收藏本站
《西南政法大学》 2016年
收藏 | 手机打开
二维码
手机客户端打开本文

大数据时代个人信息保护研究

李媛  
【摘要】:古往今来,个人信息就在不同层面被采集、处理、利用与传递。在互联网尚未普及、信息技术尚未得到发展的年代,个人信息的保护方法相对比较简单,只要设定相应的法律规则,进行必要的物理与人员上的管制,就能在很大程度上杜绝信息的滥用。因此,在很长的时间里,个人信息的保护并不成为问题,但随着信息技术的飞速发展,移动互联的普及,大数据时代的到来,在数据采集、数据集成与融合、数据分析与存档的整个数据生命周期中,无限度的信息挖掘、信息滥用、信息侵权行为时时发生。强大的数据处理能力与普遍存在的对个人信息的侵害,使得保护个人信息的呼声日益高涨。论文第一章分析了大数据时代,个人信息保护面临的典型风险。这些风险与挑战主要体现在以下五个方面:第一,伴随着移动互联的兴起、手持设备的广泛应用与网上跟踪技术的迅速发展、个人信息的采集行为日益密集和隐蔽,“请勿跟踪”的隐私协议成为保护个人信息的“君子协议”,效用有限。第二,公权力强行要求商业机构留存用户个人信息,呼啸而来的大数据使得政府巨型数据库与商业机构两者之间的信息开始交换与融合,通过对多重来源的个人信息进行比对与交叉验证,机构能实现对个人线上和线下行为的实时追踪与监控,人们无处遁形。由于跨国监控的存在,公民的个人信息权遭受严重损害。为欧盟与美国之间跨国数据传输提供法律依据的《安全港协议》,因欧洲法院认定美国没有达到保护欧盟公民信息的充分性标准而被判无效。第三,由于预测性分析中潜藏着设计者的价值判断与思维观念,而数据分析与利用又缺乏相应的正当程序保障,歧视与对个体的差别对待时有发生。第四,信息的云端储存与普开的“后门程序”严重削弱个人对自身信息的控制,个人对信息的储存、处理、披露与商业化利用一无所知;第五,个人信息被视为当代经济中的“新石油”,在数据开发商业价值的驱动下,信息的挖掘、使用与交易已形成非法商业链条,个人信息的售卖与购买变得非常容易,这些风险对个人信息的保护都构成了严峻挑战。第二章,对传统个人信息保护框架难以应对时代挑战进行了深入解析。传统框架以个人信息的定义作为法律保护个人信息的前提与边界,对个人信息的界定一般以身份的“可识别性”为标准。尽管这是一个开放的法律界定,但从20世纪70年代个人信息保护法诞生之初来看,具有“身份识别性”的信息较为有限,此种定义方法能满足当时的需要。个人信息保护的基本原则也能为信息保护的具体规则提供有效指引。然而,随着大数据时代的来临,技术变革、信息共享以及数据再识别已使得个人身份可识别信息的范围不断拓展,法律保护边界愈发模糊,准确界定个人信息的保护范围面临诸多困境。失之过窄,无法规制大数据环境下数据利用的风险;失之过宽,无法在公民个人权利的保护与促进技术发展之间做好平衡。而传统信息保护的规制手段,“告知-同意”框架、匿名化、模糊化技术逐渐失去效用。现阶段,尚无很好的办法解决通过技术手段从匿名化、模糊化数据中挖掘用户真实身份的行为,也缺少有效的方法解决“告知-同意”框架有效性不足的问题。数据信息中潜藏的价值已使得政府、企业走在了对个人信息如饥似渴的追逐道路上。通过使用新的方法学,回避现行个人信息保护的方式,信息控制者、信息处理者有效地绕过了现行监管模式,这也毁掉了人们对信息的控制。在经济利益的刺激下,信息保护的基本原则被普遍违反、形同虚设,责任追究难度加大;而已有的法律制度与行业自律模式又远远滞后于信息技术的发展。大数据时代,传统个人信息保护框架难以应对时代挑战。第三章,从理论上廓清现有学说的不足。当前,较有影响力的信息保护的理论学说多出自英美学界,大体有如下四类:第一,个人信息控制权学说;第二,个人信息财产保护权利学说;第三,隐私经济学理论;第四,隐私合理期待理论。个人信息控制权学说将个人置于个人信息利用决策的中心,体现了自由主义的自治原则,但信息的自我决策具有局限性;来自公众问责、政治理性和商业实践三个方面的障碍使得信息隔绝存在难度。个人信息的财产权保护学说尝试从财产法及财产理论中探索替代性的信息隐私保护方案,使个人从信息交易的现行市场中获利,实现个人信息控制权的回归。而个人信息并不具有竞争性、市场失灵及公共产品的属性充斥在反对个人信息财产权保护的意见中。隐私信息经济学理论认为,许多以隐私之名出现的东西,只不过试图隐藏人们行为中不光彩的方面来增加我们的商业和社交机会;而隐瞒的动机往往是试图误导他人,这会增加交易成本。隐私合理期待理论,则需要从国家或社会的整体角度出发,判断民众对涉案信息的价值标准与隐私期待。其不足之处在于,适用标准复杂,事实依据非常灵活,基本上由个人判断、政治社会环境等不确定因素来决定,这会造成部分适用上的障碍。对于信息保护,这四种学说皆有可取之处,然而,随着社会经济和科技文化的高度发展,又都暴露出自身的局限性。理论学说的不足之处也是当前时代对信息保护不足的表征。当然,无论具备何种缺陷,它们在构建信息保护制度的过程中都起到了至关重要的作用。第四章,对欧美个人信息保护的最新立法改革与司法实践进行了比较法考察。