【摘要】大数据是推动社会发展的重要资源。通过对大数据的研究,行政主管部门可以制定更加有效的社会发展规划,企业可以制定更加科学的投资决策。但是,大数据时代个人信息的保护现状不容乐观,现有的保护个人信息的行政法规范不够完善,行政执法体系存在欠缺。本文通过对大数据时代个人信息保护困境的思考,探索个人信息保护的体系建设,以达到既要享受数字时代带来的便利又要保护个人信息安全的目的。
【关键词】个人信息;行政保护;大数据;保护困境
保护措施现代社会是数字时代,是大数据时代。科技日新月异,信息海量增长。由生产、生活、科学研究等各类信息转化而来的大数据把我们带进了数字时代。如何迎接数字时代?如何激活数据要素潜能?如何加强网络强国建设?国民经济和社会发展十四五规划明确提出,要打造数字经济新优势,加快数字社会建设步伐,提高数字政府建设水平,营造出良好的数字生态。在数字时代,如何取得大数据,如何保存大数据,如何利用大数据,都是需要深入研究的课题。但另一方面,如何保护大数据,特别是保护大数据中的个人信息,也成了需要迫切解决的难题。如何避免以利用大数据之名侵犯个人隐私,如何防止利用个人信息谋取私利甚至违法犯罪,都是各级行政管理部门不得不面对的阶段性难题。本文的写作目的就是思考在大数据背景下如何解决个人信息的行政法保护难题。
一、个人信息行政法保护的现状
信息时代也是大数据时代。麦肯锡全球研究所认为:大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合;大数据具有海量的数据规模、快速的数据流转、多样的数据类型和价值密度低等四大特征。大数据的来源、形成机制决定了大数据必然包括了大量的个人信息。对于个人信息的定义,《电信和互联网用户个人信息保护规定》第4条和《网络安全法》第76条均有专门规定。二者虽有差异,但都是指以电子形式保存的公民姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等公民个人身份信息。信息时代,公民通过网络订机票、订车票、订酒店方便了出行,通过网络购物丰富了生活。网络带来了便利,也产生了隐患。“大数据时代没有个人隐私”似乎正在成为现实。非法获取、披露、出售公民身份证信息、户籍信息、住宿记录、征信记录等个人信息的事件层出不穷。最近闹得沸沸扬扬的特斯拉侵犯隐私事件再次引起了个人信息保护的讨论热潮。在客户购买的特斯拉媒体控制单元(MCU)中,竟然发现了大量原车主的个人信息,不仅包括了住所、工作地点,甚至还包括了WIFI密码和网站的COOKIE信息,让人不寒而栗。更为严重的是,个别不法人员利用个人信息实施各种刑事犯罪,典型如2016年山东临沂的徐玉玉事件。已考上南京邮电大学的毕业生徐玉玉,被犯罪嫌疑人陈文辉、郑贤聪、黄进春等人诈骗学费9900元,伤心欲绝,郁结于心,最终导致心脏骤停,不幸离世,年仅18岁。经查,包括徐玉玉在内的五万余名山东省2016年高考考生的个人信息在网络上被到处兜售。面对个人信息被严重侵犯的现状,虽然各级行政机关加强了监管,公安机关加大了打击力度,最高人民法院和最高人民检察院也颁布了一系列典型案例,但通过网络侵犯个人信息的民事侵权行为、行政违法行为、刑事犯罪行为仍然呈现出愈演愈烈之势。在大数据背景下如何实现对个人信息的保护,显得越来越重要,越来越急迫。
二、个人信息行政保护的困境
2.1现有的个人信息法律保护体系
