商用服务信息保护和监管研究.docVIP

商用服务信息保护和监管研究 【摘要】2018年1月3日，晒2017年支付宝账单活动风靡微信朋友圈，支付宝在2017年账单界面嵌入了一段不易发现的服务协议链接，导致全国上亿用户在不知情的情况“被授权”支付宝采集个人信息，消息一出，引发了全体网民、社会媒体及法律界人士的跟进关注，舆论发酵迅速。目前，个人商用服务信息权益保护工作逐渐受到世界各国金融服务机构和监管主体的关注。本文对国外个人商用信息保护和监管方面的经验做法进行了整理，为我国个人商用服务信息保护和监管提供了有益借鉴。 【关键词】信息安全行业监管立法保护 一、我国个人商用信息保护和监管工作存在的不足 一是我国针对个人的信息保护的立法空白。目前，我国并未出台保护个人信息的专门法律。我国的《国侵权责任法》和《民法通则》中的关于个人信息保护与侵权救济条款，奠定了个人信息保护的民事制度基础，但相关条款内容过于宽泛，缺乏针对性和具体执行力。我国的个人信息保护法立法建议从2003年被提上日程，缺一直未能进入正式的立法程序。我国个人商用信息保护的基本法空白，降低了个人信息保护的司法执行力。二是我国对个人商用信息保护范畴的界定过于狭窄。目前，我国关于个人商用信息的规定散见于多部法律法规中，侧重于保护个人信贷信息、通信信息等，对个人信息保护主体的界定主要局限于各行业内部，未能涵盖与行业信息有关联的其他主体。致使如医疗、房产中介、机动车销售、电信运营、网络服务等行业及其相关业务人员有许多机会掌握大量公民个人信息。因此这些行业也往往成为个人信息泄露的“重灾区”。三是信息保护监管机制不完善。现阶段，我国对个人商用信息监管不具备违规行为发生后的问责到底的机制，同时面临重大群体信息违规违法事件的处理机制不健全，监管主体责任不明确，行业监管乏力存在漏洞。如，日前支付宝恶意隐藏信息采集授权条款，导致客户在不知情的情况下“被同意”了《芝麻服务协议》的事件中，支付宝仅仅通过官方微博发布了道歉说明，但截至目前相关监管机构针对整个事件并未对支付宝进行处罚和开展后续事件调查。四是缺乏具体有效的救济方式。现行对个人金融信息保护的相关规定侧重于规范金融机构的行为，而缺乏对数据主体权利、救济方式和途径的规定。这一现状导致在个人金融保护的实践中，数据主体的权利容易被轻视，同时侵权者违规违法成本低，使得数据主体在遭受侵权行为时往往难以得到民事救济。 二、国外个人商用信息保护和监管的主要做法 （一）明确界定个人信息，增强市场保护和监管的针对性。美国侧重对政府权利的限制，出台的各项法规旨在保护公民的隐私权、财务信息、健康信息保密性和安全性，在美国《隐私法》中，采用“记录”代指“个人信息”，指一个机构所持有的与一个人相关的单项信息活信息集合。欧盟虽然比较注重保护社会公众个人商用信息的隐私权，但同时出台了一系列制度确保成员国不会因为对个人信息的过度保护而阻碍个人数据在成员国之间的正常交流。欧盟将社会公众的商用信息界定为和自然人相关的所有信息，因此欧盟对个人信息的保护内容相对广泛。日本对个人权利和利益的保护显著增强，日本将个人信息定义为与一个自然人相关的，包含姓名、驾照、身份证号、出生日期、军官证和其他所有可以识别出特定对象的任何信息。（二）借助行政手段，统一市场管理。美国通过借助政府统一管理，部门分散立法的模式，实现相关机构行为的自我约束、自我规范，从而保护个人信息的安全，并在个人信息保护和个人信息产业发展之间找到平衡。欧盟明确了个人信息保护的基本原则，欧洲议会出台统一管理框架，各成员国根据联盟统一要求，分别建立自己的个人信息保护法。日本通过行政干预统一了全国个人信息标识，加强个人商用信息的规范化管理手段。（三）进行专门立法，加强司法监督。美国早在上世纪80年代就出台了《美利坚合众国隐私法》，规定了在商业领域的个人信息保护办法，是美国保障公民信息安全的重要法律，该法案提出了公民隐私权为国家宪法必须保障的基本人权。在1997年，美国又出台了《美国互联网商务机构政策框架》，明确了私营企业在互联网领域保护个人信息的主要义务，并鼓励私营企业为此建立内部管理制度，同时提出建立独立的、公正的第三方机构的监督机制。欧盟在个人信息保护方面的工作成绩突出，这与其出台严格个人信息立法环境关系密切。总体上看,欧盟个人信息保护的法律从强调对国家权力的有效控制以及对私权领域的严格限制，执行了集公权领域与私权领域于一体的统一立法标准。欧盟于2016年5月24日通过了《一般数据保护条例》（GeneralDataProtectionRegulation，GDPR），并将于2018年5月25日实施。GDPR的通过意味着欧盟对个人信息保护及其监管达到了前所未有的新高度。此外，各欧盟国家也分别制定国内的相关法