吳沈括
近日,媒體接連報導了個人大數據泄密事件:銀行、社交平台泄露個人信息,大數據殺熟、酒店會員數據被黑客竊取……
在當前信息越發透明化、公開化的大數據時代背景下,面對複雜的隱私安全問題,不僅需要企業產品的不斷升級疊代,也需要用戶提高隱私保護意識,更需要政府從政策、監管治理等方面發力,共築信息安全生態。
從「被遺忘權」說起
2012年1月,歐盟提出《一般數據保護條例立法提案》,正式使用「被遺忘權」的概念:「公民在其個人數據信息不再有合法之需時有要求將其刪除或不再使用的權利。」
「被遺忘權」作為一種新興的權利術語,在我國的法律語境中可歸於個人信息權的範疇。目前法律對它的保護主要集中在刪除不利於信息主體的信息內容。
2018年5月25日,歐洲聯盟出台《通用數據保護條例》(GDPR)。相比於GDPR對「被遺忘權」的保護,我國的《網絡安全法》對「刪除權」的規定只能算是初具「被遺忘權」的輪廓。中國這些關於「刪除」的規定,基本是以「違法或違約」為前提,而這也是其與歐盟「被遺忘權」的最大不同之處。
那麼,當被遺忘權與公共利益產生衝突時該怎麼辦?一方面,行使被遺忘權應該有各種限制條件,在主體上嚴格區分公共人物和一般公民,嚴防政府官員等公共人物利用被遺忘權抹去過往不光彩歷史,侵害公眾知情權,在對象上也僅限於那些過時、冗餘的、不再相關的個人信息,避免出現蓄意「改寫歷史」的問題。
另一方面,法律應為被遺忘權設置了各種例外,言論自由、國家安全、科學研究等都是限制被遺忘權的重要事項。被遺忘權幫助主體刪除那些過時、不相關、無涉公共利益的個人信息,使得留存下來的資訊更符合主體的現行狀態,減少了誤導性信息,提高了信息的準確度,有利於公眾知情權的維護。
總之,被遺忘權可能遭遇的各種利益衝突並不可怕,可以通過法律、政策、技術等手段予以控制和調和。
用法律捍衛權益
當前,商家作為信息的收集存儲方應為用戶信息保密,並建立用戶信息保護制度。在個人信息收集環節,網絡運營者收集個人信息,應當遵循合法、正當、必要的原則,明示收集、使用信息的目的、方式和範圍,並經被收集者同意。
換言之,用戶的知情同意是基本要求。同時,商家不得收集與其提供的服務無關的個人信息,不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,並應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。
與此同時,網際網路用戶也可以採取一些必要的措施保護自己的隱私,比如儘量使用複雜密碼,及時刪除訂單信息,在安裝和使用App的時候看清隱私條約,發現應用有強制授權、過度索權、惡意扣費等違規行為,及時卸載並舉報。
根據我國法律規範的要求,對於個人信息的流轉環節,商家不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。同時,用戶還享有必要的維權利益,尤其是個人發現商家違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求商家刪除其個人信息;發現商家收集、存儲的其個人信息有錯誤的,有權要求商家予以更正。商家應當採取措施予以刪除或者更正,並且應當建立網絡信息安全投訴、舉報制度,公布投訴、舉報方式等信息,及時受理並處理有關網絡信息安全的投訴和舉報。
(作者系北京師範大學網絡法治國際中心執行主任,本報記者沈春蕾整理)
版權聲明:本文轉載僅僅是出於傳播信息的需要,並不意味著代表本網站觀點或證實其內容的真實性;如其他媒體、網站或個人從本網站轉載使用,須保留本網站註明的「來源」,並自負版權等法律責任;作者如果不希望被轉載或者聯繫轉載稿費等事宜,請與我們接洽。