共享经济中个人信息保护的民事立法研究
孙国程[1]
一、共享经济面临的民商事法律问题
共享经济是脱胎于实践的一种全新经济模式。共享的理念一经获得共识,就迅速在美国、欧洲等信息技术发达的国家演变成了声势浩大的社会实践。在借助互联网的广泛普及的背景下孕育而生的新共享经济显示出了强大的发展趋势和潜力。据普华永道(Price Waterhouse Coopers,PWC)预测,到2025年,全球共享经济产值可以达到2300亿英镑,产业规模和发展潜力巨大。但从目前世界共享经济的发展,特别是中国的共享经济模式的不断创新,这种预测显然过于谨慎。共享经济带来了全新的生产模式、消费模式和企业运营模式,成为不可忽视的未来全球经济发展趋势。[2]
(一)共享经济对个人信息安全保护的挑战
随着互联网和大数据产业的发展,个人信息利用的实践形态出现了大量的创新,个人信息保护和治理的制度模式也面临着新的挑战,传统的私权治理模式必须反思和转型。在大数据时代,个人信息成为一种核心生产要素,对其设立私权,的确可能带来权利过于碎片化的问题,降低交易效率,提高交易的成本。但是,无孔不入的个人信息收集和滥用等行为所带来的危害也是极具破坏性的。以共享单车为例,每天我们利用手机的移动平台使用其产品,我们的出行记录便会在云端数据存储,这个时代信息与每个人息息相关,它产生的大数据让个人信息无处藏身,如果不加以防范,我们将生活在一个毫无个人空间、毫无隐私可言的“透明”世界里。然而,离开了对个人信息的保障,法治也无从谈起。
(二)共享经济中个人信息保护存在的问题
共享经济建立的基础是互联网与大数据,会形成庞大的数据信息库,这些信息当中较多涉及社会公众个人的隐私信息,包括个人姓名、家庭住址以及其他较为保密的信息。共享平台在搜集到这些信息之后,应当对这些进行保密并尊重公众隐私,保证不外泄,保障个人信息安全。对个人信息的维护也是对公众人身财产安全的维护,同时更是对公共安全以及社会利益的一种保障。保护个人信息是信息社会健康发展的基础,能够使个人信息主体独立的生活,免于受到骚扰,从而实现“共享经济”所应追求的有序、安全与稳定。个人信息的良性使用是互联网经济的基石,更是共享经济成功必不可少的要素。互联网行业和产业发展的基本要素都依赖于大量的信息的收集和使用。共享经济时代个人信息的商业价值被发现和挖掘,如何促进个人信息的共享与有序流动,如何在行业、产业发展与个人信息保护之间寻求平衡,关乎着电子商务等互联网行业与产业的健康、有序、高效发展。
在信息社会,个人信息的电子化管理渗透到日常生活的方方面面。进行网络购物、快车服务、共享单车等业务都会要求用户提供部分真实注册信息,如身份证号、手机号码、地址等,一些APP应用软件经常会读取用户的手机通讯录、相册、短信内容、位置定位等信息。一些机构在办理业务和提供服务的过程中,大量收集其实与业务基本无关的各种私人信息。更有甚者通过绑定其他账户进行个人注册,从而扩大信息收集范围。另外,电商通过监控用户电脑的Cookie数据获知用户的搜索和交易记录,来推测这些潜在客户的购物需求,推送所谓个性化营销广告,骚扰消费者。再者,对消费者信息的肆意使用、非法买卖之风愈演愈烈,甚至形成了灰色产业链。一些机构及其工作人员,违反职业道德和保密义务,将大量个人信息出售或者随意泄露给他人,获取非法利益,这些都是我国目前网络信息完全领域一直以来的问题,在共享经济背景下,这些问题便被无限放大。
现实中,往往出现平台经营者于追求营业效益的固有偏好,往往倾向于不征得消费者同意而擅自处理消费者个人信息。经营者在谈判力量与获取资讯能力等方面明显强于消费者,按照日本学者青木昌彦的阐述,经营者与消费者之间存在非均衡(unbalanced game)关系。[3]
具体来说,针对共享经济时代的到来我国个人信息保护领域存在以下问题:
1.基本法的缺失
由于诸多原因我国个人信息保护立法工作明显滞后于时代和社会的发展。直接保护个人信息安全的法律数量相对较少,有关条款散见于我国《宪法》《民法总则》《行政诉讼法》《刑法修正案(七)》等法律、法规和最高人民法院的司法解释中,并不系统。
