信息时代,个人信息保护一直是一个比较热的话题,从人肉搜索的合法性到3Q大战再到个人账户信息安全,多年来不断被媒体和公众关注。今年央视3.15晚会再一次聚焦个人信息保护,披露了几家银行和罗维邓白氏等公司侵犯个人信息权利的情况,时隔不久,工信部正在起草的个人信息保护新国标再一次让个人信息保护成为媒体和公众关注的热点。
可以说,个人信息保护这个话题,多年来常说常新、热度不减。
尤其是4月5日媒体报道工信部直属的中国软件测评中心正在联合30多家单位起草《信息安全技术、公共及商用服务信息系统个人信息保护指南》,已正式通过评审,正报批国家标准。该信息一经披露,就引发了公众对个人信息保护和个人信息保护立法的普遍关注。有叫好的,称赞其推进了个人信息保护的立法进程,比较给力;也有拍砖的,称“多它一部不多、少它一部不少”,不是强制性标准,意义不大。
那么,究竟如何才能有效保护我们的个人信息,我们需要怎样的个人信息保护标准或法律?为什么我们的个人信息总是被出卖、泄漏和侵犯,而我们又往往无能为力呢?顺着这个即将出台的个人信息保护新国标的话题,我倒觉得确实很有必要简单探讨一下这几个问题。
一 、立国标还是立法,是个问题?
首先,个人信息保护的重要性和紧迫性自不待言,基本上每个生活在信息时代的人都有很多这方面切身的经历和感触,这也是为什么这个话题每每会成为媒体关注热点的原因。然而,在立法还是立国标保护个人信息的问题上,我的观点是鲜明的,坚决不赞成立国标保护,唯有及时立法才是解决问题的正道。而且这次立国标保护个人信息还会给公众带来一种误导,模糊标准和法律的界限,产生不切实际的要求和期望。
一般来讲,国家标准是在全国范围内统一的技术要求 ,由国务院标准化行政主管部门统一审批、编号、发布。法律对国家标准的制定另有规定的,依照法律的规定执行。国家标准分为强制性国标(GB)和推荐性国标(GB/T)。强制性国标是保障人体健康、人身、财产安全的标准和法律及行政法规规定强制执行的国家标准;推荐性国标是指生产、检验、使用等方面,通过经济手段或市场调节而自愿采用的国家标准。标准化法将中国标准分为国家标准、行业标准、地方标准(DB)、企业标准(QB)四级。而按照标准化对象,通常把标准分为技术标准、管理标准和工作标准三大类。
也就是说,标准解决的主要是技术问题、指标问题、流程问题,而标准恰恰不能解决权利义务和责任问题,不解决行为规范的问题,也就是不解决保护本身的问题,保护和行为规范却是法律的长项。而诸如环境保护标准等之所以把保护和标准放在一起,只是因为其中涉及太多的技术性很强的指标问题,需要通过标准解决保护之前的指标问题,而环境保护行为本身也是要依靠立法解决的,除此类之外,我们再看不到其他的关于保护的标准。而目前我们在个人信息保护方面需要解决的,都是权利、义务和责任方面的问题,正如工信部介绍的,该《个人信息保护指南》对个人信息的处理包括收集、加工、转移和删除四个主要环节,其中还提出了个人信息保护的原则。这个原则包括目的明确、最少使用、公开告知、个人同意、质量保证、安全保障、诚信履行和责任明确等八项。显然,其中我们没有看到任何技术上的指标,没有看到标准保护和人信息的基础和必要性,而这些原则又基本都是欧盟等个人信息保护立法的核心内容。
同时,我们也注意到,该国标不是强制性标准,可以预期的是,该标准基本不会对个人信息保护的现状产生任何实质性的影响。但有人认为有总比没有好,毕竟可以为立法做出铺垫,还是很有意义的。但我想说的是,这个世界上完全没有意义的事情基本是没有的,在侵权普遍、保护形势严峻、泥沙俱下、积重难返的复杂形势面前,需要的不仅是政府的及时出手,更要切中要害、力度得当,而不是“放空枪”以壮声势。
如果说,工信部出台个人信息保护的部门规章推进个人信息保护立法进程,还是顺理成章的,而一个原本需要立法解决的问题,非要绕道标准,何来推进立法进程一说呢?不仅南辕北辙,更会误导公众对于法律和标准不同功能的认识。如果个人信息保护的国标出台了,今后网络版权保护、商标保护、名誉权保护是不是都需要出国标呢?是不是今后的相关立法都要绕道或借力于国标呢?
二、需要警惕的“立法与许可证依赖症”
我们还注意到,在此次个人信息保护新国标的相关报道中提到,据工信部电子科技情报研究所副所长刘九如统计,目前已有近40部法律、30余部法规,以及近200部规章涉及个人信息保护,其中包括规范互联网信息规定,医疗信息规定,个人信用管理办法等。当然,也包括刑法第七修正案中关于侵犯个人信息刑事责任的相关内容。那么,我的问题是,为什么我们已经有了这么多的相关规定,270多部,覆盖面不可谓不广泛;从法律到法规再到规章,层次不可谓不丰富;刑事责任、有期徒刑,处罚力度不可谓不强,却依然面临个人信息保护不够给力,公民个人信息屡屡被大规模侵犯的尴尬局面呢,是不是我们所面临的问题远远不是再立一部或几部法能够解决的呢?
