作者简介:吴嗣?X,中国农业大学人文与发展学院。

新一代信息技术发展的一个重要突破就是极大提升了数据处理能力,这也使得人们更容易在工作和生活中留下姓名、职业、住址、电话号码、身份证件号码、财产信息、消费记录等。这些信息被互联网记录和存储,非常容易被泄露和传播,甚至可以通过个性化推荐等算法分析而产生巨大商业价值。中国消费者协会2018年发布的显示,受访者中因个人信息泄露而被骚扰或侵害过的人数占比达85.2%,个人信息泄露的情况为数不少。在新一轮科技革命进程中,个人信息保护成为一个重要问题。

中图分类号:D923 文献标识码:A 文章编号:1009-059209-269-02

目前,我国侵权责任法、电子商务法、网络安全法等法律都有关于个人信息保护的规定,更多更专门的立法也被提上议事日程。在深入总结现行法律实施经验的基础上,学术界和实务界将对个人信息保护的有关法律问题进行研究论证,以进一步加强对个人信息的保护。个人信息说到底归属于信息主体个人,个人对这些信息应当有处置权。因而,促使个人信息收集者、处理者尊重个人的知情同意权,就成为个人信息保护法律制度设计的一项关键内容。

随着时代的发展,当今社会已经全方位步入了信息化时代,电子商务蓬勃发展。我国已经进人电商黄金时期,而且是以爆炸性的速度激增。资料显示网络销售每年以30%-40%的速度在增加,电子商务正以强劲的姿态,走入每个人的生活之中。在信息时代中,不仅意味着人们能够更方便、更快捷的查找自己需要的信息,也意味着信息所带来的经济利益几何级数地增长。作为社会核心组成部分、社会价值创造者的人类,其个人信息的价值则更是达到了前所未有的高度。对于个人信息的利用过程中,收集与使用是最为关键的两个环节。在电子商务企业争相收集、利用个人信息的同时,及其容易对信息主体造成侵害,因此十分有必要对其进行探讨。

在信息技术快速发展的当下,个人信息不断产生,同时被多种机构、企业存储和传播。个人有可能在不知情的情况下就失去了主张权利的机会。让人们能够恰当地控制个人信息,前提是让其有权了解自己的哪些信息正在被收集、使用。赋予个人信息主体以知情权,同时规定个人信息收集者、处理者负有告知义务,是维护个人信息自主权的需要,也是督促互联网信息产业透明运营的需要。

一、个人信息与电子商务的概念

2017年6月实施的网络安全法就体现了知情同意原则,其中第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。同时,根据其中第六十四条的规定,如果网络运营者违反了信息收集使用规则,有关主管部门可以责令改正,并根据情节单处或者并处警告、罚款。

关于个人信息的概念许多学者提出了自己的观点,如学者王利明认为个人信息是指与特定个人相关联的、反映个体特征的、具有可识别性的符号系统,包括个人身份、工作、财产、健康等各方面信息。学者齐爱民认为个人信息的核心要素是“识别”,是一切可以识别本人的信息的总和。这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。本文认为个人信息即是由单独个体产生出来的,能为外界所感知且具有一定载体的数据,且必须能够通过这些数据追溯识别到作为数据源的信息生产个体才能称之为个人信息。

在对个人信息进行保护的过程中,还需要依据实际考察现行法律所涉及的知情同意原则的实施情况。例如,网络经营者制定的个人信息保护政策可能因为复杂冗长或语言晦涩而让消费者难以理解,导致消费者的知情权沦为一纸空文。另一方面,大数据时代需要对海量信息进行批量处理、多方共享等,也让信息产业经营者呼吁确立知情同意原则的豁免规则。此外,对于未成年人的个人信息保护、不同风险类型的个人信息保护等,也有必要进行具体制度设计。

对于电子商务,还有学者提出电子商务是指涉及货物贸易和服务贸易的一切商务活动,只要这种商务活动是经由电子方式进行的,限于经由国际互联网的范围内。本文认为以电子信息手段为媒介以及对互联网的利用是电子商务区别于传统实体商务的最大区别,电子商务即是指以电子信息手段作为主要媒介进行的一切商事活动。广义上电子商务既包括整个过程全部经由电子信息手段完成的商事活动,也包括仅有一个或数个环节经由电子信息手段完成的商事活动;而狭义上电子商务仅包含整个过程全部经由电子信息手段完成的商事活动。

