查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《财经法学》
大数据时代个人信息保护的行业标准主导模式
【英文标题】 Industrial Standard as the Primary Mode for Protecting Personal Information in Big Data Era
【作者】 刘晓春【作者单位】 中国青年政治学院法学院
【分类】 民商法学
【中文关键词】 个人信息;私权;大数据;自我管制;行业标准
【英文关键词】 Personal information Private right Big data Self-regulation Industrial standard
【文章编码】 2095-9206(2017)02-0011-11【文献标识码】 A
【期刊年份】 2017年【期号】 2
【页码】 11
【摘要】

个人信息保护的私权模式有其合理性和现实基础,但是以私权为主的治理模式由于信息不对称的存在而出现了失灵。私权模式为其他治理机制提供了前提和基础,应当建立多种机制并行的多元治理框架。政府直接管制模式同样存在信息不对称等约束条件,因此,根据社会自我管制理论,通过数据行业形成自下而上的行业标准应成为治理个人信息的主导模式,并建构“基础法律规范、行业通用标准、企业最佳实践”的治理框架。

【英文摘要】

The private right mode of personal information protection has its rational and practical foundations. But Information asymmetry leads to poor effect of such mode in practice. Private right mode provides preconditions and basis for other governance system. Pluralistic governance framework should be established to accommodate multiple mechanism. Information asymmetry also constraints government direct regulation mode. Based on social self-regulation theory, forming bottom-up industry standards through the data industry should become the primary model for governance of personal information, in order to construct a “basic legal norms-industry harmonized standards-corporate best practices” governance framework.

