梁成意,齊彩文
(華東交通大學人文學院,江西 南昌 330000)
2017年6月,《網(wǎng)絡安全法》正式實施,標志著我國關于互聯(lián)網(wǎng)方面的基礎性法律首次介入到公眾網(wǎng)絡生活領域,其對人們的權利義務以及應當遵守的綱領性原則做出了明確規(guī)定。這同時也意味著互聯(lián)網(wǎng)的迅速發(fā)展已成為不可小覷的社會問題。中國互聯(lián)網(wǎng)絡信息中心最新發(fā)布的數(shù)據(jù)顯示,截至2018年6月30日,我國網(wǎng)絡用戶數(shù)量突破8.02億,互聯(lián)網(wǎng)在國民間的普及應用率為57.5%,人們普遍利用網(wǎng)絡進行醫(yī)療、金融、社交、娛樂、交通、政務等各方面活動。在這個過程中,互聯(lián)網(wǎng)公司通過運營持續(xù)生成、累積關于用戶的行為數(shù)據(jù),這些規(guī)模龐大的數(shù)據(jù)即是大數(shù)據(jù)信息的資料來源。從我國大數(shù)據(jù)發(fā)展的現(xiàn)狀來看,網(wǎng)絡在帶來方便快捷、高收益的同時,也逐漸顯現(xiàn)出背后的管理紕漏和高風險性,許多社交網(wǎng)站和購物軟件都需要用戶提供精準的能夠識別的個人信息(個人數(shù)據(jù)),然而信息最終流向何方卻難以掌控;從全球大數(shù)據(jù)主權競爭來看,各國對于數(shù)據(jù)占有、使用和保護的爭奪愈加激烈,歐盟在2016年通過了《歐盟一般個人信息保護條例》,美國近年來也在鼓勵自律自治的前提下,采取了政府適當介入的模式,以更好地保障個人信息數(shù)據(jù)主權不受侵犯。如何對呈指數(shù)級增長的數(shù)據(jù)提供保護,是大數(shù)據(jù)時代的一個重要挑戰(zhàn)[1],必須采取更加強有力的執(zhí)行措施對其進行規(guī)制和監(jiān)控。
當前關于個人信息的概念界定,大多是從學術方面予以論述,或在法律條文的規(guī)定中剖玄析微,歸納總結各種定義的特征與異同。在學術上,一般認為個人信息是指與特定自然人相關聯(lián)的、反映個體特征的、具有可識別性的符號系統(tǒng),包括個人身份、工作、家庭、財產(chǎn)、健康等各方面信息[2]。在法律規(guī)定上,首個個人信息保護國家標準的文件是2013年國家質檢總局與國家標準委員會發(fā)布的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》,其科學界定了個人信息的概念,即可為信息系統(tǒng)所處理、與特定自然人相關、能夠單獨或通過其他信息結合識別該特定自然人的計算機數(shù)據(jù)。近期《個人信息保護法》(草案)也劃定了個人信息的范圍:包括姓名、體重、年齡、身高、檔案、醫(yī)療記錄、收入及消費和購買習慣、教育背景、婚姻狀況、家庭住址與電話號碼等在內(nèi)的能夠識別特定個人的一切信息。以上定義基本采取概括加列舉的模式,通過對個人信息的特征描述界定其內(nèi)涵。然而信息的性質是動態(tài)的,無法脫離相應場景做抽象判斷[3]。只有將其內(nèi)涵置入特定情境下,方能判斷該個人信息是否屬于法律干涉與保護的范圍。大數(shù)據(jù)背景下,互聯(lián)網(wǎng)技術迅速發(fā)展,人們每分每秒都在對海量數(shù)據(jù)進行挖掘和運用,因此,將關注重點從刻板信息定義轉移到具體信息利用階段,評估具體場景中使用個人信息所造成的隱私風險,更加符合大數(shù)據(jù)時代信息數(shù)據(jù)的爆炸性生成、累積與變更的特性。當隱私風險較低或在相應場景中可以視作合理存在時,即使屬于以上個人信息定義中所列舉的某項信息,法律或執(zhí)法機關也僅需給予一般程度的保護和關注。從這個角度對其內(nèi)涵進行理解,不僅可以減輕執(zhí)法機關負擔、提高工作效率和個人信息保護水平,更能夠合理利用個人信息,充分發(fā)揮信息的潛在價值。
