查看原文
其他

【数据法学】谢琳 祝林华:个人信息保护的政府监管模式探析

谢琳 祝林华 大数据和人工智能法律研究 2022-11-09

B D A I L C 

 欢 迎 关 注 


在大数据时代,如何维持发挥信息市场经济价值和维护网络安全和隐私自由之间的平衡,需要具有普遍约束力又能够灵活地避免遏制市场活力的监管方式。

当前,政府必须认识到约谈也将对个人信息保护起到至关重要的作用,只有将约谈引入并实践于个人信息保护领域,才能在丰富个人信息保护政府监管手段的同时,充分发挥约谈的作用。


Thomas W. Schalle



个人信息保护的

政府监管模式探析



文 / 中山大学法学院讲师 谢琳

中山大学法学院 祝林华


2017年我国《网络安全法》的出台,确立了个人信息网络安全的核心法律地位,但政府监管机制亟需进一步落实。2017年以来我国也陆续出台不少政府监管细则,并将“约谈”作为重要执行手段之一。我国应进一步推进个人信息保护机构的构建、完善立法体系以及加强不同机构间的联动保护。



我国个人信息保护的现实意义

在网络安全领域,个人信息保护和政府监管无疑是2017年值得关注的亮点。《网络安全法》于2017年6月1日起实施,其第四章单独规定了为建立和维护网络信息安全,网络运营者、有关监管部门和任何个人和组织应当遵守的基本行为准则。同年5月,国家网信办陆续出台了系列行政性管理办法和规定,细化了《网络安全法》的部分原则性规定,提高了操作可能性。

《网络安全法》将网络信息安全保护置于了网络安全的核心位置。过去,在网络空间安全保护方面,我国主要是通过技术管制、互联网行业自律和刑法保护。近年来,我国对个人信息保护分别从立法和政府监管两方面双管齐下,这种迫切的保护态度是有其特殊的社会背景的。

推行网络实名制的需求。《网络安全法》以法律的形式确立了网络实名制。网络实名制推动了大数据的发展,其强大的价值潜力,刺激了不法分子对个人信息的收集、存储和运用的野心。可以说,网络实名制加剧了用户和网络服务提供者在个人信息收集、存储和使用方面信息不对称的现状。因此加强个人信息保护是网络实名制推行的安全保障和基础建设,只有加强个人信息保护,才能增加社会对网络安全的信任度,为实名制开辟绿色通道。

应对个人信息侵权的纵深化。由于加强个人信息保护不能给相关公司和机构带来实质的经济利益,因此往往缺失提高个人信息安全性的主动性。同时,信息利益的凸显导致市场对个人信息需求的增长,相关专业机构应运而生,相关侵权主体逐渐机构化。从公安部门查办的案件情况看,个人信息泄露主要是通过恶意捆绑、钓鱼软件、cookies追踪、服务器黑客入侵和行内人士以职务便利窃取等非法行为发生。在技术层面,虽然有数据发布匿名保护技术、社交网络匿名保护技术、用户认证技术等作为网络安全保护的基础设施建设,但仅仅依靠技术手段保护用户隐私是远远不够的。

《网络安全法》的有益补充。例如《网络安全法》第41条并没有对“合法、正当和必要”三大基本原则做具体解释,在允许法官自由裁量的同时也增加了用户维权的取证难度。信息道德(InformationMorality)作为规范人们相互关系的思想观念和行为准则,政府应当以法律的形式对此加以具体指导,不仅要告诉人们何为错,也要明确在复杂情况下对错之间的判别标准,以便主体在行为时形成对自身行为合法与否的内心确信。



我国政府监管的现状剖析

法律依据。过去,我国网络安全领域的立法强调对网络犯罪和有害信息的管制,强调国家安全和网络环境治安,具体来说主要是利用计算机从事欺诈、危害国家安全,泄露国家秘密,传播淫秽色情信息和散播谣言等违法行为。近年来,个人信息的保护成为我国网络安全领域的立法重点,尤其体现在2016年以来发布的诸多立法成果中。包括法律层面、行政法规层面、部门规章层面以及地方性法规层面等方面,均对个人信息保护作出诸多规定。

