中国IDC圈1月22日报道:大数据时代促进信息的自由流动和共享是政府管理、商业发展和技术创新的需要。与此同时,海量个人信息的收集、处理、利用和共享又会对公民的个人信息安全尤其是隐私和其他一些敏感信息的安全带来巨大威胁。如何处理好促进信息自由流动与保护个人信息安全之间的关系,是信息社会不可回避的问题。我国如果不及早和国际接轨建立个人信息保护制度,必将在国际贸易中受到排挤,国际企业和组织大量采集我国公民个人信息的行为得不到有效规制也会对我国经济社会安全带来威胁。欧盟法院近日宣布欧美间的“安全港”协议立即失效值得我们警醒。下面就完善我国个人信息保护制度提出六点建议:
树立正确的保护理念:保护与利用的平衡
信息社会中的个人信息保护具有不同于传统社会隐私保护的特征,需要兼顾数据的利用价值与保护之间的平衡。信息的自由流动和开发利用对社会进步具有重大作用,而一国对数据利用和保护的法律制度的宽严程度又会对该国数据技术的创新带来影响。美国加州大学戴维斯分校教授Chander研究发现:美国法律制度对中间平台的保护更为有力,在美国属于创新范畴的活动在欧洲、亚洲国家可能会被认定为违法,正是这种对于中间平台的法律保护,奠定了美国互联网产业飞速发展的基础。但如果利益的天平过分偏向企业,又会阻碍整个行业的健康持续发展。
在个人信息保护领域,如果公民的个人信息尤其是敏感信息被滥用而得不到有效保护,则既会侵害公民的基本权利,又会降低网民的安全感,全社会将陷于对“透明人”的恐惧之中,极端情况甚至会引发“反互联网”、“反信息化”的浪潮。因此,我国个人信息保护制度在设计理念上必须兼顾保护与利用的平衡。
保护模式选择:国家统一立法为主、行业自律为辅
世界范围内对个人信息的保护存在两种模式:以美国为代表的“分散立法+行业自律”模式和以欧盟为代表的国家主导统一立法模式。结合我国法制传统和立法现状、政府管理理念以及行业发展现状,我国应兼收并蓄,采取“国家统一立法为主、行业自律为辅”的个人信息保护模式。
首先,世界范围内采取立法模式通过制定个人信息保护法来保护个人信息的国家居大多数。其次,相较于美国的分散立法模式,欧盟的统一立法模式更适合我国。美国之所以采用分散立法模式,一是因为在个人信息保护的需求大量出现前,其已经有比较完备的隐私法,而且其判例法制度也使得其法院可以通过判例不断扩展“隐私”的范围;二是因为其行业协会非常发达,在广大的私领域行业自律发挥着重要作用,国家只需在少数隐私法和行业自律不能解决问题的领域立法补充。而我国这两方面的条件均不具备,通过统一立法来规范个人信息的收集处理行为既不会造成立法资源的重复浪费,相反却有利于充分发挥统一立法的优势。最后,通过政府引导积极发挥行业自律的作用可以成为立法保护的有力补充。网络技术日新月异,无论是立法还是政府行政管理手段难免会滞后,行业自律可以弥补统一立法滞后、僵化、针对性不足等方面的缺陷,从而很好地平衡个人信息保护与产业发展和技术进步的关系。
将政府的个人信息收集、处理、利用和共享等行为纳入《个人信息保护法》的调整范围
在任何国家政府都是大的个人信息收集和处理者,对政府的个人信息收集和处理(包括共享)行为予以规范,是个人信息保护的重要方面。政府出于其行使职权的必要和便利很容易掌握公民的大量个人信息尤其是高度敏感信息,公民在个人信息被采集和处理时对政府也比对企业有更多信任。政府掌控的个人信息不仅对政府公共管理意义重大,企业也有强烈的共享需求。一方面,政府需要对企业的共享请求作出回应,在不侵害信息主体合法权益的基础上向社会公开或者依申请提供这些信息;另一方面,政府收集处理包括向其他政府机构和企业传输、共享个人信息的行为也必须受到法律的严格规范,否则极有可能导致政府成为侵害公民个人信息的大威胁,不仅损害政府公信力,还有可能导致政府后续采集个人信息的行为受阻。因此,政府理应在公民的个人信息保护方面比企业尽更多义务。
