学术咨询服务正当时学报期刊咨询网是专业的学术咨询服务平台!
发布时间:2020-03-27 16:47所属平台:学报论文发表咨询网浏览: 次
摘要:个人信息泄露已成全球公害,且防不胜防,严重侵害个人信息安全,制约着信息技术的进步与运用。我国相关立法存在着起步晚、效力低、内容过于原则和笼统、权利义务较粗糙易落空等问题。对此,从泄漏原因的可控性角度进行分析,围绕个人信息控制者、管理者
摘要:个人信息泄露已成全球公害,且防不胜防,严重侵害个人信息安全,制约着信息技术的进步与运用。我国相关立法存在着起步晚、效力低、内容过于原则和笼统、权利义务较粗糙易落空等问题。对此,从泄漏原因的可控性角度进行分析,围绕个人信息控制者、管理者与信息主体的关系,可针对性寻求法律对策。
对GDPR的经验,可予以本土化改善和借鉴,同时调整立法思路,尽快出台个人信息专门法和确立统一的数据监管机构,构建系统化、专门化和立体化的全方位行政监管体系;对个人信息泄露关系中义务和责任,应在个人信息产品与服务中对信息安全进行嵌入式、全流程系统化设计,界定个人信息泄露行为,完善个人信息保护影响评估制度,强调和细化预防性措施、合规性自证和泄露通知义务及责任体系等。
关键词:个人信息泄露;法律对策;控制者;GDPR
目前,个人信息泄露事件频频发生,已成全球公害,严重侵害个人信息安全,制约着信息技术的进步与运用。对个人信息主体而言,信息泄露通常是意外袭击、且无从反抗;而不特定多数人对被泄露信息的获取,无异于给个人信息主体布置了一方雷区:区域与方向不明、但又确定存在、且触雷可能性伴随终身,尽管雷炸概率与杀伤力度一般会随着时间的流逝而衰减。对此,法律不应该坐视不管或管而无效。
一、可控视角下个人信息泄露原因分析
“个人数据”与“个人信息”的概念众说纷纭,本文将其通用。GDPR第3条第12项规定,“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问?譹?訛。据此,个人数据泄露的表现有两类:一是被意外或非法毁损、丢失、更改;二是未经同意而被公开或访问。前者可以是行为或事件,主观上不以故意为必要;后者则属于行为,通常为故意使然。个人信息泄露有多方原因,如基础设施存在风险与隐患、数据产业逐利发展而不顾后果、信息技术超越大众控制而高速发展、法律制度严重滞后且不健全、黑客等人性之恶无法根除且见缝即长、不可抗力和不明原因等等。为寻求法律对策,本文拟从可控性角度分析泄露原因。
(一)可控视角下个人信息泄露的原因种类
为寻求可控性,本文仅从行为主体角度归纳分析,主要以发生在2015年国内、2016-2017年、2018年上半年的国内外重大数据泄露事件为样本,来源包括:《2015年国内网络信息安全泄露事件盘点》[1]《2016年网络信息泄露大事件盘点》[2]《2017年数据泄露调查报告》[3]《2018上半年个人信息隐私保护十大事件》[4]《2018上半年14件大数据泄露事件盘点》[5],共计148例案例。样本中,以原因种类为着眼点,将个人信息泄露行为主体分为:用户、个人信息控制者、个人信息处理者、软硬件供应商、黑客及个人信息一般获取者:
(二)个人信息泄露的可控性分析
以是否受制于当下技术发展等客观条件为标准,前述原因可分为三类:可控类,即通过健全制度、提升技术、加强管理等可以控制和避免泄露的情形;不可控类,即受制于客观原因、不可抗力等不可控、或极难避免的情形;不明原因类。
样本中,黑客入侵是第一大危险来源,其所致泄露,既可能因技术限制、人性之恶而难以规避,也不乏人为故意、管理疏漏等综合造成。58例黑客入侵中,因高危安全漏洞与服务器配置错误而造成黑客轻易入侵的有8例,且将剩下50例归入不可控或难避免范畴。软硬件供应商、个人信息控制者、处理者以及个人信息一般获取者所致泄露,并不当然受制于技术,而多基于牟利、节约管理成本等不同动机而人为疏忽、故意造成,属于通过规范、管理等可控可避免之列。
