3月4日,十三届全国人大二次会议新闻发言人张业遂表示,已将《个人信息保护法》的制定列入本届立法规划,争取早日出台。 《个人信息保护法》和每个人都密切相关,这部法律有什么特别之处,立法究竟难在哪里?
3月5日,百理君对话西安交通大学苏州信息安全法律研究中心主任、陕西法学会信息安全法学研究会会长马民虎教授。听听马教授怎么说。
百理君:对个人信息进行立法保护,重要性主要体现在哪些方面?
马民虎:由于网络应用和其他技术的发展,个人信息、个人数据被大量采集和使用。但行业应用中个人信息数据边界并不清晰,不少个人信息被企业收集了以后,被作为企业资产。以银行为例,由于其业务性质,需要对客户信息进行收集。但实践中有许多企业收集了个人信息后进行转让,甚至进入黑市交易,这就对个人隐私、个人权利产生了巨大威胁。而且就目前来看,这不是一个小范围的问题,现有法律法规对这种现象的规制,仍存在很多真空带。虽然有法律规定收集个人信息要征得信息主人的同意,且要进行匿名处理,但信息采集方若不按照规定执行,相关部门也缺乏管理方式与机制。数据治理的技术性太强了,即便按照传统管理方式进一步进行规定,也难免会存在执行难度大、约束力有限等问题。正因为目前单独依靠法律或单独依靠技术都不能全面保障个人信息及数据权利,所以需要来重新定位、重新立法,在保障信息处理各个环节的安全合规上都有一个新突破。
百理君:个人信息泄露的情况非常严重。在当前大数据、人工智能、5G技术、无人机、人脸识别、物联网等新技术飞速发展的背景下,获取个人信息也越来越方便,获取的信息数量越来越大,内容也越来越多、越来越细,个人信息的使用范围也越来越广。当前进行《个人信息保护法》立法,是否已经有些晚了?对于已经被获取的个人信息,在立法时应该如何规范使用和保护的问题?
马民虎:现在技术发展太快,应用发展也很快,无疑超出了立法预期。这是全球都在面临的问题,不仅是中国面临的问题。对于已进入黑市或者暗网的个人信息数据,目前已有法律规定不允许针对其进行交易,这已经提出并解决了一部分问题。另外一个关键问题是,企业对它拥有的数据到底享有什么样的权利感到困惑,而用户个人对被企业所占有的个人信息数据又享有什么样的权利也一样困惑。这些都是立法要重点解决的问题。如果这个问题解决不了,企业会认为我经营就是需要这些数据,比如人脸识别信息、个人位置信息等;但从用户角度来讲,你对我这些数据不当使用怎么办?用户应当有怎样的一种权利去了解、掌握、控制这些个人信息数据?用户应当怎样来主张自己的权利?这就需要从立法上采取一些新举措。
百理君:比如说?
马民虎:比如说,有一项新的技术或应用要使用,投入使用前要进行伦理、道德等评估,把相关内容也纳入到立法考虑范围。不然的话,想怎么做就会比较任性,法律就失灵了。这是一种思路。第二种思路是从技术本身来讲,对技术使用主体规定一些强制性的要求。比如有些国家规定在立法还没有完成、标准还不具备的情况下,企业必须要履行“积极性义务”,采取一些积极的防范措施,把风险防控尽量前移。现在一些互联网企业也有这样的意识,认为技术在对义务的保障、落实方面应当有所作为,否则规定都是空的。总而言之,现在不是立法太迟,而是技术发展太快,要对技术进行充分评估。
百理君:个人信息保护涉及技术、法律、社会等各个层面。在社会生活中,很多方面和环节都可能造成对个人信息的侵害,但即便是侵害行为发生并造成了损失,被侵害者也往往很难知晓自己的信息被谁收集,又被谁“出卖”。对这样的问题,在立法和执法中该如何解决?
马民虎:尽管说个人信息由自己控制,但在保护个人信息方面,个人还是处于弱势。很多情况下,个人信息在不经意间就被收集了。所以,这已经不是个人的问题,而是社会问题,需要从执法方面进行加强。对这种情况,需要执法手段有所突破,要用技术执法手段来发现企业是否侵犯个人信息。这就要求对执法行为也要采取特别的保护。现在执法面临的形式很严峻,不采取技术措施不能履行职责,采取了技术措施就有可能被认为是在监听。所以,执法也面临着一些难题。我认为,对于协助国家执法部门的技术团队、技术公司、技术个人,应当进行保护,这一点在立法上也要明确。由安全研究人员协助执法,从目前来看是比较有效,也是一种比较适应当前态势的办法。
百理君:有人说“如果法律没有牙,就是无效法律。”在即将制定的《个人信息保护法》中,对于侵犯个人信息的行为,有什么办法来认定实施了侵害,怎样识别侵害的程度,又有哪些手段来惩戒?
马民虎:只要加强执法,就会发现违法犯罪。只要能发现,就可以对违法犯罪行为进行取证,进而知道谁在违法,违法到什么程度,也就能进行相应的规范和惩治。这些后续的处置程序都不是主要的问题,关键是要能够及时发现违法行为。所以强化技术在执法中的作用,非常重要。
百理君:您觉得《个人信息保护法》立法,难点是什么?进入实施环节后,难点又可能会是什么?怎样才能避免?
马民虎:首先,要使得《个人信息保护法》能够“规定到位、执行到家”需要有另外一种思路,一味沿袭原来的思路肯定不行了。在这个问题上,世界范围内都没有可以直接借鉴的制度。因为在极短时间内,互联网企业的发展对社会的影响程度急剧加深,全世界都在摸索合适的治理模式或机制。目前企业掌握着大量的个人信息数据,且数据处理和解析技术发展迅速,个人信息保护形势严峻,亟待我们拿出新思路、新方案。
其次,我认为《个人信息保护法》立法最大的难点是决心。治理创新的决心不够坚决,就会使立法效果大打折扣。
最后,立法工作是全方位、高智慧的考量。不仅要有决心,还要有技巧,这就要综合考虑各方面的意见,要进行充分沟通和平衡。
总而言之,目前我国《个人信息保护法》的立法时机已经成熟了。尽管存在阻力,但看法是趋于一致的,即《个人信息保护法》及其相关法律法规的设计,不仅要考虑保护个人信息与隐私,也要考虑保护互联网企业的合规运营,因此会充分聆听各方的声音,平衡各种权益。最终做到捍卫国家利益、维护公民权益、保障企业权利。
【编辑、校对:华哥、黎明】
大家都在读