最近在杭州召開的2018年中國法學會網絡信息法年會,對個人信息保護法的立法主題討論甚為熱烈。自上世紀末本世紀初國務院信息化領導小組立項進行個人信息保護法研究到現在,個人信息保護法的研究已經持續多年,雖然目前還沒有列入人大的立項規劃,但學術界認為繼網絡安全法和電子商務法之後,個人信息保護法是下一個網絡信息領域必須重點研究的立法課題。
電子商務立法開辟了人大開門立法、廣泛參與的新模式,廣受贊譽。個人信息保護立法事關每個公民利益,也是大家切身感受到的各種信息騷擾、電信詐騙背後涉及的法律問題。對此,人人都有發言權,人人都有話要說,不知道未來立法草案公布征求意見會不會再現當年數十萬反饋意見的盛況?
各方立法需求不一
縱觀各國個人信息保護的立法模式,個人信息單行法立法保護是比較普遍采用的做法。現在媒體、消費者保護機構代表沈默的絕大多數,監管機構和企業都在呼籲個人信息立法,但深入分析一下,就會發現,各方對個人信息保護的立法需求是不一樣的。
廣告利益相關方的立法需求是個人信息範圍限縮到最大可能範圍內,數字廣告、大數據精準推薦、數據挖掘、算法推送均希望合法化。大部分企業都在盡量擴大收集數據,網絡安全法生效後開始有少量企業、其他機構顧及風險減少甚至不收集個人信息,如央視財經、國務院客戶端已經不收集通訊錄,但仍然收集精準和大概位置、拍照和視頻、錄音、讀取手機狀態和身份等權限。監管執法者希望增加法律實施的可操作性。
其實現在中國法律關於個人信息的立法已經初成體系,甚至說保護力度從立法層面並不輸美歐多少,問題在於行政執法和法院司法的實踐,除刑事司法領域外,幾乎看不到重大影響的好案例。其實重大案件往往具有深遠的影響,一個好的重大影響案件,比100條法律條文、1000場法律培訓都更能推動法律的深入人心。
政府部門還有一個未來立法不能再回避的問題:作為最大真實信息收集者,政府機構願不願意成為監管執法的對象?網絡安全法立法時,有一種意見是如果對政府機關罰款,罰款從財政左口袋到右口袋,沒有太大意義,所以專門有一個條文規定政府違法的處理問題,但從制度建設和實踐中頻頻發生政府機關信息管理不善的現狀來看,這到底是不是政府部門免於監管的充分理由?
雖然徐玉玉案件極大提高了個人信息保護必要性的認知程度,但全社會尤其是立法司法機關對於個人信息的價值和保護的必要性的認識現狀還太低。很多人還是無法把個人信息保護與電信詐騙等個人信息濫用的惡劣後果聯系起來。你對個人信息持有什麽樣的真實態度,可能就是別人對個人信息立法需求的態度。每個個人的職業、身份、利益對於其表達對於個人信息的態度有決定性影響。現在中國個人信息保護的執法案例,主要由一些法律專業人員,例如律師、消費者保護機構等在推動。飯碗比個人信息保護更重要。來自企業的專家不可能不知道個人信息對他們自己造成的騷擾,但端著企業的飯碗輸出的只能是信息自由的種種理論和論證。我個人認為非此即彼的思維是不行的,關鍵在於探討設計複雜的法律規則應對萬千迥異的複雜情況,讓企業賺錢也不要太過於侵犯公民的隱私。
個人信息立法的全球經驗
《通用數據保護法案》(GDPR)生效之日相關文章報道在中國網民的手機朋友圈刷屏。一部專業性極強的外國法律為什麽在中國如此廣受關註?為什麽我們反複宣傳網絡安全法,又是約談又是處罰,中國企業沒出版過網安法專著卻有專門出版研究GDPR專著的?Facebook遭遇劍橋分析數據濫用,其平臺本身無明顯過錯,但其首席執行官紮克伯格仍到國會作證,主動公開檢討,而中國同期互聯網巨頭掌門人聲稱網民不介意隱私的言論多次被對比刷屏。
谷歌公司的座右銘是Don't do evil(不作惡),在谷歌這樣的公司律師人數和專業水平應該不會低於中國任何一家企業,然而在歐盟頻遭大額罰款,美國的個人信息保護水平是否低於歐盟? 2018年6月28日,美國加利福尼亞州(下稱“加州”)頒布了《2018年加州消費者隱私法案》(CCPA)來看,未必。從美國法治和訴訟制度來看,成熟的法治環境下,不大可能縱容某種侵犯公民權利的行為放縱過度,因為隨時都有律師為謀取利益而發起訴訟予以打擊。
我們立法時較多參考研究的其他域外立法,包括印度、新加坡、日本,其個人信息保護水平也不低於我國。雖然我支持個人信息保護立法,但我認為中國個人信息保護水平低下的關鍵問題不在於法律缺失。請看我們相關立法生效後的若幹案例:
我國目前為止個人信息保護領域主要有影響的民事訴訟:朱燁訴百度:一審勝訴,二審敗訴。我本人發起的訴工商銀行:一審勝訴,二審敗訴。北京律師龐理鵬訴北京趣拿信息技術有限公司、東方航空公司隱私權糾紛,一審敗訴,二審勝訴,但法律責任是賠禮道歉而已。最高法院曾經公布過一個無錫市南長區法院判決某開發商與垃圾短信發送公司合同糾紛案,以合同無效駁回訴訟請求,收繳違法所得。這是一個與個人信息保護沾邊的合同案件,法院收繳了合同不法收益,與個人信息維權無關。
目前我國個人信息保護在行政執法領域主要是消保法+網絡安全法,網絡安全法執法力度相對較大,根據公布的案例,騰訊微信、新浪微博、百度貼吧涉嫌違反《網絡安全法》被立案調查,BOSS直聘被網信辦責令整改,這些就算目前重大執法案件了。
本次論壇上有學者對於個人信息保護是應學習歐盟大額罰款的行政執法模式,還是司法訴訟保護模式進行了討論。從中國反壟斷法的執法來看,個人信息保護執法不排除學習歐盟的可能性。結合歐盟對谷歌等企業反壟斷等多次巨額罰款,該等行政執法措施監管確實震懾力巨大,可以通過巨額罰款的行政責任引導企業合規。司法訴訟可能對企業造成數量更多的煩惱,但每個案件的經濟賠償損失則不會如同歐盟罰款那麽巨大,法庭可以通過法律解釋為個人信息保護與企業需求之間不斷微調,實現法律靈活性與穩定性的相對統一。
因此,盡管目前的中國個人信息民事訴訟案例都不太給力,但司法訴訟仍不失為中國個人信息保護立法值得考慮的主要保護途徑。從科學合理與漸進進程角度來說,通過民事訴訟責任引導企業合規,似乎更加科學合理。
(作者系上海段和段律師事務所合夥人)