【www.zhangdahai.com--其他范文】
杜 娟
(华东政法大学 法律学院,上海 210023)
大数据时代,人工智能技术广泛运用在人们日常生活中,各类互联网平台作为信息处理者每天接触到大量个人信息。该怎样对其进行规范处理才能既可靠保障个人信息安全,又能真实有效处理个人信息,已经成为世界各国面临的普遍问题。目前,已经有100多个国家、国际组织制定了个人信息保护方面的法律法规,体现出个人信息权的基本权利属性和信息主体控制自己信息的积极权利面向。例如,2009年开始施行的《欧盟基本权利宪章》第8条第1款规定:“任何人都享有对关乎自身的个人信息的受保护权利。”随着智能技术的发展和信息化的演进,1995年颁布生效的《个人数据保护指令》在个人信息保护方面存在明显的缺陷,不足以应对当前数据保护需求。欧盟2018年正式实施的最新个人数据保护法案《一般数据保护条例》对个人信息保护作出了一系列重大调整。该法案规定,信息数据处理者必须切实履行保护数据主体个人隐私权利不受侵犯的责任。
我国2016年通过的《网络安全法》第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。2019年开始施行的《政府信息公开条例》第15条规定,行政机关不得公开会对商业秘密、个人隐私等造成损害的政府信息,明确规定了对个人隐私的积极保护。2021年颁布的《民法典》,第四编第六章单独规定了“隐私权和个人信息保护”,平行放置隐私权和个人信息保护,在现行法律规定的基础上,增强了隐私权和个人信息的保护力度。如《民法典》第1035条规定了处理个人信息的原则以及必须满足的四种条件,赋予其法律效力,任何组织、个人都不得违背其所具有的法律意志。2021年11月,我国《个人信息保护法》开始实施,对特殊的个人信息处理者——互联网平台确立了“守门人”义务,加强了对个人信息处理活动的监督力度。
(一)个人信息的宪法价值凸显
《个人信息保护法》第1条明确宣示了立法的目的和宗旨——保护个人信息权益和促进个人信息合理利用。同时,该条最具亮点的地方是增加“根据宪法,制定本法”的规定,既体现个人信息权益是源自宪法对于人格尊严与自由的规定,而不是民法上的其他人格权益,又权威、鲜明地表明《个人信息保护法》的立法依据。
有学者在《个人信息保护法》最初的专家建议稿中提议,根据《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》规定,制定本法。其依据的法律和《个人信息保护法》都是由全国人大常委会通过的普通法律,处于同一价值位阶。而在《个人信息保护法(草案)》首次公开征求意见时只有“制定本法”四个字,接着在《个人信息保护法(草案二次审议稿)》征求意见中延续了之前的条文规定,即“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,制定本法”。在整个草案征求意见过程中,包括周汉华教授在内的多位专家建议将“根据宪法,制定本法”纳入《个人信息保护法》第1条,最终宪法和法律委员会经过思考、研究、反复讨论,同意上述意见,建议予以采纳。这一条款意义重大,此种措辞相当于以间接方式承认个人信息权益具有宪法价值。
我国《宪法》第38条“中华人民共和国公民的人格尊严不受侵犯”和第40条“中华人民共和国公民的通信自由和通信秘密受法律的保护”在1993年修宪时就已经提出。而“住宅不受侵犯”一条更是可以从1975年《宪法》中找到雏形。随后,我国于2004年修宪时引入人权概念,明确规定“国家尊重和保障人权”。国家有义务、有责任保护公民的人格尊严和享有宪法赋予的权利,这是由《宪法》作为根本大法性质决定的。制定施行《个人信息保护法》的依据就源自以上所列《宪法》条文。可见,个人信息保护的宪法基础是国家负有的保护义务。
在数字决定人权的当下,个人信息随时都可能受到侵犯,而宪法作为我国的根本大法,具有最高的法律效力和法律地位,从宪法本位出发制定《个人信息保护法》,使个人信息权益与人格尊严、隐私权等宪法性基本权利相融合,适应时代发展,显示了我国对个人信息保护的重视程度。同时,相对于《民法典》,《个人信息保护法》对个人信息的保护范围进一步扩大。以《宪法》强化对个人信息的保护,充分彰显了这部法律的时代性、本土性。
