对个人信息保护问题的 一点思考 主讲：孟亚平 ------“这是最好的时代，也是最坏的时代，也是需要重新定义的时代” -------“隐私已死，何必执着” ------“隐私会被恐惧打败，也会被便捷打败” ------“仅当信息被使用时，才具有价值及风险” ------“未来是一个无隐私的社会，这对人类社会的安宁是一个巨大的挑战” 个人信息保护问题的隐忧 国内外个人信息保护发展进程借鉴 CONTENTS 通过社会工程实践探索实现个人信息保护 一、个人信息保护问题的隐忧 u 个人信息内含的前世、今生与未来 u 一些需要思考与探讨的问题与观点 01 ? 个人信息内含的“前世今生与未来” 个人信息的“前世” “信息尸体” 纸质形式。以传统社会治理应用 构成逻辑线索，只对个人基本信 息要素描述。具有具象可直接识 别特点，内容构成相对静态稳定。 好管理，主要在机构间流转使用， 因管理规则及方式的约束，交换 行为较规范。易控制，受限于通 信、交通、交换方式等应用，范 围有限可寻。 个人信息的“今生” “数据活体” 数据形式。以信息社会及信息应 用方式构成逻辑线索，基于场景 的针对个人基本信息和行为信息 要素描述。具有直接和间接识别 二种路径，其可知边界及内容是 动态的。“关联性”特征使其难 以界定管理。信息流的广泛、复 杂性、不确定性，难控制。 个人信息的“将来” “数据社会” 数据形式。将由智慧社会万物皆 数据万物互联构成逻辑线索。主 要由个人基本信息、机体生物属 性信息、行为信息、想法流信息 全方位构成。当生命有机个体完 全被数据化表达且透明化存在时， 审视在一个一切被重新定义的社 会情境下，个人信息安全又当如 何？需要想象！ ? 个人信息内含的“前世今生与未来” 个人信息类别 基本信息 包括姓名、性别、年龄、身份证号码、电话号码、Email地址及家庭住址等，有时 还 会包括婚姻、信仰、职业、工作单位、收入、病历、生育等信息。 设备信息 各种计算机终端设备（包括移动和固定终端）的基本信息，如位置、Wifi列表、 Mac地址、CPU、内存、SD卡、操作系统版本等信息。 账户信息 银行帐号，第三方支付帐号，社交帐号、注册账号，邮箱帐号等。 隐私信息:通讯录、通话记录、短信记录、聊天记录、个人视频、照片、位置等信息。 社会关系信息:好友、家庭成员、工作单位等信息 网络行为信息:上网时间、上网地点、输入记录、聊天交友、网站浏览、游戏等行为信息。 ? 个人信息内含的“前世今生与未来” 变化趋势 u 个人信息内含与存在形式的变化(基本、生物、场景化行为、想法流信息) u 个人信息保护目标与途径的变化（信息还是个人？采集目的、手段、方式、途径） u 个人信息载荷价值认同的变化（私有、社会、经济、国家安全、资产） u 个人信息保护的社会公共环境变化（无属地，国际化） 总结：个人信息的内含外延皆被重新定义 ? 一些值得思考与探讨的问题与观点 面临困扰的问题 u 个人信息保护还是强调个人隐私信息保护？ u 资产价值归属的私有性与公有性问题？ u 如何鉴别个人信息正当使用与滥用问题？ u 关于个人信息保护立法时机与条件问题？ u 个人信息划定是基于类型化还是场景式？ u 关于法律实践的社会化工程环境问题 u 处理“非个人信息”与个人信息保护的关系问 u 个人信息保护与企业合理应用的法律豁免问题 题？ u 采用源头控制原则还是使用者负责问题？ u …….. 02 国内外个人信息保护发展进程借鉴 u 国外个人信息保护发展总体情况 u 国外个人信息保护立法进程 u 国外个人信息保护发展模式 u 国外个人信息保护治理结构 u 国内个人信息保护情况概述 国外个人信息保护发展总体情况 ——全球已有近50多个国家和地区制定了个人信息保护法律，专项立法已成为国际惯例。 ——欧美等发达国家在个人信息保护方面的共性要求是：有法、有许可、目的受限、必要且数据最小化 ——美国为先。三大国际组织引领立法进程：世界经济合作与发展组织、欧洲委员会、欧盟 ——立法时间较早，相关问题跟踪研究探索紧紧围绕法律实践开展 ——制定了一系列较为严格、完善、规范的个人信息保护法律框架 ——由法律、条例指令、指南等体系化构成，互为参考依据，保护对象、保护目标清晰明确 国外个人信息保护立法进程 国外个人信息保护立法进程 国外个人信息保护发展模式 美国模式 欧洲模式 欧盟模式 以隐私权为基础，是分散立法和行业自 倡导由国家主导的立法模式。