【大都讲坛】洪延青:被武器化的大数据:从Fcacebook数据泄密谈起
B D A I L C
欢 迎 关 注
2018年4月10日晚,中国政法大学法学院大数据和人工智能法律研究中心(以下简称“大数据中心”)在科研楼B209会议室顺利举行大数据和人工智能法律前沿问题系列讲座第二讲“被武器化的大数据:从Fcacebook数据泄密谈起”的学术讲座。本次讲座由北京大学互联网发展研究中心的高级顾问洪延青博士主讲,大数据中心主任汪庆华教授主持。来自腾讯、美团等企业的代表以及中国政法大学和京内其他高校的四十余名硕士生、博士生参与了本次讲座。
御苑绿樱花️ © 冯大喵
被武器化的大数据:
从Facebook数据泄密谈起
主讲 / 北京大学互联网研究中心高级顾问 洪延青
整理 / 黄圆胜 贺强玉 李瑞
汪庆华教授(主持人):各位老师各位同学大家晚上好。非常感谢北京大学互联网发展研究中心的高级顾问洪延青博士今天能够来法大分享他在个人信息保护这一领域的研究心得。今天讲座的主题是“被武器化的大数据:从Fcacebook数据泄密谈起”。同时今天我们还非常荣幸地邀请到了北京航空航天大学法学院副院长周学峰教授、中国人民大学未来法治研究院许可研究员、中国政法大学刑事司法学院戴仕剑教授、以及京东法律研究院秘书长严少敏女士担任与谈嘉宾。下面有请洪延青博士发言,大家欢迎。
主 讲 环 节
洪延青博士(主讲人):各位老师各位同学大家晚上好。非常感谢汪老师的邀请。同时也非常荣幸能够来到中国政法大学和老师同学们分享自己的研究。这个数据泄密事件的发展脉络目前已经相当明朗,但相关的监管动态或许不然。接下来我将为其他与谈人和同学们提供一些基础性的事件脉络展望。首先来看一下这个事件的简要经过。
此次Facebook数据泄密事件是通过一款名叫“this is your digital life”的Facebook第三方app引发的。这款app的资助方是剑桥分析公司,其背后的出资人便是罗伯特·默瑟(Robert Mercer),他也是美国总统特朗普竞选总统时的主要金主之一。该app声称可以提供个性预测,并专门面向美国选民。下载该app后,用户需要通过Facebook帐户登陆,并同意个人帐号中的“城市”、“点赞”、“好友”等信息被用于“学术研究目的”。最终约27万人使用了这款app,让作为此款app的开发者、剑桥大学心理学教授Aleksandr Kogan掌握了超过5000万Facebook用户的数据。这些数据后来也被用于预测美国大选。这款app的最大亮点在于无需经过个人Facebook账户朋友的同意,便可以获取他们在社交平台上进行互动的信息。
此外,Facebook还承认有可能所有20亿用户的网页公开数据均被“恶意分子”(malicious actors)爬取。具体的方法是通过Facebook的一个搜索功能。这个功能允许任何人通过仅搜索某个用户的电话号码或电子邮件地址,查找用户的公开Facebook个人资料信息,包括性别和出生日期等信息。恶意分子通过这种反向搜索的技术,找到用户的个人页面,从而非法获取用户的个人数据。目前这个搜索功能已经被禁用。
以上就是事实的简要介绍。那么作为一个法律人,应该从此次数据泄密事件产生的法律后果来进行分析。接下来我将从数据安全和个人信息保护的角度展开了对此次数据泄密事件的法律分析。
首先就是同意的问题,什么是同意?同意的范围是什么?用户同意分享数据的决定,是否能够覆盖出现用户朋友的数据。换句话说,你用户个人的同意能否代替你社交软件上朋友的同意?如果要将用户给予的同意往下游传递,需要格外小心。我们应当维护用户的正当期待,这一点至关重要。目前Facebook已经禁用了这项权限,不能再随意地把Facebook上的好友的数据分享给第三方app。
