本所动态

    ——“给人工智能一颗良芯”

欢迎访问

本所动态

当前位置: 首页 > 新闻动态 > 本所动态 > 正文

李伦、胡晓萌接受《南方周末》采访,谈个人数据保护问题

2019年03月15日 00:14  点击:[]

保护还是发展——争议个人信息保护法

(本文首发于2019年3月14日《南方周末》)

周汉华期待这部涉及多重复杂关系的法律未来能够科学民主制定,同时建议建立一个独立的、有权威的个人信息保护主管部门。

2014年11月,马云在首届互联网大会上提出“DT(Data technology)时代”,他认为,人类已经从“IT时代”走向“DT时代”,显著的特征是人们的生活被大量数据嵌入和包围,对数据的依赖越来越强。“DT时代”带来了生活的急速变化,加强隐私保护,为消费者个人信息安全提供法律和制度保障成为迫切需求。

过去十年间,我国已经有多部法律、法规、规章涉及个人信息保护。比如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等。但是从总体上看,呈现分散立法状态。

2019年3月4日,在十三届全国人大二次会议新闻发布会上,大会发言人张业遂答记者问时表示,个人信息保护法已列入本届立法规划,“相关部门正在抓紧研究和起草,争取早日出台。”

陆续立法

从立法实践来看,对个人信息的保护从来都不曾被遗忘。

2009年《中华人民共和国侵权责任法》首次确定隐私权的法律地位。该法明确了隐私的范围,指出自然人享有不受他人侵扰、知悉、使用、披露和公开的权利。之前我国对隐私权的保护一般采用间接保护的方法。

同年《刑法修正案(七)》设立了出售、非法提供公民个人信息罪与非法获取公民个人信息两个罪名。施行后,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人。

2013年修订的《中国人民共和国消费者权益保护法》明确将个人信息得到保护的权利列为消费者的一项基本权利。之后的立法和相关制度则更多地考虑到互联网发展,对相关方提出了要求。2016年《中华人民共和国网络安全法》(以下简称网络安全法)获得审议通过,明确规定网络运营商的制度建设义务、公示义务、信息安全维护义务、告知及报告义务。

2017年中国国家标准化管理委员会发布《信息安全技术个人信息安全规范》(以下简称《规范》),《规范》以国家标准的形式,对个人信息收集、保存、使用、流转等环节提出要求,《规范》起草组成员、中国信息安全研究院副院长左晓栋接受媒体采访时称,该规范“非常明确地把网络安全法原则性的规定给落地了”。

 

在我国几乎没有隐私权保护传统的法律国情背景下,用户并不清楚关于个人信息自己可以主张哪些基本权益。(视觉中国/图)

“保护法”出台难

对“个人信息保护法”的关注早在2003年就开始了,当时的国务院信息化办公室正式部署了立法研究工作,2005年相关专家完成了《个人信息保护法(专家建议稿)》(以下简称专家建议稿),该建议稿并没有进入正式的立法程序。

据腾讯研究院资深专家王融在《我国立法前路》一文中介绍,网络社会的有序运行建立在消费者、企业、政府三方良好互动的基础上,网络安全法和电商法分别代表政府、市场在网络空间中的法律利益诉求,“个人信息保护法”将代表消费者。

“在网络时代个人与企业相比处于相对弱势地位,这是个人信息保护立法的根本原因。”负责专家建议稿起草撰写的中国社科院法学研究所研究员周汉华在接受南方周末采访时说道。

王融认为,近年来的分散立法一定程度上回应了公众对个人信息保护问题的关切,但在法律环境的实际改善方面其作用十分有限,“最主要的原因在于现有分散立法有相当一部分是原则性、宣誓性条款,并没有对实践产生直接影响。”

浙江垦丁律师事务所主任张延来回顾了近十年信息社会的飞速发展,他告诉南方周末:“个人信息的保护与大数据产业等重要经济形态息息相关,当时贸然立法反而会带来很多不可预知的问题。”分散立法也不失为有益的尝试和铺垫。

近十年都在做数据安全系统,专门为企业提供数据安全解决方案的数据安全公司昂楷科技CEO刘永波也从行业角度分析道:“从信息安全技术发展来看,当时我国的IT基础设施,尤其是在信息安全方面还相对落后,立法可能存在这方面的顾虑。”

但王融指出,在我国几乎没有隐私权保护传统的法律国情背景下,用户并不清楚关于个人信息自己可以主张哪些基本权益。分散立法,导致“用户维权时面临‘防范难、举证难、索赔难’等一系列难题”。

