《个人信息保护法》前瞻:六大关系待解
2018-09-12 18:33:51
  • 0
  • 0
  • 0

来源:FT中文网

许可:被收集、利用的个人信息不但构成了每个人虚拟人格的构成要素,而且延伸到现实生活中,成为我们名誉、财产乃至生命的无形接口。

自2003年中国国务院信息化办公室部署个人信息保护法立法研究工作,到今年全国人大常委会正式将《中华人民共和国个人信息保护法》列入立法规划,已经过去了15年。15年间,中国和世界的技术、经济、社会和政治格局均已发生了深刻变化。“世易时移,变法宜矣。”作为数字社会的基础性法律制度,个人信息保护的立法当然应与时俱进,以回应不断涌现的新需求和新问题。而在诸多问题中,下列六对矛盾又居于枢纽地位,成为《个人信息保护法》前行之路上的重大关隘,有待逐一破解。

个人和企业的关系

随着数字化生存的来临,不论我们是“自然人”,还是“经济人”“社会人”,在信息经济和数字社会的浪潮中皆变成“数字人”。被电子化收集、存储、利用的个人信息不但构成了我们每个人虚拟人格的构成要素,而且延伸到现实生活之中,成为我们名誉、财产乃至生命的无形接口。正因如此,2009年和2015年的《刑法修正案(七)》《刑法修正案(九)》增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,2017年出台的《中华人民共和国民法总则》第111条亦将个人信息置于人格权的保护之下,从而为我们的个人信息竖立了两道保护屏障。但在另一方面,当企业将海量的个人信息加以汇集成大数据之后,它又摇身一变,成为人们改变市场、创造价值和获得知识的新源泉和新动能。2016年,《G20数字经济发展与合作倡议》明确提出将数据作为数字经济的关键生产要素,而在去年12月中共中央政治局就实施国家大数据战略进行第二次集体学习时,这一观点被再次重申。因此,如何平衡好个人信息保护和大数据利用之间的关系,就成为《个人信息保护法》的首要定位问题。

个人和国家的关系

“欲得民必先知民”,从传统的人口普查到现代的电子政务,公共秩序、公共安全和公共福利的推进,都离不开以个人信息为基础的数据资源。凭借着突飞猛进的信息技术,我国政府的个人信息数据库建设卓有成效:人口信息管理系统、出入境/证件信息数据库、全国违法犯罪中心数据库、DNA数据库、统计、社会保障和税务的个人信息数据库相继建立。未来国家试图进一步推动数据集中和融合,形成覆盖全国、统筹利用、统一接入的数据共享平台。虽然这一举措将促进政府决策科学化、社会治理精准化和公共服务高效化。不过,“甘瓜苦蒂,物无全美”。政府机关对个人信息巨细靡遗的收集,将引发民众对于隐私已死的担忧,并有可能滑入“全方位监控型社会”;而打破信息壁垒,形成个人信息资源共享体系也有可能违背“不要把鸡蛋放在一个篮子”的告诫,容易诱发一次性泄露所有信息的风险;同样,政府机关在执法、司法和行政过程中推进的信息公开,也有可能忽略了所涉及个人的人格权利。故此,《个人信息保护法》应当遵循依法行政的原则,为政府对个人信息的收集、处理和利用设定制度架构,将公民的人格尊严作为法律底线。

权利法和管理法的关系

与《网络安全法》对个人信息保护的视角不同,《个人信息保护法》应立足个体权利,维护民众对个人信息及其处理活动所享有的知情权、同意权、查询权、更正权、拒绝权、删除权等权利。但是,仅仅规定权利是不够的,因为它们太容易被虚化。在权利的开端,同意权已经被网络服务提供者虚化为不必阅读具体内容的点击操作,而在权利的末尾,用户的损害赔偿权,也因为难以计算个人信息的价值,而虚化为纸面上的权利。为弥补这一不足,《个人信息保护法》应当借鉴“风险管理”的思路,实行预防为主和全程控制的治理框架。根据个人信息保护情景和面临风险,对信息业者、个人信息保护服务机构、数据交易服务机构、网络产品服务提供者、国家机关等不同主体,有的放矢地采取风险监测、风险评估、风险监督管理、风险交流在内的风险管理措施。因此,《个人信息保护法》应超越私法和公法的二元对立,走向综合立法。

