加強(qiáng)數(shù)據(jù)治理應(yīng)注重個(gè)人信息侵權(quán)的兩個(gè)層級(jí)

張浩 陳全思 欒群

隨著移動(dòng)終端與生產(chǎn)生活的深度融合，移動(dòng)互聯(lián)網(wǎng)使用頻次高、使用范圍廣，也成為個(gè)人信息侵權(quán)的重災(zāi)區(qū)。近年來(lái)，移動(dòng)互聯(lián)網(wǎng)個(gè)人信息侵權(quán)事件頻頻出現(xiàn)，涉案規(guī)模不斷擴(kuò)大。推動(dòng)數(shù)據(jù)治理首先要解決個(gè)人信息亂象。根據(jù)危害程度的不同，當(dāng)前個(gè)人信息侵權(quán)主要可以分為違法使用個(gè)人信息和不合理使用個(gè)人信息兩個(gè)層級(jí)。

移動(dòng)互聯(lián)網(wǎng)個(gè)人信息侵權(quán)的兩個(gè)層級(jí)

違法使用行為：受關(guān)注度高，衍生犯罪不斷增多。違法使用源于“知情—同意”原則，即未經(jīng)用戶“知情—同意”的個(gè)人信息采集使用行為屬于違法使用。該原則受到廣泛認(rèn)可，無(wú)論是我國(guó)《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》等法律法規(guī)，還是歐盟《一般數(shù)據(jù)保護(hù)條例》，都將其作為個(gè)人信息保護(hù)規(guī)則的基石。實(shí)踐中，違法使用個(gè)人信息的事件主要有兩個(gè)層面：一是一般違法。包括未經(jīng)用戶同意，收集、使用用戶個(gè)人信息和未經(jīng)專門授權(quán)進(jìn)行跨平臺(tái)個(gè)人信息流通等。二是嚴(yán)重違法。主要指以收集、使用個(gè)人信息為工具進(jìn)行的犯罪，比如電信詐騙等經(jīng)濟(jì)犯罪、敲詐勒索等暴力性犯罪等。

不合理使用行為：發(fā)生率高，但受重視程度較低。一方面，就我國(guó)現(xiàn)行法律法規(guī)而言，雖然“知情—同意”原則被法律認(rèn)可并已形成條文，但具體條文的內(nèi)容仍局限于原則性規(guī)定，缺乏針對(duì)性和制度銜接，最終導(dǎo)致形式合法成為服務(wù)提供者與用戶簽訂協(xié)議的主要目的，而忽略了保護(hù)個(gè)人信息的本質(zhì)。另一方面，互聯(lián)網(wǎng)的靈活性使制度難以明確限定個(gè)人信息使用范圍。最終導(dǎo)致出現(xiàn)大量“合法但不合理的個(gè)人信息使用行為”，即不合理使用。在實(shí)踐中，常見的不合理使用事件主要有兩類：一是一般不合理行為。比如，普遍存在的以合法目的進(jìn)行輕微過(guò)度收集、使用個(gè)人信息。二是嚴(yán)重不合理行為。比如常見的“超過(guò)APP功能的強(qiáng)制授權(quán)”等，此類行為是當(dāng)前個(gè)人信息侵權(quán)事件中應(yīng)當(dāng)重點(diǎn)關(guān)注的領(lǐng)域。嚴(yán)重不合理行為本質(zhì)上已經(jīng)構(gòu)成違法，但由于法律的滯后性，導(dǎo)致該行為并未被成文的法律法規(guī)所涵蓋。

原因分析

個(gè)人信息保護(hù)制度缺乏可操作性。在現(xiàn)階段，我國(guó)由《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》《網(wǎng)絡(luò)安全法》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》和《個(gè)人信息安全規(guī)范》，初步形成個(gè)人信息保護(hù)制度，“法律—規(guī)章—國(guó)標(biāo)”三個(gè)層級(jí)，可以用一句話概括為：應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，明示收集和使用的目的、方式和范圍，并經(jīng)用戶同意。但這種原則性表述的規(guī)范，在實(shí)踐和執(zhí)法中難以有效執(zhí)行。

