隱私與便捷,如何兼得

隱私與便捷,如何兼得——

關注個人信息保護法草案

法眼觀】

發展數字經濟,推進數字產業化和產業數字化”是“十四五”時期社會經濟發展的目標之一,信息數據作爲數字化產業的基礎,重要性更加凸顯。與此同時,“加強個人信息保護”是“加快數字化發展”的題中應有之義。保護與運用如何協調,事關重大。

日前,個人信息保護法草案提請十三屆全國人大常委會第二十二次會議審議,並於10月21日至11月19日向社會公開徵求意見。

從2002年《國家信息化領導小組關於我國電子政務建設指導意見》提出要制定信息安全方面法律法規,到個人信息保護法草案提交一審,我們的社會已經走向了智能化,個人信息保護法立法面臨更大的挑戰。

目前形成的草案迴應了哪些社會關切,又有哪些需要進一步討論、完善的地方,值得每個人認真關注。

紀錄片《監視資本主義:智能陷阱》開篇引用了古希臘劇作家索福克勒斯的一句話:“進入凡人生活的一切強大之物無不具有弊端。”

以移動終端爲代表的互聯網正是進入我們生活的強大之物之一。個人信息古已有之,但因爲互聯網的發展,我們能深切感受到個人信息不再完全屬於我們自己。

有人比喻,智能時代猶如一條大船,而我們的個人信息就是登上這條大船必須交出的船票

談個人信息保護時我們在談什麼

在整個信息處理過程中,個人作爲信息主體始終處於被動的境地,對於信息如何被收集、處理以及使用全然不知。而信息處理者卻不當然擁有處理權利。因此一直以來,在個人信息權利屬性、保護方式等方面多方難以達成共識。

個人信息的立法目的,究竟是爲了保護自然人的人格利益,還是爲了數據產業的發展,抑或是政府公共管理職能的實現?三者之間關係如何?何者應居於優先地位?對這些問題的不同回答,將會導向不同的立法方向。

就世界範圍內已有個人信息保護法律的國家來看,騰訊研究院首席數據政策專家王融介紹,歐盟《通用數據保護條例》把個人放在了決定如何收集和使用信息的中心位置,把人視爲最高目標,強調強力的行政監管。而美國的政策更多體現了實用主義哲學,採取風險的管理思路,在一些重點行業重點領域採取措施,促進個人信息保護和經濟收益之間的平衡。

就我國的個人信息保護法草案而言,西安交通大學法學院教授馬民虎認爲,草案講到了要統籌保護與利用,要建立權責,實現有效保護。但是立法說明有句話很重要,就是“立法定位是保護”,這決定了是在保護的前提下來考慮國家數字經濟的發展和國家治理的現代化。

“個人信息保護法不僅需要平衡個人、企業和社會(也指國家)三方之間的利益,還需要平衡中美關係和中歐關係。”中國人民大學法學院教授張新寶認爲,要達到“跟歐洲比差不多‘過得去’,跟美國比要‘不吃虧’的效果”。

張新寶解釋,“過得去”指個人信息保護法正式出臺後,歐盟能夠接受中國對個人信息保護的強度;“不吃虧”指不能較大幅度地限制企業,導致它們在與美國企業的競爭當中處於不利地位。

行政執法的效果具有決定作用

儘管個人信息保護的法律體系在逐步構建,但從普通羣衆的感受出發,侵害個人信息權益的現象仍很嚴重。

據公安部網絡安全保衛局透露,2016年來,公安機關持續打擊侵犯公民個人信息犯罪,破獲了一大批案件,近幾年每年被提起公訴的有4000餘人。這類案件涉及公民個人信息的主體、環節衆多,呈高發態勢,案件數量有所增加。

除了數據黑產猖獗,行政監管不力也是造成這一局面的重要原因之一。

中國社會科學院法學所副所長周漢華參與推動了多部與個人信息保護有關法律法規。他解釋,從法律保護上看,個人信息保護應當是由民事責任、行政責任、刑事責任三個層面構成的有機結合的體系。“在調研中我們發現,個人信息保護目前的總體執法狀況是,民事執法成本高、收益低,行政執法虛置,偶爾會有一些運動式執法。刑事執法衝在最前線。”周漢華說。

