规制层面的执法考验
数据规制是数据合规和个人信息保护的应有之义,与近年来不断推进的数据立法密切联系在一起。数据规制是实现数据安全的必由之路,既需要维护国内外不同市场主体之间的数据竞争与合作,也需要在企业数据权益与个人信息保护之间实现必要的妥协与平衡。同时,依法保护企业与个人的数据权益,更需要严厉打击不同类型违法犯罪行为。
在我国,数据立法目前已取得可喜进步。继2000年通过实施《关于维护互联网安全的决定》之后,2012年全国人大常委会再次通过并实施了《关于加强网络信息保护的决定》,从而确立了个人信息收集、使用的基本规则及网络服务提供者保护个人信息安全的义务等基本规范。2013年《消费者权益保护法》修改时,在第十四条中新增加了个人信息依法受到保护的权利,同时在第二十九条中明确了经营者收集、使用消费者个人信息时的法定义务,明确了合法、正当、必要原则,经营者需要明示收集使用的目的、方式和范围等,也强调了经营者的保密义务。2016年《网络安全法》的颁布,进一步充实完善了收集、使用个人信息的法律规则,细化了网络运营者保护个人信息安全的义务与责任,专章规定了网络运行安全、网络信息安全以及网络安全支持与促进等内容。2017年颁行的《民法总则》,则在第一百一十一条中将个人信息受到法律保护作为一项重要民事权利予以规定,强调任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。2018年《电子商务法》的颁布,再次将个人信息保护摆在重要位置,明确规定电子商务经营者收集、使用其用户的个人信息,应当遵守法律、行政法规有关个人信息保护的规定,并明示用户信息查询、更正、删除以及用户注销的方式、程序,不得对用户设置不合理条件。在刑法领域,2009年、2015年通过的刑法修正案(七)和修正案(九),专门增加了出售或者非法提供、窃取或者非法获取公民个人信息的犯罪及刑罚。
此外,其它数据立法成果还有不少,主要表现为行政法规、部门规章以及行业自律规定等形式。以2016年《数据流通行业自律公约》为例,由中国联通、中国电信、阿里巴巴、京东等联合发布的这一自律公约,重点从数据权益、数据流通和数据应用三大板块分别作出规定,其不但确认企业对其合法、正当途径采集、获取、生成的数据享有合法权益,而且强调依法保障用户在其个人数据流通中享有的选择、获取、更正、退出、删除等权利。
从国际层面看,数字经济的全球博弈引发了各国对数据立法竞争性与外溢性的普遍思考。就欧盟《通用数据保护条例》(General Data Protection Regulation)来说,其实施后所开出的巨额罚单,即在国内引发不少热议。在这些罚单名字里,除互联网企业外,有关航空、酒店、医疗等行业也赫然在列。该条例确立了个人信息保护方面的一系列权利内容,包括随时撤回同意权、知情权、更正权、擦除权(也称为被遗忘权)、限制权、携带权、访问权等。对此,欧盟还建立了一套严格的执法机制,详细规定了监管机构的调查权和处罚权。事实上,欧盟的数据保护执法距离中国企业并不遥远。由于该条例不再坚守属地原则,而是采用了类似于美国长臂管辖的执法模式,将执法边界延伸到了所有收集和处理欧盟个人信息的企业,因此对中国企业来说,无论是有意进军欧洲市场还是与欧洲企业开展业务往来,都应当尽快开展数据合规工作,把企业数据合规业务与个人信息保护紧密衔接起来。
需要强调的是,在利益驱使下,当前一些企业漠视法律,随意收集、非法获取、擅自使用甚至泄露、滥用个人信息的现象仍比较突出,严格监管、严格执法正被各类数据主体寄予厚望。这些年来我国已经逐步建立起企业数据合规和个人信息保护的法律规则体系,其中不乏民法、经济法、行政法、刑法等部门法的深度介入,由此形成了一套具有可操作性的数据违法责任追究机制。
对于企业而言,数据合规业务仍处在探索阶段,尚未形成行之有效的成熟的法律服务体系,但不断出现的数据纠纷与司法判例无疑具有警示和促进作用。只有提高数据风险防范意识,深刻认识数据保护的国际立法趋势,并采取切实有效的数据保护措施,平衡好企业数据权益与个人信息保护的关系,企业才能防患于未然,在国内外数据市场避免陷入各类纠纷与麻烦。
从未来立法趋势看,本届全国人大常委会已将制定《个人信息保护法》和《数据安全法》列入了立法规划的第一类项目,企业数据合规与个人信息保护仍然期待专门性立法的持续跟进,为数据主体提供更加全面而细致的保护标准,以适应数字经济时代多样化、批量化的跨境数据流动,为世界提供数据法治化的“中国智慧”。
来源:经济参考报 作者:席月民(中国社会科学院法学研究所研究员)
|