收藏 分销(赏)

物联网背景下个人信息保护优化路径研究.pdf

上传人:自信****多点 文档编号:593123 上传时间:2024-01-10 格式:PDF 页数:10 大小:1,022.49KB
下载 相关 举报
物联网背景下个人信息保护优化路径研究.pdf_第1页
第1页 / 共10页
物联网背景下个人信息保护优化路径研究.pdf_第2页
第2页 / 共10页
物联网背景下个人信息保护优化路径研究.pdf_第3页
第3页 / 共10页
亲,该文档总共10页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

1、物联网背景下个人信息保护优化路径研究唐雪雯(中南大学法学院,长沙 410083)摘要:在物联网环境下,个人信息在收集、授权、处理、流转阶段均存在风险。提出通过在收集阶段,完善提示机制,贯彻透明原则;在授权阶段,以合法为中心,重构告知同意规则;在处理阶段,规范个人信息使用,完善事后救济;在流转阶段,明确个人数据权属,加强平台保护来优化对个人信息的保护。关键词:物联网;个人信息保护;告知同意原则;数据安全;数据权中图分类号:D923文献标识码:A文章编号:1673-1999(2023)03-0027-10如今,物联网已渗透到人类社会生产生活的方方面面,发展出人与物、物与物之间复杂而庞大的网络,海量

2、的个人信息在其中被收集、传递和处理。它所带来的个人信息安全问题比互联网更为复杂多样,对个人信息安全保护提出新的挑战。中华人民共和国个人信息保护法(以下简称 个人信息保护法)在一定范围内确立了合理的个人信息使用规则,强化了个人信息的有效保护和利用。但该法并未涉及物联网领域,个人信息在该领域无法得到法律层面的有效保护。笔者拟从个人信息保护的基本逻辑入手,分析物联网环境下个人信息保护方面存在的风险,并提出相应的应对之策。一、文献回顾随着个人信息在社会生活中重要程度的日益加深,区分隐私与个人信息,将个人信息作为一项独立权利来进行保护成为学界主流观点1。为保障个人信息权利的有效行使,大多数国家选择采用对

3、个人信息主体赋权的方式实现“信息自决”,而告知同意规则成为个人行使“信息自决”最主要的方式2。学界对于物联网环境下的个人信息保护问题研究较少。史宇航指出,在物联网环境下对个人信息进行保护,应要求厂商提供有效的用户协议,在合理的范围内收集数据,并对个人数据进行脱敏重庆科技学院学报(社会科学版)2023 年第 3 期Journal of Chongqing University of Science and Technology(Social Sciences Edition)No.3 2023收稿日期:2022-12-13基金项目:国家自然科学基金青年项目“基于中资企业分支网络全球扩展的世界城市

4、网络的空间演化与机制 以高级生产性服务业为例”(41801167)。作者简介:唐雪雯(1999),女,2020 级硕士研究生,研究方向为法学理论。27处理,同时还需要行政监管与行业自律共同介入3。徐子淼认为,应从技术层面、法律规范层面、行业组织层面分别对智能汽车数据处理行为进行法律规制,以此来完善智能汽车领域的相关法律规范,并结合智能汽车的特点对告知同意原则和数据共享制度进行调整4。满洪杰等人认为,应建立对可穿戴设备中的个人健康信息的静态保护和动态保护,构建基于不同类型个人信息的分级同意模式和过程化的同意制度5。总的来说,我国学界对物联网环境下的个人信息保护关注较少,且关注领域较为单一。二、物

5、联网环境下个人信息保护的基本原则传统的个人信息保护主要根据“立法赋予权利 信息主体行使权利”这一基本逻辑,即当权利被侵犯时,主要采取民事纠纷的解决与救济机制6。这个逻辑凸显了个人信息主体的法律地位,但信息主体的有限理性使其难以完全做到理性决策。因此,过分强调以权利为核心的保护模式,不能有效区分对个人信息的保护与利用的关系。物联网领域的法律规范不完善及其强制性缺乏,使得以侵权损害责任为主导的私法救济存在困难。为此,有必要在原有逻辑框架的基础上对该领域的法律规范加以丰富,通过价值权衡来平衡对个人信息的保护与利用,利用法律原则填补现阶段的法律漏洞,并辅之以公法介入来弥补私法救济的不能。(一)安全优先

