您当前的位置:www.blbbet.com > 红柱石 > 正文

周汉华:摸索鼓励相容的团体数据管理之讲中国

2018-03-31 浏览次数:

作家:周汉华,中国社会科学院法学研究所研究员。

起源:法学研究

1

以激励相容为制度设计的核心

  国内外学术界对于中国改革开放基本经验的支流总结,无外乎中心与地方关系上的纵向分权改革和政府与市场关系上抓紧控制的市场化改革。“我国经济体制改革最核心的内容就是实现由传统的筹划经济向社会主义市场经济体制的转轨”,国家通过分权与市场化改革,调动处所政府与市场主体的积极性与创造性,形成推动经济发展的巨大合力。不同的理论解释,内在逻辑均是强调通稳当励机制调整来调动各级政府或者市场主体的积极性与发明性,走出一条中国的大国发展道路。与经济发展相适应,中国社会治理变化的主要标的目的,也是“从一元治理到多元治理、从集权到分权、从人治到法治、从管束政府到服务政府、从党内民主到社会民主”。从管理到治理的转变,包含的是多元主体的互动、协商与合作,而不再仅仅依靠过去自上而下片面的控制与命令。

  中国发展道路选择不仅符合番邦国情,也与近年来国际上政府改革的普遍经验符合。20世纪70年月终以来,全球范围掀起了波澜壮阔的行政改革海潮,被称为新公共管理运动,其基本特点包括公民为本、市场化、结果导向、分权合作、民主参与、多中央自立治理等。新公公有理运动的实质是基于激励约束机制,构建多方合作治理的有效格局。学术界认识到,“与高度复杂性和高度不肯定性的时代相顺应的社会治理模式应当是一种合作行动模式,只有多元社会治理主体在合作的志愿下共同发展社会治理活动,才能解决已出现的林林总总的社会问题,才能在社会治理方面取得优良的事迹”。

  传统法律理论认为,法律是主权者的敕令,是必须遵守的规范,令行禁止是其基本特征。因此,传统立法规制方式平日是命令控制方式,表现为禁止性规范或者义务性规范,要求被管理对象不得或者必须为某些特定行为。这种规制方式有很多弊端,包括:要求很强的执法能力,否则命令会被普遍疏忽;由于信息不对称,这种命令可能与市场规律脱节,停止市场主体创新能力与守法诱因;执法部门权力过大,可能会导致选择性执法或者“执法捕捉”等问题。在全球行政改革海潮中,传统的命令控制式规制遭到广泛批驳,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。因此,法律规则除了饬令、禁止以外,还可以发挥领导作用,调动被管理者的守法诱因。如何设计这种激励相容机制,是规范实施的成败关键。

  实践研究与国表里实践发展均标明,政策或者立法如果激励不相容,会形成“管理型”立法,而不是“治理型”立法。这样制定出来的政策或者法律,实践中难以获得执行,还可能导致执行成本高、规制对象抵牾、执行效果差、执行权威受损、活动式执法、抉择性执法甚至执行部门造假等连锁问题。在咱们“所制定的法律、法规中,尽大多半现实上没有被看成法看待,没有起到法所应起的作用”,首要本源在于“立法违反科学,或立法技术存在问题,使法不能履行或难以实施”。

  我国制定个人信息保护法,不能离开大的制度布景,有需要从中国改革开放的基本经验和全球行政改造的大趋势中吸与营养,避免或者少走直路。在大数据时代,由于数据本身的特征,信息控制者有很强的利用激励而缺乏平等程度的保护激励。如果法律规则不能顺水推舟,只是简单施加各种制止性或者强迫性规定,必将因为激励不相容影响有效实施。

  随着信息技术发展,数据传输、贮存、计算成本疾速降落,数据开始成为资源。大数据不仅具有容量大、类型多、存取速率快等特点,还可以通过分析技术“使数字信息成为常识,收持智能决策”,产生新价值。这样,大数据不仅给信息控制者带来巨大经济收益,也给消费者(包括信息主体)带来无偿使用、高品德办事、快捷迭代创新等各种方便。凯文·凯利在对未来20年贸易科技发展猜测的一次报告中提出,在大数据时代,“所有生意都是数据买卖”,“个人数据才是大未来”。弃恩伯格更明确指出,“大数据的核心就是预测”。在大数据时代,数据对于信息控制者而言,就是生产要素和行动指引。信息控制者必定会充分利用大数据提醒的相关性,提早预测信息主体和社会的各种需要,提供精准的定制化产品或服务。对于国家而言,数据早已成为各国基础性战略资源,大数据发展成为国家战略的一部分。

  大数据由人、机械或者传感器产生。其中,最基本、最有价值的是个人信息,由用户活动产生,“收集和收拾个人信息都是获得权利的方式,凡是以信息主体为价值”,因此需要在个人信息保护与大数据发展之间实现平衡。不同于其他出产因素,数据拥有公共产品才具备的非排他性、非独有性特点,可以重复使用、共享,这使信息控制者对个人数据保护远不如对其他独有产业保护重视,容易产生各种忽视现象。在网络情况下,数据具有随时产生、多点存储、屡次开发、跨情形利用、多人经脚、跨版图传输、收集与处理分别、生命周期短、伶仃数据本身并不产生价值、需要技术解决方案等特点,若全部都加以保护,技术、经济上有很浩劫度,会产生很高的保护成本。并且,隐私与隐私之间也需要衡量,在一端加强对隐私的保护,会在另一端产生强化对其保护的结果。数据发生泄露的情况无比庞杂,个人数据滥用的受益者是信息主体,不是信息控制者。信息控制者很难有充分的激励与能力保护个人数据,只是主动敷衍法律要求。

  在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干涉与政府监管,势必产生“森林法令”和对个人信息的肆意滥用,这是各国普遍重视个人信息保护、个人信息保护法成为全球性立法趋势的基本理由。我国近年来也明显加强了立法与制度扶植的步伐,从多方面加强对个人信息的保护力度。但是,在信息控制者激励失衡的配景下,如果立法缺乏科学性,只是简单施加各种强制性外部要求,疏忽信息控制者内在激励机制设计,并不能清除失衡来源。从概率角度看,利用与保护之间失衡的可能性依然很大,占四分之三的比例:外部监管过于严格,克制大数据开发利用;缺乏监管或者监管要求普遍不被遵守,大数据利用以就义个人信息保护为价格;监管游移不定,忽左忽左,堕入既没有大数据利用也难以保护个人信息的双输格局。只有外部要求与内生激励相容,才能够实现大数据利用与个人信息保护协调发展,其概率只有四分之一。

