论文提要
在数字经济背景下,数据已经成为一种新的且重要的生产要素。因数据所蕴含的巨大价值,越来越多的企业、机构竞相加入到个人信息的采集队伍中,从而导致了个人信息的采集越来越普遍化。当海量的个人信息被越来越多的企业、机构所掌握,现有的保护体系已经无法满足需要,以致个人信息受到侵害的事件时有发生。究其原因,主要有以下几点:一是未形成全方位的、多元化的法律保护体系;二是公民缺乏对自己和他人信息保护的意识;三是侵权行为发生后的救济困难。为了保护个人的信息安全,需要建立全方位、多元化的个人信息保护法律体系;完善监督机制,加大惩罚力度;制定损害评估标准,完善赔偿机制;增强公民维护个人信息安全的意识。
全文共字6225字。
主要创新观点
在数字经济背景下,个人信息安全侵害事件时有发生。虽然我国针对个人信息保护发布了多个法律法规及司法解释,并发布了专门性的法律来保护个人信息安全,但仍无法解决个人信息安全所面临的诸多问题。本文将从建立全方位、多元化的个人信息保护法律体系;完善监督机制,加大惩罚力度;制定损害评估标准,完善赔偿机制;增强公民维护个人信息安全的意识这四个方面提出针对个人信息保护方面的建议,为数字经济背景下民事权益的司法保护增添新思路。
正文
自人类进入信息时代以来,数字技术的高速发展和广泛应用衍生出了数字经济。而随着数字经济的规模和影响力日益增大,并逐步成为继农业经济、工业经济之后的主要经济形势,作为数字经济基础的数据所蕴含的价值逐渐被政府及机构、企业所重视。在数字经济背景下,数据已成为一种新的且重要的生产要素,甚至有人将数据比作“21世纪的石油”。正因数据所蕴含的巨大价值,越来越多的企业、机构竞相加入到个人信息的采集队伍中,除银行、物流、住宿、医疗等行业因政策规定或交易需要采集个人信息外,餐饮、娱乐、健身等服务行业也乐此不疲的参与进来。现如今,个人信息的采集变的越来越普遍化,海量的个人信息被越来越多的机构、企业所掌握,而政府机关又对这些机构、企业缺乏有效的监管,以致个人信息的安全缺乏基本保障。因此,在数字经济背景下保护个人信息安全已经成为急需解决的社会难题。本文将以我国个人信息保护现状为基础,结合我国现有法律法规,分析目前个人信息保护存在的问题,并在司法保护层面上提出数字经济背景下保护个人信息安全的针对性建议。
一、个人信息的定义
近年来,我国为保护个人信息安全相继发布了《电信和互联网用户个人信息保护规定》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件使用法律若干问题的规定》、《中华人民共和国网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》、《中华人民共和国个人信息保护法》等法律法规、司法解释及行业规范,结合这些法律法规、司法解释及行业规范对个人信息的规定,可以概括出个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、个人生物识别信息、账号密码、财产信息、征信信息、行踪轨迹等,而被匿名化处理后的信息不再属于个人信息。
二、我国个人信息保护现状
随着数字经济的快速发展,新技术、新应用层出不穷,对经济发展起到了积极的促进作用。但与此同时,个人信息被泄露、被非法采集和非法利用的风险也在不断增加。近年来,我国为保护个人信息安全,相继出台了各种法律法规及司法解释,但因尚未形成全方位的、多元化的法律保护体系,导致对个人信息缺乏系统性的保护,而政府相关部门在个人信息保护上的监管能力不足、监管力度不够,加之公民缺乏保护自己和他人信息安全的意识,导致个人信息受侵害事件时有发生,造成的危害逐渐呈现出广泛性和严重性。
三、个人信息保护存在的问题
造成个人信息受到侵害的原因多种多样,其中既有法律体系不健全的原因,也有监管部门监管能力不足、公民缺乏个人信息安全保护意识等原因,这些原因共同造成了个人信息保护困难的现状。就目前而言,个人信息保护存在的问题可分为以下几个方面:
(一)未形成全方位的、多元化的法律保护体系
