魏波 刘晓昊
摘 要:执法是守法的必要措施,行政规制体现法治水平与执法能力。个人信息数据收集乱象在网络空间领域成为常态,严重影响着互联网生态与个人信息安全。文章通过重点剖析互联网产品的数据收集乱象,从行政角度探讨了国有电信企业在数据治理领域的缺位问题,提出了信息数据管理的行政创制构想。文章还对当前行政试点大数据管理局的职能缺陷和空白进行了剖析,并依托正在起草研究的《信息安全法》立法规划,对个人信息数据网络收集与管理的行政规制进行探究。
关键词:信息数据收集;信息安全;行政;规制
中图分类号:TP309 文献标识码:A
Administrative regulations on collection and management of personal information data network
Wei Bo1,2, Liu Xiaohao3
(1.First Research Institute of the Ministry of Public Security of PRC, Beijing 100044;
2.Institute of Computing Technology Chinese Academy of Sciences, Beijing 100190;
3. University of International Relations, Beijing 100091)
Abstract: Law enforcement is a necessary measure to abide by the law, and administrative regulation reflects the level of rule of law and the ability of law enforcement. Personal information data collection disorder has become a normal phenomenon in the field of cyberspace, which seriously affects the Internet ecology and personal information security. By focusing on the status quo of data collection disorder of Internet products and analyzing the reasons from the administrative perspective, this paper explores the absence of state-owned telecommunications enterprises in the field of data governance and the administrative creation concept of multi-dimensional information data management. This paper makes an analysis of the functional defects and gaps of the current administration pilot big data management bureau. Relying on the legislative planning of Personal Information Security Protection Law, this paper explores the administrative regulation of the collection and management of personal information data network.
Key words: information data collection; information security; administration; rules and regulations
1 引言
在當前信息数据爆炸式增长的环境下,个人信息数据在网络上的收集主体比比皆是,收集之后的管理与后续环节,大都呈现出较为混乱的局面。收集主体无限制、无根据地对用户信息数据进行收集,这些主体尤其以商事主体为主。而在个人信息数据的管理领域,则有收集一方和政府管理部门一方在不同领域进行。商事主体的运营行为要在法律基础上进行,政府部门则是依法进行管理,因此商事主体的运营行为也要受到政府部门的管理。个人信息数据的商业运用是新兴领域,需要政府部门在其收集与管理环节上进行创新的行政规制。
2 信息数据收集乱象
信息数据收集乱象产生的影响并不局限于收集环节,如果规范信息数据持有者的收集活动不合理,那么后续的保存、使用、共享、转让、公开披露等信息处理活动便会失控。若不对信息数据收集行为加以严格规定,则会引发一系列问题。因此,如何加强个人信息数据收集管理,做到既适应社会信息化发展需要,又维护公民个人合法利益,保护公共利益,成为当前一项重大而紧迫的课题。
在当前云技术和移动互联网迅猛发展的大背景下,数据收集乱象带来的挑战不容小觑。“徐玉玉案”等一系列恶性案件给社会带来的不良影响,使人们充分意识到信息数据泄露和滥用带来的严重社会危害,对个人信息保护的需求更加迫切,从而使得民众对个人信息法律保护的需求与个人信息保护法律缺失之间的矛盾不断激化。
我国已经颁布实施了大量的互联网法律法规,但这些法律法规之间缺乏整体性、协调性,呈现出明显的分散化现象。这种“多头立法、政出多门”的现象,必然导致互联网法律法规之间的重复与矛盾。信息化时代,信息保护的漏洞与风险被进一步放大,加强信息保护的重心已经转移到网络企业上。
2.1 互联网产品数据收集乱象现状与原因
