一、移动互联网时代,个人数据安全关乎个人生活安宁乃至人身安全
近日,空姐李某在郑州市航空港区搭乘一辆轿车赶往市内时遇害事件在互联网中持续发酵。根据媒体报道及公安部门的公告,受害人李某系在搭乘滴滴顺风车途中被杀害,该顺风车司机有重大作案嫌疑,目前疑似嫌疑人的尸体也在一河渠内被发现。该案自河南媒体报道后一直受到公众的广泛关注,滴滴公司作为平台方是否需要承担法律责任也一直在被讨论。笔者认为,本案透露出来的互联网公司在经营过程中对涉及个人具象信息的数据之保护问题同样值得重点关注;互联网作为人们日常生活必需的时代,个人数据安全将是我们这个时代必须持续予以关注的与每个个体息息相关的话题。
事件发生后,有网友披露称在滴滴顺风车平台,司机、拼车同行人可以对顺风车乘客进行评价,而评价的内容不仅包括了“颜值爆表”、“神准时”、“声音很甜美”、“气质优雅”、“非常有礼貌”、“知性美女”等标签化内容,还包括“不化妆也漂亮”、“美女下车时丝袜容易走光看的想入非非”等个性化评价内容。而这些评价内容均可以被接单司机查看。

据公开信息,在此之前早已有网约车司机建群讨论、评价女乘客甚至偷拍女乘客隐私照片发在聊天群中讨论的报道。在本案被媒体报道后,滴滴公司还曾于5月10日发布公告“100万元寻找顺风车司机刘振华”,并公布了刘振华的姓名、头像、身份证、手机号码等信息;尽管滴滴公司并未披露刘振华即为凶手或者嫌疑人;但此后,据报道网友们找到了司机的抖音、QQ和支付宝,部分网友还给其转账,就为了能骂司机几句。
从几个月前的360水滴直播事件、到支付宝年度账单默认用户勾选服务协议同意数据授权、再到如今的滴滴平台允许用户公开评价乘客、主动公开司机个人敏感信息,这些事件密集地提醒着社会公众,我们已经进入了数据时代。数据与我们每个个体的生活息息相关,我们个人数据的安全关系着日常生活的安宁,甚至生命安全。无论是360水滴直播事件中网友带侮辱/诽谤性的评论还是滴滴顺风车平台用户露骨的评论,其与被评论者在社交平台自发上传文字、照片、视频有本质的不同,因为这些信息不受被评论者自身的控制,有可能给被评论者带来困扰,进而打破其生活的安宁,甚至可能导致其成为犯罪分子锁定的犯罪对象。
据广州日报旗下公众号广州参考发布的《“空姐遇害”案后,我们查看了11起滴滴司机强奸刑案,发现…》一文所述,据不完全统计,在此次事件发生之前,单涉及滴滴司机犯罪的刑事案件中,强奸案件多达11起,司机殴打乘客7起。这些司机的犯案共同特点为在乘车过程中,多数实施强奸犯罪的司机都会先根据女乘客的性格特点及精神状态,和女乘客闲聊搭讪,了解其个人情况(如是否独居、是否单身等),然后决定是否下手。
另一些个人数据信息的保护,包括微博、微信、邮箱等,如果他人非善意地披露个人特殊生活隐私信息,或者故意将信息置于可公开化的论坛、微信群等场合,甚至冒用他人互联网账号恶意发表不实信息,对个体的名誉、商誉进而对个人的生活和工作都将带来实质性影响。
未来,如马云所说,曾经互联网经历了从无到有的过程,接下来则是从有到无的过程,“无”是“无处不在”的“无”;在这互联网无处不在且利用各类信息的关联分析进行个人画像描绘的大数据技术不断发展的环境下,普通公众如何能够保护自身的数据不被非法使用,乃至不让这些数据给自己引来杀身之祸值得我们深思。
二、我国对数据保护的立法规定
我国对数据保护的立法主要以个人隐私、个人信息保护的方式体现。具体而言:
1.2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,并初步规定了信息收集、信息使用规则的框架。该决定从个人信息角度对公民的网络数据保护进行了框架性规定,为后续法律规定的细化奠定了基础。
2.2016年11月7日发布、2017年6月1日生效的《网络安全法》对网络运营者收集用户个人信息的行为提出了多项原则。该法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
3.017年3月15日发布、2017年10月1日生效的《民法总则》除了保留原来《民法通则》中对“隐私权”的保护条款外,还新增了对个人信息的保护条款。《民法总则》第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
