“今年全国‘两会’期间,个人信息保护立法成为一大热点,随着大数据时代的到来,个人信息保护已经成为社会发展的当务之急。”近日,在中国科学技术法学会、北京大学互联网法律中心主办的《互联网企业个人信息保护测评标准》发布会上,中国科学技术法学会会长段瑞春表示,随着“棱镜门”等事件曝光,保护个人信息已经成为国际的“大势”,对于互联网企业而言,更是“顺势昌,逆势亡”。
呼吁出台个人信息安全保护法
事实上,随着信息处理和存储技术的不断发展,我国个人信息滥用问题日趋严重,社会对个人信息保护立法的需求越来越迫切。如何解决这一问题?多方人士表示,“立法是关键”。
“建议国家有关部门尽快出台个人信息安全保护法,打击侵害个人信息的违法行为,规范相关企业的运营行为。”南京邮电大学校长杨震认为,信息社会已经成为一个虚拟社会,跟实体社会一样,需要一个完善的个人信息保护法。“否则,你的个人信息安全就不能得到保障,那样的话,后果将不堪设想”。
“将来你的信息谁有权采集,谁有权查看,谁有权使用,是监管部门要考虑的一个重大课题。”杨震说。
在苏宁控股集团董事长张近东看来,随着互联网与移动互联网的迅速发展,个人信息日趋呈现出网络化与公开化的特点,但保护机制的短缺,使得恶意获取、非法倒卖、失职外泄个人信息的事件频频发生,直接威胁到了公民经济安全与人身安全。他表示,一定要“抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益”。
张近东认为,进行个人信息安全保护,首先是要“做好顶层设计,制定统一的《互联网个人信息保护法》”,用以明确信息保护范围与内容,提高违法违规成本;其次是要“明确责任主体,完善自律机制”,从职责权限、审核监察层面严格要求涉事企事业单位与个人;第三是“建立统一的执法机制,确保法律贯彻执行”,以独立、专业的个人信息安全保护部门推动个人信息保护长期化、日常化的实现。
个人信息保护势在必行
段瑞春说,互联网作为20世纪最伟大的发明,是催生信息社会的革命性力量,目前已发展成为一个全球性公共基础设施,它使贸易、医疗、教育以及人们的通信和交流等生活方式的各个方面发生了革命性变化。人们现在的生活已不仅离不开传统的电力与石油,也日益离不开电脑、移动设备等互联网终端,它们代表着一种崭新的生活理念、生活状态和新的精神面貌,而这一切都代表着本世纪的曙光。
“近年来互联网发展过快带来一些负面问题,引发公众对个人信息保护的担忧。” 段瑞春表示,人们在使用互联网的过程中,无论是主动提供还是被动享受服务,都会不知不觉被互联网企业获取数量庞大且繁杂的个人信息。信息收集行为可能涉及到用户的姓名、家庭住址甚至宗教信仰、个人感情倾向等敏感信息,只要用户还使用着互联网作为虚拟世界的延伸,就足以令用户在网络环境中成为无法隐匿的透明人。
当前,我国正处在工业化加速发展的重要阶段,面临着信息化的发展机遇,只有以信息化带动工业化,以工业化促进信息化,才能走出一条科技含量高、经济效益好的工业化道路。大数据时代的到来,使得信息成为重要的经济性资源,无论是政府有关部门,抑或是企业,谁掌握了数据,谁就抢得了先机。
“在这场‘数据大战’中,互联网企业发挥着关键性作用。因此,为了互联网产业的合理有序发展,促进企业正当竞争、开创新型商业模式,保障互联网企业合理合法使用个人信息资源,避免不必要的社会成本,我们需要完善个人信息保护的规范与准则。” 段瑞春说。
首部测评标准出台
“目前,在网络时代保护个人信息已经成为社会发展的当务之急,这份《互联网企业个人信息保护测评标准》便是我们对时代要求的回应。”会上,我国互联网领域首部由独立第三方学术机构倡议的个人信息保护测评行业标准——《互联网企业个人信息保护测评标准》正式发布。段瑞春强调,个人信息保护是一项需要长期推进的工作,希望互联网企业能在评测标准的指导下加强自律、促进创新、实现可持续发展。
“3月15日,我国新修订的《消费者权益保护法》正式实施。此次修订中的一大亮点就是法律条款中明确增添了关于个人信息保护的内容。新消法规定,互联网企业在利用其所收集的个人信息的同时,也负有对个人信息进行保护的义务。”北京大学法学院院长张守义表示,我国较长时间内缺少个人信息保护的专门规定,个人信息保护相关的公众事件频出,例如“艳照门”和“快递单倒卖”事件,而这些问题在法律中却找不到相应的依据。
随着全国人大常务委员会《关于加强网络信息保护的决定》、工业和信息化部《电信和互联网用户个人信息保护规定》、新的《消费者权益保护法》的相继出台,保护个人信息上升为法律明确规定的一项任务。然而,这些法律、法规还缺乏可操作性,在实际操作中引发了诸多争议。
北京大学互联网法律中心主任张平表示,《互联网企业个人信息保护测评标准》是在现有法律法规的基础上,推动个人信息保护实践,让企业拥有一个参照物,对其个人信息保护政策及实践做法进行比照,及时调整政策和实践;也让消费者能够据此对互联网企业的个人信息保护工作进行评估,判断企业的优劣,保护好消费者的个人信息。
张平指出,《互联网企业个人信息保护测评标准》在知情同意原则、合法必要原则、目的明确原则、个人参与原则、信息质量原则、安全责任原则六大基本原则的基础上制定了包括知情同意、收集、加工、使用、转移、个人参与、政策修改、安全责任、特殊领域的个人信息在内的测评互联网企业的指标体系。
据悉,该《互联网企业个人信息保护测评标准》的发布机构将组建测评机构,以《互联网企业个人信息保护测评标准》为依据,主动对互联网企业设置的个人信息保护政策以及个人信息保护相关的实践做法进行测评。测评机构将以定期或不定期报告的方式发布测评结果。