欧盟展开的新一轮信息保护的立法改革表明,个人享有的信息权利与现有的监管机制都处于危机之中。改革呈现了对个人信息权利保障的关切,体现在如下方面:第一,强化信息主体的地位。比如对同意规则的强化,新增两项控制性权利:信息的可移植性权利、被遗忘的权利。现阶段,这两项权利更多呈现出一种倡导性、宣誓性的价值取向。第二,明确个人信息保护的义务与责任。信息的处理需符合信息主体的合理期待;信息控制者与信息处理者在义务与责任分配不明时,对外承担共同连带责任。第三,正尝试从传统的“同意与合理使用”的二分法中脱离出来,引入了一种以风险为基础的信息保护方法来替代传统二分法。第四,改善数据保护的实施与程序规则。通过划定信息所属类别,对个人信息进行不同程度的保护;引入问责制;对个人信息保护默认设置状态进行要求;引入信息保护影响性评定制度。第五,监管机构的权力得到加强,新增信息保护机构的联合行动,惩罚措施更为严厉。而美国的《消费者隐私权法案》强化了“告知与同意”框架,强调了企业在保证信息安全、数据准确、查阅权、收集控制方面的安全责任,同时也新增了问责制的规定。美国的其它立法与修法活动则体现了对特殊敏感信息的严格保护。在司法实践方面,欧洲法院对被遗忘权进行了确认,但现阶段,一个广泛意义上的“被遗忘权”并不存在。它的适用需限定到特定领域对信息主体过往负面信息进行披露与使用的限制方面。第五章,提出了大数据时代个人信息私法保护突破与完善的对策建议。如何在信息的自由流动与个人信息保护间寻求平衡,成为各国立法者关注的焦点。个人信息保护,无论采取自由主义还是威权主义的立场,皆会引发系统性风险。对个人信息的保护并不意味着站在了反对知识与社会进步的对立面,它是自由民主政治制度中不可或缺的象征,是创新的基石。个人信息私法保护应在以下几个方面寻求突破与完善:第一,确立个人信息保护的价值目标。尊重个人的人格尊严与自由,保护公民隐私;避免个体与社会的共同价值观沿着因循守旧的老路前行;培育民众的批判精神,促进自由、民主、多元社会的建构应成为个人信息保护的价值追求。第二,界定个人信息保护的调整范围。大数据的出现使得个人信息保护的边界日益模糊,范围不断扩展。“个人身份可识别信息”的概念成为个人信息保护法的基石,决定着个人信息保护的范围,虽最难定义却又不能摒弃。我们需要避免对“个人身份可识别信息”的界定向美国式的还原主义方向演进,又要避免向欧盟式的扩张主义方向发展。第三,调整个人信息保护的基本原则。基本原则在效力上是贯穿个人信息保护法始终的根本规则。应认识到“可识别的信息”与个人信息保护基本原则适用间的相关性。经济合作与发展组织所确立的限制收集原则、信息质量原则、目的特定原则、使用限制原则、安全保障原则、公开原则、个人参与原则、责任原则,影响范围最广,也最具代表性,但在信息技术日新月异的今天,基本原则的适用也具有时代局限。限制收集原则的使用需区分情境,目的特定与使用限制原则应修改为情境一致原则。第四,丰富个人信息权内容,强化义务主体责任。条件成熟时推出被遗忘权与数据可移植权利;强化对义务主体个人信息保护的透明度要求,引入个人信息保护的默认设计状态与信息保护的影响性评定制度;另外,义务主体对外承担责任的形态上,鉴于信息主体对谁是信息处理目的与方式的决定者在判断上往往会产生困难,法律上应规定义务主体对外承担连带责任的情形。第五,探索个人信息保护的财产权路径。当个人信息成为社会发展所必需且为各路竞争者竞相争夺的资源时,个人信息商品化与自由转让交易市场便开始萌芽。信息产业几乎攫取了个人信息中的所有财产性利益,而个人才应成为信息财产权之初始性权利的主体。产权形成与初次分配理论为个人信息的财产权保护制度提供了理论支撑。现阶段,需要确立信息财产权的归属,探索构建个人信息财产权的有益模式。对个人信息使用权及转让权进行限制、事前同意的默示规则、自主退出的权利、损害赔偿制度与公共机构的监督是构建个人信息财产权保护模式不可或缺的五个方面。第六,构建个人信息保护的正当程序保障。预测分析是大数据的核心,但数据分析的算法存在盲区,分析得出的数据并非总是完美无瑕,结果也并非完全与事实相符。当基于大数据分析做出的决定会影响到主体的切身利益及所享有的重要机会时,需要为个体提供正当程序的保障,为公民质询大数据分析的逻辑与结果提供机会。大数据时代个人信息保护需转变思路。法律对个人信息的保护应更多关注信息处理、利用行为可能引发的风险,而非将重心聚焦在是否通过正常途径采集信息的行为上。在思维模式上,我们需要从强调个人的知情许可向强调让信息控制者、处理者承担责任转变。信息保护的任务是通过实质性的原则与程序条款,平衡个人数据处理中的收益与风险,以确保数据信息处理中的利益为人们所利用,并隔离掉其中可能对个体与社会产生的负面影响。
【学位授予单位】:西南政法大学
【学位级别】:博士
【学位授予年份】:2016
【分类号】:D923

手机知网App
中国知网广告投放
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026