新闻资讯

“大数据时代”的网络隐私保护探讨

何为大数据
 
大数据(big data),或称巨量资料,指的是所涉及的资料量规模巨大到无法透过目前主流软件工具,在合理时间内达到撷取、管理、处理、并整理成为帮助企业经营决策更积极目的的资讯。[①]
 
互联网业界(IBM 最早定义)将大数据的特征归纳为 4 个“V”:数据量(Volume),时效性(Velocity),多变性(Variety),可疑性(veracity)。其特点有四个层面:
第一,数据规模巨大,“大数据”顾名思义代表了数据的数量之多,规模之庞大,大数据的计量单位从 T(1024G)起跳,直至跃升至 Z(10 亿个 T);
第二,数据类型繁多,数据类型可包含网上文字视频图片、地理位置信息、金融保险交易记录、生物科学研究数据等等,可谓无所不包;
第三,价值密度低,商业价值高,是指海量数据中可用数量有限,但附属经济价值高;
第四,处理速度快,大数据处理中有“1 秒定律”之说,是指数据要在秒级时间内得出分析结果,否则就会失去价值,这一点也是和传统的数据挖掘技术的最大不同。其实这些 V 并不能真正说清楚大数据的所有特征。
维克托·迈尔·舍恩伯格在《大数据时代》一书中的观点或许可以更清晰的解析大数据,他认为,1. 大数据需要的全部数据而不是随机样本;2.大数据关注的是混杂性而不是精确性;3.大数据关注相关关系而不是因果关系。笔者认为,大数据不仅仅是庞大海量的数据,更重要的是它是一种思维,一种将来影响我们生活工作各个行为的必然的思维。大数据并不在“大”,而在于“有用”,其所包含的价值含量比数量更为重要。
 
大数据与网络隐私权保护的关系
 
“大数据”产生的最大问题,即数据能否可用以及运用的限度问题。具体表现为:数据收集变得无处不在,行为人难以察觉,收集主体告知义务难以有效监测;数据处理专业化、多样化增强,行为人难以控制自己的数据应用情境;原有数据储存方式受到挑战,数据泄露风险增大;大数据资源公开与共享诉求与隐私权相矛盾等等。对此,美国在原有隐私权政策与法律基础上,通过出台、修改立法,提出政策主张,发挥行业自律作用,构建起较为完善且独具特色的大数据环境下的隐私保护体系。
 
大数据时代网络隐私权侵权特征
 
1.  侵权手段智能化、隐蔽化
基于大数据时代数据搜集范围的持续扩大和数量的几何式增加,各类在线数据规模越来越庞大,各类侵权行为的犯罪动机也比以往任何时候都要更加强烈。侵权手段层出不穷,愈加具有专业化、智能化的特点,侵权手段方式也越来越不易被察觉。若用户在淘宝或者京东这样的国内知名线上购物网站搜索一特定商品进行浏览,几分钟之后,在其他知名门户网站浏览新闻时,网页边栏的广告位就会出现刚才所搜索过的类似商品的推荐广告或促销信息。这么精准的广告投放,这么快速的网站关联,实在让人不得不担心,自己的需求是如何在这么短的时间内被收集,并被不同类型的网站迅速关联的。并且自己的个人资料到底被了解到了何种程度?被哪些网站或者部门或者个人所收集?将用于何用处?大数据的利用可分为诸多方面,其中重要的一方面就是数据分析技术的不断探索与发展。判定侵权的关键不在于是否使用了技术,而是在于技术的用途,及使用技术的边界,这也一直是伴随大数据发展争论不休的话题。然而相比较传统的明显的侵权方式,别有用心的侵权主体可以利用收集网络浏览痕迹,收集地理定位信息等非常隐蔽的方式实施侵权行为。且这种“事先未被允许,事后才被发现”的“先斩后奏”式的收集个人数据方式,不仅增加了数据收集的隐蔽性,也增加了事后当事人维权的难度。
 
