随着科学技术的不断发展,各种智能软件层出不穷,人们越来越依靠移动智能设备,通过移动智能设备购买商品、处理日常和工作事务,抑或进行政府沟通。这些操作的前提往往是需要用户在软件使用中将手机号码或者电子邮箱进行绑定,有的软件甚至会要求上传姓名、身份证号码、个人照片。用户在大数据技术的应用下,不可避免会暴露个人信息,抑或个人信息被非法窃取并利用。这种现象会对用户产生极大的负面影响。因此,需要相关政府部门对个人信息进行有序监管,最大化保障大数据技术应用下的网络系统安全,保护个人信息安全。
大数据背景下政府在个人信息保护方面的缺失
纸质办公时代,个人信息的收集处于一种零碎、收集范围小、流动范围窄的简单模式。但进入数字时代,大数据技术逐渐融入人们生活的方方面面。企业出于发展需要收集个人信息,而人们通过签署企业提供的个人信息收集条款而获得服务。随着单一零碎的个人信息形成整体数据,其蕴含的商业价值开始凸显。企业可通过分析整体化数据进行相应的经营调整,以此提高经济效益。在巨大的利益诱惑下,诸多行业和企业的投入成本在个人信息的收集利用上,更有甚者通过非法途径获取个人信息并出售,以此牟取利益。随着大数据技术大量被应用,数据价值越发重要,这就需要突破以往的单一模式,建构数据开放和数据共享的服务提供模式。面对多维度、多层次、多元化的个人信息,以及多行业、多需求且复杂化的个人信息使用,各企业机构多线条的个人信息处理机制,都给个人信息安全带来严峻挑战。在大数据技术应用下,几乎一切事物都在数据化,人们各种各样的信息就必然会记录在各种各样的机构、公司、组织里。这些数据是否会被利用,被什么人利用,在什么时候被利用,很难被预测。
大数据时代,随着个人信息的上传收集利用,个人信息暴露在被滥用和泄露的危险之下。例如,针对用户个人信息所产生的营销广告、数据杀熟等,将会对公民人身财产安全和社会安定造成不利影响。为避免不法事件的发生,必须通过法律措施严格规范政府部门、相关企业收集、存储、共享、使用个人信息的行为;通过政府的内部监管、外部监管从内到外约束收集、存储、共享、使用个人信息的行为。
在个人信息保护立法仍不健全的前提下,行政监管缺位是必然的。国家公权力具有法定的权威力和公信力,但因其内部缺乏有效的监督制度,所以很容易成为信息泄露的源头。且我国尚未设立专门保护个人信息的行政监管部门,而是形成了多部门分散性的监管模式。这种模式具有明显弊端,也易浪费执法资源。同时,监管机构缺乏有效的防御性监管措施,不能及时发现个人信息安全风险,往往是个人信息受到侵害引起关注后,监管机构才启动审查程序。监管的滞后性反映了监管部门管理上的缺陷,存在风险进一步扩大的可能性。
政府内部存在个人信息泄露风险,外部存在行政监管缺失,这就进一步需要明确政府在个人信息保护中的角色定位,明确政府在个人信息保护中应当承担的责任。
政府在个人信息保护中的角色定位
我国个人信息保护法规定,国家机关和准国家机关具有个人信息处理者与个人信息处理活动规制者两种身份,行政主体即政府是最大的个人信息“处理者”,在履行法定职责时使用自然人的个人信息;但经过授权的部门也可担当“规制者”的角色,预先参与到个人信息处理活动之中。
从行政监管角度看,作为执法监督者的行政主体,一般情况下处于个人信息处理活动的法律关系后端,开展个案式的执法监督和法律追究,完成调查与处理职责。履行个人信息保护职责的部门是网信部门、国务院有关部门、县级以上地方人民政府有关部门。根据法律规定,履行个人信息保护职责的部门职责主要有三个内容:一是宣传教育、指导、监督;二是接受、处理投诉、举报;三是调查、处理。其中,接受、处理有关投诉、举报是职责的重点。个人信息保护的行政监管呈现专项执行、联动执行、高频次、公开通报,以及更加科学和技术化等趋势,但也存在监管分散、监管职责不清、程序不明,缺乏专业性、独立性等问题,亟待解决。
