数字化发展中的个人信息保护监管策略思考
2021-07-09权小凤刘高峰
权小凤 刘高峰
(1.全国公民身份证号码查询服务中心,北京 100123;2.中国信息通信研究院产业与规划研究所,北京 100037)
0 引言
近年来,以数据为新生产要素的数字经济蓬勃发展,2020年新冠疫情的全球席卷进一步加速了经济社会的数字化进程。健康码、大数据通信行程卡作为数字防疫新手段,保障各行业安全复工复产;线上生鲜新零售、线下零接触配送为民众居家抗疫提供生活物资保障;远程办公、视频会议为疫情时期企业正常运转提供了有效途径[1]。防疫背景下生产、消费模式的转变成为数字化发展的催化剂,同时我国十九届五中全会、“十四五”规划等也在相关政策上做出全面部署,要求加快推动经济产业数字化发展。
个人信息作为数字化发展的核心,被比作“新的石油”应用到社交、零售、餐饮、交通、医疗等各行各业中[2]。个人信息数据的采集、分析、处理能力越来越智能,但个人信息保护工作却没有跟上技术更新迭代的步伐,用户数据被泄露、滥用和黑色交易等问题层出不穷,让个人在大数据中几乎无秘密可言,潜藏着巨大的人身和财产安全风险[3]。新冠疫情防控工作中不乏疫情排查人员信息在微信群扩散、以口罩预约为名诱骗个人信息用于营销、确诊人员信息遭曝光被网络暴力等事件。可见,目前我国的个人信息保护体系建设还有较大的完善空间。
产业经济的数字化发展需要基于更多的数据开放和技术利用,随之会带来更多个人信息安全风险;而个人信息的过度保护,则不利于经济的创新驱动发展,因此两者间存在难以避免的价值冲突,如何实现兼顾数据驱动发展和个人信息保护的有效监管成为亟待讨论的问题。本文将以当前数字化发展中个人信息安全面临的热点问题为导向,通过国际典型的个人信息保护监管模式对比研究,分析我国目前监管策略存在的挑战,并从立法、行业、个人等方面提出具体思考。
1 当前个人信息安全面临的热点问题
当前,在数字化服务迅猛发展、疫情加速数字化进程背景下,个人信息安全问题也随之出现新热点和新特征。
1.1 APP收集个人信息乱象突出
随着网络技术水平的提高,当前互联网APP应用软件的盈利方式已由传统的在线广告投放转变为基于用户画像的定向推送和精准营销。个人信息和消费行为数据正在成为市场研判的重要依据,也成为企业获利的核心要素,由此也引发了众多APP过度套取个人信息、强制用户授权和侵害用户隐私权益等问题。其中,主要违规行为包括:通过默认勾选悄悄套取个人信息,诱导用户略过隐私政策链接已成为业内通用做法;强制授权和过度索权收集非必要个人信息,致使用户为了正常使用APP不得不选择接受授权;违背用户知情权,在用户使用相机、麦克风、位置等权限时,将收集到的相关敏感数据传到应用后台。
1.2 疫情期间黑客攻击手段升级
疫情期间,多国黑客组织利用新型冠病毒相关热词作为诱饵文档发动黑客攻击,带来了更多个人信息被攻击、窃取与泄露的威胁。2020年2月20日前后,高级持续威胁(Advanced Persistent Threat,APT)组织 Hades以新型冠状病毒肺炎(“Коронавiрусна iнфекцiя COVID-19.doc”)为诱饵,对乌克兰境内目标开展钓鱼攻击。在用户打开诱饵文档且启用宏后,恶意文档则执行远程控制,并收集用户信息、主机信息、网络信息等进行回传,从而实现远程控制和用户个人信息窃取。2020年4月,万豪国际连锁酒店宣布受到第二次数据泄露攻击,该攻击曝光了520万人的姓名、生日、电话、邮箱、住址、会员卡账号等重要隐私信息,引起较大反响。黑客攻击窃取事件往往具有泄露数据类型敏感、价值高、涉及人数多等特点,因此也对民众造成极大的财产和精神损失。
1.3 信息泄露成为网络不良信息传播源头
在数据作为关键要素日益重要的环境中,网络不良信息问题与个人信息保护问题交织、复杂性不断提升,个人信息获取是达成不良信息传播的关键环节,个人信息泄露和违规使用正在加剧网络不良信息传播问题。例如,为谋取经济利益,一些企业以采集个人信息和数据为交换为用户提供免费的互联网产品服务;采用AI大数据分析等技术手段构建用户画像并将其出售给广告商,形成双边市场;广告商则利用相关个人信息,发送商业性不良信息,导致骚扰电话、垃圾短信频发,让人不堪其扰:从保险推销到房产销售,从育儿理财推荐到投资养老劝导,花样百出,惊扰不断。因此,要还民众安宁,阻断网络不良信息传播,关键要从源头入手,彻底根治个人信息泄露问题。