2.  侵权主体多元化、匿名化
网络空间的开放性、隐匿性等特点,使得用户在网络活动中可能面对多个不确定的、不明身份的信息发布者。从信息的产生、到传播、利用每一个环节都可能产生隐私泄露的隐患。侵犯隐私的主体也从传统的单一个体转变成由个人信息的最初发布者、无数传播者与数据挖掘利用者共同组成的链条式的多个主体。并且社交媒体的开放,移动客户端程序的开发,使得侵权行为可以随时随地发生,不同身份的网络活动参与者都可能有意无意成为侵害个人隐私的主体。归纳起来侵权主体的类型主要有以下几种:
(1)政府部门及社会职能机构;
(2)网络服务提供者;
(3)商业公司;
(4)网络用户。
 
3.  侵权对象性质的双重化
传统网络隐私侵权给受害人更多带来的是精神及情感上的伤害,所以以民法理论的标准衡量,隐私权是一种独立的精神性的人格权,并不具备物质性或财产属性。但是如前文所述,在大数据时代的今天,网络环境下的隐私,已被附属极高的经济价值。好奇心早已不是窥探他人隐私这一侵权行为的真正动机,经济利益的驱使才是隐私侵权事件频繁发生的真正所在,因此隐私权也具备了财产权属性。需要指出的是,网络隐私权的财产权属性,是虚拟的、无形的,并不具备有形的实体,这点不同于传统财产权是真实存在的。用户存在于网络环境中的个人信息,储存在电脑或者网络存储空间内的个人数据、资料等,都是一种无形的财产,因而网络环境下的隐私权也就兼具无形财产权与人格权双重属性的复合型权利。[②]
 
4.  侵权后果严重化和复杂化
在 20 世纪,我们就已经见证了太多由于数据利用不合理所导致的惨剧。比如 1943年,美国人口普查局递交了地址数据来帮助美国政府拘留日裔美国人(当时它没有提交街道名字和具体街号的数据,居然幻想着这样能保护隐私);荷兰著名的综合民事记录数据则被纳粹分子用来搜捕犹太人;纳粹集中营里的罪犯的前臂上刺青的五位数号码与IBM 的霍瑞斯穿孔卡片上的号码是一致的,这一切都表明是数据处理帮助实现了大规模的屠杀。现如今社会,利用数据进行大规模杀戮的已不大可能,个人数据的泄露仍会给当事人带来严重的损害后果。最常见于我们身边的案件,就是某些别有用心的数据收集者、或收买者,利用个人数据所包含的具体个人信息对当事人进行敲诈勒索,甚至利用定位数据进行精准定位后实施犯罪。
 
国外的网络隐私权保护现状
 
1.欧盟
欧盟对侵犯个人数据的行为处罚措施十分严格,包括禁令救济,对公司工作场所和数据处理设施的稽查和调查,数额巨大的罚款,以及对于特大违法行为的刑事责任处罚等。除此之外,欧盟数据保护机构还会对侵犯个人数据的公司予以曝光,以增大惩戒力度。近年来,欧盟官方认为美国谷歌公司、苹果公司等搜索引擎与移动设备服务供应商通过提供服务非法获取、侵犯公民个人数据,曾多次表态要加强对有关企业的监管。而谷歌、苹果等企业也在对欧盟立法机构开展游说公关,以减轻可能面临的执法压力。
 
2.美国
与之相对的,美国政府在大数据技术与隐私权保护之间更倾向于利用大数据技术促进经济社会发展,以保持美国在相关领域的领先地位。与此同时,美国政府希望以改良的政策框架与法律规则来解决隐私权保护的问题。由于大数据技术的发展运用将对隐私权保护构成严峻挑战,因此,越是希望鼓励大数据技术更广泛更科学的运用,越是应该通过政策、法律与技术加强公民隐私权利保护。正如《白皮书》指出,“大数据正改变世界,但它并没有改变美国人对于保护个人隐私、确保公平或是防止歧视的坚定信仰。”在此背景下,美国政府出台了《白皮书》及其他系列文件,系统阐述了美国政府大数据战略,并以政策与相关法案构建了其隐私权保护的基本框架。[③]
 