  在大数据时代来临之前,个人数据实际处于未被利用的觉醒状况,激励失衡问题并未被激活。至大数据时代,随着数据价值逐步被认识,信息控制者利用数据的激励越来越强烈,激励失衡现象会愈发突出,法律实施遇到的挑战也会越来越大。因此,大数据时代的个人信息保护,毫不仅仅是制定个人信息保护法那么简单。真实的挑战在于,如何通过科学的立法与制度设计,理顺立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者的内涵需要。这是个人信息保护法制度设计的目标和终极评价标准。

2

正确懂得欧美个人信息保护法的新发展

  欧盟与米国个人信息保护法令路径不同,两种模式的差别是宾观的,也是显著的。然而,国内从前比拟泰西个人信息保护功令,广泛缺少对两种模式现实运行状态和个性的研究,存在简略的扬美抑欧现象。很多人以为欧友邦家不看重大数据发展、米国不保护个人隐私,并将制定个人信息保护法与妨碍立异(欧盟模式)绘上等号,将不保护隐私与更有利于翻新(米国模式)画上等号,工资制作了隐私保护与创新不行兼得的两难局势。这类揭标签式的研究方式,既限度了比较研究的深度和广度,与事实情况存在很大收支,变动变不了好国教训无奈学、欧盟激起的外洋立法趋势无法顺转的大格局。实在,大数据发展与个人信息保护的均衡做为这个时代的最大挑衅之一,欧盟与米国分辨面对各自的问题,皆易行找到了完善的解决计划,对后发国家最主要的是要从欧美的经验与经验中探索个人数据治理的胜利之讲。

  跟着大数据时代降临,从实证动身,商量个人信息保护的有效实行机制,而不单单是存眷法律规定的好别,曾经成为近几年国际上、尤其是米国隐私法律研究的新热门。不管称号叫新治理、合作规制、合作治理仍是叫回应性规制、激励规制等,其背地的机理均在于发现有效的激励机制,变更被管理工具参与治理的积极性,提高执法后果。最新国际实证比较研究结果注解,欧美两种模式实际上存在某些共同法则可循,而欧盟不同国家之间的差异也比过去设想的要大很多;不论哪一种模式,不论法律如许严格,只有激励相容才会获得预期保护功效,不相容则难以获得执行,乃至会招致既阻碍创新又保护不了个人信息的单输成果。因而,成败的要害不在于司法规定的模式差别,而在于个人数据治理的制度计划是不是迷信。探索中国个人数据治理之道,必需超出欧美两种模式的简单律例范对照,既要看到两种模式的差别,更要从两种模式中汲取有利的经验。只有如许,才干专采寡少,走出一条合乎我国国情的个人信息保护法治途径。

  2010年,两位美国粹者揭橥《书籍上与实践中的隐私》一文,通过对行业公认的首席隐私官的大批访道,对米国企业过去15年间隐私政策的执奇迹况初次禁止实证研究。随后,他们扩展研究范畴,对四个欧盟国家(德国、法国、英国、西班牙)的企业隐私实践进行研究,大量访谈企业隐私官员、政府官员与学者,并于2015年出书《实践中的隐私——推动美欧企业行为》,此中许多发现让人线人一新,取得各界普遍存眷与好评。他们的重要论断包括:(1)米国与英国企业的隐私官员个别从防止给消费者预期造成损害的风险管理角度对待隐私保护,其他三个欧洲大陆国家企业的隐私官员基本从人权角度看待隐私,躲避采取风险和消费者损害话语。(2)尽管在根本观念、实体法律以及执法机构等方面存在很大差同,米国与德国的企业基本以雷同的方式看待隐私管理。两国隐私官员都将隐私保护当交战略问题,需要斟酌的近远超越纯真遵守特定的法律规矩;都将隐私看成一直演化、面向未来和依劣语境变更的社会价值,而不但仅是个人批准与控制;都有有权而且绝对自立的职业隐私官员,能够打仗企业高等管理层,参与企业重要决策,并与外部利益相关者亲密互动;运动很多都跋及战略性议题而不纯洁是草拟层面的议题,职能远超“合规”要求,因此使企业内部的隐私决策能够与企业的策略决策、核心价值互相整合;作为企业高级雇员,隐私官员既能够自上而下批示,也能够直接与董事会相同;企业内部都通过火布式网络进行隐私管理,由职业隐私官员和业务单位中经由专门培训的雇员构成执行网络,从产物设计、业务开辟的晚期阶段就将隐私保护与业务开发严密连续,实现双向沟通。(3)米国与德国企业的做法判然不同于法国、西班牙与英国企业的做法。西班牙与法国的企业很大水平大将隐私职能作为遵照断定的法律敕令,哪怕本人疑惑做不到也要严格执行。英国企业也异样重视法律,但对于执行远景更为悲观。英国的首席隐私官在企业中的地位比米国、德国的同业要低好几个级别,能够失掉的姿势和参与高层决策的机遇都少得多,无法在企业内部构建有效的分布式执行网络。西班牙、法国企业的隐私官员大部分都单线回属于合规或者法务部门,重要工作是满意数据挂号、应用和报告等要求,隐私保护与产物、业务开辟相互脱节,也缺乏执行隐私保护的分布式网络结构。(4)从法律规则实施有效性方面评估,规则越原则,企业的隐私管理实践越有效,德国与米国属于此类;规则要求越详细,执行权越极端,企业就越轻易只是遵守合规要求,而不是将隐私保护内化为举动,法国、西班牙属于此类。(5)在变化的情况下,法律规则要增进企业承担更多责任,需要原则性立法和开放式监管,并辅之以能动的羁系者和有效的外部好处相闭方监督;拆建跨界、容纳的隐私保护共同体,使当局、企业和社会的隐私专业人员能够稀切互动,反过去坚固企业隐私官员在公司的地位;充足暴光隐私保护失败露例,包括数据泄露通知,增强媒体、非政府组织和大众监视,促使企业加大对隐私保护的重视和投进。两位学者的上述发现与研究结论不仅在一定意思上攻破了平日的米国与欧盟两大模式的刻板划分,也深入了对企业内部隐私保护实施机制与个人信息保护法感化机理的认识。