个人信息的保护有赖于法律体系的建立和完善。个人信息保护分为民法保护、行政法保护和刑法保护。三大部门法一起构筑起了个人信息保护的法网。《民法总则》颁布实施前,我国缺乏保护个人信息的民法规范。《民法总则》第111条明确规定:“自然人的个人信息受法律保护”。该规定第一次将个人信息纳入到民法保护之中。但截至目前,除了该项原则性规定以外,尚无特殊规定或补充规定。2009年《刑法修正案七》规定了出售、非法提供个人信息罪和非法获取个人信息罪,首次将个人信息纳入了刑法保护。2015年的《刑法修正案九》将两罪整合为侵犯公民个人信息罪。2017年,最高人民法院、最高人民检察院颁布了《关于办理侵犯个人信息刑事案件适用法律若干问题的解释》,明确了罪与非罪、此罪与彼罪、罪轻与罪重的界限,完善个人信息的刑法保护。2012年的《关于加强网络信息保护的决定》,提出“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,首次将个人信息纳入法律保护。2016年颁的《网络安全法》,对个人信息的定义、范围、保护方法都进行了相对详细的规定,属于个人信息保护的基本法律规范。此外,国家网信办、工信部市场监管总局等主管部门先后颁布了《规范互联网信息服务市场秩序若干规定》、《电信和互联网用户个人信息保护规定》、《儿童个人信息网络保护规定》、《网络交易监督管理办法》等规章。这些规章和《网络安全法》、《电子商务法》等法律一起构筑了个人信息行政法保护的基本框架。
2.2个人信息行政立法的不足
现有的行政法体系,虽然初步建立了个人信息的行政法保护体系,但是有明显的不足,无法建立起完整的、有效的个人信息保护的护城河。首先,行政法保护范围过窄,不利于完整保护个人信息。不论是《网络安全法》还是《电信和互联网用户个人信息保护规定》,个人信息行政法保护的范围都局限在公民身份识别信息,而不包括公民活动信息。公民身份信息指公民的姓名、公民身份号码、联系电话、银行帐号等单独或者结合以识别公民身份的静态信息。公民活动信息指公民住宿记录、通话记录、航班记录、高铁记录等反映公民行踪轨迹的动态信息。公民身份信息固然重要,但公民活动信息也不容忽视。公民,特别是具有特殊身份的公民(如特殊岗位的军人、国家机关工作人员、科研究院所研究人员),其活动信息不仅可能反映公民的个人隐私,还可能反映公民的特殊工作、特殊岗位,甚至关系到商业秘密、国家秘密。但现有的行政法规范未涉及个人活动信息的保护问题。反观个人信息的刑法保护,《关于办理侵犯个人信息刑事案件适用法律若干问题的解释》就明确将公民活动信息纳入到刑法保护中。如果个人信息的行政法保护范围不包括公民活动信息,既不利于完整保护公民合法权益,也不利于行政法保护和刑法保护的合理衔接。其次,个人信息的行政法保护体系不完善。网络空间是虚拟空间,但却不是法外空间。现有的法律、法规、规章,不能满足个人信息安全的保护需求。对于网络诈骗、电信诈骗、跨境赌博,现有的行政法保护体系无能为力。
三、个人信息行政法保护的思考
《网络安全法》第一条开宗明义,将网络安全上升到了网络空间主权的高度。网络安全既包括网络运营安全,也包括网络信息安全。个人信息安全是网络信息安全的重要组成部分,重要性不容忽视。但现有的个人信息安全的行政法保护体系不尽如人意,不能做到未雨绸缪,建议予以完善。其一,建议制定《个人信息安全法》,将公民活动信息纳入保护范围,建立完整的个人信息行政法保护体系。《网络安全法》、《电信和互联网用户个人信息保护规定》和《儿童个人信息网络保护规定》虽然对个人信息的保护作出了规定,但保护的深度和广度均有欠缺。如果由全国人大常委会制定《个人信息安全法》,将公民的身份信息、活动信息一体纳入保护范围,将包括网络运营者、网络服务提供者、平台经营者、平台内经营者等在内的网络相关方一体纳入管理范围,将电信主管部门、治安管理部门、市场监管部门一并列入主管部门并赋予相应职权,就可以完善个人信息的行政法保护体系。