大數(shù)據(jù)時(shí)代促進(jìn)信息的自由流動(dòng)和共享是政府管理、商業(yè)發(fā)展和技術(shù)創(chuàng)新的需要。與此同時(shí),海量個(gè)人信息的收集、處理、利用和共享又會(huì)對(duì)公民的個(gè)人信息安全尤其是隱私和其他一些敏感信息的安全帶來巨大威脅。如何處理好促進(jìn)信息自由流動(dòng)與保護(hù)個(gè)人信息安全之間的關(guān)系,是信息社會(huì)不可回避的問題。我國如果不及早和國際接軌建立個(gè)人信息保護(hù)制度,必將在國際貿(mào)易中受到排擠,國際企業(yè)和組織大量采集我國公民個(gè)人信息的行為得不到有效規(guī)制也會(huì)對(duì)我國經(jīng)濟(jì)社會(huì)安全帶來威脅。歐盟法院近日宣布?xì)W美間的“安全港”協(xié)議立即失效值得我們警醒。下面就完善我國個(gè)人信息保護(hù)制度提出六點(diǎn)建議:
樹立正確的保護(hù)理念:保護(hù)與利用的平衡
信息社會(huì)中的個(gè)人信息保護(hù)具有不同于傳統(tǒng)社會(huì)隱私保護(hù)的特征,需要兼顧數(shù)據(jù)的利用價(jià)值與保護(hù)之間的平衡。信息的自由流動(dòng)和開發(fā)利用對(duì)社會(huì)進(jìn)步具有重大作用,而一國對(duì)數(shù)據(jù)利用和保護(hù)的法律制度的寬嚴(yán)程度又會(huì)對(duì)該國數(shù)據(jù)技術(shù)的創(chuàng)新帶來影響。美國加州大學(xué)戴維斯分校教授Chander研究發(fā)現(xiàn):美國法律制度對(duì)中間平臺(tái)的保護(hù)更為有力,在美國屬于創(chuàng)新范疇的活動(dòng)在歐洲、亞洲國家可能會(huì)被認(rèn)定為違法,正是這種對(duì)于中間平臺(tái)的法律保護(hù),奠定了美國互聯(lián)網(wǎng)產(chǎn)業(yè)飛速發(fā)展的基礎(chǔ)。但如果利益的天平過分偏向企業(yè),又會(huì)阻礙整個(gè)行業(yè)的健康持續(xù)發(fā)展。
在個(gè)人信息保護(hù)領(lǐng)域,如果公民的個(gè)人信息尤其是敏感信息被濫用而得不到有效保護(hù),則既會(huì)侵害公民的基本權(quán)利,又會(huì)降低網(wǎng)民的安全感,全社會(huì)將陷于對(duì)“透明人”的恐懼之中,極端情況甚至?xí)l(fā)“反互聯(lián)網(wǎng)”、“反信息化”的浪潮。因此,我國個(gè)人信息保護(hù)制度在設(shè)計(jì)理念上必須兼顧保護(hù)與利用的平衡。
保護(hù)模式選擇:國家統(tǒng)一立法為主、行業(yè)自律為輔
世界范圍內(nèi)對(duì)個(gè)人信息的保護(hù)存在兩種模式:以美國為代表的“分散立法+行業(yè)自律”模式和以歐盟為代表的國家主導(dǎo)統(tǒng)一立法模式。結(jié)合我國法制傳統(tǒng)和立法現(xiàn)狀、政府管理理念以及行業(yè)發(fā)展現(xiàn)狀,我國應(yīng)兼收并蓄,采取“國家統(tǒng)一立法為主、行業(yè)自律為輔”的個(gè)人信息保護(hù)模式。
首先,世界范圍內(nèi)采取立法模式通過制定個(gè)人信息保護(hù)法來保護(hù)個(gè)人信息的國家居大多數(shù)。其次,相較于美國的分散立法模式,歐盟的統(tǒng)一立法模式更適合我國。美國之所以采用分散立法模式,一是因?yàn)樵趥€(gè)人信息保護(hù)的需求大量出現(xiàn)前,其已經(jīng)有比較完備的隱私法,而且其判例法制度也使得其法院可以通過判例不斷擴(kuò)展“隱私”的范圍;二是因?yàn)槠湫袠I(yè)協(xié)會(huì)非常發(fā)達(dá),在廣大的私領(lǐng)域行業(yè)自律發(fā)揮著重要作用,國家只需在少數(shù)隱私法和行業(yè)自律不能解決問題的領(lǐng)域立法補(bǔ)充。