  另一项同样基于大量访谈的实证研究发现,荷兰作为欧盟国家,其二十多年的隐私法律实施并不是平常理解的纯真政府监管,而是体现了政府部门与业界的合作治理精神。荷兰制定隐私保护法律以后,其实施都是先由各个行业协会提出企业行为规范,前后有银行、保险、直接营销等二十多个行业提出了本行业的企业行为规范,以免政府直接监管导致的信息错误称问题;而后,各个企业行为规范需要经政府同意后能力实施,以避免纯粹的行业自律机制可能导致的力度不敷、运发动与评判员不分现象。荷兰实践中的这些做法,恰好是米国政府致力于推进隐私法律制度改革的偏向,米国有大量的改革规划都与荷兰的经验相似。这样,每每理解的米国、欧盟两大模式划分,其实掩饰了各国对于合作治理方式的共同切磋。更值得关注的是,米国努力于进修的荷兰经验,在欧盟《一般数据保护条例》(下称《条例》)中得到了重视,规定了“经批准的行为规范”具有证实跨境个人信息传输合法性的法律效率,这是欧盟《对于个人数据处理及其自由流动的个人保护第95/46/EC号指令》(下称《个人数据保护指令》或《指令》)所缺乏的式样,也是欧盟在推进合作治理方面的一个重大先进。

  有学者通过对爱我兰、米国两个国家行政执法部门2011年对Facebook的执法调查案例比较研究发现,尽管两个国家个人信息保护法律规定差别很大,但由于执法部门都采用了更为有效的回应性规制方法,通过执法协议要求企业连续改进其隐私保护实践,而未采用惯例的抗衡式处罚方式,因此“使大洋两岸之间的明显差别难以分辨”。这样的友爱型处理既能更机动地适应技术变化带来的规制挑战,符分解本有效原则,也有利于提升实在天下的数据保护实践。

  另有教者经过对付德国、法国、意年夜利、英国四个欧盟成员国的隐公维护真证研讨,发明四个国度隐衷规制的独特驱除是将严厉的当局法律、公共压力之下的行业自律跟低程度的诉讼机造相联合,称之为“配合法治主义”形式。那固然分歧于米国以诉讼为主的模式,当心个中显明有良多类似的机制,特别是经由过程执法威慑和私人压力机制促使企业更多止业自律,完成他律取自律的结开。即便法国、意年夜利如许的对业界参加决议进程始终持仇视立场的国家,也正在政策制订过程当中归入更多自律机制。

  如果道米国一直在讨论若何构建有效的个人信息保护法律体系,欧盟则已将制度建立付诸实施。从《个人数据保护指令》制定到《正常数据保护条例》出台,体现了既保护个人信息决定权利又促进个人信息自在活动的双廉价值。这种两重价值追求,既体现在《指令》《条例》的名称中,也体现在立法结构的整体部署上,更体当初《指令》《条例》的媒介、基来源根基则与详细规定当中。当然,鉴于《指令》制定之时挪动互联网与大数据还没有发展,其着重面更多倾向个人信息保护;而《条例》的制定就必须同步考虑大数据发展的实际,为大数据发展供给法律根据,为欧盟数字经济发展留下空间。国内解读欧盟个人信息保护法律制度,常常只夸大其权利保护的一面,看到严格执行的各种要求,疏忽了其促进发展的一面和制度设计中的各种平衡寻求。

  从第三方自力察看的角度解读,尤其与《个人数据保护指令》比较,《一般数据保护条例》在构建多元主体参与合作治理、推动大数据发展方面的考虑,至多体现在如下三个方面:

  首先,在加强对个人信息保护的同时,适应大数据时代的现实,在个人信息使用目的限制、数据留存限期等方面,尽可能为大数据开发利用开拓可能的路径。比如,使用目的限制是欧盟法律的一项核心要求,《一般数据保护条例》也规定得非常严格,不许可信息控制者一揽子获得一般性同意。但是,对《条例》进行具体的分析可以发现,立法者还是成心给数据用于新的目的留下了门路。对于数据留存,《个人数据保护指令》只规定了两种方式:一是基于原始收集目的保存;二是完全匿名之后可以留存。《条例》增加了一种新的方式,容许基于统计目的,并在符合成员国各克己定的保障措施的条件下留存数据。别的,《条例》废除了过去很多情况下数据处理者需要向数据保护局“事先通知”数据处理的要求,而这一要求是《指令》构筑的核心制度。两位权威欧洲学者在比较了《条例》与《指令》在促进大数据发展方面的差别后得出结论说,“《条例》虽然并未与过去破裂,但明白地刻画了可以用更适应大数据环境的基于使用机制来替代传统数据保护核神思制的未去路径”。

  其次,相较于《个人数据保护指令》,《一般数据保护条例》更突出强调责任原则、透明原则的地位和作用,强化信息控制者内部治理机制,调动信息控制者参与数据治理的积极性。根据《条例》要求,信息控制者需要建立有效的技术与管理措施,包括常常进行审计、贯彻“设计即隐私”理念、执行隐私影响评估、录用数据保护官、采取与风险相顺应的安全防范技术措施,当时与数据管理局咨商等,并根据环境变化实时更新,不断完善内部数据治理体系。《条例》很多新的要求都是《指令》所缺乏的,体现了立法观念上的明显提高。好比,《指令》第18条第2款并没有强制要求信息控制者设置数据保护官一职,只是提倡性规定,尽管德国、法国在实践中已经采用了这种制度。《条例》建改引入了数据保护官要求,并以充分的篇幅对其地位、职能等做了较为齐备的规定,被欧盟专家普遍认为是完善信息控制者内部治理机制的核心。《指令》并未规定笔名化概念或者措施,《条例》引入了笔名化制度,并对笔名化和匿名化两种安全措施进行了明确辨别,对笔名化提出了明确的要求,规定《条例》不实用于藏名化信息, 目标是为了从泉源下降信息主体的安全风险,辅助信息控制者满意法律要求, 促进大数据发展。别的,《指令》未规定加密概念或措施,而《条例》明确将加密作为一项安全措施加以规定,这体现的也是“设计即隐私”的源头治理思路,激励企业从源头采取防范措施,有利于推动云盘算发展。

