《個人信息安全規(guī)范》史上最內(nèi)行解讀
2018年1月,國家標(biāo)準(zhǔn)《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱“規(guī)范”)獲批發(fā)布全文。盡管這是一部推薦性的國家標(biāo)準(zhǔn),不具有強制力,但仍引起了學(xué)界與實務(wù)界的廣泛關(guān)注。
在關(guān)于規(guī)范的各類解讀中,有聲音認(rèn)為規(guī)范的發(fā)布及時地填補了現(xiàn)今個人信息保護中諸多技術(shù)細節(jié)與實操領(lǐng)域的規(guī)范空白;也有聲音認(rèn)為,這部國家標(biāo)準(zhǔn)規(guī)范比歐洲與美國對于個人信息保護的要求更為嚴(yán)格,可能會影響行業(yè)的發(fā)展。
洪延青:
對“《個人信息安全規(guī)范》比歐盟與美國更嚴(yán)格”觀點的幾點回應(yīng)
對于種種理解,規(guī)范的起草人之一、北京大學(xué)互聯(lián)網(wǎng)發(fā)展研究中心高級顧問洪延青近日在由中國互聯(lián)網(wǎng)協(xié)會研究中心主辦的“網(wǎng)絡(luò)產(chǎn)業(yè)與《個人信息安全規(guī)范》國家標(biāo)準(zhǔn)研討會”上做出了幾點回應(yīng)。
1、《個人信息安全規(guī)范》比歐洲更嚴(yán)格嗎?
-用戶“同意”在規(guī)范中處于核心位置,但并非沒有考慮“正當(dāng)利益”
在近日發(fā)布的《個人信息安全規(guī)范》中,對于個人信息的收集、轉(zhuǎn)讓、共享等各個環(huán)節(jié)中,都對用戶的“明示同意”做出了要求。
洪延青表示,個人信息所謂全生命周期每個環(huán)節(jié),個人都是能參與到過程中去的,這些權(quán)利是《網(wǎng)絡(luò)安全法》賦予的。
洪延青介紹,《網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)安法”)對個人信息保護的規(guī)定有一個非常顯著的特征,就是給個人特別強的控制權(quán)。比如說,收集使用需要個人的同意,即經(jīng)被收集者同意;處理和保存必須遵循與用戶的協(xié)定;如果違反用戶的協(xié)定處理或者保存?zhèn)€人信息,用戶有刪除和更正的權(quán)利。當(dāng)發(fā)生安全事件之后,還需要通知到用戶。
從這個方向來看的話,個人的“同意”,在處理個人信息過程中處于核心的地位。因此,有觀點認(rèn)為,這份標(biāo)準(zhǔn)中對于“同意”的要求甚至比歐洲GDPR(《一般數(shù)據(jù)保護條例》)更為嚴(yán)格,理由是 GDPR有六個合法正當(dāng)處理個人信息的事由,同意是第一項,后面五項不需要同意。第六項是正當(dāng)利益。
洪延青對此持不同意見,他解釋,GDPR中有兩種同意的方式,一種是明示同意(explicit consent),指明確寫著“我同意”的字樣讓用戶點擊或勾選。而另一種是授權(quán)同意(unambiguous consent),指通過點擊“發(fā)送”或者點擊“撥打”等動作表明同意,但并不出現(xiàn)明文“同意”。
洪延青介紹,在此次發(fā)布的《個人信息安全規(guī)范》中,是將以上兩種情況合并為“明示同意”,同時也為“授權(quán)同意”留下了空間。
