摘要: 大数据技术的进步促进了网络的蓬勃发展,当今时代,网络用户的个人信息不仅仅包括其隐私安全,还有其广泛的精神价值。虽然网络给大众带来了更多的便利,但同时也是把双刃剑,因为其便利了网络运营商对用户信息的侵害。当前《个人信息保护法》开始实施,我国个人信息保护逐渐步入正轨,但个人信息保护法律体系仍需完善,以防范大数据时代产生的个人信息风险。在此背景下,需要以《民法典》《个人信息保护法》等法律法规为基础,严格监管网络运营商的个人信息处理活动,筑牢个人信息保护网,切实保障公民的合法信息权益,实现个人利益与社会公共利益的有效均衡。基于此背景,围绕我国网络运营商对用户个人信息的侵害和法律保护展开探讨。
Abstract:
The progress of big data technology has promoted the vigorous development of the network. In today’s era, the personal information of network users not only includes their privacy and security, but also has a wide range of spiritual values. Although the network has brought more convenience to the public, it is also a double-edged sword, because it facilitates the infringement of user information by network operators. At present, the Personal Information Protection Law has been implemented, and China’s personal information protection is gradually on the right track, but the legal system of personal information protection still needs to be improved to prevent personal information risks in the era of big data. In this context, based on the Civil Code, Personal Information Protection Law and other laws and regulations, it is necessary to strictly supervise the personal information processing activities of network operators, build a personal information protection network, effectively protect citizens’ legitimate information rights and interests, and achieve an effective balance between personal interests and social public interests. Based on this background, this paper discusses the infringement and legal protection of users’ personal information by network operators in China.
1. 网络运营商侵害用户个人信息简述
(一) 网络运营商侵害个人信息的现状
随着云计算、互联网、大数据等技术的大量使用与日新月异,使大数据的推算分析进一步优化加深,促使对用户个人信息的定位分析进一步迅速明确,从而用户个人信息暴露的风险也大幅地提升了 [1] 。
互联网数据中心(DCCI)于2018年发布了《网络隐私安全及网络欺诈行为研究分析报告》和《中国Android手机隐私安全报告》,报告指出,用户的个人信息中关于通讯录联系人、手机账号、账户密码、聊天记录以及定位用户当前所在地点等内容被划分为核心隐私信息,因为这些关乎用户个人的一些敏感信息内容;用户个人信息其中关于手机发送接收短信信息、拨通电话、调用手机自带的摄像头摄像等内容信息归属于重要隐私信息一类;最后用户个人信息中关于连接无线网络、打开蓝牙连接无线设备、打开手机卡的数据网络流量使用等信息属于普通隐私信息 [2] 。
根据2018年公布的《网络隐私安全及网络欺诈行为研究分析报告》,到17年底,中国手机网民的数量已高达7.53亿,占据中国人口一半以上,网民数量的巨大意味着极大的商业价值,背后的用户个人信息更是一座金山,当前大数据时代环境下,个人信息存在着重要作用。但在实践中,如此众多的用户使用量其问题也接踵而至,最明显的就是近些年关于用户个人信息泄漏各种问题层出不穷,网络带来了便利,可同时也是用户个人信息泄漏的根本原因之一,现今网络运营商对用户个人信息的侵害可谓无孔不入,用户的个人信息保护受到了极大的冲击 [3] 。
