陈金金
(贵州贵达律师事务所,贵州 贵阳 550801)
随着数字经济的规模和影响力不断增加,并日益成为经济全球化、现代化的主要驱动力,个人数据在数字经济背景下的作用显得越来越突出。在数字经济时代,个人数据被比作“新的石油”,个人数据连接着人工智能、大数据、互联网商业、区块链、物联网及社交媒介等终端。现实生活中,除医疗、交通、住宿、银行、保险、房地产、物流等行业因政策法规规定或交易客观所需而采集民众信息外,就连餐饮、零售甚至健身机构等私营服务领域也热衷于采集民众个人信息。个人信息采集越来越日常化,民众越来越多的个人信息被鱼龙混杂的机构、实体所掌握,其信息的安全性显然缺乏基本的保障。因此,如何在数字经济快速发展的当下保护好个人数据,无疑是横在政府、企业与个人面前的一道难题。本文以我国个人数据保护现状为基础,分析目前保护手段存在的问题,有针对性地提出数字经济时代下保护个人数据的完善建议。
个人隐私最早由美国学者在《论隐私权》中提出,后美国通过法院判例及成文法确立了隐私权制度,我国也将隐私权通过立法的形式确定为个体的一项基本权利,包含在人格权中。基于此,我国隐私权保护的个人数据仅限于敏感个人信息,对于非个人敏感信息和公开的个人信息无法进行保护。个人数据保护最初是在隐私权框架下进行的,欧盟从《欧洲人权公约》开始一直在探索关于个人隐私数据保护的规则,《欧洲联盟基本权利宪章》中提出了“个人数据保护权”的概念,《通用数据保护条例》明确了个人数据保护权的定义。
随着互联网的普及、数字经济的发展,隐私的内涵和外延逐步扩张,不仅仅是敏感私密的隐私信息的范围被拓展,还包括可识别个人属性和行为特征的各类信息。甚至原本分散在不同渠道的、片面的、难以直接与数据主体建立关联的信息迅速被数字化、集成化和结构化后,加以分析从而形成针对某个人的精准信息报告。可见,个人数据扩展了隐私所包含的范围,隐私中包括私密数据和其他数据,个人数据包含非隐私性的数据,范围比隐私广,两者成交叉关系,因此,欧盟出台上述条例也意味着个人数据保护权作为一项新兴权利正逐步进入到法律规制的阶段。
此外,在数字经济时代,用户的个人数据变成了具有盈利价值的数据资产,故个人数据的权利性质除了涉及到人格权,还与财产权有关。对个人数据的侵害可能损害权利人的隐私,也可能对权利人的财产造成损失。因此,传统的基于人格权隐私权保护已无法满足人们及社会的需求,法律应在隐私权之外,对个人数据给予明确的界定及专门的保护。
个人数据在一些法律文件中也称为个人信息,虽然在其具体定义方面不同国家有不同标准,但大多数都采用“身份识别标准”,即以能够识别特定自然人身份为准。以《通用数据保护条例》(GDPR)为代表的欧盟,对“个人数据”的认定标准为“已识别或可识别”自然人(数据主体)相关的任何信息。与GDPR定义广泛的特点相比,以《加州消费者隐私法案》为代表的美国则定义的更具体并有除外条款:“个人信息”指能够识别、关联、描述以及能够与特定消费者或家庭关联或合理关联的信息,但不包含公开可得信息、去标识化的或已聚合的消费者信息。新加坡《个人数据保护法》也将“个人数据”的“可识别性”作为界定法律保护个人数据的范围,韩国《个人信息保护法》则使用“相关性”和“可识别性”同时界定个人信息的范围。
在我国,个人信息保护的主要法律规范及司法解释也采取了身份识别标准,大致可分为:身份数据、生物信息数据、健康医疗数据、财产数据、信誉数据、行为数据和社会数据。详见下表:
随着人们步入数字经济时代,个人数据已成为公众识别个人身份、彰显个人能力、证明个人信用和体现个人行为习惯的重要信息。但个人数据遭泄露、被非法挖掘和非法利用的问题也日趋严重。例如,因个人数据泄露被骗学费而自杀的学生,将用户数据泄露并被靶向引导用于政治活动等,都属于滥用个人数据的行为。个人数据泄露形式多样,所带来的危害也各不相同,集中表现为:行为记录被曝光、被垃圾邮件和电话骚扰、个人财产因被骗而受损,更有甚者还会威胁到具体公民的生命安全。
