来源:《中国征信》2017年第4期。
作者:个人信息保护课题组。
大数据时代,如何在保护个人隐私和权利的情况下充分利用大数据发展生产力提高人类福祉,不仅关系到当下每个人的切身利益和安全,也关系到国家的未来和发展。为此,近年来世界各国在制定大数据发展战略的同时,亦从促进互联网、信息行业发展和整体竞争力等角度,进一步加强对个人信息的保护,力求在制度、技术和监管等方面创新保护手段、完善保护框架、提升保护效力。在此背景下,从国际视角审视个人信息保护问题和进展,从源头、实践和理论上进一步加强个人信息保护问题研究,对于我们这一正在崛起的大国而言显得非常必要。
我国个人信息保护现状及不利影响
当前,个人信息不仅仅是个人隐私的载体,还塑造了个人的虚拟形象,更带有明显的财产和资源属性,在个人隐私、信息安全、财产利益和经济发展等诸多方面都产生深刻的影响。
人类正加速步入万物互联的大数据应用时代
在信息技术和互联网大数据快速发展的今天,通过数据挖掘手段,可以借助个人信息对用户的各种行为表现进行评价和预测,形成客户在不同场景下数字化的虚拟形象,即“虚拟我”。商家和企业可据此研究消费者行为、优化商品和服务。虚拟形象的存在有利于克服市场中的信息不对称问题,在信贷、就业、经商和公共服务等各个方面都带来了诸多便捷。
个人信息广泛使用已经冲击个人隐私和安全
目前对个人信息的广泛使用已经冲击到个人隐私和安全。首先,个人信息不规范采集、不安全处理和无约束使用,导致公众的个人信息满天飞,营销性短信、邮件和电话骚扰越来越多,更有根据用户特征设计实施类似徐玉玉案件的精准诈骗,威胁公众的财产和人身安全。在2016年,仅公安机关侦破的侵犯公民个人信息犯罪的案件达1800余起,抓获犯罪嫌疑人4200余人,查获各类公民个人信息300余亿条。
其次,由于目前法律对个人信息的财产属性尚未界定,互联网企业和商家利用服务客户过程中积累的用户数据,在客户不知情的情况下进行了数据交易和转让,也侵害了个人财产权益。此外,个人对其虚拟形象的存在不完全知情或不知情,因此,对虚拟形象在多大程度上影响诸如信贷、就业、经商、享受社会福利的机会等重大事项,个人亦不完全知情或不知情,当然也就无法谈及个人权益的保护了。
个人信息保护不足也会给企业和国家带来不利影响
对于互联网和信息行业而言,个人信息保护不力会影响该行业的健康可持续发展。分散的个人信息保护法规规定不清晰、不统一,缺乏确定的个人信息权属、流动和使用规则,导致个人信息孤岛和信息滥用并存,个人信息和大数据流通暗流涌动、秘而不宣,既冲击公众对互联网及信息行业的信任和信心,还阻碍了政府和商业领域个人信息的开放流通。相反那些没有底线的企业打着改革创新的旗号行“倒卖数据”之实,因“劣币驱逐良币”而获得了竞争优势,这对信息行业的健康发展实际上是有百害而无一利。
进一步来看,个人信息保护不足还会对国家经济发展和国家安全带来不利影响。一方面,由于我国个人信息保护力度不及欧美等国,在国际经贸往来中我国公司不得在境内处理欧美个人客户信息,在华外资金融机构选择将境内客户的个人信息转移到新加坡、欧盟处理已成惯例,甚至至今也没有一家外国大型互联网企业将服务器设在中国境内。同时,一国落后的个人信息保护,将成为他国对其实行贸易壁垒的新依据,该国企业在“走出去”过程中会受到歧视性对待,个人信息流动的“逆差”状态会影响其国际竞争力和国际地位。另一方面,在个人信息保护不健全的情况下,与国内机构一样,国外机构通过合法不合法的渠道同样可以获得规模化的个人信息对我国网民进行心理和行为特征分析,并基于此进行精准的政治营销和意识形态渗透,操控我国网民认知,威胁政治稳定和国家安全。媒体报道的大数据分析助力英国脱欧和特朗普赢得美国大选即是大数据干预政治的两个例子。
个人信息保护及部分国家实践
对于个人信息保护问题,欧美等国家在理念上坚持认为,信息使用对个人隐私、公民权利的潜在侵害应充分重视,在权衡信息价值和信息权利间的关系时,秉承保护个人权利和技术为人类服务的原则。其中,以美国为代表的英美法系国家,将个人信息视作公民隐私和自由的一部分,沿着隐私保护的思路提出“信息隐私权”概念,即自然人对其个人信息的保密、公开和支配控制享有隐私权,享有对个人信息保密、公开和利用的利益。在欧洲,以德国为代表的大陆法系国家,将个人信息(欧洲称个人数据)视作公民人格和人权的一部分,认为个人信息是自然人人格的载体,沿着一般人格权的保护思路引入“信息自决权”,即人格的自由发展要求个人有权对抗对其个人信息无限制的收集、存储、使用和传送。
