大数据时代个人信息保护研究

大数据时代个人信息保护研究

古往今来,个人信息就在不同层面被采集、处理、利用与传递。在互联网尚未普及、信息技术尚未得到发展的年代,个人信息的保护方法相对比较简单,只要设定相应的法律规则,进行必要的物理与人员上的管制,就能在很大程度上杜绝信息的滥用。因此,在很长的时间里,个人信息的保护并不成为问题,但随着信息技术的飞速发展,移动互联的普及,大数据时代的到来,在数据采集、数据集成与融合、数据分析与存档的整个数据生命周期中,无限度的信息挖掘、信息滥用、信息侵权行为时时发生。强大的数据处理能力与普遍存在的对个人信息的侵害,使得保护个人信息的呼声日益高涨。论文第一章分析了大数据时代,个人信息保护面临的典型风险。这些风险与挑战主要体现在以下五个方面:第一,伴随着移动互联的兴起、手持设备的广泛应用与网上跟踪技术的迅速发展、个人信息的采集行为日益密集和隐蔽,“请勿跟踪”的隐私协议成为保护个人信息的“君子协议”,效用有限。第二,公权力强行要求商业机构留存用户个人信息,呼啸而来的大数据使得政府巨型数据库与商业机构两者之间的信息开始交换与融合,通过对多重来源的个人信息进行比对与交叉验证,机构能实现对个人线上和线下行为的实时追踪与监控,人们无处遁形。由于跨国监控的存在,公民的个人信息权遭受严重损害。为欧盟与美国之间跨国数据传输提供法律依据的《安全港协议》,因欧洲法院认定美国没有达到保护欧盟公民信息的充分性标准而被判无效。第三,由于预测性分析中潜藏着设计者的价值判断与思维观念,而数据分析与利用又缺

乏相应的正当程序保障,歧视与对个体的差别对待时有发生。第四,

信息的云端储存与普开的“后门程序”严重削弱个人对自身信息的控制,个人对信息的储存、处理、披露与商业化利用一无所知;第五,个

人信息被视为当代经济中的“新石油”,在数据开发商业价值的驱动下,信息的挖掘、使用与交易已形成非法商业链条,个人信息的售卖与购买变得非常容易,这些风险对个人信息的保护都构成了严峻挑战。

第二章,对传统个人信息保护框架难以应对时代挑战进行了深入解析。传统框架以个人信息的定义作为法律保护个人信息的前提与边界,对

个人信息的界定一般以身份的“可识别性”为标准。尽管这是一个开放的法律界定,但从20世纪70年代个人信息保护法诞生之初来看,

具有“身份识别性”的信息较为有限,此种定义方法能满足当时的需要。个人信息保护的基本原则也能为信息保护的具体规则提供有效指引。然而,随着大数据时代的来临,技术变革、信息共享以及数据再识别已使得个人身份可识别信息的范围不断拓展,法律保护边界愈发模糊,准确界定个人信息的保护范围面临诸多困境。失之过窄,无法规制大数据环境下数据利用的风险;失之过宽,无法在公民个人权利的保

护与促进技术发展之间做好平衡。而传统信息保护的规制手段,“告

知-同意”框架、匿名化、模糊化技术逐渐失去效用。现阶段,尚无很好的办法解决通过技术手段从匿名化、模糊化数据中挖掘用户真实身份的行为,也缺少有效的方法解决“告知-同意”框架有效性不足的问题。数据信息中潜藏的价值已使得政府、企业走在了对个人信息如饥似渴的追逐道路上。通过使用新的方法学,回避现行个人信息保护的

方式,信息控制者、信息处理者有效地绕过了现行监管模式,这也毁掉了人们对信息的控制。在经济利益的刺激下,信息保护的基本原则被普遍违反、形同虚设,责任追究难度加大;而已有的法律制度与行业自律模式又远远滞后于信息技术的发展。大数据时代,传统个人信息保护框架难以应对时代挑战。第三章,从理论上廓清现有学说的不足。当前,较有影响力的信息保护的理论学说多出自英美学界,大体有如下四类:第一,个人信息控制权学说;第二,个人信息财产保护权利学说;第三,隐私经济学理论;第四,隐私合理期待理论。个人信息控制权学说将个人置于个人信息利用决策的中心,体现了自由主义的自治原则,但信息的自我决策具有局限性;来自公众问责、政治理性和商业实践三个方面的障碍使得信息隔绝存在难度。个人信息的财产权保护学说尝试从财产法及财产理论中探索替代性的信息隐私保护方案,使个人从信息交易的现行市场中获利,实现个人信息控制权的回归。而个人信息并不具有竞争性、市场失灵及公共产品的属性充斥在反对个人信息财产权保护的意见中。隐私信息经济学理论认为,许多以隐私之名出现的东西,只不过试图隐藏人们行为中不光彩的方面来增加我们的商业和社交机会;而隐瞒的动机往往是试图误导他人,这会增加交易成本。隐私合理期待理论,则需要从国家或社会的整体角度出发,判断民众对涉案信息的价值标准与隐私期待。其不足之处在于,适用标准复杂,事实依据非常灵活,基本上由个人判断、政治社会环境等不确定因素来决定,这会造成部分适用上的障碍。对于信息保护,这四种学说皆有可取之处,然而,随着社会经济和科技文化的高度发展,又都

暴露出自身的局限性。理论学说的不足之处也是当前时代对信息保护不足的表征。当然,无论具备何种缺陷,它们在构建信息保护制度的过程中都起到了至关重要的作用。第四章,对欧美个人信息保护的最新立法改革与司法实践进行了比较法考察。欧盟展开的新一轮信息保护的立法改革表明,个人享有的信息权利与现有的监管机制都处于危机之中。改革呈现了对个人信息权利保障的关切,体现在如下方面:第一,强化信息主体的地位。比如对同意规则的强化,新增两项控制性权利:信息的可移植性权利、被遗忘的权利。现阶段,这两项权利更多呈现出一种倡导性、宣誓性的价值取向。第二,明确个人信息保护的义务与责任。信息的处理需符合信息主体的合理期待;信息控制者与信息处理者在义务与责任分配不明时,对外承担共同连带责任。第三,正尝试从传统的“同意与合理使用”的二分法中脱离出来,引入了一种以风险为基础的信息保护方法来替代传统二分法。第四,改善数据保护的实施与程序规则。通过划定信息所属类别,对个人信息进行不同程度的保护;引入问责制;对个人信息保护默认设置状态进行要求;引入信息保护影响性评定制度。第五,监管机构的权力得到加强,新增信息保护机构的联合行动,惩罚措施更为严厉。而美国的《消费者隐私权法案》强化了“告知与同意”框架,强调了企业在保证信息安全、数据准确、查阅权、收集控制方面的安全责任,同时也新增了问责制的规定。美国的其它立法与修法活动则体现了对特殊敏感信息的严格保护。在司法实践方面,欧洲法院对被遗忘权进行了确认,但现阶段,一个广泛意义上的“被遗忘权”并不存在。它的适用需限定到特定领域