业界规则 > 业界 >
企业社会责任或成个人信息保护“润滑剂”
2017-12-05 22:24 作者:方禹 来源:法治周末

方禹

“互联网+”形势下,各行各业都在谋求与互联网深度融合,产生和激发数字经济活力。在这种形势下,互联网立法既要解决传统各行业的个性问题,同时也要解决互联网管理中的共性问题,这是一个双线并进的过程。一般来说,互联网管理中典型的共性问题包括网络安全、数据管理、个人信息保护和网络平台责任等,这是每个行业融合互联网的过程中都会遇到的问题。互联网具有自身的特性,每个行业又有各自的属性,因此这些共性问题在每个行业的表现也差别很大,这给互联网管理带来挑战,具体实践中碰到很多难题。

以个人信息保护问题为例,今年61日网络安全法实施后,很多观点认为个人信息保护立法框架体系已经基本形成。网络安全法已经在“网络信息安全”一章中对个人信息保护的基本原则和主要规则进行了明确。然而实践中,仍有很多观点认为,网络安全法中的术语、条款都存在模糊空间,给执法实践、企业合规带来困难。

个人信息保护一直是互联网法治建设中的热门话题,在要不要保护个人信息的问题上,意见都很一致,但是在很多具体操作上争议很大。一直以来,各方都努力在安全与发展的宏观命题下寻找到个人信息保护的解决之道,可是始终没有找到最为行之有效的方案。

有人说,21世纪的数据如同19世纪的黄金、20世纪的石油,是这个时代的稀缺资源。数据对于互联网经济来说,具有基础性的重要作用。个人信息又是价值比较高的数据。保护与发展的矛盾,在个人信息保护问题上表现得格外突出:保护个人信息的重要性和紧迫性不用赘述,目前中国正处在数字中国建设的上升期,享受数字经济发展带来的巨大红利,避免刚性管理扼杀创新和发展也是基本的共识。众所周知,法律具有刚性,法律工具运用失当会给产业发展带来负面影响,在这种情况下,通过企业责任的实践和探索,或许可以为破解当前的困局提供一种思路。

从立法的角度看,法律规定具有普适性,因此需要一定的概括性,来适应各行各业的总体需要;从产业的角度看,这种问题的产生正是互联网的开放性、交互性和灵活性的体现。  网络安全法明确了个人信息保护的原则和规则,但是不同的网络服务提供者收集、使用个人信息的形式不同,各自行业属性也存在差别:有些网络服务提供者并不需要收集、使用用户个人信息就可以提供网络服务,比如我们使用搜索引擎,拒绝提供用户位置信息,并不影响使用搜索服务,但是如果用户需要使用地图导航服务,拒绝提供个人信息就会导致网络服务提供者无法提供相应服务。

我们选“用户同意”规则作为一个具体的例子。网络安全法规定网络运营者收集、使用用户个人信息的,要征得被收集者同意。规则十分简单,征得用户同意。然而就是用户同意这样看似简单的一件小事,操作上也大有不同。日常使用各类App时,比较常见的征得用户同意方式分为显性和隐性两种。

显性方式主要是通过用户协议、弹窗提示等方式直接征求用户的同意,并告知用户收集、使用信息的目的、方式和范围。这都是比较规范的做法,但是还有一些隐性的方式,比如默认向用户展示同意的选择,引导用户直接同意,通过唯一的“下一步”“同意”等按钮引导用户点击,以此来获取用户同意;还有一些App直接替用户勾选了“同意”选项。而通过相对隐性的方式,是否符合网络安全法征得用户同意的要求,还没有统一的执法标准。

此外,还有更为复杂的情形,比如有的地图App提示用户输入家庭、单位住址,实际上就是在收集用户个人信息(同时还是较敏感的信息),大多数用户实际上都感知不到自己的个人信息被收集了,同时在这个过程中网络服务提供者也没有征求用户的同意。

从用户同意规则的微观视角,我们能看到互联网治理的重要性,这是互联网时代的一个重要理念。互联网越来越成为现实世界的完整映射,互联网治理也逐步变成一项庞大、复杂和系统的工程,需要形成互联网思维,吸收更多的主体参与,充分发挥各方主体的积极性和主体责任,让政府、企业和用户等都能够在互联网治理中发挥作用。企业发挥责任的最优路径就是通过社会责任的履行来实现。

正如前面举的用户同意的示例,不同互联网企业对用户同意权的重视程度不同,因而在实现方法上存在差异,这背后也是企业社会责任意识的体现。相比法律规定,企业履行社会责任具有柔性和灵活性。基于对互联网的深入认识和技术优势,互联网企业更有能力去在网络安全法规定的框架下,根据自身特点和业务属性,更好地实践个人信息保护规则,给出更合理的个人信息保护解决方案。

我们现在还不能给出未来个人信息保护去往何方的准确答案,但是从世界范围来看,对个人信息保护有两种态度。一方面是以欧盟为代表的从严保护,另一方面是以美国为代表的从宽保护。两者都建立在复杂的法律体系之上,很难简单地说孰优孰劣。欧盟重视个人权利是其传统,因而更关注个人权利的实现和保障,对于信息产业发展的热情相对较低。美国的信息经济比较发达,认为通过对数据的深度挖掘,特别是个人信息这种价值很高的数据,能够产生数字经济的价值,这是美国比较看重的。

我国一方面需要深挖数字经济的发展红利,扩大互联网发展优势,另一方面又确实存在个人信息泄露的突出问题,亟需加大对公民个人合法权益的保护。这是一个两难的选择:如果保护不够,类似徐玉玉案、清华教授千万元被骗案的案例还有可能发生;如果保护过度,又会产生产业发展的弊端。

试想监管部门通过较为严厉的执法行动,来强化“用户同意权”的实现,使得网络服务提供者不得不在同意环节投入大量成本和精力,这虽然从法律层面严格保护了用户同意权,但是反过来看,对产业发展的伤害也是难以避免的。未来随着物联网、人工智能等新技术的发展和新业态的出现,收集、使用用户个人信息的行为将变得更普遍、更频繁,如何使个人信息保护立法的规定不至于变成实质上的“一纸空文”或者“一纸禁令”,需要立法与实践之间增加一点的润滑剂,相信企业社会责任的履行,就能起到这样润滑剂的作用,为互联网产业安全与发展的平衡提供一条解决思路。

(作者系中国信息通信研究院互联网法律研究中心副主任)

责任编辑:王硕
    当前1/1页   

  • 中央媒体 合作媒体 地方媒体 政法网群
    中国长安网 最高人民法院 最高人民检察院 公安部 司法部 法制网 新华网 人民网 中国网 光明网 中青网
    联系我们 诚聘英才 广告征订 本站公告 法律声明
    中 国
    互联网协会
    中国文明网
    传播文明
    工业和信息
    化部备案
    不良信息
    举报中心
    北京网络
    行业协会
    网络110
    报警服务
    无限互联网
    业自律同盟
    北京文化市
    场举报热线

    版权所有 Copyrights © 2014-2016 www.legalweekly.cn ALL RIGHTS Reserved 《法治周末》

    技术支持:川程在线   建议使用IE6以上1024*768分辨率浏览