尹雪美 孙振佳 周振字
【摘要】全球大数据潮流下,随着移动互联网、电子商务和政务的发展,大量个人信息流入社会,因此数据的产生和处理变得异常便捷。但与此相对伴的是公民的个人信息越来越多的被政府和商业集团所掌控,在保护法规缺失的情况下,这些个人信息被肆意处理和滥用。针对上述问题,在研究美国行业自律的特点和相关法规建设的基础之上,对我国保护公民隐私权、建立行業自律以及对违法行为的规制提出设想。
【关键词】大数据;行业自律;违法行为;刑法规制
一、大数据下。美国隐私权保护的特点
近年来我国互联网发展迅速,电子商务发展也日新月异,但是我国对于隐私权的保护还处在萌芽状态。相比较而言,美国对于互联网隐私权的保护已经形成完整的体系,我国对隐私权的保护有必要借鉴美国的经验,构建一套中国特色互联网隐私权保护模式。
在大数据背景下,美国对于隐私权的保护主要以行业自律为主、分散立法为辅。深究其原因为历史和宗教中的自由主义对美国社会影响深远。
(一)行业自律
在自由主义影响下,公民和企业对于政府的干预比较反感,再加上市场经济和互联网通信的飞速发展,在个人隐私保护方面,民众和企业渴望摆脱政府和法律的束缚,进行自我控制、自我管理和自我约束,逐渐形成了保护隐私的行业自律。
所谓行业自律是指参与互联网信息交换的商家在没有政府和法律法规的干预下,通过遵循行业的规则来获取、利用和交易公民的个人信息,同时保障这些信息的安全。纵观美国所应用的行业自律模式主要有下述特点:第一,制定行业间的自律规则。如,美国商务部发表的《有效保护隐私权的自律规范》就要求网络从业者必须制定保护网上公民隐私权的自律公约。企业或个人从事互联网相关行业,便必须受到相关规则的制约。同时,各个企业之间要相互监督和举报,国家或个人发现隐私权被侵犯的情况,企业和个人会受到警告、罚款、禁止该企业运行和退出该行业的处罚。例如,美国《洛杉矶时报》曾因论坛侵犯公民隐私关闭了该论坛。第二,建立具有美国信息市场特色的隐私权认证机构。在美国并非任何企业都可以收集公民的个人信息,其只有通过认证、获得资格才能收集公民的信息,同时这些有资质的企业必须清楚了解个人隐私的范畴。目前,雅虎、脸谱、微软、苹果公司、IBM公司等通过认证可征集个人信息。
(二)分散立法
行业自律可以宽泛地保护个人隐私,但是在一些方面,行业自律难以发挥作用,比如儿童隐私、网络金融、电子保险等。这些方面涉及的个人信息由于各种原因容易被侵犯,单纯地依靠行业自律无法进行有效切实的保护,美国采取分散立法的方式来弥补行业自律的不足。从1974年起至2009年,美国针对隐私保护先后颁布了《隐私权法》《电子通讯隐私法》《金融服务现代化法案》《健康保险携带和责任法》等成文法。美国各州地方还颁布补充性规定来完善相关的法律法规。
美国采取的行业自律与分散立法相结合的方式,有效地规避了统一立法模式一刀切的问题,也符合大数据时代下信息处理经济快速发展的需要。各行业自行立规,隐私保护具有针对性且手段灵活,有效推动了产业的发展。得益于美国便利的法律和社会环境,谷歌和facebook在互联网方面遥遥领先于其他企业。
二、我国对于美国经验的适用
(一)大数据下我国公民隐私权的保护现状
第一,我国互联网企业相较于发达国家起步就晚,发展迅速但是整体水平落后。在相关立法方面,我国现行的《宪法》《民法通则》《侵权责任法》《刑法》和各类诉讼法中均有对公民隐私权保护的相关规定。但有些法规不系统、规定宽泛没有针对f生从而无法适用具体问题的解决。第二,中国互联网协会颁布《中国互联网协会网络版权自律公约》和保险业的保险业自律公约等,目前为止取得了一定的效果,为我国借鉴美国大数据监管模式提供了可能性。
(二)我国对于美国经验的适用
大数据时代,信息处理快,流动性强,如果采取统一立法的模式,无异于给我国的互联网企业套上紧箍咒限制其发展。并且我国人口和行业门类众多,情况更为复杂,统一立法不仅没有针对性,而且无法应对我国日新月异的社会情况,使得法律得不到良好应用,甚至在某些领域将问题复杂化。通过对美国模式的分析,再结合我国自身的国情,对于建立中国特色隐私权保护模式有以下启示。
第一,政府引导并鼓励行业制定有关隐私权自律规范。在各行业制定规范时发挥国家的指导作用,在立法层面对涉及个人信息处理的行为制定普遍性的原则和法规。各行业协会根据国家制定的原则和法规来进行行业自律规范的设计和完善。
第二,建立民间认证制度。在因地制宜地制定行业信息保护自律规范后,再由行业协会对同意遵守个人信息保护规则的企业或组织进行认证。获得上述认证的企业或者机构可以获得个人信息收集和处理的权利。在此基础上由行业协会公布企业名称和权限,提高认证企业或机构的良好的社会形象,为用户所熟知,促进企业发展。就目前发展趋势而言,随着个人信息价值的提高和信息量的日趋增多,民间认证机制的发展有助于个人信息流通,加快数据产业的运行。