从行政法和政府监管角度看,政府是制定规则的主体,也是管理、裁判的主体,同时也是个人信息处理的主体,这就需要政府平衡个人利益与国家利益。政府在使用个人信息的过程中,势必会导致公民权利与政府职能的冲突。这就要求政府提高公共安全维护效能,有效实现政府公共安全维护职能和维护个人隐私权的双重目的,承担行政责任,明确法律责任,平衡公私权益。
政府在个人信息保护方面应承担的责任
1.公共行政的消极责任
政府消极责任即政府消极不侵犯责任。根据个人和国家二元对立模式,公民个人自由优先于政府公权力的行使且不可被非法侵犯,当私人领地与公共领地发生矛盾冲突时,位于私人领地的隐私权就可以排除政府公权力的加入。但也存在不能排除情形,即政府行政活动是出于维护社会公共利益且遵守法律基本原则,就可以进入个人领域。该学说对大数据技术下个人信息保护提供强大的理论支持。政府为国家公权力的高效行使不断获取公民个人信息,加强个人信息数据化,使得国家公权力不断进入私人领域。但是基于国家要维护个人尊严与个人隐私的要求,公权力行使必须给个人领域保留充足的自治权,政府公权力进入个人领域需遵循必要性原则。从政府消极不得侵犯个人隐私权的责任角度来看,政府收集利用个人信息应当遵守以下基本原则。
一是目的限制原则。在个人信息处理所遵循的各类重要原则中,人们往往认为“合法、正当和必要”是最核心的个人信息处理原则。但实际上,个人信息“目的限制”原则才是个人信息处理中的“帝王原则”。原欧盟数据保护工作组认为“目的限制原则是数据保护的基石”,将目的限制原则的地位“无限”拔高。因为当某处理行为出于不同处理目的时,才能正确地判断该处理行为的合法性、正当性和必要性,而行为目的的转变也会带来截然不同的评价结论。在个人信息保护领域也是同样的道理,往往需要结合特定的目的,才能正确评价信息处理行为的合法正当必要性,或者是否符合公开透明性。
目的限制原则首先要求目的明确、目的合理、目的事先确认。目的必须排除歧义、模糊笼统的表述;目的本身是合法的,同时也是合理的,并符合大众预期的处理目的;目的的确认与固定要在收集个人信息行为发生之前,且处理行为直接关联处理目的。行政主体在个人信息处理活动中所收集的个人信息必须包含在收集目的合理关联范围之中。行政机关收集个人信息需满足对个人权益影响最小且基于处理目的最小化。例如,行政主体作为处理者时,处理个人数据的数量、频率应当为实现处理目的所必需的最少数量、最低频率。处理者需持最低授权的访问控制策略,被授权的工作人员只能获取在完成工作内容范围内的个人数据,且只具有完成工作内容范围内的数据处理权限。
二是合法、正当、必要与诚信原则。我国个人信息保护法明确:处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。
合法原则中处理者的处理行为要符合法律规范,法律规范对个人信息处理有规定的,处理者必须遵循相关法律法规。合法要求处理者的处理行为必须具备相应的合法性基础;处理者在进行处理行为时必须遵守相应的法律义务。正当原则中的正当性指目的与手段双重正当。这种正当性应当符合整体社会的正向价值取向。处理者的个人信息处理行为意图实现的目的,理应是出于维护社会公共利益或是维护被处理者利益,是基于正当利益,而不是出于破坏公序良俗、违反法律法规等不正当利益。且处理者的处理行为应当满足社会公众的一般性期待。必要原则是指处理者在处理个人信息时应当在可实现处理正当目的的最低限度内。当处理者为实现具体功能而必须收集个人信息时,必须将收集到的个人信息限定在必要范围,无需的个人信息应当排除在收集范围之外。
