人类在享受“大数据”带来的生活巨变的同时, 隐私权却面临着前所未有的挑战。数据的非法搜集、无限利用、黑市交易、不当泄漏相继成为炙手可热的研究重点, 而数据整合却一直未得到重视与探索, 殊不知其是隐私权面临的最大威胁。所谓数据整合就是将各种细碎的、分散的数据, 由点而线、由线而面、由面而层次, 相互连接, 重装组合, 实现1+ 1 > 2 的增值功效。 (1) 数据整合称得上大数据技术的精髓。网络社会每个人不自觉的留下了数据脚印, 一旦将这些数据被筛选、串联起来, 彼此印证, 便能完整再现了一个人的轨迹, 还原生活图景, 个人隐私无处谈起。
一、数据整合侵犯隐私权的特点
数据整合行为通常来自于国家公权力的行使、企业高额利润的诱引、甚至是公民对他人信息的猎奇心。笔者不排除有些数据整合行为的“初衷”是好的, 然而碎片化信息整合伴随而来的是广泛的散布与无休止的传播, 数据整合也游离于“合法”与“非法”的边缘, 留下了保护隐私权的系列难题。数据整合侵犯隐私权的具有下列特点。
侵权行为呈隐性, 生活中多数侵权行为如动物的致人损害是可感知易追索的但数据的收集、分析、存储突破和摆脱了物理空间的限制, 进一步的整合行为就越发隐蔽; 侵权主体匿名性, 网络环境下实名注册较好规范, 难的是恶意的数据整合侵权者多会用技术手段掩护自己, 即利用虚拟身份或匿名化; 受害主体庞杂性, 大数据技术的存贮、整合、计算能力超乎想象, 随之而来其侵犯主体也可能是数以万计的。年龄、性别的差异性, 职业、文化的多元性, 保护隐私权起来棘手多了; 侵权后果毁灭性, 大数据利用不当, 互联网的“东风”很快就风靡世界, 产生“蝴蝶效应”, 与传统侵犯隐私权的行为相比, 侵权后果更为惨痛。
二、数据整合下隐私权保护的困境
数据整合的侵权行为所呈现的独有特点, 暴露了大数据环境下隐私权保护的瓶颈式难题。
( 一) 数据整合的边界模糊
对于数据整合的边界我国法律同样处于空白地带。大数据上新闻联播已不是新鲜事, 经验理性告诉我们它并非侵权。因此数据整合“合法”与“非法”的临界点, 公共利益的考量攸为重要。世界上不少国家的数据立法中将社会公共利益和国家利益作为减轻或免除侵权责任的事由。但非公共利益的整合行为的其界限如何呢, 例如为追求心爱之人, 整合其数据的行为合法与否的临界点如何拿捏?
( 二) 用户尚无个人数据自决权
对于数据整合被侵权人基本上处于一种裸权状态。理想状态下权利人的知情权、同意权、支配权、安全保障请求权均因受保护。 (2) 而现实是数据整合人未告知相关主体并取得同意。用户处于相对弱势的地位, 无法行使个人数据自决权。
( 三) 数据整合的成果归谁所有
谁能对由单一信息聚合形成的数据库享有权利。若归数据整合人, 除此之外的任何人的利用都是侵权, 包括数据信息源主体本身对个人数据是没有权利的, 这显然不合理。如果归信息源主体, 即使承认用户对其个人信息享有权利, 也无法主导数据库拥有者对数据库的整体使用, 这就好比散户永远无法主导公司的生产经营活动一样。
三、数据整合下隐私权保护的比较分析
