戴正
摘 要:大数据技术的冲击使得原有的个人信息保护方式已无法保障个人信息安全。欧盟近年颁布的《通用数据保护条例》摒弃了传统告知同意机制,在提供多样化个人控制手段的同时,从事前防范、事后告知、数据管理架构三方面对数据企业的个人信息保护责任做出了系统性规定。我国现行法律体系中对数据企业的个人信息保护责任仅有原则性规定,相关国家标准也存在不少局限,这些问题在将来的个人信息单独立法中应加以完善。
关键词:个人信息;隐私保护;企业责任
中图分类号:D912.8 文献标志码:A 文章编号:1673-291X(2018)36-0017-03
一、问题的提出
大数据经济可堪为当前最为火热的经济领域之一,特别是在2015年两会上李克强总理提出“互联网+”战略后,大数据一时风头无两。然而在提高商业及服务水平的同时,大数据也导致了严重的个人信息泄露风险,为个人信息安全带来巨大的威胁。有学者通过对大数据特点进行分析后指出,大数据技术在数据应用领域的创新已对告知同意产生了极大破坏[1]。告知同意机制作为传统个人信息保护体系中最为重要的,甚至几乎是唯一的手段,是指在收集或处理个人信息前,应当告知信息主体收集处理其个人信息的相关信息并请求其同意。该机制最大的特点在于重视个人信息收集过程中个人在知情基础上对信息的控制与选择。自1980年由经济与合作组织(OECD)在《隐私保护与个人数据流通指南》中作为处理个人信息的前置条件设立起,告知同意机制在个人信息保护体系中一直发挥着举足轻重的作用。但在几十年后的今天,传统告知同意机制的失灵已是不争的事实,公众及学界对个人信息保护体系改革的呼声不断高涨。
在世界范围内,对传统保护体系进行革新的努力已经持续数年,且已取得了不少成果。目前而言,最具代表性的立法成果当属欧盟于2016年发布的《通用数据保护条例》(以下简称GDPR)。自2012年该条例草案出台以来,为保证其不落后于大数据时代的发展,GDPR历时四年修改,于2016年正式颁布,并于2018年5月正式生效。GDPR取代了欧盟原先实施的《隐私保护指令》(95/46/EC),其最大的特点在于摒弃了单一的告知同意的规制手段,对个人信息采取了更为灵活且全面的保护方式。相比而言,GDPR在原有的信息主体同意权外增设了数据可携权、删除权等其他权利,并对同意的适用条件进行严格限定以强化数据主体对自身信息的控制力;更具开创性的是,GDPR对数据企业增设了大量个人信息保护方面的义务,凸显出欧盟立法机构加强数据企业责任的个人信息保护体系改革思路。在数据全球化的时代,满足GDPR要求是我国数据行业走向国际化无法绕开的必要环节。同时,GDPR作为个人信息领域的代表性立法,我们有必要对GDPR对数据企业个人信息保护责任进行梳理,以期在我国未来的个人信息保护单独立法中能够加以合理借鉴,对数据企业形成良好的规制。
二、GDPR中的数据企业个人信息保护责任
原有同意机制的崩溃使欧美监管机构意识到仅靠赋予个人控制很难有效保障其个人信息。美国总统行政办公室报告就曾指出,(在大数据时代)重点对个人信息的收集和保留加以控制,已不再足以保护个人信息。在互联网时代,数据企业所提供的服务往往在数据主体的工作或生活中发挥重要作用,因此导致数据企业与数据主体间的地位显著不平等化。同时,数据实践逐渐渗透至生活的方方面面,个人难以全面掌控其信息如何被收集及使用。如果仅停留在加强个人控制手段的层面而不对数据实践的流程做出规制,那么数据控制者利用其优势地位绕过同意机制的后果是可以预见的。基于以上原因,欧美监管机构在改革立法中都考虑到在个人控制外大幅增加数据企业责任。欧盟的数据监管机构便是基于此,在GDPR开篇提出,“为有效保护整个欧盟的个人数据,需要在加强信息主体权利的同时详细制定信息处理者的义务。”同时,GDPR条文中也对数据企业在收集处理个人信息过程应承担的数据保护责任进行了系统化规定,以防企业获取个人同意后的数据滥用。无论是总体规定数据企业责任的第24条,还是其后的具体条款,无不渗透着欧盟数据监管机构以“风险”为导向的全新立法理念。风险是对个人信息安全事件及其后果的严重程度及可能性的预测,而“风险导向”则意味着根据个人数据处理、利用的场景、目的及可能引发的风险程度向数据企业施以义务和责任[2]。具体而言,GDPR中对数据企业的个人信息保护责任设置主要体现在以下三部分内容。
