上海戎磐網(wǎng)絡(luò)科技有限公司首席信息官 Slimming Panda

“很好與優(yōu)秀只差一點(diǎn)點(diǎn)距離，這段距離叫安全”。8 月 28 日，華住集團(tuán)被曝大量用戶數(shù)據(jù)遭泄露，疑似近 5 億條開房記錄被拖庫。華住集團(tuán)雖在8 月 28 日即通過官方微博聲明表示已經(jīng)報(bào)警并且聘請(qǐng)專業(yè)技術(shù)公司核查此事，但兩周多時(shí)間過去了，華住方面仍無更新事件進(jìn)展，而數(shù)據(jù)泄露引發(fā)的公眾熱議也逐漸在網(wǎng)上淡去。這很大程度上是因?yàn)槲覈诹⒎▽用鎲栘?zé)和監(jiān)管缺位，受害者或是基于無力應(yīng)對(duì)，或是應(yīng)對(duì)無效后不得不接受現(xiàn)狀，一般會(huì)選擇“自認(rèn)倒霉”。9 月 4 日，在2018 年互聯(lián)網(wǎng)安全大會(huì)上，一些專家呼吁，對(duì)個(gè)人信息安全的關(guān)注和討論不該停止。

一、國內(nèi)現(xiàn)狀

根據(jù)全國人大網(wǎng) 10 日公布的《十三屆全國人大常委會(huì)立法規(guī)劃》文件顯示，共有 69 件法律草案列入第一類項(xiàng)目，即條件比較成熟、任期內(nèi)擬提請(qǐng)審議。其中，個(gè)人信息保護(hù)法是第 61個(gè)項(xiàng)目，這意味著個(gè)人信息保護(hù)將迎來專門立法。

另一則激動(dòng)人心的消息是，今年9月 17 日，阿里巴巴等 12 家大數(shù)據(jù)企業(yè)在杭州簽署《個(gè)人信息保護(hù)倡議書》，承諾保障用戶信息控制權(quán)益。倡議書提出，公開透明處理用戶信息；用通俗易懂的語言、簡單直觀的方式，向用戶明示個(gè)人信息處理目的、方式、范圍、規(guī)則等；一旦發(fā)生重大個(gè)人信息泄露事件及時(shí)告知用戶；不使用“一攬子協(xié)議”的方式強(qiáng)迫用戶打包授權(quán)對(duì)個(gè)人信息的收集，為用戶提供個(gè)人信息申訴渠道、注銷賬戶或關(guān)閉的途徑；建立可訪問、更正、刪除其個(gè)人信息處理機(jī)制；不超范圍和約定，收集、存儲(chǔ)、使用、共享個(gè)人信息；在個(gè)人信息處理活動(dòng)時(shí)，對(duì)用戶合法權(quán)益造成的損害依法承擔(dān)責(zé)任。

因此來說，在當(dāng)前個(gè)人信息泄露頻繁、大數(shù)據(jù)頂層設(shè)計(jì)不到位和第三方監(jiān)管缺乏的背景下，我國在國家立法和行業(yè)軟法規(guī)范方面事實(shí)上已經(jīng)邁出了重要步伐。事實(shí)上，在中國的法律體系中，并不缺乏關(guān)于個(gè)人信息保護(hù)的相關(guān)立法。2012 年全國人大常委會(huì)制定的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2016 年的《網(wǎng)絡(luò)安全法》，2017年的《民法總則》，都有涉及個(gè)人信息保護(hù)的法律規(guī)則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在 2017 年聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》。剛剛經(jīng)過第三次審議的《電子商務(wù)法（草案）》，以及已經(jīng)進(jìn)入征求意見階段的《民法典人格權(quán)編（草案）》也都有專門涉及個(gè)人信息保護(hù)的條文。在其他社會(huì)規(guī)范的層面上，國家標(biāo)準(zhǔn)委員會(huì)在 2017 年正式發(fā)布了《信息安全技術(shù)以及個(gè)人信息安全規(guī)范》的國家標(biāo)準(zhǔn)。但目前存在的問題是，我國既有的個(gè)人信息保護(hù)立法存在嚴(yán)重的碎片化，同時(shí)缺乏實(shí)際的可操作性。雖然看上去很多立法都涉及個(gè)人信息保護(hù)，但往往流于原則宣示，或局限于針對(duì)某一特定領(lǐng)域或方面的問題作出規(guī)定。由此導(dǎo)致規(guī)則之間的不協(xié)調(diào)，違反規(guī)則的責(zé)任主體、責(zé)任形態(tài)含糊不清。亟需國家層面的數(shù)據(jù)保護(hù)法律框架以及配套的信息安全激勵(lì)和問責(zé)機(jī)制。

