只有在产权清晰的制度框架下,企业才能合理合法收集、利用数据,个人信息保护诉求才具备法理基础
个人信息保护是关乎民生的大事、要事,坚持“在开发中保护、在保护中利用”,才能积极享受大数据时代的成果
打开购物网站,后台根据用户的搜索记录精准推送商品;登录社交平台,广告投放定向植入;注册电子会员,逢年过节都能收到祝福和问候……大数据时代,人们尽情享受着数据带来的便利,也承受着个人信息被泄露的风险。
前段时间,全国政协一次网络议政远程协商会专门聚焦“加强大数据时代个人信息保护”议题,政协委员与专家代表通过现场发言和手机连线方式提出意见建议,与中央网信办、工业和信息化部、公安部、国家卫生健康委、市场监管总局5个部委负责同志互动交流。
谁动了我的信息?
全国政协列为年度重点提案进行督办
在手机上打开一款新安装的美食类应用程序,页面上跳出多项权限申请,要求访问相册、通讯录、位置等个人信息,即使选择禁止,也需要同意一份《隐私政策》,否则将无法继续使用该款APP。然而,细读《隐私政策》的条款又会发现其内容晦涩冗长,很少有人有耐心读完并准确理解。
根据中国消费者协会发布的一项调查报告,电商、社交软件等平台过度收集消费者个人信息的现象已成投诉新热点,85.2%的受访者表示遭遇过个人信息泄露情况,比如收到推销电话、短信骚扰、垃圾邮件等。“一个简单的APP就要开通20多项权限,几乎‘掌控’了用户的手机和隐私。”全国政协委员陈晓红说:“加强个人信息保护非常重要,这关乎个人和企业的合法权益,关系国家的安全,也是为全世界互联网治理探索新路。”
与姓名、职业、通信记录这些传统信息相比,如今,人脸、指纹、声纹等生物特征数据同样重要。2019年9月,一度成为互联网热门应用的某换脸软件开发企业,因涉嫌未依法依规收集使用人脸信息被工信部约谈。会上,全国政协委员谈剑锋通过手机连线的方式表达了自己的担心:“生物特征数据具有唯一性和不可再生性,无法更改和变换,一旦泄露将可能引发社会风险。”
大数据时代,谁动了我的信息?如何有效保护个人信息数据安全?谁来监管非法窃用个人信息的行为?这些问题事关人民群众切身利益,与国家治理体系和治理能力现代化息息相关。
2019年全国两会后,“加强大数据时代个人信息保护”成为全国政协重点系列提案之一。10月,全国政协提案委组织委员赴湖南、贵州专题调研,进行重点提案督办。与此同时,委员移动履职平台也及时开通议政群,131位委员先后发表意见建议299条。
“个人信息保护涉及主体广、关乎利益层面宽,需要政府行政、立法司法、企业、个人等相关主体从各自角度出发,在立法模式、职责定位、认知自律等方面协同发力,共同完善个人信息保护机制,实现个人信息全方位保护。”陈晓红说。
数据属于用户还是属于采集平台?