全球已经形成个人信息保护的通用原则
在上世纪七十年代初,欧洲确立了个人信息保护原则,美国也建立了公平信息实践原则(FIPs),对个人信息处理过程中的机构责任和个人权益进行了原则性约定。比较而言,欧美二者间在以下方面是相通的,并被经合组织(OECD)等国际社会所采纳和接受,逐渐成为全球个人信息保护的五大“底线原则”:一是公开性原则,即个人信息处理机构应公开关于个人信息处理的一切政策、流程和处理实践,禁止个人信息被秘密地处理;二是限制性原则,包括个人信息的所有处理行为要坚持合法原则,个人信息数据库要坚持服务特定目的,在最少必须原则下收集和处理个人信息,个人信息的收集和使用范围、保存期限和销毁应受到限制;三是数据质量原则,即个人信息应当准确、完整和适时更新,作为信息控制者的机构对此责无旁贷;四是责任与安全原则,信息控制机构必须承担个人信息保护的主要责任,要将个人信息保护内化于其业务流程和技术设计中,同时采取必要的安全防范措施保护个人信息,防止数据丢失或未经授权的访问、销毁、使用、修改或泄漏,并承担相应的责任;五是个人信息权利保护原则,充分保障信息主体的知情权、查询权、异议与纠错权,甚至是可携带权等。
进入21世纪,大数据时代个人信息的内涵、处理方式、技术手段和侵权形式已发生巨大的变化,对个人信息保护的基本原则带来了诸多挑战,但是,无论是从欧盟2016年新制定的《信息保护通用条例》(以下简称《欧盟条例》)、2013年经合组织(OECD)对《1980年个人信息保护指南》 (以下简称《经合组织指南》)的修改,还是近年来美国对个人信息保护的立法和监管实践来看,以上个人信息保护的基本原则不但没有任何放松,相反,在一些原则的具体落实措施和监管手段上还有所加强。
在立法和监管中落实保护原则是有益的国际实践
从全球来看,从1973年全球第一部个人信息保护国内法律《瑞典个人信息法》出现到2015年末,全球共有111个立法体建立了个人信息保护法律、法规,且呈加速趋势。在地域分布上,欧洲国家和地区53个,非洲17个,亚洲18个,美洲19个,大洋洲2个。在剩余的国家和地区中,21个已经形成了相关的法律草案,91个尚无相关的法律或草案。总体上,各立法体已经建立和正在建立的个人信息保护法律、法规,基本上都贯彻了以上保护原则。以欧美、亚洲和金砖国家为例,这些国家和地区正结合各自的文化、历史、社会和经济等方面的特征,选择不同的方法和路径因地制宜地践行个人信息保护的五大国际原则。
欧盟作为全球个人信息保护的重要参照系,对包括政府部门、各商业领域个人信息处理实施统一的信息保护和监管标准。例如,上世纪70年代的瑞典、德国,以及后来的其他欧洲国家,都建立了同时适用于本国政府与非政府机构、适用于各行业统一的个人信息保护法律。在欧盟层面,从1995年欧盟《信息保护指令》(以下简称《欧盟指令》)阶段各成员国在个人信息保护上求同存异,发展到2009年在欧盟宪法中确立个人信息保护的基本人权地位,再到2016年出台、2018年在欧盟成员国强制实施的《欧盟条例》,均体现了欧洲国家在个人信息保护领域统一化、标准化和一体化的立法和执法特点,已将个人信息保护原则落实到立法和监管实践中。
美国则针对政府部门和商业领域个人信息分别立法,并建立强有力的监督执法机制。例如,针对联邦政府机构有《隐私法案》(1974年),针对征信医疗金融电信等若干行业,有以《公平信用报告法》(1970年)为代表的数十部信息保护特别法。相关法律在各自领域贯彻“目的特定、公开透明、保障权益”等基本保护原则,借助其发达的司法救济系统,特别是以联邦贸易委员会、联邦通信委员会、证券交易委员会、消费者金融保护局等为代表的监管机构强力执法,从督促机构守法、保障个人权益、规范个人信息处理等方面,有效地实现了对个人信息的保护。
亚洲国家和地区、新兴市场国家的统一立法和统一保护也日渐完善。出于对个人隐私诉求进行保护的客观需要,以及融入经济全球化的战略考虑,加强个人信息保护是亚洲国家与地区和印度、巴西等新兴市场国家的一致性选择。以日、韩、新等为代表的发达国家,紧跟欧美步伐逐步完善本国的保护体系,统一立法、统一监管的个人信息保护框架已经非常成熟,印度、巴西等新兴市场国家,也已经形成了或正在形成专门的个人信息保护法,设置统一的个人信息监管机构,加紧推动个人信息保护国际原则在本国落地,并紧跟欧美步伐不断完善本国的法律和监管。