  《一般数据保护条例》构筑合作治理最为典型的范畴,当属在跨境信息传输机制上的创新。《个人数据保护指令》第25条文定向欧盟之外的第三国传输个人数据需要谦足充分性要求(由欧盟委员会认定),不然不得传输。除此之外,《指令》第26条第2款还设计了变通性子的“适合合同条款” 机制。一个国家虽然没有得到欧盟委员会的充分性认定,但该国以内的企业只要能签订吻合欧盟要求的榜样合同条款,许诺遵守保护个人数据,就能够进行跨境信息传输。实践中,企业团体或者关系企业内部跨境传输个人信息只有满足自我约束规则的要求,欧盟也认为相符充分性条件。对于米国企业,欧盟还有独自的《安全港协定》机制,米国企业只要承诺遵守相应规定, 便可获得从欧盟传输个人数据的资历。这些机制设计,既弥补了一般充分性认定机制的不足,避免了《指令》实施可能导致的数据无法跨境传输困境,也使不同企业都能找到符合自己情况的政策对象,调动其保护个人数据的积极性,带有典型的合作治理颜色。《条例》在上述几种机制之外,又增加了经批准的行为规范和第三方认证具有证明跨境信息传输合法性的效力,进一步丰盛了合作治理的形式,属于典范的自律与规制结合的激励性监管方式,可以更为充分地调动信息控制者主动参与的积极性。

  再次,通过设计强无力的外部执法威慑机制,促使信息控制者主动承担法律责任。《个人数据保护指令》过去表现的以是事先注销、信息主体决定权为核心的控制思绪,缺乏有效的过后威慑手腕。比方,《指令》没有明确执法调和机制,导致实践中执法标准不统1、执法统领权隐约,删加了信息控制者的遵法难度;缺乏奖款标准,将规则制定权交由各国利用,各国执行起来差别很大,普遍力度不敷;没有规定个人数据泄露的通知要求,难以通过公开与社会监督机制形成有效压力。正由于如斯,《指令》虽然事前要求很多,但一旦信息控制者违反规定,成果可能并不严峻甚至流于形式,这影响了《指令》的权威性和有效性。针对威慑不强这一突出问题,《普通数据保护规矩》进行了周全改良,其主要办法包括:确立牵头数据管理局,加强各国执法合作,躲免不同国家多头执法导致的执法标准不同一;统一设立最高罚款下限为2000万欧元或者信息控制者上一年度全球停业额4%的罚款尺度,大幅提高罚款的幅度;增加个人信息泄露后分离通知数据管理局和信息主体的责任,树立有效外部威慑机制。《条例》的这些新措施,明显与米国的很多执法威慑机制相似,既消除了欧美过去的很多制度设计差异,也有利于通过强有力的外部威慑机制促使信息控制者更好承担数据治理责任。

  相较于《个人数据保护指令》,《一般数据保护条例》的整体系度设计思路更清晰、规定更详确,充分体现了通过更有效的内部治理、更强的外部威慑,促使信息控制者主动承担更多责任的立法用意,契合激励监管的基本道理。如果说法律规定是外表的表示形式,那末追求法律的有效实施机制就是内涵能源,二者之间是器与道、形与神的关系。后发国家如果只看到美欧法律规定的名义差别,看不到当面的作用机理,就很难从其经验与教训中失掉任何有益的启发。

3

培育信息控制者的内部治理机制

  发展中国家不同于欧美发动国家,不论是基本权利保护还是消费者预期保护,在信息控制者的行为序列中可能都还难以达到一样的高度。制定个人信息保护法,首先要找到信息控制者最基本的激励,并缭绕核心激励设计相关的制度。对于所有信息控制者而言,最基本的需求确定都是发展与安全。发展是目的,安满是实现目目的保障;缺乏安全保障,弗成能有发展。由于技术水平的差异,发展中国家面临的安全挑战比发达国家要大得多。从安全防备角度切进,在发展中国家应该是最容易为信息控制者接受的解决方案。

  安永第19届《全球信息安全调查报告》采访了1735名尾席管理人员、信息安全与IT高管或司理,他们代表了浩瀚寰球范围最大且最著名的企业。2017年9月宣布的考察报告显著,在过往两年中,87%的公司董事会成员和企业高管都表现对其公司层面的网络安全缺累信念;44%的企业不安全经营核心,64%的企业没有或只要非正轨的要挟谍报打算,55%的企业出有或只有非正规的破绽识别才能;62%的企业在阅历了看似无益的安全事宜后,并不会增长其网络安全收入;部门企业猜忌本身能否有能力持续辨认网络中的可疑流度(49%)、逃踪数据的拜访者(44%)或发现暗藏的已知“整日漏洞 攻打(40%);89%的企业不来评估每次重大事情所带来的财政影响,而在2016年遭遇过收集安全事务的企业中,有远折半(49%)对应网络事件形成或可能带去的经济丧失其实不懂得。据针对13个国家与地域419家公司的调研,2017年每家公司数据泄露的均匀成本为362万美元,每人次个人数据泄露的仄均成本为141美圆;诸如北非、印度等发展中国家,在将来24个月内最有可能发生人次超越1万以上的本质性数据泄露事宜,而德国、加拿大发生这种事件的几率最低。

  从国表里最近几年来每每发生的各种数据泄露案例来看,信息控制者面临的安全挑战压力是现实的,也是伟大的。个人数据泄露会造成名誉、法律责任承担与客户散失等影响,而随着竞争加重,“隐私成为品牌”,有效保护个人信息会成为市场主体的核心竞争力,价值会逐步外溢,成为有形资产。

  对于信息控制者而言,从信息安全角度来保护个人信息,本应该是牵强附会的事,个性行业领先企业也已经自觉在进行相关的内部治理机制探索。但是,过去对信息安全商定雅成的理解,并不包括个人信息安全或者隐私保护。基于这种靠山,1994年制定的《计算机信息系统安全保护条例》,目的是为了保护计算机信息系统的安全,保障计算机及其相关的和配套的装备、举措措施(露网络)及其运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。2004年公安部、国家失密局、国家暗码管理委员会办公室、国务院信息化工作办公室印发《关于信息安全等级保护工作的实施意见》,2007年四部门又印发《信息安全等级保护管理方法》,完整建立了我国的信息安全品级保护制度。随后,国家通过连续制定统一的信息安全等级保护管理规范和技术标准,对信息系统分等级实行安全保护。在信息安全等级保护制度中,保护的对象主如果重要信息和信息系统,在上述文明和《信息安全技术·信息系统安全等级保护基本要求》(GB/T22239-2008)以及该国家标准所指引的“共同形成了信息系统安全品级保护的相关配套标准”中,均缺乏关于个人信息保护的规定,使个人信息保护一直游离于信息安全等级保护制度之外。这样,在传统的信息安全观念下,信息控制者恒久考虑的只是计算机系统安全或者运行安全,力求通过权限管理、病毒查杀、设立防水墙、VPN、入侵检测等管理与技术措施,避免系统被袭击和康复,未能将个人信息保护纳入安全框架内一并予以考虑,导致信息安全管理与个人信息保护存在历久的相互脱节现象。

