商用服務信息保護和監管研究

時間:2022-01-25 03:24:51

導語:商用服務信息保護和監管研究一文來源于網友上傳,不代表本站觀點,若需要原創文章可咨詢客服老師,歡迎參考。

商用服務信息保護和監管研究

【摘要】2018年1月3日,曬2017年支付寶賬單活動風靡微信朋友圈,支付寶在2017年賬單界面嵌入了一段不易發現的服務協議鏈接,導致全國上億用戶在不知情的情況“被授權”支付寶采集個人信息,消息一出,引發了全體網民、社會媒體及法律界人士的跟進關注,輿論發酵迅速。目前,個人商用服務信息權益保護工作逐漸受到世界各國金融服務機構和監管主體的關注。本文對國外個人商用信息保護和監管方面的經驗做法進行了整理,為我國個人商用服務信息保護和監管提供了有益借鑒。

【關鍵詞】信息安全行業監管立法保護

一、我國個人商用信息保護和監管工作存在的不足

一是我國針對個人的信息保護的立法空白。目前,我國并未出臺保護個人信息的專門法律。我國的《國侵權責任法》和《民法通則》中的關于個人信息保護與侵權救濟條款,奠定了個人信息保護的民事制度基礎,但相關條款內容過于寬泛,缺乏針對性和具體執行力。我國的個人信息保護法立法建議從2003年被提上日程,缺一直未能進入正式的立法程序。我國個人商用信息保護的基本法空白,降低了個人信息保護的司法執行力。二是我國對個人商用信息保護范疇的界定過于狹窄。目前,我國關于個人商用信息的規定散見于多部法律法規中,側重于保護個人信貸信息、通信信息等,對個人信息保護主體的界定主要局限于各行業內部,未能涵蓋與行業信息有關聯的其他主體。致使如醫療、房產中介、機動車銷售、電信運營、網絡服務等行業及其相關業務人員有許多機會掌握大量公民個人信息。因此這些行業也往往成為個人信息泄露的“重災區”。三是信息保護監管機制不完善?,F階段,我國對個人商用信息監管不具備違規行為發生后的問責到底的機制,同時面臨重大群體信息違規違法事件的處理機制不健全,監管主體責任不明確,行業監管乏力存在漏洞。如,日前支付寶惡意隱藏信息采集授權條款,導致客戶在不知情的情況下“被同意”了《芝麻服務協議》的事件中,支付寶僅僅通過官方微博了道歉說明,但截至目前相關監管機構針對整個事件并未對支付寶進行處罰和開展后續事件調查。四是缺乏具體有效的救濟方式。現行對個人金融信息保護的相關規定側重于規范金融機構的行為,而缺乏對數據主體權利、救濟方式和途徑的規定。這一現狀導致在個人金融保護的實踐中,數據主體的權利容易被輕視,同時侵權者違規違法成本低,使得數據主體在遭受侵權行為時往往難以得到民事救濟。