4.017年5月8日发布、2017年6月1日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称“个人信息刑事案件司法解释”)细化了侵犯公民个人信息罪的判断标准,尤其针对互联网时代电子数据方式存储的个人信息进行了明确。
5.2017年12月29日公布、2018年5月1日实施的《信息安全技术个人信息安全规范》以国家标准的方式对个人信息的收集、保存、使用、共享、转让、披露等提出了详细的要求。
三、本次事件暴露的问题
目前我国以个人信息为核心的数据保护立法取得了很大的成果,对涉及个人信息数据的收集、保存、使用、共享、转让、披露都做了详细的规定。然而这一事件中,在个人数据保护方面,至少暴露出了以下问题:
第一,互联网平台运营方对用户在其平台发布、上传的信息应当予以严格审核。通过滴滴APP页面可以发现,5月12日零点开始,滴滴公司对顺风车业务停业整改一周;滴滴公司也主动公布了初步自查进展,称本案中“接单账号归属于嫌疑人父亲,且正常通过了滴滴顺风车注册时的三证验真、犯罪背景筛查和接首单前须进行人脸识别等安全措施”,同时承认“我们原有的夜间安全保障机制不合理,导致在该订单中针对夜间的人脸识别机制没有被触发”,“嫌疑人在案发前,曾有一起言语性骚扰投诉记录,客服五次通话联系不上嫌疑人,由于判责规则不合理,后续未对投诉做妥善处理”。从滴滴主动公布的情况来看,滴滴至少采用了“三证验真、犯罪背景筛查、收单人脸识别”等方式来进行数据审核。然而,其没能够杜绝嫌疑人利用亲属账号通过平台提供顺风车服务的行为。另据广州日报旗下公众号广州参考发布的《“空姐遇害”案后,我们查看了11起滴滴司机强奸刑案,发现…》一文指出,记者经过实验发现,注册滴滴快车司机需要审核犯罪记录,然而实际上,注册顺风车司机,只要有车有驾照就行,甚至都没有要求注册时本人手持身份证拍照,也不限定必须提交车辆照片。除此之外,平台直接创建了“颜值爆表”、“声音很甜美”、“气质优雅”、“知性美女”这些与提供顺风车服务完全不相关的评价标签,甚至允许“美女下车时丝袜容易走光看的想入非非”等极具性暗示的评论,存在数据审核不严甚至有“美女乘客”这些与运营毫无关系的标签选项出现,是否存在以此来吸引车主加入顺风车司机的故意,我们不得而知。

第二,互联网平台运营方对通过服务过程中获得的个人信息保护无权擅自披露。本事件发展过程中,滴滴公司为了悬赏顺风车司机而公布了嫌疑人的姓名、头像、身份证、手机号码等信息。虽然这一公开有着尽快找到凶手的出发点,但是一方面,未经司法机关审判任何个人、企业甚至公权力部门都不能给任何一个个体定罪;另一方面,在本案中滴滴公司公布的司机个人信息显然是其提供服务过程中获得的个人信息,而且是可以直接识别具体个人的敏感信息,而前述《个人信息刑事案件司法解释》明确规定了“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外”;而《刑法》第二百五十三条第二款还特别强调了对于“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”的情形,“依照前款的规定从重处罚”。
第三,数据时代你我个人隐私岌岌可危。互联网无处不在并且大数据和人工智能技术快速发展的今天,个人信息/数据安全还受到第三方有意/无意提供所带来的威胁。本事件中,嫌疑人选择搭载乘客是否有参考平台其他用户对乘客的评价我们不得而知;但很显然,这些评论能够为犯罪嫌疑人有选择性地选择犯罪对象提供便利。与此同时,在大数据和人工智能技术快速发展地背景下,网友们提供的这些零星的信息将有可能被集中并描绘出个人画像甚至准确分析出个人敏感信息。
四、个人数据安全的法律保护路径探讨
对个人数据安全的保护,从法律发展的角度来说,建立在对隐私权保护的基础之上。传统的观点认为,个人生活领域分为私人领域和公共领域,而隐私只存在于私人领域,当个人隐私不管通过什么方式或手段被暴露于公共领域,那么它就不再是隐私。事实上,隐私观念的兴起,前提就是私人领域与公共领域的分离。沃伦和布兰代斯在《隐私权》一文中即指出,隐私权意味着“独处的权利”。