这就涉及到第二个问题,也即Facebook给第三方开发者的权限问题。这也是此次数据泄密事件发生以来,Facebook承诺的具体整改措施之一,涉及各种各样的 API。具体来说,就Events API而言,第三方app只有在愿意遵守更加严格要求的情况下可以访问用户朋友的信息,这相比之前更加收紧。就GroupsAPI而言,第三方app只有在获得FB和特定群组管理员同意的情况下才能使用该接口。且就算获得使用该接口的权限,第三方app将无法再访问群组成员列表,以及群组帖子附件中的个人信息,如照片、姓名等信息。还有PagesAPI,今后第三方app使用该接口时,必需实现获得Facebook的同意。
特别是Facebook Login方面,Facebook今后将继续严控能够使用Facebook Login的第三方app的审核流程;继续收紧第三方app通过Facebook Login能够访问的个人信息;特别是第三方app不得再向用户要求获取以下信息:宗教或政治立场(religious orpolitical views), 关系情况(relationshipstatus and details), 朋友列表(customfriends lists), 教育以及工作经历(educationand work history)。 甚至你的健身、阅读、听音乐、看新闻、看视频等等这些具有高度相关性的活动数据也都不可以再由第三方app获得,只能由Facebook独自掌握。而且,如果用户三个月内不再使用该第三方app,Facebook将会移除该app的数据访问权限。因此,在第三方app与社交平台进行合作时,社交平台必须认真考虑开放第三方app获取信息的权限问题,避免出现Facebook这样的数据泄密事件。
第三,就Facebook对已经共享的数据的控制力方面,Facebook其实在本次事件中就已经处于失控状态。对于第三方app已经获得的数据,Facebook原本仅是在管理规定中要求:除非取得用户的同意,否则不得再次共享。但本质上,对于第三方app已经获得的数据,Facebook其实属于失控状态。剑桥大学心理学教授Aleksandr Kogan将这些获取的数据交给剑桥分析公司,但后者并没有按照相关规定删除。Facebook完全处于不知情的状态,事后通过媒体才得知这一泄密事件。所以,数据一旦共享给第三方app,极有可能就会处于数据失控状态。作为互联网公司,在对第三方app开放获取信息权限时这一点必须认真考虑。
第四,对剑桥分析公司出于政治目的利用Facebook用户数据这一行为的分析。我们很难清楚地辨别广告推广和政治竞选之间的界限。两党的关注焦点也并不一样。民主党更关心剑桥分析公司使用心理特征画像(psychographic profiling)帮助川普当选,即便奥巴马2012年也用了类似的技术。而相对于俄罗斯利用Facebook影响大选,共和党则更为关心Facebook在过去的大选中“选边站”,帮助民主党人竞选却不帮助共和党人竞选。其实这种出于政治目的的数据使用在欧洲原则上是禁止的。比如5月25号即将生效的欧盟General Data Protection Rule(GPDR) 。首先,其中第九条就规定,如果数据处理能够揭露你的政治观点、种族倾向等信息的话,这就叫做特殊类型的数据处理,那么这在原则上是禁止的。其次,如果出于政治目的处理个人数据,那么应严格符合少数几个例外场景。目前英国个人数据保护官员已经就此事件对剑桥分析公司展开相关调查,调查其是否将数据用作政治目的。还有法国、意大利等其他国家,都对出于政治目的来处理个人信息,进行严格的规制。美国也在进行相关的调查,但是是从外国人参与美国政治的角度开展的。