  近年来国家明显加大了个人信息保护的立法过程,2009年侵权责任法初次在法律中确立了隐私权的法律地位。同庚,刑法修正案(七)设立了出卖、合法提供公民个人信息罪与不法获取公民个人信息罪两个罪名。2012年《天下人民代表大会常务委员会关于加强网络信息保护的决定》,第一次从法律上界定了个人信息的内在和范围,也是我公法律第一次对个人信息保护实体内容进行较为系统的规定。2013年订正的消费者权益保护法,明确将个人信息得到保护的权利列为消费者的一项基本权利,全面突出强调了消费者个人信息保护方面的内容。2015年刑法修改案(九)对刑法修正案(七)的规定予以进一步完善,将两个罪名归并为侵占公民个人信息罪一个罪名,还增设了拒不履行信息网络安全管理义务罪。2016年制定的网络安全法是迄古为行对个人信息保护规定最为全面的立法,它明确要求网络运营者建立健全用户信息保护制度。2017年民法总则第111条规定,做作人的个人信息受法律保护。

  由于缺乏专门的个人信息保护法,我国个人信息保护相关立法今朝普遍存在两个突出问题:一是规定过于原则,往往只是一个概念或者一个具体要求,通常是禁止性要求,缺乏系统的整体制度设计,即使网络安全法对于个人信息保护也都只是一些非常原则性的规定;二是普遍重责任追究,尤其是刑事责任追究,轻过程规范,沉总是治理。只要发生不利结果,就责任很重,甚至可以直接惩罚制裁,而信息控制者究竟应该履行哪些法律义务则缺乏规定。比如,按照《最高人民法院、最高人民查察院关于解决侵犯公民个人信息刑事案件适用法律多少问题的说明》,对于侵犯公民个人信息罪“情节严重”采用了十种不同的断定标准,符合标准之一便可以入罪。这样,简直所有侵犯公民个人信息行为都可能直接触发刑事责任,完全可以替代任何行政执法机制,更不需要内部治理机制合营。结果,近年来的密集立法不但未能解决信息控制者内部信息安全与个人信息保护脱节问题,还导致外部法律要求与信息控制者内部治理机制脱节、刑法制裁与其他法律手段脱节、责任规范与行为规范脱节等现象,出现典型的命令控制式立法特点。刑事责任规定虽然看似严格,实际效果却非常无限。随着大数据发展,一些市场主体已经意想到个人信息保护的重要性,并进行相关的主动探索,但囿于内部体制宰割,加之法律规定导致的各种脱节现象,一直无法破解“两张皮”“多张皮”问题关键。

  个人信息保护法要做的,就是针对上述各种脱节现象,借鉴近年来国际社会的实践经验与国行家业领先企业的有益探索,以培育信息控制者内部治理机制为目标,将个人信息保护要求嵌入整体信息安全防范体系中,明确各个环节的相关法律义务和组织要求,完善多元参与与互念头制,实现法律规范的外在要求与信息控制者的内在需要激励相容,达到既保护个人信息安全又强化信息控制者的安全防范能力的共赢结果。这就涉及观念更新、组织与流程重生、行为方式调剂等各个方面,是一项系统工程,需要进行全面的制度设计。

  起首,须要更新信息平安观点,行出传统的运转安全、体系保险的杂技巧门路依附,顺应大数据时期的特色,确立数据安齐观念,把数据当作核心资产,建立用户小我信息至上的基础驾驶不雅,培养保护小我信息便是保护中心合作力的认识,踊跃自动启担团体疑息保护责任。只管不雅念改造仅仅依附破法弗成能完整处理,但经由过程个人信息掩护法明白响应的司法任务与请求,减大守法行动的义务承当,必定有助于转变历久积习难改的各类意识含混题目。

  其次,构造决议功效,观念明确当前,有效的组织结构就是基本。假如能够从结构上构筑信息控制者积极主举措为的组织体制,就完全有可能改变其行为方法,使个人信息保护成为其内活力制的一局部。个人信息保护法应明确要求信息控制者指定或许设立专门机构或存在相应天资的特地职员(数据保护卒),负责本单元个人信息保护平常任务,包含介入波及个人信息保护贪图严重决策的个人信息硬套危险评价、负责制定个人信息保护政策、与相干个人信息保护主管部分或行业自律组织联系、组织个人信息保护安全培训、接收信息主体的赞扬等。数据保护官应自力实行职责,享有任职保证,并曲接向本单元最下管理层背责,使最高决策层能够间接干预个人信息保护问题。要破解后面提到的各类妥善现象,务必从组织系统上实现个人信息保护与信息安全管理、安全管理与营业发作彼此融合。安全治理一定要可以散布式延长到每条业务线,与业务团队实现无缝对接,既实现安全管理政策的有效触达,又全方位为业务发展保驾护航,有效解决“两张皮”“多张皮”景象。从海内行业当先企业的摸索实际看,尤其在制度扶植的过渡阶段,因为安全部门的位置更受器重,与营业线融合更好,由安全体门从企业数据安全角度担任个人信息保护,可能比法务部门从合规角度负责个人信息保护更加有效,更有益于敏捷推进各种融会。固然,因为分歧信息控制者的现实情况纷歧样,个人信息保护法不宜“一刀切”天参与信息控制者外部本能机能分别,但推进融合的慷慨背明显是十分明确的。不同的信息控制者应当依据自身实践情形,采用最有效的推进融合的构造情势。

