数字时代亟须加快制定个人信息保护法
■ 李朝晖
提要
面对复杂的国际局势,如何平衡好个人信息价值挖掘与个人主体信息自决权、信息共享与隐私保护、大数据分析与信息正确性保障、信息传输利用速度与安全保护等关系,尽快完善相关数据标准和有关规范,特别是要尽快出台系统的个人信息保护法,走出个人信息收集、处理、利用和传播的无序状态,使技术进步真正带来社会福祉。
随着互联网、大数据、云计算、物联网、人脸识别等数字技术在各行各业运用的加深,我们正在进入数字时代。数字技术的应用在提高经济和社会效率的同时,也对个人隐私保护和信息安全提出了严峻挑战,亟须加快制定个人信息保护法。
一、数字时代个人信息收集、使用、保存和传输特点
进入数字时代,任何行业、任何服务、任何公共管理都基于数字技术开展,数字化存储个人信息、进行数字化分析和广泛的信息共享等已经成为势不可挡的趋势,个人信息的收集、使用、处理、传输等出现新特点。
1.信息收集的随时性和全面性。人们的所有行为都与互联网发生关系,不仅工作和各种交易,而且日常生活细节都与互联网发生关系。特别是在智慧城市中,人的所有行为都会留下数字化痕迹,包括衣食住行的相关信息不知不觉都被记录下来,个人信息随时随地都在被收集着。不仅办事会在相关网站留下登录记录,哪怕只是在网上随便看看,也会留下浏览痕迹。即使不上网,只是走在街头,街头的摄像头也会将其行踪记录存储于系统中;随身携带的手机也会将个人行踪记录下来;在物联网环境下,只是随便使用一个物件都能留下痕迹。
2.信息共享和使用的普遍性。在数字环境下,信息共享变得非常简便廉价。为了提高效率,出现了普遍的信息共享。跨行业的信息共享增多。一个网上浏览行为留下的痕迹,会被作为精准推送广告的信息来源;机票预订后可能会收到酒店、旅游景点门票、甚至租车的相关信息。可见在商业领域,信息共享和使用无处不在。在智慧城市下,社会管理和公共服务中的各种信息也都以数据形式存储下来,在部门之间进行共享。这种共享可能根据社会管理和公共服务的需要随时调整,使共享出现普遍性。特别是由于目前我国还没有出台正式的个人信息保护法,对于个人信息共享限制较少,各种类型的共享广泛存在。
3.信息存储的集中性和永久性。随着云储存、云计算的发展,越来越多的信息不是直接储存于信息收集者自己的电脑或服务器中,而是通过网络储存于存储服务商提供的计算资源共享池,即云存储。信息的存储由分散于各信息收集者自己的电脑或服务器,转为集中于云存储系统,使得信息安全问题更受关注。掌握大量信息的云存储系统服务提供商掌握了各方面的个人信息,一旦出现泄密或信息滥用,后果将十分严重。
4.信息传输的多向性和发散性。互联网的广泛应用必然产生开放的、公共的网络环境,同时由于信息收集的随时性和信息共享使用的普遍性,信息传输出现多向性、发散性现象。多点收集的信息源源不断地汇集于信息收集机构的存储系统,持有个人信息的机构在各种各样的信息共享过程中,相互传输、提供信息,甚至出现共享来的信息再次向外共享,使信息不断向外扩散。
5.信息处理的综合性和完整性。大数据分析的广泛应用使分别由企业和政府部门持有的信息得到有效整合成为可能,经济、社会、政治、文化、自然等各方面的数据能够汇集整合,信息处理不再是零散的,而可能是完整的、综合的。对于个人信息的处理,以往信息持有机构只能得到部分个人信息,对这部分个人信息进行处理。在大数据技术支持下,可能对个人各方面信息进行处理。犹如一个拼图,以前每个机构只能得到和处理完整拼图中的一两块,通过大数据处理,有的机构可以得到完整的拼图,甚至可能得到从个人基本信息到关系人信息、再到行为习惯等方方面面的立体拼图。
二、数字技术的发展对个人隐私和信息安全的威胁
1.未经信息主体知情同意的信息收集活动威胁个人隐私。数字时代,信息收集和使用产生于工作和生活各环节,不允许信息收集,寸步难行。在这样环境中,除需要信息主体主动提供信息的收集基本还能够遵循知情同意原则外,对于无需个人主动提供而收集的个人信息,特别是智能手机的普及,物联网的发展,以及可以预见即将迎来的可穿戴式设备的普及,不仅个人重要活动,而且个人的日常行为、所处位置,甚至身体变化,都可被实时记录。更有一些商业机构对用户网络行为进行实时监控,跟踪、分析用户行为,甚至一些智能手机被预装软件秘密收集个人信息,并进行处理和使用。未经告知和许可收集个人信息,甚至收集个人敏感信息,使个人隐私受到极大威胁。
