大数据时代来临,你的权利由谁守护?


与区块链等仍然停留在概念阶段的新兴技术不同,大数据技术经过数年来的不断发展,已经形成了覆盖全行业的成熟技术体系和解决方案。但与此同时,大数据应用过程中的若干法律难题也随之浮出水面:一方面,互联网企业不断加强对用户数据的挖掘和分析,开始通过诉讼等途径维护自己对于用户数据所形成的竞争优势;另一方面,因大数据的泄露、贩卖等而爆出的丑闻也在频繁地登上媒体头条,数据安全问题危如累卵。

用户数据的采集是大数据应用的起点,但普通个人用户在大数据应用的过程中应当扮演何种角色、享有何种权利的问题,却往往在国内的各种研究中被忽略。而在充分重视人权保护的欧盟,用户围绕数据信息所享有的个人权利保护之发展,已有近三十年的历史。今年5月发布的《欧盟通用数据保护条例》(简称GDPR),就围绕用户权利保护设置了诸如知情权、访问权、反对权、被遗忘权、数据可携权等数种坚实强大的权利。本文将对大数据时代中个人权利保护的发展历程进行梳理,并立足当下的互联网实践,对用户个人权利保护的问题提出些许思考。

个人信息数据——用户权利的产生起点

由于网络骚扰、推销、诈骗等现象的盛行,如何保护个人信息数据已成为公众热门话题。在2016年的“徐玉玉案”中,诈骗分子正是通过个人电话信息实施诈骗行为,骗走了受害者9900元的入学学费,以致其伤心欲绝,心脏骤停而不幸离世。现实中,对于肖像、姓名、身份证号码这些可以直接识别出特定个人的数据信息,加强监管和保护事实上已经在全社会范围内形成了广泛的共识——越来越多的互联网应用和服务均针对用户个人数据的收集和存储,升级了加密处理技术。

然而,仅对这些能够直接“锁定”个人的数据信息加强重视,是远远不够的。网络世界中,将一些不具有“锁定性”的数据进行结合(也即多年来一直流传于互联网中的“人肉搜索”),还是能够识别出特定的个人。例如,cookie信息可以记录用户的网络活动轨迹,当将这种轨迹与特定的网络账户相结合,就可以“精准定位”到具体的个人。

基于上述原因,除了具有“锁定性”的个人数据之外,各国的个人信息数据立法也都不约而同地将上述可以结合“锁定”个人的数据信息作为重点立法对象,我国也不例外——《网络安全法》第76条第5项就将个人信息界定为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。GDPR被称作“史上最严厉的个人数据保护规定”,在该《条例》中,个人信息被定义为“与已识别或可识别的自然人(数据主体)相关的任何信息。可识别自然人是指可被直接或间接识别的人,特别是可以通过姓名、身份证号码、位置数据、在线身份信息或特定于该自然人的物理、生理、遗传、心理、经济、文化或社会身份的多种参考要素识别出的自然人。”整理一下,GDPR中的个人数据包括:基本的身份信息,如姓名、地址和身份证号码等;网络数据,如位置、IP地址、Cookie数据和RFID标签等;医疗保健和遗传数据;生物识别数据,如指纹、虹膜等;种族或民族数据;政治观点;性取向。

“用户同意”是商业化大数据运用的合法基础

个人数据信息的“可锁定性”,使得对个人数据收集、存储、分析和使用的有效规制成为了各国立法实践中的重点。2012年12月28日,全国人大常委会通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》中,就对如何保护个人电子信息作出了明确的规定,即要求网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。此后,2017年6月1日起施行的《网络安全法》和2017年10月1日起施行的《民法总则》(第111条),今年5月1日起正式实施的《个人信息安全规范》国家推荐标准均对“用户同意”这一用户个人数据采集的唯一合法前提作出了细致的规定,另外,《消费者权益保护法》第29条也从消费者的角度出发,规定了这种同意前置模式。但是,“用户同意”的前置模式在实践中并未发挥制度设计者预想中的作用。

