史卫民:大数据时代个人信息保护的现实困境与路径选择(二)
3 大数据时代个人信息保护的现实困境
3.1立法方面 近年来, 我国加快了个人信息安全保护的立法和修法进程 , 《刑法修正案(七)》(2009)第7 条规定的侵犯个人信息罪 、 《侵权责任法》 第36 条关于网络侵权的规定、 全国人大常委会《关于加强网络信息保护的决定》 以及工业和信息化部颁布的《电信和互联网用户个人信息保护规定》 、 《电话用户真实身份信息登记规定》 等法律法规规章相继出台, 建立起了个人信息安全保护的基本框架, 对于保护个人信息和生活安宁, 保障公民和法人的合法权益意义重大。但这些法律法规仍存在过于原则、 不够具体、 操作性差等问题。侵犯个人信息罪中存在主体范围狭窄、 情节不易认定等问题;网络侵权的规定中也存在侵权举证较难、 赔偿数额较低等问题;《关于加强网络信息保护的决定》 规定的12 条内容都是比较原则的。特别是2003 年就开始起草的《个人信息保护法》 至今都没有出台, 使得个人信息保护领域缺少一部专门、 权威的法律, 制约着个人信息的全面保护。
3.2 监管方面 大数据时代, 加强网络安全管理,保护公民个人信息, 政府管理部门责无旁贷。而目前在行政监管方面仍存在不少问题。一是监管机构不明。个人信息保护涉及面广, 应该由统一的专门机构来监督, 而我们却没有权责清晰的监管机构。工业和信息化部只涉及了电信和互联网行业管理, 并不包括其他管理个人信息的部门。二是管理标准无强制性。我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013)已经正式实施, 但仅是一份指导性技术文件, 没有强制约束力, 其实施取决于相关行业主体的自愿配合。三是监管措施不严。由于缺乏统一严格的质量保证和控制,使得涉及个人隐私的信息被有意、无意扭曲、恶化, 甚至捏造, 造成大数据样本统计的对真实的个人信息偏离,产生错误的结论和认识, 造成个人信息的质量泛华, 严重影响个人形象,如网上对某一人物的恶搞和诋毁等;另外, 对数据垄断方和个人之间个人隐私信息管理不严, 使得一些数据垄断方利用个人信息进行精确预测、 广告派送和个性服务等, 而个人只能被动接受一些垃圾广告、 无用信息的干扰, 严重影响生活工作秩序。四是行政处罚较低。工业和信息化部《电信和互联网用户个人信息保护规定》 、 《电话用户真实身份信息登记规定》 中对相关违法行为设定了警告和3 万元以下的罚款处罚, 这相对于出售个人信息所获利益来说, 违法成本过低, 根本不足以遏制收集贩卖个人信息的违法行为。
3.3 技术方面 大数据时代的特征决定了个人信息泄露或被非法利用的经常性, 而良好的技术手段是保护个人信息安全的关键环节。目前在个人信息保护方面技术仍未起到其应有的作用。随着云计算、物联网、移动互联网等新技术的快速发展, 为大数据的收集、 处理和应用提出了新的安全挑战。而技术发展的步伐仍然滞后, 核心关键技术仍掌握在外国厂商手里,我国信息产业技术的自主创新不足。另外, 缺少经费的投入也是导致技术落后的一个主要原因。
3.4 行业方面 大数据时代, 许多个人信息的搜集、 整理、 挖掘、 分析、 应用都通过网络进行, 网络行业的自律机制也是保护个人信息的重要环节。而目前网络行业的自律仍是各自为政, 有些信息使用者的道德失范。大数据时代使得原本不相关的个别信息通过数据挖掘、 商业智能等技术实现有价值的信息关联, 各类数据的关联聚合可以准确地还原并预测个人的社会生活全貌, 并可追溯集成形成个人隐私信息, 如果缺乏必要的信息使用者的道德规范将会产生严重后果, 比如一些不道德的“人肉搜索” 等。有些企业为了追求经济利益最大化或快速发展而忽略了个人信息保护, 甚至有企业专门通过泄露、 出卖、 利用个人信息获利来换取企业发展的资金。虽然我国在2002 年公布了 《中国互联网行业自律公约》 , 倡议互联网全行业从业者加入本公约, 并要求成员“自觉维护消费者的合法权益,保守用户信息秘密, 不利用用户提供的信息从事任何与向用户作出的承诺无关的活动, 不利用技术或其他优势, 侵犯消费者或用户的合法权益” 。但执行力较弱, 信息行业的快速发展和大数据时代的到来, 已使网民的个人信息和基本权益受到严重的侵害。加之行业内部缺乏严格的管理规范和明确的处罚机制, 对其没有严格的约束力, 企业违法现象仍然普遍。