可见,可控制发生的个人信息泄露占大部分。当然,受样本限制,不能就此得出不可控或难避免的个人信息泄露也近乎与可控者平分秋色的结论。正如周汉华教授所言,近年来国内频发的个人信息泄露,根源大多是信息控制者内部安全防范环节出现问题,尤其是疏于防范遭黑客攻击、内部人非法提供、新业务开发与安全保护脱节等[6]。这也印证了美国CSI/FBI与Ponemon研究所(PonemonInstitute)的调查结论:80%的安全威胁来自企业内部,而黑客仅位列第五[7]。
部分黑客等实施泄露,多根源于人性之恶与客观技术水平限制,有时与利益等并无关系,而仅仅是反社会。对此,尽管可通过道德伦理进行教育引导,但终究难以根除与控制。因此,为从可控性上寻求法律对策,我们关注的重点应是个人信息控制者、处理者和用户等。
二、GDPR就个人信息泄露的主要规定之分析
欧盟是个人信息保护先行者,于2018年5月实施的《通用数据保护条例》(GeneralDataProtectionRegulation)(以下简称GDPR),更是确立了以行政监管体系为根本的个人信息权利加强保护模式,相对于1995年《欧盟个人信息保护指令》,在很多方面进行了重要修订,其对全球互联网企业的重大影响正在展现之中。对于个人信息泄露,通过对GDPR的内容分析,可为我国提供启示与借鉴。
(一)细化“同意权”行使要件以加强个人信息泄露之前的风险把控与隔绝能力
同意权是绝大部分个人信息保护法所赋予信息主体的一个权项,集中在个人信息收集和使用环节,将控制权力赋予信息主体,可在最初环节防范泄露风险。但是,信息技术的发展使信息主体与信息收集者实力悬殊,该权利常被架空收集者常通过繁杂的格式条款、非醒目提示、相反诱导、默示推定等设置,使权利主体“被同意”。对此,DGPR第4条第11款将“同意”定义为“数据主体自愿做出的具体、清晰、确定的对其相关的个人数据处理的意思表示”;第7条进一步细化规定数据主体撤回同意的权利、数据控制者对数据主体的同意负有证明责任、对书面同意附加特殊限定等。这样,“同意权”就具有更多现实可行性,权利主体真实意思得到尽可能保护和落实。
(二)引进新型保护机制和新增应对泄露的义务内容以着重事前预防
1.技术和组织措施义务
GDPR第25条规定数据控制者应承担“适当的技术和组织措施执行义务”。第1款包括:该义务目的在于实现数据保护的各项原则,在数据处理过程中确立有效和必要的保护措施;履行时间节点在于“数据控制者决定数据处理的方法及数据处理时”;义务中何为“适当”的考量因素有“当前的技术水平,实施成本,数据处理性质、范围及目的,数据处理给自然人带来的风险和严重性”等。第2款要求数据控制者将该义务作为默认设置,意在数据收集数量、处理限度和存储期限方面,确保限于实现特定目的所必要,预防数据被过度收集、处理以及面临更多被泄露和滥用的风险。
2.数据泄漏通知义务
(1)72小时内通知义务。GDPR第33条规定数据泄露72小时内的通知义务,通知对象是数据监管机构,适用例外是“该等数据泄露不会对自然人权利和自由造成影响”;通知内容比较详细和全面,包括“涉嫌泄露的个人数据性质、类型、数量,数据保护的联系方式,数据泄露的可能后果,已采取的措施”等;义务遵守的判断标准在于数据控制者向监管机构报送的材料。
(2)及时通知义务与豁免情形。GDPR第34条对此有规定,通知对象是数据主体,要求数据泄露会对自然人权利与自由产生高度危险时就应及时通知;通知方式要求明确和简单;通知内容与前条72小时内通知义务相同。该条第3款规定了通知豁免情形,包括“对泄露所涉个人数据已采取适当技术和组织措施、能够确保杜绝未授权读取,泄露之后采取措施确保避免对自然人权利与自由的不利影响”。