未形成制度化的外部監(jiān)管機(jī)制。個(gè)人信息保護(hù)領(lǐng)域“重打擊、輕管理”的現(xiàn)象亟待解決。對(duì)于廣泛存在的APP個(gè)人信息侵權(quán)及不合理使用問(wèn)題，政府監(jiān)管部門、司法系統(tǒng)及社會(huì)公眾等層面的外部約束機(jī)制尚未有效形成。在行政執(zhí)法層面，公安機(jī)關(guān)重點(diǎn)打擊信息侵權(quán)的下游犯罪，比如網(wǎng)絡(luò)詐騙、電信詐騙、盜竊等，對(duì)于信息侵權(quán)和不合理使用行為本身，通信、網(wǎng)信等執(zhí)法部門則缺少明確的執(zhí)法依據(jù)和有效的執(zhí)法手段，只能通過(guò)間歇性的執(zhí)法檢查和約談的方式督促企業(yè)整改。在司法層面，法院審理涉及個(gè)人信息侵權(quán)的案件絕大多數(shù)為刑事案件。2009—2017年，我國(guó)法院共審結(jié)侵犯公民個(gè)人信息刑事案件2826件。刑法只能治標(biāo)，難以治本，這種打擊力度不足以遏制蔓延的個(gè)人信息侵權(quán)問(wèn)題。目前針對(duì)個(gè)人信息侵權(quán)的訴訟很少，檢察機(jī)關(guān)也尚未針對(duì)個(gè)人信息侵權(quán)和不合理使用行為提起過(guò)公益訴訟。在公眾監(jiān)督層面，雖然《網(wǎng)絡(luò)安全法》《消費(fèi)者權(quán)益保護(hù)法》等法律賦予了用戶維護(hù)個(gè)人信息權(quán)益的權(quán)利，用戶可以通過(guò)向網(wǎng)信、公安及有關(guān)行業(yè)主管部門投訴，舉報(bào)個(gè)人信息侵權(quán)行為，但普通用戶通常難以發(fā)現(xiàn)個(gè)人信息泄露的源頭，很難明確投訴舉報(bào)對(duì)象，導(dǎo)致個(gè)人信息侵權(quán)的公眾監(jiān)督難以落實(shí)。

互聯(lián)網(wǎng)從業(yè)主體業(yè)務(wù)合規(guī)意識(shí)弱?；ヂ?lián)網(wǎng)領(lǐng)域的新興業(yè)態(tài)和新業(yè)務(wù)不斷涌現(xiàn)，企業(yè)開展業(yè)務(wù)時(shí)要接觸并處理大量的個(gè)人信息，但企業(yè)和相關(guān)從業(yè)者對(duì)個(gè)人信息保護(hù)的意識(shí)還比較薄弱。一方面，互聯(lián)網(wǎng)快速迭代文化的盛行，使合規(guī)難受重視。隨著數(shù)字經(jīng)濟(jì)的興起，數(shù)據(jù)被認(rèn)為是“數(shù)字石油”。為了拓展業(yè)務(wù)空間，搶占市場(chǎng)份額，獲取用戶流量和數(shù)據(jù)資源，互聯(lián)網(wǎng)企業(yè)及其從業(yè)者往往將注意力聚焦在業(yè)務(wù)和技術(shù)條線上，很可能忽略業(yè)務(wù)的合規(guī)和合理問(wèn)題，對(duì)用戶個(gè)人信息的保護(hù)缺少內(nèi)在約束機(jī)制和主動(dòng)保護(hù)意識(shí)。另一方面，計(jì)算機(jī)等相關(guān)領(lǐng)域人才教育中缺少法律課程設(shè)置。一般情況下，為提高對(duì)社會(huì)規(guī)則和專業(yè)規(guī)則的認(rèn)知，與社會(huì)生活直接相關(guān)程度高的學(xué)科，比如教育、醫(yī)學(xué)和財(cái)會(huì)等，均設(shè)置有相應(yīng)法律基礎(chǔ)知識(shí)專業(yè)課。而在傳統(tǒng)理工科人才培養(yǎng)教學(xué)課程設(shè)置中，基于社會(huì)直接相關(guān)度的考慮，除了公共基礎(chǔ)課程和專業(yè)課程以外，通常缺少專業(yè)法律課程的設(shè)置，而更多設(shè)有的是標(biāo)準(zhǔn)課程。但計(jì)算機(jī)領(lǐng)域不同，相關(guān)產(chǎn)業(yè)與社會(huì)生活幾乎已完全融合，大量法律問(wèn)題直接涉及普通用戶的權(quán)利，因此，如果從業(yè)者缺少法律素養(yǎng)和法治意識(shí)教育，則很可能出現(xiàn)信息侵權(quán)或不合理使用問(wèn)題。

