时间:2021年06月08日 分类:免费文献 次数:
《物联网时代下个人信息权利的法律保护》论文发表期刊:《现代商业》;发表周期:2021年13期
《物联网时代下个人信息权利的法律保护》论文作者信息:1.戴丽霞,海南政法职业学院,副教授,法学硕士,国浩律师(海南)事务所律师,研究方向:经济法学。 2.林静仪,国浩律师(海南)事务所实习律师,管理学学士,法学学士。
摘要:个人信息权利应当作为一个独立的人格权被法律保护,《民法典》人格权编规定了个人信息保护条款,是物联网时代发展所需。本文探讨物联网三个层次中对个人信息的侵害因素,借鉴美国和欧洲国家的相关经验,结合《民法典》及《个人信息保护法(草案》,提出可行性的法律保护措施。
关键词:物联网;个人信息权保护
虽然物联网给日常生活带来了极大的便利,但也带来了极大的隐患,其中个人信息的保护是值得密切关注的领域。日常生产生活便利的代价是我们允许服务提供方通过协议或者其他方式获取我们的个人信息,在这个披露的过程中会产生多少隐藏的危机,以及信息是否会在未知的领域被他人运用等都为我们作为信息持有者所担忧。在2021年生效的《民法典》人格权编中对个人信息保护作了单独规定,这不仅体现了国家对人的尊严和自由的保障,更体现了随着物联网时代的到来,无论是公民还是国家都对如何有效的保护个人信息权利有着极大的关注。
本文通过分析个人信息权的法理学理论,结合美国和欧洲相关的个人信息权法律保护的实践经验,对物联网时代下个人信息权利的法律保护提出措施建议。
一、个人信息权的理论研究
根据目前学界关于个人信息权概念应如何界定的讨论,较为主流的法理学理论有财产权说、隐私权说以及独立人格权说。
财产权说是指个人信息权是一个经济利益性质的权利,因在如今的大数据时代,绝大多数的个人信息都可以进行商业性质的交易,如将其设定为人格权,会否定其商业价值。本文认为此说法不妥。首先,个人信息的内涵包括了姓名、住址、身份证号、联系方式、肖像等,而个人对这些信息拥有的是所有权。如果将个人信息视为财产性的利益,那么个人信息一旦经过交易则所有权便可转移,这与理不合。之所以能够称为个人信息,是因为这些信息与个体不可分离,即使通过交易也是个人授予了对方一个短暂的使用权。因此个人信息权还是倾向于人格权,个人基于人格尊严和人格自由而使用此项权利。其次,人格权可以具有财产性利益。美国从一般隐私权中创设出具有财产性利益的人格权:公开权,该项权利是指每个人都可以控制个人特征在商业上使用的固有权利,特征是指个人的肖像、声音、姓名等。虽然此项权利目前并没有得到广泛的认可,但是也说明了人格权并不是单纯的精神性权利,也可以具有物质性的特点。
隐私权说认为个人信息权属于隐私权的范围。此学说主要是参考了美国的隐私权法模式,即将个人信息权归于隐私权加以保护。但是本文认为此学说也不适合我国。美国对隐私权的保护最开始的定义是“保护私人领域的信息不受外界侵扰”。但是这种定义过于狭窄,于是通过判例的发展和对隐私权外延解释的不断扩大,到如今已经隐私权的范围已经扩大到个人对其主体所有的人身权益,包括肖像、姓名、名誉等,因此美国才将个人信息权归属于隐私权保护。但是我国的隐私权范围至今都未超出其原始范围,而隐私权已经与肖像权、名誉权等构建了相应的制度体系,这些权利之间是相互并列的关系,因此若是将个人信息权列入隐私权之下,就会出现对权利保护不够全面的现象。且在《民法典》第六章中已经将隐私权与个人信息保护作出区别,因此该学说在我国已不适用。
独立人格权说是将个人信息权视为一项独立的人格权,且应该是具体人格权。将个人信息权确立为一项独立人格权,有助于将其与隐私权的内涵相区别,也有助于对个人信息权的保护范围进行更加明确的界定。欧洲法目前流行的观点仍是将个人信息权作为一项独立的权利,美国也有部分学者认为个人信息权可以作为一项独立权利存在。本文也倾向于此观点。在个人信息数字化的今天,它不再仅仅是无法进行交易的一种精神性的人格权,其财产价值不断显现,信息主体可以将其个人信息通过商品化的方式获得财产利益,这是隐私权所不具有的特征,因此对个人信息的定义、保护范围等都需要进行重新界定,就权力属性而言,将个人信息定义为一项独立的权利更有利于对其的保护。二、个人信息的特点