2005年2月28日公布的《中华人民共和国刑法修正案(五)》中增设了“窃取、收买、非法提供信用卡信息罪”,这是我国法律上第一个关于侵害个人信息犯罪的法律规定。2009年2月28日公布的《中华人民共和国刑法修正案(七)》中,首次将窃取或以其他方式非法获取公民个人信息、出售或非法提供公民个人信息情节严重的行为规定为犯罪,这些都是我国对个人信息在刑事领域的规定。2013年,新修订的《中华人民共和国消费者权益保护法》中增加了消费者享有个人信息依法得到保护的权利,并规定了侵权行为应当承担的法律责任,这是我国首次从民事权利的角度对个人信息作出了规定。可见,我国早期对个人信息的保护主要以公法为主,直到近年来才逐渐转变为同时注重公法和私发的保护。近些年,我国为保护个人信息安全又相继出台了多部法律法规及司法解释,如2014年8月21日最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》、2016年11月7日全国人民代表大会常务委员会发布的《中华人民共和国网络安全法》、2017年5月8日最高人民法院、最高人民检察院发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、2018年8月31日全国人民代表大会常务委员会发布的《中华人民共和国电子商务法》等。尽管我国在个人信息保护领域内的法律法规及司法解释数量较多,但这些法律法规及司法解释对个人信息保护的规定比较分散,且侧重领域及使用范围存在差异,并未形成统一的综合性的个人信息保护体系,导致对个人信息的保护缺乏系统性和可操作性。直到2021年8月20日《中华人民共和国个人信息保护法》的发布,我国才有了第一部专门性的个人信息保护法律。《中华人民共和国个人信息保护法》不仅明确了个人信息的概念和处理规则,同时也对敏感的个人信息作出了规定。与以往保护个人信息的法律相比,《中华人民共和国个人信息保护法》具有一定的进步意义,但就对个人信息保护而言,仍存在一些问题:
第一,未对公民个人信息受侵犯后的处理提出明确的规定。该法第五十七条规定了个人信息处理者在发生个人信息泄露、篡改、丢失时应立即采取补救措施,但并未对个人信息处理者应采取的补救措施类型及实施标准进行明确规定。因为个人信息受侵害的形式多种多样,且个人信息受侵害后所造成损害的类型、程度也不尽相同,所以在发生个人信息泄露、篡改、丢失时,个人信息处理者需要根据个人信息泄露、篡改、丢失的数量、敏感度和影响范围等因素选择与其相匹配的补救措施类型及实施标准,只有如此才能在最大程度上避免损害的发生或在无法避免损害发生的情况下将损害的影响降至最低。在法律未对个人信息处理者应采取的补救措施类型及实施标准做出明确规定的情况下,当发生个人信息泄露、篡改、丢失时,个人信息处理者可能会为了节约补救措施成本而选择成本较低的补救措施类型或仅采取最低限度的补救措施。而当受侵害人向个人信息处理者主张损害赔偿时,因无法律规定个人信息处理者应针对本次损害采取何种补救措施类型及实施标准,导致无法判断个人信息处理者在本次损害发生时采取的补救措施类型是否合理,实施标准是否规范,而个人信息处理者便会借此主张自己已经履行了采取补救措施的义务,进而达到减轻自身赔偿责任的目的,这无疑不利于保护受侵害人的权利。
第二,对履行个人信息保护职责的部门权责划分不明确。该法第六章对履行个人信息保护职责的部门、保护职责、保护工作、可以采取的措施等进行了规定,但这些规定仍比较笼统,属于框架式的规定,具体的行为规范仍需要履行个人信息保护职责的部门自行拟定。此外,该法第六十条虽然确定了国务院有关部门及县级以上地方人民政府有关部门为履行个人信息保护职责的部门,但具体的保护和监督管理职责则需要根据其他法律、行政法规来进行确定。这可能会导致在实际履行个人信息安全保护职责过程中,因采用的法律法规不同而出现保护范围重叠、监督管理标准不一致等问题,进而产生职责不清、权责不明、互相推诿的情况,导致公民个人信息受到侵害时,难以及时得到履行个人信息保护职责部门的帮助,造成损害进一步扩大,受侵害人得不到救济的情况。
