摘要:伴随着5G时代的到来,承载信息的数据呈现出几何级增长,史无前例的大数据时代在给人们生活带来便利的同时,保护公民个人信息安全问题也迫在眉睫。分析及比较欧盟、美国、日本及印度公民个人信息保护模式的特点及存在的不足,能够为我国建立公民个人信息保护模式提供借鉴与启示。
关键词:公民个人信息;大数据时代;立法模式
伴随着5G时代的到来,承载信息的数据也呈现出几何级增长,史无前例的大数据时代在给人们的生活带来便利的同时,保护数据隐私及公民个人信息安全问题也迫在眉睫。
1域外公民个人信息安全模式分析
(1)欧盟保护模式。欧洲在个人信息保护立法方面一直走在世界前端。《个人数据保护指令》是欧盟个人信息保护的基础指令,界定了个人数据内涵的六个原则。《隐私与电子通讯指令》是一部专门针对互联网状态下的电子商务与电子通讯中个人信息保护问题的指令,针对网络服务提供者使用用户cookies的合法性、商业通讯中法人的数据权益与隐私问题及电子通讯服务提供商的安全保障义务进行了界定。2018年5月实施的《通用数据保护条例》(GDPR)是欧盟现行的个人信息保护条例,条例中进一步明确用户信息的界定,拓展了条例管辖权,强调数据收集与处理的合法性与正当性,并引入了遗忘权和可携带权两个概念,新概念用以保障大数据时代用户信息存储与流通的安全性。GDPR在使用过程中,仍有多个方面需要细化,为了进一步规范数据治理模式,2020年欧盟委员会相继通过了《欧洲数据治理条例》提案、数字服务法案(DSA)和数字市场法案(DMA)提案,法案针对数字服务的规则构建了监管体制,主要包括社交媒体、在线市场和其他在线平台的个人信息安全问题。欧盟统一立法保证了公民个人信息安全,但在具体执行中,也存在很多不足。主要体现在:一是理论规定与实际实施存在一定的差距,受到约束更多是中小企业,而对于跨境互联网巨头的制约是有限的。二是GDPR中一些严格的法律条文不适用于大数据时代,制约了部分信息的共享和使用。
(2)美国保护模式。美国是典型的移民国家,采用分散立法模式是由其国情决定的。针对个人隐私权利保障的基本法是1974年推行的《隐私法》,其立法精神强调公平与正义,内容主要针对政府机构对个人信息的采集与使用中存在问题的规制。普通立法层面,多项法律涵盖了对个人信息安全的保护。如《电子通讯隐私法》中针对通讯中的文字、视频、音频等信息做出保护。除却立法保障,美国更强调行业自律模式。即在基本法设定的大框架基础上,由不同领域的组织或者行业来制定保护个人隐私的规范,要求同领域的企业自我约束,共同遵守行业规定,以促进和保护个人隐私信息。美国行业自律模式推行的“分散立法”保护了公民个人隐私安全,但问题也比较明显,表现在:一是没有统一自律标准。在缺乏政府政策引导的前提下,仅靠行业自律组织及第三方认证机构来进行个人信息保护,影响了执行效果。二是企业自我规制积极性不高。行业自律与企业利益成本往往存在冲突,可能存在企业不愿意主动参加行业自律协会设定的标准,而同时,国家并不能采取有效措施。大数据时代到来后,特别是2018年后多家互联网巨头遭遇大规模用户数据泄露事件,暴露出美国行业自律模式的缺陷,2018年加州颁布的《加州消费者隐私法》(CCPA),在一定程度上体现了美国建立个人信息保护统一标准的趋势。
