《如果有一天,你失去了自己的个人微信号》后续
以下文章来源于隐私护卫队 ,作者蒋琳 冯群星
保护隐私,不做网络透明人。
科技
隐私|个人数据|法规
前两天的《如果有一天,你失去了自己的个人微信号》一文发出后,得到了不少朋友的互动,感谢大家~《南方都市报》的“隐私护卫队”对文章中提到的“个人信息”概念作出了更进一步的法律阐述,并就个人信息保护的策略提出了一些稍微不一样的意见,非常值得大家参考,在此经作者授权与大家分享。
——方可成
∙ ∙ ∙ ∙
作者:隐私护卫队 蒋琳 冯群星
从论坛时代到博客时代,从微博时代到朋友圈时代,我们希望互联网帮我们更便捷地记录生活,同时也希望这些平台能像日记本那样,被我们保存珍藏下来,有一天拿出来品玩回忆。
但是,互联网上你记录的点点滴滴,和你在日记本上的点点滴滴是否相同?你在平台上的所有信息都能够当做个人信息被下载并自由地转移到新的平台上吗?目前在中国,现实答案是否定的,在法理中,也还值得我们认真讨论一番。
10月18日,苹果官网上线“隐私”专页,用户可进入“管理您的数据”选项,导出Apple ID 相关数据的副本,比如iCloud里的日历、照片、通讯录等。
据了解,这一新功能最初是苹果为了响应欧盟 GDPR(一般数据保护条例)对于“可携带权”的要求推出的。GDPR规定,数据主体有权获得其已向控制者提供的个人数据,并有权不受控制者限制地将该数据提供给其他控制者。
据悉,目前只有美国、欧盟等国家和地区的用户可以使用完整功能,中国用户预计还要等待几个月的时间。
GDPR中的数据可携带权包含两层意思:一是副本获得权,即数据主体可以从数据控制者处下载个人数据。
比如Google于2011年推出的Google Takeout服务,用户可从Google+的“数据自由”选项下载自己的档案、信息流、联系人等数据。今年初,Google更新隐私政策,增加了导出数据副本的服务。搜索记录、位置记录、相册、邮件、通讯录、聊天内容、安卓设备数据,甚至是你看过的新闻和Youtube 视频……用户使用Google旗下任何产品所留下的数据,都可以实现一站式下载。
可携带权的第二层意思是数据转移权,即用户可以无障碍地将其个人数据从一个数据控制者转移至另一个数据控制者。
同样是在今年初,Facebook 推出了“下载个人信息”的功能,允许用户一次性打包下载账号内的所有内容,包括照片和视频、点赞和心情、位置记录等。此外,Facebook还允许用户将其帐号中的照片以及其他资料转移至其他社交网络服务提供商。
上述企业提供的现有功能保障了用户对于自己创造的数据应该享有的权利,但是我们也不应忽略一个隐藏在其中的问题:用户发布在网络平台上的信息包括哪些?是否等同于相关法律条款中“个人数据”的概念并受到同等的保护标准约束?
