试论个人数据权的法律保护

2020-06-27 14:09于洋
中国市场 2020年18期
关键词:网络安全法个人信息

[摘 要]在大数据被广泛应用,区块链被反复提及的新时代背景之下,个人数据权成为公众最为关心的权利之一。由于数据权是一种新兴权利,对数据权的立法保护显然还有很多的不足。法律具有滞后性,面对现实的数据权保护问题,法律依旧应当作为社会共同的底线被制定并适用。文章从数据权的概念入手,分析个人数据面临的法律隐忧,提出立法建议。

[关键词]个人信息;网络安全法;立法保护

1 数据权概述

1.1 数据权的概念

数据权是一种在互联网络发展之下产生的新兴权利,近年来得到了大众的广泛关注。在赛博时代,数据作为存储个人信息的介质,包含了大量的公民隐私。只要在网络上,一切行为都由数据记录并保存。数据权保护的权益是个人数据(信息),在互联网时代,对个人数据也应当重新定义。从1980年世界范围内第一部关于个人数据保护的法律——世界经济与合作组织发布的《隐私保护与个人数据跨境流动的指导方针》到2016年我国的《中华人民共和国网络安全法》,都将个人数据的“可识别性”作为数据权的一项重要特征在对个人数据的定义中加以强调。笔者认为,数据权不仅包括具有可识别性的生物数据,如指纹、面部信息等,也应当包括公民在互联网上被储存的一切行为数据。因此在本文中将数据权定义为“民事主体享有未经本人同意不被他人收集、利用和公开个人数据的权利”。

1.2 数据权的权利属性

数据权作为一种新型民事权益,其兼具了人身权和财产权两种属性。数据权基于人身依附性,其人身权属性在学理界已经得到了广泛认可。但数据权的财产权属性则更为模糊。从数据自身的性质来讲,是无形、抽象、又可识别的一连串符号(具体可以表现为数字、图像、语音、视频等),由于计算机科学的不断发展,数据的内涵和外延正在不断扩展。而信息则是附属于数据之上可以被总结归纳的推断性结论,数据的价值就在于附着在数据之上的信息。基于AI算法的精进和大数据技术的发展,数据的价值被重新发现,很多购物网站都会根据顾客的浏览记录、购买记录等精准推荐商品,吸引顾客购买,引导数据资源被合理分配。因此,数据权的财产权属性也是无可非议的。

1.3 数据权与个人信息权

数据权与个人信息权不能简单地划等号,虽然在大数据时代,数据与信息已经密不可分,但并不代表数据已经等同于信息。信息是基于事实得出的推断性结论,而数据却是事实本身。数据通过符号的有机组合,将个人的行为记录并保存。在我国立法事件中,将数据作为个人信息予以论述,但数据的范围与个人信息既有重合部分又有不同之处。整体来讲,数据的范围应当是小于个人信息的,文章在论述大数据时代下的数据权时,将数据限定在网络平台中的用户个人数据。而个人信息则不能仅仅限定在网络数据信息之中。在数据权中,数据本身就是被保护的对象,非法收集数据并从中分析公民个人信息应当视作是一种利用数据的行为,同时侵犯了公民的数据权与个人信息权。

2 实践中典型数据权侵权行为

2.1 用户不能行使数据自决权

世界各国可借鉴的立法中,都将个人数据自决权作为数据权的基本内容,由权利人自己决定自己的数据能否被收集,以何种方式收集以及何时进行收集;决定对自己的信息进行修改或删除的权利。但在实践中,很多侵犯个人数据权的行为并没有得到有效规范。

事实上,相较于政府来讲,更易采集公民个人数据的是互联网企业,在网上的每一次点击都可以被软件提供商采集并用以分析公民个人偏好,严重侵害了公民的个人数据权,也对社会秩序造成了极为不利的影响。虽然大多软件都将《个人信息及隐私保护服务条款》提供给权利人,权利人可以选择同意或者不同意,用以规避侵犯公民数据采集知情权的可能。然而,权利人真的有不选择同意的能力吗?毫无疑问的是,权利人在这种关系中处于弱势地位,市面上几乎所有的软件都设定成若权利人不同意《服务条款》,App供应商就拒绝提供服务,这就违背了保护公民数据权的意图,事实上并没有为权利人行使数据权提供有效支持,甚至是企业在倒逼权利人将放弃自己的数据权力。

2.2 数据控制者数据保护责任承担不足

2018年4月,Facebook创始者扎克伯格因涉嫌垄断和泄露用户数据接受国会的质询。Facebook作为全球最大的互联网社区应用之一,其保存了近6000万用户的数据,这些数据的泄露对个人隐私和社会稳定都是很大的打击。依托Facebook的用户数据,剑桥分析公司精准分析大众心态,操纵了英国脱欧事件并成功帮助特朗普竞选美国总统。这样惨痛的教训也让我们意识到对个人数据保护的重要性。扎克伯格在听证会上承认公司应当承担起对用户个人数据的保护责任,而Facebook显然并未尽到自己的义务。在世界范围内,泄露用户数据的现象都有存在。