  再次,改变过去合规与业务流程设计相互分离、就合规谈合规的传统做法,从业务流程设计开初就将个人信息保护要求嵌入产品与效劳之中,体现“设计即隐私”理念,实现个人信息保护全流程笼罩、全业务贯穿的行为方式改变。在大数据环境下,不从源头设计个人信息保护,无法真正防范信息安全风险,这是推进组织融合的起点和目的,也是行为方式转变的核心。为此,个人信息保护法需要设计一些重要的制度,主要包括:(1)在网络安全法确立的合法、正当、必要原则除外,明确将责任原则也确立为个人信息保护的一项基来源根基则,促使信息控制者积极履行责任,防范风险发生。(2)信息控制者在采用涉及处理个人信息的新措施、新技术、新运用之前,应进行个人信息影响风险评估,并采取相应的安全措施,防备风险发生。评估可能存在高风险,技术上或者经济上无法有效化解这种风险的,应事先咨询个人信息保护主管部门的看法,建立有效的征询协商机制,共同解决问题。(3)应勉励个人信息控制者采用笔名化、加密保护、匿名化等方式处理个人信息,从源头防范个人信息泄露、被滥用等风险,并明确规定经匿名化处理的信息不适用个人信息保护法。这样,既可以填补网络安全法第42条对于脱敏信息的规定法律效果不明确的弊病,有利于推动大数据开发利用,也与欧盟及其他国家对于匿名化信息的规定坚持分歧。(4)应要求信息控制者按期主动对信息系统个人信息安全进行检测评估,提高风险防范能力和安全事件应慢处理能力。(5)应平衡个人信息保护与大数据开发利用以及其他社会公共利益的关系,明确将为统计剖析、档案管理与消息报导、学术研究、艺术表白、文学创作等目的处理个人信息的活动,根据具体情况宽免或者克加适用个人信息保护法的某些规定,具体措施由国务院个人信息保护主管部门会同相关部门制定,为信息控制者推动大数据开发利用提供法律接心。(6)对于跨境个人信息传输,除设计类似于欧盟的“充分性”认定机制,以国家为对象采取平等措施之外,还应设计多元的弥补认定机制,包括经批准的标准个人信息保护条约条目、企业自我约束规则、行为规范,以及获得合法存案的个人信息保护可托标记或认证标志等。以信息控制者为适用对象,分别适用于不同的场景,解决不同的实际问题。只有这样,才能调动信息控制者参与个人信息保护的积极性,促进畸形国际经贸来往。

  近年来国内外发生的各种个人信息安全事件,如CSDN遭受攻击、12306网站信息泄露、徐玉玉被诈骗致逝世案、付出宝年度账单事件、Yahoo邮箱泄露案、Equifax征信信息盗取案等,根源大多是信息控制者内部安全防范环节出现了问题,尤其是疏于防范、遭黑客攻击、内部人非法提供、新业务开发与安全保护脱节等。只要能够构建有效运行的内部治理机制,将个人数据安全纳入整体安全防范体系,绝大部分类似事件都应该能预防、避免。

4

构筑有效的外部执法威慑 

  发育激励相容的内生机制,核心在信息控制者的自律。但是,在利用与保护个人数据激励失衡的大后台下,不论是合作规制理论还是各国个人信息保护实践均证明,完全依靠自律机制并不能形成有效的激励约束。只要个人数据能够带来利益,这种现象就难以改变。制定个人信息保护法的国家,一项重要的立法任务就是构建有效的外部执法威慑,促使信息控制者积极履行法律责任,并对违法处理个人信息的行为予以制裁。米国虽然没有制定统一的个人信息保护法,但有着其他国家无法比较的强盛的外部执法威慑机制,能够约束信息控制者的行为。米国宪法、联邦法律、州法对于个人信息都有相应的保护规定,只是联邦层面缺乏一部统一的适用于市场主体的个人信息保护法。米国联邦商业委员会、各州总审查长、民事(集团)诉讼、国会监督与媒体监督及社会监督等机制丝绝不亚于欧盟国家个人信息管理局的执法力度。对于某些特别领域个人信息的保护,如征信信息、未成年人信息、金融信息、安康信息、电子通信等,米国还有专门联邦立法及相应的执法机制,保护力度更大。以米国经验解释后发国家不需要制定个人信息保护法,没有任何压服力。

  由于缺乏统一的个人信息保护法,我国在外部执法威慑机制构建方面除前述的刑法机制替代其他执法机制、信息控制者实体行为规范缺位以外,实践中还导致国家网络安全保护与个人信息保护错位现象,进一步加剧规则适用的杂乱和系统性失灵。

  在国家书息网络专项立法计划中,信息网络立法是分层规划、分层设计的,网络安全法与个人信息保护法是两部独立的立法,各自有其立法目的、原则、任务与制度。网络安满是国家安全的重要组成部分,事关国家根本利益,不容半点让步,没有网络安全就没有国家安全。个人信息权是个人权利的构成部分,权利有相对性,需要依法行使,同时承担义务,权利与权利之间出现抵触需要协调,为了国家安全与公共利益可能还需要对权利进行必要的限制或克减。正因为国家安全与个人权利的这种性质与位阶差别,在各国立法与国际公约中,如《公民权利和政治权利国际条约》第4条、《欧洲人权公约》第15条等,均明确国家安全是更便宜值,予以最高级级的保护;而个人信息权利的行使岂但要以法律的规定为条件,还要遭到国家安全与公共利益的限制。

  由于网络安全法制定的时辰,个人信息保护法尚未被纳入国家正式立法方案,因此该法天然承担了部分个人信息保护法的立法任务,集中反映在第四章的相关规定中。用立法工作部门的话来讲,该法“进一步完善了个人信息保护规范,这些规范与国际通行规则是基本一致的”。也就是说,网络安全法同时承担了双重担务:一是保护国家网络安全,这是该法的主要义务;二是保护个人信息安全,这是该法的附带任务。如果能够掌握法律关系的实质,分别适用不同的断定标准与制度,原来应该不会出现不同任务之间的错位问题。

  但是,由于个人信息保护法缺位,加上其他各种复杂的起因,实践中已经出现的问题是,执法部门偶然候会将双重任务混杂,就高不就低,将保护国家网络安全的标准适用到个人信息保护领域,导致法律关系出现错位和紊治。最为典型的事例当属数据当地化要求。在网络安全法中,由于症结信息基础设备的特殊地位,运营者控制的个人信息和重要数据直接事关国家安全,必须以当地化为原则,确需出境的,依法进行国家安全评估后才能出境。相反,对于一般网络运营者或者信息控制者而言,其个人信息出境只涉及个人权利保护,数据出境可以有多种制度支配,如基于信息主体的同意、第三国满足充分性认定要求、维护第三人的重要利益、满足其他替代认定机制等。一个异常重要的差别是,国家安全评估的对象是相关个人信息和重要数据是否涉及国家安全、是可合适出境,而跨境个人信息传输的评估对象是接受个人信息的第三方是否能够有效保护个人信息,评估的对象与标准都一模一样。如果将国家网络安全标准适用于个人信息保护,势必混淆评估对象和法律关系,举高保护门坎,晦气于正常的国际经贸交流。已经发布的《信息安全技术·个人信息安全规范》(GB/T35273-2017)8.7(个人信息跨境传输要求)规定,“在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应当按照国家网信部门会同国务院有关部门制定的办法和相关标准进行安全评估,并符合其要求”。这一规定是典型的以国家安全评估取代个人信息跨境传输保护水平评估,混杂了两项根本不同的制度,强制奉行会导致各种料想不到的严重效果,也晦气于真正保护国家网络安全。

