“互联网+”时代个人信息保护法治化探讨
2016-01-24闫利平马一超刘翠莲
闫利平,马一超,刘翠莲
(河北行政学院 法政教研部,河北 石家庄 050031)
“互联网+”时代个人信息保护法治化探讨
闫利平,马一超,刘翠莲
(河北行政学院 法政教研部,河北 石家庄 050031)
“互联网+”时代个人信息保护已成为社会关注的焦点。个人信息既涉及个人权益保障,又在很大程度上牵涉到商业秘密、社会稳定与国家安全。因此,解决好这一问题对于公民、社会和国家都具有重要意义。个人信息保护目前面临的诸如信息泄露等一系列问题,应当采取立法、政府治理、管理和技术控制等措施予以解决。简言之,制定个人信息保护法刻不容缓,加强政府治理时不我待,管理与技术控制比翼齐飞。
个人信息保护;隐私;互联网+;大数据
2015年《政府工作报告》中首次提出“互联网+”,将人们带入了“互联网+”时代。这个时代与每个人息息相关,它产生的大数据让个人信息无处藏身,如果不加以保护, 我们将生活在一个毫无私人空间、亳无隐私可言的“透明”世界里。然而,离开了对个人信息的保障,法治也无从谈起。随着信息技术应用的不断创新,个人信息保护已是重大的时代命题,亟需各级政府的高度关注。
一、“互联网+”时代对个人信息保护的挑战
“互联网+”是一种全方位、立体的创新模式,其内涵在于“连接、融合、提升”。连接是基础,融合是内容,提升是目标。“+”不是简单地应用,而在于融合。“互联网+” 依靠互联网、移动互联网、物联网等信息通信技术实现万物相连,利用云计算、大数据等技术,实现连接后数据的汇集、存储、分析、计算,从而实现融合和提升。身处这样一个大数据时代,每个人都是产生数据的源头,个人信息无处不在。从个人信息保护的角度看,其挑战主要来自几个方面:
一是 “互联网+”催生的电子商务、网络交通、网络金融等新业态,使得个人信息的收集更加方便。无论电子商务还是网络金融,都要求实名制,商业机构掌握了大量的个人信息,在巨大的利益驱使下,个人信息存在很大的泄漏风险。
二是1993年“三金工程”的启动,2002年“十二金”工程的建设,标志着我国电子政务的发展进入新阶段。当前,我国从中央到地方各级政府部门的核心业务数据库覆盖率超过了80%,仅公安部就拥有覆盖13 亿人口的国家人口数据库,金融、税务、社保、教育等领域也都建成了一批信息库,而信息的共享与保护之间不可避免地存在着诸多急需解决的矛盾,一旦出现信息安全问题,危害及影响面更大。
三是随着国内各省份大数据中心的建设,大数据分析对于个人信息可以进行再次开发和利用,而云计算在对资源进行合理分配的同时,数据的存储和安全完全由云计算提供商负责,使得个人信息安全受到极大威胁。
“互联网+”涵盖了移动互联网和物联网,因此比一般网络个人信息收集的范围更为广泛,数据样本规模更大,数据挖掘产生的相关个人信息关联度更加精准、价值更高,但同时对个人信息保护的难度也随之增加。大数据对分散的相关个人信息进行再次开发和利用,看似与个人信息无关,但经大数据分析之后完全可以追溯到个人,更具有隐蔽性。更为关键的是,个人信息保护无论法律、政府治理还是技术上都存在着风险。法律不健全,没有一部专门针对个人信息保护的法律、法规,立法进程滞后于信息技术的高速发展;缺乏国家标准,多头监管,从而造成无序监管;技术上存在黑客侵入数据库窃取个人信息,程序人员非法下载有价值的信息,手机、平板电脑等多电子设备端口记录数据等问题[1]。这对 “互联网+”大数据时代的个人信息保护提出了更为严峻的挑战。如何做到既能合理利用个人信息数据,又能有效保护个人隐私,已成为摆在各级政府面前的重要课题。
二、个人信息保护的现状及面临的问题
(一)个人信息保护的现状
