首页 科技伟德娱乐 网络

《互联网企业个人信息保护测评标准》发布实录

jd01 北京大学法学院教授、北京大学互联网法律中心主任张平 【TechWeb报道】3月15日消息,由中国科学技术法学会、北京大学互联网法律中心主办的“《互联网企业个人信息保护测评标准》发布会”在北大博雅国际酒店举行,会上发布了我国互联网领域首部由独立第三方学术机构倡议的个人信息保护测评行业标准——《互联网企业个人信息保护测评标准》(以下简称《标准》)。发布会上,北京大学法学院教授、北京大学互联网法律中心主任张平详细阐述了《标准》的内容。 以下为《标准》发布实录: 下面由我讲一下测评标准发布的背景。互联网和大数据时代的个人信息保护已经被提到了受到广泛重视的高度。在这其中有两个维度,第一个维度是从互联网的角度来看,拥有个人信息已经成为了除资本和技术以外的重要资源。互联网企业拥有的数据和信息更多,它就有能力更为灵活地拓展商业模式。以前有一句话叫“内容为王”,今天是数据为王,拥有更多数据的企业将成为未来互联网企业的引领者。大数据或者说个人信息已经和知识产权一样可以成为企业获得市场的利器,同时另一个方面也可能早就市场进入的壁垒,知识产权走过了二十多年的历史,大家已经深有体会:国内遇到什么问题、走出国门遇到什么问题、其他国家进入中国市场的时候遇到什么问题、我们进入别的国家市场的时候遇到的问题都是矛与盾的问题,知识产权跟企业的战略、策略,包括国家发展战略都挂上钩了,是非常灵活的一件事,今天我们在研究互联网法的过程当中发现个人数据的保护或者隐私政策的问题就如同知识产权,将会变得非常热点和令人瞩目。 第二个维度是从消费者角度考虑,这一领域也正受到空前重视。今天我们不断地收到各类信息的侵扰,不胜其烦,每个人以前可能还对所谓的隐私不太重视,问问你今天吃没吃饭,身高多少,体重多少,家住在哪里,电话号码可不可以给我,那时候我们还没有那么强烈的反感意识,中国人多年来的生活习惯造就了我们对个人隐私保护的漠视。但今天互联网的发展每个人手持多机,手持多卡,就导致个人信息和个人数据无法控制。从个人角度来说自身的个人信息开始得到高度重视、注重个人信息的保护。国外,欧洲对个人信息的保护水平很高,而美国则相对宽松,但即使是宽松也还有一个基本的保护基础,比如说我们站在别人旁边必须保持1米的距离,因为我们拥有个人安宁权或者隐私权,或者称为不被打扰和骚扰的权利。今天,从个人消费者的角度来讲个人信息,也存在一种不应该被无限的倒卖和传播的意义。 2013年的棱镜门事件使得斯诺登一夜之间成为了世界知名的人物,这个事件带来的问题就是数据和信息的保护问题、个人隐私的保护问题,这里列出来的事件每个大公司都遇到过,特别是最近报道出来的快递公司把快递单的信息最高四毛钱一张倒卖,我们在享受互联网或者网络世界便利的同时真的很担忧,我经常会说在微博或者微信上宁愿做潜水者也不愿意做真实身份的人参与活动,一旦你的信息张贴上前去后将无法控制,我的包里放着一本书叫做《删除》,其中就提到你的数据想在互联网中删除掉非常难,有些数据可能是你不想放上去的、是负面的,但想删除很难。而且另一方面,你的信息其实也是在更新的,比如说某一个年轻人目前是学生,某天突然成为老板,你不希望你的简历还是那样,但是你的数据想删除很难。我现在开会,别人介绍我的时候都是他在网上找的简历,不知道是哪一年的,所以删除权也是现在很多人重视的,个人信息权没有法定的概念。但是有学者提出个人信息权、甚至删除权也是互联网用户的权利,就是由于大家都觉得自己不太安全了。 