第三,加强行业自律监管体制,在社会中建立专门的信息行业监督机构。纵观我国社会,由于封建统治等历史原因,导致社会自治能力薄弱,缺乏自律观念。并且我国行业协会发展年限短、体制不够发达、管理混乱,有一定局限性,不能像美国联邦贸易委员会那样兼顾监督行业自律规范的执行。因此,有必要建立行业自律的专门监督机构,通过信息收集行业的内部监督及时对行业内部的个人信息侵权事件进行处理,将侵权最小化,提高社会整体对个人信息保护的力度。
第四,吸取美国因地制宜的信息管理经验,强化具有我国法律特色的救济措施。我国是人口大国,社会发展影响因素众多,网络环境更是复杂,不能单靠行业自律,要建立行政、民事、刑事相结合的多种救济途径,全面保障个人信息的主体权利。同时,政府在这一环节中应当以社会管理者的身份,对行业所制定的自律规范予以评估和监督,行使其行政管理职能,对于制定的行业自律条款能动地召开听证会或以网络为依托广泛收集意见。上述做法的益处在于政府对行业自律的指导是一种公权力的调整,可以在一定程度上限制行业的任意行为,保护公民自身利益。
大数据下的行业自律可以让各行业进行自我监督、自我控制,用灵活的方式收集和处理公民的个人信息并进行脱敏处理,符合现在发展潮流。但是行业和普通公民之间其社会地位和经济实力并不平等,在公民個人信息和隐私受到侵犯时需要有法律对弱者给予特别保护。
三、行业自律下违法犯罪行为的规制
大数据时代下,信息交易量巨大,利润颇丰,其无法避免行业协会在运行时出现违法犯罪行为。
所以针对一般性违法行为,在行政法领域加强对各行业协会和企业的监管。其中包括两部分内容:第一,行业协会在制定自律规范时不遵循公平、诚信等原则时,政府监督部门可以提出整改建议干预其立规行为;第二,行业协会约定有自律规约,企业认同并签订保证书后,该企业违反自律规定,行业协会可以对该企业进行处罚,可以进行警告和罚款。其中罚款时可以采用浮动计算方法,规定一定比例,按照企业所得计算罚款金额。企业在受到警告和罚款后仍不改正时,行业协会收集材料上报相关监督部门,由监督部门做出禁止该企业运行或让该企业退出该行业协会的处罚决定。
针对行业协会一般违法行为演变成犯罪行为时,则需要有更为严格的法律进行规制。
我国地区行业协会是具有地方性、行业性的非营利性社会组织,其可由该地区相关产业的企业、高校、科研院所、产业园区等单位自愿组成。由于行业协会组成机构范围广,在大数据背景下如若行业协会犯罪,必将给该地区大数据发展造成严重的负面影响,因此对于行业协会的犯罪活动需全方位进行防范与规制,即分别从事前、事中和事后三个阶段人手。
首先要建立健全行业中从业人员的道德自律机制,加强从业人员的行业道德素质。大数据背景下发展行业自律,从业人员只有具备较高的道德水准,才不会轻易造成大数据的泄露以至于引发违法或犯罪活动。
其次要建立健全大数据行业协会的道德自律机制,签订行业自律公约,在公约中约定不得非法向其他公民或企业提供公民个人信息,在日常业务办理中,通过合法、正当的途径取得公民信息,并且行业协会还要发挥监管的职能,对自身内部的行为进行监管和对各交易所的数据交易行为或其他单位机构的数据交换行为进行监管,对于侵犯公民隐私的行为或相关单位依照行业规范来处罚。如若行业协会正在通过非法途径和方式将公民个人信息向外泄露,政府有关部门以及公安机关应及时采取必要措施有效遏制公民信息的进一步外流。在采取初步措施后,按照有关法律规定,对行业协会或内部具体职能部门以及工作人员进行相应惩处。根据《中华人民共和国刑法》第二百八十六条之一的相关法律规定,网络服务的提供者不善意履行法律、行政法规规定的信息网络安全管理义务,导致用户信息泄露造成严重后果的,单位要承担罚款的法律责任,并对直接负责人员和其他直接责任人员规定了处罚方式。
目前而言,对于大数据下行业协会犯罪活动的法律规定还不尽完善,权力机关也尚未对此做出更为细致的规定和解释。而在保护公民个人信息上,刑法的规定与司法实践尚存一定差距,甚至出现脱节现象,亟须对行业协会犯罪的立法予以完善和补充。随着近几年个人信息数据犯罪的案件多发,在司法审判结果中多呈现出罚金刑取代自由刑的趋势,而我国以自由刑为主的处罚方式,在日后将逐渐以罚金刑来执行,以足够的力度来打击该类犯罪行为。至于罚金数额还需要结合罪行轻重、对社会经济的影响程度和认罪悔罪态度等主客观因素相结合后来判定。另外,还可以采取资格刑来加重处罚力度和犯罪成本,即规定犯罪人员终身不能再从事该有关行业,这种刑罚无疑更能达到预防犯罪的效果。