CAICT观点∣马志刚:保护我国网络个人信息的意见和建议
当前,我国亟需依据《全国人大常委会关于加强网络信息保护的决定》,综合采取战略、政策、法律等多种工具,构建起包括法律、行政、技术、行业、社会等在内的网络个人信息安全保护体系,加大网络个人信息的安全保护力度,营造健康环保的网络业务生态运营体系。
(一)推进法律保护基本实践,构建立法、执法、司法三位一体的法律框架体系
一是在立法方面,我国应当借鉴国际立法成例,按照一般法和专门法并行的逻辑体例,制定个人信息保护的一般法,针对重点行业制定个人信息保护的专门法。当前,尤其要依据《全国人大常委会关于加强网络信息保护的决定》,尽快制定国务院行政法规级别的《网络个人信息安全保护条例》,规定各类在线离线个人信息保护的基本原则,明确个人信息权利、隐私权利的类型,强化个人信息的行政保护、第三方保护和司法保护,有效规范各行各业的个人信息保护行为。
二是在执法方面,应当尽快完善行政保护执法体制,在国家和部委层面分别指定或设立网络个人信息安全保护的专门行政机关;完善行政保护机制,引入个人信息处理的行政审批、行政登记和行政申告制度;完善行政保护措施,引入行政评估、行政调查、行政听证、强制陈述、行政停止令、行政禁止令、行政处罚令以及其他行政措施,建立行政评估和第三方行业评估之间的协调和工作对接;设立重大侵权事件的市场清退机制,有效净化个人信息的社会保护环境。
三是在司法方面,通过立法修订将网络个人信息侵权案件纳入各级人民法院的民事受案范围,试点在各级人民法院民事、行政审判组织中设立个人信息专业审判法庭,建立个人信息的司法保全制度、司法确权制度、司法定损机制、司法取证制度、证据保全和证据鉴定制度和民事赔偿制度,不断强化个人信息保护的民事和刑事司法制度;引入司法追诉的行政建议程序,个人信息安全保护专门行政机关针对网络个人信息侵权案件作出的行政处理决定可以作为司法裁判的证据使用,并且有权对司法赔偿的具体额度提出行政意见和建议;加强国家司法协助和司法合作,不断提升网络个人信息保护的国际司法协作水平。
(二)设立专门保护行政机关,构建执行有力的行政保护组织实施体系
一是在电信和互联网行业初步建立网络个人信息行政保护框架体系。在工业和信息化部内部指定或设立专事网络个人信息安全行政保护的业务司局,负责起草、制定电信互联网行业网络个人信息安全保护的国家标准和行业标准,在电信互联网行业执行网络个人信息安全保护的部门规章和标准规范,针对电信互联网行业组织开展网络个人信息安全保护的基本管理制度和基本行政实践框架。
二是实现全国个人信息安全保护的统一行政执法。在电信互联网行业网络个人信息安全保护的成功经验基础上,在国家层面指定或设立个人信息安全保护的专门行政机关,将分散在各行各业的网络个人信息安全保护职能集中到新设的国家级专门保护行政机关统一行使,面向全国范围内个人信息提供统一的行政保护。
三是建立完善的个人信息行政保护框架体系。按照轻缓有别、先易后难、循序渐进、分类实施的原则,区分不同行业企业,通过设立国家部委等多个层面网络个人信息安全保护专门行政机关,构建起包括信息处理行政许可制、行政登记制、行政申告制等在内的网络个人信息安全保护行政管理基本制度,以及行政评估、行政调查、行政听证、行政投诉、强制陈述、行政警告令、行政停止令、行政禁止令、行政处罚、行政救济、行政联动处置等在内的行政实践基本框架,最终建设完成执行有力的网络个人信息行政保护组织实施体系。
(三)启动技术基础建设,构建国际接轨的第三方认证服务体系
一是加强基础保护技术的研发和推广应用。加强高准确度、高性能分布式内容识别和关联分析技术的研发和技术攻关力度,大力推广业务系统防攻击防入侵通用保护技术的普及和应用;组织开展针对云计算、大数据、移动互联网、物联网、穿戴互联、深度学习、量子计算、人工神经网络系统等关键技术领域网络个人信息安全保护专用技术和管理措施的科研攻关活动,大力引入并推广匿名技术、数据泄露保护模型技术等业已成熟的网络个人信息安全保护专用技术。
二是加强基础保护技术体系的建设和实施。系统制定并组织实施适用于网络个人信息安全保护的各种国家标准、行业标准和企业标准规范指南,明确网络个人信息的保护范畴、保护类型、保护级别、具体的技术保护要求和管理要求,构建完善有序的网络个人信息安全保护技术标准规范指南体系;加强网络空间可信身份管理体系的战略规划和政策引导,构建适合我国行业企业实际需求的网络空间身份生态系统,在信息主体、数据加工处理主体和数据交换流通主体之间构建安全可靠的信任生态模型框架;试点建设国家级、企业及等不同级别的网络个人信息安全保护仿真测试、验证试验、态势感知、监控预警和测评认证平台,逐渐形成安全可信的网络个人信息安全保护技术环境。