出现这个问题主要是因为企业在经营过程中有技术上的限制,有些东西他自己无法控制,有些是安全的漏洞、还有一些是主观的问题。有些人主观就是要盈利和牟利,拿着个人信息赚钱,本来企业就是做搜索或者电邮服务的,你搜索别人的数据就只能用于这种商业模式,但是他可能是过度搜索你的信息,比如他要了你的姓名和电话就可以了,还要搜集到你的身份证和家庭地址、有效的通讯地址、甚至还要你的关联人,比如找不到你的时候可以找到谁。比如我昨天去某一个机关,他说一定要我留一个电话号码,我说你留我电话号码干吗,我已经给你登记就可以了,实际很多企业是主动愿意多收集信息;还有一些人会把这些收集来的信息公开,有些人会故意披露你的电话号码给不好的机构,你就会受到骚扰,还有一些人会把你的照片和发表的言论上到网上,还有其他侵犯人格权的,比如最早的大学生之间有些交往,好的时候非常好,不好的时候就把信息披露到网上,现在这类案件越来越多。 早期个人信息的范围比较狭义,主要是在隐私方面,自己不愿意披露的信息叫隐私权,但今天我们看到的隐私权已经扩大了或者说隐私已经是非常窄的范围了,比如今天的身份证号码、电话号码并不是什么隐私,不是说我不愿意披露,而是这类个人信息披露出去以后我有控制它的权利,所以今天大数据时代谈的是广义的隐私权的保护,也就是个人信息权的层面。今年我指导的硕士论文中就有谈及个人信息权,从隐私权和人格权开始论述,最后他认为个人信息权是不是可以提到一个高度上,即个人信息权里面有人格权和财产权,像知识产权一样是双重的权利,在民法上基本的权利有人格权、物权、债权、知识产权,是并列的。知识产权里面包含了人格权和财产权,我们提出个人信息权的时候把它归到什么样的民事权利里面去,学者对该问题是有争议的,但是实践当中已经有迫切的需求,今天的测评标准忽略了学术的研究。 从隐私保护到个人信息保护,我们有不同的视角,从法律角度早期更多的是考虑到个人资料不被窥视、侵扰、干扰、非法收集和利用;从管理学上来讲更多的是个人信息保护和控制,个人要具备控制个人信息的权利;从社会学的角度来讲用户有隐藏个人信息以及控制个人信息不被他人分享的权利,这是从整个社会公共利益和大的秩序角度考虑的。个人信息保护从微观层面来讲是个体的问题,有诸多的人大代表都已经提出个人信息保护的立法需求,有人提出要建立信息保护的专门法,也有人说不在专门法下面就应该有专门的机构,比如消费者权益保护协会、民间机构和社团应当承担社会的责任,制定一些规范。还有一些代表也提出来“个人信息保护法”或者是“个人信息安全保护法”,当然这些只是提案,距离到立法规划还有一段时日,不过今天我们做测评标准就是想往这个方向迈出一步。 看看国外的情况,国外的个人信息保护已经有很多的法律依据,首先是国际公约层面对于个人信息的保护大部分都集中在人权公约上,这里有五个人权公约,条文中都把个人信息放在很高的位置。人权公约更多的是从人权角度,而从商业角度,如APEC等组织在电子商务与个人信息保护方面也非常重视,电子商务指导小组里就有跨境隐私规则体系,电子商务经营当中如果不把跨境的隐私问题解决,或者不承认该规则就无法加入APEC等经济合作组织;除了有隐私规则体系以外还有隐私的执行合作安排小组,以及执法的机构,就跟WTO一样,成员国必须要承诺一些基本的规则,如果不承诺的话还有争议解决机制的制约,所以APEC体制下对隐私的问题的规范既有立法层面的,也有执法层面的。美国和欧盟对个人信息的保护非常重视,都有专门法。展示的图表中左边是欧盟,1981年就有《有关个人数据自动化处理之个人保护条约》;而美国从1974年就有《联邦隐私法》;在1998年互联网普及后,美国颁布了《儿童在线隐私权保护法》,之后又有《金融服务现代化法》,该法案中也提到个人数据的保护,2013年专门有《消费者隐私权法》。