无论是网络安全法,还是消费者权益保护法等法律规范,都明确规定收集、使用个人信息要经过信息主体的同意,但现实当中,有些经营主体在收集个人数据时,没有遵守法律的相关规定。
实践中存在诸多大数据应用乱象,是因为国家层面尚缺乏统一、专门、全面的国家大数据法律。
未来的国家层面大数据立法,需要确立数据权属法律制度,明确数据权属主体资格;确立数据采集法律制度,明确数据采集的范围和限度;确立数据存储法律制度,明确数据存储的内涵,存储主体及其权利义务和责任等
法制网记者 陈磊
当时针指向晚上10点,在北京市望京地区一座高端写字楼内加班的王丽,收拾东西准备回家。
乘坐网约车是王丽对自己加班的犒劳。她打开某网约车平台,输入上车地点后,下车地点自动蹦出来一个地址,某某大厦——位于她家旁边的一座写字楼。她点击确认,然后开始等待平台派车。
作为某网约车平台的长期用户,她知道,自己的每一次出行信息,都在生成数据,什么时间、从什么地方出发、去了什么地方,一目了然。
她有时会想,平台收集自己的信息有依据吗?这些信息属于谁所有呢?
我们的信息是别人的数据
王丽早年毕业于北京一所知名大学,如今是一家科技金融公司的中层骨干,由于公司事务繁忙,加班对她来说是常事,好在她家也在望京。
下班后,王丽总是乘坐出租车往家赶,但并不总是有出租车在楼下等着,所以,等出租车就成了她的一件烦心事。
“最怕冬天等出租车,等上几分钟,浑身就冻得打哆嗦。”她说。
几年前,一种叫网约车的新事物出现在北京,通过手机下载网约车平台,输入上下车地点,就可点击约车。
这对王丽来说可是好事儿:下班前在办公室约好车,等车到了再下去,上车就走,10分钟内就能到家。
几年过去了,王丽的手机换了三四部,但手机上总是至少有两家网约车平台,方便她约车。
去年年底的一天晚上,王丽像往常一样,打开某网约车平台,输入上车地点后,突然发现平台显示的下车地点处出现一行小字,正是她家小区地址,也是她经常输入的下车地址,后面还有一个小“×”。她没有多想,顺手点击确认,约车成功。
在回家的路上,王丽开始思考这件事情,这相当于平台根据过往乘车信息,推断出自己的下车地点,这意味着,根据数据就能知道自己的上班和居住地点。
网约车还是要坐,无奈之下,王丽在选择下车地点时,或者选择小区附近的写字楼,或者选择附近的饭馆,或者到小区门口下车,或者到目的地后再走回小区。
过了一段时间,虽然平台还会提示目的地,但王丽总是直接点击小“×”后输入其他地址,而且自己所在小区的名字再也没有出现了。
王丽发现,不但自己乘坐网约车有推荐地址,甚至自己在网上搜索一种商品后,电脑页面就开始推送这款商品。
最近,王丽所在单位的投影仪坏了,需要买一台新投影仪。鉴于王丽熟悉设备,领导让她负责购买。
王丽在某平台上搜索相关产品,挑中了一款性能稳定、技术先进、价格合适的投影仪,但第二天开始,她只要打开网页,这款产品的广告就出现在电脑页面上。
对于这种广告推送,王丽还是比较反感的,“我搜索商品,并不一定就要购买,这种基于搜索数据进行的强制性推送,令人讨厌”。
在王丽看来,更为深层次的疑问在于,这样收集自己的信息并进行大数据推送,是不是侵犯了自己的权利,“凭什么自己的信息就成了别人的大数据”?
