我国个人网络信息保护立法的制度构建
2020-03-13
(甘肃政法大学 法学院,甘肃 兰州 730070)
我国网络安全法专设网络信息安全一章,为网络运营者合法利用个人信息划定边界,同时对于他人泄露、篡改、毁损、窃取个人信息等违法行为进行了明确规制,在一定程度上弥补了我国个人信息安全强制性法律规范方面的缺失。然而,不可否认的是,我国个人信息安全立法体系尚不完善。放眼世界范围,个人网络信息安全立法较为完善的欧盟各国,经过两年的过渡期,号称个人信息保护史上最严厉的法律规范《通用数据保护条例》(以下简称“条例”)于2018年5月25日在欧盟正式实施。该条例实施的消息一经确认即引起各国关注,因该条例适用范围并不仅仅局限于欧盟境内的个人信息,对于那些因为提供货物或服务的过程中收集、控制欧盟境内自然人或法人个人信息的我国企业同样适用,因此受到了我国的重点关注。依据该条例第83条规定,违规企业可面临2000万欧元或上一年度全球总营业额的4%的行政罚款,以金额较高者为准。该条例的诞生标示着世界范围内个人网络信息保护法律规制愈加精细和严格,这也为我国正在构建的个人信息保护法律体系提供了有益参考。
一、个人网络信息保护立法的模式比较
在经济全球化进程加速及网络空间命运共同体理念逐渐为各国所接受的背景下,个人网络信息作为一种新兴的价值形态开始被重点关注,由此产生的利益也驱动了相关网络犯罪行为的快速增长,各国对于个人信息安全的保护也发生了嬗变,开始从传统的信息安全保护向现代的网络信息安全保护逐渐演进[1]。从世界范围来看,大多数国家在立法层面均对个人网络信息保护进行了针对性的规制;从横向分析来看,目前在世界范围内有关个人网络信息保护的立法模式可归纳为两种:一种是着眼于事后监督、分治共管的立法模式,最具代表的国家是美国,可以称之为美国模式;一种倾向于事先预防、集中统管的立法模式,最具代表的是欧盟,可以称之为欧盟模式[2]。
从立法的价值取向来看,美国模式更加注重规制公权力机构对于个人网络信息的利用行为,即在联邦和地方强制性法律规范中更多的是界定政府利用个人网络信息的边界以及救济措施。而在私权利领域,美国模式从维护个人网络信息的经济价值的角度倾向于通过市场自我调节机制和行业自律来制约公司、企业或其他经济组织对于个人网络信息的利用,认为对个人或市场主体通过合法途径获得的个人网络信息应当予以绝对的保护,规制相对宽松。因此,美国并没有选择制定一部专门性的部门法或法典对个人网络信息保护进行系统性的规制,而是将个人网络信息保护分散在联邦和地方的各单行法规以及行业自律性规范之中[3]。上述单行法规具有强制力,强调个人网络信息使用过程中数据主体的知情权与选择权、私隐保护以及网络数据使用的透明度。行业自律性规范包括行业协会制定的标准性认证制度以及行为指引等,这些行业自律性规范具有灵活性和时效性的特点,能够避免法律滞后所带来的治理失效的风险,且对于发挥个人网络信息的经济价值具有积极的作用。然而,随着Facebook数据泄露事件的发酵,美国社会开始意识到国内关于个人网络信息保护的立法对于侵犯个人网络信息的企业的规制过于宽松,《纽约时报》等主流媒体均刊文抨击美国隐私保护法律规则[4]。
与美国模式相比,欧盟模式在利益平衡的基础上,更加偏重对网络数据主体的数据处理权利的全方位保护,其依据的是个人网络信息自决权理论,即“个人对其一切具有识别性的个人信息的收集、处理和利用享有决定权和控制权”[5]。该理论源自1983年德国宪法法院的一则判例,在该判例中德国宪法法院认为在自动化数据处理情境下,个人有权反对个体资料被无限制的收集和使用,提出了个人信息自主的概念和权利保护理论[6]。因此,欧盟模式以出台统一的强制性法律规范的形式对市场主体收集、使用、处理个人网络信息各个环节进行了细致详尽的规制。另外,欧盟在个人网络信息统一立法方面进行了多次尝试,如1981年《关于自动化处理的个人信息保护公约》、1995年《数据保护指令》、1997年《公共数据通信领域个人信息处理的隐私保护指令》等[7]。