侯水平顾问:大数据时代,数据信息收集需要法律规制

成都市科技顾问团2019-03-14 15:11:46

小顾有话说~~

计算机网络、移动互联网、智能手机、智能终端以及云计算等信息技术的飞速发展,大数据产业得到迅速发展,但是随之也带来了数据安全和个人信息保护的问题,因此,亟待对数据信息的搜集进行法律规制。本期四川省委省政府决咨委副主任、省社科院原院长,成都市科技顾问团顾问侯水平教授围绕在大数据时代,如何对数据信息收集进行法律规制作出分析。

 

 


当前数据信息收集法律规制面临的问题

→→对于数据信息收集的法律规制问题不够重视

计算机网络、移动互联网、智能手机、智能终端以及云计算等信息技术的飞速发展,使得大数据快速进入我们的生活,以至于还没有完全弄清楚大数据是怎么回事,就要面临大数据带来的许多问题。但目前相关企业甚至政府部门更多的是看到大数据带来的好处,从技术层面思考和挖掘大数据的价值,发展大数据产业、大数据经济,而对大数据的法律规制却很少关心。这一方面是因为大数据时代来得太快,且仍在快速发展,而我们对大数据的体验认知还不够充分,特别是对与大数据信息技术发展相伴随的问题及其危害的感受还不够深切,更谈不上对如何解决这些问题积累了足够的实践经验。

→→大数据技术快速发展而相应的法律规制滞后

大数据技术快速发展而相应的法律规制滞后,这好比汽车越来越多、跑得越来越快,而相应的交通规则的建立和遵守还未引起重视,其结果必然影响国家大数据战略的健康发展。大数据技术发展使其充斥于现代社会生活的各个领域,不可抗拒地影响甚至改变着人们生活,甚至对传统的思维观念也产生了颠覆性的冲击,由此带来的问题是人类社会前所未有的。虽然对于数据信息收集,我国已经制定了一些法律法规以及其他规范性文件,但还缺乏系统性和更强的针对性,且层级太低。因此,法律必须对大数据给予足够的关注。而如何有效对数据信息收集进行法律规制是值得思考的问题。


如何用法律规制数据信息收集

→→明确数据信息收集主体的资格与责任——不是谁想收集就收集

我国目前有关数据信息收集的法律法规中提到的收集主体很多,有网络运营者、国家机关政务网络的运营者、网络产品与服务的提供者、个人信息获得者、关键信息基础设施的运营者、电子信息发送服务提供、应用软件下载服务提供者、电信业务经营者、互联网信息服务提供者、大数据企业、网信部门和有关部门,甚至还提到任何个人和组织等。也就是说,实际上很宽泛,具有开放性。由于法律没有对主体作概念界定,也没有明示范围和资格等限制,感觉上似乎谁都可以收集数据。因此,为了规范数据信息的收集,应考虑对数据收集主体进行法律规范,根据所收集数据的性质、范围等,规定适当的条件,如必要的数据收集、保存、保密条件等。有些专门、敏感数据的收集,还需要取得相关部门的授权,数据信息收集人员应具备相应的专业资格。

明确数据信息收集者的主体资格,还需要进一步明确其权利义务和相应的法律责任。数据信息收集主体依法行使其数据信息收集权利,受法律保护,与此同时,也要履行相应的法律义务,承担相应的法律责任。目前由于立法不完善,数据收集者的权利义务不明确,在数据信息收集方面权利义务不对等的问题比较突出,容易侵害公民和企业等的权利。

→→限定数据信息收集的对象与范围——不是想收集什么就收集什么

随着人们工作生活以及社会交往等被日益发展的数字技术数字化记录,其中包含的商业价值等越来越凸显,现在几乎所有的信息公司、网络软件开发商等,都把获取公民个人数据信息作为主要目标。普遍的现象是,手机应用程序在自身功能不是必须的情况下越界获取用户隐私权限,例如读取用户的短信、通讯记录、地理位置等信息以及检索正在运行的应用、开关WiFi等。高达 96.6% 的安卓应用会获取用户手机隐私权限,而iOS应用的这一数据也高达 69.3% 。手机 APP 越界获取个人信息已经成为网络诈骗的主要源头。

大数据收集的海量信息,加上越来越智能化的分析工具,使得个人已知,甚至个人不知或还未意识到的与个人相关的事情,大数据控制者都知道。你的习惯、潜意识、社会关系等被大数据知悉掌握,大数据几乎可准确地预知你未来可能实施的行为以及可能发生的与你有关的事情。甚至可能引导你 “主动”作出某些选择、实施某些行为,若没有法律约束,将会产生很多不良的后果。因此,法律需对数据信息收集的范围和边界进行规制。

→→规范数据信息收集的方式与要求——不是想怎么收集就怎么收集

对收集数据信息的方式方法,法律也应作出相应的规定。收集数据信息必须遵循以下原则: 

第一,合法正当。收集数据信息的行为要合法,符合政策,尊重社会公德,遵守商业道德,诚实信用。

第二,明示同意。公民个人数据信息关系生命健康、财产安全、名誉等。同传统意义上的财产一样,公民理应对自己的数据信息有一定的控制权。数据信息的收集者收集、使用公民个人数据信息,应当公开其目的、方式和范围,并经被收集者同意。特别是为商业目的收集数据信息,更应如此。未经用户同意,不得收集用户个人数据信息。不得以欺骗、误导或者强迫等方式或者违反法律、行政法规以及双方的约定收集数据信息。除非法律另有规定,用户等有权查询、更正个人数据信息,有权拒绝提供个人数据信息。欧盟还将 “被遗忘权”写进了法律,规定 “只要没有保留该数据的合法理由”,该数据就必须删除。

