法治,普法>

我国首部个人信息保护法呼之欲出

记者 李海洋

2020-05-21 10:08:33中国商网 收藏0 评论0 字数4,211 分享

建立数据信息 分类分级制度

●保护个人信息安全并不意味着放弃对数据的合理使用与分析挖掘,个人信息数据只有充分流动、共享、交易,才能最大程度地发挥价值。

●数据和信息极易被混淆,应当根据其中是否涉及商业秘密和个人隐私信息等方面的内容以及其类型而有针对性地建立分级保护制度。


中国商报/中国商网(记者 李海洋)备受关注的我国首部个人信息保护法草案稿已经形成——5月14日,全国人大常委会法工委对外披露了这个消息。个人信息保护法是从2018年开始提上立法日程的,2019年年底,全国人大常委会法工委明确将在今年制定个人信息保护法。

全国人大常委会法工委表示,对已形成的个人信息保护法草案稿,将根据各方面意见进一步完善后,按照全国人大常委会立法工作的安排,争取及早提请全国人大常委会会议审议。

据统计,我国现行与公民个人信息保护有关的法律法规多达200余部,在消费者权益保护法、网络安全法、民法总则、刑法等诸多法律法规和规章中都有关于个人信息保护的条款。然而,涉及的法律条款过于分散、繁杂和笼统,缺乏统一操作标准,亟待专门立法解决有关难题。

大数据时代的必答题

刚走进办公室,电话铃声响起,是一个陌生来电。职业习惯使然,北京市京师律师事务所网络安全法律事务中心主任、北京网络行业协会法律专业委员会副主任兼秘书长王琮玮第一时间接通了电话。电话那头一上来就说:“某某某家长,您好!我们这里有一对一英语辅导班,您的孩子需要一对一辅导吗?”

“你们这样拨打我的电话是违法的。我没有给你们留过任何信息,你们是从哪里得到我的电话的,从哪里得到我孩子的信息的……”面对王琮玮的一连串质问,对方支支吾吾地回答不上来。

类似这样的骚扰电话,很多人都曾接到过。王琮玮表示,看似很简单的一个电话打过来,其背后可能隐藏着一条违法犯罪的黑色产业链。

“以我刚接到的电话为例,我并没有给这家机构留过任何信息,对方却准确地掌握了我的电话、我孩子的姓名以及年龄段,这意味着我的信息被泄露了。”王琮玮表示,在信息泄露的背后,可能是一条网络非法采集、窃取、贩卖和利用用户信息的黑色产业链。

中国互联网络信息中心前不久发布的第45次《中国互联网络发展状况统计报告》显示,截至今年3月,我国有43.6%的网民在过去半年上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比仍是最高的,达23.3%。

目前,依靠盗窃个人信息获利的黑灰色产业公司数量已不容忽视。据不完全统计,从2015年开始,互联网黑灰色产业从业人员就已经超过40万人。2017年,我国网络安全产业规模仅为450多亿元,黑灰色产业规模早已达千亿元。

在个人信息泄露之后,轻则遭遇各种短信和电话骚扰,重则引发一系列诈骗和绑架事件。

人们即使侥幸地躲开了这些“精准诈骗”,信息泄露的危害仍然在暗中潜伏,等待着时机。

近年来,公安机关等相关部门持续开展净网行动,加大了专项打击力度,取得了一定成效。但是,侵犯公民个人信息的刑事案件仍居高不下,侵犯公民个人信息的违法犯罪依然比较猖獗。在大数据时代,如何有效保护个人信息安全成了一道必答题。

法律法规分散难管控

面对如何有效保护个人信息安全这道必答题,我们并非无法可依。事实上,与个人信息保护相关的法律法规和规章多达200余部,在消费者权益保护法、网络安全法、民法总则、刑法等诸多法律法规和规章中都有关于个人信息保护的条款。

自2017年6月1日起施行的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条明确,刑法第二百五十三条之一规定的“公民个人信息”,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。

此外,上述解释还列举了侵犯公民个人信息的行为,包括出售或者提供行踪轨迹信息,被他人用于犯罪的;非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;违法所得五千元以上的。

网络安全法第四十一条明确规定了网络运营者收集、使用个人信息,应当遵循“合法、正当、必要”三性原则。刑法第二百三十五条对侵犯公民个人信息的行为做出了具体的处罚规定。

20200108824875ta.jpg

   据广东省公安厅通报,2019年广东警方在“净网2019”专项行动中侦破网络主侦案件2960余起,刑事拘留10420余人,缴获公民个人信息98亿条。图为警方展示涉案物品。CNSPHOTO提供


紧随着网络安全法出台的《个人信息安全规范》是一部推荐性的国家标准,其出台的目的和意义在于,对于企业落实个人信息保护起到了指导性的意义,相当于手把手地教企业如何去落实个人信息保护义务。

尽管有这么多与个人信息保护相关的法律法规和规章,但是因散落在各种法律法规当中,涉及的法律条款分散,内容也停留在相对原则性的层面上,相关的标准还只是建议性的,而不是强制性的,难以为个人信息保护提供切实有效的法律保障。

王琮玮表示,从执法和监管的角度看,都需要执法有依据,仅靠一部网络安全法和其他散落在各部门法里面的有关条款是不足以支撑执法监管需求的,所以,需要有一部专门性的法律对个人信息进行保护,需要统一立法体现顶层设计。