3.5 个人方面 大数据时代, 网络的普遍使用使得个人信息保护的意识缺乏。个人信息被泄露、 盗用和滥用, 与许多人的个人信息保护意识不强有直接关系,他们经常会在有意无意间将个人信息泄露出去。在办理一些必须提供自己个人信息的社会事务时, 没有与对方约定保密责任。在网络使用中, 没有防范地将个人关键信息随便输入, 不注意保护和删除, 就有可能因为商家的管理不善或者恶意泄露而被盗用。即使发现自己的个人信息被泄露且造成不良后果时, 也不愿或无法去维权, 助长了这种违法行为的泛滥。
4大数据时代个人信息保护的路径选择
4.1 完善相关立法 大数据时代信息整合与挖掘既可以对广大消费者开展合法的精准营销、 客户管理,也可以从事非法的身份窃取、 金融诈骗等。因此, 完善个人信息安全保护的相关立法已显得非常迫切。在现有的法律法规框架内, 一是完善刑法的规定。增加犯罪主体的范围, 除国家机关或者有关单位的工作人员外, 建议将一般的具有刑事责任能力的自然人纳入其中, 使该罪的主体为一般主体, 只要实施了该行为, 情节严重的都要处罚。明确情节严重的判断, 只有当非法提供或获取他人信息的行为足以对公民个人的人格权与财产权构成严重威胁或造成严重损失时, 才构成情节严重。对“严重” 程度的判断, 应当从信息量、 信息的重要程度、 信息的影响力、 行为的次数四个方面进行考虑, 使其进一步具体化。二是完善侵权责任法的规定。改变举证规则, 建议采取过错推定责任, 由侵权人证明自己没有过错, 如果证明不了的, 则推定其有过错, 从而减轻被侵权人的举证责任。规定惩罚性赔偿,对出售或者非法提供给他人以及窃取或者购买、采集、存储、 处理、 使用等非法获取个人信息的, 被侵权人的损失难以确定,侵权人因此获利的,按照其获利的2 倍进行赔偿, 从而加大侵权人的赔偿幅度。三是尽快出台 《个人信息保护法》 , 涉及个人信息保护的多个部门要积极推动立法, 或者设立专门机构推动立法, 尽快出台个人信息保护的专门、 统一法, 规范并协调其他相关法律法规的执行, 构建个人信息安全的全面保护。
4.2 健全行政监管 在大数据时代, 个人信息具有财产属性, 许多企业可能会对存储于云端的个人信息进行商业化利用, 从而造成用户的信息泄露和侵害。因此, 健全政府的行政监管就显得十分重要。一是健全监管机构。鉴于大数据时代侵犯个人信息主要是通过互联网进行, 建议将工业和信息化部作为全国个人信息保护的行政监管机构, 确立以工业和信息化部为主, 其他相关职能部门配合的监管体制。二是提升管理标准效力。建议将《信息安全技术公共及商用服务信息系统个人信息保护指南》 作为强制标准, 赋予其法律强制力, 一方面进一步研究出台标准采用的激励措施, 另一方面清理各类侵犯公民个人隐私的信息, 依法打击各类网络信息违法活动。三是严格监管制度。建立严格的质量保证和控制体系, 规范信息拥有者和掌握者的使用权利, 保障被使用者的合法权利。大数据时代, 应当明确存储于政府、 商业组织、 网络运营商等 “数据库” 中的个人数据完全属于个人隐私范畴, 公民对此享有使用知情权、 编辑管理权、 删除不当权等权利。四是建立专门测评机构。积极推动个人信息安全保护的第三方服务机构(专业取证机构、 司法援助机构等)的发展壮大, 为广大公民的个人信息安全保护提供专业化服务。五是加大处罚力度。由于法律的限制, 现阶段只能在法律规定的限度内进行相关处罚外,可同时加大处罚力度, 设立违法行为处罚“公示” 制度, 将违法企业计入“违法行为黑名单” 制度等方式,来有效遏制侵犯个人信息的违法行为。