【全文】法宝引证码CLI.A.1222798    
  
  个人信息保护和利用的问题,自21世纪初开始,一直是法学界受到关注的问题,研究者在借鉴国际经验的基础上提出了多种制度建议。随着互联网和大数据产业的发展,个人信息利用的实践形态出现了大量的创新,个人信息保护和治理的制度模式也面临着新的挑战,针对传统的私权治理模式,从理论上到国际实践上都出现了反思和转型。在大数据时代,个人信息成为一种核心生产要素,对其设立私权,的确可能带来权利碎片化的问题,增加交易成本。但是,无孔不入的个人信息收集和利用行为所可能带来的破坏性后果,又通过“徐玉玉案”等一系列具有极大社会影响力的事件在公众舆论中持续发酵,成为社会普遍焦虑之处。此外,随着数据采集和处理技术的高度专业化发展,对于个人信息泄露、收集、使用行为的监控和举证,远非普通民众的能力所及,因此私权模式在实际治理中出现失灵的情况。因此,有必要在私权模式基础之上,辅之以配套的多元规制模式,本文试图结合调研数据、案例统计和产业实践,探讨以行业标准为主导,建设“基础法律规范、行业通用标准、企业最佳实践”的综合治理架构。
  一、私权治理模式及其社会基础
  (一)私权治理模式的基本观点
  保护个人信息的讨论通常跟隐私结合在一起,借鉴隐私权的观念,有学者提出将“个人信息权”确立为新型权利,认为个人信息所体现的是公民的人格利益,个人信息的收集、处理或利用直接关系到信息主体的人格尊严。[1]同样主张个人信息权作为人格权的学者认为,个人信息与隐私存在密切关联,在客体上具有交错性,但是在权利属性、权利客体、权利内容和保护方式上,个人信息权都与隐私权存在区别,应当成为独立的具体人格权,并建构以私法保护为中心的个人信息保护法。[2]在权利内容方面,学者认为个人信息权不同于隐私权之处在于其主要是一种主动性人格权,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。[3]有学者将权利内容进行了具体列举,包括了信息决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权。[4]
  有学者认为,应当重视个人信息的商业价值,通过财产权模式来保护个人信息,确立个人信息财产权,从而保障个人对自己个人信息的积极利用和交易,并规范和促进产业发展。[5]
  尽管对于个人信息权应属于人格权或者财产权尚存争议,但对其采取私权保护为主的模式是这些学者的共识。而人格权和财产权的争议也并非完全非此即彼、不可调和,目前学界关于人格权财产利益保护的探讨,实际上可以对该问题做出回应。[6]
  采用私权模式为主的保护制度,其目的在于调动每个人对其个人信息进行主动保护的积极性,即权利人在受到侵害之后,能够积极主张权利。私权模式的默认前提是,个人其实是自身利益的最佳维护者,对个人信息进行自我管理,是成本最小、效果最佳的选择。[7]在保护方式上,主要由个人通过提起侵权之诉来获得救济,除了精神损害赔偿之外,还应当可以主张经济上损失的赔偿。此外,私权的确立也是建立其他多元保护机制的前提,为行政法、刑法乃至行业自律对个人信息提供保护建立了私法上的基础。[8]
  (二)我国立法现状下的私权治理
  以构建“个人信息权”为核心的私权治理模式,由私法确认后,以私法自治作为运作的基本原则。私法自治是个人主义方法论的最有效工具,也被认为是私人利益享有和实现的最佳途径。其前提性观念是“个人乃自己事务的最佳判断者及照顾者”[9]。私权的救济需要通过法律规范强制力的保证,获得享有和实现私权的“法律上之力”,“法律上之力乃由法律所赋予,受法律的支持与保障的一种力量”[10]。从我国现有关于个人信息立法的规定看,尽管尚未明确确立“个人信息权”的概念,但是,个人信息保护中的个人同意原则、知情权、删除权、更正权规定,及违反这些规定后的法律责任机制,可以认为是具备了私权治理模式的雏形。
  我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的个人信息保护模式。
  1.《网络安全法》确立基础框架
  2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第76条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念,为个人信息保护的体系化制度建设提供了起点。
  《网络安全法》针对网络运营商收集、使用个人信息,规定了应当遵循合法、正当、必要的原则,收集、使用、向他人提供个人信息都需要经过个人同意,并公开收集、使用的规则;明示收集、使用信息的目的、方式和范围,并规定公民对自己的个人信息在被使用过程中,享有知情权、删除权、更正权。另一方面,从促进产业发展的角度,该法明确了禁止向他人提供个人信息的例外情形,即如果是经过处理无法识别特定个人,并且不能复原的信息可以合理使用,这被认为是对国家鼓励和推动大数据产业发展政策的回应。[11]
  2.分散规定的个人信息保护规定
  全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》,针对“个人电子信息”的保护做出了较为系统的规定,明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对收集、使用、保存个人电子信息做出了系统性规定,要求经过个人同意,还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。
  《消费者权益保护法》第29
爬数据可耻
条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务,即“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务,需要承担民事责任和行政责任。
  除此之外,特定行业的法律法规规章也对其经营者提出了保护个人信息的要求,比如,《旅游法》规定,旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密;《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范;《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务;《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求。在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域,都有相应的法规和规章来规定个人信息保护的内容。
  以个人同意为前提的个人信息保护模式,加上知情权、删除权、更正权等权利内容的设置,可以认为是建立了私权的基本框架,为私权治理模式提供了制度基础。因此,通过一般性规范和具体规定相结合,社会生活中包括线上和线下的绝大部分领域,都已经有了个人信息保护的法律规范,侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散,社会公众难以形成直观的认知,亦无法形成系统化的私权治理模式,因此,的确应尽快制订一部统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是普及和提高民众个人信息法律保护的常识和意识来看,这都存在必要性和合理性。
  (三)私权模式的民意基础
  个人信息的保护和利用之间的协调,是治理模式选择中最基础的价值选择。如果说前些年公众对于个人信息保护还没有过多关注,那么近年来以“徐玉玉案”为典型代表的个人信息严重泄漏事件,已经使得公众对于个人信息保护形成了强烈的诉求,并认为个人信息不当泄露已经严重影响到个人生活的安宁。《中国个人信息安全和隐私保护报告》基于百万份调查问卷的统计数据表明,个人信息安全已成为社会普遍焦虑之处,针对“你觉得个人信息泄露问题严重吗”的问题,有28%的参与调研者认为“没有感觉”,43%的参与调研者认为“严重”,认为“非常严重”的参与调研者占比达29%,亦即有72%的参与调研者认为问题严重或者非常严重。
  问卷分析显示,在遭遇个人信息侵害时,多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电,因网页搜索和浏览时泄露个人信息的参与调研者占53%,经历邮箱、即时通信、微博等网络账号密码被盗的参与调研者占40%,因房屋租买、购车、考试和升学等信息泄露,和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,遭遇针对银行卡、信用卡和网络交易的诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上,被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%,最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%(详见图1)。[12]这些遭遇都严重影响到了个人生活的安宁,并导致了相应的损失,无疑涉及到个人的人格利益和财产利益,体现了进行私权确认和保护的社会需求和民意基础。
  (图略)
  图1个人信息、隐私受侵害行为类型调查
  二、私权治理模式的失灵和变迁
  (一)实践中私权救济的失灵
  私权模式可以为其他多元治理机制的建立提供基础和前提,从而可以确立其必要性和合理性,对此本文亦表示赞同。但是,仅仅采取私权模式,或者以私权模式为主的保护制度,是否能够实现个人信息的保护,无论是从实证数据上,还是理论逻辑上,都存在着可商榷的空间。
  1.调查问卷
  从调查结果来看,公众尽管对个人信息泄漏的严重现状心存焦虑,但是对于个人信息自我保护的防范意识不强,个人信息遭遇泄漏之后的维权观念不强、动力不足。调研显示,在明确自身遭遇个人信息泄露并面临侵害时,相当一部分人抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。被问及被侵犯时没有维权的原因时,60%的参与调研者表示不知道怎么维权,56%的参与调研者是因资金等个人利益未受损而放弃维权,值得重视的是,参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有34%的人是因缺少维权证据而无奈放弃。最为消极的“维权成功也没有好处”选项,也有14%的选择比例(详见图2)。[13]
  (图略)
  图2个人信息及隐私被侵犯后未能维权的原因
  2.司法实践
  我国个人信息保护立法规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比,民事案件的原告通常以侵害“隐私权”作为诉由。通过“北大法宝”数据库对个人信息和隐私权保护案例的检索和整理,结果表明原告能够成功胜诉并获得赔偿者寥寥无几。例如,在消费者起诉移动通信公司、机票预订平台等泄露个人信息的民事案件中,法院认为,被告并非掌握原告个人信息的唯一主体,无法确认被告实施了泄露原告隐私信息的侵权行为,亦即原告无法举证证明被告的泄露个人信息行为。[14]除此之外,即使在原告胜诉的案例中,由于无法证明经济损失或仅能证明极少的经济损失,原告可获得的赔偿金额很低。
  关于个人信息的非法获取与利用的民事判决,与个人信息泄露的普遍状况相比,远不成比例。由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}齐爱民.论个人信息的法律保护[J].苏州大学学报:哲学社会科学版,2005(2).