“為什么規(guī)范中沒有提及默示同意?”,洪延青解釋,首先,這樣寫怕企業(yè)會濫用默示同意。其次,目前承認(rèn)“授權(quán)同意”,是希望互聯(lián)網(wǎng)企業(yè)做到明示同意,但如果現(xiàn)實大量的場景做不到明示同意的話,還是需要用到授權(quán)同意的。“從這一點上我們的標(biāo)準(zhǔn)實際上比歐盟松得多,跟相對寬松的美國相對是看齊的”,洪延青說。
而對于一些看法認(rèn)為,歐盟GDPR中還考慮到“正當(dāng)利益”的狀況,即個人信息對某個組織來說非常重要,有重大的利益,但是處理個人信息對個人合法權(quán)益的影響非常小的情況下,通過利益權(quán)衡,允許組織不經(jīng)過同意處理個人信息的做法。
洪延青表示,首先,“同意”的要求沒有任何例外情況,這是遵循了網(wǎng)安法的要求,在其第41條的第一款中寫“經(jīng)被收集者同意”,這里沒有給任何例外,如果網(wǎng)安法想給例外,這一條就完全另外一種寫法,比如說,“有法律法規(guī)授權(quán)或者其他正當(dāng)事由或者經(jīng)被收集者同意”, 但是,(最終的網(wǎng)安法)沒有“或”字,原文是“經(jīng)被收集者同意”,字面上理解的話,遵循法律原意就是各個環(huán)節(jié)被收集者同意。包括后面條款說到,“未經(jīng)被收集者同意,不能向他人提供”。這也是法律的原話,同意是提供的主要事由之一。當(dāng)然后面提了一句如果匿名化不需要個人同意。
其次,洪延青指出,在現(xiàn)實中有什么樣的場景經(jīng)常用到正當(dāng)利益,法院或者行政機關(guān)認(rèn)可的站得住腳的對正當(dāng)利益的使用實例,那么我們考慮寫到“征得授權(quán)同意的例外”中。比如說產(chǎn)品出了一個故障,肯定需要回傳一些信息做調(diào)試,再比如說需要計費,為了計費的目的肯定要收集個人信息。這時候,雖然在國外,這叫正當(dāng)利益的具體表現(xiàn),但是我們沒有寫“正當(dāng)利益”四個字,而是盡量把它放到“征得授權(quán)同意的例外”當(dāng)中去。
當(dāng)然,由于例外只能列舉,不可能代替 正當(dāng)利益 所給的靈活性,所以會有人讀起來覺得規(guī)范太嚴(yán)了。”洪延青表示,規(guī)范只能在網(wǎng)安法的框架中制定,不可能超越法律的框架。
2、《個人信息安全規(guī)范》比歐洲更嚴(yán)格嗎?
-要求區(qū)分核心與非核心功能,實則可以降低企業(yè)問責(zé)風(fēng)險
在此次發(fā)布的規(guī)范中,還對此前受到用戶詬病的產(chǎn)品隱私政策“一攬子”授權(quán)的狀況做出了改善的建議。
目前的互聯(lián)網(wǎng)產(chǎn)品或服務(wù)在注冊時大多會提供用戶協(xié)議或隱私政策,作為與用戶簽訂的個人信息使用處理的同意。但通常文本較長,專業(yè)術(shù)語眾多。因此有用戶認(rèn)為隱私政策長文本晦澀難懂,還有“一攬子”要求用戶授權(quán)的嫌疑。
洪延青對此解釋,隱私政策長文本的讀者并非只有用戶,還包括專家、法律人士及第三方監(jiān)督機構(gòu)。因此長文本的全面專業(yè)依然有必要。
