立法保护个人信息(共8篇)
军转论坛:网络信息保护立法
关键词:军转 军转干 转业干部 军转论坛 军转干考试 军转网
军转干考试
军转干部安置 军转待遇 军转干考试公告 军转干考试大纲 军转干考试成绩
一、背景链接
1.热点事件
网络信息保护立法
2012年12月24日,十一届全国人大常委会第三十次会议审议了委员长会议提请审议的《全国人民代表大会常务委员会关于加强网络信息保护的决定(草案)》(以下简称“草案”)的议案。该草案对网络服务提供者和其他企业事业单位收集、使用个人信息的规范及其保护个人电子信息的义务作出多项规定,政府有关部门及其工作人员对在履行职责中知悉的公民个人信息同样负有保密和保护义务。
最近,警方披露南京许某通过网上购买公民征信资料、骗办信用卡、盗刷牟利的案件,信息泄露的源头是某银行合作单位的工作人员。他从银行内部窃取公民征信信息后拿到网上贩卖。今年上海警方在办理信用卡诈骗案时发现,犯罪嫌疑人用于作案的大量公民个人信息均购于互联网,并成功抓获负责某卫生局信息数据系统运行维护的嫌疑人张某。
事实上,2009年通过的《刑法修正案(七)》规定:出售或者非法提供公民个人信息为犯罪。该法条剑指的主要对象,就是公权机关及银行、医院等“准公权机关”。当时全国人大常委会法制工作委员会副主任郎胜解释,国家机关在履行职权的时候,或者是一些公共服务机构在向社会提供服务的时候,凡是收集公民个人信息的都要有法律依据,都须承担对这些信息予以保密的义务。
2.政策链接
(1)党的十八大报告
全面推进依法治国。要推进科学立法、严格执法、公正司法、全民守法,坚持法律面前人人平等,保证有法必依、执法必严、违法必究。完善中国特色社会主义法律体系,加强重点领域立法,拓展人民有序参与立法途径。
(2)国家“十二五”规划纲要
全面落实依法治国基本方略,坚持科学立法、民主立法,完善中国特色社会主义法律体系。
军转干考试
二、深度剖析
1.主要问题
(1)随意收集、擅自使用、非法泄露甚至倒卖公民个人电子信息,侵入、攻击信息系统窃取公民个人电子信息,以及网络诈骗、诽谤等违法犯罪活动大量发生,严重损害公民、法人和其他组织的合法权益,危害国家安全和社会公共利益。
(2)国内有关网络信息保护的法律规范还比较薄弱,必要的管理措施缺乏上位法依据,与中国信息化发展和维护广大人民群众在网络活动中合法权益的要求不相适应。
2.重要意义
一是保护个人隐私和生活安宁,保障公民和法人的合法权益;
二是保护网络信息安全,维护国家安全和公共利益;
三是规范网络活动,维护互联网的健康发展。
3.主要举措
第一,加强立法,不断完善细化网络管理与公民信息保护法律法规,做到有法可依。
第二,加大执法力度,严格监管网络,加强网络身份管理,对各类侵犯公民个人权益、危害国家公共安全的信息违法犯罪活动,做到执法必严、违法必究。
一、对公民个人信息予以刑事立法保护的背景
在刑法设立侵犯公民个人信息罪之前,我国法律对公民个人信息保护的规定散见于《宪法》、《居民身份证法》、《护照法》、《民法》等仅具有规范作用而不具有强制力的法律中,缺乏对侵犯公民个人信息的行为如何惩罚的规定。随着互联网的普及和经济的日益发达,个人信息在传统上仅具有身份意义的基础上又增添了新的意义,公民个人信息变成了一种商品具有使用价值和价值,这一点从市场上现在或公开或地下以不同价格出售公民个人信息现象的存在就可印证,当然,出售个人信息者一般都不是信息所有者本人,个人信息被出售者一般都是被迫的,在不知情的情况下个人信息被盗用。在信息时代,公民的个人信息不仅对于信息所有者个人还是对于企业、社会来说都变得日益重要,自然而然地公民个人信息被非法使用、泄露的程度也变得越来越严重,很多人的正常生活因此受到影响,更倒霉者因而受到巨大财产损失和名誉上的破坏。以前我们对此问题常常无以奈何,不知道向那个部门投诉,找不到保护个人信息的方法。随着公众自我意识和维权意识的增强,要求国家采取措施保护公民个人信息的呼声渐高,引起了社会各界的重视,指出现有法律在保护公民个人信息方面的无力和不足,分析目前侵犯公民个人信息问题的严重性和社会危害性,专家、学者等纷纷提案要求在刑法中制裁侵犯公民个人信息的行为。法律是为保护人民利益而生的,正是公众对个人利益保护的需要催生出侵犯公民个人信息罪的设立。
二、侵犯公民个人信息罪的构成
由于侵犯公民个人信息罪刚刚设立,目前还没有相关的司法解释,学界也罕有对侵犯公民个人信息罪的构成进行详细解读者。笔者仅根据法律条文,从法理学和社会现实的角度出发对侵犯公民个人信息罪的构成提出个人的观点。
1.侵犯公民个人信息罪的客体是国家的公民信息保护法规和公民个人信息不受侵犯权。国家在多部法律法规中规定了对公民个人信息给予保护,任何个人不得侵犯其他公民的个人信息,侵犯公民个人信息罪首先是对国家的公民信息保护法规的破坏。宪法及其他法律都明确规定公民享有个人信息自由和信息不受侵犯的权利,显而易见,侵犯公民个人信息罪是严重的侵犯公民个人信息不受侵犯权的行为。
2.侵犯公民个人信息罪的客观方面是行为人实施了将合法手段获得的公民个人信息出售或者非法提供给他人,情节严重的行为。所谓合法手段是指行为人在履行职责过程中或者在提供服务过程中获得公民个人信息,而这些信息是公民在接受行为人管理或者服务过程中所必须提供的信息,行为人获得该信息为信息所有人所接受。法律对侵犯公民个人信息罪的行为方式采取了列举和概括相结合的方式。明确规定了三种典型的侵犯公民个人信息的方式,即出售、非法提供给他人或者窃取他人信息。为适应侵犯方式有可能的变化法律又规定了以其他方法获取公民个人信息的同样构成该罪,这体现了法律规定的灵活性和前瞻性。构成此罪要求情节严重,笔者认为情节严重的情形包括以下情形:a.行为人因侵犯他人信息获取数额较大的利益的;b.侵犯他人信息给信息所有人生活造成严重干扰、对其名誉造成恶劣影响或者致使信息所有人遭受重大财产损失的;c.侵犯他人信息数量较大或者超过三次以上的等等。凡是出售、非法提供或者盗窃公民个人信息等行为达到具有严重社会危害性的程度的都可以归为情节严重的情形,在实际办案过程中如何认定还需要有权机关进一步的解释。
3、侵犯公民个人信息罪的主体是自然人和单位。根据法律规定,国家机关或者金融、电信、交通、教育、医疗等单位及其工作人员是本罪的主体,依据罪刑法定原则,其他任何个人和单位不能构成此罪。
4、侵犯公民个人信息罪的主观方面是故意,包括直接故意和间接故意,过失不构成此罪。国家机关或者金融、电信、交通、教育、医疗等单位的工作人员具有违反国家规定、采取违法手段将合法获得公民个人信息出售或者非法提供给他人的主观故意,主观目的和动机如何则在所不问。
三、结语
在刑法上对公民个人信息给予保护体现了对公民权利的尊重,反映了我们党以人为本的执政理念,具有时代进步意义。然而,对于公民个人信息的包含单单依靠刑法是远远不够的,关键还在于强化人们对公民个人信息的重视以及国家完善的公民个人信息保护体系的建立,我国亟需建立对侵犯公民个人信息的补偿机制,刑法只是规定了对违法行为人的处罚而没有对受侵害的权利人如何救济作出规定,在其他法律中也找不到类似的规定,这是今后我国立法需要完善的一个重要方面。
参考文献
[1]、齐爱民.个人资料保护法原理及其跨国流通法律问题研究[M].武汉大学出版社,2004
[2]、高富平.网络对社会的挑战与立法政策选择:电子商务立法研究报告[M].北京:法律出版社,2004
