一、案由和立法的必要性
截止2015年底,中国网民数量达到6.8亿,互联网普及率接近50%,中国真正迈入移动互联网时代,已经全面进入了以互联网应用为代表的信息网络社会。众所周知,任何一个社会不管是客观物质世界还是虚拟世界组成的,都需要一套完善的法律法规进行管理,对于大型社会更是如此,否则难以想象这个社会是运行良好,秩序井然的现代社会。互联网组成的虚拟社会与现实世界一样,由一个个个体—用户所组成,他们多数人也是国家的公民;因此不难理解,同现实社会一样,虚拟的信息社会是需要建立在对个人信息保护(也可称为隐私保护)的基础上,才能保证这个社会是有序运行的。同样,只有使个人数据能在法律保障的情况下安全迅速地收集和流通,才能促进我国社会信息化进程,才能推动我国信息产业发展乃至世界信息科技的发展,这是信息时代发展的必然要求。确保个人信息的安全其重要性必须高度重视!
当前个人信息所面临的突出问题不断突现,如电话号码、邮箱、住址、账号密码、社会关系、财产状况、购物记录、医疗就诊信息等个人信息被不当收集、恶意泄露、随意篡改、非法滥用等,利用个人信息实施犯罪也时有发生;羊城晚报今年1月16日播发的《银行信用卡信息泄露调查》报道,个人信息网购价低至2分钱一条,引发社会广泛关注,就是一例;现实中出台的快递实名制,其缺陷就是用户许多重要信息存在泄露的可能;更严重的是,随着大数据技术的普及,借助互联网,罪犯可以将任何一个人的几乎各种信息甚至爱好习惯等,都了解得一览无余。所有这些,如果不未雨绸缪,采取法律和各种技术措施,都将对未来基于互联网构建的信息社会,带来巨大隐患!幸好我国政府已经认识到这种风险,国家互联网信息办公室相关负责人接受记者专访时回应,针对个人信用卡等信息网络泄露问题,我国将加快研究制订个人信息保护相关法律,加大对非法收集、泄露、出售个人信息行为的打击力度。
因此,制定一部《个人信息保护法》对于当前和未来从网络大国向网络强国迈进具有十分重要的意义。
二、个人信息保护立法是时代与行业发展的必然要求
1、个人信息的良性使用是互联网发展的基石
云计算、大数据、信息消费等互联网行业发展的基本要素均依赖于海量信息的收集和使用,而个人信息又具有特殊重要的地位,因为保护个人信息是信息社会稳定和健康发展的基础。个人信息的商业价值逐渐被发现和挖掘,如何在行业发展与个人信息保护之间寻求平衡,如何更有利的规范个人信息保护的收集和使用,关乎互联网行业的持续发展。
2、个人信息保护是经济社会转型发展的必然
立法保护个人信息,不仅能使个人独立的生活权利免受骚扰,实现和谐社会所追求的有序、安全与稳定,更有利于促进个人信息的共享与有序流动,协调好个人信息保护与促进信息自由流动的关系。同时,个人信息保护制度也是推进电子商务与电子政务的一项基础性工程。
3、个人信息保护是国际政治经济谈判的筹码
信息数据是国与国之间竞争的重要手段之一。例如,美国国家安全局和联邦调查局于2007年启动了代号为“棱镜”的秘密监控项目,收集各类对其国家安全的信息。在国际贸易方面,个人信息保护问题也开始成为新的贸易壁垒,如欧盟以及其他国家可能根据对第三国个人信息保护水平的判断,对个人信息的跨国流动做出单方面的限制,进而影响整个国际贸易的正常进行。
三、国内外个人信息保护立法情况
1、国外个人信息保护立法不断取得进展
目前各个国家都出现呼声,希望制定个人信息保护法,一些信息科技大国走在前面,已有60多个国家制定了专门的个人信息保护法。例如,2012年1月25日,欧盟出台了《 欧洲数据保护法案“个人数据的处理及自由流动的个人数据进行保护立法。美国对于个人信息的保护,行动较早,1974年12月就颁布了隐私权法《Privacy Act》;1986年又颁布了电子通讯隐私法ECPA《The Electronic Communication Privacy Act》。
2、我国个人信息保护之现状梳理
我国个人信息保护的工作取得一定的进步,全国人大常委会《关于加强网络信息保护的决定》、国务院《互联网信息服务管理办法》、中央网信办《即时通讯工具公众信息服务发展管理暂行规定》《互联网危险物品信息发布管理规定》、工信部《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》等专门文件陆续出台,全国人大常委会在《消费者权益保护法》和《刑法修正案(九)》等法规中特别强调加强个人信息保护。互联网行业在个人信息保护领域做了大量有利的探索,腾讯、百度、阿里巴巴等企业不断探索实践,借鉴吸收了国外优秀互联网企业在个人信息保护方面的优秀做法,制定了适合自身发展的个人信息保护措施。
