【数据法学】刘晓春:大数据时代个人信息保护的行业标准主导模式
B D A I L C
欢 迎 关 注
个人信息保护的私权模式有其合理性和现实基础,但是以私权为主的治理模式由于信息不对称的存在而出现了失灵。私权模式为其他治理机制提供了前提和基础,应当建立多种机制并行的多元治理框架。政府直接管制模式同样存在信息不对称等约束条件,因此,应当根据社会自我管制理论,通过数据行业形成自下而上的行业标准应成为治理个人信息的主导模式,并建构“基础法律规范、行业通用标准、企业最佳实践”的治理框架。
Anton Brait
大数据时代个人信息保护的行业标准主导模式
文 / 中国社会科学院大学互联网法治研究中心执行主任
刘晓春
个人信息保护和利用的问题,自本世纪初开始至今,一直是法学界受到关注的问题,研究者在借鉴国际经验的基础上提出了多种制度建议。随着互联网和大数据产业的发展,个人信息利用的实践形态出现了大量的创新,个人信息保护和治理的制度模式也面临着新的挑战,针对传统的私权治理模式,从理论上到国际实践上都出现了反思和转型。在大数据时代,个人信息成为一种核心生产要素,对其设立私权,的确可能带来权利碎片化的问题,增加交易成本。但是,无孔不入的个人信息收集和利用行为所可能带来的破坏性后果,又通过“徐玉玉案”等一系列具有极大社会影响力的事件在公众舆论中持续发酵,成为社会普遍焦虑。此外,随着数据采集和处理技术的高度专业化发展,对于个人信息泄露、收集、泄露行为的监控和举证,远非普通民众的能力所及,因此私权模式在实际治理中出现失灵的情况。因此,有必要在私权模式基础之上,辅之以配套的多元规制模式,本文试图结合调研数据、案例统计和产业实践,探讨以行业标准为主导,建设“基础法律规范、行业通用标准、企业最佳实践”的综合治理架构。
一
私权治理模式及其社会基础
1. 私权治理模式的基本观点
保护个人信息的讨论通常跟隐私结合在一起,借鉴隐私权的观念,有学者提出将“个人信息权”确立为新型权利,认为个人信息所体现的是公民的人格利益, 个人信息的收集、处理或利用直接关系到信息主体的人格尊严。①同样主张个人信息权作为人格权的学者认为,个人信息与隐私存在密切关联,在客体上具有交错性,但是在权利属性、权利客体、权利内容和保护方式上,个人信息权都与隐私权存在区别,应当成为独立的具体人格权,并建构以私法保护为中心的个人信息保护法。②在权利内容方面,学者认为个人信息权不同于隐私权之处在于其主要是一种主动性人格权,权利人除了被动防御第三人的侵害之外,还可以对其进行积极利用。③有学者将权利内容进行了具体列举,包括了信息决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权。④
有学者认为,应当重视个人信息的商业价值,通过财产权模式来保护个人信息,确立个人信息财产权,从而保障个人对自己个人信息的积极利用和交易,并规范和促进产业发展。⑤
尽管对于个人信息权应属于人格权或者财产权保护尚存争议,但对其采取私权保护为主的模式是这些学者的共识。而人格权和财产权的争议也并非完全非此即彼、不可调和,目前学界关于人格权财产利益保护的探讨,实际上可以对该问题作出回应。⑥
采用私权模式为主的保护制度,其目的在于调动每个人对其个人信息进行主动保护的积极性,即权利人在受到侵害之后,能够积极主张权利。私权模式的默认前提是,个人其实是自身利益的最佳维护者,通过对个人信息进行自我管理,是成本最小、效果最佳的选择。⑦在保护方式上,主要由个人通过提起侵权之诉来获得救济,除了精神损害赔偿之外,还应当可以主张经济上的损失。此外,私权的确立也是建立其他多元保护机制的前提,为行政法、刑法乃至行业自律对个人信息提供保护建立了私法上的基础。⑧
2. 我国立法现状下的私权治理