(二)过错推定责任进一步明确
《个人信息保护法(草案)》第65条指出,“因个人信息处理活动侵害个人信息权益的……个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”。该条文首先规定了过错推定责任,但如果个人信息处理者证明自己没有过错,却只能“减轻或者免除责任”,二者似乎自相矛盾,既表明可以适用无过错责任,又可以适用过错推定责任。在包括程啸教授在内的众多专家向立法机关提出意见后,《个人信息保护法(草案二次审议稿)》予以吸收采纳。同时,为了与《民法典》第1165条“造成他人民事权益损害”在规定上保持一致,明确“侵害”和“损害”之间的区别,恪守立法的科学严谨性,避免在条文之间产生矛盾和冲突,在条文中增加了“造成损害”。《个人信息保护法》第69条规定,“处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任”,进一步规定了过错推定责任,也就是在个人信息受到损害的情况下,不是由受损害方自己证明信息处理者存在过错,而是由个人信息处理者承担举证责任,证明自己在处理信息过程中没有过错。从立法上更体现保护“弱者”,即信息受损害方的权益,符合立法初衷。当然,从该法起草到正式颁布生效直至现在,对于第69条过错推定责任的规定,学术界仍有不少争议,存在不同观点。
一方面,以周汉华教授为代表的一方认为适用过错推定责任存在四个明显问题:首先,过错推定责任适用的领域范围十分有限,而今数字化席卷全球,个人信息涉及各个方面,可能会导致责任滥用。其次,个人信息处理是指个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,具有泛在性,信息处理者无时无刻不在和个人信息打交道,很难证明自己对个人信息造成损害不存在过错,这样有可能引起信息处理者部分范围的恐慌,不利于信息的交流与发展。再次,过错推定责任容易产生信息处理者在处理信息时是否公平的追问,处理不当将会引发更深层次的争议。最后,由于《民法典》规定隐私权侵权适用过错责任,而第四编第六章将隐私权和个人信息保护放于平行位置,如果采用过错推定责任,会造成二者一定意义上的差异,导致二者逻辑混乱,增大司法过程的难度和不确定性,造成司法资源的浪费。
另一方面,以王利明、程啸教授为代表的一方认为适用过错推定责任是《个人信息保护法》的一大亮点和创新,完善了侵害个人信息的法律责任。首先,适用过错推定责任,能够大幅度减轻受害人的举证负担,强化信息处理者的举证义务,从而为受害人提供有效救济;
其次,个人信息处理活动具有很强的专业性和技术性,信息主体与信息处理者处于信息、技术、资金等多方面的不对等地位,无法了解个人信息处理者在处理活动中存在什么问题,更无法提出证据加以佐证;
最后,采取过错推定的责任形态,有利于督促个人信息处理者严格履行保护个人信息权益的法定义务,矫正其违法处理个人信息的行为,维护正常的个人信息处理秩序。
(三)敏感个人信息范围扩充
个人信息,沿袭《民法典》的概念及范围,具体是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。敏感个人信息从属于个人信息,从文义解释来看,就是使人敏感、十分在意的个人信息,但是从法律视角下分析,敏感个人信息不能简单地理解为“使人敏感的个人信息”,而是指与人格尊严和财产安全联系密切的个人信息。《民法典》仅仅在第1034条规定了几类属于个人敏感信息的信息,而《个人信息保护法》使用了“个人敏感信息”的概念,并规定其相关处理规则,使个人敏感信息更加具体化。
在《个人信息保护法》立法过程中,直至草案二次审议稿都没有将未成年人个人信息纳入敏感信息考察范围之内,但在一些全国人大常委会组成人员、学术专家的多次建议下,全国人大宪法和法律委员会通过激烈讨论,最终提议将未满十四周岁的未成年人的个人信息划入敏感信息范畴,将对未满十四周岁的未成年人的个人信息处理从一般规定改到敏感个人信息的处理规则一节,规定在第31条,极大扩充完善了敏感信息内容,体现了该法的人道主义精神。至此,根据《个人信息保护法》第28条的规定,确定敏感个人信息有三个标准:一是人格尊严标准;