2 国际个人信息保护监管模式分析
随着个人信息成为各行各业竞相争夺的资源,全球个人信息窃取泄露事件频频发生,国际上对个人信息保护的重视程度和行政监管力度也越来越被提到更高的位置。从国家角度而言,一方面个人信息保护事关国民的基本权力和人格尊严;另一方面数据是数字经济时代的重要生产要素,个人信息保护不能脱离经济发展的需要。因此,如何实现数字经济发展与个人信息保护之间的平衡成为国际热点问题[4]。对比分析国际上典型的监管模式案例,可对我国的个人信息保护监管策略提供有益的启发。
2.1 欧盟采取系统立法统一监管模式
欧盟将个人信息权力视为一项基本人权,采取系统立法和统一监管模式。2018年出台的史上最严格《欧盟一般数据保护条例》(General Data Protection Regulation,GDPR),成为全球个人信息保护的重要标杆[5]。一是确立了广泛的新型个人数据权利,包括被遗忘权和个人数据携带权等。二是确立了结合欧盟体系架构的分层监管体系。在欧盟层面,设立专门的欧盟数据保护委员会(European Data Protection Board,EDPB)全面统筹协调个人信息保护的顶层监管;在成员国层面,要求设立独立的监管机构和完善的民众救济制度;在企业层面,要求设置专门的数据保护人员[6]。三是实施巨额的罚款策略以加强行政监管力度。GDPR规定最严重违规情况可罚款2000万欧元或者企业上一年度全球营收的4%,且按两者罚款数额取其高实施。自2018年GDPR实施至2020年年底,欧盟当局对违反GDPR的罚款已超过3.3亿美元[7]。2020年,欧盟相关监管机构公开了300多起GDPR相关执法罚款案例,处罚事由主要集中在个人信息收集使用的合法性、个人权益保护、数据使用者的保护义务履行等几个方面。同时,欧盟在强调严格保护个人信息的同时,近年来也实施了《欧盟非个人数据自由流动框架的条例提案》等法案,以促进欧盟中企业之间的数据流转和共享,实现经济的数字化创新发展。
2.2 美国采取分散立法行业自律监管模式
美国从数字经济产业利益出发,强调个人信息的利用自由与事后救济,主要采用分行业和地域等层面分散立法、以行业为主导的监管模式。分行业立法方面,1999年颁布的《金融服务现代化法》,规定金融方面个人信息的收集、使用和披露规则;2003年颁布的《公平准确信用交易法》明确了消费者信用数据的使用用途;分地域立法方面,2018年,加利福尼亚州通过了美国目前最全面和严格的隐私保护法案《加州消费者隐私法(CCPA)》,作为美国第一个颁布数据泄露报告法的州,其致力于为加州消费者控制个人信息和数据提供有效途径[8];分人群立法方面,例如1998年颁布了专门保护13岁以下儿童个人信息安全的《儿童网上隐私保护法案》[9]。美国采取的行业自律手段主要包括3种:一是行业建议性指引,由行业自律组织执行原则性的指导意见;二是网站隐私认证计划,美国具有很多网络隐私认证的专门机构,而网站经过机构的授权许可后可出示隐私认证标志,为网站用户提供参考;三是技术保护,利用技术手段对违规收集和使用个人信息的行为进行限制[10]。美国的分散立法、行业自律机制,注重于激发数字经济市场动力、促进信息技术快速进步,同时兼顾个人信息的利用和保护。
2.3 日本采取统分结合立法监管模式
在数据驱动创新和个人信息保护的平衡上,日本采取了较为中立的统分结合立法监管模式,通过采取统一综合立法和特定领域制定个别法的方式,实现对个人信息使用的严格规制,同时也保证数据流动性以激励企业创新。在个人信息保护综合立法上,日本于2003年颁布了本国第一部《个人信息保护法》,在此基础上,又于同年陆续颁布《行政机关个人信息保护法》等法律,形成了具有日本特色的“个人信息保护关联五法”体系[11]。为迎接互联网数字发展浪潮,日本在2015年进一步修订了《个人信息保护法》,该修订对个人信息的流通及利用规则进行了完善,采用“opt-out”模式,默认数据处理者可以使用数据,只有当数据主体明确表示拒绝时才启动禁用程序。从该模式可以看出,日本在保障个人信息安全时也偏向优先保证企业的数字化发展。2020年,日本通过了《个人信息保护法》修正法案,采取了扩大数据主体权利、推动企业自我完善机制构建、加强违规处罚机制等法规,可见日本对于近年来滥用个人信息恶性事件的重视和整治决心[12]。在分散立法创新上,基于《个人信息保护法》,日本某些政府或民间主体可以在特定领域出台特殊法或个别法。例如,日本信息处理系统中心出台的《关于金融机构等保护个人信息的指导方针》、日本总务省制定的《关于电气通信事业保护个人信息的指导方针》等[13]。