在这个信息化的时代,便捷的信息在给人们的生活带来便利的同时,也让我们的隐私随时处于泄密的危险中,公民个人信息越来越容易被向公众暴露并被大量利用,因此而遭受的麻烦和骚扰随之产生。央视所作的一个调查显示,74%的公民有过信息被泄露的遭遇。而这一切的根源在于我国在个人信息保护立法上的不完善。我国《民法通则》第101条虽然规定了关于个人隐私权保护条款,但失之笼统的规定,远不能满足保护公民个人信息的需要。由于法律的缺位,导致当私人信息突然被陌生人掌握,并产生不良影响时,人们不知该如何维护自己的合法权益,也不知该找哪个机构和部门来维护自己的合法权益,最后大都是忍气吞声、不了了之,于是各种侵犯个人隐私、非法使用个人信息的现象和行为愈演愈烈。通过立法形成公民个人信息保护法律体系。已成为一件刻不容缓的大事。
在一个法治社会,公民个人隐私权受保护程度往往可以看出一个国家权利理念是否深入人心,以及公权力对私权利的保护程度,从而衡量一个国家法治发展水平。立法保护公民个人信息,是一个法治社会、文明社会必然选择。目前,世界上已经有50多个国家制定了个人信息法体系,按照国外有些国家法律规定,个人信息一般“除非经过本人书面申请或预先的书面同意,任何办事机构都不得通过任何通讯手段,向任何人或任何其他机构泄露记录系统中有关个人的任何记录”。否则,法律机构将追究其民事和刑事责任。
我国的法律体系经过50多年的发展和完善,目前已趋相对完备,但公民个人信息立法的缺失,已成为重大缺陷。现实生活中可能造成个人信息泄露的环节越来越多,在个人简历、求职信、银行开户、网络注册、住院、填写各类表格的过程中,包括姓名、年龄、血型、家庭住址、电话号码等许多个人信息都有可能泄露。由于缺乏法律保护,我国公民个人信息被泄露和滥用已经到了相当严重的程度。由于法律的缺位,一些不法的企业和机构明知泄密和买卖公民个人信息属于非法行为,只是为了牟取非法利益,仍然大肆泄密和买卖公民个人信息,却受不到法律制裁。因此,我们期待这部专门保护个人信息的法规能尽快出台。以法治手段制止或追究、制裁一切泄露和滥用公民个人信息的行为,为公民维护自己的合法权益提供法律依据。
【中文摘要】本文主要讨论网络个人信息隐私权的法律保护问题。首先,在绪论部分通过个人的经历引出对网络个人信息隐私权的关注。正文第一部分介绍网络个人信息隐私权的涵义和特点。正文第二部分是网络个人信息隐私权保护现状分析,即网络个人信息隐私存在不当收集和不当传播的问题,其主要原因是立法保护缺失和权利意识缺失。正文第三部分是对网络个人信息隐私权的保护提出的建议:要有权利基础——知情权、网络言论自由和信息流通自由,在此之上应当立法保护和司法保护网络个人信息隐私权。针对立法模式以及立法的内容提出了建议。结论重申了立法保护的重要性和必要性。
【英文摘要】The main idea of this article is to protect personal information privacy on net in law.First, in the part of introduction, an experience reflects the problem of personal information privacy protection on net.The first part of the text introduces definition and characteristics of personal information privacy on net.The second part of the text shows the present situation of personal information privacy protection on net: unsuitable collecting personal information privacy and unsuitable spreading personal information.The reason of the present situation is that we lack for statutes and sense of right.In the next part of the text, suggestion
comes: concerning about personal information privacy production,rights--right to know, freedom of speech and information currency--should be basic, and statutes should be necessary, and judicial practice should be important.The law making mode and contents are also concerned.Conclusion comes in the end, the view of making law to protect net personal information privacy is repeated in this part.【关键词】网络个人信息 隐私权 法律保护
【英文关键词】net personal information privacy law protection 【目录】论网络个人信息隐私权的法律保护3-4Abstract410-17
绪论
7-10
中文摘要
第一章 网络个人信息隐私权概述10-1
1第一节 网络个人信息隐私权的涵义
11-16
一、第二节 网络个人信息隐私权的特点网络个人信息隐私权的主体11-13客体13-15小结16-17
二、网络个人信息隐私权的本章
三、网络个人信息隐私权的内容15-16
第二章 网络个人信息隐私权保护现状分析第一节 网络个人信息隐私权受侵害的现状
一、网络个人信息隐私的不当收集17-20
20-2
3二、网17-2517-23络个人信息隐私的不当传播权保护不足的原因权利意识缺失2
423-24
第二节 网络个人信息隐私二、一、法律保障缺失23-2
424-2
5本章小结第三章 网络个人信
息隐私权的法律救济保护的基础25-29自由保障26-28
25-33第一节 网络个人信息隐私权法律
25-26
二、网络言论28-29
第二节
一、知情权保障
三、信息流通自由保障
29-32网络个人信息隐私权的法律保护措施29-3133-3
4二、司法保护31-32参考文献34-36
一、立法保护
结论
本章小结32-33致谢36
:1-3-9-9.38-8-4-8 【备注】在线加好友索购全文同时提供论文写作一对一指导和论文发表委托服务。
(2)更换手机号时要改变所绑定的银行卡,社交软件、购物软件等相关信息。
(3)不要使用山寨手机,不从非法渠道下载软件,不要越狱手机。
(4)不使用WiFi共享软件,少蹭网。
(5)区分重要账户和非重要账户,设置不同密码,尽量用邮箱注册账号。
(6)警惕微信测试等网络调查,玩游戏测试等程序。
(7)警惕电话推销、网络推销,谨慎向外界透漏个人信息。
5结语
大数据环境下的个人信息安全问题制约了信息技术的发展,为此研究和提升个人信息安全保护能力,对于保证大数据环境下数据应用的可靠性具有非常积极的现实意义。通过提出了匿名技术、水印技术、数据溯源保护和个人信息日常防护措施等内容,能够较好地从技术层面对个人信息安全进行保护,但是在个人信息安全保护方面还需要计算机安全系统、数据库安全系统、防火墙等多方面技术的结合,并建立数据保护的预警系统,全范围的保护个人信息安全,促进网络环境健康发展。
参考文献
[1]任孟山.Facebook数据泄露事件:社交媒体与公私边界[J].传媒,,(7).
[2]刘百平.信息安全之个人信息安全防护解析[J].无线互联科技,,(20):34-36.
[3]杨挺,薛质,施勇.基于K-匿名的隐私保护关键技术研究[J].信息技术,2016,(12):6-9.
[4]朱倩,李雪燕.数字水印技术在大数据安全保护中的应用[J].软件导刊,2016,15(1):153-155.
