互联网技术和应用的迅猛发展,极大地扩展了个人信息和数据的利用规模,与此同时,越来越多的用户信息泄露、非法买卖个人信息事件,推动个人信息保护成为全社会普遍关注的焦点问题。我国高度重视并不断加快个人信息保护相关立法和司法工作,并取得了阶段性的成果。而未来我国个人信息保护立法应该何去何从,仍是需要各方思考的重要问题。
刑事追责不是长久之计
目前,我国没有制定专门的个人信息保护法。2012年全国人大常委会通过《关于加强网络信息保护的决定》,确立了个人信息保护的若干原则;2013年修订《消费者权益保护法》,对消费者个人信息保护做了相关规定;2016年全国人大常委会通过《网络安全法》,将保护个人信息安全作为其重点内容。
近年来,随着非法买卖、窃取公民个人信息行为愈演愈烈,我国加速推进个人信息保护刑事立法。2009年、2015年先后通过刑法修正案七和修正案九,专门增加了出售或非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚。2017年5月,最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,以下简称《司法解释》),对刑事司法实践中定罪量刑所涉及的若干热点问题作出了明确回应。《司法解释》的发布引起了各方的广泛关注,也从侧面反映出当前我国个人信息保护的一个特点,即刑事打击和刑事追责非常活跃。据统计,自2009年刑法修正案七增加侵犯个人信息罪到2016年12月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件1433起,生效判决人数2112人。特别是2015年11月刑法修正案九生效以来,我国侵犯公民个人信息犯罪案件量显著增长,仅一年间审结464件,生效判决人数697人。 刑事追责已经成为我国当前个人信息保护领域应用最广泛的法律手段。
然而需要注意的是,刑事打击和刑事追责虽然在应对个人信息犯罪活动方面取得了一定的成效,但长期来看,这并非个人信息保护的长久之计,甚至可以说偏离了个人信息保护的主要路径。如前所述,个人信息保护的目的是对个人权利的保护,归根结底是对人的保护,避免个人信息遭受到不法侵害,因此更加注重的是对个人信息收集和处理环节的控制。而刑事罪责是一种事后打击手段,虽然可以通过对违法犯罪行为的惩戒产生威慑作用,但在推动个人权益保护方面的效果和意义并不十分明显。反观国际社会,不少国家的普遍做法是在制定个人信息保护法律规则的基础上,成立专门的个人信息保护机构,通过行政监管、民事救济等途径强化对个人信息的保护。
尽快制定个人信息保护法
《网络安全法》被认为是我国个人信息保护立法活动的重大突破,其第四章总结了我国个人信息保护立法经验,针对实践中存在的突出问题,将近年来一些成熟的做法作为制度确定下来。但《网络安全法》的出台并不是我国个人信息保护立法的终点,而是一个新的起点。虽然《网络安全法》确立了个人信息保护的基本框架,但是仍然有许多具体制度需要进一步细化和明确;同时,关于管理体制等重大问题也没有得到解决。而2017年6月1日正式生效实施的《司法解释》也只是对刑法第二百五十三条的相关规定进行了解释,明确了办理刑事案件的定罪量刑热点问题,不能被称为个人信息保护的“里程碑”。从远期来看,制定专门统一的个人信息保护法是我国未来发展的必然选择。
从国际社会来看,制定个人信息保护法,符合个人信息保护立法的国际发展趋势。自1973年瑞典颁布第一部个人数据保护法以来,全球范围内掀起了个人信息保护立法的浪潮。美国于1974年制定了《隐私法》,规定了公共领域的个人信息保护规则;欧盟1995年通过了《关于个人数据处理保护与自由流动指令》,各成员国随即将其转化为国内立法。进入21世纪以来,全球个人信息保护立法持续升温,韩国、日本、新加坡等国先后制定了专门的个人信息保护法,确立了个人信息收集、使用以及跨境传输的基本规则。截至2016年12月,全球已有超过110个国家和地区制定了专门的个人信息保护法,这一数字还在不断增长。
从国内来看,制定统一的个人信息保护法,是我国个人信息保护和社会经济法发展的现实需求。首先,此举能够回应社会各界呼声。近年来不断发生的个人信息泄露事件引发高度关注,制定一部统一的个人信息保护法成为社会各界的一致呼声。其次,有利于从国家层面明确重大问题和基本制度。通过制定统一的个人信息保护法,明确公民个人对其信息享有的基本权利,企业收集和使用个人信息的基本规范,并对数据跨境流动规则等基本问题作出回应。最后,促进我国互联网产业做大做强。制定个人信息保护法不仅是保护公民个人权利的需要,更是提高信息资源利用率、保证本国信息自由流动、促进信息化发展、参与全球化竞争的战略需要。我国互联网产业发展已初具规模,开始具备参与全球竞争的实力基础。互联网产业的持续健康发展,需要国家明确的个人信息保护政策作为行为指引,并为其开拓海外市场提供良好的信誉保证。
合理选择符合国情的立法模式
目前,全球个人信息保护立法呈现出两种最有影响力的模式,即欧盟模式和美国模式。欧盟模式的特点是将个人数据作为公民的一项基本人权加以保护,在立法上主张统一和严格立法,强化政府部门对于个人数据保护的监管权力。从1995年的《个人数据保护指令》到2016年通过的《数据保护通用条例》都体现了严保护、严监管的思路。美国模式的特点是将个人信息保护建立在隐私权的基础上,采用分散立法加行业自律的方式,通过对公民隐私的保护,实现隐私保护与产业发展、政府监管与公民表达自由等“矛盾”之间的平衡。
美国和欧盟采取不同的个人信息保护模式,除了各自立法理念和传统不同之外,产业发展也是重要的考量因素。在全球市值排在前10位的互联网企业中,美国占据7席;在全球排名前20位的互联网企业中,美国有11家,欧盟国家则没有一家互联网企业进入前30名。整体来看,欧盟互联网市场基本被谷歌、微软、Facebook以及苹果等美国企业所垄断,自身产业发展非常弱势。因此,很多观点认为,欧盟制定严格的个人数据保护立法目的之一,就是为了约束和打压国外互联网企业。而美国作为互联网发展的大国,推行相对宽松的隐私保护政策,更有利于降低企业的合规成本和风险负担,并且有利于本国企业向海外扩张。
当前,我国互联网产业蓬勃发展,个人信息保护问题也比较突出。从立法模式来看,建议立足我国具体国情和法律传统,合理吸收欧盟模式和美国模式的立法经验,综合考虑。在立法形式方面,建议借鉴欧盟模式,制定统一的个人信息保护专门立法。在具体的立法原则和内容方面,可以借鉴美国模式,充分考虑产业发展需求。