《个人数据保护的法治难题与治理路径探析.docx》由会员分享,可在线阅读,更多相关《个人数据保护的法治难题与治理路径探析.docx(14页珍藏版)》请在三一办公上搜索。
1、个人数据保护的法治难题与治理路径探析报告显示,网络犯罪所窃取的个人信息主要有支付细节、医疗记录、凭证等,这类事件主要集中在健康医疗、住宿和餐饮业、公共服务等领域。2018年是数据泄露的灰色之年。频频发生的数据泄露事件原因可能包括:L个人数据外延的扩大。技术发展让个人数据的外延扩大,一切能识别、关联和反映到特定个人的信息都纳入个人数据范畴。海量数据的流转往往裹挟着大量的个人信息,使其边界日益模糊,增加了保护难度技术发展的负外部性。人工智能、云计算等新技术的发展在更加依赖于数据资源的同时,不可避免地带来了负外部性,加大了个人数据的安全风险,冲击了个人信息保护体系。例如,勒索软件和恶意代码通过电子邮
2、件、入侵服务器、攻击供应链、挂马网页、系统漏洞传播等方式盗取个人数据;3.监管模式的滞后。产业链的延长、市场主体的增加让个人数据的多向流动成为常态,使得个人数据安全的监管牵扯到多个行业、多个领域,导致监管目标和监管任务难以区分,冲击了传统监管体系,提升了监管难度。(一)个人数据的界定标准及主要范畴个人数据与公共数据是一组相对的概念,在当前时代背景下,有必要明确其定义。截止2018年,全球近120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区有待批准此类法案或倡议翻。据不完全统计,当前世界上拥有个人信息保护法的国家有近90个。“GeneralD
3、ataProtectionRegulation(简称GDPR),翻译成通用数据保护条例/一般数据保护条例,是欧盟议会于2016年4月通过的关于个人数据保护的新法规,该法规完全更新了欧盟成员国以及任何与欧盟各国进行交易或拥有欧盟成员国公民数据的公司安全处理个人数据以及保证个人数据自由流动的规定,已于2018年5月25日正式生效,且是在28个欧盟成员国统一实施生效的。GDPR中对“个人数据”的概念做了明确规定。按照经济合作与发展组织forganizationforEconomicCo-operationandDevelopment,OECD)理事会在1980年颁布的关于规制个人隐私保护与跨境个人数
4、据流通的建议中的规定,所谓的个人数据,是指任何典可以或能够辨别出来某一个人有关的信息。信息安全技术一个人数据保护指南(GB/Z28828-2012)将个人数据定义为:可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。从上述相关的定义可以发现对于个人数据主要是围绕可识别性来界定。反观我国国内学术界,关于个人数据的称谓一直争论不休(与个人数据称谓相同的主要有个人资料、个人信息、个人隐私等,本文对其不做以刻意区分,主要采用个人数据这一称谓)。随着关于个人数据本身讨论的不断深入,可识别性逐渐成为判断是否属于个人数据的核心元素,围绕可识别性界定个人数据也逐渐
5、被广泛接受。同时,现行的法律法规确定了个人数据的具体内容一种为定义加列举式,如工信部出台的电信和互联网用户个人信息保护规定电信和互联网服务用户个人信息保护定义和分类、中国科学技术法学会与北京大学互联网法律中心出台的互联网企业个人信息保护测评标准、中国互联网协会出台的互联网终端安全服务自律公约互联网终端软件服务行业自律公约、中国广告协会互动网络分会出台的中国互联网定向广告用户信息保护框架标准释义和基本指引等均采取此种界定模式,即除了给出个人数据的一般定义外,还列举典型的个人数据类型以及排除类型。另一种则为单纯定义模式,如工信部出台的规范互联网信息服务市场秩序若干规定、国家质检总局与国家标准委出台
6、的信息安全技术公共及商用服务信息系统个人信息保护指南、中国广告协会互动网络分会出台的互联网定向广告个人信息保护声明、国家质检总局与国家标准委出台的健康信息学推动个人健康信息跨国流动的数据保护指南、中国人民银行出台的中国金融移动支付检测规范第8部分:个人信息保护等均使用了单纯定义的方式,并未列举典型的个人数据类型。而上述两种模式其共同点在于都运用了定义的方式,而在定义之中都强调了可识别性对于判别个人数据的重要性。结合目前的立法态势,不难发现全球立法对个人数据的定义逐渐呈现趋同性的趋势,个人数据的“识别性”构成了国际公认的一般特征。具体到我国,2012年全国人大关于加强网络信息保护的决定第一条就明
