論手機自動記錄用戶行動軌跡與個人信息保護
作者:劉素華,中央黨校(國家行政學院)政治和法律教研部憲法教研室副主任。
內容摘要:大數據時代,公民在不知情狀況下,數據信息被收集、利用,受國際人權法和各國憲法保護的公民私生活安全受到極大威脅,同時大量公民個人數據信息被非法收集、分析和利用,會直接威脅國家戰略安全。當今多款手機自動記錄用戶行動軌跡,手機App未經授權過度收集用戶信息等,凸顯加強個人數據信息保護的緊迫性及嚴峻性,加快構建個人數據信息保護法律體系是根本遵循。
關鍵詞:個人信息;自動記錄;位置數據;風險危機;立法進路
引 言
互聯網的普及,電子商務的快速發展,各種智能移動終端設備的應用,給人們的學習工作生活等帶來了極大的便利,如滴滴打車、快手等出行軟件,美團、餓了么等外賣軟件,高德地圖、騰訊地圖等導航軟件。但這些應用軟件的適用大部分都要獲取用戶的權限授權,其中比較常見的是要求對位置信息的授權,比如天氣預報、道路導航等都需要收集用戶的位置數據信息,再利用算法進行分析,才能提供用戶需要的服務。因很多軟件得不到位置信息授權則其功能將不能實現或者因用戶對個人隱私保護的敏感程度過低等原因,使很多人沒能認識到位置數據信息實質上是一種極其重要的個人隱私數據而缺乏安全保護意識。在現實中,公民位置信息的泄露會使個人隱私暴露在極大的風險之中,公民的私生活在一定程度上不再具有私密性,分享和暴露用戶位置信息的風險直接導致用戶私生活的不安全,用戶承擔的權利侵害風險要遠遠超過所獲得的服務便利。當今社會基本人手一部移動電話,相較于單一應用軟件對位置信息的讀取,手機制造商通過WIFI定位、手機基站定位、軟件定位等方式收集用戶位置信息,描繪用戶的行動軌跡,從而能夠推理出用戶職業、家庭及社會關系等更高層次的隱私信息,對用戶可能造成的危害特別是未來的侵害將難于預估。又因隱私內容的不同,侵害的權利不同,危害后果不同,實質上以侵犯公民隱私權為形式,侵害隱私權后面的多項基本權利。若將位置信息非法出賣給廣告商、軟件開發商、情報部門等,不僅會導致公民個人隱私數據的泄漏,甚至會進一步危害到國家的數據安全。本文以蘋果手機自動記錄用戶行動軌跡事件為切入點,通過分析蘋果手機收集大量的用戶位置信息是否是有必要、是否對用戶的隱私造成侵犯、是否具有合法性等,并由此對個人信息安全保護以及個人信息安全立法進行探討。
一、手機自動記錄用戶行動軌跡存在的侵權問題
現實中,手機已是最普遍的通訊工具,截至2020年3月15日中國手機用戶8.97億,[[1]]但多款手機在未得到用戶許可的情況下自動記錄位置信息,侵犯用戶隱私權,導致公民的多項基本權利處于風險中。以中央電視臺2014年7月11日上午9:00新聞直播間曾報道的蘋果手機為例,說明手機設置記錄用戶行蹤,對個人信息安全的威脅。公民使用的蘋果手機系統只要升級到一定的版本,通過“設置——隱私——定位服務——常去地點”步驟操作找到“常去地點”功能,就會知曉用戶行動軌跡,甚至能夠根據記錄的次數、時間等要素對常去地點進行分析,分別標記為家庭住址、工作單位等,進而推算出用戶更多的個人信息。[[2]]所謂個人信息,也稱個人數據、個人數據信息,是指依附于自然人并可以為外界借以識別該自然人的所有信息,包括但不限于姓名、性別、年齡、身份證號、電話號碼、肖像、網絡賬戶、隨身物品等。[[3]]蘋果手機的系統介紹里并未對“常去地點”功能進行詳細說明,該功能選項是默認打開狀態,即使關閉此功能,后臺依然會將用戶位置信息記錄下來,并回傳給蘋果后臺。蘋果手機的這一功能引起了越來越多的社會成員的注意。蘋果手機在我國具有十分龐大的用戶群體,由此產生海量的個人位置信息被匯集和分析,隱藏著巨大的安全風險,數據信息一旦泄露,不僅意味著個人隱私被侵犯,甚至會進一步威脅到國家信息安全。通過探尋蘋果手機設置該功能的目的、該功能實現數據信息收集目的的方式以及收集的數據信息用途等,多角度分析自動記錄用戶信息的法理依據及是否具備法益正當性。
1.位置信息收集不具備必要性
從理論和實踐兩方面講,手機是通訊工具,主要的功能是為用戶提供即時信息溝通服務,手機只要能夠接收和發出通訊信號,就能實現此服務功能,通訊信號的接收和發出取決于通訊公司的服務,搜索接收和發出信號的位置是通訊公司實現服務的基本功能,用戶位置信息不是手機制造商提供服務的必要條件。我國的蘋果手機用戶群體人數眾多,在實踐中若不能明確蘋果公司記錄用戶行蹤并上傳到服務器的目的,對用戶及國家都將會產生極大的安全隱患,如特定工作崗位人員的位置信息被收集,進而分析該工作人員的行動軌跡,就可能得到一些國家涉密信息。蘋果手機曾在2011年針對法國、德國、意大利等多國對其收集隱藏位置信息展開調查的行為發表聲明回應位置功能,聲明中并未否認對用戶的位置信息進行收集并加以分析,同時承認收集位置信息存在漏洞,會采取措施加以修復。[[4]]聲明中也回應了關于位置信息的十大問題,表明不會泄露用戶的隱私,收集信息的目的是為了更好地為用戶提供服務——而這并不能明確蘋果手機收集位置信息的確切用途,也無法說明收集信息是否確有必要。作為一個商業企業持續收集用戶行蹤信息,并將收集的用戶信息匯集存儲起來,顯然收集的海量信息已經遠超用戶使用手機和其他服務所需的數據量,這里就要問蘋果公司收集用戶位置信息的目的到底是什么?
