數字化發展中的個人信息保護監管策略思考
作者簡介
權小鳳
全國公民身份證號碼查詢服務中心部門經理,工程師,主要從事大數據等方面的研究工作。
劉高峰
中國信息通信研究院產業與規劃研究所副所長,高級工程師,主要從事ICT領域的研究工作。
論文引用格式:
權小鳳, 劉高峰. 數字化發展中的個人信息保護監管策略思考[J]. 信息通信技術與政策, 2021,47(6):74-79.
數字化發展中的個人信息保護監管策略思考
權小鳳1 劉高峰2
(1. 全國公民身份證號碼查詢服務中心,北京 100123;2. 中國信息通信研究院產業與規劃研究所,北京 100037)
摘要:
新冠疫情的全球蔓延加速了經濟社會的數字化進程,數字化發展正從社交、購物、出行等各個方面給民眾帶來全新體驗。但數字化驅動經濟發展的同時,也頻繁出現個人信息被泄露、竊取、販賣等安全事件,隨之帶來個人精神和財產安全威脅。因此,如何在全球數字化進程中兼顧數據驅動發展和個人信息保護監管也已成為國際社會關注的熱點問題。以多源分析當前個人信息安全面臨的熱點問題為導向,通過對比研究國際典型的個人信息保護監管模式,分析目前我國監管策略存在的挑戰,進而從立法、治理及個人救濟幾方面提出實現數字經濟創新發展和個人信息保護平衡的建議。
關鍵詞:數字化發展;個人信息保護;監管模式
中圖分類號:F49;F724.6;D923.1 文獻標識碼:A
引用格式:權小鳳, 劉高峰. 數字化發展中的個人信息保護監管策略思考[J]. 信息通信技術與政策, 2021,47(6):74-79.
doi:10.12267/j.issn.2096-5931.2021.06.010 0
引言
近年來,以數據為新生產要素的數字經濟蓬勃發展,2020年新冠疫情的全球席卷進一步加速了經濟社會的數字化進程。健康碼、大數據通信行程卡作為數字防疫新手段,保障各行業安全復工復產;線上生鮮新零售、線下零接觸配送為民眾居家抗疫提供生活物資保障;遠程辦公、視頻會議為疫情時期企業正常運轉提供了有效途徑[1]。防疫背景下生產、消費模式的轉變成為數字化發展的催化劑,同時我國十九屆五中全會、“十四五”規劃等也在相關政策上做出全面部署,要求加快推動經濟產業數字化發展。
個人信息作為數字化發展的核心,被比作“新的石油”應用到社交、零售、餐飲、交通、醫療等各行各業中[2]。個人信息數據的采集、分析、處理能力越來越智能,但個人信息保護工作卻沒有跟上技術更新迭代的步伐,用戶數據被泄露、濫用和黑色交易等問題層出不窮,讓個人在大數據中幾乎無秘密可言,潛藏著巨大的人身和財產安全風險[3]。新冠疫情防控工作中不乏疫情排查人員信息在微信群擴散、以口罩預約為名誘騙個人信息用于營銷、確診人員信息遭曝光被網絡暴力等事件。可見,目前我國的個人信息保護體系建設還有較大的完善空間。
產業經濟的數字化發展需要基于更多的數據開放和技術利用,隨之會帶來更多個人信息安全風險;而個人信息的過度保護,則不利于經濟的創新驅動發展,因此兩者間存在難以避免的價值沖突,如何實現兼顧數據驅動發展和個人信息保護的有效監管成為亟待討論的問題。本文將以當前數字化發展中個人信息安全面臨的熱點問題為導向,通過國際典型的個人信息保護監管模式對比研究,分析我國目前監管策略存在的挑戰,并從立法、行業、個人等方面提出具體思考。
1 當前個人信息安全面臨的熱點問題
當前,在數字化服務迅猛發展、疫情加速數字化進程背景下,個人信息安全問題也隨之出現新熱點和新特征。
1.1 APP收集個人信息亂象突出