加快立法,用法律武器保护隐私安全
加快个人信息保护立法是委员们集中的意见。
“目前有关个人信息保护的法律法规相对分散、不成体系,实施的难度也大,个人信息的保护范围、数据流动、处罚机制等一些关键问题还有待进一步明确。”全国政协委员张英建议,尽快出台个人信息保护法,制定有操作性的实施细则和国家标准,加快解决个人信息保护领域里长期存在的难点和问题。
党的十九届四中全会提出,健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。数据到底属于用户,还是属于数据采集平台?全国政协委员赖明勇认为,只有在产权清晰的制度框架下,企业才能合理合法收集、利用数据,个人信息保护诉求才具备法理基础。
赖明勇建议,明晰数据产权归属,严格依法赋权和监管。一方面要在个人敏感信息采集、传输、存储、流通、交易、利用等全流程环节中依法明确个人数据所有权、处理权和知情权,另一方面要加强动态监管和适度追责,加大对泄露个人敏感信息行为的处罚力度,要明确数据使用主体的安全保障义务,构建个人信息数据使用者责任指标,提高数据使用中的风险防控能力,确保个人敏感数据安全保密。
“在设计个人信息保护的法律制度时,要把准一个基点,注重两项结合。”在安徽省高级人民法院工作的全国政协委员汪利民说,一个基点,即划定个人信息技术应用边界,个人信息数据应按“识别但不提取”“定量但不定性”的要求处理,企业在处理用户信息时,只收集与改善产品、用户体验相关的内容,不得针对特定个人的生活习惯特点等开展统计、分析和运用。注重两项结合,就是“监管与自律结合”,相关主管部门加强对电信和互联网企业监管,建立跨部门的个人信息安全协调联动处置机制,加大问责追责力度,同时引导企业强化行业自律。
委员们在调研中还发现,目前个人信息保护的司法救助机制不完善,侵犯主体、侵犯责任认定难,取证和举证难度大。“个人信息安全与食药品安全、环境安全一样,都具有侵权行为分散、侵权成本低、维权成本高等特性。建议市场监管部门主动与司法机关对接,将个人数据侵权纳入公民诉讼范围,探索建立公益诉讼和自立诉讼的个人信息保护机制。”在律师事务所工作的全国政协委员朱山说。
委员们的呼声和建议得到了相关部委的积极回应。中央网信办、工信部等部门正在推动制定国家大数据的安全战略,关于个人信息规范方面的问题也正在酝酿中,将充分吸收委员们的意见建议。
保护个人信息是否影响数据产业的发展?
找好平衡点,在开发中保护、在保护中利用
讨论在进一步深化:个人信息保护范围过窄,权利有受侵害之虞;保护范围过宽又会影响信息的自由流动,阻碍数据产业的发展。如何才能把握好数据开发与隐私保护的平衡点?
“建议制定分级保护、分类处理的标准,指导网络运营者、网络安全企业、网络安全服务机构按分级标准开展测评,提升网络安全防护能力。”全国政协委员王悦群说。
在信息行业工作的全国政协委员童国华也赞成这一观点。童国华说,有些企业内部对数据的传输和使用问题存在模糊的认识,把受相关部门委托收集、存储的数据进行企业化经营并谋取利益。“数据管理部门应主动界定信息等级,建立数据使用和交易的标准,处理好一般信息和个人隐私信息的关系,并监督企业对不同等级的信息进行分类处理。”
大数据时代,信息技术迭代速度快,新型网络攻击层出不穷,要想既有效保护个人信息,又让群众享受到大数据红利,光靠传统的治理手段显然不够。全国政协委员张英建议,加强前瞻研究,强化隐私设计、区块链、数据水印等新理念、新技术的应用,为行业和产业健康发展保驾护航。
医疗是个人信息保护工作里的一个特殊领域,其特殊性在于它以人为研究对象,所有的医疗行为及其结果都以获取个人信息为基础。近些年,电子病历、远程医疗、人工智能等信息化医疗技术广泛使用,患者由于病患信息被泄露,受到精神痛苦和歧视的现象时有发生,医疗行业信息安全和个人隐私保护的问题日益凸显。
“医疗单位要设置专门的网络管理机构和岗位,明确网络安全的关键岗位、职责分配、员工技能和员工数量要求,加强医疗行业信息安全的人才队伍建设,重视医疗行业的信息统筹管理。”身在辽宁分会场的全国政协委员崔仑为解决这个问题支招。
全国政协委员、北京市卫生和计划生育委员会原党委书记方来英建议,建立信息安全评价制度,未经过信息安全评价的医疗卫生服务系统不得接入公共卫生网络,不得与其他医疗服务等单位实现电子病历、检验结果报告等实时互通,信息安全评价的结果应该作为医疗机构向社会公示的一项内容。“还可以在高等医学教育中引入信息安全课程,加强伦理学教育,让医生们在职业生涯伊始就建立个人信息保护的意识。”方来英说。
委员们认为,个人信息保护是关乎民生的大事、要事,坚持“在开发中保护、在保护中利用”,才能积极享受大数据时代的成果。