數據安全:個人信息保護
1. 全球數據保護立法聚焦個人信息保護
據聯合國貿易和發展會議(UNCTAD)統計,截至目前全球有107個國家通過了數據保護相關的專門立法,其中有66個是發展中國家。從上述國家的立法內容來看,所有立法均針對個人信息保護。其法律要求超越了傳統信息安全強調的CIA三性——保障數據完整性、保密性、可用性,更多強調了個人對其信息的控制權利,以及國家為保護個人控制權利應當采取的制度和措施。
雖然全球在數據保護方面已有豐富的立法實踐,但法律的具體實施一直存在很大的困難,導致純粹通過政府立法、傳統式執法及個人投訴舉報等方式難以有效保護個人信息。
一是個人信息的收集及使用行為無處不在。目前,數字經濟主要依賴個人信息的處理,幾乎沒有哪一項生產、銷售、消費活動不涉及個人信息。法律往往對個人信息的處理做出了詳細規定,但實際的落實取決于處理個人信息的一方。政府有限的執法資源難以對各個接觸、掌握個人信息的組織實施有效的監督,即傳統的一家監管部門面對多家監管對象的模式難以奏效。例如,GDPR生效后,即使各成員國對其數據保護部門大幅增加了預算和人員,仍然難以應對監管需要。
二是個人信息的收集、使用行為具有很強的隱蔽性。目前,大量的個人信息收集行為難以被個人感知,組織對個人信息的使用更是處于“黑盒子”的狀態。這兩個特點造成的結果是個人(包括消費者組織)難以對處理其個人信息的組織進行有效監督,進一步導致了投訴、舉報的片面或不完整,即傳統的發動社會各界主動檢舉揭發的模式難以充分發揮作用。例如,是媒體調查爆料,而不是受影響用戶的主動舉報,才導致Facebook與劍橋分析公司共享數據的行為得以曝光。
三是個人信息的收集、使用正在融入組織運營的方方面面,成為組織賴以生存和發展的命脈。因此,當政府開展對某個具體問題的執法檢查時,要摸清組織的個人信息處理行為的全貌,就需要耗費大量的人力、物力和時間;組織也需要花費巨大的成本配合監管。而且,目前數字經濟的競爭越來越依賴個人信息的積累和開發。面對政府的監管時,組織自然會產生很強的抵觸心理,采取各種手段掩蓋和逃避。這些情況導致政府開展具體執法時需要耗費大量的資源。
個人信息收集和使用的這些特點造成了一系列的監督執法障礙,還進一步導致執法不均、不公的局面。執法機關為了克服上述障礙,很自然會進行選擇性執法,即挑選具有典型示范意義的案件入手,現實中往往表現為“抓大放小”。該做法會導致大量中小企業的違法違規行為無人監管,同時造成大企業應付一輪輪監管的疲勞和抵觸心理。所以,傳統的執法監督模式已經難以適應目前個人信息保護的監管工作,急需從“技術對技術”的角度入手,創新監管手段。
2. 美國方案:從《隱私法案》到《加州消費者隱私法》
在聯邦層面,美國擁有近40部關于個人信息保護的法律。1973年,美國衛生、教育與福利部的《錄音、計算機與公民權利》(Records, Computers, and the Rights of Citizens)報告提出“公平信息實踐法則”(Fair Information Practice Principles,FIPPs),確定了美國個人信息保護的基本原則。1974年《隱私法案》是美國個人信息保護的綜合性法律,明確規范了聯邦政府機構處理個人信息行為。同時,美國根據不同領域的特點制定了各個領域的個人信息保護規范,如表1所示。
表1 美國聯邦層面個人信息保護的重要規范
在州層面,大多數州都制定了關于個人隱私保護的法律。其中,加利福尼亞州因互聯網公司集聚在隱私立法方面而一直走在前列。2018年通過的《加州消費者隱私法》(California Consumer Privacy Act,CCPA),賦予了消費者更完整的個人信息控制權。