为了使知情同意原则的实施更加透明,应当明确个人信息的收集者、处理者在收集使用信息的不同阶段履行何种具体的告知义务。在用户首次进入时,信息收集者、处理者就应以明确、易理解的方式告知其个人信息存储和使用的内容、方式、范围、目的。此外,当个人信息的存储方式和使用目的发生变化时,用户提供了新的敏感个人信息时,个人信息收集者、处理者也应当履行相应提示告知义务。被收集信息者为未成年人时,应当建立特别规则,以加强对未成年人个人信息的保护。另外,法律明确规定的合法、正当、必要原则,在实践中如何科学界定,也需要进一步完善规则。知情同意原则着眼于人在科技发展中的主体地位,是个人信息保护的基石性原则。为个人信息安全扎紧防护网,我们才能在互联网的大海里安心畅游。

二、个人信息的收集与使用及权益侵害模式

个人信息的收集及其过程中的权益侵害

个人信息的收集是指信息收集主体通过各种方式获得信息主体也即信息提供者个人信息的活动。本文所讨论的个人信息收集排除非法的信息收集活动。在电子商务环境下个人信息收集的主体与模式出现了较大改变,呈现出新的特点。现在个人信息的收集者已经不仅仅是国家公权力机关和金融业、保险业等传统商业主体。以互联网为依托,伴随着电子商务的高速发展,各种各样的电商主体开始收集个人信息。除了个人信息收集主体增多,收集的方式也呈现出多样化的趋势。在国家公权力机关及传统行业中,个人信息的收集大都是“被动模式”,即信息收集者通过向信息主体提出要求,使其填写相应表格进而获得信息;在电子商务中,除了以往的“被动模式”外,个人信息的收集还呈现出“主动模式”的特点,即信息收集者通过各种信息技术手段,对信息主体在使用相应互联网服务过程中出现的使用习惯、浏览记录、聊天信息等信息加以记录与收集,经过大数据模式下的深度挖掘与分析,形成具有商业价值的个人信息。这种个人信息的新型收集模式已经越来越广泛地为电子商务企业所采用。

在个人信息收集过程中由于缺乏法律规制,导致信息收集活动往往无法可依,无章可循。目前的一些行业自律规范影响范围也都较小,对于个人信息的收集方法和范围、相关规定更是十分笼统,这直接导致了个人信息收集过程显得杂乱无章,以及对于个人信息的过度收集。
在个人信息收集的“被动模式”下,几乎所有电商主体均会制定相应的隐私条款,然而由于没有统一的规范,其相关隐私条款也是格式化文件,导致用户几乎没有选择余地,处于权益极容易受侵犯的状态。在个人信息收集的“主动模式”中,许多电商主体或互联网服务提供商均通过cookie技术收集用户的浏览习惯、搜索记录等个人信息,而这种收集方式往往没有征得用户的同意,甚至最基本的告知都没有。互联网用户越来越多的发现在网页的商业广告推送中出现自己曾经搜索过的物品或服务,这种未经信息主体同意的个人信息商业利用对信息主体的权益构成了极大侵害。

个人信息的使用及其过程中的权益侵害

个人信息的使用是指信息收集主体经过个人信息的收集行为后对相应信息加以利用的活动。广义的个人信息使用既包括对个人信息经济的以及非经济的利用行为,也包括对个人信息的储存与维护行为。而狭义的个人信息使用仅指对于个人信息的各种利用行为。本文所讨论的是广义的个人信息使用。在个人信息的使用过程中,传统模式下具体的信息商业利用和对于个人信息的储存于维护往往是由同一主体完成。而通过云技术的不断发展,使得个人信息的利用者与个人信息的储存、维护者出现分离。云服务器就是这种模式的典型代表。在这种新的模式下,可以影响和利用个人信息的主体呈现增加的趋势,对于相应的保护提出了更高的要求。

然而同样因为缺少法律规制,导致在个人信息使用过程中缺乏监督与相应的技术标准,缺少具体的对个人信息使用界限的约束,导致个人信息使用中的泄露与不当利用行为屡屡发生。互联网企业泄露个人信息事件时有发生。2014年3月,作为国内最大的在线旅游服务提供商,携程网被爆出现技术漏洞,可导致用户个人信息、银行卡信息等泄露。仅在2014年一年的时间里,造成重大影响的信息泄露事件就高达8起。而在因技术原因导致个人信息泄露之余,非法专卖也成为个人信息泄露的重要途径。有些商业主体通过合法手段获取用户个人信息后进行二次加工,转卖给不法商家,使后者通过骚扰短信、广告邮件等方式推送信息,对个人信息主体造成不良影响。
三、我国立法现状