目前,我国民法对个人信息保护主要采取的是分散保护的模式,如《民法通则》第99条、第100条、第101条分别规定了姓名权、肖像权等,2009年通过的《侵权责任法》中,隐私权便被列为“民事权益”。由于缺乏个人信息权相关立法,在某些具体案件中,法院只能借助隐私权来保护个人信息,个人信息无法受到独立的保护。然而,无论权利外延还是权利构成上,二者差异还是比较大的,个人信息所蕴含的人格、尤其是财产利益是隐私权无法承载的。[4]另外,《刑法修正案(七)》明确规定非法出售个人信息犯罪,但刑法保护是对于公民权利保障的终极选择,需要民事立法与之协调,民事立法中对个人信息权的规定缺位,很可能会使刑法保护成为“空中楼阁”。
近年来我国政府对公民的个人信息保护的重视度日益提高,《刑法》(修正案)、《消费者权益保护法》(修正案)及《网络安全法》(草案二次审议稿)中均新增了对个人信息保护的规定,《信息安全技术公共及商用服务系统个人信息保护指南》等指导性国家标准的出台,我们可以看出行业机构也通过推行自律标准等方式加强对个人信息的保护,但是,当下我国初步构建的个人信息保护体系,之于个人信息滥用问题依然严峻,数据交易的灰色链条盛行,严重影响公民的正常生活和社会秩序,制定统一的《个人信息保护法》的呼声得到多数学者肯定。
2.个人信息权利属性的问题
在大数据时代下,需了解我们的个人信息到底是被何人收集、在什么时候什么人以什么方法可以访问这些信息、在什么情况下他人可以依法强制获取这些信息等。这些问题都需要回归到个人信息权的本源问题:个人对其个人信息是否享有权利?如果享有,这种权利性质如何?齐爱民教授认为,个人信息权是指本人依法对其个人信息所享有的支配、控制并排除他人侵害的权利。[5]该定义以支配、控制、排除侵害等角度在定义中概括个人信息权的权能,既反映了个人信息权的积极权能也体现了消极权能。事实上,关于该权利的称谓,仍有许多不同的观点,有个人信息权、个人数据权、资料隐私权等。这些分歧大多基于学者们对我国当下个人信息权利的认识与其所参照国外立法与理论的差别。
关于个人信息权的法律属性有多种学说,概括而言,主要有以下几种:
第一,宪法人权说。国际组织的立法中,将个人信息权多被定义为一种基本人权,2000年的《欧洲人权宪章》对个人信息权有所提及。同时,许多欧洲国家的个人信息保护的法源也为宪法中对于人权保护的要求,美国的个人信息保护是基于的隐私权,而隐私权也是宪法中的人权范畴,同时,我国也有学者认为,个人信息权利应视为“一种宪法基本权”。
第二,一般人格权说。不少学者同时认为,个人信息权属于一般人格权的范畴。马俊驹教授曾经指出,“个人资料体现的人格利益远远超出了具体人格利益的范围,这也是现有法律框架无法对个人资料提供切实、充分保护的根本原因。个人资料所体现的利益是人格尊严、人性自由、人身完整等基本利益,属于一般人格权范畴”。
第三,隐私权说。隐私权理论经历了从“独处权说”到“有限地接近自我说”再到“个人信息控制权理论”的发展过程。在这个过程中,个人信息逐步成为隐私权的保护的内容之一。当今,美国法上隐私权的保护范围就包括生育自主、家庭自主、个人自主、信息隐私四大方面。[6]
第四,新型权利说。人格权在权利内容上并不直接表现为财产利益,在表现方式上一般表现为消极的不受侵害的权利,在行使方式上与人身密不可分且不能成为交易客体,在救济方式上主要采取事后救济的方式实现。而个人信息权可直接表现为财产利益,以积极方式行使,个人信息可用以交易,救济方式结合事前与事后救济。因此,有学者认为个人信息权既不是人格权也不是财产权,是一种新型的复合性权利,具有人格和财产的双重属性。