6、的价值面向严格的保护机制固然能够保障个人信息权益,但也会在一定程度上限制信息的交流,从而影响经济、社会的发展。因此,实现个人信息保护与利用的平衡很有必要。在法律的适用过程中,经常会面临对法律价值的权衡。物联网个人信息保护的法律规制存在着两种价值面向,即安全价值与效率价值。安全价值是对可能风险的防控,重视安全价值就会更侧重于防范风险,避免损害的发生。相关法律体现为限制法,具体表现为对个人信息的收集和使用行为设置大量限制性条件。这种法律倾向于尽可能地保障信息的安全,但很可能导致信息无法得到合理的利用。效率价值是对效益最大化的追求,偏重于效率价值则会更关注于创造效益,鼓励使用数据。相关法律体现为促进

7、法,具体表现为通过鼓励信息处理者分析、加工、处理信息,来充分发掘信息的潜在价值,创造更多效益,但相对激进的信息处理政策则很可能引发相关个人信息的安全问题。安全价值与效率价值并非完全对立,安全价值是发展的底线,而效率价值则决定了发展的上限。这两种价值始终处于此消彼长、动态平衡的状态,不同的发展阶段对这两种价值存在不同的偏重。从理论基础来看,保护个人信息的根本目的是为了保障人的尊严与自由,效率价值的实现应以此为前提7。从现实问题来看,我国物联网行业正处于高速发展阶段,其面临的个人信息安全问题激增,且近年来安全事故频发8。现阶段,物联网对安全价值有着更高的要求,相关法律的制定及实施应优先考虑并维护个

8、人信息安全。因此,应在保障安全价值的基础上,挖掘数据的最大价值,并针对物联网的特点,设计合理的个人信息利用规则,在坚守安全底线的同时,寻求价值上限的突破。(二)法律规范的基本原则中华人民共和国民法典(以下简称 民法典)规定,“处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理”。个人信息保护法 在此基础上增加了诚信原则。合法、正当、必要、诚信 28就是处理个人信息应遵循的总体原则。合法原则属于形式合法性范畴,即在处理个人信息时,应符合法律对告知程序、必要性义务的规定。诚信原则为民事法律的题中应有之义。实践中,最需厘清的是正当和必要原则。其中,正当原则包含目的正当和手段正当两方面内容。目

9、的正当要求信息处理者收集和处理信息的目的应是正向的;手段正当要求信息处理者采用的手段应符合公序良俗和一般公众的期待,不得损害他人利益以及破坏社会经济秩序9。必要原则要求对于个人信息的处理应限于处理目的的最小范围之内,不得为牟利或其他目的过度收集或处理个人信息。除此之外,处理个人信息还应遵循目的原则、公开透明原则、质量原则和责任原则。目的原则是指个人信息处理活动需与其处理目的相适应,这就要求信息处理者在处理个人信息时应具有明确、合理的目的,且信息行为应当与处理目的直接相关。公开透明原则是指个人信息处理者应充分公开其处理个人信息的相关事项,同时信息被处理者也对此享有知情权。质量原则是指个人信息处理

10、者在处理个人信息时应充分保障质量,避免因信息处理对个人信息造成不利影响。责任原则是指个人信息处理者应采取必要措施保障其所处理信息的安全,并对此承担相应责任。在物联网环境下,重视处理个人信息的法律原则的作用,充分发挥这些法律原则的直接效力和补漏效力,对于个人信息的保护至关重要。首先,在法律规则尚未充分健全的物联网领域,这些法律原则可以填补这一领域法律规则的漏洞,强化法律的调控能力;其次,将正当和必要原则作为评价和处理个人信息目的和手段的依据,不仅有助于弥补告知同意原则过于形式化的缺陷,而且能够对例外情况进行有效规范;最后,这些法律原则弥补了个人信息处理过程中不平等的法律关系导致的意思自治与契约自

11、由的缺陷10。(三)公私法融合的保护模式个人信息保护法 的立法依据明确指出要“根据宪法,制定本法”,将对个人信息的保护上升到根本法的视野来推进。这一规定顺应了国际主流的立法经验与做法,充分回应了数字时代个人信息保护的客观需求11,表明我国长久以来对个人信息以私法保护为主的局面被打破,显示出公私法融合保护的特征12。首先,个人信息保护法 既包含以意思自治为表现的私法规范,也含有强制性的公法监管规范,表现出混合法属性。其中,个人信息保护法 中的私法规范与 民法典 构成特别法与普通法的关系,而 个人信息保护法 中的公法规范,则属于行政法中的特别法13。其次,个人信息保护法 不仅调整平等主体间的私法法

