个人信息泄露的事前防范研究
2018-07-04陈丽慧高妍刘演强崔宇华邰凤珍
陈丽慧 高妍 刘演强 崔宇华 邰凤珍
摘 要 随着大数据和“互联网+”时代的到来,我们的个人信息更大范围地暴露在公众视野内,与此相伴的是个人信息泄露的危险。频频发生的诈骗事件,归根结底是个人信息泄露的问题。本文从监管和行业自律角度入手,对个人信息泄露加以源头管控,在厘清个人信息的概念和内容的基础上,阐述个人信息保护的重要性,进一步从监管和行业自律两方面提出相应的保护措施和防范方法。
关键词 个人信息 保护 监管 行业自律
作者简介: 陈丽慧,天津师范大学,本科生,研究方向:法学;高妍、刘演强、崔宇华、邰凤珍,天津师范大学。
中图分类号:D920.4 文献标识码:A DOI:10.19387/j.cnki.1009-0592.2018.06.076
一、个人信息的概述
(一)个人信息的概念
个人信息的概念在不同国家和地区有很多不同的表述,而这一概念最早是在联合国“国家人权会议”的“个人数据”的话题中被提出的。对于个人信息的概念,各国对其在语言上的翻译和理解千差万别,因此个人信息的概念也一直没有确定的表述。例如,英语中个人信息翻译为“Personal information”,“信息”翻译为“Information”,但日常又可将其表述为“Record”或“Data”。而将这三个词翻译为中文又可相互替换使用,即将个人信息翻译为个人资料或个人数据意思是相同的。
关于个人信息的概念,目前主要有三种观点:
第一种是个人隐私说,即认为:“个人资讯是指除了关系较为亲密的朋友和亲属外不希望让他人知晓的信息,或是对个人十分敏感又不希望被他人知晓的信息”。 此种观点说明了个人信息与个人隐私之间的关系,但并不准确,二者的内涵并不完全相同,且隐私权在各国的具体法律规范中大相径庭。
第二种是识别说,认为:“个人信息是能够用来识别特定人的所有的信息,包括可直接识别的号码或者间接识别的特定人的生理、心理特征等社会身份”。从这里可以看出个人信息的本质特征,即识别性。
第三种观点是关联说,认为:“个人信息时包括一个人全部情况特征的信息,如人的身份、地位、内心等与个人有关的事实”。此观点涉及范围太广,与一个信息主体有关的信息数量庞大,并且有许多信息并不会对主体产生实质影响,则法律对其进行保护的意义也不大。
从“识别说”观点中可以得出个人信息的本质特征是识别性,也是其概念的核心。个人信息保护法所保护的个人信息的法律要件是该信息具有识别性,而不是具有隐私利益。 可识别性指整合某个或某些信息即可确定信息主体。若这些个人信息被他人获得和适用,信息主体的人身和财产安全就可能受到侵害,这也正是法律对个人信息进行保护的必要性。“可识别性”对于明确个人信息这一概念提供了标准。
(二)个人信息的内容
可将个人信息的内容分为以下几类:
一是有关人自然情况的信息,包括姓名、性别、年龄、民族、身高、体重等。
二是有关个人社会情况的信息,包括职业、住址、籍贯、身份证号码、电话号码、婚姻家庭情况、学历、宗教信仰等。
三是有关个人财产情况的信息,包括收入、资产、负债等。
四是有关上网情况的个人信息,包括上网活动记录、电子邮箱、聊天记录等。 故可将个人信息分为自然信息和社会信息。
二、国内外的比较法研究
(一)外国个人信息安全保护研究现状
1890年,美国学者Samuel Warren和louis Brandeis在《哈佛法学评论》发表论文首次提出了隐私权的概念。此外,美国学者Prosser教授还认为,隐私权是一个发展的概念,是否还有其他利益的侵害可以归入“隐私权”这一属概念,是未来将要考虑的问题。然而并非所有个人信息的公开与控制都是隐私权保护的对象。
德国著名民商法学家迪特尔·梅迪库斯认为德国《联邦资料法》(即德国的个人信息保护法)对信息保护的规定也有发展成为特别(具体)人格权的趋势。
另外,德国学者沃尔夫等人认为个人信息保护法是有关确认和保护纵向处理信息关系中个人权益的法律规范,因此个人信息保护法属于主观行政法,是公权力法。