2.信息收集定位準確且方式多樣
蘋果手機通過不同的信道收集用戶信息,保證了其持續收集用戶信息目的的實現。其主要通過三種定位方式收集用戶的位置信息,分別是App定位、手機基站定位以及Wi-Fi定位,通過這三種方式的相互配合,對用戶位置定位精準度非常高。以WIFI定位為例,根據蘋果儲藏位置信息的文件顯示,其所收集的信息包含WIFI的設備序列號、時間、維度、經度、高度、水平速度等與位置相關的數據,并且還對定位的可信度進行了評估。其中,僅經度信息就可以精確到小數點后八位,數據內容十分詳細和準確。而且并非只有連接WIFI才能收集位置信息,實際情況是只要手機經過WIFI信號,位置信息就會被記錄。此外值得注意的是App定位因與App的使用同步,定位速度更快、精度更高,而且無論所使用的App是否向用戶進行了位置權限申請,使用該App的時間、地點都會被準確記錄,甚至某些App開發商對于使用該App會收集用戶位置信息一事并不知情。由此可見,蘋果手機記錄和收集用戶信息,并同時收集了第三方服務提供者的信息,一個行為可能侵犯兩個以上的主體權利。
3.未充分保障用戶的選擇權利
中央電視臺針對蘋果手機自動記錄用戶位置信息進而分析用戶移動軌跡事件,曾進行了深入調查和專門報道。2014年7月,中央電視臺記者在北京、青島、太原三個城市隨機采訪60位手機用戶調查發現,知道手機具有記錄用戶行動軌跡功能的用戶只有5位,占比不到百分之十,約九成用戶對此功能一無所知。[[5]]進一步實地調查發現,不僅用戶對該功能無法正確認識,甚至蘋果門店的工作人員也無法解釋清楚該功能的用處,那么蘋果手機設置該功能的意義何在呢?中國人民公安大學網絡安全保衛學院的專家指出,“在大數據時代,一些看似毫無用處的數據,經過數據分析便會得到令人吃驚的結果。同樣地,看似毫無關聯的位置信息,經過對時間、頻次、環境等數據的分析,可以輕易描繪移動軌跡、明確活動范圍,從而能夠從中獲取作息、職業等信息,甚至可進一步推測出個人愛好、經濟水平等更為隱秘的信息。”[[6]]但對存在如此大的隱私泄露風險的一項功能,蘋果公司卻沒有將其寫進產品說明書內,或者通過其他顯著的途徑讓用戶便于知曉,在用戶不知情的情況下記錄用戶行蹤并且回傳廠家,實際上首先侵害了用戶知情權,進而剝奪了用戶的選擇權,最終侵犯用戶的隱私權及其他權利。如果用戶知道這個功能,選擇關閉手機里的“常去地點”功能,并不影響手機后臺繼續記錄用戶位置信息,但卻會影響用戶使用其他軟件。即用戶選擇關閉了定位功能,就將無法使用需要獲取位置權限的軟件——這意味著大部分軟件將不能使用。因此,蘋果公司只是形式上給予了用戶選擇權,實質上用戶只有一條路可選——接受位置信息被收集以換取需要的服務。
4.未采取有效措施保護用戶數據信息
蘋果公司雖在聲明中表示不會泄露用戶的隱私,但實際上并未對用戶的位置信息提供完備的安全防護措施。蘋果手機所使用的iOS系統是其自主研發、公認的最先進的手機系統,因完全封閉而具有極高的安全性,普通用戶對蘋果手機獲取位置信息的具體過程——信息如何收集、存儲于何處、是否存在泄露的風險等,一無所知。中國信息安全測評中心在對蘋果手機進行實驗分析后發現,“蘋果手機將收集的用戶位置信息、移動軌跡等信息存儲在一個隱藏很深的名為‘加密’的數據庫內,位于Location D的目錄之下,名為加密文件而實際上只需借用數據庫軟件、無需解密即可打開,因此存在極大的隱私泄露風險。”[[7]]如果這些信息被別有用心的人得到并做關聯分析和推論,所產生的多重危害是不可估量的。
5.用戶信息被收集暗含安全風險
蘋果公司通過三種定位方式收集用戶的位置信息回傳到蘋果總部,信息收集的目的用戶無從得知,這些信息最終又將流向何處呢?或許可通過棱鏡計劃事件能窺見些許蛛絲馬跡。2013年11月5號,蘋果公司迫于各方壓力發布了關于政府索取數據信息的報告,承認了曾將用戶數據信息提供給美國情報部門。[[8]]用戶數據信息庫被美國情報部門看作是獲取數據的金礦,情報人員可直接進入包括蘋果公司在內的多家公司的服務器和數據庫獲取數據,這不僅意味著用戶個人隱私數據的泄露,而且當大量信息被集中分析,尤其是與國家安全密切相關的用戶的位置信息被掌控,那么國家安全將會受到威脅。此外,蘋果公司所收集的位置信息經過分析處理還可能被提供給廣告商、軟件開發商以及潛在的其他第三方等,這些機構組織再利用用戶數據進行各種目的的分析,潛在的威脅會繼續向更深層、更廣的領域延伸,甚至持續的時間可以有很多跨度,公民基本權利的風險不斷加大。
蘋果公司收集處理位置信息流程示意圖(作者制作)
二、個人信息安全的風險危機
據中國互聯網絡信息中心發布的第45次《中國互聯網絡發展狀況統計報告》顯示,截至2020年3月中旬,我國網民規模達9.04億,互聯網普及率為64.5%。[[9]]互聯網的普及和網民數量的節節攀高,“互聯網+”模式已深入到社會生活的方方面面,網民的衣食住行、理財娛樂還是電子政務,都可以一鍵實現目的。在大多數情況下,用戶獲取網絡服務表現為以提供個人信息為前提,是個人數據與平臺數據的交換,這些數據信息可能是位置信息、聯系方式或是年齡、性別等,因此用戶獲取便利的同時也意味著用戶更多數據透明化、風險化。
1.風險危機產生的原因
在現實社會中,對公民個人數據安全的威脅來源于數據產業鏈的各個環節,包括數據來源者、數據收集者、數據控制者、數據加工者等都可能是威脅源。具體來說,個人數據信息安全遭受威脅主要存在三種情況:一是在互聯網技術迅速發展的背景下,信息交換與搜集變得越來越低門檻、高效率、多方式,這增加了個人隱私數據泄露的風險,以“人肉搜索”為代表;二是互聯網企業提供服務的同時,擅自對消費者的個人數據信息進行收集、加工、利用,其中Cookie機制下的定向推送尤為典型;三是關鍵信息基礎設施存在系統漏洞或者遭遇惡意攻擊,危害個人數據安全。下面具體分析:
