石文静
惟胜道数字安全研究小组成员
自2021年8月起,惟胜道数字安全研究小组将推出《数字安全合规月刊》电子版,电子月刊聚焦网络安全与数据保护,呈现前沿动态、新规速递、热点案例、专业解读等内容,帮助读者掌握最新前沿趋势。若您对此感兴趣,请在惟胜会公众号后台留下您的【邮箱+姓名】,并特别注明数字安全合规月刊。
当前,个人信息保护是社会公众最关注的现实问题之一,无论是消费者戴头盔看房、大数据杀熟、圆通快递个人信息泄露等事件,还是中国“人脸识别第一案”等案件,每当相关新闻被爆出来时,都会在一定程度上引起社会大众和新闻媒体的广泛关注。
但中国人的隐私观念相对于西方而言,多数中国人对“隐私换便利”这种现象习惯睁一只眼闭一只眼。
直到2021年7月2日,中国网信办发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,宣布对“滴滴出行”实施网络安全审查,2021年7月4日中国网信办再次发布《关于下架“滴滴出行”App的通报》,宣布下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
在此次滴滴事件中,个人信息安全再次戳中大众的痛点,垃圾短息、消费广告的定点投放等个人信息泄漏,国人都展示出了较大的包容度,直到危害国家安全,个人信息保护才真正触碰到大众的神经。
在人类社会进入网络化、数据化和智能化的时代,数据的应用已经无孔不入,成为经济和社会运行的“新能源”。
《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》提出:“加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。” 加快推进个人信息保护立法,必须恪守“以人民为中心”的理念,构建“以人为本”的个人信息保护法律制度,提升人民群众的获得感、幸福感、安全感,其中:《网络安全法》、《数据安全法》和《个人信息保护法》将构成的网络空间监管和数据保护的三驾马车。
本文现就对三驾马车之一的“《中华人民共和国个人信息保护法(草案二次审议稿)》(以下简称 《个人信息保护法(草案二次审议稿)》”阐明一下个人相关看法。
一、个人信息保护发展历程
人们利用散落于社会中的个人信息(文史资料、档案记录等)去识别个人是社会的常态,并非今天才有之事。
之所以现在开始规范人们收集和利用个人信息的行为,主要是因为计算机应用导致收集和利用个人信息的方式发生巨大变化,个人对有关个人信息失去控制,导致个人刻画成什么样的人、被“处置”或“对待”存在不确定性。
20世纪70年代,计算机刚刚应用不久,个人信息的保护问题即被提到议事日程,出现了个人数据保护法。例如,1974年美国颁布了《隐私权法》,规范政府机构的个人信息利用行为;1973年《瑞典数据保护法》和1978年《德国联邦数据保护法》分别开启了对公共领域和私人领域收集和利用个人信息的行为进行统一规范的先河。
因此,个人信息保护成为一个法律问题肇始于个人信息电子化和自动化处理,而不断强化于网络日益普及和智能化的今天。
新中国成立以来,我们的个人信息保护观念总体来说经历了四个发展阶段:
第一个阶段是很传统的隐私观念;
第二个阶段是民法上的隐私观念;
第三个阶段是公法上的个人信息保护观念;
第四个阶段是大数据时代的个人数据观念。
具体立法历程如下图所示:
对个人信息保护,这些法律确立了一个基本规则:未经同意不得收集和使用个人信息。可以说,我国对公民个人信息的立法保护虽起步较晚,但重视程度日益凸显。
二、个人信息安全的主要威胁来源
个人信息安全关系到个人人身和财产安全,因此确保个人信息安全是个人信息保护法的重要立法目标。
个人信息的不安全因素主要来源于两个方面:
一是在数据的正当使用、存储和传输过程中可能存在的风险;