2019年4月17日,由北京大学互联网法律中心、北京大学粤港澳大湾区知识产权发展研究院共同完成的《全球百款互联网应用产品个人信息保护测评报告(2018)》[4]发布。这次测评在样本抽取上,相较往年扩大了测评企业范围,测评对象涵盖了移动医疗、社交软件、智能家居等18个领域,所测评的国内外互联网产品总数达到100款。该报告还特别参考了国家标准与产业特征,据此进行的行业分类研究界定更具权威性和科学性。在100款被抽样测评的国内外互联网应用产品中,有5款APP的个人信息保护政策在总体水平上达到“相对优秀”标准,35款APP为“表现良好”,31款APP为“表现一般”,29款APP为“表现不佳”。简而言之,仅5款软件在个人信息数据收集上没有超出权限,表现合格。
在被测评的18个领域中,个人信息保护政策相对得分较高的是云储存类、浏览器类、出行导航类APP;总体平均得分表现最差的是公益众筹类、航拍软件类、智能停车类APP,基本缺乏完整的个人信息保护政策。特别是公益众筹类软件还存在着极为严重的信息失真问题,正如不断爆出的“有钱人”众筹新闻,不合理信息甚至失真信息的滥竽充数,从另一方面危害到了信息数据的安全。
通过对比域内外互联网应用产品总体得分情况,报告认为:在政策形式和申诉反馈机制方面,域内APP平均得分相对较高;而在处理周期以及安全与维护机制方面,域外APP普遍表现较好。总体评价直观显示,除了金融支付领域,域外APP在个人信息和数据保护方面整体上更加完善,这得益于域外法治发展较早、政府管理严格。本文从行政规制视角,剖析我国个人信息数据收集与管理出现乱象的原因,找到解决办法。
个人信息数据的收集网络主体,不仅包含着互联网产品,但是作为当前发展最为迅速的媒介,以APP软件为代表的互联网产品,在收集信息数据上有着极为持续且庞大的渠道和机会。互联网产品当前面临的现状,是在数据的海洋中放肆地遨游,而“遨游”的驱动力自然是数据信息背后隐藏的经济利益,这种利益寄生在灰色经济空间里。其“自由翱翔”的存在,说明了政府监管的缺失。这种缺失体现在两方面:第一,行政对权利和法律的保护力度不够强大;第二,行政保护措施在职能和执行上不够完善。
公民个人信息数据固然内涵广泛,价值多元,依托载体种类多样,但首先要明确的是,个人信息数据的权属是归于公民本人的私权利。在2018年正式实施的《信息安全技术个人信息安全规范》(GB/T 35273-2017)国家标准中,明确了国家标准对个人信息的具体范围和种类,包括个人基本资料、个人身份信息、个人生物识别信息等。这些信息的基础无疑是个人数据收集后的整理归纳,所以个人信息数据是无法切割的。保护个人信息,就意味着也要保护个人数据。对于企业超权限、违规收集用户数据,这种数据虽然停留在代码电文阶段,但是一经识别就能成为信息,体现价值,包括个人财产价值、社会公共价值和商业价值。在行政执法过程中,对信息的保护往往是事后补救,只有对数据进行同样的保护,才能事先减少个人信息安全事件的发生,防患于未然。行政力量对于法律保护的私权利无法一视同仁地保障,会导致权利和法律都遭受损害。
而在行政治理过程中,往往存在着“好吃的肉都吃掉了,剩下的都是难啃的硬骨头”的现象。对于表面上能够管辖的事务,无论哪个部门都愿意简单、粗暴地伸手,从而形成一种“九龙治水、大水漫灌”的治理形势,形成似乎众志成城治理信息数据安全的局面,实际上对于矛盾草草处理,掩盖了问题的根源。触及对问题根源的准入审查和治理,则囿于工作技术难度和任务量等原因相互推脱,这就是职能上的不明确以及执行上的“挑肥拣瘦”所造成的弊病。
2.2 国有电信企业在数据保护领域的管理缺位
根据最高人民法院、最高人民检察院发布的若干侵犯公民个人信息犯罪典型案例显示,侵犯公民个人信息犯罪正在与电信网络诈骗呈合流态势,产生严重的社会危害。前文提到的“徐玉玉案”即为典型一例由于个人信息泄漏导致的悲剧事件。个人信息数据安全事件的发生,大都与电信业务有关,其中最直接体现为因电信诈骗引起的利益受损。通过对电信业务关联的个人信息数据安全事件进行分析,发现其根源在于信息数据的泄漏和滥用等问题。如果从电信业务方面进行整治,则能事半功倍。国有企业(包括中央企业和地方国企)在我国当前制度框架下,承担社会责任、分担政治任务是理所应当的,而事实上也是如此。《中央企业社会责任蓝皮书》显示,中央企业的责任管理更加体系化,法治具有普遍性和统一性, 在价值理念、制度规范、适用主体和客体、实施空间和范围、奖惩后果等方面, 法治强调法律面前人人平等,一视同仁、普遍统一、没有特殊。国有企业无论以何种性质身份,都有义务维护法律。公平与正义是法律追求的重要价值,无论是国家管理,还是企业发展都应当在正义观念的基础上进行。国有企业为国民提供服务与保障公民合法权利是并行不悖的,不能默许和容忍个别违法犯罪分子借助国企进行犯罪活动。
鉴于当前我国的电信业务大都由国有企业主导,主要由中国移动、中国联通、中国电信三家央企承担,那么防范电信诈骗与信息安全事件的企业社会责任,必然以央企为主承担。当前,电信业务对于号码识别功能极强,通过用户之间通话所产生的标记往往能够认定电信号码的用途,针对电信用户的标记,电信企业并没有继续深挖其标签的作用,采取进一步措施来分流管理电信用户。而其他具备通讯功能的社交软件如微信、QQ等,都有一套逐级管理用户的措施,针对用户行为以及他人的举报,采取必要及时的措施。对于被标记为电信诈骗的号码,电信企业并没有采取任何限制和调查的措施,这种服务于诈骗号码的行为实际上是在助推违法行为。对于安全问题,无论是个人或机构,公共的或商业的,线上的或线下的,承担保护信息安全责任都是不可缺少的,占有技术优势的企业主体必须在信息管理上严防死守,确保收集起来的信息不被泄露或非法消费。信息数据安全事件往往需要与信息数据权利人接触才能产生实质性损失,电信诈骗是重要途径之一。因此,電信行业企业的管理缺位,已成为助推信息安全事件发生的重要原因。