(1)信息收集低成本帶來的風險。計算機技術和互聯網技術的快速發展,互相促進,為人類帶來了信息交流的新方式,在擴展人類社會交流方式和提升交流能力的同時,創生了互聯網經濟這一新經濟形態,并推動著社會文化的深刻變革。網絡設施的不斷改進,越來越多的終端設備接入互聯網,各類終端之間逐步建立了不同程度的通信聯系。同時,各類社會機構組織出于提高效率和提升服務的發展經營需求,不斷推進各行各業的網絡融合及數據共享,促使社會生產方式發生深刻變化,一批以互聯網為基礎的新產業、新業態迅速成長,新的消費行為和消費方式不斷出現,互聯網顯現的聚集資源與開發市場的巨大能量,形成了一個以互聯網為連接紐帶,串聯生產、交換、分配與消費等經濟環節,連接金融、貿易、信息傳輸和文化娛樂等服務行業,延伸至整個社會領域各個部門的經濟體系,依托社會信息基礎設施產生海量數據信息,而從個人信息安全的角度看,即使不是網民,不使用手機,網絡應用的工具性,非網民的數據信息也會出現在網上,保護安全的“硬屏障”已經打破,數據共享過程中的“軟屏障”卻遠未能發揮應有的作用。互聯網將全球共同愛好者“集合”在一起,以互聯網站或聯網軟件為平臺,大家同步或異步討論同一問題,完成同一任務。網絡“智力眾籌”有正面作用,同時也有副作用。如果引導不當,侵權行為會不斷延伸。因此,隨著互聯網、數據庫、云計算等高新技術的發展,人格利益的保護無疑成為現代社會所面臨的新挑戰,而法律還未對此挑戰做好充足的應對。[[10]]正如“人肉搜索”展現的兩面性。所謂“人肉搜索”是由人工參與解答的一種搜索方式。起初是提問者在具有較大影響力的網絡平臺中尋求幫助,具有相關知識和經驗的人解答提問者的問題,給提問者提供幫助,后來演化到匿名知情人以提供數據的方式去搜集特定人或者事的信息,揭露某些事件的真相。“人肉搜索”存有一定維護正義的因素,其不僅可以方便網民信息查詢,提高社會效率,也可以作為現實公民監督權的直接路徑,更可以成為以德治國懲惡揚善的武器。例如,“白宮書記”張治安陷害舉報人事件、[[11]]“表哥”陜西安監局局長楊達才落馬事件[[12]]都是源于“人肉搜索”。
但與此同時,越來越多的“人肉搜索”成為一種非理性的網絡暴力。它可以在很短的時間內,實現對某事件當事人進行全方位的調查,并通過公布個人信息令其無所遁形,許多匿名人士們在網絡中打著正義的旗號進行口誅筆伐,被“人肉”對象的隱私信息被無底線公開,大量的“人肉搜索”已經超越法律底線,侵犯到當事人的隱私權、名譽權等,而“人肉搜索”的衍生產品往往還包括威脅、侮辱、暴露隱私等對當事人造成更加嚴重和持續傷害的違法行為。此外,現實中“人肉搜索”得到的信息真實性難以保證,加上發布者通常采取匿名形式,網絡傳播信息的速度又難以控制,虛假信息很容易被傳播和滋生謠言,誤導社會輿情,引發網絡公共事件。2012年,全國人大常委會發布《關于加強網絡信息保護的決定》,將“能夠識別公民個人身份和涉及公民個人隱私的電子信息”納入保護范圍(第1條)。
(2)網絡服務商未經用戶授權的風險。在信息社會,無論用戶是否授權互聯網服務提供商收集相關信息,這些互聯網服務提供者都會或多或少地獲取與用戶相關的信息,并對用戶個人數據信息進行加工、利用。比如購物網站會自動記錄用戶的搜索記錄,而 O2O 銷售商能夠輕易獲取用戶的搜索信息從而推斷這些潛在客戶的購物需求,實現定制推送。從技術層面來說并不困難,通過監控用戶電腦的 Cookie 數據,可以獲知用戶的搜索和交易記錄。Cookies 能夠允許用戶免于鍵入信息,就能得以再次訪問特定站點并可重復利用文檔資料。當用戶訪問一個網站時通常會產生多個 HTTP 請求并被發送至不同的管理處,這其中的一些請求是提供服務所必需的,但另外一些請求則純粹為了尋獲用戶的網絡運動軌跡而存在。這其中除了一些為了回應用戶請求確有必要的"追蹤"外,還存在一些其他的追蹤用戶網絡路徑的活動,但是這些追蹤機制通過宣稱自己提高了用戶體驗來強調自己的正當性。[[13]]2020年6月2日北京互聯網法院判決愛奇藝在“超前點播案”敗訴后,又被指侵犯隱私。[[14]]愛奇藝在向法庭提供的證據里曝出其沒有得到用戶授權和告知用戶的前提下,自動記錄用戶觀影痕跡,侵犯用戶隱私。
現代社會信息化的特點導致了在信息所有人不知情的狀況下,個人信息會被大量收集,一些機構在收集個人信息過程中擅自擴大收集范圍,過度收集個人信息,侵犯公民隱私權和信息所有權。這通常表現為一些機構在提供服務或者辦理相關業務過程中,收集與本機構服務內容無關的信息。例如購物網站除了要求登記個人姓名和電話住址外,還要求用戶在線填寫個人收入情況、學歷、出生時間、年齡等信息。而地圖服務商通常會要求用戶提供通訊錄、短信、照片、車牌等信息,并且每提供一次服務,都會通過采集用戶的實時位置信息獲得精確化的用戶流量數據,并且記錄使用者的路線軌跡,導致用戶個人行蹤被泄漏。此外,一些網站也開始通過允許用戶“綁定”其他應用賬戶的方式共享信息收集的成果,且不斷強化信息共享,這些情況均未充分告知用戶其信息將被收集的狀況,用戶的知情權沒有得到尊重,并將用戶知情權后面的各項基本權利置于風險之中。
(3)基礎設施的系統漏洞帶來的風險。網絡的普遍化,網絡用戶使用的關鍵信息基礎設施存在系統漏洞或者遭遇惡意攻擊,將導致個人數據安全存在風險。網絡信息系統漏洞本身雖然不產生危害,但是一旦被惡意主體所利用,就會對整個信息系統的安全造成損害,從而影響信息系統的正常運行,并對用戶信息產生威脅。如2017年5月勒索軟件攻擊了全球很多國家的公共服務系統包括警察局的網絡系統,導致系統數據被鎖。[[15]]可以說,網絡的普及,信息基礎設施面臨的網絡安全形勢十分嚴峻,大量重要網絡被惡意攻擊篡改,網站平臺大規模數據泄露事件頻發,生產業務系統安全隱患突出,面對高級別持續性的網絡攻擊,很多網絡系統防護能力十分薄弱,有的系統甚至長期被非法者控制,系統上的用戶信息不可避免的處于風險之中。
2.風險危機表現的方式
個人數據信息被非法采集利用,實質上是對公民隱私權的侵害。根據中國社科院法學研究所個人信息保護現狀課題組所做的一項調研表明,目前我國個人信息被侵犯主要由以下四種類型:一是過度收集個人信息;二是擅自披露個人信息;三是擅自提供個人信息;四是非法買賣個人信息。[[16]]