作为个人信息保护的前置措施,《个人信息保护法》已在欧盟、日本等多个国家制定并有效运行,而作为我们研究重点的行业自律和部门监管方面也均有相应研究成果。
部門监管方面各国普遍对公民个人信息权利和政府部门的监管职能进行研究,如欧盟1995年通过的《个人信息保护指令》则严格划定出监督机关应予以确认的监督四项原则和个人数据主体权利,数据质量原则、合理化处理原则、告知原则及特殊类型数据处理原则;主体权利则涉及查询、不符合指令规则的个人信息处理以及数据主体拒绝的个人权利;美国则于1997年发布“全球电子商务政策框架”明确保护个人信息的两项基本原则,即告知原则和选择权原则。针对行业自律,美国政府积极引导行业自律的发展,制定了建议性行业指引及网络隐私认证计划来督促各行业主动保障个人信息安全;日本政府则研究人格利益为基础的行业自律机制,采用P-MARK认证机制与《个人信息保护法》共同完成完善个人信息安全链条,同时“日本信息处理开发协会”出台的《关于民间部门个人信息保护指导方针》则启动了相应的公司评估认证,认证合格将会获得相应等级的证书;加拿大政府研究私人自治、市场主导的行业自律模式,通过制定“自律性规范指南的发展和应用”建立个人信息保护规则。
(二)我国个人信息安全保护研究现状和立法现状
反观国内,较多学术著作与论文虽涉及到个人信息保护的论述,但多以宏观的角度入手,对我国个人信息保护历程及现状阐述全面深刻,限于在宪法和立法上给予指导意见,提出理论性建议:
一方面,通过制宪、修宪或者违宪审查,确定个人信息的基本权利的地位。 又如我国网络与电子商务法学、信息法学的开创者之一的齐爱民教授曾对个人信息的定义进行分析并提出《个人信息保护法》的立法建议。许多学者也发出同样的声援——建议以立法途径来保护信息安全,建立完善个人信息保护法体系以协调个人信息保护和行为自由平衡。
另一方面,确立“人性尊严”的宪法规范的理念,以“隐私消极不受侵扰”和“积极自我支配信息”为保护核心。
以上研究对今后开拓思路、创新完善立法固然具有重要意义,但理论终服务于实践,学者们对司法实践对个人信息保护问题的关注度略显不足,只有明确立法与司法实践之间的关系,本着实践的基础建立起来的法律才能发挥其应有的价值和意义。
另一种方式则是以刑事惩治的手段进而规制;再者,还有一部分学者将研究重点放在行政机关上,认为其收集个人信息时应当采取原则以公共利益优先,兼顾个人利益。诚然,上述的各种研究无疑能为个人信息泄露问题的解决提供理论和实践层面上的参考与借鉴。
立法层面,我国对于个人信息保护没有统一的法律规定,而是散布在部门法中。如《侵权责任法》第2条、36条、61条、62条有关规定,为个人信息侵权的法律救济提供了依据。2017年5月,最高法、最高检通过司法解释进一步细化了刑法修正案九中关于个人信息的规定。2017年10月1日正式实施的《民法总则》首次规定自然人的个人信息受法律保护。
然而,对于以前置措施防范个人信息泄露的方式和手段这一研究方向,国内的研究领域中尚无人进行专门的研究,因此有分量的研究成果寥寥无几。而以前置措施防范的方法入手,显得十分有必要。故应当重新审视前置的措施,以此作为着力点和突破口,力图于个人信息泄露之前做好防护。
三、个人信息权利保护上的缺陷探析
一是在我国个人信息保护方面,目前可采取的维权途径主要有三种:个人有权要求网络服务提供者删除有关信息;向公安部门、互联网管理部门等进行投诉举报;依据《侵权责任法》、《消费者权益保护法》等法律维护权益。但实践中维权成本过高,法律规范的实施效果不理想。
其次,个人信息监管主体模糊,现行法律救济渠道不畅。现行的保护个人信息的法律法规过于粗泛,缺乏具有实践性的措施。2008年实施的《政府信息公开条例》个人信息行政保护原则第25条规定了有关机关在审查相关信息是否涉及个人隐私时,应当书面征求第三方主体利益意见,并将决定书面通知第三方主体。但没有规定具体的实行机关,也没有规定违反的惩罚与救济措施。因此若个人信息泄露,公民不知向谁控告,存在控告难以落实的现象。
