隐私与便捷,如何兼得——关注个人信息保护法草案 钟南山:新冠肺炎患者再感染是可能的 但非普遍现象 他今年3岁,他今年30岁…… 为什么是上海?他们给出了答案… 三地启动2021年公务员招考 这个省提前4个月招人 响应“提速20%” 滇中引水工程建设再获进展 时隔4年再携手,长三乙火箭送天通一号卫星上天 吉林省能源局原党组书记、局长罗亦非被开除党籍 山东“借智”中国工程院 合作建设专家“智库” 中方回应英澳等国涉港言论:典型的双重标准 远望6号船赴印度洋、太平洋 开启2020年海上测控收官之旅 着眼未来 中科院部署教育扶贫和心理扶贫 中医灸针“织出”上合国家交流纽带 【幸福花开新边疆】种菜、育苗、养羊:小院子里育出好日子 2020复旦管理学奖项颁奖 【追寻先烈足迹】永不凋谢的芳华 河北无极县珍珠棉厂爆炸致7死1伤:现场多家作坊式工厂相连 美商务部决定暂不执行TikTok禁令 中方回应 安徽颍上县核酸检测149371人均为阴性 志愿服务助力新时代文明实践 长春治理“在校教师为培训机构介绍生源”等行为 安徽省人防办原巡视员、省民防协会原会长陶海被开除党籍 财政部提前下达2021年县级基本财力保障机制奖补资金2681.1亿元 检察机关分别对张惠荣、张朝德、苏彪、李伟提起公诉 【幸福花开新边疆】养殖专家结对子帮扶:林下养鸡变成村民“致富经” 中科院科技扶贫成果将向“一带一路”和非洲适用地区推广 事关1.7亿人!快递员、育儿嫂也能评职称了 荣耀“绯闻买家”神州数码封跌停,两机构合力卖出4914万 机构今日买入这12股,卖出紫光国微2.14亿元丨牛熊眼 福奇谈疫苗:光明就在眼前不要放弃战斗 明年4月或可全民接种丨大咖录 上海:2023年燃料电池汽车产业发展实现“百站、千亿、万辆”总体目标 年底资金大考紧逼,地产商集体卖资产 央行:中国金融风险总体趋于收敛 金融体系韧性增强 长航凤凰:天津顺航所持公司17.84%股份将被拍卖 地方国企违约缘何集中爆发?标普信评:违约主体基本面本身就弱 独家|上游供应链厂商确认高通已获准向华为出售4G芯片 礼来新冠抗体药数据仍待验证 君实停止重症患者入组 楼继伟称明年财政政策扩张力度或小些,赤字率会破3%吗? 纳税大户税费负担连降5年,百元营收税费降至6元 永煤债违约引信用债市场巨震,对某一类债的“信仰”本是虚无? 紫光国微盘中触及跌停,紫光系债券持续大跌 险资股权投资明确松绑,但有这十类情形的企业被纳负面清单 马斯克质疑新冠抗原检测结果 BD公司承压 期货周刊丨棕榈油领涨 铁矿石突破上行 八大券商2021年A股策略出炉:科技、消费、顺周期等三主线成布局重点 年内地方债发行规模逾6.2万亿元 专家称:完善发行工作意在形成长效机制 11月13日上市公司重要公告集锦:神州数码称公司不存在未披露的重大事项 央行、国资委:金融机构要进一步提高人民币跨境及离岸清算效率 锁定11月19日,vivo 2020开发者大会来了 市领导夜查脱贫攻坚工作
您的位置:首页 >生活 >

隐私与便捷,如何兼得——关注个人信息保护法草案

2020-11-14 09:25:29来源:光明日报

隐私与便捷,如何兼得

——关注个人信息保护法草案

【法眼观】

“发展数字经济,推进数字产业化和产业数字化”是“十四五”时期社会经济发展的目标之一,信息数据作为数字化产业的基础,重要性更加凸显。与此同时,“加强个人信息保护”是“加快数字化发展”的题中应有之义。保护与运用如何协调,事关重大。

日前,个人信息保护法草案提请十三届全国人大常委会第二十二次会议审议,并于10月21日至11月19日向社会公开征求意见。

从2002年《国家信息化领导小组关于我国电子政务建设指导意见》提出要制定信息安全方面的法律法规,到个人信息保护法草案提交一审,我们的社会已经走向了智能化,个人信息保护法立法面临更大的挑战。

目前形成的草案回应了哪些社会关切,又有哪些需要进一步讨论、完善的地方,值得每个人认真关注。

纪录片《监视资本主义:智能陷阱》开篇引用了古希腊剧作家索福克勒斯的一句话:“进入凡人生活的一切强大之物无不具有弊端。”

以移动终端为代表的互联网正是进入我们生活的强大之物之一。个人信息古已有之,但因为互联网的发展,我们能深切感受到个人信息不再完全属于我们自己。

有人比喻,智能时代犹如一条大船,而我们的个人信息就是登上这条大船必须交出的船票。

谈个人信息保护时我们在谈什么

在整个信息处理过程中,个人作为信息主体始终处于被动的境地,对于信息如何被收集、处理以及使用全然不知。而信息处理者却不当然拥有处理权利。因此一直以来,在个人信息权利属性、保护方式等方面多方难以达成共识。

个人信息的立法目的,究竟是为了保护自然人的人格利益,还是为了数据产业的发展,抑或是政府公共管理职能的实现?三者之间关系如何?何者应居于优先地位?对这些问题的不同回答,将会导向不同的立法方向。

就世界范围内已有个人信息保护法律的国家来看,腾讯研究院首席数据政策专家王融介绍,欧盟《通用数据保护条例》把个人放在了决定如何收集和使用信息的中心位置,把人视为最高目标,强调强力的行政监管。而美国的政策更多体现了实用主义哲学,采取风险的管理思路,在一些重点行业重点领域采取措施,促进个人信息保护和经济收益之间的平衡。

