大数据时代的个人信息保护探析

 2019-11-30 13:36:21   热度:2823  

张怀印同济大学上海国际知识产权研究所副教授

如果石油是20世纪最重要的资源,那么数据将成为21世纪的重要资源。随着人工智能、云计算、物联网等新技术的应用,新的商业模式不断涌现,个人信息(数据)日益成为企业扩大竞争优势的主要资源。然而,在个人信息处理过程中,个人信息经常被披露,个人权益经常受到侵犯,但却没有得到有效保护。尽管我国宪法、民法、刑法和网络安全法都有个人信息保护的规定,但由于法律规定分散,缺乏系统的个人信息保护法,我国个人信息保护的形势不容乐观。随着数字经济时代的快速发展,个人信息(数据)的保护已经成为全球关注的焦点。欧盟、美国、日本等发达国家和地区都颁布了加强个人信息保护的法律。面对日益严峻的个人信息保护形势和加强数据保护立法的国际趋势,我们应该借鉴国外立法的有益经验,加快个人信息保护法的制定步伐。

一、大数据时代个人信息保护面临的挑战

在数字经济时代,一方面,数据已经成为企业发展中最重要的竞争资源;另一方面,在数据处理过程中,个人信息泄露或滥用的发生率很高,形势严峻。例如,每个人都会收到骚扰电话、短信和电子邮件,日常工作和生活都会受到骚扰,甚至会造成财产和名誉损失,在许多情况下是由于个人信息的泄露、共享和非法交易。近年来,网上个人信息披露问题频频发生。2017年2月4日,一家名为“双旗”的著名黑暗网络提供商出售了10多亿条从中国互联网巨头那里窃取的数据。2018年,中国个人信息披露事件接连发生:6月13日,视频网站acfun宣布900万用户数据被泄露。6月19日,童渊快递售出了10亿份快递数据。7月18日,旧金山快递售出了3亿用户。8月28日,5亿中国酒店客房开放数据被出售。9月10日,约5亿万豪宾客的信息被泄露。

个人信息披露无法得到有效遏制的原因主要是个人信息保护法的缺失。目前,我国规范个人信息保护的法律相对分散,分散在宪法、民法、刑法、网络安全法等不同的规定中。其中,《宪法》规定“国家尊重和保护人权”、“公民的人格尊严不可侵犯”、“公民享有自由和通信隐私权”等,成为我国个人信息保护立法的宪法基础。《民法通则》第111条原则上规定保护个人信息。《刑法》还设立了专门的“侵犯公民个人信息罪”,以规范网络时代的公民个人信息犯罪。

综上所述,虽然我国宪法、民法、刑法、网络安全法等重要法律对个人信息的保护具有规制作用,但由于法律规定分散,不可能有效打击侵犯个人信息的行为。因此,迫切需要制定统一的个人信息保护法,构建全面的个人信息保护法律体系。

二、我国个人信息保护立法的重点和难点

个人信息保护法的制定已经在我国学术界和实务界达成共识。个人信息保护法专家草案于2003年出台。然而,直到2018年,《个人信息保护法》才被纳入全国人民代表大会常务委员会的立法计划。为什么立法被推迟了?笔者认为,主要原因是个人信息保护不仅涉及个人信息,还涉及产业发展、社会公共利益等诸多方面,需要综合考虑。因此,我国个人信息保护立法的重点和难点在于处理好以下三个方面的利益平衡。

一是保护个人利益和财产利益之间的平衡

个人信息属于人格权、财产权,还是两者兼而有之?这是学术界长期争论的一个重要问题。对这一问题的不同理解将影响并决定个人信息保护法律框架的定位。如果我们强调人格的权利和利益,那么我们肯定会把重点放在个人信息的所有权上,限制行业对个人信息的使用。相反,如果我们强调产权和利益,我们将侧重于行业对个人信息的使用,并在一定程度上限制信息主体的主导力量。因此,如何平衡个人利益和财产利益的保护是制定个人信息保护法必须面对的关键问题。

二是个人信息保护与数据产业发展之间的平衡

保护个人信息关系到每个人的基本权利,如隐私权、遗忘权和财产权,这一点极其重要。数据产业的创新和发展离不开数据的获取和利用。如何协调个人信息保护与数据产业发展的关系,是个人信息保护法面临的核心问题之一。如果立法过于重视个人信息的保护,可能会对工业发展造成损害。自《欧盟通用数据保护条例》实施一周年以来,最受批评的一点是,它增加了企业成本,降低了企业的创新能力。有些人甚至认为它阻碍了互联网在线广告产业和人工智能产业的发展。相反,过分强调工业发展和放松个人信息保护将导致滥用个人信息,并导致无法获得有效保护的局面。

三是个人利益、商业利益和社会公共利益的平衡。

个人信息保护法作为保护个人信息的基本法,不仅关系到个人人格和财产利益的保护,还关系到产业发展和社会公共利益的保护。个人信息的主体重视个人权益的保护,行业重视商业利益的获取,而个人信息的获取、处理和利用所产生的社会公共利益属于国家,需要通过国家治理或监督来实现。如何在立法中平衡个人、行业和社会公共利益之间的关系也是一个亟待解决的关键问题。

三,中国个人信息保护的路径选择

近年来,我国加强个人信息保护和制定个人信息保护法的呼声越来越高。提交人认为,该法的颁布具有非常广泛的利益。需要从立法模式、定位、运用机制、监督机制等方面进行深入系统的研究,为法律的制定提供坚实的智力支持。

1.选择适当的个人信息保护立法模式

在大数据时代,个人信息保护已经成为时代的主旋律。据统计,100多个国家颁布了保护个人信息的法律。目前,主要立法模式包括欧盟的“数据法模式”、美国的“隐私法模式”和日本的“个人信息保护法模式”。欧盟《通用数据保护条例》自2018年5月25日起实施。美国自1974年以来颁布了《联邦隐私法》。近年来,各州也通过了立法来规范大数据时代的个人信息保护。日本于2005年颁布了《个人信息保护法》,该法于2015年修订,并于2017年5月实施。它的主要目的是在“高度信息化和交流化的社会”中保护个人信息的权益。

2.澄清个人信息保护法的界限

大数据时代“个人信息”的内涵和外延是什么?如何协调个人信息保护、产业发展和国家数据安全之间的关系?如何协调这些复杂的利益关系到个人信息保护法的顺利制定及其监管功能的成功实现。

3、建立合理的个人信息(数据)利用机制

制定个人信息保护法的目的是为了保护大数据时代的个人权益,也是为了确保企业在规则范围内合理收集和使用数据。因此,我们应该在立法中设计合理的数据利用机制。如“知情同意”制度、信息层级制度等。“知情同意”制度是个人信息保护的核心制度之一。它主要从保护用户权利的角度出发,在获得用户同意的基础上,开展个人信息收集和利用等所有活动。信息层次(Information hierarchy)是指根据互联网行业的特点将个人信息划分为不同层次的系统。如基本信息、敏感信息和专业信息。该系统可以使个人信息的收集和利用更具可操作性。

4、提高行业自律,加强行政监督

行业自律是指行业协会为规范个人信息处理而制定的规章制度。由于不同领域和行业对个人信息的处理存在很大差异,行业自律在个人信息治理中具有很大优势。当然,由于行业协会本身的信誉、覆盖面和其他问题,以及利益考虑,行业自律也有一定的局限性。因此,在提高行业自律的同时,应加强行政监督,通过构建威慑性的外部监督机制,促进行业自律的有效实施。

安徽快3开奖结果 香港六合app 江西十一选五开奖结果 北京快乐8投注