从内容上看,草案显然没有辜负业界对它的殷切期待,产研学各界都对诸多令人兴奋的立法亮点做了详细的介绍。但除了立法技术上的研讨以外,值得强调的是,个人信息保护立法的意义不仅仅是进一步保护“个人信息权益”和“维护网络空间良好生态”,同样也是“促进数字经济健康发展的重要举措”。在全球数字经济迅猛发展同时数字主权造成的数据孤立主义抬头的背景下,《个信法》草案既是中国个人信息保护思路的重要亮相,也应当站在 数据竞争的视野高度来看待其背后指向的数字经济发展策略。
限于篇幅,我们摘选了《个信法》草案中九个重点立法思路问题,和大家一起从比较法和经济发展双角度来追本溯源,探讨立法背后的深意和未来的影响。
一、如何看待“ 个人信息” 范围可能的扩展? 个人信息概念的界定是个人信息保护立法的核心问题和逻辑起点[1],直接关系到法律保护对象的边界,因此个人信息的定义通常是立法者反复权衡多种法律关系后的成果。
1.识别与关联标准的区别与变化 此前在多部法律法规中都曾基于个人信息的定义来说明其内涵和外延。比如《网安法》第七十六条规定个人信息为“电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息”。《民法典》基本上沿用了《网安法》中“识别”的标准,但同时也将“行踪轨迹”列明为个人信息的一种,一定程度上也呼应了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(“ 《双高解释》”)对公民个人信息的定义。考虑到刑事法律保护的法律关系特殊且有所侧重,《双高解释》将“反映特定自然人活动”的信息纳入个人信息范围,通常被理解为在“识别”标准上兼顾“关联”标准,扩大了个人信息的范围。
《个信法》作为个人信息保护的专门法律,其对个人信息的定义将在民事、刑事及行政法律关系中产生无可比拟的影响。草案第四条将个人信息定义为“以电子或者其他方式记录的与已识别或者可识别的自然人 有关的各种信息”,一定程度上结合了 “识别+关联” 标准,客观上存在将个人信息概念外延扩张的可能性。
2.他山之石与因地制宜
纵观全球法律实践,在立法上清晰、准确且恰当地界定个人信息的具体含义,并非易事。作为数据保护立法的比较法源之一,欧盟《通用数据保护条例》(“GDPR”)第四条同样采取“识别+关联”标准,任何已识别或者可识别的自然人相关(“relating to”)数据都是个人数据。这种定义标准也承受了一定质疑,有观点认为这种定义方式“非常模糊甚至模棱两可”[2],可能造成法律适用的不确定性;还有观点认为过于宽泛的定义可能使得 GDPR成为“万能法律”[3],不仅难以实现 GDPR提供最全面数据保护的美好愿景,还将导致数据保护系统过载[4],无法平衡数据产业利益。
事实上,欧盟也认识到了问题所在,第 29条工作组对个人信息定义的意见中曾提出应适当限制定义的范畴[5],但由于 GDPR自始尤为注重“可识别”数据的保护,并不将其与“已识别”数据加以区分保护[6],只要数据处理的最终目的是识别数据主体,那就会被认定为属于个人数据。这实际上将个人信息处理目的与数据本身的可识别性进行了绑定[7],现实问题和矛盾仍悬而未决。而相较于欧盟相较激进的“扩张主义”(expansionist view),美国秉持普通法系实务导向下的“简化主义”(reductionist view),认为当信息实际上可与特定人相连接(link)时才属于个人信息。[8]《美国加州消费者隐私法案》(“CCPA”)主要通过详细列举的方式给予了具体定义。
尽管目前世界范围内仍然将“识别性”作为个人信息定义的主要因素,但随着识别技术的发展,个人信息可识别性的判断事实上是动态的过程,许多原本不可被识别的信息经组合后可能被识别,直接拓宽了个人信息的范围。因此有学者也提出通过区分已识别和可识别两类不同层级的个人信息并设计了不同保护措施。[9]从监管者的角度出发,我们需要理解在数字技术快速发展和个人信息权益侵害事件频发的背景之下,强化个人信息保护立法存在相当的必要性与紧迫性。与此同时,基于域外立法实践和经验教训,个人信息概念的过度扩张仍可能有违个人信息保护之初衷。实践中,对于个人信息违规收集及滥用确实广泛存在,但值得注意的是,在中国数字经济高速发展的当前,大量场景下比如机器学习的商业化及技术研究中并不以识别特定个人为目的,通常仅为了验真等目的需要标识或者关联某个对象。个人信息范围的模糊或者扩展可能导致数据处理受限,使得数字经济无法发挥最大潜力。
但不可否认的是,在数字经济社会,个人信息的定义作为核心概念将是我们需要长期探讨的时代难题。是否需要区分识别个人信息的目的?是否要结合场景来判断个人信息范围?是否需要结合主体处理分析数据的能力来判断?去标识化个人信息的对外共享是否能达到相对匿名化效果?这些问题将伴随技术和经济发展,不断地要求我们深入思考:在当前的社会发展阶段,如何准确界定个人信息,同时在实践中增加弹性,以实现多方主体利益的平衡。
二、“ 域外适用” 是暂时的反制,还是虚拟空间推动的时代潮流?
草案规定的域外适用效力,毫无疑问是最受关注、最广为探讨的立法亮点之一。根据草案第三条,该法适用于境内处理个人信息,还适用于三种境外处理境内自然人个人信息的活动:
(1)以向境内自然人提供产品或服务为目的;(2)为分析、评估境内自然人的行为;或(3)法律、行政法规规定的其他情形。
1.“ 长臂管辖”的出发点与实践困局 随着数据主权意识的不断强调与深化,各国在数据权属与域外管辖领域内存在客观的竞争需要。面对欧盟 GDPR、美国《澄清域外合法使用数据法案》(“Cloud 法案”)等一系列域外立法中存在的 “长臂管辖” 规定,以及近段时间以来美国、印度政府对我国出海企业以国家安全、公民数据保护等为由的一系列调查与纠纷,草案有必要给予相对积极的回应。
积极顺应与面对国际立法是我们的基本立场,但作为一种付诸执行的具体立法实践,“长臂管辖”规定本身的合理性以及应用方式值得我们谨慎审视。有观点认为,欧盟 GDPR的域外适用并非国际法上的“最佳实践”,在尚未形成数据保护国际规则的情形下,GDPR的域外适用的规定在事实上构成了对非欧盟区公民数据权利的限制[10]和对分享全球数据产业红利的不合理障碍。这种管辖可能将会带来对其他主权国家执法权完整性的挑战、增加引发贸易乃至外交冲突的可能性。[11]此外,欧盟内部执法机构也认为,要求境外企业在境内设立分支机构与指定代表的相关规定无法落地。[12] 另外,高昂的数据合规成本使得包括跨国公司在内企业“望而却步”,有数据统计 68%的公司预计将花费 100万到 1000万美元的合规成本。[13]
2.有限度的回应与长远考虑
尽管国际法共识认为长臂管辖可能不符合国际法规则,且各国深知限制或禁止离岸数据运营模式将限制跨国企业的经营动力,但时下各国数据立法赋予必要的域外效力俨然成为了一种潮流。除上述 GDPR的域外适用效力规定外,新近通过立法如新加坡的 PDPA、南非 POPIA和埃及 PDPL等国的个人数据保护法,以及印度的个人信息保护法案草案等,均涉及针对域外企业处理域内数据的规定。
但从具体条文规定的细节对比来看,相较于 GDPR、Cloud法案等积极寻求域外适用的立法态度,草案则更多地体现出保护我国境内个人信息的基本立场和回应姿态。例如,根据 GDPR以及欧盟数据保护委员会(“EDPB”)就域外适用的相关指引文件[14],GDPR规定无论在何处设立和处理欧盟境内个人数据,凡是向欧盟境内提供货物或服务的实体,均受到 GDPR的管辖;此外,还规定了域外监控行为的适用。
跨国公司处理关联公司所在国用户或者本集团内部员工的数据是企业运营的普遍及必要情况,而尽管 GDPR在各类指南及实践中也在尽可能地纠正过于扩张的管辖,但 GDPR“以提供服务的事实”为标准的规定理论上几乎可以涵盖所有向欧盟区提供服务的跨国企业,因此必将带来大量的管辖冲突问题。相比 GDPR,草案的域外适用条款则显得更为克制,规定“以向境内自然人产品或服务为目的”而处理境内个人信息才受约束,相当于对域外适用的要求新增“数据处理的目的限制”。
另外,我国企业近年来愈发陷于各国长臂管辖的合规困境,但与之相对,如果跨国企业通过运营离岸数据中心向境内提供网络服务,在缺乏监管的条件下,大量境内个人信息可能在数据跨境中“裸奔”而无法得到保障。唯有推进域外适用,使跨国企业的离岸模式逐渐成为过去式,境内个人的信息安全方能在当今全球形势下获得对等的保护。