这些法律规范初步构建了涵盖查阅权、更正和删除权、免受完全自动化决定权等网络数据主体权利体系。但随着近年来互联网技术的蓬勃发展和网络空间作为全新空域的出现,个人网络信息安全也面临着更加严峻的威胁和挑战,欧盟内部呼吁出台一个更为全面、先进、强大的网络数据保护法律规范,进一步规范市场主体对个人网络信息的利用行为。因此,《通用数据保护条例》应运而生,该条例作为欧盟个人网络信息统一立法、统一监管立法模式的最新成果,进一步扩大了数据主体的权利,增设了遗忘权、可携带权等权利内容,创立了网络数据保护官制度,为平衡权利保护与公共利益也对权利保护和例外情况进行了详细规定,一经出台便引发世界各国的关注甚至效仿。
二、我国个人网络信息保护立法现状
我国开始搭建个人信息保护的法律框架的标志性立法事件,是2012年全国人大常委会发布《关于加强网络信息保护的决定》。随后的一年,工业和信息化部颁布施行了《电信和互联网用户个人信息保护规定》,该部门规章系我国首个对个人信息保护相关问题进行系统性规制的规范性法律文件,该规定对个人信息保护相关法律概念进行了定义,并首次对网络运营主体收集和使用个人信息以及安全保障措施确立了原则和规范[8]。
尽管该部门规章开启了我国加强个人信息保护的立法先河,具有明显的时代进步性,但该规定也存在一些不足,如对网络运营主体收集、使用个人信息的规范较为粗糙,缺乏明确指引、关于网络运营者和服务提供者的法律责任的规定过于简单,行政处罚措施较为单一且处罚上限设置过低,从事后救济的角度评价并不足以适应个人信息保护需求[9]。此后,我国强化了对于网络空间个体信息安全保护立法的力度和水平,《网络交易管理办法》的出台、《消费者权益保护法》中增加消费者在消费过程中个人信息安全保护的条款都是出于对个体网络信息安全保护的考量。这些法律法规都明确了经营者在经营活动中收集、使用消费者个人信息的法定程序和应当注意的法定义务;但是,由于上述规范性法律文件仍局限为民事、行政法律规范,且相关规定过于原则,不具有可执行性,事后救济乏力,随之产生的负面影响就是侵害个人信息安全事件愈发频繁[10],仅在2013年因个人信息泄露等侵权事件、利用非法获取的个人信息实施电信网络诈骗而导致的经济损失就达1400多亿元[11]。
为遏制上述犯罪行为,全国人大常委会在2015年的《中华人民共和国刑法修正案(九)》中专门增加了侵犯个人信息罪以及拒不履行信息网络安全管理义务罪,将第三人以及网络服务提供者故意、重大过失侵害个人信息的行为入刑;2017年5月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,该司法解释对于刑法修正案(九)中新增的上述两个罪名的核心概念,构成要件以及量刑规范进行了具体和细化;2017年颁行的《中华人民共和国网络安全法》第四章“网络信息安全”中明确了网络运营者收集、使用个人信息的一般原则和保护义务,并着重规定违反上述义务的行政处罚规范。从积极方面来看,网络安全法系全国人大常委会制定的法律,与《电信和互联网用户个人信息保护规定》相比,效力等级更高,且内容更先进和具体,在一定程度上弥补了个人信息保护法律规范的不足;但从网络安全法的体系设置来看,个人信息保护仅是该法的一个有机组成部分,网络安全法立法的首要目标是维护网络空间主权和国家安全,因此网络安全法有关个人信息保护的规定还停留在较为原则的层面,缺少系统、细致且具有可执行性的具体规范[12]。
