个人信息保护法虽然早已列入我国立法议程,但是由于其复杂性,一直以来进展十分缓慢,始终未进入实质性阶段。
社交媒体巨头Facebook因5000万用户数据泄露一事,站上了舆论的风口浪尖。事实上,中国也是网络信息泄露的重灾区。如何发挥合力、保护用户隐私、维护中国网络安全,成为亟待解决的命题。
用户信息“裸奔”有原因
手机软件、免费无线网络、搜索引擎、电商平台……这些常使用的互联网场景,很可能成为个人信息的主要漏洞。统计显示,目前网络用户信息泄露大部分都发生在移动端。
日前,腾讯社会研究中心与某互联网数据中心联合发布了《2017年度网络隐私安全及网络欺诈行为分析报告》。报告显示,2017年下半年,安卓系统手机应用中,有98.5%都在获取用户隐私权限。虽然绝大多数软件获取用户隐私是出于用户正常使用产品的目的,但也有9%的手机应用在2017下半年存在越界获取用户隐私权限的现象。
另一项数据显示,目前电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗。从已破获案件看,互联网平台内部监守自盗和黑客攻击是公民个人信息泄露的主要渠道。
据了解,当前中国网络非法从业人员已超150万人,其背后孕育着一条千亿元级别的黑色产业链。在已经破获的个人信息贩卖案中,数据级别动辄高达数亿甚至数十亿。例如,数目最大的“9·27特大窃取贩卖公民个人信息专案”中,被盗公民个人信息超过50亿条。
中国信息安全测评中心党委书记吴世忠表示,信息泄露将会给基于互联网构建的信息社会带来巨大隐患。他举例指出,单一的个人信息泄露会直接影响到个人隐私、社会交往和经济利益;局部性、群体性的个人信息泄露有可能导致网络犯罪和社会问题;大规模的个人信息泄露会引起公众恐慌,危及社会稳定;敏感的、跨境的个人信息泄露更会关乎国家发展和安全利益。
中国网民防范意识薄弱,是导致用户信息“裸奔”的一大因素。
事实上,中国网民并非没有意识到自己手机里信息泄露的风险。据《中国网民权益保护调查报告(2017)》显示,中国57%的网民认为个人信息泄露严重,76%的网民亲身感受到个人信息泄露带来的诸多不良影响。然而,另一调查数据也显示,四成手机用户在安装或使用手机应用之前,从来不看授权须知。北京市消费者协会发布的调查结果显示,有42.31%的人不知道授权应用采集的个人信息可能一直被留存;有79.23%的人認为手机应用上的个人信息不安全,但只有6.15%的人在安装或使用手机应用之前会经常看授权须知。
此外,监管缺位也是网络信息泄露频发的一大因素。据了解,一些地方网络信息安全多头管理问题比较突出,但在发生信息泄露、滥用用户个人信息等信息安全事件后,用户又经常遇到投诉无门、部门之间推诿扯皮的问题。
个人信息权立法难在哪儿
中国政法大学副校长马怀德在接受媒体采访时就曾公开呼吁,有关个人信息保护立法进程应该加速,有关法律应尽快出台。
“我们应该充分认识到问题的紧迫性与严重性,在大数据时代,一方面是信息自由、信息分享带来的无与伦比的经济发展动力;另一方面则是我们从未面临过的、严峻的信息泄露威胁和网络安全问题。尤其是个人信息保护问题,更在法律领域内日益凸显,有关立法出台可以说是刻不容缓。”马怀德说。
据了解,相对于互联网领域的其他问题,个人信息保护法虽然早已列入我国立法议程,但是由于其复杂性,一直以来进展十分缓慢,始终未进入实质性阶段。
另外,个人信息权立法一直以来推进缓慢的原因主要在于法律概念如何界定还存在争议。
主要的争议可以归结为个人信息被加工后是属于加工者还是属于个人。举个例子,大数据时代,一个人的喜好是可以被互联网数据公司通过分析整理形成一系列有效数据的,那么这个数据的所有者应该是属于互联网公司,还是属于被加工者个人?