應(yīng)對(duì)方式

雖然當(dāng)前個(gè)人信息保護(hù)需求緊迫，但立法條件尚不成熟，對(duì)個(gè)人信息能否合理利用仍未達(dá)成共識(shí)?；诂F(xiàn)有研究，優(yōu)化執(zhí)法體系，以現(xiàn)有原則性立法為基礎(chǔ)，探索可操作性規(guī)則，更具實(shí)踐意義。

執(zhí)法層面：引進(jìn)中立第三方社會(huì)團(tuán)體開展常態(tài)化評(píng)估。缺乏事中監(jiān)督也是當(dāng)前個(gè)人信息侵權(quán)頻出的重要原因。雖然自《網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，相關(guān)部委和機(jī)構(gòu)在全國(guó)組織了一系列檢查監(jiān)督活動(dòng)，但這些活動(dòng)多為運(yùn)動(dòng)式執(zhí)法，缺乏制度化的事前事中監(jiān)管機(jī)制。受客觀因素限制，主管機(jī)關(guān)僅依靠自身力量難以實(shí)現(xiàn)對(duì)企業(yè)個(gè)人信息保護(hù)的定期監(jiān)督和專業(yè)審查。在高頻次使用的移動(dòng)互聯(lián)網(wǎng)領(lǐng)域，僅依賴運(yùn)動(dòng)式執(zhí)法難以有效杜絕個(gè)人信息侵權(quán)事件的發(fā)生。因此，應(yīng)當(dāng)引進(jìn)中立第三方社會(huì)團(tuán)體開展常態(tài)化評(píng)估。主管機(jī)關(guān)可以委托或授權(quán)具備公信力和專業(yè)能力的中立第三方社會(huì)團(tuán)體從事常態(tài)化評(píng)估，作為其執(zhí)法輔助。具體而言，該第三方社會(huì)團(tuán)體可以組織專業(yè)技術(shù)人員對(duì)相關(guān)企業(yè)的業(yè)務(wù)合規(guī)性、合理性進(jìn)行年度、季度和不定期評(píng)估，固定評(píng)估痕跡，定期出具相應(yīng)評(píng)估報(bào)告，并報(bào)主管機(jī)關(guān)審議。對(duì)發(fā)現(xiàn)有不合規(guī)或存在潛在風(fēng)險(xiǎn)的業(yè)務(wù)，由主管機(jī)關(guān)組織檢查。除此之外，還可以鼓勵(lì)該第三方社會(huì)團(tuán)體作為公益訴訟的主體或證人，將評(píng)估痕跡和報(bào)告作為訴訟證據(jù)。

