查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《科技与法律》
个人数据保护的法治难题与治理路径探析
【英文标题】 Analysis of Legal Problems and Governance Paths of Personal Data Protection
【作者】 刘学涛【作者单位】 中央财经大学法学院
【分类】 人身权【中文关键词】 个人数据;泄露;数据权属;监管;规制
【英文关键词】 personal data; leakage; data ownership; supervision; regulation
【文章编码】 1003-9945(2019)02-0019-09【文献标识码】 A
【期刊年份】 2019年【期号】 2
【页码】 19
【摘要】

信息时代的来临在给人类社会带来深刻变革的同时,也在法律领域蕴藏着一场深刻的革命。信息技术的迅速发展在为我们生活提供便利的同时也在使得公民个人权益遭受损害,究其原因主要在于个人数据保护的相关法律问题还有待解决。为了更好地保护个人数据,我们需要从个人数据保护面临的形势、界定标准及主要范畴、原则、价值四个层面作为逻辑理论起点,进一步分析可以发现个人数据保护主要面临着数据权属不明、专项立法滞后、监管机构缺失、合作交流较少、自律机制不够五大法治难题。为了更好解决这一问题,需要从明确数据权属、加快制定《个人数据保护法》、设立监管机构、加强国际合作、建立自我规制路径入手,以期对我国个人数据保护机制的建构有所裨益,使得个人数据保护将持续发展。

【英文摘要】

The advent of the information age has brought profound changes to the human society, and it also contains a profound revolution in the legal field. The rapid development of information technology not only facilitates our lives, but also causes damage to citizens' personal rights. The main reason is that the legal issues related to personal data protection remain to be resolved. In order to better protect personal data, we need to take the four aspects as our logic starting point: the situation facing the personal data protection, the definition of standards and the main categories, principles, and values. Through further analysis, it can be found that personal data protection is mainly faced with five major legal problems, including unclear data ownership, lagging of special legislation, lack of regula- tory agencies, less cooperation and communication, and insufficient self-discipline mechanism. In order to better solve this problem, it is necessary to clarify the data ownership, speed up the formulation of the Personal Data Pro- tection Law, establish a regulatory body, strengthen international cooperation, and establish a self-regulatory path, so as to contribute to the construction of China's personal data protection mechanism and make the personal data pro- tection develop continuously.