二、國外個人商用信息保護和監管的主要做法

(一)明確界定個人信息,增強市場保護和監管的針對性。美國側重對政府權利的限制,出臺的各項法規旨在保護公民的隱私權、財務信息、健康信息保密性和安全性,在美國《隱私法》中,采用“記錄”代指“個人信息”,指一個機構所持有的與一個人相關的單項信息活信息集合。歐盟雖然比較注重保護社會公眾個人商用信息的隱私權,但同時出臺了一系列制度確保成員國不會因為對個人信息的過度保護而阻礙個人數據在成員國之間的正常交流。歐盟將社會公眾的商用信息界定為和自然人相關的所有信息,因此歐盟對個人信息的保護內容相對廣泛。日本對個人權利和利益的保護顯著增強,日本將個人信息定義為與一個自然人相關的,包含姓名、駕照、身份證號、出生日期、軍官證和其他所有可以識別出特定對象的任何信息。(二)借助行政手段,統一市場管理。美國通過借助政府統一管理,部門分散立法的模式,實現相關機構行為的自我約束、自我規范,從而保護個人信息的安全,并在個人信息保護和個人信息產業發展之間找到平衡。歐盟明確了個人信息保護的基本原則,歐洲議會出臺統一管理框架,各成員國根據聯盟統一要求,分別建立自己的個人信息保護法。日本通過行政干預統一了全國個人信息標識,加強個人商用信息的規范化管理手段。(三)進行專門立法,加強司法監督。美國早在上世紀80年代就出臺了《美利堅合眾國隱私法》,規定了在商業領域的個人信息保護辦法,是美國保障公民信息安全的重要法律,該法案提出了公民隱私權為國家憲法必須保障的基本人權。在1997年,美國又出臺了《美國互聯網商務機構政策框架》,明確了私營企業在互聯網領域保護個人信息的主要義務,并鼓勵私營企業為此建立內部管理制度,同時提出建立獨立的、公正的第三方機構的監督機制。歐盟在個人信息保護方面的工作成績突出,這與其出臺嚴格個人信息立法環境關系密切。總體上看,歐盟個人信息保護的法律從強調對國家權力的有效控制以及對私權領域的嚴格限制,執行了集公權領域與私權領域于一體的統一立法標準。歐盟于2016年5月24日通過了《一般數據保護條例》(GeneralDataProtectionRegulation,GDPR),并將于2018年5月25日實施。GDPR的通過意味著歐盟對個人信息保護及其監管達到了前所未有的新高度。此外,各歐盟國家也分別制定國內的相關法律,以加強個人信息在本國的保護和監管。如瑞典于1973年出臺了《數據法》,明確了有關個人數據在采集、加工、保管以及公開等方面的具體措施。德國的《個人數據保護法》采用了統一立法的標準,對公民的個人信息采取了統一、規范的立法保護。法國的《自由信息法》,是一部專門約束公權力,保護個人信息的法律。英國的《英格蘭個人信息保護法》分別從信息的采集路徑、信息用途、保存期限、信息保管平臺職責等方面做出了明確的規定,降低了個人信息受非法侵害的風險。而亞洲的韓國、日本、新加坡等國也制定了自己的個人數據保護法。其中日本《公民數據保護法》規定了國家機關、地方及政府以及社會團體在個人信息保護方面的具體職責,為個人信息保護中遇到的法律糾紛提供解決依據。韓國出臺的《互聯網商務基本法》確保了個人信息在互聯網環境下安全傳輸。新加坡出臺的《公民個人信息保護法》對個人信息保護相關問題做了體系化、規范化的梳理與規定,將個人信息保護納入了正式法律治理范疇。(四)加強行業自律,輔助對個人信息的保護和監管。日本許多民間組織制定了涉及個人信息安全的規范文件,截至2010年年末,日本共有2000多個地方公共團體制定了相關個人信息保護條例。到2017年,日本各級政府均已制定了《個人信息保護辦法》。日本民間團體無權立法,主要通過行政指導、行業自律或個別法律的某些具體管理條例實現自我約束、自我管理,如日本個人數據保護辦公室制定的《社會團體自然人信息保護辦法》等。(五)建立了健全的個人信息主體救濟措施歐盟通過的《一般數據保護條例》明確了監督機關救濟、司法救濟、公益組織救濟和損害補償等具體救濟和補救措施,如果數據主體認為與其有關的個人數據處理違反了本條例,有權向常住地、工作所在地、侵權發生地成員國的監督機關、對數據控制者或處理者、非營利性機構、組織或協會及向數據控制者、處理者提起訴訟或索償。

三、相關建議

(一)加快個人信息保護和監管立法。一是出臺個人信息保護法。提升法律保護的效力,需要盡快出臺一部統一的個人信息保護法律。二是完善個人信息保護制度建設。個人信息保護監管機構、金融機構、征信機構等要把內部制度的完善、嚴格遵守放到重要位置。(二)加強個人信息監管體制建設。首先應明確我國個人信息監管的主要機構,對我國個人信息監管、立法、執行進行統一領導,再由各行業具體監管單位建立行業內個人數據保護的規則和執行標準,督促相關單位加強對個人信息數據庫的監管,嚴格按照制度要求處理個人信息。鑒于中國人民銀行征信中心在個人信息監管方面的成功經驗,建議由中國人民銀行牽頭開展個人信息保護的監管試點工作,提升監管效力。(三)加強個人信息保護行業自律。一是鼓勵相關社會團體積極健全完善個人信息保護的內控機制。個人信息的商用機構要完善客戶信息保護的規章制度,細化執行流程,定期對信息安全狀況進行科學評估。二是個人信息處理平臺要不斷完善系統安全建設,提升互聯網環境下的個人數據平臺的風險防防范能力。三是加強業務人員教育和管理。把保密教育納入員工培訓必學內容,不斷增強員工保密和法律意識以及對信息的管理能力。(四)充分發揮司法審判的作用。我國的法院、檢查和公安等部門應切實提升個人商用信息糾紛案件的審理水平,并對性質嚴重、情節復雜的信息侵權案件指導性案例,為我國個人信息糾紛的案件審判提供明確的指引,有效協助司法機關科學、合理使用自有裁量權。

參考文獻

[1]GB/Z28812-2012《信息安全技術公共及商用服務信息系統個人信息保護指南》.

[2]EU.GeneralDataProtectionRegulation.[2015-5-24].[3]OECD關于保護隱私和個人數據跨國流通過的建議,2007.

[4]李林.個人信息保護現狀調研報告,社會科學文獻出版社.2009年版.

[5]齊愛民.論個人信息的法律保護[J].蘇州大學學報(哲學社會科學版),2005(2):30-35.

[6]宋麗.電子商務的發展和個人資料的保護[J].研究生法學,2001(3):21.

[7]黃勇.論個人信息保護執法機構的設置及其職能[J].山西煤炭管理干部學院學報,2010(1):175-176.84

作者:王穎 單位:中國人民銀行寧縣支行