英文代写,英文科技论文写作,研究生论文代写

 童鞋論文網提供論文發表、論文查重以及本科論文代寫 、碩士論文代寫 、職稱論文代寫 、畢業論文代寫 指導服務,上萬成功案例,歡迎咨詢。 網站地圖  |  加入收藏  |  設為首頁
童鞋論文網
熱門搜索
行政 教育 營銷 法律 經濟 護理 心理 會計 文學 工商 計算機 旅游
童鞋論文網
 當前位置:童鞋論文網 > 法律論文 > 文章正文
 
數據企業的個人信息保護責任研究
論文作者:童鞋論文網  論文來源:qaly-analyser.com  發布時間:2019/1/28 7:08:49  

摘要:大數據技術的沖擊使得原有的個人信息保護方式已無法保障個人信息安全。歐盟近年頒布的《通用數據保護條例》摒棄了傳統告知同意機制,在提供多樣化個人控制手段的同時,從事前防范、事后告知、數據管理架構三方面對數據企業的個人信息保護責任做出了系統性規定。我國現行法律體系中對數據企業的個人信息保護責任僅有原則性規定,相關國家標準也存在不少局限,這些問題在將來的個人信息單獨立法中應加以完善。

關鍵詞:個人信息;隱私保護;企業責任;

一、問題的提出

大數據經濟可堪為當前最為火熱的經濟領域之一,特別是在2015年兩會上李克強總理提出“互聯網+”戰略后,大數據一時風頭無兩。然而在提高商業及服務水平的同時,大數據也導致了嚴重的個人信息泄露風險,為個人信息安全帶來巨大的威脅。有學者通過對大數據特點進行分析后指出,大數據技術在數據應用領域的創新已對告知同意產生了極大破壞[1]。告知同意機制作為傳統個人信息保護體系中最為重要的,甚至幾乎是唯一的手段,是指在收集或處理個人信息前,應當告知信息主體收集處理其個人信息的相關信息并請求其同意。該機制最大的特點在于重視個人信息收集過程中個人在知情基礎上對信息的控制與選擇。自1980年由經濟與合作組織(OECD)在《隱私保護與個人數據流通指南》中作為處理個人信息的前置條件設立起,告知同意機制在個人信息保護體系中一直發揮著舉足輕重的作用。但在幾十年后的今天,傳統告知同意機制的失靈已是不爭的事實,公眾及學界對個人信息保護體系改革的呼聲不斷高漲。

在世界范圍內,對傳統保護體系進行革新的努力已經持續數年,且已取得了不少成果。目前而言,最具代表性的立法成果當屬歐盟于2016年發布的《通用數據保護條例》(以下簡稱GDPR)。自2012年該條例草案出臺以來,為保證其不落后于大數據時代的發展,GDPR歷時四年修改,于2016年正式頒布,并于2018年5月正式生效。GDPR取代了歐盟原先實施的《隱私保護指令》(95/46/EC),其最大的特點在于摒棄了單一的告知同意的規制手段,對個人信息采取了更為靈活且全面的保護方式。相比而言,GDPR在原有的信息主體同意權外增設了數據可攜權、刪除權等其他權利,并對同意的適用條件進行嚴格限定以強化數據主體對自身信息的控制力;更具開創性的是,GDPR對數據企業增設了大量個人信息保護方面的義務,凸顯出歐盟立法機構加強數據企業責任的個人信息保護體系改革思路。在數據全球化的時代,滿足GDPR要求是我國數據行業走向國際化無法繞開的必要環節。同時,GDPR作為個人信息領域的代表性立法,我們有必要對GDPR對數據企業個人信息保護責任進行梳理,以期在我國未來的個人信息保護單獨立法中能夠加以合理借鑒,對數據企業形成良好的規制。

二、GDPR中的數據企業個人信息保護責任

原有同意機制的崩潰使歐美監管機構意識到僅靠賦予個人控制很難有效保障其個人信息。美國總統行政辦公室報告就曾指出,(在大數據時代)重點對個人信息的收集和保留加以控制,已不再足以保護個人信息。在互聯網時代,數據企業所提供的服務往往在數據主體的工作或生活中發揮重要作用,因此導致數據企業與數據主體間的地位顯著不平等化。同時,數據實踐逐漸滲透至生活的方方面面,個人難以全面掌控其信息如何被收集及使用。如果僅停留在加強個人控制手段的層面而不對數據實踐的流程做出規制,那么數據控制者利用其優勢地位繞過同意機制的后果是可以預見的。基于以上原因,歐美監管機構在改革立法中都考慮到在個人控制外大幅增加數據企業責任。歐盟的數據監管機構便是基于此,在GDPR開篇提出,“為有效保護整個歐盟的個人數據,需要在加強信息主體權利的同時詳細制定信息處理者的義務。”同時,GDPR條文中也對數據企業在收集處理個人信息過程應承擔的數據保護責任進行了系統化規定,以防企業獲取個人同意后的數據濫用。無論是總體規定數據企業責任的第24條,還是其后的具體條款,無不滲透著歐盟數據監管機構以“風險”為導向的全新立法理念。風險是對個人信息安全事件及其后果的嚴重程度及可能性的預測,而“風險導向”則意味著根據個人數據處理、利用的場景、目的及可能引發的風險程度向數據企業施以義務和責任[2]。具體而言,GDPR中對數據企業的個人信息保護責任設置主要體現在以下三部分內容。