【全文】法宝引证码CLI.A.1256545    
引言
  “互联网+大数据+人工智能+”时代已经悄然来临,伴随着中国经济的飞速发展和科技的巨大进步,信息时代真正地来到我们的身边,信息的含金量及其对日常生活的影响日益彰显。信息化时代,数据收集和数据共享的规模急剧增长,数据已经成为经济增长和社会价值创造的源泉,其实早在2011年世界经济论坛就已经将个人数据定义为新的资产类型,数据成为商业创新的源动力。在“软件定义一切”的智能时代中,无处不计算,万物皆互联,而计算和互联的基本要素是数据{1}。数据在我国的发展日新月异,其越来越成为人们学习、工作、生活的新空间,越来越成为获取公共服务的新平台。数据充分激活了人的能动性,并将其置于社会发展的崭新地位,相应的社会运作方式也开始发生了崭新的变化,“共享”、“平台”等概念开始迅速被安装进人的思维和行动逻辑中。数据的不断更新便利了人们的生活,但同时也带来了困扰,从最近热议的谷歌数据泄露到国内携程的“大数据杀熟”,数字时代的技术善恶论被推到了风口浪尖。数据的使用、共享和流通正在成为必须和必然,围绕数据所有、使用、定价、交易等的讨论一直是业界的热点,尤其是对个人数据如何进行保护,找到适合中国国情的数据保护模式,是产业界和学术界都亟需解决的问题之一。
  面对着数据时代日益蓬勃发展的大环境之下,如何通过法治治理保护个人数据这一核心问题思想,值得我们关注与思考的几个重要问题分别是:首先,个人数据保护的理论基础主要包括哪些?其次,个人数据保护面临的法治难题分别有哪些?最后,个人数据保护的治理路径有哪些?本文将对以上几个问题进行初步分析与尝试性回答。
  一、个人数据保护的理论基础
  “任何一个法律部门和法学体系都必须有深厚而坚实的理论基础和科学的理论逻辑的建构,否则这个法律部门的存在就缺乏合理性基础,这一法学理论体系就不能称之为现代科学。”{2}所以,一套成熟的理论犹如构建社会制度大厦的基石,而且任何一种社会制度的形成和发展离不开一定成熟理论的指导。个人数据保护作为一项新兴法律制度亦不例外,同样需要有极为深厚的理论基础。正是在这种理论基础的指导和推动之下,个人数据才得以产生、发展并不断完善。个人数据保护的理论基础主要需要明晰以下几个问题:首先,需要清楚个人数据保护面临的严峻态势;其次,应该明确个人数据的界定标准及主要包括的范畴;再次,总结出现行个人数据保护所遵循的原则;最后,分析出个人数据保护的两大法治价值。通过对此四个基础性问题的探讨与分析,将为下文的法治难题解决与治理路径建立起到很好的铺垫作用。
  (一)个人数据保护面临的严峻态势
  随着信息通信技术的应用普及,网络数据流转通道逐渐扩大,网络上流通的个人数据愈加广泛,全球个人数据安全问题日益凸显,盗取数据资源谋求商业利益的行为日益增多,形成了明显的黑色或灰色产业链。这类行为与用户权益联系紧密,轻则导致公民财产损失,重则危害行业发展,挑战监管底线。在过去的2018年,外媒统计已经确认的数据泄露事件高达2, 216起。去年3月发生的Facebook事件,超过8700万条数据被泄露和滥用;4月,国外广受欢迎的三明治连锁店Panera Bread因网站漏洞泄露顾客信息;8月,华住旗下多个连锁酒店开房信息数据在暗网出售,总量近5亿;11月,万豪酒店发布公告称旗下喜达屋5亿房客信息泄露,被索赔125亿美元;12月底,国民购票软件12306的470万条用户数据因第三方平台而遭到泄露。美国电信运营商Verizon发布的《2018年数据泄露调查报告》显示,网络犯罪所窃取的个人信息主要有支付细节、医疗记录、凭证等,这类事件主要集中在健康医疗、住宿和餐饮业、公共服务等领域。2018年是数据泄露的灰色之年。频频发生的数据泄露事件原因可能包括:1.个人数据外延的扩大。技术发展让个人数据的外延扩大,一切能识别、关联和反映到特定个人的信息都纳入个人数据范畴。海量数据的流转往往裹挟着大量的个人信息,使其边界日益模糊,增加了保护难度;2.技术发展的负外部性。人工智能、云计算等新技术的发展在更加依赖于数据资源的同时,不可避免地带来了负外部性,加大了个人数据的安全风险,冲击了个人信息保护体系。例如,勒索软件和恶意代码通过电子邮件、入侵服务器、攻击供应链、挂马网页、系统漏洞传播等方式盗取个人数据;3.监管模式的滞后。产业链的延长、市场主体的增加让个人数据的多向流动成为常态,使得个人数据安全的监管牵扯到多个行业、多个领域,导致监管目标和监管任务难以区分,冲击了传统监管体系,提升了监管难度。
  (二)个人数据的界定标准及主要范畴
  个人数据与公共数据是一组相对的概念,在当前时代背景下,有必要明确其定义。截止2018年,全球近120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区有待批准此类法案或倡议{3}。据不完全统计,当前世界上拥有个人信息保护法的国家有近90个{4}。“General Data Protection Regulation”(简称GDPR),翻译成《通用数据保护条例》《/一般数据保护条例》,是欧盟议会于2016年4月通过的关于个人数据保护的新法规{5},该法规完全更新了欧盟成员国以及任何与欧盟各国进行交易或拥有欧盟成员国公民数据的公司安全处理个人数据以及保证个人数据自由流动的规定,已于2018年5月25日正式生效,且是在28个欧盟成员国统一实施生效的。GDPR中对“个人数据”[1]的概念做了明确规定。按照经济合作与发展组织(Organization for Economic Co-operation and Development, OECD)理事会在1980年颁布的《关于规制个人隐私保护与跨境个人数据流通的建议》中的规定,所谓的个人数据,是指任何与可以或能够辨别出来某一个人有关的信息[2]。《信息安全技术—个人数据保护指南》(GB/Z28828-2012)将个人数据定义为:可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。从上述相关的定义可以发现对于个人数据主要是围绕可识别性来界定。
  反观我国国内学术界,关于个人数据的称谓一直争论不休(与个人数据称谓相同的主要有个人资料、个人信息、个人隐私等,本文对其不做以刻意区分,主要采用个人数据这一称谓)。随着关于个人数据本身讨论的不断深入,可识别性逐渐成为判断是否属于个人数据的核心元素,围绕可识别性界定个人数据也逐渐被广泛接受[3]。同时,现行的法律法规确定了个人数据的具体内容一种为定义加列举式,如工信部出台的《电信和互联网用户个人信息保护规定》《电信和互联网服务用户个人信息保护定义和分类》、中国科学技术法学会与北京大学互联网法律中心出台的《互联网企业个人信息保护测评标准》、中国互联网协会出台的《互联网终端安全服务自律公约》《互联网终端软件服务行业自律公约》、中国广告协会互动网络分会出台的《中国互联网定向广告用户信息保护框架标准释义和基本指引》等均采取此种界定模式,即除了给出个人数据的一般定义外,还列举典型的个人数据类型以及排除类型。另一种则为单纯定义模式,如工信部出台的《规范互联网信息服务市场秩序若干规定》、国家质检总局与国家标准委出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》、中国广告协会互动网络分会出台的《互联网定向广告个人信息保护声明》、国家质检总局与国家标准委出台的《健康信息学推动个人健康信息跨国流动的数据保护指南》、中国人民银行出台的《中国金融移动支付检测规范第8部分:个人信息保护》等均使用了单纯定义的方式,并未列举典型的个人数据类型。而上述两种模式其共同点在于都运用了定义的方式,而在定义之中都强调了可识别性对于判别个人数据的重要性。
  结合目前的立法态势,不难发现全球立法对个人数据的定义逐渐呈现趋同性的趋势,个人数据的“识别性”构成了国际公认的一般特征。具体到我国,2012年全国人大《关于加强网络信息保护的决定》第条就明确规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。因此,“一切与个人身份及行为有关的内容都可以相继纳入个人数据的范畴”。上文提及到数据泄露的原因之一可能包括个人数据外延的扩大,因此,为了使得数据泄露事件减少发生,我们有必要对其予以严格限定化。本文认为个人数据主要范畴将其归纳整理主要可以包括(具体参见如下图1):(1)身份信息,如:姓名、年龄、居住地、 ID号码、国籍、种族、民族、政治面貌等;(2)偏好信息,如:生活习惯、饮食习惯、业余爱好、行为模式、个人好恶、消费习惯;(3)网络信息,如:网络账户(昵称)和密码、位置、IP地址、Cookie数据和RFID标签等;(4)社交信息,如:家庭、朋友、社会关系、成长经历、社团组织、通讯记录等;(5)生物识别,如:人脸、指纹、虹膜、声音、遗传信息等;(6)职业信息,如:职务、工作单位、收入、工作经验、社会保险、公积金等;(7)健康信息,如:医疗、保健、运动数据等;(8)经济信息,如:储蓄、投资、理财、资产、负债、房产、租金等;(9)其他信息,如:性取向、宗教信仰、犯罪记录等。
  图1个人数据的主要范畴
  (三)个人数据保护的原则
  有关个人数据保护的原则最重要的是经济合作与发展组织在1980年颁布的《关于保护隐私和个人数据跨国流通指导原则》中有关个人数据保护的8项原则[4],将其可以概括为开放性、个人参与、责任、使用限制、数据质量、收集限制、特殊目的与安全(具体见表1)。
  表1个人数据保护的8项原则