除上文所述的对于个人网络信息安全保护的专门性立法规范外,还有一些个人信息保护的零散规定在《中华人民共和国反恐怖主义法》、《征信业管理规定》、《个人信息和重要数据出境安全评估办法》等规范性法律文件之中可见。另外,个人网络信息保护本身不仅仅是一个法律范畴的概念,也涉及相关技术规范。网络空间首先是由网络基础设施和网络通信技术搭建起来的虚拟空间,正因为各类信息数据在网络空间的储存和传输,才使得网络空间逐渐与现实社会的传统二维空间相互交织起来,演变成了人类社会发展的一个全新空域[13]。目前,我国关于个人信息保护的技术标准首推《信息安全技术个人信息安全规范》(GB/T 35273—2017),该规范于2018年5月正式施行,由阿里巴巴、腾讯等诸多互联网领军企业以及北京大学、清华大学等高等院校联合起草,在广泛汲取各国个人信息保护规范的基础上对网络运营者和网络服务提供者的处理数据行为进行了较为详尽的规制,在创建有效的个人信息保护实践机制方面做出了有益的尝试。上述标准、技术规范也成为衡量和认定网络运营者是否落实主体义务的主要依据。
可见,我国目前也在加快个人网络信息保护的相关立法工作,但因为网络信息安全保护立法的技术性与法律性的双重属性,相关立法模式仍在不断探索中,目前尚未制定出一部专门的个人网络信息保护法,有关个人网络信息保护的法律规定只散见在多部规范性法律文件和配套技术规范之中。
三、我国现行网络信息保护立法体系的不足
(一)网络信息保护立法的适用范围过于狭窄
我国个人网络信息保护尚未统一立法,有关个人网络信息保护的法律规范分散在若干规范性法律文件中,各法律规范的适用范围受制于所在的规范性文件的规定。以较为集中和系统的规制个人信息保护的网络安全法为例,该法第二条规定:“在中华人民共和国境内建设、运营、维护和使用网络,以及网络安全的监督管理,适用本法。”该规定属于典型的“属地”管辖,即将发生在我国境内的数据处理行为都纳入监管范围。换言之,该法中有关个人网络信息保护的规范适用范围仍局限于我国境内;进一步说,依据该法中有关管辖权的规定,对于在我国境内发生的数据处理行为才享有完全的和排他的司法管辖权[14]。从该法规制的主体对象来看,无论处理该数据的主体在我国境内是否有经常营业场所,均应受我国网络安全法的管辖,扩大了该法可适用性的对象范围,但这一规定却忽略了一个关键问题,即数据与其他客体不同,互联网时代数据跨境流动是常态,对跨境数据的处理行为是否有管辖权?典型如大型跨国企业在境外总部处理我国公民的个人信息等行为是否受我国法律管辖?又如中国公民在境外的通信数据被境外网络服务商滥用如何进行司法保护?显然,单纯规制发生在境内的个人信息处理行为已经无法充分保护数据主体的权利,因此如何拓展网络信息保护法律规范的适用范围,是下阶段相关个人网络信息保护立法的关键问题[15]。
(二)数据主体权利体系设置欠完善
2018年5月正式实施的推荐标准《信息安全技术个人信息安全规范》虽然明确了数据控制者和处理者在进行收集、保存、使用、共享、转让、公开披露等个人信息处理活动中应遵循的原则和安全要求[16],但我国现行的具备强制力的规范性法律文件并没有针对数据主体的权利进行系统的明确界定。由此导致相当比例的数据控制者和处理者在收集、使用个人信息的过程中缺乏法律意识,故意或重大过失侵犯数据主体的权益的行为时有发生,如注册手机客户端时收集的个人信息的类型与实现产品或服务的业务功能没有直接关联、过高频率采集个人信息、传输和存储个人敏感信息时未采用必要安全措施以致发生信息泄漏,等等。
无论是网络安全法还是《电信和互联网用户个人信息保护规定》均未明确规定网络数据主体享有何种权利,这给司法实践造成了极大困扰。由于缺乏明确规定,司法实践中关于个人网络信息安全的民事案件往往面临无适当权利请求基础规范引用的尴尬[17]。目前,数据主体个人信息遭到侵害的民事判例大多还只能援引肖像权、隐私权等相关法律规定,例如,民法总则第一百一十一条虽明确规定自然人的个人信息受法律保护,但是我国目前立法体系中并未明确将个人信息归属于一般人格权或直接作为个人信息权进行保护,因此只能适用隐私权的相关规定对相关权益予以保护[18]。
(三)数据控制者、处理者法律责任制度缺失