第五,广告中使用第三方数据问题。Facebook与下列第三方数据提供商进行合作。比如包括Acxiom,可提供澳大利亚、法国、德国、英国和美国的用户数据;Acxiom Japan,可提供日本的用户数据;CCC Marketing,可提供日本的用户数据;Epsilon,可提供美国的用户数据;Experian,可提供澳大利亚、巴西、英国和美国的用户数据;Oracle Data Cloud(以前叫做 Datalogix),可提供英国和美国的用户数据;Quantium,可提供澳大利亚的用户数据。之前Facebook是与这些第三方app合作,利用他们的信息精确定位用户的偏好,但现在不能这样做,因为Facebook并未取得用户的同意。这也是其饱受诟病的地方。
最后,Facebook收集用户数据方面。今年3月26日,数家媒体报道Facebook默认收集了Android手机用户的通话和短信元数据、手机通讯录等个人信息。Facebook发言人辩解,手机通讯录是 Facebook 好友推荐及置顶算法的一部分。在最近面向 Android 与 Facebook Lite 设备的 Messenger 应用程序中,其已经向用户发出更明确的请求,以访问呼叫和短信日志。在4月4日的进一步声明中,FacebookCTO Mike Schroepfer确认Facebook并不收集信息的内容,对用户通话或短信超过一年以上的日志信息和元数据也将会删除。在未来,将进一步缩限完成好友推荐及置顶所需要的信息。并承诺更新隐私政策,缩减数据搜集的范围,尽最大可能实现最少够用原则。比如以前要搜集通话时长与时间,现在只能搜集通话次数就可以达到相关使用目的,避免过度搜集个人数据。
紧接此次数据泄密事件的是所引发的相关调查与诉讼。比如英国ICO、美国FTC、美国州检察长联合会(NationalAssociation of Attorneys General)等等均开展了相关调查。截止3月29日,在美国至少有16起诉讼针对Facebook在个人信息保护方面的措施。而且,美国国会至少三个委员会要求扎克伯格到国会参加听证,分别为House Energy and Commerce Committee、theSenate Commerce、 Science and Transportation committee以及Senate Judiciary Committee等等。
就对商业模式的反思来看,首先,不同商业巨头囿于商业模式的不同其对隐私的理解显然不同。比如苹果的CEO库克就认为将用户个人的信息完全商业化不可取,虽然那能赚很多钱。由于苹果的商业模式主要是销售硬件,因此库克的态度实际上沿袭了乔布斯的观点。比如在2010年的一次访谈中,乔布斯也提出了类似的隐私观点。与之相对,在4月2日接受采访时,扎克伯格对库克的言论进行了针锋相对的反击,反映出不同商业模式的理念竞争。当然,现在美国民众也在试图通过付费给Facebook,补偿其广告收入,来换取自身不被Facebook以采取数据处理的方式来精准画像。
其次,对“监控式资本主义”的批判。这也是我们学界经常讨论的一个概念。它是指用户所活动的虚拟空间(网上商场、贴吧等)完全由企业设计、开发、创建,用户置身于其中,无时无刻个人信息都在被记录、收集、累积,并最终用于画像。在很多时候,企业创建的虚拟空间有意识地诱导用户提供、披露出自己的个人信息。同时,企业还允许外部第三方嵌入自己创建的虚拟空间中。最终形成的结果是对用户的全方位、全时段的跟踪、了解、影响。这也是目前国内媒体热议的“大数据杀熟”的根源。企业正在推广新零售,本质上是将自己创建的虚拟空间延伸到线下。用户置于实体店中和在虚拟空间一样,无时无刻不被追踪、记录。因此,如何破解这种“监控式资本主义”是一个非常重要的问题。
至于对互联网平台公司的反思,我想从国家安全角度切入来进行介绍。以2016年美国大选为例,俄罗斯就利用了互联网平台的海量数据,对美国选民进行了政治诱导。我们知道,赢得选票在某种意义上就是赢得选民的感情支持。通过对个人信息的掌握,适时投放相应的广告,可以达到影响选民决策的作用。而俄罗斯投放广告之所以如此高效,直接原因就是这些投放广告的公司掌握了海量的个人信息并开发出了迄今为止最为有效的说服工具,与此同时却几乎完全忽略了去核实他们所传播的信息的可信度(credibility)。所以,从国家安全的角度而言,有必要对巨型互联网平台公司的数据搜集与使用行为进行深刻反思。
