个人信息安全是一个涉及个人、社会和国家安全的重要问题。我国《民法总则》虽然确定了个人信息受法律保护,但是个人信息侵权救济保护还存在较大的制度空缺。
-------------------------------------
据中国互联网络信息中心的数据,截至2017年6月,中国网民规模已达7.51亿,占全球网民总数的1/5。互联网快速普及的同时,不时发生的用户信息泄露事件也引起了越来越多的关注。我国目前在网络安全、个人信息保护方面出台了哪些法律法规?还需要怎样完善以更好地保护个人信息安全?为此,记者采访了重庆大学国家网络空间安全与大数据法治战略研究院院长、法学院教授齐爱民。
个人信息侵权救济保护还存在较大的制度空缺
中国青年报:为什么会出现个人信息泄露的情况?
齐爱民:这些信息泄露事件,暴露出企业在用户个人信息安全保障方面存在不足。出现此类事件的原因主要有以下几个:第一,我国的个人信息保护制度尚不完善,相关规范散见于各类法律法规,体系化不足,对企业的约束力度不大;第二,在行业内尚未形成统一的个人信息保护规范,企业对用户个人信息安全的保护意识不强;第三,用户不重视网上行为,对个人信息的保护意识不强。
中国青年报:目前我国个人信息安全保护情况如何?
齐爱民:大数据时代,个人信息安全建设已经成为各国网络空间战略的重要组成部分。在我国,2015年《刑法修正案(九)》、2017年的网络安全法和《民法总则》、2018年《信息安全技术个人信息安全规范》的相继出台和实施,在一定程度上推进了我国个人信息安全的制度建设。总体而言,我国个人信息安全建设的水平与欧盟、美国等发达国家还有一定的差距,但我国在产业上的迅猛发展会持续推进网络安全制度的建构。
中国青年报:近年来我国在网络安全、个人信息保护方面出台的最新法律法规或政策有哪些?
齐爱民:我国近年来出台的网络安全法律规范,包括互联网信息内容管理、网络安全等级保护、关键信息基础设施建设、个人信息和重要数据保护以及网络产品和服务管理等方面。2016年实施的《国家网络空间安全战略》和2017年实施的《网络空间国际合作战略》对我国的网络安全建设做出了顶层设计,2017年网络安全法和《民法总则》加强了个人信息在私法领域的保护力度,2013年《信息安全技术公共及商用服务信息系统个人信息保护指南》以及2018年《信息安全技术个人信息安全规范》规范了企业在市场活动中的个人信息处理活动,并提出了明确的安全要求。
中国青年报:我国个人信息保护法律法规和制度建设还存在哪些不足?
齐爱民:目前我国基本形成了网络安全的制度体系,但在具体制度建设上仍然存在一些问题。具体表现在:
在刑事领域,其一,刑法未明晰单位和个人触犯个人信息安全犯罪的认定标准,因此在司法裁判中,出现责任主体认定不到位,可能会使个人和单位钻法律的“空子”;其二,处罚主体、处罚情节和处罚程度不明确,对犯罪主体进行民事处罚、行政处罚和刑事处罚时,仅模糊性规定“相关主管部门”“情节严重”“罚金区间”,为法律适用带来困境。
在民事领域,我国《民法总则》虽然确定了个人信息受法律保护,但是个人信息侵权救济保护还存在较大的制度空缺,主要表现为:个人信息概念法律界定范围不清,立法对个人信息收集的合法性、必要性缺乏可操作性认定标准,数据的权属不确定,个人信息被侵权后,缺乏统一的赔偿标准等。
企业应将保护用户隐私理念融入产品设计
中国青年报:目前对于企业擅自收集用户信息的行为有没有惩治的法律依据?
齐爱民:我国网络安全法已经实施一周年,围绕该法律的部门规章、国家标准也在加紧制定过程中。此外,《民法总则》《刑法修正案(九)》也提供了个人信息保护的制度依据。
从效果上看,我国互联网企业对于网络安全的重视程度有了很大的提升,数据泄露事件得到一定程度的遏制。但是企业过度收集个人信息的行为还大量存在,除了执法不严、企业自身对个人信息保护的重视程度不够之外,立法上对于收集信息原则的规定不够细以及学术研究上的空缺也是两个重要原因。
中国青年报:企业在保护个人信息安全方面做出了哪些改进?
齐爱民:第一,在技术层面,企业大多利用了数据加密和数据脱敏技术等多种隐私保护技术;第二,多数企业都发布了隐私政策,增加了用户对企业个人信息收集、存储、使用行为的知悉同意;第三,在管理层面,互联网企业通过数据访问权限、数据利用审计和用户反馈等方面对数据进行管理。
企业的这些行为一方面会推动个人信息保护行业规范的形成,另一方面对国家法律法规的出台也提供了实践性的参考,对个人的隐私保护意识提高也有一定的作用。
中国青年报:对于保障个人信息安全,您还有哪些建议?
齐爱民:从监管层面而言,应当加强对网络运营者合规义务的检查,督促企业提高网络安全保护水平。企业应当充分借鉴国际互联网企业的合规经验,建立涵盖技术、管理和法律全方位于一体的保护体系,将保护用户隐私的理念融入到产品设计之中。个人应当加强个人信息安全保护意识,遇到产品收集个人信息的行为,应在充分了解其使用目的后下载使用。对于数据泄露等行为,应当通过投诉、诉讼等途径进行维权。
中国青年报·中青在线记者 杜园春 实习生 陈子祎