二是政府机关对信息保护不完善,主要体现在无人告知信息的留存期限、保护政策、适用范围、如何更新以及权利人和相关责任人。而且政府部门往往委托安全级别很低的第三方公司帮助建立网站,并没有持续聘用网络安全测评人员或公司对其官方网站进行安全维护,而是交由缺乏知识技术水平的内部公务人员进行个人信息管理。这就导致了公民个人信息长期处于不安全的环境中,个人信息安全存在潜在风险。其次,由于政府在采集或使用个人信息时无人监管,则存在政府对于公民个人信息的过度监控和滥用的问题。
三是企事业单位对其掌握的公民个人信息保护力度薄弱,数据易被第三方非法取得。例如在实际调查访问中,发现多数企业或单位对个人信息的管理上缺乏明确规范的制度。个人信息未被按照重要程度进行层级分类、管理系统没有定期维护银行业对个人信息未进行层级分类以及未对管理人员进行个人信息安全的相关培训等问题存在于电信通讯、银行、医院、学校、房地产等企业和单位中。
四、解决措施
(一)从监管方面视角入手的个人信息保护措施
1.确立个人信息分级保护制度。现行的身份证法、护照法、网络安全法等相关法律法规中,虽然涉及到个人信息保护的问题,但对于个人信息保护的具体规范或者执行手段都没有详尽完整的规定。同时,个人信息并不存在类似国外的分级制度,所以导致一个行业内的工作人员能够无差别地接触到与个人相關程度不同的信息。从个人信息收集到保护整个环节中,首先应对个人信息进行分级,并以此对不同内容的个人信息进行有条件的筛选,为下一步的监管提供对象。通过访谈了解到,银行、学校等许多行业对个人信息暂未进行层级分类,即使存在分类也仅仅是最基本的按照主体的不同进行的分类,并未依照更为科学的方式对个人信息进行细致划分,也并未给不同层级的主管人员对其能接触到的个人信息进行控制。与个人相关的个人信息背后都带有不同的属性,或具有财产性或具有人身性,因此每一条信息与个人的紧密程度和使用频率应当是不同的。
彭云认为,依据保护程度对各类用户个人信息进行分级,对应不同管理要求。保护程度的划分主要考虑四方面因素:是否能依据该信息直接识别出特定用户;与用户线下生活的紧密度;是否能通过该信息获得其他关联信息;信息安全风险。
笔者认为,该四方面因素虽然看似科学,但过于宏观,并不能直接对个人信息进行详细的分级指导,故应当直接从个人信息背后所蕴含的权利入手进行分级,不论是马斯洛需求理论还是法理中,都强调人的生命健康权都应作为人的其他权利的前提和基础,因此涉及人的生命健康权的个人信息应居于保密程度最高的位置,例如家庭住址、医疗信息、学籍等与人身安全联系最紧密的信息;和财产安全相关的个人信息次之,例如身份证信息、信用卡号等与财产安全相关的信息;与人名誉相关的类似宗教、特殊爱好、取向等信息,则在财产信息之后;而诸如姓名、电话号码等与人身、财产安全紧密程度不高的信息,相对而言保密需求较低的信息,则应设定为经许可可以使用。
值得一提的是,对于前两种与人身、财产安全联系紧密的信息,应当设定为高保密程度信息,未经许可的机关和单位不可随意收集和披露。当然,个人信息的分级较为专业且工程量极大,为实现个人信息科学高效分级,应开发系统自动取数统计,并配以专员管理。
其次,在个人信息分级制度建立的基础上,应当对每个主体职权内对个人信息的接触范围作出明确规定。可借鉴类似美国的涉密人员制度,对不同职位的人员不同级个人信息进行一一匹配。在个人信息泄露发生但还未造成重大损失之前,应由专员实施一定的纠正和截断措施。
经过调研笔者了解到,许多银行中对保密制度落实部门责任制,由办公室牵头负责,个人信息原则上要求科级以上人员进行管理。另外由于金融机构个人信息数据量大,银行中要求对个人信息查询进行授权,即未经授权无法进行查询。或以移动公司中有关定位的个人信息为例,该信息只可以在省公司的网管中心查询,同时必须有公安局出具的介绍信和省公司领导的签字。故,应对各部门各单位采集、储存、处理、使用、传递、标注、封存、删除个人信息的主体限制加以明确,设立“谁利用谁负责”的模式。若将义务与权力一一对应,能在一定程度上对工作人员的行为进行规范。