然而,随着时代的发展,斯坦福大学的布朗教授( W. Brown.)就曾经探讨过人们在公共场合使用手机通话时,通话内容的隐私问题,即在公共场合通话所涉及到的隐私内容在公共场合中被说出来,这样的“公开”是否表明该内容已经进入公共领域,权利人是否已经放弃了这部分内容的隐私权。此后,纽约大学文化传媒及传播学教授尼森鲍姆( Helen Nissenbaum)明确提出了“公共领域隐私”这一问题,使得人们开始重新考虑传统隐私概念中私人领域与公共领域的二分法。
事实上,随着社会的发展,隐私权的保护越来越朝着个人信息控制权的方向发展。权利人选择将自己的隐私或个人信息在某一特定领域中公开,并不能理解为权利人放弃了该隐私或个人信息的保有权,应当认为权利人的此种公开是在有限范围、有限条件内的公开,权利人并没有完全放弃对该隐私或个人信息的保有权。还有观点认为,公民的隐私权并不因其所处位置而灭失,反因公开的环境而需要获得更高的注意义务保障。
笔者认为,个人出于服务便利或者监管需要而主动/被动提供的个人信息应当被有限度地使用,对于该等信息及其他第三方提供的自身个人信息个人应当具有控制权,除了公权力机关基于社会管理需要或明确规定外,对于普通民事主体基于契约而获得并保管的包含个人信息的数据个人有权决定其使用范围并有权要求删除,这在互联网时代尤为重要。因此,有必要从个人信息控制权的立场出发,从民事、行政和刑事三个方面对个人包含个人信息的数据进行保护:
1.以民事法律方式规范一般侵犯个人信息安全的行为
民事法律规定并调整平等主体之间的法律关系,在民事法律关系范畴内,民事主体可在法律所不禁止的范围内,根据自己的意思自主设立、变更、终止种种民事权利义务关系,追求自己意欲的民事法律效果;但如果一方民事主体侵犯了另一方民事主体的利益或者产生了纠纷,则双方可通过协商、仲裁或民事诉讼的方式予以解决。
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定:网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。
该等规定对侵权主体主动利用信息网络公开个人隐私和个人信息的行为做了规定。然而应该当看到,很多情况下,互联网企业往往会因为怠于履行个人信息、个人数据保护义务而导致包含个人信息的数据被泄露;或者没有采取脱敏化处理而擅自将包含用户个人信息的数据共享给关联方或合作方。对此,个体可以参照《侵权责任法》第37条第二款规定的管理者的安全保障义务主张法律救济,即因第三人的行为造成他人损害的,由第三人承担侵权责任;管理人或者组织者未尽到安全保障义务的,承担相应的补充责任。
值得注意的是,互联网平台中,由第三人上传/提供的自身信息、数据,个人如何采取救济措施需要进一步探讨和完善,该等第三人上传的信息、数据很有可能会影响信息/数据所涉主体的生活安宁甚至人身安全。现有法律框架下,该种情形中,互联网平台运营方仅仅是一个信息发布平台的运营方,并非信息/数据提供者或获取者,而信息所涉个人可能又无法直接找到上传信息的第三人。对此,笔者认为,应当从平台运营方的信息审核义务、信息所涉主体的个人信息控制权等角度加以完善。
2.以行政法律方式规范规模性侵犯个人信息安全的行为
行政法的出现与发展和国家以及国家职能的发展有着密切的联系。现代社会中,复杂的社会现实要求国家改变传统的消极做法,积极地介入社会生活,承担更多的职能与任务。国家要提供个人需要的社会安全,要为公民提供作为经济、社会和文化等条件的各种给付和设施,还必须对社会和经济进行必要的干预。
现代社会中,随着科技的发展,尤其是通讯技术和计算机技术的发展,经济交易的规模和频率均急速上升,经济交往的复杂度也不断加大。从过往的数据安全事件可以看出,互联网企业,尤其是独角兽互联网企业掌握着大量的用户和用户数据,其一个小小的行为或者政策的变化都会影响百万乃至上亿级别的用户;当其行为侵犯个人信息安全时,如果依靠个人单独寻求法律救济,不仅耗时耗力而且存在滞后性。而行政法律方式相较之下,能够进行提前干预,进行预防式监管;而相较于刑事法律方式而言,其又具有较强的灵活性,能够更加快速、有效地应对不断发展、变化的交易方式和交易形态。