虽然我国个人信息保护形势严峻,但目前对“个人信息”直接加以申明并予以保护的法律中仅有《护照法》、《身份证法》、《消费者权益保护法》等八部法律,另外在一些部门规章中也有针对个人信息的直接表述。在这些法律法规中,仅仅在个别条款中提及个人信息保护,且大多只是提出了要予以保护,具体的保护方式,权利义务关系,法律责任等均未提及。关于互联网环境下的个人信息,有《互联网电子公告服务管理规定》、《网络交易管理办法》、等部门规章予以提及,但基本与法律层面文件一样,只是进行了原则性规定,并没有具体制度。只有《电信和互联网用户个人信息保护规定》对互联网环境下个人信息进行了较为具体的规制。但是必需注意到,《电信和互联网用户个人信息保护规定》只是部门规章,其法律层级较低,且调整的主体局限于电信业务经营者和互联网信息服务提供者,显然无法满足目前个人信息保护的要求。对于个人信息的保护,我国立法目前存在较大缺位。

四、国外立法现状

虽然与我国目前立法缺失的现状不同,法制发达国家纷纷根据本国具体国情创设了较为详细的个人信息保护制度体系,这其中尤以欧盟和美国为代表。欧盟对于个人信息的保护中以国家为主导模式,首先通过国家立法承认个人信息是自然人的基本权利,应当采取相关立法予以保护。同时将个人信息的保护提升至宪法高度,在经济利益与之冲突时,优先保护个人信息。美国的个人信息保护以私权利领域保护为主,以隐私保护为核心,尽量减少政府立法进行强制干预,并采用以行业自律为主导的个人信息保护模式。在公权力领域多为对政府机关的信息收集限制。其承认个人信息的财产属性,并在一定程度上鼓励相关产业对个人信息加以商业利用。美国在其立法实践中创设了两项重要原则:告知原则与选择权原则。

通观法制发达国家对个人信息的保护,可以大致总结为两种模式,一是以美国为代表的分散立法模式,主要体现为行业自律,一是以欧盟为代表的统一立法模式,主要体现为有完整的法律体系使个人信息保护得以实现。所谓的分散式立法是针对于不同的行业设置不同的法律,这种做法在最大程度上遵循了各个行业自我发展的空间,并有针对性的规范各个行业内的行为;统一立法模式就是设定专门的法律保障个人信息安全,在这种模式下个人信息保护具有强制性,还会设置专门的保护网络隐私安全的执行机构。另外对于个人信息的保护态度,美国将其作为隐私的一部分加以保护,注重个人信息的财产性,鼓励相关行业设立行业自律规范进行自我规制,对个人信息的利用限制较少;而欧盟以及其他欧洲国家则将个人信息作为人格权的一部分加以保护,强调其人格属性,通过国家立法的形式加以保护,对于个人信息的利用限制较多。

五、个人信息的规制路径

面对当前的个人信息收集与使用现状,我国相关规范制度还存在较大缺位,有必要通过各种方式完善个人信息的保护,本文认为可以从以下几个方面着手:

完善个人信息保护法律规范,构建完备的法律体系

法律是调整社会规范最权威同时也是最有效的手段。针对我国个人信息的收集与使用情况,还没有一部具有针对性的法律层面文件进行规制,立法存在很大缺位。立法机关有必要加紧步伐,根据当前个人信息收集与使用过程中出现的特点与问题有针对性地进行立法工作,完善个人信息收集中关于收集方法、收集范围的限制性规定;对信息收集主体规定相应的告知与保密义务;通过法律手段确认与个人信息收集有关的格式条款中单方免责条文无效;规范个人信息的利用方式,对滥用个人信息的行为苛以严重的法律责任。

加强行业自制,完善行业规范

在行业自律方面通过政府的激励措施鼓励行业自身监督,建立完善相应的行业组织并广泛吸收行业内主体。充分利用行业自律的灵活性特点,处理个人信息主体与个人信息收集者、使用者之间的权利义务平衡。构建行业内的相关技术标准,提升个人信息的储存、维护有关的安全水平,提高信息收集主体的综合素质。

加强行政监管力度,强化管理

在电子商务环境下,受制于专业技术知识缺乏、经济实力不足等因素的影响,作为个人信息主体的用户往往处于绝对的弱势地位。一旦出现有关个人信息的侵权事件,会出现取证、举证困难的情况,通过民法进行保障显得力不从心。同时由于在侵害个人信息的情况下可能构成大规模侵权,但是对于单个受害人来说却损害轻微,形成“大规模的微型侵害”因此虽然去行政化是时代趋势,但在个人信息保护方面应该适当加强行政手段的监管,完善个人信息的管理保护力度。

建立监督机构,注重风险预防

在个人信息的保护中,可以借鉴欧盟建立专门监督机构的做法,设立专门的部门负责查办个人信息不良使用案件,同时增强调查取证的水平,加大对违法行为的打击力度,保障相关制度措施取得实效。由于个人信息侵害的行业影响很大,可以对于进行个人信息收集的电子商务主体进行不定期抽查,加强相关主体的危机管理意识,将风险及时消除。

相关文章

网站地图xml地图