大數據時代,個人信息如何不再“裸奔”?
時事訪談
近年來,因APP默認勾選、第三方數據采集等問題引發的糾紛頻出,將個人信息保護的議題高密度地置于公共視野中。
大數據時代,消費者該怎樣保護自己的合法權益,怎樣維護自己的隱私、切實保護好自己的個人信息?除了依靠商家自覺之外,法律、監管等方面還能有何作為?對此,新京報記者采訪了天津大學法學院卓越教授、中國民法學研究會副會長楊立新。
勾選項目必須醒目
新京報:互聯網公司用默認勾選的方式,導致消費者在未留意的時候點擊同意,有沒有法律對這種行為進行規制?
楊立新:對于個人信息權,《民法總則》已經做了特別明確的規定,這就是第111條:“自然人的個人信息受法律保護。”在互聯網領域,由于在網絡上進行交易的特點,在簽訂合同之前無法進行協商,只能采取點擊同意或者勾畫的方式,確認接受交易規則。這是客觀現實所致,不得不采取這樣的締約方式。
不過,按照國家有關部門的規定,在網絡交易過程中,凡是涉及締約接受交易規則的條款,必須在電腦頁面醒目的位置,用醒目的字號和字體,進行充分的說明。這些要求,都包含在《民法總則》第111條關于“任何組織和個人需要獲取他人個人信息的,應當依法取得,并確保信息安全,不得非法收集”的范圍之內,否則即屬于違法、違規行為。
在現實生活中,有些網站采取規避的方法,盡管在內容上也符合點擊同意的要求,但是卻采取相應的技術手段或者隱蔽的方式,或者規定特別復雜的內容,讓消費者點擊同意。由于消費者未加留意,或者不小心就點擊了同意鍵,就會出現不利于自己的選擇。這種行為屬于變相的違法、違規行為,必須予以改正,否則有關部門應當追究其行政責任。
新京報:現在有很多購物平臺、心理測試、網上答題,消費者想參與就必須選同意,這是否屬于霸王條款?
楊立新:對于這樣的問題,需要看到網絡交易的客觀實際情況。在網絡交易中,雙方當事人是背對背進行交易,無法進行面對面的談判協商,如果消費者想在網絡交易平臺上進行交易,首先必須同意交易平臺提出的交易規則,如果不同意網絡交易平臺提出的交易規則,就無法進入交易平臺進行交易。這樣的做法并不違法。
關鍵的問題是,要看網絡交易平臺提供的交易規則是否合法。對此,商務部和國家工商管理總局對網絡交易平臺提供交易規則,在實體上和程序上都做了特別的規定,如果網絡交易平臺提供的交易規則符合上述要求,沒有顯失公平的內容,網絡交易平臺這樣的做法就是沒問題。對此,不屬于霸王條款,不屬于不公平交易,不能夠有異議。
在現行的網絡交易中,如果消費者不同意交易規則的內容,當然就不能進入網絡交易平臺上進行交易。對此,不屬于不公平交易,不能夠有異議。
如果說網絡交易平臺提供的交易規則內容違法,那可以主張廢除這樣的交易規則,有顯失公平的后果,也可以行使撤銷權撤銷這樣的交易,造成損害的還可以請求損害賠償。
個人信息不能超范圍使用
新京報:個人的數據信息,什么情況下使用是合法的?什么情況下使用,是在侵犯公民個人隱私?
楊立新:個人數據信息的使用,首先還是要有獲得他人個人信息的權利。例如,購買火車票、飛機票,要出示身份證,登錄身份證號碼,這就是有權獲得他人個人信息。依法取得個人信息的網絡服務提供者、其他企事業單位,國家機關及其工作人員,以及其他任何組織和個人,只要需要取得他人個人信息,就可以通過正當的途徑獲取他人個人信息。
在有權獲得他人信息的情況下,獲取了他人的個人信息,必須按照實際需要使用個人信息,不能超出實際需要的使用范圍利用他人的個人信息。《民法總則》《消費者權益保護法》和人大常委會關于網絡信息安全的決定規定了以下行為是侵害個人信息權的行為:一是非法出售他人個人信息,二是非法向他人提供他人個人信息,三是非法泄露他人個人信息,四是非法篡改他人個人信息,五是非法毀損他人個人信息,六是丟失他人個人信息,七是對泄露他人個人信息未及時采取補救措施,八是非法收集、使用、傳輸他人個人信息,九是提供或者公開他人個人信息等,都是侵害他人個人信息權的侵權行為。
這些侵權行為,因為《民法總則》都已經規定了個人信息是自然人的人格權,個人信息已經從隱私權保護中分離出來,因此不用隱私權來保護,而是直接以個人信息權來加以保護。
只有衍生數據才能交易
新京報:個人信息通過算法處理后,出現了商業的特征,在經濟上具有交易價值。那么,大數據時代,個人信息權是當做財產權處分比較合適,還是將其視作人格權比較合適?
