论文部分内容阅读
一、数字化时代个人隐私面临严峻挑战
从工业时代、信息时代迈入数字化时代,人們的生活方式正被深刻地影响和改变,人的数字化存在也成为一种新趋势。借助个人在社会生活中产生的海量数据,可以分析出整个经济社会运行的总体情况,找寻到看似无关事物之间的内在关联。近年来,我国数据量呈现井喷式增长,据预测,我国在2025年将以48.6ZB的数据量成为全球最大的数据圈。数据的爆发式增长有力地推动了数字化时代经济的蓬勃发展,但同时也给个人信息隐私与安全带来了严峻的挑战。
根据中国互联网络信息中心发布的第47次中国互联网络发展状况统计报告,截至2020年12月,我国网民规模已达到9.89亿。“网上冲浪”在带给消费者便利的同时,其背后的个人数据的滥采、滥用现象也逐渐引发关注。根据艾媒咨询《2020年中国手机APP隐私权限测评报告》,当前我国97%的APP默认调用相机权限,35%的APP默认调用读取联系人权限。新浪微博、航旅纵横等知名网站也存在着未告知用户数据收集目的、用户明确不同意打开某权限后仍频繁征求用户同意等违规现象。
从全球范围来看,个人信息的保护也是世界性难题,目前全球有百余个国家和地区制定了个人信息保护法律。特别是欧盟、美国等发达国家的个人信息保护工作起步较早,发展程度较高,为我国相关法律政策的制定提供了参考。
二、中欧个人信息保护政策对比
(一)欧盟相关法律规定
2016年4月,欧盟审批通过了《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR被普遍认为是欧盟有史以来最严格的数据管理法案,根据GDPR,企业在严重违规的情况下,可被处罚两千万欧元或该企业全球年总收入的4%,在2019年7月,英国信息监管局发表声明称,英国航空公司因违反《通用数据保护条例》被罚近两亿英镑。2018年5月25日,GDPR生效,GDPR的执行给数字化时代的数据利用、互联网企业经营等带来了巨大挑战,2018年4月,腾讯宣布从2018年5月20日起停止QQ在欧洲地区的服务,媒体猜测此举与GDPR的生效有关。
GDPR中的主要角色有三类,即数据主体、数据控制者、数据处理者。数据主体被定义为拥有个人信息的自然人,其享有个人隐私数据被依法保护的权利,有权对个人数据进行访问、修正、删除等。数据控制者被定义为有权决定收集、处理个人信息的自然人、组织与政府机构等,其承担着保护个人信息、遵守GDPR相关规定的责任与义务。数据处理者依据数据控制者的要求来处理个人信息,数据处理者也需要直接遵守GDPR。
GDPR明确了处理个人数据的七大原则:一是强调合法、公平、透明;二是限定数据使用目的;三是要求采集尽可能少的数据;四是突出数据准确性;五是设置数据存储期限;六是强调完整性和机密性;七是实施问责制。GDPR对数据主体权益给予了充分保障,明确规定了数据主体的特定权利,包括知情权、访问权、更正权、删除权、数据移植权、限制处理权、反对(撤回)权、反自动化决策权等。同时,GDPR也明确规定了数据控制者、处理者的相关责任,他们承担着通知用户、实现数据主体权利、确保数据处理合法性和安全性、数据泄露响应、数据转移、第三方管理、员工管理、举证等责任。
对于个人信息的分类,GDPR的做法是将个人信息分为实名信息、伪名信息和匿名信息,伪名信息(如IMEI号)不能直接看出其与实名信息的联系,但可以借助其他信息恢复为实名信息,而匿名信息则完全不可以恢复为实名信息。GDPR对实名信息、伪名信息和匿名信息分别规定了不同场景下的保护要求。
但值得注意的是,激进的GDPR也具有一定的“双刃剑”效应。据英国《金融时报》报道,在GDPR推行一年后,欧盟人工智能相关技术的发展显著落后于中国等“数据更加开放”的国家,四分之三的企业表示,GDPR对企业创新形成了重大障碍;超过六成的企业表示GDPR给它们带来了严重的经济负担,需要花费100万美元以上为GDPR做准备。