第五,独立人格权说。是笔者颇为支持的一种观点,人格权是一种不断发展的权利。庞德(Roscoe Pound)所指,“人格权这一权利范畴一直在形成之中,至今也没有跨过这一阶段”。随着信息时代的发展,个人信息权的人格利益与财产利益的属性不断得到认可。在社会生活中,对个人信息保护的挑战与要求亦越来越高。作为一种独立人格权的个人信息权既保护个人信息的人格利益,也保护财产利益。一方面,个人信息权具有传统人格权的消极防御的一面,当个人信息被不当利用时可主张排除妨害、消除危险、赔偿损失。另一方面,基于个人信息的财产价值,该权利也有积极的面向,行使该权利可直接地支配、控制个人信息,在一定条件的限制下也可将个人信息用于交易。其积极的面向与其人格权的属性也并不相悖。故该学说颇具合理性。
从界定上述几种对个人信息权的法律属性,就能看出对于个人信息权界定的难度之大,当前对上述权利的关系的厘清,是我国个人信息立法必须应对的一大挑战。
3.行业自律发展的不足
行业自律模式,是由公司或者产业实体制定行业的行为规章或行为指引,为行业的网络隐私保护提供示范的行为模式。以美国为例,美国的行业自律模式主要有建议性的行业指引、网络隐私认证计划和技术保护模式。同时美国采取的行业自律,并不是完全放任自流,而是政府有紧密的沟通,也可以说是由政府进行引导,管控与自由相结合。
行业自律模式的优势在于:第一,科学技术永远不会停止前进的脚步,当出现一个新的行业即新产品时,行业自律模式能够灵敏地根据市场做出反应并进行调整,从而发挥重大作用。第二,在一定的程度、范围内确保信息交流的、利用的合法顺畅,对于单车、快车等“共享经济”产品具有积极的促进作用。第三,不同行业具有不同的特征,法律满足各种行业的需求并不现实,而行业自律模式则填补了这样的漏洞,能够更好地针对其特性进行规范。
当前共享经济的发展,更加需要互联网机构不断加强行业自律,是对个人信息安全的源头治理,各大互联网企业需出台严格的个人信息保护机制,这不光是对消费者负责的一种态度,更是为当前互联网大数据个人信息安全的严峻形势其所应当承担的一种义务,只有国家立法和行业自律才能从根本上解决个人信息安全这一问题,为共享经济的推广和发展不断助力。
二、国外个人信息保护立法模式比较研究
世界各国的个人信息保护立法模式各有不同,其中德国和美国的立法模式和价值取向各有特色,颇具代表性。美国、德国的立法模式的不同根源于两大法系观念的分歧:重尊严还是重自由。但是,从现阶段我国“共享经济”的发展趋势来讲、无论是偏重尊严还是自由,说到底都需要对人们人格利益加以保护。所以我国在未来制定自己的个人信息保护法时应对两国各自优缺点的客观分析和背后的立法精神并加以吸收与借鉴。
(一)德国统一立法模式
统一立法模式是指用一部系统的法律来规范信息利用主体对个人信息的处理行为。德国采取的立法模式便是统一立法模式,从世界各国立法模式来看,统一立法模式为越来越多的国家所采纳,其特点为统一立法模式对公共部门和非公共部门采取同一标准,有利于保证法律适用的统一性。
德国的个人信息保护法最为典型,对全部个人资料给予同等保护,充分考虑到个人信息保护的统一性,有助于在司法上采取同一标准,是大陆法系国家最有代表性的一部个人资料保护专法。
1.德国个人资料保护的宪法基础
德国宪法法院在1983年《人口普查法案》判决依据德国《基本法》第1条第1项的“人性尊严”和第2条第1项的“人格自由发展”第一次使用了“信息自决权”这一概念,以宪法判例的形式使信息自决权成为德国个人资料保护的宪法依据。德国《基本法》第1条第1项规定:“人性尊严不受侵犯”,第2条第1项规定:“在不侵害他人权利和违反宪法秩序或公序良俗范围内,任何人均有自由发展其人格的权利。”个人资料属主对其个人资料的交付与使用的自由决定的权利应该得到法律的确认和保护,这种权利就是“信息自决权”。信息自决权包含了具体三重含义:(1)法律保护个人资料的权利基础一般人格权;(2)只有法律能对个人资料权利做出限制;(3)严格的、具体的、明确的目的限制是个人资料收集的基本原则。[7]
2.《联邦个人资料保护法》