美國的數據保護監管機構是聯邦貿易委員會(FTC),其消費者保護局主要承擔保護個人數據的職責。大多數涉及網絡隱私權的訴訟主要由《聯邦貿易委員會法》第5節 “商業詐欺”的規則來判決。美國更注重發揮互聯網行業協會的作用,通過自我管理和指引,達到個人信息保護和行業發展的平衡。
美國對個人信息的保護具有以下特點。
第一,采取分散的立法保護模式。美國沒有制定一部統一的個人信息法律,以避免立法過于集中。相反,它強調個人信息保護的靈活性,由此形成了三層保護策略:議會以立法的形式明確個人信息保護的基本準則與理念;不同的行政部門在執行個人信息保護法律的過程中,以制定行政規則或決定等方式解釋法律所規定的準則;法院則通過個案以判例的形式,拓展個人信息保護的領域與力度。
第二,根據個人信息的具體內容進行分業監管,既有專門針對隱私的法律,也有在調整某事項時涉及隱私的法律;既有規范政府行為的法律,也有調整商業主體或醫療、教育機構等特定主體的法律。所涉及的范圍極廣,包括金融、醫療、教育、稅務及通信等多個領域。
第三,專門保護特殊數據主體。對不同的數據主體進行有針對性的法律保護,是美國個人數據保護立法的一大特色。早在20世紀90年代,美國就相繼出臺了《健康保險攜帶和責任法》(1996年)、《兒童網上隱私保護法》(1998年)、《金融服務現代化法案》(1999年)等多部專門性法律,分別針對病人、兒童和金融個人數據展開全面保護。
第四,堅持以隱私權為中心的保護理念。在權利保護方面,美國以隱私權保護為基礎。隱私權是憲法層面的基本權利,各類個人信息保護成文法對個人信息保護的規定也大多以隱私權的形式存在。聯邦最高法院通過一系列判例確立并發展了公民隱私權,隱私權保護的權利形態與范圍也在不斷地擴大并發生變化:從沃倫和布蘭代斯式消極的“不受干擾的權利”,逐漸演進至具有積極意義的“信息隱私權”;從強調個人信息免于不當公開,到對自身信息被收集、處理以及使用等行為進行控制的權利。
美國的隱私權保護是以個人自由為理論基礎的。美國在建國之初就把維護個人自由確立為憲法的核心價值,其在設計隱私權制度時主要平衡的是隱私權主體的隱私利益與他人的言論表達自由、知情權等利益的沖突。調整這種利益關系的主要手段就是公共利益規則的適用:凡是不涉及公共利益的個人隱私,受到保護;凡是涉及公共利益的隱私,或者不予保護,或者受到限制。這種基于個人自由對隱私權保護的理念,使對個人信息的保護本就是各種利益之間衡量后的妥協性保護。尤其是當隱私權與自由權產生沖突時,隱私權的價值就會被抵扣,權利范圍就會被縮小。在美國的隱私權觀念中,對于不能物理控制的隱私利益,如公共場合的隱私利益一直給予比較弱的保護。
這個理念集中體現在被遺忘權方面。不同于被遺忘權在歐洲蓬勃發展的局面,該權利在作為互聯網大國的美國卻舉步維艱。究其原因,歐洲普遍認為個人信息控制是基本人權,增設被遺忘權恰好是加強個人信息保護的有效手段。但在美國,被遺忘權賦予公民刪除網絡上個人信息的權利,被認為是與美國憲法第一修正案第1條關于“國會不得制定剝奪言論自由或出版自由的法律”相違背的。同時,美國最高法院也認為,只要某一信息是合法取得的,國家就不能通過法律限制媒體傳播該信息;即使信息主體因此而不適,否則便是對言論自由與新聞自由的嚴重踐踏。
第五,偏重對信息使用的規制。縱觀美國個人信息保護法,可知美國在個人信息保護理念上更加注重對個人信息的利用,而非收集。美國的《大數據與隱私報告》指出:“雖然確實有一類數據信息對于社會來說是如此敏感,即使占有這些數據信息便可以構成犯罪(如兒童色情),但是大數據中所包含的信息可能引起的隱私顧慮越來越與一般商業活動、政府行政或來自公共場合的大量數據無法分開。信息的這種雙重特征使規制這些信息的使用比規制收集更合適。”
