中国IDC圈1月21日报道:大数据时代促进信息的自由流动和共享是政府管理、商业发展和技术创新的需要。与此同时,海量个人信息的收集、处理、利用和共享又会对公民的个人信息安全尤其是隐私和其他一些敏感信息的安全带来巨大威胁。如何处理好促进信息自由流动与保护个人信息安全之间的关系,是信息社会不可回避的问题。我国如果不及早和国际接轨建立个人信息保护制度,必将在国际贸易中受到排挤,国际企业和组织大量采集我国公民个人信息的行为得不到有效规制也会对我国经济社会安全带来威胁。欧盟法院近日宣布欧美间的“安全港”协议立即失效值得我们警醒。下面就完善我国个人信息保护制度提出六点建议:
树立正确的保护理念:保护与利用的平衡
信息社会中的个人信息保护具有不同于传统社会隐私保护的特征,需要兼顾数据的利用价值与保护之间的平衡。信息的自由流动和开发利用对社会进步具有重大作用,而一国对数据利用和保护的法律制度的宽严程度又会对该国数据技术的创新带来影响。美国加州大学戴维斯分校教授Chander研究发现:美国法律制度对中间平台的保护更为有力,在美国属于创新范畴的活动在欧洲、亚洲国家可能会被认定为违法,正是这种对于中间平台的法律保护,奠定了美国互联网产业飞速发展的基础。但如果利益的天平过分偏向企业,又会阻碍整个行业的健康持续发展。
在个人信息保护领域,如果公民的个人信息尤其是敏感信息被滥用而得不到有效保护,则既会侵害公民的基本权利,又会降低网民的安全感,全社会将陷于对“透明人”的恐惧之中,极端情况甚至会引发“反互联网”、“反信息化”的浪潮。因此,我国个人信息保护制度在设计理念上必须兼顾保护与利用的平衡。
保护模式选择:国家统一立法为主、行业自律为辅
世界范围内对个人信息的保护存在两种模式:以美国为代表的“分散立法+行业自律”模式和以欧盟为代表的国家主导统一立法模式。结合我国法制传统和立法现状、政府管理理念以及行业发展现状,我国应兼收并蓄,采取“国家统一立法为主、行业自律为辅”的个人信息保护模式。
首先,世界范围内采取立法模式通过制定个人信息保护法来保护个人信息的国家居大多数。其次,相较于美国的分散立法模式,欧盟的统一立法模式更适合我国。美国之所以采用分散立法模式,一是因为在个人信息保护的需求大量出现前,其已经有比较完备的隐私法,而且其判例法制度也使得其法院可以通过判例不断扩展“隐私”的范围;二是因为其行业协会非常发达,在广大的私领域行业自律发挥着重要作用,国家只需在少数隐私法和行业自律不能解决问题的领域立法补充。而我国这两方面的条件均不具备,通过统一立法来规范个人信息的收集处理行为既不会造成立法资源的重复浪费,相反却有利于充分发挥统一立法的优势。最后,通过政府引导积极发挥行业自律的作用可以成为立法保护的有力补充。网络技术日新月异,无论是立法还是政府行政管理手段难免会滞后,行业自律可以弥补统一立法滞后、僵化、针对性不足等方面的缺陷,从而很好地平衡个人信息保护与产业发展和技术进步的关系。
将政府的个人信息收集、处理、利用和共享等行为纳入《个人信息保护法》的调整范围
在任何国家政府都是最大的个人信息收集和处理者,对政府的个人信息收集和处理(包括共享)行为予以规范,是个人信息保护的重要方面。政府出于其行使职权的必要和便利很容易掌握公民的大量个人信息尤其是高度敏感信息,公民在个人信息被采集和处理时对政府也比对企业有更多信任。政府掌控的个人信息不仅对政府公共管理意义重大,企业也有强烈的共享需求。一方面,政府需要对企业的共享请求作出回应,在不侵害信息主体合法权益的基础上向社会公开或者依申请提供这些信息;另一方面,政府收集处理包括向其他政府机构和企业传输、共享个人信息的行为也必须受到法律的严格规范,否则极有可能导致政府成为侵害公民个人信息的最大威胁,不仅损害政府公信力,还有可能导致政府后续采集个人信息的行为受阻。因此,政府理应在公民的个人信息保护方面比企业尽更多义务。