隨著《網(wǎng)絡安全法》的正式實施,個人信息保護得到部分回應,同時,在我國大數(shù)據(jù)行業(yè)蓬勃發(fā)展的過程中,政府構建了各級各類數(shù)據(jù)庫并已投入使用。但是,關于數(shù)據(jù)的保護方式及法律定位仍然沒有做出全面說明,行政機關在履行相關職責、維護公共安全中存在的個人數(shù)據(jù)利用程序不當、信息整合無序、數(shù)據(jù)庫安全保障措施不到位等問題也未得到解答。由于缺乏一部完備的個人信息保護法,目前關于個人信息數(shù)據(jù)保護還未形成明晰的執(zhí)法體系和執(zhí)行程序。
1.執(zhí)法機構不明。
我國個人信息數(shù)據(jù)保護,在法律文本層面處于碎片化、動態(tài)化、零散化狀態(tài)[4]。這些法律條文散布在《中華人民共和國電子簽名法》、《全國人大常委會關于加強網(wǎng)絡信息保護的決定》、《網(wǎng)絡安全法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等270部文件中。然而這些法律卻未明確規(guī)定當個人信息受到侵害時,該由何種機關采取何種程序與措施及時止損。由此造成執(zhí)法機構不明的局面。從形式上來說,法律條文的分散性意味著在監(jiān)督管理體制內(nèi),網(wǎng)絡空間主體治理模式是由多個執(zhí)法部門參與的“分段監(jiān)管”,網(wǎng)信部門、電信部門以及公安部門各自履行其獨立職責。這種執(zhí)法方式極易導致監(jiān)督及執(zhí)行主體的責任不夠明確,彼此職責間存在重合或空白區(qū)域,網(wǎng)絡空間瞬息萬變,一旦出現(xiàn)個人信息權被侵害的情況,當事人難以在短時間獲得高效的幫助,由于各機關間缺乏協(xié)調統(tǒng)一機制,最終極易演變成“多頭混治”,不利于高效維護個人信息安全。
2.執(zhí)法標準無強制性。
我國已經(jīng)正式實施的個人信息保護國家標準《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》在效力層面上屬于指導性技術文件,不直接產(chǎn)生法律效果,沒有強制約束力[5],行業(yè)主體根據(jù)自身發(fā)展狀況自主決定是否配合遵守該規(guī)定,因此難以在個人信息保護的具體執(zhí)行方面起到實質性作用。目前我國尚缺乏獨立、專門、權威的執(zhí)行標準,導致執(zhí)法力度在一定程度上未能適應大數(shù)據(jù)時代個人信息保護的需要。
3.執(zhí)法措施未完善。
現(xiàn)有法律規(guī)定對個人信息的保護多從原則性與框架性的基點出發(fā),缺乏頂層設計與基本制度的建構。在行政法領域,一般的監(jiān)管規(guī)則只涉及信息的收集、占有、處理、使用、利用、保密及利益分享等方面[6]。然而在大數(shù)據(jù)時代背景下,即使是看似毫無關聯(lián)的數(shù)據(jù),經(jīng)過網(wǎng)絡的二次利用和開放,也能夠還原出大量的敏感個人信息。這些來自不同渠道的信息數(shù)據(jù)聚集匯總,當達到一定數(shù)量時,便可輕易刻畫出個人形象及生活習慣。因此,傳統(tǒng)的信息監(jiān)管執(zhí)法模式基于告知與許可原則對個人信息進行保護顯然不能夠適應大數(shù)據(jù)技術的發(fā)展需要。如何規(guī)定細致的執(zhí)法措施,使數(shù)據(jù)資源得到充分利用的情況下對個人信息進行有效保護,是目前執(zhí)法的最大難點。