(一)可识别性
根据我国《民法典》人格权编第1034条第2款的规定可知,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、住址、电话号码、电子邮箱地址、行踪信息等。从这个定义中可以看出,个人信息与人的生活密不可分,体现了人格要素。而如何去定义“识别”,目前尚有争论,主要有两个观点:“扩张主义”和“简化主义”。以Patrick Breyer诉德国联邦政府案件为例进行分析,本案中,欧盟法院认为动态的IP地址会不断地发生变化,因此没有办法根据它去识别到一个用户。但是连接到互联网时,互联网服务提供者会随时保留这种变化的IP地址的记录,因此,虽然没有办法通过动态IP地址去识别用户,但是如果结合互联网服务提供者存储保留的数据后能够识别到Breyer,那么这个动态IP地址也属于个人信息。这是“扩张主义”的观点,而“简化主义”则会认为动态IP地址本身并没有和特定的个人相关联,因此它不属于个人信息。本文认为之后个人信息保护法的出台也是需要对这一核心特征进行相应的界定。
(二)既具有精神属性也具有财产属性
这个特征是对比隐私权而言的,在《民法典》尚未出台之前,因无法明晰地划分隐私与个人信息之间地界限,因此在司法实践中经常会发生将个人信息视为隐私加以保护,但是这种做法是有所争议的,因两者的权利属性和权利内容都存在着区别:隐私的内涵主要是自然人的生活安宁和不愿为他人知晓的私密,因而隐私权是一种消极的权利;但自然人可以支配和自主决定其个人信息是否允许他人使用和收集,具有一定的积极性。因为个人信息具有这种积极性,在当前物联网时代下,企业多会收集个人信息以形成“数据库”,分析信息主体的喜好,提供更加优质的服务,从这一点看,个人信息具有财产属性,又因其与人格的尊严和自由相关,因此其也具有精神属性。三、物联网时代下个人信息权的侵害分析物联网环境下个人信息的泄露风险相较于传统互联网的环境大,在物联网的架构中,感知层、传输层、处理层会因其设备和发挥的作用不同而有不同的个人信息权的侵害原因,本文将从物联网的三个层次进行个人信息权的侵害分析。
(一)感知层
物联网感知层的功能是通过传感系统收集外界的信息,起主要作用的设备主要有传感器(温度、湿度、红外线等)、监控类设备、全球定位系统等。他们通过识别信息主体携带的能够被识别的电子芯片从而将信息收集并进行传输。该层次的侵害包括个人账户、位置和喜好等信息泄露。
在交通领域,在乘坐公交车时可以用支付宝支付公交费;在物流领域,扫码支付快递费可以进行网上预约下单;在侦查领域,通过调取各个位置的监控图像从而查明不法分子可疑的犯罪路线;在日常出行时,要查询去往目的地的出行路线通常都需要我们打开手机中的GPS开关,从而定位我们的位置信息,给出方便快捷的出行方案;智能手机中的APP甚至自动能推出符合手机主体的喜好的物品信息。
以网上支付为例,此种支付手段方便快捷,但同时也伴随着个人账户信息泄露的风险。毕竟物体上的二维码只是一张图片,信息主体无法识别支付的对方是商家,还是心图不轨、恶意窃取个人信息的罪犯,只不过基于合同基本的信赖原则,信息主体相信在此支付环境下对方是自己所认定的“商家”。
2018年,倪建飞盗窃案一案中,被告人倪建飞在各个不同的交易场所将商家的二维码偷换成自己的微信二维码,将扫码付款的客户的资金全揽入自己的账户中。虽然此案例中倪建飞的目的只是窃取资金,但是用此种相似的手段获取个人信息的风险也是存在的,应引起相关部门的注意。
(二)传输层