但抛开对国际立法对等规则以及境内个人信息对等保护等考虑,我们会发现基于数据或者网络的域外适用规则在数字经济全球化时代几乎无法避免。当前国际经济的驱动力包括网络的互联互通以及数据的全球流通及整合,尽管我们要避免无序管辖对全球经济发展的阻碍,同时虚拟空间全球化交互从数据安全以及数据主权等多个角度都要求国家适度地扩展域外管辖,维护市场经济秩序和公共安全与利益。从长远考虑,如果缺乏域外管辖的规则,从实质上将会影响个人信息权益的保护以及数据主权的行使。
顺带一提,除了本草案,为应对各国域外长臂管辖带来的消极影响,从立法层面看我国以近期出台的《数据安全法(草案)》为代表主要做了两方面努力:其一,做好针对个人信息保护的数据本地化和关键基础设施、重要数据的安全审查等自我保护制度的建设;其二,为境内法律的境外适用留有必要的空间,以灵活根据国际法的“对等原则”,采取维护国家和公民合法利益的必要的反制措施。例如,《数据安全法(草案)》的第二十四条和草案的第四十三条对外国歧视性措施的反制措施。在数据主权化浪潮当下,各国数据立法普遍带有域外适用效力,跨国企业经营的确需要在日常业务中谨慎经营、做好合规,以尽可能提前避免落入域外管辖的“争执”之中。
三、个人信息主体对信息处理“ 绝对” 权利的利弊
1.个人信息处理合法性依据的扩展 草案第十三条首次明确个人信息处理多达六项的合法性依据,分别是同意、履行合同所必需、履行法定职责或法定义务所必需、应对突发公共卫生事件或紧急情况下保护自然人生命健康和财产安全所必需、为公共利益在合理范围内处理、法律和行政法规另行规定。
尽管草案增加了个人信息处理的合法性依据,但其与欧盟 GDPR的规定仍存在一些差别。草案第四项合法性基础是紧急情况下对自然人生命健康和财产安全保护所必需,而 GDPR则是表述为对自然人重大利益(vital interests)的保护。对比来看,草案规定得更为具体,避免“重大利益”这一概念的模糊不清。同时,草案没有规定类似 GDPR中对保护控制者或第三方合法利益(legitimate interests)必要的情形,但是其兜底条款“法律法规规定的其他情形”可以在很大程度上涵盖这一情况,并且法律明确规定的形式也更具有确定性和可操作性,避免滥用相关条款从而造成对信息主体权益的损害。
草案中“为履行法定职责或者法定义务所必需”与“法律、行政法规规定的其他情形”这两项合法性基础之间的关系也值得探讨。前者的“法定” 要求需要其所适用的情形有法律法规的依据,与后者含义一致。但前者在 “法定” 的基础上加上了 “必需” 要求,实践中可能更多指向法律法规未对个人信息收集有明确例外规定,但法定要求必需处理个人信息的场景。此外应当肯定的是,草案还结合疫情防控经验,加入了 “为应对突发公共卫生事件所必需” 这一合法性基础,充分体现法律与时俱进的时代特色。
2.个人信息主体权利在不同经济发展阶段的限度 自 2012年全国人民代表大会常务委员会《关于加强网络信息保护的决定》中首次提出收集和使用个人信息应当征得个人信息被收集者的同意以来,除法律及行政法规另有规定以外,个
人信息主体的“同意”一直是我国个人信息处理的主要合法性依据,甚至学者认为赋予了个人信息主体对于个人信息的“绝对权利”。此次草案第十三条首次从法律层面对于个人信息处理活动的合法性基础进行扩充,其由单一到多元化的转变是否合理?这背后又有哪些考量? 个人信息权益的定位其人格属性尽管在《民法典》出台后才相对清晰,在个人信息保护的初级阶段,尤其是隐私权与个人信息权利尚未完全厘清关系的时期,赋予个人信息主体较为“绝对”的控制权对于个人信息权益尤其是人格权益保护具有积极意义。但在大数据与高科技浪潮的推动下,个人信息逐渐体现出其所附着的信息主体利益、信息使用者利益与公共利益等多重利益。信息主体的利益主要体现为对个人尊严与自由的保护。同时,个人信息还具有社会性、工具性与功能性,因此还应保障信息使用者的利益,促进个人信息的使用与流通。此外,在遇到公共利益时,信息主体可能需要让渡或牺牲部分个人利益以保障公共管理目的的实现。[15] 鉴于此,将知情同意作为个人信息处理的唯一合法性基础在事实上赋予了信息主体对个人信息较为绝对的支配权利,但不同于知识产权等相对成熟的权利,考虑到个人信息“所有权”或“控制权”当前尚未有定论,较为绝对的支配权利将可能对建立个人信息的权利束制度造成不利影响,并且会对不同主体的权利分配造成阻碍。因此,这种绝对性支配权制度在多主体参与的个人信息处理中会导致较高的授权成本并可能阻碍科技和社会发展,造成经济实践的巨大困境。从比较法上来看,欧盟 GDPR除同意外还规定了五种合法性基础,以实现个人数据保护与数据流通之间的平衡。美国 CCPA 则在保障数据流动方面走的更远,甚至未严格将同意作为处理的前提性条件,而是以 “告知+选择退出” 作为保障消费者权益的方式。国际社会更倾向于不将保护个人数据主体权益作为个人数据保护的唯一目的,而是尽可能地在数据保护与数据流通之间寻求平衡。
3.从个人控制向多方控制,打开数据权益大门 《民法典》已将“法律法规另有规定”作为同意的例外,留下变通空间,并将处理已合法公开的个人信息、维护公共利益或自然人合法权利作为免责情形。草案更进一步,具体规定了除同意和法律法规另有规定以外的其他四种合法性基础,体现出个人信息保护制度正逐步从个人控制走向社会控制[16]、多方控制,既符合时代发展需要,也顺应国际社会潮流。从个人控制到多方控制并不妨碍保护个人信息主体对于个人信息的人格权益,并让参与个人信息处理不同环节的主体一定程度上脱离个人信息主体基于绝对同意的控制权,有空间来寻求对于个人信息可能主张的财产权益。当前数据立法中重点和难点问题集中在数据确权之上,通过对个人信息控制权主体的扩展,有利于从理论和实务两个方面打破禁锢,有望实现平衡个人信息主体和其他处理主体权益的新型数据权益规则。
四、“ 同意” 的两难 草案对于不同情形的“同意”规则做了细化。草案第十四条要求同意应当“由个人在充分知情的前提下,自愿、明确作出意思表示”,并规定法定应当取得单独同意或书面同意的,从其规定。同时,草案第二十四条规定,在对个人信息进行共享时应取得信息主体的单独同意。与此相关的还有草案第三十条,要求对敏感个人信息的处理应取得个人的单独同意,并且法律法规规定处理敏感个人信息应当取得书面同意的,从其规定。草案第一次尝试在法律层面根
据处理的不同情形对 “同意” 进行分类,如何准确的界定 “同意”、“单独同意” 与 “书面同意” 将需要从实务角度探寻可行性。
1.同意分类的合理性和实现困难 纵观全球数据保护立法,“同意”的概念均有所涉及但又有所差异。草案将“同意” 定义为 “由个人在充分知情的前提下,自愿、明确作出意思表示”,与 GDPR所定义的 “通过陈述或积极行为表示” 的主要区别在于意思表示实现方式的多样性。单独同意与一般同意相比,更强调信息主体对个人信息处理在充分知情和审慎考虑基础上的授权,属于对一般同意的补强措施,从理论上看具有必要性。
对于向第三方共享个人信息与处理敏感个人信息这两种敏感度较高的情形而言,单独同意确实可以在一定程度上征得信息主体更充分和有效的同意。由于草案中并未给出单独同意的具体定义,实践中多将其理解为与概括同意相对的授权同意方式,并常以单独提示或者弹窗的形式实现。但单独同意需要在线上实现,尤其是数据收集或共享要求实时性时,则实现方式会出现侵扰用户同时达不到保护个人信息主体自由意志的情况。
比如根据草案第二十四条,个人信息处理者向第三方提供其处理的个人信息的,应当取得个人的单独同意。但是实践中以 SDK方式向第三方共享个人信息的情形已屡见不鲜,这也成为了一种常见且高效的商业合作模式。对于大型企业来说,其服务中可能包含多种来自不同第三方的、具有不同处理目的和处理方式的 SDK,并可能在其提供服务过程中不断更新,若按照每种 SDK都分别用一个弹窗的形式来征得单独同意,则可能成本过高且会给用户带来不良交互体验。因此结合实践合规成本与落地难度来看,如何设计同意机制,使得既达到单独同意的要求又不造成侵扰用户的后果,仍值得探讨。
书面同意对比一般同意不仅突出信息主体的充分知情权与授权有效性,其还强调信息主体同意的可验证性。草案中虽提及此概念,我们更期待明确其具体适用的场景,以及有效书面同意的定义。比如俄罗斯个人信息保护法(Federal Law No.152-FZ of 27 July 2006)中规定“以电子签名签署的电子文档形式的同意应被视为等同于包含个人数据主体手写签名的书面同意书”。类似的规定有助于明确新经济环境下,尤其是互联网经济中书面同意的边界。
2.新型同意机制呼吁新业态 应当肯定立法针对不同情形区分同意的类型,但由于不同同意类型的界定将在很大程度上影响各相关主体的权益,具体对同意的界定与适用可能亟待相关法规或指南进一步明确。与此同时,如何实现不同的同意要求以匹配新型的同意机制将是企业重点关注的难题。
