以数据为主要要素的数字经济是新质生产力的主要表现。高质量发展的数字经济是建设现代化经济体系应有之义,必须加快发展数字经济,推动实体经济和数字经济融合发展。深入推进数字经济向高质量发展已势在必得,互联网数字化的高质量发展使得人们生活变得越来越便利的同时,个人数据的收集、加工、分析、整合成为数字经济的重要内容。个人信息已发展成为一块“富矿区”,被各个利益集团所追逐,个人信息数据保护成为全球性问题。
近年来,行业领域相关人员、电商、互联网金融平台泄密、非法倒卖个人信息等事件时有出现。新时代新征程,需要数字经济高质量发展,需要充分保护个人信息,应始终坚持在法治轨道上推进个人信息保护,以制度化、规范化的个人信息保护为数字经济高质量发展打下良好的基础。
一、数字经济高质量发展与个人信息保护
发展经济就是为了让人们有更多的幸福感、安全感和获得感。随着数字经济的发展,数字化就业、数字化贸易、数字化消费、数字化平台、数字化医疗正在迅猛地改变着人们的生活。在数字时代,人化身为具有特定性的数字符号,“人人贡献数据,人人享受数据”,数据为人民群众日益增长的美好生活提供养料,其中个人信息为数字经济提供着源源不断的“燃料”。在一定程度上,对人的保护就是对个人信息的保护。高质量发展数字经济是为了人民群众更加美好的生活,为了增进人民福祉,如果我们不能充分保护个人信息或者对个人信息的保护过于粗疏,则违背了初衷,违背了初心。因此,数字经济高质量发展需要充分保护个人信息。
《中华人民共和国民法典》第一千零三十四条第二款规定,个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。《中华人民共和国网络安全法》第七十六条第五项规定,个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《中华人民共和国个人信息保护法》第四条规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。可以看出,我国法律对个人信息的规定涵盖较为广泛,已初步形成了以民法典、网络安全法、个人信息保护法为骨干的个人信息保护体系。
个人信息保护的目的在于保护公民的正常生活和人身财产安全,从个人信息与个人物质生活和精神文明生活相关性的角度,可将个人信息从敏感性信息、安全性信息、生活性信息三个方面进行定义、分类,并针对不同类别的个人信息采取不同程度的保护措施与处罚方式,以体现法律的严谨性。一是敏感性信息是指与公民精神文明生活关系最为密切,同个人的联系极为密切的信息。一旦泄露,可能产生侵犯个人相关权益,造成严重的后果。例如,民族、政治观点、宗教或哲学信仰、涉及健康等的数据、基因数据、瞳孔数据、面部数据和指纹数据等。二是识别性信息是指与公民精神文明生活和物质生活均有一定影响的信息。该类信息带有明确的个人指向性,与个人安全联系最为紧密。例如,账号和密码、个人或家庭财产状况、通讯地址、诚信记录及照片、社会关系、身份信息、电话号码、犯罪记录、职业信息等。三是财产性信息是指与公民精神文明生活联系较少而与物质生活影响较大的信息。其特点是商业利益巨大,通过大数据技术手段可以有效的为决策者提供精确的分析,辅助决策。主要包括消费记录、个人爱好、搜索记录、大数据行踪轨迹等。
二、数字经济高质量发展下个人信息保护的不足
当下,我国已初步形成了以民法典、网络安全法、个人信息保护法为骨干的个人信息保护体系,极大加强了对个人信息的法治保障,我国在个人信息保护方面所采取的努力已初见成效。据第51次中国互联网络发展状况统计报告显示,截至2022年12月,65.9%的网民表示过去半年在上网过程中未遭遇过网络安全问题,较2021年12月提升3.9个百分点。遭遇个人信息泄露的网民比例最高,为19.6%;遭遇网络诈骗的网民比例为16.4%;遭遇设备中病毒或木马的网民比例为9.0%;遭遇账号或密码被盗的网民比例为5.6%。在网民遭遇网络安全问题中,个人信息泄露问题仍是最严重的问题,其比例为19.6%,甚至高于网络诈骗16.4%。可见,个人信息保护仍然存在一些不足。
第一、有关个人信息保护的立法有待进一步完善。首先,个人信息的界定不够完善。民法典、网络安全法、个人信息保护法中有关个人信息的界定并不完全一致。其次,具体法律中有关个人信息保护的规定需要完善。例如,个人信息保护法中对个人信息保护存在如下缺失:一是不同意则不能用的问题。虽然该法第十六条明确规定,个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务。现实中,公民在正常使用部分软件时,常出现因不同意相关软件的权限内容,而不能使用整个软件的情况。过度索取个人信息屡禁不止。二是一次同意则覆盖全部同意的问题。部分软件在更新相关协议之前并未告知用户是否更新,而相关软件则视为用户已经进行了同意。三是互联网消费大数据“杀熟”问题。不同的用户在使用不同的软件时,出现了相同消费项目不同价格,往往不同程度地侵犯了用户的知情权、选择权、公平交易权,破坏了市场秩序。再次,部分法规规章的追责机制不完善,一是缺乏有效的个人救济程序。数据安全管理办法明确规定,网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。随着互联网技术的快速发展,仅靠网信部门受理公民的个人诉求,所能达到的效果非常有限。二是行政处罚力度需要加大。由于个人信息侵权涉及人数众多,具体到信息主体个人而言损失的赔偿数额非常低,因此,相关行政法规和规章对于侵犯个人信息的行为从设定行政处罚措施入手是合理的,但是罚款的数额同犯罪的成本极不相称。例如,网络安全法第六章中规定的罚款数额大多在10万元以下,相较于侵犯个人信息的违法获利,处罚力度明显偏弱,导致相关主体违法成本过低,难以达到遏制侵权行为的目的。