我国《网络安全法》第八条、第十四条明确规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
笔者认为,对于行政法律方式而言,一方面社会公众要树立较强的个人数据保护意识,只有社会公众对个人数据保护足够重视,行政部门才会有动力和压力来进行监管;另一方面,行政部门需要建立常规的工作机制,进行主动监管而不仅仅是出现问题之后再进行运动式地清查/整顿,逐渐让企业和企业高管提升个人数据规范化审核、保护和使用的意识和能力。
3.以刑事法律方式规制情节严重的侵犯个人信息安全行为
如前所述,我国《刑法》第二百五十三条明确规定了侵犯公民个人信息罪,《个人信息刑事案件司法解释》则对此进行了细化。根据该等规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前述的规定从重处罚。
需要注意的是,该等规定的行为限于“获取、出售和提供”个人信息的情形;对于个人信息/数据的获取者、保管者因为重大过失而导致个人信息泄露并造成严重后果或者经行政监管部门要求加强个人信息/数据保护而拒不改正的情况,我国《刑法》第二百八十六条规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
据此,网络服务提供者未依法履行网络安全管理责任的,其刑事责任的承担以“监管部门责令采取改正措施而拒不改正”为前提,但在互联网快速发展、互联网企业不断涌现的情况下,监管部门的监管显然无法完全覆盖到众多网络服务提供者,笔者认为有必要在《信息安全技术个人信息安全规范》这一国家标准基础上划分网络服务提供者核心管理责任和一般管理责任,对于网络服务提供者未自觉履行核心管理责任并造成严重后果的,应当施以刑事处罚。
(本文图片均来自网络,感谢实习生卢虹宇为本文前期资料搜集作出的贡献。)
近日,空姐李某在郑州市航空港区搭乘一辆轿车赶往市内时遇害事件在互联网中持续发酵。根据媒体报道及公安部门的公告,受害人李某系在搭乘滴滴顺风车途中被杀害,该顺风车司机有重大作案嫌疑,目前疑似嫌疑人的尸体也在一河渠内被发现。该案自河南媒体报道后一直受到公众的广泛关注,滴滴公司作为平台方是否需要承担法律责任也一直在被讨论。笔者认为,本案透露出来的互联网公司在经营过程中对涉及个人具象信息的数据之保护问题同样值得重点关注;互联网作为人们日常生活必需的时代,个人数据安全将是我们这个时代必须持续予以关注的与每个个体息息相关的话题。
事件发生后,有网友披露称在滴滴顺风车平台,司机、拼车同行人可以对顺风车乘客进行评价,而评价的内容不仅包括了“颜值爆表”、“神准时”、“声音很甜美”、“气质优雅”、“非常有礼貌”、“知性美女”等标签化内容,还包括“不化妆也漂亮”、“美女下车时丝袜容易走光看的想入非非”等个性化评价内容。而这些评价内容均可以被接单司机查看。

据公开信息,在此之前早已有网约车司机建群讨论、评价女乘客甚至偷拍女乘客隐私照片发在聊天群中讨论的报道。在本案被媒体报道后,滴滴公司还曾于5月10日发布公告“100万元寻找顺风车司机刘振华”,并公布了刘振华的姓名、头像、身份证、手机号码等信息;尽管滴滴公司并未披露刘振华即为凶手或者嫌疑人;但此后,据报道网友们找到了司机的抖音、QQ和支付宝,部分网友还给其转账,就为了能骂司机几句。
从几个月前的360水滴直播事件、到支付宝年度账单默认用户勾选服务协议同意数据授权、再到如今的滴滴平台允许用户公开评价乘客、主动公开司机个人敏感信息,这些事件密集地提醒着社会公众,我们已经进入了数据时代。数据与我们每个个体的生活息息相关,我们个人数据的安全关系着日常生活的安宁,甚至生命安全。无论是360水滴直播事件中网友带侮辱/诽谤性的评论还是滴滴顺风车平台用户露骨的评论,其与被评论者在社交平台自发上传文字、照片、视频有本质的不同,因为这些信息不受被评论者自身的控制,有可能给被评论者带来困扰,进而打破其生活的安宁,甚至可能导致其成为犯罪分子锁定的犯罪对象。
