互联网的数据时代已经到来,特别是以大数据、物联网、云计算和人工智能为背景的工业4.0产业革命中,数据信息逐渐取代用户活跃度和流量,成为核心的价值取向和互联网平台竞争的主要资源。在网络公司的数据白热化竞争中,公民数据信息安全大有被“物化”的趋势。一些知名网站通过网民协议中的“霸王条款”,采用变相强占、冒用大数据等非法交易方式,严重侵害了用户的隐私权和国家安全。
数据权作为一种新型人格权源自隐私权,是公民民事权利的重要客体,其所有权当然属于公民自己而非网站。我国《网络安全法》重申了公民数据信息权的自我控制权,既包括知情权、选择权、退出权,也包括网站对公民数据信息的安全保障义务、告知义务、预警义务和更改义务等。实践中,一些网站以网民协议为幌子,将对公民合法权益至关重要的隐私协议“隐藏”在纷繁复杂的格式条款中,以“瞒天过海”的方式骗取用户信任。这种表面明示、实则强取豪夺公民数据的行为俨然成为“商业惯例”。公民在信息不对称的背景下,成为数据被攫取掠夺的对象,大量隐私信息被非法窃取、交易和买卖。针对此类情况,最高人民法院、最高人民检察院在今年6月1日正式实施的《关于办理侵害公民个人信息刑事案件适用法律若干问题的解释》中明确了侵害公民隐私犯罪行为的具体标准和类型,将公民个人信息安全置于法律保护的最高位阶,在刑事法律上对侵害公民数据权的行为标清了底线。
不过,两高司法解释的重点在于打击侵害公民个人信息的“明偷”“明抢”,对于滥用格式条款非法“获取”用户授权,侵害公民隐私权的“暗偷”“暗抢”行为影响却不大。这是因为,隐私权作为民事权利,用户也有自我处分的权利,一旦网站搬出已经获得用户授权的“隐私条款”作为抗辩理由,刑事法律就很难认定其为犯罪行为。因此,最近中央网信办、工信部、公安部和国家标准委四部门对十款市面上主要应用的网络服务隐私条款,依据《网络安全法》等相关法律法规进行了评审,督促这些网络平台整改,从根源上保障了公民数据权始终掌握在用户自己手中。
必须强调的是,个人信息与大数据性质并不相同,所适用的法律也不尽相同。按照我国《网络安全法》第76条的规定,个人信息是指以电子或者其他方式记录的、能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。个人信息的性质属于公民隐私权范畴,非法搜集、使用或交易都将承担包括刑事、民事和行政在内的法律责任。大数据信息是直接或间接都无法识别到自然人特定身份的数据信息,在法律性质上属于知识产权范畴。大数据作为知识产权,独立于公民个人隐私权,是数据信息时代的重要产品,产权人当然可以依法进行交易和使用。现实中,一些网站有意混淆大数据与个人信息的界限,将个人信息打包,或者经过非法手段简单“脱敏”后,冒以大数据的名义进行交易使用,这就是典型侵害公民个人信息的违法犯罪行为。
从技术角度讲,个人信息确实有可能转化成大数据,但必须经过“脱敏化”处理,即通过法定标准和程序,将用户可识别信息进行“不可逆”性去除。实践中“脱敏”操作存在两大问题,一是缺乏统一法定标准,大数据中残存可识别信息成分;二是存在数据“可逆”的可能,这两点需要政府有关部门尽快出台相关标准和程序。
从实践角度讲,互联网时代的数据权相比隐私权而言,更加突出用户对自己数据的“控制权”。除了用户知情权等伦理性权利之外,我国《网络安全法》还特别明确了用户对自己数据的“自我决定权”,该法第43条规定,个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。删除权和更正权是公民隐私权在互联网数据领域的延伸发展,与知情权和选择权结合在一起,形成了信息时代公民数据权利的法律底线。
(作者:朱巍,系中国政法大学传播法研究中心副主任)