大数据时代个人数据的监管法律问题研究
来源:用户上传
作者:
摘 要:随着计算机技术的快速发展,电子化的个人数据总量呈现几何式快速増长。由于方便快捷的特性,导致网络社交平台的用户激增,用户的激增带来个人数据的大量增加。大数据时代的一系列变革同时也带来一系列新的挑战,数据信息的安全问题应运而生,大数据在技术、管理和法律等方面面临新的安全威胁和挑战,应当如何监管大数据行业,成为了迫在眉睫的问题。
关键词:大数据;个人数据;监管
我国目前个人数据安全监管多通过单行条例规定。这些条例规定,在大数据飞速发展的今天顯得有些滞后。但是在大数据时代,以往的规则开始显得过于落后,难以适应当前大数据技术的发展和变化,这是由互联网瞬息万变的特性而决定的。数据的用途不再单一,而是变得多样化,新的数据用途可能会偏离企业最初设定的使用目的。目前我省没有一个具体的规范对这种数据应用进行相应的监管,这使得大数据的应用显得有些灰色。因此,个人数据安全监管问题越来越受到关注。
一、个人数据安全监管的不足
(一)个人数据保护意识弱
大数据产业的规模增速越来越快,需要对个人数据安全进行监管显得尤为重要,我国的监管目标尚不明确,目前仅停留在依赖企业自律的程度,也并未提及对个人数据的安全该如何监管的问题。大数据通常包含了大量的用户身份信息、行为等各种各样的信息,如果大数据保护不好,很容易造成个人数据泄露。在监管过程中,应立足于个人合法权益的全面保护。但就目前的监管程度来看,还存在很多不足。在大数据产业链发展的新趋势下,监管主体应当更加注重保护个人数据的安全,更新监管理念。
(二)监管法律缺失
1. 缺乏专门性规定
大数据的发展带动企业间数据的频繁交易,对监管提出了更高的要求,我国目前现有的监管制度仅具有原则指导性,内容比较空泛,具体操作困难。因此,目前的法律制度已无法完全调控大数据产业,监管的空白给了违法犯罪分子可乘之机,加大个人数据的安全风险,由此可见,制定针对性的规定是十分必要的。
2.缺乏行业内部细则
目前,在大数据产业链内暂时缺乏行业规范细则。这是由行业发展初期的特征决定的。行业在发展初期往往追求速度,且由于本身的发展尚处于不够成熟的阶段,还未形成较为统一的,认可度高的行业自律规则。[1] 而行业内部细则针对行业内部存在的问题和自身发展的特点,因地制宜量身打造,实用性和指导性较强,缺乏统一的行业内部细则,必然导致行业发展秩序的混乱。
(三)监管主体不明
1.行业监管存在缺陷
作为新兴产业,大数据的应用形式显得复杂多样,对大数据进行有效监管的首要问题就是明确监管主体。但目前我国对此尚未出台明确规定,没有形成能够称之为体系的监管条例,仅针对特定行业中与大数据关联的部分,作出了特定的指导性政策,可操作性不强,难以将监管范围覆盖至整个大数据产业链。[2] 这一监管缺位的现状将个人数据的安全置于一个较为危险的状态,不利于大数据产业的可持续稳健有序发展。
2.行业自律性监管缺位
行业自律一直在监管中扮演者不可或缺的角色,作为民间自发成立的行业性规范组织,它能够真实客观的体现行业的发展现状,彰显不足之处,提出企业诉求。当前大数据产业快速发展,相关企业数量激增,但行业自律监管尚并未得到相应的重视,目前还未形成统一的执业标准和自律细则,行业自律监管没有发挥其应有的作用。企业对个人数据的保护,目前还停留在十分笼统和含糊的阶段。
(四)监管方式落后
1.监管部门协调性不足 传统的数据安全监管中间不存在其他参与者。但随着大数据的发展,数据处理中的参与者变得多而复杂,在数据的收集、存储、交易、使用等各个环节涉及的参与者很多,因此,需要转变监管方式,构建灵活性、多角度并存的监管模式,从而实现大数据产业的健康发展。
我国大数据业务遍布金融、教育、医疗等各个行业,对大数据的监管也表现出“分业监管”的特征,即分别由该行业的主管监管部门对其进行监管,但这种监管模式存在一个显著的缺点,就是这些行业原有的监管部门对大数据的把握程度较低,甚至在大数据方面的知识储备是空白的,缺乏针对大数据安全监管的规范体系。[3] 由于分业监管的方式,使得各监管部门容易形成各自为政的局面,沟通协调存在款男,对大数据的安全难以做到高效持续的监管。
2.监管机构内部建设有待加强
以互联网行业的个人数据安全监管为例,尽管国家通过《电信和互联网用户个人信息保护规定》和《征信业管理条例》等法律法规对个人数据的安全监管作出了规定,但保护条款多为原则性规定,监督方式较为单一,从根本上无法企业提高自我管控能力的积极性,且由于相关企业能力差距较大,很难做到完全有效的自我监督。因此,不仅对我国大数据产业的发展造成不利影响,也不利于对产业体系的构建完善和持续发展。
