出版社: 九州
原售价: 95.00
折扣价: 64.60
折扣购买: 网络时代个人信息危机及法律规制研究
ISBN: 9787522527055
网络时代个人信息危机及法律规制研究
出版社: 九州
原售价: 95.00
折扣价: 64.60
折扣购买: 网络时代个人信息危机及法律规制研究
ISBN: 9787522527055
作者简介
朱志超,男,1995 年 10月生,毕业于重庆大学法学院获法律硕士学位,研究方向为知识产权法、环境法。现为山西省太原市杏花岭区党政机关干部。参研“森林资源新型法制化管理模式研究”“智库建设与区块链产业发展法律规制研究”等四项国家社科基金课题及省部级课题;参编法律专著《森林资源新型法制化管理模式研究》《知识产权运营的理论与实务》;在《光明日报》《环境教育》等报刊发表《企业专利管理策略研究》《知识产权资本化法律问题初探》《论人脸识别的法律保护》等专业文章八篇。
内容简介
第一章 网络时代个人信息危机概述 第一节 个人信息的含义 一、个人信息的概念和特征 (一)个人信息的概念 个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。按照新《个人信息保护法》规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理:包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。而敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。 所谓信息的“识别”,指的是通过个人信息与信息主体之间存在确定性联系的可能性,即通过这些个人信息能够直接或间接地辨认出信息主体的身份。识别过程包括直接识别和间接识别。直接识别是指通过直接确认本人身份的个人信息来进行识别,比如身份证号码、基因信息等。而间接识别则是指虽然现有的信息无法直接确认当事人的身份,但通过借助其他信息或对信息进行综合分析,仍然能够确定当事人的身份。通常来说,姓名可以用来进行“直接识别”,但在存在同名同姓者的情况下,还需要辅以生日、地址、职业、身高等具体信息才能进行准确的识别。 (二)个人信息的特征和法律特征 1.认为个人信息是民法意义上的“物”。这个观点认为,在市场经济条件下,个人信息采集者的目的并非知悉个体,而是将成千上万个人的信息整合成一个资料库,以满足特定群体信息的共性需求,为自身或他人使用。对于信息采集者而言,获取个人信息并不是目的,而是建立和扩展财源的手段之一。因此,根据所有权原则,在不违反法律和公共利益的情况下,所有权人享有对个人信息的占有、使用、收益和处分权利。a 2.认为个人信息属于隐私。这种观点认为个人信息是一种隐私利益,因此个人信息保护的立法应该采取隐私权保护的模式。美国于1974年颁布的《隐私法》是这种观点的充分体现。 a 汤擎.试论个人资料与相关法律关系[J].华东政法学院学报,2000(5):34. 作为个人信息保护立法的先驱,美国的立法理论、方法和技术对其他国家产生了广泛的影响,超越了英美法系国家的范畴。我国台湾地区学者主流观点认为“个人资料”的保护,同样在于保护个人隐私。a 3.认为个人信息涉及人格权。以德国法为代表的“人格权客体说”认为,个人信息保护的目标是保护个人的人格权,使其不受个人信息处理的侵害。德国1990年修改后的《个人资料保护法》第一章第一条明确规定:“本法旨在保护个人的人格权,使其不因个人资料的处置而遭受侵害。该法的目的是保护个人人格权在个人信息处理时免受侵害。”这一规定标志着德国法放弃了作为外来理论的隐私权,而转为在本国法律体系中寻求更为完善的人格权理论。 4.信息的立法主张强调了个人的基本权利和自由,尤其是隐私权,其作为一种基本人权被许多国际组织所支持。欧洲议会公约在其前言中指出,随着个人资料在自动化处理条件下跨国流动的不断增加,需要加强对个人权利和基本自由,特别是隐私权的保护。欧盟指令的前言规定,由于不同成员国对个人资料处理中的个人权利和自由,尤其是隐私权的保护水平存在差异,可能阻碍数据在成员国之间的传递,对共同体的经济生活造成不利影响,阻碍竞争并阻止各国政府履行共同体法律规定的职责。这种保护水平的差异是由于存在大量不同的国内法律、法规和行政规章造成的。个人信息反映了公民的人格利益,而个人信息的收集、处理或利用直接涉及个人信息主体的 a 王郁琦.NII与个人资料保护[J].资讯法务透析,1996(1):27. 人格尊严。