非法收集、不当处理和泄露个人信息,以及猖獗的地下黑产,使人成为“透明人”。各种量身定做的骗局,精准的广告和营销层出不穷,个人隐私以不同的意图暴露给别人或大众。
如何通过构建良好的个人信息保护规则,在享受技术发展带来的便利的同时,避免技术发展带来的负面后果?
网络时代的个人信息保护是一个世界性的挑战。甚至欧美发达的司法管辖区也在积极探索相应的对策。不久前正式实施的《欧盟一般数据保护条例》(GDPR)是这一领域的最新立法,引起了全世界的密切关注。对于中国来说,妥善保护个人信息,迫切需要处理好立法、监管、市场等问题。
制定可以登陆的特别立法
中国在个人信息保护领域需要更加系统、科学和可操作的立法。严格来说,我国法律体系中并不缺乏关于个人信息保护的相关立法。
2012年全国人大常委会制定的《关于加强网络信息保护的决定》、2016年的《网络安全法》、2017年的《民法通则》都有关于个人信息保护的法律规定。司法解释层面,有最高人民法院、最高人民检察院2017年联合发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。
刚刚经过第三次审查的《电子商务法(草案)》和已经进入征求意见阶段的《民法典人身权编(草案)》,也有专门针对个人信息保护的规定。在其他社会规范层面,国家标准委员会于2017年正式发布了《信息安全技术与个人信息安全规范》国家标准。
然而,不可否认的是,我国现有的个人信息保护立法存在诸多问题,如碎片化严重、缺乏可操作性等。虽然很多立法似乎都涉及到个人信息的保护,但往往只是一个原则宣言,或者局限于对某一特定方面做出规定。导致规则不协调,违规责任主体和形式模糊不清。
如《民法通则》第一百一十一条规定“任何组织或者个人需要获取他人个人信息的,应当依法获取,并保证信息安全。不得非法收集、使用、处理或者传输他人的个人信息,不得非法买卖、提供或者披露他人的个人信息。”但问题是要求是“依法取得”,而不是“非法收取”等。如果这样的规则能够发挥作用,就必须有明确具体的法律规范来规定:什么类型的个人信息,以什么方式获取才是合法获取;什么样的个人信息只要获得了就是违法的。没有具体的衔接标准,《民法通则》的这一规定是文件。
为了解决这一问题,有必要制定一部系统的、全面的、可操作的、落地的《个人信息保护法》。法律应整合个人信息保护领域的现有法律规范,并检查和填补空白,以增强立法的科学性、系统性和可操作性。基于此,如果国家层面已经决定开始制定《个人信息保护法》,就要避免在其他立法中对相关问题做出规定,否则不仅浪费立法资源,还会造成立法体系的不协调和不统一。
当然,立法不是万能的,不能太死板。在个人信息保护立法过程中,要注意预约系统开发空的灵活性,必要时要注意标准、软法律规范等社会规范的适用。
建立一站式监管体系十分必要
构建我国的个人信息保护规则,需要建立统一、高效的监督体系,对个人信息保护相关问题进行明确的权力配置。由于诸多因素,我国行政机关在个人信息保护相关问题上没有明确相应的主管部门。
在新一轮政府机构改革中,虽然中央有互联网办公室和新成立的市场监管总局,但个人信息保护主管部门似乎仍处于条块分割、分而治之的状态。在这个问题上,需要注意的是,欧美发达国家的趋势是建立更高效的“一站式”监管体系,设立独立的监管部门,负责个人信息保护规则的实施和行政执法。
例如,前述欧盟的GDPR就在第六章明确规定了“独立监管机构”,要求各成员国必须建立独立的监管机构来专门负责个人信息保护法律的执行。德国为此在相应的政府机构中设置了“个人信息保护专员”。作为执法者,其享有独立而且完整的涉及个人信息领域的行政调查、执法和做出处罚的权力。美国的联邦贸易委员会(FTC)在相关领域也发挥着核心的行政监督和执法职能。该委员会在涉及个人信息领域的很多执法案例,推动了美国的个人信息保护规则的发展。
