1. 问题的提出
近年来侵犯个人信息及数据安全的案件频发,个人信息保护面临着全新的威胁和挑战。党的十九届四中全会首次赋“数据”生产要素之义,预示着数据安全和个人信息将会继续成为社会财富可持续增长的强大动能。而互联网大数据的进步与发展使得“数字社会”的进程飞速加快,随之,公民的个人隐私简化为一条条数据暴露在互联网企业面前,由此引发个人信息泄露、大数据“杀熟”、电信诈骗等一系列的问题。2023年3月15日,中消协发布2023年消费者维权年主题调查报告,报告显示,“个人信息泄露烦恼多”在诸类问题中登顶。从问卷采访的反馈情况来看,个人信息泄露问题仍然困扰着消费者,排在各类问题首位(37.3%)。对比2022年消费维权年主题调查结果,多数受访者对于互联网平台、APP产品强制要求授权和索取个人信息的行为表示反感,反对当前APP产品强制要求授权和索取个人信息的比例达46.7%。1
《中国共产党第二十次全国代表大会报告》提出“推进国家安全体系和能力现代化,坚决维护国家安全和社会稳定”2,本条内容着重强调了要“加强个人信息保护”,维护公民对于个人信息的自决权。进入大数据时代后,个人信息数据由依附于纸张文本的静止形态向数据化的动态形式转变。数据由于其天然的流动性和可复制性,可以通过互联网介质流通传播,以动态的形式存在于一条条数据链中,无数链条交织为庞杂的数据网络。数据化在社会生活的各个领域已经成为不可逆转的潮流,个人信息除了凝结了商业价值与资产收益外,其收集、整合、加工、储存、使用过程中也伴随着发后的特殊时期,各行各业都加快了自身数字化的步伐,“居家式”办公医疗的大环境下使得公民不得不向各类程序APP授权获取个人信息,特别是敏感信息,这也成为后期大规模隐私泄露事件的导火线之一,也为初具雏形的个人信息法律规范体系蒙上了厚厚的灰尘,加剧了信息处理者、监管者与信息主体之间的不信任,这时,完善个人信息的法律规范机制就显得尤为重要 [1] 。
2. 现行法律框架下个人信息的法律规范现状
公民个人信息权益保护法律体系在宪法的基础上得以构建,特别是迈入数字时代后,各类数据保护法律呈现出喷井式的发展。针对个人信息保护,我国不断完善民商法、行政法、刑法等领域的个人信息确权和防御机制,目前已初步建立了兼顾公法与私法领域,由法律、法规、规章以及各类规范性文件等所共同组成的多层次、宽领域的个人信息法律保护体系。
(1) 《中华人民共和国个人信息保护法》——个人信息保护特别法出台
2021年11月1日《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)正式实行,标志着历经半个世纪,我国正式建立了与数字大国相匹配的法律制度,该法及时回应了数字经济时代下数据法律保护的发展需求,也为数字经济全球治理提供了中国方案,是一部覆盖全行业,渗透信息网络各个领域,几乎对数字经济下所有的法律关系进行界定、规制,对宪法性基本权利进行保护的基础性法律。
《个人信息保护法》全面采用综合式的立法模式,兼容国际通用准则,对个人信息的定义、类型、处理原则、信息主体的权利、个人信息处理者的义务及国家保护义务等做出了详细的规定。首先,该法开篇便指明该法旨在“保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用”3,虽然个人信息在之前任何一部法律中都未冠以“权”或者“权利”的字眼,但是个保法将宪法作为立法依据,也将个人信息权益的保护提升到全新的高度。另外该法还对个人信息进行重新定义,与“关联说”相区别,个保法侧重于强调个人信息的可识别性,认为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息”4均为个人信息之属,目前两类路径司法实践中均有应用 [2] 。
(2) 《民法典》——基于个人信息保护的私法代表
