查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《科技与法律》
论我国个人信息泄露的法律对策
【副标题】 兼与GDPR的比较分析
【英文标题】 Legal Countermeasures of Personal Information Leakage
【英文副标题】 A Comparative Study with GDPR【作者】 刁胜先何琪
【作者单位】 重庆邮电大学网络空间安全与信息法学院重庆邮电大学网络空间安全与信息法学院
【分类】 人身权【中文关键词】 个人信息泄露;法律对策;控制者;GDPR
【英文关键词】 personal information leakage; legal countermeasures; controller; GDPR
【文章编码】 1003-9945(2019)03-0049-09【文献标识码】 A
【期刊年份】 2019年【期号】 3
【页码】 49
【摘要】

个人信息泄露已成全球公害,且防不胜防,严重侵害个人信息安全,制约着信息技术的进步与运用。我国相关立法存在着起步晚、效力低、内容过于原则和笼统、权利义务较粗糙易落空等问题。对此,从泄漏原因的可控性角度进行分析,围绕个人信息控制者、管理者与信息主体的关系,可针对性寻求法律对策。对GDPR的经验,可予以本土化改善和借鉴,同时调整立法思路,尽快出台个人信息专门法和确立统一的数据监管机构,构建系统化、专门化和立体化的全方位行政监管体系;对个人信息泄露关系中义务和责任,应在个人信息产品与服务中对信息安全进行嵌入式、全流程系统化设计,界定个人信息泄露行为,完善个人信息保护影响评估制度,强调和细化预防性措施、合规性自证和泄露通知义务及责任体系等。

【英文摘要】

Personal information leakage has become a global public hazard and is not easy to be prevented, seriously infringing personal information security and restricting the progress and application of information technology. There are some legislative problems, such as late start, low effectiveness, too general principle and content, rough and easy failure of rights and obligations. In this regard, this paper analyzes the causes of leakage from the perspective of controllability, and focuses on the relationshipamong personal information controller, manager and information subject, so as to explore targeted legal countermeasures. The experience of GDPR can be localized for improvement and reference. Meanwhile, the legislative thinking should be adjusted to promulgate the special law on personal information and establish a unified data supervision institution as soon as possible, and build a systematic, specialized and three-dimensional all-round administrative supervision system. Regarding the obligations and responsibilities in personal information leakage, information security governance should be systematically embedded in personal information products and services with a whole process, systematic design. Moreover, the behavior of personal information leakage should be defined, the impact assessment system of personal information protection should be improved, the system of preventive measures, compliance self-certification and obligation and responsibility system of disclosure notice should be emphasized and refined.

【全文】法宝引证码CLI.A.1279962    
  
  

目前,个人信息泄露事件频频发生,已成全球公害,严重侵害个人信息安全,制约着信息技术的进步与运用。对个人信息主体而言,信息泄露通常是意外袭击、且无从反抗;而不特定多数人对被泄露信息的获取,无异于给个人信息主体布置了一方雷区:区域与方向不明、但又确定存在、且触雷可能性伴随终身,尽管雷炸概率与杀伤力度一般会随着时间的流逝而衰减。对此,法律不应该坐视不管或管而无效。

一、可控视角下个人信息泄露原因分析

“个人数据”与“个人信息”的概念众说纷纭,本文将其通用。GDPR第3条第12项规定,“个人数据泄露”是指由于违反安全政策而导致传输、储存、处理中的个人数据被意外或非法损毁、丢失、更改或未经同意而被公开或访问[1]。据此,个人数据泄露的表现有两类:一是被意外或非法毁损、丢失、更改;二是未经同意而被公开或访问。前者可以是行为或事件,主观上不以故意为必要;后者则属于行为,通常为故意使然。个人信息泄露有多方原因,如基础设施存在风险与隐患、数据产业逐利发展而不顾后果、信息技术超越大众控制而高速发展、法律制度严重滞后且不健全、黑客等人性之恶无法根除且见缝即长、不可抗力和不明原因等等。为寻求法律对策,本文拟从可控性角度分析泄露原因。

(一)可控视角下个人信息泄露的原因种类

为寻求可控性,本文仅从行为主体角度归纳分析,主要以发生在2015年国内、2016-2017年、2018年上半年的国内外重大数据泄露事件为样本,来源包括:《2015年国内网络信息安全泄露事件盘点》{1}《2016年网络信息泄露大事件盘点》{2}《2017年数据泄露调查报告》{3}《2018上半年个人信息隐私保护十大事件》{4}《2018上半年14件大数据泄露事件盘点》{5},共计148例案例。

样本中,以原因种类为着眼点,将个人信息泄露行为主体分为:用户、个人信息控制者、个人信息处理者、软硬件供应商、黑客及个人信息一般获取者,具体如表1:

表1个人信息泄露行为主体原因分析

┌──┬──────────────────────┬─────┬────┬──┐
│序号│原因种类                  │数量(例) │占比(大 │排序│
│  │                      │     │约)   │  │
├──┼──────────────────────┼─────┼────┼──┤
│1  │黑客入侵造成泄露              │58    │39%   │1  │
├──┼──────────────────────┼─────┼────┼──┤
│2  │个人信息控制者、处理者措施不当等管理疏漏或故│39    │26.3%  │2  │
│  │意泄露                   │     │    │  │
├──┼──────────────────────┼─────┼────┼──┤
│3  │不明原因的个人信息泄露           │38    │25.7%  │3  │
├──┼──────────────────────┼─────┼────┼──┤
│4  │软硬件供应商产品漏洞与技术缺陷       │12    │8%   │4  │
├──┼──────────────────────┼─────┼────┼──┤
│5  │一般获取者(自然人与单位)实施个人信息窃取或非│1     │1%   │5  │
│  │法出售而致泄露               │     │    │  │
├──┼──────────────────────┼─────┴────┴──┤
│6  │个人信息主体保护意识不强或缺位       │通常不独立造成泄露、而是融│
│  │                      │合于其他类型       │
└──┴──────────────────────┴─────────────┘

(二)个人信息泄露的可控性分析

以是否受制于当下技术发展等客观条件为标准,前述原因可分为三类:可控类,即通过健全制度、提升技术、加强管理等可以控制和避免泄露的情形;不可控类,即受制于客观原因、不可抗力等不可控、或极难避免的情形;不明原因类。

样本中,黑客入侵是第一大危险来源,其所致泄露,既可能因技术限制、人性之恶而难以规避,也不乏人为故意、管理疏漏等综合造成。58例黑客入侵中,因高危安全漏洞与服务器配置错误而造成黑客轻易入侵的有8例,且将剩下50例归入不可控或难避免范畴。软硬件供应商、个人信息控制者、处理者以及个人信息一般获取者所致泄露,并不当然受制于技术,而多基于牟利、节约管理成本等不同动机而人为疏忽、故意造成,属于通过规范、管理等可控可避免之列。148例样本可控性见表2。

表2个人信息泄漏可控性分析

┌──────┬────────────────────┬─────┬───────┐
│可控性   │原因表现                │数量   │占比(大约)  │
├──────┼────────────────────┼─────┼───────┤
│不可控、难避│黑客入侵(技术困难)、不可抗力等     │50    │33.7%     │
│免     │                    │     │       │
├──────┼────────────────────┼──┬──┼───┬───┤
│可控制、可避│黑客入侵(高危安全漏洞与服务器配置错误等)│8  │60 │5.3% │40.6% │
│免     │                    │  │  │   │   │
│      ├────────────────────┼──┤  ├───┤   │
│      │个人信息控制者、处理者措施不当等管理疏漏│39 │  │26.3% │   │
│      │或故意泄露               │  │  │   │   │
│      ├────────────────────┼──┤  ├───┤   │
│      │软硬件供应商产品漏洞与技术缺陷     │12 │  │8%  │   │
│      ├────────────────────┼──┤  ├───┤   │
│      │一般获取者(自然人与单位)实施个人信息窃取│1  │  │1%  │   │
│      │或非法出售而致泄露           │  │  │   │   │
│      ├────────────────────┼──┴──┴───┤   │
│      │个人信息主体保护意识不强或缺位     │不独立      │   │
├──────┼────────────────────┼─────┬───┴───┤
│不明原因  │不明原因                │38    │25.7     │
└──────┴────────────────────┴─────┴───────┘

可见,可控制发生的个人信息泄露占大部分。当然,受样本限制,不能就此得出不可控或难避免的个人信息泄露也近乎与可控者平分秋色的结论。正如周汉华教授所言,近年来国内频发的个人信息泄露,根源大多是信息控制者内部安全防范环节出现问题,尤其是疏于防范遭黑客攻击、内部人非法提供、新业务开发与安全保护脱节等{6}。这也印证了美国CSI/FBI与Ponemon研究所(Ponemon Institute)的调查结论:80%的安全威胁来自企业内部,而黑客仅位列第五{7}。

部分黑客等实施泄露,多根源于人性之恶与客观技术水平限制,有时与利益等并无关系,而仅仅是反社会。对此,尽管可通过道德伦理进行教育引导,但终究难以根除与控制。因此,为从可控性上寻求法律对策,我们关注的重点应是个人信息控制者、处理者和用户等。