二是人身财产标准;
三是未成年人标准。敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
(一)告知—同意规则适用的限制
在《个人信息保护法(草案)》的说明中就提出确立以“告知—同意”为核心的信息处理规则,经过几次修改、完善,最终在《个人信息保护法》第14条至18条作出规定。告知—同意规则是指信息处理者在对个人信息进行处理时,应当充分告知信息主体有关个人信息被收集、处理和利用的情况,并征得信息主体明确同意的规则。
《个人信息保护法》的立法依据决定了个人信息保护必须严格遵守宪法,符合宪法的原则要求,可知告知—同意规则本身要受到相关宪法规定的基本原则的限制,即《宪法》第40条规定的通信自由和通信秘密受法律的保护。另外,还要受到处理信息的合法、正当、必要原则和诚信原则的限制。
《个人信息保护法》在第13条规定了告知—同意规则豁免的情形,虽然把“取得个人的同意”作为该条的第一款,但该条总共规定了七种情形。在数字时代,未来情况难以预测,豁免情形必定会不断增加,而个人信息安全的危险隐患必定也会增多。
告知—同意规则以个人意志自由与意思自治为基础,恪守尊重人格尊严的宪法原则。然而,“点击同意”成了大数据时代的“最大谎言”。各种平台在用户使用之前,都需要点击“同意某某协议”,而此协议通常十分冗长,使用专业术语偏多,一般人很难坚持看完,也看不懂,而如果不点击勾选,则不能使用该平台的功能。身处大数据时代,满足人们沟通、购物需求的各种平台已经完全融入人们的日常生活当中,且无可替代,尤其是在疫情防控期间对之“依赖”尤为明显,居家办公、居家学习、日常沟通等都离不开这些产品,用户只能“被迫同意”。
大量此类应用的出现,致使使用者几乎无法充分知晓“隐私政策”中规定的具体内容,久而久之,容易导致“同意疲劳”,习惯性地不去管“隐私政策”。但是有些应用程序会在“隐私政策”里增加一些对用户不利的条款,滥用告知—同意规则,损害用户个人信息权益,如百度在《百度隐私政策总则》里规定:可使用算法获取用户信息。所以用户难以对个人信息进行必要的自我防护,保障自身信息权益不受侵犯。可以说告知—同意规则的适用在某种程度上不利于信息主体维护信息权益,限制了对个人信息的保护。
(二)“场景理论”原理的限制
美国的尼森鲍姆教授在讨论隐私信息保护时提出了著名的“场景理论”,认为隐私信息保护的边界并非固定和非此即彼。相反,应当根据各种动态变化的因素相互作用、影响形成的整个场景,共同决定个人信息保护程度的高低。
在大数据垄断时代,各类互联网平台作为特殊信息处理者无时无刻不在进行信息的公开、传输、收集等处理行为,而恰恰是在信息处理的过程中,极易发生信息泄露、丢失、篡改等有损信息主体权益的情况。信息处理者对于该损害是否应当负有责任、是否能够视情节减轻或者免除责任,还需要慎重考虑。依据“场景理论”,当信息权益受到损害时,不仅需要考虑客观上的单纯的信息处理行为,考虑到信息处理者主观上的处理心态及其抱有何种期待可能性,还需要考虑到处理信息时的动态情境,而不能简单地评价处理行为合法与否。
《个人信息保护法》在第五章专门规定了信息处理者在处理信息时应当履行的义务,其中第55条规定处理信息前必须进行影响评估的五种情形,就是“场景理论”的体现。除上述规定外,其他处理行为也需要结合“场景理论”。隐私信息是个人信息中最为重要的类型,如果不综合考虑具体场景,只从受害方立场出发,可能会限制信息处理者的处理范围,压制互联网时代个人的表达自由,而如果过度纵容,可能导致场景泛化,流于形式,极大损害个人信息权益。
在疫情防控期间,“场景理论”对个人信息的限制体现得十分明显。对于新增新冠病毒核酸阳性检测者的活动轨迹及时公布,其活动轨迹大多涉及个人信息,属于个人信息保护范围,但在“防疫场景”下,适当公布信息主体个人信息是必要的,不需要承担相关责任。为了配合防疫工作需要,公开必要限度的个人信息是合理的,即所谓的“紧急不避法治”。2020年2月9日,中央网络安全和信息化委员会办公室指出,“鼓励有能力的企业在有关部门的指导下,积极利用大数据,分析预测确诊者、疑似者、密切接触者等重点人群的流动情况,为联防联控工作提供大数据支持”。因此,个人隐私信息保护要受到“场景理论”的限制。