据广州日报旗下公众号广州参考发布的《“空姐遇害”案后,我们查看了11起滴滴司机强奸刑案,发现…》一文所述,据不完全统计,在此次事件发生之前,单涉及滴滴司机犯罪的刑事案件中,强奸案件多达11起,司机殴打乘客7起。这些司机的犯案共同特点为在乘车过程中,多数实施强奸犯罪的司机都会先根据女乘客的性格特点及精神状态,和女乘客闲聊搭讪,了解其个人情况(如是否独居、是否单身等),然后决定是否下手。
另一些个人数据信息的保护,包括微博、微信、邮箱等,如果他人非善意地披露个人特殊生活隐私信息,或者故意将信息置于可公开化的论坛、微信群等场合,甚至冒用他人互联网账号恶意发表不实信息,对个体的名誉、商誉进而对个人的生活和工作都将带来实质性影响。
未来,如马云所说,曾经互联网经历了从无到有的过程,接下来则是从有到无的过程,“无”是“无处不在”的“无”;在这互联网无处不在且利用各类信息的关联分析进行个人画像描绘的大数据技术不断发展的环境下,普通公众如何能够保护自身的数据不被非法使用,乃至不让这些数据给自己引来杀身之祸值得我们深思。
二、我国对数据保护的立法规定
我国对数据保护的立法主要以个人隐私、个人信息保护的方式体现。具体而言:
1.2012年12月28日《全国人民代表大会常务委员会关于加强网络信息保护的决定》明确了国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,并初步规定了信息收集、信息使用规则的框架。该决定从个人信息角度对公民的网络数据保护进行了框架性规定,为后续法律规定的细化奠定了基础。
2.2016年11月7日发布、2017年6月1日生效的《网络安全法》对网络运营者收集用户个人信息的行为提出了多项原则。该法第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
3.017年3月15日发布、2017年10月1日生效的《民法总则》除了保留原来《民法通则》中对“隐私权”的保护条款外,还新增了对个人信息的保护条款。《民法总则》第一百一十一条规定,自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
4.017年5月8日发布、2017年6月1日生效的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(简称“个人信息刑事案件司法解释”)细化了侵犯公民个人信息罪的判断标准,尤其针对互联网时代电子数据方式存储的个人信息进行了明确。
5.2017年12月29日公布、2018年5月1日实施的《信息安全技术个人信息安全规范》以国家标准的方式对个人信息的收集、保存、使用、共享、转让、披露等提出了详细的要求。
三、本次事件暴露的问题
目前我国以个人信息为核心的数据保护立法取得了很大的成果,对涉及个人信息数据的收集、保存、使用、共享、转让、披露都做了详细的规定。然而这一事件中,在个人数据保护方面,至少暴露出了以下问题:
第一,互联网平台运营方对用户在其平台发布、上传的信息应当予以严格审核。通过滴滴APP页面可以发现,5月12日零点开始,滴滴公司对顺风车业务停业整改一周;滴滴公司也主动公布了初步自查进展,称本案中“接单账号归属于嫌疑人父亲,且正常通过了滴滴顺风车注册时的三证验真、犯罪背景筛查和接首单前须进行人脸识别等安全措施”,同时承认“我们原有的夜间安全保障机制不合理,导致在该订单中针对夜间的人脸识别机制没有被触发”,“嫌疑人在案发前,曾有一起言语性骚扰投诉记录,客服五次通话联系不上嫌疑人,由于判责规则不合理,后续未对投诉做妥善处理”。从滴滴主动公布的情况来看,滴滴至少采用了“三证验真、犯罪背景筛查、收单人脸识别”等方式来进行数据审核。然而,其没能够杜绝嫌疑人利用亲属账号通过平台提供顺风车服务的行为。另据广州日报旗下公众号广州参考发布的《“空姐遇害”案后,我们查看了11起滴滴司机强奸刑案,发现…》一文指出,记者经过实验发现,注册滴滴快车司机需要审核犯罪记录,然而实际上,注册顺风车司机,只要有车有驾照就行,甚至都没有要求注册时本人手持身份证拍照,也不限定必须提交车辆照片。除此之外,平台直接创建了“颜值爆表”、“声音很甜美”、“气质优雅”、“知性美女”这些与提供顺风车服务完全不相关的评价标签,甚至允许“美女下车时丝袜容易走光看的想入非非”等极具性暗示的评论,存在数据审核不严甚至有“美女乘客”这些与运营毫无关系的标签选项出现,是否存在以此来吸引车主加入顺风车司机的故意,我们不得而知。