以构建“个人信息权”为核心的私权治理模式,由私法确认后,以私法自治作为运作的基本原则。私法自治是个人主义方法论的最有效工具,也被认为是私人利益享有和实现的最佳途径。其前提性观念是“个人乃自己事务的最佳判断者及照顾者”[⑨]。私权的救济需要通过法律规范强制力的保证,获得享有和实现私权的“法律上之力”,“法律上之力乃由法律所赋予,受法律的支持与保障的一种力量”。[⑩]从我国现有关于个人信息立法的规定看,尽管尚未明确确立“个人信息权”概念,但是,个人信息保护中的个人同意原则、知情权、删除权、更正权规定,及违反这些规定后的法律责任机制,可以认为是具备了私权治理模式的雏形。
我国目前针对个人信息保护尚未形成统一的综合法律规范,而是具体地规定在法律、行政法规、部门规章、地方性法规和规章、各类规范性文件等多层次、多领域的规范当中,形成了一个内容分散、体系庞杂的个人信息保护模式。
(1)《网络安全法》确立基础框架
2016年11月7日全国人大常委会通过的《网络安全法》在个人信息方面确立了重要的原则和规定,从法律层面为更加完善而系统化的个人信息保护立法奠定了良好的基础。其中第七十六条规定:“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证号码、个人生物识别信息、住址、电话号码等。”这是首次在法律层面上确立了一般意义上“个人信息”的概念,为个人信息保护的体系化制度建设提供了起点。
《网络安全法》针对网络运营商收集、使用个人信息,规定了应当遵循合法、正当、必要的原则,收集、使用、向他人提供个人信息都需要经过个人同意,并公开收集、使用规则;明示收集、使用信息的目的、方式和范围,并规定公民对自己的个人信息在被使用过程中,享有知情权、删除权、更正权。另一方面,从促进产业发展的角度,该法明确了禁止向他人提供个人信息的例外情形,即如果是经过处理无法识别特定个人,并且不能复原的信息可以合理使用,这被认为是对国家鼓励和推动大数据产业发展政策的回应。⑪
(2)分散规定的个人信息保护规定
全国人大常委会于2012年12月28日通过的《关于加强网络信息保护的决定》,针对“个人电子信息”的保护作出了较为系统的规定,明确“个人电子信息”为“能够识别公民个人身份和涉及公民个人隐私的电子信息”,并对收集、使用、保存个人电子信息作出了系统性规范,要求经过个人同意,还规定了违反义务的主体需要承担相应的民事、行政和刑事责任。
《消费者权益保护法》第29条规定了经营者收集、使用消费者个人信息时需要遵循的原则和承担的义务,即“应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。经营者收集、使用消费者个人信息,应当公开其收集、使用规则,不得违反法律、法规的规定和双方的约定收集、使用信息。”经营者违反这些义务,需要承担民事责任和行政责任。
除此之外,特定行业的法律法规规章也对其经营者提出了保护个人信息的要求,比如,《旅游法》规定,旅游经营者对其在经营活动中知悉的旅游者个人信息,应当予以保密;《征信业管理条例》系统而全面地规定了征信机构采集、整理、保存、加工个人信息的相应规范;《地图管理条例》规定了互联网地图服务单位在收集、使用、保存用户个人信息时需要承担的义务;《人民银行关于银行业金融机构做好个人信息保护工作的通知》针对金融机构的个人信息保护责任提出了系统化的要求;在金融、大数据、电子商务、电信、交通、教育、医疗等众多领域,都有相应的法规和规章来规定个人信息保护的内容。
以个人同意为前提的个人信息保护模式,加上知情权、删除权、更正权等权利内容的设置,可以认为是建立了私权的基本框架,为私权治理模式提供了制度基础。因此,通过一般性规范和具体规定相结合,社会生活中包括线上和线下的绝大部分领域,都已经有了个人信息保护的法律规范,侵害个人信息需要承担民事、行政乃至刑事责任。只是这些规范在形式上过于分散,对于社会公众难以形成直观的认知,亦无法形成系统化的私权治理模式,因此,的确有必要尽快制订一部统一的个人信息保护法,对其进行系统化梳理和整合,无论是从立法资源的节省、立法技术的提高、规则体系的优化,还是向民众普及个人信息法律保护的常识和意识来看,都存在必要性和合理性。