4.3 强化技术保护 大数据时代, 技术手段是法律措施的重要补充, 个人信息的安全和保护应强化技术的作用。一是加大资金投入。国家和企业加大对大数据安全保障关键技术研发的资金投入, 提高研发环节资金投入比例, 或设立专项资金用于研发。积极鼓励个人信息安全技术的研发和创新, 从技术层面来保障信息安全, 提高我国大数据安全技术产品水平, 抢占发展基于大数据的安全技术的先机。二是提高技术手段。大数据时代, 大量的用户个人信息通过计算机网络进行存储和传输, 要堵住人为漏洞和技术本身的漏洞, 最好的方法是技术手段。要加强新产品、 新技术的研发应用推广, 不断完善信息系统安全设备诸如防火墙、 入侵检测系统、 防病毒系统、 认证系统等的性能, 采取访问过滤、 动态密码保护、 登录IP 限制、 网络攻击追踪方法的技术手段, 强化应用数据的存取和审计功能,确保系统中的用户个人信息得到更加稳妥的安全技术防护。三是加强技术规范。对那些重要和关键的数据信息进行加密保护, 只有通过身份授权或解密情况下才能进行访问和查看。同时, 规定多人管理重要和关键信息的制度, 限制个人信息掌握者的权限, 不能由一个人掌握全部信息, 使每个层级的相关人员只能掌握相应的有限信息。
4.4 加强行业自律 信息企业是大数据时代个人信息保护的重要一方, 加强整个信息行业的自律机制也是保护个人信息安全的重要环节。一是培育自律机制。我国应积极借鉴发达国家的经验, 通过强化自律机制弥补法律法规滞后的缺陷, 发挥行业自律的灵活性和专业化优势。应引导重点行业在个人信息保护领域制定相应的自律规范和自律公约, 重点加强对企业内部可能接触海量个人信息人员的监管和教育, 规范大数据的使用方法和流程。二是改变服务模式。为了应对大数据时代的到来, 信息企业要改变服务模式, 即把目前的由厂商把服务信息推向消费者的模式转变为消费要为了满足需求, 并经过消费者授权同意之后,主动从厂商获取服务信息的模式[12]。三是建立惩罚机制。加大行业内部的管理与处罚, 采取 “警示” “公示”“叫停 ” “黑名单” 等措施进行综合处罚, 使出问题的厂商失去用户市场, 在整个行业没有立足之地。构成犯罪的, 其负责人及其企业永久禁止进入该行业, 以此来促进行业的规范发展。
4.5 提高自我保护 大数据时代, 在保护个人信息的相关法律法规尚不完善的情况下, 提高保护意识, 加强自我保护也显得非常重要。一是提高安全意识。在全社会范围内普及个人信息安全的观念, 提高全民的信息安全意识。个人要学会自我保护, 尽可能防止个人信息无意泄漏。当他人不是因为合法理由或者特殊需要, 通过合法方式或程序获取公民有关个人信息时,个人应当拒绝告知。信息企业要创造尊重和保护用户个人信息安全的企业文化和经营环境。二是加强日常学习。个人平时还要学习一些与网络技术有关的知识和技能, 在打电话、 上网时通过一些先进技术的运用,采取加强对个人信息的保密措施或方法, 以防止泄露或他人通过网络技术盗取个人信息。三是养成良好习惯。在注册一些网站和服务的时候, 要尽量确认选择不提供个人信息;每次使用电脑网络的时候, 减少个人关键信息暴露, 避免在网上分享不必要的信息, 要删除那些跟踪网络行为的临时文件。在办理一些必须提供自己个人信息的社会事务时, 明确与对方约定使用规则、 保密责任以及法律责任。四时及时维护权利。发现自己的个人信息被泄露或被非法利用且造成不良后果时, 及时维权, 通知对方采取删除、 屏蔽、 断开链接等必要措施。造成损失的, 采取协商、 调解等方法解决,必要时可采取诉讼手段解决。定期召开国际数据学术会议, 扩大国际对科学数据共享的认识和深入探讨数据共享等方面的问题。
4 我国科学数据共享在大数据环境中的思考
