大數據時代來臨,你的權利由誰守護?
與區塊鏈等仍然停留在概念階段的新興技術不同,大數據技術經過數年來的不斷發展,已經形成了覆蓋全行業的成熟技術體系和解決方案。但與此同時,大數據應用過程中的若干法律難題也隨之浮出水面:
一方面,互聯網企業不斷加強對用戶數據的挖掘和分析,開始通過訴訟等途徑維護自己對於用戶數據所形成的競爭優勢;另一方面,因大數據的泄露、販賣等而爆出的醜聞也在頻繁地登上媒體頭條,數據安全問題危如累卵。
用戶數據的採集是大數據應用的起點,但普通個人用戶在大數據應用的過程中應當扮演何種角色、享有何種權利的問題,卻往往在國內的各種研究中被忽略。
而在充分重視人權保護的歐盟,用戶圍繞數據信息所享有的個人權利保護之發展,已有近三十年的歷史。今年5月發布的《歐盟通用數據保護條例》(GDPR),就圍繞用戶權利保護設置了諸如知情權、訪問權、反對權、被遺忘權、數據可攜權等數種堅實強大的權利。
本期的周公觀娛,將對大數據時代中個人權利保護的發展歷程進行梳理,並立足當下的互聯網實踐,對用戶個人權利保護的問題提出些許思考。
1
個人信息數據——用戶權利的產生起點
由於網路騷擾、推銷、詐騙等現象的盛行,如何保護個人信息數據已成為公眾熱門話題。在2016年的「徐玉玉案」中,詐騙分子正是通過個人電話信息實施詐騙行為,騙走了受害者9900元的入學學費,以致其傷心欲絕,心臟驟停而不幸離世。
現實中,對於肖像、姓名、身份證號碼這些可以直接識別出特定個人的數據信息,加強監管和保護事實上已經在全社會範圍內形成了廣泛的共識——越來越多的互聯網應用和服務均針對用戶個人數據的收集和存儲,升級了加密處理技術。
然而,僅對這些能夠直接「鎖定」個人的數據信息加強重視,是遠遠不夠的。網路世界中,將一些不具有「鎖定性」的數據進行結合(也即多年來一直流傳於互聯網中的「人肉搜索」),還是能夠識別出特定的個人。例如,cookie信息可以記錄用戶的網路活動軌跡,當將這種軌跡與特定的網路賬戶相結合,就可以「精準定位」到具體的個人。
基於上述原因,除了具有「鎖定性」的個人數據之外,各國的個人信息數據立法也都不約而同地將上述可以結合「鎖定」個人的數據信息作為重點立法對象,我國也不例外——《網路安全法》第76條第5項就將個人信息界定為「以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息」。
2
「用戶同意」是商業化大數據運用的合法基礎
個人數據信息的「可鎖定性」,使得對個人數據收集、存儲、分析和使用的有效規製成為了各國立法實踐中的重點。
2012年12月28日,全國人大常委會通過的《全國人民代表大會常務委員會關於加強網路信息保護的決定》中,就對如何保護個人電子信息作出了明確的規定,即要求網路服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意,不得違反法律、法規的規定和雙方的約定收集、使用信息。
此後,2017年6月1日起施行的《網路安全法》和2017年10月1日起施行的《民法總則》(第111條),今年5月1日起正式實施的《個人信息安全規範》國家推薦標準均對「用戶同意」這一用戶個人數據採集的唯一合法前提作出了細緻的規定,另外,《消費者權益保護法》第29條也從消費者的角度出發,規定了這種同意前置模式。
但是,「用戶同意」的前置模式在實踐中並未發揮制度設計者預想中的作用。
無數的互聯網企業,特別是電子商務平台,均通過「默認勾選」的形式刻意忽略了這種前置模式。其中最典型的,當屬今年年初發生的支付寶「年度賬單」事件——用戶通過支付寶App參加 「2017年度賬單」活動時,在入口頁面,App會為用戶默認勾選「我同意《芝麻服務協議》」的條款,不勾選不影響年度賬單的呈現,勾選則意味著年度賬單中將展示用戶的信用免押內容。
支付寶的「年度賬單」事件引發了全網範圍內的熱議,也讓「默認勾選」這種明顯有違商業道德的行為真正引起了各方的高度重視。而似乎是有感於這種「欺騙性」的規避手段,《歐盟通用數據保護條例》(GDPR)就對「用戶同意」的模式作出了更嚴格的限定——用戶同意必須是具體、清晰的,是在充分知情的前提下自由作出的。
GDPR被稱作「史上最嚴厲的個人數據保護規定」,在該《條例》「屬人管轄」的強大影響力下,國內外的網路服務提供商們將如何調整以作出應對,值得持續關注!