执法主体和手段。《网络安全法》和国家网信办的许多规定都于2017年6月施行,国家网信办在《网络安全法》的指导下依法行政执法。2017年5月发布的《互联网信息内容管理行政执法程序规定》是网络信息安全行政监管领域的重要突破。2015年4月发布的《互联网新闻信息服务单位约谈工作规定》对约谈进行细化规范,体现了现阶段“约谈”在我国网络信息保护形势下的重要地位。

当前,政府必须认识到约谈也将对个人信息保护起到至关重要的作用,只有将约谈引入并实践于个人信息保护领域,才能在丰富个人信息保护政府监管手段的同时,充分发挥约谈的作用。



对我国政府监管的建议

建立专门的个人信息保护机构。加拿大、澳大利亚和欧盟等国家和地区的政府部门均有专门的网络隐私权保护机构,例如加拿大在“1983人口普查案”后,设立了专门的隐私专员保护个人资料;我国香港地区于1996年根据《个人资料(私隐)条例》设立了个人资料私隐专员公署。我国至今没有设立专门性的个人信息保护机构,法律对相关权力主体的职责和权限的规定都较为概括,存在交叉或漏洞。组织机构不专业、职权划分不清晰是我国个人信息保护执法主体的局限性。

个人信息保护的法律实践具有很高的技术成分,需要通过招聘和培养高质、专门、富有经验的高素质安全技术人员,熟练地运用法律和信息技术知识对相关问题加以分析和解决。值得注意的是,政府也是信息收集处理的一方当事人,出于社会管理职能需要对个人信息进行收集,同时又承担着互联网行业和其他机构(包括自己)的监管职责,要想平衡公共利益与个人利益就需要在政府内部设立专门的个人信息保护机构,尊重和捍卫其独立性,完善与其他政府部门的分工合作。

完善立法体系。在个人信息保护方面,应当形成由立法和执法两方面相辅相成的保护机制。在我国,个人信息保护的专门立法近年来才刚开始起步。此前,相关立法零星分散于不同法案,如2006年《电子银行业务管理办法》第40条、2014年《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条等。加强专门立法,细化规范体系,对关键性原则进行阐释是我国个人信息政府监管的必要前提。

加强不同机构之间和法律之间的联动保护。2017年5月9日,最高法院和最高检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》及相关典型案例,并于2017年6月1日起施行。这次的司法解释在总结我国近年来网络信息安全违法行为的司法实践基础上,对相关问题进行了细化和补充,为打击侵犯个人信息犯罪提供了可操作性依据。通过对信息类型和数量、违法所得数额、信息用途、主体身份、前科情况等5个方面的量化,为“情节严重”提供界定依据。

然而,个人信息保护领域应始终将行政责任和民事责任作为纠正不法行为的主要途径。随着刑法保护的积极推进,政府监管必然要加强联动能力,在个人信息保护体系内协调发挥司法和行政的作用。在主动审查和群众举报后被动调查的基础上,提高对违法行为的认定能力,以事实为依据,必要时针对犯罪行为向法院提起诉讼,做到违法必究和严格执法。



综上所述,2017年我国在个人信息保护领域出台了相关法律、规范了执法程序、细化了执法工作,取得了诸多成果。在大数据时代,如何维持发挥信息市场经济价值和维护网络安全与隐私自由之间的平衡,需要具有普遍约束力又能够灵活地避免遏制市场活力的监管方式。为此,一方面政府要加强约谈工作的能力,促进约谈的有效性;另一方面积极借鉴其他国家的监管经验,在深入了解互联网行业复杂性的基础上,对收集、存储和运用个人信息的行为的合理性加以界定,用更明确的政府规定和建议引导互联网企业规范运行。




感谢作者的授权

本文仅作学习交流之用


Ricardo Galán Urréjola




往期荐读




编辑:钟柳依


欢迎点击“阅读原文”

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存