◎上海戎磐網(wǎng)絡(luò)科技有限公司首席信息官 Slimming Panda

“很好與優(yōu)秀只差一點點距離，這段距離叫安全”。8月28日，華住集團(tuán)被曝大量用戶數(shù)據(jù)遭泄露，疑似近5億條開房記錄被拖庫。華住集團(tuán)雖在8月28日即通過官方微博聲明表示已經(jīng)報警并且聘請專業(yè)技術(shù)公司核查此事，但兩周多時間過去了，華住方面仍無更新事件進(jìn)展，而數(shù)據(jù)泄露引發(fā)的公眾熱議也逐漸在網(wǎng)上淡去。這很大程度上是因為我國在立法層面問責(zé)和監(jiān)管缺位，受害者或是基于無力應(yīng)對，或是應(yīng)對無效后不得不接受現(xiàn)狀，一般會選擇“自認(rèn)倒霉”。 9月4日，在2018年互聯(lián)網(wǎng)安全大會上，一些專家呼吁，對個人信息安全的關(guān)注和討論不該停止。

一、國內(nèi)現(xiàn)狀

根據(jù)全國人大網(wǎng)10日公布的《十三屆全國人大常委會立法規(guī)劃》文件顯示，共有69件法律草案列入第一類項目，即條件比較成熟、任期內(nèi)擬提請審議。其中，個人信息保護(hù)法是第61個項目，這意味著個人信息保護(hù)將迎來專門立法。

另一則激動人心的消息是，今年9月17日，阿里巴巴等12家大數(shù)據(jù)企業(yè)在杭州簽署《個人信息保護(hù)倡議書》，承諾保障用戶信息控制權(quán)益。倡議書提出，公開透明處理用戶信息；用通俗易懂的語言、簡單直觀的方式，向用戶明示個人信息處理目的、方式、范圍、規(guī)則等；一旦發(fā)生重大個人信息泄露事件及時告知用戶；不使用“一攬子協(xié)議”的方式強(qiáng)迫用戶打包授權(quán)對個人信息的收集，為用戶提供個人信息申訴渠道、注銷賬戶或關(guān)閉的途徑；建立可訪問、更正、刪除其個人信息處理機(jī)制；不超范圍和約定，收集、存儲、使用、共享個人信息；在個人信息處理活動時，對用戶合法權(quán)益造成的損害依法承擔(dān)責(zé)任。

因此來說，在當(dāng)前個人信息泄露頻繁、大數(shù)據(jù)頂層設(shè)計不到位和第三方監(jiān)管缺乏的背景下，我國在國家立法和行業(yè)軟法規(guī)范方面事實上已經(jīng)邁出了重要步伐。事實上，在中國的法律體系中，并不缺乏關(guān)于個人信息保護(hù)的相關(guān)立法。2012年全國人大常委會制定的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2016年的《網(wǎng)絡(luò)安全法》，2017年的《民法總則》，都有涉及個人信息保護(hù)的法律規(guī)則。在司法解釋的層面上，則有最高人民法院與最高人民檢察院在2017年聯(lián)合發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。剛剛經(jīng)過第三次審議的《電子商務(wù)法（草案）》，以及已經(jīng)進(jìn)入征求意見階段的《民法典人格權(quán)編（草案）》也都有專門涉及個人信息保護(hù)的條文。在其他社會規(guī)范的層面上，國家標(biāo)準(zhǔn)委員會在2017年正式發(fā)布了《信息安全技術(shù)以及個人信息安全規(guī)范》的國家標(biāo)準(zhǔn)。但目前存在的問題是，我國既有的個人信息保護(hù)立法存在嚴(yán)重的碎片化，同時缺乏實際的可操作性。雖然看上去很多立法都涉及個人信息保護(hù)，但往往流于原則宣示，或局限于針對某一特定領(lǐng)域或方面的問題作出規(guī)定。由此導(dǎo)致規(guī)則之間的不協(xié)調(diào)，違反規(guī)則的責(zé)任主體、責(zé)任形態(tài)含糊不清。亟需國家層面的數(shù)據(jù)保護(hù)法律框架以及配套的信息安全激勵和問責(zé)機(jī)制。