中国政法大学传播法研究中心副主任朱巍认为,虽然当前我国法律对个人信息保护的规定越来越严格,公民对个人信息保护意识在不断加强,但是个人信息泄露案件仍然高发,大部分人依然没有意识到对个人信息进行保护的重要性。因此,对个人信息进行专门立法保护是大势所趋。

立法界定保护的“度”

就立法如何对个人信息进行保护的问题,学界达成的一个共识是:保护要有“度”,应防止“过度保护”。比如,个人的一般信息和财产信息是否要采取相同的保护措施?一些专家学者给出的答案是,应区别对待——建议推出数据信息分类分级保护制度。

专家指出,数据和信息并不是同一种概念,两者极易混淆,应当根据其中是否涉及商业秘密和个人隐私信息等方面的内容,以及其类型而有针对性地出台分级保护制度。

王琮玮表示,当下是互联网时代,个人信息和数据必定是要在互联网上进行应用的,如果不加以任何区分全部都保护起来,就会形成过度保护,进而限制互联网的发展。

北京华讯律师事务所主任张韬表示,个人信息保护法要解决的首要问题是数据信息的权属——通过权属确定哪些信息属于个人信息,哪些属于可交易的商业数据。

王琮玮也认为,不应对所有的商业数据和个人信息都“一刀切”式地允许或者禁止使用,而是要区分可使用、可交易的商业数据信息和不可使用、不可交易的数据信息,划清个人一般信息和个人隐私或敏感信息的边界。

根据相关数据信息的属性,包括商业属性和人身属性等所属领域和类别,可对数据信息权利人造成的影响等多方面进行分类,再根据具体类别给予相应级别的保护。

“我们通常所说的个人隐私信息,是指不为公众所知悉的、公民个人生活中不愿为他人所知悉的私密信息,这些信息往往是一定范围以外的;而商业秘密是指不为公众所知悉的、且能为权利人带来经济利益,并经权利人采取相应保密措施的技术信息和经营信息。”张韬说。

清华大学法学院教授劳东燕表示,合理而有效的保护框架涉及未来立法往什么方向走的问题。在眼下的个案中当然要考虑如何保护数据的合理化、商业化应用,同时更要保护个人信息,进行利益的权衡。

受访的专家表示,通过建立数据信息分类分级制度,对相关信息数据的类型和性质进行划分考虑,对属于商业秘密和个人隐私的数据要严格保护。除非经过数据信息权利人的许可,应禁止任何企业、其他组织和个人使用、交易或者披露他人的商业秘密和个人隐私信息。对于商业秘密、个人隐私信息的泄露、盗取和非法使用应当采取零容忍的态度,对违法行为给予严厉打击。

王琮玮说,通过专门性的立法对个人信息进行分级细化保护,从执法角度而言,公检法机关能够更好地去监管、去打击、去裁判;对个人来讲,也会更清晰地知道哪些信息应被重点保护,哪些信息可以被利用。“比如,当你使用一个应用服务软件时,你必须授权其使用个人实名信息,因为这是网络安全法要求的实名义务。”


链接 〉〉〉

急需加大行政执法力度

对于个人信息保护,相关的互联网平台具有难以推卸的责任。王琮玮表示,目前的个人信息泄露有两种情况:一种是企业平台的“内鬼”为牟取暴利而不惜铤而走险故意泄露相关的个人信息;另一种是黑客攻击导致的个人信息泄露。不管是哪一种情况,都与企业平台合规监管是否到位脱不开干系。

作为互联网领域的专业律师,王琮玮一直很关注相关企业平台的合规问题。在实践中,她发现,有一些企业完全没有合规意识,采集到的个人信息几乎处于无保护状态,仅靠计算机自带的防火墙和杀毒软件来防御,相当于只设置了一层“竹篱笆”。

“实际上,企业平台是可以通过技术防御来设立‘保险阀’的。比如关于‘内鬼’的问题,在数据库访问设置里可以设置由多人掌管的多重密码进行防御和阻止,这样的技术防御并不会增加太多的运营成本。”王琮玮说,问题的关键在于,一些企业平台完全没有保护意识,甚至一些企业平台认为,网络安全是BAT这样的网络巨头的问题,与自己无关。

王琮玮表示,企业要实现可持续发展,又要适应愈发严格的监管,就必须主动合规运营,提升自律意识。大中型企业要长期经营下去,一般来说都会主动合规。目前,更需要关注的是一些小企业,只有通过依法严惩去倒逼,才可能使它们有动力合规运营。

在王琮玮看来,从法律层面分析,关键在于制度的落实。制度的落实可以通过行政执法的常态化来实现。

“目前可以查询到的行政执法数据很有限。”王琮玮表示,网络安全法实施至今快三年了,这期间给了企业平台自查自纠的过渡时间,是时候加大行政执法力度了。要通过行政执法倒逼企业平台合规运营,增强保护意识。

王琮玮表示,特别值得一提的是,刑法规定的“拒不履行网络安全义务罪”,行政处罚是该罪名的前置条件,网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一:致使违法信息大量传播的;致使用户信息泄露,造成严重后果的;致使刑事案件证据灭失,情节严重的;有其他严重情节的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金。

责任编辑:李海洋 除中国商报、中国商网署名文章外,其他文章为作者独立观点,不代表中国商网立场

参与讨论

请登录后讨论

提交评论

最新讨论