楊立新:個人信息通過存儲、搜尋、開發、機器學習和算法處理后,形成的新數據,我們把它叫做衍生數據。這種數據已經和個人信息發生了分離,需具備無法識別個人信息的特征。以這種數據建立的民事權利就是數據專有權。數據專有權是知識產權性質的權利,特別具有財產的價值,是知識產權的一種新的類型,與原來的個人信息權作為人格權已經完全不同。換言之,個人信息權是自然人的人格權,經過加工產生的衍生數據,已經不是人格權了,而是形成了一個新的權利,就是經過加工產生衍生數據的人的數據專有權,其中當然包括財產價值,依據知識產權保護的方法對其財產價值給予保護。
新京報:什么樣的信息可以用于商業化交易?什么樣的信息屬于個人隱私絕對不能進行交易?
楊立新:在我看來,信息有三種形式:第一種數據叫做個人隱私信息,這是隱私權保護的范圍,保護個人隱私信息的權利就是隱私權。第二種數據叫做個人身份信息,是表明一個人身份特征的個人信息,例如,身份證號碼、電話號碼、個人賬戶信息等,這種個人信息用個人信息權予以保護。第三種就是衍生數據,是對網絡上留存的龐大的、海量的、雜亂無章的個人數據進行加工處理形成的新的數據,與個人的身份信息已經進行了脫敏,這種數據就是衍生數據,確立的權利就是數據專有權。
在這三種數據形式中,只有衍生數據才可以進行商業處分。至于個人隱私信息和個人身份信息,都屬于自己的人格權支配的范圍,依照法律的規定進行支配,例如把個人隱私信息提供給他人作為文學創作的素材,或者把個人身份信息提供給他人作為進行交易的憑據,但是它們不是商品,不可以進行商業性質的交易。
信息給哪個第三方要說清楚
新京報:網絡公司是否有權利將消費者的信息交給第三方公司使用,這么做違法嗎?
楊立新:網絡公司在獲得消費者的信息授權后,必須在正當的范圍內進行使用,沒有權利把消費者的信息交給第三方公司,除非進行交易所必需。這種交易所必需的信息提供,例如,在網絡交易平臺進行銷售活動,消費者把個人信息提供給銷售者,銷售者把消費者購買的商品交給快遞公司投遞時,可以將消費者的個人信息提供給快遞公司,這是合法的。超出這樣的范圍,原則上構成侵權行為。
新京報:現實中,消費者在登錄一些網站時,經常會被問道,是否同意將個人信息用于第三方,但并未告知具體將消費者信息給了哪個第三方,這算侵權嗎?
楊立新:這是霸王條款,算是侵權。因為《互聯網交易管理辦法》不僅規定了經營者應采用顯著方式提請消費者注意與消費者有重大利害關系的條款,還規定了,對于信息收集,要求經營者需明示收集、使用信息的目的、方式和范圍,并經被收集者同意。否則,這就是侵權行為。也就是說,經營者到底將收集到的信息給了哪個第三方,適用什么范圍、要去做什么,這都需要跟消費者講明白。而且,消費者理當有充分的選擇權。
新京報:現在還存在一種“過度獲取公民個人信息”的情況,比如很多APP,為什么需要讀取你的通訊錄?為什么一個手電筒需要讀取聯系人?這些被調用的權限會不會泄露個人信息?
楊立新:這個問題還是在《民法總則》第111條規定的個人信息權的內容之中,《民法總則》第111條后段規定:“任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”這就是有關組織和個人獲取他人個人信息的原則。
網絡交易平臺組織進行網絡交易,是有權獲取參加交易的人的相關信息的,但是獲取消費者的個人信息,一是要有權獲取,二是獲取的必須是相關信息。無權獲取而獲取他人個人信息,是侵權行為;有權獲取他人個人信息,但是超出合法的范圍而收集與交易不相關的個人信息,同樣也是侵權行為,都要承擔侵權責任。對此的防范方法,就是只要你不同意,你就明確表明自己的態度,不要輕易點擊。
應采取更具體的立法措施
新京報:網上存在大量互聯網平臺背后收集、使用消費者信息卻不告知的情況。對此,從立法方面入手,該怎樣保護消費者個人隱私?
楊立新:出臺《個人信息安全保護法》還是很有必要。不過目前,對于個人信息的保護,在立法上就有充足的根據。首先,《民法總則》規定的個人信息權,就是前邊列舉的《民法總則》第111條;其次,《消費者權益保護法》用三個條文規定的消費者的個人信息權及其保護;再次,人大常委會關于加強網絡信息安全的決定有11個條文都是規定對個人信息的保護,其實已經相當于有一部個人信息保護法了。
但現在的問題是,對于侵害個人信息的刑事立法比較完備,侵害個人信息構成犯罪的,能夠追究其刑事責任。但是,對于侵害個人信息的侵權行為,顯然制裁不力。對此應該采取更具體的立法措施,對侵害個人信息的行為認定為侵權行為,責令承擔損害賠償責任。
但是,由于侵害個人信息權的行為,侵害每一個人的個人信息情節都比較輕微,按照現在的規則難以追究其侵權責任,因此我建議,立法規定與消費者權益保護法類似的最低賠償額制度。例如,侵害一個人的個人信息只賣了一塊錢,就可以按照《消費者權益保護法》規定的最低賠償額賠償500塊,或者按照《食品安全法》的規定賠償一千塊,就能夠調動個人信息權人保護自己權利的積極性,對侵害個人信息權的行為人予以有力的制裁,保護好個人的信息權。