12、律关系,而且调整不平等主体间的公法法律关系。由于我国并未对个人信息处理者作出公私法上的区分,因此,只有具有专业化或商业化信息处理能力的主体,才能被认定为法律意义上的信息处理者。无论是企业在民事活动中通过与个人签订协议收集、处理其个人信息的行为,还是公权力机关在社会管理过程中通过行使权力处理个人信息的行为,均受此法调整。最后,个人信息保护法 所保护的法益,既包含了个人法益也包含了公共法益。个人信息承载着个人法益,这是一种私益。但个人信息数据一旦集合,形成包含巨大个人信息数据的数据库后,便属于国家安全范畴,其所代表的个人法益也转化为公共法益,这是一种公益。公共利益是公法秩序赖以建立和形成的核心价值

13、基础。出于对国家网络信息安全的管控以及维护公共利益的需要,公法的介入已是大势所趋14。以公私法融合的保护模式对个人信息权利进行保护,不仅要重视私法救济,赋予信息主体自主保护的权利,也要发挥公法的保护效力,加强公权力机关的保护和管理职责。但在此过程中,公法对个人信息保护的介入要避免矫枉过正,应当采取以公法为主导的保护模式,在确保私法体系运行自 29治有序的前提下,对其进行适当限制。三、物联网环境下个人信息保护的现实风险在这个“万物相连的互联网”时代,人们的身体和私人空间成为信息收集的来源,个人信息变得更容易被识别、追踪或收集。在物联网环境下,个人信息在收集阶段、授权阶段、处理阶段和流转阶段均存在

14、风险,极大地增加了保护个人信息的难度。(一)收集阶段:缺乏透明度导致的知情风险在物联网领域,收集信息的工具一般相对隐蔽,比如智能汽车在行驶过程中,其传感器除了会对车内乘客和汽车本身相关信息进行收集外,还会对车外的道路、行人等信息进行收集。类似的设备目前大量存在,但除了这些设备的所有者和安装者,其他人很难发现这些设备的存在。一般人对于这些设备何时会采集信息、如何采集信息、采集了什么信息、谁有访问权、采集的信息会被如何使用等更是难以知晓。欧盟出台的 通用数据保护条例(GDPR)指出,自然人应当能够以透明的方式了解与其有关的个人数据的收集、使用、访问以及其他处理的样态和程度,最大程度确保处理环节的公

15、开与透明。我国 个人信息保护法 指出,处理个人信息应该明示处理的目的、方式和范围。然而,物联网普遍较为隐蔽的个人信息收集方式,已在不同程度上悄无声息地侵害了信息被收集者的知情权。其一,部分物联网设备对数据收集的提示不充分或者提示方法不当。例如,智能音箱一经启动,无需任何操作便可持续收集用户的个人信息。中国信息通讯研究院发布的 2019 互联网设备 智能音箱安全白皮书 指出,智能音箱易在用户不知情的情况下,对用户语音、位置等敏感信息进行持续地收集,且智能音箱所收集的音频信息中包括个人信息中重要的声纹信息,这类信息一旦泄露将造成广泛的恶劣影响。其二,部分物联网设备对于其隐私政策的展示不明显,部分隐

16、私政策甚至只有在打开和安装设备后才能被看到。以某品牌电子手环为例,其包装盒上未标注任何有关该设备如何收集和使用个人信息的说明,也无法找到阅读隐私条款的网址或二维码。打开包装盒后,该设备的说明书也仅记载了连接该设备的步骤。只有当手环与手机连接后,用户才能在手机 App 里第一次阅读到该设备的隐私条款。这让用户无法在选购过程中就充分了解使用这些设备可能存在的个人信息安全风险。可以说,正是物联网设备在收集信息过程中透明度的缺乏,使得人们对其可能面临的个人信息风险缺乏认知,从而导致侵权现象频发。(二)授权阶段:告知同意规则流于形式的风险依照 个人信息保护法 相关规定,处理个人信息应当取得个人明确同意。

