近日,媒体报道了相关大数据泄密事件:社交平台泄露个人信息,大数据杀熟、酒店会员数据被黑客窃取……
在当前信息越发透明化、公开化的大数据时代大背景下,面对复杂的隐私安全问题,不仅需要企业产品的不断升级迭代,也需要用户提高隐私保护意识,更需要政府从政策、监管治理等方面发力,共筑信息安全生态。
从“被遗忘权”说起
2012年1月,欧盟提出《一般数据保护条例立法提案》,正式使用“被遗忘权”的概念:“公民在其个人数据信息不再有合法之需时有要求将其删除或不再使用的权利。”
“被遗忘权”作为一种新兴的权利术语,在我国的法律语境中可归于个人信息权的范畴。目前法律对它的保护主要集中在删除不利于信息主体的信息内容。例如2017年6月1日施行的《网络安全法》第43条规定了个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。
2018年5月25日,欧洲联盟出台《通用数据保护条例》(GDPR)。相比于GDPR对“被遗忘权”的保护,我国的《网络安全法》对“删除权”的规定只能算是初具“被遗忘权”的轮廓。从中国现行的法律规定中可以看出,这些关于“删除”的规定,基本是建立在“违法或违约”的前提之上,而这也是其与欧盟“被遗忘权”最大的不同之处。
那么,当被遗忘权与公共利益产生冲突时,该怎么办?一方面,行使被遗忘权应该有各种限制条件,在主体上严格区分公共人物和一般公民,在对象上也仅限于那些过时、冗余的、不再相关的个人信息。
另一方面,法律应为被遗忘权设置各种例外,公共安全、公共卫生、科学研究等都是限制被遗忘权的重要事项。被遗忘权帮助主体删除那些过时、不相关、无涉公共利益的个人信息,使得留存下来的资讯更符合主体的现行状态,减少了误导性信息,提高了信息的准确度,有利于公众知情权的维护。
总之,被遗忘权可能遭遇的各种利益冲突并不可怕,可以通过法律、政策、技术等手段予以控制和调和。
用法律捍卫权益
当前,商家作为网络运营者应当对其收集的用户信息应严格保密,并建立健全用户信息保护制度。在个人信息收集环节,网络运营者收集个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
换言之,用户的知情同意是基本要求,同时商家不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
与此同时,互联网用户也可以采取一些必要的措施保护自己的隐私,比如个人用户在设置密码时,尽量避免纯数字的弱密码,改成较为复杂的密码;在网络平台上已完成的订单和不常用的地址,最好及时删除,避免被不法分子窃取;使用网络服务时,个人信息填写的不要过于具体,比如姓名可以使用昵称,不必填写真实姓名等,随时注意保护自己的个人信息;选择正规应用商店,下载官方应用,在安装和使用App的时候看清楚隐私条约,关掉非必须的权限,如发现应用有强制授权、过度索权、恶意扣费等违规行为,应及时卸载并举报。
我国在侵权责任法中首次明确对隐私权的保护,并从2012年开始先后出台了一系列政策法规加强对个人信息的保护。如2015年《中华人民共和国刑法修正案(九)》新增了“侵犯公民个人信息罪”“拒不履行信息网络安全管理义务罪”“非法利用信息网络罪”和“帮助信息网络犯罪活动罪”等,为网络个人隐私信息提供了刑法保护。而2017年《中华人民共和国网络安全法》“网络信息安全”一章,从个人信息收集、使用以及保护的角度进行了规定。2017年《中华人民共和国民法总则》确认了个人信息保护制度,明文规定自然人的个人信息受法律保护。同时,2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过,《个人信息保护法》和《数据安全法》的文本有望于今年浮出水面。
根据我国法律规范的要求,对于个人信息的流转环节,商家不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。同时,用户还享有必要的维权利益,尤其是个人发现商家违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求商家删除其个人信息;发现商家收集、存储的其个人信息有错误的,有权要求商家予以更正。商家应当采取措施予以删除或者更正,并且商家应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。
(作者吴沈括,系北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心秘书长,本报记者沈春蕾采访整理)
相关关键词: 互联网大数据时代