实践中,必须承认隐私政策与同意提示等对于个人信息主体的提醒作用十分有限。借由同意机制发生变化的契机,企业应当进一步研究如何增加个人信息主体对同意的管理路径,比如让个人信息主体通过 dashboard等方式自行管理其对个人信息的同意,即增加告知及同意的强度,又降低反复提醒降低产品体感的影响。尽管上述要求可能进一步增加企业合规成本,但在尊重个人信息主体意志大原则不变的前提下,可以预见的是以适当、透明的方式使得个人信息主体享有一定的个人信息管理权限,将有助于自证合规并提高消费者体验。与此同时,考虑到个人信息权利束理论形成后,个人信息附着的财产性权益同样有突出的管理需求,企业对合规的投资可能转换为类似 privacy box 等可商业化的新业态。
五、处理者法律责任分配背后的政策考虑,如何实现个人信息权益保护与促进产业发展的矛盾统一? 草案第二十一条规定,两个或两个以上的个人信息共同处理者承担连带责任,成为一大亮点。具体而言,受共同处理行为侵害个人信息权益的个人,有权向任何一个处理者主张全部损害赔偿。从个人信息的强保护立场来看,连带责任固然有利于保障个人求偿权的实现,鼓励共同处理者之间充分约定共同处理的安全保护义务,促使共同处理者积极就数据保护进行互相监督。但在推动数字经济的大背景下,处理者连带责任所代表的强保护政策导向,应如何响应 “促进企业联动转型、跨界合作”[17]的新业态发展需求? 我们不妨假设一个场景:整车制造厂商(OEM)希望搭建自己的车联网系统,而其中的地图导航服务则作由第三方运营。第三方导航服务直接调用传感器收集用户个人位置信息以提供导航定位服务,属于直接的个人信息处理者;而 OEM 将导航服务获取并处理的位置信息用于智慧加油、智能停车、旅游信息等车联网服务,属于位置信息的共同个人信息处理者。根据草案,若 OEM 在车载外卖服务中泄露了个人位置信息,第三方共同处理者亦需承担连带责任。考虑到车联网方案的开放性,第三方无法充分预见位置信息泄露的可能性与风险,为避免承担连带责任,很可能会因此减少与 OEM 的合作,或通过合同限制 OEM 的车联网方案应用范围,从而限制车联网产业的发展合作。
从上述例子来看,若共同处理行为可分割且分工明确,一方处理者为另一方处理行为承担连带责任,可能有失公平、打击企业参与此类产业合作的积极性。但另一方面,若用户无法对共同处理者涉嫌侵权的处理行为的分工有合理清晰认知,则共同处理者承担连带责任则显然具有保障个人权益的正当性、必要性,也在我国司法实践中获得认可。[18]事实上,我国立法对连带侵权责任的规定一向采取谨慎态度,如《民法典》中对网络服务提供者提出限制条件的连带责任。[19] 而从国际立法实践来看,虽然 GDPR第 26条第 3款规定“数据主体可以对每一名[共同]控制者行使权利”,但该条是否可以理解为共同控制者存在连带责任仍有极大争议。[20]显然,处理者的法律责任分配应当如何权衡个人权益保障与促进产业合作发展,仍有很长的政策研讨之路要走——是否应当以个人存在对处理行为的分工有合理认识为判断标准?该判断标准是否造成过高的司法判断成本,以至于一刀切地规定连带责任更具有可行性? 类似的政策问题同样出现在草案第六十五条:对于处理活动侵害个人信息权益的,“个人信息处理者能够证明自己没有过错的,可以减轻或者免除责任”。该条似乎可以理解为采用了过错推定的归责原则,即将证明个人信息处理没有过错的举证责任转移至作为被告的处理者身上;但该条进一步可理解为若处理者证明自己无过错的,可能仅减轻了其赔偿责任,似乎又像是规定了某种公平责任。此外,将本条与草案第二十一条结合理解,进一步产生了归责难题:承担连带责任的两名共同处理者,且个人信息处理中双方仅分别负责不同阶段的个人信息处理时,若甲方能证明自己无过错,而乙方无法证明,个人引述第二十一条的连带责任条款,要求甲方承担损害赔偿责任,甲方是否可以引述草案第六十五条抗辩?如何将六十五条的特殊归责与共同处理者的连带责任进行统一,在有过错的乙方、无过错的甲方与受损害的个人之间如何实现权益平衡?无论处理者的责任如何划定,该条毫无疑问将增加处理者的诉讼成本、降低其寻求数字经济产业创新的积极性。如何在改善当前个人信息诉讼维权困难的现状与保障产业发展之间取得微妙的平衡,显然值得进一步广泛探讨。
六、如何划定处理公开个人信息的“ 合理界限” ?
1.有限度“ 公开” 的个人信息 草案第二十八条规定了处理公开个人信息的基本行为规范,已公开的个人信息只能在被公开的用途之合理范围内被处理,否则需向个人告知并取得同意,即“公开”不能成为无限制处理个人信息的通行证。此前《民法典》第一千零三十六条已将“合理范围内使用公开个人信息”规定为个人信息处理的免责事由(个人信息主体明确表示拒绝或者处理侵害其重大利益除外),草案第二十八条在予以继承与衔接的基础之上,进一步作出规定:
(1)在使用范围上,一般局限于“个人信息公开时的用途”,超出此用途相关合理范围的,应当执行“告知-同意”;(2)在使用方式上,应当合理、谨慎,如果对个人有重大影响时,应当执行“告知-同意”。
考虑到已公开个人信息一定范围内的公开性或公共性,其处理不再以“同意”为原则和必要,但从条文规定来看,“合理谨慎”、“符合用途”成为把握公开个人信息处理行为边界的关键要素。对于现代企业而言,大量的个人信息处理行为都离不开已公开的个人信息,比如常见的运用“爬虫”在互联网平台采集公开信息等,而如何在个人和企业之间划定公开个人信息处理的合理边界,包括商业化采集、识别人脸等“暴露”在公共场合的生物特征信息,成为公众关心的问题。
2.合理隐私期待原则的参考与运用 如何在个人信息公开用途不明确的情形下“合理、谨慎”地处理公开个人信息?我们理解,“合理隐私期待”(Reasonable Expectation of Privacy)原则可以作为参考。自 1967年 Katz诉United States的判例[21]首次确立,该原则用于公民对抗公权力搜查行为而可能造成的侵犯公民隐私(“执法隐私”)。现如今,随着互联网数字经济的兴起,该原则被理论界移植对“信息隐私”的讨论研究。根据理论观点,应当在具体场景[22](Context)的信息关系中确定个人对信息享有的权益边界,其重要标准即“合理隐私期待”——个人信息的收集、处理与流转应当符合个体的合理预期。一般认为,当个人信息的处理超出一个社会中正常理性个体的合理预期时,个人信息处理者必须对个体进行显著告知,确保个体理解伴随此类的风险,并且获得个体的明确授权。[23]例如在实际场景中,某知名视频 Up主在视频中公开分享了一定的个人信息,由于媒介传播特性,信息很可能被“断章取义”“随意剪辑”导致公开个人信息的目的、用途被削弱乃至抹灭,但至少可以合理期待 Up主不希望公开个人信息以任何不利于自己的方式被处理。
3.期待随着行业和技术发展动态调整的合理期待标准
在实践中,合理期待的判断也并非没有难度,其最大的不确定性在于结合场景和个案化的动态评估方式。作为对已公开个人信息处理的替代性原则,其应当在经济学考量下优于“告知-同意”的实施成本,否则合理期待的制度设计便失去了实际意义。与此同时,对合理隐私期待的判断依赖于个人信息保护领域具体的执法与司法实践案例,企业作为个人信息处理者需要一个类似于经验积累的过程,从而形成公开个人信息处理行业实践中的有益互动。
合理隐私期待建立在个人存在具体可感的隐私意识之下,相对而言,公共场所采集、识别人脸等个人生物特征信息因可感性较低,清晰、明确地界定合理处理范围就显得尤为关键。此前,轰动一时的“国内人脸识别第一案”[24]正是对人脸识别技术合理使用范围的纷争。根据草案第二十九条,人脸信息属于敏感个人信息,但其一般“暴露”在公共场合之下,如若法律不加以必要限制,其无感知的处理过程可能带来严重后果。对该等信息的处理,草案第二十七条规定仅限于维护公共安全所必需,并且需要企业设置显著标识。由此,立法者明确地将人脸等生物特征信息排除在公开个人信息之外,并以强制性规范严格约束了未经个人单独同意情形下公共场所内人脸信息采集和识别的信息处理范围。
但值得注意的是,除公共安全所必需的以外,人脸、虹膜、步态等生物识别信息有着当前设备识别码、手机号码、IP地址等个人标识信息无法比拟的准确性和真实性,可以预见其有广阔的商业运用空间。随着无人超市、智慧商圈、智慧社区甚至智慧城市的推广与普及,在公开或者半公开空间,在(1)具有显著标识,(2)能够提供用户超值便利的前提条件下,大家对步入类似空间后会被有限度采集“暴露”在外的生物识别信息是否可能具有合理的期待?对于类似的新型业态,是否需要动态调整合理期待标准值得我们前瞻性的思考。
七、从网络安全到数据安全,如何构建中国数据本地化与跨境规则?
