我国个人信息保护的政府监管模式探析Word文档下载推荐.docx
《我国个人信息保护的政府监管模式探析Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《我国个人信息保护的政府监管模式探析Word文档下载推荐.docx(9页珍藏版)》请在冰豆网上搜索。
过去,在网络空间安全保护方面,我国主要是通过技术管制、互联网行业自律和刑法保护。
近年来,我国对个人信息保护则是通过立法和政府监管双管齐下,这种迫切的保护态度是有其特殊的社会背景的。
(一)推行网络实名制的需求
《网络安全法》以法律的形式确立了网络实名制。
网络实名制推动了大数据的发展,其强大的价值潜力,刺激了不法分子对个人信息的收集、存储和运用的欲望。
可以说,网络实名制加剧了用户和网络服务提供者在个人信息收集、存储和使用方面的信息不对称。
因此加强个人信息保护是网络实名制推行的安全保障和基础建设,只有加强个人信息保护,才能增加社会对网络安全的信任度,为实名制开辟绿色通道。
(二)应对个人信息侵权的纵深化
由于加强个人信息保护不能给相关公司和机构带来实质的经济利益,因此它们缺乏提高个人信息安全性的主动性。
同时,信息利益的凸显导致市场对个人信息需求的增长,相关专业机构应运而生,相关侵权主体逐渐机构化。
从公安部门查办的案件情况看,个人信息泄露主要是通过恶意捆绑、钓鱼软件、cookies追踪、服务器黑客入侵和行内人士利用职务便利窃取等非法行为发生。
有些案件甚至牵涉一些政府和行业机构,行政力量参与侵权行为具有更高的社会危害性并导致监管困难。
在技术层面,虽然有数据发布匿名保护技术、社交网络匿名保护技术、用户认证技术等作为网络安全保护的基础设施,但仅仅依靠技术手段保护用户隐私是远远不够的。
[1]
(三)弥补《网络安全法》的不足
《网络安全法》第44条规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息,即在一定情形下,信息的交易是合法的,这虽然为我国的大数据产业的发展亮起了绿灯,也为违法行为的界定留下了难题。
显然,在这个问题上,《网络安全法》并没有给出具体的、可操作性强的答案。
例如《网络安全法》第40条没有对健全的用户信息保护制度的基本框架加以具体化,只是提出这一笼统的概念。
此外,该法第41条并没有以“合法、正当和必要”三大基本原则做具体解释,在允许法官自由裁量的同时也增加了用户维权的取证难度。
例如实践中,契约自由、网民协议、行业惯例和商业价值等均难以确定是否能作为行为方的抗辩事由。
[2]信息道德(InformationMorality)作为规范人们相互关系的思想观念和行为准则,[3]政府应当以法律的形式对此加以具体指导,不仅要告诉人们何为错和为何错,也要明确在复杂情况下对错之间的判别标准,以便主体在实施行为时形成对自身行为合法与否的内心确信。
[4]
二政府行政监管的重要性
(一)民法及刑法保护的不足
提倡政府在个人信息保护领域的监管作用,不仅是因为信息交易已经市场化和平台化,也是出于对其他保护方式不足的考虑。
网络信息安全事故的难以溯源性以及政府对事中和事后监管的忽视,导致行政执法难以通过问责机制对相关责任人追责,网络侵权行为最终难以进入法庭。
[5]首先,在民事保护方面,一旦发生侵权事实,网络信息安全领域的专业技术性容易造成对侵权行为的取证困难,格式条款内的例外条款和免责条款均会对用户胜诉造成阻碍。
民事处罚具有“事后性”,并且具体处罚需要根据“所受损失”来确定。
而实践中,用户往往都不知道自己被侵权的事实,更难以举证证明行为人的过错和损害结果等侵权要件。
其次,在刑事保护领域,虽然《刑法修正案(九)》为进一步加强对公民个人信息的保护,扩大公民个人信息犯罪主体的范围,同时,增加规定出售或者非法提供公民个人信息是犯罪,但解决个人信息安全问题不能仅局限于对个案和特案的惩治,而应该将其视为系统化、社会化的工程加以监管。