歐盟實現(xiàn)對個人信息的保護主要通過建立專門的行政監(jiān)管機構,每個成員國都建立一個或多個公共機構,負責個人信息保護協(xié)調和行政管理、執(zhí)法工作[7],每個監(jiān)管機構成員在執(zhí)行任務、行使監(jiān)督權力時不受任何其他機關干涉或他人影響。2018年5月歐盟出臺的《一般數(shù)據(jù)保護條例》特別設立歐洲數(shù)據(jù)保護委員會,將其作為歐盟的一個機構,并賦予其法人身份。歐洲數(shù)據(jù)保護委員會的成員包括各成員國內(nèi)每個行政監(jiān)管機構的首長、歐盟數(shù)據(jù)保護監(jiān)督局首長,或者他們的代表;它的秘書處由歐洲數(shù)據(jù)保護局擔任。歐洲數(shù)據(jù)保護委員會的責任是統(tǒng)籌全局,發(fā)布個人信息的保護意見或指南,并具體協(xié)調一站式管理機制等工作。歐洲數(shù)據(jù)保護委員會的設立,同時也提高了歐洲信息保護局的地位和權力,它是歐盟開啟大數(shù)據(jù)時代個人信息保護的跨越式改革,意味著歐盟對個人信息保護及監(jiān)管達到了前所未有的高度,歐洲信息保護局通過向委員會報告《條例》的實施情況,確保成員國統(tǒng)一執(zhí)行適用該規(guī)定,同時順利完成保護局與委員會機構間的協(xié)調聯(lián)絡與銜接。
日本針對個人信息保護采取的模式是較為中立的咨詢評判制度,其1988年設置的個人信息保護審查會即是作為咨詢機關開展相關工作,并盡可能減少對信息使用企業(yè)自主權利的限制。2005年,日本《個人信息保護法》生效,該審查會更名為信息公開與個人信息保護審查會[8]。審查會成員由內(nèi)閣總理大臣任命,一般任期為3年,可以連任。隨著2015年《個人信息保護法》修正案的頒布,日本在2016年1月正式設立了個人信息保護委員會,由內(nèi)閣總理大臣直屬管轄,獨立行使職權;委員在任期內(nèi)不得參加政治運動及從事盈利性活動,以樹立中立、客觀的公正形象。該委員會是在考慮個人信息有用性的同時,確保妥善處理個人信息而設立的具有高度獨立性的機關。其主要業(yè)務包括:1.監(jiān)督特定個人信息,對行政機關或其他個人信息處理者進行必要的指導、建議,在違反法令的情況下進行命令或勸告。2.處理投訴等相關事項,設立投訴處理咨詢窗口,對特定個人信息處理相關申請事項進行解答,對《個人信息保護法》進行解釋和說明。3.評價特定個人信息保護等相關事項,根據(jù)行政機關對自身利用個人號碼風險的綜合性評價,制定其內(nèi)容或程序的指導性方針。4.進一步制定《關于個人信息保護的基本方針》等規(guī)范性文件,推進官方及民間個人信息保護政策與章程的建立和實施。5.國際合作。6.宣傳和啟發(fā)。7.其他事項[9]。
印度在2005年頒布的《信息權利法案》中建立了信息委員會,并設立了公共信息官員。信息委員會官員由總理、下議院反對黨領導人以及內(nèi)閣大臣推薦,總理負責任命;為了確保信息專員獨立行使指導、管理和監(jiān)督的權力,保證公共利益不受其他權力機關與個人的干涉,議會成員、立法機關成員或政黨相關人員不得擔任該職務[10]。中央及州信息委員會每年需向中央及州政府提交年度報告,匯報關于實施《法案》條款的具體情況;同時公共機構也需將其在信息處理、使用環(huán)節(jié)所采取的行動以及委員會對其相關指示與請求加以匯總形成文案。報告與文案最終都需提交至議會,并由信息委員會根據(jù)具體政策執(zhí)行情況對此進行反饋和評估,以改進工作任務和工作目標。信息委員會所做決定具有一定的強制性,具有和法律機關同等的效力,在執(zhí)行相關任務時可以將其作為民事法庭看待。當公共機構違反法律規(guī)定,做出侵害公民個人信息的行為時,委員會可以對該機構進行約束,并要求其做出賠償;當各級信息官員無正當理由拒絕配合工作時,則可以處以罰金并進行訓導。