三是构建国际接轨的第三方认证服务体系。通过国家战略、政策和法律等多种工具,鼓励有条件的第三方技术服务机构开展针对境内境外网络个人信息安全保护状况的可信验证和评估认证活动,形成一批资信优良、技术实力强大、国际国内声誉良好且具有较强行业竞争能力的网络个人信息安全保护第三方评估认证机构;针对大数据、云计算、物联网、移动互联网、穿戴互联、深度学习、量子计算、人工神经网络系统等关键技术领域,启动建设适应不同技术要求的评估认证标准规范和操作流程,建设覆盖各个流通部门、环节和领域的网络个人信息安全保护第三方评估认证服务体系;建设第三方实验验证平台,引入可信安全生态验证体系,针对电信互联网新型关键领域,实施基于安全测试和评估认证的网络个人信息可信验证活动,针对多业务领域开展多线程并行并进的网络个人信息安全保护测试和认证;以行政评议和第三方评估为基础,建立数据跨境流动的行政干预限制制度和特别审查制度,由专门认证机构针对境外组织、机构或其他国家进行个人信息保护状态的评估和评级活动,按照评级决定我国个人信息是否允许流向该境外组织、机构和其他国家;结合我国国情,制定适用于数据跨境流动的多边双边认证规则,研究将国际社会广泛引用的安全港(safe harber)认证规则、公司绑定规则(BCR)、标准合同范本(Model Contracts)、《APEC跨境隐私规则体系(CBPR)》等国际法律框架纳入我国的数据跨境流动安全认证活动,建起与国际社会接轨的数据跨境流动安全认证服务体系。
(四)纳入行业自律规范,构建协同有序的集体行动组织实施框架
一是以立法形式,构建适用于不同对象的网络个人信息安全保护责任体系。包括针对信息处理人本人、单位、直接负责人员、上级主管部门或监管部门、信息安全保护专门行政机关、行业自律组织及其工作人员等不同社会主体,构建包括民事责任、行政责任、刑事责任等不同责任形式在内的多元责任追诉体系。
二是以通信行业协会、互联网行业协会等行业自律组织为主体,在电信互联网行业率先开展网络个人信息安全保护的行业自律活动。具体负责制定发布网络个人信息安全保护的行业规范指南,提出针对网络个人信息安全保护行政管理制度、行政实践框架方面的意见和建议,组织开展针对网络个人信息安全保护的通用专用保护技术研发和推广应用,参与或指导第三方评估认证机构开展针对电信互联网行业网络个人信息安全保护状况的第三方评估认证活动,组织开展针对电信互联网行业相关从业人员网络个人信息安全保护的宣传教育和职业培训等活动。
三是设立或指定专事网络个人信息安全保护的行业自律组织。通过发布网络个人信息安全保护方面的行业自律规范、组织签署网络个人信息安全保护方面的自律公约、开展针对网络个人信息安全保护状况的行业告诫和褒扬、发布网络个人信息安全保护的优秀清单等多种方式,督促行业企业做好网络个人信息安全保护方面的自我约束工作。
四是号召并鼓励行业企业组织制定并实施完善的网络个人信息安全保护自律政策。包括明确企业各层级、各部门工作人员对网络个人信息安全保护的具体责任和义务;按照技术优先的原则采用安全可信的网络个人信息安全保护通用专用保护技术;面向社会公开发布非绑架隐私政策承诺,委托第三方评估认证机构对自己网络个人信息安全保护状况进行评估认证;定期不定期组织开展网络个人信息安全保护的宣传教育和内部培训活动,提高内部网络个人信息安全保护意识。
(五)号召社会意识觉醒,构建善待网络个人信息的社会文化环境
一是引入媒体和社会舆论监督机制,通过网络个人信息安全保护最佳实践经验和规范指引的宣传和推广等活动,大力开展针对网络个人信息安全保护的社会宣传和舆论监督活动。
二是将网络个人信息安全保护纳入国家安全文化建设项目,通过第三方评估认证机构实施针对网络个人信息安全保护状况的告警和预防指导等活动,建起网络个人信息安全保护的社会文化氛围。
三是将网络个人信息安全保护纳入国民教育系列,在大中专以上学校的正规课程中列入网络个人信息安全保护的相关内容,实施网络个人信息安全保护的职业技能培训,提高劳动者网络个人信息安全保护的执业水平。