当下,网络平台利用算法技术对个人信息保护的影响越来越大。无论是人们注册网络平台时用户的年龄、性别、地理位置等个人原始信息,还是注册网络平台浏览各种页面停留的时间、所访问频率等个人偏好信息,都被网络平台利用算法技术所收集与分析。基于实际需要,用户在注册、登录、升级网络软件时,常常在无意中点击相关协议公开授权算法同意访问个人储存信息。该如何保护个人信息?笔者认为,个人信息保护应构建以递进式多阶层为特征的法律概念体系,注重构建与公力救济相配合的算法信任法律机制以应对技术反噬。
个人信息保护的法律概念
从比较法角度看,日本的个人信息概念体系构造较为完善。日本《个人信息保护法》第二条及其相关细则列举个人信息保护范围,构筑了从基础到高阶的递进式的四个阶层体系。
第一是基础层的个人信息描述。具体包括六个方面:一是个人特征,有性别、年龄、地址、宗教、爱好、偏好等;二是身体特征,有血型、体重、眼睛颜色、病历等;三是信用信息,有纳税、信用等级、收入水平等;四是职业信息,有学校名称、专业、职业经历、工作地点等;五是电子媒体信息,有cookie登录名、访问日志、GPS数据等;六是家庭信息,有配偶和子女信息等。
第二是低阶层的“个人识别码”。具体包括两个方面:一是通过字符、数字或者符号将个人的法定信息转换成可供计算机使用的代码,例如护照号码、驾驶执照号码、个人身份号码和电子邮箱地址等。二是从生物统计数据中提取特征信息可以在计算机软件辅助下识别特定人。例如,组成DNA的碱基序列、通过虹膜表面起伏形成的线性图案、指纹或掌纹等。
第三是需要考虑的个人信息的中阶层,即通过唯一描述就可识别特定人的信息。它表现为以不同寻常的事实描述或与其他个人有明显不同的描述识别特定人,例如某地录入的罕见病患者的信息等。
第四是高阶层的个人数据库信息。某一类数据库信息可以分析出个人某一方面的行为习惯,将多个数据库信息进行叠加可以分析出个人的多个习惯、爱好、偏好,从而识别特定个人。如通过个人移动信息数据库,可以确定某人房屋或工作位置信息(经纬度信息等);通过零售商店购买商品记录个人信息数据库,可以确定购买者特定产品的购买历史。个人移动信息数据库和长期购买商品的数据库相结合,可以读取个人行为习惯、爱好、偏好,从而识别特定个人。
《中华人民共和国网络安全法》第七十六条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《中华人民共和国民法典》第一千零三十四条规定:“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”目前,利用算法技术对个人信息的监控在实践中已经涵盖了中阶层需要考虑的个人信息和高阶层个人数据库信息。《中华人民共和国个人信息保护法(草案)(二次审议稿)》采用概括式对个人信息保护进行了界定,这给未来出台个人信息保护法及相关实施细则留下了很大空间。该草案第四条规定:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”这对个人信息保护的内涵进行了拓展。
个人信息保护的立法架构
目前,我国与网络平台个人信息有关的法律有民法典、电子商务法、消费者权益保护法等。《中华人民共和国消费者权益保护法》第十四条规定,消费者在购买、使用商品和接受服务时,享有个人信息依法得到保护的权利。与网络平台个人信息有关的网络安全法在第六十四条规定,网络运营者、网络产品或者服务的提供者违反有关规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款;情节严重的,可以吊销相关业务许可证或营业执照。
参考域外经验,笔者认为,在算法技术快速发展的大背景下,个人信息保护应构建专门的信息保护负责人机制。例如,鼓励设隐私保护专员保护个人信息安全。《欧盟通用数据保护条例》第三十七条至第三十九条规定确立了“数据保护专员”制度,要求个人数据控制者与处理者都应设专职数据保护专员,且应确保数据保护专员能及时介入与个人数据保护有关的所有问题,并支持其履行职能及不得因执行任务被解雇或处罚。数据保护专员监督个人数据控制者或处理者履行个人数据保护义务,就数据保护进行评估并提出建议。我国拟建立个人信息保护负责人制度规范网络平台的个人信息保护。个人信息保护法草案二审稿第五十二条规定:“处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督。”外部机制方面,还可以从国家层面设立专门执行公力救济的保护机构,负责监督、处罚数据处理行为。例如,日本政府成立个人信息保护委员会承担上述职责。欧盟针对个人数据控制者或处理者违反保护个人数据的法定义务等情形规定了行政罚款程序。我国法律规定,国家网信部门为网络平台个人信息专门保护机构。个人信息保护法草案二审稿第五十九条规定了国家网信部门履行个人信息保护职责,具体包括接受处理与个人信息保护有关的投诉、举报与调查,处理违法个人信息处理活动等。
(作者单位:华东政法大学法律学院)