在《个人信息保护法》出台前,鉴于个人信息在社会生产生活中占据越发突出的地位,《民法典》在人格权编设专章对公民的隐私权与个人信息给予保护,首次对个人信息的定义和类型进行界定与划分,对个人信息的收集、删除等做了初步规定。重新审视《个人信息保护法》,不难发现,其中大多数私法规范的内容与《民法典》人格权编紧密相连,也有不少学者认为《民法典》与《个人信息保护法》中的司法规范构成普通法与特别法的关系。
《民法典》将隐私权与个人信息保护的客体区分开来,对定义进行阐释的同时,强调个人信息与隐私权之间并非包含与被包含的关系,不论是隐私权保护中所包含的“私密信息”还是其他的个人信息都可以平等的受到法律的保护,扩大了个人信息的保护范围。《民法典》还对个人信息的处理者的行为进行高标准的约束,如第一千零三十五条所要求的个人信息处理要遵循合法性、必要性、正当性等原则;以及第一千零三十九条所确定的国家机关以及公职人员对因职务工作所知悉的个人信息的保密义务。《民法典》第一千零三十七条还赋予公民对个人信息查阅、复制、更正、删除等决定权,充分体现了我国尊重与保障人权,重视公民人格权保护的立法取向 [2] 。
(3) 《网络安全法》《数据安全法》——基于个人信息保护的公法规范代表
数字经济时代,个人信息大多以数据的方式呈现,当个人信息的侵权行为发生于虚拟的网络世界中,将个人信息仅当作私法规范的客体显然不足以实现个人信息的全方位保护,这时,公法规范的介入就显得格外重要。于2017年颁布的《网络安全法》以及2021年颁布的《数据安全法》就是数据信息领域公法规范的代表。
作为我国网络领域颁布的第一部法律,《网络安全法》的出台对于不同类型企业的发展以及国家安全的保障起到了重要作用,特别是对于普通民众个人信息的保护,为数以万计的中国网民树立起了安全屏障。例如针对猖獗的电信诈骗等网络犯罪,第二十四条确认了网络服务的提供者的安全确认义务;而针对个人信息泄露问题,第二十七条、四十二条分别对公民负有不得侵犯他人个人信息以及网络运营商对收集信息的保密义务等,增强了网络安全领域的保障力度。
《数据安全法》更加侧重于数据安全的保护,更进一步的说,是侧重于国家安全和社会公共利益,不管是对于数据的分类分级保护,还是从政府层面对于个人收集和保护的规定,都显现出了更强的公法性与专业的技术性。
3. 数字经济时代个人信息保护面临困境的具体表现
3.1. 知情同意原则异形:被迫知情,胁迫同意
知情同意原则是指,在进行信息的收集时,互联网信息的收集者应使信息主体充分知悉信息的收集方式、目的、渠道是否合法险问题,并待信息所有者做出同意处理的真实意思表示后才可对信息进行存储和使用等操作的原则。知情同意原则的目的在于最大程度保障公民对于信息的知情权和控制权,但是在实践中也遇到一些困境。
首先,市面上绝大多数的网络产品所提供的知情同意条款均以格式条款的形式呈现,而运营商为了降低成本会将所有的内容和盘托出,条文冗长复杂,其中不乏夹杂着一些专业术语,大大降低了信息主体阅读的积极性,不少受众在过量的信息中“被迫知情”,恰恰掉进了运营商精心设置的陷阱当中,对于接收到的隐私条款不加区分的同意,加剧了个人信息被侵权的风险。
另外,网络运营商为使用者量身定制了“二元制”的选择模式,用户在使用前必须同意相关隐私政策,否则一旦选择“禁止”选项,则无法进行使用。在用户同意相关隐私政策后,信息处理者为了扩大个人信息的收集范围,还会调用弹窗企图获得用户的地理位置、麦克风、相册等使用权限,同样,如果用户选择“禁止”选项,那么在以后的使用中则无法获得相关的服务。这无疑使保护公民合法权益的初衷大打折扣 [3] 。
3.2. 网络服务者“争夺战”频发:个人信息安全问题加剧
