| 大數據被稱為未來“新石油”。據統計,截至2018年12月,我國網民規模8.29億,普及率達59.6%;網絡購物用戶規模6.10億,年增長率為14.4%。在大數據時代,如何實現網絡服務提供者收集共享數據和個人信息保護的平衡,是一個亟待認真對待和解決的重要問題。 一、法律規制現狀 構建了多層次法律體系。自2000年以來,我國各級國家機關陸續出臺制度,規范收集使用個人信息行為。一是從立法主體來看,涵蓋了全國人大及其常委會、國務院、工信部、國家質檢總局、最高人民法院、最高人民檢察院等,包括法律、行政法規、部門規章和司法解釋等。二是從部門法律來看,從民事、刑事、行政等領域強調了網絡服務提供者義務。如《關于加強網絡信息保護的決定》、消費者權益保護法、網絡安全法要求收集使用公民個人電子信息時遵循合法、正當、必要原則,明示收集使用信息的目的、方式和范圍。民法總則第一百一十一條規定自然人的個人信息受法律保護。侵權責任法第三十六條提出網絡服務提供者利用網絡侵害他人民事權益的,應承擔侵權責任。刑法修正案(五)和刑法修正案(七)分別增設了竊取、收買、非法提供信用卡信息罪,出售、非法提供公民個人信息罪、非法獲取公民個人信息罪。 強調知情同意。《關于加強網絡信息保護的決定》首次強調了對個人信息的法律保護,要求網絡服務提供者收集、使用個人信息應征得被收集人同意。這在消費者權益保護法、《征信業管理條例》和網絡安全法中得到了堅持。在比較法上,經濟合作與發展組織《金融消費者保護的高級原則》(2011年)要求成員國建立機制確保消費者個人隱私安全,承認消費者的知情權。歐盟2018年《通用數據保護條例》將數據主體同意基于一項或多項目的對其個人數據進行處理作為合法性要件之一。 兼顧數據收集共享與個人信息保護。不少國家區分敏感和一般信息,禁止收集、處理和利用敏感信息,支持一般信息的合法流動。我國《征信業管理條例》第十四條將宗教信仰、基因、指紋、血型、疾病和病史信息作為禁止收集的個人敏感信息。德國2002年《聯邦個人資料保護法》規定了種族血統、政治觀點、宗教或哲學信仰、工會成員資格、健康或性生活等敏感信息。歐盟2016年《數據保護法規》列舉了種族、民族出身、政治觀點、宗教或哲學信仰、工會成員、基因等敏感信息。此外,歐盟2015年《金融服務監管中的數據保護指引》強調數據保護規則旨在實現信息在歐盟內部的自由流動,對個人權益進行保護。歐盟《通用數據保護條例》建立了個人信息的風險評估、數據保護認證(自愿將數據內容進行專業認證以表明處理合法性)、信息安全保障(采取匿名化方式或數據最小化原則減少數據泄露風險)。 二、我國數據共享與個人信息保護存在的問題 立法的統籌性和明確性有待提升。一是個人信息保護法律規范較零散,缺乏專門立法統一引領。二是民法總則第一百一十一條將“個人信息”作為法益,并未上升為個人信息權,造成了個人信息權利的歸屬、內容、個人可否支配等困惑。三是相近概念未明確區分。如民法總則規定了個人信息和隱私權,但兩者的區分卻未明確,影響了網絡服務提供者收集共享數據的效率和個人法律救濟。四是可穿戴設備、無人駕駛等數據共享新形式,在收集共享數據時難以及時征得個人同意,相關法律規范需予以明確。 法律規范可操作性有待加強。一是我國未從整體角度實現個人信息的類型劃分,未建立不同類型信息的差異化保護規則,容易增加收集共享成本。二是現行立法采取知情同意,由于個人較之網絡服務提供者屬于“弱者”,面對授權條款時只能“接受或離開”,但立法對授權的具體方式、授權條款、授權范圍和授權例外等未做明確,易生糾紛。