二、GDPR就个人信息泄露的主要规定之分析

欧盟是个人信息保护先行者,于2018年5月实施的《通用数据保护条例》(General Data Protection Regulation)(以下简称GDPR),更是确立了以行政监管体系为根本的个人信息权利加强保护模式,相对于1995年《欧盟个人信息保护指令》,在很多方面进行了重要修订,其对全球互联网企业的重大影响正在展现之中。对于个人信息泄露,通过对GDPR的内容分析,可为我国提供启示与借鉴。

(一)细化“同意权”行使要件以加强个人信息泄露之前的风险把控与隔绝能力曾经瘦过你也是厉害

同意权是绝大部分个人信息保护法所赋予信息主体的一个权项,集中在个人信息收集和使用环节,将控制权力赋予信息主体,可在最初环节防范泄露风险。但是,信息技术的发展使信息主体与信息收集者实力悬殊,该权利常被架空收集者常通过繁杂的格式条款、非醒目提示、相反诱导、默示推定等设置,使权利主体“被同意”。对此,DGPR第4条第11款将“同意”定义为“数据主体自愿做出的具体、清晰、确定的对其相关的个人数据处理的意思表示”;第7条进一步细化规定数据主体撤回同意的权利、数据控制者对数据主体的同意负有证明责任、对书面同意附加特殊限定等。这样“,同意权”就具有更多现实可行性,权利主体真实意思得到尽可能保护和落实。

(二)引进新型保护机制和新增应对泄露的义务内容以着重事前预防

1.技术和组织措施义务

GDPR第25条规定数据控制者应承担“适当的技术和组织措施执行义务”。第1款包括:该义务目的在于实现数据保护的各项原则,在数据处理过程中确立有效和必要的保护措施;履行时间节点在于“数据控制者决定数据处理的方法及数据处理时”;义务中何为“适当”的考量因素有“当前的技术水平,实施成本,数据处理性质、范围及目的,数据处理给自然人带来的风险和严重性”等。第2款要求数据控制者将该义务作为默认设置,意在数据收集数量、处理限度和存储期限方面,确保限于实现特定目的所必要,预防数据被过度收集、处理以及面临更多被泄露和滥用的风险。

2.数据泄漏通知义务

(1)72小时内通知义务。GDPR第33条规定数据泄露72小时内的通知义务,通知对象是数据监管机构,适用例外是“该等数据泄露不会对自然人权利和自由造成影响”;通知内容比较详细和全面,包括“涉嫌泄露的个人数据性质、类型、数量,数据保护的联系方式,数据泄露的可能后果,已采取的措施”等;义务遵守的判断标准在于数据控制者向监管机构报送的材料。

(2)及时通知义务与豁免情形。GDPR第34条对此有规定,通知对象是数据主体,要求数据泄露会对自然人权利与自由产生高度危险时就应及时通知;通知方式要求明确和简单;通知内容与前条72小时内通知义务相同。该条第3款规定了通知豁免情形,包括“对泄露所涉个人数据已采取适当技术和组织措施、能够确保杜绝未授权读取,泄露之后采取措施确保避免对自然人权利与自由的不利影响”。

可见,GDPR规定的通知义务非常全面、立体,对数据控制者和数据主体的权利都有兼顾,配置平衡,让数据控制者、数据主体和数据监管机构有效地参与到个人信息泄露的控制与补救之中,能最大限度地避免和缩减损失。

3.数据保护影响评估机制

GDPR的该机制对于泄露、篡改、评估等信息处理行为进行影响评估,可以大大增强个人信息安全保障能力。该条例第35条规定,进行影响评估的时间点是“采用新技术处理数据之前”,需考虑因素有“数据处理的性质、范围、环境和目的”等,启动标准是“有可能对自然人权利和自由造成较高危险”。这些规定设置了义务边界,避免给数据控制者带来不必要的、过度的负担,进而影响数据的正常处理和产业发展。为此,该条第2款还进一步明确列举应当进行数据保护影响评估的特别情形,具体有三大类:(1)自动化系统性、大量地对自然人人格进行评估,包括给自然人画像并基于此将对其产生法律影响;(2)大规模处理第9条第1款规定的特殊类型数据(敏感数据)或第10条规定的刑事违法犯罪时;(3)系统性大范围监控公共区域时。该三种情形具备较高危险,是GDPR第35条义务启动标准的具体表现;为进一步落实该义务和避免其被滥用,该条第3款还授权给数据保护监管机构“评估清单确定权”,即具体确定是否需要、哪些需要进行影响评估。

(三)数据保护机构和监管体系之改革

GDPR第6-7章细化规定了成员国的数据保护机构。对内而言,要求成员国数据保护机构具有独立性。第63条具体规定:行使职权时完全独立,机构成员独立(不受任何其他组织和个人指示等),成员国政府应确保其人力、技术和财务独立,自身决定其负责人等。对外而言,要求成员国数据保护机构同欧盟委员会、其他成员国数据保护机构之间形成合作、协作和一致性机制,以体现欧盟国际组织的诞生目的,推进和加强地区个人数据保护的统一化进程。这对于个人数据泄露等侵害发生在超国家、超地区、直至全球化的当前,该机构改革有利于个人数据权利的广泛落实和执法的国际协调。