而我國這兩方面的條件均不具備,通過統(tǒng)一立法來規(guī)范個(gè)人信息的收集處理行為既不會(huì)造成立法資源的重復(fù)浪費(fèi),相反卻有利于充分發(fā)揮統(tǒng)一立法的優(yōu)勢。最后,通過政府引導(dǎo)積極發(fā)揮行業(yè)自律的作用可以成為立法保護(hù)的有力補(bǔ)充。網(wǎng)絡(luò)技術(shù)日新月異,無論是立法還是政府行政管理手段難免會(huì)滯后,行業(yè)自律可以彌補(bǔ)統(tǒng)一立法滯后、僵化、針對(duì)性不足等方面的缺陷,從而很好地平衡個(gè)人信息保護(hù)與產(chǎn)業(yè)發(fā)展和技術(shù)進(jìn)步的關(guān)系。
將政府的個(gè)人信息收集、處理、利用和共享等行為納入《個(gè)人信息保護(hù)法》的調(diào)整范圍
在任何國家政府都是最大的個(gè)人信息收集和處理者,對(duì)政府的個(gè)人信息收集和處理(包括共享)行為予以規(guī)范,是個(gè)人信息保護(hù)的重要方面。政府出于其行使職權(quán)的必要和便利很容易掌握公民的大量個(gè)人信息尤其是高度敏感信息,公民在個(gè)人信息被采集和處理時(shí)對(duì)政府也比對(duì)企業(yè)有更多信任。政府掌控的個(gè)人信息不僅對(duì)政府公共管理意義重大,企業(yè)也有強(qiáng)烈的共享需求。一方面,政府需要對(duì)企業(yè)的共享請(qǐng)求作出回應(yīng),在不侵害信息主體合法權(quán)益的基礎(chǔ)上向社會(huì)公開或者依申請(qǐng)?zhí)峁┻@些信息;另一方面,政府收集處理包括向其他政府機(jī)構(gòu)和企業(yè)傳輸、共享個(gè)人信息的行為也必須受到法律的嚴(yán)格規(guī)范,否則極有可能導(dǎo)致政府成為侵害公民個(gè)人信息的最大威脅,不僅損害政府公信力,還有可能導(dǎo)致政府后續(xù)采集個(gè)人信息的行為受阻。因此,政府理應(yīng)在公民的個(gè)人信息保護(hù)方面比企業(yè)盡更多義務(wù)。
世界上絕大部分對(duì)個(gè)人信息保護(hù)予以立法的國家都對(duì)政府的信息處理行為予以立法調(diào)整,即便是在商業(yè)領(lǐng)域?qū)嵭行袠I(yè)自律的美國同樣有數(shù)部法律專門規(guī)范政府的個(gè)人信息收集和處理行為。從我國現(xiàn)有立法看,《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》僅適用于電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者,《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》則明確排除政府機(jī)關(guān)等行使公共管理職責(zé)的機(jī)構(gòu)的適用,這使得政府的個(gè)人信息收集、處理、利用和共享行為缺乏法律調(diào)整。當(dāng)前正在起草的《個(gè)人信息保護(hù)法》如果繼續(xù)將政府的行為排除在調(diào)整范圍之外,必將造成我國公民個(gè)人信息保護(hù)的重大疏漏,不利于良好社會(huì)環(huán)境的形成。
建立和健全個(gè)人信息保護(hù)的機(jī)構(gòu)和機(jī)制
依國際經(jīng)驗(yàn),采用國家統(tǒng)一立法的個(gè)人信息保護(hù)模式,需要建立相應(yīng)的行政管理機(jī)構(gòu)和實(shí)施個(gè)人信息保護(hù)法律法規(guī)的機(jī)制。結(jié)合我國情況,建議在《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》的制定中,以國家立法形式將國家互聯(lián)網(wǎng)信息辦公室確定為國務(wù)院組成機(jī)構(gòu),負(fù)責(zé)履行法律賦予的包括個(gè)人信息保護(hù)方面的行政管理職能。具體包括:制定個(gè)人信息保護(hù)與合理利用的政策與部門規(guī)章;協(xié)調(diào)國家機(jī)關(guān)之間在政府信息公開、信息共享等方面的政策和制度執(zhí)行;負(fù)責(zé)國家機(jī)關(guān)向產(chǎn)業(yè)開放信息資源方面的政策制定與監(jiān)管執(zhí)行;監(jiān)管信息業(yè)者個(gè)人信息收集、處理、利用等方面的行為;引導(dǎo)行業(yè)協(xié)會(huì)制定和實(shí)施自律規(guī)范;接受公民個(gè)人、社會(huì)團(tuán)體等的投訴、建議,依法做出相應(yīng)的行政處理等。