1.构建事前防范机制。过去的告知同意机制虽要求数据企业在收集、处理个人信息前向信息主体进行告知,但该流程显然是在数据实践过程中进行的。GDPR将企业的信息安全治理责任从此前的个人信息收集时及之后向前扩张至数据实践的设计准备阶段,有助于从源头上改善个人信息被滥用的窘境。其中,最为重要的制度是“数据保护影响评估”(data protection impact assessment,DPIA)。数据保护影响评估是一个评估个人信息收集处理的必要性以及是否成比例,并通过确定解决措施来帮助管控因收集或处理而对个人的权利和自由造成的风险的过程。GDPR要求数据企业认为处理行为可能导致对自然人权利或自由的高度风险时,有责任对风险来源、性质、特殊性与严重性进行评估,并在评估结果的基础上决定采取适当措施。同时,实施的措施应确保适当的数据安全水平,并将技术发展水平、实施成本与所保护的个人信息的性质与风险纳入考量。对于何为高度风险,GDPR在其数据保护影响评估指南中指出,通过对个人信息自动处理对信息主体做出具有显著影响的决策、处理大量个人敏感信息及对公开数据的大范围监测都毫无疑问的属于此范畴内。但值得注意的是,数据影响评估并非在每次数据时间前处理都是必须的,只有在处理“可能对自然人的权利和自由造成高風险”时,才需要进行评估。然而,没有达到高风险这一触发条件并不意味着减少数据企业执行适当管理风险控制措施的一般义务。这意味着,数据企业不仅应当在数据实践前考虑风险因素,且在其处理活动也必须不断监测并防止风险,以便确定其何时“可能对自然人的权利和自由造成高风险”。因此,开展数据保护影响评估的目的,在于督促数据控制者主动考虑风险,主动提出降低风险的方案[3]。最后,如果数据企业无法找到足以使风险降低至可接受的水平的措施或实施措施后残存风险依然较高时,GDPR要求数据企业应当尽快告知相关数据监管机构并进行协商。
2.设置事后处理措施。第29条工作组在《个人信息泄露告知指南》中指出,GDPR所设置的数据安全策略的关键因素是,一方面尽可能防止发生数据泄露造成个人信息风险,另一方面在发生泄露的情况下,能够及时地对其做出有效反应。因而GDPR在对数据企业构建了数据实践前风控制度的同时,也为数据企业在个人信息泄露事件发生后的行动以立法方式做出了规制。GDPR条款规定了何时及向谁进行泄露告知,以及告知中应当包含哪些内容。GDPR第33条规定,发生数据泄露的数据处理者应当立即告知数据控制者,数据控制者则应当在至迟72小时内向相关监管机构报告。报告内容不但应当包含数据泄露的性质、涉及的数据类型及大致数量等常规内容,还应当对泄露后果进行预判并提出补救措施。同时,数据控制者还应当立即对受影响的数据主体进行告知,除非泄露不会对个人信息安全产生较高风险或其补救措施能够避免该风险。从条文规定来看,GDPR设置的数据企业向监管机构的告知是强制性的,除非数据泄露事件对个人的权利和自由造成风险的可能性足够低。而如果该泄露可能对个人的权利和自由造成高风险,就必须告知个人。因此,向个人进行告知的条件高于告知监管机构的,这一设置意在使个人免于不必要的通知造成的烦琐。但同时也意味着,一旦意识到出现数据泄露事件,GDPR要求数据企业不仅应设法进行控制,而且应同步评估由此可能造成的风险。一方面,这将有助于控制者采取有效措施遏制和处理违约行为;另一方面,数据企业将以此确定是否需要向监管机构或个人进行告知。此外,对于数据控制者与数据处理者分离的情况,GDPR在泄露告知方面采取了更为灵活的策略。例如第33条第2款明确规定,如果数据处理者意识到其从数据控制者处获得的个人信息发生泄露,它必须“无延迟”地通知数据控制者。与上文所述规定不同的是,在通知前,数据处理者不需要首先评估泄露引起的风险的可能性,而只需要确定是否发生了违规,然后通知数据控制者。此外,如果数据控制者已经给予数据处理者适当的授权,那么数据处理中可以代表数据控制者发出告知,但告知所发生的法律责任仍然在于数据控制者。