目前,有关数据控制者、处理者侵害数据主体法律责任的规定,主要分散在网络安全法、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等相关法律规范中。论及法律责任,主要可以分为刑事责任、行政责任以及民事责任三大类型。我国目前有关数据控制者、处理者刑事责任的规定,主要体现为刑法中的侵犯个人信息罪以及拒不履行信息网络安全管理义务罪。有关行政责任的法律规定,虽在《电信和互联网用户个人信息保护规定》、网络安全法中有所规定,但仍不够全面。以网络安全法为例,该法仅规定了网络运营者、网络产品或者服务的提供者侵犯数据主体同意权、删除权、更正权以及泄漏个人网络信息的行政责任,行政执法主体也不明确。依据网络安全法的有关规定,国务院电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作,但这一规定在实践过程中因执法主体不明确或“多头共管”将明显降低行政执法效能。相比较而言,日本、新加坡、欧盟等国家和地区均已设立了独立的个人信息行政监管机构,行政执法效率更高[19]。而民事责任的相关规定依然停留在侵犯隐私权、名誉权等传统人身权利的层面,以致网络数据控制者、处理者在侵害数据主体权益的情况下,数据主体除了可以主张侵犯者赔礼道歉、停止侵权等民事责任外,想要主张经济赔偿则落入无法可依的尴尬境地,网络数据控制者、处理者法律责任制度的缺失也变相在一定程度上导致侵害数据主体权利的行为频繁发生。
(四)数据跨境流动规则仍处于探索阶段
基于网络技术搭建起的网络空间之所以能够脱离出传统社会的单维空间而变成影响经济全球化进程的重要力量,数据跨境流动是不可缺少的必要条件。同时,数据跨境流动制度直接关系到网络信息的整体安全,对于防御、处置网络安全风险和威胁,维护网络空间安全和秩序起到至关重要的作用。鉴于网络数据跨境流动规制对于该制度的有效运行有着重要意义,目前发达国家无一例外都制定了明确可操作的数据跨境流动法律规则。
然而,目前我国数据跨境流动的安全评估机制正在初步搭建过程中,2017年《个人信息和重要数据出境安全评估办法(征求意见稿)》和《信息安全技术数据出境安全评估指南(征求意见稿)》先后出台,我国网络安全法以及《信息安全技术个人信息安全规范》对数据跨境流动的基本态度也很明确,原则上限制数据跨境流动,在例外情况下依照相关规定和标准进行安全评估并符合要求的前提下允许数据跨境流动。从学理上分析,之所以我国在数据跨境流动的相关规则构建上采取保守态度,主要是基于我国网络安全体制机制仍不够完善,现有的网络安全立法规则体系仍处于试验论证阶段,因此尽可能保护国家的整体网络信息安全和公民隐私不受侵犯为现阶段立法者考量最优先保护的法益[20];但同时,数据跨境流动又是网络空间中互联网经济不可逆的大趋势,对于提高交易效率和国际竞争力都是必不可少的技术保障,有关数据跨境流动的规则设计实际上就是平衡信息安全和经济发展两者之间的利益关系,但我国目前仍处于制度构建探索阶段,数据跨境流动规则仍存在一定的法律留白。
四、构建我国个人网络信息保护立法制度的建议
(一)扩大我国网络信息安全保护法的适用范围
如上文所述,数据跨境流动的特性客观上要求立法时需要适当扩大个人网络信息保护法的域外效力。美国、欧盟等诸多国家和地区均不约而同地扩大了国内执法部门管辖海外数据的权限,并规定国内数据保护法律法规不受本国或地区领土疆域的限制。据此,保护我国个人网络信息安全的立法工作首先要解决的问题就是突破本国个人网络信息保护法的适用范围,赋予其域外效力;在立法时可参照我国刑法的管辖原则,即不再局限于属地管辖,应当构造以属地管辖为核心,同时将属人管辖和保护管辖原则作为必要补充的长臂管辖原则;适用属人管辖原则之后,无论数据处理行为是否发生在我国境内,只要数据运营者在我国境内有实体机构就有权进行司法管辖[21]。如此一来,即便在我国境内设有分支机构的数据运营者的数据处理行为发生在境外,我国法律依然有权予以管辖;而保护管辖原则则是突破了属人属地管辖原则,无论数据运营者在我国境内是否有实体机构,也无论数据处理行为发生在何处,只要是向我国境内数据主体提供产品、服务或监控其行为,或只要该数据运营者处理和持有居住在我国境内数据主体的数据都要受到我国个人网络信息保护法律法规的约束。