7、确规定“国家保护能够识别公民个人身份和涉及公民值1人隐私的电子信息”。因此,“一切与个人身份及行为有关的内容都可以相继纳入个人数据的范畴”。上文提及到数据泄露的原因之一可能包括个人数据外延的扩大,因此,为了使得数据泄露事件减少发生,我们有必要对其予以严格限定化。本文认为个人数据主要范畴将其归纳整理主要可以包括(具体参见如下图1):(1)身份信息,如:姓名、年龄、居住地、ID号码、国籍、种族、民族、政治面貌等;(2)偏好信息,如:生活习惯、饮食习惯、业余爱好、行为模式、个人好恶、消费习惯;(3)网络信息,如:网络账户(昵称)和密码、位置、IP地址、CoOki6数据和RFID标签等;(4)社交信息
8、,如:家庭、朋友、社会关系、成长经历、社团组织、通讯记录等;(5)生物识别,如:人脸、指纹、虹膜、声音、遗传信息等;(6)职业信息,如:职务、工作单位、收入、工作经验、社会保险、公积金等;(7)健康信息,如:医疗、保健、运动数据等;(8)经济信息,如:储蓄、投资、理财、资产、负债、房产、租金等;(9)其他信息,如:性取向、宗教信仰、犯罪记录等。(三)个人数据保护的原则有关个人数据保护的原则最重要的是经济合作与发展组织在1980年颁布的关于保护隐私和个人数据跨国流通指导原则中有关个人数据保护的8项原则,将其可以概括为开放性、个人参与、责任、使用限制、数据质量、收集限制、特殊目的与安全(具体见表1
9、)。资料来源:经济合作与发展组织随着8项原则的公布,许多国家以此8项核心原则为依据制定本国的个人数据保护法,并在此基础上不断进行补充和完善。早在1995年,欧盟就出台了涵盖广泛并极具前瞻性的个人数据保护指令;1998年6月,美国电子工业协会、美国工商协会和ML、IBM、BankofAmerica等100多家主要团体和企业成立了在线隐私联盟(OnlinePrivacyAlliances,OPA),发布了在线隐私指导;中国台湾地区于1995年出台了“电脑处理个人资料保护法”;次年中国香港出台个人资料私隐条例。在中国大陆,2006年大连市推出针对个人数据保护的地区性规定一大连软件及信息服务业个人信息
10、保护规范;深圳于2010年提出了个人数据保护的立法起草;2019年全国两会期间,个人数据保护再次成为热点,在3月4日十三届全国人大二次会议新闻发布会上,大会发言人张业遂透露,“全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台”。个人数据保护原则的出台促进了相关国家法律法规制度的陆续建立,虽然我国目前尚没有一部完整的关于个人数据保护的法律制度,但是下一步在制定具体法律法规时可以借鉴现行的规定并且将该原则贯彻到法律法规具体条文之中。(四)工人数据保护的法治价值近年来,随着科技的进步与发展,尤其是网络技术的突飞猛进,一些机构或个人无视职业道德或保密义务,
11、不当搜集、恶意使用、出售牟利、任意泄露居民的个人数据资料,严重侵犯了居民依法享有的人身、财产、隐私等基本权利,破坏了正常的社会管理秩序。法治在国家治理现代化中的功能是多维度和结构性的,其最重要的功能是在于提供正当性、合法性和权威性的基础,发挥权力规制和人权保障的功能。个人数据保护的法治价值对于个人数据保护有着深远的影响与意义,本文将其归纳整理认为其法治价值主要在于:1 .建设法治政府的时代要求法治政府建设实施纲要(2015-2020年)提出到2020年基本建成职能科学、权责法定、执法严明、公开公正、廉洁高效、守法诚信的法治政府。法治政府建设是现代国家政治文明的重要标志,是实现治理体系、治理能力
12、现代化的必由之路,是全面推进依法治国的关键,是推进全面深化改革的重要支撑和保障,更是赢得人民信赖、巩固党的执政基础的必然要求。从法治政府的建设上来看,高效的法治实施体系和严密的法治监督体系必须建立在法治数据的多样化及公开、透明、互通的基础上,而个人数据的相互叠加会组成庞大丰富的数据库。因此,个人数据保护不仅可以使得公民权利得到不断保障,而且也是建设社会主义现代化法治政府的时代要求。2 .改进行政服务的必然选择随着公民公共利益和公共服务意识的加强,法国学者莱昂狄冀提出“公共服务”的概念,认为“公共服务”是现代国家的基础,主张以为公民服务为核心,强调“公民优先”,政府的职能既不是“掌舵”,也不是“
