个人信息跨境流动该如何保护
个人信息跨境流动该如何保护
2016-11-21 来源:法制日报——法制网 作者:admin制图/高岳
对话动机
第三届世界互联网大会开幕式上,国家主席习近平在视频讲话中说,“互联网发展是无国界、无边界的,利用好、发展好、治理好互联网必须深化网络空间国际合作,携手构建网络空间命运共同体”。
互联网给人们的生活带来深刻变化,跨境互联网信息服务在飞速发展的同时,也产生了个人信息的跨境流动。如何确保个人信息在跨境流动过程中的安全?《法制日报》记者就此与互联网法律专家展开了对话。
对话人
中国电子商务协会政策法律委员会副主任 阿拉木斯
亚太网络法律研究中心主任、北京师范大学教授 刘德良
互联网法律专家 赵占领
《法制日报》记者 张 昊
个人信息跨境流动场景多样
记者:随着电子商务、网络信息发布平台等网络服务的不断发展,我国网友在享受网络带来的便捷的同时,个人信息也随之“走”出国境。尤其是在大数据的背景下,个人信息也成为交易的一部分。但是,有很多人并不了解自己的个人信息在哪些情况下会跨境流动。
阿拉木斯:出现个人信息跨境流动的场景,第一个是公民出境购物,这部分比例非常高;第二个是公民在跨境的电商平台上网络购物,在这种情况下,会产生个人信息的出境、入境双向流动。
这是目前消费领域发展最快的两部分。我认为,这也是个人信息跨境流动过程中,将会问题猛增的领域。
刘德良:个人信息的跨境流动,就是个人信息从中国境内流到国外;数据的流动是在服务器之间的流动,也就是说一端的服务器在国外,数据或信息在境内外的服务器之间流动。
如果商家或网站的服务器在境外,当网友访问这些商家或网站时,就可能发生个人信息或数据的跨境流动。位于国外的服务器上还可能留下网友的访问记录,例如偏好、行为等。这种情况属于信息服务。在电子商务中,这是正常的、合理的或者说是合法的流动。这种交易或者服务的存在,不可避免地会收集个人信息数据。
还有一种情况,有的个人或企业,把储存在中国境内服务器上的数据盗窃、截取后,传输到国外的服务器上。这种数据被窃取、窥视等情况,是非正常的或者说是违法的个人信息跨境流动。
第三种可能是,一些在中国设立有子公司的国外企业,对中国客户开展业务时存储、收集中国客户的个人信息,存储在中国的服务器中,同时传输到国外母公司的服务器上,也会出现个人信息的跨境流动。
赵占领:互联网信息服务中也会出现个人信息跨境流动的场景,网友常接触的是,应用商店中的各种应用软件。再细分的话,比如电子商务、游戏网站、比特币一类的信息货币交易系统,也可能会出现个人信息的跨境流动。
除此以外,还有数据交易、数据分析活动等。在传统行业中,外贸型的电商进行跨境B2B交易,也会出现个人信息的跨境流动。
个人信息跨境风险不容忽视
记者:从目前来看,个人信息跨境流动存在一系列安全问题,比如公民个人的财产安全,甚至还包括网络安全等。
阿拉木斯:个人信息在跨境流动过程中,信息泄露带来的影响主要有两类,其中最直接的影响是,公民最重要、最敏感的个人信息一旦泄露,会给公民带来个人财产的损失;个人隐私信息的泄露,可能会导致公民的社会声望和地位下降,造成名誉上的损失。
另一类影响是,非核心的个人信息,如个人的姓名和地址、电话、网购信息等信息,这类信息带来的损失就是我们经常看到的,一些不法分子利用这些信息进行诈骗。这种影响和在国内发生个人信息泄露的影响是一样的。
刘德良:对于这个问题,从国家安全和网络安全角度讲,可划分为没有大数据之前和大数据出现之后两个阶段。
在大数据出现之前,搜集数据、加工数据的技术难度大、效率低,很多危险可能不会出现,风险比较低。
有了大数据后,搜集信息加工、信息变得容易,比如上网行为记录、购物习惯,可以通过大数据与其他的数据结合分析加工,可能给国家安全、公共利益、公共安全方面带来潜在影响和危险。这是从法理上概括分析出的,具体哪些数据存在此类风险,取决于大数据水平的高低和具体技术的运用。
赵占领:个人信息数据跨境流动的问题,主要规定在国家安全法中。另外,网络安全法中涉及到了关键信息基础设施的采购;关键信息基础设施上收集的信息,应当存储在国内;需要转移到境外的数据,需要经过相关部门安全评估内容。
在生活中,一些国外的互联网企业、手机设备厂商,在国内没有服务器,但它收集了很多国内用户的个人信息,如用户的账号信息、信用卡信息、设备使用习惯、地理位置等。有些公司直接将这些个人信息传输到境外。这些个人信息,可能不涉及国家的金融安全、经济安全或国家安全,但如果境外机构没有妥善保管这些信息,因为安全技术漏洞或者管理漏洞导致数据泄露,或把这些信息非法转移,对国内用户的个人信息安全也将造成严重影响。
信息跨境流动保护存难点
记者:在刚刚出台的网络安全法中,关键信息基础设施的运行安全部分涉及了个人信息和重要数据跨境流动的问题。从总体来看,对于个人信息在跨境流动过程中的保护,目前有哪些薄弱环节?
