保护网络个人信息安全
数据泄露已成当今社会一个普遍性问题。近年来,公安机关对侵犯公民个人信息犯罪持续保持严打高压态势,有力震慑了犯罪分子,这类犯罪也开始有计划地向境外转移。2018年,武汉市警方曾接到某网络公司报案,称网站服务器里保存的30万条用户资料信息被挂在境外网站上公开叫卖。因而,此次《个人信息出境安全评估办法(征求意见稿)》就是希望通过规范性文件,来加强对于“看不见领域”的个人信息的保护。
2017年4月11日,国家互联网信息办公室曾发布《个人信息和重要数据出境安全评估办法(征求意见稿)》,其中第十七条就对“网络运营者”和“数据出境”给出明确的定义:网络运营者,是指网络的所有者、管理者和网络服务提供者;数据出境,是指网络运营者将在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提供给位于境外的机构、组织、个人。
东华大学法律系教师桂祥通过比较发现,国家网信办本次发布的《办法》较2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》等规范性文件呈现出较多变化,比如:所有涉及个人信息出境的都需要报请相应的网信部门进行安全评估,而非特定种类信息才需要报请安全评估;对个人信息中的一般个人信息和个人敏感信息进行进一步区分,明确了不同的监管手段;通过规定网络运营者应当提供的材料、监管机构重点评估内容,以及网络运营者与个人信息接受者合同具体内容,细化了个人信息出境安全评估的具体方式;设立了网络运营者“先行赔付”制度,加强了对境外接受者的监督,使得个人信息保护工作可以落到实处。
从法规上先把漏洞填掉
在上海市政协委员、上海《理财周刊》社副总编辑黄罗维看来,现在一些海外非法金融交易网站往往拥有大量的境内投资者的信息,而这些信息的详细程度已经不是仅仅通过一些木马盗取。“《办法》就是从法规上先把漏洞填掉,至少在发生问题的时候,可以了解到究竟是通过哪个渠道泄露出去的。”
上海市政协委员、上海里格律师事务所主任安翊青认为,这份意见稿整体上进一步加强了对于个人信息出境的监管和保护,不仅要求网络运营者在个人信息出境前向省级网信部门申报进行安全评估,还要求网络运营者在每年12月31日前将本年度个人信息出境情况、合同履行情况等报所在地省级网信部门,再配套省级网信部门的定期检查机制,可谓是实现了事前、事中、事后全方位监管,将有利于保护中国境内网络用户个人信息的安全。针对一些网友的担心,安翊青表示,像有些提出“在外国登录微博、微信是不是要报备”这种事,根本就不是这个《办法》里说的“个人信息出境”,有些担心是没有必要的。
在桂祥看来,《办法》在以下几方面还可以进一步加强:第一,加强国际合作,争取参与未来跨境数据转移国际规则的制定;第二,强化监管和执法力度,保证个人信息出境安全评估能落实到位;第三,完善纠纷解决机制,并设立相应的专项基金,在网络运营者不进行先行赔付的情况下对个人信息主体进行救济。
个人信息保护任重道远
桂祥之前承担过上海市人大立法研究所《上海市个人信息保护立法研究》课题,以及上海市人大财经委《上海市社会信用体系立法研究》课题的研究。他说,上海市面临较为紧迫的个人信息保护立法需求,我们应该在借鉴域外经验的同时,更加切实地根据本市个人信息保护工作的实际,制定相应的个人信息保护地方性法规。在个人信息越来越成为重要社会资源的大数据、云计算的发展背景下,原有的个人信息保护原则也应当进行一定的调整。
安翊青表示,目前学界普遍认为,个人信息的范畴要大于个人隐私的范畴,但也有学者认为,个人信息的处理是否给用户带来隐私风险的原因,并非来自其是否构成个人信息,而是在具体场景中被如何使用及是否符合用户在相应场景中的合理期待,换言之,信息性质的判断远非目的,信息处理行为的隐私风险方为衡量机构责任的最终标准。因此,应舍弃探寻个人信息精准定义的路径,转而将关注中心由信息收集阶段转向信息利用阶段,即评估信息在具体场景中的使用引发的隐私风险。
在黄罗维看来,用户有权了解并获悉与其隐私有关的信息,在用户能充分理解信息隐私权风险并能实施个人控制的情况下,企业应当向用户明确解释其收集何种信息、为何收集该信息、如何使用该信息,以及是否与第三方分享该信息、如何分享、又是处于何种目的等,这样才能算是真正的信息保护。“我觉得《个人信息出境安全评估办法(征求意见稿)》开了一个好头,我希望今后在其他个人信息保护的法律法规中,这一原则也能够充分显现。”黄罗维说。
在大数据时代,个人信息保护的重要性不言而喻,但是个人信息在大数据时代不仅仅体现为个人控制的资源,更具有社会资源属性。因此对所有个人信息都以统一标准进行保护可能会产生抑制个人信息利用、提高市场交易成本的不利影响。而对个人信息采用分级分类的保护模式,可以较好的避免“一刀切”带来的失衡,实现互联网发展与个人权利的平衡。首席记者 方翔
