原标题:如果“脸书泄密”发生在中国,会违反什么规定?| 新京报专栏

按照隐私法律逻辑,平台采集和使用用户隐私既要符合法律界限,又要事先告知用户并征求许可。网络隐私就像一把双刃剑,法律需要保证的就是剑柄应该握在用户自己手里。

▲图/新京报网▲图/新京报网

文 | 朱巍

最近,脸书(facebook)公司涉嫌滥用用户数据事件引发全世界对网络隐私的恐慌情绪。3月中旬,脸书承认,曾在2016年帮助特朗普赢得美国总统大选的数据分析公司剑桥分析(Cambridge Analytica),违规获得了5000万脸书用户的信息。

与此同时,3月26日,百度CEO李彦宏在中国高层发展论坛上关于“中国人很多情况下愿意用隐私换取便利、安全或效率”的言论也引发广泛争议。

对隐私问题,我国有多层立法模式

那么,用户在大数据时代中的隐私权界限到底是什么?这就必须从网络时代隐私权的法律逻辑谈起。

民事法律层面的隐私权作为一种具体人格权,在性质上属于绝对权和对世权。换句话说,就是除了权利人本人以外的所有主体,包括但不限于网站、其他网民、第三人等都是这种权利的义务主体。同时,隐私权作为民事权利也可以由权利人自己进行处分,比如,在网上公开自己的信息,授权给依法成立的征信公司获取数据,还包括与平台签订协议,为了自己的利益让与一定权利内容等方面。

▲图/新京报网▲图/新京报网

从网络实践看,网络隐私的范围很大,既包括用户的身份信息,也包括网络行为产生的数据。网络身份信息涵盖用户实名身份信息、注册信息和虚拟地址信息等足以精准到个人信息的数据,在法律性质上仍属于传统隐私权涵盖范围。至于网络行为产生的数据信息,因直接或间接都无法精确到自然人,所以法律性质更像是知识产权。所以,以网络实践为基础,在立法上,我国对隐私出现了多层立法模式。

一是,严格保护传统隐私权——用户个人信息,我国以扩张解释的系列刑法修正案构建起隐私保护的最严厉底线。

二是,区分个人信息与大数据之间的关系,《网络安全法》第76条明确了法律所保护的个人信息范围,即“单独或者与其他信息结合识别自然人个人身份的各种信息”。换句话说,除此之外的数据信息则属于大数据性质,不在隐私权保护体系范围之内。我国《民法总则》在三审稿中,曾将数据信息权明确列为知识产权客体,后因数据信息与隐私权关系尚未得到立法明确界定,出台时删除了这一款,以待即将出台的《个人数据保护法》再做最后定论。

三是,明确个人数据控制权。从2012年《全国人大常委会关于加强网络信息保护的决定》开始,到《网络安全法》,再到《侵权责任法》及其司法解释,都分别将用户数据控制权作为人格权的重要基础性权利。特别是2017年全国人大常委会开启的“一法一决定”执法检查中,重申了用户对自己数据的控制权,明确将账号删除权也作为执法重点,可见,最高立法机关对个人数据控制权的重视程度。

多层立法模式是为适应新经济发展

从立法现状的角度看,网络隐私保护的法律逻辑在于三点。

首先,身份信息等敏感信息是法律保护最高等级,任何人触犯都将受到刑事法律最严格的处罚;其次,对大数据等不可识别的隐私信息更像是知识产权,按照商业规则和惯例,以“合法性、正当性和必要性”的基本原则进行处理;最后,强化用户对自己数据的知情权、控制权和处分权,确保数据权掌握在用户自己手中。

多层级的网络隐私法律逻辑,主要是为了适应网络大数据经济发展需要。大数据的来源与它的商业价值一样广泛,其中用户数据是各个平台最重要的数据源之一。用户网络行为到底属于什么性质,决定着商业使用与隐私权之间的微妙关系。

网络平台采集用户行为数据进行商业使用的合法前提至少有三个:一是未经用户允许不得采集、使用和处分具有可识别性的身份信息;二是即便在征求用户同意之后,也不得违反法律规定或约定过度化使用,整个过程必须遵循“合法性、正当性和必要性”基本原则;三是平台在技术上和制度上,要确保用户充分享有对自己数据的知情权、退出权和控制权。

脸书违规获取数据侵犯公众隐私权

按照这种法律逻辑,假如“脸书”事件发生在中国,会违反什么规定,又该担何责?我们可以对该事件的几个重要行为进行分析。

第一个行为,涉事机构——剑桥分析委托脸书进行数据调查,其目的在于预测大选结果,而脸书却以“性格测试”为幌子,让27万用户在不知情的前提下提交了自己身份信息和社交信息。

▲图/新京报网▲图/新京报网

第二个行为,脸书通过27万参与用户为渠道,获取了他们超过5000万的社交好友资料,并转交给委托方。

第一个行为违法的根本原因在于,脸书对用户进行了诱导欺诈,获取他们个人信息目的不在于性格测试研究,而在于政治选举预测。这就直接导致用户授权属于“伪授权”,换句话说,脸书违法获取用户个人信息数据并以商业模式转让给第三方。

第二个行为违法之处更为明显,参与测试的只有27万用户,而脸书获取的个人信息却超过5000万个。也即,绝大多数用户在完全不知情的情况下,个人信息被脸书伙同其他“好友”非法转让给第三人,这是典型的侵害个人信息犯罪的范畴。

按照隐私法律逻辑换个角度,假设脸书从最开始就明确告知用户参加的项目是什么,所搜集、处分的信息类型、用途、期限等明确告知用户,经用户同意后再行处理的话,这个事件的性质就会大不一样。

企业获取数据前提是用户知情

而李彦宏关于“隐私换便利”的言论,之所以引发网友反弹,则在于大多数时候,他们是不得不让渡自身某些隐私来换取便利、安全或效率。

按照上文的法律逻辑,平台采集和使用用户隐私既要符合法律界限,又要事先告知用户并征求许可。如果用户知情并“愿意”这样做,用隐私利益换取安全、效率和便利,某种程度上是可以接受的。例如,我们使用车载导航系统,用导航前提是平台知道我们的具体位置隐私,一旦车辆发生碰撞等意外,有的互联驾驶系统会自动报警或通知家人。而家人的电话号码或车辆突发事件都属于隐私,为了用户安全考虑,在事先征求用户同意的基础上,用“隐私有条件地换便利”也未尝不可。

但是,同时,平台利用用户隐私需要基于用户利益和遵循用户协议。互联网免费经济时代中,网民免费使用绝大部分网络服务的基础,在于平台可以通过精准广告等大数据模式获取商业利益。在用户许可的情况下,让渡隐私权中安宁权的一部分,通过接收广告等方式支付网络服务的“对价”,让免费使用服务的用户也变成消费者,受到更好的法律地位,这就是互联网经济的实践现状。

当然,我们强调隐私保护,也不是去否认网络的商业逻辑,而是必须遵循隐私的法律逻辑。网络隐私就像一把双刃剑,法律需保证的是剑柄应该握在用户自己手里。

标签: none

评论已关闭