{2}王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4).装完逼就跑

{3}王利明.论个人信息权在人格权法中的地位[J].苏州大学学报:哲学社会科学版,2012(6).

{4}刘德良.个人信息的财产权保护[J].法学研究,2007(3).

{5}王泽鉴.人格权的性质及构造:精神利益与财产利益的保护[M]//人大法律评论:2009年卷.北京:法律出版社,2009.

{6}李晓明.私法的制度价值[M].北京:法律出版社,2007.

{7}梁慧星.民法总论[M].北京:法律出版社,2011.

{8}中国青年政治学院互联网法治研究中心,封面智库.中国个人信息安全和隐私保护报告[EB/OL].[2016-12-20].http://www.thecover.cn/news/158619.

{9}朱迎光等诉中国联合网络通信有限公司连云港分公司隐私权纠纷案,(2014)连民终字第0006号[A].

{10}庞某诉趣拿公司、东方航空侵犯隐私权案,(2015)海民初字第10634号[A].

{11}吴伟光.大数据技术下个人数据信息私权保护论批判[J].政治与法律,2016(7).

{12}任龙龙.论同意不是个人信息处理的正当性基础[J].政治与法律,2016(1).

{13}张新宝.从隐私到个人信息:利益再衡量的理论与制度安排[J].中国法学,2015(3).

{14}范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016(5).

{15}Reinier H. Kraakman. Corporate Liability Strategies and the Costs of Legal Controls[J].93Yale Law Jour-nal 857(1984).

{16}高秦伟.论行政法上的第三方义务[J].华东政法大学学报,2014(1).

{17}唐清利.公权与私权共治的法律机制[J].中国社会科学,2016(11).

{18}高秦伟.社会自我规制与行政法的任务[J].中国法学,2015(5).

{19}杨炳霖.回应性管制——以安全生产为例的管制法和社会学研究[M].北京:知识产权出版社,2012.

{20}谭冰霖.环境规制的反身法路向[J].中外法学,2016(6).

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1222798      关注法宝动态:  

法宝联想
【共引文献】
【相似文献】
【作者其他文献】
【引用法规】

热门视频更多