通知公告
关于尽快出台《个人信息保护法》并完善其相关配套文件的建议
近十年来,我国大力度推动了云计算、大数据、人工智能等数字经济新兴技术从诞生到逐步成熟,深刻影响了群众生产和生活的方方面面。当前,数字经济和人类生产生活交汇融合,海量数据的集聚与利用成为推进数字中国、智慧社会的关键资源要素。数字经济时代,一方面,数据成为企业发展中最重要的竞争资源;另一方面在数据处理过程中,个人信息泄露或者被滥用的案例呈高发趋势,形势严峻。比如,大家每天不胜其烦地接到骚扰电话、短信、邮件,日常工作和生活受到骚扰,甚至造成财产和名誉损失,而造成损失的主要原因是由于个人信息的泄露、共享和非法交易。相关数据显示,2011年至2014年短短三年内,全球DDoS攻击量增加了30倍以上,每年各种网络犯罪、攻击对全球经济造成的损失高达4000亿美元。近年来,我国互联网中的个人信息泄露问题也频发出现,对人身家庭安全以及正常的工作生活带来巨大影响,其中营销电话、电信诈骗、短信骚扰等尤为突出,一些利用个人信息进行的精准诈骗、精准推销,极大地损害了个人的经济利益和人身利益。据调查,在一些地区,最低一分钱就可以买一条个人信息。例如,2019年,不法分子和圆通快递相互勾结,致40万条个人信息泄露。十九大以来,党和国家愈发重视网络信息安全,习近平总书记指出,“没有网络安全就没有国家安全”。应该说,个人信息保护对保护公众的切身利益、国家信息安全和国家利益都有重大意义。为应对新技术带来的全新挑战,各国各地区纷纷将个人信息保护或数据安全作为立法重点。我国在个人信息权益、个人信息处理规则、个人信息安全保护措施等都作出了相关的规定,主要体现在《民法典》《网络安全法》《电子商务法》等法律法规和规范性文件当中。同时,针对个人信息保护的专门性立法《个人信息保护法(草案)》也即将出台。
虽然我国宪法、民法、刑法和网络安全法等重要法律对个人信息保护都有规制作用,但是由于法律规定分散,无法实现对侵犯个人信息行为的有效打击。因此,迫切需要统一的个人信息保护法,构建全面的个人信息保护法律体系。为此,建议尽快出台《个人信息保护法》,并细化完善相关配套文件。具体建议:
1、控制数据行为事前防范。一是建立事前源头防范。当前,我国现有法律法规中,刑法修正案(七)规定了国家机关、金融、电信、医疗等机构在获得个人信息后,将信息出售或非法提供给他人的,将被处以刑罚,窃取或者以其他方法非法获得个人信息的,亦将处以刑罚。刑法修正案(九)增加规定出售或者非法提供公民个人信息是犯罪。但是这些均为事后惩罚措施,效果还不明显。应当在《个人信息保护法》中,重点控制事前的源头防范,将对个人数据的使用纳入到法律层面,在民事、行政、刑事方面给予全方位综合保护,才能更加有效维护个人信息安全。二是构建立体保护网。其中,政府工作人员当起表率作用,把保护公民信息当作职业操守,健全保密和监督约束机制,全程监控收集、使用和披露公民信息的行为,网络服务提供者必须履行好网络安全管理义务,电信运营商以及其他公司对经营和服务中获得的用户个人信息,应当采取有力措施防止泄露或不当利用,其他行业从业人员严格个人信息泄露,在全社会形成尊重和保护公民个人信息的良好社会氛围。三是把握法律准绳。司法部门把握法律精神,正确理解和准确适用法律,依法严厉打击侵害公民个人信息的违法犯罪,提高不法分子的违法成本。对于办案过程中发现的社会管理方面的漏洞,及时提出司法建议,督促立即纠正。
2、注重个人数据采集内涵。数据采集方应从有利于保护数据被采集方的个人信息和隐私权的角度开展相关数据采集工作。一是出台数据采集国家标准和行业规范。采集方必须基于数据采集的必要性而进行相关的数据采集行为,数据采集方对数据的采集使用、收益和处置等所有数据行为应征求被采集方同意并充分授权,必要时签订授权协议,数据使用包括将采集的数据用于生产、人工智能和大数据分析、制作用户画像等经济行为。如被采集方对于某项数据行为有意拒绝授权的,采集方应停止该项数据行为。建议出台数据采集国家标准和行业规范。二是充分保护被采集方的数据信息。依照国家相关法律法规和有关部门的监管规定,对被采集方提供的数据采取必要保护措施,不得泄露;在无相关法律法规和监管明确要求时,最大程度地降低数据安全风险;部分行业若未达到完全必要保护时,则会面临相关处罚。三是被采集方享有数据采集的知情权。被采集方有权获知其被采集了哪些数据,采集到哪里,用于何处,被何人获得等;有权要求采集方对与被采集方相关的不准确数据进行修改和更正;有权要求采集方彻底销毁与被采集方有关的数据。四是健全个人信息技术保护机制。通过技术措施来实现对个人信息的保护。比如加密技术和安全保护技术,在个人信息收集、处理、利用和传递时,对相关信息进行加密处理,并且在公民个人进行个人信息的使用时,对其使用行为的全过程进行安全保护。
3、加强数据行为过程管控。一是明确个人信息隐私标准。明确个人信息和隐私的定义、种类、数据属性、合法用途、基本保护方法等元素,作为提供个人信息和隐私保护的权威参考依据;在立法中设计合理的数据利用机制,设立信息层级制度,比如分为基本信息、敏感信息和专业信息等,让个人信息收集和利用更具可操作性。二是建立行政监管和处罚机制。强化行政监管,依照相关法律规定建立完善个人信息和隐私保护的行政监管和处罚机制,对于侵犯公民个人信息和隐私的严重和典型案例依法从重处罚,敦促相关单位建立健全数据生命周期安全保护措施,加强数据安全管控。三是加强社会宣传和群众监督。加强个人信息和隐私保护的公众宣传力度,普及相关法律法规知识,通过媒体面向全社会形成倒卖泄露公民信息是犯罪的共识,提高全民的参与意识和自我保护意识,通过各种宣传途径使公民认识到个人信息保护的重要性,并使公民了解到保护个人信息的方法和要领;不断优化完善社会群众监督机制,开通社会各界群众对违反个人信息和隐私保护相关规定的监督举报渠道。
相关阅读
留言箱