2016年7月5日,全国人大常委会发布了《中华人民共和国网络安全法(草案)》(二次审议稿),意见征集时间2016-07-05至2016-08-04。这个稿件一经发布就在互联网与网络安全领域引发了激烈争论。草案涉及的公民个人信息保护,尤其是大数据下的公民个人信息保护也与知识产权领域息息相关。法律设置的公民个人信息保护的边界与标准将为相关的技术立下标尺,也对大数据技术领域知识产权有深远影响。
公民个人信息的保护是一把双刃剑。保护过多,可能导致无法充分利用公民个人信息,以提升公民生产生活质量;保护过少,则可能导致公民个人信息泄漏,对公民信息安全、生活安宁产生不利影响。目前还处在审议中的《中华人民共和国网络安全法》在第四章网络信息安全中,对网络运营者就其收集的公民个人信息提出了保护要求。
2016年7月4日,全国人大官网发布了《网络安全法(草案二次审议稿)》,其在第41条对公民个人信息的保护做出了规定,并对2015年7月6日公布的《网络安全法(草案)》第36条做出了修正。两个规定的不同,引发了笔者的思考。笔者认为,要论述法律对公民个人信息保护的尺度,需从公民个人信息在公民社会生产生活中的作用与地位谈起。
一、信息记录、提取、传播方式的变化
1、前信息化社会的信息记录、提取、传播方式
人类——《网络安全法》中的公民——进入文明社会以来,长期以“有秘密、有隐私存在”的样态进行生产生活,不仅产生了于此相适应的社会制度,也进化出了与此相适应的安全、隐私需求等心理机制。在信息处理方面,长期以来与生产生活相关的各类信息,受制于人体机能、科学技术水平等,信息记录、提取、传播方式等都较为简单,往往只能在有限的人群、时间、空间进行存储、传播。绝大多数信息转瞬即逝,并不被记录下来,纵使以大脑或者文字记录,也会因遗忘、遗失、毁损、人的疾病死亡等原因,导致难以全面有效的使用和保存。这样情形下,社会对信息进行聚合分析的需求少,与之相关的生产生活缓慢而又安全。
2、信息化社会的信息记录、提取、传播方式
人类进入21世纪后,世界日新月异,除了纸质数据外,大量音频、视频等电子数据逐渐成为主流。与之相比,人类对信息的收集、记录与存储方式也变得愈加全面、深入、便捷、聚合。这种“有秘密、有隐私存在”的生产生活方式逐渐受到挑战。首先,记录信息的形式大大丰富。除文字记录外,音频、视频记录大大普及。其次,存储、提取信息的手段更先进。大量信息被电子化,存储时间,存储安全性大大提高,提取的便捷性和速度也大幅提高。再次,利用信息的方式更多样。不仅可以信息本来样态进行使用,而且随着信息积累,通过大数据和云计算可使数据发挥更大作用,比如挖掘数据之间的联系,对事物发展趋势进行预判。
虽然当前信息数量还处在不断积累中,但可以预料,随着信息记录时间的加长、维度的加深、数据计算方式的优化,数据利用的深度和广度必然会发生质的飞跃。彼时的图景大约如下:公民从受精卵开始,在医院的每一次产检都会以图文或者电波形式记录下来;还包括出生后每一次户外活动的人物、地点、时间、场景;每一次购物的消费记录及偏好;使用各种软件的浏览、文字、语音、视频记录;每一次生病中的病例信息、身体信息甚至脑电波信息;每一次出行的交通、酒店、拍摄的照片、写作的游记;每一次在公共场合发表的言论、行为、态度;包括每一次的错误、出丑、难堪甚至违法犯罪记录等等,都会全部以无损状态记录并安全保存下来。
二、信息记录、提取、传播方式的变化对社会生产生活的影响
这些大体量数据是宝贵的财富,社会将会由此发生巨大进步。凡是以前缺乏定量分析的科研领域,会因有大量、准确的数据,而获得更为精确的结论。社会学、心理学、法学、犯罪学、信息科学、生物科学、军事、政治等科学,有可能发生翻天覆地的变化。但在另一方面,无处不在的信息收集与存储,也可能导致人类生产生活中的几乎所有信息透明化,人人成为“数据人”,云端存储着每个人的在大量的信息,公民几乎没有“秘密、隐私”,曾经发生过的每一件事、说过的每一句话、每一个表情、每一个心理状态、每一个音视频记录都被以简单、快捷、准确的方式提取、重复,而相关的大数据分析,将为机构、公民提供各式各样的预测及推论,比如性格特征、思考与行为模式、世界观、婚恋观、道德情操、对消费品的偏好、身体的发育、求偶行为的预测、犯罪倾向的预测等等。
问题是,这一天到来之时,我们会准备好吗?社会制度可否适应这种透明化的现实;人类身体可否承受这种透明化的生产生活方式;人类心理会否进化出相匹配的心理适应机制;这种“无秘密”、“无隐私”、“不被遗忘”的状态,是提高公民的生活质量,还是会带来其他冲突或者潜在的身体、心理疾病。上述的思考大约可以归结为一个问题,即:一个没有隐私、秘密的时代对人类的生存与发展究竟是好是坏?这也许是对公民个人信息保护的终极关怀所在,也是须以长远眼光看待这一问题的缘由。这是本文思考的人文基石。
虽然这一关怀似乎过于宏大,以至于在具体制度设计上显得衔接不足。然而笔者认为,在信息时代,随着数据收集、记录、存储技术的提高,个人信息泄露带来的危害将呈现新特点:一是不可控,表现在大数据时代,数据被利用的方式无法预料;二是不可逆,表现在一旦信息被记录、存储下来,那些想被遗忘或者抹掉的信息将很难彻底消除。
三、对《网络安全法(草案二次审议稿)》的修改意见