二、完善个人数据安全监管的法律建议
大数据的发展可以带动经济快速发展,为企业带来新的发展机会。但大数据的快速发展也对现有的企业运作模式和数据计算基数带来冲击,如果没有完善高效的监管体系对其进行规范音调,可能会导致进一步的数据安全的风险。因此,个人数据的安全监管问题需要重视起来,我国立法部门基于需求发现当前监管结构的缺陷和不足,完善监管框架和法律法规,确保大数据产业的安全稳定发展。
(一)更新监管原则
大数据技术应用于各行各业,而对大数据的监管不再单一局限。大数据产业主体多样性、处理复杂性和交易虚拟性的特点,使得其产生的数据安全风险种类变化多端。传统的监管理论已不能再适应新形势下的大数据产业,因此,必须用新理论和实践指导新立法,搭建更加符合时代发展的个人数据安全监管体系。
1.确立消极许可原则
个人数据在处理的各个环节原则上都需要取得数据主体的许可。目前有两种方式,即积极许可和消极许可。在大数据时代,收集、处理个人数据前若必须获得绝对同意许可,其操作难度和操作成本都是巨大的。而消极许可既向用户发出了通知,也给用户提供了明确的拒绝途径,保护了个人的权利,同时花费的社会资源也较少,是适应当前大数据发展的原则,除涉及个人隐私或人身安全的数据之外,消极许可原则可以普遍适用。[4] 2.引入限制处理原则
个人数据无限制的被收集,如果在遭受威胁时,那么所受的损失就会非常大,因此,个人数据安全监管的重要原则之一就是防止无限制收集个人数据。个人数据处理有限原则体现在三个方面:一是数据收集处理的时间限制,要求数据处理者不能无限期留存其保有的数据,在实现既定目标之后应及时删除或者销毁;二是数据收集处理的目的限制,要求数据的收集处理应当具有特定的目的,且该目的是合法和必须的,对个人数据的收集处理应严格遵守该目的所要求的范围;三是数据收集处理的用途限制,它要求对个人数据的处理结果不能随意滥用,必须遵循既定的用途。
3.保证主体参与原则
数据主体应当参与到数据处理环节中,企业通过及时告知、方便查询、允许修改等手段来实现数据主体的参与。及时告知是指企业在收集和使用数据时具有及时通知的义务,个人数据收集处理者应当告知数据主体自身身份、收集或处理目的、收集范围、以及数据主体具有修改和删除的权利等等。方便查询是指企业应向数据主体提供方便其查询和获取个人数据的渠道。允许修改是指企业应当允许数据主体数据有误或需要更新是提出的修改要求,并尽可能使操作简单便捷。数据主体参与原则有助于从源头保障数据的安全,也体现了数据主体也是重要参与者的理念。 [5]
(二) 完善监管法律规范体系
目前我国的大数据监管体系,主要由国家或地方出台的监管文件构成,对大数据产业的健康发展和各主体间利益协调发挥了一定的积极作用,但这些监管文件所能发挥的作用有限,主要起到引导作用,具体到数据处理各个环节的规范运行,则并无明确规定,对大数据的安全风险不能起到防范的作用。基于此,我国当前急需加强与大数据行业相关的法律建设,完善监管体系,为保障和规范大数据产业的健康发展提供有效的制度依据,保护各方数据参与主体的合法权益。
1.完善现有法律
我国目前涉及个人数据安全的法律法规不多,仅在《电信和互联网用户个人信息保护规定》、《消费者权益保护法》、《人口健康信息管理办法(試行)》、《网络安全法》和《互联网信息服务管理办法》等法律法规中略有涉及。就目前的监管现状来看,监管程度已经无法适应大数据技术快速发展的新形势,因此,应结合大数据产业的特点,对现有法律法规进行修订和补充,提高监管力度和保护程度。通过举证倒置原则来降低受害者的举证难度,完善司法救济制度,从而更好地保障和救济数据主体的权利。
2.制定相应行业规则
大数据产业的运行有其特定的规则,行业参与者可在总结其规律的基础上,归纳行业风险,讨论建立行业协会,制定相应行业规则,对本行业的发展前景作出分析和规划,讨论行业内规则制定的原理和原则,对各种可能出现的安全隐患进行论证并提出解决意见,形成一套较为完善和全面的行业自律规则。通过引入认证机制,由法律认定符合条件的行业协会协助监管数据经营者。[6] 鼓励企业加入行业协会,宣传自律规则,引导企业自觉遵守收集、储存、交易、使用规则,尽可能将行业协会的作用发挥至最大化。
3.建立内部管控制度
当个人数据被收集后,这些数据后续的处理和交易将由数据收集处理者进行处理,数据主体本身很难被掌握,即便在遵循了数据主体参与原则,也无法双向保证个人主体对其数据的控制,因此,需要数据处理主体建立一套企业内部的自律制度并严格遵守,可以类比每个公司在成立之初必须设立公司章程的企业自控制度,将数据处理的自我监督规则纳入公司章程体系,用硬性规则要求企业形成通过外在强制和内在管控,双向保障个人数据的安全。