我们来对比观察一下世界范围内各国对搜集、使用个人信息的监管展望。美国侧重防范政府无合法理由或过度收集个人数据。而对企业收集个人数据,侧重市场规范的路径。其主要通过企业主动告知处理行为,消费者则用脚投票来表达个人喜好。美国联邦贸易委员会(FTC)是最重要的保护机构,但其职权非常有限。其执法事由包括两个。第一,企业不得误导、欺骗消费者。因为消费者对企业有隐私期待利益。第二,企业不得对消费者造成实质性损害。对于一些重点领域,则有专门性的个人信息保护立法,如金融、医疗、儿童等等。在此次数据泄密事件中,暴露出个人与企业的博弈来解决个人信息保护的问题作用非常有限。个人相比于企业,其实非常弱势。《纽约时报》、《经济学人》等杂志连续发表社论批评美国政府在这方面的放任政策,批评美国政府对个人信息保护的立法框架严重不完善。所以说,纯市场化的个人信息保护路径,其实很难走得通。
欧盟的经验则与之相反。因为个人数据保护是基本人权。所以保护程度相当高。欧盟通过一部单行法《数据保护通则》(GDPR) ,覆盖了各行各业的个人信息处理行为。其中详细规定了个人信息处理的基本原则,如最少够用、目的限定、存储期限最小化等。并赋予了个人对其信息非常广泛的控制权利,如数据可携带权、被遗忘权、反对自动化决策机制权利等。对于大规模处理个人信息的企业,则要求设立数据保护官(DPO)。它其实贯彻了风险管理的路径,即企业应当主动评估处理个人信息对个人基本权利和自由可能造成的侵害,并据此采用相称的管理和技术措施,并定期更新保护策略。当个人数据处理存在高风险时,强制事先进行个人数据保护影响评估(DPIA),并要求产品和服务应实现默认隐私(Privacy by Design andby Default)的要求。各个成员国均有独立的个人数据保护专职部门。一旦遭到处罚,其额度可高达2000万欧元或年收入4%,两者取其高。而且在个人数据流通方面,如果个人数据流出欧盟,应确保其获得足够的保护水平。欧盟还在试图将个人信息保护与反垄断监管结合,来打破美国的监控式资本主义在欧洲发展的可能性。所以可以看出,欧盟在个人信息的保护方面,相当重视政府在其中的作用,这与美国相反。
中国的个人信息保护程度还比较薄弱,国家安全往往处于更加重要的地位。比如以《关键信息基础设施安全保护条例(送审稿)》为例,第二条明确规定关键信息基础设施,是指“支撑国家经济社会运行,一旦遭到破坏、丧失功能、数据泄露,会严重危害国家安全、国计民生和公共利益的网络设施、信息系统、数字资产等”。这是我国首次将数字资产囊括于关键信息基础设施范围之中,在全世界范围内都少见,反映出中国立法者的监管思路。而且,上述条例的第二十八条规定,“运营单位利用关键信息基础设施开展非主营业务,或者与第三方合作开展业务,应当事先进行网络安全风险评估,并将评估结果报保护工作部门备案”。以Facebook为例。按照《关键信息基础设施安全保护条例(送审稿)》的定义,Facebook毫无疑问是关键信息基础设施。按照条例,我国监管机构除了关注Facebook平台本身不发生条例中强调的“攻击、侵入、干扰和破坏”(第5条)以外,还将强调如果Facebook被恶意利用了,对其平台自身之外的更大的环境造成了严重的危害。由于关键信息基础设施如此重要,就算设施本身没有被破坏,但是一旦被恶意利用后,很可能造成非常严重的后果。沿着该思路出发,平台企业本身对外无论是开放数据、开展合作都应该采取非常审慎的态度,严格对合作方的管理。好的,我就讲这么多。希望能够给大家提供一个基本的靶子,供大家批评指正。谢谢大家!