这一点已经在实际法中得到体现:在宪法层面上,当前主要国家和地区将人格尊严和自由权视为保护个人信息的依据,以确保公民在处理其个人信息等事务时的自主权和决定权。 二、个人信息的分类 (一)个人信息类别的行政划分 在我国台湾地区,个人信息被划分为多个类别。第一类是识别类,包括姓名、住址、电话号码、电子信箱、银行卡号或信用卡编码以及护照编码等。第二类是特征类,包括年龄、体貌特征、个人生活习惯等。第三类是家庭情况,如婚姻记录、家庭成员、主要社会关系和社交活动等。第四类是社会情况,如财产、移民情况、休闲旅游活动、参与慈善或其他志愿组织记录、职业等。第五类是教育、技术或其他专业信息,如教育程度、专长、学位以及在校记录等。第六类是雇佣情况,如职务、工作地点、工作内容、工作经历、薪资、工作记录、工会成员资格等。第七类是财务细节,如收入、投资情况、负债情况、信用等级、财务交易记录等。第八类是商业信息,如参与的商业种类、与营业相关的许可证等。第九类是健康和其他信息,如健康记录、肇事记录、犯罪嫌疑、政治意见、政党、宗教信仰等。第十类是其他各种信息,包括所有未分类的个人信息。这些分类的目的是方便行政管理,并不限制个人信息的范围。我国的《个人信息保护法》将个人信息分为一般个人信息和敏感个人信息。a (二)个人信息的理论划分 1.直接个人信息和间接个人信息 个人信息可以分为直接个人信息和间接个人信息,以直接识别自然人的能力为标准。b直接个人信息是指能够单独识别个人身份的信息。间接个人信息是指不能单独识别个人身份,但与其他信息结合可以识别个人身份的信息。在立法上,有些国家和地区并不主张对间接个人信息进行保护。在我国台湾地区,法律事务管理部门曾认为电话号码、电子邮件地址等信息由于尚不足以识别个人身份,因此并不属于受保护的个人信息。然而,当电话号码或电子邮件地址与其他信息相互关联后,往往会成为足以识别特定个人的信息(例如电子邮件地址中可能包含个人姓名),因此适用个人资料保护法。 2.敏感个人信息和琐细个人信息 涉及个人隐私为标准,个人信息可以分为敏感个人信息和琐细个人信息(trivial data)c。敏感个人信息,指涉及隐私的个人信息。在社会生活中,判断一个信息是否构成敏感个人信息并不容易。有时候,由于这些信息和个人的关系过于“松散”而使得人们对它能否构成个人信息产生争议。如果一个人购买 a 苏羽炫.大数据时代背景下的“被遗忘权”研究[D].南京:南京师范大学,2017. b 张宸.大数据环境下个人信息保护研究[D].哈尔滨:黑龙江大学,2015. c 齐爱民.论个人信息保护法的统一立法模式[J].重庆工商大学学报(社会科学版),2009(8):15. 性生活用品的信息被泄露,就可能导致两种判断结果:一种争论说产品主题(性)和购买者人身(性格和倾向)的联系过于“松散”,并不必然意味着购买者本人使用这种产品,因此此信息不构成购买者的敏感信息。另一种意见则认为购买者的“品位”和“倾向”是由他的生活反映出来的,他购买的商品是他本身个性和倾向的最好的例证。因为一般情况下,我们只看到他人购买商品,而不可能看到商品的使用。因此,该信息属于购买者的敏感信息。 3.电脑处理个人信息和手工处理个人信息 根据个人信息的处理技术标准,可以将个人信息划分为电脑处理个人信息和手工处理个人信息。电脑处理个人信息指的是使用电脑或自动化机器进行信息输入、存储、编辑、更正、检索、删除、输出、传输或其他处理。手工处理个人信息,指的是不适合进行电脑处理或尚未进行电脑处理的个人信息。a 4.公开个人信息和隐私个人信息 根据个人信息是否公开的标准,可以将个人信息分为公开个人信息和隐私个人信息。公开个人信息是指通过特定而合法的途径可以了解和获取的个人信息。根据我国台湾地区《资料保护法》的执行细则第32条第3项规定,公开的个人信息是指任何不特定第三方都可以合法获得或知悉的个人信息。将个人信息划分为公开个人信息和隐私个人信息的法律意义在于,公开个人信息,无论是否属于敏感个人信息,都已经丧失了隐私利益,因此无法获得特殊的敏感个人信息保护。而隐私个人信 a 严柳.现代民法上个人信息权保护研究[D].上海:复旦大学,2010. 息目前是按照我国《中华人民共和国民法典》(以下简称《民法典》)的规定来处理的。隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。隐私权、个人信息的定义典型的侵权行为个人信息处理的原则个人信息主体的权利信息处理者的安全义务和保密义务。