德国1977年生效的《联邦个人资料保护法》,经过长期的适用和反复修订,其基本原则、本人权利、监督机关和损害赔偿等制度已日臻成熟,在理论与司法界得到了较高的肯定。德国《个人资料保护法》体系完备,第一章是“总则”,第二章对公权力机关的信息行为进行规范,第三章对市场主体的信息行为进行规范,第四章和第五章列举一些不区分公私领域的特殊规定,明确地区分了基于行政侵权行为发生的损害赔偿和基于民事侵权行为发生的损害赔偿,分别规定了不同的归责原则和赔偿范围,完整而系统地规定了个人信息侵权的监督机制。
3.德国一般人格权保护模式
德国的一般人格权制度是建立个人信息保护的重要权利基础。1954年,德国联邦最高法院以“读者来信案”为契机,根据德国《基本法》第1条和第2条将“个人的要求尊重其人之尊严和要求发展个人人格的权利”作为一项一般人格权,通过司法判例弥补了一般人格权保护的重大空白。1983年,德国宪法法院在《人口普查案》判决再次扩大使用了“信息自决权”的范围,从此信息自决权成为德国公民个人信息保护的宪法依据。德国法的“信息自决权”根植于德国宪法有关人格尊严的规定,宪法判决关于信息自决权的规定奠定了个人资料保护的宪法基础。此后,德国联邦最高法院又通过“骑士案”等四个经典判例承认了对人格损害的金钱赔偿,赋予每位公民对其隐私言论的“自决权”,最终在德国法上确立起了一般人格权制度。
总的来说,德国人格权制度逐渐由具体人格权向一般人格权过渡,通过建立一般人格权对需要得到保护的而现行法律条文没有规定的人格利益和伴随着不断进步信息技术的发展而产生的新型人格利益进行保护,从而弥补具体法律制度上相对滞后的本质缺陷。
4.德国统一立法模式的有益借鉴
德国首次诞生了第一部以《资料保护法》命名的个人信息保护立法,个人信息的保护在德国法学界也一直是学者们较为关注的问题,其特点在于立法实践中区分对待市场主体和公权力机关的信息行为的立法模式,从而有别于欧盟1995年《资料保护指令》将市场主体和公权力机关信息行为混淆的立法模式。德国联邦个人资料保护法是大陆法系国家当中极具代表性的一部个人资料保护专法,它采取以信息自决权为宪法基础、一般人格权为民法基础的统一立法模式对个人信息给予保护。在立法体例上,德国联邦资料保护法采取的是“总分总”的格局,对公私领域的信息行为均加以规范。即首先界定适用范围、术语含义和基本原则,该部分内容对公、私领域同样适用。继而分章规定国家机关和非国家机关在个人信息收集、存储、处理和利用方面的要求。最后再统一规定法律责任机制。[8]
德国的统一立法模式对后来整个大陆法系的个人信息立法都产生了重大的影响,多数大陆法系国家仿效德国统一立法模式。甚至对个别的英美法系国家同样有较为深远的影响,譬如连英国立法模式也颇有德国个人信息保护法的影子。虽然统一立法模具有个人信息保护的统一性的特色,也区分市场主体和公权力机关的信息行为,有助于在司法上标准的统一,但德国政府对机构行业并没有雄厚的信心,没有采取自律模式,这使完全依赖国家权力的他律效果有所欠缺,在应对瞬息万变的信息领域,特别是“共享经济”盛行后,给信息保护方面带来新的挑战,所产生反应也相对不够灵活。
(二)美国隐私权保护的分散立法模式
作为另一种个人信息保护立法模式的极端,美国立法模式是分散的,美国对个人信息的保护主要体现两个方面:一方面是立法保护,立法保护主要适用于公共领域,即通过立法来控制政府机关收集、处理和利用个人信息,以隐私权的保护来维护个人信息的自由;另一方面则利用行业规范来保护私领域中对个人信息侵犯,即以行业自律的方式在个人信息保护与个人信息流动之间找到平衡。
1.《隐私权法》美国隐私权的立法保护
美国的隐私法起源于Louis Brandeis和Samuel Warren在《哈佛法律评论》上发表的《隐私权》一文。然而,一般都承认:经过一个世纪的法制发展后,它对今日美国司法实践价值甚微。随着信息社会的到来,美国隐私权由消极隐私权向积极隐私权转化,产生了信息隐私权这一偏向于积极隐私权的概念。信息隐私权指个人针对其信息所享有的权利,强调的是个人对其信息的决定权、支配权和控制权。[9]1974年美国通过了《隐私权法》,1988年该法进行了修订,一般称之为计算机资料比对法案,与1966年《联邦信息公开法》共同成为保护个人信息隐私两大重要的法律。然而由于《隐私权法》仅仅只能适用于政府部级以上的机构,且没有一个常设机构来监督行政机关,导致了《隐私权法》在执行力度上较弱,存在不足。[10]