(1)過渡收集個人信息。實踐中,網絡服務商、平臺服務商等過渡收集用戶信息已是常態。用戶或客戶意欲獲得有關機構、部門、商城服務時,常遇到超出所辦理事項的需要,收集大量非必要或完全無關的個人信息。比如,一些商業經營者在給客戶辦理會員時,要求客戶提供身份證號碼、工作單位、學歷、婚姻狀況、家庭地址等大量個人信息,很明顯其中的多項個人信息不是獲得服務必要的。一些手機App ,要求用戶在注冊時必須填寫與其現有業務功能無關的信息,否則會拒絕提供業務功能。如“一個叫ZAO的App,在使用ZAO的用戶協議上提出‘同意授予ZAO及其關聯公司以及ZAO用戶全球范圍內完全免費、不可撤銷、永久、可轉授權和可再許可的權利’,這意味著包括用戶肖像在內的個人信息被霸道地收集,并且可能被其他企業使用。”[[17]]還有一些手機App從一開始的信息采集就是過度的,2018年11月28日,中消協通過對10類共100款App進行綜合評測后,發布《100款App個人信息收集與隱私政策測評報告》,顯示100款App中,超過九成App列出的權限存在涉嫌越界,即存在過度收集用戶個人信息的問題。[[18]]2019年12月30日國家互聯網信息辦公室秘書局、工業和信息化辦公廳、公安部辦公廳和國家市場監管總局辦公廳聯合發布《App違法違規收集使用個人信息行為認定方法》,規定了“未經用戶同意收集使用個人信息”的九種情況,其中就包括在“征得用戶同意前,就開始收集個人信息或打開可收集個人信息的權限。”還有超過用戶授權范圍、用默認選擇同意隱私政策等非明示方法和未經用戶同意更改其設置的可收集個人信息權限狀態,如App更新時自動將用戶設置的權限恢復到默認狀態收集用戶信息等。這些過度收集用戶信息情形,給用戶信息帶來很多不可預測風險。
(2)擅自披露公民數據信息。有關機構未獲法律授權、未經公民本人許可或者超出必要限度地披露公民個人信息,給公民帶來人身、財產等安全風險。比如,醫院對患者醫療信息在未征得本人同意的情況下公布用于宣傳;一些地區對于輕微違法者在公共場合公開其姓名、照片、工作單位、家庭住址等信息。2018年,某品牌新上市手機配備了升降式前置攝像頭,在需要調用的時候,這個攝像頭會自動從手機內升起。不過,一些用戶發現在使用某些瀏覽器等不需要調用前置攝像頭的App時,攝像頭還是會自動升起,這就意味著用戶的隱私可能遭到泄露。[[19]]
(3)擅自提供公民信息。有關機構在未經法律授權或者本人同意的情況下,基于盈利或其他考慮,將所掌握的公民個人信息提供給其他機構,違反《網絡安全法》第四十一條“網絡運營者收集使用個人信息,應當遵循合法、正當、必要的原則”要求,給公民個人信息安全埋下隱患。如,金融機構之間常常出現未經客戶授權或者超出授權范圍,就共享客戶信息。為此,2019年12月30日國家互聯網信息辦公室、工業和信息化部、公安部、市場監管總局聯合制定發布《違法違規收集使用個人信息行為認定方法》,規定了三種未經用戶同意向他人提供信息的情況:一是既未經用戶同意,也未做匿名化處理,App客戶端直接向第三方提供個人信息,包括通過客戶端嵌入的第三方代碼、插件等方式向第三方提供個人信息;二是既未經用戶同意,也未做匿名化處理,數據傳輸至App后臺服務器后,向第三方提供其收集的個人信息;三是App接入第三方應用,未經用戶同意,向第三方應用提供個人信息。
(4)非法買賣個人數據信息。有關機構或個人非法買賣公民個人數據信息的現象越來越嚴重。一些掌握大量公民個人信息的單位或其工作人員將公民個人信息批量盜賣,獲取利益,這種惡意泄露公民個人信息的違法行為,給公民個人信息安全帶來了極其嚴重的后果,并且滋生了網絡和電信詐騙,敲詐勒索等刑事犯罪。已查獲的信息販賣案件顯示,金融系統、電信系統以及電商系統成為公民個人信息泄露的主要平臺。自2016年4月起公安部部署開展了為期半年的打擊侵犯公民個人信息犯罪專項行動, 期間共查破刑事案件1200余起, 繳獲公民個人信息290多億條, 抓獲的犯罪嫌疑人其中有270多人是銀行、教育、物流以及電商等行業機構的內部員工或曾經是該單位員工。[[20]]這些利用工作便利獲得公民個人信息進而售賣的行為,說明這些機構對公民數據信息安全保管制度嚴重缺位,員工較易復制、截取單位的商業機密謀求非法利益。
3.個人信息安全風險的擴大
近年來,個人信息安全事件造成的影響日益嚴重,已深入到國家政治、經濟、民生不同層面,不僅涉及個人權利,更事關國家信息安全、商業系統穩定和經濟秩序等。因此數據信息危機相較于傳統事務危機更加復雜化、多元化,由此對國家的數據信息生態治理水平和治理能力提出了全新挑戰。
(1)商業數據安全危機。互聯網的本質就是數據。在大數據時代的數字化持續深入推進的趨勢下,無論是傳統的制造業、服務業還是新興的金融、互聯網企業都產生了海量的數據。大量的個人用戶信息形成企業的商業秘密數據,互聯網領域的競爭就是數據的競爭。實踐中,存在諸多對企業收集、使用數據的限制,但對商業秘密數據的權利保護機制卻并不完善,商業秘密數據的安全得不到有效保障,突出表現在相關數據確權制度的立法缺位、數據安全保護和侵權懲罰力度不足、數據侵權訴訟程序不完善等。這些問題導致商業秘密數據的使用秩序十分混亂,違法成本遠遠低于違法獲利的現狀,使商業秘密數據暴露在極大的風險之中,個人數據信息安全面臨極大風險,商業數據的無序使用引起的不正當競爭時有發生,例如,2016年發生的脈脈非法抓取使用新浪微博用戶信息事件、[[21]]2019發生的抖音違規抓取使用微信、QQ用戶信息給多閃事件等。[[22]]
