个人数据保护的法治难题与治理路径探析.docx

《个人数据保护的法治难题与治理路径探析.docx》由会员分享，可在线阅读，更多相关《个人数据保护的法治难题与治理路径探析.docx（14页珍藏版）》请在优知文库上搜索。

1、个人数据保护的法治难题与治理路径探析报告显示，网络犯罪所窃取的个人信息主要有支付细节、医疗记录、凭证等，这类事件主要集中在健康医疗、住宿和餐饮业、公共服务等领域。2018年是数据泄露的灰色之年。频频发生的数据泄露事件原因可能包括：L个人数据外延的扩大。技术发展让个人数据的外延扩大，一切能识别、关联和反映到特定个人的信息都纳入个人数据范畴。海量数据的流转往往裹挟着大量的个人信息，使其边界日益模糊，增加了保护难度技术发展的负外部性。人工智能、云计算等新技术的发展在更加依赖于数据资源的同时，不可避免地带来了负外部性，加大了个人数据的安全风险，冲击了个人信息保护体系。例如,勒索软件和恶意代码通过电子邮

2、件、入侵服务器、攻击供应链、挂马网页、系统漏洞传播等方式盗取个人数据;3.监管模式的滞后。产业链的延长、市场主体的增加让个人数据的多向流动成为常态，使得个人数据安全的监管牵扯到多个行业、多个领域，导致监管目标和监管任务难以区分，冲击了传统监管体系，提升了监管难度。(一)个人数据的界定标准及主要范畴个人数据与公共数据是一组相对的概念，在当前时代背景下，有必要明确其定义。截止2018年，全球近120个国家和独立的司法管辖区已采用全面的数据保护或隐私法律来保护个人数据，另有近40个国家和司法管辖区有待批准此类法案或倡议翻。据不完全统计，当前世界上拥有个人信息保护法的国家有近90个。“GeneralD

3、ataProtectionRegulation（简称GDPR）,翻译成通用数据保护条例/一般数据保护条例，是欧盟议会于2016年4月通过的关于个人数据保护的新法规，该法规完全更新了欧盟成员国以及任何与欧盟各国进行交易或拥有欧盟成员国公民数据的公司安全处理个人数据以及保证个人数据自由流动的规定，已于2018年5月25日正式生效,且是在28个欧盟成员国统一实施生效的。GDPR中对“个人数据”的概念做了明确规定。按照经济合作与发展组织forganizationforEconomicCo-operationandDevelopment,OECD）理事会在1980年颁布的关于规制个人隐私保护与跨境个人数

4、据流通的建议中的规定，所谓的个人数据，是指任何典可以或能够辨别出来某一个人有关的信息。信息安全技术一个人数据保护指南（GB/Z28828-2012）将个人数据定义为：可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。从上述相关的定义可以发现对于个人数据主要是围绕可识别性来界定。反观我国国内学术界，关于个人数据的称谓一直争论不休（与个人数据称谓相同的主要有个人资料、个人信息、个人隐私等，本文对其不做以刻意区分，主要采用个人数据这一称谓）。随着关于个人数据本身讨论的不断深入，可识别性逐渐成为判断是否属于个人数据的核心元素，围绕可识别性界定个人数据也逐渐

5、被广泛接受。同时，现行的法律法规确定了个人数据的具体内容一种为定义加列举式，如工信部出台的电信和互联网用户个人信息保护规定电信和互联网服务用户个人信息保护定义和分类、中国科学技术法学会与北京大学互联网法律中心出台的互联网企业个人信息保护测评标准、中国互联网协会出台的互联网终端安全服务自律公约互联网终端软件服务行业自律公约、中国广告协会互动网络分会出台的中国互联网定向广告用户信息保护框架标准释义和基本指引等均采取此种界定模式，即除了给出个人数据的一般定义外，还列举典型的个人数据类型以及排除类型。另一种则为单纯定义模式,如工信部出台的规范互联网信息服务市场秩序若干规定、国家质检总局与国家标准委出台

