□文/黄 瑞

( 中央财经大学法学院 北京)

[ 提要] 在大数据时代,各类数据信息算法和分析的广泛应用极易被获取,同时看似毫无关联的数据信息也更容易与彼此之间产生关联从而使得数据控制者获取数据信息背后的巨大价值,数据信息俨然已经成为一种战略性资源而被数据使用者、控制者相互争夺。 基于大数据时代这种收集和使用个人信息方式的改变,如何在此情况下对个人信息予以保护和规制成为必须着重考虑的问题。

任何事物的出现都不可能绝对性的只带有有利的一面,大数据时代亦然。在大数据背景下,获取和浏览信息呈现出便捷化、迅速化的特点,信息的获取对于各行各业发展的重要性不言而喻。尤其是最近5G开始投入商用,信息获取的速度又会达到另一个新高度。在一个科技发展速度极快的大数据时代,在快速获取信息的同时,广泛信息中的个人信息也就更容易曝光于大众视野。

一、个人信息的界定

( 一)个人信息界定模糊化。 既然是谈论个人信息保护,那么如何界定个人信息显然尤为重要,何谓个人信息自然是其核心问题。在适用个人信息保护相关法律规范时,前提是明晰所针对对象是否属于个人信息,若根本就谈不上是个人信息,则不会产生对个人权利的侵害,就更谈不上对其适用相关法律规范了。从传统视角来看,个人信息被给予较为明确的界定,大多都是分析某一信息是否具有能够被识别的特性来判断这一信息是否被归属于个人信息的范围之内。具体而言,若某一信息是与个人相关的,能够由该信息以直接途径或者间接途径判断出某一自然人的身份,该信息即为个人信息。在此种情况下,“可识别性”是其最为重要的特征,是指个人信息与信息主体存在某一客观确定的可能性。就个人信息本身的概念而言,需要将其置于个人信息保护法形成的特定历史背景中。随着计算机技术的应用,有关个人信息保护的法律制度也由此产生。计算机技术所带来的处理数据的方式与之前传统的使用纸质媒体通过人工处理的方式来处理数据相比较,前者对其背后所含的个人权利带来了之前所没有的新的侵害风险。能够具有“可识别性”的信息毕竟还是有限的,需要对具有“可识别性”的信息添加上必要的限制来更确切地表明个人信息的范围,可以分别通过强调数据所具有的可识别的可能性和合理性来进行,欧盟的《个人数据保护指令》即采取此种做法,如果说某一信息需要付出十分高昂完全不具有性价比的费用,又或者需要付出巨大的努力才能使其具有“可识别性”的信息,则不能将之视为个人信息来进行保护,之所以要做出这种强调,就是为了限制个人信息的保护范围。

大数据时代下的环境已经不再是当时个人信息保护法适用时的环境,互联网技术的快速普及和应用彻底改造了其适用环境。现下的信息交换和互动具有快速化和便捷化的特点,我们获取信息的能力大幅度提高。网络应用于各个领域使得数据信息的采集变得更加全面和及时,相较过去而言,现在的数据可谓是形成了全球性流动。数据控制者和处理者也不再单一化而是变得多样化,除去政府和大型公司,个人也可以利用分析数据。这些都使得孕育个人信息保护法的初生环境大为变化,这些不断进步的技术也就造成个人信息边界的模糊化。

( 二)模糊化下的冲击和挑战。 个人信息本身的含义支撑着个人信息保护法律制度,作为基石而存在,当个人信息的概念开始模糊化,有关个人信息保护的法律制度的整个法律体系的稳定性也会被破坏。当前主要表现出下列几类问题:

1、在个人信息的判断上发生了分歧。比如说“IP 地址”、“搜索记录”等信息是否在个人信息的范围之内。一般情况下,会产生这样的认知:在浏览器上搜索不是像日常生活拿身份证买票那样需要证明自己的身份,留下的记录不属于个人信息。如果某个用户仅仅是打开浏览器搜索了“天气”,那么根据该搜索记录基本上无法确定特定自然人的身份。但是,若是用户在搜索时输入录入特定精确的词语,又或是把某一用户所输入的搜索词语相结合,此种情况下该用户将会具有可识别性。例如,AOL 在2006 年对数据做了匿名化处理之后公布了2,000 万的搜索记录,但是随后纽约时报的记者在这2,000 万的搜索记录中发现实际上还是有一部分可以被重新识别且并没有很大的难度,最后以AOL 对其公布行为向公众道歉收尾;另外,其实IP 地址也存在着相同的问题,尽管仅仅依靠IP 地址信息没有办法和特定人产生直接联系,但是当将所获取的其他信息和IP 地址一起利用时就很容易识别出某个特定的自然人。