(三)隐私权的限制
《民法典》第1032条对隐私权作出规定,隐私是私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,隐私不想让除自己之外的人知晓。个人隐私与个人信息处于交叉关系,是两个不同的概念,存在内涵和外延上的差异。当个人隐私受到侵害时,依据《民法典》第1034条的规定,要看隐私权是否对其作出规定,没有规定的再适用《个人信息保护法》的规定。
隐私权,是能够排除他人非法干涉的人格权,于 2010年实施的《侵权责任法》中首次得到立法的认可。隐私权包括三大部分:隐私保密权、隐私保护权以及隐私支配权。《民法典》第1033条列举了六种侵犯隐私权的行为,其中第六种“以其他方式侵害他人的隐私权”是兜底条款。
《个人信息保护法》规定了处理个人信息应当遵循公开、透明原则。涉及个人信息不外乎以下几种情形:第一,日常生活交往需要,如订立合同;
第二,法律规定;
第三,职务或者业务上的要求;
第四,公共利益需要等。而以上情形都需要考虑隐私权的限制,处理不当可能会侵犯隐私权,产生民事责任。民事主体在对隐私和个人信息的态度上有所不同。对于隐私,我们不愿意让他人知晓,而对于个人信息,更多的是不希望信息处理者通过处理信息来获知我们的身份。在运输快递的过程中我们不介意公众知道快递单号、购买的物品以及收货地址,而是介意通过快递单号等基础信息得知是自己购买了该物品。例如,甲家住101室,购买电视机一台,甲并不会介意其他人知道101室购买了电视机一台,但他并不想让他人知道是其购买了电视机。
一方面,隐私权属于民事权利,而个人信息保护是一种民事权益。从权利位阶的角度来看,民事权利相对于民事权益而言要高,因而隐私权作为一种高位阶的权利,应当优先适用。另一方面,隐私权具有排他性,相对于个人信息保护而言,是一种强保护,在个人信息与个人隐私交叉或者重合的地方,能够适用隐私权就不必考虑个人信息保护。
《个人信息保护法》的施行,在保障个人信息权益的基础上,促进了数据信息的安全自由流动与合理有效的利用,推动了新时代数字经济的发展。对于在数字经济中发挥巨大作用的互联网平台,更是确立了“守门人”的义务。要切实保障个人信息安全,应当进一步加强对平台个人信息处理活动的监督,以防止非法的个人信息处理活动产生。
(一)健全个人信息保护的制度合规体系
健全个人信息保护的制度合规体系,必须严格贯彻落实《个人信息保护法》相关规定。制定该法的主要任务就是防范已存在的以及尚不能预测的风险。风险具有不确定性,且个人信息涉及范围广,随便哪一个环节出现“故障”,都可能导致信息主体受到一定的损害,甚至危及其他信息主体权益。出于这一目的,必须防范于未然,从平台和信息主体两方面考虑,健全个人信息保护的制度合规体系。
一方面需要明确平台对个人信息的使用界限。平台相对于个人而言处于优势地位,其在处理信息时,可以自行处理的、必须经过个人同意的信息分别有哪些,虽然在《个人信息保护法》中都有规定,但个人信息风险等级大不相同,难免会有疏漏,应当通过多方面综合确定使用界限。同时,事前对信息处理行为进行影响评估,及时做好记录;
事后存在一定的危害个人信息的可能性或者已经造成损害,应当采取积极行动有效避免或者减轻损害。需要明确个人信息处理者处理信息的目的,做到真实、准确、完整。
另一方面,关于信息主体,首先必须要做的是确保其对于个人信息处理者享有的权利,比如信息主体发现其个人信息不完整、不准确,可以行使权利要求信息处理者及时补充、更正。而当信息处理者拒绝其正当权利,如不愿意删除公开的隐私信息时,可以依法向人民法院起诉,也就是需要进一步完善个人信息保护投诉、举报制度。
(二)进一步规范告知—同意规则
平台在处理个人信息时需要遵守个人信息处理的合法、正当、必要原则,要求信息处理者在告知时做到真实、准确、及时,以及把握民法中“格式条款”在告知情况下的适用。
全国人大宪法和法律委员会在关于《个人信息保护法》第一次草案修改情况的汇报中,建议在误导、欺诈方式的基础上,进一步明确“不得通过胁迫方式处理个人信息”,并规定在总则第五条当中。鉴于用户“同意疲劳”“被迫同意”等问题的出现,对“胁迫”一词该怎么认定值得深究。“胁迫”,顾名思义,是指威胁逼迫,在民法上是指使他人产生恐惧心理,并基于此恐惧心理作出违背其真实意思的行为。各类互联网平台在用户使用前必须同意的“隐私政策”,虽然让用户产生恐惧心理,但迫于需要不得不同意。是否应将其纳入“胁迫”范围或者在多大程度上属于“胁迫”范围,需要有关机关进一步明确。或者说,需要有关机关尽快针对平台行为出台相关政策、司法解释,整顿“隐私政策”,更好地保护个人信息。
