数据、算法时代的个人隐私保护|专栏文章

《法律与生活》杂志专栏文章

我们生活在一个被数据和算法驱动的时代里。一方面,商业机构对数据的渴望愈加强烈;另一方面,普通用户对高强度的信息收集和使用却感到恐惧,用户和信息使用者的关系日益紧张。

不可否认,带有个人信息和隐私的数据十分具有商业价值,同时又影响我们每一个人的生活安全与安宁。如何让这两个领域并行不悖,让网络用户和信息使用者各自找到“舒适区”,其中的难度不亚于走钢丝,在平衡木倾向于一侧的时候需要适时地调整回来。

在这个过程当中,法律人正在做出不断的创新和努力。现在已经有了大量与个人信息保护和数据利用有关的立法规定和司法判例。2021年,浙江垦丁律师事务所创始人、主任张延来将在“数据法则”专栏中,让更多的企业和用户知道这些规定所适用的场景,以及如何解决我们在现实中遇到的问题。

被技术“碾压”的隐私
“隐私”是最近几年被高频提及的词汇。这个概念的发展和演变,与技术特别是通信技术的发展有着很深的渊源。最早是邮政系统的发展,包括信件传输和电报,这样的技术应用使人们可以借助文字一对一远程沟通,而在信件传输过程中,英国就有立法要求邮政人员不得私自拆开信件或包裹。
当下,互联网在中国的发展速度惊人,技术给隐私带来的挑战超出了绝大多数人的想象。我们用手机在某个应用中输入一些关键词,或者看了某个主题的文章,接下来打开另一个电商平台应用,可能就会出现与我们前面浏览内容相关的商品推荐,这在行业内叫作“精准推荐”。
还有不少人发现,在某一个商旅平台购买机票,选同一个航班得到的报价要比其他人高,而且越是某个平台的老用户,看到的报价就越高。这种操作又让我们接触到一个概念叫作“大数据杀熟”。
进入移动互联网时代,人们整体的感受就是互联网越来越了解我们。因为“网络是有记忆力的”,我们的每一个操作、每一个行为都被精准地记录下来,汇集出的数据最终可以精确地描绘出每个人的特征。这便导致了一个比隐私发展早期更复杂的问题,那就是隐私超出了个人所在的物理空间,而被大量的第三方服务机构通过技术自动记录,就好像许多双眼睛一刻不眨地盯着你。
2018年,酝酿了5年之久的《电子商务法》出台,其中第18条备受关注:“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项”,这一条被认为是立法对“大数据杀熟”行为的否定性回应。但在实际应用场景中,大量的数据“杀熟”恐怕不是通过搜索完成的。事实上,我们打开某个平台主页,上面呈现的商品信息就已经根据我们的个人特征被编辑过了,也就是所谓的“千人千面”。
当然,搜索引擎也没有被“放过”。百度就曾因根据用户搜索关键词进行推荐而被用户起诉,但法院经过二审判决,认为不构成侵害隐私权。从判决说理上看,法院还是提供了一个比较严谨的逻辑,其认为百度先是通过隐私条款获得了通过Cookie(储存在用户本地终端上的数据)记录用户检索偏好的默示授权,接下来又对这个用户进行了点对点的信息推荐,并没有将信息发送给其他人,进而不会导致隐私的泄露。
此案使“精准推荐”模式获得了法律上的认可,但实践中,很多应用并没有像百度一样做到规范收集和推荐信息,而是静默收集,然后共享给不同的服务商。于是就出现了前文说的,你在一个应用中的行为特征又在另一个应用中被识别和使用。
技术对隐私的“碾压”正是在这些用户很难感知的场景下完成的,以至于在很多场景下,不仅仅是技术的开发者,大量的网络用户也使用这些新技术“揭发”“曝光”另一些用户的隐私,最典型的莫过于“人肉搜索”。
隐私的法律权重弱于个人信息
《民法典》颁布之后,我们欣喜地看到个人隐私作为一项权利被确定下来,同时,《民法典》还明确规定了隐私权涵盖的范围,包括生活安宁以及私密信息两大方面。但这些规定大约只提供了一个框架,在实践中,如果要在纷繁复杂的网络应用场景中做到对隐私的保障,还有很长的路要走。
笔者代理的用户诉某短视频平台侵害个人隐私案中,法院一审认定用户手机号、通讯录中的社交关系等信息不属于个人隐私而是个人信息,即便这些信息未经用户授权被收集,也不构成侵害隐私权,而只是构成侵害个人信息。
司法上的态度跟立法基本保持一致,就是对个人信息的强调程度远高于个人隐私。《网络安全法》中有大量规定与个人信息保护相关,《个人信息保护法》草案也已经公布,这些都说明在法律层面,个人隐私尚不及个人信息重要。当然,这个结果可以理解为:一方面,个人信息与国家网络安全密切相关;另一方面,个人信息具有个人隐私所不具备的财产和商业价值。
实务中,隐私方面的维权也更为艰难,权利人要同时提供三个层面的证明:一是信息构成隐私;二是侵权行为导致了生活安宁被打扰或者私密信息被泄露;三是权利人因此出现了明显的损害后果。这三个层面的证明都颇具难度。考虑到这种隐私损害通常也达不到“精神疾病”的程度,因此多数权利人“知难而退”,不会启动诉讼。
隐私保护在网络时代的出路
从前文的分析中可以看到,隐私保护在网络时代遭遇着更大的挑战,技术的无所不在使隐私保护陷入困境。笔者认为,应该从法律和技术两个层面探讨隐私保护对策。
在法律层面,需要做的是提高侵权人的违法成本和降低权利人的维权成本。提高违法成本主要是在降低认定标准的同时加大赔偿力度,以达到震慑侵权的效果。而在降低维权成本方面,更多的是要借助检察院的公益诉讼职能。
《民事诉讼法》第55条规定,人民检察院在履行职责中发现破坏生态环境和资源保护、食品药品安全领域侵害众多消费者合法权益等损害社会公共利益的行为提起公益诉讼,或者在法律规定的机关或者组织提起公益诉讼的,人民检察院可以支持起诉。
在个人隐私和个人信息的保护过程当中,检察院的参与必然能有效地弥补单个消费者在维权上的能力缺失,并且能对侵害一方形成较好的震慑效果。在技术层面,建议将隐私保护技术商业化,以保护技术对抗破坏技术,能有效弥补法律事后救济的滞后性和高成本。
国内并不乏隐私保护方面的技术应用。例如,某米推出的开发者隐私合规检测产品,可以自动检测开发者上传的APK(应用程序包)文件,对应用从使用权限、用户操作等多个维度进行隐私合规检查。
法律应当通过制定标准等方式不断对这类隐私保护技术应用加以认可,使其成为隐私合规中可以进行量化操作的重要手段。如此一来,法律和技术就能够无缝对接,把保护方案贯穿于隐私在网络上的整个生命周期。

本文载于《法律与生活》杂志1月上刊


张延来

浙江垦丁律师事务所  创始人 主任律师  专利代理人

中国政法大学实务导师

杭州仲裁委员会仲裁员

执业以来完全专注于互联网法律实务工作,担任多家头部网络公司常年法律顾问,并代理微信小程序第一案、智能手机刷机第一案、5G云游戏第一案、人脸识别第一案等多个标杆涉网诉讼案件。

深度参与中国《电子商务法》、工商总局《网络交易管理办法》、杭州市《网络交易管理办法》的立法工作。个人专著《法眼电商》、《网络法战地笔记》已由法律出版社出版。

编辑:方巧娟  主编:刘洋

(0)

相关推荐