与 谈 环 节
汪庆华教授(主持人):感谢延青博士的演讲,思路清晰,内容丰富。展示了Facebook泄密事件的时间线,以及脸书在泄密事件曝光后在数据保护方面上采取的一系列的措施。报告后半部分,给我们全景式地展示了美国的监管模式和欧盟即将生效的GPDR的保护模式,以及中国的模式。
在美国,对普通大众的日常生活影响很大的互联网公司等等公司的监管,来自FTC的监管其实相当于一个自律模式,但作奸犯科者是如何被发现的呢?因为美国的言论自由高度发达。FTC将平台的用户界定成消费者,统一由FTC进行监管。这个模式在美国有优势,因为美国消费者运动比较活跃,社会自治力量不可忽视,大众可以起到社会警报器的作用。在中国,目前也有很多侵犯公众隐私权的事件,但中国的舆论力量和社会自律力量与欧美不同,那么,中国监管的动力是什么?这既是给我自己的反思,也想就此请教一下延青博士。
洪延青博士:在座的教授很多都是这个行业的先锋,我只能简单谈谈自己的看法。正如您所说,我们国家没有中间层,政府是一对多。个人数据的收集时时刻刻在发生,政府只能靠技术去监管。数据给了企业后,对信息的保护,我们更多的是考虑针对企业侧的措施,但目前我国的技术还不够支撑对大数据的保护。所以数据的保护动力轮到政府和私力救济。而我国的私力救济没有欧美那样的工具,于是数据保护只能靠政府。而我国,国家安全需要大量投入,个人信息保护方面人力又不足,所以政府的作为空间也不大。因此,只能依靠大企业来监管。大企业承担起建设行业生态的重任。中国的监管思路,就是政府抓大放小,依靠大企业建设好行业生态来管理小企业。
汪庆华教授:好的。下面进入评论时间,首先请周学峰教授。
周学峰教授:很荣幸能被邀请来聆听洪博士的讲座。洪博士很细致地讲述了整个事件。发但生在大洋彼岸跟我们毫无干系的数据泄密事件,为什么会引起我们这么大的关注呢?我想是因为这个事件的影响与我们息息相关。这次泄露事件波及面不是美国史上最广的,雅虎之前承认全球将近5亿的邮箱用户数据遭泄露。还有一些类似的事件。但脸书事件引起这么大关注的原因主要在于,之前的数据泄露带来的主要是个人财产和人身安全和隐私的问题。但脸书数据的二次利用却涉及到国家政治生活层面,比如影响选举。如今,数据泄露不仅会影响到私法层面,还会影响公法层面。所以公法的介入是有必要的。脸书数据泄密事件可以从社会、心理、法律等等层面来分析,这里就从法律层面来分析,要结合其具体的法律背景。正如洪博士刚才提到,监管部门给脸书设定了很多义务,不过重要的事,违反了这些义务之后该怎么办。保护个人信息的法律文本要执行才有用。执行一般有两个方面,一方面是公权力机关提起的诸如行政诉讼等行为,另一方面是私力救济,比如民事诉讼。通过诉讼结果执行来迫使企业履行自己的责任和义务。美国没有统一的监管个人信息的机构。FTC主要针对欺骗性和不公平的信息监管。那么涉及的问题就是,谁来评判这个信息是公平还是不公平?
另一方面就是,个人信息数据是否会引起民事诉讼赔偿的问题。美国历史上发生过多起个人信息泄露事件,当事人担心自己会受到损害提起诉讼,法院给的解释是,没有实际发生损害,损害没有发生无法赔偿。脸书事件也会引起诉讼,但也是没有实际损失很难获得赔偿。中国遇到类似的案件,裁判也是损失没有实际发生,无法赔偿。还有,对个人设立很高的赔偿,私力救济就有动力。但若是政府提出行政诉讼,没有实际的“收益”,很难会有人有动力去提起这个诉讼。
我们担心的是,数据泄密之后的二次滥用。刚才讨论的数据保护都是针对这个点讨论。不仅数据的第一次利用对方要知情同意,二次利用也许知情同意,但成本事高昂的。企业提倡二次利用要放宽处理,但二次利用的风险时巨大的。这里就涉及了平衡的问题。还有如刚才洪博士说的涉及个人宗教信仰等敏感数据,敏感数据要采取比一般数据跟严格的数据,这个也涉及一个问题。很多数据收集上来时并不显示为敏感数据,分析之后才显示出敏感成分。在大数据,间接数据的背景之下,哪些数据是个人数据是个值得探讨的问题。在对数据去标识化后,对数据匹配的限制也是值得讨论的,也涉及到平衡各方利益问题。平衡不同利益的取向也不同,有的注重个人隐私,有的是商业利益,有些甚至涉及到政府利益,不同的地域是不同的。以上就是在我在听洪博士演讲后的感想。谢谢大家!