2020年2月,欧盟发布了《欧洲数据战略》,该文件旨在让欧洲成为全球最具活力、吸引力和安全性的数据敏捷型经济体,其中也强调了个人信息的保护工作。《欧洲数据战略》提出了若干举措来推动战略的落地实施。一是建立起统一的数据治理框架;二是加强在数据基础设施领域的投资;三是提升个体数据权利和技能;四是打造欧洲数据公共空间。
(二)我国相关法律规定
为更好地推动个人信息保护,我国相继制定了一系列相关的法律法规,积极进行探索与实践。《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国个人信息保护法(草案)》等均明确了对个人信息的保护。
在个人信息定义方面,与GDPR相比,我国相关法律体系的定义不够明确。2020年10月,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,草案第四条对“个人信息”进行了界定,明确“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”、“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。《草案》中对于个人信息的定义比较含糊,没有给出具体的概念界定,且仅匿名化处理仍可能通过个人生物特征信息等识别特定自然人,《草案》中对于个人信息的处理也没有包含“个人信息的删除、销毁”等过程。
在个人信息分类方面,2020年7月3日,《中华人民共和国数据安全法(草案)》向社会公开征求意见,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。但与GDPR相比,我国没有具体将个人数据分为实名信息、伪名信息和匿名信息等多个类别,进行不同场景下的分类保护。
在个人信息保护的各方权利与责任方面,与GDPR相比,我国的数据主体尚未拥有数据移植权与反自动化决策权,反自动化决策权即数据主体拥有不受制于机器学习等自动化决策的权利。在数据控制者和处理者的责任方面,我国的数据控制者和处理者需加强在第三方管理与问责制度方面的建设。
在个人信息保护的侵权惩罚机制方面,与GDPR相比,我国缺少完善的侵权诉讼与惩罚机制,更多地停留在原则性保护上,且部门之间的责任存在交叉,容易模糊分工和相互推诿。此外,我国对于滥采、滥用个人信息行为的惩罚力度不够,与GDPR的严格程度相比,我国的惩罚力度较小,震慑效果不强。
此外,我国于2018年5月1日起实施的《信息安全技术个人信息安全规范》与欧盟的GDPR有一定的相似之处,但在某些领域根据我国的实际情况作出了更为明确具体甚至更严格的规定,因此我国企业在合规时需要采取最高的标准。
三、总结与展望
近年来,我国出台一系列个人信息保护法规文件,发布多项个人信息保护标准,并开展专项整治行动,取得了一定的成绩。但整体来看,我国与欧盟等发达国家在个人信息保护领域相比仍存在一定差距。下一步,我国应当在以下方面进一步做好个人信息保护工作:
一是在教育、通讯、医疗等重点领域颁布相关法律,加强对个人隐私数据的保护,对特定行业、特定类型数据、不公平或有欺诈性质的数据活动进行规制。同时,完善已有个人信息保护法规,对实践过程中暴露的漏洞和盲点问题,从技术层面和监管层面完善相关规定,并发布官方解读,对典型案例进行剖析和宣传告诫。
二是将重点领域的个人信息保护相关法律法规整合,制定类似欧盟GDPR的统一全面的个人信息保护体系,明确广大消费者对于各类企业收集、处理个人信息的控制权,引导企业在用户的个人隐私与其商业需求间找到平衡点,引导消费者在崇拜科技进步的同时重视个人隐私权。开展实名信息、伪名信息和匿名信息等多类型个人信息的分类管理,在不同场景下对个人信息进行严格细致的保护。
三是针对个人数据侵权诉讼时存在的部门之间责任交叉、分工模糊等现象,健全个人数据保护诉讼机制,制定具体法规细则,明确主要责任和分工,避免个人信息保护仅仅停留在原则性保护上。适当加大对于违规行为的惩罚力度,强化警示震慑作用。
四是继续加强与欧盟、美国等发达国家在个人信息保护领域的国际交流与开放合作,搭建个人信息保护领域的沟通平台,交流优秀实践案例和经验。在充分学习国外优秀经验的同时,也要汲取相关教训,结合我国国情不断完善相关法律规定,形成有中国特色的个人信息保护方案。