物联网传输层是将感知层收集到的信息安全地传输到信息处理层,因此传输层中起核心作用的主要是网络基础的设施,如互联网、移动网和一些专业的局域网等。在该层次的侵害包括恶意攻击或者接入传输网络,获取个人信息。
由于在传输层起到核心作用的是互联网,传统的互联网弊端也会在该层次显现。私权领域,如从感知层收集到的信息在进行传输的过程中,犯罪分子利用黑客软件、插件等拦截信息,并对信息的内容进行相应的处理后反馈至信息主体,信息主体出于信赖泄露自己的个人信息。2017年,张素静等诈骗、提供侵入、非法控制计算机信息系统程序、工具、故意毁坏财物、信用卡诈骗案中,张素静用能够读取手机系统内短信、联系人信息等并将上述资料发送到指定邮箱的恶意程序,篡改了通知信息后将其发送至指定手机,被害人一旦点击信息中的链接,木马程序就会自动植入手机。张素静利用此程序拦截下手机的短信、信用卡信息以及动态支付验证码信息等,非法获取信息主体的个人信息。公权力领域,美国的棱镜门事件也应警醒我们,某些国家机关采取强势手段得到相关公司的授权后,接入信息系统对公民进行监听、监视,截取、收集通话记录、邮件内容等大量个人信息,此举令人心寒的同时也让众多信息主体担忧个人信息的法律保护问题。
(三)处理层
物联网处理层主要是在智能处理平台上对传输层的信息进行分析处理,在处理时最重要的问题是在庞大的信息群中如何识别恶意信息。智能处理平台既有自动化的程序智能处理,也有人为干预。智能化处理是全自动的处理,恶意信息就有可能巧妙避开程序的处理从而没有被过滤出去;在人为干预时,如工作人员素质不高,可能会出现工作人员恶意利用职务之便窃取处理平台中的个人信息,损害信息主体的个人信息权的情形。以智能处理为例,面对海量的信息数据,如果光靠人工审核和筛查是不现实的,因此在物联网处理层主要还是依靠计算机智能程序对大量的数据信息进行分析和处理。这样的全自动化的处理模式虽然快速高效,但容易出现被外界非法分子用恶意程序攻击从而进入数据库窃取个人信息,或者一些恶意信息未被过滤处理而反馈至信息主体处,给其造成经济损失等问题。这些问题的原因可能有对个人信息的加密程度不够,智能处理程序仍存在漏洞,没有及时更新等。
四、个人信息权的法律保护路径基于目前我国物联网各个层次存在的安全隐患以及存在个人信息保护法律法规体系不健全、信息主体缺乏信息安全意识等问题,本文结合国外建立个人信息保护法的相关经验及《民法典》等现行法律规定探讨个人信息权的法律保护路径。
(一)明确个人信息权的独立人格权地位个人信息应当作为一项独立的权利加以保护。理由有三点:一是从《民法典》人格权编中可以看出已经将个人信息纳入人格权范畴中予以保护,其与人格权的根源有着内在一致性,是人格权在信息时代发展中形成的一种新型的权利类型;二是体现了对人格尊严和自由的保障,能够充分保护个人对其信息的自主决定权和支配权;三是信息主体可以通过维护个人信息权的理由,提出人格权诉讼。因此本文认为将个人信息定义为一项独立权利是未来个人信息保护法需要完善的一部分。
(二)个人信息权的法律保护范围应涵盖公权和私权领域纵观德国个人信息保护法的发展历程,学界对个人信息权的保护是否涵盖公权和私权领域的讨论观点是贯穿个人信息保护法发展的重要因素。学界对于个人信息保护法的讨论层出不穷,随着立法弊端的显现主要形成了四种观点:第一种观点认为个人信息保护法只需要规制公权力领域即可;第二种观点认为要侧重规制非国家领域的侵害个人信息的行为,因公民不认为商家侵害个人信息权是由于消费者缺乏知情权,非国家机关基于此暗中建立了大规模的数据库,长此以往会显示出比国家机关的干预更为严重的弊端;第三种观点认为公权力和私权力对侵害个人信息权都有影响,一部完整的个人信息保护法应该将两个领域都涵盖在内;第四种观点承认第三种观点的说法,但是在此之上他们认为公权力和私权力的影响个人信息权的方式不同,不能一概而论,立法在涵盖两个领域的同时应当再根据公权力和私权力特征的不同进行分别规制。