6、的信息安全技术公共及商用服务信息系统个人信息保护指南、中国广告协会互动网络分会出台的互联网定向广告个人信息保护声明、国家质检总局与国家标准委出台的健康信息学推动个人健康信息跨国流动的数据保护指南、中国人民银行出台的中国金融移动支付检测规范第8部分：个人信息保护等均使用了单纯定义的方式，并未列举典型的个人数据类型。而上述两种模式其共同点在于都运用了定义的方式，而在定义之中都强调了可识别性对于判别个人数据的重要性。结合目前的立法态势，不难发现全球立法对个人数据的定义逐渐呈现趋同性的趋势，个人数据的“识别性”构成了国际公认的一般特征。具体到我国，2012年全国人大关于加强网络信息保护的决定第一条就明

7、确规定“国家保护能够识别公民个人身份和涉及公民值1人隐私的电子信息”。因此，“一切与个人身份及行为有关的内容都可以相继纳入个人数据的范畴”。上文提及到数据泄露的原因之一可能包括个人数据外延的扩大，因此，为了使得数据泄露事件减少发生,我们有必要对其予以严格限定化。本文认为个人数据主要范畴将其归纳整理主要可以包括（具体参见如下图1）：（1）身份信息，如：姓名、年龄、居住地、ID号码、国籍、种族、民族、政治面貌等；（2）偏好信息，如：生活习惯、饮食习惯、业余爱好、行为模式、个人好恶、消费习惯；（3）网络信息，如：网络账户（昵称）和密码、位置、IP地址、CoOki6数据和RFID标签等；（4）社交信息

8、，如：家庭、朋友、社会关系、成长经历、社团组织、通讯记录等；（5）生物识别，如：人脸、指纹、虹膜、声音、遗传信息等；（6）职业信息，如：职务、工作单位、收入、工作经验、社会保险、公积金等；（7）健康信息，如：医疗、保健、运动数据等；（8）经济信息，如：储蓄、投资、理财、资产、负债、房产、租金等；（9）其他信息，如：性取向、宗教信仰、犯罪记录等。（三）个人数据保护的原则有关个人数据保护的原则最重要的是经济合作与发展组织在1980年颁布的关于保护隐私和个人数据跨国流通指导原则中有关个人数据保护的8项原则，将其可以概括为开放性、个人参与、责任、使用限制、数据质量、收集限制、特殊目的与安全（具体见表1

9、）。资料来源：经济合作与发展组织随着8项原则的公布，许多国家以此8项核心原则为依据制定本国的个人数据保护法，并在此基础上不断进行补充和完善。早在1995年，欧盟就出台了涵盖广泛并极具前瞻性的个人数据保护指令；1998年6月，美国电子工业协会、美国工商协会和ML、IBM、BankofAmerica等100多家主要团体和企业成立了在线隐私联盟(OnlinePrivacyAlliances,OPA),发布了在线隐私指导；中国台湾地区于1995年出台了“电脑处理个人资料保护法”；次年中国香港出台个人资料私隐条例。在中国大陆，2006年大连市推出针对个人数据保护的地区性规定一大连软件及信息服务业个人信息

10、保护规范；深圳于2010年提出了个人数据保护的立法起草;2019年全国两会期间，个人数据保护再次成为热点，在3月4日十三届全国人大二次会议新闻发布会上，大会发言人张业遂透露，“全国人大常委会已将制定个人信息保护法列入本届立法规划，相关部门正在抓紧研究和起草，争取早日出台”。个人数据保护原则的出台促进了相关国家法律法规制度的陆续建立，虽然我国目前尚没有一部完整的关于个人数据保护的法律制度，但是下一步在制定具体法律法规时可以借鉴现行的规定并且将该原则贯彻到法律法规具体条文之中。(四)工人数据保护的法治价值近年来，随着科技的进步与发展，尤其是网络技术的突飞猛进，一些机构或个人无视职业道德或保密义务，

11、不当搜集、恶意使用、出售牟利、任意泄露居民的个人数据资料，严重侵犯了居民依法享有的人身、财产、隐私等基本权利，破坏了正常的社会管理秩序。法治在国家治理现代化中的功能是多维度和结构性的，其最重要的功能是在于提供正当性、合法性和权威性的基础，发挥权力规制和人权保障的功能。个人数据保护的法治价值对于个人数据保护有着深远的影响与意义，本文将其归纳整理认为其法治价值主要在于：1 .建设法治政府的时代要求法治政府建设实施纲要(2015-2020年)提出到2020年基本建成职能科学、权责法定、执法严明、公开公正、廉洁高效、守法诚信的法治政府。法治政府建设是现代国家政治文明的重要标志，是实现治理体系、治理能力

