欧盟个人信息保护的发展路径
2017-04-15从宝辉
从宝辉
2017年3月15日十二届全国人大五次会议表决通过《民法总则(草案)》并于2017年10月1日正式实施。《民法总则》首次规定,自然人的个人信息受法律保护。任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。将个人信息保护写入民法总则草案,为未来制定单行法或通过其他方式进一步细化保护措施提供了依据,标志我国个人信息保护立法工作步入了快车道。巧合的是,2018年欧盟将正式实施《一般数据保护条例》,《条例》对新形势下个人信息保护作出了严格规定,成为个人信息保护里程碑式法律,重塑了个人信息保护领域新秩序,也为域外国家实施个人信息保护树立了一个高标准的法律模板。在个人数据保护方面,美国坚持灵活策略,以企业自律机制和政府执法保护隐私权,欧盟则通过严厉立法,从制度上保护个人信息。随着全球范围内大数据产业的全面推进和信息处理、存储技术的快速发展,海量数据给信息所有者带来巨大隐性财产的正外部性逐步显现,同时也带来了互联网个人信息滥用问题日趋严重,公民隐私和人信息保护问题日益凸显,传统个人信息保护框架遭遇严峻冲击,社会对互联网领域个人信息保护的需求愈发迫切。
我国个人信息保护的突出问题
很长一段时间以来,我国没有认识到个人信息保护的重要性,直到目前为止,我国还没有制定专门的个人信息保护方面的法律。特别是互联技术飞速发展和广泛应用的今天,个人信息保护程度远未达到欧盟“充分性保护”标准。近年来,我国也在多项法律法规中关注和强化了对个人信息的保护,对个人信息的保护主要体现在与个人信息保护有关的法律法规中设置个人信息保护条款和通过信息控制人的单方承诺或特定行业的自律规范的承诺对个人信息加以自律性质的保护。由于尚未形成完整的个人信息保护的法律体系,对个人信息保护散见于各个部门法中,难以形成有力的保护,缺乏具体、可操作性的规定。
随着移动互联网的普及和智能穿戴等物联网设备的应用,多重来源的个人信息进行比对累积,能够形成完整的个人画像并实现实时追踪,增加了敏感信息暴露的风险。在数据开发价值的驱使下,个人信息的收集日益密集和隐蔽,个人信息的流转、交易形成链条,信息处理主体多元化、信息传播方式层层嵌套,个人信息保护问题也日益凸显。
一是个人信息收集不合规。以某知名互联网小额贷款公司为例,在其产品《用户服务合同》中“您同意并授权服务商收集您的信息包括但不限于”一项里,明确要求客户授权收集用户除传统相关信用记录以外的包括生物特征、财税信息、房产信息、车辆信息、基金、保险、股票、信托、债券等信息,并在“信息分享”一栏中要求客户同意并授权服务商向某信用管理有限公司等征信机构发送信息。《征信业管理条例》第十四条明确规定“禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息以及法律、行政法规规定禁止采集的其他个人信息”。“征信机构不得采集个人的收入、存款、有价证券、商业保险、不动产的信息和纳税数额信息”。《中国人民银行金融消费者权益保护实施办法》第二十八条规定“收集个人金融信息时,应当遵循合法、合理、必要原则,按照法律法规要求和业务需要收集个人金融信息,不得收集与业务无关的信息或者采取不正当方式收集信息”。可见,该互联网小额贷款产品涉及征信业务的部分条款明显违背了《征信业管理条例》《中国人民银行金融消费者权益保护实施办法》的相关规定。
二是目的限定原则被不断突破。个人信息比对及二次利用是大数据价值开发的核心,个人信息超出原初目的的利用在大数据环境下已经成为常态,传统目的限定原则被不断突破。此外,以互联网小额信贷产品为例,互联网小额贷款公司扮演的角色更多是中介机构,资金来源则是走银行通道。目前多数使用互联网小额贷款产品的个人未意识到自己正在与小额贷款公司发生业务关系。互联网小贷产品未通过足以引起金融消费者注意的文字、符号、字体等特别标识说明用户是在向小额贷款公司借款。
三是个人对信息的控制权被架空。实际操作中,个人信息收集的隐蔽性、传播的复杂性远远超出了预先告知和用户的理解能力,个人用户除了点击同意外,别无其他选择,用户对个人信息的控制权利实质上被架空。此外,在多方主体责任认定方面,多元主体尤其是第三方信息中介的迅速发展,传统架构中难以寻求有效的适用规定,造成责任界定不清与监管空白。