17、任何组织或个人在处理个人信息时,都应当在获得个人信息被处理的自然人即信息主体的同意后,方可从事相应的个人信息处理活动。然而,我国复杂的人口结构与社会关系导致了数字鸿沟现象严重、消费者与经营主体实力悬殊等问题,单纯的告知同意原则已难以实现对个人信息的确切保护,面临流于形式的风险。其一,数字化时代的飞速发展致使一些人与时代脱节。例如,部分老年人对于数字化、智能化的事物以及个人隐私没有明确的认知,在被告知其个人信息将被收集时,这类群体往往稀里糊涂地就表示同意,但这样的“同意”是否有效,显然有待斟酌。其二,隐私协议普遍篇幅冗长且内容涉及大量专业名词与法律知识。大多数人为能尽快享受服务,一般都在简单浏览

18、后就选择“同意”,实际上并未做 30出真实的选择。其三,存在不同意隐私协议就不能享受相关服务的情况。普遍来说,用户与经营主体的谈判筹码相差悬殊,不少用户为获取服务不得不同意相关规则。这让告知同意原则沦为“名存实亡”的兜底规则。其四,隐私协议往往处于实际上的“不可读”状态,且不可更改,并存在不公平、不合理以及损害用户个人信息权益的条款存在15。其五,存在隐私协议的变更通知不明显、不及时,对变更部分未做突出提示等问题16。当隐私协议内容发生重大变更时,服务提供者应及时通知用户,明确告知其变更的内容,如果用户接受变更内容,则应与其重新签订合同;如果用户不接受变更内容,则应与其解除合同。(三)处理阶段

19、:过度处理信息导致的损害风险智能处理是物联网最主要的特征之一,具体表现为自动识别、自动处理、自我反馈与智能控制。物联网在为用户提供便利的同时,也收集了海量的用户个人信息。这些信息是物联网企业竞争优势及财富的来源。尽管这些被收集的信息并非都是个人隐私,但随着数据的积累,这些信息存在着因被分析处理而被挖掘出更深度敏感信息的风险。例如,通过对健身追踪器等设备收集的信息加以分析,就可以掌握用户的活动方式或轨迹,进而推测出其生活、运动习惯以及常住地址等个人信息。这些隐私信息的泄露很可能对公民的人身安全造成威胁。2018 年,Polar Flow 健身追踪器泄露了数万名用户的活动数据,通过对这些泄露数据的

20、分析甚至追踪到军人活动基地位置等隐私信息17。又例如,随着物联网在保险领域的广泛应用,保险公司通常会通过物联网设备对用户的个人信息进行全面的收集和分析,以此来评估个体风险,从而判断相关保险的费率以及是否拒保。一些国外知名健身追踪器品牌如 Garmin、Fitbits与保险公司进行合作,推出使用健身追踪器的用户可每年减少一定的保费等优惠活动。也有部分保险公司通过免费赠送健身追踪器等活动吸引业务。但随之而来的问题是,这类标榜“自愿参与”的活动对用户的强制性逐渐增强。美国约翰汉考克人寿保险公司(John Hancock Life Insurance Company)在其所有保单中添加了接受可穿戴式健

21、身设备追踪个人信息的协议,尽管客户可以拒绝,但却会承担更高的保险费率18。当健身追踪器与人身保险深度绑定,并在社会形成一定的垄断规模后,佩戴健身追踪器、提供不必要的个人健康信息就可能被迫成为被保险人的一项义务、一个难以拒绝的“霸王条款”。(四)流转阶段:数据流转导致确权困难的风险对数据进行确权,明确其所承载的权利流转关系是实现数字产业化、规范数据信息的关键环节19。中华人民共和国数据安全法(以下简称 数据安全法)中所称数据,是指任何以电子或者其他方式对信息的记录。个人信息对应的数据就是个人数据,因此笔者不再在文中对信息与数据作进一步的区分。数据安全法 指出,国家保护个人、组织与数据有关的权益。

22、深圳市 2022 年 1 月 1 日起开始实施的 深圳经济特区数据条例,进一步赋予了数据依法使用、收益和处分的权利,对数据权的立法进行了探索与尝试。李海敏认为,数据的价值性、可控性和独立性,使其可成为法律关系的客体,与之对应的数据权则是一种新型的财产权20。权利必定归属于某个主体。由于数据天然的流通性和分享性,民事主体难以对其实现独占和控制。同一数据很可能同时处于多个主体的控制之下,使得相应的主体对数据的收益权和处分权无法得到保障,从而导致权利客体处于一个不确定的状态。而个人数据由于兼具人身和财产双重属性,且直接涉及公民的基本权利,对其权利的归属和界定应更为谨慎。然而,在物联网环境下,数据的交

