加快专门立法明确数据权属压实企业责任
“日常生活中,我们填个快递单、买个母婴用品、晒个朋友圈、玩个智能手机等,都会引发通讯录、消费行为、生物特征等个人信息的泄露,甚至被违规买卖。据调查,85%受访者因个人信息泄露而被‘精准’骚扰。”张英委员说。
陈晓红委员说,随着移动互联网的发展,个人信息泄露的途径也在发生变化,“比如,一个简单的App,就要开通用户20多项权限,几乎‘掌控’了用户的手机”。
谈剑锋委员建议,尽快制定相关的法律法规,从采集、传输、存储、使用等方面严格设定,并加强监管。
如何在大数据时代科学有效保护个人信息安全,成为委员们关注的话题。
1月10日,全国政协在京召开网络议政远程协商会,围绕“加强大数据时代个人信息保护”协商议政。14位委员与专家在全国政协机关和辽宁、安徽、湖南、贵州5个会场以及通过手机连线方式发言。
一些委员建议,通过加快出台专门的个人信息保护法律、压实企业主体责任、加强部门间信息共享、实施分级分类保护等方式,在大数据时代科学有效保护个人信息安全。
明晰数据产权归属
陈晓红直言,加强个人信息保护非常重要,已经到了非抓不可的时刻。
“非常重要,是因为这关乎到个人和企业的合法权益,关系到国家的安全,也是为全世界互联网治理探索新路。非抓不可,是因为相关的犯罪活动呈明显增长趋势,因个人信息泄露造成政治风险的可能性也在上升。”陈晓红说。
一些委员建议,要加快出台专门的个人信息保护法律,明确个人信息概念、适用对象和权属,明确采集、处理、使用个人信息的程序、规则和相关责任。
“数据到底属于客户自己,还是属于数据采集的平台?”赖明勇委员建议,尽快对个人信息保护进行立法,明晰数据产权归属,依法赋予主体权利。
张英认为,网络安全法等法律的条文分散、规定原则,在个人信息的范围、数据、处罚机制等关键问题上,有待进一步明确,建议尽快出台个人信息保护法,并制定相关配套的有操作性的实施细则和国家标准,解决长期存在的难点和瓶颈问题。
压实企业主体责任
一些委员提出,要压实企业主体责任,引导企业建立健全内部管控机制,克服重发展轻安全的倾向。
童国华委员说,当前,大部分大数据经营企业并没有对个人信息保护建立严格的内控机制。“对信息泄露处罚过轻,使企业对内控机制缺失、对个人信息保护不力存在侥幸心理。建议监管部门要健全、创新监管模式,切实压实企业的主体责任”。
赖明勇建议,明确数据使用主体责任,建立事后追责机制。严格个人信息数据使用违法惩戒机制,加大对个人信息保护相关违法行为的查处和处罚力度,强调个人信息处理、利用引发不合理风险的事后规制,彰显法律强大威慑力。构建个人信息数据“使用者责任”指标,加强个人信息数据使用过程的动态风险控制。
朱山委员提出,鉴于个人信息侵权“轻微”且“分散”的基本特征,应当加强主动监管力度,建立常态化的信息报告、抽查、普查以及针对大型互联网企业的重点调查制度,及时核查信息采集、保存、使用等行为的合规性。
加强数据统筹管理
一些委员建议,加强部门间信息共享和统筹协调,建立统一的个人信息保护监管平台,避免多头执法和重复执法。
王小川委员说,应当加强部际之间、部内各机构之间监管行动的协调性和评估标准的一致性,尽量避免出现不同部委或部委的不同司局重复监管以及适用标准不一的情况。
景亚萍委员说,缺乏数据统筹管理部门,不利于个人信息的保护。对此,建议国家层面明确数据的统筹管理部门,将数据牢牢掌握在政府手里面。加快统一数据标准,将数据“后治理”变为“前治理”;明确部门采集边界,把个人信息保护贯穿于政务信息化建设全过程,避免“多头采集”“重复采集”。
王悦群委员建议,完善行政治理和惩罚体系。健全行政监管机制,打防结合,形成共建共享共治。探索行政治理优先,节省侵权司法救济维权成本。
“比如,多部门联合开展的App违法违规收集使用个人信息行为专项活动,建议工信部牵头建立专门第三方检测平台,联合金融、互联网、电信等行业,发挥综合优势,通过审查、通报、公告、处罚和纳入黑名单等手段形成社会保护整体效应。”王悦群说。
实施分级分类保护
一些委员建议,要实施分级分类保护,建立个人信息利用清单,强化对数据爬取等技术应用和“人肉搜索”等行为的监管。
吴杰庄委员说,为规范数据的分类保护,应当根据敏感性程度的不同,对个人信息实施分级分类保护,鼓励对非敏感数据在保障安全情况下的合理使用,降低授权同意成本,建立个人信息利用类型清单,未经授权不得利用基因、生物识别信息等个人信息。
崔仑委员认为,在信息化时代,很多诊疗行为与各种信息系统密切相关。由于各种因素,信息容易被泄露,对现有的存储或安全防范措施提出挑战。
“应当完善纵深防御信息系统,强化医疗信息数据隐私保护。针对信息的传输和存储部署行之有效的网络隔离措施,对系统不同的接入用户在权限上进行严格的分级分类,改进安全感知、安全处置和安全审计等方面的数据防护能力,加强对第三方安全运维单位的监管。完善医疗设备、商业化软件以及运维服务商的安全审查机制。”崔仑说。(记者 蒲晓磊)