基于此,回归《网络安全法(草案)》第36条与《网络安全法(草案二次审议稿)》第41条。具其体内容为:“第三十六条网络运营者对其收集的公民个人信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。”“第四十一条网络运营者不得泄露、篡改、毁损其收集的公民个人信息;未经被收集者同意,不得向他人提供公民个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”
1、《(草案)》第36条与《(草案二次审议稿)》41条观点的不同
《网络安全法(草案)》第36条与《网络安全法(草案二次审议稿)》第41条相比,《(草案)》第36对网络运营者课以了极高的保护义务,一是要求“必须严格保密”;二是不分情况,明确要求“不得出售或者非法向他人提供”;这一规定的核心在于,法律在优先保护公共个人信息还是利用公共个人信息上,选择了前者。而《(草案二次审议稿)》第41条降低了网络运营者的义务,选择了后者。一方面,删除了网络运营者对其收集的公民个人信息“必须严格保密”的规定,同事规定了网络运营者可在符合如下两种情形时向他人提供公民个人信息:一是被收集者同意;二是未经被收集者同意但是这些信息已“经过处理无法识别特定个人且不能复原”。
这是在“利用公民个人信息”和“保护公民个人信息”中达成的一种新的平衡意见。具体而言,采取“被收集者同意”的做法,对利用公民个人信息提供开放路径,符合公民个人对其权利的处分自由。但书条款显示,借用隐私增强技术可合法的排除除非用户同意才可使用公民个人信息的规定,即只要同时符合两个条件“经过处理无法识别特定个人”和“不能复原”即可。
2、对《(草案二次审议稿)》41条的分析
《(草案二次审议稿)》41条中“经过处理无法识别特定个人”和“不能复原”的判定标准并不明确。就“经过处理无法识别特定个人”而言,其判定标准是隐去公民个人的身份证号、姓名等信息就属于“经过处理无法识别特定个人”,还是必须同时隐去其他信息,比如:手机号、工作单位、家庭住址等信息?这其中的关键在于:关键特征总是清晰的,比如通过唯一性的身份证号、姓名等,足以泄露公民个人信息;但对于非关键性特征,不同人对其识别、以及用于合理推导的程度并不相同,这些信息到底是否应该隐去。(于此类似的是“猜词”游戏。参与游戏的一方,不能提到词语中的词汇,只能通过其他语言进行描述,另一方猜词,而越是熟悉的双方,越能通过较少的提示准确猜出。)随着大数据数量的积累以及对其分析能力的提升,借助非关键性特征泄露公民个人信息的可能性也不断提高。如果执行严格的“隐去”做法,那么很可能限制了对公民个人信息的正当使用;如果执行非严格的“隐去”做法,则很可能并不能完全做到对公民个人信息有效保护。
而就“不能复原”而言,是指从公民个人操作角度不能复原,还是依赖现有的任何技术都彻底不能不能复原。因为随着数据恢复技术的发展,很多宣称“不能复原”的数据,实际上并非真正不能“复原”,关键在于是否知悉了后台的数据恢复方法。
这两个标准缺一不可,任一方执行不严,即可从技术上轻易地予以破解,难以对公民个人信息予以充分保护。
而即使上述标准得到了严格的确认和执行,还可因马赛克效应的存在,导致公民个人信息依然有泄露的可能。2016年5月,美国网络和信息技术研发计划(NITRD)的大数据高级领导小组(SSG)发布了《联邦大数据研究和发展战略计划》,专门指出“大数据引发了马赛克效应——随着越来越多的数据可被利用和其他来源数据的整合,看似无关的信息聚合在一起,并以无法预料的方式暴露私人信息的风险正在加大。研究已经证明,能够通过聚合多个公开数据集来识别已匿名的个人信息。”(英文原文:A major issue arising from Big Data is the so-called mosaiceffect—as more data is made discoverable and integrated with data from othersources, there is an increased threat that seemingly disparate threads ofinformation could be pieced together to expose private information inunanticipated ways.)这警示,在大数据时代,隐私增强技术虽然是合理利用公民个人信息的重要技术保障手段,但并非万无一失。
3、对《(草案二次审议稿)》41条条文的完善意见
在具体条文设计中需做两方面的准备:一是在公民个人信息保护中充分考虑马赛克效应的存在,并提供有效的应对方案;二是设置因马赛克效应导致公民个人信息泄漏后的补救措施。前者属于前端的救济方式,更为可取;后者属于后端的救济,属不得已而为之。
考虑到马赛克效应表明的是一种概率上的可能性,而非必然性,故在上述两个条件“无法识别”、“不能复原”外再增加“通过马赛克效应无法识别”并不合适,可行方式是增加例外情形。将但书条款修改为“经过处理无法识别特定个人且不能复原的,网络运营者可以不经被收集者同意,而向他人提供公民个人信息,但是有证据表明公民个人信息因信息聚合而产生显著泄露风险的除外。”
总之,对公民个人信息的利用与保护要平衡。如何平衡,考验着当代人和后世子孙的智慧。
公民个人信息保护探索——简评《网络安全法(草案二次审议稿)》第41条
作者:秦天雄来源:知识产权那点事

2016年7月5日,全国人大常委会发布了《中华人民共和国网络安全法(草案)》(二次审议稿),意见征集时间2016-07-05至2016-08-04。