近年来互联网科技飞速发展导致各个网络平台竞争趋向白热化,科技手段突破道德底线的滥用,使平台使用者个人信息安全问题加剧,各类针对个人信息的违法犯罪更是成为网络信息领域犯罪的“重灾区”。而在公民日常使用的移动应用当中也存在不少的“暗箱操作”,运营商滥采滥用个人信息破坏了个人信息的自主权。比如在合理范围之外要求用户上交其他无关联性的用户信息、强制用户接受私人定制服务、无法关闭的广告弹窗等都在无形当中一步步侵蚀着用户的个人隐私。
其次,网络平台未经用户同意争夺个人信息与第三方软件开发公司共享也加剧了个人信息犯罪的猖獗。个人信息售卖明码标价,“黑客”、“内鬼”、“中间商”,数不清的产业链条催生千亿级别的灰色产业链;各大平台之间明争暗斗利用利用垄断优势贩卖输出个人信息。最后,生物信息识别技术等新型技术的滥用,使得个人信息安全的边界变得模糊,也增加了信息泄漏的风险。目前大量线上线下的服务中均设置了运用生物识别技术的身份认证环节,“人脸识别”成为注册的前置程序,于是乎滥用摄像头采集人脸图像非法牟利的情况时有发生 [4] 。
3.3. 个人信息侵权案件救济难:传统的侵权责任条款难以有效补救
个人信息侵权案件的救济与其他普通侵权案件相比存在着一定的难度。首先侵权人与信息主体之间的信息披露严重不对等。中国网民规模庞大,为了参与到虚拟网络空间的使用中,运营商往往需要信息主体不同程度的披露个人信息,数以万计的用户谁都有可能成为目标和受害者;而侵权人往往拥有高超的计算机技术,既能够不着痕迹的窃取他人的个人信息,又能够一键隐藏自己的个人信息,使侵权人的身份难以确定,受害人发现发生既定结果时,为时已晚。我国《民事诉讼法》规定,起诉时必须要有明确的被告,需要在起诉前提交被告的姓名等相关身份信息,而个人信息新型侵权被告人的身份很难确定,给司法救济增加了不少难度。
其次,我国司法对于侵权责任案件责任分配一向奉行“谁主张,谁举证”的原则,原告为了证明自身的合法权益收到侵害往往需要向法庭提供大量的证据,侵权人为了躲避信息追踪往往拥有多个域名,对于普通民众来说既想要获得侵权人的身份信息,又想要收集侵权行为的数据资料和信息传播资料,这无疑是难上加难。
3.4. 个人信息行政保护存在漏洞:现行行政监管模式合力不足
除了国家网信部门外,《个人信息保护法》未设立其他个人信息保护的专门部门,依旧采取的是国家网信部门主导其余部门分工监督,数据处理者在各自处理范围内自我监管的模式。也就是说,对于个人信息的监督管理机构,除了网信办以外,还包括其他政府部门,包括公安、交通、旅游、教育、商务等政府部门,在肯定个人信息行政监管模式随着电子科技的发展不断完善合理的同时,这种全盘网罗再分工监管的工作模式会不可避免地带来权力边界不清晰、权力内容重叠、责任划分不明确等问题。再者,各个机构为了各自职能的有效落实,必然各为其政,各司其行,但是各类规定的效力级别存在差异,所规范的对象和范围各不相同,发现问题提后的处理方式也有差别,总会出现监管的漏洞,一旦出现个人信息侵权问题的发生,便会出现被侵权人如无头苍蝇般寻找救济,各部门相互推诿,浪费了宝贵的取证时间又使被侵害权益的范围扩大的情况 [5] 。
4. 数字经济下个人信息保护路径的探索
4.1. 建立以行政治理为主导的“事前预防型”综合规制体系
以及漫长的诉讼区间,令常人无法招架。即使最终胜诉,微额的赔偿也无法弥补前期的巨额公众目前面临的个人信息侵权类型是多样的,受到侵害的程度也存在差异。由于电信网络犯罪的猖獗,侵犯个人信息罪已入刑,但是刑法作为打击违法犯罪活动的最后手段,不可轻易发动,而对于某些个人信息侵权案件,由于涉案金额小,社会危害性不高,很难催动相关机关启动刑事程序,所以当事人不得不选择民事途径寻求救济;但是正如前述道,个人信息新型侵权案件凭普通公众自身的力量很难确定侵权人的身份,且假设被告人身份已明确,法律诉讼高额的费用,繁琐的诉讼程序时间成本。刑民结合的事后救济路径各有各的弊端,原因在于个人信息侵权案件前期监管难度大,成本高,受害者往往对侵权行为的发生后知后觉,而后结果发生时已于事无补。所以,个人信息安全的保护,急需行政力量“未雨绸缪,防患于未然”。