2、非个人信息转化为个人信息。 当某些处于匿名状态的信息能够获取到其所缺乏的一些数据源,这种匿名状态很快就会被打破。然而,在今天的世界,有无数可以利用的数据源,人们越来越能够获取大量有关个人的信息。数据的聚合能力使得数据的控制者有更强的能力将非个人信息转化为个人信息。美国曾做过一个研究表明,有出生日期和出生地这两项信息即可推断出个人的社会保障号码。

3、个人信息的属性动态变化。 在何种场景下收集和使用个人信息在很大程度上决定了信息的属性。实际上,在个人信息与非个人信息之间不存在所谓的清晰的界限,某个信息在当下场景下被当作非个人信息对待,但当转换到另一个场景下可能就被作为个人信息看待了,个人信息和非个人信息并非都是以其现有属性固定存在在任何场合。

二、个人信息安全风险——以移动互联网、智能终端为例

( 一)移动互联网终端层面。 这一层面上个人信息安全风险可以归于两个方面:一个是智能终端本身设计;另一个是智能终端生产商的非法行为。

1、终端在个人信息保护措施方面存在不足。 大量的个人信息常常会被存储在智能终端中,以智能手机终端尤甚,同时和电信资费联系甚深。较之于传统的电脑安全锁面临的威胁,智能终端中存在的诸如套取用户费用的威胁更加频繁,基于经济利益不断地驱动,非法操作和恶意攻击也就与之增加了,故而智能终端应该花费更多的精力提高防御能力来应对其可能遭受的各类攻击。基于此,智能终端应当按照国家对相关产品的要求达到国家规定的标准,应当做到与国家设置的信息安全、网络安全的标准相符,比如电信终端设备通信入网认证时要符合工信部规定的标准。除此之外,智能终端必须提供对个人信息保护来说一些最基本的功能,即给予用户设定屏幕锁、程序锁、加密存储个人敏感信息等权限。尽管在实际生活中,手机设置了密码,当丢失之后拾取手机之人仍然可以通过刷机达到使用手机、查看手机中存储的信息等目的。但是,如果智能终端不提供这些最基本的功能,那么智能终端中存储的个人信息受到侵害的可能性也就更大了,相当于失去了基本的保护屏障。

2、终端设备生产商的行为——非法收集个人信息和监控。 生产商在终端设备中扮演着设计者、制造者和服务提供者的角色,其在终端设备中所具有的大范围权限不言而喻,比如在终端设备中设置用以收集各类用户信息的程序。由于每个终端设备都会有唯一的IMEI 号,那么在设备生产商对用户进行了身份登记的情况下,其能够收集到的所有信息都是具有识别性的。拥有此种便利条件,使用终端设备的用户的个人信息极有可能被设备生产商非法收集,生产商还可能通过跟踪终端位置来实施监控用户的行为。

( 二)移动互联网应用层面。 使个人信息安全在应用层面上遭受风险的主要是应用服务的提供商,应用服务提供商可能会对个人信息进行非法收集、使用以及共享。

1、个人信息安全在终端应用上的问题。 我们所了解的关于智能移动终端的操作系统可谓是种类繁多,自四五年前大家对安卓手机、苹果手机就已耳熟能详,并且Android 可以说是十分迅速地就占领了市场,然而Android 系统的智能终端中却存在许多个人信息安全隐患。Android 系统安全架构的核心设计是,在默认的设置下,所有的应用都没有权限对其他应用、系统或用户进行较大影响的操作,在安装软件应用时要求获得某些权限,其中包括读写用户个人信息(联系人或通话记录)、读写其他应用文件、访问网络等。其中,软件应用在其所提供的相应功能的基础上要求合理的权限。之所以会产生个人信息安全风险是因为用户在下载软件安装到智能终端上时并不会过多的甚至可以说基本上不关注其所下载的应用究竟会要求获得何种权限。就拿我们自己做例子,我们平时在手机上下载安装一些需要用的或者感兴趣的软件时可以发现大体上所有的软件都需要在使用前先行注册,在注册的时候会让我们提供一些个人信息,注册成功进行使用时也可以发现页面会出现一些需要获取的权限,问是否同意,而如果不同意是不可以进行使用的,通常情况下我们也会立刻选择同意而并不会去弄清楚应用获取的究竟是哪几种权限。但是,很多安卓应用在与利用其所具有的功能无关的情况下也会要求获得某些权限,而我们并不知道这些被要求获得的权限是否和我们利用应用的功能是否有关。长此以往,就会形成一种现象:也就是智能终端应用的开发商在貌似获得准许的情况下收集了许多本不应该收集的信息,这也使得个人信息收集限制和目的明确原则并未得到实现。