(四)罚额巨大以加重处罚力度和增加违法成本

从通过之日起,GDPR饱受争议的是其处罚数额巨大;正式生效首日,谷歌和Facebook就收到大量诉讼、被指控强迫用户共享个人数据。奥地利隐私活动家Max Schrems则在诉讼中要求罚款Facebook39亿美元,谷歌37亿欧元{8}。该处罚力度前所未有,对互联网巨头等企业带来极大挑战与压力。当然,该处罚的适用有明确要求,主要规定在GDPR第83条:第1款规定行政处罚额度,第2款规定作出处罚的考虑因素,第3款规定存在多项违法行为时行政处罚额度以“最严重数据违法行为”论处,第4-6款则分三类数据违法行为适用不同处罚,具体如表3。

表3 GDPR违规行为处罚额

┌──┬───────────────┬─────────────────┐
│序号│违规行为           │处罚               │
├──┼───────────────┼─────────────────┤
│1  │没有为用户访问、获取个人数据提│最高可被处以1000万欧元或者全球营业│
│  │供相应机制          │总额2%的罚款           │
├──┼───────────────┼─────────────────┤
│2  │没有合法理由,拒绝用户删除个人│最高可被处以2000万欧元或全球营业总│
│  │数据的请求以及没有建立对用户数│额4%的罚款            │
│  │据保护的档案化管理      │                 │
├──┼───────────────┼─────────────────┤
│3  │非法处理个人数据或无正当理由拒│最高可被处以2000万欧元或全球营业总│
│  │绝用户停止处理个数据的请求或在│额4%的罚款            │
│  │发生数据泄露事故后未及时通知监│                 │
│  │管机构,或没有执行隐私风险评估│                 │
│  │,没有设置数据保护专员,违法跨│                 │
│  │国传输个人数据等       │                 │
└──┴───────────────┴─────────────────┘

此外,GDPR新

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}叶常成.2015年国内网络信息安全泄露事件盘点.[EB/OL].(2017-03-22)[2018-11-05].http://ishare.iask.sina.com.cn/f/8Q11gxNU5pP.html.

{2}昂凯科技.2016年网络信息泄露大事件盘点[EB/OL].(2017-04-06)[2018-11-05].http://www.youxia.org/2017/04/27812.html.

{3}中国信息安全编辑部.盘点:2017年国内外重大数据泄漏事件[J].中国信息安全,2018(3):62-68.

{4}腾讯研究院.2018上半年个人信息隐私保护十大事件(国内版)[EB/OL].(2018-08-07)[2018-11-05].https://baijiahao.baidu.com/s?id =1608059033024763476&wfr = spider&for=pc.

{5}数客邦.2018上半年14件大数据泄露事件盘点[EB/OL].(2018-07-10)[2018-11-05].https://468714. kuaizhan.com/90/94/p53996589647fcc.

{6}周汉华.建立激励相容机制保护数据安全[J].当代贵州,2018(21):74-75.

{7}吕梁学院.信息泄露及如何防泄露[EB/OL].(2017-12-26)[2018-11-05].http://xxyxdjyc.llhc.edu.cn/info/1012/2763.htm.

{8}Pixel中文网. GDPR生效第一天:谷歌、Facebook遭到诉讼,被要求赔偿76亿欧元[EB/OL].(2018-05-28)[2018-11-03].https://www.sohu.com/a/233135824_654201.

{9}齐强军,齐爱民,陈琛.论我国个人信息保护立法的权利基础[J].青海社会科学,2010(1):187-189.

{10}刘修军.公民个人信息权的刑事保护刍论[J].青海社会科学,2009(6):173-176.

{11}周庆山.完善我国个人信息保护管理制度的思考[J].社会治理,2018(1):34-41.

{12}个人信息保护课题组.个人信息保护国际比较研究[M].北京:中国金融出版社,2017.

{13}桂畅旎.欧盟<通用数据保护法案>的影响与对策[J].中信息安全,2017(7):90-93.

{14}高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018, 40(3):84-101.

{15}龙荣远,杨官华.数权、数权制度与数权法研究[J].科技与法律,2018(5):19-30,81.

{16}于冲.侵犯公民个人信息犯罪的司法困境及其解决[J].青海社会科学,2013(3):17-23.

{17}社会新闻.江苏省消保委对百度提起公益诉讼南京市中院已立案[EB/OL].(2018-01-05)[2018-11-05].http://js.qq.com/a/20180105/023468.htm.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1279962      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多