原标题:《个人信息保护法》要取“信”于民、护“信”为民
最近,备受关注的《个人信息保护法(草案)》在全国人大网站公开征求意见,并将在修订后进行审议。在万物互联和处处留痕的互联网时代,人们越来越关注个人信息的保护。草案公布不足一周,已有57人参与并提出102条意见,足见人们对这部法律充满期待。
近些年来,互联网企业发生过严重的个人信息保护不力问题,使个人信息被泄露、盗用、误用、滥用。由于个人信息泄露而引发的风险使人们细思极恐,而毫无隐私可言的互联网生活也令人们谈之色变。无论是魏则西百度医疗门事件,还是徐玉玉电信诈骗案,都让人们认识到个人信息保护不力而导致的人身安全风险和生命财产威胁。
出台《个人信息保护法》,既是时代趋势,也是世界潮流。《2020联合国电子政务调查报告》显示,所有电子政务领先国家均颁布了个人数据保护的相关法律,而越来越多的国家也在逐步将个人信息保护纳入立法范围,并加大法律执行力度。颁布《个人信息保护法》,将有利于进一步筑牢个人信息保护的制度藩篱,使民众能够生活在一个更加安全和可预期的互联网环境中。
保护个人信息,要真正做到取“信”于民,护“信”为民。取信于民意味着政府和企业会获取公民的个人信息,不断创造商业价值和公共价值。随着大数据和人工智能技术的发展,数据越来越成为新生产要素。2020年5月,中共中央、国务院颁布《关于构建更加完善的要素市场化配置体制机制的意见》,明确数据作为新新生产要素,并鼓励数据共享和开放。
与此同时,企业和政府也要取得民众的信任,否则就很难形成持续利用个人信息的健康规范格局。“信安”方能心安,如果个人信息无法得到安全保障,那么民众就无法心安地提供和分享个人信息,也会使大数据分析所蕴含的商业价值和公共价值难以充分释放。
护信为民意味着要以人民为中心地保护个人信息,使民众对个人信息处理者充满信任。民众对企业的信任是脆弱的,一旦破坏就很难重建,所以要像呵护娇嫩的花朵一样呵护公民信任。随着人们的受教育程度、认知水平和维权意识的不断提升,越来越多的人认识到个人信息泄露的危害,并不断提高对个人信息处理者的要求。一个政府部门或企业在处理个人信息时的失信,可能会导致用户群体对全行业乃至全网的系统性不信任,对于更好地发挥个人信息的作用而言可能带来灭顶之灾。
同很多发达国家相比,中国民众对个人信息保护的认知有明显差别。比如,目前政府和企业开发的社会信用体系得到了民众的高度认同,而没有像许多人所担忧的那样遭遇抵制。有调查显示,高收入、高学历的城镇居民对社会信用体系的接受度是最高的,而老年人的接受度也较高。民众之所以认可社会信用体系,就在于他们认为它可以促进行为规范、社会文明和经济发展,而对个人隐私方面的担忧并不强。与此同时,社会信用体系的应用,也的确对民众的行为产生了一定的影响。民众之所以会对社会信用体系做出行为改变,主要是出于物质利益和社会认可,而不是担忧可能招致的惩罚。
中国民众对个人信息保护的开放态度,使一些企业过度收集个人信息,并加剧了个人信息泄露风险。一些企业为了获取个人信息,不惜采取数据霸凌策略,威胁用户不提供相关信息或让渡信息权利,就无法获得必要的服务,致使个人信息面临泄露和滥用的巨大风险。一些在特定行业或细分领域处于垄断地位的平台企业,也往往对用户提出“非分之想”,过度收集个人信息并使信息泄露风险陡增。
无论是杭州市尝试渐变色的“健康码”,还是苏州市试点“文明码”,抑或是北京市探索人脸识别技术在垃圾分类中的应用,都反映了政府部门对采集和利用个人信息的渴求。但是,这些方面的应用也引发了社会的较高担忧,说明在用户和个人信息处理者之间的认知差距在不断拉大。草案明确了个人信息保护的基本原则、个人信息处理者的义务和个人的权利,为守住个人信息保护的底线提供了法制保障。但是,
如何在有法可依的背景下做好个人信息保护,是立法之后需要高度关注的课题。
