【法眼观】
“发展数字经济,推进数字产业化和产业数字化”是“十四五”时期社会经济发展的目标之一,信息数据作为数字化产业的基础,重要性更加凸显。与此同时,“加强个人信息保护”是“加快数字化发展”的题中应有之义。保护与运用如何协调,事关重大。
日前,个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议,并于10月21日至11月19日向社会公开征求意见。
从2002年《国家信息化领导小组关于我国电子政务建设指导意见》提出要制定信息安全方面的法律法规,到个人信息保护法草案提交一审,我们的社会已经走向了智能化,个人信息保护法立法面临更大的挑战。
目前形成的草案回应了哪些社会关切,又有哪些需要进一步讨论、完善的地方,值得每个人认真关注。
纪录片《监视资本主义:智能陷阱》开篇引用了古希腊剧作家索福克勒斯的一句话:“进入凡人生活的一切强大之物无不具有弊端。”
以移动终端为代表的互联网正是进入我们生活的强大之物之一。个人信息古已有之,但因为互联网的发展,我们能深切感受到个人信息不再完全属于我们自己。
有人比喻,智能时代犹如一条大船,而我们的个人信息就是登上这条大船必须交出的船票。
谈个人信息保护时我们在谈什么
在整个信息处理过程中,个人作为信息主体始终处于被动的境地,对于信息如何被收集、处理以及使用全然不知。而信息处理者却不当然拥有处理权利。因此一直以来,在个人信息权利属性、保护方式等方面多方难以达成共识。
个人信息的立法目的,究竟是为了保护自然人的人格利益,还是为了数据产业的发展,抑或是政府公共管理职能的实现?三者之间关系如何?何者应居于优先地位?对这些问题的不同回答,将会导向不同的立法方向。
就世界范围内已有个人信息保护法律的国家来看,腾讯研究院首席数据政策专家王融介绍,欧盟《通用数据保护条例》把个人放在了决定如何收集和使用信息的中心位置,把人视为最高目标,强调强力的行政监管。而美国的政策更多体现了实用主义哲学,采取风险的管理思路,在一些重点行业重点领域采取措施,促进个人信息保护和经济收益之间的平衡。
就我国的个人信息保护法草案而言,西安交通大学法学院教授马民虎认为,草案讲到了要统筹保护与利用,要建立权责,实现有效保护。但是立法说明有句话很重要,就是“立法定位是保护”,这决定了是在保护的前提下来考虑国家数字经济的发展和国家治理的现代化。
“个人信息保护法不仅需要平衡个人、企业和社会(也指国家)三方之间的利益,还需要平衡中美关系和中欧关系。”中国人民大学法学院教授张新宝认为,要达到“跟欧洲比差不多‘过得去’,跟美国比要‘不吃亏’的效果”。
张新宝解释,“过得去”指个人信息保护法正式出台后,欧盟能够接受中国对个人信息保护的强度;“不吃亏”指不能较大幅度地限制企业,导致它们在与美国企业的竞争当中处于不利地位。
行政执法的效果具有决定作用
尽管个人信息保护的法律体系在逐步构建,但从普通群众的感受出发,侵害个人信息权益的现象仍很严重。
据公安部网络安全保卫局透露,2016年来,公安机关持续打击侵犯公民个人信息犯罪,破获了一大批案件,近几年每年被提起公诉的有4000余人。这类案件涉及公民个人信息的主体、环节众多,呈高发态势,案件数量有所增加。
除了数据黑产猖獗,行政监管不力也是造成这一局面的重要原因之一。
中国社会科学院法学所副所长周汉华参与推动了多部与个人信息保护有关的法律法规。他解释,从法律保护上看,个人信息保护应当是由民事责任、行政责任、刑事责任三个层面构成的有机结合的体系。“在调研中我们发现,个人信息保护目前的总体执法状况是,民事执法成本高、收益低,行政执法虚置,偶尔会有一些运动式执法。刑事执法冲在最前线。”周汉华说。