2018年,Facebook數據泄露事件發生后,個人信息管理的缺失使美國兩黨、民眾以及主要科技公司針對在聯邦層面制定統一隱私保護立法達成共識。CCPA就是在此背景下出臺,并將于2020年1月1日起生效。CCPA明顯借鑒了《通用數據保護條例》的立法模式,順應了世界個人信息保護立法潮流,將企業收集、儲存、銷售和分享消費者信息的若干控制權利授予消費者。但是,CCPA依然保留了美國特有的個人信息保護特色,高度重視產業利益,進行權益衡量,探索美國的個人信息保護路徑,其主要特點如下。
第一,CCPA體現了美國建立個人信息保護統一標準的趨勢。該法確立了適用各領域的統一規則和框架,明確了個人信息、數據主體、數據控制者等核心概念,統一授予數據主體權利,保障了數據主體對本人信息流轉的控制。
第二,CCPA強調了個人對個人信息的控制權。CCPA明確指出,《加利福尼亞州憲法》將隱私權確定為全體人民“不可剝奪”的權利之一,賦予每位加利福尼亞州人法定且可執行的隱私權。個人掌握其個人信息的使用、出售的控制權利,對于保護隱私權具有基礎性意義。CCPA創建了一系列消費者個人信息權利:訪問權,即消費者有權要求企業披露其收集的信息類別和具體內容;刪除權,即消費者有權要求企業刪除其所收集的任何個人信息;知情權,即消費者有權知道其個人信息被轉移到何處,企業必須發布有關消費者的個人信息出售或披露的范圍、流向、方式等。企業應尊重消費者選擇不出售個人數據的權利,不得通過拒絕給消費者提供商品或服務,以及對商品或服務采取不同的價格、費率等方式歧視消費者。
第三,CCPA對違規行為設定了較重的處罰。CCPA規定,由于企業未履行個人信息保護義務,從而使個人信息遭受未經授權的訪問和泄露、盜竊或披露,則消費者可以提起民事訴訟,企業會面臨支付給每位消費者最高750美元的賠償金,以及最高7500美元的損害賠償金或實際損害賠償金,以數額較大者為準。
3. 歐盟方案:從若干指令到《通用數據保護條例》
尊重個人隱私保護是歐盟的傳統。第二次世界大戰期間,個人數據曾被納粹用來清洗猶太人和迫害反納粹人士,因此,歐洲人民對數據收集保持著高度的警惕。早在1980年,經濟合作與發展組織就頒布了《保護個人信息跨國傳送及隱私權指導綱領》,為個人信息保護及數據跨境流動提供了基本原則框架。1981年,歐洲理事會各成員國簽署了《有關個人數據自動化處理之個人保護公約》(108號公約),旨在保護個人基本權利和自由,尊重個人隱私,促進數據自由流動。
各國法律要求的差異對歐洲互聯網市場的發展構成了障礙。1995年,歐洲議會及歐盟理事會通過了《關于個人數據處理及自由流通個人保護指令》(95/46/EC)(95指令),為歐盟成員國個人數據保護確立了統一的最低標準,并成立了個人數據保護工作組(29條工作組)。近年來,歐盟一直在不斷完善個人信息保護方面的法律法規。在電信領域,歐盟于1997年通過了《電信業隱私權指令》, 2002年頒布了新的《電子通信隱私指令》,要求電信和互聯網運營商采取措施,確保用戶個人數據安全。
隨著歐盟數字經濟的發展,構建統一的歐盟數據市場,消除立法分歧帶來的數據流動障礙,進一步加強個人信息保護,成為歐盟數據保護立法的迫切需求。但是,因各國需將95指令轉化為國內法使用,其中留給歐盟各國較大的立法空間,導致各國數據保護依然存在諸多立法分歧。而且,各國法律程序和文化傳統不同,歐盟內部并未形成統一的數據保護制度體系。