个人信息保护的重要性与信息技术的发展有着不解之缘。二战期间,欧洲一些国家的社会主义政府利用国家普查数据来识别特定种族、宗教信仰的家庭,或者其他目标群体。在美国,普查数据被用于识别日裔美国人[2]。二战后,随着计算机技术的发展,西方国家开始将数据库技术应用于人口普查,将所收集到的个人信息存入数据库。这些信息被政府和私营部门掌握和运用,引起了人们对政府和私营部门可能侵犯其隐私、自由的担心。之后,随着政府公共服务的不断电子化,出于公共管理的需要,大量的公民信息被收集和使用。在此过程中,公民个人履行了提供信息的义务,其个人信息应该享有的权利却没有得到应有的保护,使个人信息泄露的负面影响日益凸显,因此,个人信息保护越来越受到世界各国政府的重视。
综观全世界,个人信息保护基本是围绕法律进行的研究。从1948年《联合国人权宣言》将隐私保护权作为一项基本人权颁布,迄今为止,全球已有近90个国家制定了个人信息保护的法律,总体呈现以下特点:一是各国法律对保护的内容、范围有所区别。美国具有独立隐私权保护,英国只对隐私权进行间接保护,大陆法系的典型代表德国,通过保护一般人格权实现对个人信息的保护。在保护范围上,亦存在着明确性(如美国)与抽象性(如欧盟、日本、中国香港和中国台湾)之分。法律上个人信息保护的边界较为模糊,裁决度较大。二是经历了从强调隐私权保护到对个人信息保护的演变过程。具有里程碑意义的是德国联邦宪法法院1983年作出的判决,确认了公民个人信息控制权,以《个人资料保护法》的形式对公民个人信息进行保护[3]。三是关于隐私权保护的研究基本遵循了立法、法律救济出现问题、制定新的或修改完善法律的反复实践过程。例如英国传统上不承认独立的隐私权,隐私主要通过衡平法、普通法以及制定法来进行间接或部分保护[4]。Mosley法案首次提出隐私权的独立存在。但是,以隐私权作为个人信息保护的立法思路,仍然面临一些新的挑战。首先,传统的隐私权保护侧重的是非财产性的精神权利,然而,在如今的互联网空间最容易受到侵害的是网银账户、信用记录、购物记录等财产性个人信息,这些信息被泄露后,无法援引传统隐私权的法律框架予以保护。其次,隐私权只能是在遭受侵害的情况下,请求他人排除妨害、赔偿损失,属于事后救济。个人信息保护强调在事前进行有效管理,是防范性的保障措施。权利人除被动防范他人侵害外,也可在他人未经许可采集和利用其个人信息时,要求行为人更改或删除其个人信息,以避免他人非法利用,或者使个人信息恢复到真实的状态。再次,隐私主要是一种私密性的信息或私人活动,强调隐私涉及的个人安全。个人信息虽然具有私人性,但其常常以集合的形式表现出来,强调识别性,涉及国家安全和公共安全[5]。
近年来,我国个人信息保护的相关研究和探索取得了长足进步,国内学者对此已有一些研究成果。如喻名峰认为,应当采取三条路径进行个人信息保护,即明确个人信息的法律边界、完善个人信息保护的立法体系、优化个人信息保护的执法机制[6];刘晓霞等重点从意识培养、立法监管、技术应用三方面提出了构建个人信息安全保障体系的构想[7];史卫民指出了完善大数据时代个人信息保护的路径选择,提出应完善相关立法,健全行政监管,强化技术保护,加强行业自律,提高自我保护[8]。总体来看,新时期我国如何保护个人信息还处于不断探索阶段。从研究角度看,在立法方面进行了很多探索,但总体不容乐观,基本是学习、借鉴国外的经验,提出的建议围绕呼吁国内立法和行业立法展开,而涉及“互联网+”大数据时代个人信息保护内容相对较少。尽管有些研究提出个人信息保护要靠技术、道德和法律综合来完成的观点,但缺乏有效的内容和实现路径。从实践成果来看,2002—2009年曾经对个人信息保护立法进行了研究,形成了草案并提交审议,但并未通过,仅在2012年12月颁布了《关于加强网络信息保护的决定》,但该决定也仅有7条关于个人信息保护的原则性规定。目前我国涉及个人信息保护的规定散见于宪法、刑法、民法等法律条文和一些部门或政府规章中,要么彼此衔接不上,要么抽象缺乏可操作性,使得法律实施效果不理想。
(二)个人信息保护面临的问题