我国对个人数据隐私保护的现状令人堪忧。据统计, 发布的法律法规中全国人大及常委会约有40 部, 国务院30部, 工信部、银监会、保监会等部门近200 部。 (3) “周详”的规范存在着缺乏强制性、系统化, 过于原则性, 维权成本高等难以适用的缺陷。如2012 年的《关于加强网络信息保护的决定》被誉为网络信息方面的首次立法, 但较多规定缺乏操作性, 空泛提到侵犯信息权的刑事、民事责任, 至于责任如何承担没有下文; 2013 年《信息安全技术公共及商用服务信息系统个人信息保护指南》是我国首个有关个人信息保护的国家标准, 其最大的弱点是缺乏强制性。综上我国关于个人数据隐私保护的法律法规, 有待进一步的完善。欧盟坚定不移地通过立法的方式规制数据控制者的行为。2012年《数据保护指令草案》采用“如果没有用户明确同意, 则不得处理个人数据”这一主动许可的方式。这意味着欧盟数据整合以用户同意为前提, 并遵循其他几项原则: 合法、终极、透明、合适、保密、安全、监控。 (4)
美国政府并没有通过立法的方式来予以保护而是更多地强调行业自律。奥巴马政府于2012 年公布了《网络用户隐私权利法案》, 值得注意的是该法案并非强制性的, 但其为企业如何保护用户隐私设定了7 项原则, 其中责任原则、用户自决原则对数据隐私整合具有规范作用。
四、数据整合下隐私权保护的建议
它山之石可以攻玉, 结合中国自己的具体情况, 我们可以做以下的尝试:
( 一) 数据整合须征得用户同意
欧盟、美国、日本、经合组织都把通知和同意作为信息利用的前提条件。我们国家也应当如此, 要求数据的整合利用一定要尽到通知义务, 取得权利人同意。获得许可后, 必须按照约定的范围对数据加以利用。
( 二) 赋予个人信息自决权
个人可以支配自己信息, 可以决定是否要把信息交给他人, 交给谁以及可以整合到哪种程度。对于整合利用信息失真、断章取义的, 信息权利人可以要求整合利用人修改、删除、不得再利用, 并且有权利要强求整合主体恪守安全保障义务。
( 三) 明确数据整合后的权利享有者
对于整合后的数据归信息源主体所有更合理。数据整合人仅是对数据的加工处理而已, 不会因为有了整合劳动就有了隐私人格权。如果说数据整合的成果要给于保护免受侵害, 那也是知识产权保护的范围。另外, 信息源主体的权限仅局限于自身的那部分信息。
( 四) 公法和私法联合保护
介入“公权力”的数据隐私, 对其保护也应当引入公法。隐私权的入宪保护是公法保护的核心, 行政法则是对宪法原的具体落实。须遵循两个原则: 一是公益原则, 即在必要时为了公益的需要而限制私益; 二是比例原则, 即在处理权利冲突时衡量与取舍, 并把损失降到最低限度。
( 五) 来自美国的经验———行业自律
美国的经验启发我们分层而治。外层, 互联网行业自律组织应加强对行业建设性指引标准的制定 (5) ; 内层, 行业自律组织向成员颁发网络隐私保护认证标志, 对违规整合他人信息的成员, 做出相应的惩罚措施甚至是除名。
大数据技术整合的法律隐患, 倒逼着数据隐私权规范的出台, 诚然法律不能完全解决包罗万象的现实侵权问题, 但寻求包括公私法协同、行业自律在内的保护机制的脚步不曾停歇, 早晚盯着我们的窥看的“老大哥”会被降服。
摘要:数据整合是大数据技术的本质特征, 潜藏着对个人隐私权侵犯的巨大威胁。本文在划分数据整合的界限、明确信息权利归属的基础上, 提出数据整合应当征得用户同意、公法与私法结合、行业自律等协同保护机制。
关键词:大数据技术,隐私权保护,数据整合
参考文献
[1] [英]维克托·迈尔·舍恩伯格, 肯尼思·库克耶著, 盛杨艳, 周涛译.大数据时代生活工作与思维的大变革[M].杭州:浙江人民出版社, 2013.
[2] 周汉华.个人信息保护前沿问题研究[M].北京:法律出版社, 2006.32.
[3] 赵华明.论网络隐私权的法律保护[J].法学研究, 2002.
[4] 董亮.论大数据时代网络隐私权的法律保护[J].法学论坛, 2014.8.