第三,对侵害行为造成的损失认定标准仍过于机械。该法第六十九条确定了对个人信息的侵权行为采取过错推定原则,这在个人信息保护的发展历程上具有一定的进步意义,其原因在于个人信息处理者与受侵害人之间存在经济实力不对等、专业信息不对称的问题,让受侵害人举证证明个人信息处理者在信息的收集、加工、存储、利用过程中存在过错难度很大。适用过错推定原则,有利于减轻受侵害人的举证责任负担,更有利于保护受侵害人的合法权益。但该条关于侵害行为造成的损失认定规定则有点不尽人意,原因在于个人信息具有多样性,其外延比较广阔,与财产权、人身权等都存在一定程度的交叉,也就导致了对个人信息的侵害行为可能伴随着财产损失,也可能仅存在精神损害。对于直接的财产损失,很容易按照个人受到的损失或者个人信息处理者获得的利益进行确认。但对于间接的财产损失,如个人的账户、密码丢失后,为找回而花费的时间与费用则可能无法进行计算。而对于只存在精神损害的情况,可能会因为没有实际损失而无法得到赔偿或得到的赔偿金额与损害的后果不匹配。
(二)公民缺乏对自己和他人信息保护的意识
在数字经济背景下,信息技术的广泛应用使人们对手机产生了过度的依赖。现如今,人们的生活已经离不开手机,更确切的说,是离不开堆满手机屏幕的各类应用软件。这些应用软件种类繁多、功能各异,涉及工作、娱乐、消费等各个领域,在为人们的生活带来便利的同时,也成为了个人信息处理者采集个人信息的主要渠道之一。根据信息采集过程中信息主体的状态,信息采集可大致分为以下两种模式:第一种模式是信息主体被动的接受信息采集,这种模式主要基于告知同意原则,即在进行信息处理前,个人信息处理者需要将处理的行为及内容告知信息主体并获得同意。比如当我们在使用各类应用软件时,经常会出现是“否同允许访问位置信息”、“是否允许访问相册”、“是否允许访问手机通讯录”等请求,这些请求授权的行为都是个人信息处理者在履行告知同意原则。而这些行为看似给予了使用者选择的权利,但实际留给使用者选择的余地并不多,因为一旦拒绝授权请求,就将无法使用软件或被限制使用软件的某些主要功能,往往使用者为了能够完整的使用软件的各项功能,只能被迫同意授权申请。当这种授权行为逐渐增多后,使用者对于这种授权行为也逐渐变得麻木起来,对于软件出现的各种授权请求,使用者会习惯性的点击同意,而对于软件可能收集的个人信息及出现的泄露风险则不再考虑,这也使得使用者的个人信息被个人信息处理者轻松获取。而当使用者因为个人信息受到侵害向个人信息处理者主张赔偿时,同意告知原则反而变成了个人信息处理者的挡箭牌,被个人信息处理者用于规避法律风险,这样的结果无疑违背了设立同意告知原则时的初衷。第二种模式是信息主体主动将个人信息暴露给他人,这种模式主要基于各类社交软件的分享属性,如抖音、微信朋友圈等,使用者出于分享、炫耀等目的将自己的生活、工作、行程大肆曝光在社交软件上,这些分享的内容看似只是个人日常生活的零散记录,没有什么利用价值,但对于别有用心者来说,却可以在这些零散记录中挖掘出其所需的个人信息甚至是个人敏感信息。比如日本的一位社交媒体网红,其曾在社交软件上分享自己下班途中拍摄的照片,而就是这些简单的照片,被她的一名粉丝通过简单的处理,最终推算出了这名网红的回家路线以及住宅的大致范围,特别需要说明的是,这名网红与她的这名粉丝并未居住在同一个城市,对方只是通过照片中记录的一些具有特点的建筑物就锁定了地理位置,好在这名粉丝并无恶意,不然后果不堪设想。再比如最近很火的AI识别技术,通过独特的识别算法,已经可以从高清照片中提取个人完整的指纹信息,像以往在照相时摆出胜利手势的行为,可能会导致个人的指纹信息被不法分子所获取并用于犯罪。诸如此类的情况比比皆是,在个人信息安全领域内,公民因为缺乏保护自己和他人个人信息安全的意识,导致公民既是个人信息的拥有者,同时也可能是个人信息的泄露者及他人信息的传播者。
(三)侵权行为发生后的救济困难