23、互更为密切、流转更为广泛,这使得对个人数据的确权也更为困难。例如,智能汽车收集到的数据会在用户、汽车、道路、数据处理云端之间动态传 31输,数据交互的范围较传统互联网进一步扩大,所涉及到的对象也更多。笔者认为,对于物联网环境下个人数据的确权,应在平衡多方数据利益、充分考虑技术设计与社会治理逻辑的基础上,构建多元的数据安全法律保护模式。四、物联网环境下个人信息保护的优化路径物联网个人信息安全存在着收集信息的过程缺乏透明度、告知同意规则流于形式、物联网信息处理者对用户个人信息处理过度、数据流转频繁导致确权困难等现实风险。这些问题如果不能得到妥善解决,不但会直接侵犯用户的个人信息权利,还将大大降低人

24、们对物联网的信任和接受度。物联网设备广泛用于城市管理、安保、交通控制、应急救援等领域,如果安全保护不到位,就可能会对社会治理和公共安全产生负面影响,最终影响物联网行业的长远发展。笔者认为,针对问题,应从整体上对物联网个人信息全生命周期的管理进行规范和设计,从而充分保护物联网背景下的个人信息权利。(一)完善提示机制,贯彻透明原则物联网设备在收集个人信息时普遍缺乏透明度,这侵害了个人信息主体的知情权。保证用户在使用物联网服务之前充分知晓其可能面临的个人信息风险,是物联网服务提供者应尽的义务。笔者认为,针对物联网领域中收集个人信息的隐私协议普遍不能有效展示的问题,应通过引入安全隐私标签制度加以解决。

25、一是完善物联网信息收集的提示机制。为充分保障个人信息主体的知情权,物联网服务提供者应在设备收集用户个人信息之前,通过在设备的显示屏显示或向用户手机发送短信等方式,明确给予用户该设备将要收集其信息的提示。在信息收集完成后,物联网服务提供者还应定期向用户提供使用其个人信息数据的报告,如访问其位置的频率等。此外,对于处于公共领域的物联网设备,其所有者除了应在周围环境的醒目位置充分提示该设备的存在之外,还应通过让民众扫描二维码等方式,清楚地告知该设备的名称、制造商、IP地址等信息。二是贯彻全周期的透明原则。对个人信息的保护将成为差异化物联网产品的关键,对于描述不属实的产品,用户有权依据消费者权益保护法

26、予以追偿。因此,应将透明原则贯彻物联网设备的整个生命周期。在购买阶段,物联网服务提供者就应对消费者做清晰的产品信息介绍,如该设备有哪些传感器、用户对其有什么控制权、数据的储藏方式等。在使用阶段,物联网服务提供者应明确地在设备上标注或是在附带的应用程序中提供可查阅隐私协议的路径,并在协议中以简明易懂的语言,真实、准确、完整地向用户告知相关的个人信息处理事项,以此来充分避免用户同意隐私协议的时间早于发现或浏览隐私协议内容的时间21。在淘汰阶段,物联网服务提供者应在用户停止使用该物联网设备时,提供销毁已收集信息数据的服务。三是引入安全隐私标签制度。Knijnenburg 等人提出了物联网安全隐私标签

27、的概念,这种安全隐私标签,参考了食品包装上的营养成分表,试图将关键信息以简单、标准化的格式传达给消费者22。物联网安全隐私标签可印制在任何物联网设备的包装上,它可以包含有关设备数据实践的所有关键信息,如数据收集目的、数据存储位置、数据共享实践等。这可以让用户通过阅读此类标签,便在购买设备前对产品进行了解,进而作出选择。目前,安全隐私标签还尚未被物联网设备制造商采用,但已在其他领域投入实践。苹果公司就于 2020 年 12 月 8 日起,要求 App Store 应用开发者通过标注隐 32私标签,向用户提供新的隐私细节,以便用户在任何苹果平台上下载应用程序之前,了解应用程序的隐私保护措施。笔者认

