我们通常所说的个人隐私信息,是指不为公众所知悉的、公民个人生活中不愿为(往往是一定范围以外的)他人所知悉的私密信息。例如,最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》第12条就以列举的方式规定了个人隐私信息包含的部分具体内容,包括自然人的基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等。个人信息中包含个人隐私信息,同理也要分级保护。
笔者认为,商业数据信息和个人信息,如果经过处理使无法识别特定个人且不能复原(即去身份化)后,可以在一定的条件下使用、交换和共享。例如,贵阳大数据交易所就是在能够很好地保护商业秘密和个人隐私信息这一前提下,得以迅速发展的。
三、加大打击盗取滥用数据信息行为
数据信息的盗取、泄露和滥用是很多违法犯罪的根源,近年来,此类事件时有发生,危害性大、影响面广、涉及人数众多,而且往往会给用户造成永久且不可逆的损害,用户无法因身份信息被泄露而采取补救措施,同时,还可能给当事人造成二次伤害。国家相关部门也已深刻地认识到了问题的严重性,开展了打击相关违法犯罪行为的专项治理,并不断加大打击力度。
我国刑法第285条,规定了非法获取计算机系统数据罪,是指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。犯本罪的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
但并非所有的非法获取数据信息行为,都受到刑法的制裁,尚不构成刑事犯罪的,也有可能涉嫌违反治安管理处罚法规定。根据治安管理处罚法第29条的规定,违反国家规定,侵入计算机信息系统,造成危害的;或者对计算机信息系统中存储、处理、传输的数据和应用程序进行删除、修改、增加的;处5日以下拘留;情节较重的,处5日以上10日以下拘留。
四、
构建完善的数据信息保护法律体系
尽管我国法律法规中涉及到个人隐私和数据信息的超过了200部,但是这些规定都是分散在各部法律、法规中,没有一部专门的法律保护个人信息和企业商业信息的规范,因此,应当尽快制定《个人信息保护法》《商业数据信息保护法》等法律,完善数据信息保护制度。
最近,笔者欣喜地看到,民法总则(草案)对网络虚拟财产、数据信息等新型民事权利客体作了规定,虽然仅是征求意见稿,但也体现了中国立法机关和法学界的观点——对数据信息权利的确立和保护已经迫在眉睫,并且应当立法进行规范。
草案第104条规定,“物包括不动产和动产。法律规定具体权利或者网络虚拟财产作为物权客体的,依照其规定”,这确立了虚拟财产能够成为权利客体的法律地位;草案第108条第二款第八项还规定,知识产权包括权利人依法就数据信息(客体)所享有的权利,这就确立了数据信息成为新型民事权利的客体,应当受到法律保护。
明确数据信息权利人对数据信息享有占有、使用、处分、收益的权利是互联网和大数据产业发展的法律保障。而数据处理者在经过许可后对收集的数据信息进行分类整理、加工分析得出的数据信息已经具有原始数据所不具有的新特征,这些特征能够为数据处理者带来财产性的利益和新的商业机会,此时,数据处理者可以在获得数据信息权利人的许可后,进行有条件的信息再利用。
毋庸置疑,加快制定专门的法律、法规,建立健全数据信息保护制度,是当务之急和互联网时代的迫切需要。
笔者认为,首先要构建完善的数据信息保护法律体系。制定《个人信息保护法》《商业数据保护法》及配套的法规、部门规章,构建完整的信息保护法律体系,并在此基础上建立信息安全争议解决机制,从实体和程序上完善信息保护制度,切实保护权利主体的合法权益。
其次是要推动网络管理法制建设,促进网络运营商、软件、硬件开发商等主体广泛协同参与,加强信息安全网络建设,倡导构建信息保护的自律机制;指导、宣传和加强公众的自我保护意识,加强数据信息风险预警,减少个人信息泄露风险。
第三是要建立信息安全认证制度,成立第三方评级机构,对企业信息保护制度建设及运行给予评价,并向社会公众开放评价查询。企业可以根据数据信息保护评价的高低及不足之处,采取相应的技术和制度措施,加强企业的数据信息保护。