可见,GDPR规定的通知义务非常全面、立体,对数据控制者和数据主体的权利都有兼顾,配置平衡,让数据控制者、数据主体和数据监管机构有效地参与到个人信息泄露的控制与补救之中,能最大限度地避免和缩减损失。
3.数据保护影响评估机制
GDPR的该机制对于泄露、篡改、评估等信息处理行为进行影响评估,可以大大增强个人信息安全保障能力。该条例第35条规定,进行影响评估的时间点是“采用新技术处理数据之前”,需考虑因素有“数据处理的性质、范围、环境和目的”等,启动标准是“有可能对自然人权利和自由造成较高危险”。这些规定设置了义务边界,避免给数据控制者带来不必要的、过度的负担,进而影响数据的正常处理和产业发展。
为此,该条第2款还进一步明确列举应当进行数据保护影响评估的特别情形,具体有三大类:(1)自动化系统性、大量地对自然人人格进行评估,包括给自然人画像并基于此将对其产生法律影响;(2)大规模处理第9条第1款规定的特殊类型数据(敏感数据)或第10条规定的刑事违法犯罪时;(3)系统性大范围监控公共区域时。该三种情形具备较高危险,是GDPR第35条义务启动标准的具体表现;为进一步落实该义务和避免其被滥用,该条第3款还授权给数据保护监管机构“评估清单确定权”,即具体确定是否需要、哪些需要进行影响评估。
(三)数据保护机构和监管体系之改革
GDPR第6-7章细化规定了成员国的数据保护机构。对内而言,要求成员国数据保护机构具有独立性。第63条具体规定:行使职权时完全独立,机构成员独立(不受任何其他组织和个人指示等),成员国政府应确保其人力、技术和财务独立,自身决定其负责人等。对外而言,要求成员国数据保护机构同欧盟委员会、其他成员国数据保护机构之间形成合作、协作和一致性机制,以体现欧盟国际组织的诞生目的,推进和加强地区个人数据保护的统一化进程。这对于个人数据泄露等侵害发生在超国家、超地区、直至全球化的当前,该机构改革有利于个人数据权利的广泛落实和执法的国际协调。
(四)罚额巨大以加重处罚力度和增加违法成本
从通过之日起,GDPR饱受争议的是其处罚数额巨大;正式生效首日,谷歌和Facebook就收到大量诉讼、被指控强迫用户共享个人数据。奥地利隐私活动家MaxSchrems则在诉讼中要求罚款Facebook39亿美元,谷歌37亿欧元[8]。该处罚力度前所未有,对互联网巨头等企业带来极大挑战与压力。
当然,该处罚的适用有明确要求,主要规定在GDPR第83条:第1款规定行政处罚额度,第2款规定作出处罚的考虑因素,第3款规定存在多项违法行为时行政处罚额度以“最严重数据违法行为”论处,第4-6款则分三类数据违法行为适用不同处罚。此外,GDPR新增被遗忘权(RighttobeForgotten)、可携带权(RighttoDataPortability),强化信息主体对个人信息处理、储存、传输和公开等事中及事后控制能力,对处理中泄露的掌控与预防可起到间接作用。
三、我国现行主要法律法规和指导性文件分析
我国个人信息立法起步晚,直接对个人信息泄露的规定更是少之又少。对现有相关法律法规与指导性文件进行梳理,可以明确个人信息泄露的法律关系与保护现状,可为信息主体与控制者、处理者之间权利义务的法律构建奠定基础,进而遏制个人信息泄露行为、完善法律责任与管理体系。我国目前相关文件主要有:《信息安全技术公共及商用服务信息系统个人信息保护指南》(2013年2月1日实施),《刑法修正案(九)》(2015年11月11日实施),《消费者权益保护法》(1994年1月1日实施、2013年10月25日修订),《关于加强网络信息保护的决定》(2012年12月28日实施),《网络安全法》(2017年6月1日实施),《民法总则》(2017年10月1日实施),《信息安全技术个人信息安全规范》(2017年实施),《电子商务法》(2019年1月1日实施)?譺?訛。
