大數據時代促進信息的自由流動和共享是政府管理、商業發展和技術創新的需要。與此同時,海量個人信息的收集、處理、利用和共享又會對公民的個人信息安全尤其是隱私和其他一些敏感信息的安全帶來巨大威脅。如何處理好促進信息自由流動與保護個人信息安全之間的關系,是信息社會不可回避的問題。我國如果不及早和國際接軌建立個人信息保護制度,必將在國際貿易中受到排擠,國際企業和組織大量采集我國公民個人信息的行為得不到有效規制也會對我國經濟社會安全帶來威脅。歐盟法院近日宣布歐美間的“安全港”協議立即失效值得我們警醒。下面就完善我國個人信息保護制度提出六點建議:
樹立正確的保護理念:保護與利用的平衡
信息社會中的個人信息保護具有不同于傳統社會隱私保護的特征,需要兼顧數據的利用價值與保護之間的平衡。信息的自由流動和開發利用對社會進步具有重大作用,而一國對數據利用和保護的法律制度的寬嚴程度又會對該國數據技術的創新帶來影響。美國加州大學戴維斯分校教授Chander研究發現:美國法律制度對中間平臺的保護更為有力,在美國屬于創新范疇的活動在歐洲、亞洲國家可能會被認定為違法,正是這種對于中間平臺的法律保護,奠定了美國互聯網產業飛速發展的基礎。但如果利益的天平過分偏向企業,又會阻礙整個行業的健康持續發展。
在個人信息保護領域,如果公民的個人信息尤其是敏感信息被濫用而得不到有效保護,則既會侵害公民的基本權利,又會降低網民的安全感,全社會將陷于對“透明人”的恐懼之中,極端情況甚至會引發“反互聯網”、“反信息化”的浪潮。因此,我國個人信息保護制度在設計理念上必須兼顧保護與利用的平衡。
保護模式選擇:國家統一立法為主、行業自律為輔
世界范圍內對個人信息的保護存在兩種模式:以美國為代表的“分散立法+行業自律”模式和以歐盟為代表的國家主導統一立法模式。結合我國法制傳統和立法現狀、政府管理理念以及行業發展現狀,我國應兼收并蓄,采取“國家統一立法為主、行業自律為輔”的個人信息保護模式。
首先,世界范圍內采取立法模式通過制定個人信息保護法來保護個人信息的國家居大多數。其次,相較于美國的分散立法模式,歐盟的統一立法模式更適合我國。美國之所以采用分散立法模式,一是因為在個人信息保護的需求大量出現前,其已經有比較完備的隱私法,而且其判例法制度也使得其法院可以通過判例不斷擴展“隱私”的范圍;二是因為其行業協會非常發達,在廣大的私領域行業自律發揮著重要作用,國家只需在少數隱私法和行業自律不能解決問題的領域立法補充。而我國這兩方面的條件均不具備,通過統一立法來規范個人信息的收集處理行為既不會造成立法資源的重復浪費,相反卻有利于充分發揮統一立法的優勢。最后,通過政府引導積極發揮行業自律的作用可以成為立法保護的有力補充。網絡技術日新月異,無論是立法還是政府行政管理手段難免會滯后,行業自律可以彌補統一立法滯后、僵化、針對性不足等方面的缺陷,從而很好地平衡個人信息保護與產業發展和技術進步的關系。
將政府的個人信息收集、處理、利用和共享等行為納入《個人信息保護法》的調整范圍
在任何國家政府都是最大的個人信息收集和處理者,對政府的個人信息收集和處理(包括共享)行為予以規范,是個人信息保護的重要方面。政府出于其行使職權的必要和便利很容易掌握公民的大量個人信息尤其是高度敏感信息,公民在個人信息被采集和處理時對政府也比對企業有更多信任。政府掌控的個人信息不僅對政府公共管理意義重大,企業也有強烈的共享需求。一方面,政府需要對企業的共享請求作出回應,在不侵害信息主體合法權益的基礎上向社會公開或者依申請提供這些信息;另一方面,政府收集處理包括向其他政府機構和企業傳輸、共享個人信息的行為也必須受到法律的嚴格規范,否則極有可能導致政府成為侵害公民個人信息的最大威脅,不僅損害政府公信力,還有可能導致政府后續采集個人信息的行為受阻。因此,政府理應在公民的個人信息保護方面比企業盡更多義務。