但他同時強調(diào),即便點擊了隱私政策長文本的同意,并不意味著附加功能同時一并打開。在現(xiàn)實使用中,還是需要再次點擊同意。
洪延青介紹,為了破解“一攬子”授權(quán)的情況,標(biāo)準(zhǔn)建議企業(yè)區(qū)分核心功能和附加功能。用微信舉例,微信核心功能是聊天,在實現(xiàn)這個核心功能中需要收集敏感信息或是普通個人信息,用戶為了使用微信,都需要提供。但例如微信上的理財?shù)裙δ埽瑒t明顯屬于附加功能,如果用戶只想聊天,不想用理財,就不能認(rèn)為同意了隱私政策就也同意開通了理財功能?所以規(guī)范建議企業(yè)在告知時區(qū)分核心和附加功能。
洪延青表示,在此前四部委進行的十家互聯(lián)網(wǎng)產(chǎn)品評測中,一些企業(yè)雖然開始認(rèn)為區(qū)分核心與非核心功能不容易,但在實際操作后,反而成為一個非常明晰的風(fēng)險防控手段。將來面對消費者或者消協(xié)投訴時,可以由于做了核心或者附加功能的區(qū)分,而降低問責(zé)成本。
同樣,此次規(guī)范對于個人敏感信息做出了增強式同意的要求,亦或是強調(diào)用戶同意在各個環(huán)節(jié)的核心作用,實際上都是為了降低問責(zé)成本。洪延青介紹,實際上無論是歐盟還是美國,對于要尊重用戶“正當(dāng)期待”也都有要求,即需要遵守與用戶的約定,要尊重用戶的“正當(dāng)期待”( reasonable expectation),這并非是中國才有。
洪延青表示,同意的要求變低,問責(zé)的要求往往就變高了。因為在現(xiàn)實中,這會讓判斷會更模糊,這會讓內(nèi)部合規(guī)考量更多更復(fù)雜。反而,在現(xiàn)在《網(wǎng)絡(luò)安全法》框架下,同意比起問責(zé),是相對容易做的事情。
需要注意的是,規(guī)范的發(fā)布對于企業(yè)內(nèi)容合規(guī)提出了更明確的要求,洪延青介紹,完整性、保密性、可用性一直以來都是網(wǎng)絡(luò)安全行業(yè)熟知的三個特性。此外,如今的合規(guī),還要求企業(yè)劇本透明性(數(shù)據(jù)的處理、流轉(zhuǎn)要透明)、可干預(yù)性(如果需要刪除或更正,需要劇本溯源追究的能力)、不可聯(lián)結(jié)性(在大數(shù)據(jù)平臺中,不同場景不同目的的數(shù)據(jù)不能聯(lián)結(jié))。
洪延青認(rèn)為,如果說個人信息系統(tǒng)要討論合規(guī)性的話,要實現(xiàn)六個性,內(nèi)部必須有數(shù)據(jù)分級分類、數(shù)據(jù)打標(biāo)、數(shù)據(jù)地圖、數(shù)據(jù)血緣關(guān)系、數(shù)據(jù)流向、留痕審計。這些都是基礎(chǔ)的合規(guī)能力,用于滿足的是對個人信息特殊對象的保護而不是對普通數(shù)據(jù)的保護。
洪延青還透露,目前《個人信息安全規(guī)范》已經(jīng)發(fā)布,個人信息安全影響評估正在起草中,這一文本將會對企業(yè)合規(guī)的差距進行分析,并針對未來的新技術(shù)、新業(yè)態(tài)、新技術(shù)留出空間。個人信息安全影響評估將對企業(yè)合規(guī)有更明晰的指導(dǎo)性。
3、《個人信息安全規(guī)范》比歐洲更嚴(yán)格嗎?