28、为,这项制度也可以广泛应用于物联网领域。政府应制定国家标准来对隐私标签加以规范,并由国家市场监督管理总局对其进行监管,从而更为方便、高效地提示物联网设备使用者可能存在的个人信息风险。(二)以合法为中心,重构告知同意规则流于形式的知情同意对于保护个人信息的作用是微小的。为充分发挥告知同意原则在个人信息利用中作为授权机制和免责机制的功能,笔者认为有必要进一步丰富此原则。具体来说,涉及以下 3个方面。首先,为防止隐私条款侵害用户权利,应加强事前阶段的保护。告知同意原则不仅是一种授权机制,而且是物联网服务提供者的免责机制。流于形式的知情同意,会使这一机制失去效力。而用户往往只有在其权利被侵犯时,才会注

29、意到当初签订的协议中存在着不公平、不合理的要求。因此,加强告知同意原则事前阶段的保护很有必要。合法性是隐私协议的首要要求。对于隐私协议中违反强制性管理规定且明显不合理、不平等的条款,即使该协议取得用户同意,也不能成为物联网服务提供者的免责事由。同时,在确立了以合法性为中心的个人信息保护制度后,还需明确取得个人同意是个人信息处理的基本前提。在事前阶段,为取得用户的同意,物联网服务提供者不仅需要向用户详细解说其义务,而且需要针对不同的用户主体确定其不同的责任,如对于未成年人和与时代脱节产生数字鸿沟的老年人,物联网服务提供者应加以区别对待和特别保护。其次,针对隐私协议不可读、不能改的现象,优化同意的

30、形式是解决这一问题的关键。通常在签订隐私协议时,用户主要通过点击条款中的“同意”按钮来表示对协议的认可。这种形式虽然便捷高效,但却不够慎重。面对冗长、专业的协议条款,大多数用户为尽快享受服务,总是简单浏览协议便点击“同意”。可以说,按钮形式的“同意”在一定程度上弱化了用户在签订协议时的谨慎心理。对此,笔者认为,对于用户表示同意的形式,可由点击条款中的“同意”按钮改为出具电子签名。签名不但天然带有缔约的内涵,而且能广泛适应于不同情况的同意需求23。电子签名作为签名的一种形式,亦充分强调了隐私协议的合同属性,已在银行、证券公司的业务办理中广泛使用。物联网服务提供者在与用户签订隐私协议时完全可以借鉴

31、这一形式,必要时还可将协议中可能会影响用户决策的重要条款单独摘出,通过再次签名的方式加以二次确认,从而尽到最大的告知义务。而针对隐私协议通常为固定格式,无法单独修改,只能以“全有或全无”的方式适用等问题,笔者认为,物联网服务提供者可向用户提供不同版本的隐私协议,或将协议中的部分适用条款调整为可选项,通过分别设置“选择适用”和“一键同意”等选项加以解决。最后,针对隐私协议变更通知不明显、不及时导致其未能充分起到提示作用的问题,需进一步完善隐私协议的变更通知方式。个人信息保护法 在第 14、17、22、23 条中明确指出,个人信息处理发生变更的,应当重新取得个人同意。隐私协议的更新可分为两种类型:

32、一类是涉及可能影响用户决策、关于用户敏感信息的重要条款更新;另一类是不涉及上述内容的普通条款更新。在物联网设备的使用过程中,用户极有可能遇到因未能及时登入应用程序查看更新的协议而影响使用的问题。如协议的更新内容涉及第一类情况,物联网服务提供者应在第一时间以显著方式提醒用户协议已更新,并即刻暂停设备的运行,待用户查看更新后的协议并表示认可后再继续提供服务。但如果存在信息收集紧迫性的情况应除外,例如行驶中的智能汽车。如协议的更新内容涉及第二类情况,物联网设备服务提供者可在不中断服务的情况下,第一时间以显著方式对用户进行提醒,并指定一个接 33受新条款的期限。到期后,若用户仍未查看并认可新的条款,则

33、应当暂停设备的运行,待用户查看更新后的协议并表示认可后再继续提供服务。(三)规范个人信息使用,完善事后救济物联网设备的自动识别与推断功能已对个人信息主体的自主选择产生干扰和影响,并导致歧视现象的发生。安全优先的价值取向要求,物联网服务提供者在处理和利用个人信息的过程中应充分保障用户个人信息的安全。而在信息的处理阶段,政府、行业与物联网服务提供者的共建共治,可以避免个人信息不恰当使用情况的出现。其一,合理使用个人信息。在用户充分知情并授权的前提下,物联网服务提供者应履行安全保护义务,严格依据信息处理目的对个人信息进行使用和加工。此处的“处理目的”要从两个方面去理解。一是应与用户签订的隐私协议中的