此外分散立法缺乏专门的个人信息保护机构,主要是各行业主管机构进行监督管理,“例如金融行业的用户个人信息保护工作,由央行主管;医疗行业的用户个人信息保护工作,由卫生部门管理;互联网领域的用户个人信息保护工作,由工信部主管;消费者个人信息保护,由工商总局主管。上述监管边界有着明显的重合地带,但由于分散立法并未涉及职责边界问题,个人信息保护领域事实上沦为管理的灰色地带。”

存在很大争议

近年来,“个人信息保护法”的呼声越来越高,就立法而言,目前还存在较大争议。“怎样平衡保护和发展的关系是立法比较大的难点。”周汉华说道。

此外,个人信息权利的属性及保护的侧重点是什么?个人信息与商业数据的边界在哪里?这些争议考虑到了保护个人信息和促进行业发展的关系,试图实现两者的平衡。相关法律及制度条例的出台也是对这些问题进行厘清。

事实上,个人信息保护与行业发展之间的平衡背后,涉及更基础的个人信息归属权及权利属性等基本问题。暨南大学新闻与传播学院长期研究传媒法与传播伦理的博士生导师林爱珺教授告诉南方周末:“个人信息涉及的范围很广,不仅关系到个人同时涉及在各个行业和国家层面的使用;权利属性也比较复杂,如财产权、人格权等基本理论问题,在这方面仍存在争议;同时还需要考虑到跨境数据的传输和域外数据管理等问题。背后还有很多理论和现实问题没有厘清,这也是立法的难点。”

在周汉华看来,个人有对自己信息进行控制的权利不容侵犯,在全世界范围内已是共识。在此基础上,个人访问网站、电子商务等在线活动所形成的信息,企业对其进行收集、处理、加工所形成的信息,企业有经营权利,同时也应该采取措施进行保护。“两者都有权利的情况下,权利的边界在哪里很重要,需要明确界定。这是个疑难问题,但是这一问题的解决并非想象的那么困难。”周汉华解释道。

GDPR或可借鉴

面对“个人信息保护法”诸多争议,欧盟发布的《通用数据保护条例》(GDPR)或可提供一些借鉴。

2018年5月25日,带着“里程碑”“史上最严格”“天价罚单”等光环和标签的GDPR正式实施。“天价罚单”、“被遗忘权”等让这一法案备受关注。GDRR对违法企业罚金最高可达2000万欧元(约合1.5亿元人民币)或者其全球营业额的4%,以高者为准。我国网络安全法则对侵害个人信息的企业最高罚款数额为50万元,且没有规定到营收的比例,这对于国内互联网巨头来说有点九牛一毛。

“‘罚单’行为是对企业来说非常严苛的惩罚措施,根据对GDPR该措施的适用情况以及后续影响等情况的分析,我国可参考是否将该类措施纳入我国数据保护立法的范畴。”北京师范大学副教授、联合国网络安全与网络犯罪问题高级顾问吴沈括说道。

同时,周汉华也认为,立法应注重建立事前、事中的保护机制。这种用高额的经济处罚辅助行政刑事处罚,对于互联网企业而言未尝不是一种事前震慑。

此外GDPR给予了数据主体“随时撤回同意”的权利,个人的被遗忘权得到了肯定和落实。这些规定已经对互联网企业产生了影响。

反观国内互联网企业,少有这样的尝试。据悉QQ7.9.9及以上版本将实现QQ号码注销功能(目前为7.9.8版本),谈及这一举动是否有“被遗忘权”的考量,大连理工大学大数据与人工智能伦理法律与社会研究中心主任李伦教授坦言:“这一举动应该有对使用者‘被遗忘权’的考量,注销是指注销账号还是将账号和用户所有历史数据全部删除,涉及‘可携带权’问题,注销前是否能够保证用户的可携带权,将是对QQ的一大考验,否则会引起进一步的争议。”

另外,GDPR采取“长臂”管辖原则,只要企业在欧盟境内为数据主体提供服务就适用该法案。这也意味着在全球化的今天,个人信息保护成为全球共识之后,忽视个人信息保护的企业必然四处碰壁。

“更重要的是促使企业将个人信息保护当做战略问题,与企业的战略决策、核心价值相互整合,在个人信息保护和创新之间做到平衡,将隐私当做面向未来的社会价值。”上海玛娜数据科技发展基金会大数据研究员、湖南师范大学人工智能道德决策研究所博士胡晓萌告诉南方周末。

不过,对于GDPR是否适用于中国,张延来表示:“欧盟的立法在个人信息的保护维度上可以给我们提供很多参考,但这并不意味着我们要采取同样的立法取向,欧洲各国的发展与我国有很大差异。”

 

上一条:胡晓萌接受界面新闻采访 谈算法治理问题 下一条:数据智能伦理研讨会暨国家社科基金重大项目推进会在长沙召开

关闭