“個人信息”的定義并非全世界最嚴(yán),與歐盟程度仍拉開了距離
《個人信息安全規(guī)范》附錄A中有某項信息是不是個人信息的判斷。洪延青介紹,規(guī)范的定義考慮兩個路徑,一是識別路徑,即由信息本身特殊性識別出特定自然人。二是關(guān)聯(lián)路徑。 關(guān)聯(lián)路徑的前提是,個人已經(jīng)識別出來了,他后續(xù)做的一系列動作,又被系統(tǒng)記錄了,顯示出他的偏好和行為軌跡,這些也屬于個人信息。
洪延青指出,一些社交平臺,把身份信息保護得很好,例如帳戶、用戶名、手機號、身份證號、家庭住址等等。但是,卻把用戶的朋友關(guān)系網(wǎng)絡(luò),例如特別關(guān)注的好友,屏蔽了誰,不屏蔽誰等等,叫做系統(tǒng)日志信息,而沒有定義為個人信息,這是不合理的。他表示,在一些場景下,身份信息往往并沒有行為信息更隱私,更需要保護。
此外,還有專家評論,識別是歐盟經(jīng)常用的路徑,關(guān)聯(lián)是美國經(jīng)常用的路徑,把識別和關(guān)聯(lián)都加起來,標(biāo)準(zhǔn)比美歐都嚴(yán)。洪延青認(rèn)為這是一個誤讀。
據(jù)洪延青介紹,歐盟GDPR中的個人信息定義中,本身就包括“可識別”(identifiable )與“已識別”(identified),這實際上已經(jīng)把識別和關(guān)聯(lián)都包含在內(nèi)了。所以規(guī)范首先并沒有超過歐盟的嚴(yán)格程度。
需要注意的是,歐盟語境中的“身份“(identity)一詞的內(nèi)涵遠比中文語境中“身份”更寬泛。中文語境的“身份”一本指的是工作單位、職位,職級等等。但是歐盟GDPR對“身份”的定義,則包括physical(身體的), physiological(生理的), genetic(基因的), mental(精神的), economic(經(jīng)濟的), cultural or social (文化與社會的)identity(身份)。 舉例來說,一個人的性取向,在中國語境里并不認(rèn)為是“身份”,但在歐盟就會認(rèn)為是身份的一種。因此歐盟個人信息定義中包含的內(nèi)容遠大于中國。
而美國的情況也是如此,美國商務(wù)部下國家標(biāo)準(zhǔn)與技術(shù)研究院標(biāo)準(zhǔn)PⅡ?qū)€人信息定義為兩類,第一類是能夠用來區(qū)別(distinguish)或勾勒個體身份的信息,第二類是能夠和個人相關(guān)聯(lián)的信息。洪延青解釋,美國的定義也是包括了關(guān)聯(lián)與識別兩類。
洪延青表示,規(guī)范在制定時,可能會比美國稍嚴(yán)一點,但是絕對不會比歐洲更嚴(yán),而且與歐洲拉開了一定的距離。
洪延青在發(fā)言的最后強調(diào),法律往往都是框架性的要求,制定標(biāo)準(zhǔn)一定會在《網(wǎng)絡(luò)安全法》的框架內(nèi),如果未來能夠出臺個人信息保護相關(guān)的專門法,那么規(guī)范會在那時候再適時做出修改,反映有彈性的操作空間。
吳沈括:《個人信息安全規(guī)范》提供了新的業(yè)務(wù)參照和行為指引
“在大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)以及人工智能等新一代信息技術(shù)迅速普及、推廣的當(dāng)下,個人信息與數(shù)據(jù)治理的戰(zhàn)略意義日益凸顯”,會議伊始,主持人、中國互聯(lián)網(wǎng)協(xié)會研究中心秘書長吳沈括在發(fā)言中表示,包括規(guī)范在內(nèi)的一系列政策、法律法規(guī)相繼頒布施行,反映了主管部門對民眾權(quán)益、產(chǎn)業(yè)發(fā)展和國家利益的高度重視,也折射出中國個人信息保護追求多元價值集合的鮮明特色。