第三,用途确定。数据信息收集者对于获取的数据信息,必须按照规定或约定的用途使用,不得用于其他用途。在数据信息收集时就要明确是为政用、商用、民用,还是为科研教学等用,而且用途要具体。电信业务经营者、互联网信息服务提供者不得将收集的用户个人数据信息用于提供服务之外的目的。学校、医院等将在工作中获取的公民个人数据信息用于商业目的或其他目的,都是不被允许的。

第四,安全保密。数据信息收集者必须对收集的用户个人数据信息的安全负责,严格保密,防止信息泄露、毁损、丢失。不得篡改其收集的个人数据信息; 未经数据信息主体同意,不得向他人提供个人数据信息。依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人数据信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。数据信息接触者及其行为要有记录、留痕。公民、企业的数据信息被泄露,收集者、控制者有义务及时通知数据信息主体。

第五,分工共享。数据信息收集是需要成本的,为了节约成本,提高效率,政府数据信息收集部门要进行分工,数据信息企业等之间可通过协商约定,或在政府部门、行业协会的协调下,或依照法律规定或行业规则,建立数据信息收集分工关系和数据信息共享机制。避免重复收集、多头收集,增加社会成本,公众负担。

第六,境内存储。收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应进行安全评估,并遵守法律规定。

→→完善数据信息收集相关立法——夯实法律基础

当前应着眼于国家大数据战略发展的现实需要,进一步加强相关立法工作。在实践探索的基础上,将那些不具有法律强制力的行业规范及指导性文件等上升为法规法律,对大数据时代的数据信息收集利用等作出系统和针对性的规定。在制定法律条件一时还不成熟的情况下,各地可先行探索制定地方法规。在对大数据进行法律规制上,应更加重视对公民个人数据信息权利的保护,特别是公民在互联网、手机、银行网络、电子转账支付、健康保险等方面个人隐私等数据信息的保护。

在数据信息收集方面,在多元利益关系和表达中,应建立倾听公民个人声音的法律制度。在制度设计上应明确公民等被收集数据信息时的权利,赋予其个人数据信息控制权,使其能够依法有效控制个人数据信息。除了政府、司法机关等特殊部门外,其他任何部门无权强行收集公民企业的个人数据信息。被收集数据信息时,有拒绝权,有要求以适当的方式合理使用数据信息的权利等。除法律明确授权的政府机关等,收集数据信息应公开进行,不得秘密收集公民、企业的信息数据。

现在我国实行网络实名制,这对于加强网络管控无疑具有特别重要的意义,但这样以来,匿名对个人隐私的保护功能荡然无存。这就需要加强网络实名制下的个人数据信息收集和利用的监管,在网络管控和个人隐私保护之间求得一定的平衡,特别是对以 “人肉搜索”为目的的大数据隐私挖掘行为等加以法律规制。

为了完善数据信息收集相关立法,要明晰数据信息的权利属性和相关的产权关系。在制定数据信息收集利用等法律法规中,还应探索建立科学的数据信息标准体系,以提高数据信息收集的质量,提升收集和应用共享的效率。要建立制度,规定数据信息收集者要对所收集数据信息进行识别、把关责任,要求数据信息的提供者个人、企业及政府部门等,保证所提供数据信息的真实、合法、准确、完整和可用。满足这些要求的数据信息才有价值。

→→明确数据信息收集的政府责任———加强法律监管

目前数据信息收集领域违法现象十分严重。数据信息收集法律规范不完善,监管不力,造成了严重的社会问题。在数据信息收集主体不具备相应的资格、收集行为不规范、数据信息主体权利义务不明确的情况下,不仅公民个人的隐私权等易受侵害,数据信息的真实性、准确性、完整性也得不到保证。在这样的基础上推进大数据的利用可能影响数据信息产业的发展,甚至造成社会危害。依法收集、运用数据信息,监管数据信息的收集活动,在大数据时代是法治政府建设的一个重要内容,是推进依法行政的一个具体体现。

政府作为数据信息的收集者和利用者,要带头守法,这是依法行政的应有之义; 对于商业机构或其他非政府机构收集数据信息的活动进行监督,是法治政府的职责; 规范数据信息收集和数字资源管理,保护公民法人的合法权益,促进数字产业发展,更是法治政府的责任。对违反法律规定收集数据信息的行为,要依法追究法律责任。这方面,可以借鉴欧盟的经验。欧盟 《一般数据保护法案》第 83 条对违法行为设定了严厉的罚款标准。对于一般性的违法,罚款上限是 1000 万欧元或对企业而言上一年度全球营业收入的 2% ( 两者中取数额大者) ; 对于严重的违法,罚款上限是2000 万欧元或对企业而言上一年度全球营业收入的 4% ( 两者中取数额大者) 。传统的个人隐私保护制度在大数据时代已经显得苍白,需要制度创新以应对新的问题。更重要的是,要强化法律法规的实施,加强数据信息收集的法律监管。只有这样,才能为国家大数据战略的顺利实施创造良好的法治环境。

 

编审:鲁立文

编辑:舒   展

校对:朱俊蓉

来源:《党政研究》

(图片来源于网络)





Copyright © 古田计算器虚拟社区@2017