(二) 网络运营商侵害个人信息的特征
隐藏性,对于一部分个人信息的获取,网络运营商无需用户授权即可得到。现阶段用户各个账号大多绑定着相同的手机号、信息等,收集后只要经整合并加之推算,便可以将一些从表面上看来无关且支离破碎的内容相结合,并加之大数据的汇总,从中筛选特定的相关信息,从而可以得到更多关于这个用户的个人信息 [4] 。
实时性,网络运营商对用户个人信息的侵害,并非只存在于网络交易中,而是在使用网络时不间断进行的,浏览社交平台或者网站,也会在互联网上留下用户自身的相关信息,这为网络运营商日后全面收集分析相关信息提供了媒介。
2. 网络运营商侵害用户个人信息的行为分析
(一) 侵害用户知情权和选择权
从常理来说,网络运营商授权获取用户的信息的方式应当告知用户,这样不仅保障了用户的知情权和选择权,同时也符合国家法律规定,有利于国家机关进行相关的管理和监督。但是现阶段存在着明显的不足和漏洞,市场上有关授权获取用户个人信息的规定不明,常常避开通俗易懂的语言与描述,而反其道而行之,采用对于广大用户不易明了、晦涩冗长的文案,以此来显示网络运营商已尽了告知用户的义务,而且对于其收集获取用户的个人信息后续用途、存储途径、使用方式、存储期限等较用户来说十分重要的规定方面却明显不够明确,网络运营商极大地利用其优势地位迫使其用户要么放弃使用网络,要么接受该明显不合理的授权规定,极大地侵害了当前手机用户的知情权与选择权。
(二) 越界获取权限,过度收集用户信息
整体看来,当前市场上的网络运营商要求收集用户个人信息的授权数量是增多的,大多数的网络运营商要求获取用户个人信息的授权,当今社会,虽然存在网络运营商越界获取权限,收集用户信息的行为,但此类行为随着市场监管的加强总体呈现下降的趋势。
大多数网络运营商要求用户的手机账号、社交平台账号等内容的使用权限,在登录验证之后却对其他如手机摄像头、手机指纹、人脸等权限内容进行了使用,用户通过后则一并提交给该网络运营商,如用户拒绝,则无法正常运行。而且该网站第一次获取授权的内容似乎合理,但实际一个权限有许多的子项目,包括但不仅限于调用录音功能、手机相册、通信黑名单等内容,这的确对用户的个人信息安全造成了威胁,该类收集个人信息的行为明显存在越界,属于过度要求用户的信息授权 [5] 。
(三) 信息交易损害用户主体权利
网络运营商获取手机用户信息与个人信息泄漏、用户信息交易、滥用有着不可分割的关系,大数据环境下,用户的信息基本是通过交易兜售的方式流传出去,随后在互联网的推动下进一步加速传播,在此之前数据控制者,也就是网络运营商或其内部员工等其他通过非法手段持有大量用户个人信息的个体,不论是利益驱使,还是其他缘由,只要经过第一次的转卖,在互联网上流传的个人信息便不能轻易止住,众多的商家平台可就其取得的用户信息进行针对性投送广告和宣传,使得其营销更加具有针对性,但用户在对这整个流程不明了的情况下便遭受了个人信息的泄漏,面对这些侵害,被迫接收这些推送,也不易阻挡其他垃圾信息和诈骗电话的狂轰滥炸,用户无端遭受这样的侵害却难以收集证据,难以追寻到兜售个人信息的不法分子,维权之路道阻且险长,很难维护用户的个人信息与合法权益 [6] 。
3. 我国个人信息的保护制度构建建议
(一) 完善网络运营商对个人信息的收集制度
1) 设定收集用户信息的条件
在收集用户信息时,需要遵循一定的条件和规定,以确保用户的隐私权得到充分的保护。以下是一些设定收集用户信息的条件,总结如下:
其一,在收集用户信息之前,必须确保自己的行为符合当地法律法规和相关政策。需要明确了解并遵守个人信息保护法、数据保护法等相关法律法规,确保信息收集行为的合法性和合规性。其二,在收集用户信息之前,应当向用户清晰明了地说明信息收集的目的、范围、方式和用途,并取得用户的明示同意。用户需要清楚地知晓自己的信息将被如何使用,以及有权选择是否提供信息。其三,在收集用户信息时,应当遵循最小化原则,即只收集必要的信息,而不应当收集过多的不必要信息。同时,应当及时删除或匿名化不再必要的信息,以减少信息泄露和滥用的风险。其四在收集用户信息后,需要采取必要的措施确保信息的安全性和保密性,防止信息被非法获取、篡改或泄露。这包括加密传输、安全存储、权限控制等措施。其五,在收集用户信息后,应当尊重用户的权利,包括访问、更正、删除等权利,并提供便利的方式让用户行使这些权利。其六,在收集用户信息时,应当遵循公平公正的原则,不歧视任何用户,并保障信息的准确性和完整性。其七,在收集用户信息时,需要确保信息的安全性和保密性,采取必要的措施防止信息被非法获取、篡改或泄露。其八,在收集用户信息后,应当严格限制信息的使用范围,确保信息仅用于合法、合理、必要的目的,并严禁将信息用于其他用途。
总之,设定收集用户信息的条件需要遵循法律法规、透明公开、最小化原则、保障安全、用户权利保护、公平公正、合理用途等原则,以保护用户的隐私权和信息安全。
2) 明确网络运营商的告知义务
明确网络运营商告知义务是保障用户知情权的重要手段,网络运营商的告知义务包括但不限于以下内容:
其一,服务内容告知。网络运营商应当向用户明确提供其所提供的网络服务内容,包括服务类型、速率、费用等信息。其二,服务质量告知。网络运营商应当向用户明确提供其网络服务的质量指标,如网络稳定性、带宽等信息。其三,价格告知。网络运营商应当向用户明确提供网络服务的收费标准、计费方式、资费优惠等信息。其四,合同条款告知。网络运营商应当向用户明确提供合同条款内容,包括服务期限、服务内容变更、服务质量保障等条款。其五,服务变更告知。网络运营商应当在服务内容、服务质量、价格等方面发生变化时,及时向用户告知变更内容。
这些告知义务旨在保障用户的知情权,使用户能够清楚了解网络服务的相关信息,从而做出明智的选择。
(二) 健全网络使用中个人信息权益救济机制
真正的权利需要救济来进行保障,大数据时代信息主体权利遭受侵害的事件频发,需建立并完善相关的权利救济机制,信息主体的权利才能够得到真正的保障 [7] 。
1) 建立个人信息保护机构
当前实践中,现有管理机构确实起到了一定的治理作用,但是由于案件数量大、协调有限等因素,对于个人信息权益的保护还是存在不足。对此,我国应当建立使用网络时的个人信息专门性保护机构,主管网络使用中的个人信息保护相关事宜,在个人信息保护机构统一监管下,各地区可以根据本地区实际设立个人信息保护地区机构,主管本地区的个人信息保护事项,对本区域内的网络运营平台组织进行监管。国家可以加大对于信息安全保障专项技术的资金投入、设立专项资金来支持信息安全保障技术的开发,建立起信息“防火墙” [8] 。
我国对于大数据的信息保护还是处于初级阶段,所以应当重视政府和社会主体两方面的作用,这是一个根本思路,另外的话也要明确大家的责任和义务,能够使体系高效有效运转。设立专门的信息保护机构,加强与行业的合作,共同提升对于个人信息的保护 [9] 。
2) 健全公益诉讼制度
在司法实践中,依据公益诉讼相关规则为个人信息权益提供公益诉讼保护时,应当明确原告范围以及公益诉讼的适用范围,把握好“违法处理个人信息”与“侵害众多个人权益”两个适用条件,允许原告提起预防性公益诉讼,即只要发现个人信息权益处于高度风险中就可以提起公益诉讼,以防止损害后果的发生。在健全个人信息保护公益诉讼制度的过程中,可以在司法体系较为健全的地区先开展试点工作,探索建立行之有效的个人信息保护公益诉讼制度,发现并解决发展难题,总结制度建立的经验,逐渐扩展到其他地区。同时,实务界应当与学界进行定期研讨,将实务中遇到的案例与学界学者进行讨论,丰富相关学术理论的同时解决实务问题,为个人信息保护公益诉讼制度提供学理支撑,积极探索个人信息保护方式。
(三) 个人信息侵权责任认定与立法完善
1) 规范个人信息权的具体权利种类
个人信息权是指个人对其个人信息享有的权利。具体的个人信息权利种类应包括但不限于:
其一,信息自主,个人有权决定自己的个人信息是否收集、使用、披露。其二,信息知情权,个人有权了解个人信息被收集、使用的目的、方式、范围等相关信息。其三,信息访问权,个人有权要求查询、复制、查阅自己的个人信息。其四,信息更正权,个人有权要求更正、补充自己的个人信息。其五,信息删除权,个人有权要求删除自己的个人信息。其六,信息撤回权,个人有权撤销曾经同意的个人信息收集、使用、披露。其七,信息安全权,个人有权要求个人信息得到合理的安全保护。其八,信息申诉权,个人有权向有关主管部门投诉、举报个人信息违法行为。
2) 探索个人信息侵权保护新模式
当前,关于个人信息侵权保护新模式,趋势是建立和完善法定赔偿制度。我们认为,法律设定较高的损害赔偿金,能鼓励相关机构、企业履行自己的信息隐私的保护承诺,并震慑潜在的违法者,从而鼓励人们通过诉讼来捍卫自己信息隐私的权利。损害赔偿金的设定能促使社会加大对信息保护措施的投入,从而更加促进与支持信息资源的共享 [10] 。建立一个更好的法定赔偿制度需要考虑以下几个方面:
其一,立法和政策,制定清晰的法律法规和政策文件,明确赔偿范围、赔偿标准、赔偿程序、赔偿责任等内容,以保障受害者的权益。其二,组织机构,建立专门的赔偿管理机构或部门,负责赔偿事务的管理和处理,确保赔偿流程的透明、高效。其三,赔偿基金,设立赔偿基金,用于支付受害者的赔偿金,可以通过企业缴纳保险费或政府拨款等方式筹集资金。其四,审查机制,建立严格的赔偿申请审查机制,确保赔偿申请的真实性和合理性,防止虚假索赔和滥用赔偿制度。其五,宣传教育,加强对赔偿制度的宣传和教育,让公众了解自己的权利和赔偿途径,提高赔偿制度的知晓度和透明度。
通过以上措施,可以更好地建立法定赔偿制度,保障受害者的权益,促进社会公平和正义。
4. 结语
本文以大数据时代背景下的网络运营商为例,对个人信息侵害现状作出分析,探讨网络运营商各类违法违规收集用户信息的行为,对现有法律规定和用户个人信息保护存在的问题进行归纳总结,并提出相关的建议。
本文的创新点在于,对个人信息保护的模式和制度进行了讨论,从公民个人信息的收集制度和个人信息权益救济机制两方面展开,从规范网络运营商的具体侵权行为延伸至保护公民个人信息的具体措施,强调政府和立法在公民个人信息保护中的监管作用,相关建议具有合理性和可行性。希望对大数据时代下公民个人信息保护的研究与《个人信息保护法》的发展完善有所帮助。