商用服务信息保护和监管研究

【摘要】2018年1月3日，晒2017年支付宝账单活动风靡微信朋友圈，支付宝在2017年账单界面嵌入了一段不易发现的服务协议链接，导致全国上亿用户在不知情的情况“被授权”支付宝采集个人信息，消息一出，引发了全体网民、社会媒体及法律界人士的跟进关注，舆论发酵迅速。目前，个人商用服务信息权益保护工作逐渐受到世界各国金融服务机构和监管主体的关注。本文对国外个人商用信息保护和监管方面的经验做法进行了整理，为我国个人商用服务信息保护和监管提供了有益借鉴。

【关键词】信息安全行业监管立法保护

一、我国个人商用信息保护和监管工作存在的不足

一是我国针对个人的信息保护的立法空白。目前，我国并未出台保护个人信息的专门法律。我国的《国侵权责任法》和《民法通则》中的关于个人信息保护与侵权救济条款，奠定了个人信息保护的民事制度基础，但相关条款内容过于宽泛，缺乏针对性和具体执行力。我国的个人信息保护法立法建议从2003年被提上日程，缺一直未能进入正式的立法程序。我国个人商用信息保护的基本法空白，降低了个人信息保护的司法执行力。二是我国对个人商用信息保护范畴的界定过于狭窄。目前，我国关于个人商用信息的规定散见于多部法律法规中，侧重于保护个人信贷信息、通信信息等，对个人信息保护主体的界定主要局限于各行业内部，未能涵盖与行业信息有关联的其他主体。致使如医疗、房产中介、机动车销售、电信运营、网络服务等行业及其相关业务人员有许多机会掌握大量公民个人信息。因此这些行业也往往成为个人信息泄露的“重灾区”。三是信息保护监管机制不完善。现阶段，我国对个人商用信息监管不具备违规行为发生后的问责到底的机制，同时面临重大群体信息违规违法事件的处理机制不健全，监管主体责任不明确，行业监管乏力存在漏洞。如，日前支付宝恶意隐藏信息采集授权条款，导致客户在不知情的情况下“被同意”了《芝麻服务协议》的事件中，支付宝仅仅通过官方微博了道歉说明，但截至目前相关监管机构针对整个事件并未对支付宝进行处罚和开展后续事件调查。四是缺乏具体有效的救济方式。现行对个人金融信息保护的相关规定侧重于规范金融机构的行为，而缺乏对数据主体权利、救济方式和途径的规定。这一现状导致在个人金融保护的实践中，数据主体的权利容易被轻视，同时侵权者违规违法成本低，使得数据主体在遭受侵权行为时往往难以得到民事救济。

