中國首部在國家層面制定的《個人信息保護法》預計將在本周通過,這部法案的部分條款效仿了歐盟幾年前通過的類似條例,但存在重要差異。在中國,個人信息泄露早已成為常態,那麼這樣的一部法律究竟能解決多大的問題呢?
規範企業行為是立法重點
中國《個人信息保護法》草案周二提交全國人大常委會進行第三次審議,預計將於本周通過。官媒《人民法院報》指出,與幾個月前提交的二次審議稿相比,最新版本作了六處主要修改,涉及未成年人信息保護、個人信息可攜帶權等內容,對應用程式過度收集個人信息、「大數據殺熟」、算法自動推送等公眾關注的焦點作了回應。
值得注意的是,三次審議稿對各類應用程式中隨處可見的自動化決策作出如下定義:通過程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等,並進行決策的活動。審議稿要求相關應用的自動化決策應在充分告知的前提下取得個人同意,不得對個人在交易價格等方面實行差別待遇。
近一年來,中國政府顯著加強了對互聯網企業的監管,而數據保護是其工作重點之一。今年六月,中國《數據安全法》正式通過,要求對「重要民生、重大公共利益等」國家核心數據實行更嚴格的管理制度。
長期關注個人私隱議題的深圳市民鄒濤說,《個人信息保護法》有助於規範科技公司的數據收集行為:「我認為這部法律的出台有利於科技公司的長遠發展,並不是在限制他們。如果任由他們這樣下去的話,事實上傷害的是老百姓對他們的信任。」
鄒濤告訴記者,他本人就深受個人信息泄露其害。由於他的手機號已經用了二十多年,他的個人信息被很多人「賣來賣去」。前兩年,他幾乎不敢開機,否則就會接到各種詐騙電話和垃圾短訊。他甚至還曾就此投訴和報警,但也沒有下文。
在中國,鄒濤的經歷非常普遍。為了引發公眾對個人信息保護的關注和討論,北京藝術家鄧玉峰曾在2018年舉辦了一場名為「34.6萬武漢公民的秘密」的展覽,展現了他此前在黑市上購買的幾十萬武漢市民的姓名、電話、住址等個人信息。開展兩天後,武漢當局就關閉了這場展覽,並告訴他因涉嫌通過非法手段收集信息,正在被調查。
2016年發佈的《中國個人信息安全和私隱保護報告》顯示,有七成的中國大陸被調查者認為,自己的個人信息泄漏嚴重。(法新社圖片)
法律管得了「老大哥」嗎?
業內普遍認為,《個人信息保護法》借鑑了歐盟2018年實施的《通用數據保護條例》(GDPR)的一些內容,但兩者間仍然存在顯著差異。比如,歐盟法規在數據跨境方面強調保護數據主體,但中方草案則包括國家安全等考慮因素。
鄒濤指出,這部法律不但應該規範企業和個人的行為,更應對行政執法素質提出更高的要求:「打鐵還需自身硬,作為政府機關,你要立法、執法、去懲罰違法的人,那麼你自己要先戴上緊箍咒。除了針對某個公司或個人,國家機關還要更嚴格地去保護公民私隱。」
記者注意到,草案規定,國家機關在處理個人信息時,「不得超出履行法定職責所必須的範圍和限度」,還要依法告知個人並取得其同意。但法律法規規定,應當保密或告知、取得同意將妨礙政府履行法定職責的除外。有輿論認為,草案未對執法部門的相關權限作出明確規定,勢必無法改善政府的「老大哥」形象。
在新疆,上千萬穆斯林看上去毫無私隱可言。中國政府在當地構建的「一體化聯合作戰平台」(IJOP)就利用與之關聯的警務手機軟件收集大量個人信息,包括身高、車牌號、是否使用翻牆軟件等等。早在2016年,新疆就開始實施全民體檢工作,有數千萬人參與其中。但維吾爾少數民族和人權組織表示,當局在這個過程中採集了DNA樣本等生物識別信息。
現居美國的人權律師滕彪表示,中國政府才是濫用個人信息的始作俑者:「中國政府對個人信息的收集和濫用都是非常普遍的,而且有愈演愈烈的趨勢,包括社會信用體系、大數據、DNA採集、人臉識別等等。」
《個人信息保護法》是中國首部涉及個人信息保護的全國性法律。過去幾年間,當局出台了一系列相關法律法規和國家標準清單,包括《電子商務法》、《網絡安全法》、《互聯網個人信息安全保護指南》等等,但都沒有對此進行系統性立法。
