◎上海戎磐网络科技有限公司首席信息官 Slimming Panda
“很好与优秀只差一点点距离,这段距离叫安全”。8月28日,华住集团被曝大量用户数据遭泄露,疑似近5亿条开房记录被拖库。华住集团虽在8月28日即通过官方微博声明表示已经报警并且聘请专业技术公司核查此事,但两周多时间过去了,华住方面仍无更新事件进展,而数据泄露引发的公众热议也逐渐在网上淡去。这很大程度上是因为我国在立法层面问责和监管缺位,受害者或是基于无力应对,或是应对无效后不得不接受现状,一般会选择“自认倒霉”。 9月4日,在2018年互联网安全大会上,一些专家呼吁,对个人信息安全的关注和讨论不该停止。
根据全国人大网10日公布的《十三届全国人大常委会立法规划》文件显示,共有69件法律草案列入第一类项目,即条件比较成熟、任期内拟提请审议。其中,个人信息保护法是第61个项目,这意味着个人信息保护将迎来专门立法。
另一则激动人心的消息是,今年9月17日,阿里巴巴等12家大数据企业在杭州签署《个人信息保护倡议书》,承诺保障用户信息控制权益。倡议书提出,公开透明处理用户信息;用通俗易懂的语言、简单直观的方式,向用户明示个人信息处理目的、方式、范围、规则等;一旦发生重大个人信息泄露事件及时告知用户;不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集,为用户提供个人信息申诉渠道、注销账户或关闭的途径;建立可访问、更正、删除其个人信息处理机制;不超范围和约定,收集、存储、使用、共享个人信息;在个人信息处理活动时,对用户合法权益造成的损害依法承担责任。
因此来说,在当前个人信息泄露频繁、大数据顶层设计不到位和第三方监管缺乏的背景下,我国在国家立法和行业软法规范方面事实上已经迈出了重要步伐。事实上,在中国的法律体系中,并不缺乏关于个人信息保护的相关立法。2012年全国人大常委会制定的《关于加强网络信息保护的决定》,2016年的《网络安全法》,2017年的《民法总则》,都有涉及个人信息保护的法律规则。在司法解释的层面上,则有最高人民法院与最高人民检察院在2017年联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。刚刚经过第三次审议的《电子商务法(草案)》,以及已经进入征求意见阶段的《民法典人格权编(草案)》也都有专门涉及个人信息保护的条文。在其他社会规范的层面上,国家标准委员会在2017年正式发布了《信息安全技术以及个人信息安全规范》的国家标准。但目前存在的问题是,我国既有的个人信息保护立法存在严重的碎片化,同时缺乏实际的可操作性。虽然看上去很多立法都涉及个人信息保护,但往往流于原则宣示,或局限于针对某一特定领域或方面的问题作出规定。由此导致规则之间的不协调,违反规则的责任主体、责任形态含糊不清。亟需国家层面的数据保护法律框架以及配套的信息安全激励和问责机制。
在个人信息保护方面,欧美国家可以为我们提供很多启示与借鉴。
以美国为例,美国的策略较为灵活,主要采取行业自律模式,即由公司或行业内部制定行业的行为规章或最佳实践指南,为行业的隐私保护提供示范和标杆。相对于个人信息保护立法,行业自律模式是一种相对宽松、尊重企业自我选择的一种保护模式。其弊端也是显而易见的,如缺乏统一自律标准,对个人信息保护参差不齐;执行机制不够完善,缺乏有效监督等。不过,美国也以分散立法的形式对该模式予以补充,如《联邦贸易委员会法》(15 U.S.C. §§41-58)(FTC Act) 是 一 部联邦消费者保护法案,禁止不公平或欺骗性做法,适用于线下和线上的隐私和数据安全。《消费者网上隐私法》、《儿童网上隐私保护法》、《电子通讯隐私法案》、《计算机欺诈和滥用法》、《金融服务现代化法》(GLB)、《健康保险流通与责任法》(HIPAA)、《公平信用报告法》等行业立法也为特定行业的隐私保护或特定类型的敏感信息保护提供了法律依据。除此之外,截至2018年3月28日,美国所有50个州、哥伦比亚特区、关岛、波多黎各和维尔京群岛均颁布了《数据泄露通知法》,要求私人或政府实体及时向受影响客户通报涉及个人信息泄露的有关事件。