除上述情况之外,智能终端设备的开发商在处理其利用应用而收集到的个人信息的过程是处于一种不透明的状态。大部分终端设备开发商并未在针对个人信息保护的政策方面花费什么精力,也就使得政策并未得到完善,哪怕用户想要去了解具体的政策也仍然无法知道被收集的与自己有关的信息处于何种状态,对其个人信息是如何被利用的,会不会被第三人取得共享,对这些信息采用保护措施与否皆不知情。用户面对非透明的处理过程,又要如何建立有关个人信息的用户同意机制呢?这两个方面都是个人信息在终端应用层面上获取保护所要面对的困境。

2、个人信息安全在位置信息服务上存在的问题。 位置信息是随着物联网和互联网的出现和发展而逐渐出现在我们的生活中,并且随着智能终端设备的进步越来越广泛。位置信息服务以及成为智能终端设备不可缺少的一种服务,拿手机为例,百度地图、高德地图根本离不开位置信息服务,我们在使用微信、微博等社交软件发布动态时也会有选择定位的服务,很多人在外出旅游发朋友圈、发微博都已经习惯性或者说出于各种目的偏向于同时选择定位服务,一些人在跑步运动时也习惯于将跑步轨迹和时速等发到朋友圈中,微信中还有一个位置共享可以为确定彼此的位置或者在发生危险时提供帮助,同时微信、QQ等社交软件还有寻找附近人的功能,这一切都表明位置信息服务仿佛已经和我们的生活息息相关了,尤其是大数据时代下基本手机不离手的我们。然而,是否所有的软件应用都需要提供位置信息服?当这么多的软件应用都可以提供用户的位置信息时,个人信息就很难一直处于我们的控制之下而不被他人所知晓。当微博、微信等越来越多的社交软件之上遍布个人位置信息时也就不能排除用户的位置信息被不当共享和利用而给用户带来人身和财产方面的危险;用户的位置信息也可能会被他人收集加以分析进一步对用户的行为进行跟踪获取用户的爱好和日常生活等个人信息。此外,还有可能会使用户的个人身份被他人盗窃加以利用。

三、行政法对个人信息的规制

法律分类中根据调整领域的不同可以将其划分为公法、私法和社会法,其中行政法和宪法同属于公法范畴,宪法具有最高地位,若用宪法来规制个人信息,可能宪法会为个人信息的保护提供一个至高无上的权力准则。但行政法在规制领域能够发挥的作用是其他法律所不能代替的,毕竟行政法本身独特的手段性和技术性功能是有目共睹的。法律的实施也就是法律在具体实践中的适用与法律的生命力密不可分,行政法的具体实施和使用关系着公民的基本权利保障和国家的方针政策,因而行政法在公法领域起着不可被代替的作用。对个人信息进行规制时会涉及到不同的主体,其中不仅包括自然人,国家机关和其他组织、社会团体等也都是不可缺少的主体,而国家机关、其他组织和社会团体又是行政法中的一方主体,因而在探讨个人信息的规制时,明确在公法领域如何对个人信息进行规制是一个必不可少的环节,如此才可确保各个领域中对个人信息规制的全面性。个人信息不仅仅只关乎用户自己的个人权益,同时还可能涉及整个国家的安全,比如之前的“棱镜门”和“斯诺登”事件之所以能够震惊世界,正是因为该事件不仅仅关系到其国民本身的权益,同时也对其他国家的安全造成了威胁,当科学技术处于领先领域的超级大国利用其掌握的先进于他国的技术对世界范围内的自然人形成“数字圆形监狱”式的监控时,被监控的国家不得不提高警醒能力。由此可见,不论是在私法领域还是公法领域,个人信息都至关重要,两个领域内的个人信息规制都需要开展研究,不能顾此失彼。虽然私法领域对个人信息规制的研究领先于公法领域的研究,具体表现在民法对个人信息规制的研究,齐爱民和洪海林还有其他学者对此都展开了深入的研究,但是我们都知道民法调整范围有限,涉及到的主体也有限,这就决定了民法无法关注到方方面面,尽管说的是平等主体,但是并不代表此种平等在任何方面都是实质性的平等。继续对民法领域的个人信息规制展开更深入和精细的研究固然非常重要,可是如果只专注于这一个领域内的研究不可避免地就会带来一些问题,不可否认民法是研究个人信息规制的重要法律渊源,却不能将其当作全部的法律渊源,否则会因为民法中的意思自治阻碍个人信息在涉及到国家利益和公共利益时的流通目的的实现。由此,通过行政法领域来解决此种问题变得尤为重要。