二、国外个人商用信息保护和监管的主要做法

（一）明确界定个人信息，增强市场保护和监管的针对性。美国侧重对政府权利的限制，出台的各项法规旨在保护公民的隐私权、财务信息、健康信息保密性和安全性，在美国《隐私法》中，采用“记录”代指“个人信息”，指一个机构所持有的与一个人相关的单项信息活信息集合。欧盟虽然比较注重保护社会公众个人商用信息的隐私权，但同时出台了一系列制度确保成员国不会因为对个人信息的过度保护而阻碍个人数据在成员国之间的正常交流。欧盟将社会公众的商用信息界定为和自然人相关的所有信息，因此欧盟对个人信息的保护内容相对广泛。日本对个人权利和利益的保护显著增强，日本将个人信息定义为与一个自然人相关的，包含姓名、驾照、身份证号、出生日期、军官证和其他所有可以识别出特定对象的任何信息。（二）借助行政手段，统一市场管理。美国通过借助政府统一管理，部门分散立法的模式，实现相关机构行为的自我约束、自我规范，从而保护个人信息的安全，并在个人信息保护和个人信息产业发展之间找到平衡。欧盟明确了个人信息保护的基本原则，欧洲议会出台统一管理框架，各成员国根据联盟统一要求，分别建立自己的个人信息保护法。日本通过行政干预统一了全国个人信息标识，加强个人商用信息的规范化管理手段。（三）进行专门立法，加强司法监督。美国早在上世纪80年代就出台了《美利坚合众国隐私法》，规定了在商业领域的个人信息保护办法，是美国保障公民信息安全的重要法律，该法案提出了公民隐私权为国家宪法必须保障的基本人权。在1997年，美国又出台了《美国互联网商务机构政策框架》，明确了私营企业在互联网领域保护个人信息的主要义务，并鼓励私营企业为此建立内部管理制度，同时提出建立独立的、公正的第三方机构的监督机制。欧盟在个人信息保护方面的工作成绩突出，这与其出台严格个人信息立法环境关系密切。总体上看,欧盟个人信息保护的法律从强调对国家权力的有效控制以及对私权领域的严格限制，执行了集公权领域与私权领域于一体的统一立法标准。欧盟于2016年5月24日通过了《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR），并将于2018年5月25日实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的新高度。此外，各欧盟国家也分别制定国内的相关法律，以加强个人信息在本国的保护和监管。如瑞典于1973年出台了《数据法》，明确了有关个人数据在采集、加工、保管以及公开等方面的具体措施。德国的《个人数据保护法》采用了统一立法的标准，对公民的个人信息采取了统一、规范的立法保护。法国的《自由信息法》，是一部专门约束公权力，保护个人信息的法律。英国的《英格兰个人信息保护法》分别从信息的采集路径、信息用途、保存期限、信息保管平台职责等方面做出了明确的规定，降低了个人信息受非法侵害的风险。而亚洲的韩国、日本、新加坡等国也制定了自己的个人数据保护法。其中日本《公民数据保护法》规定了国家机关、地方及政府以及社会团体在个人信息保护方面的具体职责，为个人信息保护中遇到的法律纠纷提供解决依据。韩国出台的《互联网商务基本法》确保了个人信息在互联网环境下安全传输。新加坡出台的《公民个人信息保护法》对个人信息保护相关问题做了体系化、规范化的梳理与规定，将个人信息保护纳入了正式法律治理范畴。（四）加强行业自律，辅助对个人信息的保护和监管。日本许多民间组织制定了涉及个人信息安全的规范文件，截至2010年年末，日本共有2000多个地方公共团体制定了相关个人信息保护条例。到2017年，日本各级政府均已制定了《个人信息保护办法》。日本民间团体无权立法，主要通过行政指导、行业自律或个别法律的某些具体管理条例实现自我约束、自我管理，如日本个人数据保护办公室制定的《社会团体自然人信息保护办法》等。（五）建立了健全的个人信息主体救济措施欧盟通过的《一般数据保护条例》明确了监督机关救济、司法救济、公益组织救济和损害补偿等具体救济和补救措施，如果数据主体认为与其有关的个人数据处理违反了本条例，有权向常住地、工作所在地、侵权发生地成员国的监督机关、对数据控制者或处理者、非营利性机构、组织或协会及向数据控制者、处理者提起诉讼或索偿。

三、相关建议

（一）加快个人信息保护和监管立法。一是出台个人信息保护法。提升法律保护的效力，需要尽快出台一部统一的个人信息保护法律。二是完善个人信息保护制度建设。个人信息保护监管机构、金融机构、征信机构等要把内部制度的完善、严格遵守放到重要位置。（二）加强个人信息监管体制建设。首先应明确我国个人信息监管的主要机构，对我国个人信息监管、立法、执行进行统一领导，再由各行业具体监管单位建立行业内个人数据保护的规则和执行标准，督促相关单位加强对个人信息数据库的监管，严格按照制度要求处理个人信息。鉴于中国人民银行征信中心在个人信息监管方面的成功经验，建议由中国人民银行牵头开展个人信息保护的监管试点工作，提升监管效力。（三）加强个人信息保护行业自律。一是鼓励相关社会团体积极健全完善个人信息保护的内控机制。个人信息的商用机构要完善客户信息保护的规章制度，细化执行流程，定期对信息安全状况进行科学评估。二是个人信息处理平台要不断完善系统安全建设，提升互联网环境下的个人数据平台的风险防防范能力。三是加强业务人员教育和管理。把保密教育纳入员工培训必学内容,不断增强员工保密和法律意识以及对信息的管理能力。（四）充分发挥司法审判的作用。我国的法院、检查和公安等部门应切实提升个人商用信息纠纷案件的审理水平，并对性质严重、情节复杂的信息侵权案件指导性案例，为我国个人信息纠纷的案件审判提供明确的指引，有效协助司法机关科学、合理使用自有裁量权。

参考文献

[1]GB/Z28812-2012《信息安全技术公共及商用服务信息系统个人信息保护指南》.

[2]EU.GeneralDataProtectionRegulation.[2015-5-24].[3]OECD关于保护隐私和个人数据跨国流通过的建议，2007.

[4]李林.个人信息保护现状调研报告，社会科学文献出版社.2009年版.

[5]齐爱民.论个人信息的法律保护[J].苏州大学学报（哲学社会科学版），2005(2):30-35.

[6]宋丽.电子商务的发展和个人资料的保护[J].研究生法学，2001(3):21.

[7]黄勇.论个人信息保护执法机构的设置及其职能[J].山西煤炭管理干部学院学报，2010(1):175-176.84

作者:王颖 单位:中国人民银行宁县支行