作为特殊信息处理者,平台必须严格遵守《个人信息保护法》第五章规定的义务,依法对个人信息进行处理,当个人信息受到损害时,及时采取最有效、造成损害最小的补救措施,减少信息主体的损失。另外不能局限于法律条文,要结合“场景理论”,灵活调整,把握好规范制定与适用之间的关系。
(三)处理敏感个人信息做到单独同意
对于敏感个人信息,平台在处理时应严格做到取得信息主体单独、明确的同意,需要采取书面形式同意的要作出具体规定。处理敏感个人信息,应当做到以下三点:
首先,信息处理者需要履行诚实信用原则,将其处理行为对个人信息权益可能产生的影响,事先准确、真实地告知信息主体,绝不能对相关情况有所隐瞒、编造虚假情况、夸大可能造成的后果。
其次,必须取得信息主体,即个人的单独同意,而不能取得与其有亲属关系、从属关系等人的同意。当然,如果是未满十四周岁的未成年人,由于其心智还未完全成熟,必须由其父母同意,父母被人民法院撤销监护资格的,由其他担任监护人的人同意。法律规定采取书面形式的情形应当具体明确。如果仅有口头同意或者默示同意,没有取得书面同意,则不能认定为获得明确同意,不能处理敏感个人信息。
最后,处理敏感个人信息的特定目的必须具有正当性、必要性、关联性。处理敏感个人信息目的具有特定性,不能对特定进行简单理解,泛泛而谈,需要在适用中把握特定的“度”,即需要有关机关对“特定”作出相应的解释。一方面避免特定普遍化,扩大信息处理者的处理目的;
另一方面避免特定“僵硬化”,如果僵硬地只规定几种特定情形,会严重限制信息处理者的处理活动,导致信息流通不便。在信息化时代,处理行为时时刻刻都在发生,这样的规定对信息主体和信息处理者都极为不利。
(四)科学处理隐私权和个人信息保护之间的关系
《民法典》将隐私权和个人信息保护放于平行位置,在具体情形中,需要分辨清楚究竟是侵犯隐私权还是个人信息权益。由于隐私权的排他性,同时隐私权作为一种高位阶的权利,相对于个人信息保护而言应当优先适用,而对于这种单一的法律保护规定,难以很好地适应人工智能时代。
对于隐私权的侵犯,主要是使权利主体遭受精神损害。而侵犯个人信息则涉及方方面面,小到人身利益、财产,大到国家安全、经济安全。因此,有的学者指出,隐私权不可与个人信息保护相提并论,仅从权利位阶的角度和排他性方面来看,给予隐私权更高程度的保护,没有充分合理的实践证明和理论支持。民事主体享有隐私支配权,可以选择公开自己的隐私。根据《民法典》相关规定,已经公开的事项,就不再认为是隐私,至少可以作为免于责任的合法事由。而个人信息也并不是公开后就不受法律的保护。《个人信息保护法》保护个人信息权益,涉及信息的保护和利用,并不同于隐私权的私密性。所以需要协调二者之间的关系,避免产生制度混乱。
(五)引入新技术和社会规范等新治理方式
以技术编码和自治伦理为主的技术治理,能够自发解决法律无法意识到或是欠缺处理能力的平台治理问题。应该在公开透明、公平合理、维护数字人权等原则的指导下,落实平台主体责任,监督平台建立风险评估机制,研发相关技术工具,以更好地落实平台个人信息保护责任。社会规范治理层面,应当引入网络规范,在补充、调整网络法的适用和执行的同时,充分发挥网络规范对平台规则制定的推动作用,以及网络规范对平台规则与网络法联动的影响。同时,平台要定期进行自我排查和反思,为其自身正常运作创造良好的环境。
结语
人工智能、大数据技术的发展,使得数据成为决定权利的重要因素,个人信息泄露、隐私权受到侵犯产生的风险无法得到准确预测,《个人信息保护法》对协调个人信息权益保护与个人信息合理利用之间的关系意义重大。在司法过程中,将个人信息保护作为数据利用的前置性要件,从“知情同意”机制失灵等问题入手,进一步规范个人信息的使用,有利于新时代依据数字经济理念构建数字社会的法律治理体系;
对平台个人信息保护责任提出完善路径,更加有利于打造与时俱进的中国特色社会主义法治体系。