在政府引導(dǎo)下充分發(fā)揮行業(yè)自律的作用
行業(yè)自律最大的優(yōu)勢是可以區(qū)分不同領(lǐng)域由行業(yè)充分結(jié)合自身特點(diǎn)制定有針對(duì)性的行為規(guī)范,而且可以根據(jù)技術(shù)進(jìn)步的要求及時(shí)調(diào)整。由于行業(yè)自律規(guī)范本身針對(duì)性強(qiáng),而且整體上有利于行業(yè)的健康發(fā)展和長遠(yuǎn)利益,企業(yè)有遵從的內(nèi)在動(dòng)力??紤]到我國《個(gè)人信息保護(hù)法》的出臺(tái)尚需時(shí)日,在法律出臺(tái)前充分發(fā)揮行業(yè)自律的作用,還可以彌補(bǔ)法律調(diào)整的空白,并為科學(xué)立法提供經(jīng)驗(yàn)借鑒。
我國《信息安全技術(shù)、公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》試圖借鑒行業(yè)自律的做法,但由于既沒有細(xì)分領(lǐng)域或行業(yè),也不是自下而上由行業(yè)自身制定,無法發(fā)揮行業(yè)自律的核心優(yōu)勢。要發(fā)揮行業(yè)自律的作用,必須遵循其核心要素:一是由行業(yè)主導(dǎo)的自下而上制定模式,政府可以指導(dǎo)或引導(dǎo),但絕非主導(dǎo);二是根據(jù)行業(yè)特點(diǎn)結(jié)合企業(yè)自愿予以行業(yè)細(xì)分,而不是試圖用一個(gè)自律性規(guī)范涵蓋所有行業(yè)。結(jié)合我國具體情況,建議先由政府主管部門倡議并引導(dǎo)在幾個(gè)典型行業(yè)開展行業(yè)自律,例如銀行業(yè)、電信業(yè)、互聯(lián)網(wǎng)服務(wù)業(yè)、電子商務(wù)平臺(tái)等,然后逐步擴(kuò)展至餐飲業(yè)、快遞業(yè)等行業(yè)。行業(yè)自律規(guī)范應(yīng)主要由行業(yè)組織中具有相當(dāng)?shù)臉I(yè)務(wù)和法律知識(shí)的人制定,并廣泛征求行業(yè)成員意見。一旦某一企業(yè)書面作出遵守某一行業(yè)自律規(guī)范的承諾,則該自律規(guī)范成為該企業(yè)和消費(fèi)者之間合同的組成部分。同時(shí),法院在司法程序中也可對(duì)自律規(guī)范的合法性予以審查,排除其中違法或者明顯不合理侵害消費(fèi)者權(quán)益的條款的適用。
強(qiáng)化個(gè)人信息保護(hù)的公民參與
信息時(shí)代個(gè)人信息的保護(hù),公眾參與亦不可缺:首先,應(yīng)加強(qiáng)《個(gè)人信息保護(hù)法》立法的公眾參與,促進(jìn)科學(xué)民主立法;其次,在全社會(huì)開展個(gè)人信息保護(hù)知識(shí)的宣傳教育,提升公民自我保障意識(shí)和能力;再次,鼓勵(lì)和引導(dǎo)公民積極回應(yīng)信息業(yè)者在信息收集和處理等環(huán)節(jié)中的詢問和互動(dòng)請(qǐng)求,包括對(duì)特殊事項(xiàng)的聽證等,培養(yǎng)公民的參與意識(shí)和責(zé)任意識(shí);最后,建立暢通的公民投訴建議和救濟(jì)機(jī)制,充分發(fā)揮社會(huì)公眾在執(zhí)法監(jiān)督中的作用。
(作者單位:國家行政學(xué)院法學(xué)教研部)