问题的建议
首先,制定专门的隐私权保护法。目前,我国没有关于隐私权的具体立法。在大数据的背景下,平台通过收集和使用隐私数据进而侵犯公民的隐私权案件逐渐呈上升趋势,而仅依据刑法或民法总则的相关规定很难得到有效补偿。笔者认为可以从数据的收集和使用进行细化规定,同时保护数据主体的知情权,尊重数据主体的所有权,允许他们对数据在合法范围内进行更改和删除等。其次,可以借鉴美国相关经验,建立相关行业的行业自律组织。当尚未颁布专门的隐私权保护法时,建立行业自律组织有助于保障基本有序的产业环境。自律公约可以囊括以下方面的内容:首先,规制人工智能企业在数据收集、使用、存储、流通和所有权方面的相关行为。然后制定具体的责任机制,明确违反公约的处罚措施。再次,自律公约应根据人工智能和大数据的发展情况进行及时修改,以适应和包含不断变化的隐私权侵权方式。 參考文献:
[1]周汉华.个人信息保护前沿问题研究[M].北京:法律出版社,2006.
[2]张平.大数据时代个人信息保护的立法选择[J].北京大学学报(哲学社会科学版),2017(3).
[3]邵国松,黄琪.人工智能中的隐私保护问题[J].现代传播,2017(12).
[4]鞠晔,王平.云计算背景下欧盟消费者个人敏感数据的法律保护[J].法学杂志,2014(8).
[5]刘浩.人工智能时代的隐私保护问题[J].法制与社会,2018(4).
龙源期刊网 http://www.qikan.com.cn
因篇幅问题不能全部显示,请点此查看更多更全内容