现阶段,我国对个人信息的保护,主要体现在两大方面:一是在与个人信息保护有关的法律法规中设置个人信息保护条款对个人信息加以法律保护。个人信息的法律保护又可以表现为法律的直接保护和间接保护,所谓法律的直接保护即法律法规明确提出对“个人信息”进行保护;间接保护即法律法规通过提出对“人格尊严”、“个人隐私”、“个人秘密”等与个人信息相关的范畴进行保护进而引申出对个人信息的保护。二是通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。个人信息在自律保护也表现为两方面,即企业通过单方承诺这种市场运作方式对个人信息加以保护,以及特定行业组织通过行业自律规范对个人信息确立行业保护标准进而进行保护。
(一) 在个人信息的法律保护方面:(1)就法律的适用范围而言,保护个人信息的法律条款数量较为有限、适用范围相对狭窄,没有专门的针对所有信息控制人均适用的统一的个人信息保护法;(2)就个人信息的法律保护手段而言,重“刑事处罚”和“行政管理”,轻“民事确权”与“民事归责”,导致个人信息遭受侵害后,即使侵权行为人最终遭致刑事处罚或行政处罚,但信息主体的财产及非财产损失却得不到任何实质性的补偿;(3)就法律的可操作性而言,大部分规定缺乏可操作性,许多条款仅仅规定了对个人信息的保密义务,而没有规定违背该义务的后果;(4)就法律的体系性而言,现有规定之间缺乏体系上的呼应,给人一种“杂乱无章”、“群龙无首”的感觉,不符合我国已经继受的大陆法系的法律思维,同时也不利于法律的适用;(5)就法律条款的具体内容而言,大部分条款通常仅对个人信息保护问题轻描淡写、一带而过,往往未能揭示个人信息保护的立法理由、个人信息保护的基本原则、信息主体的权利、个人信息收集、处理、利用及传递的规则、个人信息保护的执行机制及监督机制等个人信息保护法应当具备的重要内容。(6)就保护个人信息的观念而言,我国法律对个人信息的直接保护是近几年来的新近发展趋势,在较长时间内由于对个人信息保护的重要意义缺乏正确认识而仅对个人信息采取了有限的间接保护措施。
(二)在个人信息的自律保护方面:(1)非公共部门,特别是一些商业网站,己经逐步认识到了个人信息的巨大价值以及个人信息对信息主体的重大意义,为了增强消费者使用网络的信息,提供了相对较为详细的隐私保护政策。但也应注意到,我国国内各商业网站的个人信息保护水平差异很大,大型的商业网站大多有比较完备的个人信息保护政策;但一些小型网站在个人信息保护方面是令人担忧的,它们不仅没有公开相应的个人信息保护政策,甚至不惜商业信誉,只要能给网站的经营者带来利益,就会不适当地收集、利用乃至出售访问者的个人信息。另外,非公共部门中,除了商业网站及为数不多的其他主体之外,大多数非公共部门并没有单方面向相对人提供个人信息保护政策。与上述单个信息控制人在个人信息保护方面的自律措施相对应的是,除了互联网行业,其他的非公共部门行业也鲜有保护个人信息的行业自律公约。(2)就公共部门而言,对个人信息的关注基本上是出于其管理的需要,强调得更多的是个人提供信息的义务,而个人就其自身信息所享有的权利基本被漠视。举例而言,如今浏览我国的各级政府网站,几乎无法看到与一些大型商业网站所具备的“隐私政策”,哪怕是中央人民政府的网站一一“中国政府网”对个人上网信息的保护问题也没有提供相应的政策,这不能不说是我国电子政务发展至今的一大遗憾。另外,不同的政府部门通过网上政务处理,掌握大量关于市民通过网络提交的方方面面的信息,如果缺乏个人信息保护政策,就很肯能侵犯个人信息。”
专门性的《个人信息保护法》有助于体系化当前我国在个人信息保护方面的相关立法实践成果,提高个人信息保护在我国立法体系中的重要性,有利打击、制止非法收集和使用个人信息的行为。
我国确实太需要个人隐私保护在法律方面、技术标准方面、产品认证方面的相关规定了,有了政府正式颁布的、可以在技术层面上进行操作法律法规之后,可以促进ICT领域隐私保护技术的研究和开发,这是我国电子商务进一步发展过程中最为迫切解决的问题,也是落实依法治国的最具体的工作。这方面工作,无论是对我国的经济建设,还是社会发展,都具有十分积极的作用和意义。