我国个人信息保护政策与立法建议
我国个人信息保护问题分析
横向比较,当前我国在个人信息保护领域的理念、原则、立法和实践,较欧、美、日、韩、加等国落后。概括而言,导致我国个人信息保护严重不足的原因主要有:一是社会各界对个人信息保护有意识无认识,对为何要保护、要保护到什么程度和如何保护等没有概念,错误地认为只要“本人同意”就行,对机构处理个人信息没有“在什么时间内、为何目的、要最小化处理”等约束。二是相关法律以宣誓性条款散落在《全国人大关于加强网络信息保护的决定》、《刑法修正案(九)》、《国家网络安全法》等中,没有一部专门的个人信息保护法对保护理念、原则、各方权责等做一致性约定,高度分散的法律文本停留在纸面上难以落实。三是分散监管下各部门职责未定、个人权利不明、机构责任不清,主要依赖公检法部门针对侵害公民个人信息犯罪不定期专项打击行动,没有专门的个人信息保护部门实施常规性行政执法、处罚和保护。
个人信息保护事关大局,推动国际通用原则落地尤为迫切
对于我国个人信息保护的不足,甚至被有些人错误地认为促成了我国互联网巨头的崛起,殊不知,从长远来看,个人信息保护缺失,不但侵害了公民的隐私、安宁、安全、财产利益和发展机会,还会阻碍个人信息服务行业的发展,破坏了亿万网民对互联网行业的信任,置我国于国际竞争中的不利地位,完善我国个人信息保护的政策和立法十分迫切。
一是个人信息保护问题事关互联网行业的健康发展和国家竞争力,我们要站在促进经济发展和国家间竞争的高度看待个人信息保护问题,深刻认识个人信息保护对国家发展战略和占领全球制高点的战略意义,从对个人信息保护的研究、认识、理念、立法和监管等方面奋勇直追,紧跟个人信息保护全球步伐不掉队。
二是要推动“以人为本”的个人信息保护理念落地。数据由人而产生,如果个人的权利得不到恰当保护,就会动摇大数据产生和价值挖掘的基础。建立个人信息保护理念,根本目的就是要让个人信息有序流动起来。在这个过程中,不仅仅企业需要确立相应的保护理念,作为信息保护监管主体和个人信息处理机构的政府部门,更应带头凝聚尊重和保护个人信息的理念。
三是要确立“我的信息我做主”原则,强化机构责任,建立国际通行规则。要强化网络运营者主体责任,将个人信息保护架构建立在机构责任基础上。除落实“本人同意”规则之外,还要制定明确的信息采集、加工和使用规则,严格规范企业、机构在我国境内收集用户数据活动,让国际社会已经普遍接受的个人信息处理公开原则、限制性原则、数据质量原则、安全与责任原则、个人权益保护原则等,尽快在我国落到实处。
四是出台统一的《个人信息保护法》和配套立法,建立专门的个人信息保护机构,加强对公众的宣传教育和对信息主体的司法救济。要建立统一、专门的个人信息保护机构,集中担负个人信息保护的立法落地、督促相关机构落实执法监管责任,采取切实有效的技术和管理措施,防止泄露、损害、违法使用个人信息。同时,提高对信息处理违规行为的处罚和赔偿标准,严厉打击非法窃取、收集、买卖、转移个人信息的行为。此外,利用市场机制鼓励大型互联网企业间建立信息保护联盟和行业自律机制,推动企业从保护商业利益、企业商誉和竞争力角度加强个人信息保护,形成竞争性隐私保护和信息安全商业环境。
五是开展宣传教育,提升相关各方个人信息保护意识和能力。相对于公众而言,信息处理机构往往利用其技术、信息和资金的优势,会在网络技术、格式条款的掩护之下为信息收集活动寻找最大的灰色空间,架空个人信息保护的原则,如一揽子授权、不特定目的下同意、一次同意长期有效、有同意才有服务等,为此,对于公众的宣传教育、对相关机构的培训,提高社会公众、政府执法人员、机构从业人员的个人信息保护意识,是个人信息保护工作的重要一环。
六是加强司法救济,拓宽个人信息保护渠道。从国外经验来看,民事救济是保障公民隐私及个人信息权利的重要渠道,公民不仅可以向监管部门申诉,由监管部门进行行政执法救济,也可以选择通过诉讼方式,得到民事救济。建议在个人信息保护立法及其司法解释中,扩展网络环境下侵害隐私权以及个人信息的侵权形式,特别是借鉴国外立法经验,明确团体(集体)诉讼制度,建立通畅的民事救济渠道。