2.行业自律模式
行业自律是笔者认为美国模式中最值得借鉴的,具有灵活的技术标准语和针对性强的规则两大优势,在前文中已有介绍,不再赘述。但是行业自律模式同样也存在不足:(1)强制力缺乏,行业规范没有国家强制力保证执行,又缺乏纠纷解决机制和司法保障;(2)覆盖性不足,由于行业自律是以企业的自愿加入为前提,虽然很多大企业都参与了行业自律,但很多企业仍然可以选择不加入;(3)消费者往往得不到损害补偿,因为处罚往往是取消资格,然而这样对于消费者本身的损害是于事无补的;(4)重视财产权忽略信息权,行业自律规范往往首要目的是保障自有信息的“财产权”;(5)实际执行效果不如人意,很多企业在防护措施和管理制度方面都十分欠缺。[11]
三、我国的个人信息保护民事立法模式的探讨
目前我国涉及个人信息保护的规定散见于宪法、刑法、民法等法律条文和一些部门或政府规章中,既存在彼此衔接不上,同时抽象缺乏可操作性,使得法律实施效果不如预期。[12]
我国在很长一段时期里是把公民的个人信息作为隐私权来保护的。在我国,“个人信息”第一次作为一个法律概念出现,在2009年2月28日通过的《刑法修正案(七)》,该法案第7条增加了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”,却仍没有对“个人信息”作出法律上的定义。直到2012年11月我国首个个人信息保护国家标准,才由工业和信息化部颁布,见于指导性技术文件《信息安全技术 公共及商用服务信息系统个人信息保护指南》,将个人信息定义为“为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据”[13]。该标准最显著的特点,就是将个人信息分为个人一般信息和个人敏感信息。
近年来,我国个人信息保护的相关研究和探索颇有进展,国内学者已有一些创新型研究成果。如喻名峰认为,应当采取三条路径进行个人信息保护,即明确个人信息的法律边界、完善个人信息保护的立法体系、优化个人信息保护的执法机制[14];刘小霞、陈秋月重点从意识培养、立法监管、技术应用三方面提出了构建个人信息安全保障体系的构想[15]。总体来看,新时期我国如何保护个人信息还处于不断探索阶段。从研究角度看,在立法方面进行了很多探索,但总体情况依旧不容乐观,多是学习、借鉴国外的经验,提出的建议围绕呼吁国内立法和行业立法展开,而涉及“共享经济”时代个人信息保护更是少之又少。
如上所述,我国目前分散的以保护隐私权等一般人格权的法律规定难以有效地预防和打击滥用个人信息等违法行为,滥用个人信息已经成为严重的社会问题。因此,我国应当立足自己国情与法律传统,吸收、借鉴国外的立法经验,结合我国目前“共享经济”发展迅速的特点,尽快出台一部具有中国特色的《个人信息保护法》。
如前文所述,为了对各种类型个人信息处理行为进行规范、强化对个人信息的全方位保护,我国急切需要出台一部应对当前日益复杂的保护个人信息问题的基本法律——个人信息保护法。笔者在此不赘述体例上创新如何,且针对共享经济的盛行加剧大数据时代下的个人信息保护的压力,这一具体情况,对未来个人信息保护法中的互联网大数据信息保护给予具体建议。
1.明确信息收集的主体责任
实践中,收集个人信息的主体大致包括自然人、企业、公权力机关三类。由于个人信息与财产利益关系日益密切,是一种新型的企业资源,收集和分析个人信息对企业决策和经营规划的影响越来越大,已经成为企业经营的重要环节之一。因而存在个人信息被恶意披露甚至出现非法买卖个人信息的灰色链条等种种现象,“注册信息买卖”就是典型例子,我们生活中,时常出现垃圾短信、推送等,费解它是如何掌握自己信息时,很可能便是你在某个互联网平台、APP上的注册信息被泄露了。未来“共享经济”不断地发展,单车、快车应用处理的信息无比得庞大,如对其信息的利用不加以规制,相信将来相应的案例也必然会出现,防患于未然,是法律本质功能之一。