第二,互联网平台运营方对通过服务过程中获得的个人信息保护无权擅自披露。本事件发展过程中,滴滴公司为了悬赏顺风车司机而公布了嫌疑人的姓名、头像、身份证、手机号码等信息。虽然这一公开有着尽快找到凶手的出发点,但是一方面,未经司法机关审判任何个人、企业甚至公权力部门都不能给任何一个个体定罪;另一方面,在本案中滴滴公司公布的司机个人信息显然是其提供服务过程中获得的个人信息,而且是可以直接识别具体个人的敏感信息,而前述《个人信息刑事案件司法解释》明确规定了“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外”;而《刑法》第二百五十三条第二款还特别强调了对于“违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人”的情形,“依照前款的规定从重处罚”。
第三,数据时代你我个人隐私岌岌可危。互联网无处不在并且大数据和人工智能技术快速发展的今天,个人信息/数据安全还受到第三方有意/无意提供所带来的威胁。本事件中,嫌疑人选择搭载乘客是否有参考平台其他用户对乘客的评价我们不得而知;但很显然,这些评论能够为犯罪嫌疑人有选择性地选择犯罪对象提供便利。与此同时,在大数据和人工智能技术快速发展地背景下,网友们提供的这些零星的信息将有可能被集中并描绘出个人画像甚至准确分析出个人敏感信息。
四、个人数据安全的法律保护路径探讨
对个人数据安全的保护,从法律发展的角度来说,建立在对隐私权保护的基础之上。传统的观点认为,个人生活领域分为私人领域和公共领域,而隐私只存在于私人领域,当个人隐私不管通过什么方式或手段被暴露于公共领域,那么它就不再是隐私。事实上,隐私观念的兴起,前提就是私人领域与公共领域的分离。沃伦和布兰代斯在《隐私权》一文中即指出,隐私权意味着“独处的权利”。
然而,随着时代的发展,斯坦福大学的布朗教授( W. Brown.)就曾经探讨过人们在公共场合使用手机通话时,通话内容的隐私问题,即在公共场合通话所涉及到的隐私内容在公共场合中被说出来,这样的“公开”是否表明该内容已经进入公共领域,权利人是否已经放弃了这部分内容的隐私权。此后,纽约大学文化传媒及传播学教授尼森鲍姆( Helen Nissenbaum)明确提出了“公共领域隐私”这一问题,使得人们开始重新考虑传统隐私概念中私人领域与公共领域的二分法。
事实上,随着社会的发展,隐私权的保护越来越朝着个人信息控制权的方向发展。权利人选择将自己的隐私或个人信息在某一特定领域中公开,并不能理解为权利人放弃了该隐私或个人信息的保有权,应当认为权利人的此种公开是在有限范围、有限条件内的公开,权利人并没有完全放弃对该隐私或个人信息的保有权。还有观点认为,公民的隐私权并不因其所处位置而灭失,反因公开的环境而需要获得更高的注意义务保障。
笔者认为,个人出于服务便利或者监管需要而主动/被动提供的个人信息应当被有限度地使用,对于该等信息及其他第三方提供的自身个人信息个人应当具有控制权,除了公权力机关基于社会管理需要或明确规定外,对于普通民事主体基于契约而获得并保管的包含个人信息的数据个人有权决定其使用范围并有权要求删除,这在互联网时代尤为重要。因此,有必要从个人信息控制权的立场出发,从民事、行政和刑事三个方面对个人包含个人信息的数据进行保护:
1.以民事法律方式规范一般侵犯个人信息安全的行为
民事法律规定并调整平等主体之间的法律关系,在民事法律关系范畴内,民事主体可在法律所不禁止的范围内,根据自己的意思自主设立、变更、终止种种民事权利义务关系,追求自己意欲的民事法律效果;但如果一方民事主体侵犯了另一方民事主体的利益或者产生了纠纷,则双方可通过协商、仲裁或民事诉讼的方式予以解决。
《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第十二条规定:网络用户或者网络服务提供者利用网络公开自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等个人隐私和其他个人信息,造成他人损害,被侵权人请求其承担侵权责任的,人民法院应予支持。
