“四位一体”推进个人信息依法保护
党的十九届四中全会强调,推进数字政府建设,加强数据有序共享,依法保护个人信息。对于个人信息的保护,绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于,如何通过科学立法和制度设计,理顺立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者的内在需要。新时代依法保护个人信息,应当围绕赋权主体和赋责主体,抓住谁来保护和如何保护的根本问题,从主体规制、立法规范、过程管控、救济保护“四位一体”推进个人信息保护,实现个人信息有效保护与合理利用的价值平衡,不断满足人民群众对美好生活的新期待。
建立数据使用责任机制,推进主体规制时代化。技术的发展历来是引起法学理论和法律制度变革的重要因素之一。随着移动互联网、大数据、人工智能等技术的蓬勃发展,大数据时代的个人信息呈现数量大、价值密度低、信息获取与使用结果相关性弱等新特征。应对时代挑战,个人信息依法保护在主体规制上应当因事而化、因时而进、因势而新。在规制对象上,由个人信息所有者保护转向个人信息利用者规制,以数据使用者规制为中心来构建个人信息保护机制。在规制内容上,由个人信息可识别性转向风险可控制性,形成数据使用者承担责任制度,将个人信息依法保护的义务和责任转移到数据收集与使用者身上。在规制举措上,采用场景化的风险评估机制,倒逼数据使用者为避免责任承担而加强风险管理,尽可能去测评个人信息采集、处理、分析、挖掘的风险并采取相应避险措施,在事前预防中强化个人信息依法保护。
完善统一立法机制,推进立法规范体系化。世界主要国家都高度重视个人信息的保护与监管,个人信息逐渐由传统的自然人身份识别符号,转变成为具有重要市场价值的基础性战略资源,被称为现代经济活动“未来的新石油”。目前全球已有近90个国家和地区制定了专门针对个人信息保护的法律,个人信息保护专项立法逐渐成为国际惯例。根据坚持科学立法、民主立法、依法立法的要求,个人信息依法保护的立法规范应当注重顶层设计的体系化、科学化。在国家层面,尽快制定《个人信息保护法》,形成个人信息统一立法制度,由过去碎片化的立法规范转向体系化的规范框架。在行业层面,针对不同领域出台相应规章制度,规范电信、银行、金融、交通、教育、医疗等公共服务企事业单位的信息严格保护,明确网络运营商、网络服务商的信息安全保障义务。
健全安全管理机制,推进过程管控科学化。当前个人信息彰显的财产利益和商业价值备受关注,有意无意被侵害也越来越经常化、频繁化,强化国家监管、增强行业自律、提升安全管理已成为各界的广泛共识。在行政监管上,既要明晰国家统一的监管机构,强化监管执行,规范个人信息采集、处理、分析、挖掘、利用与保管各环节的国家标准;也要推进专门测评机构建设,推动个人信息保护第三方服务市场发展;还要及时开展行政惩处,以举报制、曝光制、黑名单制等敦促企业自律。在行业自律上,形成以银行业、电信业、工商业及重要网站、社交平台、技术公司为主要代表的自律组织,制定数据收集和使用的自律规范,健全惩罚机制,设置和配备固定的监督管理机构与人员,保证行业规范有效遵守。在安全管理上,既要形成内部数据信息保护与数据信息风险控制制度,让漏洞核查与应急跟进常态化;也要形成个人信息安全传输与利用制度,保证数据信息在传输和利用过程中的机密性、完整性;还要形成个人信息安全技术防护制度,采取数据发布匿名保护技术、社交网络匿名保护技术、数据水印技术、数据溯源技术等大数据安全关键技术确保技术上的个人信息安全。
建立网络审判机制,推进司法救济网络化。随着数字经济的发展,权利主体与侵权主体往往在地域上分离,既可以发生在网络空间,也可以同时跨越网络空间和现实社会。个人信息依法保护的司法救济应当借鉴设立互联网法院的经验,建立高效、便捷、低成本的网络审判机制。在诉讼管辖上,采用约定管辖模式,由专门法院予以集中管辖,破解个人信息纠纷因跨地区、跨国界、跨空域侵害而无法受理的窘境。在诉讼流程上,运用电子证据数据保全技术、信息通信技术等,探索符合互联网审判规律的身份认证、电子送达、举证责任等诉讼规则,实现网上立案与网上咨询、在线调解与在线审理,既提高审判效率,又节省诉讼成本。此外,在证据采信上采用过错推定原则,在侵权处罚上建立惩罚性赔偿机制,切实保证个人信息依法得到妥善有效维护。
(作者单位:重庆市中国特色社会主义理论体系研究中心重庆邮电大学分中心)