“互联网+”时代,每天生成的海量数据在对相关领域发挥核心推动力的同时,也给政府治理社会带来巨大挑战。在这无边无际的大数据网络里,产生、汇集数据的源头多种多样,信息的边界更加模糊。究竟哪些是个人信息?哪些个人信息应该受到法律保护?如何明确国家机关、企事业单位或其他法人掌握个人信息的边界和使用范围?如何在大数据再次开发和利用过程中实现个人信息保护?如何对应网络虚拟身份与真实身份?解决这些问题需要首先明确什么是个人信息。正确界定个人信息是个人信息保护的基础。
美国《隐私法》中对“个人信息”用“记录”进行表述,指一个机构所持有的与一个人相关的单项信息、信息集合或一组信息。我国《刑法修正案(七)》第七条规定,公民个人信息是指国家机关或金融、电信、交通、教育、医疗等单位的工作人员,在履行职责或者提供服务过程中所获得的公民个人信息。但是,这一法条仅对公民个人信息的来源做出了规定,并没有明确公民个人信息应当具有哪些要素。我国2013年2月颁布实施的《信息安全技术 公共及商用服务信息系统个人信息保护指南》(以下简称《指南》)中,个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过其它信息结合识别特定自然人的计算机数据。《指南》将个人信息分为个人敏感信息和个人一般信息,其中,个人敏感信息是“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”。个人一般信息则是指除个人敏感信息以外的个人信息。该《指南》将个人信息限定在了“计算机系统处理的数据”上,范围明显过窄,此外,也没有说明个人信息的要素有哪些。也有学者主张,将个人信息分为一般信息、关键信息和重要信息。
从信息管理对个人信息保护的角度来讲,我们认为,公民个人信息主要包括两大类,一类是姓名、出生日期、电话号码、银行卡密码、住址、照片、指纹、声音等可以借此识别出特定个人的信息;另一类是个人活动信息,即个人所进行的纯粹个人的、无涉公共利益的活动的信息,如日常生活、社会交往、医疗史、犯罪史、性史等一切私人活动的信息。个人信息保护内容随着大数据、云计算等技术的不断发展,还会增加新的内涵,如同隐私概念由最初的物理空间隐私扩张到信息隐私领域一样,呈动态变化。
2013年7月,河北省某市在全国率先开展了个人信息保护试点工作,对第一批118家涉及个人信息采集的单位进行检查、检测。结果表明,所有单位都存在信息安全隐患,既有技术措施方面的问题,也有管理方面的问题。从全国范围来看,个人信息保护工作也不容乐观,存在无法可依、无章可循、意识淡漠等问题。解决这些问题,应当从立法、加强政府治理和技术控制三方着力。
三、加强个人信息保护的对策
(一)加快个人信息保护的立法
没有规矩不成方圆。一方面,立法的缺失,使得信息安全保护工作无法可依,各自为战;另一方面,我国作为当今世界的重要经济体,参与各类对外贸易活动,在一些国家和地区出台的个人信息保护法具备域外效力的环境下,我们对个人信息保护也不能独善其身。因此,制定一部个人信息保护法迫在眉睫。在以个人信息保护法单独立法为主的基础上,补充完善民法、刑法等法律相关的个人信息保护条款,兼顾行政领域个人信息保护的要求,形成一个完善的、系统的个人信息保护法律体系。各法律间力争无缝衔接,实现个人信息的全面保护。个人信息保护法要构建以个人信息权利为核心的制度,同时兼顾促进信息社会下信息的自由流动。具体来讲,结合“互联网+”时代大数据的特征,形成完整的个人信息保护法律体系,在立法中除了应对个人信息保护内容和范围作出界定外,还应明确信息所有人的权利。另外,制定法律时也需要考虑设置统筹管理、监督执行个人信息加工和利用行为的负责机构,详细明确监管机构的权力义务以及责任,避免因为权力规定太过笼统导致行政机关权力扩张、义务不明确导致不作为等现象,以保证个人信息保护的效果。
(二)加强政府治理