(2)國家數據安全危機。根據國家互聯網應急中心發布的《2019年我國互聯網網絡安全態勢綜述》,有攻擊團伙長期以我國政府部門、事業單位、科研院所的網站為主要目標實施網頁篡改;境外攻擊團伙持續對我國政府部門網站實施分布式拒絕服務攻擊。實踐中,軍隊國防、政府、金融、外交和能源領域一直是被境外黑客勢力重點攻擊的對象,這些領域的秘密數據一旦被竊取,我國的政治安全就將受到極大威脅。[[23]]在現代互聯網時代,在物理空間基礎上確立的傳統國家主權理論遭到沖擊,傳統國家主權理論顯然已無法支撐現代國家對網絡空間的全面監控的需要,并且據此對于跨國界的數據流通行為更是無力控制,而這又恰恰是政治安全隱患的最大風險來源,因此,亟需加以完善相關立法,保護國家數據信息安全。國際上關于跨境數據調取問題的規定有所不同,如美國的《海外數據使用權明確法》規定可跨境調取數據,歐盟的《一般數據保護條例》以長臂管轄為特色,而我國相關的立法進程和理論研究仍十分滯后。[[24]]跨境數據流動立法和理論的不完善,不利于我國參與國際規則的制定,也無法滿足解決我國實踐中遇到的數據安全問題的需要。
三、個人數據信息保護的立法趨向
基于網絡應用功能的不斷開發和網絡用戶持續增加,我國截至2020年3月,網民達9.04億,較2018年增加7508萬;互聯網普及率達65.5%,較2018年底提升了4.9個百分點;我國網絡購物用戶達7.10億,較2018年底增長1億。[[25]]加強個人數據信息立法已是共識,并需從多角度完善。
1.從一般保護強化憲法保護
關于公民個人信息保護立法,學術界更多地強調完善部門法、特別法,實踐中公民數據信息被侵犯后也多從民事、刑事、行政法律、行業自律等角度展開救濟,缺少從憲法層面的保護。個人信息并非僅為“法益”,而是屬于私法上的重要“權利”,從而能夠享有更高層次的法律保護。[[26]]手機自動記錄用戶行動軌跡事件以侵犯隱私權為表象,最終侵犯憲法保護的多項基本權利,首先是對公民知情權和選擇權的侵害。從世界范圍看,一些國家將隱私權納入了基本權利體系之中,最典型的如美國在憲法第九修正案中就將隱私權納入未列舉的權利之中。隱私權作為憲法的一項基本權利,其最終的價值是對人格尊嚴以及私人自治的保護。隱私權是憲法規定的公民人格權的具體化。隱私權不僅涉及哲學、文化和社會結構等因素,而且更涉及將抽象理念置于具體法律制度的高度復雜性問題。在今天尊重個體權利的主流環境下,對公民隱私權的尊重和保護,成為公民私生活的關鍵問題,尤其是網絡大數據時代的隱私保護,已經與公民政治權、財產權、文化權密切融合。隱私權對公民而言,隱私內容可能涉及公民的各項基本權利。侵犯隱私權的形式也將隨著網絡技術的進步不斷變化,若以專門法的形式規制數據信息侵權行為,一定程度上,立法的滯后性,難以對不斷出現的新侵權形式即時規制,面對日益嚴重的公民個人信息被泄露,公民隱私權被侵害的現狀,將隱私權明確規定在憲法中即通過直接入憲的方式保障隱私權,也可以通過憲法解釋的方式將隱私權納入到憲法的基本權利體系之中,憲法的高度概括性、原則性能夠即時保障公民的隱私權被侵犯時找到相應的法律保護條款。當然,保障隱私權僅通過憲法還不能應對復雜的網絡侵權現象,還應當有相應的救濟途徑。結合中國的實際情況可以嘗試授予省高級法院以及最高法院行使合憲性審查權力,通過個案的方式審查所涉及的法律是否侵犯了憲法規定的隱私權。只有當憲法的具體規定與有效的救濟途徑相配合時,隱私權才能得到切實保障。
針對網絡大數據下,多數公民在安裝相關網絡設備并沒有得到應有的通知,也不知道會產生什么樣的結果的情況下,甚至部分產品直接強制用戶打開定位系統,否則無法使用該軟件,對公民知情權和選擇權的侵害,競合侵犯公民個人信息權利和隱私權。而用戶選擇是否使用該軟件的權利應以知情權為前提,選擇權是知情權的目的,如果蘋果手機用戶不能了解相關自動記錄用戶位置信息的情況,那么選擇權也就失去了意義,因此可以通過完善獲取和使用個人信息規則或者完善隱私條款內容來保障用戶的知情權,從而促使用戶作出相應合理的選擇,保障用戶選擇權的實現。只有保障了用戶的知情權和選擇權,才能夠從源頭限定經營者獲取信息的范圍,從而限制對公民個人信息的濫用。大數據時代從憲法的基本權利角度出發,在明確和完善隱私權規定的同時,以公民的知情權與選擇權不受侵犯為前提,實現保護公民數據信息安全的目的。
2.從數據共享到信息安全
在互聯網產生與發展的初期,新技術帶來的便捷,強調數據的開放與共享,促進信息的交流與互動,追求信息的透明度,忽略了信息保護。近年來,網絡犯罪的猖獗、個人信息數據的頻繁泄露以及非法使用等諸多個人信息安全問題的涌現使得國際網絡數據的規制趨勢發生了改變,表現為網絡安全備受關注,監管力度在加強,個人信息安全成為數據立法關注的重點。我國在追求網絡發展的同時,也更加注重對個人信息安全的保護,正在制定的“民法典草案單獨設立人格權編,是我國民法典編纂的一大亮點。它適應了互聯網、大數據時代對人格權保護的需要,回應了當前人格權保護面臨的各種挑戰。”[[27]]民法典草案建立了對侵害人格權的禁令制度,由法院對侵害人格權的行為及時發布禁令,有利于及時救濟受害人。不斷擴大數據監管范圍與法律調整對象。當前國內個人信息保護立法已取得重大進展,《國家安全法》《網絡安全法》《電子商務法》等相繼出臺,《民法典》即將由全國人民代表大會審議,《個人信息保護法》草案已經形成。未來我國個人信息保護法律體系,將能滿足數據化時代保障公民基本權利的需要。
3.從技術規避到法律治理
互聯網發展的早期應對個人信息安全威脅的模式是重點發展技術以規避風險,主要是通過提升關鍵信息基礎設施的安全可靠性、提高維護和修補漏洞的技術等方式提高系統防范攻擊能力,以系統安全為基礎保障信息安全。目前大數據技術與應用的發展非常迅速,數據的高度積累與膨脹使個人信息安全風險不斷擴大,威脅源的種類更加多樣化,社會危害性在范圍和程度上也更進一步,僅靠單一的技術規避難以防范,因此防治重點必須進行調整。通過篩選用戶傾向,對個人信息遲鈍者和個人信息敏感者作區分保護(分別為標準化與個性化保護)。[[28]]加強針對數據的產生、采集、存儲、流通、應用、銷毀等各個環節的綜合立法,構建以基本法為核心、以配套制度規范為輔助的個人信息安全法律體系是應對數據安全風險危機的最合理方案。與用戶相比,網絡服務提供者在經濟能力、技術能力、訂約能力等方面具有明顯的優勢,需要公權力機關的介入,以平衡雙方當事人之間的關系。[[29]]國際上對個人信息安全保護的重點也在發生改變,表現為更加傾向于法律治理,通過加強頂層設計、出臺基本法律進行規制,比如日本的《個人信息保護法》、俄羅斯的《保護個人信息法》《聯邦信息、信息化和數據保護法》以及歐盟的《一般數據保護條例》等。
