据报道,近日,由中央网信办、工信部、公安部和国家市场监督管理总局指导下的App专项治理工作组在个人信息安全评估基础上,起草了《App违法违规搜集使用个人信息行为认定方法(征求意见稿)》(以下简称草案),开始向社会公开征求意见。草案将App违法违规搜集使用个人信息的行为归纳成七大类别等30多种具体表现形式,这在世界范围内都是首次将App个人信息保护违法违规行为类型化的立法尝试。
移动互联网时代已经到来,以数据为基础的大数据经济演化出算法科学、人工智能技术、云计算应用、人脸识别等新形态,开始不断冲击老旧法律保护体系。互联网发展到下半场,某些负面效果早已显现,包括精准诈骗、数据霸权、数据掠夺、网络攻击、数据安全等问题已经出现。在互联网下半场中,个人信息的侧重性保护成为维护网络安全和网民合法权益的重要抓手。
上述草案用列举的方式归纳的30多种App违法违规搜集使用个人信息的类型,基本涵盖了目前App个人信息保护的各个角度。草案规定的七大违法违规类别,有两大部分回应了大众关切的现实问题,是此次草案的亮点所在。
一是区分了大数据与个人信息的本质差别。目前学界普遍认为,大数据是知识产权范畴,个人信息是隐私法保护范畴,二者性质不同,稍有混淆,就可能导致产业发展与个人隐私保护的南辕北辙。
数据信息不能作为知识产权的客体,数据信息概念太大,既包括大数据,也包括个人信息,前者性质是知识产权无疑,但后者属于隐私法律体系。从网络平台采集的数据看,直接或间接不能识别到个人身份的信息属于大数据,所有权性质应为数据处理者——即网络平台。对于那些直接或间接可以识别到个人身份的信息属于个人信息,所有权人只能是用户。
目前我国法律并没有对大数据范围作出具体描述,但《网络安全法》对个人信息的界定已经非常明确,就此引申,除了个人信息之外的不能识别到自然人身份的数据,其中很大部分应属于大数据,即知识产权性质,这部分数据的所有权归属应纳入到另一个法律框架。
草案的第五大部分,以是否进行数据“匿名化”处理,即所谓“脱敏”处理作为判断数据处分合规的重要标准之一,这样的规定是符合大数据时代发展方向的。当然,数据脱敏的相关标准国家也有具体文件,这块行业行规落实情况标准情况也不尽相同,实践中存在数据匿名化的“可逆性”技术,这就需要立法进一步进行规范。
第二个亮点就是确立了用户对个人信息的绝对控制权。用户对自己个人信息的绝对控制权体现在几个方面。一是确立被遗忘权。草案进一步明确了全国人大常委会对“一法一决定”的考察调研结论,要求网络经营者必须尊重用户注销账号的权利,尊重用户更改、删除个人信息的权利。关于“沉睡的账号”个人信息泄露问题屡见报端,赋予用户注销权无疑是治理个人信息的重中之重。二是明确了开放平台模式中用户对自我个人信息的控制权。草案中再次加以明确,未经用户再次同意,平台不能用一揽子等协议蒙混过关。三是凸显了用户对个人信息的自我决定权。包括充分告知的伦理责任、处分权限、二次同意模式、账号注销、信息更正等权限在内,草案通篇都在构建用户对自己信息的自我决定的权利。从这个角度讲,未来民法典人格权法编中的个人信息权确立,其范围至少在App领域已经得到充分的扩张,法律基础与技术发展都融合到草案之中。(朱巍)