德國聯(lián)邦政府依據(jù)《聯(lián)邦數(shù)據(jù)保護法》設立了聯(lián)邦數(shù)據(jù)保護與信息自由保護委員會,其成員為聯(lián)邦數(shù)據(jù)保護專員,由內(nèi)務部為專員提供人力、物力組建辦事機構[11]。當選的數(shù)據(jù)保護專員年齡應在35周歲以上,經(jīng)聯(lián)邦政府提議,聯(lián)邦議會法定人數(shù)過半數(shù)通過選舉,總統(tǒng)對當選專員進行任命,任期5年,可連任兩屆。聯(lián)邦數(shù)據(jù)專員負責監(jiān)督聯(lián)邦公共機構對相關數(shù)據(jù)保護法律的執(zhí)行。專員獨立于公共部門及私營機構,不可在職務之外參加有償或盈利性活動,也不可在聯(lián)邦各州政府或立法機關擔任職務,只服從于法律,具有公法官員的地位,這意味著監(jiān)督的有效性和公正性得到了一定的保證。此外,凡是能夠自動收集、處理和使用個人數(shù)據(jù)的公共機關和私法機構必須書面任命一名具備相關專業(yè)知識的數(shù)據(jù)保護官。數(shù)據(jù)保護官負責監(jiān)督個人數(shù)據(jù)的處理和使用,在機構內(nèi)部保障法律的遵守和執(zhí)行。由于該職位是基于機構委托而形成[12],因此,官員須對其所在公共機關或私法機構的領導負責。雖然數(shù)據(jù)保護官不是獨立的監(jiān)督主體,但在數(shù)據(jù)保護領域運用專業(yè)知識履行職責時,法律確保其不受任何干涉。
大數(shù)據(jù)背景下信息管理和個人信息保護已成為迫切的時代需要,多數(shù)國家及我國的香港、澳門地區(qū)都建立了專門的信息保護執(zhí)法機構,以保障國家和公民權利不受來自各個方面風險的侵害。由于各個地區(qū)和國家的社會背景、人文因素存在差異,所設置的信息保護機構也各具特色。從執(zhí)法機構權力強弱的層面來看,可以將其分為三種模式:
第一種模式是具有獨立行政強制權力的信息保護機構。如印度、澳大利亞以及我國的香港、澳門地區(qū)等。屬于這類模式的信息保護機構一般負責行政管理及執(zhí)法工作;自身具有較高的獨立性,能夠制訂某些行動方針或計劃來執(zhí)行法律的規(guī)定;日常負責加強各界對相關法律的理解和認識,并隨時監(jiān)督檢查是否存在違背法律規(guī)定的情況;如果存在違反規(guī)定的現(xiàn)象或有信息資料當事人進行投訴,則負責對具體事項進行調查,并對可能影響個人信息安全的規(guī)定與不完善的工作機制進行審核及研究,保障行政執(zhí)法的順利進行。
第二種模式是無強制力的中立咨詢機構。如日本、加拿大、法國等。這種模式下的信息保護機構執(zhí)法力度較弱,盡管同樣負責受理并調查個人信息侵權投訴、審查政府機關或私營機構的個人信息保護措施,但是當出現(xiàn)侵犯個人信息的不當行為時,信息或隱私專員僅能進行投訴、披露以及提出建議,不能對其實施具有法律約束力的強制性措施。中立咨詢機構更多致力于向政府機構及私營主體解答個人信息保護過程中出現(xiàn)的問題,對個人信息保護政策進行研究,并向議會及時報告?zhèn)€人信息保護的具體情況。
第三種是強制性行政權機構與服務咨詢機構并存的模式。典型的代表國家是德國。歐盟層級式管理的歐洲信息保護委員會及歐洲信息保護監(jiān)督局的設置也有異曲同工之處。一方面,國家擁有獨立運作的具備行政職能的個人信息保護機構。該機構享有執(zhí)法權力,能夠監(jiān)察、協(xié)調和管理對相關信息保護法的遵守和執(zhí)行,接受并調查個人信息處理的申請、投訴或舉報,對具體事項進行審批和登記等。另一方面,在具備統(tǒng)籌協(xié)調機關的同時,還需要具備負責監(jiān)督、指導具體規(guī)則實施的機構或個人。對于收集、處理和使用個人數(shù)據(jù)的公共機構或私營主體給予法律上的指導和幫助,使數(shù)據(jù)處理人員熟悉信息法律、相關條款以及特殊要求。