3. 私权模式的民意基础
对于个人信息的保护和利用之间的协调,是治理模式选择中最基础的价值选择。如果说前些年公众对于个人信息保护还没有过多关注,那么近年来以“徐玉玉案”为典型代表的个人信息严重泄漏事件,已经使得公众对于个人信息保护形成了强烈的诉求,并认为个人信息不当泄露已经严重影响到个人生活的安宁。根据《中国个人信息安全和隐私保护报告》基于百万份调查问卷的统计数据表明,个人信息安全已成为社会普遍焦虑,针对“你觉得个人信息泄露问题严重吗”问题,有28%的参与调研者认为“没有感觉”,43%的参与调研者认为“严重”,认为“非常严重”的参与调研者占比达29%,亦即有72%的参与调研者认为问题严重或者非常严重。
问卷分析显示,在遭遇个人信息侵害时,多达81%的参与调研者经历过知道自己的姓名或单位等个人信息的陌生来电,因网页搜索和浏览时泄露个人信息的参与调研者占53%,经历邮箱、即时通讯、微博等网络账号密码被盗的参与调研者占40%,因房屋租买、购车、考试和升学等信息泄露,和因在网站留下个人电话和注册网络金融服务而遭遇各类骚扰和诈骗的参与调研者都在30%以上,遭遇针对银行卡、信用卡和网络交易诈骗以及被“短信炮”、“拨死你”电信骚扰的参与调研者比例在20%以上,被冒充公检法、税务机关的不法分子诈骗、恐吓的参与调研者比例达19%,明确知道个人和家庭信息被贩卖、泄露的参与调研者比例达18%,最少的数据比例即“个人隐私信息被网站公布”、“购买机票后收到航班异常的电话或短信诈骗信息”也达9%(见图1)。⑫这些遭遇都严重影响到了个人生活的安宁,并导致了相应的损失,无疑涉及到个人的人格利益和财产利益,体现了进行私权确认和保护的社会需求和民意基础。
图1 个人信息、隐私受侵害行为类型调查
二
私权治理模式的失灵和变迁
1. 实践中私权救济的失灵
私权模式可以为其他多元治理机制的建立提供基础和前提,从而可以确立其必要性和合理性,对此本文亦表示赞同。但是,仅仅采取私权模式,或者以私权模式为主的保护制度,是否能够实现个人信息保护的实际效果,无论是从实证数据上,还是理论逻辑上,都存在着可商榷的空间。
(1)调查问卷
从调查结果来看,公众尽管对个人信息泄漏的严重现状心存焦虑,但是对于个人信息自我保护的防范意识不强,个人信息遭遇泄漏之后的维权观念不强、动力不足。调研显示,在明确自身遭遇个人信息泄露并面临侵害时,相当一部分人群抱有侥幸心态,大部分人选择了较为被动的处理方式,仅有少部分人采取了积极对抗行动。被问及被侵犯时没有维权的原因时,60%的参与调研者表示不知道怎么维权,56%的参与调研者是因资金等个人利益未受损而放弃维权,值得重视的是,参与调研者中有高达44%的比例选择了因维权程序太复杂、成本太高而放弃维权,另有34%的人是因缺少维权证据而无奈放弃。最为消极的是“维权成功也没有好处”选项,也有14%的选择比例(图2)。⑬
图2 个人信息及隐私被侵犯后未能维权原因
(2)司法实践
我国个人信息保护立法体系中规定了侵害个人信息的民事、行政和刑事责任。与刑事案件相比,民事案件的原告通常以侵害“隐私权”作为诉由。通过“北大法宝”数据库对个人信息和隐私权保护案例的检索和整理,结果表明原告能够成功胜诉并获得赔偿者寥寥无几。例如,在消费者起诉移动通讯公司、机票预订平台等泄露个人信息的民事案件中,法院认为,被告并非掌握原告个人信息的唯一主体,无法确认被告实施了泄露原告隐私信息的侵权行为,亦即原告无法举证证明被告的泄露个人信息行为。⑭除此之外,即使在原告胜诉的案例中,由于无法证明经济损失或仅能证明极少的经济损失,原告可获得的赔偿金额很低。
针对个人信息的非法获取与利用的民事判决,与个人信息泄露的普遍状况相比,远不成比例。由于个人信息获取、存储和利用的环节众多,线下和线上传播具有隐蔽性和复杂性,追本溯源成本很高,发现、举证难度大,处罚、赔偿力度小,同时获利空间巨大,执法现状为灰色产业链提供了巨大的投机空间,私权模式出现了“失灵”的现状。
2. 理论反思与国际经验