二、歐美國家主要做法

在個人信息保護(hù)方面，歐美國家可以為我們提供很多啟示與借鑒。

以美國為例，美國的策略較為靈活，主要采取行業(yè)自律模式，即由公司或行業(yè)內(nèi)部制定行業(yè)的行為規(guī)章或最佳實踐指南，為行業(yè)的隱私保護(hù)提供示范和標(biāo)桿。相對于個人信息保護(hù)立法，行業(yè)自律模式是一種相對寬松、尊重企業(yè)自我選擇的一種保護(hù)模式。其弊端也是顯而易見的，如缺乏統(tǒng)一自律標(biāo)準(zhǔn)，對個人信息保護(hù)參差不齊；執(zhí)行機(jī)制不夠完善，缺乏有效監(jiān)督等。不過，美國也以分散立法的形式對該模式予以補(bǔ)充，如《聯(lián)邦貿(mào)易委員會法》（15 U.S.C. §§41-58）（FTC Act） 是 一 部聯(lián)邦消費者保護(hù)法案，禁止不公平或欺騙性做法，適用于線下和線上的隱私和數(shù)據(jù)安全。《消費者網(wǎng)上隱私法》、《兒童網(wǎng)上隱私保護(hù)法》、《電子通訊隱私法案》、《計算機(jī)欺詐和濫用法》、《金融服務(wù)現(xiàn)代化法》（GLB）、《健康保險流通與責(zé)任法》（HIPAA）、《公平信用報告法》等行業(yè)立法也為特定行業(yè)的隱私保護(hù)或特定類型的敏感信息保護(hù)提供了法律依據(jù)。除此之外，截至2018年3月28日，美國所有50個州、哥倫比亞特區(qū)、關(guān)島、波多黎各和維爾京群島均頒布了《數(shù)據(jù)泄露通知法》，要求私人或政府實體及時向受影響客戶通報涉及個人信息泄露的有關(guān)事件。此外，在法律救濟(jì)方面，除美國聯(lián)邦及州級政府提起訴訟外，公司還面臨用戶及投資人提起民事訴訟的風(fēng)險，以期尋求民事救濟(jì)，指控公司違約、疏忽及欺詐。2017年6月，美國最大保險公司Anthem Inc.在發(fā)生8000萬客戶個人數(shù)據(jù)泄露事件后，就曾簽署過一份1.15億美元的和解協(xié)議，同意向每位原告支付235美元的賠償，而遭受最大傷害的訴訟集體將獲得高達(dá)10000美元的賠償。加利福尼亞州在法律實踐方面一直走在美國各州的前面，該州于今年6月28日頒發(fā)了一項備受關(guān)注的數(shù)據(jù)隱私法案——“AB 375”法案，直接為集體訴訟開綠燈，同時對“個人信息”進(jìn)行了更為廣泛的定義，將“生物識別信息”、互聯(lián)網(wǎng)瀏覽歷史記錄和購買歷史記錄均納入個人信息保護(hù)范疇。

同時，美國目前的立法也是存在條塊分割、相互交叉甚至是矛盾等問題，缺乏全面性的綜合隱私法。在數(shù)月前曝出的臉書和劍橋數(shù)據(jù)分析公司丑聞之后，特朗普總統(tǒng)的特別助理蓋爾·斯萊特與信息技術(shù)行業(yè)委員會的首席執(zhí)行官們會面，討論聯(lián)邦層面網(wǎng)絡(luò)數(shù)據(jù)隱私法規(guī)的雛形。國會議員也呼吁制定新的法律法規(guī)，加強(qiáng)美國數(shù)據(jù)隱私保護(hù)體系，并可能借鑒歐盟的《通用數(shù)據(jù)保護(hù)條例》(GDPR)。