由此来观我国目前个人信息保护的发展现状,就先前分析物联网领域存在的个人信息权的安全隐患来看,有来自公权力领域的国家工作人员法律意识不高,利用职务之便窃取个人信息的侵害,也有市场上无良商家对个人信息加密程度不足,使得个人信息泄露的侵害。可以看出我国在公权力领域和私权领域都有对个人信息权的侵害,关乎到公民的经济状况、生活安宁等各方面,因此本文认为在个人信息保护法的立法进程中,涵盖公权力领域和私权力领域的个人信息保护法是大势所趋。并可以在基于我国发展现状的同时,借鉴德国在个人信息保护法各个阶段的立法动向,选择适宜我国的其他立法举措。
(三)明确“知情同意”的方式和内容
《民法典》第1035条及《个人信息保护法(草案)》(以下简称为“《草案》")第13,14条等都提到了处理个人信息需取得信息主体的同意,《草案》还提到了应当在个人充分知情的前提下获取个人信息、如果其它法律和行政法规有规定应当取得个人单独同意或者书面同意的要从其规定,但是就现行的《网络安全法》《关于互联网用户个人信息保护规定》等相关规定中并未就个人何时需要单独同意、哪些需要书面同意等作出细致的规定。由于信息主体需要同意的内容不同,不可能通过制定一种统一的方式获得授权,如果采取格式合同来获取授权也会有侵害信息主体利益的可能性。本文认为今后其它法律法规在制定个人知情同意的具体条款时,应当符合《草案》的精神,考虑个人信息的公共价值和信息主体的利益,遵守信息保护和信息合理正当使用平衡的原则。
(四)体现物联网时代的前瞻性。
物联网技术在不断发展,数据也在无时无刻地收集,个人信息保护的边界可能会进一步地模糊,物联网时期的《个人信息保护法》需要对当下已经产生的个人信息实际争议作出回应,要知悉个人信息对未来数字经济发展的重要性,既要为个人信息保护作出宏观的指引性规定,又要为物联网时代的变革留下空间,同时也要平衡多方利益,从信息主体、物联网行业、国家的角度多作考虑。
参考文献:
[1]郑维炜个人信息权的权利属性、法理基础与保护路径[I法制与社会发展,2020,26(06):12-139.
[2)程德理,赵丽丽个人信息保护中的“识别”要素研究1河北法学,2020,38(0):44-54
[3]李海荚,徐小露人工智能时代中国个人信息保护法的选择U.北京航空航天大学学报(社会科学版),2020,33(03:17-24.
[4]王利明.论个人信息权的法律保护—以个人信息权与隐私权的界分为中心D.现代法学,2013,35(04):62-72.
[5]张里安,韩旭至大数据时代下个人信息权的私法属性1]法学论坛,016,31(03:19-120.
[6]杨惟钦价值维度中的个人信息权属模式考察-以利益属性分析切入1.法学评论,2016,34(04):66-75.
[7]齐爱民,李仪.论利益平衡视野下的个人信息权制度-在人格利益与信息自由之间[].法学评论,2011,29(03):37-44.
[8]郑文明.新媒体时代个人信息保护的里程碑--“谷歌诉西班牙数据保护局”案解读[1.新闻界,2014(23):76-80.
[9]李欲晓,物联网安全相关法律问题研究[J].法学论坛,2014,29 06):2-24.
[10]陈奇伟,刘倩阳.大数据时代的个人信息权及其法律保护UJ.江西社会科学,2017,37(09):187-194.
[11]蒋舸个人信息保护法立法模式的选择-以德国经验为视角]法律科学(西北政法大学学报),2011,29(02):113-120.
[12]吕艳滨,论完善个人信息保护法制的几个问题U].当代法学,2006(01):5-62.
[13]高启耀,翟云岭物联网发展与隐私权保护的协调共进[1].甘肃社科学,2016(05:195-200.
[14]武传坤,物联网安全架构初探[J].中国科学院院1,2010,25(04):411-419.
[15]王泽鉴著人格权法[M].北京:北京大学出版社,2013.