以德国为 欧盟模式又可称为统一立法模式，即制 律相结合的模式。在公共领域，美国以 代表的大陆法系国家，将个人信息视作 定一个综合性的个人信息保护法来规范 隐私权作为宪法和行政法的基础，采取 公民人格和人权的一部分，认为个人信 个人信息的收集、处理和利用，该法统 分散立法模式逐一立法。在私人领域， 息是自然人人格的载体，沿着一般人格 一适用于公共部门和非公共部门，并设 美国依靠自律机制(包括企业的行为准 权的保护思路引入“信息自决权”。 置一个综合监管部门集中监管。 则，民间认证制度以及替代争议解决机 制)实现对个人信息的保护，根据个人 信息的具体内容，由相应的监管部门监 管。 国外个人信息保护治理结构 u 由政府设立专门工作机构，设置隐私专员制度，统一负责监管 u 行业自律联盟，社会机构组织，专业研究机构，专家学者共同参与 u 法学、社会学、心理学、信息科学等的社会综合治理环境。 国外个人信息保护治理结构 u 美国于九十年代成立了独立公益性组织“电子隐私信息中心” u 1998年,由46家企业和团体组成了美国隐私在线联盟 u 美国商务网络财团（Commerce.net）和电子前线基金会（EFF Electronic Frontier Foundation）共同发起的非营利性网络隐私认证机构TRUSTe u 世界顶级消费者健康倡导组织“美国患者隐私权组织” 国外个人信息保护治理结构 u 欧洲信息保护监督局（European Data Protection Supervisor，EDPS），是专门负责 个人信息保护事务的欧盟独立行政机构， u 欧洲隐私监管机构组成的独立咨询顾问机构—— “第29条工作组”(Article 29 Working Party，A29WP)，该机构可以对全球各地企业展开监管。所有的欧盟国家都受GDPR的 管辖。法力极大…… 国内个人信息保护情况概述 关于个人信息保护的法律法规术语情况查询： u 涉及隐私保护内容：人大网中国法律法规信息库有效1178篇；宪法法律有115篇 u 法律法规中涉及个人信息保护内容有200 多条文分散在37部法律、15部司法解释、124部行政法规和部门规章中 u “隐私”术语引用：宪法法律29篇；行政法规文件13篇；地方性规章857篇；部委规章文件181篇 u “个人信息”术语引用：8541篇； u “数据安全”术语引用：67篇。宪法38篇；行政法规及文件67篇；地方性法规规章2061篇；部委规章及文件551 篇；司法解释及文件38篇；决定2篇 国内个人信息保护情况概述 u 没有一部系统的、专门的规范个人信息保护的法律制度和行之有效的法律体系，明确将个 人信息作为直接保护对象的法律法规少之又少。目前我国的个人信息保护散见于各法中。 u 没有专门的个人信息保护监管机构及明确的责任主体。去负责牵动立法协调、法律制度完 善及社会化运行的监督管理。个人信息保护作为一项社会工程，社会功能的保障体制有待 完善。 u 对保护对象、保护目标的法律宗旨及界定不清，概念术语混杂，缺乏可操作性。 03 三、通过社会工程实践探索实现个人信息保护 n 高度重视建立系统完善有效的法律体系 n 尽快明确管理监督管理责任主体权威机构 n 探索创建社会工程化综合良性发展环境 n 加强持续投入，积极开展相关科研技术创新的深化研究 n 教育从互联网原住民抓起，培养全民自我教化自主意识能力 n 组织开展国际相关法律规则对策引导及法律社会援助 u 大数据应用在社会治理、社会动 员、社会网络调节、社会契约影 u 突破了原有的个体范畴，转向群体、 社会乃至国家层面 u 突破了传统个人信息保护在法律层 面的关切，是一项涉及公共政策学、 响等方面，不仅改变了社会运行 u 突破了通过“直接识别”的路径界 社会学，组织行为学、经济学、法 方式，而且释放出巨大的社会活 定，面临场景化动态“间接识别” 学、信息工程学、认知科学、数据 力，也极大地突破了个人信息保 的法律度量认定途径与方法的挑战 科学……科学等诸多领域，突显其 护原有的传统认知，思维理念和 治理模式。 u 突破了个人信息内含的边界，法律 适用面临不确定性，保护与发展成 为两难 广泛性复杂性不确定性的长期社会 工程实践探索活动。