薛军
个人信息保护不能因噎废食,要尊重市场规则,重视和相信以技术手段来解决问题,在绝大多数情况下,这比一刀切式的禁止更加妥当。
在享受信息技术和互联网带来的巨大便利的同时,中国公民正遭遇日益严重的个人信息安全问题。
个人信息的违规收集、不当处理、泄露,以及猖獗的地下黑产,使人们成为“透明人”。各种量身定做的骗局,精准指向的广告营销接踵而来,个人隐私暴露在各怀心机的他人或公众面前。
如何通过建构个人信息保护的良善规则之治,在享受技术发展带来便利的同时,尽可能避免其导致的消极后果?
网络化时代的个人信息保护问题,是世界性的挑战。即使是欧美发达的法域,也在积极探讨相应的应对方法。已经在不久前正式施行的《欧盟通用数据保护条例》(GDPR)正是这一领域的最新立法,引发全世界的密切关注。对于中国而言,妥善保护个人信息,亟须处理立法、监管、市场等几方面的问题。
中国的个人信息保护领域需要更具系统性、科学性以及可操作性的立法。严格来说,在中国的法律体系中,并不缺乏关于个人信息保护的相关立法。
2012年全国人大常委会制定的《关于加强网络信息保护的决定》,2016年的《網络安全法》,2017年的《民法总则》,都有涉及个人信息保护的法律规则。在司法解释的层面上,则有最高人民法院与最高人民检察院在2017年联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
刚刚经过第三次审议的《电子商务法(草案)》,以及已经进入征求意见阶段的《民法典人格权编(草案)》也都有专门涉及个人信息保护的条文。在其他社会规范的层面上,国家标准委员会在2017年正式发布了《信息安全技术以及个人信息安全规范》的国家标准。
但不容否认的是,我国既有的个人信息保护立法存在严重的碎片化以及缺乏可操作性等诸多方面的问题。虽然看上去很多立法都涉及个人信息保护,但往往流于原则宣示,或局限于针对某一特定方面的问题作出规定。由此导致规则之间的不协调,违反规则的责任主体、责任形态含糊不清。
例如《民法总则》第111条规定,“任何组织和个人需要获取他人个人信息,应当依法取得,并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”但问题是,要求“依法取得”,不得“非法收集”等等,这样的规则要能够发挥作用就必须有明确具体的法律规范去规定:什么类型的个人信息,以什么样的方式来取得才是合法取得;而什么类型的个人信息,只要取得了就构成违法。没有配套的具体衔接规范,《民法总则》的这一规定就是具文一条。
为了解决这一问题,必须制定一部系统、全面、可操作、能落地的《个人信息保护法》。该法律要整合既有的个人信息保护领域的法律规范,也要查漏补缺,提升立法的科学性、体系性和可操作性。基于此,如果国家层面上已经决定启动制定《个人信息保护法》,其他立法中就需要避免针对相关问题再做规定,否则不仅是立法资源的浪费,也会造成立法体系不协调和不统一的问题。
当然,立法不是万能的,也不能过于刚性。在个人信息保护立法的过程中还需要注意预留制度发展的弹性空间,在有必要时,重视诸如标准等社会规范、软法规范的运用。
在中国建构个人信息保护的规则之治,必须建立一个统一、高效,在涉及个人信息保护问题上职权配置清晰而且明确的监管体制。由于诸多因素,中国的行政机构中,在涉及个人信息保护的问题上,并未明确相应的主管部门。
新一轮的政府机构改革中,虽然在中央层面有网信办以及新组建的市场监督管理总局,但个人信息保护的主管部门似乎仍然是条块分割,分而治之的状态。在这一问题上,需要注意到,欧美发达国家的趋势是建立更加高效的“一站式”监管体制,以及设立独立监管部门来专门负责个人信息保护规则的实施以及行政执法。
例如,前述欧盟的GDPR就在第六章明确规定了“独立监管机构”,要求各成员国必须建立独立的监管机构来专门负责个人信息保护法律的执行。德国为此在相应的政府机构中设置了“个人信息保护专员”。作为执法者,其享有独立而且完整的涉及个人信息领域的行政调查、执法和做出处罚的权力。美国的联邦贸易委员会(FTC)在相关领域也发挥着核心的行政监督和执法职能。该委员会在涉及个人信息领域的很多执法案例,推动了美国的个人信息保护规则的发展。
我国要强化个人信息保护,也必须建立一站式的监管体制,明确一个独立的行政部门来专门负责个人信息保护领域的执法。法律制定得再好,如果没有强有力的执法者,还是一纸空文。
我国现在涉及个人信息保护的很多法律规则,都规定任何单位和个人不得违法收集个人信息。但在实际生活中,笔者曾经遇到,酒店对入住的客人收集相关的人脸信息,多方投诉却无任何结果。没有一个机构认为自己应该对相关行为承担监督的职责。在这样的执法体制之下,怎么可能期待建立一个有实际效果的个人信息保护制度呢?