另外,公权力机关在履行职能过程中也必然会涉及对个人信息的收集,公权力机关收集的个人信息遭到泄露,对公民个人权利的危害程度以及救济难度更大。因此,应建立专门的信息使用登记备案制度,明确信息收集的主体责任。对于公民的个人信息,不论其是否具有财产利益,都应做到“专收专用”,防止信息收集主体对信息的过量收集和滥用。
2.确立个人信息权为独立人格权
美国和德国保护个人信息权益均从一般人格权或类似于一般人格权的隐私权出发。与美国不同的是,欧陆国家是将个人信息权的内容在一般人格权中逐渐具体化。
笔者个人更倾向于独立人格权这一学说,作为一种独立人格权的个人信息权既保护个人信息的人格利益,也保护财产利益。一方面,个人信息权具有传统人格权消极防御的一面,当个人信息被不当利用时可主张排除妨害、消除危险、赔偿损失。另一方面,基于个人信息的财产价值,该权利也有积极的面向,行使该权利可直接地支配、控制个人信息,在一定条件的限制下也可将个人信息用于交易。其积极的面向与其人格权的属性并不相悖。个人信息无可争议地具有一定的经济价值,也应属于能商品化的人格特征。随着人格权商品化理论的认识与发展,个人信息权具有如肖像权一样的积极权能并不过分。
综观个人信息权属性的主流学说,宪法人权说并不符合我国国情,一般人格权说忽视个人信息权的特性及发展需求,隐私权说更类似是美国法语境下的一般人格权说,财产权说与新型权利说均混淆了财产利益与财产权的区别并忽视人格权商品化的新发展。唯有独立人格权符合个人信息权的内在属性。
以大数据为依托的共享经济时代,社会情况已经发生了深刻变化。个人信息裂变传播方式已经成为信息传播的主要方式。在当今这个去中心化开元、共享的大数据时代,每个人只要拿起手机,都成为类似报纸、电台的传播媒介,使信息的流动呈几何增长的趋势。个人信息权以其独特的范围、内容,以其支配、控制、排除他人侵害的各项权能对各类个人信息在收集、存储、流通、交易的全方面予以保障,独立人格更能适应与时代发展的需要。尽快确立作为独立人格权的个人信息权,是大数据时代下保护个人人格的必然要求。
3.制定行业标准的主要内容
当然要想加强“共享经济”下个人信息的保护,仅靠立法方面是不够的,效法美国,行业内部也需制定相应的标准与立法层面相配合。各行业中的经营者作为个人信息利用的重要主体,在法律的支持之下行业自律可应对复杂的行业信息管理,属于治标也治本的做法,同时也能节约较多的司法成本。对于企业来说,没有信息,就没有市场。建立健全信息行业的自律机制,有利于优化信息行业发展环境,促进信息技术与企业的良性互动与共同发展。同时应加强重点行业的自律意识,加强对个人信息的行业性保护力度。实践中观察,目前数据产业中已经形成了一些可供借鉴的行业标准化做法,包括一些企业最佳实践,以下列出框架作为借鉴。对于企业来说,没有信息,就没有市场。建立健全信息行业的自律机制,有利于优化信息行业发展环境,促进信息技术与企业的良性互动与共同发展。应加强重点行业的自律意识,加强对个人信息的行业性保护力度。
4.全面落实用户授权机制
现实中由于个人信息利用存在众多的环节,最开始的注册授权往往不能覆盖全部利用环节,因此自律性规定中的原则性规定,需要有细化到每个环节的具体授权。在数据利用过程中,授权通常发生在信息初始采集时,但当后续使用需求与初始授权不匹配时,需要使用者采取相应的核实授权机制确认后续利用的授权。就如共享单车,如果对消费者的大量行程信息进行利用,制定个性化出行安排或者出售给专车公司,虽然一定程度上方便消费者,但这仅限于消费者同意的情况下,如果未经消费者本人同意授权使用,也构成对个人信息隐私的侵犯。
同时企业在与上下游行业展开合作时,也可以通过建立相应的机制来确保授权的全面有效性。如共享单车,如果对消费者的大量行程信息进行利用,制定个性化出行安排或者出售给专车公司,虽然一定程度上方便消费者,但这仅限于消费者同意的情况下,如果未经消费者本人同意授权使用,也构成对个人信息隐私的侵犯。
