从宪政角度看,美国个人信息保护的行业自律机制是在政府引导下形成的。日本在积极推进行业自律机制建设的基础上基于人格利益的保护建立了个人信息保护法律体系。而加拿大则是利用私人自治、市场主导,在建立个人信息保护规则基础上推进立法。
1 美国个人信息保护行业自律机制特征
1. 1 政府将行业自律作为自己的重要选择
1995 年7 月,美国政府保护隐私工作组首先出台了《个人隐私和国家信息基础设施: 个人信息的使用和提供原则》,率先规定了一套规范个人信息自律的共同基准。1999 年7 月,联邦贸易委员会报告认为:有效的自律制度,是保护个人隐私的最佳选择,为进一步鼓励引导行业实施自律指明了方向。
1. 2 制定行业自律规则
1. 2. 1 行业指引
在遵照上述隐私原则的基础上,网上业务联盟出台了《网上隐私保护自律准则》,规定所有企业无条件遵守,如在线隐私联盟等。
1. 2. 2 规定运营商责任
根据相关制度,如果运营商的行为符合联邦贸易委员会批准的行业自律原则精神,就能够避免因不当使用泄露个人信息所应担负的责任。
1. 2. 3 网络隐私认证
通过对那些达到其提出的隐私规则的网站进行授权,并设置特定的标识符,以区别于没有标识符的普通网站。该认证适用于跨行业联盟。
2 日本个人信息保护行业自律机制特征
继日本东京都国立市出台个人信息保护条例之后,日本信息处理开发协会( JIPDEC) 出台了《关于民间部门个人信息保护指导方针》及相应要求( JIS) 《个人信息保护管理体系要求事项( JIS Q 15001) 》。据此,JIPDEC 启动相应评估认证,评估合格的公司将获得相应等级合格证书。
3 加拿大个人信息保护行业自律机制特征
政府通过制定《自律性规范指南的发展和应用》,旨在利用私人自治、市场主导,建立个人信息保护规则,以推动立法进程。同时,网络提供者协会也制定出业者行为准则,以规范服务商及从业人员的自律行为。
4 中国借助国外行业自律制度保护个人信息的改进设想
4. 1 确立行业自律组织及其制度的法律地位
美国《儿童在线隐私保护规则》规定,若行业成员依据联邦贸易委员会批准的行业自律准则从业,就视其为依法办事。这对我们具有重要的借鉴意义。因此: 一是应确立经政府有关部门批准成立的行业自律组织具有独立法人资格,由其制定的章程、公约和业者行为准则也具有相应的法律效力,规定行业自律组织的设立要求、经费及制度保障。二是自律组织在制定管控自身规则的基础上,应实现监管从业主体、裁决争议及实施行政复议与行政诉讼的职能。三是应完善相应行业自律规范的行政备案和审查机制( 工商行政管理机关审查企业,有关业务指导部门审查行业团体,行业协会或其他行业自治组织在其成立时制定的章程,则应向业务主管机构和登记机构备案并由其进行审查) 。
4. 2 制定个人信息保护行业自律制度
4. 2. 1 确立处理个人信息的原则
包括: ( 1) 采集和存储个人信息者必须事先向法定的主管部门申请授权,报告采集目的和方式,向被采集者明示其采集目的和依据,对非法定采集公民信息,公民有权拒绝。( 2) 单位只能收集与履行职责有关的信息,处理者应事先在指定部门备案,且不得利用工作之便建立私人留存。( 3) 处理信息应当在相应的法定时间段内完成,并有义务对其内容的精确程度负责,而且利用不得与其征求初衷冲突。( 4) 没有获得权利人同意,涉及其自身的信息内容不能随便发布,法律规定的特许情况不在其列。所发布内容应及时存档备案,以备查存。信息主体同意的获得必须在事前获得,并为信息主体规定退出选项。( 5) 信息主体有权要求相关单位公布、修改和删除与己有关的信息,同时阻止其进一步传播。( 6) 涉及信息主体的内容二次转让,只有在经过权利人授权且受让者签署保密协议的情况下才合法有效。( 7) 合法使用个人信息应对其内容的准确性事先向权利人核实,非法和因利用不准确内容对权利人形成的伤害,使用者理应担负相应的刑事、民事和行政责任,信息主体在法定期间内有提起行政复议或行政诉讼的权利。