世界上绝大部分对个人信息保护予以立法的国家都对政府的信息处理行为予以立法调整,即便是在商业领域实行行业自律的美国同样有数部法律专门规范政府的个人信息收集和处理行为。从我国现有立法看,《电信和互联网用户个人信息保护规定》仅适用于电信业务经营者和互联网信息服务提供者,《信息安全技术、公共及商用服务信息系统个人信息保护指南》则明确排除政府机关等行使公共管理职责的机构的适用,这使得政府的个人信息收集、处理、利用和共享行为缺乏法律调整。当前正在起草的《个人信息保护法》如果继续将政府的行为排除在调整范围之外,必将造成我国公民个人信息保护的重大疏漏,不利于良好社会环境的形成。
建立和健全个人信息保护的机构和机制
依国际经验,采用国家统一立法的个人信息保护模式,需要建立相应的行政管理机构和实施个人信息保护法律法规的机制。结合我国情况,建议在《网络安全法》和《个人信息保护法》的制定中,以国家立法形式将国家互联网信息办公室确定为国务院组成机构,负责履行法律赋予的包括个人信息保护方面的行政管理职能。具体包括:制定个人信息保护与合理利用的政策与部门规章;协调国家机关之间在政府信息公开、信息共享等方面的政策和制度执行;负责国家机关向产业开放信息资源方面的政策制定与监管执行;监管信息业者个人信息收集、处理、利用等方面的行为;引导行业协会制定和实施自律规范;接受公民个人、社会团体等的投诉、建议,依法做出相应的行政处理等。
在政府引导下充分发挥行业自律的作用
行业自律大的优势是可以区分不同领域由行业充分结合自身特点制定有针对性的行为规范,而且可以根据技术进步的要求及时调整。由于行业自律规范本身针对性强,而且整体上有利于行业的健康发展和长远利益,企业有遵从的内在动力。考虑到我国《个人信息保护法》的出台尚需时日,在法律出台前充分发挥行业自律的作用,还可以弥补法律调整的空白,并为科学立法提供经验借鉴。
我国《信息安全技术、公共及商用服务信息系统个人信息保护指南》试图借鉴行业自律的做法,但由于既没有细分领域或行业,也不是自下而上由行业自身制定,无法发挥行业自律的核心优势。要发挥行业自律的作用,必须遵循其核心要素:一是由行业主导的自下而上制定模式,政府可以指导或引导,但绝非主导;二是根据行业特点结合企业自愿予以行业细分,而不是试图用一个自律性规范涵盖所有行业。结合我国具体情况,建议先由政府主管部门倡议并引导在几个典型行业开展行业自律,例如银行业、电信业、互联网服务业、电子商务平台等,然后逐步扩展至餐饮业、快递业等行业。行业自律规范应主要由行业组织中具有相当的业务和法律知识的人制定,并广泛征求行业成员意见。一旦某一企业书面作出遵守某一行业自律规范的承诺,则该自律规范成为该企业和消费者之间合同的组成部分。同时,法院在司法程序中也可对自律规范的合法性予以审查,排除其中违法或者明显不合理侵害消费者权益的条款的适用。
强化个人信息保护的公民参与
信息时代个人信息的保护,公众参与亦不可缺:首先,应加强《个人信息保护法》立法的公众参与,促进科学民主立法;其次,在全社会开展个人信息保护知识的宣传教育,提升公民自我保障意识和能力;再次,鼓励和引导公民积极回应信息业者在信息收集和处理等环节中的询问和互动请求,包括对特殊事项的听证等,培养公民的参与意识和责任意识;最后,建立畅通的公民投诉建议和救济机制,充分发挥社会公众在执法监督中的作用。