吳沈括認(rèn)為,在網(wǎng)絡(luò)安全法治框架下,規(guī)范立足信息安全的維度,厘定、闡明了個人信息安全保護領(lǐng)域的諸多重要問題,如“個人信息”的基本定義、個人信息安全的基本要求等;并突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機制特色。他指出,在目前我國個人信息處理規(guī)范相對不足的情況下,規(guī)范在實際操作層面填補了諸多空白,為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照和行為指引。
在附錄中,規(guī)范將具備識別特定自然人或者在一般情況下可以關(guān)聯(lián)到自然人的信息納入了個人信息的范疇。吳沈括對南都記者表示,這是因為規(guī)范的出發(fā)點是管控風(fēng)險,其核心在于盡量降低在收集、處理個人信息過程中對個人合法權(quán)益造成的不利影響。
此外,附錄還將通過日志儲存的用戶操作記錄、IMEI信息、設(shè)備MAC地址等列入了個人信息范疇。不過,吳沈括強調(diào),規(guī)范的附錄屬于“資料性附錄”,而非“規(guī)范性附錄”,兩者的區(qū)別是:后者是構(gòu)成標(biāo)準(zhǔn)整體的不可分割的部分,其效力等同于標(biāo)準(zhǔn)正文;前者則僅限于提供參考,不具備與標(biāo)準(zhǔn)正文同等的效力。
吳沈括指出,作為國家推薦性標(biāo)準(zhǔn),規(guī)范的適用主體不僅限于網(wǎng)絡(luò)企業(yè),還包括所有個人、企事業(yè)單位和國家機關(guān)。“事實上,規(guī)范更恰當(dāng)?shù)墓δ芏ㄎ粦?yīng)當(dāng)是一個有關(guān)個人信息處理業(yè)務(wù)合規(guī)指引的一攬子推薦性解決方案,屬于公共產(chǎn)品的范疇”,他進一步解釋說,除非行為主體主動承諾、有權(quán)機關(guān)明確援引或法律規(guī)范直接認(rèn)可,規(guī)范本身不直接產(chǎn)生行為約束力,也并非行政性規(guī)范,更不應(yīng)在刑事責(zé)任層面產(chǎn)生實質(zhì)性意義。
“個案思維和總體風(fēng)險可控是兩個維度的問題,在《個人信息安全規(guī)范》的個案運用中,特別需要注意行為邊界的精準(zhǔn)厘定”,吳沈括強調(diào),規(guī)范的實際價值需要在 5月1日正式施行后,結(jié)合政府機關(guān)以及龍頭企業(yè)的示范效應(yīng),尤其是有關(guān)部門的執(zhí)法實踐做出進一步的跟蹤研判,同時還應(yīng)特別注意數(shù)據(jù)跨境下的國際博弈可能產(chǎn)生的反向影響。
許長帥:個人信息保護立法應(yīng)劃分行政監(jiān)管邊界
中國信通院工業(yè)和信息化法律服務(wù)中心副主任許長帥在會上做了主題發(fā)言。他認(rèn)為,雖然規(guī)范只是推薦性國家標(biāo)準(zhǔn),但對于日常監(jiān)管卻有重要參考作用,可通過“轉(zhuǎn)化”的方式,把規(guī)范融入到日常監(jiān)管當(dāng)中。此外,在后續(xù)的個人信息保護立法中,還應(yīng)重點解決監(jiān)管部門分工以及劃分行政監(jiān)管邊界的問題。
規(guī)范可通過“轉(zhuǎn)化”融入日常監(jiān)管
近日,《個人信息安全規(guī)范》全文在國家標(biāo)準(zhǔn)全文公開系統(tǒng)上線。作為《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱“網(wǎng)安法”)的配套標(biāo)準(zhǔn),規(guī)范從收集、保存、使用、共享、轉(zhuǎn)讓、公開披露等個人信息處理活動方面進行了詳細規(guī)定。