第二、有关个人信息保护的执法需要进一步完善。首先,大型的互联网公司对于个人信息数据的争夺日趋激烈且技术手段相对隐蔽,为行业的监管带来不小的难度,存在相关漏洞和机制不完善等问题,如何攻克两难难题,主要从完善相关法规制度中作为抓手。其次,存在执法力度不严、处罚力度较轻等问题,而且由于技术困难等原因导致监管力度不足,需要进一步加大监管和处罚的力度,使之肆意侵犯用户数据者受到严厉的惩罚,让个人信息保护法真正奏效。
第三、个人信息泄露预防机制不健全。首先,亟待出台数字经济市场数据库交易规范。从技术角度看,经过大数据手段处理后的个人信息数据库,具有极高的经济价值,如果不进行严格的保密处理,将严重侵犯个人隐私。目前国内实行的网络实名制,很多互联网公司或多或少均掌握着公民身份证信息、账号、居住地址等信息,在有着巨大的利润的个人信息交易领域,对不法分子来说存在铤而走险的可能。其次,个人信息立法着眼于事后救济,只能在个人权利受到侵害后才能有追诉的权利,并对其适用严重的惩罚性措施。然而,通过这些惩罚并不能及时有效的消除个人信息泄露带来的影响。很多情况下,这些影响当时并不明显,而是在生活中慢慢体现,事后的惩罚性措施违背大数据时代下的个人信息立法以预防为主的法治要求。
第四、相关主体意识和能力亟待提升。首先,由于个人信息能为公民带来财产性利益尚不明显,公民在保护个人信息方面的意识比较淡薄和维权能力较弱。有调查报告显示,多数受访者认为存在大数据“杀熟”现象,有过被大数据“杀熟”经历。被“杀熟”的用户有一半选择自认倒霉,只有不超过5%的受害者选择途径维权。这说明由于侵犯个人信息的维权成本高、诉不了、不会诉等原因,维权用户仅占少部分。其次,缺乏对大数据工作人员的准入机制。行业准入资格是指从事某些特定行业所必须具备的条件和资格。这些资格可能包括教育背景、工作经验、职业认证、年龄、性别等。在某些行业中,准入资格是必要的,以确保从业者具备必要的知识和技能,从而提高行业的专业水平和声誉。在其他行业中,准入资格可能是为了保护消费者利益,确保产品质量和服务水平。行业准入资格的种类繁多,不同的行业有不同的准入资格要求。例如,医疗行业需要医生、护士等从业人员具备相关的教育和执业资格,金融行业需要从业人员具备相关的证书和工作经验,律师、会计师则需要通过国家法律职业资格考试等。有些则需要具备相关的教育背景和工作经验;还有一些行业可能需要满足特定的年龄、性别等要求,目前缺乏对大数据行业领域相关人员的准入机制。
三、数字经济高质量发展背景下完善我国公民个人信息保护的建议
一是明确个人信息权益边界及保护范围,将个人信息区分为敏感性信息、识别性信息、财产性信息,针对不同的群体采取不同的保护措施。对于普通公民,应当尊重其信息主体权利,对于敏感性信息和识别性信息进行严格保护,对于财产性信息,实行匿名化处理。对于政府工作人员、公众人物及有影响力的社会人员,应当严格保护其敏感性信息,除涉及国家利益、商业秘密和公众利益外,对于识别性信息和财产性信息则可以采取宽松的政策,以达到对个人信息的精准保护。
二是建立以政府各部门为主导、行业间相互协同、社会人人参与的三方联动机制。个人信息保护法第十一条规定,国家建立个人信息保护制度,预防和惩罚侵害个人信息权益的行为,加强个人信息保护宣传教育,形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。个人信息保护涉及面广,部分政府职能部门交叉或者职权定位不够明晰,亟需形成监管合力。在维权方面,相关部门可以出台绿色维权和投诉渠道,降低用户维权成本,同时提高维权便利度从而激励维权行为;由国家网监部门牵头,各企业数据安全责任人、从事信息保护的企业及有着一定专业素质的高学历人才,组成信息监管委员会,对政府部门、企业中个人信息收集范围、用途、内部监管机构设立和安全技术情况进行审核,接受对个人信息管理者危害个人信息安全行为的投诉和举报,对于个人信息收集工作中未能按要求落实的单位和个人进行严肃追责问责。
三是以市场主体为主构建信息收集主体的准入审查机制,对于市场主体、企业及非政府单位工作人员,开展个人信息收集工作前要对相关人员进行严格的审查与政审,确保信息收集者的稳定性和纯洁性。同时,明确其收集信息范围,对于敏感性信息的收集,应当控制在相关人员范围内,并严禁相关数据在市场流转;对于识别性信息收集,采用市场准入机制,其中,识别性信息收集的企业及非政府机构,网信部门进行资格审查,对于安全技术不到位的企业不允许其开展识别性信息收集工作。对于财产性信息收集的企业实行备案制,严格按照个人信息保护法、网络安全法、数据安全管理办法等相关法律法规的规定开展信息收集工作,发现问题并加重查处问题,使收集信息的主体保持一定的稳定性。(潘瑞琦)
(编辑:马慧彬)