个人信息具有一定的人格权属性,而人格权的侵害又具有一定的特殊性,一方面侵害行为所造成的损失往往很难进行准确计算,另一方面侵害行为所产生的影响很难彻底消除,也就导致了个人信息受到侵害后,被侵害人难以获得救济的情况。
首先,个人信息的侵害者可能难以确认。如上文所述,信息主体在使用各类应用软件的过程中缺乏对个人信息的保护意识,这导致了过多的应用软件获得了采集个人信息的授权。当侵害发生时,如果个人信息处理者没有履行通知义务,受侵害人可能根本无法在众多的个人信息处理者中找出真正导致侵害行为发生的个人信息处理者,也就无法向其主张损害赔偿。
其次,侵害行为所造成的影响可能难以消除。因为信息本身具有传播属性,在侵害行为发生后,个人信息一旦通过网络开始进行传播,其传播范围、速度将呈指数倍的趋势增长,任何组织和个人在信息传播主动停止前都将无法阻止信息的继续传播。而在传播过程中,被传播的信息又会被网络中的其他使用者获取,这些使用者有时还会对信息进行二次加工,并将二次加工后的信息再次通过网络进行传播,最终将会因传播的信息种类、敏感程度等对被侵害人造成不同程度的损害。严重的情况下,可能会造成被侵害人社会性死亡,甚至可能出现因为被侵害人心理承受不住这种压力而选择自杀的情况。即使被侵害人能够承受住舆论的压力,熬到侵害行为所造成的风波逐渐平息,社会已经遗忘了信息内容,被侵害人仍不能对此放下戒备,因为谁也不知道哪一天互联网会突然想起这段记忆,届时被侵害人将再次面临各种压力,这种对未来的不确定性导致被侵害人只能生活在担忧和恐惧中,无法享受正常的生活、工作和学习。
第三,侵害行为所造成的损失可能难以计算。个人信息所具有的人身属性使其在受到侵害时可能并不会产生实际的财产损失,而会造成一定程度上的精神损害,而精神损害的程度又受影响程度、影响范围、后续产生影响的可能性、被侵害人自身的心理素质等影响,以至于难以通过现有的评估体系确定赔偿标准,导致受害人最终无法获得与侵害结果相匹配的赔偿。
四、完善个人信息保护的建议
(一)建立全方位、多元化的个人信息保护法律体系
首先,完善个人信息保护法律法规,从信息的获取、处理、利用到传输等领域制定详细的法律规定,明确个人信息授权的适用范围,重构告知同意原则,并针对不同情境制定差异化的评估标准和执行路径,对可能出现的侵害行为进行细致划分并明确个人信息处理者针对不同的侵害行为所需要采取的救济措施类型及实施标准。
其次,针对不同行业的特点,规范每个行业所能采集的个人信息种类及范围,严禁采集与行业所需不相符的个人信息,以阻止个人信息采集者滥用优势地位获取个人信息的行为。
最后,针对目前个人信息保护方面存在的缺失,制定前瞻性的法律法规,构建全方位、多元化的个人信息保护法律体系。
(二)完善监督机制,加大惩罚力度
组建专门性的监督机构,建立全面的监管体系,通过规范性文件明确监督责任、监管程序、监管范围,建立分析治理机制,通过监督个人信息处理者对个人信息的收集情况,分析个人信息处理者在收集和处理信息的过程中是否符合法律规定,从而针对个人信息处理者提出指导性建议。同时,在个人信息受到侵害时帮助被侵害人收集证据,协助其维护个人权益,并对侵犯个人信息的行为加大惩罚力度,提高违法成本。
(三)制定损害评估标准,完善赔偿机制
针对个人信息侵害行为所造成的损害制定统一的评估标准,通过对侵害的性质、损害的程度、影响的范围、二次侵害的可能性等指标进行量化处理,为被侵害人受到的精神损害确定合理的赔偿金额,确保受害人能够得到与损害程度相匹配的赔偿。同时,加强对评估过程中的监管,避免出现评估人滥用权力,伪造评估结果的情况发生。
(四)增强公民维护个人信息安全的意识
通过网络、电视等渠道向公民播放个人信息侵害事件纪录片,宣传个人信息保护的重要性。组织开展个人信息安全宣讲、竞猜等主题活动,帮助公民学习个人信息保护相关的法律法规。邀请履行个人信息保护职责部门的工作人员到企业、社区和校园宣讲个人信息保护相关的知识,提高公民对个人信息的保护意识。让所有的公民自觉参与到个人信息安全保护中,助力数字经济背景下民事权益的司法保障。