《选择退出机制重估我国网络个人信息保护》由会员分享,可在线阅读,更多相关《选择退出机制重估我国网络个人信息保护(13页珍藏版)》请在金锄头文库上搜索。
1、 “选择退出”机制:重估我国网络个人信息保护 冉高苒 范玉吉 华东政法大学传播学院 摘 要: 随着“大数据”时代的来临, 我国对于个人信息的关注也逐渐加强。特别是在个人信息的流通与保护问题上, “选择进入”机制成为主要的规制方式。但在某种程度上, 传统上的“选择进入”机制已经难以应对当下网络、信息经济的高速发展。一方面, “选择进入”机制面临适法性难题, 其核心原则“知情同意”原则面临严重的有效性质疑。另一方面, 传统机制也给信息资源的流通与利用带来了负面影响, 不利于个人信息公共性、资源型价值的提升。与之相反, “选择退出”机制在制度逻辑上更符合商业市场思维, 更适应当下的信息数据处理技术环
2、境, 也更有利于大众克服对于信息数据的“心理恐惧症”。不可否认的是, 单一的“选择退出”机制同样面临许多难题与挑战。所以, 一套两者相结合的“双轨制”保护体系将对我国个人信息的保护与价值利用产生重要的理论与现实意义。关键词: 个人信息保护; 信息资源; “选择退出”机制; 作者简介:冉高苒 (1991-) , 男, 山西太原人, 华东政法大学传播学院传媒法制专业硕士研究生;研究方向:传播法;作者简介:范玉吉 (1969-) , 男, 山西黎城人, 华东政法大学传播学院院长, 教授;研究方向:传播法与传播职业伦理。基金:国家社科重大项目“信息服务与信息交易”法律制度研究 (项目编号:13&ZD1
3、78) 的阶段性成果Opt-out:Revaluation of the Online Personal Data Protection in ChinaRAN Gao-ran FAN Yu-ji East China University of Political Science and Law School of Communications; Abstract: In the era of big data, Chinas attention to personal data has gradually strengthened.Especially in the circulation
4、 and protection of personal data, opt-in mechanism becomes the main way of regulation.But to some extent the traditional opt-in mechanism has been difficult to deal with the rapid development of information economy.On the one hand, the opt-in mechanism is faced with the problem of appropriateness, a
5、nd its core principle-principle of informed consent is seriously questioned.On the other hand, the traditional mechanism also has a negative impact on the circulation and use of data resources, which is not conducive to the promotion of publicity of personal data and resource-based value.On the cont
6、rary, the opt-out mechanism is more in line with the commercial market in terms of the system logic, but also adapts to the current data processing technology environment, which is more conducive to the public to overcome the psychological phobia of information data.At the same time, it is undeniabl
7、e that a single opt-out mechanism still faces many problems and challenges.It is of great theoretical and practical significance to try to construct a set of double-track personal data protection system which combines the protection and value of personal data.Keyword: Personal data protection; Infor
8、mation resource; “Opt-out” mechanism; 一、引言随着“大数据”时代的来临, 个人信息的收集与使用活动逐渐成为信息产业或与之相关的商业活动的“营销之目的”, 个人信息开始了可以被控制、被价值化的进程。郑成思教授首次在我国提出“信息产权”的概念, 强调“随着信息革命席卷全球, 人类主要的财产, 或者说生产资料已经不再是第一次浪潮中的土地、第二次浪潮中的生产资料, 而已变成信息”, 而个人信息在其中扮演了重要的角色。随之而来的, 针对个人信息的收集、使用、流通等一系列个人信息保护机制先后被提出, 其中就包括“选择进入” (Opt-in) 与“选择退出” (Opt-