该等规定对侵权主体主动利用信息网络公开个人隐私和个人信息的行为做了规定。然而应该当看到,很多情况下,互联网企业往往会因为怠于履行个人信息、个人数据保护义务而导致包含个人信息的数据被泄露;或者没有采取脱敏化处理而擅自将包含用户个人信息的数据共享给关联方或合作方。对此,个体可以参照《侵权责任法》第37条第二款规定的管理者的安全保障义务主张法律救济,即因第三人的行为造成他人损害的,由第三人承担侵权责任;管理人或者组织者未尽到安全保障义务的,承担相应的补充责任。
值得注意的是,互联网平台中,由第三人上传/提供的自身信息、数据,个人如何采取救济措施需要进一步探讨和完善,该等第三人上传的信息、数据很有可能会影响信息/数据所涉主体的生活安宁甚至人身安全。现有法律框架下,该种情形中,互联网平台运营方仅仅是一个信息发布平台的运营方,并非信息/数据提供者或获取者,而信息所涉个人可能又无法直接找到上传信息的第三人。对此,笔者认为,应当从平台运营方的信息审核义务、信息所涉主体的个人信息控制权等角度加以完善。
2.以行政法律方式规范规模性侵犯个人信息安全的行为
行政法的出现与发展和国家以及国家职能的发展有着密切的联系。现代社会中,复杂的社会现实要求国家改变传统的消极做法,积极地介入社会生活,承担更多的职能与任务。国家要提供个人需要的社会安全,要为公民提供作为经济、社会和文化等条件的各种给付和设施,还必须对社会和经济进行必要的干预。
现代社会中,随着科技的发展,尤其是通讯技术和计算机技术的发展,经济交易的规模和频率均急速上升,经济交往的复杂度也不断加大。从过往的数据安全事件可以看出,互联网企业,尤其是独角兽互联网企业掌握着大量的用户和用户数据,其一个小小的行为或者政策的变化都会影响百万乃至上亿级别的用户;当其行为侵犯个人信息安全时,如果依靠个人单独寻求法律救济,不仅耗时耗力而且存在滞后性。而行政法律方式相较之下,能够进行提前干预,进行预防式监管;而相较于刑事法律方式而言,其又具有较强的灵活性,能够更加快速、有效地应对不断发展、变化的交易方式和交易形态。
我国《网络安全法》第八条、第十四条明确规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。
笔者认为,对于行政法律方式而言,一方面社会公众要树立较强的个人数据保护意识,只有社会公众对个人数据保护足够重视,行政部门才会有动力和压力来进行监管;另一方面,行政部门需要建立常规的工作机制,进行主动监管而不仅仅是出现问题之后再进行运动式地清查/整顿,逐渐让企业和企业高管提升个人数据规范化审核、保护和使用的意识和能力。
3.以刑事法律方式规制情节严重的侵犯个人信息安全行为
如前所述,我国《刑法》第二百五十三条明确规定了侵犯公民个人信息罪,《个人信息刑事案件司法解释》则对此进行了细化。根据该等规定:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前述的规定从重处罚。
需要注意的是,该等规定的行为限于“获取、出售和提供”个人信息的情形;对于个人信息/数据的获取者、保管者因为重大过失而导致个人信息泄露并造成严重后果或者经行政监管部门要求加强个人信息/数据保护而拒不改正的情况,我国《刑法》第二百八十六条规定:网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
据此,网络服务提供者未依法履行网络安全管理责任的,其刑事责任的承担以“监管部门责令采取改正措施而拒不改正”为前提,但在互联网快速发展、互联网企业不断涌现的情况下,监管部门的监管显然无法完全覆盖到众多网络服务提供者,笔者认为有必要在《信息安全技术个人信息安全规范》这一国家标准基础上划分网络服务提供者核心管理责任和一般管理责任,对于网络服务提供者未自觉履行核心管理责任并造成严重后果的,应当施以刑事处罚。
(本文图片均来自网络,感谢实习生卢虹宇为本文前期资料搜集作出的贡献。)