4.從單向立法到集中立法
目前,我國整體的網絡信息保護立法模式表現為逐一制定、分散立法,而關于個人信息安全部分缺少統一的專門性立法,有關規定散見于《國家安全法》《網絡安全法》《侵權責任法》《刑法》《保守國家秘密法》《互聯網信息服務管理辦法》《信息網絡傳播權保護條例》等法律、行政法規、規章和司法解釋等。“個人信息保護監管呈現出明顯的部門區隔特征:在一般消費領域,工商行政部門和其他有關部門負責保護消費者的個人信息權利(《消費者權益保護法》第32條);在電信和互聯網領域,主要由國家網信部門、電信主管部門、公安部門和其他有關機關對個人信息保護工作進行監管(《電信和互聯網用戶個人信息保護規定》第17條、《網絡安全法》第8條);在征信和郵政快遞領域,個人信息保護監管分別由國務院征信業監督管理部門(中國人民銀行)和國家郵政管理機構(國家郵政局)負責。”[[30]]因此較難形成完整的個人信息安全保護的法律體系。而隨著個人信息安全風險的凸顯,各國愈加重視通過專門性立法對個人信息安全問題加以規制,因個人信息數據具有龐大性、多樣性、復雜性的特質,單向的立法難以全部涵蓋,因此在立法模式上偏向于尋求宏觀整體規范與微觀具體規范的有機結合。個人信息財產化理論單向性不足,該理論的提出是以信息主體的信息權益為中心的單邊構建,對于信息交易的經濟分析僅考量用戶和網絡服務提供者之間的簡單交易關系,將財產權完全交由信息主體,卻忽視了信息產業者,特別是信息利用者在信息財產中所應享有的財產地位和利益訴求。[[31]]比如俄羅斯以憲法為依據,圍繞個人信息安全的特點制定了《保護個人信息法》作為基礎,以綱領性文件為指導如《信息社會發展戰略》、《“信息社會(2011—2020年)”國家綱要》,再輔以其他具體的、多層次的、多方面的法律規范,主要包括《大眾信息傳媒法》《參與國際信息交流法》《通信法》《信息、信息技術與信息保護法》《電子簽名法》和《計算機程序和數據庫法》等,構建了較為完備的信息安全立法體系。我國在個人信息保護立法中也應當借鑒此種模式,以憲法為總領,制定專門的個人信息保護法,以此為核心,構建完備的個人信息安全法律體系。
四、個人信息保護的立法進路
個人信息保護立法是實現基本權利的現實需要和社會發展變革使然,涉及技術發展、資源開發、組織決策、公共服務、國際交往、法域整合等因素。由于個人信息權利是正在興起并不斷發展的信息社會中凸顯的一項新型權利,因而制定個人信息保護法時,立法者面對未曾遇到過的很多新情況、新問題,在這種情況下草擬的個人信息法往往存在很多爭議,起草工作面對重重阻力,法律的通過往往并非短期就能夠順利完成。[[32]]制定個人信息保護法要明確基本思路
1.明確立法目的和原則
按照嚴格的文義解釋,個人信息屬于受法律保護的“法益”(合法利益),表明了對個人信息進行保護的基本立場。[[33]]構建個人信息保護法律體系,明確的立法目的和原則是根基,首先,確保意識形態的正確性是構建個人信息保護法律體系的前提。數據信息保護立法的根本目的在于促進數據有秩序地開放共享和發展應用,保護公民、法人和其他組織的合法權益,捍衛國家利益和社會公共利益,從而維護社會安全、經濟安全、政治安全。習近平總書記在“全國網絡安全和信息化工作會議”指出:網絡安全是動態的而不是靜態的,開放的而不是封閉的,相對的而不是絕對的,因此一定避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼。個人信息保護法作為數據安全法律體系的重要組成部分,在立法過程中自然也應當滿足數據開放與保護的雙重目的。這就要求個人信息安全立法應深刻把握網絡空間的開放與包容特質,堅持安全與發展并重的原則,立法方向上側重于數據安全與數據利用的兼顧。具體來說,就是堅持政府主導下的寬嚴有度模式,既要做到審慎監管、風險可控、權責統一,又要做到保護創新、合理使用、數據安全。
其次,個人信息立法應體現信息流通要符合在特定場景中的公正。場景公正性的核心在于符合合理的信息流通,只要信息流通是合理的,就不存在侵犯隱私權益的行為。尼森鮑姆提出,符合場景公正的信息流通就是合理的信息流通,需要審視五個要件,分別是信息主體、信息發送人、信息接收者、信息種類以及信息傳輸原則,缺少任一要件,信息的流通都可能是不合理的,合理的信息流通應同時符合公共利益和國家利益。比如在醫療場景中,患有傳染病的患者基于個人利益(擔心被歧視等)不同意將自己的病歷信息共享給國家疾病防控防疫部門,但是醫生基于公共利益或醫療規章的規定不經患者同意將病歷共享給有關部門,其符合在醫療場景中的公正,所以是合理的信息流通。脫離場景的信息流通常伴隨著極大的隱私風險,只有尊重場景才能客觀合理的流通。
立法層面,構建個人信息保護制度體系,原則上應摒棄收集、使用、轉移、披露全過程都需獲得同意的模式,在不同場景中應合理分配網絡服務提供者、其他責任主體之間的責任和義務,通過大量的社會實證調研確定網絡服務提供者的義務規則,要求網絡服務提供者在提供其服務時采取“不同場景下通過設計保護隱私”的進路,承擔起更多的社會責任。以教育場景為例,學習類App進入校園,開發者應設計符合教育部通知規定的默認設置,學校應當盡到審核的義務,監護人在未成年人使用該App的過程中起到輔助教育作用時,如果發現有不符合教育部通知規定的情景發生,應及時向學校或教育管理部門匯報。通過場景隱私保護模式,應對復雜多變的信息來源和利用,特別是公共性場景下的個人信息更應兼顧公共利益下隱私保護宗旨。《App違法違規收集使用個人信息行為認定方法》指明“收集使用個人信息的目的、方式、范圍發生變化時,未以適當方式通知用戶,適當方式包括更新隱私政策等收集使用規則并提醒用戶閱讀等。”加強此種情況的監管。
2.推進核心關鍵立法