国外的网络隐私保护模式
 
1. 立法保护模式
(1)《一般指令》
最主要的欧盟数据保护法是《欧盟数据保护指令》,通常称为《一般指令》。于 1995年 10 月 24 日通过,其目的在于允许数据在欧盟范围内自由流通,禁止组织成员国以数据保护为借口阻碍数据在欧盟内部的流通,并为全欧盟范围内实现数据保护设定了最低限度制度。[④]
(2)《隐私与电子通信指令》
主要规定了无线电通信、传真、电子邮件、互联网及其他类似服务中数据保护的问题。该指令规定了服务提供商必须采取适当技术和组织措施保证系统和服务安全,规定组织内各成员国必须通过立法执行这一指令内容。[⑤]
(3)《欧盟数据留存指令》
该指令协调各国关于公共电子通信服务提供商处理和留存数据的义务性规范,实现在尊重当事人隐私和数据保护权的同时,保证数据能够用于对严重刑事犯罪活动的调查、侦查或起诉。[⑥]
除以上三条主要指令,欧盟随后还补充制定了《Internet 上个人隐私权保护的一般原则》、《信息公路上个人数据收集、处理过程中个人权利保护指南》等一系列法律法规,为网络用户和网络服务商们提供了可以遵循的隐私权保护原则,在成员国内有效建立起有效保护网络隐私权的统一法律法规体系。[⑦]
 
2.  行业自律主导模式
美国是采取这种模式最具代表性的国家。所谓行业自律是指业界通过采取自律措施来规范自己在个人资料的收集、利用、交换方面的行为,达到保护隐私权的目的。[⑧]
在美国,对于隐私保护法律有诸多类型,如宪法、成文法、司法裁判与条约等,在立法之外,通常行业内还会以契约、政策、引导规范等形式加以补充。尤其是后者这些自律准则,尽管本身并非法律,但在规范隐私保护行为方面扮演了重要的角色,甚至更为得到正式法律的支持。加之美国倡导自由民主的传统和生活习惯,政府尽量避免过多的法律介入,以维护整个互联网行业的快速发展。因此在对个人隐私保护方面,美国更倾向于行业自律模式。
美国的行业自律模式主要由五种手段构成,即建设性的行业指导、网络隐私认证计划、技术保护、行业内自律规范和安全港协议。
 
我国的网络隐私权保护现状
 
网络隐私权是指公民在网上享有私人生活安宁和私人信息依法受到保护,不被他人非法侵入、知道、搜索、拷贝、利用以及公开的一种人格权;也指禁止在网络上非法曝光他人相关敏感信息,包括事实、图像等。[⑨]网络隐私权的范围分为两个部分:一是现实生活中的隐私在网络环境中的体现;二是基于互联网络的特点而产生的网络环境特有的隐私。笔者认为,基于网络环境的特征进而产生的隐私主要包括:电子消费卡号及密码、电子邮箱地址、个人登陆的身份、大型网络游戏的个人登录信息以及较普遍的网络活动中产生的个人隐私、个人信息等。
 
1.  立法现状
网络隐私权保护虽有立法但不健全。我国《侵权责任法》已于2010年7月1日起施行,对网络侵权进行了相关规定。具体地, 《侵权责任法》第三十六条规定:网络用户、网络服务提供者利用网络侵害他人民事权益的,应当承担侵权责任。
 网络用户利用网络服务实施侵权行为的,被侵权人有权通知网络服务提供者采取删除、屏蔽、断开链接等必要措施。网络服务提供者接到通知后未及时采取必要措施的,对损害的扩大部分与该网络用户承担连带责任。
 网络服务提供者知道网络用户利用其网络服务侵害他人民事权益,未采取必要措施的,与该网络用户承担连带责任。
 
2.行业自律现状
我国有关网络隐私权保护的行业自律,主要表现在两个层面:一是整个互联网行业的自律;二是各个网站及其从业者的自律。前者主要体现在《中国互联网行业自律公约》和《中国电子商务诚信公约》两个公约上,后者则主要体现在各网站对上述两个公约的遵守以及其他相关的自律措施上。
 