行政执法的效果很大程度上决定了法律实施的效果。有关个人信息保护行政执法情况不理想,很重要的原因在于执法实践当中,并没有明确任何一家管理部门是个人信息保护的执法主体,工信、市场监管、网信、教育、金融、医疗卫生等有关管理部门都负有相应的管理责任。“九龙治水”的格局导致执法边界不明确,容易推卸责任。
周汉华透露,草案提交一审之前在一定范围内的征求意见稿中,借鉴多数国家地区做法,确定统一负责个人信息保护、监督、执法工作机构的原则,规定了国家个人信息保护机构和省区市政府按照国家有关规定确定的个人信息保护机构。“这很重要也非常有意义。”他说,但是这一点在一审稿中发生了变化,改为国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门在各自职责范围内,负责个人信息保护和监督管理工作,“我认为不如征求意见稿”。
多位全国人大常委会委员在第一次审议中,也指出履行个人信息保护职责的部门不明确,责任不清晰。刘玉亭委员进而提出,草案规定的履行个人信息保护的职责并不是一个部门,那么在实践中个人信息权益受到侵害的时候向谁举报?向哪一级的哪一个部门举报?如何举报?这些问题如果不明确,个人就很难维权。
对于这一问题,周汉华建议,成立独立的个人信息保护机构,设立国家级—省级—地市级三级纵向管理架构,推动执法重心尽量下沉。同时注意畅通行政执法与公安机关刑事执法之间的衔接机制。
技术如何向善
除了数据黑产之外,让普通民众尤为担心的是商业运用。
小米公司信息安全与隐私委员会秘书长宋文宽介绍,企业对于数据的运用主要是两个方面,一方面是产品分析,提升用户体验,优化迭代产品。对于这类目的,最重要的是数据量,并不需要数据具有精确的个体识别性。此时,对个人信息通过差分算法等方式进行匿名化处理,使数据不再具有个体识别性,成为通行做法。不过,他坦承数据之间千丝万缕的联系可能会使匿名处理后的数据再次被识别。
另一方面就是推送广告。很多公司的营收主要依赖App精准广告投放,投放越精准,广告单价就越高,利润就会更高。这就需要利用数据提取用户画像特征。
然而,如何匿名?如何画像?在大数据背景下,个人与数据处理者之间客观地存在着技术能力与经济地位的显著差异。大数据杀熟、算法黑箱等技术手段进一步加剧了这种不平衡地位,造成了社会的深切忧虑。
这也是全国人大常委会在草案一审中,讨论较为集中的问题。
目前草案将“告知—同意”原则确定为个人信息处理规则的核心(即要求处理个人信息应当在事先充分告知的前提下取得个人同意)。刘修文委员认为,网络服务商提供的用户协议、服务条款通常不直接显示且冗长繁琐,关于个人信息收集的范围、保留时限、处理方式等重要条款难以识别且不尽合理,用户在这种情况下做出同意决定的真实性、自愿性大打折扣。左中一委员提醒,在互联网企业大量掌握个人信息的情况下,要避免事前告知流于形式。
近年来,针对个人信息收集中出现的问题,监管部门、行业协会出台了多项技术标准,以便企业进行合规性评估。草案列出了个人信息处理者应当在哪些情况下,对个人信息处理活动在事前进行风险评估,并对处理情况进行记录。郭雷委员认为,让个人信息处理者来评估自己的处理活动,其有效性和科学性应再仔细斟酌。
“从前很多企业是以拿到用户数据为荣,即便是不合理的方法,也被认为是一种竞争力。”在宋文宽看来,一个比较好的趋势是,随着立法趋严,大企业目前都在做合规性审查,更加注重数据合规性与产品功能的平衡。这也是“在保护数据的前提下让技术给用户带来美好生活”。
(本报记者 陈慧娟)