(一)个人信息泄露法律关系的义务
根据规定,我国个人信息泄露义务主体表现为特殊主体和一般主体两类。沿用文本用语,前者有:网络运营者、网络服务提供者和其他企业事业单位及其工作人员,经营者及其工作人员,个人信息控制者,个人信息管理者,个人信息获得者,国家机关及其工作人员,依法负有网络安全监督管理职责的部门及其工作人员,有关主管部门的工作人员;后者则为“任何组织和个人”。其中,个人信息控制者、个人信息管理者、网络运营者、网络服务提供者是规制重点。这些规定的特点为:主体范围广泛,不同法律和文件规制的重点不同,涵盖政府机构、企业法人、其他组织和自然人个人。
义务内容方面,我国相关规定特点为:第一,从信息处理环节规定义务,针对泄露,主要集中在个人信息的收集、使用环节和泄漏后进行义务设定;第二,根据主体身份设置不同义务,并把个人信息控制者、网络运营者等作为重点义务主体;第三,分别从事前和事后设置相应义务,事前在个人信息收集、使用等环节,设置“获得同意”“明示”“公开”“采取必要措施预防泄露、毁损、丢失”等义务;对于事中、事后,设置“保密”“及时告知和报告”“采取补救措施”等义务;第四,从义务领域分别设置,包括技术义务——采取技术措施预防、减损和补救义务、教育培训义务、安全评估与测评等,制度管理义务——制定和落实安全管理制度、指定专门机构和人员负责制、安全事件预案制等;第五,规定作为与不作为义务。前者指以积极的作为行为来履行和完成的义务,比如采取措施、获得同意、明示、公开、通知等;后者指以不作为的方式来完成的义务,比如“不得泄露、篡改、毁损”“不得非法收集、使用、加工、传输他人个人信息”“不得窃取等非法获得和不得非法买卖、提供或者公开他人个人信息”“不得发送商业性信息”等义务。
相比于GDPR,我国这些规定有如下不足:
第一,文件之间脱节严重,用语不统一、含义模糊、边界不清,存在交叉重复,导致规则体系不够协调,不利于确保规则落实的一致性,比如企业类、政府部门类主体等就存在多种称谓。
第二,规制的义务主体不全面,对容易泄露的行为主体未特别强调。比如对个人信息大量掌控者——国家政府权力机关、社会公共部门等关注严重不足,个人信息处理者并未被直接纳入个人信息泄露的义务主体等,导致个人信息侵害责任难以被追究,不利于信息主体的权利保护。《电子商务法》《关于加强网络信息保护的决定》虽然有所规定,但内容极为简单和笼统,与其在公共领域对个人信息掌控的实际地位和影响不匹配。《信息安全技术个人信息安全规范》将个人信息安全的义务主体直接限定为个人信息控制者。《网络安全法》将个人信息安全的责任归于网络运营者,包括网络的所有者、管理者和网络服务提供者,其内涵并未函射到狭义的个人信息处理者。虽然在2013年实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》第4条中可寻到个人信息处理者的影子,但是其义务限定在个人信息处理后的删除,并未明确其他义务与责任,而这远远不够。
第三,义务条目与内容过于原则,不够具体、明确和凝练,相当多情况需要从基本原则中推演出义务内容;不同文本对相同或相似内容的用语和规定不完全相同,不利于权利义务设置的互相衔接和行使中协调一致;关于泄露的规定针对性不强、细化不足,导致操作性较差、落实效果不理想。比如对于安全评估与测评,我国多为宣示性规定,对评估义务的目的、内容、落实等还没有明确和清楚的认识。
(二)个人信息泄露行为
我国相关规定中,个人信息泄露行为有被直接规定和提到,但更多时候是和信息丢失、篡改、毁损等并列一起,或隐含在收集、使用、加工、传输等处理行为、以及违法出售或提供、窃取等非法获取行为之中;对“泄露行为”本身缺乏明确界定,与其他行为边界不清。这种模糊、混杂、甚至一刀切的状态,可能导致义务内容逻辑性和合理性不强、实施效果弱化。