从工业时代、信息时代迈入数字化时代,人們的生活方式正被深刻地影响和改变,人的数字化存在也成为一种新趋势。借助个人在社会生活中产生的海量数据,可以分析出整个经济社会运行的总体情况,找寻到看似无关事物之间的内在关联。近年来,我国数据量呈现井喷式增长,据预测,我国在2025年将以48.6ZB的数据量成为全球最大的数据圈。数据的爆发式增长有力地推动了数字化时代经济的蓬勃发展,但同时也给个人信息隐私与安全带来了严峻的挑战。
根据中国互联网络信息中心发布的第47次中国互联网络发展状况统计报告,截至2020年12月,我国网民规模已达到9.89亿。“网上冲浪”在带给消费者便利的同时,其背后的个人数据的滥采、滥用现象也逐渐引发关注。根据艾媒咨询《2020年中国手机APP隐私权限测评报告》,当前我国97%的APP默认调用相机权限,35%的APP默认调用读取联系人权限。新浪微博、航旅纵横等知名网站也存在着未告知用户数据收集目的、用户明确不同意打开某权限后仍频繁征求用户同意等违规现象。
从全球范围来看,个人信息的保护也是世界性难题,目前全球有百余个国家和地区制定了个人信息保护法律。特别是欧盟、美国等发达国家的个人信息保护工作起步较早,发展程度较高,为我国相关法律政策的制定提供了参考。
二、中欧个人信息保护政策对比
(一)欧盟相关法律规定
2016年4月,欧盟审批通过了《通用数据保护条例》(General Data Protection Regulation,简称GDPR)。GDPR被普遍认为是欧盟有史以来最严格的数据管理法案,根据GDPR,企业在严重违规的情况下,可被处罚两千万欧元或该企业全球年总收入的4%,在2019年7月,英国信息监管局发表声明称,英国航空公司因违反《通用数据保护条例》被罚近两亿英镑。2018年5月25日,GDPR生效,GDPR的执行给数字化时代的数据利用、互联网企业经营等带来了巨大挑战,2018年4月,腾讯宣布从2018年5月20日起停止QQ在欧洲地区的服务,媒体猜测此举与GDPR的生效有关。
GDPR中的主要角色有三类,即数据主体、数据控制者、数据处理者。数据主体被定义为拥有个人信息的自然人,其享有个人隐私数据被依法保护的权利,有权对个人数据进行访问、修正、删除等。数据控制者被定义为有权决定收集、处理个人信息的自然人、组织与政府机构等,其承担着保护个人信息、遵守GDPR相关规定的责任与义务。数据处理者依据数据控制者的要求来处理个人信息,数据处理者也需要直接遵守GDPR。
GDPR明确了处理个人数据的七大原则:一是强调合法、公平、透明;二是限定数据使用目的;三是要求采集尽可能少的数据;四是突出数据准确性;五是设置数据存储期限;六是强调完整性和机密性;七是实施问责制。GDPR对数据主体权益给予了充分保障,明确规定了数据主体的特定权利,包括知情权、访问权、更正权、删除权、数据移植权、限制处理权、反对(撤回)权、反自动化决策权等。同时,GDPR也明确规定了数据控制者、处理者的相关责任,他们承担着通知用户、实现数据主体权利、确保数据处理合法性和安全性、数据泄露响应、数据转移、第三方管理、员工管理、举证等责任。
对于个人信息的分类,GDPR的做法是将个人信息分为实名信息、伪名信息和匿名信息,伪名信息(如IMEI号)不能直接看出其与实名信息的联系,但可以借助其他信息恢复为实名信息,而匿名信息则完全不可以恢复为实名信息。GDPR对实名信息、伪名信息和匿名信息分别规定了不同场景下的保护要求。
但值得注意的是,激进的GDPR也具有一定的“双刃剑”效应。据英国《金融时报》报道,在GDPR推行一年后,欧盟人工智能相关技术的发展显著落后于中国等“数据更加开放”的国家,四分之三的企业表示,GDPR对企业创新形成了重大障碍;超过六成的企业表示GDPR给它们带来了严重的经济负担,需要花费100万美元以上为GDPR做准备。
2020年2月,欧盟发布了《欧洲数据战略》,该文件旨在让欧洲成为全球最具活力、吸引力和安全性的数据敏捷型经济体,其中也强调了个人信息的保护工作。《欧洲数据战略》提出了若干举措来推动战略的落地实施。一是建立起统一的数据治理框架;二是加强在数据基础设施领域的投资;三是提升个体数据权利和技能;四是打造欧洲数据公共空间。