┌────┬────────┬───────────────────────┐
│序号  │原则      │主要内容                   │
├────┼────────┼───────────────────────┤
│1    │公开原则    │必须以方便的方法和人们容易理解的语言向社会公开│
│    │        │有关个人信息保护的政策            │
├────┼────────┼───────────────────────┤
│2    │个人参与原则  │信息主体有权知道自身信息的所在位置,有权对自身│
│    │        │信息提出质疑.有权对自身信息进行修改、完善、补 │
│    │        │充和删除                   │
├────┼────────┼───────────────────────┤
│3    │责任原则    │个人信息的管理者对个人信息的保管负全责    │
├────┼────────┼───────────────────────┤
│4    │使用限制原则  │对个人信息资料的提供不得超出收集目的,不得随意│
│    │        │提供给第三者                 │
├────┼────────┼───────────────────────┤
│5    │数据质量原则  │个人信息必须在利用目的范围内保持正确、完整及最│
│    │        │新状态                    │
├────┼────────┼───────────────────────┤
│6    │收集限制原则  │个人信息的收集必须采取合理合法的手段,必须征得│
│    │        │信息主体的同意                │
├────┼────────┼───────────────────────┤
│7    │目的明确原则  │个人信息收集目的要明确化,不能超范围利用   │
├────┼────────┼───────────────────────┤
│8    │安全保障原则  │对个人信息的丢失、不当接触、破坏、利用、修改、│
│    │        │公开等风险必须采取合理的安全保护措施     │
└────┴────────┴───────────────────────┘