阿拉木斯:我国在个人信息保护方面存在两个问题,一是缺少专门的执法部门,二是缺少专门法律。涉及到个人信息保护的法律有很多,但是根本性的法律像个人信息保护法还没有出台。我们的法律规定和执行个人信息保护的真正主管部门不是很明确。今年,个人信息保护工作有较大提升,但平时的执法力度还是不足。
个人信息分很多种,银行账号、密码、安全码、银行存款等,这些属于个人信息中最需要保护的。除此以外,还有个人隐私信息,特别是未成年人的个人信息,这类信息是在所有个人信息中需要保护力度最大的,原则上一般就是本地处理原则。
涉及到跨境电商必须提交一些信息时,针对此类敏感个人信息应加强绝对保护,境外保护,尤其注重国家间法律的协调和执法的协调。
个人信息跨境泄露,这种财产损失防范、解决难度肯定更大。在个人信息保护水平比较高的国家,有专门的机构负责个人信息保护,有专门的维权机构。在一个法律健全的国家或地区,得到救济和保护的程度会更高一些。反过来讲,如果是在个人信息保护水平非常差、法律不健全的国家,可能更麻烦。
刘德良:数据的跨境流动,立法上的规定操作起来会有难度。在现实空间中,对物品的运输或者人员的流动,比较容易发现问题。基于网络和信息流动本身的特点,数据的流动是在线的、保密的,加上网络的开放性,监管难度比较大。监管难度主要来自技术和成本两个方面。
赵占领:从国内的个人信息保护来说,难点主要体现在两个方面,一个方面是,行政监管力度不够,近几年个人信息保护领域的行政执法案例不多。另一个方面是,在个人信息保护的民事法律方面,最大的困难就在于没有设置举证责任倒置。绝大部分用户很难证明信息是谁泄露的。所以,用户因信息泄露诉至法院的案件很少并且都败诉了,都是基于同样的原因。
记者:我们可以想象,我国公民个人信息流动到国外,监管非常难;数据若被泄露,取证更难;想要消除泄露后的影响,也很难。
赵占领:对,非常难。如果这个公司服务器不在国内,境内也没有实体;或者国内有实体,数据已经转移到境外;或者收集信息是另外一个公司,在这些情况下,取证、维权很难。
就执法而言,这种机构在中国存在经营的实体,可以进行监管、处罚。但是,如果有些机构在中国没有经营实体存在,对其进行管辖、处罚就会非常困难。
就取证而言,个人信息流动到境外后,由于服务器不在境内,对方是否尽到了安全保障义务、是否遵守中国的法律等问题,都没有办法获取相应的证据。
个人信息跨境保护最主要的难点,与国内的个人信息保护还有所不同。其特殊性在于,信息跨境流动涉及到国家间的关系,还涉及到贸易保护问题。
跨境保护需进一步立法明确
记者:确保个人信息跨境流动各个环节的安全,肯定需要法律的支持。在这方面,我们需要注意哪些问题?
刘德良:数据不可能完全没有跨境流动,除非不与国外开展电子商务。电子商务带来双向数据流动,对数据流动限制的严与松,会产生类似于贸易顺差和贸易逆差的效果。
数据跨境流动,有些国家、地区采取同等原则或对等原则。数据流动的前提,是流入地与流出地对数据的保护达到同等水平。数据流动和贸易的原理类似,贸易有贸易保护主义和贸易自由主义,数据也有“保护主义”和“自由主义”,但每一个国家会考虑到国家安全和数据安全。
数据跨境流动的立足和出发点应该是对等保护原则或同等保护原则,促进全球贸易、电子商务的发展。数据跨境流动遵循有利于维护国家安全的原则,并与我国加入的国际公约、条约相协调。我认为需要限制的主要是涉及国家安全和国民生命健康的信息。
个人信息保护的内容还需要个人信息保护法来规定,需要提高立法层级,未来还有很长的路要走。此外,涉及国民生命健康的医疗信息在现有的立法中没有明确提及,应该加强保护。
赵占领:目前对于个人信息跨境流动的保护还是比较原则的,范围也比较有限。民营互联网企业、非国有经济领域掌握的个人数据能不能跨境流动、需要遵循什么原则,这些目前还没有规定。与国家安全不直接相关数据的跨境流动可能不需要严格审查,但是也需要一定的标准,而不是无条件。
很多国家和地区对数据跨境流动的问题,都有明确的、专门的法律规范。一般而言,数据转入方对个人信息保护的水平不能低于转出方保护的程度。
我认为,立法上只有网络安全法的规定是远远不够的,需要单独制定规定——个人信息数据从国内转移到境外时,需符合何种条件。这个规定可能需要限定一些数据类型、规定转出方和转入方需要遵循的程序和标准、需要采取的保护措施等。
我们要建立国家安全审查制度、安全评估配套制度,但审查的标准还没有确定。例如哪些关键信息基础设施采购商品的时候需要审查、判断对国家安全无害的标准和程序等。同样,个人信息跨境流动后,信息存储在境外,安全怎么评估也需要有标准。这套标准的实施要具有公开性,要相对公平合理。未来,我们需要出台其他的配套措施来保证网络安全法实施。