首先,可以考虑进一步加大对侵害个人信息的不法行为的惩罚力度,使个人信息处理者不敢越雷池一步。
个人信息被一些人恶意侵害,同个人信息处理者的违法成本过低有关。草案规定的违法行为,最高可以罚款5000万元或者企业年度营业额的5%,构成犯罪的将依法追究刑事责任。这意味侵害个人信息的法律责任不可谓不重,但是同个人信息处理者的违法成本相比,同其所造成的经济社会损失相比,可能还有必要进一步强化。
明确确定的最高处罚额度,有必要根据实际情况和他国实践予以上调,甚至可以不考虑设上限,使严重违法侵害个人信息安全的企业被罚得倾家荡产,否则就无法使企业对个人信息保护产生敬畏感。与此同时,要用重典塑良序,进一步明确违反规定的“入刑”标准,切实提高个人信息保护的法律门槛。
其次,政府部门应该带头做好个人信息保护,以上率下地推动个人信息保护事业。
目前各地都在推动“互联网+政务服务”,但是也出现了个人信息保护不当而引发的隐私泄露担忧。随着跨地区、跨部门、跨层级和跨系统的政务服务“一网通办”加快推进,个人信息的跨域交换也会使“木桶效应”的潜在风险凸显,因为个人信息保护效果同其中的最短板有关。
政府部门应确立个人信息的最小化采集原则,不过度收集个人信息,并确保个人敏感信息得到妥善保存。政府部门可以通过匿名化、差分隐私保护等技术手段,达到个人信息的可用不可见、可见不可得。目前这些技术已发展得较为成熟,使政府部门可以安全地访问包含个人信息的数据库,进行相应的计算、刻画和可视化,但是却不能下载、复制和浏览某个人的具体信息。这样一来,个人信息就可以既得到政府部门的使用,也避免了敏感数据的泄露。为此可以由中央和省级政府部门建立类似于“数据中台”的共性数据基础设施,整体性提升政府的个人信息保护能力,使哪怕是缺钱少人的基层组织也可以得到足够的数字安全保障。
要落实个人信息保护的问责机制,强化领导干部和公务员的个人信息保护意识,使其能够像重视保密工作一样重视个人信息保护。否则,如果政府部门无法在个人信息保护方面率先垂范,那么就很难形成全社会的个人信息保护氛围。比如,之所以很多国家和地区在新冠肺炎疫情期间难以推行密切接触者追踪App,同民众担忧个人敏感信息得不到政府的有效保护不无关系。
再次,保护个人信息的最终目的仍然是善用个人信息并创造价值,也就是使企业和政府部门收集的个人信息能够反过来回馈和服务于个人。
比如,采集的个人信息可以使信息处理者能够定制化地推送信息和提供服务,使提供个人信息的用户受益良多。再如,个人信息经脱敏后的汇聚加工和共享共用,可以衍生出新的信息产品和服务,并便利更多的人群。由此可见,个人信息的保护和利用之间并非冲突或矛盾的关系,而是相得益彰的互赖关系。
个人信息保护意味着要让每个人、企业和政府部门都能够真正敬畏并妥善使用个人信息。每一条个人信息看似只是几个字段的数据,但是其背后所代表的却是活生生的一个个人的生命。看似一条个人信息泄露的数据量不大,但是却可能令一个人的整个生活搞得一团糟。信息处理者保护好个人信息,才能利用好个人信息,并进而推动更多用户愿意提供个人信息,由此形成个人信息保护和利用的良性循环。
最后,应加强对民众的宣传教育,使其能够擦亮眼睛和提高警惕,避免毫无防备心理和保护意识地在互联网上“裸奔”。
中国在短短几年就走过了互联网从PC端到移动端的技术跃迁,许多人“触网”的历史不长,对个人信息保护的认知也还不够。特别是一些人抱着一夜暴富和一夜成名的幻想,随意注册和登录一些未经核实的App,很容易就泄露个人信息并上当受骗。探索行之有效的宣传教育方式,使老年人、青少年等个人信息保护的重点人群能够提高自我保护能力和防范意识,也是政府部门和互联网企业在个人信息保护方面应该加强的重要领域。
(作者马亮为中国人民大学国家发展与战略研究院研究员、公共管理学院教授)