12、现代化的必由之路，是全面推进依法治国的关键，是推进全面深化改革的重要支撑和保障，更是赢得人民信赖、巩固党的执政基础的必然要求。从法治政府的建设上来看，高效的法治实施体系和严密的法治监督体系必须建立在法治数据的多样化及公开、透明、互通的基础上，而个人数据的相互叠加会组成庞大丰富的数据库。因此，个人数据保护不仅可以使得公民权利得到不断保障，而且也是建设社会主义现代化法治政府的时代要求。2 .改进行政服务的必然选择随着公民公共利益和公共服务意识的加强，法国学者莱昂狄冀提出“公共服务”的概念，认为“公共服务”是现代国家的基础，主张以为公民服务为核心，强调“公民优先”，政府的职能既不是“掌舵”，也不是“

13、划桨”，而是“服务”，民主价值和公共利益才应该是政府及其工作人员应该关注的重点。从党的十八大“建设职能科学、结构优化、廉洁高效、人民满意的服务型政府”到党的十九大“转变政府职能，深化简政放权，创新监管方式，增强政府公信力和执行力，建设人民满意的服务型政府”，我国政府建设和治理已经由传统的偏重管理演化为服务与管理并重。个人数据保护促使政府为社会经济活动提供充分的公共安全，这是服务型政府履行公共服务职能的应有之义，也是服务型政府不断改进服务行政的必然选择。二、个人数据保护的法治难题现代信息技术构建的庞大数据库储藏着海量信息，我们每个人都是庞大数据的贡献者与所有者。通过对数据的存储、加工、分析，每一

14、个个体的需求偏好、生活轨迹都变得有迹可循，可以为每个人量身定做私人化的方案，用户参与度和用户体验得到了极大提高。利之所在,弊之所存，互联网在解放人类生产的同时，亦带来一些负面影响。海量个人的隐私信息被有意无意泄露，无用信息无孔不入，垃圾邮件铺天盖地，骚扰电话疯狂轰炸，如何利用好这把双刃剑，成为实现国家治理现代化绕不过去的一个重要课题。造成此种乱像的法治难题主要在于：（一）个人数据保护数据权属不明“数据浪潮，汹涌来袭，与互联网的发明一样，这绝不仅仅是信息技术领域的革命，更是在全球范围启动透明政府、加速企业创新、引领社会变革的利器。”关于个人数据保护是否为数据主体创设了权利，一直存在两种对立的观点

15、：一种观点认为，个人数据保护，保护的是公民既有的槿利免受信息时代产生的新威胁。另一种观点则认为，个人数据保护，保护的是公民在信息时代的新权利。在数据时代,数据已逐步产生出巨大的应用价值，个人数据保护开始被重视，但无论从理论还是实务上都还处于起步探索阶段，从现阶段实践来看，在法律上关于数据权属仍没有明确定论，在制度设计层面上缺乏确权的过程，信息保护也就没有了生存的基础和灵魂。（二）个人数据保护专项立法滞后现代社会是信息社会，离开各种数据，人们甚至无法在现代社会中生存，更遑论发展。更重要的是，现代社会中每个成员自身的情况也已经是社会数据库中不可分割的部分。关于个人数据的保护，我国没有相关法律规定。

16、与此相关的是个人信息的保护，我国已有多部法律法规涉及个人信息保护，如刑法民法总则消费者权益保护法网络安全法电子商务法等都作了相关规定。但是从总体上看,相关的法律法规规定较为零散，呈现出分散立法的状态，没有形成体系化，这很难与高度发展的信息社会对个人数据保护要求相适应，缺乏法律保护体系成为制约我国个人数据保护的最大瓶颈。（三）个人数据保护监管机构缺失自提出对个人数据立法保护以来，就有设立独立专门的机构保护个人数据的诉求，1973年瑞典数据保护法与法国信息、档案与自由法都提出建立专门的数据保护机构。同时，欧美日等域外国家都有关于数据保护实施监管的机构。要想适当地制约行政权力、保障公民权利，其中非常重要的一个举措就是设立一个独立的个人数据保护机构，既能实现对市场经济领域的监督，也能独立地监督国家行政机关的数据使用行为。我国目前尚未搭建起专业性的监管平台，这一组织体系的缺失