為了抓住數字革命帶來的發展機遇,2015年5月6日,歐盟委員會啟動了單一數字市場戰略(Digital Single Market Strategy),旨在通過一系列舉措革除法律和監管障礙,將28個成員國市場打造成一個統一的數字市場,以繁榮歐洲數字經濟。歐盟認為,隔離的市場對于抓住數字經濟發展機遇不利,打造統一數字市場是增加歐盟國際競爭力的關鍵,而建立歐盟內部統一的數字市場需要以統一的數字立法為保障。2016年,歐盟通過了《通用數據保護條例》,一方面加強對個人信息保護,另一方面通過條例的形式建立數字時代歐盟統一的數據保護規則,消除因歐盟各國數據保護的差異而對數據流動造成的阻礙,努力實現個人信息保護與數據自由流動之間的平衡。2017年1月10日,歐盟委員會發布政策文件《打造歐盟數字經濟》(Building a European data economy),啟動“打造歐盟數字經濟”計劃。2018年4月25日,歐盟委員會發布政策文件《建立一個共同的歐盟數據空間》(Towards a common European data space),以促進公共部門和私營部門的數據開放共享等。2018年4月,NTT DATA旗下的咨詢公司EVERIS發布《歐洲企業間數據共享的研究報告》,通過對歐洲31個國家6大行業的不同規模企業進行網上調查、現場采訪、案例分析、召開研討會等,找出歐洲企業間數據共享與再利用面臨的障礙。
總體來看,歐盟的個人信息保護具有以下特點。
第一,統一立法模式。在立法模式方面,歐盟采用統一立法模式,即制定一個綜合性的個人信息保護法來規范個人信息收集使用行為,統一適用于公共部門和非公共部門,并設置一個綜合監管部門集中監管。
第二,人格權保護模式。在權利保護方面,歐盟采取人格權保護模式,將個人信息視為公民人格和人權的一部分,上升到基本權利高度,按照一般人格權的保護路徑進行嚴格保護,賦予用戶知情權、查閱權、被遺忘權、刪除權等一系列權利,嚴格規范網絡運營者在信息收集、存儲、使用、更改、流動、消滅等全生命周期的行為界限。
第三,采用公法路徑。歐洲各國采取消費者法與公法規制進路為個人數據提供保護,而未創設一種私法上的個人信息權或個人數據權,更沒有主張公民個體可以憑借個人信息權或個人數據權對抗不特定的第三人。從司法實踐來看,歐盟也沒有將個人數據得到保護的權利泛化為一般性的私法權利。例如,在2003年的一起案件中,針對奧地利立法機關做出的高級政府官員必須將其薪資告知審計機關的規定,歐盟法院并沒有將高級官員的個人信息視為私法權利的客體,沒有認為獲取該個人信息的主體必須給予信息提供者補償。相反,法院直接援引了《歐洲人權公約》第8條的隱私權規定,分析了相關當事人的權利是否受到侵犯。
2018年5月25日,GDPR正式實施,在諸多方面做出了重大變革,如賦予個人數據刪除權和攜帶權、限制數據分析活動等,給予公民更多對個人數據的控制權,并要求企業承擔更多數據保護責任,集中體現了歐盟的最新數據保護理念,其特點如下。
第一,首次增加“域外適用”情形。與95指令相比,GDPR首次增加了“域外適用”情形,主要體現為兩種情況。一是在歐盟境內設立機構。如果數據控制者或處理者在歐盟境內存在設立機構,則無論其設立機構還是數據控制者或處理者本身,實施的任何與數據處理相關的行為都須符合條款規定。二是為歐盟境內數據主體提供商品或服務,以及監控其行為。這個規定包括兩層內涵:一方面,數據控制者或處理者為歐盟境內數據主體提供商品或服務,無論這種行為是否涉及費用問題,都將受到GDPR規定的約束;另一方面,如果數據控制者或處理者的行為涉及對數據主體在歐盟境內公民行為的監控,則也須遵守GDPR規定。該條款大大拓展了GDPR的適用范圍,使GDPR的影響輻射全球。
