征信宝官网来源:《中国征信》2017年第4期。
作者:何波,供职于中国信息通信研究院互联网法律研究中心 。
互联网技术和应用的迅猛发展极大地扩展了个人信息和数据的利用规模,越来越多的用户信息泄露、非法买卖个人信息事件推动个人信息保护成为全社会普遍关切的焦点问题。当前,我国高度重视并不断加快个人信息保护相关立法和司法工作,并取得了阶段性的成果。但未来我国个人信息保护立法应该何去何从,仍是需要各方思考的重要命题。
个人信息保护立法的目的是对人的保护
讨论个人信息保护立法首先需要厘清立法的目的是什么,而对立法目的的考察则离不开其特定的背景。个人信息保护立法兴起于二十世纪七十年代,与传统的民法、刑法不同的是,个人信息保护立法的产生与全球信息通信技术的发展紧密相关。随着计算机、互联网的不断普及和广泛应用,产生了大规模自动化收集和处理个人数据的活动,并被利用到商业活动之中,对个人权利带来了极大的威胁。与此同时,自动化数据处理的发展使得大量数据在短时间内可以跨越疆界快速传送,进一步加大了个人数据安全风险。为应对信息通信技术对个人数据权利和隐私带来的损害与威胁,以欧盟及其成员国为代表的西方发达国家率先开始了个人数据保护立法的实践,而亚洲的韩国、日本、新加坡等国近年来也纷纷效仿,制定了各自的个人信息保护法。
从目前各国个人信息保护法律本身来看,其目的也是通过对个人信息收集和、处理等活动的规范以最终达到对个人权利的保护。全球第一部国家层面的个人数据保护法《瑞典个人数据法》第一条即指出:本法的目的是保护公民避免因个人数据处理而对其正直信誉造成损害。欧盟在1995年《个人数据保护指令》的序言中强调,各国有关个人数据处理的法律的目的是为了保护基本权利和自由,特别是隐私权。而日本《个人信息保护法》也开宗明义指出“有鉴于随着高度信息通信社会的不断发展,对个人信息的利用显著扩大,本法就个人信息的正当处理等基本事项作出规定……以期在充分顾及个人信息的有用性的同时对个人的权利利益加以保护。”总结来看,各国个人信息保护立法都将个人权利保护作为主要立法目的,而个人权利保护的核心或者说最终指向还是对人本身的保护。因此可以说,个人信息保护立法的目的是对人本身的保护。
刑事追责不是个人信息保护的长久之计
目前,我国初步建立起了个人信息保护的法律框架,但尚未制定一部专门的个人信息保护立法。2012年全国人大常委会通过《关于加强网络信息保护的决定》,确立了个人信息保护的若干原则;2013年修订《消费者权益保护法》,对消费者个人信息保护做了相关规定;2016年全国人大常委会通过《网络安全法》,将保护个人信息安全作为其重点内容。近年来,随着非法买卖、窃取公民个人信息行为越演越烈,我国不断加速推进个人信息保护刑事立法。2009年、2015年先后通过刑法修正案七和修正案九,专门增加了出售或非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚。2017年5月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《司法解释》)对刑事司法实践中定罪量刑所涉及的若干热点问题作出了明确回应。
《司法解释》的发布引起了各方的广泛关注,这也从侧面反映出当前我国个人信息保护的一个特点,即刑事打击和刑事追责非常活跃。据统计,自2009年刑法修正案七增加侵犯个人信息罪到2016年12月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件1433起,生效判决人数2112人。特别是2015年11月刑法修正案九生效以来,我国侵犯公民个人信息犯罪案件量显著增长,仅一年间审结464件,生效判决人数697人。 刑事追责已经成为我国当前个人信息保护领域应用最广泛的法律手段。造成这种情况的原因主要有两方面:一是立法和司法原因,我国没有统一的个人信息保护法,但是在刑事司法领域却已经形成了相对完善的法律规范体系,并辅之与详细的司法解释,可操作性强;二是执法和监管的原因,目前我国并无专门的个人信息保护机构,主要由各行业主管部门负责本领域的个人信息保护工作,但不同部门的执法资源、执法手段相差巨大,其中公安部门最为强势,因此执法案件数量也最多。
