“个人信息保护是全球共同面临的挑战。尤其在大数据时代,个人信息保护难度更大。大数据到底是阿里巴巴的宝库,还是潘多拉的魔盒?”在第五届世界互联网大会“大数据时代的个人信息保护”分论坛上,最高人民检察院检察长张军如此提问,他觉得,“这取决于我们如何认真应对、强化法治、谋求共治。”
随着现代信息技术的发展,大数据时代已经来临。个人信息作为重要的数据资源,其价值得到进一步挖掘和释放,但同时又极易成为犯罪分子非法获取和交易的对象,数据安全风险日益凸显。
“以浙江省检察机关办理的侵犯公民个人信息犯罪为例,2016年1月至今年9月,共受理移送审查起诉案件645件1973人,依法提起公诉421件1168人。”浙江省人民检察院检察长贾宇说,同类案件呈快速增长态势。
中国互联网络信息中心发布的第42次《中国互联网络发展状况统计报告》显示,2018年上半年,54%的中国网民在上网过程中遇到过网络安全问题,其中遭遇个人信息泄露问题占比最高,达28.5%。围绕个人信息的非法获取、出售,非法提供,非法利用,形成了非法产业链。
形势严峻。在大数据时代,如何有效保护个人信息安全成了一道必答题。
“顶层设计”仍需完善
目前,《民法总则》《刑法》《侵权责任法》《网络安全法》等对个人信息的收集、使用、保护以及侵害个人信息的处罚作了规定,奠定了我国个人信息保护的法律基础。
但是,“顶层设计”仍有完善的空间。目前,针对侵犯个人信息的行为,司法、执法人员对适用法律存在争议,案件处理认识不一。据贾宇介绍,“被收集者同意”往往作为侵犯公民个人信息权的违法阻却事由。但公民在网站上自行公开个人信息的行为,是否可被推定为同意他人收集使用?如果推定为同意,同意范围是否仅限于发布目的,收集使用者的行为目的、行为方式有无限定、如何限定?对这些问题的认识,在司法实务中还有分歧。
同时,重刑法轻民法现象较为明显,民事救济相对薄弱。个人信息权属于民事权利。民事权利受侵害时,民事救济应当是主要手段。但是,司法实践恰好相反,刑事保护在先,民事救济靠后。
“造成这一现象,既有网络时代个人信息侵权行为的隐蔽性、侵权者与被害人处境事实上不对等等原因,也有法律制度不完善导致司法认识不统一的主观原因。”贾宇认为,特别是对“个人信息权的民事权利属性是什么”这一问题,不同司法人员、不同司法机关有不同认识,这就决定了不同司法机关在保护范围、保护力度、证据要求等方面有不同做法,导致个人信息的民事司法保护与民众的期待还有差距。
另外,贾宇表示,检察机关的公益诉讼工作有待深化。按照法律规定,检察机关只能就生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让等四个领域提起行政公益诉讼,如果行政机关的行政违法行为或者不履行法定职责行为,不在此四个领域内,检察机关无权提起行政公益诉讼。
贾宇认为,公益诉讼是法律赋予检察机关的重要职责,在个人信息数据频受侵害的当下,检察机关应当有所作为。据了解,目前浙江省检察机关正在尝试对侵犯公民的个人信息进行电话骚扰、广告骚扰的公害行为采取检察建议,通过检察建议提起诉讼。“这是法律没有明确规定的,我们在尝试改革。”他说。
把握保护的“度”
最高人民检察院副检察长童建明指出,一方面,侵犯个人信息的行为如果情节严重、具有较大的社会危害性,就涉嫌构成侵犯个人信息犯罪,需要适用刑法认定和处罚;另一方面,侵犯个人信息的行为也是针对个人信息权的民事侵权行为,需要适用民事法律认定和调整。“这两方面的法律适用问题都涉及到立法的完善,都需要我们深入思考和研讨。”
大数据时代,不同主体对个人信息有不同利益,同一主体也有不同需求。就个人而言,公民对自己的信息具有强烈的保护诉求,但同时又离不开对他人信息的利用。就商业组织、信息行业从业者而言,既要求通过收集使用个人信息数据,创造更多商业价值和社会价值,也要求自身掌握的信息数据能够受到法律保护。就国家而言,更是兼具利用者、管理者、保护者的三重身份。
因此,如何体现各类主体利益诉求、实现共赢多赢,是个人信息立法必须首要解决的问题。
在健全基本法律方面,贾宇建议,要在《民法典》各分编中明确个人信息权的法律地位、权利属性以及个人信息的收集使用原则;要尽快制定《个人信息保护法》,推进个人信息的专门化、系统化保护。其次要分领域制定规章制度,在金融、通信、电子商务、教育、医疗卫生、传媒等重点领域制定个人信息保护行政法规、部门规章,形成既反映实际需要又整体统一的法律保护体系。同时要积极推进行业自律建设,引导重点行业、领军企业在国家法律框架内建立个人信息开发利用从业规则,充分发挥行业自律管理机制,节省社会公共管理成本。
另一方面,保护个人信息安全并不意味着放弃对数据的使用分析挖掘,个人信息数据只有充分流动、共享、交易,才能最大程度地发挥价值。贾宇认为,个人信息保护要有区分、有侧重。既要区分信息类型,将个人信息区分为敏感信息、重要信息与一般信息,并在保护态度、开发利用程度、侵权追责力度上有所不同。另一方面,要区分信息开发利用环节。收集和使用是个人信息开发利用的两个主要环节,“与信息收集相比,信息非法使用是目前个人信息遭受侵害的高发环节。从问题导向出发,区分信息的采集和使用,应将信息使用作为重点规制环节。”他说。
张军表示,相关法律法规需要结合现实、以问题为导向才能落到实处。在法律层面,我国保护个人信息的法律法规是齐全的,“关键就在制度的落实”。他说,现在由于刚刚进入大数据时代,法制正在健全,司法、执法人员对法律法规的规定、违法犯罪的具体手段都有一个熟悉的过程,所以个人信息保护暂时呈现出“道高一尺,魔高一丈”的情况,但他相信,用不了多久这种情况就会改变。