1.多种数据出境路径与新增本地化要求 数据本地化与跨境流动规则构建一直以来是各国数据保护立法关注的重点。除了要求处理者充分告知个人并获得单独同意,此次草案更进一步拓展《网安法》下的数据本地化及跨境规则,将数据本地化义务主体从“关键信息基础设施运营者”进一步扩展到“处理个人信息达到国家网信部门规定数量的个人信息处理者”,且要求该两类主体必须通过网信部门的安全评估方能向境外提供个人信息。而对于其他企业,草案则提供了多种数据出境路径,只要符合“通过国家网信部门组织的安全评估(存在例外)”、“经国家网信部门指定专业机构进行认证”或“签订合同并保证达到与本法一致的个人信息保护标准”三项条件的其中一项,即可向实施数据出境,体现了草案兼顾商业需求,为风险级别低的处理者提供出境便利。
草案的跨境规则与 GDPR有类似之处,如“指定机构认证”要求与 GDPR下经认可的有约束力的公司规则(Binding Corporate Rules)相似、“订立合同”要求与 GDPR下标准合同条款(Standard Contractual Clauses)有所关联。同时,草案第十二条规定了国家将积极参与个人信息保护国际规则的制定,推动与其他国家、地区和国际组织之间就个人信息保护规则、标准的互认。由此可以预见的是,未来将会越来越多得通过国际互认等方式建立起数据自由流动的区域性联盟,同时也将通过私人协议的约束约定以及标准认定等方式完善数据跨境的合法性依据。
2.以网络为中心转向数据为中心的安全策略 草案的数据出境监管核心是数据本地化要求。从国家战略的角度而言,数据本地化存储是维护国家数据主权,应对跨国网络攻击或威胁的重要方式,例如美国很早便开始了网络安全的战略部署,近期特朗普政府战略政策频发,先后发布《国家安全战略》《网络安全战略》和《国家网络战略》[25],在《国家网络战略》中特别强调保护数据和底层基础设施,将重点从保护网络扩大到保护这些网络上的数据,确保数据安全。[26]在 2010 年 10月 8日,美国国防部发布了首部《数据战略》(“DoD Data Strategy”)[27],被理解是以网络为中心向以数据为中心安全模式的转变。[28] 草案第四十条所确立的本地化规则事实上也顺应了当前世界主权之争从网络上升到数据的变革趋势,如果说《网安法》对于关键信息基础设施运营者的本地化要求是以网络安全为出发点,那么草案将本地化要求辐射到“处理个人信息达到一定量级的处理者”则以数据安全为立足点,体现了立法者对于本地化要求的关注点从网络安全层面延伸到数据安全层面,以及以网络为中心转向数据为中心的立法思维的进步,是立法者在各国数据主权博弈态势下所做出的积极回应。
3.实操性有待考验 当然在实际执法过程中,“处理个人信息达到一定量级的处理者”的规定可能带来一定不确定性。一方面,如何界定个人信息的量级可能存在一定争议,如参考《双高解释》,个人信息量级的计算将以个人信息主体的数量为维度计算,但考虑到现实中企业处理个人信息的数量呈动态波动的趋势,具体数量的认定可能存在一定难度。极端情况下,如一家跨国企业由于员工数据达到了网信部门规定的数量,此时跨国企业是否需要或者有必要根据草案要求将此前在中国收集存储在境外的员工数据全部本地化;另一方面,数量为依据的计算方式可能会出现“蚂蚁搬家”的规避方式,企业可能将数据存储在不同子公司所运营的信息系统,或者以多个关联公司的名义来处理数据,以规避处理数量达到量级所带来的本地化要求。如果上述情况确有可能规避本地化要求,考虑到实质上同样数量的数据仍然会发生跨境或者境外存储,是否需要结合跨境安全评估等规则来进一步规范? 因此,我们理解具体规则的构建可能还有待网信主管部门出台进一步的规章或指南予以指导,当然我们也不排除关键信息基础设施运营者与如达到一定数量的个人信息处理者间在事实上存在竞合。进一步确认将处理个人信息达到规定数量纳入关键信息基础设施运营者的认定标准,在立法上将本地化要求限定于关键信息基础设施运营者或可一定程度解决上述问题。
八、个人信息可携权是“ 乌托邦” 还是“ 救命稻草” ?
个人在个人信息处理活动中所享有的权利一直是个人信息保护立法过程中备受关注的重点话题。草案第四章在《网安法》与《民法典》的基础上对于个人信息主体在个人信息处理活动中的权利作了进一步明确与细化,个人在个人信息处理中的知情权、决定权、限制权、拒绝权、查阅复制权、更正权、删除权在草案中到得到了进一步确认。我国对于个人信息主体权利的设置与欧盟 GDPR,巴西 LGPD等相关规定类似,但与 GDPR相比,草案与《网安法》
及《民法典》一样,并没有赋予个人信息主体 GDPR第 20条中所规定的 “数据可携权”。正如立法者在草案说明中所述,对一些尚存争议的理论问题,应在本法中留下必要空间。但可携权的现实难度和立法精神并不妨碍需要我们用时代的眼光来审视可携权需要的变化和未来可能的发展空间。
在 GDPR 语境下,数据可携权主要包括“数据主体有权下载存储在数据控制者处的个人数据”和“条件允许时数据主体有权要求数据控制者为其将数据传输给其他控制者”两方面基本内容,当然 GDPR为其设立了“行使可携权不得妨碍执行公共利益和官方授权所需,及不得对他人权利和自由造成不利影响”的例外情形。[29]从技术可实现性和经济成本考虑,数据可携权自提出之日就被质疑,代表观点认为这种权利将导致数据使用效率的牺牲而失去存在的价值。
[30] 草案并未接受 “可携权” 作为个人信息主体的权利,其背后是什么的考量?我们目前是否做好了数据可携落地的充分准备?这些问题还需要我们分别从数据可携权其背后隐藏的多方主体的权益平衡谈起。
1.数据主体信息自决利益范围之考量 从数据主体的立场来看,可携权的理论基础来源于最初确立于德国联邦宪法案例“人口普查法案”的信息自决权。[31]但事实上,信息自决被理解为对个人信息绝对的控制权实乃人们对该案判决的误读。
[32] 将个人信息作为客体排他性地归属于信息主体的做法,无法为他人的行为划定清晰的禁区,因此也不可能构成私权意义上、受侵权法保护的民事权利。一般认为,在为保护个人信息的隐私利益而行使自决权时,也应受到相应的合理限制。
[33] 这里的合理限制,其中的相当大的因素考量在于数字企业在用户数据之上享有的一定 “财产权利益”。[34]应该考虑到,数据可携权强化个人对于个人数据的绝对控制权的同时,必将减损为维护数据资源投入高额成本的企业的利益、不合理地增加企业运营成本。此种信息自决空间是否过宽、影响社会和产业秩序有效运转本就值得研讨。
2.数据企业竞争性利益的保护 数据可携不仅是个人数据保护法的调整对象,也是竞争法的调整范围。[35]从数据作为战略资源角度而言,用户数据资源的市场占有率已成为现代数字驱动型企业的独特竞争性优势。目前例如“头腾大战”在内普遍而多发的企业间数据争夺不正当竞争案例已足以证明这一点。但试图利用数据可携权来破除数据垄断,可能只是一厢情愿的“乌托邦”。有观点认为,赋予个人数据主体数据可携权能够有效制约互联网巨头对于数据的垄断地位,促进数据自由流动,打破数据市场准入障碍[36],但该种观点只关注了头部巨型企业,事实上,在尚未形成成熟的数字产业体系基础之上贸然引入数据可携权制度,更为严重的问题可能是急剧加重中小企业负担。[37]根据“锁定效应”理论,先进入市场的积累了大量用户的企业(先发优势企业)对数据具有绝对性的先占优势,在占有大量数据的同时,先发优势企业为了保护自身已形成的优势地位,会采取各种方式提高行业准入的门槛,最典型的方式就是将数据进行封锁,提高用户转换服务商的成本。[38]此外,数据可携的落地可能还会引发和变相鼓励企业间“搭便车”的不正当竞争,随之而来的可能是各种绕过数据可携的技术压制,反而加剧围绕数据的“分封割据”,最后形成个别巨型企业独占山头的局面,恰恰违背了数据可携的制度初衷,从而埋下了违反竞争法确定基础秩序的隐患。
但尽管数据可携权争议较大,实施难度极高,但其立法基于个人信息主体权益主动权利的本意,以及蕴含的技术中立性和“乌托邦”精神,仍然值得我们思考。个人信息从个体控制向多方控制发展的趋势尽管可能无法改变,设置可携权或者其他权利促使数据标准化和有条件的自由流动可能在数据成为生产要素的时代困难重重,但我们期待突破数据瓶颈后的智能时代,类似的权利能够发挥更大的作用。
在当下,可携权在特殊情况下仍有生存的空间。在某些数据流转严格监管的行业,比如金融及医疗健康等,由于立法滞后禁止不具备相应资质机构处理行业数据,确实存在无法实现数据安全流转,发挥数据价值的困局。在这种特殊时期,实际上机构或企业对于可携权并不抵触,企业与个人信息主体之间从数据角度不存在利益矛盾,从数据有序流转的目标出发,甚至有动力促使个人信息主体行使可携权来打破数据孤岛。因此是否有条件的设置可携权能够达到多主体利益平衡并且保障个人信息安全,可能仍然是具有现实意义的讨论。
九、如何看待个人信息违法的高额处罚?