核心立法是個人信息安全法律體系的主干,首先要制定專門的個人信息保護法。由全國人民代表大會出臺《個人信息保護法》,確立個人數據的隱私程度劃分制度、禁止未經允許收集、分析、使用個人數據制度和明確個人數據的保存處理的安全保護制度等,維護社會安全。我國一直在加強相關法律法規建設, 無論是《消費者權益保護法》《網絡安全法》《刑法》《民法總則》等法律, 還是國務院相關部門出臺的《電信和互聯網用戶個人信息保護規定》《電話用戶真實身份信息登記規定》等配套規章和政策文件, 都對個人信息保護作出了相應規定,[[34]]但這些保護個人信息的立法規定過于分散,難成體系,不能應對個人信息保護基本法律缺位所導致的安全風險漏洞。
個人數據信息治理涉及用戶、數據控制者、監管機構、研究機構、計算機技術工程師、數據權利倡導者等多方主體,制定個人信息保護法,應充分了解各方主體的利益訴求和面臨的風險問題,以核心關鍵立法為支點,協調各方利益,引導各方主體主動共同參與、協作,切實從法律層面保障各方主體利益訴求。如在行業法領域,加強規定政府與行業組織的合作,將制定行業標準和規范的權力賦予行業本身,讓行業組織擔負更多的責任,充分發揮行業自律組織的力量。我國目前有一些行業自律組織,比如中國互聯網協會,曾聯合業界積極推薦“綠色網絡文化產品”,也多次對手機收集和使用用戶個人信息情況展開評議,并發布了《網絡數據和用戶個人信息收集、使用自律公約》。但是我國的互聯網協會與美國行業自律組織存在本質的不同,我國互聯網協會依托政府存在,其會員單位并不囊括主流互聯網公司,如阿里、騰訊、百度等公司。目前我國對網絡上的個人數據信息安全的保護,主要依靠網絡公司的內部規定及政府部門的監管共同落實,如騰訊建立“成長守護平臺”,針對未成年人玩游戲的平臺,登錄首先綁定家長手機號,得到家長許可未成年人才能進入,并設置游戲時間、游戲種類,平臺對未成年人的信息實施登錄同步保護措施。但互聯網企業自我監管的有限性及政府監管的不足亟需形成良好的行業組織、行業自律組織,根據不同場景制定不同的行業規范、標準或指引來引導網絡服務提供者規范其行為,頒發符合該協會標準的行業認證標志,推薦綠色安全的網絡產品。行業組織如何評估網絡服務提供者是否符合行業隱私保護標準,此應回歸場景公正性理論,根據評估不同場景的信息五要件,判斷信息流通是否合理,對于存在不合理的信息流通的網絡服務提供者不予頒發認證標志,在行業官網公示警告等,情節嚴重的,可以上報公權力機構或代表消費者訴至法院尋求司法救濟。
3.構建配套制度體系
建立個人信息保護法律體系需要配套的制度協作保障,首先,應確立完備的財政投入長效機制。網絡信息技術下的數據信息安全以核心技術為基本支撐,技術的研發需要大量的資金投入,應通過立法和政策措施加大各級政府特別是國家級、省級政府對數據安全科研技術的財政投入力度,設立專門基金支持科研工作,保證技術水平的不斷提升和領先。其次,完善多樣化的個人信息安全宣傳手段。通過個人信息安全的宣傳和引導機制,培育社會成員主觀上自覺保護信息安全的意識,營造社會氛圍是非常重要的。應確立個人信息安全宣傳常態化、全民化機制,通過開設教育課程、播放宣傳片等方式,強化政府、企業和公民的風險意識和安全意識,提高對個人信息安全的認知水平,培育自覺保護個人信息安全的防范意識。我國《網絡安全法》第十九條規定“各級人民政府及其有關部門應當組織開展經常性的網絡安全宣傳教育,并指導、督促有關單位做好網絡安全宣傳教育工作。大眾傳播媒介應當有針對性地面向社會進行網絡安全宣傳教育。”該條已明確規定了開展宣傳教育的常態化、全民化,但具體實施仍需細化規定。再次,構建系統的個人信息安全監管體制。相互獨立的行業監管無法實現統一健全的頂層設計,個人信息保護的監管體制難以實現突破,而不同監管機關之間的沖突協調又困難重重。[[35]]因此,有條件的情況下可以吸收政府之外的專家,共同組建“獨立的信息委員會。”[[36]]確立以政府為主、以行業組織為輔,以內部自查為先,以外部監管為補充的自上而下、全面系統的個人信息安全監管體制,推進個人信息安全風險評估制度建設,使個人信息安全認證和數據安全檢測制度化。最后,強化嚴格的個人信息安全責任制度。由于目前的法律條文零散,在實踐中可操作性弱,個人信息泄露時,信息主體很難知曉自己權益受到侵害,事后也無法對自己的損失訴諸合理的救濟或者索要相應的賠償,建立信息持有者、保管者的制度責任就成為必要手段,我國《網絡安全法》第十條規定“建設、運營網絡或者通過網絡提供服務,應當依照法律、行政法規的規定和國家標準的強制性要求,采取技術措施和其他必要措施,保障網絡安全、穩定運行,有效應對網絡安全事件,防范網絡違法犯罪活動,維護網絡數據的完整性、保密性和可用性。”明確了相關主體負有數據信息保密的法定責任。同時,還需建立相應的個人信息安全監管機構,明確監管機構的責任范圍、監管措施等配套制度,確保保護個人數據信息的法律條款在實踐中得到有效執行,在個人數據信息法律體系中,保證立法落實的監管制度和運行機制與立法活動同等重要,對個人數據信息安全的保護,嚴格遵循權責一致原則,必須依法落實違責必究,侵權必罰,才能遏制日益嚴重的侵犯公民個人數據信息的現狀。
總之,手機自動記錄用戶行動軌跡事件的現象在網絡數據時代具有一定的普遍性,網絡信息設備商、軟件提供商、服務商等在不告知用戶的情況下,設置此功能,客觀上構成對用戶隱私權的侵犯,并埋下用戶各項基本權利的安全隱患,長此以往公民私生活安全將無法保障,每個公民的人格尊嚴也將蕩然無存,加快立法是預防和遏制此種侵權的最有效措施。2020年5月14日全國人大常委會公布我國《個人信息保護法草案》已經形成,該草案的形成標示我國個人信息保護法律體系有望不久建成,特別是2020年5月28日第十三屆全國人大三次會議通過了《中華人民共和國民法典》,民法典里專設人格權編,其中對公民隱私和個人信息保護專設一章,系統規定公民隱私權和個人信息的內涵,突出了網絡環境下將加大公民隱私和個人信息法律保護力度,表明國家已經加快建設網絡數據時代的個人信息保護法律體系。
注釋