此外,在法律救济方面,除美国联邦及州级政府提起诉讼外,公司还面临用户及投资人提起民事诉讼的风险,以期寻求民事救济,指控公司违约、疏忽及欺诈。2017年6月,美国最大保险公司Anthem Inc.在发生8000万客户个人数据泄露事件后,就曾签署过一份1.15亿美元的和解协议,同意向每位原告支付235美元的赔偿,而遭受最大伤害的诉讼集体将获得高达10000美元的赔偿。加利福尼亚州在法律实践方面一直走在美国各州的前面,该州于今年6月28日颁发了一项备受关注的数据隐私法案——“AB 375”法案,直接为集体诉讼开绿灯,同时对“个人信息”进行了更为广泛的定义,将“生物识别信息”、互联网浏览历史记录和购买历史记录均纳入个人信息保护范畴。
同时,美国目前的立法也是存在条块分割、相互交叉甚至是矛盾等问题,缺乏全面性的综合隐私法。在数月前曝出的脸书和剑桥数据分析公司丑闻之后,特朗普总统的特别助理盖尔·斯莱特与信息技术行业委员会的首席执行官们会面,讨论联邦层面网络数据隐私法规的雏形。国会议员也呼吁制定新的法律法规,加强美国数据隐私保护体系,并可能借鉴欧盟的《通用数据保护条例》(GDPR)。
欧洲方面,欧盟在个人信息保护方面要严格得多,它对互联网环境下个人信息的隐私权保护算得上是世界上最为全面和严格的。欧盟保护模式是由国家主导的立法模式。国家通过立法的形式,明确保证个人信息安全的各项基本原则和具体的法律规定等。而刚生效不久的欧盟《通用数据保护条例》(GDPR),更是被媒体认为是大数据监管新时代的标志。该法案对数据泄露的定义较为宽泛,包括“违反安全规定导致所传输、存储或以其他方式处理的个人数据遭受意外或非法毁坏、丢失、篡改、未经授权披露或访问”。因此,数据泄露的定义不限于黑客访问IT系统,还包括智能手机、笔记本电脑或U盘丢失或被盗、恶意软件感染和数据丢失(如数据被意外删除且没有备份可用)。法案还规定了数据控制者和数据处理者在泄露事件中的义务,如通知监管机构和数据主体,记录包括与数据泄露相关的事实、数据泄露的影响以及所采取的任何补救措施等的所有有关数据泄露的情况。其惩罚措施也是全球最严格的,“不遵守上述通知义务可能面临高达一千万欧元或相当于全球年营业总额百分之二的罚款(以其中较高者为准)。不遵守监管机构的命令可能会面临高达两千万欧元或相当于全球年营业总额百分之四的罚款(以较高者为准)。”
一是数据保护不仅是数字时代企业社会责任的一部分,对于收集、使用或共享个人信息或其他潜在敏感消费者数据的任何组织而言,数据保护既是一种风险管理,也应是最基本的合规性功能。就公司而言,可将其视为“信息受托人”,用对个人信息的保护责任,换取法律的确定性和安全港保护。(“安全港规则”,即有限合伙企业中的有限合伙人(LP)的行为如果被认定为对合伙企业的控制性行为,则该LP就可能与普通合伙人(GP)一样,对合伙企业的对外债务承担无限连带责任。作为有限合伙企业的一项基本法律制度,安全港规则是通过对LP不参与合伙事务为隔离条件,而赋予其有限责任保护的一种价值平衡安排。)
二是在国家立法方面,可参考欧盟的GDPR,出台全面的个人数据隐私保护框架,对个人信息的定义要结合大数据发展趋势进行重新定义,法律的约束和监管对象应该是所有机构,包括政府部门,而不只是企业。
三是立法的效果主要取决于2个方面:一是自下而上的民意倒逼,对立法具有重要推动作用。个人维权意识提升、企业通过行业软法践行“社会责任感”,形成巨大的“民意”氛围,可以推动国家立法,使得法律更有活力和生命力;二是可供选择的法律救济措施,如通过集体诉讼寻求补偿,使公司承担责任,帮助公司成为负责任的个人信息管理者。同时,应建立以行政救济为主,民事救济、刑事救济相结合的多途径救济机制,全面保障个人信息主体的权利。
四是个人信息保护立法应有配套的信息安全激励机制,不能仅仅是东窗事发后的事件应急处置,而应向事件预防倾斜。应鼓励公司升级管理模式,做好完整可靠的数据安全措施。
五是对于个人信息保护议题的讨论,无疑是一个法律问题,同时也是一个技术问题。所以,我们不仅要进行法学思考,而且要进行技术方面的思考。如何实现技术规律、技术程序与法治规律和法律程序的有效连接,是我们需要面临和思考的新问题。