大数据时代大数据的价值不可估量。例如,被誉为未来世界的“石油”的数据,对其分析挖掘利用能创造巨大的物质财富和社会价值。然而,数据在大量 聚集的同时,信息泄露也如影随形,无处不在,使得个人信息安全面临严重威胁。近几年,大规模数据泄露事件时有发生,令网民心有余悸。可以说,大数据时代既 为我们带来了巨大的经济潜力,又对公民个人信息安全提出了严峻的挑战。因此,大数据时代亟须加强个人信息的法律保护。
大数据时代个人信息法律保护的现状
在个人信息的法律保护方面,美国、欧盟、法国等 国家和地区走在前列,主要有分散立法和集中立法两种模式。美国采取分行业保护的分散立法模式,保护个人信息的法律规定散见于各部门法,如《电子通讯隐私 法》《金融隐私权法案》《有线通讯隐私权法案》等。欧盟采取集中立法模式,对保护个人信息进行集中立法,统一规定个人信息保护相关法律问题。为满足保护个 人信息的现实需求,我国近年来也加快了对个人信息保护方面的立法实践。在我国的《刑法修正案(七)》《侵权责任法》《电子签名法》《居民身份证法 (2011年修订)》《消费者权益保护法(2013年修订)》和《关于加强网络信息保护的决定》等法律法规中,都含有个人信息保护的规定。同时,国务院各 部委还制定了一些关于个人信息保护内容的部门规章,如工业和信息化部的《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》,工商总局的《网络交易管理办法》等。此外,不少地方基于本地实际情况还出台了相关地方性法律条例,如《深圳经济特区互联网信息服务安全条例》。
个人信息的法律边界不明。一是个人信息的外延边界不明。在国内现行的法律法规中,并没有法律对个人信息进行明确界定。二是个人信息的区分边界不明。在我 国个人信息的法律保护的现状中,并没有对个人信息和个人隐私进行明确区分,不利于对二者进行区分保护。三是个人信息的权利边界不明。在大数据时代,用户使 用网络时不可避免地会将个人信息的占有权转移给服务商,经过多重交易以及多个第三方渠道的介入,难以厘定个人信息的权利边界。
个人信息 保护法律体系不完善。尽管我国已制定了多部涉及个人信息保护的法律法规以及条例,但同当前个人信息保护的现实需求还有差距。一方面,个人信息保护领域的立 法缺乏系统性。在我国现行的法律法规以及地方条例中,并未对个人信息保护进行综合立法。2012年全国人大常委会出台的《关于加强网络信息保护的决定》仍 旧只是规定了个人信息保护的基本原则。另一方面,个人信息保护法律的操作性不强,需要配套的法律法规以及操作性强的实施细则。
个人信息保护执法机制滞后。首先,我国个人信息保护目前处于多部门监管状态,公安部、工信部、全国工商局、商务部、中国人民银行、银监会、保监会、证监会等 都负有个人信息监管职责,多头监管容易使得监管信息沟通不畅、监管无序。其次,执法依赖事后监管,缺少事前监管相关企业、单位在个人信息安全保护方面的制 度构建以及执行情况,难以从根本上杜绝和防范非法使用的行为。最后,缺乏企业个人信息泄露问责机制,相关处罚只对个人不对企业,不能真正起到警示作用。
明确个人信息的法律边界。明确个人信息的外延边界。从范围上看,个人信息指的是能够识别某个特定自然人身份的信息以及需要集合起来才能推断出特定某个人 身份的信息。明确个人信息的区分边界。要明确区分个人信息与个人隐私,前者须具备身份识别性,而后者通常是指公民个人生活中不愿向他人公开或为他人知悉的 秘密。在明确区分的基础上,区别对待,严格保密严禁搜集的个人隐私,防止滥用个人信息。明确个人信息的权利边界,应当在相关法律法规中明确用户的个人信息 属于私人资产,相关企业不得擅自使用。
完善个人信息保护的立法体系。在现有国家和地方个人信息保护立法实践的基础上制定个人信息保护的 专门法,厘定大数据时代个人信息保护的基本原则和规则,对企业如何保护收集来的个人信息作出明确规定,明确个人的信息数据准入权、删除权、修改权、救济权 等内容,完善个人信息违法行为的责任体系。完善与个人信息保护相关的法律法规,针对垃圾电子邮件、手机垃圾短信等与个人信息保护密切相关的问题制定法律法 规,为大数据时代个人信息的法律保护提供多角度、全方位的立法支撑。完善个人信息安全相关法律的实施细则,细化个人信息保护相关法律的基本规定,提高个人 信息法律保护的可操作性。
优化个人信息保护的执法机制。设立个人信息监督管理机构。为避免多头监管带来的问题,可以设立跨部门的个人信 息保护委员会,统筹规划,专司其职。强化个人信息保护的事前监管。在大数据时代,一旦保护个人信息被泄露,其被非法使用可能带来诸多无法弥补的危害和危 险,保护个人信息不能只立足于事后查处,更应着眼于事前预防,从根本上预防非法使用个人信息的行为。建立企业个人信息泄露问责机制,加大对涉事企业的处罚 力度,增强企业对用户信息安全维护意识。