“监管沙盒”的概念首次提出于金融领域,旨在不减损科创企业积极性的情况下,为金融产品提供一个“安全空间”,用于测试金融科技企业所推出的金融服务、营销方式等项目。监管机构在测试空间内会在设立严格风险监控的前提下,最大限度模拟市场环境,适当放宽限制性的监管规定,减少对创新活动的阻碍。监管沙盒兼顾金融产品创新与金融市场风险的防范,并且监管机关可以预先介入建立事前的消费者保护措施,将创新风险关进制度的“沙盒”中。监管沙箱模式可以拓展至各行各业,包括个人信息保护领域。监管沙箱主要解决的是在违法收集和处理个人信息的行为前期,个人信息保护机构无法采取有效的管控措施将风险置于可控的范围之内的问题。在监管沙箱这一“安全区域”内,监管机构可以为个人信息处理者提供一个相对宽松的监控环境,在训练阶段,算法会生成新模型用于特定的应用,个人信息处理者在模拟处理个人信息时无需单独获得单个主体的同意,因为在沙箱环境中,在特定的测试项目中需要获得的个人信息视为已获许可,大大减少了逐步询问的时间成本 [6] 。
4.2. 创新构建更加完善的“个人信息保护负责人”制度
数据保护官是存在于某些国家或者地区(特别是欧盟),为了数据安全与隐私的保护,而对公共机构和企业所要求设立的专门的职位。此角色主要发挥的作用是监督并且遵守和执行数据保护政策。欧盟委员会曾于2012年发布了欧盟数据保护规则的框架性草案,起草者指出为了适应科技技术的进步,在草案中建议构建“数据保护官”制度,后GDPR中对“数据保护官”制度做出阐述;为了供大众及企业理解及参考,《数据保护指南》对数据保护官的任命、地位、任务等方面做出了解释。值得注意的是,《中华人民共和国个人信息保护法》中第五十二条规定:处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。个人信息处理者应当公开个人信息保护负责人的联系方式,并将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责的部门。本条规定所提及的“个人信息保护负责人”实际上与“数据保护官”存在相似之处,但是与欧盟所设立的“数据保护官”相比,设立此职位的规定还应当进行相关的细化。
就企业而言,《个人信息保护法》第五十二条明确,满足一定条件的企业应当设立个人信息保护负责人,《信息安全技术—个人信息安全规范》对于企业设立个人信息保护负责人的条件进行了说明,设立个人信息保护负责人成为特定企业的法定义务。特别是“一带一路”倡议实施后,与不同国家及地区贸易往来频繁密切,以欧盟为例,即使欧盟国家并非企业的主要营业地或者分支机构的所在地,但是只要接受了欧盟提供的有偿的服务和商品,GDPR便有权管辖,对与这些企业来说,如果不遵守GDPR中设立数据保护官的规定,便意味着欧盟市场的丧失 [7] 。
就政府而言,除了承担个人信息的监督职能以外,政府本身也是个人信息的处理者,所以政府内部应当设立相关负责人,但是我国行政区划庞大且复杂,要求政府短时间内配备相关的岗位并不现实,能够达到人员配置条件的政府部门在处理规模庞大数据、类型敏感的个人信息数据时可以设定专门的信息安全监管人员,以保证为个人信息提供有效的防护。
4.3. 引入惩罚性赔偿“事后救济”新模式