对于上游的信息提供者进行资质审核,对其数据安全保护能力、数据来源、信息源头业务合法性等方面进行全面评估,选择接入符合特定条件和资质的信息提供机构;在各项业务中对信息提供者进行合法性审查,同时与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务,如信息使用者必须对个人授权书中的涉及个人信息保护的内容进行提示,如加黑、加粗处理,从而起到显著性提示的作用。
对于下游的信息使用者,也可以对商户的用户信息安全保障机制及能力等各方面情况进行尽职调查,以评估是否与其合作,从而尽可能确保用户信息输出到合作商户后的用户信息安全。
5.严格规范内部管控流程
企业在收集和存储个人信息过程中,应建立严格内部制度,采取有效技术方法保障信息安全;对其工作人员查询个人信息的权限和程序做出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询信息人员的姓名,查询的时间、内容及用途;对信息内部信息查询进行全方位监控。保证信息从采集到利用,对每一项数据的访问使用都必须经过特定的审批流程并保留相关记录信息,避免任何非必要的用户信息接触行为。此外,机构持续根据业务实际情况,不断根据信息社会出现的新产品,不限于“共享经济”产品给个人信息所带来的安全隐患,而对上述制度及技术实现进行优化,以保证各行业制度及流程的可操作性,避免实际操作与信息安全保障要求相脱节现象的发生。
四、结语
当下的共享经济模式是在互联网等新型技术催动下,而重新焕发生机,然而这就给我国本就脆弱的个人信息保护领域带来了前所未有的压力,可以说共享经济的时代呼唤《个人信息保护法》的到来,我们应借鉴国外个人信息保护的经验,但仍应结合我国特有的国情,特别是在像共享经济的发展我们已经走在世界的最前列,对共享经济的个人信息的保护,如此大规模的市场,国外的经验已不能全部适用,这就需要我们广大法律学者,不断地探索,不断地论证,从立法到政府管理再到行业自律,为我国互联网信息保护领域,织起一张,疏而不漏的法律之网,使违法侵犯“共享经济”消费者信息的行为无处藏身。
[1]孙国程,北方工业大学2016级经济法学硕士。
[2]参见汤天波、吴晓隽:《共享经济:“互联网+”下的颠覆性经济模式》,载《科学发展》2015年第12期。
[3][日]青木昌彦:《经济体制的比较制度分析》,中国发展出版社1999年版,第264页。
[4]郝思洋:《大数据时代个人信息保护的路径探索》,载《北京邮电大学学报(社会科学版)》2016年第5期。
[5]齐爱民:《个人资料保护法原理及其跨国流通法律问题研究》,武汉大学出版社2004年版,第4页。
[6]参见张里安、韩旭至:《大数据时代下个人信息权的私法属性》,载《法学论坛》2016年第3期。
[7]杨佶:《域外个人信息保护立法模式比较研究——以美、德为例》,载《图书馆理论与实践》2012年第6期。
[8]杨佶:《域外个人信息保护立法模式比较研究——以美、德为例》,载《图书馆理论与实践》2012年第6期。
[9]张婧钰:《个人信息权初探》,载《新疆社科论坛》2006年第1期。
[10]杨佶:《域外个人信息保护立法模式比较研究——以美、德为例》,载《图书馆理论与实践》2012年第6期。
[11]齐爱民:《美德个人资料保护立法之比较——兼论我国个人资料保护立法的价值取向与基本立场》,载《甘肃社会科学》2004年第3期。
[12]闫利平、马一超、刘翠莲:《“互联网+”时代个人信息保护法治化探讨》,载《浙江工业大学学报(社会科学版)》2016年第9期。
[13]张娟、李仪:《电子商务环境下消费者个人信息保护危机与应对——以新制度经济学为视角》,载《重庆邮电大学学报(社会科学版)》2015年第5期。
[14]喻名峰:《大数据时代个人信息的法律保护》,载《光明日报》2014年10月18日第10版。
[15]刘小霞、陈秋月:《大数据时代的网络搜索与个人信息保护》,载《现代传播——中国传媒大学学报》2014年第5期。