四是金额展示规则不合理。近期某地发生一起涉及互联网小额贷款产品的相关案例,经调查,目前凡是通过该互联网小贷产品取得个人消费贷款的用户,其相关借贷记录都会报送至个人金融信用信息基础数据库,也即显示在个人信用报告中。某知名互联网小额贷款有限公司表示,目前该公司采取客户历史当月累计最大借款额报送至个人金融信用信息基础数据库。比如,客户程某2016年9月在平台累计借款19笔,金额总计165100元,且该月为程某历史当月累计最大借款额,尽管客户后期按期归还,且借款金额逐月减少,但程某信用报告中始终展示9月份向其发放的165100元个人消费贷款。此外,程某本月应还款和本月实还款分别为171264元和74389元,展示金额与实际业务明显不符。如继续采取客户历史当月累计最大借款额展示在用户人信用报告中,不仅不合理,更重要的是对客户在银行业金融机构办理相关业务将会产生严重不良影响。该公司客服表示,公司已经意识到展示规则存在的问题,正在商议规则改动事宜。
五是个人信息保护流于形式。当前形势下,信息收集者注重信息背后隐藏的巨大财富,而疏于个人信息保护绝非個例。在某互联网小额贷款产品服务协议中规定“鉴于技术限制,不能确保用户的全部私人通讯及其他个人信息、资料通过本隐私规则中未列明的途径泄露出去”。中国人民银行金融消费者权益保护实施办法第二十二条明确规定“金融机构的格式合同条款及服务协议文本……不得含有减轻、免除己方责任……”的情形。互联网小额贷款产品公司保护在业务过程中产生的客户隐私信息可以说责无旁贷,而免除由于未知因素导致的客户信息泄露责任易引发道德风险,最终导致客户信息大规模泄露。
欧盟个人信息保护的改革经验
欧盟一贯倡导立法保护个人信息数据
目前,欧盟对互联网环境下个人信息的隐私权保护是世界上最为全面和严格的。欧盟有关个人数据保护历史可以追溯到20世纪90年代。1995年,欧盟通过了《数据保护指令》,为欧盟成员国立法保护个人数据设立了最低标准。2002年7月欧盟发布《隐私与电子通讯指令》,确定了未来互联网个人数据保护的基本原则,如通信和互联网服务商需要采取适当措施保证通信和互联网服务的安全性,在未征得用户同意的情况下禁止存储和使用用户数据,告知用户数据进一步处理意图和用户有权不同意以保障用户的知情权等。
2009年11月,欧盟通过了《欧洲Cookie指令》,其核心内容是对电子商务中Cookie的使用加以规范和必要的信息披露管理。Cookie是互联网常用的用户跟踪和识别技术。2002年的《隐私与电子通讯指令》要求网站告知用户启用cookie及如何删除或作废Cookie,但绝大多数网站都会把这部分内容放置在用户注册时必须“同意”的用户协议中。《欧洲Cookie指令》则要求网站在用户初始使用时网站必须关闭Cookie的使用,直到用户明确同意启用Cookie时才能开启此功能。《欧洲Cookie指令》是《隐私与电子通讯指令》的重要补充,其强化了用户的知情权,对互联网企业生成、使用和管理以Cookie为核心的用户个人数据提出了完整规范的管控要求,以避免数据滥用或以不够安全的方式操作与存储用户个人数据。
可见,针对时代的需要和技术的发展,欧盟在不同阶段通过了不同的数据保护修正指令。但是这些修正内容还是架构在1995年頒布的《数据保护指令》基本框架之上,而“95指令”已经不能适应互联网时代需求的陈旧框架。在这种形势下,致力于重新数据保护新秩序的《一般数据保护条例》应运而生。
欧盟数据保护的核心框架:《一般数据保护条例》2012年1月25日,欧洲议会公布了《一般数据保护条例》草案,条例共11章99条。2015年12月15日,欧盟执委会通过了《一般数据保护条例》,2016年4月14日,欧洲议会投票通过了《一般数据保护条例》,在欧盟官方杂志公布正式文本的两年后也即2018年正式生效,以欧盟法规的形式确定了对个人数据的保护原则和监管方式。《条例》统一了此前欧盟内零散的个人数据保护规则,以保护公民的基本权利为理念,增加的数据保护要求和实施的复杂性远高于“95指令”,堪称史上最严格数据保护条例。
一是法律效力明显提升。《条例》将取代“95指令”并直接适用于欧盟各成员国。《条例》和“95指令”具有完全不同的法律效力。“指令”(Directive)需要各成员国据此在本国立法并加以执行,“95指令”和后续的各个修正指令不能直接应用到各成员国。而“条例”(Regulation)正式实施之后立即在整个欧盟范围内生效,无需在各成员国内立法确认,以统一的标准推进个人数据保护。