(二)我国相关法律规定
为更好地推动个人信息保护,我国相继制定了一系列相关的法律法规,积极进行探索与实践。《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国个人信息保护法(草案)》等均明确了对个人信息的保护。
在个人信息定义方面,与GDPR相比,我国相关法律体系的定义不够明确。2020年10月,《中华人民共和国个人信息保护法(草案)》公布并公开征求社会公众意见,草案第四条对“个人信息”进行了界定,明确“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”、“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。《草案》中对于个人信息的定义比较含糊,没有给出具体的概念界定,且仅匿名化处理仍可能通过个人生物特征信息等识别特定自然人,《草案》中对于个人信息的处理也没有包含“个人信息的删除、销毁”等过程。
在个人信息分类方面,2020年7月3日,《中华人民共和国数据安全法(草案)》向社会公开征求意见,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。但与GDPR相比,我国没有具体将个人数据分为实名信息、伪名信息和匿名信息等多个类别,进行不同场景下的分类保护。
在个人信息保护的各方权利与责任方面,与GDPR相比,我国的数据主体尚未拥有数据移植权与反自动化决策权,反自动化决策权即数据主体拥有不受制于机器学习等自动化决策的权利。在数据控制者和处理者的责任方面,我国的数据控制者和处理者需加强在第三方管理与问责制度方面的建设。
在个人信息保护的侵权惩罚机制方面,与GDPR相比,我国缺少完善的侵权诉讼与惩罚机制,更多地停留在原则性保护上,且部门之间的责任存在交叉,容易模糊分工和相互推诿。此外,我国对于滥采、滥用个人信息行为的惩罚力度不够,与GDPR的严格程度相比,我国的惩罚力度较小,震慑效果不强。
此外,我国于2018年5月1日起实施的《信息安全技术个人信息安全规范》与欧盟的GDPR有一定的相似之处,但在某些领域根据我国的实际情况作出了更为明确具体甚至更严格的规定,因此我国企业在合规时需要采取最高的标准。
三、总结与展望
近年来,我国出台一系列个人信息保护法规文件,发布多项个人信息保护标准,并开展专项整治行动,取得了一定的成绩。但整体来看,我国与欧盟等发达国家在个人信息保护领域相比仍存在一定差距。下一步,我国应当在以下方面进一步做好个人信息保护工作:
一是在教育、通讯、医疗等重点领域颁布相关法律,加强对个人隐私数据的保护,对特定行业、特定类型数据、不公平或有欺诈性质的数据活动进行规制。同时,完善已有个人信息保护法规,对实践过程中暴露的漏洞和盲点问题,从技术层面和监管层面完善相关规定,并发布官方解读,对典型案例进行剖析和宣传告诫。
二是将重点领域的个人信息保护相关法律法规整合,制定类似欧盟GDPR的统一全面的个人信息保护体系,明确广大消费者对于各类企业收集、处理个人信息的控制权,引导企业在用户的个人隐私与其商业需求间找到平衡点,引导消费者在崇拜科技进步的同时重视个人隐私权。开展实名信息、伪名信息和匿名信息等多类型个人信息的分类管理,在不同场景下对个人信息进行严格细致的保护。
三是针对个人数据侵权诉讼时存在的部门之间责任交叉、分工模糊等现象,健全个人数据保护诉讼机制,制定具体法规细则,明确主要责任和分工,避免个人信息保护仅仅停留在原则性保护上。适当加大对于违规行为的惩罚力度,强化警示震慑作用。
四是继续加强与欧盟、美国等发达国家在个人信息保护领域的国际交流与开放合作,搭建个人信息保护领域的沟通平台,交流优秀实践案例和经验。在充分学习国外优秀经验的同时,也要汲取相关教训,结合我国国情不断完善相关法律规定,形成有中国特色的个人信息保护方案。