隨著網絡技術水平的提高,當前互聯網APP應用軟件的盈利方式已由傳統的在線廣告投放轉變為基于用戶畫像的定向推送和精準營銷。個人信息和消費行為數據正在成為市場研判的重要依據,也成為企業獲利的核心要素,由此也引發了眾多APP過度套取個人信息、強制用戶授權和侵害用戶隱私權益等問題。其中,主要違規行為包括:通過默認勾選悄悄套取個人信息,誘導用戶略過隱私政策鏈接已成為業內通用做法;強制授權和過度索權收集非必要個人信息,致使用戶為了正常使用APP不得不選擇接受授權;違背用戶知情權,在用戶使用相機、麥克風、位置等權限時,將收集到的相關敏感數據傳到應用后臺。
1.2 疫情期間黑客攻擊手段升級
疫情期間,多國黑客組織利用新型冠病毒相關熱詞作為誘餌文檔發動黑客攻擊,帶來了更多個人信息被攻擊、竊取與泄露的威脅。2020年2月20日前后,高級持續威脅(Advanced Persistent Threat,APT)組織Hades以新型冠狀病毒肺炎(“Коронавiрусна iнфекцiя COVID-19.doc”)為誘餌,對烏克蘭境內目標開展釣魚攻擊。在用戶打開誘餌文檔且啟用宏后,惡意文檔則執行遠程控制,并收集用戶信息、主機信息、網絡信息等進行回傳,從而實現遠程控制和用戶個人信息竊取。2020年4月,萬豪國際連鎖酒店宣布受到第二次數據泄露攻擊,該攻擊曝光了520 萬人的姓名、生日、電話、郵箱、住址、會員卡賬號等重要隱私信息,引起較大反響。黑客攻擊竊取事件往往具有泄露數據類型敏感、價值高、涉及人數多等特點,因此也對民眾造成極大的財產和精神損失。
1.3 信息泄露成為網絡不良信息傳播源頭
在數據作為關鍵要素日益重要的環境中,網絡不良信息問題與個人信息保護問題交織、復雜性不斷提升,個人信息獲取是達成不良信息傳播的關鍵環節,個人信息泄露和違規使用正在加劇網絡不良信息傳播問題。例如,為謀取經濟利益,一些企業以采集個人信息和數據為交換為用戶提供免費的互聯網產品服務;采用AI大數據分析等技術手段構建用戶畫像并將其出售給廣告商,形成雙邊市場;廣告商則利用相關個人信息,發送商業性不良信息,導致騷擾電話、垃圾短信頻發,讓人不堪其擾:從保險推銷到房產銷售,從育兒理財推薦到投資養老勸導,花樣百出,驚擾不斷。因此,要還民眾安寧,阻斷網絡不良信息傳播,關鍵要從源頭入手,徹底根治個人信息泄露問題。
2 國際個人信息保護監管模式分析
隨著個人信息成為各行各業競相爭奪的資源,全球個人信息竊取泄露事件頻頻發生,國際上對個人信息保護的重視程度和行政監管力度也越來越被提到更高的位置。從國家角度而言,一方面個人信息保護事關國民的基本權力和人格尊嚴;另一方面數據是數字經濟時代的重要生產要素,個人信息保護不能脫離經濟發展的需要。因此,如何實現數字經濟發展與個人信息保護之間的平衡成為國際熱點問題[4]。對比分析國際上典型的監管模式案例,可對我國的個人信息保護監管策略提供有益的啟發。
2.1 歐盟采取系統立法統一監管模式
歐盟將個人信息權力視為一項基本人權,采取系統立法和統一監管模式。2018年出臺的史上最嚴格《歐盟 一般數據保護條例》(General Data Protection Regulation,GDPR),成為全球個人信息保護的重要標桿[5]。一是確立了廣泛的新型個人數據權利,包括被遺忘權和個人數據攜帶權等。二是確立了結合歐盟體系架構的分層監管體系。在歐盟層面,設立專門的歐盟數據保護委員會(European Data Protection Board,EDPB)全面統籌協調個人信息保護的頂層監管;在成員國層面,要求設立獨立的監管機構和完善的民眾救濟制度;在企業層面,要求設置專門的數據保護人員[6]。三是實施巨額的罰款策略以加強行政監管力度。GDPR規定最嚴重違規情況可罰款2000 萬歐元或者企業上一年度全球營收的4%,且按兩者罰款數額取其高實施。自2018年GDPR實施至2020年年底,歐盟當局對違反GDPR的罰款已超過3.3 億美元[7]。2020年,歐盟相關監管機構公開了300多起GDPR相關執法罰款案例,處罰事由主要集中在個人信息收集使用的合法性、個人權益保護、數據使用者的保護義務履行等幾個方面。同時,歐盟在強調嚴格保護個人信息的同時,近年來也實施了《歐盟非個人數據自由流動框架的條例提案》等法案,以促進歐盟中企業之間的數據流轉和共享,實現經濟的數字化創新發展。