分散执法和集中执法的关系

2017年8月,就在《网络安全法》生效后2个月内,中央网信办、工信部、公安部、国家标准委联合开展“个人信息保护提升行动”,对微信、淘宝等十款网络产品和服务的隐私条款进行评审。这一举措既显示了国家对个人信息保护的重视程度,也反映出各部门分散执法的现状。分散执法固然有着精细执法和权力制衡的优点,但若不能妥善处理部门之间的分工合作关系,则会造成或重复执法或执法无力的权力冲突,进而对执法机关的权威性造成严重损害。今年年初,中央网信办和工信部就支付宝年度账单事件,分别对涉事企业进行了单独约谈,便是一个鲜明的例子。而本届政府的大部制改革,特别是反垄断执行权统一、保监会和银监会的合并,是对之前“九龙治水”的纠偏。延续这一思路,同时考虑到个人信息保护已突破互联网行业的藩篱,作为综合性法律的《个人信息保护法》的执法,最好交由更具独立性和全局视野的机关负责。当然,有关刑事、金融、医疗等特殊领域,其主管部门亦应在法定职责范围内承担个人信息保护职责,并接受国家网信部门的统筹、协调和指导。

《个人信息保护法》和其他法律的关系

目前,我国对个人信息保护的立法碎片化,相关规定零星分布在《全国人大常委会关于加强网络信息保护的决定》《民法总则》《网络安全法》《侵权责任法》《消费者权益保护法》《居民身份证法》等法律、《征信业管理条例》《社会救助暂行办法》等行政法规,以及《电信和互联网用户个人信息保护规定》《网络预约出租汽车经营服务管理暂行办法》等部门规章之中。因此,《个人信息保护法》一方面要整合、修改和补充原有的法律规范,消除其间的矛盾和混乱,建立规范、系统的法律体系。另一方面,由于“宜粗不宜细”的立法传统和人大审议方式的制约,《个人信息保护法》不可能面面俱到,而只能明确基本原则、基本制度和基本行为规范和法律责任,在具体场景下的细化落实仍要依赖于其他法律、法规、规章、规范性文件,乃至国家标准。因此,《个人信息保护法》只有和其他法律有效协同,才能让个人信息保护制度稳定性和开放性兼备,此谓“法网恢恢,疏而不漏”。

《个人信息保护法》和国际法律的关系

“信息想要自由”(Information wants to be free),数字化的信息更是如此。凭借着互联网的时空压缩技术,个人信息能够近乎零成本地跨境流动,这为主权国家的管辖和监管带来了新的挑战。事实上,个人信息早已经成为各国博弈的焦点。在欧洲,无论是过去的“安全港协议”(Outdated Safe Harbor) 或当下的“隐私盾协议”(Unstable Privacy Shield),还是将于今年5月生效的《一般数据保护条例》(GDPR),都将个人信息保护程度作为处理国际经济和政治关系的关键一环, 即只有获得欧盟“充分性认定”(Adequacy Decision)的国家,才能进入欧盟单一市场。无独有偶,在美国主导的TPP第14章第8条及其注释指出,保护个人信息对于电子商务开展十分重要,各签署国有义务采用诸如一部统一的隐私、个人信息、个人数据保护法律等方式保护个人信息。有鉴于此,我国的《个人信息保护法》首先要参考世界主要国家的个人信息保护法律,提升个人信息保护标准,以此作为国际谈判和条约达成的基础,其次要通过“保护管辖权”,对境外严重侵害我国公民个人信息的行为开展调查并追究法律责任;最后要审慎而务实设计个人信息的出境规则,在发展数字市场和维护数据主权之间获得平衡。

我国《个人信息保护法》前路漫漫,而“大道以多歧亡羊”。为此,《个人信息保护法》的起草,亦应秉持多方参与的网络治理原则,就重大问题集思广益、权衡利弊、锚定立场,以期“壹引起纲,万目皆张”。

(本文仅代表作者本人观点,作者系对外经济贸易大学数字经济与法律创新研究中心执行主任,责编:闫曼 man.yan@ftchinese.com)

最新文章
相关阅读