2.3 精准推送阻碍信息流动

即便用户数据并未被泄露或利用、用户得以行使被删除权、被遗忘权,也并不代表用户数据权没有被侵犯。笔者认为,数据控制者基于用户的数据,在未经用户同意的前提下通过算法向用户精准推送内容,也构成对个人数据权的侵犯。数据控制者利用了用户的数据,为用户打造了一个信息茧房,精准推送在某种程度上阻碍了用户获取开放信息的权利,造成了信息的不对称。这种行为并不能称为是对用户个人数据的合法利用,尤其在数据控制者并没有明确告知用户其数据会被应用于自身的情况下。数据控制者利用个人数据为其推荐产品,表面上看是改善用户体验,优化信息分配,创造商业价值,但究其根本,不仅违背了互联网信息开放性和流动性的原则,还侵犯了个人数据控制权。

3 我国数据权立法保护

3.1 当前我国数据权立法现状

法律要为现实服务,为了保护个人数据、规范数据控制者行为,必须要有相应的法律制度。我国法律中并没有规定数据权,而是以概括的个人信息予以保护。刑法规定了侵犯公民个人信息罪与非法获取计算机信息系统数据罪以遏制非法获取他人信息和计算机内数据信息的行为;《网络安全法》规定网络产品、服务收集用户个人信息需要得到用户的明示同意,网络平台方负有保护用户个人信息的义务;2017年11月,中国国家标准化管理委员会发布了《信息安全技术移动智能终端个人信息保护技术要求》,通过制定国家标准的方式规定平台获取个人数据的方式和范围;此外,近两年来,网信办、公安部、工信部也纷纷出台了部门规章,以保护个人互联网信息安全。然而,目前我国仍然没有一部完善的法律将个人数据权作为一项单独的权利予以保护,面对日益猖獗的个人数据侵权行为,救济途径不够畅通。

3.2 对我国数据权立法的建议

(1)明确数据权的权利属性。数据权的权利属性对数据权保护具有至关重要的作用。目前我国将数据权作为个人信息的一部分加以保护,仅仅体现了数据权的人身权属性,甚至这一点也是附属于隐私权之上的。刑法中规定的非法获取计算机信息系统数据罪,认为其侵害的客体是社会管理秩序。但正如先前论述,数据权是一种复合权利,既是人身权利,也是财产权利,在数据权立法中也应当有所体现。

(2)明确数据控制者的责任。现有法律已经基本确认了数据权利人的自决权,即只有在权利人知情并授权的情况下数据控制者才能获取数据和利用数据。但对数据控制者的责任限定不够明确,数据控制者作为相对强势的一方,权利人基于对其的信任提供数据,但数据控制者应当在权利人授权范围内合理使用数据,并保护数据不被泄露给第三方。数据控制者若要将数据提供给第三方,必须经过“用户授权+平台授权+用户授权”的三重授权原则,保证用户的知情权。

(3)建立完善的权利救济途径。“有权利则有救济”,同样是在新浪诉脉脉案中,脉脉公司非法抓取新浪微博用户个人信息,新浪公司以不正当竞争起诉并获得了法院支持。但这个案件中事实上被侵犯的是大批用户的个人数据信息,仅仅让数据控制者以不正当竞争的理由起诉并不足以保护个人数据权。亟须建立完善的权利救济途径,使每一个公民都有途径去维护自己正当的数据权利。

4 结论

大数据时代带来的有機遇也有挑战,海量个人数据的合理使用可以使大众享受到优质便捷的生活,带动经济增长。法律作为制度保障,要为个人数据权进行保护,规范数据控制者的行为。面对当前现状,我国亟须制定出一部个人数据保护法,适应新时代需求,保护个人信息,保护公民财产。

参考文献:

[1]刘晓春. 欧盟《通用数据保护条例》原则条款解析[N].中国市场监管报,2019-04-16(006).

[2]徐梦醒.大数据时代消费者隐私权保护刍议[J].中国市场监管研究,2017(9):58-62.

[作者简介]于洋(2000—),女,汉族,河南郑州人,北方工业大学文法学院,研究方向:法学。

猜你喜欢
网络安全法个人信息
如何保护劳动者的个人信息?
个人信息保护进入“法时代”
主题语境九:个人信息(1)
警惕个人信息泄露
论《网络安全法》对信息经济的保障支撑作用
政治施压《网络安全法》行不通
中国《网络安全法》草案引热议
个人信息保护等6项通信行业标准征求意见
工信部:我国将出台保护个人信息行业标准