“《個人信息安全規(guī)范》在網(wǎng)安法的框架內(nèi)做了 打開 ,對實務(wù)有很好的指引作用,這一點是毋庸置疑的”,許長帥指出,網(wǎng)安法關(guān)于個人信息保護的規(guī)定條款較少,且多為原則性條款,而規(guī)范在此基礎(chǔ)上給出了更加詳細、明確的規(guī)則。此外,規(guī)范的出臺符合產(chǎn)業(yè)發(fā)展的需要,也更靠近國際上通行的做法。“規(guī)范實施后積累的實踐經(jīng)驗,將為后續(xù)的個人信息保護立法打下很好的基礎(chǔ)”。
值得注意的是,規(guī)范屬于推薦性國家標(biāo)準(zhǔn),和強制性國家標(biāo)準(zhǔn)不同,不能作為執(zhí)法的直接依據(jù)。對此,許長帥提出了一個對策,即通過“轉(zhuǎn)化”的方式,把規(guī)范融入到日常監(jiān)管當(dāng)中。
許長帥表示,網(wǎng)安法中雖然給出了個人信息的定義并列舉了其中一些,但對于沒有被列舉的信息中,還有哪些屬于個人信息,尚無統(tǒng)一標(biāo)準(zhǔn)。規(guī)范作為有一定效力的國家標(biāo)準(zhǔn),詳細列舉了個人信息、個人敏感信息的范圍,完全可以融入網(wǎng)安法適用中。不過,盡管監(jiān)管部門可以將規(guī)范當(dāng)作執(zhí)法指引,卻不能成為執(zhí)法依據(jù)。
同樣的,執(zhí)法部門后續(xù)制定規(guī)章和規(guī)范性文件的時候,可以參照規(guī)范所確定的規(guī)則,將相關(guān)制度融入到規(guī)章和規(guī)范性文件中,但不能將規(guī)范作為這些規(guī)章和規(guī)范性文件的立法依據(jù)。
企業(yè)違反規(guī)范是否需要承擔(dān)法律責(zé)任?
對企業(yè)來說,規(guī)范在產(chǎn)業(yè)中的作用完全靠企業(yè)自主采用,就算企業(yè)不采用,也無需承擔(dān)法律責(zé)任。但是,如果企業(yè)對外承諾或者宣稱采用了規(guī)范而實際未采用,是否需要承擔(dān)相應(yīng)的法律責(zé)任?
許長帥認(rèn)為,根據(jù)《標(biāo)準(zhǔn)化法》第27條“企業(yè)應(yīng)當(dāng)按照標(biāo)準(zhǔn)組織生產(chǎn)經(jīng)營活動,其生產(chǎn)的產(chǎn)品、提供的服務(wù)應(yīng)當(dāng)符合企業(yè)公開標(biāo)準(zhǔn)的技術(shù)要求”和第36條“企業(yè)生產(chǎn)的產(chǎn)品、提供的服務(wù)不符合其公開標(biāo)準(zhǔn)的技術(shù)要求的,依法承擔(dān)民事責(zé)任”,企業(yè)需要承擔(dān)民事責(zé)任。
此外,許長帥還類比了《產(chǎn)品質(zhì)量法》第26條“產(chǎn)品質(zhì)量符合在產(chǎn)品或者其包裝上注明采用的產(chǎn)品標(biāo)準(zhǔn)”,提出該法通過合格產(chǎn)品制度,要求產(chǎn)品對外宣示采用了哪個推薦性國家標(biāo)準(zhǔn),如果實際上沒有達到,執(zhí)法部門可以進行處罰,即企業(yè)需承擔(dān)行政責(zé)任。
相比之下,個人信息保護所屬的服務(wù)領(lǐng)域就缺少類似規(guī)定。許長帥建議,未來個人信息保護立法應(yīng)設(shè)計把個人信息保護推薦性國家標(biāo)準(zhǔn)轉(zhuǎn)化為具有法律約束力的要求的制度。“如果沒有做到,企業(yè)除了民事責(zé)任以外,還要承擔(dān)行政法上的責(zé)任,這樣可能更有利于企業(yè)的良好經(jīng)營”,他說。