(三)明确多层次监管主体
目前我国尚未明确具体的监管主体,目前形式多为在原传统行业中补充加入对大数据相关业务进行监管的单项条例。大数据产业有广泛性和多发性的鲜明特征,在各行业中加入有关大数据的单一监管模式已不能对大数据产业的发展发挥其应有的作用,因此,确立一个合理合法统一的监管主体意义尤为明显。
1.实行多层次监管统分结合
在学习借鉴境外国家的监管经验上,我国可以建立从中央到部门再到地方和行业自律组织的多层次监管体系。根据数据处理机制,以规模、业务范围和数据收集处理水平为标准,明确责任分担,多层次监管统分结合,将监督从头至尾覆盖至数据产业。在监管体系建设方面,中央政府应注重监管、引导和统筹,制定大数据产业的指导性规则,防范和预测数据安全风险,还应完善监管规则中关于侵权责任的规定,在个人数据安全受到侵害时,保护自身权利不被侵犯。地方直属部门应积极贯彻落实中央政策,将监管落到实处,对数据安全做到有效监管。
2.推动行业自律组织监管
行业自律监管的优势在于监督覆盖面大,监管方式灵活,效率和成效更为明显,因此,大数据领域应推动成立大数据类的自律组织。目前,我国各大数据交易中心或交易所并未形成一个具有国家新权威的全国性自律组织。大数据产业可借鉴其他行业的监管模式,对大数据在行业服务标准领域的规则和风险管理进行指导性规定。协会可以根据数据不同的处理环节,成立不同类型的专项管理委员会,对数据处理的不同环节作出自律监管;协会还可针对数据处理各环节的不同特定制定管理、控制、保护等类别的行业规则,促进大数据产业的健康持续发展。
(四)转变监管方式
1.加强监管体之间的协调性
基于目前我国大数据监管的分业特征,各监管部门监管的模式容易造成监管范围的划分不明,监管边界模糊。因此,对个人数据安全的监管需要对不同监管部门进行协调,提高其工作效率,保证监管成效。具体而言,可在工信部门下成立大数据监管协调小组,对数据安全问题进行全面协调,统筹其他各监管部门的工作,其他监管部门可应及时与协调小组共享本部门的政策变化,配合协调小组的监管工作。[7] 通过共同合作提高执法效率,保障个人数据安全,为大数据产业的健康持续发展提供强有力的法律保障。
2.推进监管机构内部建设
行之有效的监管体系除了合理完善的外部法律法规条款之外,还需要监管机构内部的职能高效,监管部门自身的内控机制建设,是大数据安全监管发挥应有作用的基础。监管机构应规范自身运行机制,明确监管领域和监管责任,厘清自身权责范围,配合其他有关部门,再依据外部监管原则和规定,对大数据产业进行监管,将监管方针落实到位。监管部门的内部建设应当对自身当前存在的不足作出客观评价,并从多方面提升自身素质,更新管理思维,建立一套对大数据监管切实有效的监管程序,更好的服务于数据主体。
3.加快监管技术进步
大数据发展中,处理手段日益更新,交易种类日渐繁多,单一的监管手段很难持续适应多变的大数据产业,因此,对数据安全的监管可以采用多样化高技术的监管方式。例如可以在监管部门的主导下建立网络数据监测平台,对对数据的各个处理环节中的各项行为进行实时监控,降低数据交易风险。同时,可以设置相应的准入门槛,对进入交易的企业进行严格把关,将数据安全问题扼杀在萌芽状态。
[参考文献]
[1] 袁康、张彬:《互联网综合理财平台的业务模式与监管路径》,《证券市场导报》2016年第4期。
[2] 戴国良:《网络行为金融大数据与中国证券市场的相关性研究》,《金融理论与实践》2016 年第1期。
[3] 叶文辉:《大数据征信机构的运作模式及监管对策——以阿里巴巴芝麻信用为例》,《新金融》2015年第7期。
[4] 陈其云:《大数据安全风险分析与监管建议》,《现代电信科技》2016 年第5期。
[5] 王忠、赵惠:《大数据时代个人数据的隐私顾虑研究——基于调研数据的分析》,《信息理论与实践》2014 年第8期。
[6] 相丽玲、王蕙:《个人数据信息开发与保护的多学科理论》,《信息理论与实践》2016年第2期。
[7] 刘丽丽、刘楷:《美国网络隐私权保护模式及其对我国的启示》,《征信》2015年第12期。
资助项目:2019年度山东省社会科学普及应用研究项目(编号2019-SKZZ-43)
(作者单位:山东政法学院,山东 济南 250014)
转载注明来源:https://www.xzbu.com/7/view-15170502.htm