中国互联网的发展和全球基本是同步的,未来在消费者权益保护方面隐私的问题一定会提到更加重要的高度。 从美国和欧盟隐私保护两大体系观察一下其间有哪些相同点和不同点,从欧盟来看有一个通知原则,即当企业使用用户的信息的时候必须要通知用户,用户同意时企业才可以用,而不是企业告知就可以;如果数据处理存在特定目的,那么数据的质量应得到保证,不能让用户的数据轻易被他人篡改和歪曲,同时还有数据的安全;此外还有接触权,即用户本人可以接触到其数据,以及他人接触该数据应遵守怎样的规则;另外还有跨境原则,即把用户的数据跨境转移到国外,被外国公司分享适用的是怎样的规定。总体而言,欧盟的规定比较严格。美国的法律中不存在通知和同意等术语,而是规定了个人控制原则,只要个人能控制就可以,其中存在透明度的概念,所谓的透明度就是企业给用户公开了、告知用户了,只要有个政策发到网上去就是透明了,并不一定用户要同意;还有情景一致原则,企业使用用户的数据要做的事情和企业的目的要一致;另外还有一个安全原则,即企业要保证用户的数据是安全的;还有一个接入权和准确性原则,这跟欧盟比较接近,还有收集控制原则,还有一个问责制原则,即即使企业是公开和透明,万一真的侵犯了用户的权利怎么办,应当在法律中设置问责制度,用户可以投诉、举报甚至起诉,当然是事后承担责任。从美国和欧盟来看,美国比较宽松,不要求事先通知,用户同意以后企业才可以用,这就导致了两个地区在进行电子商务交易的过程当中出现差异,所以两个国家和地区才会签订数据传输协议。从历史和文化政治上的角度来看这两个国家和地区为什么是不一样的,因为美国是更加遵循自由竞争和市场主导地位的国家。 国外互联网公司针对个人信息的保护实践已有长期的发展,如亚马逊、雅虎、Face book、Google、Twitter,我们观察这些大公司的隐私政策发现他们有一个相同点,充分认可隐私保护的重要性,如果你不把隐私保护好就没有你的贸易,就没有市场。各大型互联网公司都参加了欧盟与美国的安全港项目——数据传输协议,一旦有涉嫌侵犯他人的隐私权也有例外和责任的规定。企业的隐私政策是固定的,会进行不定期的调整,但调整过程中很少有用户的参与,消费者自己可能也不知道,只是企业一厢发布,相当于格式合同和协议。但由于其所处国家的法律约束,这些互联网企业对于儿童隐私保护都比较重视。 而反观中国的情况,中国在较长时间内都缺少专门立法,隐私权的概念在法律上都没有提到,民法里只提到对隐私要给予保护,没有上升到一种权利。现在《消费者权益保护法》提到了个人数据或者个人信息的保护,也没有提到个人信息权,没有上升到权的层面,在2012年12月28号全国人大发的决定里已经明确了个人信息应该纳入到保护的范围里面,包括有些具体的概念,还有主体,责任主体,实名注册,公民权利等一系列的问题。工信部2013年7月16号发布的规章也强调了对于个人信息的保护,这两份文件是目前个人信息保护的国内的主要法律依据,今天实施的《消费者权益保护法》当中也正式确立了对于个人信息权益的保护。 