  资料来源:经济合作与发展组织
  随着8项原则的公布,许多国家(地区)以此8项核心原则为依据制定本国(地区)的个人数据保护法,并在此基础上不断进行补充和完善。早在1995年,欧盟就出台了涵盖广泛并极具前瞻性的《个人数据保护指令》;1998年6月,美国电子工业协会、美国工商协会和AOL、 IBM、Bank of America等100多家主要团体和企业成立了在线隐私联盟(Online Privacy Alliances, OPA),发布了《在线隐私指导》;中国台湾地区于1995年出台了“电脑处理个人资料保护法”;次年中国香港出台《个人资料私隐条例》。在中国大陆,2006年大连市推出针对个人数据保护的地区性规定——《大连软件及信息服务业个人信息保护规范》;深圳于2010年提出了个人数据保护的立法起草;2019年全国两会期间,个人数据保护再次成为热点,在3月4日十三届全国人大二次会议新闻发布会上,大会发言人张业遂透露,“全国人大常委会已将制定个人信息保护法列入本届立法规划,相关部门正在抓紧研究和起草,争取早日出台”。个人数据保护原则的出台促进了相关国家法律法规制度的陆续建立,虽然我国目前尚没有一部完整的关于个人数据保护的法律制度,但是下一步在制定具体法律法规时可以借鉴现行的规定并且将该原则贯彻到法律法规具体条文之中。
  (四)个人数据保护的法治价值近年来,随着科技的进步与发展,尤其是网络技术的突飞猛进,一些机构或个人无视职业道德或保密义务,不当搜集、恶意使用、出售牟利、任意泄露居民的个人数据资料,严重侵犯了居民依法享有的人身、财产、隐私等基本权利,破坏了正常的社会管理秩序。法治在国家治理现代化中的功能是多维度和结构性的,其最重要的功能是在于提供正当性、合法性和权威性的基础,发

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}李安.人工智能时代数据竞争行为的法律边界[J].科技与法律.2019(1):61-70.

{2}刘学涛.法治政府视阈下的权力清单探析——以习近平总书记提出的理念为切入点[J].管理研究.2018(2):1-21.

{3}王融.迷雾中的新航向——2018年数据保护政策年度观察[2019-01-20].http://www.sohu.com/a/285519767_455313.

{4}人民网.全球90个国家和地区制定个人信息保护法律[EB/OL].(2017-08-10)[2019-02-25].http://world.people.com.cn/n1/2017/0810/c1002-29463433.html.

{5}张里安,韩旭至.“被遗忘权”:大数据时代下的新问题[J].河北法学.2017(3):35-51.

{6}钱锦宇.法治视野中的现代国家治理:目标定位与智识资源[J].西北大学学报(哲学社会科学版).2016(6):41-50.

{7}刘惠.建设法治政府须突出重点和特色[J].中国党政干部论坛.2019(3):88-90.

{8}[法]莱昂·狄冀.公法的变迁:国家与法律[M].郑戈,冷静,译.辽宁:春风文艺出版社,1998.13.

{9}杨杰.被遗忘权的明晰及本土化探究[J].重庆邮电大学学报(社会科学版).2018(4):67-78.

{10}涂子沛.大数据[M].广西:广西师范大学出版社,2015.34.{11}吴晓灵.个人数据保护的制度安排[J].中国金融.2017(11):11-13.

{12}张文显.新思想引领法治新征程——习近平新时代中国特色社会主义思想对依法治国和法治建设的指导意义[J].法学研究.2017(6):3-20.

{13}郭瑜.个人数据保护法研究[M].北京:北京大学出版社,2012.225.

{14}朱新力,周许阳.大数据时代个人数据利用与保护的均衡—“——资源准入模式”之提出[J].浙江大学学报(人文社会科学版).2018(1):18-34.

{15}田野.大数据时代知情同意原则的困境与出路——以生物资料库的个人信息保护为例[J].法制与社会发展.2018(6):111-136.

{16} Luciano Floridi. Introduction in Luciano Floridi (ed), The Online Manifesto——Bejing Human in a Hyperconnected Era[M]. Springer, 2015.2.

{17} Nadezhda Purtova. The law of everything. Broad concept of personal data and future of EU data protection law[J]. Innovation and Technology, 2018, 10(1):40-81.

{18} Schwartz paul and Solove Daniel. The PII Problem: Pri-vacy and a New Concept of Personally Identifiable Infor-mation [J]. New York University Law Review, 2011(86):1814-1894.

{19} O Tene and J Polonetsky. Big Data for All: Privacy and User Control in the Age of Analytics[J]. Northwestern Jour-nal of Technology and Intellectual Property, 2013, 11(5):240-272.

{20}王利明.数据共享与个人信息保护[J].现代法学.2019(1):45-57.

{21}刘学涛.大数据时代个人信息的行政法保护分析:内涵、困境与路径选择[J].南京邮电大学学报(社会科学版).2018(6):23-31.

{22}何培育,童娅.个人数据保护问题与对策——以企业为视角的展开[J].人民论坛.2015(35):146-148.

{23} T Zarsky. Incompatible: The GDPR in the Age of Big Da-ta[J]. Seton Hall Law Review, 2017(47):995-1005.

{24} M Hildebrandt. Privacy as Protection of the Incomputable Self: Agonistic Machine Learning (forthcoming) Theoreti-cal Inquiries in Law.https://ssrn.com/abstract=3081776.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1256545      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多