四、我国个人信息保护立法的原则和建议
(一)我国个人信息保护立法应坚持的原则
首先,坚持公开收集原则。“公开”并非指个人信息内容之公开,而系指个人信息搜集、储存、利用及提供等之公开,政府或企业在收集公民个人信息时,应当向其告知有关信息收集的情况。
其次,要平衡个人信息保护与行业发展。在信息时代,信息作为战略性资源,其自由流动具有重要的基础性意义。因此,必须协调好个人信息保护与促进信息自由流动的关系,这也是个人信息保护法的核心价值之一。
第三,适应国际化需求,与国际个人信息保护立法接轨。各国已经逐渐认识到了传统隐私权法律保护的不足,隐私权的内涵也已从消极被动的“私生活不受干扰”的人格性权利发展为积极能动的“自己的信息自己控制”兼具人格和财产属性的权利,即个人信息自决权的概念。
(二)我国个人信息保护立法的具体建议
1、明确个人信息收集目的
任何主体不应在个人信息主体不知情、未参与的情况下采取隐蔽技术手段或采用间接方式收集个人信息。收集个人信息前应当明确告知如下事项:(1)收集个人信息的目的、使用范围和收集方式;(2)个人信息管理者的名称、地址、联系办法;(3)不提供个人信息可能出现的后果;(4)个人信息主体的权利;(5)个人信息主体的投诉渠道。
不得收集与其所告知的信息收集目的无直接关系的个人信息,特别是揭示个人种族、宗教信仰、基因、指纹的信息,或与健康状况、性生活有关的信息。
2、加大对未成年人等特殊群体的保护
对未成年人的个人信息特殊保护是各国一贯的作法。我们认为,当相关企业发现信息提交者未满16周岁时,应给出明确提示并停止收集行为,为提供必要服务确需收集其个人信息的,应征得其监护人的同意。收集或取得未成年人的个人信息手段包括,但不限于要求未成年人提供在线个人信息;通过聊天室、留言板或其他方式使未成年人信息暴露在公共场合;此外还包括消极地追踪或者使用其他方式,如cookie确定任何个人的身份代码。
3、增设用户自主选择权和控制权
用户的自主选择权是指用户有权利选择是否向相关企业提供个人信息以及是否允许相关企业向其收集个人信息;用户的控制权主要表现为对个人信息的使用、修改或删除的权利。用户自主选择权和控制权是个人信息保护的重要手段,既可以保证个人信息的收集获得信息主体的授权,也可以更全面地保证个人信息的使用的安全。
4、强化数据泄露通知制度
2011年底前后,因云计算等新业务的发展及亚马逊等公司数据事故的发生,美国开始着手扩展这一制度。2012年,欧盟个人信息保护立法改革,提出引入数据泄露通知制度。 数据丢失、被窃,或者遭遇未经授权的接入,致使敏感的、可识别个人身份的数据信息的机密状态、完整状态存在受损可能,一旦发生上述情形,《个人信息保护法》中应当明确相关责任主体需在一定时限内向受损主体或有关执法主体进行通告。
5、云计算大数据的使用权限
随着大数据和云计算的普及,促使大量的个人数据收集和分析成为可能,政府和企业的决策越来越依赖大量的数据收集和分析。在这种情况下,数据挖掘、分析技术使数据被利用的可能性增加,数据被收集、使用的风险增大。《个人信息保护法》可以从立法上明晰个人隐私与公共信息渉及的不同范围界限,明晰公权力进入个人隐私范围的界限,明晣哪些公共信息属开放、共享的范畴。
6、智能终端APP个人信息保护
中国互联网已进入移动互联网时代。《个人信息保护法》应当对移动APP产业链上的相关主体提出针对性条文,明确移动APP开发者必须遵循:提供易懂、易得的隐私政策;对及时披露收集和处理的数据,取得用户明确、知情授权;告知用户修改、删除、拒绝等权利;在APP设计和实施各个阶段进行隐私设计确保安全。
7、建立统一的个人数据保护机构
成立专门负责个人数据保护机构是各国的普遍做法。我国目前还未建立专门统一的个人数据保护机构,各部门是在传统的监管职责中延伸管理各自行业、部门的个人信息保护问题。但从长期发展来看,建立专门机构有利于监督个人数据保护法的落地,提升整个国家的个人数据保护水平,也有利于对各行业、各部门的个人数据保护履行监督管理职责,更有利于为消费者(用户)建立维权申诉的一站式服务。
8、设立个人数据跨境监管制度
《个人信息保护法》应当对涉及到国家安全等重大国家利益的个人数据禁止转移到国外;将用户个人数据转移至境外,应当取得用户的明确同意;国家制定数据跨境转移的合同范本,指导企业跨境转移活动;对于将个人数据转移至他国,以提供给他国政府的,应当取得数据保护机构的同意。