(二)明确数据主体权利种类、行使条件、方式以及保障措施
借鉴国外个人网络信息保护立法的先进经验,在立法过程中,我们应当全面合理构建数据主体的权利体系,明确数据主体具有知情权、同意权、选择权、修改权、删除权、限制处理权、拒绝权、免受自动化决策限制权、可携带权等权利[22],具体而言,在立法中应对上述权利的内涵进行明确,对权利行使的方式、范围、限制条件以及保障措施均应制定具有可操作性的规范。所谓限制条件是指为这些权利行使划定一个边界,在充分衡量网络信息安全和公共利益等法价值的基础上,对上述权利进行必要限制。在涉及国家安全、公共安全卫生、重大公共利益、刑事犯罪侦查、起诉、审判、学术研究、新闻报道等必要情况下,应对数据主体的权利行使进行必要的限缩[23]。因此,立法机构可以考虑在以下两种方式中择一采用:一是在《信息安全技术个人信息安全规范》的基础上对数据主体权利类型、保障措施进行补充和完善,在制定个人信息保护法时一并纳入,使之具有强制力和执行力;二是尽快确立个人网络信息保护安全国家标准,可以考虑在《信息安全技术个人信息安全规范》的基础上进行修改和完善,将推荐标准逐步上升为国家标准,使其具有强制适用的效力,同时在相关部门法的规范性法律文件中明确违反上述强制性国家标准的情况下,数据主体的权利保障措施。
(三)健全数据运营者、控制者法律责任制度
个体的信息安全若想得到有效和及时的保护,对于数据运营者和控制者的责任规制就显得尤为必要。一方面,应当完善行政责任体系,在立法中考虑确定独立的执法主体,通过归口管理的方式,指定电信主管部门或通过机构整合设立专门的监管部门并将其确定为行政执法主体,由其统一负责网络安全保护和监督管理工作;此外,在法律规范中将执法主体的权限、组织架构、任务以及职权范围予以明确表述,避免出现权责不清的情况;在立法中构建清晰的数据主体权利体系以及数据运营、控制者义务体系,根据义务违反类型、情节分别设定行政处罚的责任承担主体、种类、处罚方式以及程序;培育互联网行业建立完善的行业自律机制,形成国家主导,行业自律,社会舆论监督的多层次纵横联合的监管体制。另一方面,通过立法健全民事责任体系,打破目前数据主体追究民事责任无法可依的窘境。立法机关或最高人民法院可以在民法总则现有法律规制的基础上,制定专门的个人网络信息保护法或针对个人网络信息保护的司法解释,将数据运营者、控制者违法收集、保存、使用、共享、转让、披露个人网络信息所对应的侵权、违约责任构成条件予以明确,特别是针对上述侵权、违约责任的赔偿计算方式予以确认。例如,在认定侵权责任构成要件的过程中,可以参考商标法、反不正当竞争法中有关侵犯商标权、不正当竞争行为侵权损害赔偿数额界定方法,根据侵权期间数据运营者、控制者的经营所得的一定比例推定损失数额。此外,加大对数据运营商提供的格式合同的规范审查力度,设置公平合理的违约责任条款,提高数据运营商的违约成本[24]。在救济层面丰富救济途径,如将大规模个人网络信息泄漏事件纳入公益诉讼案件受理范围等。
(四)加快完善数据跨境流动的法律规则
首先,应确立跨境流动的一般性原则,即仅在第三国信息接受者采取了与我国法律规范中列明的同等信息保护措施时,才可以进行数据传输;其次,完善现有的数据跨境流动评估标准,使之更符合我国网络安全发展现状,兼顾经济发展和信息安全利益平衡;再次,适时建立数据跨境流动白名单制度,在定期审查第三国个人网络信息保护法律规则、监管机构运行机制以及相关国际公约或双边条约的基础上,确认第三国能够提供充分的保护时,该数据传输在一定期限内不需要特别授权或评估;最后,明确数据跨境流动例外规则,并在立法过程中确立数据跨境流动的国际协作措施,如为了公共利益或政府间协作的需要,虽然第三国或国际组织并不满足数据跨境流动的前提条件,但可以要求数据运营者或控制者在提供适当的保障且已经提供了可执行的数据主体权利法律救济的情况下,许可数据跨境流动。