这些法律出台之后要操作执行起来还有一段路程,因为没有下位法或者具体操作的法律法规和政策,这些法律依据国际惯例和各大公司自己发布的隐私政策,我们考虑研究发布一个民间的测评标准,中国科技法学会在科技法的领域在国内是专门的学会,科技法学会近年来特别关注像互联网企业、生物医药、高新技术产业里重要的法律问题,北京大学法学院的互联网法律中心多年来一直在研究互联网法律问题,所以我们就想在这个领域先行一步,从民间开始做起,做个人信息保护参考的标准,从我个人角度来讲做任何一件事有法律法规最低的要求,就跟中国加入WTO一样,要有最低的承诺,有个最低保护要求,在这个承诺之上如果我要做的更好,保护水平就更高,我们的测评标准就是想可以通过这个标准评价一些企业,你是刚好及格还是打80分,还是优秀,还是做的更好,做的更好可能成本会很高,企业付出很多,可能盈利会受到损失,但是你可能会受到更多消费者的信赖,更有可持续发展的能力,如果刚刚及格或者打个擦边球,可能没有违法,甚至消费者投诉都无门,只能哑巴吃黄连,但是你会失掉很多市场,失掉消费者的信赖,如果你不及格压根儿就不能进入这个市场,比如Google眼镜,技术很成熟,但是迟迟不能在美国大面积推广就是因为它的隐私政策没有过关,不知道戴上这个眼镜随时随地看见了什么就上到了互联网上,在美国不能允许任何一个人毫无遮拦的被别人窥视到,如果还有更高新的技术产生出来,即使技术是没有问题的、商业模式也没有问题,但是能不能上到市场上还存在法律的门槛和标准。 这个标准的宗旨、目的和价值不再展开讨论。我们做了一个尝试,用这份标准评价了一个网络公司,是全球最大的数据公司,我还跟这个公司沟通了一下,想看看他是否认可我们的评价,也是限于隐私和公司信息的保护,我把网站真实的名字去掉了,看看我们是怎么评的,让大家有个感性的认识。有诸多的指标,测评指标有透明度、用户控制、安全责任,这是最基本的,下一层的指标有同意知情、目的限制,同意知情都采取了什么措施、目的限制有哪些规定、用户自己可以控制的手段有哪些、还有安全责任的规定,我们都按照这些指标和详细列出。这个网站是全球最大的数据公司,几乎美国几大网络公司都是它的客户,Google、Twitter数据都是它分析的,这个公司在我们心目当中可能不太知名,但它是所有大公司后台数据的集大成者,它的网站上相当的篇幅讲的都是隐私政策,怎么用这个数据。比如说告知收集个人信息的类别,是不是告知了,这个网站没有明确规定,我们就认为它的指数是0。是否告知收集个人信息的方法,怎么收集我的信息,是在我不知道的情况下一点击就收集过来了吗?我说今天要去澳大利亚旅游,你一下子就知道我的喜好是去澳大利亚,接着铺天盖地的关于澳大利亚的旅游广告就发到我的邮箱里,你要告知我是怎么收集到这些信息的,在这个领域我们评价了,它告诉的很清楚,所以评了三颗星,还有得两颗星的。 那天我跟他们法务总裁沟通的时候,他说他特别关注我什么东西没有给他评星,比如说仅收集提供网络服务所必要的个人信息,你是干什么的,仅提供你的目的,你是这样做了吗,他没有说,这个网站可能会扩大收集或者过度收集,我们评的没有星,我问他是不是这样,他说是这样,用这个例子检测一下我们做的还是相对客观和准确的,当然今天刚刚迈出一小步,还有很多要完善和成熟的工作要做,不是说今天就做的非常完美,至少我们做的比较靠谱。他也有非常好的,还有两颗星的,比如收集个人信息手段是否正当,用什么东西读出的,这方面他们做的很好。用户可删除其个人信息,可注销其帐号,可以吗?不可以,这个做的不好,一旦数据上去了是删不掉的,大数据里讲的第一个故事就是这样,一位在英国读书的女博士,她在读书期间把自己拿着可乐像喝醉酒的样子的一张照片放到网上作为头像,当她博士毕业以后到大学应聘当老师,就在评委中有一个人上网搜了她一下,搜到这样一张照片说这样的人不宜为人师表,就没有给她投票,她就没有当上老师,写书的人说她请求很多网络公司删掉这张照片,但是永远删不掉,那天我问网站公司我请求你把我的数据删除你可以删除吗,他说我们不能删除,如果有侵权的事情怎么办,比如像知识产权侵权,通知删除,你来通知我,我认为构成侵权我删除。