我国的网络隐私保护存在的问题
 
1.  立法存在问题
虽然《侵权责任法》有了上述规定,但是网络侵权责任并没有得到相关的重视,没有与产品责任等责任一样,并列作为独立的章来规定,无法体现出网络侵权责任与其他法律责任一样的地位和重要性。这主要体现在:
(1)、法律对网络隐私权重视不够。截至目前,中国网民人数达到6.18亿;存在大量个人数据被非法搜集、滥用、交易现象,但是国家目前还没有网络隐私权的专门法律规定。
(2)、目前对提供网络服务与内容的供应商之法律责任规定较少。由于我国法律对网络提供商的侵权行为比较容忍,这样也就间接支持了网络提供商对网络隐私权的侵犯。
 (3)、实践中网络隐私权的法律维权难以实现。在现行法律中,我国通常把隐私权纳入名誉权的范围加以保护,所以当网民的网络隐私权受到侵犯时,受害人难以侵犯隐私权作为独立的诉求请求法律保护与救济,而只能以其它理由提起诉讼。
 (4)、 网络隐私权的法律研究较为滞后。国外的隐私权研究已将近100多年,而我国隐私权的研究却要晚得多,对网络隐私权的研究更是近十年才开始,且尚未形成系统。[⑩]
 
2.行业自律存在问题
2.1整个互联网行业自律存在的问题
两大公约关于网络隐私权保护的内容太过简单笼统,操作性不强。通过《中国互联网行业自律公约》和《中国电子商务诚信公约》中有关网络隐私权保护的具体规定,并没有对网络隐私权进行详细地界定,也缺少网络隐私权和网络隐私侵权及网络消费者信息和资料的具体内容等等。另外,两大公约也没有规定对侵害网络隐私权的网站进行何种惩处,操作性不强,很难真正确保网站能够保护网民的网络隐私权。
2.2单个网站自律存在的问题
目前网站所采取的自律措施主要是通过主动张贴隐私声明,但隐私声明仍存在一些问题:
(1)多数网站首页的显著位置无隐私声明
(2)网站的隐私声明形同虚设。比如,在新浪总共一千多字的隐私声明页面,笔者发现了很多明显的错误。比如,“在我们请求您提供有关信息之前,我们会解释这些信息的用途,我们有些站点需要注册才能加入。”“……我们会尽一切努力,请在合理适当的范围内立即改善这个问题。”“你也可以通过登陆members.sina.com..cn/edit/(新浪网用户注册页面的更新会员资料栏)的方式自行更新您的个人信息。”另外,有部分内容是重复多余的,如“新浪欢迎您对这项保密制度给予评论并提出质疑。我们将致力于保护您的个人信息,尽全力保证这些信息的安全。由于网上技术的发展突飞猛进,我们会随时更新我们的信息保密制度。所有的修订将在此站点公布。请将与本声明有关的所有评论和质疑发往。”[11]由此可窥见网站并不重视隐私声明。
(3)隐私声明保护的是网站而非网民。首先,一些网站在隐私权声明中规定,修改权在网站本身,这对于网站用户来讲显然是不公平的,网站也难免有推卸责任之嫌,特别是在发生网络隐私侵权行为时。比如搜狐网站保护隐私权之声明在结尾处,以黑体加粗特别规定“本网站之保护隐私声明的修改及更新权均属于搜狐公司”。[12]
 
