三、培育信息控制者的内部治理机制
发展中国家不同于欧美发达国家,不论是基本权利保护还是消费者预期保护,在信息控制者的行为序列中可能都还难以达到同样的高度。制定个人信息保护法,首先要找到信息控制者最基本的激励,并围绕核心激励设计相关的制度。对于所有信息控制者而言,最基本的需求肯定都是发展与安全。发展是目标,安全是实现目标的保障;缺乏安全保障,不可能有发展。由于技术水平的差距,发展中国家面临的安全挑战比发达国家要大得多。从安全防范角度切入,在发展中国家应该是最容易为信息控制者接受的解决方案。
安永第19届《全球信息安全调查报告》采访了1735名首席管理人员、信息安全与IT高管或经理,他们代表了众多全球规模最大且最知名的企业。2017年9月发布的调查报告显示,在过去两年中,87%的公司董事会成员和企业高管都表示对其公司层面的网络安全缺乏信心;44%的企业没有安全运营中心,64%的企业没有或只有非正规的威胁情报计划,55%的企业没有或只有非正规的漏洞识别能力;62%的企业在经历了看似无害的安全事件后,并不会增加其网络安全支出;部分企业怀疑自身是否有能力继续识别网络中的可疑流量(49%)、追踪数据的访问者(44%)或发现潜藏的未知“零日漏洞 攻击(40%);89%的企业不去评估每次重大事件所带来的财务影响,而在2016年遭受过网络安全事件的企业中,有近半数(49%)对该网络事件造成或可能带来的经济损失并不了解。据针对13个国家与地区419家公司的调研,2017年每家公司数据泄露的平均成本为362万美元,每人次个人数据泄露的平均成本为141美元;诸如南非、印度等发展中国家,在未来24个月内最有可能发生人次超过1万以上的实质性数据泄露事件,而德国、加拿大发生这种事件的概率最低。
从国内外近年来屡屡发生的各种数据泄露案例来看,信息控制者面临的安全挑战压力是现实的,也是巨大的。个人数据泄露会造成声誉、法律责任承担与客户流失等影响,而随着竞争加剧,“隐私成为品牌”,有效保护个人信息会成为市场主体的核心竞争力,价值会逐步外溢,成为无形资产。
对于信息控制者而言,从信息安全角度来保护个人信息,本应该是顺理成章的事,个别行业领先企业也已经自发在进行相关的内部治理机制探索。但是,过去对信息安全约定俗成的理解,并不包括个人信息安全或者隐私保护。基于这种背景,1994年制定的《计算机信息系统安全保护条例》,目的是为了保护计算机信息系统的安全,保障计算机及其相关的和配套的设备、设施(含网络)及其运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。2004年公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室印发《关于信息安全等级保护工作的实施意见》,2007年四部门又印发《信息安全等级保护管理办法》,完整建立了我国的信息安全等级保护制度。随后,国家通过陆续制定统一的信息安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护。在信息安全等级保护制度中,保护的对象主要是重要信息和信息系统,在上述文件和《信息安全技术•信息系统安全等级保护基本要求》(GB/T22239-2008)以及该国家标准所指引的“共同构成了信息系统安全等级保护的相关配套标准”中,均缺乏关于个人信息保护的规定,使个人信息保护一直游离于信息安全等级保护制度之外。这样,在传统的信息安全观念下,信息控制者长期考虑的只是计算机系统安全或者运行安全,力图通过权限管理、病毒查杀、设立防火墙、VPN、入侵检测等管理与技术措施,防止系统被攻击和瘫痪,未能将个人信息保护纳入安全框架内一并予以考虑,导致信息安全管理与个人信息保护存在长期的相互脱节现象。