当然,个人信息保护进一步立法很必要,我们不否定个人信息保护立法的必要性和紧迫性。但我在这里需要强调的是,其实我们很多人和很多媒体都有立法的过度依赖症,只要遇到问题,就简单地呼吁立法,以为只要立了法,问题就可以自动解决了。而不去认真分析这方面已经有了哪些法律法规,为什么现有的规定不能解决问题,问题出在立法的环节还是司法、行政执法的环节,或者是在公众守法意识、企业主动合规等方面,是不是除了立法外,我们还要关注更多的综合手段来解决问题。
这种立法过度依赖症带来的后果不仅使我们不能从更全面的角度看待问题、解决问题,还会使法越立越多,相互重叠、冲突或不能有效衔接,失去法律体系的完整性和有机性,而同时问题却依然存在。
法当然是要立的,但立法恐怕只是解决问题的万里长征第一步,立完法,更要关注法的执行和遵守,关注法制环境和普法、法律的解释、法律的修订和完善,还要关注法律的配套制度的建设,如行业自律、市场自身的调节机制、企业的规章制度、格式合同条款的订立,等等。
此外,与立法过度依赖症密切相连的是许可证过度依赖症,也是非常普遍,以为只要发了许可证,问题就可以得到解决,而实际情况往往是许可证不仅没有有效解决问题,却扼制了产业发展的活力、增加了权利寻租和灰色产业链。
根据我多年专注于互联网治理问题的研究,发现几乎所有的互联网问题都不是可以仅仅依靠立法和许可证解决的,都需要综合性的解决方案。现有法律的很多硬性条款在互联网这个柔性的、互动的、跨区域和国界的茫茫大海中,不是泥牛入海,就是形同虚设、力不从心,究其原因,就在于没有形成适合互联网时代发展的有效的综合治理机制。在这个个性化、扁平化,有着自己独特语言和行为方式的虚拟世界里,立法订立某个条款规定人们不得做什么,或者在某个领域颁发某个许可证其实都很容易,但要想做到令行禁止,真正做到发展与规范兼顾,形成良性的、有效治理的长效机制,却一定是要政府部门下很大的功夫的。需要转变非互联网的简单化的管理思路和手段,需要极大的制度创新的勇气和胆识,还需要从更全面的角度和更高的层面看待、分析问题。
三、信息时代,个人信息保护面临的问题究竟是什么?
就像本文开头所提到的,个人信息保护这个话题,之所以多年来常提常新、热度不减,是有着其深刻的原因和背景的。我们的世界已经义无反顾地走到了信息时代,信息时代和互联网时代的细胞是信息–包括政府信息、企业信息、市场信息、个人信息,等等,而个人信息又是各种信息的基础,没有个人信息,政府信息、企业信息、交易信息、市场信息等都无从谈起,互联网也不会像现在这样丰富多彩,满足我们无止境的需求和好奇心,我们更也不可能享受到无限多的开放、分享、即时、人性化的互联网服务,今天一日千里、活力四射的互联网产业也无从谈起。
也就是说,个人信息是信息时代的基石,而个人信息的保护和利用一定是并存的,个人信息需要保护,也需要利用;需要在利用中保护,需要在保护中利用,个人信息的保护问题一定要在保护与利用平衡的大前提下看待,不能仅仅是为了保护而保护。
在我们看到个人被滥用、被侵犯的同时,也要看到,正是有了个人信息的充分、合法、巧妙的利用,才使我们对那些千姿百态的互联网应用欲罢不能、越陷越深、乐此不疲。既然我们的无数个人基本信息、交易交流信息、网络行为信息已经一发不可收地碎片化在千千万万的网络应用中,转化为我们心仪的服务和信息产品,再想把这些信息完完全全地收回来,整整齐齐地保护好,没有一点折扣地被使用就已经是一件不可能完成的任务了。甚至可以说,一定程度的滥用其实一定是利用的附产品,完全消灭滥用是不可能的,除非我们不用互联网,回到那个没有互联网的时代。
开放的生态环境,在拥抱阳光雨露、莺飞草长的同时,也一定不能躲避狂风暴雨、病毒害虫,缺陷的存在本身也是生态环境多样性很重要的一环。
欧盟的个人信息保护立法在世界各国中是最积极,也是最严格的,这可能与其经历两次世界大战,人权惨遭沦陷有关。但矫枉过正与重保护、轻利用的结果是大家都看到的,欧盟的互联网信息服务业无法与其庞大的市场匹配,远远落在了美国和中国后面。而我们现在的个人信息保护立法思路似乎正在极力复制欧盟的模式,这正是我所担心的;而另一种个人信息保护立法模式是美国模式,美国模式的特点一方面是对商业机构比较宽松,强调让其自律,而对政府利用个人信息要求严格;另一方面是对个人信息的收集限制不是很严格,监管的重点是对个人信息的滥用。有谁可以说,从微软、雅虎、亚马逊、Ebay、谷歌到FACEBOOK,其产业神话与美国的这种相对宽松的个人信息保护模式没有关系呢?
信息时代,个人信息保护与个人信息保护立法这个话题,今后也一定还会热下去。但我希望,大家讨论的基础,是以法律为基础的保护而不是标准保护;是综合治理和不是简单的立法和许可证治理;是强调保护与利用的平衡而不是完全的为了保护而保护。