2.设立公共部门(第三方机构)监管,增设失信名单。笔者认为,个人信息的保护工作是一个繁琐且细致的工作,单由公主体进行管理一方面效率低下,另一方面工作量大一个行政部门难以完善管理,所以民间机构和政府机构的相互配合,相互监督才能使效率最大化,所以我们计划构建“个人信息保护局——个人信息安全测评机构”联合保护体系。
在新构建信息分级制度的基础上,我国应该在各级政府成立专门的个人信息保护部门,以个人信息局代称(简称个信局),不同于美国分散在民间的监管机构而缺乏统一管控、垂直行政的政府机构 ,个信局由中央到地方各级政府垂直管理,逐层上报分工明确。
民间八大敏感重要行业则各自应成立一个个人信息第三方机构(简称个信保护测评机构),该机构统一由个信局进行统筹但不具备上下级行政关系。
第三方评级机构有两项具体职能,其一为按周期对本行业内非公企业进行个人信息保护情况进行检查或抽查,其二为以年为周期制定本行业“个人信息保护不信任企业名单”以信息分级制度的落实情况为标准,对合格的企业予以公示,不合格的企业限期内进行自我整改;若下一个周期再次检查中仍不合格则列入评级机构自行颁布的“不信任企业名单”对特定消费者进行公示,为期一年,向消费者发出警告,直到该企业采取相应措施对不合格情况进行了纠正并审查合格后才予以撤销。
个信局则负责对管辖区域内政府机构和事业单位的个人信息保护情况以信息分级制度为标准按周期进行检查或抽查,对不合格单位直接要求整改,在下一个周期的检查中仍然不合格的对其直接负责人进行行政处分,并直接指导整改。同时以年为单位汇总各第三方评级机构的不信任企业名单面向社会各界进行集中发布,并对名单中企业依照情节严重程度不同予以不同强度的行政处罚。
尤其考虑到当前网络个人信息侵害行为的隐秘性所导致的受害人难以举证和传播速度的快捷性导致的受害人因个人信息泄露受损严重问题 ,个信局还应该承担起受害人难以胜任的止损工作,吸纳网络人才对非法搜集到的个人信息流通通道进行阻截,同时帮助受害人收集正常手段难以获取的证据。
(二)从行业自律视角入手的个人信息保护措施
目前在国内互联网方面也设立了相关行业自律规范,《中国互联网行业自律公约》成为我国第一部互联网行業的自律公约, 对互联网用户个人信息的保护起到了重要作用,但是个人信息的涉猎面较为广泛,仅对一方面的特别规范是远远不够的,建立行业的自律制度迫在眉睫。相比较其他国家,美国对个人信息实行分散立法与行业自律相结合的保护双轨制模式,即根据不同行业、不同标准分别立法与对私人机关收集、利用和处理个人信息实行行业自律相结合的模式,对个人信息实行内外机制的双重保护,在保护个人信息的同时将个人信息保护的主导权转移给企业,追求企业利益的最大化。 各国在行业自律方面的做法对我们国家都有着重要的指导意义。因此,笔者通过访谈、问卷的方式,结合美国行业自律制度与我国国情,对我国建立行业自律制度特提出一些可操作的意见。
在个人信息收集、利用、保管、处理、监管的整个环节中,个人信息的收集的规范是保护个人信息的源头,故应该从源头抓起,严格规范。美国《个人隐私权和国家信息基础设施提供与使用个人信息原则》报告中指出:信息收集者应该通知当事人收集何种信息并用于何种目的。首先规定采集信息者只能收集与其业务相关的个人信息,必须事先向法定主管部门申请授权,报告陈述采集个人信息的目的及方式,相关法定主管部门授权后方可收集,这样就能有效减少各行业乱收集个人信息的问题。
在利用方面,通过调研发现,各行业使用个人信息往往与其收集个人信息的目的不相符,一定程度上侵犯了权利人的知情权,还导致个人信息滥用现象的发生,因此,笔者认为还应对收集、利用个人信息必须与报备的目的相一致加以规定。其次,一旦行业中发生个人信息泄露的问题,很难弄清楚具体是哪一个环节出了问题,故应该签订个人信息保护的责任协议,实行“谁利用谁责任”的原则,能够有效解决“追责难”的问题。