( 一)在行政法层面对个人信息规制的必要性。 大数据时代下,个人信息存储于网络和各种电信设备之中,某些个人信息实际上已经无法用私力加以控制,当无法行使私力救济时,公力救济就成为了唯一的选择。毕竟私力救济范围始终是有限的,只能依靠用户个人通过自助行为和自卫方式维护自己的权益,与此不相同的是公力救济的主体是国家机关,国家机关行使公权力救济用户的权益的效率和强制力远超于用户自己的私力救济,行政法的救济就归属于公力救济。个人信息的收集和使用发生在多种场合中,比如由于合同的约定产生此种需要,再比如行政主体之间基于行政事务的处理不可避免地产生此种需求,前者可以根据民法的规定在私法领域对其进行规制,后者则需要通过行政法中的规定加以规制。

不论是否处于同一法律领域之内,行政法与民法、刑法相比较具有其自身固有的特性。相较于民法,行政法在其价值取向和适法范围有所不同。民法自始至终都贯彻着意思自治原则,尽管如此仍然不能避免民法还是以强者为中心,意思自治的主要表现形式是契约自由,但契约自由真的能够保证实质上的平等么,答案显然是否定的。以劳动者与用人单位的劳动合同关系为例,曾经完全以契约来约束和规范劳动合同关系,但最终的结果却不尽如人意,契约上的平等没有实现实质上的平等。用人单位相较于劳动者处于强者的地位,只通过意思自治和契约自由规制不能实现实质上的平等,《劳动合同法》就是为了解决此种问题而出台的,通过将劳动者归入弱势群体,采取有别于民法的特别规定做到恰如其分地平衡相关双方的利益关系,最终达到两者地位上的真正平等,在这个处理过程中就既有民法法律关系也有行政管理法律关系。民法所在的私法领域不能将个人信息的保护和流通全部囊括入其调整范围,有关个人信息的流通和使用的统一标准及监管部门非民法所能解决。另外,当出现国家利益、社会公共利益等因素时,民法在处理个人信息问题时会出现心有余而力不足的情况,行政法的调整方式恰好包含这两种因素,能够弥补民法在此存在的不足。

相较于刑法,行政法在违法和犯罪之间扮演着过渡的角色,刑法是规制犯罪行为的法律,惩罚手段最具严厉性,刑罚的使用会对公民的基本权利造成重大影响,甚至于公民一生的命运都可能因此改变。为了保护公民的正当权益,刑法必须是最后一种迫不得已的选择,凡是其他法律能够解决的违法行为都不实用刑法,其他法律不能解决的时候再利用刑法将其定性为犯罪加以解决,能够适用轻法就不要适用重法,这也是刑法具有谦抑性的体现。试想行政法中若无关于个人信息的规定,会造成何种后果?若无行政法的规定,当某一个人信息受到侵害时,可能会直接将该侵害行为认定为犯罪行为,因为缺乏认定该侵害行为为违法(违反行政法)的规定,在认定犯罪行为时会先确定该行为是否只构成违法未达到犯罪程度,在缺乏认定依据时极有可能直接将行为认定为犯罪行为进而适用刑法对侵权人加以惩罚。长此以往,会产生重刑化现象,导致公民权益受到侵害,罪刑并不相适应。综合上述分析,可见行政法对个人信息加以规制的必要性。

( 二)行政法层面需要解决的个人信息问题。 利用行政法对个人信息进行规制主要是针对个人信息从收集到使用过程中的一系列环节。具体而言,可以从两个方面来对个人信息进行行政法法律规制,分别是规则层面和法律层面。在规则层面主要是确定在个人信息具体运用过程中所涉环节需要遵守的基本原则、准入机制、安全保障措施以及对于违法行为的处理,个人信息主体在此承担的行政法设定的义务同时也是其实现其现实权利的方式。在法律层面上则要确定个人信息在收集、流通、储存和使用过程中的统一标准,只有先确定统一标准才可以逐个攻破个人信息规制中的难题,避免形成“信息孤岛”,并且可以降低因不当泄露给信息主体造成损害的可能性,形成个人信息协调处理机制,构建以技术规制为中心的公法路径是可行做法。