4. 2. 2 建立个人信息保护行业自律制度
一是在充分征求成员意见的基础上,制定行业组织自治章程,并规定赔偿基金建立、运行和监控措施。二是制定操作性较强的行业自律公约和业者行为准则,以规范行业个人信息保护措施,并监察及监管其遵守个人信息保护政策规定的执行情况。三是确立个人信息分类层次,并借助客户关系管理系统( CRM) 建立信息仓库,对分门别类的信息内容进行相应处理。四是制定不同职级职员收集、传送、储存、保管、处置个人信息的不同标准,内部人员只能使用与级别权限相适应的个人信息,外部人员应在行业统一的审批程序与规则、规制下查阅和使用( 国家机关履行公务必须提供相应的证件和单位证明,非国家机关须征得相关客户的许可) 。五是引入听证制度、复核制度和申诉机制,并在一定的限制条件下引入举证责任倒置规则。通过具体的程序性设置,向权利主体提供解决纠纷的机制和救济方法,工信部及主管机构最终裁决。六是出台行业保护责任界定标准及协同处置机制,准确界定单位、法人与员工个人违反国家法律和行业章程的责任界面,细化、明确惩罚标准,并依据侵权行为性质、危害结果程度的不同使其承担相应的责任。七是不仅要注重成员与成员之间的评估,更应注重通过客户问卷调查等方式,对成员单位保护个人信息情况进行评估和认定,合格者颁发相应等级的证书,以利客户选择,并择其优者给予表奖。八是要建立成员互相监督激励机制,使从业者清楚,保护好用户个人信息,从业者自身也受益。
4. 2. 3 建立独立的个人信息保护行业自律监管机构
一是根据《国务院机构改革和职能转变方案》依法界定行业协会的权力与义务,强化行业自律,使组织体能实现他律与自律相结合,以推动其成员的自我管理。成员单位内也应设置相应的监管机构,将自己处置不了的事项上报单位领导及行业协会。二是建设、管理和维护举报网站,采取先进的技术手段保护举报人的姓名、单位、通讯方式、网络IP 等信息,以防止黑客的侵入和内部不相关人员的偷窥,并公示违规成员的处理结果及其由上级主管部门和司法机关处理的案件结果。三是积极采用PET 技术,使用户知晓其个人信息存放何处,经过了哪些操作,用在了什么地方,从而杜绝信息的不合理使用。四是在不固定时间范围的情况下,抽查行业成员采集、存储、保管、利用个人信息制度的执行情况,并公示抽查结果。对查出的问题令其尽快整改,其中的疑点通过倒查机制进行查处,并对所产生的争议和纠纷进行终审和仲裁。五是设置个人信息公开选择网站。在让成员公开其个人信息内容利用情况的同时,用户可以查看是否已公开了不该公开的内容,对可以公开的内容在签署合同的基础上遵照合同条款有条件地公开。六是对不执行相关规定的企业和单位以行业的公信力给以通报批评,对屡教不改的将其输入社会不良信用黑名单,以警示其他从业成员。
4. 2. 4 确立提供网络服务成员保护个人信息的责任与义务
奥地利、德国的数据法都规定: 禁止服务商擅自传输用户信息记录,有义务利用更新技术手段维护其存储、访问及传输安全,并同当事人签署知情权、纠正权、删除权等授权协议。在我国,网络服务提供者对作为一种民事权益的网民的个人信息有保护的法定义务; ICP 通过网民注册并提供服务,与网民已构成事实上的服务契约履行。因此,一是要明确在用户信息采集、处理和保护方面的法定义务,最大限度地减小用户个人信息被泄露、盗取的可能。二是关于权利主体个人信息的监控,必须是其知晓的环境中才能进行,并明确违背法定职责和义务的各种具体法律后果。三是完善技术措施,实现个人信息传输、保存安全及按不同用户设置不同的查阅控制。四是保障权利主体权益不应同公众信息交流与社会公共利益相冲突。
4. 2. 5 制定行业统一的网站用户隐私保护内容标准
