文│北京邮电大学 黄东海 缑玉龙

随着信息技术的发展,个人信息的收集、分析和使用等行为无处不在,精准营销、人脸识别、信息共享等都隐藏着极大的信息安全隐患,因为大数据时代的信息技术很容易将用户画像与特定的自然人匹配。在司法程序中,传统的“知情—同意”架构以判定对个人信息的侵权是否成立为中心,而恰恰是这种传统架构却常常导致对个人信息的保护功能落空,致使个人信息安全得不到有效的保障。如何在数据利用、产业发展与个人信息安全保护之间寻求平衡,确立大数据时代个人信息安全保护的新架构,仍是法学界和政策部门要共同协作并加以切实解决的课题。

一、现行规范对个人信息安全的保护

传统的个人信息安全保护建立在“知情—同意”的基础之上。“知情—同意”是指个人信息持有者在信息收集过程中需告知个人信息主体,并获得个人信息主体的同意。艾伦·威斯汀于1967年首次提出“知情同意原则”观念。他提出,“个人、团体或机构有权自行决定何时、如何以及在何种程度上向他人传输自己信息。”此后,这一原则被许多国家的个人信息安全保护立法所采纳,并作为保护个人信息至关重要的工具。

严格来说,在司法程序中,传统的“知情—同意”更多的是一种程序性的裁判规则,很难做到实质的公平正义。尤其在大数据时代,个人信息持有者与个人信息主体之间悬殊的地位,更加大了个人信息主体的举证难度,这也是不可避免的现实问题。因此,在个人信息安全保护上,我们应该防患于未然,优化“知情—同意”架构。

二、“知情—同意”架构面临的困境

在“知情—同意”架构下,只有信息主体本人才有权决定是否提供其个人信息及其信息可被利用的方式。在“知情—同意”架构的实际运作中,个人信息收集者通常都会通过隐晦的方式获得个人信息主体的授权,例如,个人信息收集者在提供互联网服务时,通常要求个人信息主体在注册时与其签订用户声明、服务条款或隐私声明,如果个人信息主体接受同意后,则其授权给个人信息收集者对其个人信息的收集。这种方式是个人信息收集者获取个人信息主体“知情—同意”方式中投入最小、最高效的方式。这种方式看上去似乎是在征求个人信息主体的同意,似乎是公平对待个人信息主体的个人信息处分权,其实不然。如果个人信息主体不接受声明,则无法获得个人信息收集者提供的产品或者服务,这实际上架空了个人信息主体的权利。随着公众个人私权和自由意识的不断提高,这种“一揽子协议”往往会被视为“绑架个人信息主体”,也给企业造成不良的社会影响。大数据时代,无论是架构本身,抑或是适用的法律环境,都难免有不适应的状态,传统的个人信息安全保护架构也需适时改良。

传统的“知情—同意”架构无法完全呼应时代的挑战。首先,大数据时代个人信息收集无处不在、无孔不入,如果都要坚持“知情—同意”才能有效保护安全问题,巨量的社会成本将成为“不可承受之重”。这其中既包括个人信息主体付出的时间精力成本,也包括与个人信息主体签订隐私声明的个人信息收集者付出的财务成本。在与用户签订服务合同时,为了避免将来招致不必要的法律纠纷,个人信息收集者往往会制定晦涩难懂的个人信息收集声明。而这些声明往往是由个人信息收集者中专业的法律人士或者外聘的专业人士集体讨论,并经过多次修改而完成的,而且通常篇幅很长。这给普通用户的阅读带来了极大的障碍。现实中,个人信息主体往往越过个人信息收集声明直接点击同意,声明并没有发挥实质作用。其次,个人信息主体往往对个人信息并无实际的控制权,且权利的行使日益困难。在网络空间,如果个人信息主体拒绝接受隐私声明,则无法成为个人信息收集者的用户,也就无法享受其提供的产品或者服务。个人信息主体除了接受隐私声明之外并无其他选择,这在实质上剥夺了个人信息主体保护自己个人信息的权利,隐私声明对于保护个人信息主体实际上形同虚设。更重要的是,个人信息主体基本无法知晓其个人信息的流动与收集过程,更无法获知其个人信息后续控制者的情况,甚至对权利本身的存在与否都懵然无知,当然难以行使自己对其个人信息的控制权。例如,个人信息收集者可能与第三方签署协议,授权第三方连接其信息库或与第三方签署外包协议,将其信息加工阶段外包给第三方。在信息的二次利用方面,个人信息主体已经完全丧失了控制的权利。在大数据时代,个人信息主体的控制权面临着严峻的挑战。

传统架构也势必加大法律适用方面的困难。首先,在个人信息范围方面,针对单一维度所建构的“知情—同意”在当下个人信息有多种维度的环境下,法官也很难确认个人信息及损害之间的匹配关系。随着信息技术的发展,海量的个人信息被收集处理,使特定个人与其个人信息的匹配度日益增高。个人信息的范围也越来越广,增大了相关法律的适用范围。第二,法官很难判断“知情”这种主观状态中“知”的确切范围和真实状况。在个人信息主体与个人信息最初控制者建立合同关系时,个人信息的后续使用目的并没有被明确提示。个人信息的后续使用逐渐成为个人信息控制者创造财富的主要来源之一,而其收集的个人信息用于未知的目的或者说在个人信息后续分析的过程中,个人信息持有者也并不知道分析的具体目的,使传统的“目的限定”原则日益失去作用。第三,司法很难具体建立起责任人与损害后果的对应关系。随着个人信息的流动性增大,个人信息逐渐去中心化,后续控制者逐渐增多,而后续控制者并没有与个人信息主体的直接联系,这使对个人信息后续控制者的监管几近真空。当个人信息被泄露后,很难界定哪一方是责任主体。因此,传统的“知情—同意”架构很难适应大数据时代的司法需要。