过度收集个人信息违反法律
王丽的疑问并非个例。
2017年8月至10月,十二届全国人大常委会执法检查组于“一法一决定”的实施情况进行了检查,“一法”是网络安全法,“一决定”是《全国人民代表大会常务委员会关于加强网络信息保护的决定》。
同年年底,十二届全国人大常委会执法检查组报告称,“用户个人信息保护工作形势严峻”。
报告中披露的“万人调查报告”显示,“一法一决定”关于用户个人信息保护的多项制度落实得并不理想。
有52.1%的受访者认为,法律关于“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,必须明示收集、使用信息的目的、方式和范围”的规定执行得不好或者一般;有49.6%的受访者曾遇到过度收集用户信息现象,其中18.3%的受访者经常遇到过度采集用户信息现象;有61.2%的人遇到过有关企业利用自己的优势地位强制收集、使用用户信息,如果不接受就不能使用该产品或接受服务的“霸王条款”。
许多受访者反映,当前免费应用程序普遍存在过度收集用户信息、侵犯个人隐私问题,但几乎没有受到任何监管和依法惩处。
在中国政法大学互联网金融法律研究院院长李爱君看来,这正是我国目前大数据应用实践当中所存在的主要问题。
《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定:网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意,不得违反法律、法规的规定和双方的约定收集、使用信息。网络服务提供者和其他企业事业单位收集、使用公民个人电子信息,应当公开其收集、使用规则。
2017年6月1日起施行的网络安全法第四十一条规定:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
李爱君告诉《法制日报》记者,无论是网络安全法,还是消费者权益保护法等法律规范,都明确规定收集、使用个人信息要经过信息主体的同意,但现实当中,有些经营主体在收集个人数据时,没有遵守法律的相关规定。
李爱君认为,公民个人的选择权和知情权也没有受到应有的尊重。
她向记者举例说,当我们准备接受网络上一个服务时,网页会弹出一个对话框,问你“拒绝”还是“允许”,一旦我们选择“拒绝”,后续的相关服务就享受不了。
“这就是没有给予消费者选择权。”李爱君说,此外,在实践中,还存在收集信息过量等问题。比如我们在使用手机注册一些应用时,还经常被要求同意收集头像、通讯录、位置信息等。
亟需制定专门大数据法律
在贵州省社会科学院院长、贵州省大数据政策法律创新研究中心主任吴大华看来,实践中存在诸多大数据应用乱象,是因为国家层面尚缺乏统一、专门、全面的国家大数据法律。
吴大华也是近日由社科文献出版社出版的《贵州法治发展报告2018》的主编,贵州正是国家级大数据综合试验区。
吴大华对《法制日报》记者说,目前,我国涉及数据领域的法律规范多散见于民事、刑事等基本法律和国家立法机关出台的特别规定等法律文件之中,随着国家大数据战略的全面实施,大数据基础性、全局性的问题亟待国家立法破解。
但在国家立法计划中,并无大数据统一、专门立法。
中国政法大学传播法研究中心副主任朱巍告诉《法制日报》记者,关于大数据立法,国家确实还没有实施这项工作。
吴大华认为,目前,国家层面大数据立法存在诸多障碍。一是数据权属内涵亟待法律明确,这是大数据产业发展的基础性问题。二是数据主权内涵亟待法律明确,这是大数据作为国家基础性战略资源的全局性问题。三是大数据“聚通用”关键环节架构及法律效力亟待法律明确,这是推动国家大数据战略性基础资源发挥效用的关键问题。四是大数据创新应用合法性亟待法律明确,这是推动大数据产业发展、释放大数据红利的关键问题。五是大数据安全保障亟待法律明确,这是保障大数据健康发展和应用的基础性问题。
在李爱君看来,目前国家层面大数据立法的障碍,从理论上说,就是大数据领域的一些问题还没有达成共识。
“比如说数据权利的属性,有人说是物权,有人说是知识产权,有人说是新型民事权利,没有形成共识。”李爱君说,“我认为是一种新型民事权利,因为数据权利既有人格权属性,又有财产权属性与国家主权属性。”
李爱君认为,如果能够破解大数据权利的性质是什么、权利如何归属、权利如何保护这些问题,“立法的障碍应该没有了”。
朱巍说,目前大家对大数据性质还存在争议,比如在民法总则制定过程中,曾经在知识产权的客体中加了一条,即数据信息权,后来,包括他在内的专家提出,如果将数据信息归为知识产权,那么其中会存在权利冲突,最终,数据信息权这一条就被拿掉了。
在朱巍看来,只有大家把这些问题弄明白了才能推动立法工作。
在大数据立法领域,作为国家级大数据综合试验区的贵州已经在探索,《贵州法治发展报告2018》梳理了其中的进程。
2016年,贵州在全国率先出台大数据地方法规《贵州省大数据发展应用促进条例》,着眼于大数据发展应用的系列环节和数据共享开放、数据安全等重点内容进行规范调整。
2016年9月,贵州省设立全国首个直属省政府正厅级大数据发展管理机构——参公事业单位:贵州省大数据发展管理局,专门负责大数据领域相关地方法规规章的起草等工作。
2017年4月,贵阳市出台《贵阳市政府数据共享开放条例》,成为全国首部政府数据共享开放地方性法规。
吴大华建议,由于大数据涉及领域和环节众多,可以从激励和促进角度考虑先行制定总括性、统一性、专门性的大数据发展应用促进法,首先明确国家大数据发展体制,明确一个职能机构统一管理国家大数据发展、统筹实施国家大数据战略。
在吴大华看来,未来的国家层面大数据立法,需要确立数据权属法律制度,明确数据权属主体资格;确立数据采集法律制度,明确数据采集的范围和限度;确立数据存储法律制度,明确数据存储的内涵,存储主体及其权利义务和责任等。