四、构筑有效的外部执法威慑
发育激励相容的内生机制,核心在信息控制者的自律。但是,在利用与保护个人数据激励失衡的大背景下,不论是合作规制理论还是各国个人信息保护实践均证明,完全依靠自律机制并不能形成有效的激励约束。只要个人数据能够带来利益,这种现象就难以改变。制定个人信息保护法的国家,一项重要的立法任务就是构建有效的外部执法威慑,促使信息控制者积极履行法律责任,并对违法处理个人信息的行为予以制裁。美国虽然没有制定统一的个人信息保护法,但有着其他国家无法比拟的强大的外部执法威慑机制,能够约束信息控制者的行为。美国宪法、联邦法律、州法对于个人信息都有相应的保护规定,只是联邦层面缺乏一部统一的适用于市场主体的个人信息保护法。美国联邦贸易委员会、各州总检察长、民事(集团)诉讼、国会监督与媒体监督及社会监督等机制丝毫不亚于欧盟国家个人信息管理局的执法力度。对于某些特殊领域个人信息的保护,如征信信息、未成年人信息、金融信息、健康信息、电子通讯等,美国还有专门联邦立法及相应的执法机制,保护力度更大。以美国经验说明后发国家不需要制定个人信息保护法,没有任何说服力。
由于缺少统一的个人信息保护法,我国在外部执法威慑机制构建方面除了前述的刑法机制替代其他执法机制、信息控制者实体行为规范缺位以外,实践中还导致国家网络安全保护与个人信息保护错位现象,进一步加剧规则适用的紊乱和系统性失灵。
在国家信息网络专项立法规划中,信息网络立法是分层规划、分层设计的,网络安全法与个人信息保护法是两部独立的立法,各自有其立法目的、原则、任务与制度。网络安全是国家安全的重要组成部分,事关国家根本利益,不容半点妥协,没有网络安全就没有国家安全。个人信息权是个人权利的组成部分,权利有相对性,需要依法行使,同时承担义务,权利与权利之间出现冲突需要协调,为了国家安全与公共利益可能还需要对权利进行必要的限制或克减。正因为国家安全与个人权利的这种性质与位阶差别,在各国立法与国际条约中,如《公民权利和政治权利国际公约》第4条、《欧洲人权公约》第15条等,均明确国家安全是更高价值,予以最高等级的保护;而个人信息权利的行使不但要以法律的规定为前提,还要受到国家安全与公共利益的限制。
由于网络安全法制定的时候,个人信息保护法尚未被纳入国家正式立法计划,因此该法自然承担了部分个人信息保护法的立法任务,集中反映在第四章的相关规定中。用立法工作部门的话来说,该法“进一步完善了个人信息保护规范,这些规范与国际通行规则是基本一致的”。也就是说,网络安全法同时承担了双重任务:一是保护国家网络安全,这是该法的主要任务;二是保护个人信息安全,这是该法的附带任务。如果能够把握法律关系的本质,分别适用不同的判断标准与制度,本来应该不会出现不同任务之间的错位问题。
但是,由于个人信息保护法缺位,加之其他各种复杂的原因,实践中已经出现的问题是,执法部门有时候会将双重任务混合,就高不就低,将保护国家网络安全的标准适用到个人信息保护领域,导致法律关系出现错位和紊乱。最为典型的事例当属数据本地化要求。在网络安全法中,由于关键信息基础设施的特殊地位,运营者掌握的个人信息和重要数据直接事关国家安全,必须以本地化为原则,确需出境的,依法进行国家安全评估后才能出境。相反,对于一般网络运营者或者信息控制者而言,其个人信息出境只涉及个人权利保护,数据出境可以有多种制度安排,如基于信息主体的同意、第三国满足充分性认定要求、维护第三人的重要利益、满足其他替代认定机制等。一个非常重要的差别是,国家安全评估的对象是相关个人信息和重要数据是否涉及国家安全、是否适合出境,而跨境个人信息传输的评估对象是接受个人信息的第三方是否能够有效保护个人信息,评估的对象与标准都截然不同。如果将国家网络安全标准适用于个人信息保护,势必混淆评估对象和法律关系,抬高保护门槛,不利于正常的国际经贸交流。已经发布的《信息安全技术•个人信息安全规范》(GB/T35273-2017)8.7(个人信息跨境传输要求)规定,“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求”。这一规定是典型的以国家安全评估代替个人信息跨境传输保护水平评估,混淆了两项根本不同的制度,强制推行会导致各种意想不到的严重后果,也不利于真正保护国家网络安全。