我国《民法典》第一千零三十二条规定,自然人享有隐私权。任何组织或个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权。第一千零三十四条规定,自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。个人信息中的私密信息,适用有关隐私权的规定,没有规定的,适用有关个人信息保护的规定。 三、网络背景下的个人信息危机 北京时间2018年12月1日晚间消息,万豪国际酒店集团(Marriott International)近日因顾客数据库泄露而遭遇集体诉讼,索赔金额高达125亿美元。a万豪国际酒店上周五(2018年11月30日)宣布,旗下喜达屋酒店(Starwood Hotel)的一个顾客预订数据库被黑客入侵,可能有约5亿顾客的信息泄露。据悉,黑客入侵早在2014年就已经开始。该消息公布后,万豪国际酒店股价一度下跌逾5%。随后,美国Geragos & Geragos律师事务所律师本?梅塞拉斯和Underdog Law法律顾问迈克尔?富 a 姜红德.云安全,料敌先机胜过唯快不破[J].中国信息化,2019(8):20. 勒代表两名原告大卫?约翰逊和克里斯?哈里斯对万豪国际酒店提起集体诉讼,索赔125亿美元。原告在起诉书中称:“在当今这个数字时代,酒店客户最担忧的是银行卡号码和其他敏感个人信息的安全。而在过去的四年里,有5亿客户原本期望在万豪国际酒店过上舒适无忧的生活,结果却遭遇了历史上最大的数字灾难之一。”据万豪国际酒店称,这些可能被泄露的信息包括顾客的姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋VIP客户信息、出生日期、性别和其他一些个人信息。a对于部分客户,可能还包括支付卡号码和有效日期等信息,但这些数据是加密的。125亿美元的索赔金额听起来是一个不小的数字,但也仅相当于5亿潜在被盗用户中每人得到25美元的赔偿。原告认为,这是用户因遭遇黑客攻击而取消信用卡所需时间的最低等额赔偿金。此外,原告还表示,希望该集体诉讼能够让万豪国际酒店和其他大型跨国连锁酒店意识到,尊重顾客隐私意味着要采取所有必要措施来确保用户信息的安全。可见,我国个人信息保护的现状不容乐观。 2021年4月,震惊全国的“人脸识别第一案”也再一次给我们敲响了警钟。b2021年4月9日下午,在杭州中级人民法院进行的全国“人脸识别第一案”二审判决中,二审法院确认并维持了一审法院的判决结果。具体而言,判决要求野生动物世界赔偿郭某1038元的合同利益损失和交通费,并要求在判 a 何玲.如何斩断个人信息泄露的利益链? [J].中国信用,2018(12):15. b 郭兵、杭州野生动物世界有限公司服务合同纠纷二审民事判决书[EB/OL].(2021-11-24).http//wenshu.court.gov.cn. 决生效后的十天内履行。同时,二审法院还要求野生动物世界删除郭某在办理指纹年卡时提交的包括照片在内的面部特征信息以及指纹识别信息。该案的起因可以追溯到2019年4月,郭某支付了1360元购买野生动物世界的“畅游365天”双人年卡,并确认了采用指纹识别的入园方式。郭某和他的妻子录入了姓名、身份证号码、电话号码等信息,并进行了指纹录入和拍照。然而,在2019年7月和10月,野生动物世界两次向郭某发送短信,通知他们需要激活人脸识别系统,否则将无法正常入园。郭某认为人脸信息属于高度敏感的个人隐私,不同意接受人脸识别,并要求园方退还年卡费用。由于双方未能协商成功,郭某于2019年10月28日向杭州市富阳区人民法院提起了诉讼,最后胜诉。人脸识别技术是一种基于人的脸部特征的技术,通过摄像机或摄像头采集含有人脸的图像或视频,并自动在图像中检测和跟踪人脸,进而对检测到的人脸进行脸部识别。近年来,人脸识别技术的普及程度逐年增加。相比其他生物特征识别技术,人脸识别技术具有使用简单、获取方便、结果直观、非接触验证以及良好的可扩展性等许多优势。因此,该技术已被广泛应用于金融、保险、教育、电子商务等领域,特别是在新冠疫情的大背景下,由于人脸识别设备可以与测温设备完美融合,在体温监测的同时,可以同步上传个人信息,与行程数据库、健康码数据库信息进行比对,准确识别通行人员是否为高风险人员,实现“一机二用”,使得相关设备快速地广泛运用于商场、办公楼、居民住宅等入口处。然而,在技术便捷我们生活的同时,多起由人脸识别引发的纠纷为我们每个人敲响了警钟,由于面部特征具有终身唯一且无法改变的特点,一旦泄露,后果十分严重。