近年来国家明显加大了个人信息保护的立法进程,2009年侵权责任法首次在法律中确立了隐私权的法律地位。同年,刑法修正案(七)设立了出售、非法提供公民个人信息罪与非法获取公民个人信息罪两个罪名。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》,第一次从法律上界定了个人信息的内涵和范围,也是我国法律第一次对个人信息保护实体内容进行较为系统的规定。2013年修订的消费者权益保护法,明确将个人信息得到保护的权利列为消费者的一项基本权利,全面突出强调了消费者个人信息保护方面的内容。2015年刑法修正案(九)对刑法修正案(七)的规定予以进一步完善,将两个罪名合并为侵犯公民个人信息罪一个罪名,还增设了拒不履行信息网络安全管理义务罪。2016年制定的网络安全法是迄今为止对个人信息保护规定最为全面的立法,它明确要求网络运营者建立健全用户信息保护制度。2017年民法总则第111条规定,自然人的个人信息受法律保护。
由于缺乏专门的个人信息保护法,我国个人信息保护相关立法目前普遍存在两个突出问题:一是规定过于原则,往往只是一个概念或者一个具体要求,通常是禁止性要求,缺乏系统的整体制度设计,即使网络安全法对于个人信息保护也都只是一些非常原则性的规定;二是普遍重责任追究,尤其是刑事责任追究,轻过程规范,轻综合治理。只要发生不利结果,就责任很重,甚至可以直接刑罚制裁,而信息控制者究竟应该履行哪些法律义务则缺乏规定。比如,按照《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对于侵犯公民个人信息罪“情节严重”采用了十种不同的判定标准,符合标准之一就可以定罪。这样,几乎所有侵犯公民个人信息行为都可能直接触发刑事责任,完全可以替代任何行政执法机制,更不需要内部治理机制配合。结果,近年来的密集立法不但未能解决信息控制者内部信息安全与个人信息保护脱节问题,还导致外部法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等现象,呈现典型的命令控制式立法特点。刑事责任规定虽然看似严格,实际效果却非常有限。随着大数据发展,一些市场主体已经意识到个人信息保护的重要性,并进行相关的主动探索,但囿于内部体制分割,加之法律规定导致的各种脱节现象,始终无法破解“两张皮”“多张皮”问题症结。
个人信息保护法要做的,就是针对上述各种脱节现象,借鉴近年来国际社会的实践经验与国内行业领先企业的有益探索,以培育信息控制者内部治理机制为目标,将个人信息保护要求嵌入整体信息安全防范体系中,明确各个环节的相关法律义务和组织要求,完善多元参与与互动机制,实现法律规范的外在要求与信息控制者的内在需要激励相容,达到既保护个人信息安全又强化信息控制者的安全防范能力的双赢结果。这就涉及观念更新、组织与流程再造、行为方式调整等各个方面,是一项系统工程,需要进行全面的制度设计。
首先,需要更新信息安全观念,走出传统的运行安全、系统安全的纯技术路径依赖,适应大数据时代的特点,确立数据安全观念,把数据当做核心资产,确立用户个人信息至上的基本价值观,培育保护个人信息就是维护核心竞争力的意识,积极主动承担个人信息保护责任。尽管观念更新仅仅依靠立法不可能完全解决,但通过个人信息保护法明确相应的法律义务与要求,加大违法行为的责任承担,一定有助于改变长期积重难返的各种认识模糊问题。