3 目前我国个人信息监管基础与挑战
从上述国际典型的个人信息保护监管模式可以发现,社会经济数字化发展与个人信息保护的平衡关系尤为重要。因此,我国一方面要高度重视产业数字化发展和公共数据开放,另一方面也要不断加强发展中的个人信息保护立法和监管。
3.1 我国个人信息监管的基础
在数字经济发展方面,2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,将数据作为新型生产要素正式列为国家基础战略性资源。2020年11月3日,中共中央印发“十四五”规划明确要建设“数字中国”,发展数字经济,推动数据资源开发利用。
在个人信息保护方面,我国相关的立法和监管虽起步晚,近年来也在积极探索与完善。2017年6月正式施行的《网络安全法》要求建立健全用户信息保护制度。2020年5月28日正式通过的《民法典》在民事私法领域为个人信息安全保护提供了相关规定和救济基础。2020年7月3日,《数据安全法(草案)》公开征求意见,明确了实行数据分级分类保护、数据使用必须履行相应数据保护义务等管理办法。2020年10月21日,《个人信息保护法(草案)》公开征求意见,围绕个人信息处理、跨境规则、主体权利、使用者义务、职责部门和法律责任等方面全面确立个人信息保护规则。
3.2 我国个人信息监管面临的挑战
由于在数据创新驱动和个人信息保护两者之间侧重的不同,各国或地区对于个人信息使用同意权的要求有较大的差异(见表1)。
表1 各国或地区对个人信息使用同意权的立法要求
欧盟GDPR在极度保障用户个人隐私安全的同时,也导致企业成本的增加和创新能力的降低;美国重企业数字化发展而轻个人信息保护则易造成公民权益受到侵害;日本在兼顾数字化发展和个人信息保护中不断磨合,近些年也随着个人信息安全事件的频发而不断强化对个人信息保护的侧重。相比国际典型案例,我国在数字化发展背景下的个人信息保护监管体系建设还有不少短板。
(1)个人信息保护法律体系不够健全。一方面是统一综合性个人信息保护法律亟待出台。我国已经正式出台实施的个人信息保护法规很多,但基本都分散在《民法典》《网络安全法》《刑法》等多类法典中,零散的法规在适用范围上差异较大,难以合理衔接,面对国内大数据和人工智能等技术的迅猛发展,无法系统性地满足越来越普遍和复杂的个人信息保护需求。而目前提交审议的《数据安全法(草案)》和《个人信息保护法(草案)》尚在草案阶段,存在追赶技术发展的紧迫性和应用实践的适应性问题。另一方面,参考美日等国经验,要促进数字经济稳健长远发展,需要针对不同领域逐行调研,对症下药。目前,我国各类互联网企业不断涌入电商、物流、出行、医疗、教育等传统行业,对应引发各领域的个人信息保护法律问题十分复杂,涉及的个人信息权属、数据主体资格、数据使用范围等都呈现不同特点,但目前我国个人信息在分散领域内的立法尚未跟上发展的步伐,而以统一的法规一刀切,难以为受侵害数据主体实现合理的救济,也不利于各行业更充分合规地利用个人信息并发挥数据价值[14]。
(2)行业监管和执法机制待完善。在监管机构方面,目前我国的数据保护监管主要采用由国家网信部门负责同时各行业主管部门承担具体行业监管的“1+X”机制,但国家网信部门的主要工作重心在于国家数据安全而非个人信息保护,因此缺乏专门的个人信息保护监管机构,以全方位实现事前监督、事中调控、事后追责的一站式监管[15]。在执法机构方面,目前我国个人信息安全治理牵涉公安、行业主管、市场监管等多部门,多头执法并没有强化惩治力度,反而更难以联动行动将对各类违法违规行为的治理落实到位。在惩治力度方面,当前我国对违规企业的惩治力度相比欧盟、美国等国家或地区要小得多,大多数治理并不是像国际范例的重额罚款,而更多是行政约谈和通报批评,难以给违规企业和同行业起到预期的惩戒作用,导致企业面对经济利益诱惑时仍然会以身犯险。