四、规制个人信息的行政立法建议

( 一)设置统一有效的技术安全标准。 确保个人信息能够合法安全地流通是在行政法层面上需要解决的问题,在借鉴他国优秀立法经验的基础上制定与我国发展状况、国内环境相适应的收集、储存、流通和使用的技术安全标准相应的保障措施。可以对个人信息的使用划定严格的分级许可制度,一个是我们所熟悉的行政许可,给予相关部门特别授权同时也要规定有相应的法律责任,遵循权利与责任并行原则,重点关注国家利益和公共利益;另一个是更为严格的商业增值许可,不仅需要获取个人信息主体的同意,有关部门还要对其实行监督,保证个人信息不会进入失控状态,降低国家利益和公共利益受到侵害的风险。由于在个人信息收集使用等过程中存在标准各异的情况,应统一使用规范的标准。总而言之,将技术安全标准的设置作为立法重点,遵循许可制度的分级规定,制定相应规则规制个人信息分类、面临的风险等级以及审查个人信息安全为个人信息主体提供可循规则,最终达到保护个人信息安全的效果,实现行政层面立法的目的。

( 二)建立有效监管部门。 规制个人信息、保障个人信息安全需要发挥监管部门的有效监督作用,有效的监督是为了促进行政立法的有效实施,而不能空有其表无法施行。欧盟1995GDPR 第28 条对监管就作出了相关规定:行使职权时监管部门之间应当相互独立,避免外界对部门行使职能产生干扰。我国香港地区在《个人资料(私隐)条例》中设有个人资料私隐专员公署制度作为香港最具特色的独立法定机构。公署下设多个部门负责调查有关个人私隐的投诉,同时对个人资料系统进行视察,敦促个人信息主体能够积极遵从相关条例要求,力求实现个人信息主体资料隐私的有效保护。欧盟和香港的立法经验都是值得借鉴的,我们应该建立有效的监管部门保障法律得到实施,实现法律对个人信息的保护。

( 三)确立便捷有效的救济。 整个行政法体系可以大体上划分为人、事、救,行政主体手握行政权力,在行政执法过程中可能会使公民遭受非法侵害而利益受损,行政救济是公民遭受违法或不法行政行为侵害后就其受损权益可以采取的补救措施,故而在行政立法中规定行政救济措施有其必要性。在救济方面的立法可以借鉴我国澳门地区《个人资料保护法》中有关救济的规定,该法对被侵害人的救济分别从行政救济和司法保护两个方面进行规定,行政处罚和涉及犯罪的界限也被明确地规定在其中。在行政法领域,违反行政法相关规定的主体需要对自己的违法行为承担行政责任,这种违法行为尚未构成刑法领域内的犯罪,不需要适用刑法,行政处罚是违反相关行政法规的主体对其违法行为负责的主要方式,是行政法对相关违法主体实施的一种制裁。个人信息主体违反行政法层面的规定应承担行政责任,即需要受到行政处罚,至于具体的处罚形式和措施可以借鉴行政法中关于行政处罚的具体规定,比如金钱罚、能力罚和自由罚,可以同样适用此种情形。但是,处罚力度应当在遵循比例原则的基础上适当提高,因为在社会实践中违法行为人被经济利益驱动再加上违法成本小故而增加了个人信息遭到侵害的可能,只有违法行为人清楚地认识到实施违法行为需要付出巨大的代价,才会谨慎行事,尽量不做违法之事,然后方可一定程度上有效抑制行为人的违法行为。

五、结语

大数据时代,科学技术仍然在快速发展,个人信息的定义随着技术的发展也在逐渐模糊,个人信息安全风险也一并增加,个人信息本身所具有的价值愈加重要。如何在充分利用个人信息的基础上同时保证个人信息不受非法侵害成为一个急需解决的议题。在对个人信息予以规制的过程中应尽可能做到公法领域和私法领域的规制一并进行。两个领域的规制是一个大过程、总环节,行政法对个人信息予以规制是其中的一个小环节,但同时也需要经历相应的过程才能逐渐成熟,在这个过程中首先要确定最基本的关于个人信息规制的行政法层面的立法。立法中需要确定个人信息收集使用等这个过程应遵循的原则、明确个人信息主体的权利义务、设置统一的技术标准,同时借鉴他国和港澳地区的优秀立法经验,但不能忽视本国国情,最终实现公法领域中行政法对个人信息的规制。