在保管方面,没有经得权利人的同意,不能随便发布其个人信息,除法律强制性规定除外。并且权利人随时有权利要求相关部门修改、删除其个人信息。对于涉及其个人信息的内容二次转让,行业内部必须得到当事人的同意,并签订授权协议和个人信息保密协议。这样规定一定程度上维护了权利人的个人信息自主权,有利于实现“我的信息我做主”的价值理念,并且经个人同意所发布、修改、删除、转让的内容应及时备案,以便发生相关纠纷时能做到有证可查。
在处理方面,经调研笔者发现各行业对于失效信息的处理大多采取删除的方式,但是否彻底删除,删除内容的精确度也无从知晓。因此,应该规定处理者在处理前必须报备指定部门,处理采用彻底删除的方式,且不得利用工作之便私自留存,处理时间应在法定的或与具体情况相符合的时间段内完成,并有义务对其内容处理的精确程度负责,这样才能有效避免失效信息被二次利用。
在自我监管方面,一个法律规范必须得对其进行督促、监管才能保证其实施,行业自律规范也不例外,加强行业自我监管是建立行业自律制度必不可少的一部分。应该建立健全具有可操作性的行业处罚体系,行业可以根据侵害程度不同,分级依次处以高额罚款,设立黑名单制度,计入其社会信用档案,对于行政单位,明确对其直接负责人处以行政处罚,情节严重的,处以刑事处罚。 有惩罚必定有奖励,建立行业处罚体系的同时也应当构建相对应的守法诚信行业奖励体系,对遵纪守法者予以奖励,让保护个人信息成为一种自觉的习惯。并且建立行业内成员集体参与的监督机制,通过经常性的开设听证会,以强化群众的监督效力,形成积极保护个人信息的良好风尚。
五、结语
在倡导“互联网+”的信息化时代,我们享受着高效便捷的大数据分析,但是不可置否我们的生活、个人信息安全正遭到空前的挑战。法律因其稳定性和滞后性的特点,更需要我们结合当前的现状和国情对它进行修正和完善。本文希望通过个人信息的概念和内容的梳理,对个人信息收集限度进行法理分析;从监管部门和行业自律两个方面切入,从构建个人信息分级制度、第三方机构、失信制度等方面探索当前个人信息安全保护的有效途径。我们相信,个人信息制度的完善能够在一定程度上规避诈骗等社会问题出现的风险,终会迎来一个个人信息安全更有保障的时代。
注释:
陈起行.资讯隐私权法理探讨——以美国法为中心.政大法学评论.2000(64).68.
齐爱民.拯救信息社会中的人格——个人信息保护法总论.北京大学出版社.2009.78.
井慧宝、常秀娇.个人信息概念的厘定.法律适用.2011(3).90.
孙平.系统构筑个人信息保护立法的基本权利模式.法学.2016(4).
张娟.个人信息的公法保护研究——宪法行政法视角.中国政法大学.2011.
李宏弢.我国个人信息保护现状及立法思考.东北农业大学学报(社会科学版).2016,13(1).39.
彭云.分級分类保护用户个人信息.人民邮电.2013年9月9日,第七版.
许瑶瑶.美俄法的国家信息安全保护及其启示.新视野.2014(3).
黄勇.论个人信息保护执法机构的设置及其职能.山西煤炭管理干部学院学报.2010(1).
辽宁个人信息保护现状调查及立法建议课题组.个人信息侵权行为现状及保护措施研析.辽宁公安司法管理干部学院学报.2010(7).
李春芹、金慧明.浅谈美国个人信息保护对中国的启示——以行业自律为视角.中国商界.2010(2).
赵培云.境外行业自律制度保护与我国个人信息保护的改进.保密科学技术.2014(12).
赵培云.国外个人信息行业自律保护及我们的改进设想.图书馆学研究.2015(8).
参考文献:
[1]张新宝.隐私权的法律保护.群众出版社.1997.
[2][法]卢梭.何兆武译.社会契约论.商务印书馆.1980.
[3]苏长江.个人信息概念探析.经济探究导刊.2013(36).
[4]胡浩然.论个人信息的行政法保护.西南政法大学.2014年3月10日.
[5]刘晓燕.行政法视角下的个人信息保护初探.广西师范大学.2014年4月.
[6]杨咏婕.个人信息的私法保护研究.吉林大学.2013年6月3日.