13、划桨”,而是“服务”,民主价值和公共利益才应该是政府及其工作人员应该关注的重点。从党的十八大“建设职能科学、结构优化、廉洁高效、人民满意的服务型政府”到党的十九大“转变政府职能,深化简政放权,创新监管方式,增强政府公信力和执行力,建设人民满意的服务型政府”,我国政府建设和治理已经由传统的偏重管理演化为服务与管理并重。个人数据保护促使政府为社会经济活动提供充分的公共安全,这是服务型政府履行公共服务职能的应有之义,也是服务型政府不断改进服务行政的必然选择。二、个人数据保护的法治难题现代信息技术构建的庞大数据库储藏着海量信息,我们每个人都是庞大数据的贡献者与所有者。通过对数据的存储、加工、分析,每一
14、个个体的需求偏好、生活轨迹都变得有迹可循,可以为每个人量身定做私人化的方案,用户参与度和用户体验得到了极大提高。利之所在,弊之所存,互联网在解放人类生产的同时,亦带来一些负面影响。海量个人的隐私信息被有意无意泄露,无用信息无孔不入,垃圾邮件铺天盖地,骚扰电话疯狂轰炸,如何利用好这把双刃剑,成为实现国家治理现代化绕不过去的一个重要课题。造成此种乱像的法治难题主要在于:(一)个人数据保护数据权属不明“数据浪潮,汹涌来袭,与互联网的发明一样,这绝不仅仅是信息技术领域的革命,更是在全球范围启动透明政府、加速企业创新、引领社会变革的利器。”关于个人数据保护是否为数据主体创设了权利,一直存在两种对立的观点
15、:一种观点认为,个人数据保护,保护的是公民既有的槿利免受信息时代产生的新威胁。另一种观点则认为,个人数据保护,保护的是公民在信息时代的新权利。在数据时代,数据已逐步产生出巨大的应用价值,个人数据保护开始被重视,但无论从理论还是实务上都还处于起步探索阶段,从现阶段实践来看,在法律上关于数据权属仍没有明确定论,在制度设计层面上缺乏确权的过程,信息保护也就没有了生存的基础和灵魂。(二)个人数据保护专项立法滞后现代社会是信息社会,离开各种数据,人们甚至无法在现代社会中生存,更遑论发展。更重要的是,现代社会中每个成员自身的情况也已经是社会数据库中不可分割的部分。关于个人数据的保护,我国没有相关法律规定。
16、与此相关的是个人信息的保护,我国已有多部法律法规涉及个人信息保护,如刑法民法总则消费者权益保护法网络安全法电子商务法等都作了相关规定。但是从总体上看,相关的法律法规规定较为零散,呈现出分散立法的状态,没有形成体系化,这很难与高度发展的信息社会对个人数据保护要求相适应,缺乏法律保护体系成为制约我国个人数据保护的最大瓶颈。(三)个人数据保护监管机构缺失自提出对个人数据立法保护以来,就有设立独立专门的机构保护个人数据的诉求,1973年瑞典数据保护法与法国信息、档案与自由法都提出建立专门的数据保护机构。同时,欧美日等域外国家都有关于数据保护实施监管的机构。要想适当地制约行政权力、保障公民权利,其中非常
17、重要的一个举措就是设立一个独立的个人数据保护机构,既能实现对市场经济领域的监督,也能独立地监督国家行政机关的数据使用行为。我国目前尚未搭建起专业性的监管平台,这一组织体系的缺失导致法治政府治理效能的降低,使得数据保护处于监管真空状态,最终导致个人数据不能为社会创造更大的价值财富。(四)个人数据保护合作国际交流较少当今世界,数据正被高速低成本地复制、传播与共享,个人数据被广泛地开发利用,个人数据安全面临着前所未有的冲击和威胁。互联网给人类社会发展带来巨大变革,让世界真正变成了“地球村”。信息流通无国界,个人数据保护也成为了跨国界的全球性问题,任何国家都不可能置身事外、独善其身。信息流通过程有跨界
