個人信息保護規範梳理和「數據權」經典案例啟示
本文首發於無訟閱讀 作者:馬瑞躍。
Facebook劍橋分析事件一石激起千層浪,Facebook此前也遭受過個人數據泄露的調查和糾紛,但此次Facebook泄露數據的嚴重程度不可同日而語,因為這一次竟有可能牽扯到川普總統選舉操縱問題,而劍橋分析公司作為第三方數據分析公司為其提供了精準投放的服務。個人數據的應用場景竟會和政治相關,人們不禁要問:我做的決定真的是我自願作出的還是別人引導我作出的呢?恰好百度集團董事長李彥宏3月26日發言表達了一個觀點「中國人願意用隱私交換便利性」,再次引發公眾對個人信息安全的熱議。
隨著大數據的廣泛使用,個人信息暴露在公共空間的可能性越來越大。公眾對於個人信息安全的需求和意識也越來越強,法律必須予以回應,司法裁判也應當發揮出社會指引作用。為理清我國現階段在個人信息保護方面的情況,筆者梳理了個人信息的保護規範,以及個人信息權(或數據權)方面的司法經典案例。
一、個人信息保護規範梳理
(一)個人信息保護規範匯總
(二)個人信息保護規範特點
1. 不同行業主管部門制定規範,個人信息保護趨向於嚴格。從上述規範可以看出,制定主體有工信部、公安部、銀監會、國標委等,呈現出不同主管部門制定個人信息保護規範的趨勢。個人信息保護具有一定的時空性,歐盟由95指令到GDPR(The General Data Protection Regulations,《一般數據保護條例》),對個人信息保護都趨向於更加嚴格,明確了知情同意原則、可攜帶權、可遺忘權等;而與之相反,美國在個人信息保護方面更加寬鬆了。從我國目前的規範中,明顯可以看出傾向於歐盟嚴格的立法態度,尤其是網安法,將個人信息自決權或個人信息權上升為人格權進行保護,個人要控制個人信息使用的全過程。
2. 刑事化懲罰為主,且呈現出更為嚴厲趨勢。我國個人信息偏重刑事化保護且有過度的傾向,如《刑法》第253條之一規定了侵犯公民個人信息罪(合併了刑七的出售、非法提供公民個人信息罪與非法獲取公民個人信息罪兩個罪名),第286條之一規定了拒不履行信息網路安全管理義務罪等。然而,不少學者認為數據的定義、權屬等基本問題還沒有釐清,就直接追究刑事責任,未免不符合邏輯和過於嚴苛,這也有可能影響行業的發展和數據規則的積極探索。下圖是筆者查詢的無訟案例中「刑事」「侵犯公民個人信息罪」關鍵詞分析圖表。
3. 歷時較久,仍未形成統一規範。我國正在進行個人信息保護立法,2017年3月全國人大代表、全國人大常委、財經委副主任委員吳曉靈,全國人大代表、中國人民銀行營業管理部主任周學東以及45位全國人大代表今年兩會提交《關於制定<中華人民共和國個人信息保護法>的議案》,建議儘快制定《中華人民共和國個人信息保護法》。今年兩會上也有代表建議加快個人信息保護法的立法工作。但是,我國個人信息及數據目前發展態勢並不明朗,並沒有形成統一規範。
二、我國「個人信息權」(或「數據權」)經典案例與啟示
(一)案例索引表格
(二)經典案例啟示
1. 大眾點評訴愛幫不正當競爭糾紛:法院審理認為,「大眾點評網」的商戶簡介和用戶點評,是漢濤公司搜集、整理和運用商業方法吸引用戶註冊而來,漢濤公司由此產生的利益應受法律保護。
2. Cookies朱某訴百度隱私權糾紛:網路用戶通過使用搜索引擎形成的檢索關鍵詞記錄,雖然反映了網路用戶的網路活動軌跡及上網偏好,具有隱私屬性,但這種網路活動軌跡及上網偏好一旦與網路用戶身份相分離,便無法確定具體的信息歸屬主體,不再屬於個人信息範疇。
