今年两会期间,民法典草案已提请全国人民代表大会审议。据全国人大常委会法工委透露,《个人信息保护法》也已形成草案稿。
此外,去年《数据安全法》被纳入本届立法计划,《数据安全管理办法》、《个人信息出境安全评估办法》陆续公开征求意见——个人信息保护、数据安全领域的立法又向前迈进了一大步。
疫情期间,大数据在提升疫情防控治理精准化、科学化方面的作用进一步凸显。但与此同时,大数据的广泛应用也带来了严峻的安全挑战和隐私泄露风险。
数据权属如何确定?人脸、指纹等敏感数据如何进一步保护?个人信息保护还有哪些不足?我们盘点了今年两会上代表委员在个人信息保护领域的提案议案,来听听他们的建议。
全国人大代表郑杰
收集人脸、指纹等敏感信息
需经法定情形允许及专业评估
疫情期间,大数据对传染源的追踪和监测发挥了突出作用,但也有武汉返乡人员的隐私因此被大规模泄露。连续三届当选全国人大代表的中国移动浙江公司党委书记、董事长、总经理郑杰一直关注着该领域的问题。因疫情防控要求,多地展开收集居民接触史、行踪数据的工作。郑杰举例,疫情期间有网友反映武汉就读大学生个人信息泄露的问题给当事人的生活造成极大困扰。对此,中央网信办紧急发布相关通知,明确了为疫情防控、疾病防治收集个人信息的相关管理要求。
“公民个人信息和隐私数据被泄露的风险正在大大增加,海量数据的采集和分析也可能导致国家机密信息的泄露”,郑杰认为,数据安全隐患依然凸显。对此,他建议要细化数据安全与隐私保护规则,保护公民合法权益。具体来说,要进一步规范数据收集行为,限制无使用依据的数据收集;人脸、指纹等敏感数据的收集和使用应经法定情形允许及专业评估等。
疫情之外,企业过度收集、滥用用户数据的情况长期存在。去年12月,南都个人信息保护研究中心发布的《2019个人信息安全年度报告》显示,被测100款App中有22款强制要求获取设备识别码、定位、相机等权限,用户不同意就不能使用App。
为根治上述问题,郑杰认为,要尽快建立数据合理使用制度,实现个人与数据使用者之间的利益平衡。对于那些不经信息主体同意授权等情况,要通过相关因素来判定是否构成“合理使用”。对于具体的判定因素,他举例,“比如被使用个人信息的性质、使用目的是否合法,是否为营利性目的,是否对个人信息做匿名化处理等。”
信息时代,政府机关和公共部门往往掌控着一国最丰富的数据资源,无论在数据的数量、质量和种类上,均占绝对优势。与此同时,加速政府公共数据开放也成全球趋势。
在我国,“仍存在不愿,不敢和不会共享开放的问题”,他表示,不少地方的政务数据开放平台,仍然存在标准不统一、数据不完整、不好用甚至不可用等问题。对此郑杰建议,要建立公共数据开放共享规则,促进公共数据的合理利用。
在他看来,公共数据的开放立法要明确开放责任主体、开放重点范围、公共数据开放方式、公共数据分级分类规则、安全保障和权益救济等,各相关部门在公共数据开放过程中,应当落实数据安全管理要求,保护商业秘密和个人隐私,防止公共数据被非法获取或者不当利用。
全国政协委员彭静
完善数据侵权追责机制
加强个人信息保护
作为全国政协委员,重庆静昇律师事务所主任律师彭静已连续多年提交有关个人信息保护的建议。今年,她提出建立并落实“使用者责任”制度体系,明确数据侵权中的过错推定原则,促使各方主体审慎处理和利用数据。
今年4月,中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次明确提出“加快培育数据要素市场”。彭静认为,培育数据要素市场,须尽快在法律层面明确数据权属问题,平衡公民的合法权利保障与数据的自由流动。数据是归个人所有,平台所有,个人与平台共有,还是公众所有?当前,业界对此观点不一。