18、的性质,只有在统一的国际法律基础存在的情况下,在一个国家之内开展的保护个人数据的实际措施,才能保证尽可能实施有效。欧美之间关于数据跨境安全流通已有了成文的安全港协议或一系列的协商合作机制,而我国在国际数据交流使用中缺少国际合作机制,导致数据在使用过程中障碍重重。(五)个人数据保护自律机制不够我国非公共领域在谈及个人数据保护时,大多强调自律,但考虑到网络化时代个人数据侵权行为的隐秘性与个人因技术壁垒限制难以取证等因素,专门机关监督管理的“他律”行为不能完全实现对个人数据处理行为的有效监督。在个人通常不知个人数据侵权事实存在,也难以确定侵害个人数据权主体的情况下,我们应该意识到他律的严重不足,适当
19、引入企业机关的“自律”进行监督管理。通过企业的监督管理,让其认识到自身对于个人数据保护的重要地位,督促企业重视个人数据权的地位,杜绝过分追求经济利益而侵害个人数据权。三、个人数据保护的治理路径众所周知,今天的人类社会已经迈入了信息化的网络时代。在计算机与通信信息技术的推动下,个人数据的收集、运用及其储存,也已摆脱了纸质的陈旧束缚而走向崭新的数据库控制模式。个人数据数字化就像一把双刃剑,它既为人们的日常生活创造了种种便利,带来了诸多实惠,但也为不法分子侵犯居民个人隐私打开了一扇方便之门,致使个人数据被不当收集、恶意使用、非法监控、肆意传播的现象层出不穷,日益严重。一个现代化强国必然是法治强国,一
20、个现代化的国家必然是法治现代化的国家。任何一种新型权利在法律制度上的生成、保护及其不断发展,都是人性尊严得到进一步尊重和法治不断完善的体现。面对个人数据保护所带来的挑战,如何从法律的层面去有效地保护,这是一个无法回避的现实问题,必须认真研究。(一)立法应明确数据权属今年两会期间,多名全国政协委员对数字经济时代个人数据保护存在法律缺位问题提出意见建议,焦点在于数据的权属方面。全国政协委员、公安部原副部长陈智敏对新京报记者表示,在数字经济时代,无数公民无偿提供的数据,被极少数人在无形中控制,这很危险,现在急需要在立法上明确数据的权属问题。学界提出的所谓的“人格/财产”路径之争(dignity/Pr
21、oPertyapproach)也被有的学者批评为纯形式上的,实质上并无重大区别。本文认为,个人数据应具有双重权利属性。就法理权利属性而言,个人数据权具有类似肖像权、姓名权、名誉权等人格权的特征。随着社会发展,也逐渐具备了类似所有权、收益权、处分权等财产权的属性。数据权属的进一步明细化将会助力物联网、智慧城市、以及工业互联网等数据处理生态的繁荣。在立法过程中,要把握好个人数据权属问题,目前许多学者指出个人数据不仅是私人物品,也是公共物品,具有公共质。那么在立法中也需要平衡两者的关系。一些学者提出了“资源准入”的模式,有些学者主张利用行政法上的公物法概念加以解决。还有如特定领域的个人数据(如基因信
22、息、生物信息),如何保护也需要在未来进一步深入研究。(二)加快制定个人数据保护法在数据时代,个人数据泄露的情况极为复杂,需要综合运用刑事、民事、行政及科技等手段予以保护,也需要各有关方面齐抓共促。考虑到各自的行业特点与所保护法益的差异,允许特定行业存在变通条款是合理的,但前提是存在一部普遍适用的保护个人数据的成文法律文本,通过统一、规范、系统立法,协调对个人数据的保护与开发利用,避免各部门规章之间存在的法律冲突与漏洞,建立对个人数据的法律保护体系。2018年9月10日,全国人大公布十三届全国人大常委会立法规划,其中个人信息保护法数据安全法一并列入第一类项目立法项目,集中代表了我国法律体系对于数
23、据保护问题的关注。当然,我国制定个人数据保护法时应结合自身情况将上文提到的八项原则贯穿其中。同时,由于网络和信息技术的快速发展,加之人工智能、大数据分析等应用不断普及,可能会面临着许多事情均可以被数据化或者信息化,任何信息均可以合理地被认为是“个人的”。这种现象导致现实和虚拟世界、人和机器及自然界彼此间区分并不那么明显,实现了从信息稀缺到信息丰富的逆转,更为重要的是导致个人或者事物之间原本的独立性、或者属性和二元关系转变为以互动、过程和网络化(interactions,processesandnetworks)的主要关系在这样的情况下,有学者指出欧盟的数据保护法正在面临着成为“万物之法”(th