无数的互联网企业,特别是电子商务平台,均通过“默认勾选”的形式刻意忽略了这种前置模式。其中最典型的,当属今年年初发生的支付宝“年度账单”事件——用户通过支付宝App参加 “2017年度账单”活动时,在入口页面,App会为用户默认勾选“我同意《芝麻服务协议》”的条款,不勾选不影响年度账单的呈现,勾选则意味着年度账单中将展示用户的信用免押内容。支付宝的“年度账单”事件引发了全网范围内的热议,也让“默认勾选”这种明显有违商业道德的行为真正引起了各方的高度重视。

而似乎是有感于这种“欺骗性”的规避手段, GDPR就对“用户同意”的模式作出了更严格的限定——用户同意必须是具体、清晰的,是在充分知情的前提下自由作出的。在GDPR“属人管辖”的强大影响力下,国内外的网络服务提供商们将如何调整以作出应对,值得持续关注。

大数据背景下的用户隐私保护——被遗忘权

用户隐私保护是大数据应用中不得不面对的话题。个人用户在浏览互联网时,每一次点击和访问都会留下相应的数据痕迹,这些数据痕迹,随着近二十年来搜索引擎技术的发展,将越来越会被“固定”下来而难以消除,一个人二十年前的小举动在今天仍会被轻易地“检索”和“发现”,隐私保护似乎无从谈起。于是渐渐地,“被遗忘”的呼声成为了保护用户隐私利益的一种正当诉求。

早在1995年,欧盟就对“被遗忘权”作出了明确规定:每个数据主体皆能处理不符合规范的资料,尤其是针对资料本身不完整或不正确的资料,有更正(rectification)、消除(erasure)和阻绝(blocking)的权利。2014年发生在西班牙的“冈萨雷斯诉谷歌案”则是被遗忘权发展历史上的代表性案件。一名叫冈萨雷斯的用户在使用谷歌检索自己的名字时,相关链接指向了1998年刊登于《先锋报》的一篇文章,该文章报道了其未能缴纳社会保险而导致住房被拍卖的事实。该用户认为文章报道中的债务问题早已得到了解决,但搜索结果仍然展示这一信息,对自己的名誉造成了损害,谷歌应当删除这些信息。欧盟法院最终支持了这位用户的请求。

在我国,“被遗忘权”虽未在相关法律法规中得到具体规定,但已然走进了司法实践的视野,被判决所实际承认——在被称为我国“被遗忘权第一案”的任甲玉与百度公司名誉权纠纷案中,任甲玉因在百度搜索中键入其姓名后,搜索栏下方“相关搜索”列表中出现了其曾在陶氏教育工作的相关关键词词条,而其认为陶氏教育在外界颇受争议,上述“相关搜索”词条严重侵害其名誉、妨害其日后工作发展,因此诉百度侵犯其姓名权、名誉权以及“一般人格权中的被遗忘权”。

该案经两级法院审理,虽然最终并未支持任甲玉的诉请,但法官并未直接否认被遗忘权,而是经过论证认为任甲玉要求删除的内容未达到被遗忘权保护的标准,继而驳回其诉讼请求。事实上,该案的二审判决直接认可了被遗忘权应属一种人格利益,但这种人格利益若想获得保护,必须证明其正当性和必要性。任甲玉案的二审判决也同时显示出,“被遗忘权”的适用条件是相当严苛的,深层次的原因在于,“被遗忘权”虽然与个人权利直接挂钩,但却与公共价值追求存在尖锐的矛盾——假若任何情况下的信息都可以“被遗忘”“被删除”,那数据信息流通还有何价值可言呢?