許長帥還指出了執(zhí)法過程中可能出現(xiàn)的另一個問題。網(wǎng)安法第41條規(guī)定, 網(wǎng)絡(luò)運營者收集、使用個人信息,應(yīng)征得被收集者同意,并在第64條明確了相關(guān)罰則。規(guī)范也明確,收集個人信息應(yīng)獲得個人信息主體的授權(quán)同意,另外又列舉了針對此條規(guī)定的例外情形。比如在與國家安全、國防安全直接相關(guān)的情形下,個人信息控制者收集、使用個人信息無需征得個人信息主體的授權(quán)同意。
“假如企業(yè)說我是在規(guī)范列舉的例外情形下,沒有告知就收集了用戶的信息,而用戶依據(jù)網(wǎng)安法第41條和第64條要求執(zhí)法部門處罰企業(yè),應(yīng)該如何執(zhí)法?”許長帥提出,現(xiàn)階段國家法律和規(guī)范之間仍存在一定差異,可能需要通過立法解釋等方式解決,將來個人信息保護立法也應(yīng)吸收規(guī)范的例外規(guī)則或其他要求。
后續(xù)個人信息保護立法要與執(zhí)法做預(yù)判或銜接
談到后續(xù)的個人信息保護立法,許長帥認(rèn)為,有兩個需要注意的問題。
一個是監(jiān)管部門的分工問題。網(wǎng)安法沒有明確規(guī)定具體的執(zhí)法部門和主管部門,而個人信息保護問題涉及各個行業(yè)和領(lǐng)域,很難一一對應(yīng),因此實踐中形成了分散監(jiān)管的模式。許長帥舉了一個在淘寶平臺售賣醫(yī)療器械的例子:既然客戶有購買醫(yī)療器械的需求,就說明家里有人需要器械輔助,那就很可能也需要家政服務(wù),于是賣家將收集到的客戶信息出售給家政服務(wù)公司,一個利益鏈條就串起來了。
“這種情況下,既涉及受電信部門管理的互聯(lián)網(wǎng)信息服務(wù),又涉及受工商部門管理的網(wǎng)絡(luò)交易,還涉及受食藥監(jiān)部門管理的醫(yī)療器械,被侵犯個人信息的客戶找誰投訴、找誰解決呢?”許長帥指出,誰來監(jiān)管的問題需要立法部門在個人信息保護立法時重點解決。國外大多采取統(tǒng)一的監(jiān)管模式,對用戶來說有很多的便利,但也必須綜合考慮統(tǒng)一監(jiān)管涉及的執(zhí)法力量、執(zhí)法負(fù)擔(dān)以及執(zhí)法能力等因素。
另一個是行政監(jiān)管的邊界問題。許長帥指出,個人信息保護是在服務(wù)過程中存在的,發(fā)生糾紛應(yīng)該首先尋求司法解決。但實際情況卻是大多數(shù)人會第一時間找行政部門投訴和舉報,試圖通過信訪、依法履職、投訴等途徑解決。
近兩年,與網(wǎng)絡(luò)有關(guān)的投訴、舉報和依法履職申請案件急劇增加,行政復(fù)議和行政訴訟的案件更是呈幾何級增長。許長帥認(rèn)為,這導(dǎo)致了極大的行政資源浪費。“個人信息保護涉及的服務(wù)是市場行為,產(chǎn)生的問題應(yīng)該在市場規(guī)律下走司法途徑解決,不是說政府部門負(fù)責(zé)某一行業(yè)的個人信息保護,這個行業(yè)出現(xiàn)的所有糾紛都要通過行政手段解決,這已經(jīng)被證明是做不到的,況且行政成本說到底還是攤到公眾頭上。”
因此,許長帥建議,個人信息保護立法要明確劃分行政監(jiān)管的邊界,與后面的執(zhí)法做一個預(yù)判或銜接。如果前期立法的規(guī)則設(shè)計處理好了,為行政監(jiān)管劃清界限,個人信息保護的大部分案件就可以通過司法途徑解決,有效減少行政執(zhí)法糾紛。
責(zé)任編輯:電改觀察員
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進行時丨陜西電力部署6項重點任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)