9、out) 。所谓“选择退出”就是指当事人之间并不存在许可合同, 在法律规定的特定情形下, 如果权利人未声明不得使用, 即视为许可他人使用其个人信息的许可形式。与“选择退出”相对应的则是“选择进入”机制, 即收集、使用他人信息之前必须获得权利人的同意, 否则, 将被视为侵权。后者便是包括我国在内许多国家所采用的传统的“知情同意”构架原则, 即在网络机构收集用户个人信息之前, 需要告知用户有关收集、处理与使用的情况。只有个人信息的权利人做出同意的意思表示之后, 才能对这些个人信息进行处理与利用。相应地, “选择退出”则要求权利人做出选择退出的决定, 如果权利人没有拒绝授权, 即意味着许可。本文立足
10、当下网络环境, 结合个人信息使用与保护的现状, 分析“选择进入”机制的不足与适用性困境, 重估“选择退出”机制对我国网络个人信息保护的价值和意义, 并尝试性提出构建“双轨制”个人信息保护体系。二、“选择进入”机制:信息流通与保护的网络困境在强大的网络传输、运算与储存技术的推动下, 信息逐渐成为市场的重要交易对象。当信息不再单纯是信息本身, 转而成为一种“能取得利益的利益, 能带来价值的价值”时, 就完成了其价值化的过程。大量信息尤其是个人信息的收集、流通与利用成为信息创造其自身价值的根本途径与方式。在网络环境中, 个人与信息之间介入了具有技术和资本优势的不同市场主体, 降低了个人对信息的控制权
11、, 而处于强势地位的网络服务提供者 (ISP) 的趋利性也要求它们不断地获取信息中更高的效用价值、费用价值与效益价值以提高其市场竞争性, 甚至获得垄断地位, 进而成为信息控制主体。双重作用之下的结果便是对个人信息主体的隐私造成严重冲击, 具有特定指向性与敏感性的个人信息不断被挖掘与交易, 为个人的生产、生活带来侵扰, 甚至引发“寒蝉效应”, 使信息主体遭遇不公或歧视待遇。为了保护个人信息, 各国纷纷制定各类法律以应对商业与技术带来的安全挑战。其中以美国的消费者隐私权利法案与欧盟的数据保护通用条例最为典型。而我国也在针对个人信息的问题上, 制定了一系列法律法规予以保护与规制, 且与欧盟数据保护通
12、用条例保持一致, 也采用了传统的“选择进入”机制, 秉承“知情同意”原则。这一机制在多项具体法律法规中都有所体现:网络安全法第二十二条规定“网络产品、服务具有收集用户信息功能的, 其提供者应当向用户明示并取得同意”;网络信息保护决定第二条规定“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息, 应当遵循合法、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意”;网络交易管理办法第十八条规定“网络商品经营者、有关服务经营者在经营活动中收集、使用消费者或者经营者信息, 应当遵循合法、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经被收
13、集者同意”这样一系列的规定基本确立了我国以“选择进入”机制为基本构架的个人信息保护体系, 但却也暴露出了一系列不足与适用难题。(一) “选择进入”机制的适法性困境首先, 传统的“选择进入”机制要求信息收集机构在进行相关的收集处理工作之前, 与个人信息主体达成意思表达的一致, 即形成授权许可的合意。但具体的情况是, 不同主体对于“个人信息”的定义域内涵界定不同, 特别是随着信息技术的发展, 大数据对于特定信息的辨别、确定能力不断提升, 什么样的信息可以被认定为个人信息的争议不断扩大。欧盟数据保护通用条例基本延续了传统指令“能够直接或间接识别特定自然人”的定义。相较而言, 我国网络安全法将个人信息
14、定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”, 并列举了一些具体类型, 包括自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。网络信息保护决定则将其定义为“能够识别公民个人身份和涉及公民个人隐私的电子信息。”这样的定义方式都强调传统的“关联性”与“识别性”原则, 故都将随着“大数据”技术的发展陷入个人信息边界模糊范围不断扩张而无法确定的怪圈。其次, “依赖数据挖掘的公司可能会发现, 由于他们不 (并且不能) 提前知道他们可能发现什么, 所以不可能提供足够的通知”。因此, 他们只能尽可能扩大信息收集的范围, 并且将重点放置于个人
15、信息的后续挖据与价值开发。“选择进入”机制要求信息收集机构将收集范围与目的予以提前通知以获得信息主体的许可, 显然缺乏对于商业逻辑与可行性的考察。如果“许可”不仅涵盖初级的个人信息, 还包括构成数据基础的任何非个人信息和提取的而是新知识 (一旦创建) 将被作为个人信息进行“授权”, 那么个人信息的范围可能没有限制;如果不是, 针对个人信息的数据挖掘可能在很大程度上逃避管理监督。而信息数据财产性、资源性的不断加强, 单纯依靠传统的“信息最小化原则”既不利于资源利用, 也不便于信息保护的实际操作, 同样也受到不断地质疑与挑战。再次, 在个人信息保护的责任确定方面, “选择进入”机制同样备受质疑。在
16、“去中心化”的信息市场当中, 信息主体面对的是多元的信息收集、处理、交易主体, 而“选择进入”机制只能单一规制“合同”双方, 后续的流通环节、使用环节的信息保护责任无法划定。另外, “选择进入”规则使得个人信息主体在责任承担上“一劳永逸”, 所有的法律责任都因“知情同意”而归属用户一方。事实上, “由于用户缺乏潜在的相关性知识, 因此他们不能故意同意使用其信息进行数据挖掘或大数据分析”, 依照“选择进入”机制, 用户在传统机制中天然的失去了信息保护的权利, 而机构则天然的获得了免责。(二) “知情同意”规则的有效性幻觉“选择进入”机制的重要组成部分就是“知情同意”原则, 而“知情同意”在当下的大数据技术的挑战下也开始备受质疑。一方面, 从规则的实际效用来看, 信息收集者为了获得用户的授权, 免除在个人信息使用方面的一系列责任, 在难以预知的情况下罗列出庞杂的“信息声明” (或者隐私声明) 。而用户则需要在缺乏相应法律知识的背景下, 阅读、理解并做出相应的许可, 给用
