发布日期 2019-12-31

法律科普:数据漫谈大数据时代个人信息安全的保护

原标题:法律科普:数据漫谈 大数据时代个人信息安全的保护

你是否常常收到陌生电话,问你是否办保险?是否买股票?

你是否常常收到陌生短信,推荐你去澳门赌场、去办小额贷款?

你是否常常发现刚刚在某宝上购买了东西,马上去某博就刷出了类似推广?

如果你遇到过,那么很不幸,你的信息极有可能已经被泄露。

根据《中国个人信息安全和隐私报告》披露,个人信息遭受侵害的程度触目惊心,81%的人收到过熟知其个人信息的陌生来电,53%的人因为网页搜索、浏览泄露了个人信息,因为租房、购车、购房、考试、升学等泄露个人信息后收到营销骚扰或诈骗的高达36%。

//

大数据时代,我们享受着数据带来的便利与好处,但是也承受着个人信息被泄露、个人生活被打扰的风险。

大数据时代,个人信息不仅仅是一条简单的载明我们身份信息的数据,个人信息是与我们的人身安全、财产安全、人格尊严、人格自由都是息息相关的。

数据算法支撑下,数据中立可能成为侵权者的借口,用户的个人信息被被动输出,被非法获取、非法提供、非法交易,我们成为受害者有时却不自知,我们是个人信息的生产者却非控制者。

实践当中,电商平台、公共社交平台、移动设备终端平台、科学研究、国家管理活动都不可避免的大量采集和分析公民个人信息。

//

公民个人信息被搜集的种类多样,2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称两高《解释》),两高《解释》规定,通过“收受、交换”等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法规定的“以其他方法非法获取公民个人信息”。

该解释对合法经营中侵犯公民个人信息行为作出了具体规定,最主要的包含以下信息:身份证信息、单位或住宅地址信息、公共交通使用的个人轨迹信息、宾馆住宿信息、银行征信信息、商业买卖或其他交易留存信息、医疗信息等,这些信息都有共同的特点就是能够通过上述信息快速锁定到具体的个人,反映该自然人身份或反映自然人的活动情况。

个人信息的控制权,在大数据深入发展的当下,已经从个人知情许可转向了由信息控制主体承担责任的数据主体责任思维,这种思维的体现就是相关法律的创制与执行当中转向在知情同意框架下,以个人信息自决模式保护个人信息的权利。

//

虽然《民法总则》第111条规定了自然人的个人信息受法律的保护,在原则上确立了对个人信息保护的立案,《网络安全法》第四十一条也明确规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

但是在具体实施中,个人信息保护障碍重重。大数据视角下,高度集中的个人信息呈现出数据量大、价值密度低、信息使用与获得结果之间相关性较弱的特点,单个公民的信息作为沧海一粟,难以获得有针对性的保护。

个人信息被非法获取使用等行为严重侵害了公民的个人信息权利。非法获取个人信息的界定重点在于信息所有者的个人意愿,无论是职务行为、商业行为还是信息赠与,合法获取信息者都不得违背信息所有者个人意愿。

虽然大部分的情况是企业或平台运营者在正常经营中合法获取公民个人信息,但在信息所有者不知情也没有授权他人使用的情况下,即使是相互之间提供或持有行为也违反了法律规定。

//

事实上,2018年5月1日开始实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》(以下简称《规范》)共同建立了在非基于公共职权数据采集领域的以数据主体同意为唯一合法依据的个人数据采集制度。

在收集公民个人信息时根据《规范》要把握四性:

一是获取信息的合法性,要求个人信息控制者在法律法规规定的范围内采用合法的手段和获取信息的渠道。

二是获取信息最小够用性,个人信息的收集类型、频率和数量应在必要性的最小要求之内,即符合最少够用原则。不仅要求信息收集者在最小范围内收集个人信息,而且尽量保证信息收集者至少能够实现其收集的目的。

三是获取信息授权性,要求个人信息控制者获取公民个人信息要经过个人信息主体的授权同意。

四是公民个人信息涉及敏感信息的谨慎性,《规范》根据敏感程度的不同,考虑到敏感度较高的个人信息的收集与提供对个人信息主体带来的不同范围的利害影响,要求个人信息控制者要在个人信息主体完全知情的基础上给出自愿的、具体的、清晰明确的同意的意思表示。

现代数字经济时代,大数据资源是各行业各企业必争之资源,数据不仅仅代表一种信息的载体,在商业语境下,数据更是一种核心资源,掌握了数据资源,就掌握了在市场中的竞争力,就掌握了在商业交易中的话语权。

当前商业挖掘数据资源,海量的数据通过特定算法成为一种价值资源。数据固然中立,但是背后我们每个用户的个人信息却面临遭受泄露的风险,个人信息保护之路道阻且长。

//

- 法条参考 -

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

第四条 违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

第五条 非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(一)出售或者提供行踪轨迹信息,被他人用于犯罪的;

(二)知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;

(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;

(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的;

(六)数量未达到第三项至第五项规定标准,但是按相应比例合计达到有关数量标准的;

(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的;

(九)曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;

(十)其他情节严重的情形。

实施前款规定的行为,具有下列情形之一的,应当认定为刑法第二百五十三条之一第一款规定的“情节特别严重”:

(一)造成被害人死亡、重伤、精神失常或者被绑架等严重后果的;

(二)造成重大经济损失或者恶劣社会影响的;

(三)数量或者数额达到前款第三项至第八项规定标准十倍以上的;

(四)其他情节特别严重的情形。

作者 :眷诚法务 赵倩

主编 :眷诚法务 李晶 周志立

图片 :网络

排版 :眷诚法务 杨雨柔

聚合阅读 数据 漫谈 科普 保护 法律 时代 安全 个人 信息