秉持着我国立法体系特色,草案第七章以专章的形式规定了个人信息违法行为应负的“法律责任”。草案第六十二条用两款规定了违反本法规定处理个人信息或者未采取必要的安全保障措施的行政监管责任,其中备受关注的是草案在《网安法》的基础之上大幅度提高了处罚力度,并与 GDPR采取了相似的处罚方式,以最高罚金限额以及年度营业额百分比(5%)作为处罚限额。针对时下个人信息监管的严峻形势,草案为监管部门实施个人信息违法处罚提供了强有力的法律支撑。
英美普通法系下经典的“效率违约”[39]理论一定程度上或可解释提高处罚额度的合理性,个人信息处理者在考量包括罚款在内的违法成本与经济收益对比后,如若认为放弃合规努力时仍然有利可图乃至收益结构优化,监管处罚必然仅停留在法律文本之中。然而,监管处罚的目标不仅停留在处罚本身,评估处罚机制的指标之一便是其是否能帮助纠正个人信息违法。根据欧盟委员会此前就 GDPR实施两周年的评估报告 [40] 来看,通过使用监管工具,在 2018年 5月 25日至 2019年 11月 30日期间,22个欧盟/欧洲经济区的 DPA 共开出约 785张罚单。从数量上看,行政处罚并不占少数,但从效果上来说,NGO 组织 Access Now指出,与各DPA收到的投诉量相比,罚款次数仍然很少,这意味着 “大量的投诉没有得到解决”。
[41] 草案通过立法提高处罚额度实乃应时、应势而为,但与此同时,考虑将违法主体以是否主要依靠个人信息处理获得经济利润为标准予以界分进而来评估具体监管处罚的实施;在多场景下配合运用“吊销执照”、“停止个人信息处理”等其他处罚工具,也可能成为未来进一步细化罚则的可能方向。
总结与展望 草案作为我国个人信息保护专门立法,立足国内信息领域具体实践、充分借鉴域外立法经验,回应了时下的产业与法律实践的热点难点,一定程度上揭示了今后的立法与执法趋势,例如严格规范授权同意形式、以数据本地化为视角监管数据跨境传输、提升违法行为的处罚力度等。这些规定在与国际个人信息保护规则标准对接、与网安法、民法典等相关法律规范做好
关键词:互联网云计算,个人隐私信息,立法保护
1个人信息泄露现状
互联网已经进入云计算时代,这是最好的时代,也是最坏的时代;这是属于互联网的时代,也是属于传统IT的时代;这是成本低廉的商业营销的时期,也是费用高昂私有云计算的时期;这是传播的季节,也是收获的季节;这是互联网应用的春天,更是个人信息安全风险的冬天。我们似乎拥有一切,但又似乎一无所有。我们要走向新的世纪,我们又害怕着这些变化(所带来的影响)。简而言之,过去和现在是如此相似,一个时代的到来,人们新喜过后,总是会有失落和不安,换句话说,互联网云计算时代到来给我们带来了方便和惊喜,但是随之而来的确发现花样繁多的网络诈骗、信息骚扰、信息泄露也乘着网络的“快车道”驶入我们的生活,令我们不堪其扰。
2个人隐私泄露引发的浅析
接不完的促销骚扰电话、不胜其烦的房地产信息、频频发送的商业打折短信、翻不完的垃圾邮件,凡此种种,不禁让我们发出这样的疑问:我在互联网上都是用匿名信息的呀,究竟是谁泄露了我的个人隐私信息?如何才能保护自己的个人隐私信息和人身权益不受侵害呀?在互联网进入云计算的时代下,个人网络生活化,到网上注册,留下痕迹,而商家和不法分子却通过网络抓取(或者直接从大网站大运营商购买)互联网大量的散落的信息,再利用数据挖掘等技术提取出比较为真实的个人隐私信息,根据利益需要将公民的个人隐私信息当作商品一样贩卖,由此形成了一条信息倒卖的黑色利益链。如何斩断这条利益链?单靠公民的自我防范?单靠商家的行业自律?单靠网络运营商的监督管理?这些诚然有效,但能斩断这条利益链条的“尚方宝剑”还是具有制度刚性的法律约束。因此互联网云计算时代信息传播的法律保障立法就应该做一做反思了。
由于相关法律法规的不健全,非法收集、倒卖、利用、泄露他人个人隐私信息的违法行为者利用法律的漏洞肆意行事,导致许多人的人身权益受到损害。也是因为相关法律法规的不健全,因为个人隐私信息泄露而受到人身权益侵害的公民或者无法界定自己是否被侵害的事实,或者不知道该如何提出申诉、向谁提出申诉,很多时候竟陷入了“哑巴吃黄连,有苦说不出”的尴尬境地。
3关于个人隐私保护立法可借鉴之处
其实,在个人隐私信息的立法保护来看,欧美等发达国家和地区早已走在前列,它们一般主要采用分散立法和集中立法两种模式。而在美利坚则采取分行业保护的分散立法模式,保护个人隐私信息的法律规定各行业都有立法,如《金融隐私权法案》《电子通讯隐私法》《有线通讯隐私权法案》等。欧盟则采取集中立法保护模式,集中立法保护个人隐私信息,统一颁布制定个人隐私信息保护的相关法律。虽然美利坚跟欧盟的个人隐私信息保护的立法模式有所不一样,但是美利坚对个人隐私信息保护同样已经具有完善的制度和法律保障。例如其中一个最值得我们借鉴的制度是,如果企业或个人泄露了个人隐私信息,该企业必须通知到每一个信息被泄露的信息主体,这样的规定确实对加大了犯罪处罚力度,也就从反面加大了企业保护个人隐私信息的积极性。目前美国有30多个州都已经通过了该项数据泄露通知的法律。而欧盟早于1995年便制定、目前尚在修改的号称“世界上最严格的”个人数据保护的规定,并设立了一个新的权利名称——被遗忘权。这样一来网络时代,每个人在网络上留下的痕迹,每个人都有权利要求网站被清除,任何个人或企业都无权抗拒执行。
4浅析我国信息网络个人信息保护立法
4.1我国立法
我国2014年10月10日起施行的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,进一步明确了信息网络时代个人隐私信息保护的范围,从操作层面上也为利用个人信息网络进行人身权益侵害案件的受理和审判提供了可操作的有力依据。新《规定》的公布,为利用网络技术收集倒卖个人信息的行为给与了一定层度的法律约束。《规定》要求,未经用户同意,电信业务经营者、互联网信息服务提供者不得收集、使用用户个人隐私信息。其实,例如运营商发送短信给用户,规定多少期限内回复,如果不回复就如同同意某某协议,这样的行为,在规定中还是难以界定。期中还规定,电信业务经营者、互联网信息服务提供者应当制定用户个人隐私信息收集、使用规则,并在其经营或者服务场所、网站等予以公布。而在个人隐私信息搜集范围方面,《规定》也明确指出电信业务经营者、互联网信息服务提供者不得收集其提供服务所必需以外的用户个人隐私信息或者将信息用于提供服务之外的目的,不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集、使用信息。电信业务经营者、互联网信息服务提供者在用户终止使用电信服务或者互联网信息服务后,应当停止对用户个人隐私信息的收集和使用,并为用户提供注销号码或者账号的服务。这一点与欧盟制定“被遗忘权”有一点类似,但却没有强调个人的权利,更多的只是约束信息传播者和使用者的行为。对于个人隐私信息被倒卖成为商品的现状,该《规定》要求电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人隐私信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。总体看来《规定》还是具有一定的可操作性,至少已经明确了那些行为是违法的。
4.2不足和需要完善地方
单从上述看来,此《规定》已经为网络个人隐私信息泄露造成的人身权益侵害提供了可供操作的法律武器。但个人隐私信息保护圈该如何的划定?什么信息可采集,什么信息不可采集?信息该由谁采集?采集到的信息该如何保管?使用后是否该立即删除?若发生信息泄露事件该如何追责?相关处罚该以何标准进行?受害者个人怎么维护权利?等等,这些有关个人隐私信息保护的法理问题任需要上位法的进一步明确。
5结束语
互联网络信息传播具有快速、匿名、范围广等特点,一部笼统的法律或规定是无法顾及到所有可能发生的情况,而操作层面的法规又存在法律位阶和法律约束较低的问题。只有建立一套既系统又有可操作性配套法律法规的个人隐私信息保护法律体系,才能真正为互联网云计算时代的个人隐私信息撑起一把“保护伞”。
参考文献
[1]最高人民法院.最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定[R].北京:最高人民法院,2014.