近年来,理论界对于个人信息私权治理模式的合理性和有效性也出现多种反思意见。比较彻底的观点认为,应该否定私权治理模式,将个人数据信息作为公共物品来规制,对个人数据信息使用进行治理的主体应该是政府专门机构,治理的法律性质应该是公法而不是私法,治理的目的是为了公共利益和公共安全而促进个人数据信息的自由共享。⑮这种治理不影响隐私权等传统权利,但是不赞成将个人信息列为私权保护对象。
也有学者认为,同意不应当是个人信息处理的正当性基础,应当是以知情权而非同意权来解决信息不对称的问题,在网络社会中,个人信息的决定自由亦明显缺乏有效的现实性、必要性和真实性。⑯
民法学者中也有认为不必采用统一的“个人信息权”保护模式,而是强调个人信息分类规制的思路,并重视个人信息利用中体现的各方利益,提出对个人敏感隐私信息与个人一般信息进行区分,通过强化个人敏感隐私信息的保护和强化个人一般信息的利用,调和个人信息保护与利用的需求冲突,实现三方利益的平衡:个人对个人信息保护的利益(核心是人格自由和人格尊严利益)、信息业者对个人信息利用的利益(核心是通过经营活动获取经济利益)和国家管理社会的公共利益之间的平衡。⑰
从国际经验看,个人同意作为个人信息保护的机制也正在发生变化。不管是采取曾经以基本权利为核心确立统一立法模式的欧盟,还是分散立法与行业自律相结合的美国,都对于“个人信息权”和“同意”制度创设了例外,而且成为趋势。例如,欧盟委员会的《数据保护通用条例》于2016 年4 月获最终通过并正式颁布,并将于2018 年5 月开始生效,其中就对个人信息进行了分类处理,对于一般数据,可在五种法定情形之下免于同意的要求而依然具有合法性。五种法定情形包括:订立或履行同意所必要、履行法定义务所必需、保护数据主体重大利益所必要、履行涉及公共利益的任务、数据控制者或第三方合法利益。⑱
3. 私权模式基础上的多元治理
私权模式在缺乏运行保障核心要素的情形下,有可能出现失灵的情况,例如私权主体由于信息不对称的存在,无法对个人信息泄漏的环节进行监控和举证,诉讼程序的成本与不确定性也对维权行为形成了阻却效应。⑲因此,从实践效果、理论逻辑以及国际经验来看,以私权模式为主的治理方式,已经面临着无法避开的挑战。
但是,根据本文第一部分的讨论,私权模式从理论上和实践上并非完全不具有合理性基础,在建立个人信息保护与治理模式的时候,没有必要非此即彼地仅仅选取一种治理模式,私权模式可以为其他治理途径提供重要的合法性基础。在承认私权模式的必要性基础之上,结合公权和私权的治理模式,并考虑引入行业自律的主观能动性,解决公权治理和私权治理在信息和惩罚机制上的各自缺陷,通过行业标准来确立公私权共同治理的组织和符号,⑳确立多元治理机制,或许是个人信息保护的一条可行之路。
三
行业标准为主导的综合治理架构
1. 政府直接规制的局限与社会自我规制的功能
在规制对象具有高度复杂性、技术性、隐蔽性和快速变化性的领域,以“命令-控制”为特征的政府直接规制模式,在直接面对市场主体具体行为时,会同样面临信息不对称、行政资源和能力不足的困难,无法实现预期的治理效果,出现“规制失灵”的现象。这在环境保护、食品安全、互联网治理等领域都已经出现了端倪,在个人信息保护领域,除了事后针对非法处理信息行为的行政处罚、刑事打击等措施,政府很难对于个人信息相关的市场主体和行为进行系统性的监控、评估和处罚,事后打击挂一漏万,很难起到有效的震慑作用。
作为政府直接规制的补充,社会自我规制的理论和制度逐渐兴起。自我规制是指国家以外主体为履行任务给自己设定的行为标准,既有个体商业利益的追求,与此同时也对提升公共利益有所贡献。实践中往往是政府规制与纯粹的自我规制相结合,旨在发挥两种规制手段的优势,通行的做法是国家预设目标与框架,诱导私人主体以专业知识填补该框架内涵,进而实现合作治理的目标。㉑个人信息保护领域恰恰存在着自我规制的必要性,而大数据时代个人信息的处理行业以具备技术能力的互联网企业为主,也为自我规制提供了可能性。