对我国的网络隐私权保护的改进建议
 
1.  立法的角度
1.1在现有法律基础上进行完善
应在民法典中将网络隐私权作为隐私权的特殊类型加以保护。明文规定隐私权是一项独立的人格权,网络隐私权的法律保护将更有依据。
1.2立法应规范网络隐私权保护的范围与内容。
笔者认为对网络隐私权的保护范围应包括:一是个人资料,如个人登录的信息、图像等;二是个人的财产信息,如网上交易账号和密码,甚至大型网络游戏中的个人信息等;三是个人电子邮箱地址;四是网络操作痕迹,如浏览网页等。由于现代网络的迅猛发展,网络隐私权的侵权类型也逐渐增多,立法保护的范围与内容也要灵活应对,笔者认为应列明“其他导致侵害网络隐私权的行为”一项。
1.3明确网络隐私权是复合型权利。
应确立网络隐私权兼有人格权和财产权的复合型属性,并通过立法给予承认和保护。众所周知,互联网极大地提升了隐私的经济价值,而对网络隐私进行立法保护,不仅维护了公民的个人隐私而且也提高了网络财产的安全性。适时改变隐私权只是人格权的传统观念,接受其具有人格和财产的复合属性,对网络隐私权的保护更加有利。
1.4将电子证据作为诉讼法律中的证据。一般侵犯网络隐私权的证据都是电子证据,应当在诉讼法律中明确电子证据作为证据的标准,这样更有利于网络侵权案件的审理。QQ聊天记录、电子邮件、网络电子对话记录等都是一些案件的重要证据,对案件的判决起到至关重要的作用。
    1.5制定我国《网络隐私保护条例》。在成熟的法律出台之前,不妨先制定《网络隐私保护条例》,具体内容包括网络隐私权的定义与内容,主要立法原则,个人数据的搜集和持有,个人数据的利用与安全,个人数据的披露与公开,公民网上私人活动、私人领域、私人生活安宁不受非法侵扰,网络侵权救济与法律责任等
 
2.  行业自律角度
2.1首先,加强政府对行业自律保护个人隐私的行政监管。“对于互联网接入服务提供商(ISP)而言,或对于互联网内容服务提供商(ICP)而言,都需要在国家的整个产业政策中寻求自身的地位和位置,都将受到整个国家经济形势、政策的限制和制约。”在网络隐私权的行业自律保护上,处于优势地位的企业网站在制定自身的隐私保护政策时,可能会滥用其自身技术等方面的优势,模糊隐私保护的标准,对个人隐私进行实质上的侵犯。此时,政府作为社会生活的管理者,应该充分发挥其自身职能,对网络隐私权的行业自律保护进行有效的监管。政府应重在引导、培育和规范,站在经济全球化的高度看待中国的互联网行业与电子商务等产业,推进保护网络隐私权的新技术开发和利用,鼓励互联网行业制定出符合中国国情的行业自律标准和为大多数企业认可的规章,为互联网行业与电子商务等产业的快速发展创造良好的条件。[13]
2.2其次,中国互联网协会、中国电子商务诚信联盟等行业组织应该发挥更为积极的作用。
可以向行业自律做得比较好的美国学习,制定出诸如《中国互联网行业自律公约》之类的《中国互联网行业隐私权保护自律公约》,专门保护网络隐私权,并为全行业提供隐私权声明的样本。另外,还可以成立专门的网络隐私权保护行业组织,对网站隐私权政策执行情况进行评估和认证。同时,这些行业组织还应承担起向全行业宣传网络隐私权保护的重要性,让全体互联网行业都明白,切实保护好网络隐私权,不仅仅只是在保护网络用户,整个互联网行业也将是最终受益者。
2.3 每个企业及其网站都应该制定严格的网络隐私权保护制度,进行企业内部的行业自律。应从制度上保证公民的网络隐私权不受侵害,建立一种真正的互信关系,以此实现网络隐私权的基础保护。如果企业一旦侵害网民的网络隐私权,则应主动承担相应的赔偿责任。另外,也可学习发达国家的做法,在企业内部设立专门负责处理用户隐私权相关事宜,直接对企业的最高领导人负责的首席隐私官。
2.4应发动网民监督各个网站是否对网络隐私权进行了严格的自律保护。网民在使用网络的时候,不仅应采取种种措施,注意网络隐私权的自我保护,而且要监督各网站否采取了切实有效的措施保护网络隐私权,拒绝访问那些没有隐私声明或隐私声明不符合标准的网站,向有关部门或组织检举、揭发那些侵害网络隐私权的网站或者没有严格对网络隐私权进行保护的网站
 