第二,采用“原則指引+高額罰款”的策略。GDPR對個人信息的保護及監管達到了前所未有的高度,對個人信息設置了嚴格的保護標準。但是, GDPR未通過詳盡的規則指南明確具體的行為標準,進行數據管控,而是通過“原則指引+高額罰款”的策略促使網絡運營商不斷自我完善,最終真正承擔起主體責任。一方面,GDPR的規則多以“原則、要求及其所達致的效果”為主,而非如何落實規則的詳盡步驟和規范,如“采取措施確保……”為主體完善自身數據保護體系留下了許多行動空間。因此,企業可以根據業務特征和組織架構構建適合自身發展的數據保護體系。另一方面,GDPR設置了最高處以2000萬歐元或上一財年全球營業額4%的高額行政處罰,給予網絡運營商以真正觸及痛點甚至關乎生死存亡的強烈威懾力和震懾力,增強其緊迫感。
第三,賦予公民廣泛的個人信息權利,以實現數據全生命周期的可控。GDPR從個人權益出發,賦予用戶查閱權、拒絕權、刪除權、更正權、攜帶權及獲得救濟權等對數據全權控制的一系列權利,并要求各成員國將其提升到保護自然人基本人權和自由的高度,強調公民對個人信息從數據收集到刪除全流程的控制權和決定權。一方面,擴展和完善原有權利。例如,擴大個人數據的范圍,數字指紋(如IP地址和Cookie)也包含在內;知情同意權,“同意”必須是明確的同意,一般情況下是“聲明或明確的肯定行動”,而且可隨時撤銷;要求數據控制者向數據主體提供更詳細的與數據處理相關的信息。另一方面,賦予了數據主體以新的權利——數據刪除權和可攜帶權,增強數據主體對個人數據的控制。同時,GDPR還賦予個人針對數據分析活動的一些特定權利,包括不受自動化數據處理結果約束的權利、反對數據分析的權利。
第四,由隱私權保護升級為個人數據保護權。95指令主要保護隱私權,而GDPR主要規制個人數據保護權,包括知情權、訪問權、修正權、被遺忘權(刪除權)、限制處理權、可攜帶權和拒絕權七個方面。其中,被遺忘權和可攜帶權是95指令所沒有的。相對于傳統隱私權保護,個人數據保護權提供的保護更全面,不僅限于個人不愿公開的私密信息,還包括年齡、職業等非私密信息;對隱私權的侵害一般采取事后救濟,而對個人數據權的保護需要事前事后相結合。
第五,首次增設“被遺忘權”提法。GDPR第17條提出了“被遺忘權”,其核心含義是指數據主體認為其個人數據沒有必要被處理,或以非法的方式被處理時有權要求數據控制者刪除其數據,并不得有不合理的延遲。被遺忘權賦予了數據主體更多的個人信息自決權,實實在在地擴展了數據主體的權利。
這個概念最初引發了很大的爭議,美國和歐盟存在嚴重的分歧。直到2014年,西班牙公民岡薩雷斯向谷歌西班牙公司提起訴訟,要求刪去谷歌搜索結果中關于自己欠錢的兩篇新聞報道,理由是自己已經還清了欠款。經過多方上訴和多輪討論后,歐盟法院最終裁決稱,被遺忘權是人權的一部分,要求谷歌刪除岡薩雷斯的新聞。從此,被遺忘權的重要性得到了確立。但是,刪除數據不像電腦上按一下刪除鍵那么簡單,整個過程并不清晰且易于執行。尤其是對于一家大型公司來說,用戶信息往往分布在營銷、銷售、客服乃至財務和供應鏈等多個系統中,甚至還會存在于一些本地文件中。一旦需要把某個用戶的數據完全刪除,就必須要依靠一套數據同步機制以確保刪除沒有遺漏。從目前來看,這是非常困難且成本高昂的操作,也是科技巨頭們非常抗拒GDPR的原因之一。
第六,設立完善的數據保護監管機制。一是獨立的監管機構。歐盟要求每個成員國都應建立一個或多個負責監督數據保護規則執行情況的獨立行政機構,以便保護數據主體在數據處理方面的基本權利與自由,并促進個人數據在歐盟內部的自由流動;如建立多個監督機構,則應指定一個作為在歐盟數據保護委員會的代表機構。每個監督機構行使權力應不受任何外界影響,保障獨立的人事任命權和財產權,配備有效執行任務和行使權力所必需的人力、技術和財務資源、場地和基礎設施,并有能力在本成員國的國土內執行分配的任務,行使歐盟賦予的數據保護權力。二是一站式監管機制。對于向歐盟不同成員國提供業務的企業或在不同成員國設立機構的企業,主要辦公機構或唯一營業機構的監管機構為主監督機構,對企業的所有數據活動負有監管責任,其效力輻射于全歐盟境內。