3
大數據背景下的用戶隱私保護——被遺忘權
用戶隱私保護是大數據應用中不得不面對的話題。
個人用戶在瀏覽互聯網互聯網時,每一次點擊和訪問都會留下相應的數據痕迹,這些數據痕迹,隨著近二十年來搜索引擎技術的發展,將越來越會被「固定」下來而難以消除,一個人二十年前的小舉動在今天仍會被輕易地「檢索」和「發現」,隱私保護似乎無從談起。於是漸漸地,「被遺忘」的呼聲成為了保護用戶隱私利益的一種正當訴求。
早在1995年,歐盟就對「被遺忘權」作出了明確規定:每個數據主體皆能處理不符合規範的資料,尤其是針對資料本身不完整或不正確的資料,有更正(rectification)、消除(erasure)和阻絕(blocking)的權利。
2014年發生在西班牙的「岡薩雷斯訴谷歌案」則是被遺忘權發展歷史上的代表性案件。一名叫岡薩雷斯的用戶在使用谷歌檢索自己的名字時,相關鏈接指向了1998年刊登於《先鋒報》的一篇文章,該文章報道了其未能繳納社會保險而導致住房被拍賣的事實。該用戶認為文章報道中的債務問題早已得到了解決,但搜索結果仍然展示這一信息,對自己的名譽造成了損害,谷歌應當刪除這些信息。歐盟法院最終支持了這位用戶的請求。
在我國,「被遺忘權」雖未在相關法律法規中得到具體規定,但已然走進了司法實踐的視野,被判決所實際承認——在被稱為我國「被遺忘權第一案」的任甲玉與百度公司名譽權糾紛案中,任甲玉因在百度搜索中鍵入其姓名後,搜索欄下方「相關搜索」列表中出現了其曾在陶氏教育工作的相關關鍵詞詞條,而其認為陶氏教育在外界頗受爭議,上述「相關搜索」詞條嚴重侵害其名譽、妨害其日後工作發展,因此訴百度侵犯其姓名權、名譽權以及「一般人格權中的被遺忘權」。
該案經兩級法院審理,雖然最終並未支持任甲玉的訴請,但法官並未直接否認被遺忘權,而是經過論證認為任甲玉要求刪除的內容未達到被遺忘權保護的標準,繼而駁回其訴訟請求。事實上,該案的二審判決直接認可了被遺忘權應屬一種人格利益,但這種人格利益若想獲得保護,必須證明其正當性和必要性。
任甲玉案的二審判決也同時顯示出,「被遺忘權」的適用條件是相當嚴苛的,深層次的原因在於,「被遺忘權」雖然與個人權利直接掛鉤,但卻與公共價值追求存在尖銳的矛盾——假若任何情況下的信息都可以「被遺忘」、「被刪除」,那數據信息流通還有何價值可言呢?
遵循著上述思路,GDPR就對被遺忘權的適用作出了嚴格的限制,根據第十七條,在以下四種情形下,被遺忘權將被明確排除:基於表達自由和信息自由;基於公共利益和履行法律職責需要;基於歷史、統計和科學研究的目的;出於提出、實施和保護合法權利的需要等。
4
數據流動中的權利保護——數據可攜權
今年3月,Facebook陷入了「泄露5000萬用戶數據」的醜聞。在這次醜聞中,一家叫做劍橋分析的數據分析公司通過其在Facebook上線的性格測試app收集用戶數據,進而建立模型,以分析用戶的心理特徵、性格類型、政治傾向等特定,並依據這些內容,進行「洗腦」式的政治營銷。
這次醜聞使得Facebook蒸發了超過1500億美元的市值,也使得用戶數據的跨平台移植成為了用戶權利保護中的熱門話題——平台在用戶註冊時要求獲得通訊錄或其他社交信息的獲得訪問許可權,是互聯網行業的慣常做法,而誰來確保用戶的個人數據沒有被濫用呢?
事實上,將自己在某平台的個人數據信息授權給其他平台使用,是歸屬於用戶個人的正當權利,在歐盟,這種權利被稱為「數據可攜權」。
在GDPR(第20條)中,數據可攜權作為一項用戶基本權利而被確定:個人有權獲得其提供給數據控制者的相關個人數據,且其獲得的個人數據應當是結構化的、普遍可使用的和機器可讀的。並且,在技術可行的情況下,數據主體應當有權將個人數據直接從一個控制者傳輸到另一個控制者。
數據可攜權看上去簡單,圍繞他的爭議可著實不少,原因在於,對個人數據的使用很可能同時關涉其他第三方個人的數據,例如通訊錄信息、郵件往來信息、轉賬記錄信息等。當數據主體行使數據可攜權時,往往可能對其他第三方個人的基本權利帶來侵害。
2010年,谷歌在啟動其社交網路服務Googlebuzz時,不恰當的利用了其gmail用戶的關係鏈數據,在gmail用戶接受Google buzz的使用邀請時,並不清楚其gmail的通信錄上的用戶都將被自動拉入Google buzz,而被拉入的用戶也並不知情自己的聯繫信息已被收錄並被buzz社區公開。谷歌也因此受到了美國聯邦貿易委員會的處罰。
數據可攜權是因用戶數據流動而產生的個體性權利,但有不少觀點認為,數據流動同樣是互聯網平台的競爭優勢,因數據流動而產生的一系列問題,完全可以通過企業間的《反不正當競爭法》加以解決。
在我國關於用戶數據轉移的司法實踐中,不得不提的便是新浪微博訴脈脈抓取使用微博用戶信息案。該案的二審法院認為,對企業而言,數據已經成為一種商業資本,一項重要的經濟投入,而數據的獲取和使用,不僅能成為企業競爭優勢的來源,更能為企業創造更多的經濟效益,是經營者重要的競爭優勢與商業資源。由此可見,數據流動在競爭法框架內是可以得到保護的。
數年的技術發展已經證實,大數據應用是一項極具商業價值的新興技術。而在大數據應用在各行各業逐漸落地開花的情景下,有關數據權利的法律定性與適用問題也正不斷地被提及。
用戶數據的採集是大數據應用的起點。因此,用戶個人權利如何得到保護,應當是大數據行業法律規範體系建設的第一步——圍繞個人信息保護,我國已經建立起了包括民法總則、消費者權益保護法、刑法等在內的強大法律保護體系。
但是,現行的法律法規體系較多地停留在了原則性規定的層面,僅就用戶同意等合法性基礎問題作出了制度安排。相比於更加註重人權保護的歐盟,我國在用戶具體個人權利,如被遺忘權、數據可攜權等方面的立法實踐及司法保護,仍尚顯薄弱。
(編輯:劉宗鑫)
TAG:周公觀娛 |