在公权和私权共治的理论框架下,对国家或者私人的监控与惩罚逐渐可以忽略具体的行为者,而更多地将责任施加在可以观测的组织或符号的身上。这是公权与私权合作治理社会最基本的技术原理。在高度复杂的治理领域,各种内部管理规则成为公权与私权模糊场域中社会治理的监控和惩罚结合点,从而搭建社会治理体系现代化的桥梁。㉒在个人信息保护领域,可以考虑通过多种机制来提供这些可以观测的组织或者符号,而由于行业状态、管理规则、技术结构都在大数据时代处于快速变化之中,对于这些变化处于最敏感地位的企业是最有能力建立起相应规制机制的主体。
2. 标准治理模式的优势与局限
在私权治理模式和政府直接规制双重“失灵”之下,需要寻找社会自我规制的实现机制,为公权和私权的合作、多元治理提供渠道。但是私主体作为自我规制的主要主体,在规制和治理上亦具有天然的局限性,通常以追逐私利为导向而产生机会主义行为,并具有不稳定性。因此,需要在政府外在的引导和管理下,促进多个市场主体形成相互制约的合力机制,制定行业标准正是这样一种运行机制。
标准治理模式指的是规制者要求企业在生产经营过程中使用或禁止使用特定的技术或行为,否则需要承担相应的不利后果。标准规制可以采用正面清单或者负面清单。其优势在于操作简明和见效迅速,政府只需要对企业的行为和程序标准进行监控,不需要深入到具体案例之中裁量后果。但是政府依然需要对于相关的技术标准做出相应的选择和判断。
与强制性的标准治理模式不同,可以由行业或企业自行来自下而上发展出行业标准,成为政府决策的参考,政府只需要在绩效和产出效果上进行标准化的规定,并在合适的时候将行业标准上升为国家标准中的推荐性标准乃至强制性标准。这体现了政府对于“社会子系统”自主运作逻辑的尊重,法律通过对自身的调控,将直接干预转变成了间接的方式,“通过影响组织机构、能力和程序来促使其他社会系统建立起一套更为民主化的自我管制机制”㉓。这一“反身法”理论在环境保护法规等领域已有探讨,亦有引入个人信息保护领域的可行性。㉔因此,在社会自我规制理论的指导下,结合我国个人信息保护制度和产业实践,可以尝试建立行业标准为主导,“基础法律规范、行业通用标准、企业最佳实践”的治理架构。
3. 行业标准的主要内容
从实践中观察,目前数据产业中已经形成了一些可供借鉴的行业标准化做法,包括一些企业最佳实践,以下列出框架作为借鉴。
(1)建立个人信息分类保护
个人信息涉及到与识别个人身份相关各个方面的信息,采集、存储、利用个人信息应当符合“目的明确原则”和“合法必要原则”,即范围应当仅及于业务所需之必要信息。以征信行业为例,《征信业管理条例》对于征信机构采集的个人信息,设有禁止性和限制性两类:第一类禁止采集的包括:个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息;第二类必须明确告知信息主体不良后果并取得其书面同意的信息包括:个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息。
作为基础法律规范的规定,企业都有必要严格执行,建立技术上和管理上可行的机制,不采集禁止性信息,对于限制性信息应当自觉履行相应告知和同意获取程序。在此基础上可以发展出相应的行业标准,约束企业行为。
在敏感信息之外,企业针对用户其他个人信息,亦可基于其实践状况发展出其他自律规范,形成企业最佳实践。例如以手机app等软件为例,企业可以建立内部信息采集规范,只采集与评估用户信用状况有关的信息,而不采集用户的聊天、通话等个人隐私信息,不得追踪用户在社交媒体上的言论信息。
(2)全面落实用户授权机制
如前文所述,众多法律法规都要求采集和利用个人信息需要经过信息主体的授权。但实践中由于存在个人信息利用的众多环节,初始采集时的授权往往不能匹配后续各种利用环节,因此法规中的原则性规定,需要有细化的行业标准和企业自律规范来加以落实。
在数据利用过程中,可能涉及到信息采集者、提供者、整理加工者、存储者以及查询者、使用者。授权通常发生在信息初始采集时,但当后续使用需求与初始授权不匹配时,需要使用者启用相应的核实授权机制重新授权。