(三)法律责任
我国率先从刑法领域、以最为严厉的刑法手段,针对出售、非法提供和盗窃等非法获取公民个人信息的犯罪处以刑罚。由于出售、非法提供和盗窃等非法获取行为会伴生或引发个人信息泄露,所以这些刑罚遏制了部分个人信息泄露行为[10]。此外,《民法总则》与《侵权责任法》也对个人信息泄露者可能承担的侵权责任提供了依据。
行政责任上,2012年实施的《关于加强网络信息保护的决定》对一般主体采取“警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭网站、禁止有关责任人员从事网络服务业务”等处罚,还特别提到治安管理处罚、刑事责任和民事责任三种类型。2017年实施的《网络安全法》对个人信息义务主体规定了较为全面的责任?譻?訛,比如:对网络运营者违反网络安全保护义务的,责令改正、警告、罚款:对任何个人和组织相关行为规定了“没收、拘留,罚款”等责任;尤值一提的是,违反该法第二十七条规定的人员?譼?訛,将在网络安全管理和网络运营关键岗位实施禁入处罚,包括五年禁入(受到治安管理处罚的人员)和终身禁入(受到刑事处罚的人员),这是我国相关法律责任的亮点,其积极引导和强大威慑的社会效果也不容置疑。
措施方面,对个人信息泄露的防控,早期法律规范主要通过技术措施,如加密、匿名等,来防范数据库遭到攻击或在遭受攻击后避免识别来减轻损害。但技术不是万能的,规范层面的《网络安全法》从网络设配、服务选取,操作人员的选择与培训,事前的风险评估与记录等环节来减少泄露可能性,并出台《信息安全技术个人信息安全规范》配合其执行。
为遏制和威慑个人信息泄露的法律规制,我国规定了行政责任、民事侵权责任和刑事责任,但实践效果并不理想,原因之一就是罚款额度与力度轻,违法成本低。我国对个人信息违法行为最高才罚100万元人民币;而责令改正、警告、没收违法所得等处罚,几乎没有威慑作用,甚至同违法所得比较后依然有利可图、进而变相鼓励数据企业或个人变本加厉实施违法行为;我国罚款针对的行为,多是危害公共网络安全、尚达不到刑法规制的信息网络违法行为,而没有像欧盟那样专门规定针对个人信息主体删除权、访问权、泄露时被通知权等仅仅私人权利被侵害的违法行为。
(四)管理体系
对个人信息,我国监管上缺乏统一管理机构,多头管理、权责混乱[11]。根据《网络安全法》第八条,国家网信部门负责统筹协调网络安全工作和相关监督管理工作;国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。针对个人信息违法犯罪行为的查处,主要应当是公安机关的职责,而目前我国个人信息保护执法工作仍旧是电信、公安、商务、银行等部门传统职责的衍生,而这些机构并不都具有个人信息保护的专业能力,实践中也往往发生监管职责不清、互相推诿的现象。
四、完善我国个人信息泄露法律对策之建议
面对个人信息泄露频发引起的现实损害、潜在危险和社会普遍的担忧、焦虑甚至恐慌,相较于现实需求和GDPR,我国现有法律明显地力不从心、效果差强人意。一方面,立法分散、效力层级低,整体上过于笼统、显得零散粗糙、不成体系,实操性不强,多是“头痛医头”的补救性措施;另一方面,针对个人信息泄露行为的权利义务设置、行为类型与责任承担等,系统性和针对性不强,回应力弱,导致个人信息泄露等违法行为屡禁不止,迫切需要改善。
(一)尽快制定个人信息保护专门法?譽?訛,统一各种基本概念的用语和内涵,着眼于个人信息泄露行为及其主体增加针对性内容
《信息安全技术个人信息安全规范》被称为中国版GDPR,在很多细节上大量参照其规则。但遗憾的是,该规范仅是国家推荐性标准,除非行为主体主动承诺、有权机关明确援引或法律规范直接认可,其本身不直接产生行为约束力。对此,统一制定基本法层面的个人信息保护法,已迫在眉睫。