34、处理目的保持一致,不得超出隐私协议的范围。二是对信息的处理需满足正当原则与必要原则,告知同意不能成为排除侵权事由的唯一理由,即物联网服务提供者不得在未经用户允许的情况下,对用户个人信息过度使用和加工,如擅自通过分析用户相关信息,推断出用户的私人活动情况,并以此服务于自己或他人的商业用途。同时,在对个人信息进行处理的过程中,应尽量进行脱敏处理。用户个人信息的保存期限,应为实现处理目的所需要的最短时间,物联网服务提供者在达到信息处理目的后,应及时删除用户的个人相关信息,不得备份或重复利用。其二,加强政府监管与行业自律。在法律性质上,个人信息保护法 具有公法属性,要求公权力对个人信息保护发挥作用。物

35、联网作为我国战略性新兴产业的重要组成部分,在迅猛发展的同时,需要政府及相关监管机构充分发挥引导和管理的作用。国家应积极出台物联网及其细分领域的法律法规,并制定统一的国家标准,对物联网环境下个人信息安全保护的一般要求、技术规范作出规定。相关工会和行业自治机构也应制定相应的自律规范,对这一领域的法律规范作出进一步的补充,以此形成行业内部的良性竞争,保障物联网行业的可持续发展。其三,完善事后救济。事后救济主要围绕对不当使用个人信息行为的处罚以及向利益被损害方提供相应的救助两方面来展开。告知同意原则是信息处理者收集并使用用户个人信息的权利基础。物联网服务提供者未经用户同意多次擅自使用或超出处理目的使用

36、用户个人信息的行为,均是对告知同意原则的破坏和对用户个人信息权利的侵犯,应依据法律规定对其进行处罚。尤其对于国家机关公务人员的这类侵权行为,应当给予特别处罚,具体可参照 中华人民共和国公务员法 等行政法中关于责任与事后处理的相关规定。同时,国家相关网信部门还应完善投诉机制、设立黑名单制度以及开展维权咨询和指导业务,及时、合理地处理有关告知同意原则的侵权问题,提高物联网用户维权的效率。(四)明确个人数据权属,加强平台保护厘清数据的权属是保护个人信息数据的前提。物联网所采集的个人信息数据可以分为底层数据、匿名化数据和衍生数据。其中,底层数据是指可能含有个人隐私信息的原始数据;匿名化数据是指经过脱敏

37、技术处理后无法识别具体个人的数据;衍生数据是指经过数据清理、数据可视化等技术手段加工后的改造数据24。不同类型的数据应有不同的权属。洛克的劳动财产理论为数据确权提供了理论依据。根据该理论,只要个人使任何东西脱离自然所提供的和那个东西所处的状态,就意味着他在这个东西上掺进了自己的劳动,从而使这个东西成为他的财产25。基于这个理论,数据权 34的权利人包括对数据注入劳动的人。数据权保障的不仅是原始数据本身,而且包括对其开发利用、二次增值以及加工处理后的数据产品。因此,笔者认为,在物联网领域应对底层数据、匿名化数据和衍生数据作如下权利归属划分。底层数据由用户对设备的使用而产生,其权利毋庸置疑应属于用

38、户本人。匿名化数据是数据处理者对底层数据进行脱敏处理后形成的数据,且已排除数据的可识别性,其权利应归数据处理者所有。衍生数据是数据处理者在用户授权范围内,通过对底层数据的二次加工而形成的数据。因此在用户授权的范围内,该数据处理者就其对数据付出增值性劳动的部分享有权利。数据处理者尽管大多数情况下是物联网服务提供者或其外包机构,但有时也会是用户本人,相应产生的衍生数据也应归属于该用户。需要注意的是,若用户在未经许可的情况下,对物联网设备采集的他人的数据擅自进行处理,也同样属于侵权行为。在完善数据分类保护、明确数据权利归属的同时,还应强调并落实网络平台对个人信息数据的保护责任。数据安全保护存在时效性