三是特殊群體法律規則缺乏。縱觀個人信息泄露致害、電信詐騙等案例,未成年人和老年人對信息收集共享的判斷能力較弱,目前立法未建立特殊保護機制。 互聯網企業的內部控制和風險管理機制有待加強。現階段互聯網技術缺陷、企業內部管理疏忽導致的“監守自盜”,是個人信息泄露的重要原因,互聯網企業的內控和風險管理機制需完善。 三、大數據時代加強個人信息保護的建議 未來已來。在大數據時代,為強化優化個人信息保護,筆者提出如下建議: 制定統一規則。一是在評估各類現行規范及其效果基礎上,制定個人信息保護統一規則,統籌規范各類信息收集共享行為。二是將個人信息升格為法定權利,明確個人信息權的內容,包括知情同意權、信息查閱權、信息安全維護權、信息更正權、信息刪除權等。三是明確信息收集共享基本原則,包括合法、合理、最小化使用和利益平衡原則。一方面,網絡服務提供者應嚴格控制收集范圍,考量自身業務范圍、需求、是否屬于個人核心信息、是否已技術處理等因素,杜絕過度收集。另一方面,個人信息不應由個人排他享有。個人數據作為網絡二進制基礎上由0和1組成的比特形式,數據收集包含了網絡服務提供者的勞動,正是海量數據而非單個信息使其產生經濟價值,個人亦是個人數據的受益者,應鼓勵合法收集和共享。 建立差異化保護機制。一是在類型劃分方面,應根據個人信息和隱私、人格尊嚴的關聯程度,區分敏感信息和非敏感信息,對于前者嚴格保護,對于后者支持便捷利用。個人敏感信息主要包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋、性取向、性生活、銀行賬號密碼、財產情況、病史等。二是在合理注意義務方面,應分析不同場景中的信息處理行為能否為當事人合理預見,建立敏感、非敏感信息與合理注意義務之間的對應關系。對于敏感信息,個人對信息收集共享的容忍程度更低,網絡服務提供商則應承擔更高注意義務。三是在信息主體方面,研究制定收集共享特殊主體信息的保護規則。未成年人對信息收集共享缺乏獨立判斷能力,老年人對大數據收集運用場景缺乏足夠了解,兩類群體均易因信息泄露受騙致害。因此,建議收集共享未成年人所有信息均需經其法定監護人明示同意,收集共享70歲以上老年人敏感信息需經老年人及其贍養義務人明示同意,且共享未成年人和老年人上述信息須采取匿名化或加密處理,降低信息泄露風險。 完善授權同意規則。一是授權方式。盡管不同立法例對授權同意為明示或默示同意不盡相同,筆者認為,網絡服務提供者收集共享個人敏感信息時應明示同意,彰顯信息保護;收集共享個人非敏感信息時可采取默示同意,突出數據共享便捷。二是授權條款。應規范授權條款,如通過字體變化或字號加粗提示關注、行業組織提供條款模板,要求起草者充分解釋等。三是授權范圍。個人信息的收集共享均應得到授權,授權范圍的表述應明確易懂。四是授權例外。基于國家利益、社會公共利益和個人緊急情況(如出行平臺駕乘人員出現生命安全隱患時提供相關個人信息),明確無需個人同意即可收集信息的情形。 研究采取配套措施。一是加強企業內部控制和風險管理,細化信息收集共享風險評估,強化內部人員管理,完善數據加密和匿名化等網絡安全技術。二是完善集團公司與下屬子公司、子公司之間的信息共享機制,網絡服務提供者應在授權同意環節明確信息共享的情形與范圍,并采取技術保護措施。三是開發個人信息安全保險產品,由保險公司分擔個人信息泄露所致財產損失,支持互聯網產業發展。四是加強培訓教育,增強個人及相關從業人員的信息安全意識。 (作者單位:人民法院新聞傳媒總社) |
|
|