1.明确个人信息泄露行为的内涵与外延,强化行为类型在立法中的引导作用
我国应该通过立法,在文本中对一些典型的个人信息侵害行为做出有权界定,确立其界限,便于落实相应的权利、义务和责任。有人界定,“信息泄露是指一个组织对个人敏感信息无授权或非故意的暴露、公开或丢失”[12]。笔者认为,个人信息泄露,是指个人信息获得者非经授权或基于意外而非法将不应公开的个人信息以暴露、公布、丢失、毁损、访问或其他方式置于不特定多数人能够获取、并且对个人信息主体造成潜在危险的行为或状态。
首先,个人信息获得者包括授权的控制者、处理者,也包括无权占有的特定黑客、非法购买者、窃取者等,可以是自然人、企业等社会组织和国家政府机构等;其次,被泄露的不限于敏感个人信息,而是不应公开的所有个人信息,该信息的分类可以影响泄露的责任轻重与承担与否,但不影响泄露本身的成立;最后,泄露者的主观状态通常表现为“非授权”,一般包括故意、过失等轻重不一的状态,但多少都有错;至于意外等完全没有过错的情况,比如已采取一切当前技术水平的预防措施和健全的管理制度,依然被超级黑客攻击而泄露,或者因为地震等不可预见和避免的天灾造成断电、系统损害等产生的泄露,会构成不可抗力而免责,不属于本文要探讨的泄露行为;第四,泄露方式包括但不限于暴露、公布、丢失、访问,构成泄露的结果标准是“个人信息被置于不特定多数人可以获取、并且对个人信息主体造成潜在危险的状态”,这样可以避免一些正常的、或无关紧要、明显没有危险的丢失、公开等行为被纳入泄露之中,避免打击过宽而挤压个人信息的公共产品属性,以寻求个人信息主体与个人信息获得者之间的利益平衡。
2.新增、细化和完善个人信息泄露关系中的权利义务内容,加强全程嵌入式与流程化设计,强化合规自证、泄露通知、影响评估等义务
权利义务设置上,可吸取GDPR和发达国家正在实践的做法,正如传统产品质量责任对于产品设计的合理要求一样,从业务流程设计开始就将个人信息安全要求嵌入产品与服务之中,体现“设计即隐私”理念,实现个人信息保护全流程覆盖、全业务贯通[6]。我们现有规定并未真正嵌入企业的内部操作流程,缺乏一套更为详实、易于执行的制度设计和监管体制[13]。
个人信息主体的同意权、撤回同意权、删除权等行使,可以增强主体对个人信息的自主自控能力,能够间接预防个人信息泄露。因此,GDPR的细化规定,可以完全移植借鉴。信息主体的查询权、访问权、修改权等存在同样问题,可做类似完善。对于被遗忘权、可携带权,考虑到数据企业等个人信息控制者履行成本较高,且对收集的个人信息拥有财产权益,为平衡起见,可对个人敏感信息等赋予被遗忘权与可携带权。
对于泄露通知义务,我国规定过于简单,可以借鉴GDPR的做法,对信息主体与监管机关采取双重通知,通知时间可以不同步,信息主体要先于监管机关被通知、便于其及时修改信息采取自救等;通知内容、通知方式、通知的启动标准等,都可以参考GDPR之规定。此外,由于泄露危害巨大,通知义务又非常关键,而技术与信息网络环境在不断发展,所以不可能穷尽通知的所有细节并作一劳永逸的规定,因此应采取一些弹性标准,比如通知义务的目的可设定为:确保信息主体及时知情并自救、最大化避免损害,同时确保监管机构及时介入以组织和指导补救、最大化避免不良社会影响;相关规定也应围绕这个目标进行,否则通知义务履行就不合格,应承担相应责任。
此外,针对泄露防控,我国应当强化和完善类似于GDPR的合规自证和风险评估机制,由控制者、处理者就其信息处理行为的合规性进行证明、对行为的影响进行评估等,建立一套能够督促企业将法律规定“内化于心”的自证机制和监管体制。
(二)调整规制思路,设立统一的个人信息管理部门,加强和完善个人信息泄露的行政监管与执法力度,区分不同主体进行流程管理
