大数据时代个人信息保护行业自律的困境与出路

时尚女性网 2019-04-15



作者 | 张继红

来源 | 财经法学(caijingfaxue)

分享 | 黑客黄药师(ID:lawyer8)


【摘 要】随着信息产业的迅猛发展,行业自律作为个人信息保护的方式之一愈来愈受到关注。早在20世纪90年代,美国政府就鼓励以自律规范保护个人隐私。


然而,实践表明自律管理机制本身存在参与度低、执行力差、缺乏有效的监督与处罚机制等问题。面对大数据、云计算等新兴技术带来的冲击,自律机制仅仅是个人信息保护的必要条件而非充分条件,政府适度介入与行业自律的有机结合才是破解当前困局的有效路径。


欧盟《一般数据保护条例》即采用了行业主导、政府适度干预的理念,政府在宏观层面调控和制定个人信息保护的基本框架及原则,而市场则从微观层面发挥自我管理之基础功能。


我国目前个人信息保护领域的行业自律管理尚处于初创阶段,理应在立法先行基础上进一步扩展行业协会发挥自律作用的空间。


01

行业自律的利弊之争



行业自律作为一种有效的市场治理手段,对于约束市场不良主体行为、维护市场正常运营秩序上有着独有的调控空间,被视为一种补充政府监管的治理路径。


行业协会作为自律组织进行自我管理拥有十分悠久的历史,在很多领域的应用极为普遍。自律规范比法律规定更能建立“内生机制”,有效降低国家管制成本,对于个人信息安全的维护更具专业性、针对性和可操作性。


特别是自律规范更能灵活应对法律制度匮乏带来的新兴技术冲击和挑战,提供指导来达到早期矫正的效果。自律规范在个人信息保护方面较之法律规范具体有如下优点:


(一)行业自律具有更强的制度弹性


自律规范作为行业自律的主要依据具有弹性特点,能够及时掌握大数据时代背景下企业及其他第三方信息情况。自律规范对不同行业有不同的信息收集和处理,具有针对性和科学性。


更为重要的是,自律规范能够及时跟进市场创新制度。而且,自律管理有更加灵活的结构来适应新技术带来的变化,规则设定能够及时根据实际需要进行调整和完善。


(二)行业自律成本更低


自律规范相较于法律规范,其立法和执法成本更低。传统立法过程的冗长和单向性以及政府规范相较于技术发展进步的滞后性使法律管理规范在某种程度上并不具有实际应用价值,同时会增加企业经营成本。


自律管理可以创设信息保护标准,同时避免立法的弊端,大大节约了企业合规成本。企业对经营规则的熟悉更有利于构建有效的信息保护标准,行业协会比政府更接近市场,节约了信息收集成本。


自律规范是行业经营者利益博弈和妥协的结果,因此行业经营者基于共同利益更容易接受自律规范的规则,从而使其在执行过程中更容易发挥作用。


从公共政策角度看,行业自律比政府监管更加迅速、有效地利用积累的判断力和经验解决政府较难处理的问题。


(三)行业自律更能培育成员的诚信意识


外部的政府监督的法律手段具有事后性、高成本和过于刚性等问题。反之,行业协会采用集体惩戒的方式,如设立行业内诚信系统并允许其他成员企业和消费者查询,增进了会员企业之间的信任,促进信誉机制形成。


此外,行业自律对于本领域的市场增长、降低替代威胁和生产成本,促进行业内合作实现、增进消费者福祉等方面都有着积极意义。但从理论上来说,行业自律能否起到应有的管理效果尚存争议。反对者呼吁政府管理而非行业自律,认为其主要缺点可以归结为规制不足、掺杂私利、缺乏透明度等。


第一,从规则制定程序上看,行业自律规则不如法律严谨、规范,缺乏应有的透明度,无法提升消费者对行业自律规范的认同,难以有效保护公共利益。


第二,行业自律缺乏监督和执行,更缺少有利的救济手段。换言之,有些情况下,行业自律非但不能保护个人的信息,还会助长企业更肆无忌惮地收集、使用和转移数据。


行业自律管理的利弊之争仍在继续,孰是孰非还需要深入个人信息保护实践进行具体分析。




02

行业自律的考察实践:

以美国网络隐私保护为例



与欧盟采用综合性立法保护个人数据不同,美国采用行业自律模式保护私领域的个人隐私。在美国,民间机构的行业规则、公司内部规章等构成个人信息保护的规范之一。


1997年,克林顿政府公布的《全球电子商务框架》指出联邦政府应当鼓励行业自律。美国联邦委员会也指出应发挥市场的主导、能动作用。


网络隐私工作组(The Internet Privacy Working Group, IPWG)也认为企业行业自律能够有效建立隐私保护政策,如网络内容选择平台(the Platform for Internet Content Selection, PICS)的引入能够大大增强用户的隐私保护。


(一)行业自律规范

1988年,在政府号召行业自律的背景下,“在线隐私联盟”(the Online Privacy Alliance, OPA)成立并制定了《在线隐私权政策指南》(Guideline for Online Privacy Policies),要求OPA成员制定“隐私政策”,采取必要措施确保信息安全和具有可信赖性。


但是其措施实施的强制性遭到隐私专家Bob Gellman的批评。


同时,因为OPA参与程度较低,自律管理方法存在很大缺陷从而发展到最后不复存在并支持线上隐私立法。美国联邦贸易委员会也开始转而呼吁立法保护商业网站个人隐私。


行业自律模式另一个典型案例就是随后建立的美国网络广告促进会(the Network Advertising Initiative, NAI).NAI专注于网络广告行业,制定了《网络广告者的线上市场营销自律原则》(Self-Regulatory Principles for Online Preference Marketing by Network Advertisers).


该《自律原则》表面上满足了“公平信息实践惯例”的要求,但是其隐私政策使网络用户通常无法阅读或不能理解其中涵义,并未真正实现保护用户隐私的效果。加之,《自律原则》并未贯彻其监督实施的措施。


(二)网络隐私认证


网络隐私认证以美国TRUSTe以及BBBonline最为典型。TRUSTe是美国第一家民间网络隐私认证机构,主要职责在于监督会员采取的隐私保护措施并对会员网站进行隐私政策评估和审查。


美国商业促进局(the Better Business Bureau,BBB)于1999年3月发起成立“BBB线上隐私计划”(BBB Online Privacy Program)。


该计划要求企业必须告知消费者信息的收集和披露情况,专门设立了消费者纠纷解决机制。


网络隐私认证也存在同样的困境。一是加入企业并不多,二是网络隐私认证的客观性受到严重质疑。


应该说,面对收集、使用和销售个人信息所带来的巨大利润,完全依赖行业自律实施个人信息保护存在较大的风险。多年的实证经验和教训显示,只有自律机制与个人信息保护法制协同,特别是与政府监管执法密切配合,才能实现个人信息保护的最佳实践。




03

个人信息的有效保护:

政府适度监管与行业自律的有机结合



随着互联网、大数据的迅猛发展,强调政府适度监管下的自律管理成为新形势下个人信息保护制度发展的一大趋势,其中以欧盟的做法最为典型。


(一)欧盟《个人数据保护指令》及成员国法


1995年欧盟《个人数据保护指令》(《欧盟指令》)第五章专门规定了“行为守则”。


根据《欧盟指令》的第27(1)条和第27(2)条规定,各成员国都在其国内法中作出了相应规定,并要求将各行业指定的行为守则提交监管机构进行审核,以检验其内容是否与国内数据保护规则相一致。


然而,《欧盟指令》第27条对于“行为守则”的规定较为模糊,成员国国内法对其解释及适用仍存在一定的差异性。根据成员国给予各个行业制定行为守则的自由度和效力不同,又可以将其分为三种类型。


第一类,行业主导。此类型的国内法赋予行业在制定行为守则方面之完全的自由裁量权,突出了本行业数据控制者和数据主体的利益,相比之下监管机构的作用和影响较弱。


需要注意的是,此类型中国内数据保护法并不积极推动行业必须制定相应守则。如果制定行为守则,监管机构必须审查其是否与国内法相一致并给出审查意见。同时,法院有权对监管机构的意见进行司法审查。