同時,主導監管機構的監管決定要最大程度上反映其他成員國監管機構的意見。如果不能達成一致意見,則交由歐盟數據保護委員會來處理。三是組建歐盟數據保護委員會,作為具有法人資格的歐盟機構。委員會由每個成員國的一個監督機構的主管、歐盟數據保護監督組織的主管或其各自的代表構成。歐盟委員會應指定一位代表參與數據保護委員會的活動,并列席數據保護委員會會議。歐盟數據保護委員會通過明確數據保護規則執行程序、標準,審查成員國或組織的違法違規行為,促進監管機構合作等,確保歐盟數據保護規則的一致性和有效執行。
第七,建立了完善的救濟機制。一是企業內部問責制度。歐盟要求企業建立內部問責機制,履行數據保護義務。二是行政投訴機制。各成員國數據監管機構建立了數據主體的投訴渠道,如果任何數據主體認為與其相關的個人數據的處理違反了本條例的規定,則該數據主體有權向其常住地、工作地或違規行為所在的成員國監督機構進行申訴。實施“一站式”投訴服務,以便處理數據主體在歐盟內的跨境投訴,歐盟數據保護委員會協調處理消費者的投訴。三是司法救濟。如果不服監管機構做出的決定或對監管機構的不作為不滿,數據主體可尋求司法救濟。司法救濟的權利可以由消費者機構代表數據主體行使。如果一個以上的數據控制者或處理者涉及侵權,則共同承擔連帶責任,除非其能證明自己對損害的產生沒有責任。
GDPR的實施將會使企業經營業務受到一定限制,舉例說明如下。
(1)限制企業之間的合作形式。對于云計算業務,GDPR規定了云服務商和云客戶之間的權利義務配置。為了實現對數據安全的全面保障,GDPR要求數據控制者(云客戶)和數據處理者(云服務商)承擔同等數據保障責任;如果沒有數據控制者授權,數據處理者不應再委托其他數據處理者;對于涉及補充或替換其他數據處理者的變動,數據處理者都應當告知數據控制者,數據控制者有權反對變更。在此要求下,目前市場上云服務的集成、轉售業態都將面臨業務風險。同時,這意味著得不到上層應用的書面通知,底層的基礎設施和平臺就不能對數據進行處理。例如,PaaS平臺發展任何一個用戶,開發任何一個應用,都必須事先征得IaaS廠商的同意。這條規定在目前云服務場景中很難實現。
(2)挑戰企業的運營模式。利用收集和掌握的大量用戶個人信息,通過對用戶行為的分析產生直接(如精準廣告投放)或間接(如根據行為進行畫像來提供一些更精準、個性化的服務)的收益,這是目前很多國內互聯網企業的盈利模式。GDPR賦予了歐洲公民可以拒絕企業利用收集到的個人信息進行自動判斷和決策的權利。這種拒絕權可能導致企業在歐盟不能利用個人信息進行用戶畫像和自動推薦等,給很多強調用戶體驗和個性化服務的大數據企業及互聯網企業帶來了商業模式上的沖擊。
(3)導致技術發展資源的獲取更困難。對于人工智能,作為其核心技術的深度學習需要通過收集海量數據才能不斷成熟,進而智能分析并得出結論。根據GDPR,網絡運營者收集用戶數據需滿足嚴格的條件,并且必須滿足用戶刪除數據的要求。沒有用戶數據信息或收集的用戶信息不全面,勢必影響到人工智能的分析結果。
4. 對我國的啟示
近年來,違法違規收集使用個人信息的問題頻發,網絡運營者以“一攬子協議”強迫用戶同意、隱秘收集、誘騙收集及非法出售個人信息的行為十分猖獗。2017年全國人大常委會的“一法一決定”執法檢查“萬人調查報告”顯示,有49.6%的受訪者曾遇到過度收集用戶信息的現象。許多受訪者反映,當前免費應用程序普遍存在過度收集用戶信息、侵犯個人隱私的問題,但幾乎沒有受到任何監管和依法懲處。
目前,我國個人信息保護制度還不健全,而美國模式和歐盟模式作為全球個人信息保護的兩大方案,為我國個人信息保護提供了可參照的范本。因此,我國應結合實際,充分借鑒美國模式和歐盟模式的制度優點,構建完善的個人信息保護體系。