二是打破传统立法管辖权。传统的立法管辖权通常是按照国家(地域)划分。在《条例》中,数据保护约束同样适用于向欧盟居民提供产品或者服务,甚至只是收集或监控数据的非欧盟企业和组织,而与这些企业和组织所在位置无关。即非欧盟的企业和组织向欧盟用户提供服务,无论收费与否,要严格遵从欧盟数据保护条例的相关要求。由于互联网上数据分布本身也是在动态变化的,这还意味着法律管辖范围也有可能按照数据的迁移而不断变化。所以,虽然是欧盟的数据保护条例,但却有可能应用到全球任何企业身上。此举开创了一个法律管辖范围不是严格按照地域/国家划分,而是按照数据的分布来认定的先例。
三是明确数据处理原则。《条例》规定数据处理应遵循合法、正当、透明;处理数据的目的有限;仅处理为达到目的的最少数据;确保数据准确、时新;储存数据的期限不得长于为达到目的所需的时间和采取技术和管理措施以保护数据安全等原则。《条例》禁止收集处理反映个人种族或民族起源、政治观点、宗教/哲学信仰、是否是工会组织成员的数据、个人基因识别数据、生物数据、或涉及健康、性生活或性取向的数据。《条例》还特别规范了儿童个人数据的处理,即处理16岁以下儿童的个人数据必须获得该儿童父母或监护人的同意或授权。
四是创新引入两项重要权利。《条例》开创性地引入了被遗忘权和可携带权。被遗忘权是指当个人数据已和收集处理的目的无关、数据主体不希望其数据被处理或数据控制者已没有正当理由保存该数据时,数据主体可随时要求收集其数据的企业或个人删除其个人数据。如果该数据被传递给了任何第三方,数据控制者应通知该第三方删除该数据。可携带权是指数据主体可向数据控制者索要其数据,也可将其个人数据转移至另一个数据控制者。此外,如果数据信息发生泄漏,数据控制者应在72小时内向监管机构报告个人数据的泄露情况。当数据泄露可能会给数据主体的权利或自由带来巨大风险时,数据控制者必须毫不延误地通知数据主体,以便数据主体及时采取措施。
五是大幅提升违规成本。《条例》规定违法的惩罚金额由成员国自行确定,惩罚上限处于欧盟立法中较高标准。对于一般性违法行为,罚款上限是一千万欧元或前一年全球营业收入的2%(两值中取大者);对于严重违法行为或造成严重后果,罚款上限是两千万欧元或前一年全球营业收入的4%(两值中取大者),全面提升了对个人数据的保护力度。
政策建议
加快制定《个人信息保护法》。积极探索制定符合时代特征的系统的个人信息保护法律,对个人信息类型、采集范围与原则、存储技术、运用与传播、法律适用范围等作出明确规定,特别是赋予个人撤销授权的权利,增强个人对信息的控制权,构建安全、信任的大数据产业法律环境。
构建网络个人信息保护标准化体系。当前互联网环境下信息共享、存储和管理的隐私信息规模急速增长,收集、利用个人信息的技术迅速发展,构建网络个人信息保护标准化体系有利于增强个人信息处理各环节的透明度,保证个人信息的加工和运用留有痕迹,始终处于可追踪状态。
建立个人信息保护协调机制。从近年来我国关于个人信息保护的立法内容和集中领域不难看出,个人信息不当采集和以实施信息网络诈骗这种跨行业运用成为危害公民合法权益的主要形式,因此有必要建立灵活弹性、应对迅速的个人信息保护协调机制。
重拳打击侵害个人信息行为。督导有关行业按照最新法律法规对涉及个人信息的授权条款、格式文书等认真梳理、切实整改,规范机构经营行为,坚决制止侵害信息主体合法权益的行为,重拳打击新领域内征信违规情况,形成示范效应,做到在规范中创新,在创新中发展。
积极参与国际执法协作。技术的快速发展和深层次运用决定了信息跨境流通更加便捷和具有隐蔽性,围堵信息跨境流通、企图将信息数据仅在一国区域内几无可能。未来,建议运用场景理念推动国际通用框架的构建,尊重国际共通因素,调节地区差异因素,积极参与国际执法协作和框架协议规范跨境流通。
《一般数据保护条例》的出台震动了向个人提供互联网服务,并长期大量收集用户个人数据的互联网服务商。《条例》中严格的数据保护势必阻碍数据的商业价值挖掘,并将给企业带来巨大额外成本。笔者认为,几乎任何行业都处于创新和监管的动态博弈之中,过度创新和过度监管都会带来负外部性。在《一般数据保护条例》的约束与引导下,欧洲的未来大数据时代将走上一条独特道路。互联网组织自由收集、分析和管理用户信息的权限会被严格限定和监管,互联网个人信息保护力度达到了前所未有的高度。反过来,严格的个人数据保护所带来的额外成本、复杂的数据使用授权和政府过度监管也极大约束了大数据所带来的创新空间。如何处理好创新与监管的动态博弈关系是一门需要深入研究的操作艺术。
(作者单位:中国人民银行安庆市中心支行)