近年來,我國也已在個人信息保護的立法中邁出了步伐,由于我國目前還沒有出臺獨立的個人信息保護法,面對信息科技高速發(fā)展、地域交流愈加便捷頻繁、全球網(wǎng)絡一體化趨勢凸顯的社會環(huán)境,進一步提高政府行政執(zhí)行水平、合理創(chuàng)設執(zhí)行條件尤為重要。結合中國行政管理發(fā)展的現(xiàn)實情況,筆者認為,第三種模式更加符合國情和社會需求,可以為行政執(zhí)法提供有益參照。
其一,執(zhí)法機構更加健全。從中央機構建設的角度來說,設立具有統(tǒng)籌管理職能的個人信息保護機關,能夠科學配置各部門及內(nèi)設機構的權力,明確相關職責。一個具備協(xié)調、監(jiān)管職能的執(zhí)法機關,不僅能防止部門間相互“打架”、權責分離嚴重的情況,更能集中力量,實現(xiàn)部門間協(xié)作辦公,便于公民權利的保障和實現(xiàn)。從地方機構具體實施的角度來說,我國地方執(zhí)法機關或具體收集、使用、處理個人信息的公共機構及私營主體,人力資源缺乏、信息溝通互動不及時,層疊繁多的政府部門使信息使用者缺乏壓力和動力,難以及時高效地執(zhí)行相關法律和政策。因此,有必要在公共機構及相關信息行業(yè)的企事業(yè)單位設置專業(yè)信息保護人員,宣傳和解釋信息制度與規(guī)定,通過定期對具體執(zhí)行情況進行測評,促進企事業(yè)單位及公共機構自覺遵守法律,妥善使用、保管個人信息,避免出現(xiàn)泄露和濫用個人信息的情況。
其二,目前,許多國家諸如德國、歐盟、美國、日本、加拿大、印度、澳大利亞都具備相關的信息保護法。同樣,完善法律規(guī)定、設置強制性執(zhí)法標準有利于提升我國個人信息保護管理效能。強制性是法律得到遵守和執(zhí)行的前提,在一定程度上約束相關主體的行為,不僅能夠彌補行業(yè)自律自身存在的缺陷,更能夠建立穩(wěn)定的信息保護秩序,有利于平衡社會生活中各方主體的不同需求??梢詫F(xiàn)有《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》升級為具備法律強制力的管理標準,進一步規(guī)范侵害個人信息的不法行為。
其三,第三種模式機構劃分較為細致,相對應的具體執(zhí)法措施與程序也較為詳細。德國《聯(lián)邦數(shù)據(jù)保護法》規(guī)定了信息保護專員及機構的職責、數(shù)據(jù)主體的權利及救濟和賠償手段。詳實的執(zhí)行、管理及保護方案能夠填補原則性規(guī)定的空白,規(guī)范信息收集者和使用者的權利范圍,保障被使用者的合法權利不受侵犯。我國應進一步規(guī)定處罰規(guī)則和救濟程序,從各具體信息使用機構入手,加強監(jiān)管力度、設立違法行為公示制度,將違規(guī)違法單位列入黑名單,從源頭遏止個人信息侵犯行為。
隨著網(wǎng)絡技術的迅速發(fā)展,數(shù)據(jù)的收集、分析、整合、處理已逐步產(chǎn)業(yè)化。2015年國家出臺的《促進大數(shù)據(jù)發(fā)展行動綱要》更是將大數(shù)據(jù)產(chǎn)業(yè)化提升到了戰(zhàn)略層面[13]。我國能否在個人信息數(shù)據(jù)保護方面形成具備社會主義特色、符合國情、高效合理的規(guī)范性機制,關乎公民的國家信任、社會和諧穩(wěn)定及數(shù)據(jù)產(chǎn)業(yè)的長足發(fā)展。當前世界各國共同處于大數(shù)據(jù)發(fā)展、信息保護改革轉型的重要時期,歐美國家已然開始為擺脫傳統(tǒng)信息保護的發(fā)展困境提出了應對措施,在這種情況下,我國更應該清醒地認識到目前執(zhí)法乃至立法方面存在的不足之處,抓住大數(shù)據(jù)時代的寶貴機遇,吸取其他地區(qū)的優(yōu)勢和經(jīng)驗,積極發(fā)展與新技術、新環(huán)境相適應的個人信息保護模式,建設適合我國國情和社會發(fā)展的執(zhí)法機構,以嚴格的執(zhí)行力保障個人信息數(shù)據(jù)的安全與自由?!?/p>