(3)日本保护模式。受本土历史文化影响,日本的立法模式自成一派。基本法为《个人信息保护法》,2005年推出,2015年修正,目前所有操作个人信息的机构、部门及从业者都被纳入该法案的管理之下。法案特点之一是成立了专门组织——个人信息保护委员会,特定的组织将分散的监督权统一,实现了有效监督。同时,法案制定的个别法则适用于多个不同的领域及行业。日本的个人信息保护立法模式总体呈现金字塔设计,顶层是基本法,中间层为多个个别法规,基层构成是多行业主管部门所制定的具体指导。同时,也强调行业自律。如在日本《个人信息保护法》中专门提到关于“民间团体对个人信息保护的推动”内容,并引入了纠纷解决机制。从日本模式可以看到,日本在立法之初就明确借鉴欧盟的统一立法、兼顾美国的行业立法模式,但在实际实施过程中仍存在部分的缺憾,主要体现在,一是对个人信息的定义不足,大数据时代的到来,企业大量收集、使用个人信息,内容更加的复杂多样,而个人信息不明晰的界定造成企业和组织能够绕过个人信息保护的限定而对个人信息进行滥用的现状。二是立法与自律并行的模式,使得企业在应用过程中,容易对一些非法个人信息采集与使用中的问题进行规避,且可能抑制个人信息的自由流通。
(4)印度保护模式。印度已成为全球外包的首选之一,为了解决公民数据保护和隐私法的问题,近年来也通过了多项法律以针对个人信息保护的立法问题。2000年颁布了《信息技术法案》是印度保护公民个人信息的基本法。2009年修订的《信息技术法案(修正案)》正式实施,主要针对网络违法行为中针对信息隐私和保密数据的攻击行为、网络服务提供商、外包公司及中介机构对滥用第三方信息的行为负责的界定。2019年印度实施的《个人数据保护法案》从立法模式到内容都极大参照了欧盟的GDPR,但作为印度首次全面系统的法律政策框架,存在很多的局限,主要表现在:大的法律框架中多项细节没有精确的规定。近年来,外国投资者在向印度发送大量数据以用于管理后台业务时,保证数据信息的安全性就尤为重要,所以,仅有大框架的推出还是远远不够维持投资者的信心的,印度保护个人数据与隐私还需要后续的多项完善才能真正发挥作用。
2域外国家与地区个人信息保护体系的比较
通过对欧、美、日、印等国家和地区个人信息保护模式分析,可以得出,目前国际主要的两种对个人信息进行保护的基本模式,即为“统一”与“分散”模式,两种模式各有千秋,也各有利弊。统一立法模式,从基本法到普通法一系列的法律对个人信息保护进行了界定,主要优点为对于确定范围内的企业、政府机关、个人、跨境企业都有统一的框架与标准,利于统一管理。存在的弊端也显而易见,伴随着互联网的快速发展,大数据的产生与应用,出现理论规定与实际实施存在差距、对跨境企业巨头的监管有心无力的现象,且法律总跟不上互联网的发展,不断出现新的技术与新的情况使立法无法做到及时性,起到的监管效果也就大打折扣,无法达到预想效果。分散立法模式,在基本法的框架与多个行业规则相辅助的情况下完成对个人信息保护的约束,这与国家的信息技术、社会氛围、文化基础等都有着关联。强调行业自律的分散立法模式,利于信息技术及相关企业的发展,适合于市场经济的自行调节,但缺乏统一个人信息保护立法也可能因企业间的不当竞争而导致大量数据泄露。大数据时代,为了更好应对公民个人信息安全问题,相当多的国家结合了美、欧立法的特点,采用了两者中的成熟部分。即在法律上,采用统一立法形式,针对各个产业,政府鼓励并引导行业协会来规范,推行行业自律模式。日本和印度的模式反映了国际上的一种大的趋势,就是将两个主流模式融合,再针对各国的特色进行多种方式的保护个人信息模式的探讨。
3大数据时代我国公民个人信息安全保护模式启示
分析与比较境外国家的个人信息保护模式,很多国家起步早,形成的保护体制已经较为成熟,在多个方面值得我国借鉴参考。
(1)结合实际国情,选择合理立法模式。我国个人信息保护起步较晚,可以分析与借鉴成熟的立法模式。统一立法模式优点是国家可以利用法律对公民个人信息保护的法律权利、具体措施和救济机制进行规制;缺点是可能阻碍信息的流动,对大数据时代的信息共享存在一定限制;分散立法模式优点是能够避免国家统一法律力量对信息流动的过多干预,缺点是缺少国家的统一管理,企业完全依赖行业自律,很容易为追求利益而损害个人信息安全。立法模式要结合我国国情进行,不能够直接“拷贝”和移植国外的立法,简单的复制可能会导致现实操作与法律条文相冲突,降低行政机关的公信力,结合我国国情的立法框架要能够切实体现出“中国特色社会主义法治”的特点。