三、可供借鉴的域外法制

在大数据时代,个人信息的安全风险是世界各国都不得不面临的问题,美国和欧盟都建立了适合自身发展的个人信息安全保护架构。美国“崇尚”自由利益,对个人信息安全保护的架构主要由“隐私权”的法律体系构成;而欧盟将个人信息视为一种基本权利,更加尊重人格尊严。

当个人信息的概念出现时,美国并未通过专门的立法对个人信息安全保护建立保护架构,而是通过对已有的隐私权概念进行扩大适用,以隐私权法律体系保护个人信息。美国白宫于2015年2月公布了《消费者隐私保护法案(草案)》,旨在保护消费者留在互联网的隐私,突破了传统的保护架构,引入了“以具体场景为依托、动态风险管理为手段”的个人信息安全保护架构。2018年,美国加利福尼亚州议会通过了《2018加州消费者隐私法案》,赋予消费者“要求企业披露其所收集的消费者个人信息的类别和具体要素、信息的收集来源类别或出售信息的目的以及信息共享第三方的类别”的权利。法案还明确提出了消费者因企业未采取有效措施保护个人信息安全致使个人信息遭到非法访问或者泄露的,有权就每次违规事件向企业提出100-750美元的赔偿金或主张禁止令等救济措施。

以德国为代表的欧洲大陆更加尊重人格利益,而这种理念也明确地体现在欧盟相关立法中。德国联邦宪法法院通过解释宪法中的人格尊严条款和一般人格权概念,发展出一项独立的“信息自决权”,“其内容包括个人得本着自主决定的价值与尊严,自行决定何时及于何种范围内公开其个人的生活事实”。德国于1977年颁布的《联邦数据保护法》正式将“信息自决权”确定为法定的绝对权,包括知悉、同意、更正、删除、被遗忘、请求救济等。欧盟对于个人信息安全保护的理念深受德国影响,在《欧盟基本权利宪章》中明确规定个人信息是具有宪法性质的基本权利。于2018年5月25日正式生效的欧盟《通用数据保护条例》(GDPR)第二条规定,“本条例保护自然人的基本权利和自由,尤其是自然人的个人数据保护权”,明确了“个人信息”属于基本权利。GDPR虽然引入了个人信息泄露通知、隐私安全评估等新的措施,突出了场景主导、风险评估等新理念,但仍认为,“知情—同意”是处理个人信息的基本前提。GDPR要求个人信息控制者证明个人信息主体已经同意对其个人信息的处理,还要求个人信息控制者应当以易于理解的形式、清晰明了的语言向个人信息主体提供书面同意的声明。

四、借鉴与优化

德国和欧盟的方式把个人信息权利视为一种基本人权,“知情—同意”构成个人信息利用的基本前提,法律对信息权利人的“同意”作了非常详尽的规定,操作性更强,个人信息权利的至上性和优位性十分明显;而美国对个人信息保护更重视具体情境和场景下的个案处理,更加灵活。毋庸置疑,二者的个人信息安全保护架构都是结合各自政治、经济、文化、社会发展以及历史经验总结而制定的。我国应该学习其有益经验,发展适合自己国情的机制。既要学习前者加强对信息权利的保护,又要避免因此对信息利用的阻碍作用;既要学习美国架构的灵活性,又要警惕在没有判例法体系支撑的条件下保护效果的不确定性。

基于经济、技术发展水平以及个人信息的保护现状,应更好地平衡个人信息权益保护和社会公共利益、产业发展三者的关系——既保护,又利用。因此,可以借鉴德国和欧盟架构,适当引入美国模式的一些灵活性办法,采取相对规范的制定法模式,通过法律规制和技术改进而适时作出变化,还应重点对因个人信息的分析、利用而引发的不可避免的风险进行规制,从而优化“知情—同意”架构。

第一,引入场景及风险导向理念。当个人信息收集者获得个人信息主体的同意后,即有权收集个人信息。在后续分析个人信息的过程中,可以根据一般的个人信息和个人敏感信息采取不同的“同意”机制。对于一般的个人信息,无需再次获得个人信息主体的明确的同意。对于个人敏感信息则需要再次获得个人信息主体的明确同意。在判断个人敏感信息和一般个人信息时,可以参考美国的“场景与风险导向”,以具体的场景为依靠,并由第三方机构作出风险评估,并作出区分。

第二,适用过错推定的损害赔偿责任。信息处理者在分析个人信息的过程中,应当严格按照行为准则进行。若违反相应的准则造成损害的,可参照欧盟做法,要求个人信息控制者证明个人信息主体已经同意对其个人信息的处理。而个人信息主体只需举证证明自己受有损害,无需证明损害结果与原因之间的因果关系。

第三,政府加大监管力度,并主导成立相关的行业组织。行业监管应确立以个人信息泄露的风险作为判断相关企业使用合规的标准,根据具体场景中的风险评估采取差异化保障措施,变信息处理前的静态合规遵循为信息使用中的动态风险控制,将关注重心转向个人信息的使用环节,评估其在不同用途及场景中引发的隐私风险,由此确定信息处理者相应的义务和问责机制。

(本文刊登于《中国信息安全》杂志2020年第4期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。