可见,加快出台个人信息保护法,科学厘清不同制度的边界,不仅能解决刑法规范替代其他执法机制、信息控制者行为规范缺失等问题,也能理顺个人信息保护法与网络安全法的关系,解决好外部执法威慑机制越位、缺位与错位并存的三大现实问题,形成有效的立法结构,推动大数据利用与个人信息保护的协调发展。
构筑有效的外部执法威慑,并不是为了执法而执法,更不是为了增加信息控制者的负担,而是为了推动信息控制者形成有效的内生治理机制。为此,个人信息保护法应从明确行为规范、加大违法成本、增强信息披露、提高违法行为被发现的可能性、完善行政处罚与刑事责任的衔接、推进合作治理等多角度,构筑有效威慑机制,构筑“胡萝卜+大棒”的激励约束格局,促使个人信息保护要求能够真正被信息控制者严格执行。如下几个方面的制度设计不可或缺:
首先,与培育内部治理机制相衔接,扩大责任原则的边界,通过行业领先者的标杆作用提升行业整体保护水平。个人信息保护法需要明确规定,信息控制者依法向第三方提供、转移、共享或者跨境传输其合法控制的个人信息的,应保证第三方能够履行同等个人信息保护法律义务,确保个人信息全流程安全,保证责任原则的全面实现。这将有利于提升行业整体保护水平,避免木桶效应,改变违法成本低、守法成本高的逆向选择问题。
其次,确立并贯彻落实透明原则,以公开透明促内部治理结构发挥作用。个人信息处理过程公开透明,是信息控制者形成内生机制的重要外部条件和运行保障,能有效弥补合法、正当、必要等原则的不足。个人信息保护法应明确规定,发生个人信息泄露的,信息控制者应当在知情后及时——最迟不超过72小时——向个人信息保护主管部门报告,除非泄露不会对信息主体的合法权利产生风险。不能在72小时内报告的,应说明理由。第三方发生个人信息泄露的,除向个人信息保护主管部门报告外,还应同时通知信息控制者。个人信息泄露可能对信息主体权利产生高风险的,信息控制者应以清晰、简洁的语言,尽快通知信息主体。
再次,明确信息控制者行为底线,完善行政执法手段和合作治理机制,及时发现违法行为。个人信息保护法应明确规定:信息控制者不得以不公平条件或者“一揽子协议”方式,强制或者变相强制信息主体授权对个人信息的收集;对于特殊类型个人信息(如基因、生物、健康、种族、信仰、征信等),实行特殊保护,禁止或者限制信息控制者采集,构筑个人信息安全防控底线;信息控制者采用预测性识别技术,应采用公平的数学或统计学方法,禁止基于种族、民族、政治观点、宗教或者信仰、基因或者健康状态等差别对信息主体进行歧视;处理基因数据、生物数据、健康状况数据等敏感数据,以个人信息处理为主要业务,处理个人征信数据或者处理刑事裁判数据等,须经政府个人信息保护主管部门行政许可。个人信息保护法应推动形成内外互动的职业共同体和多方交流平台,包括制定行业行为规范等,不断将外部压力传导到信息控制者内部。个人信息保护法应着力完善行政执法手段,规定个人信息保护主管部门可以约谈信息控制者的高级管理人员,要求就个人信息保护重大事项作出说明,提示个人信息保护面临的风险,要求及时进行相应整改,加强过程监管和协商治理。信息控制者违法进行个人信息处理的,政府个人信息保护主管部门应当有多种方式的管理手段,包括责令限期改正,责令暂停个人信息处理,责令消除影响、赔礼道歉,责令停止使用个人信息文件、个人信息系统,责令提供个人信息,责令更正、停止使用、限制处理或者删除个人信息,责令销毁个人信息文件、个人信息系统,责令停止跨境信息传输,警告并发布风险提示,罚款,吊销个人信息处理登记证或许可证等。对于严重违法行为,个人信息保护法应提高行政处罚标准,引入累犯加罚,按照违法处理个人信息条数处以罚款等。
最后,借鉴消费者权益保护法修改经验,加大民事责任追究力度,解决个人信息被滥用后民事维权成本高、收益低问题,调动信息主体依法维权的积极性。个人信息保护法应规定:信息主体认为信息控制者的个人信息处理行为违反法律的规定,侵犯其合法权益导致其人身、财产或者精神损害的,可以依法直接向人民法院提起民事诉讼,要求停止侵害,消除影响,赔偿损失,包括精神损害赔偿;具备条件的社会组织,就损害信息主体合法权益的行为,支持受损害的信息主体提起诉讼或者依法提起诉讼;信息控制者的信息处理行为违反法律的规定,给信息主体的人身、财产或者精神合法权益造成损害的,应依法承担赔偿责任;赔偿的金额不足500元的,为500元;法律另有规定的,依照其规定。
然后点选“添加到主屏幕”添加快捷方式到桌面。