许可研究员:感谢汪老师的邀请。很高兴能在这里分享一下我关于脸书事件的一些想法。刚才几位老师都从不同角度分析了这个事件,重点是美国的脸书信息泄密事件何以引起我们这么大的关注。这里我想提一下我不成熟的想法。跟经济学的不可能三角类似,这里是不是也存在不可能三角,分别是国家利益,个人利益,企业发展。这三个利益不可能同时存在。美国社会在这个三角里比较关注个人利益和企业发展。脸书事件引起广泛关注的原因是,企业发展和国家利益可以相互关联,同时存在,不可能三角被打破,而衍生出一种private power机构,对公民权利产生很大影响。在欧洲,比较看重个人利益,相信国家,而防范大企业。中国的三角情况是关注国家和企业的发展,因此会有牺牲个人利益的现象。所以,我觉得这不是鱼和熊掌不可兼得的问题,而是要平衡三者利益,是比较困难的事。
第二部分我想谈一些小问题。第一个是,能否通过我的单方授权将我和我朋友的信息透露出去?一般看来是不可能的,但是在脸书的案件中,通过分析点赞的行为而获取了偏好信息。点赞信息是交互信息,那它到底是不是朋友的隐私呢?点赞信息在民法中称之为共同隐私,在法学界会是一个疑难问题。在交互信息上,法律并没有对策,需要进一步研究。第二个,我想谈的是,到底怎么赔偿的问题。刚来老师谈到,似乎没有赔偿的办法。在日本,发生了类似事件后,以法院判决个人精神抚慰金的形式来进行赔偿。在我国,如果将数据隐私作为人格权的一种,也可以通过精神抚慰金的形式来赔偿。第三个,我想谈的是商业模式。如何平衡个人利益和企业发展。现在一般有两种模式,一种是消费者付费使用,另外一种是消费者免费使用企业产品,但企业会使用消费者的个人信息。将两者结合起来,给消费者选择权,来建立一个新的架构,自愿选择个人信息是否愿意被企业使用,这可能是个比较好的方向。以上就是我一些不成熟的想法,谢谢大家!
汪庆华教授:感谢许老师的评论。刚才您的一番点评让我想到隐私的死亡和再生。每个时代都会对隐私进行界定,从前互联网时代的期待隐私到如今您说的小数据时代或者以后的万物互联的时代,都会对隐私作出不同的界定。隐私没有死亡,而是不断发展的。今天有来自企业的专家,下面有请我们严少敏老师,从企业角度谈谈数据隐私的问题。
严少敏女士:谢谢。我想谈谈对脸书事件几点不成熟的看法。脸书事件爆发后,我研究了脸书与FTC和解协议。2011年,脸书被很多消费者投诉,消费者可以对其隐私进行操控,但消费者的操控能力达不到脸书实际承诺的标准。所以FTC以其隐私政策有欺骗和不公平性和脸书谈判,最终在2012年达成了和解协议。当时第三方数据的共享问题就引起了注意。当时脸书收集了大量的数据,不仅包括一般信息也包括了敏感信息和一些脸书不应该收集的信息。所以,我的看法是,收集信息要坚持最小化原则。第二,在向第三方提供数据的时候要尽到什么样的义务。即使是有偿供给第三方使用数据,脸书没有考虑到第三方使用这些数据的目的,不知道第三方在使用数据后的后果。这里我就觉得不仅是用户个人信息的保护问题,也是国家安全的问题。这里,刚才洪老师也谈了,这里是一个关键信息基础设施建设的问题。第三,很多APP收集使用了用户公开信息,那么用户的公开信息是否能够被随意的查取和使用呢?我国的相关规范提到,公开的信息是可以使用的,但欧盟没有对用户个人公开信息使用的豁免。这里可能会涉及到个人言论自由和信息数量的问题。第四,回到Facebook事件,Facebook公司在2015年就已经发现这个教授把信息给了剑桥分析公司,那么为什么它没有把情况公开或者做出报告,因为美国并没有规定信息安全事件的强制公示义务。这方面我们国家包括欧盟和澳大利亚都有相关规定。还有个疑问,就是交易平台对第三方数据的管控,平台只是中介,用户是直接和店铺发生交易关系的,按照合同的相对性,店铺可以拿到数据。从安全上考虑,如果平台管的多了,则可能遭受垄断的指控,管得少了,数据会有风险。这种情况下怎么做一个平衡?最后回到事件本身,数据安全是一个动态的过程,不可能做到完全的安全,只能一步一步去实现。Facebook其实是履行了与FTC的协议的,当时大家都没有想到有那么严重的后果,现在再让Facebook来买单,这是不是不合适?这就是我的几点想法,谢谢!