(3)个人信息保护宣传和救济不足。一方面,大部分民众缺少保护自身数据安全的意识。不少人在使用互联网平台或应用软件时,在不了解是否涉及个人相关隐私的情况下直接省略阅读隐私条款,甚至有些人乐于参与平台的个人信息填报活动以换取活动福利,导致个人信息或隐私权限被过度收集,长此以往,个人信息被广泛泄露到各个行业甚至不法分子手中,进而面临被各个行业不法分子进行电话骚扰、垃圾营销短信打扰,甚至电信诈骗、勒索等威胁,使个人遭受精神和财产损失。另一方面,当前个人信息侵犯维权难度大,补偿救济措施不足。当个人信息受到泄露侵害,存在个人维权意识薄弱、维权途径少、维权成本高等问题,造成被侵害主体往往被迫承受损失,放弃寻求救济维权,从而导致平台过度收集个人信息风气更甚。
4 数字化发展中个人信息保护监管的建议
数字化发展中的个人信息保护,最核心的就是实现数据公开共享和个人信息保护之间的平衡,从而在促进数据价值最大化释放的同时,实现个人隐私和信息的保护。具体而言,需要从立法、行业、个人多方面进行相应的措施完善。
4.1 统分结合制定个人信息保护法律体系
一方面,尽快推动《数据安全法》《个人信息保护法》等综合性法律的完善和正式实施,明确政府职能部门、企业平台主体责任,强调个人信息的权利属性、收集边界、使用流程等细则,形成可操作性强、适应大数据时代发展的法规,从而给予个人信息保护的执法监管更系统化、标准化的指导。另一方面,为充分实现数据价值的最大化释放,可以借鉴美国、日本经验,补充行业领域的针对性分散立法。例如针对金融、通信、互联网、医疗、跨境等不同领域,根据各行业对个人信息收集和使用的不同特点,配套制定易落地的法律规定和操作标准,由行业主管部门监管执行,并向统一的顶层个人信息保护机构汇报,形成统分结合、有法可依、职责分明的法律机制。
4.2 健全行业的闭环监管和执法落实
个人信息的过度收集、使用和泄露等关键环节都在于企业主体,但企业为了追求自身商业利益最大化,往往直接或间接导致个人信息和隐私侵犯事件屡禁不止,因此加强各行业的数据使用监管是个人信息安全问题的重中之重。在闭环监管上,要成立个人信息保护监管的专门机构,负责统筹协调,并协同各行业主管部门执法共治,实现对各行业事前规范、事中督查、事后严罚的全流程监管机制;在执法落实上,通过赏罚分明的奖惩机制充分调动企业对个人信息保护的积极性和参与度。一方面,行业机构可定期组织个人信息保护相关服务、产品或技术的安全检查、专业测评和案例评选活动,形成业内标杆和示范效应,以提升各行业对个人信息保护相关技术产品的研发投入力度;另一方面,针对有意或无意造成个人信息权利受侵害或严重数据泄露等违规事件,参考欧美国家,施行行政通报批评和分级高额罚款双重惩治措施,从而对违规企业和同行业形成震慑力,制止数据使用者继续违规违法的脚步。
4.3 加强个人信息保护宣传和救济支持
一方面,个人作为数据主体,是所有个人信息的来源,提高民众的个人信息保护意识,能从源头有效减少数据侵权事件,因此需要加强对民众的个人信息保护宣传。针对低龄学童可以与时俱进修订教材扩充相关内容,使个人信息保护意识从小抓起;针对普通民众可以依托定期举行的网络安全周进行普及宣传教育,还可以采取团体、社区、街道的个人信息保护知识有奖答题等活动实现潜移默化的宣传,提升民众安全上网意识。另一方面,在当前我国的大数据环境下,个人信息安全事件呈现出单次事件涉及人数量级化特点,更多的是在事件引起社会反响后由政府维权治理,而被侵权个人往往面临索权成本高、单人举证途径少的特点,造成个人权利难以维护,因此个人信息保护还需要加强对个人维权的救济支持。在立法层面,如《个人信息保护法》等综合性法律中要增加个人不同权利遭受侵害时的精神和财产赔偿机制;在监管执法层面要开通个人专用低成本维权通道,配套侵权溯源追责机制并落实赔偿,解决个人维权无门的难题。
5 结束语
由于个人信息仍然是数字经济发展的重要推力,欧盟GDPR强政府干预的控制模式易降低市场的积极性和创造性,而美国的分散立法事后追责模式则不利于形成长远稳健的个人信息保护环境,因此我国的个人信息保护监管体系构建需要立足于本国国情,探索双赢监管策略。剖析我国实际监管情况,目前还存在个人信息保护法律法规分散、企业监管执法机制不完善、个人信息保护意识不够等难点痛点问题,结合我国全能型政府传统特点,可以充分发挥政府与市场的协调作用,从立法、治理、救济三方面分别提出监管策略思考和建议,致力于通过各方努力实现数字经济创新发展和个人信息保护的平衡,从而在合理利用个人信息释放数据价值的同时,维护好民众的个人信息权利。