网络隐私权保护的其他措施
 
1.  强化个人保护意识
不管是行业自律还是法律保护,都是依靠一种外部力量对网络用户的个人隐私进行的公共保护。但是外因必须通过内因起作用,在纷繁复杂的网络环境下,保护隐私安全的关键,是提高网络用户的自我保护意识。
以往保护网络环境下个人隐私安全的方法倾向于阻止用户发布个人信息,但这在逐步推行实名化的网络现实下,显然不可取。鉴于大数据时代个人隐私保护的困难程度,已有专家提出了“遗忘”的必要性。牛津大学教授、大数据领域权威专家维克托在其著作《删除》中提出了了“被遗忘的权利”。他指出,如今数字技术与全球网络正在瓦解我们天生的遗忘能力——过去正像刺青一样被刻在我们的数字皮肤上,遗忘已经变成了例外,而记忆却成了常态。在大数据时代,面对海量数据人们必须了解数据的取舍之道,即留下有意义的去掉无意义的,要始终判断需要的是什么,始终记得遗忘的美德,才能构建一个积极而安全的未来。因此我们在日常参与网络活动时,要养成良好的个人隐私保护意识。例如,注册网站时,仔细阅读网站隐私声明,评估其中所蕴含的的风险;在提供个人信息时,尽可能不要暴露过于详细的个人资料,如收入水平、婚恋情况、家庭住址等;不要轻易将个人信息授权分享给第三方,太多实例证明,侵权行为多发生于分享行为。另外,现在许多计算机管理软件,杀毒软件具有清除 Cookies 等功能,定期清理电脑痕迹,也有利于个人信息的保护。
另外,除保护好个人的隐私信息外,还要做到文明参与网络信息活动,对他人的隐私同样予以尊重。不随意泄露、转发、披露他人隐私,共建良好的网络隐私保护氛围。
 
2.  加强国际合作
网络是虚拟世界,无空间无国界,网络经济、大数据的飞速发展,使得任何一个侵权行为的发生,都有可能波及到世界范围。因此国际间的协调合作在网络隐私权保护方面是必不可少的。尽管每个国家的保护方式和模式不尽相同,但网络隐私权的保护不再是哪个国家的内部事物,没有国际间的合作单靠一个国家是不能有效解决的,国际刑警组织、世界反恐组织就是很好的例证。目前,在数据保护方面,欧洲与美国已开始谋求合作,我国要积极行动,把握机遇,加强国际间网络隐私保护的协调、交流、合作,实现与国际间的接轨,确保信息的自由交换与流动,只有这样才能适应网络经济的发展,才能在大数据时代的今天,占据主动,紧跟节奏,在国际网络隐私保护合作方面,积极有效地发挥作用。[14]
 
[①]百度百科 大数据 http://baike.baidu.com/subview/6954399/13647476.htm
[②]李  彤. 论大数据时代网络隐私权的保护.2014年5月
[③]李明,“大数据时代”美国的隐私权保护制度,《互联网金融与法律》[④]OECD,Recommendation of the Councilconcerning Guidelines governing the Protection of Privacy and Transborder DataFlows of Personal Data, September 23,1980.[⑤]Directiveon Privacy and Electronic Communications, 2002. 
http://europa.eu.int/eur-lex/pri/en/oj/dat/2002/1_201.pdf.
[⑥]Directive2006/24/EC of the European Parliament and of the Council of 15 March 2006./http://europa.eu.int/eur
lex/lex/LexUriServ/site/en/oj/dat/2006/1_105/1_10520060413en00540063.pdf.
[⑦]杨立新. 侵权法热点问题法律应用(民商卷) [M]. 北京:人民法院出版社,2000.425.
[⑧]张秀兰.国外网络隐私权保护的基本模式分析[[J]. 图书馆研究,2005,(5):86-88.
[⑨]李德成.网络隐私权保护制度初论[M]. 北京:中国方正出版社,2001.129。
[⑩]文维. 我国网络隐私权保护的法律探讨.《人民论坛》.2010年第26期.
[11]搜狐网站保护隐私权之声明[EB/OL].[2008-06-27].http://www.sohu.com/about/privacy.html.
[12]徐敬宏. 网站隐私声明的真实功能考察[J].当代传播,2008,(6).
[13]徐敬宏.美国网络隐私权的行业自律保护及其对我国的启示[J].情报理论与实践,2008,(6):957.
[14]李  彤. 论大数据时代网络隐私权的保护.2014年5月
 
作者:北京品源专利代理有限公司 王小衡