2.2 美國采取分散立法行業自律監管模式
美國從數字經濟產業利益出發,強調個人信息的利用自由與事后救濟,主要采用分行業和地域等層面分散立法、以行業為主導的監管模式。分行業立法方面,1999年頒布的《金融服務現代化法》,規定金融方面個人信息的收集、使用和披露規則;2003年頒布的《公平準確信用交易法》 明確了消費者信用數據的使用用途;分地域立法方面,2018年加利福尼亞州通過了美國目前最全面和嚴格的隱私保護法案《加州消費者隱私法(CCPA)》,作為美國第一個頒布數據泄露報告法的州,其致力于為加州消費者控制個人信息和數據提供有效途徑[8];分人群立法方面,例如1998年頒布了專門保護13歲以下兒童個人信息安全的《兒童網上隱私保護法案》[9]。美國采取的行業自律手段主要包括3種:一是行業建議性指引,由行業自律組織執行原則性的指導意見;二是網站隱私認證計劃,美國具有很多網絡隱私認證的專門機構,而網站經過機構的授權許可后可出示隱私認證標志,為網站用戶提供參考;三是技術保護,利用技術手段對違規收集和使用個人信息的行為進行限制[10]。美國的分散立法、行業自律機制,注重于激發數字經濟市場動力、促進信息技術快速進步,同時兼顧個人信息的利用和保護。
2.3 日本采取統分結合立法監管模式
在數據驅動創新和個人信息保護的平衡上,日本采取了較為中立的統分結合立法監管模式,通過采取統一綜合立法和特定領域制定個別法的方式,實現對個人信息使用的嚴格規制,同時也保證數據流動性以激勵企業創新。在個人信息保護綜合立法上,日本于2003年頒布了本國第一部《個人信息保護法》,在此基礎上,又于2003年陸續頒布《行政機關個人信息保護法》等法律,形成了具有日本特色的“個人信息保護關聯五法”體系[11]。為迎接互聯網數字發展浪潮,日本在2015年進一步修訂了《個人信息保護法》,該修訂對個人信息的流通及利用規則進行了完善,采用“opt-out”模式,默認數據處理者可以使用數據,只有當數據主體明確表示拒絕時才啟動禁用程序。從該模式可以看出,日本在保障個人信息安全時也偏向優先保證企業的數字化發展。2020年,日本通過了《個人信息保護法》修正法案,采取了擴大數據主體權利、推動企業自我完善機制構建、加強違規處罰機制等法規,可見日本對于近年來濫用個人信息惡性事件的重視和整治決心[12]。在分散立法創新上,基于《個人信息保護法》,日本某些政府或民間主體可以在特定領域出臺特殊法或個別法。例如,日本信息處理系統中心出臺的《關于金融機構等保護個人信息的指導方針》 、日本總務省制定的《 關于電氣通信事業保護個人信息的指導方針》等[13]。
3 目前我國個人信息監管基礎與挑戰
從上述國際典型的個人信息保護監管模式可以發現,社會經濟數字化發展與個人信息保護的平衡關系尤為重要。因此,我國一方面要高度重視產業數字化發展和公共數據開放,另一方面也要不斷加強發展中的個人信息保護立法和監管。
3.1 我國個人信息監管的基礎
在數字經濟發展方面,2020年4月9日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》,將數據作為新型生產要素正式列為國家基礎戰略性資源。2020年11月3日,中共中央印發“十四五”規劃明確要建設“數字中國”,發展數字經濟,推動數據資源開發利用。 在個人信息保護方面,我國相關的立法和監管雖起步晚,近年來也在積極探索與完善。2017年6月正式施行的《網絡安全法》 要求建立健全用戶信息保護制度。2020年5月28日正式通過的《民法典》在民事私法領域為個人信息安全保護提供了相關規定和救濟基礎。2020年7月3日,《數據安全法(草案)》公開征求意見,明確了實行數據分級分類保護、數據使用必須履行相應數據保護義務等管理辦法。2020年10月21日,《個人信息保護法(草案)》 公開征求意見,圍繞個人信息處理、跨境規則、主體權利、使用者義務、職責部門和法律責任等方面全面確立個人信息保護規則。