(2)适应大数据时代的需求,增强国际间的合作与共享。大数据时代,数据流动与共享成为国际合作的大趋势,加强行政立法,保护公民个人信息安全的前提下,制定个人信息保护相关法律条文时要具有国际视野,最大限度保证相关立法兼具全面性和前瞻性。这就要求做到:一是立法人员要具有大数据理念与思维,了解“大数据”技术。二是保障立法的前瞻性,减少立法的“滞后性”。三是要保障立法的体系性。
(3)提高公民信息安全意识,确立个人信息保护理念。由于历史的原因,我国在高科技领域的实力与国外差距较大。主要体现在以下两个方面:一是我国的信息安全受到国外核心技术的制约。在信息技术领域,大量企业及重要部门运行着国外的操作系统、CPU、交换机、路由器等产品,核心自主技术欠缺成为面临的最大威胁,造成我国的自护可控能力相对较低。二是公民的信息安全意识低。截至2020年6月30日,我国网民数据达到9.04亿,其中手机网民占比高达98%,移动上网的便捷大大方便了人们的生活,特别是近年来低龄和老年网民的数字得到了极大的增长。与网民数据大幅增长形成对比的是网民的个人信息保护意识不足、缺乏维权意识,公民在很多情况下会随意填写个人信息,导致个人信息被非法传播与利用的风险增加。因此,“大数据”时代基于国家立法基础上,宣传公民个人信息的重要性,引导、确立个人信息保护理念非常重要。
(4)立法与监督并行,应对大数据时代技术带来的隐患。刷屏的《我被美团会员割了韭菜》文章,作者基于自己点外卖的经历评论商业巨头的“大数据杀熟”行为。大数据时代的5G、物联网及人工智能等技术加强了对公民个人信息数据的挖掘分析能力,呈现出精准化、全面化、简便化、隐秘化趋势。随着人脸、指纹、声纹、虹膜、心跳、基因等具有很强个人属性的信息被收集、分析和利用,加上应用场景增加,使得信息滥用会产生严重的后果。如不法分子在电商平台贩卖人脸信息,将被盗的人脸信息用于虚假注册、电信网络诈骗等违法犯罪活动。同时各类APP商家,也在深度研究我国法规,在法规发生效力之前,就进行了规避,这一点也是目前国际上面临的共同难题,立法与监督并行,应对大数据时代技术带来的隐患也是我国个人信息安全应该考虑的问题。
(5)加大政策引导,增强互联网行业的自律性。任何立法都有一定滞后性和局限性,特别是当前互联网飞快发展,每天亿万数据汇合的今天,仅靠立法来规范是有一定局限的,立法的同时,还应引导、增强行业自律。
4结语
随着国家对个人隐私安全的宏观管控和支持维护力度的不断增强,我国对于个人信息保护的研究也一直在积极探索中。分析及比较欧盟、美国、日本及印度的公民个人信息保护模式,为我国建立公民个人信息保护模式提供借鉴与启示。同时,融合大数据时代技术应用,配合法律、政策等多个维度,在个人信息保护和数据共享与交流之间找到相对平衡点,才更有利于推动网络安全与信息化的协调发展。
参考文献:
[1]赵晟.大数据时代个人信息行政法保护的域外考察与启示——以美国、日本个人信息保护为视角[J].黑龙江省政法管理干部学院学报,2020(2):17-21.
[2]魏书音.从CCPA和GDPR比对看美国个人信息保护立法趋势及路径[J].网络空间安全,2019,10(4):102-105.
[3]倪希豪.大数据背景下个人信息保护研究[D].浙江:浙江工业大学,2019.[4]于威.云计算背景下个人信息保护的立法研究[D].辽宁:大连理工大学,2015.
[5]童林.政策工具视角下的我国个人信息保护政策研究[D].湖北:华中师范大学,2018.
作者:张辉 单位:山东警察学院