在彭静看来,这四种权属设置都存在弊端:个人所有,将产生极高的交易成本与沟通成本,使某些正常的商业活动无法进行;平台(企业)所有,可能无法保护公民的数据隐私;个人和平台(企业)共有,存在妨碍数据流通与数据共享的问题;将数据认定为公共产品,虽然可以促进数据流通与共享,但却可能无法保护个人数据权利与平台(企业)的合理数据权益。
她指出,数据的属性高度依赖于具体场景,是数据权属难以明确的深层次原因。在大数据、智能化的背景下,不宜“一刀切”式确定数据权属,而是要区别不同场景,在具体场景中明确数据的性质与类型,并根据具体场景中各方的合理预期来确定相关主体的数据权益。
近年来,中央网信办、工信部、公安部、市场监管总局等部门纷纷展开行动,就App违法违规收集使用个人信息的乱象展开治理。然而,由于《网络安全法》等相关法律的规定较为原则,在日常执法活动中难以适用。一般的消费者遭遇个人信息泄露后,面临举证难和维权难的困境。
彭静认为,大数据环境下,个人信息保护的风险并非源于个人信息收集之初,而是出自具体的使用环节。在个人信息保护的机制设置上,需要从强调“个人的知情许可”向让“信息处理者承担责任”方向转变,建立“谁使用谁负责”的“使用者责任”机制,以责任压力来强化使用者的个人信息保护意识。
对此,她建议,通过建立相应配套制度,确立“违法必有责”“侵权必追责”的制度环境:第一,在追责机制上,明确数据侵权的过错推定原则,由侵权人证明自己没有过错,如果证明不了的,则推定其有过错,从而减轻被侵权人的举证责任;第二,采取由数据控制者与处理者承担连带侵权责任的方法,促使各方主体审慎处理和利用数据;第三,设立违法行为“处罚公示”制度,将违法企业计入“违法行为黑名单”,以有效遏制侵犯个人信息的违法行为。
全国政协委员殷兴山
立法明确专门机构
负责个人信息保护工作
在今年两会上,全国政协委员,中国人民银行杭州中心支行党委书记、行长殷兴山在带来的一份提案中表示,在大数据广泛应用的背景下,要加强个人信息保护,设立专门监管机构。
在殷兴山看来,现阶段,个人信息保护不足主要表现在四个方面,法律制度不健全、缺乏主管部门、运营主体缺乏规范以及信息主体保护意识淡薄。
在监管方面,他提出,目前没有明确的主管部门对侵犯个人信息安全的行为进行调查、取证、制止、处罚等。现有的公共管理部门,从网络安全或从消费者权益保护角度介入,但部门间缺乏有效沟通。
对此,殷兴山建议在立法中明确专门机构负责或牵头负责个人信息保护工作,建立统一的制度规范,有权监督运营主体,并对违规行为进行处理。若采取牵头负责模式,监管机构要发挥协调职能,相关部门应依法配合。
另外,他认为运营主体也缺乏规范,分别表现在四个方面:一是市场进入不规范,有的运营主体运用网络爬虫的手段收集个人信息;二是运营主体处于强势地位,强制授权、过度索权、超范围收集个人信息;三是运营主体使用信息缺乏约束,把个人信息作为自身资源任意使用;四是运营主体信息保管不当,没有严格的管理和技术防护措施,甚至出现非法倒卖个人信息谋利的现象。
为解决上述问题,殷兴山提出,首先要明确运营主体必须依法采集、使用、保管个人信息,符合最少、必要原则;其次要注重平衡保护,在强调个人信息保密义务的同时,明确基于法律规定、社会公共利益、当事信息主体同意等例外规定;再者,要加强从业人员管理,制定信息收集、处理、传输、公开、使用规则,做好流程监控。
他还表示,在法律责任方面,侵害个人信息安全的行为,主要追究刑事和行政责任,民事责任并不凸显,当事人缺乏权利救济的法律依据。
采写:南都记者 李慧琪 冯群星 蒋琳
建议在立法中明确专门机构负责或牵头负责个人信息保护工作,建立统一的制度规范,有权监督运营主体,并对违规行为进行处理。
——全国政协委员殷兴山