二是来自外部的恶意攻击、盗取、非法利用。
因此,个人的信息在产生、存储、使用、共享、销毁等各个阶段,都存在不安全因素。
三、制定个人信息保护法的影响
1.对于个人层面
(1)保护人的尊严。
在互联网时代,我们每个人都在裸奔,一个人每时每刻的行为轨迹、甚至生理活动等均可以被电子化记录,形成一个生理、心理、习惯、行为、行踪等全息信息记录。
这些全息性个人信息被自动处理和使用导致个人逐渐失去对其个人信息的控制,给个人的基本权利和自由带来前所未有的挑战。
从刚接触个人信息泄漏时的恐慌,到现在的麻木,这躺平的态度的背后,也反应了个人在个人信息被非法侵害时的无助。
在寻求个人信息保护的法律理由方面,权威的国际立法文件和主要国家的立法均将个人信息保护定位于对人的尊严的保护,认为在个人信息上存在一个自然人最值得受法律保护、最重要的法益,即人的尊严。
人的尊严被认为是最基本的人权,因而世界各国基本上都认为个人信息保护的目的在于对人权或基本权利的保护。
比如《个人信息保护法(草案二次审议稿)》则在一次审议稿的基础上,在第六条:“处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。”增加了“采取对个人权益影响最小的方式”这一表述,从而突出了自然人在个人信息处理过程中的主体地位,除了商业目的考量外,还应考量个人信息处理措施,是否符合对个人权益影响最小化的原则;第四十九条:“自然人死亡的,本章规定的个人在个人信息处理活动中的权利,由其近亲属行使。”针对死者的个人信息处理作出开创性规定等等。
这些立法都体现了国家在立法层面对个人尊严的尊重和保护。
(2)保护个人的安全。
个人信息是人在社会交往过程中产生的信息,其本身没有社会危害性。但是,这种识别和联系的功能被“不法分子”利用,用于违法犯罪活动,就会危害到个人的人身安全和财产安全。
比如,个人信息收集越多,对于一个人的个人联系方式、喜好、心理状态、社会关系等的掌握就越准确和全面,就有可能精准地实施恐吓、诈骗等犯罪活动, 典型的令人惋惜的“徐玉玉”案就是个人信息泄露后所造成的悲剧。
作为法律所追求的价值和主要原则,第一条立法目的的修改通常意味着整部法律价值的调整,因此在立法过程中,一般很少对立法目的做较大调整,但在《个人信息保护法(草案二次审议稿)》中非常意外地修改了第一条立法目的,删除了“保障个人信息依法有序自由流动”,此次二审稿通过对立法目的的调整凸显了个人信息这一特征,对于个人信息流动问题,采取了更为审慎的态度,也侧面显示了该法对保护公民个人信息背后的隐私的强化。
若该草案顺利通过,将极大减少个人信息泄漏的危险,从而保护个人的人身和财产安全。
2.对于企业层面
中国的互联网企业近年来发展迅猛,在一定程度上离不开中国庞大的人口基数所产生的数据信息的支持,类似美团、支付宝、滴滴等大型互联网企业,都需要大量的用户数据支撑,其中大多数数据都可以关联到个人,从而落入个人数据或个人信息范畴。
随着社会对“平台治理”问题的逐渐重视,对于电商、内容消费等领域的各类“巨型平台”在获取经济利益的同时应当承担相应的治理责任的观点已基本成为共识。
然而实际情况却令人担忧,以移动应用程序为例,现实生活中在移动应用程序开发者、运营商与用户三者之间存在严重的不平衡关系,用户处于信息极易被过度收集和非法使用的情况下,由于个人无法完全控制他人对个人信息的使用,因此导致个人信息被企业不当使用,这不仅可能侵害个人基本权利或精神利益,而且还可能危害个人的人身安全和财产安全。
如果长期无法有效遏制,势必损害广大民众的合法权益,从而危害企业的健康发展。
因此,在《个人信息保护法(草案)》规定了相关条文回应,如:
第五十一条规定,个人信息处理者应当根据个人信息的处理目的、处理方式、种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除;