遵循着上述思路,GDPR就对被遗忘权的适用作出了严格的限制,根据第十七条,在以下四种情形下,被遗忘权将被明确排除:基于表达自由和信息自由;基于公共利益和履行法律职责需要;基于历史、统计和科学研究的目的;出于提出、实施和保护合法权利的需要等。

数据流动中的权利保护——数据可携权

今年3月,Facebook陷入了“泄露5000万用户数据”的丑闻。在这次丑闻中,一家叫做剑桥分析的数据分析公司通过其在Facebook上线的性格测试app收集用户数据,进而建立模型,以分析用户的心理特征、性格类型、政治倾向等特定因素,并依据这些内容,进行“洗脑”式的政治营销。这次丑闻使得Facebook蒸发了超过1500亿美元的市值,也使得用户数据的跨平台移植成为了用户权利保护中的热门话题——平台在用户注册时要求获得通讯录或其他社交信息的获得访问权限,是互联网行业的惯常做法,而谁来确保用户的个人数据没有被滥用呢?

事实上,将自己在某平台的个人数据信息授权给其他平台使用,是归属于用户个人的正当权利,在欧盟,这种权利被称为“数据可携权”。在GDPR(第20条)中,数据可携权作为一项用户基本权利而被确定:个人有权获得其提供给数据控制者的相关个人数据,且其获得的个人数据应当是结构化的、普遍可使用的和机器可读的。并且,在技术可行的情况下,数据主体应当有权将个人数据直接从一个控制者传输到另一个控制者。

数据可携权看上去简单,围绕它的争议可着实不少,原因在于,对个人数据的使用很可能同时关涉其他第三方个人的数据,例如通讯录信息、邮件往来信息、转账记录信息等。当数据主体行使数据可携权时,往往可能对其他第三方个人的基本权利带来侵害。2010年,谷歌在启动其社交网络服务Google buzz时,不恰当地利用了其gmail用户的关系链数据,在gmail用户接受Google buzz的使用邀请时,并不清楚其gmail的通信录上的用户都将被自动拉入Google buzz,而被拉入的用户也并不知情自己的联系信息已被收录并被buzz社区公开。谷歌也因此受到了美国联邦贸易委员会的处罚。数据可携权是因用户数据流动而产生的个体性权利,但有不少观点认为,数据流动同样是互联网平台的竞争优势,因数据流动而产生的一系列问题,完全可以通过企业间的《反不正当竞争法》加以解决。

在我国关于用户数据转移的司法实践中,不得不提的便是新浪微博诉脉脉抓取使用微博用户信息案。该案的二审法院认为,对企业而言,数据已经成为一种商业资本,一项重要的经济投入,而数据的获取和使用,不仅能成为企业竞争优势的来源,更能为企业创造更多的经济效益,是经营者重要的竞争优势与商业资源。由此可见,数据流动在竞争法框架内是可以得到保护的。


数年的技术发展已经证实,大数据应用是一项极具商业价值的新兴技术。而在大数据应用在各行各业逐渐落地开花的情景下,有关数据权利的法律定性与适用问题也正不断地被提及。

用户数据的采集是大数据应用的起点。因此,用户个人权利如何得到保护,应当是大数据行业法律规范体系建设的第一步——围绕个人信息保护,我国已经建立起了包括民法总则、消费者权益保护法、刑法等在内的强大法律保护体系。但是,现行的法律法规体系较多地停留在了原则性规定的层面,仅就用户同意等合法性基础问题作出了制度安排。相比于更加注重人权保护的欧盟,我国在用户具体个人权利,如被遗忘权、数据可携权等方面的立法实践及司法保护,仍尚显薄弱。

而作为处理和储存大数据的主体,企业的主要任务就是建立和完善企业的数据管理保护体系。按照GDPR的规定,企业要通过培训,自上而下地加强对个人数据保护的意识;通过自查发现企业收集和处理数据的每一个环节;通过风险评估,优化和合法化企业的数据安全规章制度以及数据处理流程。企业要设立专人负责数据安全工作,如数据安全官,监督和实施相关工作。总之,数据安全既是数据企业合规的要求,也是企业抓住机遇,赢得消费者信任和未来发展的必经之路。


作者单位:北京金诚同律师事务所



责任编辑:DJ

上一篇 下一篇

评论



分享

最新加入

最新评论