研究層面：探索個(gè)人信息可利用范圍的界限。應(yīng)重視數(shù)據(jù)占有主體的數(shù)據(jù)權(quán)利，探索數(shù)字經(jīng)濟(jì)發(fā)展與公眾隱私保護(hù)的平衡點(diǎn)，厘清個(gè)人信息的可利用范圍，重視數(shù)據(jù)占有主體的合理數(shù)據(jù)權(quán)利。個(gè)人信息與隱私、數(shù)據(jù)的交叉混淆是個(gè)人信息侵權(quán)事件愈漸頻繁的重要原因。受技術(shù)因素影響，數(shù)據(jù)量及其豐富度是互聯(lián)網(wǎng)企業(yè)提高業(yè)務(wù)競(jìng)爭(zhēng)力的核心。其中，用戶的個(gè)人信息是消費(fèi)互聯(lián)網(wǎng)數(shù)據(jù)的重要來(lái)源。隨著數(shù)字經(jīng)濟(jì)的興起，個(gè)人信息逐漸為公眾所重視，并與隱私掛鉤。最終，數(shù)字經(jīng)濟(jì)發(fā)展與公眾隱私保護(hù)逐漸成為個(gè)人信息保護(hù)的主要矛盾。但受用戶思維和商業(yè)數(shù)據(jù)中企業(yè)優(yōu)勢(shì)地位的共同作用，現(xiàn)有研究更多關(guān)注的是如何限制企業(yè)、增加企業(yè)義務(wù)，而較少關(guān)注企業(yè)本身的數(shù)據(jù)權(quán)利。隨著數(shù)據(jù)重要性的進(jìn)一步提高，缺乏對(duì)企業(yè)權(quán)利的合理保護(hù)會(huì)使其喪失積極性，違反了客觀的數(shù)據(jù)經(jīng)濟(jì)規(guī)律。對(duì)此，歐盟采取嚴(yán)格的隱私本位措施，出臺(tái)了《一般數(shù)據(jù)保護(hù)條例》，將個(gè)人信息明確為不可轉(zhuǎn)移的人格權(quán)。經(jīng)過(guò)一年的實(shí)踐，雖然難以證明長(zhǎng)期影響，但從短期影響來(lái)看，該政策傾向?qū)?duì)數(shù)字經(jīng)濟(jì)發(fā)展產(chǎn)生較大的不利影響。美國(guó)國(guó)家經(jīng)濟(jì)研究局（NBER）研究顯示，在《一般數(shù)據(jù)保護(hù)條例》推行后，歐盟國(guó)家企業(yè)的融資總額、融資交易筆數(shù)以及每筆融資交易金額均大幅減少，使得新企業(yè)每周減損90 萬(wàn)美元投資，成熟企業(yè)每周減損710萬(wàn)美元;使得新興、年輕和成長(zhǎng)階段的企業(yè)每筆交易融資額分別縮水27.1%、31.4%和77.3%。綜合GDPR 可能創(chuàng)造的就業(yè)崗位與消滅的崗位來(lái)看，其造成的崗位流失大致相當(dāng)于樣本新興企業(yè)雇工人數(shù)的4.09%～11.2%;并且嚴(yán)重影響了最具價(jià)值和生命力的處于從天使投資向風(fēng)險(xiǎn)投資轉(zhuǎn)變階段的新興企業(yè)。因此，為有效治理個(gè)人信息和數(shù)據(jù)相關(guān)問(wèn)題，確保數(shù)字經(jīng)濟(jì)持續(xù)穩(wěn)定發(fā)展，應(yīng)當(dāng)專題研究個(gè)人信息可利用范圍，兼顧發(fā)展與保護(hù)，探索個(gè)人信息的合理利用規(guī)則。

教育層面：建立以人為本的個(gè)人信息侵權(quán)預(yù)防體系。治理移動(dòng)互聯(lián)網(wǎng)個(gè)人信息侵權(quán)應(yīng)當(dāng)采取以人為本的措施，從源頭上進(jìn)行引導(dǎo)和教育。一方面，針對(duì)從業(yè)者，鼓勵(lì)或要求互聯(lián)網(wǎng)公司定期進(jìn)行法治培訓(xùn)。培訓(xùn)形式應(yīng)靈活和多元化，內(nèi)容有針對(duì)性，使從業(yè)者能具備基本的個(gè)人信息保護(hù)等法律常識(shí)。同時(shí)，還應(yīng)建立基本的業(yè)務(wù)合規(guī)機(jī)制，對(duì)新設(shè)、變更等業(yè)務(wù)變動(dòng)進(jìn)行“紅線審查”并制作合規(guī)備份，有條件的企業(yè)應(yīng)建立專門的合規(guī)流程和部門，確保相關(guān)業(yè)務(wù)可審可查。另一方面，編制計(jì)算機(jī)相關(guān)專業(yè)高等教育法治課程，作為專業(yè)必修課。課程設(shè)置應(yīng)多樣化，內(nèi)容應(yīng)覆蓋憲法、權(quán)利義務(wù)、法律紅線和基本原則等基礎(chǔ)法律知識(shí)。鼓勵(lì)高校和相關(guān)機(jī)構(gòu)開展多種形式的普法教育活動(dòng)。