另外,对于频繁爆发的黑客入侵企业内部系统窃取个人信息,企业内鬼主动泄露个人信息,企业违规分享、转让、倒卖个人信息等事件,如果不是发生了诸如山东徐玉玉案那样的恶性事件,引发舆论高度关注,哪个主管部门会认为自己有义务去检查、督促企业建立更加安全的个人信息保护系统,完善企业内控制度,从而防患于未然呢?
要真正解决此类问题就必须打破条块分割、分而治之的局面,建立强有力的、统一的、配置有专门执法权的、负责个人信息执法的监管部门,并且将该部门的职责告知民众,建立有效的投诉处理机制。只有这样,个人信息保护法律制度的实际有效运行,才具有了制度基础和真正的动力来源。
个人信息保护的良善规则之治,还必须建立在妥当的价值均衡、尊重市场规律和技术发展趋势的基础之上。
因为关涉隐私、尊严、人身与财产安全,所以个人信息在法律层面被予以认真保护。保护个人信息,不是因为个人信息本身的价值,而是因为背后的人需要得到保护。但法律上对任何法益的保护都不可能是绝对的。法律会将需要保护的利益放在一个整体框架中寻找最妥当的均衡点。
数字经济时代,个人不可能在享受互联网技术发展带来的红利的同时,又把自己包裹在信息隔绝的空间之中,这从技术层面看是不可能的,从利益均衡的角度看,也是不合理的。
每个时代都会催生具有时代特色的隐私期待,个人信息保护的制度边界必须与此相適应。在个人信息保护的水准上,并非越高越好,因为过犹不及,过高的保护标准反而会阻碍信息技术和互联网技术的迭代发展。
要解决这一问题,首先,必须注意在民事责任、行政责任与刑事责任的配置上比例得当,衔接流畅。基于各种理由,在个人信息保护问题上,必须以行政责任为主导,配之以典型行为样态下的刑事责任和偏向于个人之保护,以举证责任倒置,责任推定和有限情况下的连带责任为基础的民事责任。
其次,要注意区分个人信息与数据,对于后者应该尊重相应的数据主体合法财产性利益,鼓励充分的商业化和流动。欧盟在制定GDPR之后,另外专门立法促进非个人数据的自由流动,并非偶然。
我国《民法总则》第111条和第127条明确区分了个人信息与数据作为两个不同的法律概念,这种立法理念非常先进。应该以此为基础建立两个逻辑不同的制度体系:对个人信息强调保护,对数据则强调财产性价值的认可。至于二者之间的关系,应该采取个人数据定义保留原则,也就是说,除非被明确界定为属于个人信息,并且被相应的个人信息保护立法所覆盖,否则推定为属于数据,适用法律上的关于数据的规则。
再次,个人信息保护的规则需要尊重技术发展趋势,应该更多地鼓励新技术的发展,以技术手段来解决个人信息保护。信息技术的发展是解决个人信息保护的最有效方法。这一点已经被很多实务案例予以证实。
例如,网约车司机与乘客联系时,采用虚拟号码就很好地解决了乘客的手机号码信息泄露问题;快递运输包裹上的电子代码技术,基本上解决了运单上的个人信息泄露问题。
因此,在个人信息保护的问题上,设置禁止性规范以及其他的强制性规范时,必须为技术发展留有弹性空间。个人信息保护不能因噎废食,要尊重市场规则,重视和相信以技术手段来解决问题,在绝大多数情况下,这比一刀切式的禁止更加妥当。
甘蔗没有两头甜,进入互联网时代,不能一方面享受信息技术的红利,另外又不承受技术发展带来的消极后果。但可以通过理性的制度设计,尽可能二者得兼。社会的任何发展和进步,无不是在这种权衡利弊中摸索前行。
(作者为北京大学法学院教授、副院长,编辑:李恩树)