GDPR对个人数据的定义是“一个被识别或可识别的自然人的任何信息”。在国内,个人数据通常被称为“个人信息”。根据推荐性国家标准《信息安全技术 个人信息安全规范》中的定义,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证号、个人生物识别信息、财产信息、行踪轨迹等。其中,上网时产生的操作记录,包括网站浏览记录、软件使用记录、点击记录等都在列举的范畴之内。
基于这个定义,用户在网络平台创造的信息大致可分为两类:一类是是能够识别其身份的“个人信息”,一种是不在此范围内的“信息”。
比如小王早上在朋友圈发布了一篇电影影评,这个内容本身不属于也不涉及个人信息;下午他又发了一张自拍照,由于别人能据此识别出这是小王,那么自拍照属于个人信息。同时,小王两次发布朋友圈的行为和频率,也都属于个人信息。
也就是说,在目前法律规则的定义下,用户在朋友圈、微博等社交平台发布的信息不能一概而论都归入个人信息,甚至在某些情况下可能不属于个人。
用户发布的影评等文章内容虽然是“原创”,但这里“自己创造”的意义与个人信息中“识别个人”的意义并不相同。更确切地说,“原创”实际上指的是著作权,是一种财产权利,作者可以通过协议的方式转让,导致内容的版权归属具有一定差异——有些属于内容生产者,有些属于平台,有些属于第三人。如果在未经版权持有者许可的情况下使用,往往具有法律风险。
在著名的腾讯诉今日头条案中,今日头条未经许可,从腾讯网站抓取了涉案的200余篇体育、娱乐等报道文章,包含职务作品及约稿作品,并向用户推荐。法院审理后认为,涉案文章体现了作者的独创性,而腾讯公司经合法授权,获得了涉案文章的独家信息网络传播权,今日头条所属的字节跳动公司侵害了腾讯公司享有的信息网络传播权。最终腾讯胜诉,共获赔27万余元。
也就是说,你原创的文章可以通过协议的方式将版权转让给其他主体,一旦一方拥有了版权,则其他方就不能再侵占,也就是一种所谓的财产权利。
但个人信息不同,个人信息拥有财产权的属性,也具有人格权的属性,比如,一旦严格意义上的个人信息泄露,特别是敏感个人信息或者说隐私泄露,就可能会伤害到你的人格甚至人身安全,这一点是著作权所不具有的。
这也是造成了目前业界谈到“个人信息属于谁”时一直面临的难题:保护个人信息是以人格利益为主还是以财产利益为主?是以公法手段规制为主还是以私法手段为主?
目前的学界一派观点认为应该将个人信息置放在人格权框架下进行保护,一派观点认为必须对个人信息采取财产权保护。还有折衷派,认为既要保护自然人的个人信息,也要保护处理个人信息的企业形成的个人信息数据库。这就可能使得个人信息保护法跟著作权法类似,自然人、法人和其他组织都可能作为法律保护的主体。
因此隐私护卫队认为,在讨论我们究竟要从微信上下载并转移哪些信息时,区分上述两种信息就有了意义。试想一下,如果一股脑把所有平台上的所有个人足迹都归为个人信息,一方面就可能无意识地将个人信息看做一种财产权,而忽略了个人信息的人格权意义,那么牵扯到隐私的权利要靠什么来保护?
另一方面,这样也忽略了内容的版权归属是平台或第三人的可能性,引发版权冲突的风险。
因此,在制定政策法规的时候,应该对用户公开发布的信息和个人信息进行区分管理,让个人信息保护和版权保护各司其职,简单归为任何一边都未必是件好事。隐私护卫队认为,只有在引进数据可携带权的同时,明确个人信息的界限,根据不同信息的属性来监管,才能对个人信息实现更加合理的保护。
让个人信息保护和版权保护各司其职。
往期推荐
精选留言
哎,被卖掉的人人网,并没有提供任何数据导出功能。
微博帐号悄悄被炸,心痛愤怒却无能为力
其实让大家最恐慌的会是可以划归为“人格权”之下的这一部分个人信息。什么个人信息归于这一类,对于个体而言可能是明确的,要上升到一个普适性标注,确实模糊的,这也就会造成无法在公共层面上使用强制力进行约束的原因。当然,其中必然会涉及到国家/企业“不情愿的”问题。这可能就是另外一个层面的事情,最初要解决的是要引起对个人信息的属性标准问题的讨论。打开推进其向前的可能性
第一次留言打卡[调皮]
文章提到个人数据的可携带权(包含获得权、移动权),但没有提到另一个很重要的权力——销除权。欧盟的法律和外企的带头有助于国内个人数据可携权的实现,但销除权在国内的实现难度大概约等于…并且会陷入同样的话术——他们说有,我们大多相信有,但实际没有。文中【苹果官网上线“隐私”专页,用户可进入“管理您的数据”选项,导出Apple ID 相关数据的副本,比如iCloud里的日历、照片、通讯录等。】前提条件是使用icloud,但那些最惶恐个人数据隐私与安全的人,自icloud由云上贵州接管后,可能就已经停用了它。还有最近被卖了的人人网,很早就曝光用户删除个人数据后还能在百度搜索到,提供给用户在界面删除的假象但它的服务器依然保留,这显然是一种欺骗,这里面的个人数据包含了大量的个人信息和真实的社会关系,如果只赋予个人信息人格权,那信息泄露后产生的财产风险又怎么解释?人人网卖出的2000万美金主要是大家让渡的著作权咯?