第二类,共同协商。此类型国家的国内法要求监管当局鼓励各行业制定行为准则,制定过程应与监管者进行协商。


通常情况下,此类型的成员国法允许行为守则上升为有约束力的法律规则。而且,监管机构会强烈建议行业制定数据保护标准更高的行为守则。


第三类,政府主导。此类型成员国监管机构会推动行业制定行为守则,如果协会不制定,则由监管机构来制定并施行于某一行业。


监管机构应决定是否批准该守则而不是仅仅发表相应的意见。上述规定增加了监管机构的审核、评估义务,获得批准的行为守则的约束力也较强。


(二)《一般数据保护条例》(GDPR)的最新发展


GDPR很大程度上克服了《欧盟指令》存在的缺陷,在欧盟成员国创设了相同水准的数据保护标准,且一旦生效,其约束力立即构成成员国国内法律体系的一部分。


其第四章第5部分专门规定了“行为守则和认证”。包括行业协会在权力分配上的明确规定,涉及其他成员国的数据处理活动,对行为守则施行情况的监督的规定等。在行为守则的制定上,GDPR更倾向于行业主导、监管机构适度干预的理念。


GDPR另一个突出贡献就是正式引入原来完全处于自发状态的数据标识和认证制度。包括其第42条规定的数据保护认证机制与数据印章、标识制度的程序,第43条规定的认证机构的具体要求等。


虽然认证制度在一定程度上存在着运营成本,在认证机构的建立以及委托授权、企业认证标识的取得、机构对企业认证标识条件的评估等方面均有相应的人力、物力以及技术投入。


但是这种认证和标识制度充分调动了市场监督力量,大大节约了监管机构的外部监督成本,取得认证标识的企业,尤其是小微企业因此而大大增加客户的认同度。


而那些没有取得认证或者认证失效或被撤销的企业,消费者可以选择用脚投票,由此形成源自市场的有效监督,督促作为数据控制者或处理者的企业提升自身的数据保护水平。



04

我国个人信息保护的自律管理现状及模式选择



我国目前尚无个人信息保护的专门法律,主要采用部门立法的方式分领域来保护个人信息,行业自律管理也仅处于初创阶段。


互联网领域,中国互联网协会发布的《中国互联网行业自律公约》(2004)、《博客服务自律公约》(2007)等并未涉及个人信息保护。


金融领域中的中国证券业协会、中国保险业协会以及中国银行业协会公布的自律公约及其他自律规则并未发现个人信息保护的具体规范和措施。


中国互联网金融协会发布的《中国互联网金融协会会员自律公约》第7条明确了互联网金融企业会员“应当保证客户信息安全”。


从上述行业协会的自律规则来看,我国行业自律规范实施个人信息保护的总体水平较低,与欧美等国相比明显滞后。


总体而言,我国各领域行业自律组织并未根本改变其受来自政府、行政监管当局管控的本质,独立性被严重弱化,一定程度上降低了行业协会在本领域内的公信力。


因此,如何划分自律管理与政府监管之权力边界直接决定着自律组织的生存环境和发展空间。行业协会建立以后,政府可以对其自律活动进行指导,但不能过度干预,要处理好政府与协会之间的关系。


现阶段政府考虑如何放权于市场将是改变行业协会“公权化”问题的关键。一方面,各领域的行业协会根据实际情况制定相应信息保护指引,切实发挥自律管理实效,


另一方面政府监管机构通过从外部对行业进行奖惩激励来履行监督职责,确保其威慑力,以强制性矫正行业协会不自律或自律不足的行为。



05

结尾



在技术创新不断的信息领域,政府监管具有一定的刚性和滞后性,行业自律亦具有“私利性”的问题。来自欧美的经验教训表明,政府监管与行业自律只有相互促进、互为补充才能发挥更大作用。


我国的自治精神严重缺位,个人信息保护法律基础十分薄弱,而且企业和个人的信息保护意识欠缺。有鉴于此,现阶段还需从立法层面强化对个人信息的保护。


以成文法为基础,鼓励各行业协会积极参与个人信息保护行为规范的制定和执行,辅之以政府指导,逐步提升个人信息保护的时效性。


    长按二维码关注

    @黑客黄药师

简介:周晓明,北京大成(广州)律师事务所合伙人,法学博士,执业领域:竞争与反垄断、网络与知识产权、公司及并购、争议解决、刑事诉讼。