3. 被遺忘權案任某訴百度名譽權糾紛:法院認為涉案信息是對原告的工作經歷的真實反映,與其目前所屬行業的個人資信具有直接相關性,這些信息的保留對於相關公眾知悉任原告的相關情況具有客觀的必要性,「被遺忘權」不具有正當性和保護必要性。
4. 大眾點評訴百度地圖不正當競爭糾紛:大眾點評網的點評信息是漢濤公司的核心競爭資源之一,能給漢濤公司帶來競爭優勢,具有商業價值。漢濤公司為運營大眾點評網付出了巨額成本,網站上的點評信息是其長期經營的成果。在靠自身用戶無法獲取足夠點評信息的情況下,百度公司通過技術手段,從大眾點評網等網站獲取點評信息,用於充實自己的百度地圖和百度知道。百度公司的行為構成不正當競爭。
5. 微博訴脈脈不正當競爭糾紛:北京知產法院首次提出明確網路平台提供方可以在用戶同意的前提下基於自身經營活動收集並進行商業性使用的用戶數據信息主張權利。該案確認了信息時代的數據包含一定的商業價值,是反不正當競爭法中應當保護的商業價值。判決書強調第三方平台使用授權平台所收集的用戶數據的「三重授權原則」,即:對於API平台在收集用戶數據應當經過用戶授權,API數據合作方之間的許可權應當經過平台授權,而在API中數據調取和使用平台在使用用戶數據中應當經過用戶的再次授權。
6. 龐某訴去哪兒網隱私權糾紛:法院指出個人有權自主決定是否公開及如何公開其整體的個人信息,將姓名、手機號和行程信息結合起來的信息歸入個人隱私進行一體保護,也符合信息時代個人隱私、個人信息電子化的趨勢。法院從消費者個人信息安全的角度說明經營者在掌握大量個人信息的同時,應當有相應的能力保護消費者個人信息免收泄露。
7. 華為、騰訊數據爭奪戰:此案例沒有進入訴訟程序,而是通過政府出面協商和解。概言之,騰訊認為華為正在通過其榮耀Magic智能手機收集用戶活動信息,以打造其人工智慧功能,收集的數據包括微信的聊天信息,這一行為侵犯了本應屬於用戶和騰訊的數據,並侵犯了微信用戶的隱私,騰訊已請求政府部門介入此事。華為方面則表示,所有用戶數據都屬於用戶,不單方面屬於騰訊或華為,該公司在榮耀Magic設備上處理用戶數據之前經過了用戶授權。硬體廠商與服務提供商之間的數據之戰引發了公眾關於數據權屬的思考,以及數據控制者如何獲得用戶授權的問題。
三、總結
「大數據」是當下的熱門辭彙,個人信息的保護問題是題中應有之意。然而,個人信息保護與數據相關行業的創新之間如何平衡,也是非常重要的問題。
在此問題上,歐盟和美國採取不同的態度。歐盟的互聯網企業並不發達,而在人權保護方面始終領先,即將在今年5月份生效實施的GDPR也是延續了歐盟的人權保護的一貫嚴格的態度。隨著互聯網的發展,企業間的數據流轉很多,如果按照歐盟GDPR的要求,每次數據流轉都要經過消費者同意,這勢必會影響企業效率和發展。美國3月23日通過了Cloud Act法案,該法案使得執法機構更容易訪問存儲在國外的數據,而這也體現了美國對個人信息保護的低水平,其目的在於促進個人信息自由地跨境流動,為美國公司方便地獲取、掌握,但同時也為少量適格政府(qualifying foreign governments)提供調取美國數據的機會以換取這些國家放棄數據本地化的規定。
那麼,我國究竟向左還是向右?隨著我國優秀的互聯網企業走出國門創造價值,發揮了一定的影響力,我想我們應該有能力根據本國國情和國民特點,制定具有中國特色的個人信息保護路徑,同時能夠促進產業創新和發展。
推薦閱讀:
※隱私是健康辦公空間的必要因素
※臉書又出「隱私事故」:遭黑客攻擊 5000萬用戶受影響
※保護隱私安全還得靠自己的良好習慣
※ABO官網:用戶隱私ABO給你保駕護航