一是要明确告知用户采集了哪些信息、用途是什么、保存期限及到期时是否安全销毁、是否提供给第三方、是否经用户同意授权等。二是要明确用户个人真实注册信息应通过公安部数据库验证并保存,信息应层层加密,各级密码权限分别由不同的部门管理,工作人员不能查看。只有接到司法部门明确要求时用户操作日志等内容才能调取查看。三是要在用户上传、发布信息、使用第三方应用、下载手机APP 等入口明确提示个人信息可能被他人获取,由用户选择继续( 填写某些个人信息后继续) 或后退。四是设置客服电话、邮箱等多种渠道接受用户投诉,并及时处理。五是网站的隐私声明应按统一标准制定,存在争议的应参照标准内容执行。六是体现不泄露用户信息、不强制用户接受商业信息的承诺。需要经用户二次同意,而且默认为不同意,需要用户点击同意方可。七是对网站制定的隐私保护声明进行评估,对符合要求的网站授予隐私图章,以建立用户对具有隐私图章网站的信任。
4. 2. 6 区分和规范网民协议
由于现有法律对网络隐私包含哪些内容没有明确规定,使得网络公司利用网络协议侵害网民隐私权的现象频繁发生[11]。在我国台湾地区,有关消费者权益的网络协议须经有关部门事先审核通过,使得网络公司想借助网络协议擅自搜集网民隐私的可能降到了最低。因此,我们也必须区分和规范那些涉及网民个人信息方面的网络协议,对其进行事前审核,以避免网络公司等有意识凭借专业服务特长,利用格式合同擅自使用信息内容。
4. 2. 7 建立行业统一的客户个人信息
自动化检索系统为防止侵权和科学利用客户个人信息资源: 一是应尽快将市场上认可度高的企业标准作为行业标准蓝本,由行业协会通过沟通各成员单位来完成系统及内容模板格式标准的统一。二是要在保证各成员单位客户电子文档内容准确、完整、适时的基础上,集中起来,通过行业联网的统一客户平台一致对外提供服务。向经认证合法用户,根据分配的不同权限提供实时查询、添加、修改和删除接口,不得在任何网站的主服务器上保存个人信息。三是要认真学习和贯彻《数据库法》,依法建立和完善个人信息数据库。并对建设过程中各类工作人员职责、操作要领及违规结果的处置做出详细说明。
4. 3 细化相关法律法规
全国人大常委会《关于加强网络信息保护的决定》第五条规定,网络服务提供者若发现有法规禁止外泄内容,除迅速清理外,还应存储必要记录,向有关主管部门报告。但,主管部门及其职权界定、服务提供者的责任及流程管理、对受侵害公民的赔付及惩罚性赔偿机制等都未确立。最高法2014 年10 月10 日发布的关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的司法解释,确立了ISP ( ICP)明知故犯的七种要素,ISP ( ICP) 与用户对因泄露他人信息而形成的伤害担负侵权责任,法院要求ISP( ICP) 出具侵权人信息而无故拒绝的,按照民诉法实施处罚。由于出台时间较晚,效果尚待观察,因此,应在加大执行力度同时,尽快构筑一个尊重公民个人信息的诚信制度。
4. 4 健全个人信息保护标准
由于现有标准难以覆盖并详细规范各层面内容,因此,应依据ISO27002、JIS Q15001 等国际信息安全相关标准,在已颁布的《个人信息保护指南》基础上构建《信息系统个人信息保护基本概念、模型》、《信息系统个人信息保护技术要求、测评准则》、《信息系统个人信息保护管理要求、评估、认证和审计准则》、《通信行业信息系统个人信息保护技术要求和测试评价方法》等行业应用标准,以及云计算、大数据产品个人信息安全相关标准等,并将其上升为强制性标准,为实现个人信息保护完整、准确和可操作性提供充分的理论和实践依据。
4. 5 加强行业监管
由于国内立法对个人信息控制者未尽妥善保管义务的法律后果规定得并不完善,惩罚力度也不够,因此,加大职能部门的监管力度,实施问责制非常重要。虽然《电信和互联网用户个人信息保护规定》制定了对非法提供及出售用户信息罚款1 ~ 3 万元及追究刑责的条款,并将违反本规定的行为记入其社会信用档案予以公布,但条文主要针对电话用户,而对个人信息保护未涵盖所有范围。《深圳信息服务安全条例》指出,受害者因个人信息外泄而对提供服务者提出完善相关补救手段,而后者没有及时完善,应对其罚款3 ~5 万元; 受害者受到损害而又没法说清损失多少,应拿服务提供者在侵权期间的侵权所得赔付。因此,应尽快建立健全具有可操作性的行业处罚体系。对于企业应根据侵害程度不同,分级依次处以高额罚款,记入其社会信用档案,使他们的贷款及投资经营等受到约束。多次违法应吊销其营业执照。对于行政事业单位,应明确对其直接责任人给予行政处罚和刑事处罚不同的追责标准。