企业在与上下游行业展开合作时,也可以通过建立相应的机制来确保授权的全面有效性。例如,对于上游的信息提供者进行资质审核,包括对其数据安全保护能力等方面进行评估,只选择接入符合特定条件的信息提供机构;在各项业务中对信息提供者进行合法性审查,与个人信息提供者签署的合作协议中明确约定其信息采集、使用规则和义务,如信息使用者必须对个人授权书中的重点内容进行了加黑、加粗处理,以起到显著性提示的作用。
对于下游的信息使用者,也可以对商户在用户信息安全保障机制及能力等各方面情况进行尽职调查,以评估是否与其合作,从而尽可能确保用户信息输出到合作商户后的用户信息安全。
企业在实践中还探索建立了各具特色的对于合作商户的监控和筛选机制。如在合作伙伴的选择上实行类似于“黑名单”制度,设立了外部舆情监测机制,一旦发现合作商户存在信息泄露或违法违规采集/输出用户信息的情况时,会及时评估事件对用户信息安全造成的风险或潜在威胁,甚至决定中止或终止与合作商户的合作。
(3)严格规范内部管控流程
企业在存储和加工个人信息过程中,承担着建立严格内部制度保障信息安全的法定义务。例如,《征信业管理条例》规定,征信机构应当建立健全和严格执行保障信息安全的规章制度,并采取有效技术措施保障信息安全;应当对其工作人员查询个人信息的权限和程序作出明确规定,对工作人员查询个人信息的情况进行登记,如实记载查询工作人员的姓名,查询的时间、内容及用途。工作人员不得违反规定的权限和程序查询信息,不得泄露工作中获取的信息。
法律的规定同样需要建立行业标准和企业内部管控制度,来落到实处。在实践中,企业应当关于信息采集、加工、存储及使用等全数据生命周期的内部流程管控制度。
企业内部流程管控制度及配套的权限管理系统包括根据信息的敏感程度不同进行相应的分级管理等。保证数据从采集开始直至输出,任何数据的访问使用都有必须经过特定的审批流程并保留相关记录信息,避免非必要的用户信息接触行为。此外,机构持续根据业务实际情况,不断对上述制度及技术实现进行优化完善,以保证制度及流程的可执行性,避免实际操作与信息安全保障要求相脱节的情况发生。
实践中,将个人信息进行匿名化处理,是保护个人信息特定主体的重要手段。在实践中,企业采取了避免输出原始可识别身份信息的策略,例如,即使在用户授权的前提下向合作商户输出信息,通常情况下不会直接输出用户的原始或明细信息,而是经过加工后的信用标签或变量信息。这样的信息输出策略,尽可能避免了输出用户明细或原始信息可能给用户造成的风险,以及合作商户端万一发生信息泄露情况下,尽量降低可能对用户信息安全造成的影响,是值得称道和推广的业内重要实践。
(4)完善泄露危机应急预案
尽管法律法规并没有对危机应对作出具体规定,但是出于企业社会责任的需要,企业在数据泄露应急处理方面亦有可为之处。实践中,有企业建立了信息泄露应急处置预案,并不定期进行应急演练,从而保证在极端情况下发生信息泄露时,可以迅速定位到信息泄露的原因及问题所在,并在最短时间内进行处置与控制信息安全风险,以争取将信息泄露风险控制在最低程度。通过信息泄露的应急演练,企业可以不断就自己在信息安全保障方面存在潜在风险点进行不断识别、优化完善,从而提高自身信息泄露风险防御能力及水平。有企业通过网站综合监控管理平台实时监控外部攻击和风险,定期开展漏洞扫描、挂马扫描、篡改扫描等安全监测工作。每年都邀请第三方安全机构进行专业风险评估,对于发现的漏洞和风险问题在第一时间进行修补和解决,有效降低受到外部攻击所导致的各种风险。
从数据产业的行业实践来看,在“基础法律规范、行业通用标准、企业最佳实践”的架构下,尽管基础法律规范仅仅作出原则性和目标性的规定,但是在环节繁多、技术复杂的数据中,要想真正将法律规范落到实处,还需要建立全面、细致、依赖先进技术手段的行业标准和企业自律规范。通过行业主体的自律行为,建构良好的个人信息处理规范,并建立快速、准确的信息披露和评价机制,使得违规者无处遁形,避免劣币驱逐良币现象,建设个人信息保护领域优胜劣汰的良性竞争环境。
