支付宝因2017年年终账单被网信办约谈,百度因侵犯消费者个人信息权被江苏消协起诉,360水滴直播也因涉及个人信息泄露被关闭,互联网信息安全事件频频发生再次引发人们的深思。大数据技术在提高信息获取能力、降低信息处理成本的同时,也使信息安全面临严峻形势。我国虽然颁布了《网络信息安全法》,将网络信息安全正式纳入到我国法律体系中,但对公民的个人信息权的保护仍存在不足。互联网信息保护法律的完善中应当以互联网用户为中心,体现出制度上对个人信息权的倾斜性保护。
对个人信息权保护的相关法条梳理
我国没有制定统一的《个人信息保护法》,而是在民法、刑法、行政法等各领域中制定了一系列原则性法规和单行规定。在民事法律层面上,《民法总则》第111条从民法基本法的层面确立了个人信息权;在刑事法律层面上,《刑法修正案(七)》中,“非法获取和提供个人信息”首次入罪,此后的《刑法修正案(九)》进一步放宽了“侵犯个人信息权罪”的主体范围;在行政监管法律层面上,《网络信息安全法》相对全面地规定了个人信息权的内涵及保护规范。现有的法律法规建立了个人信息权保护的基本框架,主要的成果有以下几个方面:
第一,明确了个人信息权的法律属性和法律内涵。《民法总则》确立了个人信息权是公民身份权的延伸,从民法基本法的角度明确了个人信息权的法律属性。同时,《网络信息安全法》采取概括列举的方式规定了个人信息的法律内涵,主要限于姓名、出生日期、身份证号码等个人常见信息。
第二,丰富了个人信息权的权利救济路径。就权利救济的路径而言,主要通过合同法和侵权法这两条路径来保护用户的个人信息权。前者是指使互联网企业与用户通过契约的形式规定各自享有和承担的权利义务,如果违反意定的合同义务,则承担违约责任;后者是指基于侵权法上的请求权,互联网企业对用户负有信息安全保护义务,若未妥善履行此项义务,则承担侵害个人信息权的侵权责任。
第三,基于个人信息权与国家信息安全,明确了相关行政机关的行政监管权。互联网背景下的个人信息保护不仅涉及私人权利,更关涉社会和国家安全,应当为公共利益而使政府积极参与到对互联网信息保护的监管中去。《网络信息安全法》给予了互联网信息监管部门监管权力,初步构建了针对个人信息保护的互联网信息安全监管法律框架。
“实质正义”视角下个人信息权保护的不足
美国政治哲学家约翰·罗尔斯认识到了在平等自由主义框架下外在制度与程序的形式正义问题,提出了“实质正义”理论,正义问题成了罗尔斯正义理论关注的中心。在考虑构建保护个人信息权的法律制度时,应充分意识到互联网企业与互联网用户之间地位上的不平等,对处于弱势地位的互联网用户的个人信息权进行倾斜性保护。从倾斜性保护的角度来看,现有的个人信息权保护存在以下几个方面的问题:
第一,个人信息权的法律内涵较为狭窄,未能有效涵盖互联网背景下的个人信息范围。大数据时代互联网信息的内容是多样化,不但包括通常意义上的个人信息,还包括交易行为轨迹、收入状况、交易金额等互联网上的特有信息。此外,除了应保护这些原始信息以外,通过对收集到的信息进行大数据分析而产生的二次信息也应纳入到互联网信息保护的范围中。应当强调的是,通过大数据技术获得的二次信息,对用户的身份、偏好、隐私具有更明确的指向性,在法律上应具有与原始信息相同的保护价值,甚至更加需要法律保护。因此,在对个人信息进行界定时,应扩大其内容与范围,不局限于原始信息本身,还应包含基于对原始信息的加工处理而获得的二次信息。
第二,对个人信息权的救济力度不足,应强化互联网企业对公民个人信息权的保护义务。由于法律未对个人信息权设置特殊的保护机制,只能通过合同法和侵权法的一般规定来救济,未考虑到互联网企业与互联网用户之间的差异地位,缺乏对互联网用户的特殊保护。首先,互联网企业往往通过格式合同获得使用和处理个人信息的授权。但互联网背景下存在着对信息的二次加工和处理,具有极大的未来不确定性。此类二次数据的获得在逻辑上并无基于合意的可能,用户即使签订了格式合同,也是一种概括性授权。一旦发生侵害用户权利的事件,则难以确定互联网企业的违约责任。其次,签订合同能够解决订立合同的当事人之间的纠纷,但对其他与用户没有直接合同关系的第三方主体缺乏约束力。再次,虽然《民法总则》《网络信息安全法》给予了个人信息权法定的请求权基础,并明确了个人信息权的保护主体、权利和义务范围。但该部法律的法条都是原则性规定,缺乏具体的法条规定。在发生互联网信息侵权纠纷后,当事人只能寻求侵权法的一般救济,难以达到救济的效果。
第三,对个人信息权的行政监管缺乏具体的法律规定。《网络信息安全法》中只有第四章“网络信息安全”直接涉及互联网信息保护,缺乏具体详细的规定。就监管主体而言,对个人信息权的监管存在多头监管,权责不清的问题;就监管方式而言,现在的行政监管多为事后监管,缺乏有效的互联网信息保护的事前监管手段;就执法手段而言,缺乏有力的执法措施,对互联网企业的警示作用不强。因此,不能仅仅靠互联网企业自律和私法上进行救济,更应当重视公法上对互联网信息的保护,加强对互联网企业的行政监管。
应对个人信息权进行倾斜性保护
第一,明确互联网信息侵权行为的民事责任。由于没有个人信息权的特别侵权责任条款,当发生个人信息侵权纠纷时,互联网信息受害者只能寻求停止侵害、消除影响等救济,而经济补偿和精神赔偿损害方面的救济往往得不到司法机关的支持。这样的救济方式对于互联网企业而言成本低廉,起不到惩罚警示的效果。我国应当提高互联网企业侵害个人信息权的违法成本,在具体的个人信息保护法律条文中明确侵害个人信息权的经济损害赔偿和精神损害赔偿民事责任。
第二,设置举证责任倒置制度。根据民诉法理论,如果作为侵权方被告的举证能力处于强势地位,受害者难以从侵权方获得证据,则可以在举证责任方面倾斜性的保护原告,实行举证责任倒置。我国民事诉讼法律中规定了实行举证责任倒置的诉讼类型,但未涵盖互联网信息侵权案件。为了更好地满足大数据时代互联网信息保护的需求,我国应当建立互联网信息侵权诉讼的举证责任倒置制度,明确规定倒置的证明标准和证明事项。
第三,严格限制格式合同免责条款的效力。在互联网企业往往运用格式合同获得用户的授权,但应受到严格限制。个人信息保护的相关法条中应明确规定,即使互联网信息合同规定了用户同意互联网企业向第三方披露自己信息的条款,该条款也不能成为互联网企业以及相关组织免除其损害赔偿责任的事由。
第四,强化互联网信息保护监管执法。我国应对互联网信息保护实行全程监管,在法律上赋予互联网信息管理部门广泛的监管权。加强对格式合同的事前审查,以及对互联网信息保护的事中和事后监管。此外,互联网信息管理部门还应对侵害个人信息权的行为和违反互联网信息保护法规的行为进行否定性评价或行政处罚。
作者:中国人民大学法学院博士研究生 杨疏影
*免责声明:本站文章图文版权归原作者及原出处所有 ,文章内容为作者个人观点,并不代表本网站。如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