但是第二秒就有人上去,再通知再删除,我就在想如果你们认为这真是侵权,很多公司会说你要过滤吗,要把关键词屏蔽掉吗,要把侵权的作品直接屏蔽掉以后谁也上不去了吗,这个网站公司告诉我说我们做不到这一点,只能在你通知我删除的时候才删除,甚至你要修改信息我还得考虑你修改成什么样,要拿出特别真实可信的我才能给你改,你说你今年18岁,明年长到19岁的时候我可以把年龄改了,但是你要我改其他信息不可以,未来消费者删除权要考虑,个人信息保护里的测评标准要定多高也是一个考虑的问题。    一颗星代表基本符合法律规定的义务,两颗星代表完全符合法律规定的义务,三颗星代表超出法律规定的义务是优秀,以后要想完善它还可以再考虑其他的测评,我们更多考虑到的是要有自律的社会效果,一旦发布,互联网公司会很自觉的说我们大概有一个参照物了,按照这样的参照标准有自律的规则修订我们的隐私政策,同时我们的测评标准也希望有互律的社会效果,互联网公司可以互相比照谁家做的更好,是不是值得参考,我们的测评标准也是他律,我们把国家的法律最基本的依据摆在这里,你必须得遵守,如果不遵守法律可能会触及到法律的底线。 我有一个深刻的体会,中国法律界或者社会科学的研究都是跟着别人走的,比如我们参加国际公约很少有自己主导的,在国际上借鉴一些东西,比如判例和立法都是借鉴其他国家的,特别是在技术领域,技术标准我们很少有自己主宰的,都是参照别人做的,我接触了很多国外社会科学的教授,他们都有技术和工程师的想法,什么事情都要做到最高,要能够制定发布规则、发布标准,十五年前我研究技术标准问题的时候就在想中国有一天每个人做事情的时候思维都是让别人跟着我走,我要站在制定规则和标准的高度上。我当年做版权制度协议,在互联网中解决授权困难的时候我们就想发布制度协议,就想我们有一个规则,但是在我们之前人家已经有了CC的许可,美国哈佛大学的一位教授研究版权,之后他自己发了标准,全球的人都跟着他走了CC创作共享的许可,我们研究了半天怎么能把社会科学的研究成果变成可操作性的东西,让社会上需要用的人可以用得上,比如作为法学教授写了无数篇的论文,最多也只能是让学生们写论文作为参照引注,作用太有限了,教授就应该把研究的东西拿到社会上给大家作为参考,你愿意用可以用,不用可以给我提建议我改善,我们做测评标准包括以前的很多研究都有这样的目的,希望在社会科学研究当中我们能够有可操作性的东西。 下面进入到今天的关键环节,互联网企业个人信息保护测评标准发布的仪式,下面有请三位重要的嘉宾,段会长、张院长和陈主任上台,一起见证标准的发布。  
广告 aliyun

观点90后成最后一代PC互联网原住民

90后成最后一代PC互联网原住民 90后成最后一代PC互联网原住民 不久前,谷歌公司宣布其搜索引擎将全面过渡到移动优先的网页索引模式,未来只根据手机版网站...[详细]

比拼

官方微博/微信

每日头条、业界伟德娱乐、热点伟德娱乐、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、伟德娱乐一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。
↑扫描二维码
想在手机上看科技伟德娱乐和科技八卦吗?想第一时间看独家爆料和深度报道吗?请关注TechWeb官方微信公众帐号:1.用手机扫左侧二维码;2.在添加朋友里,搜索关注TechWeb。