四
结语
私权治理模式的建构存在其合理性和社会现实基础,但是运作核心要素的缺乏使得私权治理模式不应当成为个人信息保护的主导模式。信息不对称问题的存在,也使得政府直接管制并非有效治理个人信息的首选之策。根据社会自我管制理论,由行业进行自下而上的规则和技术创新,构建体现各自子系统生态特色的技术和管理规则,进而在合适的时机上升到技术标准管制的“行业标准主导模式”,有助于多元治理的弹性展开,为建构“基础法律规范、行业通用标准、企业最佳实践”的治理架构提供可行的路径。
参考文献
(请向下滑动)
①参见齐爱民:《论个人信息的法律保护》,载《苏州大学学报(哲学社会科学版)》2005年第2期,第34-35页。
②王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,载《现代法学》2013年第4期,第70-71页。
③王利明:《论个人信息权在人格权法中的地位》,载《苏州大学学报(哲学社会科学版)》2012年第6期,第73页。
④前引①,齐爱民文,第35页。
⑤刘德良:《个人信息的财产权保护》,载《法学研究》2007年第3期,第91页。
⑥具有代表性的研究参见王泽鉴:《人格权的性质及构造:精神利益与财产利益的保护》,载《人大法律评论》2009年卷,法律出版社2009年版,第51页。
⑦前引②,王利明文,第70-71页。
⑧前引③,王利明文,第70、73页。
⑨李晓明:《私法的制度价值》,法律出版社2007年版,第125页。
⑩梁慧星:《民法总论》,法律出版社2011年版,第70页。
⑪《网络安全法》第二十二条第三款,第四十条至四十五条。
⑫中国青年政治学院互联网法治研究中心、封面智库:《中国个人信息安全和隐私保护报告》,
http://www.thecover.cn/news/158619,2016年12月20日访问。
⑬同上文。
⑭朱迎光等诉中国联合网络通信有限公司连云港分公司隐私权纠纷案,案号:(2014)连民终字第0006号;庞某诉趣拿公司、东方航空侵犯隐私权案,案号:(2015)海民初字第10634号。
⑮吴伟光:《大数据技术下个人数据信息私权保护论批判》,载《政治与法律》2016年第7期,第130-132页。
⑯任龙龙:《论同意不是个人信息处理的正当性基础》,载《政治与法律》2016年第1期,第128-130页。
⑰张新宝:《从隐私到个人信息: 利益再衡量的理论与制度安排》,载《中国法学》2015年第3期,第53页。
⑱欧盟委员会的《数据保护通用条例》的具体介绍可参见其官方网址:http://www.eugdpr.org/;对欧盟委员会的《数据保护通用条例》和美国《消费者隐私权利法案( 草案) 》的更详细介绍,可参见:范为:《大数据时代个人信息保护的路径重构》,载《环球法律评论》2016年第5期,第96-100页。
⑲关于直接责任失灵的原因分析,可参见Reinier H.Kraakman,Corporate Liability Strategies and the Costs of Legal Controls,93 Yale LawJournal 857 (1984)。另可参见高秦伟:《论行政法上的第三方义务》,载《华东政法大学学报》2014年第1期,第38页。
⑳唐清利:《公权与私权共治的法律机制》,载《中国社会科学》2016年第11期,第122-123页。
㉑高秦伟:《社会自我规制与行政法的任务》,载《中国法学》2015年第5期,第74页。
㉒前引⑳,唐清利文,第127-128页。
㉓杨炳霖:《回应性管制———以安全生产为例的管制法和社会学研究》,知识产权出版社2012 年版,第20 页。
㉔谭冰霖:《环境规制的反身法路向》,载《中外法学》2016年第6期,第1512页。
感谢作者对本公众号的授权
本文仅作学习交流之用
娄师白
往期荐读
编辑:钟柳依
欢迎点击“阅读原文”