然而需要注意的是,刑事打击和刑事追责虽然在应对个人信息犯罪活动方面取得了一定的成效,但长期来看,这并非个人信息保护的长久之计,甚至可以说,偏离了个人信息保护的主要路径。如本文第一部分所论述,个人信息保护的目的是对个人权利的保护,归根结底是对人的保护,以期避免个人信息遭受到不法侵害,因此更加注重的是对个人信息收集、处理等环节的控制。而刑事罪责是一种事后打击手段,虽然可以通过对违法犯罪行为的惩戒产生威慑作用,但在推动个人权益保护方面的效果和意义并不十分明显。反观国际社会,其普遍做法是在制定个人信息保护法律规则的基础上,并成立专门的个人信息保护机构,通过行政监管、民事救济等途径强化对个人信息的保护。例如,英国《1998年数据保护法》成立信息专员办公室ICO,作为个人数据保护执法机构,2013年1月,因为索尼的PlayStation Network平台用户个人信息泄露事件,ICO向索尼欧洲公司开出25万英镑罚单。
制定统一个人信息保护法是我国必然选择
《网络安全法》被认为是我国个人信息保护立法活动的重大突破,其第四章总结了我国个人信息保护立法经验,针对实践中存在的突出问题,将近年来一些成熟的做法作为制度确定下来。但《网络安全法》的出台并不是我国个人信息保护立法的终点,而是一个新的起点。虽然《网络安全法》确立了个人信息保护的基本框架,但是仍然有许多具体制度需要进一步细化和明确,特别是关于管理体制等重大问题没有得到解决。而2017年6月1日正式生效实施的两高《司法解释》也只是对刑法第二百五十三条的相关规定进行了解释,明确了办理刑事案件的定罪量刑热点问题,更不能被称为个人信息保护的“里程碑”。从远期来看,制定国家专门统一的个人信息保护法是我国未来发展的必然选择。
从国际社会来看,制定个人信息保护法符合国际个人信息保护立法发展的大势所趋。自1973年瑞典颁布第一部国家个人数据保护法以来,全球范围内掀起了个人信息保护立法的浪潮。美国于1974年制定了《隐私法》,规定了公共领域的个人信息保护规则;欧盟1995年通过了《关于个人数据处理保护与自由流动指令》,各成员国随即将其转化为国内立法。进入21世纪以来,全球个人信息保护立法持续升温,韩国、日本、新加坡等国先后制定了专门的个人信息保护法,确立了个人信息收集、使用以及跨境传输的基本规则;而欧盟于2016年再次通过个人数据保护新规——《数据保护通用条例》。截止2016年12月,全球已经有超过一百一十多个国家和地区制定了专门的个人信息保护法,这一数字还在不断增长。
从国内来看,制定统一的个人信息保护法是我国个人信息保护和社会经济法发展的现实需求。首先,能够回应社会各界呼声,近年来不断发生的个人信息泄露事件引发高度关注,制定一部统一的个人信息保护法成为社会各界的一致呼声。其次,有利于从国家层面明确重大问题和基本制度,通过制定统一的个人信息保护法,明确公民个人对其信息享有的基本权利,企业收集和使用个人信息的基本规范,并对数据跨境流动规则等基本问题作出回应。最后,有利于促进我国互联网产业做大做强。我国互联网产业发展经历一个黄金十年,已具备了一定的产业规模和竞争力,制定个人信息保护法不仅能加强我国公民个人权利的保护,更能为我国互联网企业开拓海外市场提供良好的信誉保证。
选择符合中国国情的立法模式
目前,全球个人信息保护立法呈现出两种最有影响力的模式,即欧盟模式和美国模式。“欧盟模式”的特点将个人数据作为公民的一项基本人权加以保护,在立法上主张统一和严格立法,强化政府部门对于个人数据保护的监管权力。从1995年的《个人数据保护指令》到2016年通过的《数据保护通用条例》都体现了严保护、严监管的思想。“美国模式”的特点是建立在隐私权的基础上,采用分散立法加行业自律的方式,通过对公民隐私的保护,实现隐私保护与产业发展、政府监管与公民表达自由等之间的平衡。
美国和欧盟采取不同的个人信息保护模式除了各自立法理念和传统不同之外,产业发展也是重要的考量因素。在全球市值排名前10的互联网企业中,美国都占据了7席,在全球排名前20 的互联网企业中,美国占据11家,欧盟国家则没有一家互联网企业进入前30名。整体来看,欧盟互联网市场基本被谷歌、微软、Facebook以及苹果等美国企业所垄断,自身产业发展非常弱势。因此,很多观点认为,欧盟制定严格的个人数据保护立法目的之一就是为了约束和打压国外互联网企业。而对美国作为互联网发展的大国,推行相对宽松的隐私保护政策更有利于降低企业的合规成本和风险负担,并且有利于本国企业向海外扩张。
当前,我国互联网产业蓬勃发展,全球市值前20的互联网企业中我国占据了7席;与此同时,我国面临的个人信息保护问题也比较突出。从立法模式来看,建议立足我国具体国情和法律传统,合理吸收欧盟模式和美国模式的立法经验,综合考虑。在立法形式方面,建议借鉴欧盟模式制定统一的个人信息保护专门立法,在具体的立法原则和内容方面,可以借鉴美国模式,充分考虑产业发展需求。
