对个人数据保护立法欠缺
不管是政府部门收集和开放数据,还是社会组织开发、利用数据,都有可能直接或间接涉及公民个人数据保护问题。个人数据是与数据主体有关的一切信息。比如公民个人的姓名、年龄、身份证号、财务情况、购买习惯、常登录的网站等。在大数据时代,一旦个人数据被公开、利用,就极有可能造成个人信息泄露,不仅侵害个人合法权益,还有可能对公共安全造成损害。这也是世界各国在发展数据开放中面临的现实挑战。
为了应对这一难题,欧美国家主要采取两种措施,一是重新制定相关网络数据安全保护法进行专门保护;二是修改已有的信息法律,使之能够解决新的问题。美国于2012年制定《消费者数据隐私保护法案》,专门解决网络环境下个人信息保护问题。欧盟则采用第二种方法,修改现有法案以应对数据开放所带来的个人信息安全问题。我国目前还没有专门的法律来界定和保护个人数据。2017年6月1日实施的《中华人民共和国网络安全法》第四章规定了“网络信息安全”,对个人信息保护作出规定。该法确立的国家主导原则,有利于畅通政社、政企、政民信息共享,也有利于完成网络安全和经济社会信息化健康发展的任务。[11]但是,该法主要针对的义务主体是“网络运营者”,并不是数据开放平台的主体——政府。因此,该法的颁布实施并不能完全弥补我国对于个人数据保护立法缺失的现状。
笔者认为,对个人数据保护应采取多层级的立法保护模式,并需要着重解决以下几个问题:
(1)明确“个人数据”的概念和“个人数据权”的内容
实践中,“个人数据”和“个人隐私”很容易混淆。个人隐私是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集、刺探和公开。[12]个人隐私权是一种基本的民事权利,属于人格权的一种。对个人隐私的保护属于民法上个人基本权利保护的问题。而个人数据,是指与一个身份已确定或者身份可确定的自然人(数据主体)相关的任何信息。[13]对个人数据的保护不仅涉及个人权利保护,还包含数据如何使用的问题。个人数据权兼具人身权和财产权的属性。因此,二者并不等同。
“个人信息”和“个人数据”的区别并不十分明显。目前我国学界在讨论个人数据保护立法时常用的名称是“个人信息”。例如周汉华教授就此问题所作的研究报告名称就是《中华人民共和国个人信息保护法(专家建议稿)及立法研究报告》。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中也采用了“个人信息”一词,并对其概念和范围予以明确规定。笔者倾向于在立法和研究中使用“个人数据”一词,因其有利于和政府数据开放制度衔接并与欧美个人数据保护立法接轨。
在个人数据保护立法中,还要明确“个人数据权”的具体内容,应该包括知悉权、同意权、获取权、更正权、删除权和获得报酬权等。
(2)建立兼顾数据流通和权利保护双重要求的立法价值取向
在“大数据”时代,对于数据的流通、开发和利用已成为主流。因此,在保护个人数据的过程中,也要兼顾数据流通这一时代要求,在二者之间达到一种相对的平衡。
一方面,在对个人数据保护进行立法时,要充分认识“个人数据权”保护的重要性,并建立相关机制予以保障。另一方面,对于个人数据的保护不能过度。尤其是在政府数据开放的过程中,要消除数字鸿沟,最大限度为社会提供更多的能够利用的数据,在限制和流通之间寻求一个最佳的平衡点。
(3)完善个人数据权遭受侵害时的救济途径
“无救济,即无权利”,任何侵犯个人数据权的行为主体都应承担相应的法律责任,具体包括民事责任、行政责任和刑事责任。
今年实施的《中华人民共和国网络安全法》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(下文简称《解释》)中均规定了对于公民个人信息的保护措施。其中,《网络安全法》明确了网络运营者的安全责任。《解释》对侵犯公民个人信息罪的定罪量刑标准等内容进行了详细规定。
除此之外,个人数据保护立法中应当明确,当个人、组织违法获取、使用个人数据,或未尽到合理保护义务,侵害公民数据权时,数据所有人应当可以提起民事诉讼。造成损失的,行为人应当承担民事损害赔偿责任。数据所有者对于负有监管职责的政府部门没有依法履行应尽责任的行为,也应该可以申请行政复议或提起行政诉讼,以保护自己的合法权益。