其二,建议在《治安管理处罚法》中增加侵犯个人信息的处罚规定。《网络安全法》规定了公安机关保护个人信息的行政职责,但却未充分赋予公安机关相应的行政职权。《治安管理处罚法》没有任何与侵犯个人信息有关的规定。公安部截至目前也未制定任何与侵犯个人信息有关的规章。法律法规的缺位,导致公安机关缺乏对侵犯个人信息的行为作出行政处理的依据,对于轻微违法行为无法履行职责。其三,建议对个人信息实施分类管理。公民通过网络订机票、订车票、订酒店、购物,都不得不提供姓名、住址、电话等个人信息。如果不提供个人信息,则无法享受到网络带给的便利。可是过度提供个人信息,又会损害公民合法权益。个人信息的度如何把握?如何监管?实属困难。为此,建议对个人信息实施分类管理。通过立法将个人信息分为基本信息和详细信息。基本信息只包括姓名、性别、住址和电话号码,而不包括其他任何信息。对于基本信息,允许网络服务提供者在征得公民同意后予以收集和利用。除基本信息以外的个人信息均属详细信息。对于详细信息,未经许可,一律不得收集、保存和使用。其四,建立收集、利用个人信息的行政许可和年审制度。任何个人都不得向不特定的人收集个人信息。任何单位拟收集公民详细信息的,必须取得行政许可。未取得行政许可的,不得收集。取得行政许可的条件是:设立保密岗位,落实网络安全负责人,建立保密制度,接受保密培训。取得行政许可后,行政主管部门每一年或者每两年进行定期检查和年审。年审合格的,继续授予行政许可;年审不合格的,取消行政许可。其五,对于为储存公民详细信息的单位,建立行政许可和年审制度。《网络安全法》第37条规定:关键信息基础设施的运营者在中华人民共和国境外内运营中收集和产生的个人信息和重要数据应当在境内存储。该项规定将个人信息的保护上升到了国家网络空间主权的高度。服务器存储的个人信息的数量、质量都和一般单位不可同日而语。如果发生泄密事件,有可能会为国家、公民带来毁灭性灾难。为了保证公民的详细信息不被滥用,甚至为境外反对势力所利用,建立个人详细信息存储的行政许可和年审制度。任何单位未经许可,不能存储公民详细信息。所有的公民详细信息应当存储在指定的服务器内。对于提供存储服务的单位,设立行政许可和年审制度。存储单位除满足收集、利用公民详细信息的单位条件以外,还应当满足设立时间、经营情况、服务器数量、人员配置等更为严格的条件。甚至不排除采取特许制度,将全国公民个人信息的存储服务指定由国务院指定的单位实施,以杜绝隐患。
四、结束语
本文认为需要在大数据背景下思考如何提高个人信息行政法保护的深度和广度,立足网络空间主权提高各级行政机关的认识,围绕有法可依完善行政法保护体系,依靠制度设计建立个人信息保护的铜墙铁壁,防范个人信息被滥用和盗用,保护公民的隐私权,维护公民的合法权益,保障国家网络空间主权。
参考文献
[1]王韵棠.大数据时代个人信息的行政法保护困境与路径选择研究[J].环渤海经济瞭望,2020,30(01):114-115.
[2]鲁冰婉.大数据背景下域外信息隐私权的困境及应对——以个人信息控制为切入点[J].情报杂志,2020,39(12):92-99.
[3]李庆锋.大数据时代背景下的个人信息法律保护——评《大数据时代个人信息保护研究》[J].中国科技论文,2019,14(08):127-129.
[4]张启飞,虞纯纯.大数据背景下侵犯个人信息罪的司法认定——以温州市瓯海区检察院办理的案件为分析样本[J].黑龙江社会科学,2019,17(02):106-111.
作者:周兴永 单位:四川琴台律师事务所