4. 6 构建第三方测评评估机制
由于我国首个个人信息保护国家标准从2013 年2月1 日起才实施,对个人信息保护行业的保护能力缺乏权威测评,因此,很有必要依据标准出台具体测评指标体系,构建独立的第三方测评评估机制。一是要构筑信息系统个人信息保护测评平台,为政府、行业成员及社会公众个人信息保护能力和水平提供测评服务并反馈报告。二是要构筑个人信息安全事件的预告、提供针对性补救措施的制度及安全知识库,为提高政府、行业成员及社会公众个人信息保护能力和水平推出有针对性的技术解决对策。
4. 7 加强自我监管
由于《个人信息保护法》尚未出台,因此,相关单位的自我监管应先行一步。针对用户信息泄露猖獗的现状,中国移动出台了《客户信息安全保护管理规定》,建立专门的监管机构,严格执行严禁泄露用户信息等五条禁令。同时,还不断创新个人信息保护技术手段,以加大擅自获取信息的难度和被查处的风险。中国联通也出台了《电话用户登记信息保护管理规定》,以规范各级职员在工作各环节保护用户信息的具体行为,最大限度地克服用户信息外泄的可能。这对其他从业者具有重要的借鉴价值。
4. 8 建立监督个人信息保护行业自律的制约机制
一是政府行业主管部门应明确与行业协会的关系,对其行业章程、自律公约和业者行为准则的制定与实施进行引导、监督和管理,并使协会及其成员积极引进和研发个人信息保护技术,提升个人信息保护能力和水平。二是应出台相关标准,制定由相关学科专家组织的行业个人信息保护事前、事中及事后评议制度,并将结果向社会公布。三是要创新社团监督模式,以充分行使其能代表大多数人来监督个人信息保护工作的权利。四是应进一步培育和加强社会舆论监督机制,加快舆论监督方面的立法,使网络、传统新闻媒体能及时充分表达行业个人信息处理工作中存在的问题以督促其有效改进,增强舆论监督的权威性和实效性。五是为强化追责主体对没有严格保护个人信息行为的责任追究,应明确行业协会及其相关负责人在协会保护和督促其成员保护个人信息行为中的权责分工,建立健全岗位责任制,在建设并大力宣传网络举报公共服务平台的同时,应大力发动网民通过该平台对各责任主体进行检举、揭发,利用倒查机制实施有效查处。准确界定协会、法人与职员责任; 不能提供其具有法定资质和理由而搜集个人信息即为非法; 而非法搜集支付结算类身份认证信息超过10 条,其他身份认证信息超过500 条,即可认定为《刑法》规定的情节严重。并建立惩罚性赔偿制度,将受罚者记入其社会信用档案,以震慑协会及其成员逐步走向自律。六是对消费者反映强烈的霸王条款、行业潜规则等侵权行为,消费者协会应充分发挥其公益诉讼职能。七是建立行业内成员单位工会参与的监督机制,以强化群众监督效力。八是对涉及公民切身利益的重大个人信息处理行为,要先公示或听证,在规定的时间段内全面收集、整理公民的改进建议,并在此基础上再作决定,以增强公民对个人信息保护行业的信任。九是实施一业多会竞争机制,使行业协会提升自主保护个人信息的能力和水平。十是要构建守法诚信奖励及违法失信惩戒机制,使保护个人信息逐渐演进为一种自觉习惯。因为缺乏道德约束,在用户无从知晓时,以大数据分析为理由过度搜集和保存用户信息也是不能容忍的,更何况又增加了安全风险。
5 结语
由于《宪法》没有把隐私权确立为一种独立的人权加以保护,而且《个人信息保护法》立法进程至今尚不明朗,为此,我们应借鉴国外自我规制思路,引导规范行业自律和社会监督,在建立个人信息保护规则的基础上积极推进政府统一立法。唯如此,公民的个人信息才能得到有效保护。