二、歐美國家主要做法

在個(gè)人信息保護(hù)方面，歐美國家可以為我們提供很多啟示與借鑒。

以美國為例，美國的策略較為靈活，主要采取行業(yè)自律模式，即由公司或行業(yè)內(nèi)部制定行業(yè)的行為規(guī)章或最佳實(shí)踐指南，為行業(yè)的隱私保護(hù)提供示范和標(biāo)桿。相對(duì)于個(gè)人信息保護(hù)立法，行業(yè)自律模式是一種相對(duì)寬松、尊重企業(yè)自我選擇的一種保護(hù)模式。其弊端也是顯而易見的，如缺乏統(tǒng)一自律標(biāo)準(zhǔn)，對(duì)個(gè)人信息保護(hù)參差不齊；執(zhí)行機(jī)制不夠完善，缺乏有效監(jiān)督等。不過，美國也以分散立法的形式對(duì)該模式予以補(bǔ)充，如《聯(lián)邦貿(mào)易委員會(huì)法》（15 U.S.C. §§41-58）（FTC Act） 是 一 部聯(lián)邦消費(fèi)者保護(hù)法案，禁止不公平或欺騙性做法，適用于線下和線上的隱私和數(shù)據(jù)安全。《消費(fèi)者網(wǎng)上隱私法》、《兒童網(wǎng)上隱私保護(hù)法》、《電子通訊隱私法案》、《計(jì)算機(jī)欺詐和濫用法》、《金融服務(wù)現(xiàn)代化法》（GLB）、《健康保險(xiǎn)流通與責(zé)任法》（HIPAA）、《公平信用報(bào)告法》等行業(yè)立法也為特定行業(yè)的隱私保護(hù)或特定類型的敏感信息保護(hù)提供了法律依據(jù)。除此之外，截至 2018 年 3 月28 日，美國所有 50 個(gè)州、哥倫比亞特區(qū)、關(guān)島、波多黎各和維爾京群島均頒布了《數(shù)據(jù)泄露通知法》，要求私人或政府實(shí)體及時(shí)向受影響客戶通報(bào)涉及個(gè)人信息泄露的有關(guān)事件。此外，在法律救濟(jì)方面，除美國聯(lián)邦及州級(jí)政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風(fēng)險(xiǎn)，以期尋求民事救濟(jì)，指控公司違約、疏忽及欺詐。2017 年 6月，美國最大保險(xiǎn)公司 Anthem Inc. 在發(fā)生8000 萬客戶個(gè)人數(shù)據(jù)泄露事件后，就曾簽署過一份 1.15 億美元的和解協(xié)議，同意向每位原告支付 235 美元的賠償，而遭受最大傷害的訴訟集體將獲得高達(dá) 10000 美元的賠償。加利福尼亞州在法律實(shí)踐方面一直走在美國各州的前面，該州于今年 6月 28 日頒發(fā)了一項(xiàng)備受關(guān)注的數(shù)據(jù)隱私法案——“AB 375”法案，直接為集體訴訟開綠燈，同時(shí)對(duì)“個(gè)人信息”進(jìn)行了更為廣泛的定義，將“生物識(shí)別信息”、互聯(lián)網(wǎng)瀏覽歷史記錄和購買歷史記錄均納入個(gè)人信息保護(hù)范疇。

同時(shí)， 美國目前的立法也是存在條塊分割、相互交叉甚至是矛盾等問題，缺乏全面性的綜合隱私法。 在數(shù)月前曝出的臉書和劍橋數(shù)據(jù)分析公司丑聞之后，特朗普總統(tǒng)的特別助理蓋爾·斯萊特與信息技術(shù)行業(yè)委員會(huì)的首席執(zhí)行官們會(huì)面，討論聯(lián)邦層面網(wǎng)絡(luò)數(shù)據(jù)隱私法規(guī)的雛形。國會(huì)議員也呼吁制定新的法律法規(guī)，加強(qiáng)美國數(shù)據(jù)隱私保護(hù)體系，并可能借鑒歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。

