大数据时代的个人信息保护
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
新华社上海5月25日电(记者周琳 谭慧婷)近日,由华东政法大学数据法律研究中心发起的“中国数据法律高峰论坛”在上海举行,与会的中美数据法律专家对大数据时代个人信息保护新理念和新模式进行了研讨。数据法律研究中心根据会议研讨成果整理形成了“大数据时代的个人信息保护-上海共识”,并向社会公开发布。
1.个人信息保护的宗旨
个人信息保护应以保护个人权益和促进信息流通为宗旨,以实现个人权益保护和信息自由流通的平衡。一方面,应当继续强调个人信息的收集、使用和流通不得侵犯信息主体的基本权利,同时探索和形成个人利益在个人信息的收集、使用和流通中的实现机制;另一方面,也应重视个人信息的社会属性,认识到信息主体并不对其个人信息享有绝对的控制权,信息的自由流通不应因此受到阻碍。信息主体有权阻止他人以危害个人权益的方式过度收集、滥用和泄露个人信息,并有权获得法律上的救济;而对个人信息以合理、适当、安全方式进行的收集、使用和流通在法律上应受到同等保护。
2.个人信息保护的共同认知
2.1 个人信息保护是为保护个人尊严和自由而建立的一套个人信息收集、使用和流通规则,并不存在统一的模式或方法。
欧洲的个人数据保护模式和美国的信息隐私保护模式均源自于欧美特有的社会政治、文化背景及其司法体制而形成,中国亦应当立足于国情,探索保护公民个人尊严和自由的个人信息保护模式和方法。
2.2 在数据时代,个人信息的使用实际已无法完全由个人自决,以“知情同意”为基础的个人授权模式在很多情况下已无法给予个人信息收集、使用和流通以充分的正当性,而社会规范在正当性判断上实际起决定性作用。因此,个人信息保护的基础理论应当由个人自决为核心转向社会规范判断为核心。
2.3 个人信息保护旨在防范个人信息的滥用,个人信息使用是否会导致隐私侵害,因使用目的、场景、方式不同而有所不同,不存在个人信息使用等同于隐私侵害的恒等式,区分场景保护隐私成为个人信息保护的一大趋势。对个人信息收集和获取环节进行的法律规制已无法真正有效保护个人信息;加强对个人信息使用环节的法律规制,加大对危害个人信息行为的惩罚才能更有效地保护个人权益。
2.4 个人信息是社会运行的普遍要素,其收集、使用和流通具有隐蔽性强、可控制性弱的特点,个人信息保护需要巨大的法律执行成本。因此,培养和塑造尊重个人隐私的文化和守法意识,推进行业自律自治是个人信息保护制度建设的重要内容。在此,我们呼吁中国企业将个人信息保护贯穿到企业产品设计、业务流程管理的每个环节,建立尊重和保护个人信息的数据治理和合规体系,将企业的数据治理和合规能力作为核心竞争力加以建设,同时鼓励行业自治,发展具有行业特点的个人信息保护规则和标准。
3.个人信息保护的基本建议
面对大数据应用和推进数据经济发展的需要,中国应当适应数据时代需要,构筑面向未来的个人信息保护体系。为此我们建议:
3.1 建构以风险为导向、以场景为基础的个人信息保护制度,合理设定信息主体的权利、个人信息控制者的义务和监管机构的职权。
3.2 个人信息保护法律规范应以个人信息控制者的义务规则、行为准则为核心,明确个人信息控制者的义务、行为规范和法律责任,实现从“以个人权利为中心”向“以个人信息控制者义务为中心”的转变。
3.3 分门别类地实施知情同意规则,强化必要情形下同意的有效性。在一般情形下,个人信息的收集、使用和流通应当通过合理可行的方式告知信息主体,维护个人知情权,但特殊的情形(比如智能驾驶等无法告知的情形)除外;私密性的个人信息或敏感个人信息的收集、使用和流通应当以获得“充分告知+明示同意”为前提,以特别情形下直接限制或禁止为补充。
3.4 将个人信息使用环节作为个人信息保护法律规制的重点对象,建立个人信息控制者的行为规范,加大个人信息控制者的违法成本。个人信息收集、使用、流通的规范应当融入以风险为导向、场景为基础的理念,实现个人信息流通(或间接获取)符合场景的需要、风险可控和责任可追溯。
3.5 合理赋予信息主体权利,切实维护个人的尊严和自由。强化个人信息收集、使用和流通的透明性原则,确保信息主体的知情权、访问权、更正权、退出权(拒绝权),细化个人信息使用规范,实现“以事先干预为主”向“以事后救济为主”的转变。
3.6 针对违反法律侵害个人权益的行为,建立切实有效司法救济体系。明确信息主体在与其个人信息相关的权益受到侵犯时可以获得的司法救济,强化个人信息控制者违反个人信息保护法律规范的行政责任,实现个人信息保护在民事责任、行政责任与刑事责任上的衔接。