三是告知、同意原则。对于个人信息处理活动,处理者在进行处理活动之前,需告知个人信息的主体有关个人信息的处理行为且取得个人信息主体的同意。个人信息主体享有被告知权、同意权、撤回同意权。且随着我国个人信息保护法的出台,不仅完善了同意权、撤回同意权的规定,还将该权利上升至法律高度,有利于保障个人信息主体的相关权益。个人信息保护法明确规定了个人信息主体的撤回同意权,即基于个人同意处理个人信息的,个人有权撤回其同意,个人信息处理者应当提供便捷的撤回同意的方式;个人撤回同意的,不影响撤回前基于个人同意已进行的个人信息处理活动的效力。此外,个人信息保护法对个人信息处理者响应个人信息主体关于撤回同意的要求也进行了规定,即个人信息处理者只有在处理提供相关产品或者服务的个人信息的情况下,不能以个人不同意处理其个人信息或者撤回同意作为原由,对用户拒绝提供相关产品或者服务。
2.政府的积极保护责任
政府为维护公共安全,在收集利用个人信息的过程中负有双重责任,即消极不侵犯责任和积极保护责任。政府的积极保护责任,是由大数据技术广泛应用下个人信息安全受到威胁,以及当前政府内部的个人信息数据库尚不健全的现实情况共同决定的。政府积极保护责任的行使既有对社会组织个人信息收集利用的外部监管,也有政府承担自身对个人信息收集利用的内部责任。在个人信息被大规模收集利用的大背景下,政府为维护公共安全与保护个人信息所应承担的积极责任至少包括如下两方面。
一是行政监管责任。在大数据时代下,政府的行政活动开展运行逐渐依赖于个人信息收集利用,而且行政机关大范围收集利用个人信息,可能会导致行政机关的信息处理活动出现侵犯个人隐私的行为。这就需要专门机构针对政府的个人信息处理活动进行有效监管。政府对大量个人信息的利用收集处理是烦琐复杂的,相对应的对政府个人信息处理行为的监管也是庞杂的。但行政监管是实现个人信息保护与行政活动有效开展必不可少的一环。政府作为个人信息的处理者,承担积极保护责任,需加强个人信息处理的自律,构建系统完备的行政监管制度,通过行政监管协调个人利益与社会利益之间的关系。
二是公共安全维护责任。个人信息保护与社会公共安全紧密相连。政府有责任保护个人信息不被他人、社会组织非法获取、利用,同时维护个人信息安全不被行政机关所侵犯。政府通过收集、整合个人信息来维护社会公共安全。由此可见,保护个人信息是政府作为信息处理者的重要义务。个人信息保护法明确规定个人信息处理者的责任,对于作为处理行为主体的行政机关而言,行政主体需要对其进行的个人信息处理活动负责,并需要采取必要措施来保护其所处理的个人信息的安全。个人信息处理者的责任包括但不限于:制定完善的内部管理制度和操作流程,指定负责人监督个人信息处理活动,定期合规审计个人信息处理活动,对高风险处理活动进行事前评估,履行信息泄露通知和补救义务等。作为个人信息处理者的政府负有公共安全维护责任。政府在行政活动中无法区分与分割维护公共安全和保护个人信息安全。政府作为安全维护者,既要加强个人信息安全维护的监管能力,也要明确安全维护、技术维护的各项责任。
结语
个人信息的收集与利用、保密与公开,关系到人权保护和国家安全,也关系到我国法治政府的建设。厘清行政机关的权责边界,也是平衡公法与私法权益的前提。在大数据技术广泛应用的背景下,政府承担着既不主动侵犯公民隐私权,又要积极保护、加强监管的责任。行政部门必须将两种责任并举,把尊重个人隐私、个人尊严放在首位,权衡公共利益与个人利益。且当前我国对个人信息的法律保护仍不够健全,需要不断强化政府责任。
来源:《网络安全和信息化》杂志
作者:青海民族大学 黎诚诚
(本文不涉密)