世界上絕大部分對個人信息保護予以立法的國家都對政府的信息處理行為予以立法調整,即便是在商業領域實行行業自律的美國同樣有數部法律專門規范政府的個人信息收集和處理行為。從我國現有立法看,《電信和互聯網用戶個人信息保護規定》僅適用于電信業務經營者和互聯網信息服務提供者,《信息安全技術、公共及商用服務信息系統個人信息保護指南》則明確排除政府機關等行使公共管理職責的機構的適用,這使得政府的個人信息收集、處理、利用和共享行為缺乏法律調整。當前正在起草的《個人信息保護法》如果繼續將政府的行為排除在調整范圍之外,必將造成我國公民個人信息保護的重大疏漏,不利于良好社會環境的形成。
建立和健全個人信息保護的機構和機制
依國際經驗,采用國家統一立法的個人信息保護模式,需要建立相應的行政管理機構和實施個人信息保護法律法規的機制。結合我國情況,建議在《網絡安全法》和《個人信息保護法》的制定中,以國家立法形式將國家互聯網信息辦公室確定為國務院組成機構,負責履行法律賦予的包括個人信息保護方面的行政管理職能。具體包括:制定個人信息保護與合理利用的政策與部門規章;協調國家機關之間在政府信息公開、信息共享等方面的政策和制度執行;負責國家機關向產業開放信息資源方面的政策制定與監管執行;監管信息業者個人信息收集、處理、利用等方面的行為;引導行業協會制定和實施自律規范;接受公民個人、社會團體等的投訴、建議,依法做出相應的行政處理等。
在政府引導下充分發揮行業自律的作用
行業自律最大的優勢是可以區分不同領域由行業充分結合自身特點制定有針對性的行為規范,而且可以根據技術進步的要求及時調整。由于行業自律規范本身針對性強,而且整體上有利于行業的健康發展和長遠利益,企業有遵從的內在動力。考慮到我國《個人信息保護法》的出臺尚需時日,在法律出臺前充分發揮行業自律的作用,還可以彌補法律調整的空白,并為科學立法提供經驗借鑒。
我國《信息安全技術、公共及商用服務信息系統個人信息保護指南》試圖借鑒行業自律的做法,但由于既沒有細分領域或行業,也不是自下而上由行業自身制定,無法發揮行業自律的核心優勢。要發揮行業自律的作用,必須遵循其核心要素:一是由行業主導的自下而上制定模式,政府可以指導或引導,但絕非主導;二是根據行業特點結合企業自愿予以行業細分,而不是試圖用一個自律性規范涵蓋所有行業。結合我國具體情況,建議先由政府主管部門倡議并引導在幾個典型行業開展行業自律,例如銀行業、電信業、互聯網服務業、電子商務平臺等,然后逐步擴展至餐飲業、快遞業等行業。行業自律規范應主要由行業組織中具有相當的業務和法律知識的人制定,并廣泛征求行業成員意見。一旦某一企業書面作出遵守某一行業自律規范的承諾,則該自律規范成為該企業和消費者之間合同的組成部分。同時,法院在司法程序中也可對自律規范的合法性予以審查,排除其中違法或者明顯不合理侵害消費者權益的條款的適用。
強化個人信息保護的公民參與
信息時代個人信息的保護,公眾參與亦不可缺:首先,應加強《個人信息保護法》立法的公眾參與,促進科學民主立法;其次,在全社會開展個人信息保護知識的宣傳教育,提升公民自我保障意識和能力;再次,鼓勵和引導公民積極回應信息業者在信息收集和處理等環節中的詢問和互動請求,包括對特殊事項的聽證等,培養公民的參與意識和責任意識;最后,建立暢通的公民投訴建議和救濟機制,充分發揮社會公眾在執法監督中的作用。
(作者單位:國家行政學院法學教研部)
京公網安備 11010502049343號