加快个人信息保护国家标准的制订。目前对个人信息的监管分别由公安、金融、民政等机关根据不同的职权分别进行,这种分散监管模式存在监管标准和监管程序不统一、各行政机关各自为政、行政机关与行业之间存在各种利益纠葛等弊端。为此,加强政府数据管理,制定数据分析、利用和管理的统一标准,掌握并创新核心技术和关键技术,才能保障个人信息安全。在标准制订中应充分考虑几个方面[9]:一是“互联网+”空间中个人信息与传统隐私评价概念的差别,制定更详细的技术框架标准、技术要求和管理要求,建立问题可追根溯源的机制,制定可采用第三方测试评估的测试评估标准。二是明确区别个人敏感信息和个人一般信息,要把二者结合形成的隐私信息加以保护。例如:张三和艾滋病单列时没有特殊的保护要求,但当二者结合起来,“张三得了艾滋病”就需要保护。三是云技术的风险。云计算的关键要素就是数据中心和虚拟化,包括个人信息在内的云上数据,很可能分散于不同的数据中心存储,而这些数据中心可能分布在不同地点,这就造成数据中心在安全政策方面会有截然不同的规定,对数据负有不同的保护义务,从而增大被黑客袭击的潜在风险。另外,云计算环境下,传统的身份和访问管理边界将变成动态,对个人信息保护影响最大的就是无边界性,要评估风险。
强化个人信息保护的执法监督机制。政府应设立个人信息监督机构。为避免多头监管带来的问题,可以设立跨部门的信息保护委员会,统一对个人信息进行管理和监督,着重进行个人信息保护的事前监管。保护个人信息不能只关注事后查处,更应着眼于事前预防,关口前移,进行事前监督。
建立企业个人信息泄露问责机制。有关部门要加大对涉事企业的处罚力度,以“重典治企”来促进企业增强对用户个人信息的保护。
(三)加强管理和技术控制
在个人信息的收集阶段,要从管理的角度对收集个人信息的内容作出详细规定。目前,个人信息超范围采集造成的个人信息蔓延,使其采集利用范围扩大的情况较为突出。个人信息超范围采集以政府部门为多,包括计生人口系统、养老保险系统、医疗卫生系统等均存在此类情况。按照《指南》要求,各行业和部门要根据自身的实际要求,依照“最少够用”的原则,评估本系统的个人信息采集范围和应用需求,合理确定采集个人信息范围,制订出本系统本行业的收集内容要求,避免超范围釆集。在收集个人信息过程中,要有告知信息本人、并取得本人同意或许可的约束机制。在技术上,采取方便个人信息主体知悉的技术手段。
在个人信息加工阶段,对加工处理个人信息的信息系统要采取一系列安全措施。一是将个人敏感信息和个人一般信息分别建立数据库,通过密钥进行关联,以降低数据库被窃取或拷贝后泄露隐私的风险。二是在信息系统中采用强身份鉴别措施,使不同权限使用者仅看到权限之内的信息,从而在一定程度防止个人信息共享超范围泄露。三是在信息系统中强调审计系统的作用。在主机、网络设备、安全设备及系统软件、数据库软件中开启审计功能,保证在发生涉及个人信息安全事件时可追溯、可查询。在管理要求方面,对收集个人信息的单位或组织,要明确个人信息保护的领导部门和领导者,按照角色分清责任。四是对以网络形式存在的信息系统,要对终端进行安全控制。可加装终端保护的安全软件,对系统的输入、输出信息进行管控,尤其在打印、拷贝、显示等环节进行控制,可防止信息由系统内部泄露。
在个人信息转移阶段,主要考虑两个转移方式。一是网络转移。首先要评价转移的安全性、可靠性,尤其在云平台上个人信息数据的边界、数据安全等要依照云安全标准;其次,要确定转移的合法性,有个人信息本人的许可,也要有个人信息收集单位的批准;再次,要保证转移的完整性校验和恢复措施,确保个人信息数据在转移过程中不会被篡改、删除、插入等情况发生。二是釆用介质转移。介质转移包括纸质、U盘、移动硬盘等,这种转移除具有与网络转移一样的审批、许可和校验措施外,还要对移动介质的保管、保存提出更详细的要求,防止丢失、被窃或消磁问题的发生。
在个人信息删除阶段,要有技术手段保证电子数据的完全、完整删除。釆用经有关部门测试认可的擦除工具,对存储个人信息的介质进行消磁处理;对于在云平台上的个人信息也要进行相应的技术处理,并对云服务提供商在服务合同中有明确保密义务和删除要求,这样才能保证个人信息的完全消除。