目前,我国通过立法对数据进行了定性,明确说明了数据的财产属性,同时概括性规定自然人的个人信息受法律保护,还对非法收集、获取、使用个人数据等行为的法律后果进行了界定。政府、企业及个人也从技术和管理方面通过多种手段,创造个人数据安全保障环境,如利用密码技术对个人数据实施加密存储和加密传输,利用隔离和访问控制技术对个人数据实施严格的访问控制等。但是由于技术和管理上的不足以及软件漏洞、恶意病毒等因素,个人数据泄露和非法利用等涉及信息安全的事件层出不穷,造成的危害也日趋呈现严重性和普遍性。
当前我国对个人数据法律保护的相关规定数量较多也较为分散,并没有统一的综合性个人数据保护部门法。由于不同法律法规之间使用的范围存在差异,故无法进行合理衔接,且诸多法律条款零散、抽象,缺乏系统性和可操作性。此外,由于数字经济涉及的行业领域十分广泛,越来越多的互联网平台加入到餐饮、物流、房地产等传统行业,由此引发的法律问题牵涉各行各业,情况十分复杂。从法律规制的角度而言,在主体资格、数据权属、数据使用范围等关键问题上所呈现出的不同特点,客观上无法采用“一刀切”的方法对受侵害个人进行救济。因此,必须逐行调研,对症下药。
具备智能技术的专业监管及执法机构在政府对个人数据安全进行管理和保护的过程中,可以起到至关重要的作用。只有通过专门的执行、监督机构,采用事前监督、事中调控、事后调查与处罚相结合的方式,方能全方位和多角度保障个人数据主体权益免遭不法侵害,同时对受侵害个体赋予其遭受侵害后可供选择的救济途径。
但就目前而言,我国现阶段个人信息保护监管工作主要是由政府的工信部门负责,还未成立专门的个人数据监督执法机构,具体层面仍以多部门监管、多头执法的方式对各类违法违规行为进行治理。同时,智能技术和专业人员的缺乏也为政府监管带来更多困难,这也是当前难以有效解决监管等主要问题的原因。
考虑到网络化时代个人数据侵权行为具有隐秘性,用户也因技术壁垒限制难以取证等因素,专门机关的监督管理无法完全实现对个人数据处理行为的有效监督。适当引入行业自律组织进行监督和管理,通过制定相应的规范并确定操作底线,可以起到引导企业规范其行为的作用,并警示企业违规的后果。但目前我国行业自律组织的发展未受到充分重视,个人数据保护的行业自律规范也仅停留在中国互联网协会制定的规范和一些网络企业制定的个人信息保护声明层面。
政府、企业及个人对数据保护的技术不完善,导致攻击者利用其技术漏洞,窃取个人数据也是个人数据泄露的主要原因之一。对此,诸如政府在数据治理过程中使用的软件漏洞、恶意病毒、越权访问、权限滥用、暴力破解等,就属于技术层面的保护缺失。此外,个人数据一旦在网络空间里产生,便会在多个层面有所体现,因此从数据的存储、传输、处理、销毁(删除)整个过程均存在数据泄露、盗用、冒用等风险。同时,根据本文第一部分可知个人数据可分为身份数据、生物信息数据、健康医疗数据、财产数据、信誉数据、行为数据和社会数据,因此,针对不同层面、类型及各个阶段的个人数据,保护的手段应不尽相同。除了从法律法规层面对此进行规制外,还应有技术层面进行“对症下药”的管理措施,形成安全可行的技术体系。
现实中,不少公民缺乏保护个人数据的意识,在使用共享平台或社交软件时过度曝光个人信息,在采集者和经营者采集其数据时不了解、不阅读相应条款,甚至部分公民有时候乐于以其个人数据与平台或网站交换一定的福利,以上这些都是个人数据泄露和滥用的主要途径。当个人数据受到侵害时,更多人受传统观念影响,受害者往往甘愿承受损失,也不会主动寻求救济途径进行自身权利的维护,这在客观上更加助长了企业、平台等超范围的获取个人数据的风气。
在涉及个人数据保护的各个环节、流程和主体中,政府、企业、第三方机构、个人均应在数据保护方面凝聚共识形成合力。