24、elawofeverything)的风险,从立法来看,意味着任何情况下均能够提供最高的法律保护,但在实践中法律规范很难得到遵守,可能会因权利滥用或者不合理使用等情况导致个人信息保护的目标落空。个人信息范围的扩张目前已被个人信息保护研究者和实务者所认可,带来的问题则是个人信息的概念变得过于宽泛。主流的文献尤其关注个人信息概念的重要要素,即能否识别个人。另外,为回应科技发展,亦同时关注再识别、匿名化的算法(re-identificationandde-anonymisationalgorithms)等问题。如一些学者指出鉴于数据处理技术的进步和可用于分析的数据的总量巨大,绝对和不可逆转的匿名早已不
25、再可能。还有学者利用大数据分析得出结论认为识别和非识别信息之间的二元区分已无意义。法律应当与时俱进,永葆时代性,这些问题成为我国制定个人数据保护法时必须要解决的问题。(三)设立数据保护监管机构今年两会期间,周汉民委员建议,政府可参考美国的联邦贸易委员会、欧盟的数据保护委员会等,也设立统一的执法机构,快速、有效地解决纠纷。经过我国香港地区的实践检验,设立专门独立的个人信息保护机构是切实可行的。本文认为可以设立国家层面的个人数据保护委员会,专门负责个人数据保护领域的工作,主要承担推动个人数据保护法律完善和实施、督促相关国家机关遵守个人数据保护法与落实执法监管责任、开展个人数据保护行政执法、宣传教育
26、和国际交流合作等,个人数据保护委员会向国务院负责。同时,国家要突出个人数据保护委员会地位,健全组织机构,打通政府各个部门机构之间的关系,并配备专门的相关技术性人才,这样更有利于个人数据的保护。(四)加强数据保护国际合作制度建设中华人民共和国首席大检察官、最高人民检察院检察长张军在第五届世界互联网大会的主要分论坛发言中表示,中国愿与各方携手,深化国际执法司法合作,深化与法学界以及相关管理部门、网络服务企业的合作,共同开启大数据时代个人信息保护新的“对话窗”,推动形成个人信息保护新的“共识圈”,为个人信息司法保护、为大数据安全、为全球互联网发展治理作出应有的贡献。我国应积极地与相关国家展开双边和多
27、边磋商,签订类似于欧美的安全港协议或建立协商潢通机制,实现对国际数据流动保护的新突破。通过双方、多方的共同合作,打破信息孤岛,实现更深、更广地研究。以类似的双边多边渠道开展对话合作,秉承平等、互信、互利的原则,坚持双赢多扁共赢的理念,共同打击侵犯公民个人数据等犯罪,强化个人数据法律保护。(五)引导行业建立自我规制机制在信息流通无处不在的今天,单纯依靠行政机关运用行政权监管个人数据的使用情况是不可能的,政府的资源有限,因而通过引导行业自律机制监督行业内使用个人信息的情况,既能达到保护个人信息安全的目的,又能节约行政资源,同时也能促进社会组织发展与现代管理制度的革新。自治规则的实施主要依赖于行业自
28、治组织采取行动,企业需要建立起与专业网络安全厂商合作的意识,不断发现问题、解决问题,保持对数据安全持续和稳定的投入,同时关注网络安全形势的发展,不断为用户数据加上“安全锁”。企业需要建立相应的数据保护制度。近年来企业个人数据泄露事件频繁发生,导致信息主体所享有的合法权益正不断受到侵害,探讨企业和行业的自我规制刻不容缓,有学者建议应当结合企业在个人数据处理各个环节中存在的问题,从企业管理、司法保护以及行政监管几个层面加以应对,这些应当也是未来法治发展中的重要内容。结语总而言之,在当今信息化时代,个人数据既不再是隐私权的客体,也不是人格权衍生出的财产权的组成部分,而成为国家、数据企业和个人共享的宝
29、贵数据资源。因此,关于个人数据的立法不应再狭隘地局限于个人利益或私权保护,应侧重规范信息资产合理开发中个人利益和社会公共利益的平衡,应更好地发挥个人数据在促进个人全面发展和推动社会进步中的公共产品作用,这是大势所趋,也是我国法律适应时代发展需求的必然选择。未来,数据使用的方法和模式均是过去难以想像的。由人工智能、机器学习驱动的数据分析与信息保护的目的限制原则会发生冲突,这也导致数据驱动的产业的所有信息都会与人有关。机器学习的整合性方式需要提前确定目的,这将为相关的研究设计明确可靠性和效率。问题是很难对机器学习加以提前预设,这导致个人数据的法治建设中面临着巨大的挑战。科技的发展,社会的进步,终极目标是让人类更安全,更自由。通过构建个人数据保护制度,确保数据主体的充分权力,促进个人数据在产权清晰、保障有力的制度框架下发挥更大的价值,协力维护个人数据安全,共筑网络强国之梦,从而使我国能够紧跟数据信息时代的发展潮流。