歐洲方面，歐盟在個人信息保護(hù)方面要嚴(yán)格得多，它對互聯(lián)網(wǎng)環(huán)境下個人信息的隱私權(quán)保護(hù)算得上是世界上最為全面和嚴(yán)格的。歐盟保護(hù)模式是由國家主導(dǎo)的立法模式。國家通過立法的形式，明確保證個人信息安全的各項基本原則和具體的法律規(guī)定等。而剛生效不久的歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)，更是被媒體認(rèn)為是大數(shù)據(jù)監(jiān)管新時代的標(biāo)志。該法案對數(shù)據(jù)泄露的定義較為寬泛，包括“違反安全規(guī)定導(dǎo)致所傳輸、存儲或以其他方式處理的個人數(shù)據(jù)遭受意外或非法毀壞、丟失、篡改、未經(jīng)授權(quán)披露或訪問”。因此，數(shù)據(jù)泄露的定義不限于黑客訪問IT系統(tǒng)，還包括智能手機(jī)、筆記本電腦或U盤丟失或被盜、惡意軟件感染和數(shù)據(jù)丟失（如數(shù)據(jù)被意外刪除且沒有備份可用）。法案還規(guī)定了數(shù)據(jù)控制者和數(shù)據(jù)處理者在泄露事件中的義務(wù)，如通知監(jiān)管機(jī)構(gòu)和數(shù)據(jù)主體，記錄包括與數(shù)據(jù)泄露相關(guān)的事實、數(shù)據(jù)泄露的影響以及所采取的任何補(bǔ)救措施等的所有有關(guān)數(shù)據(jù)泄露的情況。其懲罰措施也是全球最嚴(yán)格的，“不遵守上述通知義務(wù)可能面臨高達(dá)一千萬歐元或相當(dāng)于全球年營業(yè)總額百分之二的罰款（以其中較高者為準(zhǔn)）。不遵守監(jiān)管機(jī)構(gòu)的命令可能會面臨高達(dá)兩千萬歐元或相當(dāng)于全球年營業(yè)總額百分之四的罰款（以較高者為準(zhǔn)）?！?/p>

三、幾點啟示

一是數(shù)據(jù)保護(hù)不僅是數(shù)字時代企業(yè)社會責(zé)任的一部分，對于收集、使用或共享個人信息或其他潛在敏感消費者數(shù)據(jù)的任何組織而言，數(shù)據(jù)保護(hù)既是一種風(fēng)險管理，也應(yīng)是最基本的合規(guī)性功能。就公司而言，可將其視為“信息受托人”，用對個人信息的保護(hù)責(zé)任，換取法律的確定性和安全港保護(hù)。（“安全港規(guī)則”，即有限合伙企業(yè)中的有限合伙人（LP）的行為如果被認(rèn)定為對合伙企業(yè)的控制性行為，則該LP就可能與普通合伙人（GP）一樣，對合伙企業(yè)的對外債務(wù)承擔(dān)無限連帶責(zé)任。作為有限合伙企業(yè)的一項基本法律制度，安全港規(guī)則是通過對LP不參與合伙事務(wù)為隔離條件，而賦予其有限責(zé)任保護(hù)的一種價值平衡安排。）

二是在國家立法方面，可參考?xì)W盟的GDPR，出臺全面的個人數(shù)據(jù)隱私保護(hù)框架，對個人信息的定義要結(jié)合大數(shù)據(jù)發(fā)展趨勢進(jìn)行重新定義，法律的約束和監(jiān)管對象應(yīng)該是所有機(jī)構(gòu)，包括政府部門，而不只是企業(yè)。

三是立法的效果主要取決于2個方面：一是自下而上的民意倒逼，對立法具有重要推動作用。個人維權(quán)意識提升、企業(yè)通過行業(yè)軟法踐行“社會責(zé)任感”，形成巨大的“民意”氛圍，可以推動國家立法，使得法律更有活力和生命力；二是可供選擇的法律救濟(jì)措施，如通過集體訴訟尋求補(bǔ)償，使公司承擔(dān)責(zé)任，幫助公司成為負(fù)責(zé)任的個人信息管理者。同時，應(yīng)建立以行政救濟(jì)為主，民事救濟(jì)、刑事救濟(jì)相結(jié)合的多途徑救濟(jì)機(jī)制，全面保障個人信息主體的權(quán)利。

四是個人信息保護(hù)立法應(yīng)有配套的信息安全激勵機(jī)制，不能僅僅是東窗事發(fā)后的事件應(yīng)急處置，而應(yīng)向事件預(yù)防傾斜。應(yīng)鼓勵公司升級管理模式，做好完整可靠的數(shù)據(jù)安全措施。

五是對于個人信息保護(hù)議題的討論，無疑是一個法律問題，同時也是一個技術(shù)問題。所以，我們不僅要進(jìn)行法學(xué)思考，而且要進(jìn)行技術(shù)方面的思考。如何實現(xiàn)技術(shù)規(guī)律、技術(shù)程序與法治規(guī)律和法律程序的有效連接，是我們需要面臨和思考的新問題。