  可睹,加速出台个人信息保护法,科学厘浑不同制度的界限,不只能解决刑律例范替换其余执法机制、信息控制者行为规范缺掉等问题,也能理逆个人信息保护法与网络安全法的关联,解决好外部执法威慑机制越位、缺位与错位并存的三大现实问题,形成有效的立法结构,推动大数据应用与个人信息保护的和谐发展。

  修建有用的内部执法威慑,并非为了执法而执法,更没有是为了增添信息节制者的累赘,而是为了推进信息掌握者构成有用的内死管理机制。为此,个人信息保护法答从明确行为标准、加大违法本钱、加强信息表露、进步背法行为被收现的可能性、完美行政处分与刑事责任的连接、推动协作管理等多角量,构筑无效威慑机制,修建“胡萝卜+大棒”的鼓励束缚格式,促使个人信息保护要供可能真挚被信息把持者宽格履行。以下多少个圆里的轨制设想不成或缺:

  起首,与培育内部治理机制相衔接,扩大责任原则的鸿沟,通过行业发前者的标杆作用提升行业整体保护水平。个人信息保护法需要明确规定,信息控制者依法向第三方提供、转移、同享或者跨境传输其合法控制的个人信息的,应保证第三方能够履行等同个人信息保护法律义务,确保个人信息全历程安全,保障责任原则的片面实现。这将有利于提升行业整体保护火平,避免木桶效应,改变违法成本低、守法成本高的逆向取舍问题。

  其次,确立并贯彻降实透明准则,以公然通明促内部治理结构施展感化。个人信息处置过程公开透明,是信息控制者造成内生气制的重要外部前提和运行保障,能有效补充合法、合法、需要等本则的缺乏。个人信息保护法应明确划定,发生个人信息泄漏的,信息控制者应该在知情后实时——最早不跨越72小时——向个人信息保护主管部门讲演,除非鼓露不会对信息主体的正当权力产生风险。不克不及在72小时内呈文的,应阐明来由。第三方产生个人信息泄露的,除向个人信息保护主管部门报告中,借应同时通知信息控制者。个人信息泄露可能对信息主体权利发生高风险的,信息控制者应以清楚、简练的说话,尽快告诉信息主体。

  再次,明确信息控制者行为底线,完善行政执法手段和合作治理机制,及时发现违法行为。个人信息保护法应明确规定:信息控制者不得以不公正条件或者“一揽子协议”方式,强制或者变相强制信息主体受权对个人信息的收集;对于特殊类型个人信息(如基因、生物、健康、种族、信奉、征信等),实行特殊保护,禁止或者制约信息控制者收集,构筑个人信息安全防控底线;信息控制者采用预测性识别技术,应采用公平的数学或统计学办法,禁止基于种族、民族、政事观念、宗教或者信奉、基因或者健康状态等差别对信息主体进行轻视;处理基因数据、生物数据、健康状况数据等敏感数据,以个人信息处理为主要业务,处理个人征信数据或者处理刑事裁判数据等,须经政府个人信息保护主管部门行政允许。个人信息保护法应推动形成内外互动的职业共同体和多方交换平台,包括制定行业行为规范等,不断将外部压力传导到信息控制者内部。个人信息保护法应出力完善行政执法手段,规定个人信息保护主管部门可以约谈信息控制者的高级管理人员,要求就个人信息保护重大事变作出说明,提示个人信息保护面临的风险,要求实时进行相应整改,加强过程监管和协商治理。信息控制者违法进行个人信息处理的,政府个人信息保护主管部门应当有多种方式的管理手段,包括责令限日矫正,责令停息个人信息处理,责令排除影响、赔罪报歉,责令停滞使用个人信息文件、个人信息系统,责令提供个人信息,责令更正、停止使用、限制处理或者删除个人信息,责令销誉个人信息文件、个人信息系统,责令停止跨境信息传输,忠告并发布风险提醒,罚款,撤消个人信息处理挂号证或者可证等。对于严峻违法行为,个人信息保护法应提高行政处罚标准,引入乏犯加罚,依照违法处理个人信息条数处以罚款等。

  最后,鉴戒花费者权利保护法修正经验,加大民事责任查究力度,解决个人信息被滥用后平易近事维权成本高、支益低问题,调动信息主体依法维权的积极性。个人信息保护法应规定:信息主体会为信息控制者的个人信息处理行为违反法律的规定,侵略其合法权益致使其人身、产业或者精神侵害的,能够依法直接向国民法院拿起平易近事诉讼,要求结束损害,打消影响,赔偿缺掉,包括精力损害抵偿;具有条件的社会组织,就损害信息主体合法权益的行为,支撑受伤害的信息主体提告状讼或者遵章提告状讼;信息控制者的信息处理行为违背法律的规定,给信息主体的人身、财富或粗神合法权益制成损害的,应依法承担赔偿责任;赚偿的金额不足500元的,为500元;法律尚有规定的,按照其规定。

5

掌握按部就班的推进节拍

  培育信息控制者内部治理机制与构筑有效的外部执法威慑,只是信息控制者与管理者两个主体之间的单维度关系,属于监管范围的制度构建。要实现大数据利用与个人信息保护之间的协调发展,肯定不能漏掉信息主体及其权利行使,这就涉及信息主体、信息控制者、管理者三者之间的多维治理结构。缺乏信息主体参与,缺乏完全的治理结构支持,不可能呈现激励相容的结果,大数据发展与个人信息保护不可能实现长久平衡。当然,一旦引入多维视角,问题就会复纯得多。美欧两种模式之间的真正差别,其切实于毕竟是在多维还是在单维中考虑个人信息保护。欧盟从一开端就需要处理好基本权利保护与信息自由活动不同价值之间的关系,必定了要在多维视角中解决问题,因此一直面临很大的平衡压力。但在临时尽力之下,其基本理念与制度已经被其他国家普遍接收。米国一直回避基本权利话语,仅从消费者风险防范单维度考虑个人信息安全,处理起来更为简单。米国在国际上能够屹立独行,一是因为米国商界对于创新的重视和对政府监管的怀疑;二是国内强有力的执法机制,能够有效规范市场主体的行为;三是在国际上具有霸权地位,可以靠气力履行自己的一套价值观。米国所具有的这些条件其他国家大多灾以完全具有,其做法也难认为其没有家所照搬。但是,随着大数据带来的个人信息安全关心日趋回升,米国也一直面临愈来愈大的国内外压力,要求更重视消费者权利,让消费者有权控制自己的信息。奥巴马政府2012年初次发布消费者隐私权利法案黑皮书,2015年直接以法案形式提出完整的立法提议,都是盼望以消费者控制为核心思念来完擅制度,付与消费者控制哪些个人信息可以被收集以及这些信息若何使用的权利。尽管这些倡议尚未能付诸实践,但已经反应了制度构建上多维视角的重要性,欧盟持久面临的双重价值平衡问题早晚也会在米国涌现。