其次,结构决定功能,观念明确以后,有效的组织结构就是基础。如果能够从结构上构筑信息控制者积极主动作为的组织体系,就完全有可能改变其行为方式,使个人信息保护成为其内生机制的一部分。个人信息保护法应明确要求信息控制者指定或者设立专门机构或具有相应资质的专门人员(数据保护官),负责本单位个人信息保护日常工作,包括参与涉及个人信息保护所有重大决策的个人信息影响风险评估、负责拟定个人信息保护政策、与相关个人信息保护主管部门或行业自律组织联络、组织个人信息保护安全培训、接受信息主体的投诉等。数据保护官应独立履行职责,享有任职保障,并直接向本单位最高管理层负责,使最高决策层能够直接过问个人信息保护问题。要破解前面提到的各种脱节现象,务必从组织体系上实现个人信息保护与信息安全管理、安全管理与业务发展相互融合。安全管理一定要能够分布式延伸到每一条业务线,与业务团队实现无缝对接,既实现安全管理政策的有效触达,又全方位为业务发展保驾护航,有效解决“两张皮”“多张皮”现象。从国内行业领先企业的探索实践看,尤其在制度建设的过渡阶段,由于安全部门的地位更受重视,与业务线融合更好,由安全部门从企业数据安全角度负责个人信息保护,可能比法务部门从合规角度负责个人信息保护更为有效,更有利于迅速推进各种融合。当然,由于不同信息控制者的实际情况不一样,个人信息保护法不宜“一刀切”地介入信息控制者内部职能划分,但推进融合的大方向显然是非常明确的。不同的信息控制者应该根据本身实际情况,采取最有效的推进融合的组织形式。
再次,改变过去合规与业务流程设计相互分离、就合规谈合规的传统做法,从业务流程设计开始就将个人信息保护要求嵌入产品与服务之中,体现“设计即隐私”理念,实现个人信息保护全流程覆盖、全业务贯通的行为方式转变。在大数据环境下,不从源头设计个人信息保护,无法真正防范信息安全风险,这是推进组织融合的出发点和目的,也是行为方式转变的核心。为此,个人信息保护法需要设计一些重要的制度,主要包括:(1)在网络安全法确立的合法、正当、必要原则之外,明确将责任原则也确立为个人信息保护的一项基本原则,促使信息控制者积极履行责任,防范风险发生。(2)信息控制者在采用涉及处理个人信息的新措施、新技术、新应用之前,应进行个人信息影响风险评估,并采取相应的安全措施,预防风险发生。评估可能存在高风险,技术上或者经济上无法有效化解这种风险的,应事先咨询个人信息保护主管部门的意见,建立有效的咨询协商机制,共同解决问题。(3)应鼓励个人信息控制者采用笔名化、加密保护、匿名化等方式处理个人信息,从源头防范个人信息泄露、被滥用等风险,并明确规定经匿名化处理的信息不适用个人信息保护法。这样,既可以弥补网络安全法第42条对于脱敏信息的规定法律效果不明确的弊端,有利于推动大数据开发利用,也与欧盟及其他国家对于匿名化信息的规定保持一致。(4)应要求信息控制者定期主动对信息系统个人信息安全进行检测评估,提高风险防范能力和安全事件应急处置能力。(5)应平衡个人信息保护与大数据开发利用以及其他社会公共利益的关系,明确将为统计分析、档案管理与新闻报道、学术研究、艺术表达、文学创作等目的处理个人信息的活动,根据具体情况豁免或者克减适用个人信息保护法的某些规定,具体办法由国务院个人信息保护主管部门会同相关部门制定,为信息控制者推动大数据开发利用提供法律接口。(6)对于跨境个人信息传输,除设计类似于欧盟的“充分性”认定机制,以国家为对象采取对等措施以外,还应设计多元的补充认定机制,包括经核准的标准个人信息保护合同条款、企业自我约束规则、行为规范,以及获得合法备案的个人信息保护可信标志或认证标志等。以信息控制者为适用对象,分别适用于不同的场景,解决不同的实际问题。只有这样,才能调动信息控制者参与个人信息保护的积极性,促进正常国际经贸往来。
近年来国内外发生的各种个人信息安全事件,如CSDN遭受攻击、12306网站信息泄露、徐玉玉被诈骗致死案、支付宝年度账单事件、Yahoo邮箱泄露案、Equifax征信信息窃取案等,根源大多是信息控制者内部安全防范环节出现了问题,尤其是疏于防范、遭黑客攻击、内部人非法提供、新业务开发与安全保护脱节等。只要能够构建有效运转的内部治理机制,将个人数据安全纳入整体安全防范体系,绝大部分类似事件都应该能预防、避免。
然后点选“添加到主屏幕”添加快捷方式到桌面。