第一,統一立法與分業監管相結合,充分發揮各自的優勢。目前,個人信息保護的相關規定主要散布在網絡安全法律法規和各個部門法之中,主要規定還停留在“知情-同意”基本要求的原則性規定上。《網絡安全法》也僅搭建了基本制度框架,具體實施細則和落地措施規定不明,給執法守法留下了很大的模糊地帶和灰色空間。《電信和互聯網用戶個人信息保護規定》等部門規章和規范性文件的層級較低,且停留在某一個行業和領域,缺乏整體設計和系統規范,導致各行業領域、數據保護各階段制度建設發展不平衡,甚至要求標準不一致。我國應順應國際趨勢和慣例,盡快制定專門的個人信息保護法,以明確規定個人信息的含義,進一步確立個人信息權,確立國家機關和非國家機關等各類數據控制和處理主體收集、利用和處理個人信息的基本原則,明確線上線下及數據跨境傳輸過程中的各類個人信息采集和使用的方式、范圍與標準,理清各主體之間的數據權屬關系和交易規則,為個人信息保護提供明確的救濟途徑、保護程序,與有關法律法規做好制度銜接,構建完整、動態、協調的制度體系,有效平衡安全與發展的關系,為我國個人信息的利用和保護構建系統化、整體化的解決方案;同時,吸收分業監管的優勢,各行業主管部門根據本行業的特征,在特定領域和特定情形中賦予個體以具體的個人信息權益,明確個人信息保護要求。
第二,建立個人信息保護集體訴訟機制,為個人提供更多的救濟渠道。現代信息社會中個人與網絡運營者的技術能力差距很大,造成公民個人信息保護舉證困難、維權困難。單一個體或消費者很難對信息收集者與處理者進行監督,而各類公益組織和政府機構可以成為消費者集體或公民集體的代言人,對個人信息保護進行有效監督。我國的個人信息法律保護不僅應當推動公法制定進程,還應當重視消費者權益保護。一是修訂《消費者權益保護法》,明確個人可通過集體訴訟方式向侵犯其個人信息權益的網絡運營者索要賠償。二是成立個人信息保護委員會,對網絡運營者的個人信息保護工作進行社會監督,統一受理個人信息保護侵權投訴,針對企業在個人信息保護方面的一些不當行為提起公益訴訟。
第三,加強源頭治理,提升行政執法能力。近年來,對個人信息保護的舉措主要集中在對相關犯罪的刑事打擊,《刑法修正案(七)》和《刑法修正案(九)》不斷加重對個人信息違法犯罪的打擊力度,但是民事和行政保護力度嚴重不足,重末端治理、輕源頭治理,僅以威懾力壓制,而無規則指引,導致違法犯罪依然屢禁不止,良好的秩序和生態環境難以形成。一是強化對數據收集、存儲、使用等行為的監督檢查力度,督促指導企業加強數據安全管理。二是建立以風險控制為導向的監管方式,采取“多元化策略+外部認證監督”的方式,由網絡運營者根據保護用戶信息安全的需要設定多元化的權利保障政策或措施,政府根據評估認證結果對內部政策及制度是否合規進行外部監督。三是培養企業對數據安全保護的戰略意識,將數據安全保護作為企業占有市場和增強用戶粘性的戰略舉措,把數據安全融入業務發展的各個環節,同步設計、同步建設、同步更新,變被動為主動,逐步培養起安全與發展并重的良性大數據產業生態環境。
第四,設立專門的網絡個人信息保護監管機構。GDPR充分發揮監管機構在數據保護中的作用的做法非常值得我國借鑒。我國也可以單獨設立一個網絡個人信息監管機構,統一對個人信息保護進行統籌協調,統一行使執法權限。尤其需要明確監管機構在個人信息保護各個環節所擁有的職責權利和義務劃分,并嚴格執法流程。機構和企業也應該設立數據保護官,按照“誰管理誰負責”的原則,專門負責本單位的數據保護工作。同時,我國也可考慮對違規企業采取高金額處罰的方式,增加違規成本,促使機構和企業能自覺自愿地加強對個人信息的保護。