首先,应采取统一立法的模式,制定专门的个人数据保护法或类似的部门法。立法应考虑以下两个方面:一是以平衡数字经济的发展与个人数据保护为原则,明确个人数据定义举例及判定依据,并根据可识别程度的不同确立差异化禁止处理原则及可以处理的例外条件等;二是对个人数据侵权与一般数据侵权进行区分保护,针对前者应予以更重的惩罚。
其次,针对不同行业所呈现出的不同特点,从数据的收集、保存、使用到数据的传递等方面进行法律规制,并针对目前在个人数据保护方面存在的缺失,相对前瞻性的制定法律法规,构建多领域、多层次的个人数据保护法律体系。
最后,建立健全外部监督和内部监督机制以及相应处罚措施,赋予个人数据主体民事赔偿维权与机构侵权行为行政和刑事惩罚同等关注。
对于个人数据设置专门机构进行保护的方式在其他国家已有先例。例如欧盟设有数据保护局实施和执行欧盟法令和成员国法律;新加坡设立了个人数据保护委员会和行政机关,代表政府进行一系列与数据保护相关的活动;日本建立了专门的审查会咨询制度以平衡个人信息的公开和保护;我国香港地区也设立专门独立的个人信息保护机构。我国可以考虑成立专门的个人数据保护委员会,专门负责个人数据保护领域的工作,统筹个人信息保护中的预防、监管、投诉处理、行政责任追究等职责,并配备专门的相关技术性人才,这样更有利于个人数据的保护。
单纯依靠行政机关运用行政权监管个人数据的使用情况是不可能的,政府的资源有限,因而通过引导行业自律机制监督行业内使用个人数据的情况,既能达到保护个人数据安全的目的,又能节约行政资源,同时也能促进社会组织发展与现代管理制度的革新。行业自律组织是沟通政府、市场和企业的桥梁和纽带,具有更强的专业性和灵活性且更贴近市场,从而更容易采集行业信息,较好地配合政府进行管理和治理。因此,我国应重视并发挥好行业自律组织的作用,通过制定国家标准及行业规范,明确企业的从业资质与行为规范,增强行业整体自律意识,积极推动使用个人数据的企业增强责任意识,承担保护公民个人数据的义务。
构建可行的个人数据保护的技术体系是保障个人数据安全保护的重要手段之一。根据数据的采集、传输、存储、访问和运用等阶段,有针对性地采用不同的安全技术手段。因此,个人数据保护的技术框架可考虑分为安全数据采集层、安全数据传输层、安全数据存储层、安全数据访问层、安全数据应用层5个层次进行设计。
1.安全数据采集层通过线上线下采集并分类分级处理,在数据采集过程中对数据采集对象实行告知义务,并保障数据安全可靠的数据采集技术。
2.安全数据传输层通过采用HTTPS传输协议、VPN、验签与校验等加密数据传输技术对个人数据进行传输,确保采集到的个人数据传输过程的安全。
3.安全数据存储层通过对个人数据分类分级的储存和管理,以保证数据的机密性、完整性,防止个人数据使用者、管理者对个人数据进行非法篡改。
4.安全数据访问层根据分类分级的数据类型及访问者的权限,通过强制访问控制、多级安全策略以及安全审计等方式,防止个人数据使用者对个人数据的非法访问和攻击者未授权访问个人数据。
5.安全应用数据层主要是对个人数据的使用管理,如通过用户权限、单点登录、多因素统一身份认证等方式进行事前授权,通过应用检测、行为检测控制、应用性能监测、WEB数据反爬取进行控制等方式进行事中控制,事后通过应用行为审计以及签订个人数据保密协议等进行事后审计,形成完整的应用安全防护机制。
个人数据的保护应当从用户自身做起,加大对公民的普法力度,并有针对性地进行宣传和宣讲,让人人都认识到数据安全的重要性,形成全民化个人信息保护模式。个人在向政府、企业等平台、网站提供个人数据前,应当认真阅读采集者和经营者出示的用户数据保护条款或协议,明确采集者和经营者应负的数据保护义务及范围,判断提交的数据是否超出必要限度,以防被过度采集数据和数据被滥用。如果只靠相关的管理机构来进行保护显然势单力薄,所以应该采取由上而下与由下而上相结合的全民化的公民数据防护模式。