39、,只有网络平台能够对用户的个人信息安全进行充分、及时的保护。因此,物联网平台应以数据市场的参与者、数据管理的辅助者身份充分参与数据治理,承担起对用户个人信息管理与保护的责任。具体来说,物联网平台应具有以下 3 个方面的能力。一是数据汇聚、数据开发的能力。二是技术创新,对平台及设备不断进行技术升级的能力,即充分优化数据处理方式,提升数据处理的能力。三是数据安全和隐私保护能力。平台应落实对数据的分类、分级,根据不同的数据类型配备相应的数据安全保护措施,并以数据控制者的身份防御任何针对用户个人信息数据的非法入侵。五、结语在万物互联的时代,人、机、物的互联互通全面而深刻地改变着人们的生活。个人信息安全

40、保护成为物联网发展必须面对的课题。以安全优先为价值取向的个人信息保护,是物联网行业可持续发展的基础。在物联网背景下优化对个人信息的保护,应进一步完善提示机制,贯彻透明原则;以合法为中心,重构告知同意规则;规范个人信息使用,完善事后救济;明确个人数据权属,加强平台保护。参考文献:1 王利明.论个人信息权的法律保护:以个人信息权与隐私权的界分为中心J.现代法学,2013,35(4):62-72.2 杜换涛.论个人信息的合法收集:民法总则 第 111 条的规则展开J.河北法学,2018,36(10):34-44.3 史宇航.物联网环境下的个人信息权利及保护J.北京行政学院学报,2016(6):10-

41、18.4 徐子淼.智能网联汽车数据处理的法律规制:现实、挑战及进路J.兰州大学学报(社会科学版),2022,50(2):100-111.5 满洪杰,郭露露.可穿戴设备中的个人健康信息保护:以同意为核心的研究J.法学论坛,2023,38(2):121-131.6 张涛.探寻个人信息保护的风险控制路径之维J.法学,2022(6):57-71.7 凌霞.安全价值优先:大数据时代个人信息保护的法律路径J.湖南社会科学,2021(6):83-91.8 刘奇旭,靳泽,陈灿华,等.物联网访问控制安全性综述J.计算机研究与发展,2022,59(10):2190-2211.9 张新宝.个人信息处理的基本原则J.

42、中国法律评论,2021(5):18-27.10 刘权.论个人信息处理的合法、正当、必要原则J.法学家,2021(5):1-15.11 唐瑞芳.个人信息保护的立法基础、规范意涵与体系构造:以我国 个人信息保护法 立法依据条款为考察中心J.湖南社会科学,2022(5):109-117.12 丁晓东.个人信息公私法融合保护的多维解读J.法治研究,2022(5):14-25.13 石佳友.个人信息保护的私法维度:兼论 民法典 与 个人信息保护法 的关系J.比较法研究,2021(5):14-32.14 张勇.敏感个人信息的公私法一体化保护J.东方法学,2022(1):66-78.3515 韩旭至.个人信

43、息保护中告知同意的困境与出路:兼论 个人信息保护法(草案)相关条款J.经贸法律评论,2021(1):47-59.16 夏庆锋.网络空间个人信息保护的通知义务完善与动态匿名化J.江汉论坛,2022(3):95-103.17 新浪科技.可穿戴设备品牌 Polar 旗下 App 出现漏洞:泄露用户位置EB/OL.(2018-07-09).http:/ POT J.John Hancock to Only Sell“Interactive”Life Insurance,Will Heavily Push Health TrackingEB/OL.(2018-09-20).https:/ 安柯颖.个人数

44、据安全的法律保护模式:从数据确权的视角切入J.法学论坛,2021,36(2):58-65.20 李海敏.我国政府数据的法律属性与开放之道J.行政法学研究,2020(6):144-160.21 李立丰.个人信息保护法 中“知情同意条款”的出罪功能J.武汉大学学报(哲学社会科学版),2022,75(1):143-156.22 KNIJNENBURG B P,PAGE X,WISNIEWSKI P,et al.Modern Socio-Technical Perspectives on PrivacyM.Cham:SpringerNature,2022:264.23 郑佳宁.知情同意原则在信息采集中的适用与规则构建J.东方法学,2020(2):198-208.24 武长海,常铮.论我国数据权法律制度的构建与完善J.河北法学,2018:36(2):37-46.25 洛克.政府论M.叶启芳,翟菊农,译.北京:商务印书馆,2019:32.(编辑:廖可佳)36

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
百度文库年卡

猜你喜欢                                   自信AI导航自信AI导航
搜索标签

当前位置:首页 > 学术论文 > 论文指导/设计

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服