提 问 环 节
提问一:请问各位老师怎么看待从刑法的角度来进行个人信息的保护?比如刑法修正案九和关于个人信息刑法保护的司法解释的规定就很严格。
汪庆华教授: 我们的法律体系中有民事责任,行政责任和刑事责任,刑事责任应该是最后的手段。为什么要在这个领域把刑事责任放在优先考量的位置。在这个领域中三种法律责任的分配究竟应该处于怎样的位置,这确实是我们需要考虑的问题。
美团点评法律研究中心刘笑岑:我来补充一下这个问题,因为目前贩卖个人信息这一类的案件触动了大家的底线,全社会都开始关注这个问题,所以立法才就在刑法和司法解释中制定了相应条款,但是据司法判例统计,企业用于个人经营的对个人信息利用的瑕疵一般不会入罪。从刑法到司法解释主要针对的是侵犯公民个人信息的黑色产业链,尤其是可以跟电信诈骗结合,为犯罪做联动的上游犯罪,所以这种规定更多的是立法上趋向严格,但执法当中把握尺度的过程。
提问二:各位老师好。目前一些地方政府在横向部门和纵向层级之间,出现了政务信息共享利用的行为。请问各位老师如何看待在政务信息共享利用中个人信息的保护?
洪延青博士:占有个人信息最多的两个主体是企业和政府。政府部门间的信息共享,好处是使政府服务更精确,了解群众,才能更好的服务于民。但另一方面政府得到了所有的信息,可能会变成社会的监控器。所以,日本就禁止政府部门共享个人信息数据。在我国个人信息保护法的草案中,也做了规制,所以政府机构同样要遵循合法正当必要的原则。同时它的共享也应当是在法律规定的程序和要求的范围之内,不能随意的数据共享。
提问三:想问一下各位老师,用户在微信上的数据,属于个人信息,微信作为平台,也有数据管控的权利,那么数据到底是属于谁的?
洪延青博士:刚好腾讯安全部的朋友在这里,我们请他来回应一下吧。
腾讯安全管理部田申:微信获取用户个人信息需要用户在终端上解开的。微信创造了交流的机制,作为一个生态,当然对于数据有一定的权利,用户对于他的个人信息也是有权利的。但是聊天场景都是一对一或者一对多,微信获取其他人的信息也要经过其他人的同意,所以在这个层面上,微信获取信息是不全面的。另一个问题是作为一个通讯场景,微信能不能用一个简单的告知就可以获取信息了呢?这涉及到了宪法权利的保护,学界大家也在争论。我认为授权的进行需要相关法律进行规制。还有就是个人信息和个人数据之间应该做一个区分,如果说把信息和数据区分开的话,企业把数据给出去的门槛就低很多,不用承担过多的责任,因为后续是其他人的责任。这是我的理解,谢谢。
感谢作者对本公众号的授权!
本文仅作学习交流之用。
御苑绿樱花️ © 冯大喵
往 期 荐 读
编辑:钟柳依
欢迎点击“阅读原文