3.2 我國個人信息監管面臨的挑戰
由于在數據創新驅動和個人信息保護兩者之間側重的不同,各國或地區對于個人信息使用同意權的要求有較大的差異(見表1)。
表1 各國或地區對個人信息使用同意權的立法要求
歐盟GDPR在極度保障用戶個人隱私安全的同時,也導致企業成本的增加和創新能力的降低;美國重企業數字化發展而輕個人信息保護則易造成公民權益受到侵害;日本在兼顧數字化發展和個人信息保護中不斷磨合,近些年也隨著個人信息安全事件的頻發而不斷強化對個人信息保護的側重。相比國際典型案例,我國在數字化發展背景下的個人信息保護監管體系建設還有不少短板。
(1)個人信息保護法律體系不夠健全。一方面是統一綜合性個人信息保護法律亟待出臺。我國已經正式出臺實施的個人信息保護法規很多,但基本都分散在《民法典》《網絡安全法》《刑法》等多類法典中,零散的法規在適用范圍上差異較大,難以合理銜接,面對國內大數據和人工智能等技術的迅猛發展,無法系統性地滿足越來越普遍和復雜的個人信息保護需求。而目前提交審議的《數據安全法(草案)》和《個人信息保護法(草案)》尚在草案階段,存在追趕技術發展的緊迫性和應用實踐的適應性問題。另一方面,參考美日等國經驗,要促進數字經濟穩健長遠發展,需要針對不同領域逐行調研,對癥下藥。目前,我國各類互聯網企業不斷涌入電商、物流、出行、醫療、教育等傳統行業,對應引發各領域的個人信息保護法律問題十分復雜,涉及的個人信息權屬、數據主體資格、數據使用范圍等都呈現不同特點,但目前我國個人信息在分散領域內的立法尚未跟上發展的步伐,而以統一的法規一刀切,難以為受侵害數據主體實現合理的救濟,也不利于各行業更充分合規地利用個人信息并發揮數據價值 [14]。
(2)行業監管和執法機制待完善。在監管機構方面,目前我國的數據保護監管主要采用由國家網信部門負責同時各行業主管部門承擔具體行業監管的“1+X”機制,但國家網信部門的主要工作重心在于國家數據安全而非個人信息保護,因此缺乏專門的個人信息保護監管機構,以全方位實現事前監督、事中調控、事后追責的一站式監管 [15]。在執法機構方面,目前我國個人信息安全治理牽涉公安、行業主管、市場監管等多部門,多頭執法并沒有強化懲治力度,反而更難以聯動行動將對各類違法違規行為的治理落實到位。在懲治力度方面,當前我國對違規企業的懲治力度相比歐盟、美國等國家或地區要小得多,大多數治理并不是像國際范例的重額罰款,而更多是行政約談和通報批評,難以給違規企業和同行業起到預期的懲戒作用,導致企業面對經濟利益誘惑時仍然會以身犯險。
(3)個人信息保護宣傳和救濟不足。一方面,大部分民眾缺少保護自身數據安全的意識。不少人在使用互聯網平臺或應用軟件時,在不了解是否涉及個人相關隱私的情況下直接省略閱讀隱私條款,甚至有些人樂于參與平臺的個人信息填報活動以換取活動福利,導致個人信息或隱私權限被過度收集,長此以往,個人信息被廣泛泄露到各個行業甚至不法分子手中,進而面臨被各個行業不法分子進行電話騷擾、垃圾營銷短信打擾,甚至電信詐騙、勒索等威脅,使個人遭受精神和財產損失。另一方面,當前個人信息侵犯維權難度大,補償救濟措施不足。當個人信息受到泄露侵害,存在個人維權意識薄弱、維權途徑少、維權成本高等問題,造成被侵害主體往往被迫承受損失,放棄尋求救濟維權,從而導致平臺過度收集個人信息風氣更甚。
4 數字化發展中個人信息保護監管的建議
