新京报讯(记者 侯润芳)今年全国两会在即。新京报记者获悉,全国政协委员,中国人民银行杭州中心支行党委书记、行长殷兴山在带来的一份提案中表示,在大数据广泛应用的背景下,要加强个人信息保护。对于如何加强个人信息的保护?殷兴山给出了四方面的建议:加快立法进程、设立专门监管机构、确立运营主体运营规范、赋予信息主体自我保护权利。
殷兴山在提案中表示,由于个人信息的资源价值,各个层面都重视挖掘个人信息、行为模式等数据,导致个人信息使用不断膨胀和扩散,有的被不法分子利用成为诈骗案件,保障个人信息安全迫在眉睫。
在殷兴山看来,在现阶段,个人信息保护不足的主要表现在四个方面:
(一)法律制度不健全。我国尚无个人信息保护专项立法,尽管《宪法》《刑法》《民法总则》《网络安全法》《消费者权益保护法》等有所涉及,但针对性和操作性相对欠缺。在法律责任方面,侵害个人信息安全的行为,主要追究刑事和行政责任,民事责任并不凸显,当事人缺乏权利救济的法律依据。
(二)缺乏主管部门。目前没有明确的主管部门对侵犯个人信息安全的行为进行调查、取证、制止、处罚等。现有的公共管理部门,从网络安全或从消费者权益保护角度介入,但部门间缺乏有效沟通。
(三)运营主体缺乏规范。一是市场进入不规范。运营主体只要设置一个平台或APP就可以收集使用者个人信息,有的运用“网络爬虫”收集,有的植入木马程序通过红包、链接违规收集。二是运营主体处于强势地位,强制授权、过度索权、超范围收集个人信息。三是运营主体使用信息缺乏约束,把个人信息作为自身资源任意使用,如用于个人信用评价等。四是运营主体信息保管不当,没有严格的管理和技术防护措施,甚至出现非法倒卖个人信息谋利的现象。
(四)信息主体保护意识淡薄。信息主体缺乏信息自决的权利意识,为寻求方便快捷,按服务商要求上传“人脸”“指纹”等敏感个人信息。有的热衷在网上炫耀身份、财富,分享家庭生活和心得心情,将大量个人信息暴露在网上。
针对上述问题,殷兴山在提案中给出了四方面的建议:
(一)加快立法进程。2019年3月,全国人大已将《个人信息保护法》纳入立法规划,建议加快立法进程。通过专门立法,统一对公私领域的个人信息保护,明确运营主体收集、使用个人信息的原则、程序和保密、保护义务,不当使用、保护不力的法律责任以及监管部门的监督手段和处罚措施等。
(二)设立专门监管机构。建议在立法中明确专门机构负责或牵头负责个人信息保护工作,建立统一的制度规范,有权监督运营主体,并对违规行为进行处理。若采取牵头负责模式,监管机构要发挥协调职能,相关部门应依法配合。
(三)确立运营主体运营规范。一是明确运营主体必须依法采集、使用、保管个人信息,有明确正当的目的,符合“最少、必需”要求,并经过信息主体明示同意。二是注重平衡保护,在强调个人信息保密义务的同时,明确基于法律规定、社会公共利益、当事信息主体同意等例外规定,实现特定情形下个人信息无障碍流通。三是加强从业人员管理,制定信息收集、处理、传输、公开、使用规则,做好流程监控,一旦发生信息泄露事件,严格追究相关人员责任。同时将技术防护纳入法律规范,推动运营主体加大技防投入。
(四)赋予信息主体自我保护权利。一是明确“信息自决权”,信息主体有权决定是否告知或允许他人利用自己的信息。建立“知情同意”制度,只有信息主体知情同意,运营主体方可采集、保管、使用个人信息。二是赋予“被遗忘权”,借鉴欧盟《通用数据保护条例》,信息主体行使“被遗忘权”时,运营主体不仅要删除自己所掌握的信息,还要对公开传播的信息负责,有义务通知其他人停止利用并删除。三是赋予审查、拒绝权。信息主体有权审查运营主体的适格性,仅向合法运营主体提供个人信息,对超范围收集信息,有权提出异议或拒绝提供。四是赋予救济权。当信息主体发现信息被滥用或泄露,有依法寻求行政、民事乃至刑事救济的权利。
新京报记者 侯润芳 编辑 王进雨 校对 李项玲