3.优化企业数据管理架构。传统个人信息保护规定仅就企业整体应负的义务进行规制,对于企业内部如何自主防控,将个人信息风险防患于未然则未有涉及,因此要求企业内部设立专门的数据监督专员是GDPR在增强数据企业责任的一系列规定中的又一大亮点。在GDPR条文中将这一职位称为“数据保护官”(data protection officer,DPO),并明确规定数据保护官应当独立开展工作,直接向数据企业的最高管理层报告,履行职责不受企业干涉。有关数据保护官的职责,GDPR第35条第2款规定,数据企业在进行数据保护影响评估时,应征求其数据保护官的意见。此外,还应当监测企业数据合规情况,同时对参与数据实践的工作人员进行培训。当个人信息泄露时,数据保护官的强制性任务包括向数据控制者或数据处理者提供数据保护建议和信息,以及提供进行数据影响评估的建议。数据保护官还必须与监管机构合作,并承担起与监管机构及所涉信息主体联络的职责。例如,第33条第3款就要求,数据控制者在向监管机构告知泄露情况时提供其数据保护官的名称和联络方式。在记录泄露的情况方面,数据企业能够从数据保护官处获得对该记载的结构、设置及管理方面的意见,这表示数据保护官可能额外负担维护这些记录的任务。以上职责意味着,数据保护官通过提供咨询和监测合规情况,不但能够在协助防止泄露及为泄露做好准备方面,同时也应在向监管机构告知泄露情况及在监管机构随后进行的任何调查期间发挥关键作用。基于此,第29条工作组建议数据企业将数据泄露的情况及时告知数据保护官,并使其参与整个数据实践过程。
三、我国数据企业责任制度审视与完善
我国现行法律法規中有关个人信息保护的条文并不鲜见,但从条文规定看,我国现行法律仍以传统告知同意的保护机制为主,对数据企业的个人信息保护责任规定不多。尽管《网络安全法》首次以法律形式对网络经营者的数据责任作出了规定,包括网络运营者采取必要措施防止信息泄露的义务,以及信息泄露发生后进行补救、及时告知用户及监管机构等义务,但这些规定都并非深入具体的进行规定,而仅是原则性、概括性条款。面对大数据时代的浪潮,仅靠《网络安全法》显得独木难支。因此,在《民法总则》将个人信息权认定为独立的民事权利后,各界对个人信息保护单独立法呼声较高。
目前,我国虽未对个人信息保护进行单独立法,但对个人信息实践影响密切的个人信息安全国家标准业已制订,即《信息安全技术个人信息安全规范》(以下简称《规范》)。《规范》首次较为系统的规定了数据企业的个人信息保护责任,对信息安全事件处置及告知进行了指引。在应急预案、应急演练等事前防范措施之外,《规范》要求数据控制者在个人信息安全事件发生后,需要采取记录、评估、上报、告知等四大类措施以确保将风险控制在尽可能小的范围内。值得一提的是,《规范》设置个人信息安全影响评估的目的与GDPR相同,均是“使风险降低到可接受的水平”,这反映出《规范》在设置数据控制者责任时的风险导向。此外,《规范》还根据我国国情做出了一些创新性指引,例如在人员管理培训方面,《规范》要求数据企业与涉数据人员签订保密协议、明确职责与惩罚机制。
《规范》也存在着一些明显的局限。首当其冲的是《规范》的效力问题。《规范》作为国家标准,其效力弱于法律及行政法规等。不仅如此,《规范》也并非国家强制性标准,而是国家推荐性标准,其对于相关企业的约束力很难得到保证,这将导致《规范》无法起到预想的规制数据企业的效果。对此,有两种解决方式。一是通过立法程序,将《规范》内容加以凝练和扩充,成为我国个人信息单独立法的一部分;二是在指令性文件中对《规范》的有关内容进行引用,根据我国《标准化法条文解释》的规定,推荐性标准一旦纳入指令性文件,将具有相应的行政约束力。通过以上方法,我国对数据企业个人信息责任的规制效力才能得到真正提升。此外,目前我国在这方面规制还存在着仅有规定而无制裁的缺陷,限于《规范》推荐性标准的形式,其虽有规定却无法对违反的数据企业进行惩罚。这一问题同样体现在《网络安全法》中,我国《网络安全法》规定,数据企业泄露个人信息最高可处违法所得1倍以上10倍以下罚款,无违法所得的处100万元罚款,但对于企业个人信息安全措施不到位的问题因未规定而无法制裁。且在数额上,相较于GDPR最高1 000欧元或上年度全球营业额4%的罚款,《网络安全法》也存在较大差距,这显示出我国对数据企业个人信息安全责任的规制力度还有待进一步加大。
保护个人信息安全是一项长期性、系统性工程,是大数据行业健康发展的基础。我国对个人信息安全的法制建设正处于关键时期,从《规范》的经验看,我国的个人信息规制应当在结合我国数据行业实践与信息主体权利意识程度的前提下对国际上的其他方案进行取长补短,不断探索适合中国的个人信息安全规制道路。