歐洲方面，歐盟在個(gè)人信息保護(hù)方面要嚴(yán)格得多，它對(duì)互聯(lián)網(wǎng)環(huán)境下個(gè)人信息的隱私權(quán)保護(hù)算得上是世界上最為全面和嚴(yán)格的。歐盟保護(hù)模式是由國家主導(dǎo)的立法模式。國家通過立法的形式，明確保證個(gè)人信息安全的各項(xiàng)基本原則和具體的法律規(guī)定等。而剛生效不久的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，更是被媒體認(rèn)為是大數(shù)據(jù)監(jiān)管新時(shí)代的標(biāo)志。該法案對(duì)數(shù)據(jù)泄露的定義較為寬泛，包括“違反安全規(guī)定導(dǎo)致所傳輸、存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)遭受意外或非法毀壞、丟失、篡改、未經(jīng)授權(quán)披露或訪問”。因此，數(shù)據(jù)泄露的定義不限于黑客訪問 IT 系統(tǒng)，還包括智能手機(jī)、筆記本電腦 或 U 盤丟失或被盜、惡意軟件感染和數(shù)據(jù)丟失（如數(shù)據(jù)被意外刪除且沒有備份可用）。法案還規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者在泄露事件中的義務(wù)，如通知監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體，記錄包括與數(shù)據(jù)泄露相關(guān)的事實(shí)、數(shù)據(jù)泄露的影響以及所采取的任何補(bǔ)救措施等的所有有關(guān)數(shù)據(jù)泄露的情況。其懲罰措施也是全球最嚴(yán)格的，“不遵守上述通知義務(wù)可能面臨高達(dá)一千萬歐元或相當(dāng)于全球年?duì)I業(yè)總額百分之二的罰款（以其中較高者為準(zhǔn)）。不遵守監(jiān)管機(jī)構(gòu)的命令可能會(huì)面臨高達(dá)兩千萬歐元或相當(dāng)于全球年?duì)I業(yè)總額百分之四的罰款（以較高者為準(zhǔn)）。”

三、幾點(diǎn)啟示

一是數(shù)據(jù)保護(hù)不僅是數(shù)字時(shí)代企業(yè)社會(huì)責(zé)任的一部分，對(duì)于收集、使用或共享個(gè)人信息或其他潛在敏感消費(fèi)者數(shù)據(jù)的任何組織而言，數(shù)據(jù)保護(hù)既是一種風(fēng)險(xiǎn)管理，也應(yīng)是最基本的合規(guī)性功能。就公司而言，可將其視為“信息受托人”，用對(duì)個(gè)人信息的保護(hù)責(zé)任，換取法律的確定性和安全港保護(hù)。（“安全港規(guī)則”，即有限合伙企業(yè)中的有限合伙人（LP）的行為如果被認(rèn)定為對(duì)合伙 企 業(yè)的控制性行為，則該 LP 就可能與普通合伙人（GP）一樣，對(duì)合伙企業(yè)的對(duì)外債務(wù)承擔(dān)無限連帶責(zé)任。作為有限合伙企業(yè)的一項(xiàng)基本法律制度，安 全港規(guī)則是通過對(duì) LP 不參與合伙事務(wù)為隔離條件，而賦予其有限責(zé)任保護(hù)的一種價(jià)值平衡安排。）

二是在國家立法方面，可參考?xì)W盟的 GDPR，出臺(tái)全面的個(gè)人數(shù)據(jù)隱私保護(hù)框架，對(duì)個(gè)人信息的定義要結(jié)合大數(shù)據(jù)發(fā)展趨勢進(jìn)行重新定義，法律的約束和監(jiān)管對(duì)象應(yīng)該是所有機(jī)構(gòu)，包括政府部門，而不只是企業(yè)。

三是立法的效果主要取決于 2 個(gè)方面：一是自下而上的民意倒逼，對(duì)立法具有重要推動(dòng)作用。個(gè)人維權(quán)意識(shí)提升、企業(yè)通過行業(yè)軟法踐行“社會(huì)責(zé)任感”，形成巨大的“民意”氛圍，可以推動(dòng)國家立法，使得法律更有活力和生命力； 二是可供選擇的法律救濟(jì)措施， 如通過集體訴訟尋求補(bǔ)償，使公司承擔(dān)責(zé)任，幫助公司成為負(fù)責(zé)任的個(gè)人信息管理者。同時(shí)，應(yīng)建立以行政救濟(jì)為主，民事救濟(jì)、刑事救濟(jì)相結(jié)合的多途徑救濟(jì)機(jī)制，全面保障個(gè)人信息主體的權(quán)利。

四是個(gè)人信息保護(hù)立法應(yīng)有配套的信息安全激勵(lì)機(jī)制，不能僅僅是“亡羊補(bǔ)牢”式的事件應(yīng)急處置，而應(yīng)向事件預(yù)防傾斜。應(yīng)鼓勵(lì)公司升級(jí)管理模式，做好完整可靠的數(shù)據(jù)安全措施。

五是對(duì)于個(gè)人信息保護(hù)議題的討論，無疑是一個(gè)法律問題，同時(shí)也是一個(gè)技術(shù)問題。所以，我們不僅要進(jìn)行法學(xué)思考，而且要進(jìn)行技術(shù)方面的思考。如何實(shí)現(xiàn)技術(shù)規(guī)律、技術(shù)程序與法治規(guī)律和法律程序的有效連接，是我們需要面臨和思考的新問題。