行政執法的效果很大程度上決定了法律實施的效果。有關個人信息保護行政執法情況不理想,很重要的原因在於執法實踐當中,並沒有明確任何一家管理部門是個人信息保護的執法主體,工信、市場監管、網信、教育、金融、醫療衛生等有關管理部門都負有相應的管理責任。“九龍治水”的格局導致執法邊界不明確,容易推卸責任。

周漢華透露,草案提交一審之前在一定範圍內的徵求意見稿中,借鑑多數國家地區做法,確定統一負責個人信息保護、監督、執法工作機構原則規定了國家個人信息保護機構和省區市政府按照國家有關規定確定的個人信息保護機構。“這很重要也非常有意義。”他說,但是這一點在一審稿中發生了變化,改爲國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作,國務院有關部門在各自職責範圍內,負責個人信息保護和監督管理工作,“我認爲不如徵求意見稿”。

多位全國人大常委會委員在第一次審議中,也指出履行個人信息保護職責的部門不明確,責任不清晰。劉玉亭委員進而提出,草案規定的履行個人信息保護的職責並不是一個部門,那麼在實踐中個人信息權益受到侵害的時候向誰舉報?向哪一級的哪一個部門舉報?如何舉報?這些問題如果不明確,個人就很難維權。

對於這一問題,周漢華建議,成立獨立的個人信息保護機構,設立國家級—省級—地市級三級縱向管理架構,推動執法重心儘量下沉。同時注意暢通行政執法與公安機關刑事執法之間的銜接機制。

技術如何向善

除了數據黑產之外,讓普通民衆尤爲擔心的是商業運用。

小米公司信息安全與隱私委員會秘書長宋文寬介紹,企業對於數據的運用主要是兩個方面,一方面是產品分析,提升用戶體驗,優化迭代產品。對於這類目的,最重要的是數據量,並不需要數據具有精確的個體識別性。此時,對個人信息通過差分算法等方式進行匿名化處理,使數據不再具有個體識別性,成爲通行做法。不過,他坦承數據之間千絲萬縷的聯繫可能會使匿名處理後的數據再次被識別。

另一方面就是推送廣告。很多公司的營收主要依賴App精準廣告投放,投放越精準,廣告單價就越高,利潤就會更高。這就需要利用數據提取用戶畫像特徵。

然而,如何匿名?如何畫像?在大數據背景下,個人與數據處理者之間客觀地存在着技術能力與經濟地位的顯著差異。大數據殺熟、算法黑箱等技術手段進一步加劇了這種不平衡地位,造成了社會的深切憂慮。

這也是全國人大常委會在草案一審中,討論較爲集中的問題。

目前草案將“告知—同意”原則確定爲個人信息處理規則的核心(即要求處理個人信息應當在事先充分告知的前提下取得個人同意)。劉修文委員認爲,網絡服務商提供的用戶協議、服務條款通常不直接顯示且冗長繁瑣,關於個人信息收集的範圍、保留時限、處理方式等重要條款難以識別且不盡合理,用戶在這種情況下做出同意決定的真實性、自願性大打折扣。左中一委員提醒,在互聯網企業大量掌握個人信息的情況下,要避免事前告知流於形式。

近年來,針對個人信息收集中出現的問題,監管部門、行業協會出臺了多項技術標準,以便企業進行合規性評估。草案列出了個人信息處理者應當在哪些情況下,對個人信息處理活動在事前進行風險評估,並對處理情況進行記錄。郭雷委員認爲,讓個人信息處理者來評估自己的處理活動,其有效性和科學性應再仔細斟酌。

“從前很多企業是以拿到用戶數據爲榮,即便是不合理的方法,也被認爲是一種競爭力。”在宋文寬看來,一個比較好的趨勢是,隨着立法趨嚴,大企業目前都在做合規性審查,更加註重數據合規性與產品功能的平衡。這也是“在保護數據的前提下讓技術給用戶帶來美好生活”。(記者 陳慧娟