freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

网络安全与数据合规|抖音侵犯个人信息案简评
2020-09-10 17:48:55

导语:抖音母公司的海外业务,因数据安全问题而频频受阻。其间虽存在地缘政治、商业竞争以及特朗普天马行空的一贯作为等因素的影响,但不可否认,数据安全已经成为新时代下公众极为关注的话题。近日,抖音在国内也被控侵害个人权益。北京互联网法院一审认定,北京微播视界科技有限公司构成对个人信息权益的损害。

摘要  

本案是《民法典》确认保护本人信息后的重要案例,值得我们细细探究。其判决中出现了众多新标准,例如双重授权,个人信息合理使用等我们仍需进一步探讨。判决书中虽体现出法官在大数据时代背景下,尽力平衡权利和自由二者价值的倾向,但部分推理过程,不仅超出现有法律的逻辑体系,而且对普通用户的要求过为严苛,值得我们深思。

01个人原则上是信息权利的主体

我们需要解决的第一个问题,是我国信息权利归属,这是一切讨论的起点。在我国,个人原则上应为各项信息权利的主体,其中包括信息的查询权、更正权、删除权等(详见《信息安全技术 个人信息安全规范(GB/T 35273—2020)》,以下简称《规范》),以上权利我们可以一般统称为信息自决权。以上在《民法典》第一千零三十五条、第一千零三十七条,也有所体现。

02“授权同意”,虽难不可轻弃

信息收集需要获得自然人的同意,是《民法典》中确定的法律规则。其例外情况也已列明,多是为公共利益或国防安全(详见《规范》5.6),其外延并没有触及到保障商业利益的板块,这与《通用数据保护条例》(即GDPR)的立法价值是一致的。按照现有法律规定,只要抖音搜集使用的个人信息,没有经过当事人的同意,即构成侵权。

反观本案,即使已经确定,抖音收集信息时没有经过当事人的授权同意,采取的依然是两步论证。第一步,判断搜集使用的数据是否属于个人信息。第二步,判断相关行为是否侵权。这是与现行法律规定存在冲突的。

以判决第一部分为例,法官对原告的姓名和手机号码是否属于个人信息进行定性,并判断是否侵权。现有法律逻辑下,要想满足授权同意的要求,就必须在收集其他人通讯录数据时,征得通讯录中每个人的同意,即判决中提及的“双重授权”。坦然,现行状况下,这种“双重授权”难以实现,但并不代表我们就可以抛去现行具体法律的规定而去寻找法律原则,这种论证方式在实务中我们要谨慎对待。本案中,法院采取的方式是在两步论证的中间,引入了“合理使用”的概念抑或称为标准作为一种缓冲,试图论证在现行数据环境下,公司行为存在一定的合理性。诚然,在现行的数据时代,人们在享受数据带来的便利同时必要舍弃一些权利,但权利的舍弃必须要求法律的明确规定。

03“私密性”举证责任的分配

在本案关于隐私权是否存在的讨论中,法院将证明责任分配给了自然人,笔者认为这对自然人的要求过于严苛。《民法典》将隐私权列入保护之中,其重要的特征是“私密性”。然“私密性”的存在并不是一个简单全有或者全无的问题,其依据每个人的行为方式和习惯有应该进行差别化的识别。最重要的是,“私密性”应以存在为前提,之后需通过证明否认私密性的存在。若以如今数据常态化为由,将“私密性”的范围大大限缩,需要谨慎对待。

结语

《民法典》虽然规定了个人信息和隐私权受到保护,但相关的概念和标准并未完全厘清,导致我们在实践中仍存在诸多争议。法官在案件中很容易因为没有明确的规定而寻找法律原则为依据,此举虽有时可以在个案中实现正义,但此时的自由裁量权,会带来的法律的不确定性,使法律失去了指引的作用。大数据背景下,我们虽要保证社会的快速发展,也不可轻言以此剥夺个人权利,二者的界限亟待法律来明确。期待数据相关的立法继续推进,为我国新基建等战略保驾护航。

# 数据泄露 # 数据安全 # 数据安全 # 用户个人信息
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者