与此同时,要建立完整的安全策略和制度。对其包括工作环境、信息资源管控、处理等环节进行风险评估,定期开展相关内部或外部审计,建立适合自身实际的个人信息保护应急响应机制,形成应急预案,定期演练,以有效应对个人信息安全问题。
在国家立法、加强政府治理和技术控制三方着力的基础上,还应加大宣传教育力度,增强公民的个人信息保护意识,多方并举,从而实现“互联网+”时代个人信息的有效保护。
[1] 张忠滨,黄晓彤.互联网+大数据模式下的个人信息保护探析[J].征信,2015(9):52-53.
[2] 黄蓝.个人信息保护的国际比较与启示[J].情报科学,2014(1): 143-149.
[3] 杨佶. 论个人信息的法律保护[J]. 吉首大学学报(社会科学版),2009,30(1):98-102.
[4] 郗伟明.论英国隐私法的最新转向——以Mosley案为分析重点[J]. 比较法研究,2013 (3) :104-119.
[5] 王利明.个人信息权与隐私权有何区别[N].北京日报,2014-03-24(18).
[6] 喻名峰.大数据时代个人信息的法律保护[N].光明日报,2014-10-18(10).
[7] 刘晓霞,陈秋月.大数据时代的网络搜索与个人信息保护[J].现代传播,2014(5):125-128.
[8] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2013(12):155-159.
[9] 路鹃.个人信息保护法律规制在新媒体中的适用性[J].青年记者,2014(17):83-85.
(责任编辑:金一超)
Discussiononpersonalinformationprotectionlegalissuesinthe“Internet+”era
YANLiping,MAYichao,LIUCuilian
(HebeiAcademyofgovernanceLawandPoliticsDepartment,Shijiazhuang050031,China)
Personalinformationprotectioninthe“Internet+”erahasbecomeafocusofsociety.Personalinformationnotonlyrelatestopersonalrightsprotectionbutalsolargelyinvolvescommercialsecrets,socialstabilityandnationalsecurity,thereforesolvingthisproblemhasimportantsignificanceforcitizens,societyandthestate.Aimingataseriesofproblemssuchasinformationdisclosure,whichcriesoutfortheprotectionofpersonalinformation,weshouldadoptlegislation,governance,managementandtechnicalcontrolmeasures.Inshort,itisveryurgenttoformulatepersonalinformationprotectionlaw,strengthengovernmentmanagementbykeepingmanagementandtechnologycontrolabreast.
Personalinformationprotection;privacy; “Internet+”;bigdata
2016-05-05
全国行政学院科研合作基金课题(15HZKT002)
闫利平(1966—),女,河北怀来人,教授,硕士,从事互联网与行政法学、危机管理研究;马一超(1983—),男,河北石家庄人,讲师,硕士研究生,从事法学与政治学研究;刘翠莲(1979—),女,河北定州人,副教授,硕士研究生,从事政治学、管理学研究。
D913
A
1006-4303(2016)03-0293-05