2021年的“3?15”晚会,开篇就重点报道了科勒卫浴、宝马、MaxMara商店等安装人脸识别摄像头,搜集海量的人脸信息,该人脸识别摄像头可以在顾客不知情的情况下抓取包括性别、年龄在内的个人信息,进行精准营销,滥用人脸识别技术的势头愈演愈烈。因此,如何找到一个科技进步方便大众与个人隐私保护之间的平衡点,成为摆在政府和我们每个人面前的难题。 人脸识别信息属于“公民个人信息”的范畴,应当得到法律的保护,滥用人脸识别技术,可能面临较大的法律风险。《民法典》已于2021年1月1日起施行,作为新中国第一部以“法典”命名的法律,《民法典》具有里程碑式的意义,被誉为“社会生活的百科全书”。《民法典》聚焦现实社会的热点、难点,内容丰富鲜活,每一个条文都关乎社会生活的方方面面和我们每个人的衣食住行,规范了各类民事主体的人身关系和财产关系,从基本原则到具体法条、从公民权利到市场经济、从私人生活到人格权利、从出生到死亡,《民法典》影响着我们每个人的生活。我国《民法典》第一千零三十四条就明确规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。该规定明确将人脸信息为代表的生物识别信息纳入了个人信息的保护范畴,并规定了处理个人信息,应当遵循“合法、正当、必要”的原则。早在2017年实施的《网络安全法》第四十一条也规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。《个人信息保护法》第二十六条规定,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,取得个人单独同意的除外。此外,2020年修订的《信息安全技术个人信息安全规范》中,特别新增了用户画像的使用限制、个人信息处理活动记录等多项内容,明确规定个人生物识别信息属于敏感信息,在收集前,需单独向用户告知收集、使用个人生物识别信息的目的、方式和范围以及存储时间等规则,并应征得用户的明示同意。该规范确定了个人信息在收集、存储、使用、共享、转让与公开披露等信息处理环节中的相关行为,旨在遏制个人信息泄露,最大限度地保护个人的合法权益和社会公众利益。在刑事司法领域,滥用人脸识别技术,也会面临极大的法律风险。早在2015年颁布的《刑法修正案(九)》中,就扩大了侵犯公民个人信息罪的犯罪主体和个人信息的范围。2017年,针对个人信息保护领域出现的新形势和新情况,最高人民法院、最高人民检察院出台了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,其第一条就规定了“公民个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。 人脸识别技术越来越多地得到了主流媒体的广泛关注,也在司法领域得到了广泛的回应。据统计,目前,我国已有40多部法律和部门规章、近百部地方性法规和规范性文件涉及人脸识别技术,共同规划了技术进步的“法治轨道”。目前,《个人信息保护法》《数据安全法》已经颁布实施。相信在不远的未来,随着配套制度的不断完善,人脸识别技术的使用规则将会得到进一步细化,为我们每个人筑牢保护个人信息的法律之墙。 网络背景下危机四伏的个人信息安全问题的危害性,以及个人信息安全问题多发的一些重要层面,公众仍处于“安然忽略”的状态。据调查,这些危机主要表现在以下几个方面。 第一,关于信息泄露事件高发的原因,公众对处于隐性、趋势性的选项普遍认识不足。有统计显示,目前国内的智能手机用户中使用微信的“微民”已达4亿,基本是都市人的全部。这4亿微民,平均每4分钟就会低一下头,查看手机微信。a而“让物价回到十年前”的淘宝,地球上的中国人已经无法离开。2017年,“双十一”仅支付宝成交额就超过900亿元,我国消费者单日网购纪录再创新高。b事实上,无论是通过微博、微信等社交平台“晒”心情,关注、评论他人,还是安享网络购 a 付小颖.大数据时代个人信息安全保护对策[J].河南农业,2014(12):15. b 李雨佳.总体国家安全观视域下个人信息保护研究[D].武汉:中共湖北省委党校,2018. 物便利、坐等快递将心仪物品送上门,现代人的网络生活时刻都存在泄露个人信息的可能性。你的微博会莫名“被关注”了一些淘宝商家,你会收到广告商根据你的消费习惯“精确打击”的推销信息,你会收到各类垃圾短信和推销电话,甚至被伪装成好友、掌握你子女相关信息的犯罪分子诈骗。