2.信息准确性不足影响信息主体权益。大量个人信息未经审核而保存,特别是大数据的庞大数量和超快速度,往往对信息不加鉴别就进行分析,从而导致对个人信息主体权利的侵害。例如,个人网购信息产生于交易双方之间,并保留于平台,但这样的信息可以被用于评价买方信用,却无须经权威的第三方审核。又如,近年来已发生的多起网上追逃抓错人事件,就是由追逃系统中个人身份资料错误导致引起的。
3.信息广泛共享使信息主体对个人信息失控。个人信息的潜在价值刺激相关机构收集、使用的欲望,随时的收集、广泛的共享、进行大数据综合分析等,使个人信息不再限于收集时的用途,而往往被多次开发、创新利用。这种分析应用,在商业领域,有利于精准分析用户行为,开展个性化营销,以及提升用户体验、增强用户黏性;在公共服务领域,有助于对服务对象的全面了解,提升服务质量;在社会管理领域,有助于宏观把握和微观深入,提高社会管理效率。但频繁的信息传输、再开发、再利用,使个人信息完全脱离个人信息主体掌控。
4.信息流转加快对安全形成巨大挑战。各种服务提供者、管理者往往希望通过互联网获取尽量多的个人信息,通过加快信息流转提高效率,却对技术漏洞修补和信息安全管理不够重视,业务创新、服务创新、管理创新与个人信息保护之间的矛盾呈现激化状态,重大信息安全事件时有发生。同时,信息频繁传输、广泛共享,也使个人信息保护的责任模糊化,加剧了安全问题。
三、加快制定个人信息保护法
国际上个人信息保护受到广泛关注和重视是在计算机和通讯技术发展起来以后的,1980年经济合作与发展组织制定了《关于隐私保护与个人数据国际流动的指针的建议书》,提出了“OECD八原则”,成为许多国家个人信息保护遵循的主要原则。1995年欧盟通过《关于保护个人数据处理所涉及的个人保护以及保障该信息自由流动的指令》,确定了个人数据处理合法性的一般规则,这些规则与“OECD八原则”十分相似。随着数字技术的快速发展和深度应用,2016年欧盟颁布了《欧盟数据保护通用条例》(General Data Protection Regulation, 简称GDPR)于2018年5月25日生效,取代了1995年的指令,实行更严格的个人数据保护。
近年来,在数字技术应用领域,针对跨国公司个人信息安全管理的调查和处罚时有发生。GDPR颁布后,微软、苹果、脸书等公司不得不修改其在欧盟境内对于用户个人数据的处理方式,我国的腾讯也为遵守GDPR的相关要求,对欧盟地区微信用户的个人数据处理方式进行了修改。今年以来,美国以安全为由的针对TikTok、微信等的一系列打压动作表明,个人信息保护、信息安全保护不仅是对个人权利的保护,也是对企业合法利益的保护,还是国家信息安全的需要和国与国之间的竞争手段。
我国个人信息保护法制定的动议起始于本世纪初,期间相关部门出台了一些法律、规章和规范性文件,主要有:2013年实施的我国首个个人信息保护标准《信息安全技术公共及商用服务信息系统个人信息保护指南》,2012年全国人大常委会通过的《关于加强网络信息保护的决定》、2013年工业和信息化部通过的《电信和互联网用户个人信息保护规定》等,2013年国务院发布的《征信业管理条例》、2013年中国人民银行发布《征信机构管理办法》、2016年全国人大常委会通过的网络安全法也明确了个人信息收集、处理、使用的原则,对个人信息保护有一些规定。2020年10月13日至17日举行的十三届全国人大常委会第二十二次会议上,《个人信息保护法(草案)》首次提请审议。
数字时代,给个人信息保护立法带来新挑战。面对复杂的国际局势,如何平衡好个人信息价值挖掘与个人主体信息自决权、信息共享与隐私保护、大数据分析与信息正确性保障、信息传输利用速度与安全保护等关系,尽快完善相关数据标准和有关规范,特别是要尽快出台系统的个人信息保护法,走出个人信息收集、处理、利用和传播的无序状态,使技术进步真正带来社会福祉。
(作者系深圳市社会科学院政法研究所所长、研究员)
来源: 深圳特区报