就我国的个人信息保护法草案而言,西安交通大学法学院教授马民虎认为,草案讲到了要统筹保护与利用,要建立权责,实现有效保护。但是立法说明有句话很重要,就是“立法定位是保护”,这决定了是在保护的前提下来考虑国家数字经济的发展和国家治理的现代化。

“个人信息保护法不仅需要平衡个人、企业和社会(也指国家)三方之间的利益,还需要平衡中美关系和中欧关系。”中国人民大学法学院教授张新宝认为,要达到“跟欧洲比差不多‘过得去’,跟美国比要‘不吃亏’的效果”。

张新宝解释,“过得去”指个人信息保护法正式出台后,欧盟能够接受中国对个人信息保护的强度;“不吃亏”指不能较大幅度地限制企业,导致它们在与美国企业的竞争当中处于不利地位。

行政执法的效果具有决定作用

尽管个人信息保护的法律体系在逐步构建,但从普通群众的感受出发,侵害个人信息权益的现象仍很严重。

据公安部网络安全保卫局透露,2016年来,公安机关持续打击侵犯公民个人信息犯罪,破获了一大批案件,近几年每年被提起公诉的有4000余人。这类案件涉及公民个人信息的主体、环节众多,呈高发态势,案件数量有所增加。

除了数据黑产猖獗,行政监管不力也是造成这一局面的重要原因之一。

中国社会科学院法学所副所长周汉华参与推动了多部与个人信息保护有关的法律法规。他解释,从法律保护上看,个人信息保护应当是由民事责任、行政责任、刑事责任三个层面构成的有机结合的体系。“在调研中我们发现,个人信息保护目前的总体执法状况是,民事执法成本高、收益低,行政执法虚置,偶尔会有一些运动式执法。刑事执法冲在最前线。”周汉华说。

行政执法的效果很大程度上决定了法律实施的效果。有关个人信息保护行政执法情况不理想,很重要的原因在于执法实践当中,并没有明确任何一家管理部门是个人信息保护的执法主体,工信、市场监管、网信、教育、金融、医疗卫生等有关管理部门都负有相应的管理责任。“九龙治水”的格局导致执法边界不明确,容易推卸责任。

周汉华透露,草案提交一审之前在一定范围内的征求意见稿中,借鉴多数国家地区做法,确定统一负责个人信息保护、监督、执法工作机构的原则,规定了国家个人信息保护机构和省区市政府按照国家有关规定确定的个人信息保护机构。“这很重要也非常有意义。”他说,但是这一点在一审稿中发生了变化,改为国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作,国务院有关部门在各自职责范围内,负责个人信息保护和监督管理工作,“我认为不如征求意见稿”。

多位全国人大常委会委员在第一次审议中,也指出履行个人信息保护职责的部门不明确,责任不清晰。刘玉亭委员进而提出,草案规定的履行个人信息保护的职责并不是一个部门,那么在实践中个人信息权益受到侵害的时候向谁举报?向哪一级的哪一个部门举报?如何举报?这些问题如果不明确,个人就很难维权。

对于这一问题,周汉华建议,成立独立的个人信息保护机构,设立国家级—省级—地市级三级纵向管理架构,推动执法重心尽量下沉。同时注意畅通行政执法与公安机关刑事执法之间的衔接机制。

技术如何向善

除了数据黑产之外,让普通民众尤为担心的是商业运用。

小米公司信息安全与隐私委员会秘书长宋文宽介绍,企业对于数据的运用主要是两个方面,一方面是产品分析,提升用户体验,优化迭代产品。对于这类目的,最重要的是数据量,并不需要数据具有精确的个体识别性。此时,对个人信息通过差分算法等方式进行匿名化处理,使数据不再具有个体识别性,成为通行做法。不过,他坦承数据之间千丝万缕的联系可能会使匿名处理后的数据再次被识别。

另一方面就是推送广告。很多公司的营收主要依赖App精准广告投放,投放越精准,广告单价就越高,利润就会更高。这就需要利用数据提取用户画像特征。

然而,如何匿名?如何画像?在大数据背景下,个人与数据处理者之间客观地存在着技术能力与经济地位的显著差异。大数据杀熟、算法黑箱等技术手段进一步加剧了这种不平衡地位,造成了社会的深切忧虑。

这也是全国人大常委会在草案一审中,讨论较为集中的问题。

目前草案将“告知—同意”原则确定为个人信息处理规则的核心(即要求处理个人信息应当在事先充分告知的前提下取得个人同意)。刘修文委员认为,网络服务商提供的用户协议、服务条款通常不直接显示且冗长繁琐,关于个人信息收集的范围、保留时限、处理方式等重要条款难以识别且不尽合理,用户在这种情况下做出同意决定的真实性、自愿性大打折扣。左中一委员提醒,在互联网企业大量掌握个人信息的情况下,要避免事前告知流于形式。

近年来,针对个人信息收集中出现的问题,监管部门、行业协会出台了多项技术标准,以便企业进行合规性评估。草案列出了个人信息处理者应当在哪些情况下,对个人信息处理活动在事前进行风险评估,并对处理情况进行记录。郭雷委员认为,让个人信息处理者来评估自己的处理活动,其有效性和科学性应再仔细斟酌。

“从前很多企业是以拿到用户数据为荣,即便是不合理的方法,也被认为是一种竞争力。”在宋文宽看来,一个比较好的趋势是,随着立法趋严,大企业目前都在做合规性审查,更加注重数据合规性与产品功能的平衡。这也是“在保护数据的前提下让技术给用户带来美好生活”。

(本报记者 陈慧娟) 【编辑:田博群】