第五十四条规定,个人信息处理者应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计;
第五十七条规定,提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者增加了如“引入外部人员组成独立机构”、“平台监督职责”、“发布社会责任报告”等强制性义务,提升了个人信息保护的层级。对数据的收集者、处理者的责任进行了规定,在法律层面强化大型平台数据保护法律义务也成为了我国《个人信息保护法(草案二次审议稿)》中的一大备受关注的亮点。
个人数据得到更高层级保护时,其几乎必然会影响当前数据经济产业的发展,这是不可否认的。个人信息既要能够为社会所利用,又必须确保该利用行为不侵犯个人权益,达到个人权益保障和企业发展的有效统一,显然,这是一个相当复杂的法律问题,日后还需要不断地根据实际情况的变化完善立法。
3.对于国家层面
数据是数字经济时代的核心资源,是未来国际间竞争的核心。
在国家安全层面,相对于数据安全,普通大众对情报和间谍等词汇可能更为敏感。以前为了获取他国的情报信息,往往需要耗费巨大的物力财力才能获取关键信息为策略的制定提供基础依据。
但建国以来随着我国对相关情况重视,国外间谍在我国的活动已经很难维持。
然而随着互联网时代,这些重要信息的获取、分析变得更为简单、便捷,一家互联网企业一天所收集的信息 ,是常人无法想象的,而取得这些搜集来的信息,只需要利用系统漏洞进行攻击或者资本家逐利的心态即可,这大大为“有心之人”提供了便利,通过获得的信息进行分析,便能够清楚了解某个国家的整体情况,从而制定正确的应对策略,对国家而言毫无疑问将是一场严重的安全危机。
比如最近引起广泛讨论的“滴滴案”,若其真按照美国法律规定提供其数据,除大量用户信息被泄漏、分析之外,更严重的是地图数据泄漏。我们日常生活中用到的地图软件都是经过特殊手段处理过的,并不能真实反应真实的地理情况,但滴滴有自己的地图数据,“精确道路数据+交通流量数据”,从而分析出特殊机构的地理位置并不是一件难事,一旦未来发生冲突,这些地方将会被成为重点攻击目标,这也是滴滴引发“众怒”原因。
因此,《个人信息保护法(草案二次审议稿)》对涉及向境外提供个人信息规则进行了调整,具体如下:
(1)修改第三十八条,向境外提供个人信息需要与境外接收方订立我国网信部门制定的标准合同。《个人信息保护法(草案二次审议稿)》第三十八条第(三)条款与一次审议稿相比,增加了标准合同的表述。国家网信部门可以通过标准化合同条款来具体引导个人信息跨境提供的权利义务约定,从而更好地约束各方的行为。也可以提高跨境个人信息提供的合同签订效率。
(2)修改《二次审议稿》第四十一条,对于执法机构所涉及的个人信息跨境提供,将其适用范围进行了缩小。境外执法机构获取境内个人信息的限制更加明确。一次审议稿的表述为“因国际司法协助或者行政执法协助,需要向中华人民共和国境外提供个人信息的,应当依法申请有关主管部门批准。”而二次审议稿则将范围限定为“中华人民共和国境外的司法或者执法机构要求提供存储于中华人民共和国境内的个人信息的,非经中华人民共和国主管机关批准,不得提供。”
(3)顺应当前的国际形势,将四十三条歧视性措施的应对原则由原来的“相应”替换为“对等”。
综上,《个人信息保护法》是顺应时代发展的必然产物,对个人信息保护的特别规定,是对进入大数据时代后,个人信息载体和获取方式改变需求的回应,也是《宪法》第三十七条“中华人民共和国公民的人格尊严不受侵犯”的规定在民事领域的落实和体现,体现了我国立法工作对公民人格权的重点关注,具有重大的现实意义。相信随着社会地不断发展,个人观念地不断进步和立法水平的不断提高,我国在个人信息保护的制度将会越发完善。