  我国制定个人信息保护法,不能够也不该该回避权利话语。这主如果因为:首先,要继承参与国际经贸来往,我们只能构开国际通行的多维话语体系与个人信息保护法律制度,不然很有可能被排挤在国际规则体系之外。其次,近些年来的国内相关立法已经在个人信息权利保护上迈出重要的步调,包括民法总则第111条在民事权利部明显确规定保护个人信息,2013年消费者权益保护法修改后纳入了懊悔权和个人信息权等新类别权利,《征信业管理条例》系统构建了信息主体对于个人征信信息的控制制度,网络安全法在回避使用权利概念的同时实际上部分确立了包括被忘记权在内的新型权利的法律地位。随着社会的发展,不论是私法性度还是公法性质的权利,权利的品种、规模等都在不断扩大之中,个人信息保护法要适应大数据发展历史潮水,承担推进个人信息保护的近况责任。最后,其实也是最重要的来由在于,随着大数据广泛使用,个人信息面临的威胁也同步加大,公众对于个人信息安全的需乞降意识会越来越强盛,法律必须予以回应。

  2014年,中国消费者协会的个人信息保护状况调查发现,约三分之发布受访者在过去一年内个人信息曾被泄露或盗取。受访者中,认为“办事商未经自己赞成,暗自搜集个人信息”是消费者个人信息泄露的最主要道路,占比达64.08%。中国信息通讯研究院的一项实证调查也发现,近80%的用户认为隐私泄露重大,防不堪防;而且,用户维权意识提降,认为企业“不告诉搜集”和“不法交易个人信息”是凸起问题。另外一项威望数据隐示,2016年遭受过网络安全事件的用户占比到达全体网民的70.5%,个中网上欺骗是网民逢到的重要网络安全问题,39.1%的网民曾碰到过这类安全事件。公安部刑侦局相关负责人几年前就表示,侵害国民个人信息犯罪是多种卑鄙犯法的泉源,社会迫害宏大,除引发电信、网络诈骗等各种新颖犯功外,还与绑架、巧取豪夺、暴力讨债等乌恶犯罪合流。2016年末缓玉玉案以后,公民个人信息泄露导致的性命财富威逼惹起社会各界广泛关注。在个人信息面对各种严格挑战、公众信息安全意识逐渐晋升的大配景下,个人信息保护法如果不确立公家维护自己权利的制度,不克不及知足公众的最基本安全需要,公众一定会用实际行为(包括用足投票)来维护自己的信息安全,摇动大数据发展的基石,结果只会导致信息控制者、管理者、信息主体的双输或者多输结果。

  果此,个人信息保护法应该在近几年各项立法的基础上,借鉴国际社会成功经验,包括米国与欧盟的经验,以周全构建个人数据治理体系为原则,以防范个人信息安全风险为目标,明确引入公法意义上的个人信息控制权观点,并在收散、使用、转移、存储、跨境传输、烧毁、查问、改正等个人信息处理的全过程,明确信息主体的知情权、同意权、挑选权、变革权、删除权、撤回权等各权项,使信息主体能够实正参与到个人信息保护之中。

  大数据时代的个人信息保护是一个簇新的领域,个人信息权属于一项新的权利,权利的性质与界限都还不清晰,不宜简单用传统权利观念剪裁。简单照搬传统权利理论,可能会堕入无停止的理论战论之中,消耗大量精神。缺乏系控制度支撑的法律规定,标语再洪亮,规范意义也会非常模糊,在实践中更不可能产生影响。各国实践已经证明,即使立法技术科学,权利体系设计周密,仅仅依靠个人同意权等传统隐私权保护机制,无法应答大数据倏地发展背景下的个人信息保护问题,告知同意机制完全可能流于形式,信息主体只能选择同意。正因为如此,才有欧盟、米国对激励相容机制的共同探索。

  这就表白,个人信息保护法在设计治理结构的同时,必须考虑实施环节的激励相容机制实现问题,使实施部门对峙法目的和基本制度结构有非常清晰的整体认识,并处理好不同维度之间的关系。个人信息保护法的实施需要按部就班、突出重点、把握主线,以风险管理与防控为共同切入点,追求法律实施的最至公约数,梯度递进。首先要通过立法在内的外部机制助推信息控制者组织架构变更,发育有效内生机制,形成内外互动协力,以有效预防绝大部分个人信息安全风险。在此基础上,根据国情、信息控制者接受度和公众偏偏好等身分,逐步探索提高价值定位,如合规、权利实现等。这种实施策略,既可以形成激励相容合力,调动信息控制者维护信息安全的积极性,降低规制成本,迅速实现基本安全目标,也有利于监管部门集中执法力气,散焦核心环节,避免执法气力过于疏散。比如,对于信息控制者的分歧规行为,在既有协商执行的余步又有强制手段的情况下,先协商执行效果可能要比简单强制好,更有利于调动信息控制者持绝改进的积极性,而不是一罚了事。再如,个人信息从最内核的隐私信息到通常理解的敏感信息再到最外围的大数据意义上的非敏感个人信息,浮现一个喷射状扇形结构。对于不同的个人信息,执行机制就要进行划分,采用不同强度的保护标准,界定信息控制者不同的责任。又如,信息主体权利的实现是一个过程,个人信息保护法中规定的不同权项不可能一步同时到位,执行中必然也需要有所区分,根据不同场景设计不同制度。也就是说,个人信息保护法的制定只是实现了一半任务,另一半任务在于实施中的差别选择和具体安排,如何实施法律决定了最后立法目标是否真正实现。

  如果挨破上述顺序,不是先从信息安全风险管理角度切入,由易到难,而是反其道而行之,一会儿全部放开,势必加大内生机制的形成难度,相互管束、对消,欲速则不达,大失所望。中国四十年景功的渐进改革经验对个人信息保护法的实施路径选择有很强的参考意义,需要食品借鉴。实际上,激励相容的制度设计,通过外部威慑促使信息控制者内生机制发挥作用,而不是“一刀切”式的号令控制立法,恰是为了在实施环顾推动形成多元互动的优越治理格局,以实现立法目标。


最新资讯
热门文章