作者:任芳言 来源: 中国科学报 发布时间:2020-10-29
选择字号:
《个人信息保护法(草案)》出炉
你被收走了不必要的信息吗?

 

图片来源:Unsplash

■本报见习记者 任芳言

个人税务信息在手机上写了一半,复旦大学数字与移动治理实验室主任郑磊决定停下。

“税务部门为什么要知道个人的住房信息?为什么要知道家庭成员信息?填到一半,决定放弃,即便不能免这个税,也要保护我的个人信息。”

10月21日,《个人信息保护法(草案)》(以下简称《草案》)正式公布。在近日举行的“数字经济时代个人信息保护的中国方案——《个人信息保护法(草案)》解读与展望”研讨会上,郑磊谈到个人信息保护的一大问题:在政府、企业和个人三方中,处于“散装”“单打独斗”的个人更应受政府和法律保护。

数据赋能≠“头脑简单、四肢发达”

调研疫情防控时,郑磊曾遇到街道社区工作人员请教:如何利用好因疫情而采集到的多种数据?

但实际上,这些数据仅能用于疫情防控,不能用作他用——因为没得到公众授权。

“这几年不断听到‘数据赋能’,但赋予基层能量的时候有没有同时赋予责任?”郑磊表示,拿了数据、能力变强时,却缺乏自我、法律约束,就会变成“头脑简单,四肢发达”。

新冠疫情防控中,浙江杭州曾将三色健康码变成“健变码”,将个人体检、病例、日常行为数据放在一起算出分数,此举引发公众热议。

郑磊指出,健康码的设计初衷是传染病防控,但癌症等信息属于个人隐私。这种矛盾仍可通过技术方法处理。他表示,从应用角度看,赋予用户选择权,即可以选择哪些信息被收集、使用。

“手机里有我的一切。”在上海金融与法律研究院院长傅蔚冈看来,如今人们获得的许多便利服务几乎都是让渡一定的个人信息所换来的。

傅蔚冈举了QQ和微信用户使用习惯的例子:相较于QQ,微信中更多的人使用真实姓名作为ID。用户愿用隐私换取基于信任的沟通平台。但现实中,信息收集的边际成本几乎为零。

“收集个人信息的目的和收集内容是不匹配的,由此导致信息的泄露和滥用:街道收集很多信息,认为可以做很多事,企业也认为更多信息意味着更多发展机会。”傅蔚冈说。

傅蔚冈还谈到,由于网络实名制的存在,使得中国个人信息的保护格外严峻。《草案》里有5条内容,政府扮演着个人信息采集者的角色。但很多情况下,政府还有可能是收集者、汇集者、交换者、执法者等。

“不同的角色收集个人信息应该有不同的程序,有些基于职权,有些基于个人的同意,有些基于其他原因。”傅蔚冈强调,“基于实名制下的中国网络时代,要特别注意个人与政府的关系。”

在数据保护与经济发展间找平衡

在个人信息保护方面,还有哪些国外经验可以借鉴?在欧洲,《通用数据保护条例》(GDPR)在保护公民基本权利的同时寻求推动和保障欧盟数字经济的发展。“这甚至是GDPR最伟大之处。”华东政法大学法律学院教授高富平如此评价。

“尊重私人生活实际上是个人数据保护最重要的内容,而这个内容是宪法赋予的基本权利、人权意义上的隐私权。”高富平说。2000年的《欧盟基本权利宪章》第7条规定了《欧洲人权公约》第8条的内容:尊重个人生活权利,将个人数据上升为独立的居民基本权利,并在2009年的《欧盟运行条约》中加以巩固,把个人数据受保护从人权意义上的隐私独立出来。

高富平介绍,GDPR不承认个人对个人数据的绝对权利,即没有建立非经个人同意、非经个人决定即不得使用等权利模式。其个人数据处理的合法性建立在两点之上:个人数据处理要有合法性基础;除了合法性基础,还有行为合法,是否遵循GDPR基本原则、是否真正保护数据主体权利。

“欧盟认为这样的法律规则不应是权利规范,更不应是法律上的绝对权利规范。只要遵循统一的法律,欧盟公司的个人权利能在欧盟范围内得到尊重、保护,促进应用,促进经济发展。”高富平总结。

上海社科院互联网研究中心助理研究员张衠也提到,《草案》的许多规则借鉴了GDPR,比如风险评估。个人数据处理风险评估一般分为两个阶段:风险评估和风险管理。《草案》中第54条提出对个人有重大影响的个人信息处理必须实施事先风险评估机制。

“风险管理可以通过技术、组织管理的方式,但标准确定很重要。GDPR中列出了9项可能导致高风险的标准,不是具体场景,而是标准,把具体场景的制定权留给了成员国。”张衠说。

对于此次发布的《草案》,高福平建议,为了更好地进行国际谈判,参与全球对抗,《草案》应定位在基本人权保护,而非《民法典》所确立的个人信息民事权利。另外,还要进一步思考如何让法律体现数据作为生产要素的价值,促进经济发展。

减少人工输入 加强痕迹管理

《草案》70个条文、8个章节,均以保障个体权益为主要目的,兼顾国家和公共安全。在GDPR中,对控制者和处理者的概念进行了区分,在《草案》中,则提出了“信息处理者”的概念,并且相当一部分内容都涉及这一角色。

个人信息处理者,即自主决定处理目的、处理方式等个人信息处理事项的组织、个人。

会上,与会者对《草案》的执行和监管展开了讨论。

上海社会科学院互联网研究中心主任惠志斌表示,不仅是《个人信息保护法》,《网络安全法》在网络空间里涉及到数据的问题也存在多头监管的问题。这意味着具体责任、执法主体要进一步明确。

“出现侵犯个人信息的情况下,需要相对比较明确的执法主体实施,否则就会出现企业被各种执法部门、监管部门完全束缚住手脚的情况。”惠志斌说。也有专家提到,可通过减少人员环节、加强痕迹管理等“硬”技术手段规避风险。

“《草案》包括知情同意原则性的点借鉴了GDPR,但对个体的授权、控制权方面有更大主张时,在实际运用过程中有多大可能性?是否还有其他选择?企业、监管部门如何执行?”惠志斌坦言,这些都是需要进一步讨论的问题,“《个人信息保护法》需要有进一步的平衡,平衡关系是动态的区间”。

《中国科学报》 (2020-10-29 第3版 信息技术)
 
 打印  发E-mail给: 
    
 
相关新闻 相关论文

图片新闻
中国超重元素研究加速器装置刷新纪录 彩色油菜花又添7色!总花色达70种
考研复试,导师心仪这样的学生! 地球刚刚经历最热2月
>>更多
 
一周新闻排行 一周新闻评论排行
 
编辑部推荐博文