与补偿性惩罚不同,惩罚性赔偿兼具了一般预防和特别预防的功能,能够对于侵权行为产生预防作用,也能够对侵权行为人实施应有的制裁,对社会大众起到威慑作用。数字经济时代,个人信息的含义和外延可广泛延伸,个人信息不仅关涉到私人利益,更关涉到国家安全和社会公共利益,所以有学者指出个人信息权益并非一项绝对性的权利。所以与隐私权、名誉权等人格权不同,个人信息权益应当更加侧重预防性的保护。且如前文所述,信息主体的权益一但受到侵害,高额的维权成本便会令人望而却步;与此相反,侵权行为人会在低廉违法成本的激励下变本加厉地扩张灰色产业。目前我国个人信息保护法中对被侵权人适用补偿性赔偿机制,而在侵权个人信息侵权案件中,受侵害的主体往往并非单个的个人,这就意味者最终单个主体获得的赔偿金额聊胜于无。故若能够适用惩罚性赔偿有助于弥补公力救济 的不足,最大程度的保障受害人获得赔偿的权利。
关于惩罚性赔偿如何适用的问题,有学者提出,可以仿照一般侵权行为的构成要件构建惩罚性赔偿四要素:首先,主观上个人信息处理者必须具有恶意,也就是将主观上的非难性作为惩罚性赔偿性的适用条件,但是在个人信息的处理者尽到了安全处理义务也无法阻止损害的发生的情况下,就不能认定个人信息处理者具有恶意;行为上要求侵害个人信息的行为具有严重的违法性,《个人信息保护法中》详细列举了侵犯个人信息的违法情形,但是个人信息侵权行为方式不胜枚举,没有法律能够将所有侵权行为一一列明,那如果侵权行为并不属于《个人信息保护法》所列明的行为方式,但是依然导致了个人信息权益损害的后果的发生,是否应当是否适用惩罚性赔偿?《个人信息保护法》第五条明确说明处理个人信息所应当遵循的合法、正当、必要原则,如果信息处理的行为违反了法律的明文规定,那就是违反了合法性原则,可以直接判定适用惩罚性赔偿;但是对于必要、正当原则不应当属惩罚性赔偿之列,否则将会对个人信息的处理者施加过高的注意义务;最后,侵害个人信息权益的不法行为必须与权益受损的结果之间存在因果关系,无因果关系,无赔偿责任。比较特殊的是,个人信息的数人侵权中,可以参照《民法典》中的“共同危险行为”主张侵权责任,但是需要注意的是,共同危险行为如果可以适用择一因果关系的话,意味着多个行为人可以同时适用惩罚性赔偿,但是并非造成损害后果的所有行为人都符合主观恶意的构成要件,所以对于因果关系项必须的认定必须实行严格的证明责任 [8] 。
5. 结语
数字经济时代,各类主体在享受大数据和互联网络所带来的信息红利的同时,数据流通所产生的超额利益使得数据泄露的风险也随之而来,大数据时代下个人信息保护也上升到全球性的问题。本文立足于现行法律框架下个人信息的法律规范现状,分析我国当前个人信息保护面临困境的具体表现,探索数字经济下个人信息保护的新路径。但是本文对于论题的研究依旧存在着不足,首先,在理论方面的论证不够充分,比如,如果可以从个人信息权益的法律属性的性质进行探讨,或许可以更加准确地界定个人信息的保护范围,提高司法的适用性;另外,本文在列举个人信息保护面临的具体困境时缺乏相关案例的佐证,逻辑性有待提高。总之,个人信息保护对于保障数字经济良性、可持续发展的意义可见一斑,望司法界与实务界能够继续从立法、执法、司法之角度不断搭建个人信息保护综合性防御体系,破解个人信息安全危机。
NOTES
1《2023年“提振消费信心”消费维权年主题调查报告出炉》
https://baijiahao.baidu.com/s?id=1760580743389367857&wfr=spider&for=pc&searchword=
2《习近平:高举中国特色社会主义伟大旗帜 为全面建设社会主义现代化国家而团结奋斗——在中国共产党第二十次全国代表大会上的报告》中国政府网, 2022-10-25.
3《中华人民共和国个人信息保护法》第一条规定:为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。
4《中华人民共和国个人信息保护法》第四条规定:个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。
个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。