最后,网络信息安全受众广、传播快,一旦遭到破坏、丧失功能或者数据泄露,则危害巨大,源头管控是保护网络信息安全的明智选择。
行政监管能够从上至下地对企业进行全程监管,发挥政府监管主动性,在源头管控上具有民法和刑法保护所不具有的优势。
(二)国外以政府监管为核心的保护经验
综观美国以及欧盟的法律实践,私法领域对个人信息保护的有限性日益显现,公权力对网络领域介入的有效性和可行性日益受到重视。
出于对市场自由竞争的保护,美国奉行政策引导下行业自律的保护主义。
然而,由于行业自律模式自身的缺陷,例如强制性较低、辐射范围有限、缺乏法律依据等,美国网络隐私侵权问题难以得到实质性解决。
在对1998~2000年行业自律的实施情况进行连续三年的监控之后,美国联邦贸易委员会(FTC)失望地发现近80%的网络服务商并不会在收集、使用和传输个人信息时遵守政府提出的行业自律建议。
[6]随后,美国个人信息保护战略逐渐转向依靠政府发挥作用。
2000年《政府信息安全改革法》的出台,全面确定了联邦政府部门在网络信息安全方面的保护责任,建立了联邦政府部门信息安全监督机制。
[7]2012年奥巴马政府颁布的《消费者隐私权保护框架》进一步要求由联邦政府牵头,由FTC负责,加强网络时代消费者个人数据保护。
相较于美国,欧盟主要通过制定严格而丰富的法律法规对网络信息安全提供保护。
1995年《欧盟数据保护令》是欧盟数据保护领域最为重要的立法,其中确立了个人信息数据向第三国传输所需要满足的“充分保护”标准,该标准为美国互联网企业在欧洲的商业发展设置了标准壁垒。
经过协商,2000年美欧达成《安全港协定》,该协议与其说是美国行业自律机制向欧盟的妥协,不如说是欧洲严苛的法律规制模式的让步。
自从斯诺登事件和Schrems案发生后,欧盟法庭于2015年判定充斥着美国行业自律模式的安全港协议无法对欧洲公民的个人信息数据提供充分保护,并将其废止。
取而代之的《隐私盾协议》要求美国设立独立于国安局的个人信息监管专员,规定了更加严厉的事后处罚措施,强调政府主动监管的作用。
[8]2015年通过的《欧盟数据保护通用条例》第六章规定,欧盟每个成员国应当设立至少一个独立的监督机关,并由该机关监管基本条例在各国的实施情况。
展望未来,笔者认为欧盟将继续通过立法规范和行政监管对抗行业自律的弊端,以达到其对个人信息保护的高要求。
三现阶段我国政府的监管现状
(一)法律依据
过去,我国网络安全领域的立法强调对网络犯罪和有害信息的管制,强调国家安全和网络环境治安,具体来说网络犯罪主要是利用计算机从事欺诈、危害国家安全、泄露国家秘密、传播淫秽色情信息和散播谣言等违法行为。
近年来,个人信息的保护成为我国网络安全领域的立法重点,尤其体现在2016年以来发布的诸多立法成果中。
在法律层面上,《刑法修正案(九)》规定了拒不履行信息网络安全管理义务罪。
2017年5月9日上午,最高人民法院与最高人民检察院联合召开新闻发布会,发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对个人信息保护领域的刑事犯罪行为的构成要件和定罪量刑依据的认定做了司法解释。
在私法领域,2017年3月15日,十二届全国人大五次会议表决通过了《民法总则》,该法第一百一十一条规定,“自然人的个人信息受法律保护。
任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。
这是我国民事基本法对个人信息保护的首次确认,具有里程碑式的意义。
2016年出台的《网络安全法》更是用第四章部分对网络信息安全做出单独规定,为个人信息保护翻开了新篇章。