數字化發展中的個人信息保護,最核心的就是實現數據公開共享和個人信息保護之間的平衡,從而在促進數據價值最大化釋放的同時,實現個人隱私和信息的保護。具體而言,需要從立法、行業、個人多方面進行相應的措施完善。
4.1 統分結合制定個人信息保護法律體系
一方面,盡快推動《數據安全法》《個人信息保護法》等綜合性法律的完善和正式實施,明確政府職能部門、企業平臺主體責任,強調個人信息的權利屬性、收集邊界、使用流程等細則,形成可操作性強、適應大數據時代發展的法規,從而給予個人信息保護的執法監管更系統化、標準化的指導。另一方面,為充分實現數據價值的最大化釋放,可以借鑒美國、日本經驗,補充行業領域的針對性分散立法。例如,針對金融、通信、互聯網、醫療、跨境等不同領域,根據各行業對個人信息收集和使用的不同特點,配套制定易落地的法律規定和操作標準,由行業主管部門監管執行,并向統一的頂層個人信息保護機構匯報,形成統分結合、有法可依、職責分明的法律機制。
4.2 健全行業的閉環監管和執法落實
個人信息的過度收集、使用和泄露等關鍵環節都在于企業主體,但企業為了追求自身商業利益最大化,往往直接或間接導致個人信息和隱私侵犯事件屢禁不止,因此加強各行業的數據使用監管是個人信息安全問題的重中之重。在閉環監管上,要成立個人信息保護監管的專門機構,負責統籌協調,并協同各行業主管部門執法共治,實現對各行業事前規范、事中督查、事后嚴罰的全流程監管機制;在執法落實上,通過賞罰分明的獎懲機制充分調動企業對個人信息保護的積極性和參與度。一方面,行業機構可定期組織個人信息保護相關服務、產品或技術的安全檢查、專業測評和案例評選活動,形成業內標桿和示范效應,以提升各行業對個人信息保護相關技術產品的研發投入力度;另一方面,針對有意或無意造成個人信息權利受侵害或嚴重數據泄露等違規事件,參考歐美國家,施行行政通報批評和分級高額罰款雙重懲治措施,從而對違規企業和同行業形成震懾力,制止數據使用者繼續違規違法的腳步。
4.3 加強個人信息保護宣傳和救濟支持
一方面,個人作為數據主體,是所有個人信息的來源,提高民眾的個人信息保護意識,能從源頭有效減少數據侵權事件,因此需要加強對民眾的個人信息保護宣傳。針對低齡學童可以與時俱進修訂教材擴充相關內容,使個人信息保護意識從小抓起;針對普通民眾可以依托定期舉行的網絡安全周進行普及宣傳教育,還可以采取團體、社區、街道的個人信息保護知識有獎答題等活動實現潛移默化的宣傳,提升民眾安全上網意識。另一方面,在當前我國的大數據環境下,個人信息安全事件呈現出單次事件涉及人數量級化特點,更多的是在事件引起社會反響后由政府維權治理,而被侵權個人往往面臨索權成本高、單人舉證途徑少的特點,造成個人權利難以維護,因此個人信息保護還需要加強對個人維權的救濟支持。在立法層面,如《個人信息保護法》等綜合性法律中要增加個人不同權利遭受侵害時的精神和財產賠償機制;在監管執法層面要開通個人專用低成本維權通道,配套侵權溯源追責機制并落實賠償,解決個人維權無門的難題。
5 結束語
由于個人信息仍然是數字經濟發展的重要推力,歐盟GDPR強政府干預的控制模式易降低市場的積極性和創造性,而美國的分散立法事后追責模式則不利于形成長遠穩健的個人信息保護環境,因此我國的個人信息保護監管體系構建需要立足于本國國情,探索雙贏監管策略。剖析我國實際監管情況,目前還存在個人信息保護法律法規分散、企業監管執法機制不完善、個人信息保護意識不夠等難點痛點問題,結合我國全能型政府傳統特點,可以充分發揮政府與市場的協調作用,從立法、治理、救濟三方面分別提出監管策略思考和建議,致力于通過各方努力實現數字經濟創新發展和個人信息保護的平衡,從而在合理利用個人信息釋放數據價值的同時,維護好民眾的個人信息權利。
參考文獻
[1] 中國互聯網協會. 2020年影響中國互聯網行業發展的十件大事[J]. 互聯網天地, 2021(1):10-13.