但对于目前处于隐性、趋势性的信息泄露事件发生的原因,公众仍然明显认识不足。2014年网络调查显示,只有34.88%的公众意识到“数据财富化进程加速”是导致信息泄露事件频发的主要背景,54.94%的公众认为“信息安全技术发展滞后”是导致数据信息暴露的原因,特别是仅有8.72%的公众认为境外网络攻击是导致信息泄露事件的主要原因。a据《2012年中国互联网网络安全报告》显示,2012年我国境内有超过1400万台主机受到境外木马或僵尸网络的控制,相比2011年增长近六成。仅2013年上半年,中国国家计算机网络应急技术处理协调中心CNCERT/CC共向国际网络安全应急组织和其他相关组织投诉1760起。其数字表明,中国是境外网络攻击的最大受害国之一,但调查结果显示这一原因几乎被广大公众忽略,这凸显公民对当前的信息安全缺乏相应足够的认识,信息安全的总体态势、发展动向等知识有待普及。 第二,相对于隐私权,公众对信息泄露可导致的财产权损害感知度较低。传统个人隐私保护方式是一种用户授权模式。大数据时代到来后,传统的数据保护方式失效了,个人数据的 a 汪仲启,潘圳.当科技和城市化“相遇”[N].社会科学报,2014-01-13. 权利边界模糊了。a公众对信息泄露造成隐私权、财产权、名誉权、生活秩序等不同方面损害的感知度不高,而对“个人财产安全相关”数据安全的重要性,正引起公众较多关注。 第三,公司经营、财务等数据信息安全问题被忽略。为了解信息泄露多发的领域,公众不了解大数据时代富有诸多研究利用价值的数据信息,在生活中不能明确感到受侵犯。与社会交往相关的邮箱、微博账号、电话、职位、好友信息等数据都成为人们最关注的焦点,人们对公民的年龄、性别、身份证号等数据也很感兴趣,与购物记录、品牌偏好、会员信息等相关的信息泄露也引起了公众较高关注。而公司经营、财务等数据信息却极少涉及。大量数据的汇集不可避免地加大了用户隐私泄露的风险。事实上,数据信息攫取者会最大限度地收集更多有用信息,比如社交网络、邮件、微博、电子商务、电话和家庭住址等信息,大数据分析使其数据挖掘更加富有力度、分析精准。一些企业的“内鬼”更是将海量个人信息非法窃取并打包出售给信息中介机构和个人,进而再转手贩卖给销售企业、调查公司、网络犯罪团体等。因此,被人们忽略的企业信息挖掘恰恰成为大数据时代一些人获取高额利益的利器。企业应在大数据时代中,尽早构造适合自己的“防护盾”。在信息社会发展一日千里,以生物信息识别技术为手段的考勤打卡设备以及其他各种监督监视设备愈发精密化的背景下,用人单位为促进劳动力的高效利用而竭尽所能地搜集获取最多最全面的劳动者信息。由于劳动关系的从属性、持续性、依赖性等特点。用人单位滥用权力对劳动者的个人信息进行广泛收集,已经严重 a 付小颖.大数据时代个人信息安全保护对策[J].河南农业,2014(12):15. 超出了合理的范围,对劳动者的个人信息和隐私权益造成了侵害。对于劳动者个人信息的保护重点在于平衡用人单位权益和劳动者权益。劳动者权益事关国计民生,因此,随着社会发展我们要逐渐重视对劳动者精神方面的保护,维护劳动者在工作中的尊严和人格。a 第四,个人对信息安全主动保护、企业对加强数据安全投入意识明显不足。与公民个人信息相关的大数据应如何保护,防止用户信息外泄还没有成为人们关注的焦点,而打击售卖个人信息的不法商家或机构的力度不大,提高社会公众的个人信息保护意识任重道远。在各类社交活动中注意保护个人信息和在消费时注意保护个人信息的认知需要大大提高。不论“防止用户信息外泄”还是“打击不法商家”,都需要保证信息的挖掘、使用合法合规。大数据是一种资源,关键看资源掌握在谁手里,开发出来做什么事情。在合法、安全、尊重数据所有者权利的前提下,实现数据分享,创造数据价值,这才是“大数据时代”真正的魅力。而不论信息是否被合理使用,只要公众自身将关键信息暴露于互联网,其就已经成为“大数据”的一部分,就已经为信息被利用提供了可能性。所以,“提高公众自身保护意识”,才是保护个人信息安全的最根本的途径。在相应立法尚未完善之前,保护与个人信息相关的大数据,公民必须着眼于自身保护意识和保护能力的提高,防患于未然。 第五,现代信息技术环境下收集和滥用个人用户信息的主体众多、渠道隐蔽,导致个人用户的举证难度极大,即便举证 a 尚西亚.论劳动者个人信息的法律保护[D].桂林:广西师范大学,2022. 成功,在请求损害赔偿时也难以评估和证明个人的实际损失。a信息安全被侵害的公民和组织放弃权利救济的直接后果,是减少侵权者的违法成本,也损害了公众的整体社会利益。
