前不久,苹果公司通过iPad 和iPhone手机收集用户位置信息、涉嫌侵犯个人隐私的事件,在社会上引起了轩然大波。两名独立安全专家正式向外界发布研究报告,称IOS4操作系统发布后,所有安装了苹果操作系统的iPad 和iPhone都具备追踪用户地理信息的功能,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部,并且这些行踪信息将存入数据库中长期保存。当用户在手机之间、终端设备之间,或者手机与终端设备之间相互转换数据的时候,之前所搜集到的所有用户信息均会被随之转移。iPhone会自动记录用户的地理位置信息,甚至用户从来没有使用过地理位置功能,或者从未激活过手机中的地理位置应用软件,也同样无法幸免。
咬开苹果,是不是就意味着打开了潘多拉魔盒?借助智能手机GPS功能,跟踪客户移动位置已日益普遍。11月28日,苹果发布一款顾客位置锁定软件,在顾客提货时通知零售店员工。同时,苹果内部有关人士也强调,大型购物中心并未收集任何个人数据,所收集的信息均为匿名信息,且已通知购物者相关信息。
在信息社会,个人信息成为最有价值的资源之一,不但可以为政府决策提供依据,产生公共管理上的效率与效益,并可以产生商业利润。因此,传统社会个人信息保护问题在网络时代被放大,计算机网络为个人信息的收集和处理提供了前所未有的便捷,使个人信息笼罩在前所未有的危险之中。那么,从苹果手机用户位置信息的案件看,网络时代如何对个人信息进行保护?
个人信息保护范围扩大
从苹果公司收集用户位置信息的案件可以看出,随着网络技术的应用和发展,与个人的网络行为或者网络活动相关的个人数据产生,主要包括IP地址、用户名和密码、电子邮件地址、个人网上订阅及购物信息、统一资源定位器、Cookies,地理信息系统中的城市居民的住宅图像、个人的位置信息等。这些信息是否应当纳入个人信息保护予以保护,如何对网络环境下个人信息的范围进行界定成为网络时代对传统个人信息保护法律制度提出的挑战。国外已有的个人数据保护法大多采用“识别型”定义对个人信息进行界定,基于这种方式只要能直接或间接识别个人的相关数据资料均可以认定为个人信息。苹果公司收集的用户位置信息是涉及用户隐私的信息,通过IP地址、电话号码或者其他相关信息一起分析,能够识别出个人,因此用户位置信息应当纳入个人信息保护立法的监管范围。
由此可见,网络环境下个人信息的范围在逐步扩大,基于网络应用而产生的相关个人信息如果能够与相关的信息结合识别出个人,那么就应当纳入个人信息保护的范围。
传统手段仍可起保护作用
国外传统的个人信息保护法明确了信息主体的知情权、请求删除权、请求修改权、查阅权等权利,信息处理者的告知义务、安全保密义务、质量保证义务等责任。苹果公司收集用户位置信息没有事先告知用户并经用户同意,侵犯了用户的知情权,违反了告知义务,从美国、法国等国家对案件的处理可以看出,苹果公司的行为应当受到个人信息保护法的规制。
同时,从该案例可以看到,网络时代收集个人信息的途径多样化、便捷化、隐蔽化,用户通常在不知情的情况下个人信息被收集、处理。因此如何在网络环境下,应用传统的个人信息保护法律制度有效地保护信息主体的权利成为法律制度建设中需要考虑的问题。对此,欧盟国家已经开始讨论并提出建议。例如,2009年,法国提出了“遗忘权”的概念,该权利授权网民可以向网站发出删除其涉及个人隐私保护的内容。
严格规定跨境数据流动
苹果公司对用户信息进行编辑、保存,建立用户位置信息数据库,将境内用户信息传递到境外数据库,没有事先告知用户,获得同意。这不仅涉及用户信息被擅自处理,同时还涉及一些从事政府工作、安全工作的人的相关个人信息被传递到国外。而各国对于个人信息保护的法律水平不一样,例如在美国,爱国者法案授权美国的执法者为反恐之目的,经法庭批准后,可以不经允许地接触到任何人的个人记录。这些信息一旦被泄露,对国家安全影响重大。
大部分国家的个人信息保护法对跨境数据流动制度进行了规定,其中以欧盟为代表的立法对于跨境数据流动作了严格的规定,除非是经过了国际安全港认证,或者数据传送者和接收者采用了欧盟的标准合同范本,跨国公司采用公司绑定规则,禁止向不具备适当个人数据保护水平的国家传输数据。然而,目前欧盟立法也遭遇到监管成本过高、执行效果不佳的问题。在网络时代,跨境数据流动制度的设计要兼顾保护个人权利和维护国家信息安全,同时又促进信息的自由流动。
我国缺乏直接法律依据
我国目前没有个人信息保护的专门立法,在《刑法》、《全国人大常委会关于维护互联网安全的决定》、《中华人民共和国电信条例》等相关立法中,虽然有关于个人信息保护的条款,但都是原则性的规定,操作性不强,没有界定个人信息的定义、范围,对个人信息的收集、处理行为没有统一的行为规则。另外,我国《民法通则》和相关解释基于名誉权对公民隐私实施一定程度的保护,但程度有限,《侵权责任法》虽然将隐私权明确纳入受保护的民事权益,但对于隐私权的内容还有赖于通过今后的立法活动和审判活动进行充实。因此,我国目前对互联网用户信息保护还缺乏直接的法律依据,对个人信息难以实现全面的保护,导致我国个人信息受到侵害的风险日益增加,也不利于促进信息流动和信息社会经济发展。
从苹果公司的案例来看,各国传统的个人信息保护法在网络时代遭遇到各种问题,因此,我国在制定个人信息保护法时要充分考虑网络时代个人信息保护的特点,科学界定个人信息的范围、信息主体权利和信息控制者义务,逐步构建相对完备的个人信息保护法律制度。
{{item.content}}