在行政法规层面上,国务院的相关立法活动重点针对网络环境治安和防止网络犯罪,对个人信息保护的专门规定只见零星条款。
2011年初国务院发布的《计算机信息网络国际联网安全保护管理办法(2011修订)》和《互联网信息服务管理办法(2011修订)》均未对个人信息保护做出特别规定。
《电信条例(2016修订)》第五十七条规定了任何组织或者个人不得实施危害电信网络安全和信息安全的行为,包括“利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动”,也只是浅谈辄止。
在部门规章层面上,主要体现在中共中央网络安全和信息化领导小组办公室发布的相关指南和规定,其中许多文件是紧随《网络安全法》的出台和实施而做出的细化规范。
2016年6月国家网信办发布了《移动互联网应用程序信息服务管理规定》,旨在加强对移动互联网应用程序(App)信息服务的管理,明确提出保障用户的知情权和选择权。
2017年以来,国家网信办发布了四项部门规章:
《网络空间国际合作战略》、《网络产品和服务安全审查办法(试行)》、《互联网信息内容管理行政执法程序规定》和《互联网新闻信息服务管理规定(2017)》。
其中,2017年6月1日施行的《互联网新闻信息服务管理规定(2017)》把公民和法人合法权益的保护作为重点内容之一,不仅确定了对个人信息保护的要求,而且明确规定互联网新闻信息服务提供者对用户身份信息和日志信息负有保密的义务,不得泄露、篡改、毁损,不得出售或非法向他人提供。
上述《规定》第六条将“有健全的信息安全管理制度和安全可控的技术保障措施”作为申请互联网新闻信息服务许可的必要条件;
第8条规定互联网新闻信息服务提供者的采编业务和经营业务应当分开,非公有资本不得介入互联网新闻信息采编业务。
《互联网信息内容管理行政执法程序规定》则根据《国务院关于授权国家互联网信息办公室负责互联网信息内容管理工作的通知》对国家互联网信息办公室和地方互联网信息办公室执法工作的管辖、立案、调查取证、听证、约谈等程序性内容做具体规定。
在地方性法规层面上,对个人信息保护的规定主要集中在各省区市的邮政条例和计算机信息系统安全保护条例。
例如2016年9月发布的《新疆维吾尔自治区电话和互联网用户真实身份信息登记管理条例》第十六条规定:
“电信业务经营者和互联网服务提供者及其代理商,应当建立用户信息登记保密制度,确保用户信息安全,不得将用户信息转让、泄露、篡改、毁损或者提供给他人使用,也不得用于其他方面(法律法规另有规定的除外)”。
第十七条规定:
“发生信息安全事件造成或者可能造成用户信息泄露的,电信业务经营者和互联网服务提供者及其代理商应当立即采取补救措施;
造成或者可能造成严重后果的,应当立即报告主管部门,并配合相关部门进行调查处理。
”2016年8月发布的《南京市邮政条例》第三十七条也明确提出邮政过程中的用户信息安全保护问题,并要求有关企业在出现问题时应承担及时报告义务。
(二)执法主体和手段
《网络安全法》和网信办的许多规定都将于2017年6月施行,此前我国有关网络安全的监管工作主要依靠公安机关网络安全保卫部门和工信部,2016年侵犯公民个人信息犯罪十大典型案例无一不是由公安机关网络安全保卫部门调查和处罚,[9]处理结果即提起了相关刑事诉讼。
2017年,网信办将接过工信部对网络信息安全监管职能的接力棒,在《网络安全法》的指导下依法行政执法。
2017年5月发布的《互联网信息内容管理行政执法程序规定》是网络信息安全行政监管领域的重要突破,其规定互联网信息内容管理部门有权对违反有关互联网信息内容管理法律法规规章的行为实施行政处罚。
具体行政程序主要有立案、调查取证、听证约谈和处罚。
该法第五章简要规定了互联网信息内容管理部门不仅可以就违法行为执行吊销执照和罚款的行政处罚,还可以在做出行政处罚决定前,根据有关规定对其实施约谈。
同期发布的《互联网新
升级会员 