[2]张为民.云计算-深刻改变未来[M].北京:科学出版社,2009.
去年年底,一项针对近2000人的社会调查显示,86.5%的人确认个人信息曾遭泄露。北京邮电大学信息产业政策与发展研究所阚凯力教授分析认为,“个人信息泄露泛滥,原因首先在于能泄密的渠道无处不在,防不胜防。”
电信机构、需要注册的网站、银行、保险公司、各类中介、教育机构乃至政府部门和医院……你若历数自己的信息可能被泄的“端口”,能列出一长串名字。
隐私是怎样泄露的
“你能不注册天涯、淘宝、途牛,但你能不辦银行卡、不办手机业务、不买房买车吗?”王先生这样问道。虽然已经对“填问卷免费获学习资料”、“填写精确信息,能获得更好的服务”等“糖衣炮弹”多少免疫,但在上述涉及衣食住行的领域,填写邮箱、手机号及家庭住址等详细信息,几乎是必选项目,无可回避。
2011年12月,以程序员网站CSDN、天涯社区及美团网等数据库遭黑客攻击为代表,网络个人信息泄露事件集中爆发,上亿用户的注册信息被公之于众。其中,广东省出入境政务服务网泄露了包括真实姓名、护照号码等信息在内的约400万用户资料。
电信公司的隐私保护规定也难栓“内鬼”。2009年,深圳、佛山等地十余名领导的手机号码和通话清单,就被“内鬼”以不足2000元的价格倒卖。在2011年8月曝出的“北京最大非法获取公民信息案”23名被告中,有7人来自电信公司内部。
“信息就是资源,相比因管理不善而导致的‘被动泄露’,‘主动泄密’更是早就形成了一条产业链。”一位信息买卖内部人士这样表示,“别看消费习惯之类的‘边缘信息’不起眼儿,它可是商家实现广告‘精确投放’的依据,别的基本信息,就更不用说了。在如此旺盛的需求下,信息买卖市场早已将你的信息深度‘挖’到极致,身份证号被泄露也见怪不怪。”
据了解,主动泄密的最原始方式是“信息共享”。在中介、银行、保险、航空公司等机构间,未经授权或超出授权范围“共享”客户信息,已不是秘密。
趋利之下,“花钱买信息”也愈演愈烈。在一些保险代理内部论坛上,几万份“打包”出售的客户信息,每份合计不足4毛钱;在一些物业公司,花800元就能买到数百楼盘的业主信息;在一些医院,花3毛钱就能收购一个新生宝宝的信息;有人甚至为此开设了钓鱼网站、通讯公司和商业信函公司,专门通过收集和买卖公众“名址库”牟利。
更难啃的“骨头”则由黑客出马。据媒体公开披露,黑客实际掌握用户数据库的数量已超过1亿条,中国黑客的黑色产业链规模或高达上百亿元。
为何鲜有人起诉?
“对个人信息泄露,鲜有个人起诉的案例。因为诉讼成本太高,同时,维权手段也不完善。”北京大学信息管理系教授、北京大学文化产业研究院研究员周庆山教授表示。
在2011年底中国青年报做的一项社会调查中,有七成受访者在个人信息遭泄后选择了“忍耐”,只有三成人会以要求相关网站删除自己信息、查询谁是泄露者或者举报等方式,作“绵薄”的抵抗。
而这一比例,在今年4月份新华网披露的工信部科学技术情报研究所的调查结果中,降为一成,首要原因是“调查取证困难”。
“从民事诉讼的角度看,一般人很难知道自己的信息是在什么时间、地点、以什么方式、被谁泄露的,所以,想要起诉他人泄露自己个人信息的成本非常高。”中国社科院法学研究所宪法行政法研究室主任周汉华接受媒体采访时这样表示。
受访者王先生也曾试图查问过骚扰者的“信息源”,但“对方不是含糊其辞,就说是从手机号段里随机抽取的。”王先生无法从千头万绪中锁定“黑手”,问了几次之后,只有放弃。
“泄露他人信息,暴利又安全,更让违法者肆无忌惮。”阚凯力教授感慨道,泄密者与被泄密者,几乎成了刀俎和鱼肉。
在公众对信息遭泄无力“自救”的背景下,加强对此类行为的打击力度,成为普遍的期望。
去年年底,法制日报与搜狐网所做的一项社会调查结果显示,在回答“从长期来看,如何有效抑制个人信息泄露现象”这一问题时,坚决查处泄密源头、斩断个人信息泄露背后的利益链条和严厉打击贩卖个人信息者,成为排名前三的答案。
而这些都呼唤政府的更大作为,但立法规定并不“给力”。
预防为主
欧阳武副司长日前透露,《信息安全技术公共及商用服务信息系统个人信息保护指南》(简称《指南》)目前正在国家标准委进行最后的技术审批,预计今年上半年正式出台。
据统计,我国目前涉及到个人信息保护的法律法规已有很多,其中全国人大及其常委会发布的有近40部,国务院发布的法规有30部左右,还有工业和信息化部(含原信息产业部)、银监会及保监会等部门发布了近200部个人信息保护的规章。但关于如何保护,却没有具体、详细的规定和技术措施,导致这些法规形同虚设。
如今,以牟利为目的的贩卖个人信息行为已经相当严重,今年央视3·15晚会曝光上海罗维邓白氏营销服务有限公司出售1.5亿条个人信息,每条要价0.3-1.5元。如今公民个人信息被“裸体”司空见惯,你去售楼处买房,出不了三天,家装公司就会打电话向你推销装修,你去车市买车,很快就会有人向你促销保险。
事实上,国务院相关部门在2003年就开始了对个人信息保护立法的研究、制定工作,但因为在业界难以达成共识而迟迟未能出台。工业和信息化部信息安全协调司副司长欧阳武介绍说,目前国际立法界对于保护个人信息方面的新趋势就是“以预防为主”,因为互联网时代难以找到具体的侵权方,事后即使追责也无法消除影响,所以要立足于事前防范,明确个人信息管理者的一整套法定责任。
参与个人信息保护立法起草的专家周汉华表示,即使出台了个人信息保护法,要保证其能得到有效实施,还得注意三个问题:一是平衡原则,既要保障信息充分流通、推动信息社会进步,也要避免滥用个人信息;二是他律与自律的结合,监管职责不能全部都交由政府部门,应该设置有效机制,推动企业的自我管理;三是体现执法的威慑力,在现实中严格遵照法律规定执行。
此外有专家建议,应该借助技术手段建设个人信息的非法采集及滥用事件的投诉通道和监测手段,为保护个人信息提供技术解决方案。(摘编自:《人民日报》、《中国青年报》等)
【立法保护个人信息】推荐阅读:
长江流域水资源保护立法问题研究 论文12-08
如何保护个人隐私信息11-07
公民个人信息的刑法保护研究论文12-12
立法程序论文07-17
银行支行客户个人金融信息保护工作自查报告10-11
立法工作会议讲话09-25
税收立法听证制度研究11-13
社区矫正立法调研问题11-27
中国古代立法指导思想07-20
立法法司法解释07-23