这个概念如何界定,关乎数据产业未来的发展。
根据欧盟将在5月25日实施的《一般数据保护条例》规定,欧盟在一定程度上是保护加工者的数据加工权,但同时也在个人隐私的救济上设置了一系列的救济权。
清华大学法学院院长申卫星将欧盟《一般数据保护条例》赋予个人对一般数据的权利总结为:被遗忘权、获取权、修改权、携带权、拒绝权。
相比之下,我国目前对于个人数据保护的法律规定却显得十分保守,根据我国《民法总则》第111条规定:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
对此,申卫星认为,如果将个人信息作为一个人格权利,那么信息当然属于个人,而不可能属于信息收集、加工企业。“但是在大数据时代,这种保护过于严格,或者说它已经落伍了。”申卫星说。
“在大数据时代,中国已经出现了30多家大数据交易场所,技术的出现使得无形的个人信息能够像财产一样予以转让,并且转让还有期限。因此,我认为,我们要对个人信息予以财产权的保护而不是人格属性上的保护。”申卫星说。
立法应统一规制集中管理
在个人信息保护的问题上,除了如何界定人格权与财产权的争议外,如何进行信息保护的规制也是目前普遍热议的话题。尤其是在如何看待信息“出境”的问题上。
据了解,从目前已经通过出台的有关信息管理的相关法律来看,包括《网络安全法》《消费者权益保护法》和《数据跨境转移的评估办法》都规定,首先要经过信息主体的同意。
“但在实际执行层面上,这些规定往往流于形式。”中国政法大学互联网金融法律研究院院长李爱君告诉记者,“比如说,这些同意的条款往往会出现在用户下载使用APP之前,用户就会被要求勾选弹出的十分复杂的隐私协议,这些协议虽然说会列出各种APP出品方会获取用户信息的种种情形,但是,通常来说如果是非专业人士基本上很难读懂如此拗口晦涩的法律文件,况且用户也只有点击同意之后才能使用APP,这些造就了这种条款带有十足的‘霸王条款色彩。”
对此,全国人大代表、中国社科院法学所研究员孙宪忠就曾在去年全国两会期间公开呼吁,要转变立法理念。
“如果把個人同意当成信息采集以及保护的基础的话,对个人信息保护是相当不利的。”孙宪忠说,“必须首先考虑到是谁在采集信息,谁在保管信息,尤其是数据上云的情况下,谁应该对这个信息进行清洗,包括使个人的隐私不上到云端,这才是最重要的,而不是说造成信息泄露造成损害以后,从民法侵权的角度去解决。”
“从我国个人信息的法律保护现状可以看出,我国对个人信息保护尚未出台专门立法,对于泄露个人信息的处罚缺乏统一性和系统性,尚未形成统一的关于个人信息保护方面的基本法,而是散见于相关的法律法规中,且量刑偏轻。”李爱君说。
目前来说,除了我国《民法总则》第111条、刑法第253条涉及的公民的个人信息不受侵犯以及相关的处罚措施之外,2017年6月1日起施行的《网络安全法》,最高人民法院和最高人民检察院2017年5月9日联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对涉及用户个人信息的,也都进行了相关规定。
除此之外,消费者权益保护法、居民身份证法、商业银行法、未成年人保护法、电信条例以及《互联网电子公告服务管理规定》《计算机信息网络国际联网安全保护管理办法》《互联网安全保护技术措施规定》等法律法规都对涉及个人信息管理问题有所涉及。
“从立法形式上看,我国有关信息安全的法律法规在数量上似乎形成了一定的规模,但没有构成一个完整、系统、条理清晰的体系。”李爱君说。
从内容上分析,李爱君指出许多条文规定的内容过于抽象,操作性差,难以有效执行,且存在重复、交叉,形成多头执法和多头管理的局面,导致执法成本和司法成本的浪费。
“我国对个人的信息、肖像权等有法律保护,但是对于在大数据时代个人数据的使用却未明确,也没有专门针对个人数据信息进行法律法规的监管,这就造成了个人信息安全的隐患。”李爱君认为,要使个人信息得到保护,就要保证数据交易平台用的是“干净”的数据,即不能侵犯个人隐私、不能泄露企业商业秘密、不能泄露国家机密、不能危害国家安全等。
有必要推动专门立法工作
“为了应对大数据时代个人信息安全面临的新挑战,有必要推动专门的立法工作,除了从源头上加强网络安全防护外,更关键的是要完善公民个人信息立法,尽快制定个人信息保护法。”
李爱君认为,统一立法可以对个人信息给予更充分的保障,对收集、利用、买卖个人信息的价值取向保持一致,比如说,针对信息泄露问题,如果对于其他严重犯罪可能产生帮助行为的,可以在量刑上加大力度,并可以在罚金方面作出较为具体的规定。
同时, 李爱君建议,由于公务机关和非公务机关对个人信息侵害的程度不同,因此在立法时,有必要对公务机关和非公务机关予以区分。同时,基于国家利益、社会公共利益及他人利益等方面的个人信息侵权行为,应当制定相应的免责条款。
另外, 李爱君还认为,个人信息保护法应与信息安全相关的法律法规进行有效衔接,做到相统一、相呼应,从而形成较为完善的信息安全法律系统。
对此,孙宪忠表示赞同。他说,比如对于尚未构成刑事犯罪的一般侵权行为,主要通过民事法律法规进行调整,那么就十分有必要修改完善相关的民事法律法规,更有效地维护公民个人民事权益。对于其他相关法律法规也要衔接好,保持法律实施的一致性。
“除此之外,还应加大对敏感信息和移动设备的监管力度,大数据科研人员在研发之前,首先应考虑以保护企业和个人隐私为前提,运用信息加密技术等措施提升大数据技术信息安全水平,加强信息保护程度。”李爱君说。