以上这四种科学数据共享模式相互交叉和渗透,在大数据环境下继续存在并向深远发展。应该说我国的科学数据资源是十分丰富的, 近年来国家各有关部门相继成立了专门的信息中心, 如国家基础地理信息中心、 国家海洋信息中心、 国土资源部信息中心、 国家气象信息中心等等, 这些信息中心成为政府部门向社会提供公益性、 基础性服务的重要窗口。我国目前需要的是从政策法规、 技术规范、 组织管理各个层面保证科学数据共享工作的顺利进展。
首先, 科学数据共享离不开完善的科学数据管理政策法规的保障。对于法规政策的出台相比于欧美发达国家, 我国政府发布的程度还远远不够, 应对大数据的挑战, 政府必须出台更多关于科学数据共享和数据开放的相关法律政策, 把科学数据共享上升为国家战略的高度。科学数据难以共享成为科学研究的一大障碍, 在大数据环境下其带来的负面效应会被继续放大。我国的政府科研项目一直都没有数据公开和共享的要求, 科学数据零散地掌握在各个科研单位和研究小组内部, 这不仅不利于科研活动的展开, 对国家的科研投入来说也是一种巨大的浪费。因此, 必须由国家出面,建立科研数据共享的机制和环境。目前, 我国政府已经编制了 “科学数据共享工程建设规划” ,制定了《科学数据共享条例》 《国家科技计划项目科学数据汇交办法 》 《科学数据共享工程管理办法》 《科学数据共享工程试点遴选和检查评估办法》 和《科学数据分类分级共享及其发布策略》 等一系列数据共享的政策法规。
其次, 必须解决科学数据共享工作中产生的知识产权保护问题。我国在科学数据的产权归属与分享的层面上,长期存在着权益、 利益和责任不清的问题。这一方面挫伤了科学数据生产者的积极性, 减少了科学数据存量的增长;另一方面, 出现把科学数据当作本单位或个人财产的问题, 阻碍科学数据共享的有效运行。因此, 要对不同投资主体的科学数据进行产权界定, 保护数据投资者、 创造者的合法权益,同时规范产权交易,促进科学数据的广泛传播与使用。再次, 与国外发达国家相比, 我国科学数据共享的实践相对不足, 数据共享的技术与设施还比较薄弱, 共享水平和范围都有待加强, 特别是参与国际合作项目还不够广泛和深入。因而, 我国科技界应积极参与国际组织的相关活动和国际合作项目, 借鉴国外科学数据共享的成功经验和好的做法, 充分利用国际资源提升我国科学数据共享水平。只有这样才能提高我国科学数据共享水平, 让科学数据真正走出封闭的实验室,走向社会, 走向世界。
参考文献:
[1]赵国栋.大数据的定义和特征[EB/OL].[2013-05-07].ht-tp://blog.sina.com.cn/s/blog_537e497a01019pi3.html.
[2] 江 洪, 钟永恒. 国际科学数据共享研究[J].现代情报,2008,
(11):56-58.
[3]黄鼎城, 郭增艳.科学数据共享管理研究[M].北京:中国科学
技术出版社,2002:36-37.
[4]欧盟委员会副主席Neelie Kroes:希望每个欧洲人都参与数字
化[EB/OL] .[2013-05 -23] .http:/ /www.open-access.net.
cn/5f00653e83b753d652a86001/20125e74/46708/
6b2776df59d454584f1a526f4e3b5e2dneelie -kroes -
5e0c671b6bcf4e2a6b276d324eba90fd53c24e0e-65705b575316.
[5]刘润达,赵辉,李大玲.科学数据共享平台之数据联盟模式初探[J]. 中国基础科学,2010,12(6):27-32.
[6]地震科学数据共享管理办法[EB/OL][2013-05-07].ht-tp:/ /data.earthquake.cn/policy/gxbf.htm.
[7] 浙江建成全国首家省级地理空间数据平台[EB/OL].[2013-0607].http:/ /kjsb.zjol.com.cn/html/2013-02/22/content_21927.htm.
[8]张永强,孙燕,易善桢,李丹.构建数字城市地理空间数据共享机制[J].计算机技术与发展,2007,17(3).