[1]《第45次中國互聯網絡發展狀況報告》,載中國互聯網絡信息中心網2020年4月28日,http://www.cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/202004/t20200428_70974.htm。
[2]參見《新聞直播間》,載中央電視臺網2014年7月11日,http://tv.cctv.com/2014/07/11/VIDE1405047062018509.shtml。
[3]王利明:《隱私權概念的再界定》,載《法學家》2012年第1期。
[4]參見 《新聞直播間》,載中央電視臺網 2014年7月11日,http://tv.cctv.com/2014/07/11/VIDE1405047062018509.shtml。
[5]參見《新聞直播間》,載中央電視臺網 2014年7月11日,http://tv.cctv.com/2014/07/11/VIDE1405047062018509.shtml。
[6]鐘泉盛:《中國加快互聯網立法進程 打造依法治網“升級版”》,載新華網2015年1月18日,http://www.xinhuanet.com//politics/2015-01/18/c_1114032679.htm。
[7]參見《新聞直播間》,載中央電視臺網 2014年7月11日,http://tv.cctv.com/2014/07/11/VIDE1405047062018509.shtm。
[8]參見《新聞直播間》,載中央電視臺網2014年7月11日,http://tv.cctv.com/2014/07/11/VIDE1405047062018509.shtml。
[9]《第45次中國互聯網絡發展狀況報告》,載中國互聯網絡信息中心網20120年4月28日,http://www.cnnic.net.cn/..20200428_70974.htm。
[10]王利明:《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》,載《現代法學》2013年第4期。.
[11]參見《報復陷害致舉報人自殺身亡 阜陽“白宮書記”被訴》,載人民網2009年6月29日,http://leaders.people.com.cn/GB/9629437.html。
[12]參見《“表哥”楊達才案8月30日在西安開審》,載人民網2013年8月28日http://sn.people.com.cn/GB/337080/355770/index.html。
[13]張茂月:《大數據時代公民個人信息數據面臨的風險及應對》,載《情報理論與實踐》2015年第6期。
[14]參見《誰動了我的“網絡痕跡”?》,載《北京青年報》2020年6月18日,第6版。
[15]參見《勒索軟件攻擊蔓延 國內多地公安網系統疑受影響癱瘓》,載新浪科技網2017年5月15日,http://tech.sina.com.cn/it/2017-05-13/doc-ifyfeius7893694.shtml。
[16]倪迅:《個人信息泄露何時了》,載《光明日報》2014年2月18日,第12版。
[17]周宵鵬:《留心躲避手機App隱私陷阱》,載《法制日報》2019年9月8日,第5版。
[18]參見周宵鵬:《留心躲避手機App隱私陷阱》,載《法制日報》2019年9月8日,第5版。
[19]周宵鵬:《留心躲避手機App隱私陷阱》,載《法制日報》2019年9月8日,第5版。
[20]肖成俊、許玉鎮:《大數據時代個人信息泄露及其多中心治理》,載《內蒙古社會科學》第38卷第2期。
[21]參見劉洋《非法抓取使用微博用戶信息 脈脈終審被判不正當競爭》,載新京報網2017年1月11日,http://www.bjnews.com.cn/news/2017/01/11/430288.html。
[22]參見《法院正式裁定:抖音多閃立即停止共享微信用戶信息等違規行為》,載騰訊科技網2019年3月20日,https://www.tech.qq.com/a/20190320/006032.htm。
[[23]]《2019我國互聯網網絡安全態勢綜述》,載國家互聯網應急中心網2020年4月20日,http://www.cert.org.cn/publish/main/8/2020/20200420191144066734530/20200420191144066734530_.html。
[24]王清、吳秀姣:《完善我國網絡信息監管法律政策國際環境與產業需求分析》,載《圖書情報知識》,2015年第3期。
[25]《第45次中國互聯網絡發展狀況報告》,載中國互聯網絡信息中心網2020年4月28日,http://www.cnnic.net.cn/..20200428_70974.htm。
[26]楊立新:《個人信息:法益抑或民事權利》,載《法學論壇》2018年第1期。
[27]王利明:《編篡法典,填補立法空白》,載《人民日報》2020年5月14日,第19版。
[28]張新寶:《我國個人信息保護法立法主要矛盾研討》,載《吉林大學社會科學學報》2018年第5期。
[29]彭玉勇: 《論網絡服務提供者的權利和義務》,載《暨南學報( 哲學社會科學版) 》2014年第12期。
[30]鄧輝:《我國個人信息保護行政監管的立法選擇》,載《交大法學》2020年第2期。
[31]龍衛球:《數據新型財產權構建及其體系研究》,載《政法論壇》第2017年第4期。
[32]高志明:《中國大陸法域個人信息保護的立法進路》,載《南通大學學報》2013年第6期。
[33]葉金強:《〈民法總則〉“民事權利章”的得與失》,載《中外法學》2017年第3期頁。
[34]蒲曉磊:《個人信息保護:便利和隱私如何兼顧》,載《中國人大》2018年第19期。
[35]竇海陽:《民法典有關個人信息立法的立法建議》,載陳甦主編《中國社會和科學院民法典分則草案建議稿》,法律出版社2019年版,第493頁。
[36]周漢華:《中華人民共和國個人信息保護法(專家建議稿)及立法研究報告》,法律出版社2006年版,第83—84頁。