[2] Wei Xu, Nie Yi. Research on the legal protection of personal information security in the era of big data[J].Journal of Physics: Conference Series, 2020, 1648(3):032067.
[3] 王斯奕. 淺析大數據時代背景下個人信息安全的法律保護[J]. 法制與社會, 2020(2):31-32.
[4] Jang Hee Don. A Study on Personal Information Legislation Improvement Plan for Data Economic Regulatory Innovation[J]. Journal of Industrial Economics and Business, 2019,32(6):2589-2602.
[5] 鄧輝. 個人信息保護行政監管的經驗與啟示[J]. 信息安全研究, 2020,6(1):79-84.
[6] Amie Taal. The GDPR challenge: privacy, technology, and compliance in an age of accelerating change[M]. CRC Press, 2020.
[7] 杭州安恒信息技術股份有限公司. 盤點:2020年度GDPR經典執法案例[EB/OL]. [2021-05-11]. https://www.websaas.cn/typecho/news/ index.php/archives/251/.
[8] 孫權, 沙澤陽, 王曦, 等. 個人信息保護法案對比研究及對我國的啟示[J]. 上海保險, 2020(11):54-60.
[9] 劉克佳. 美國保護個人數據隱私的法律法規及監管體系[J]. 全球科技經濟瞭望, 2019,34(4):4-11.
[10] 俞全威. 安寧與安全: 總體國家安全觀視角下的個人信息保護研究[D]. 南京師范大學, 2020.
[11] 李慧敏, 陳光. 論數據驅動創新與個人信息保護的沖突與平衡――基于對日本醫療數據規制經驗的考察[J]. 中國科學院院刊, 2020,35(9):1143-1151.
[12] 秦福連. 大數據時代個人信息保護的網絡平臺責任研究[D]. 山東大學, 2020.
[13] 高榮偉. 國外個人信息防護機制[J]. 產權導刊, 2020(10):15-17.
[14] Xue YJ, Zhou ZD. Research on personal information protection system of network information platform under the background of big data[C]. E3S Web of Conferences, 2021,235:03033.
[15] 唐要家. 中國個人隱私數據保護的模式選擇與監管體制[J]. 理論學刊, 2021(1):69-77.
Thoughts on personal information protection supervision strategies in the digital development era
QUAN Xiaofeng 1, LIU Gaofeng 2
(1. National ID number Enquiry Service Center, Beijing 100123, China; 2. China Academy of Information and Communication Technology, Beijing 100037, China)
Abstract: The global sweep of the COVID-19 has accelerated the digitalization process of economy and the society. Digital development brings new experiences to the public from social, shopping, travelling and other aspects. However, while digitalization drives economic development, there are frequent security incidents such as personal information being leaked, stolen, and trafficked, which brings personal psychological and property security threats. Therefore, how to balance data-driven development and personal information security supervision in the process of global digitalization has become an international hot topic. Based on the multi-source analysis of the current hot issues of personal information security, this paper analyzes the challenges of China’s current regulatory strategies by comparing the typical international regulation mode on personal information protection, and offers some suggestions on law making, supervision and personal assistance to ensure a balance between the innovative development of the digital economy and the protection of personal information.
本文刊于《信息通信技術與政策》2021年 第6期