要遏制个人信息泄露,我们还应在立法思路上进行反思与调整。规制对象上,我们没有区分主次,将个人信息控制者、处理者与其他个人信息泄露行为主体杂糅一团、一刀切地进行立法。规制方式上,我国现有立法主要倚重于刑法和民法规制,行政监管严重不足,各方面未充分发挥作用。
事实上,控制者、处理者本身也反对个人信息泄露,因为一次泄露既对其造成直接的经济损害,还会产生信誉危机、竞争危机和安全危机,并为之支付高额成本。因此,个人信息权利主体与互联网企业具有利益和发展的一致性。
作为公共产品,社会层面对个人信息的管理、控制和监督,应重点落在政府部门的行政监管上[14]。为克服目前多头管理的弊端,我国需要建立统一的个人信息行政监督机构与专门的数据保护官制度,并将其核心职责定位在确保控制者、处理者等信息处理的安全性上;在法律制度设计时,应当围绕个人信息主管部门如何确保个人信息控制者、处理者切实落实信息安全的保障工作、在信息泄露时如何处理应对为核心,加强过程监管。借鉴欧盟做法,政府层面,从中央到地方实行垂直管理,在财务、技术和人力等方面与地方政府保持独立[15];在企业等社会组织层面,强行要求配备专门数据官,并推出专业资质的考核与认证标准,可参考司法资格、教师资格、医师资格等专业领域的做法。
(三)加强个人信息泄露的法律责任体系构建,切实提高违法成本,确保个人信息泄露得到有效防控
个人信息犯罪和泄露依然频频发生,原因之一就是刑事责任偏轻,违法成本低,犯罪有利可图[16]。而民事领域,个人信息泄露造成的损害后果与传统的民事损害有很大区别,在侵权法上对其损害赔偿类型与范围认定不统一、举证难题久攻不下,导致个人信息权利主体经常因维权成本大而放弃维权或以败诉告终,很难起到防范个人信息泄露的作用。
权利救济上,我国信息主体现有四种途径:刑事制裁,行政举报、控告、诉讼,民事诉讼,针对个人信息管理者的自力申诉。我国未在特别法里明确规定可对个人信息泄露提起公益诉讼与行政诉讼,但根据我国相关法律规定与实践,并不存在障碍,并且已经出现个人信息的首例公益诉讼案例[17]。但是,在我国权利救济途径畅通之下,信息主体面对泄露危害依然很难得到救济。这除了相关规定对救济途径的实施细节与可行性关注不足外,还因为我国立法未就信息主体损害赔偿请求的范围和控制者、处理者的责任限度进行规定,对于个人信息泄露等造成的次生损害争议较大、尚无定论,有待进一步研究和完善。
个人信息泄露的核心法律关系应以行政法律关系为根本,其危害面向某一部分、甚至整个社会群体,因而构成社会问题。因此,有必要将个人信息泄露责任分担到数据使用者,通过对控制者、处理者的惩罚来实现个人信息安全。为起到充分的威慑作用,除加强刑事与民事责任外,目前我国特别需要提升行政处罚责任,增加现有的罚款定额,同时借鉴GDPR规定而增设按营业总额的比例处以罚款的标准。
参考文献:
[1]叶常成.2015年国内网络信息安全泄露事件盘点.[EB/OL].(2017-03-22)[2018-11-05].
[2]昂凯科技.2016年网络信息泄露大事件盘点[EB/OL].(2017-04-06)[2018-11-05].
[3]中国信息安全编辑部.盘点:2017年国内外重大数据泄漏事件[J].中国信息安全,2018(3):62-68.
信息安全论文投稿刊物:《信息安全学报》是由中国科学院信息工程研究所、中国科技出版传媒股份有限公司(科学出版社)主办的专业学术期刊。《信息安全学报》主要刊载信息安全及相关领域的理论研究及最新应用技术研究成果、学术热点及发展趋势展望等,内容覆盖信息安全科技和网络空间安全学科领域各方向。
转载请注明来源。原文地址:http://www.xuebaoqk.com/xblw/5152.html
《论我国个人信息泄露的法律对策》