1.構建事前防范機制。

過去的告知同意機制雖要求數據企業在收集、處理個人信息前向信息主體進行告知,但該流程顯然是在數據實踐過程中進行的。GDPR將企業的信息安全治理責任從此前的個人信息收集時及之后向前擴張至數據實踐的設計準備階段,有助于從源頭上改善個人信息被濫用的窘境。其中,最為重要的制度是“數據保護影響評估”(data protection impact assessment,DPIA)。數據保護影響評估是一個評估個人信息收集處理的必要性以及是否成比例,并通過確定解決措施來幫助管控因收集或處理而對個人的權利和自由造成的風險的過程。GDPR要求數據企業認為處理行為可能導致對自然人權利或自由的高度風險時,有責任對風險來源、性質、特殊性與嚴重性進行評估,并在評估結果的基礎上決定采取適當措施。同時,實施的措施應確保適當的數據安全水平,并將技術發展水平、實施成本與所保護的個人信息的性質與風險納入考量。對于何為高度風險,GDPR在其數據保護影響評估指南中指出,通過對個人信息自動處理對信息主體做出具有顯著影響的決策、處理大量個人敏感信息及對公開數據的大范圍監測都毫無疑問的屬于此范疇內。但值得注意的是,數據影響評估并非在每次數據時間前處理都是必須的,只有在處理“可能對自然人的權利和自由造成高風險”時,才需要進行評估。然而,沒有達到高風險這一觸發條件并不意味著減少數據企業執行適當管理風險控制措施的一般義務。這意味著,數據企業不僅應當在數據實踐前考慮風險因素,且在其處理活動也必須不斷監測并防止風險,以便確定其何時“可能對自然人的權利和自由造成高風險”。因此,開展數據保護影響評估的目的,在于督促數據控制者主動考慮風險,主動提出降低風險的方案[3]。最后,如果數據企業無法找到足以使風險降低至可接受的水平的措施或實施措施后殘存風險依然較高時,GDPR要求數據企業應當盡快告知相關數據監管機構并進行協商。

2.設置事后處理措施。

第29條工作組在《個人信息泄露告知指南》中指出,GDPR所設置的數據安全策略的關鍵因素是,一方面盡可能防止發生數據泄露造成個人信息風險,另一方面在發生泄露的情況下,能夠及時地對其做出有效反應。因而GDPR在對數據企業構建了數據實踐前風控制度的同時,也為數據企業在個人信息泄露事件發生后的行動以立法方式做出了規制。GDPR條款規定了何時及向誰進行泄露告知,以及告知中應當包含哪些內容。GDPR第33條規定,發生數據泄露的數據處理者應當立即告知數據控制者,數據控制者則應當在至遲72小時內向相關監管機構報告。報告內容不但應當包含數據泄露的性質、涉及的數據類型及大致數量等常規內容,還應當對泄露后果進行預判并提出補救措施。同時,數據控制者還應當立即對受影響的數據主體進行告知,除非泄露不會對個人信息安全產生較高風險或其補救措施能夠避免該風險。從條文規定來看,GDPR設置的數據企業向監管機構的告知是強制性的,除非數據泄露事件對個人的權利和自由造成風險的可能性足夠低。而如果該泄露可能對個人的權利和自由造成高風險,就必須告知個人。因此,向個人進行告知的條件高于告知監管機構的,這一設置意在使個人免于不必要的通知造成的煩瑣。但同時也意味著,一旦意識到出現數據泄露事件,GDPR要求數據企業不僅應設法進行控制,而且應同步評估由此可能造成的風險。一方面,這將有助于控制者采取有效措施遏制和處理違約行為;另一方面,數據企業將以此確定是否需要向監管機構或個人進行告知。此外,對于數據控制者與數據處理者分離的情況,GDPR在泄露告知方面采取了更為靈活的策略。例如第33條第2款明確規定,如果數據處理者意識到其從數據控制者處獲得的個人信息發生泄露,它必須“無延遲”地通知數據控制者。與上文所述規定不同的是,在通知前,數據處理者不需要首先評估泄露引起的風險的可能性,而只需要確定是否發生了違規,然后通知數據控制者。此外,如果數據控制者已經給予數據處理者適當的授權,那么數據處理中可以代表數據控制者發出告知,但告知所發生的法律責任仍然在于數據控制者。

3.優化企業數據管理架構。

傳統個人信息保護規定僅就企業整體應負的義務進行規制,對于企業內部如何自主防控,將個人信息風險防患于未然則未有涉及,因此要求企業內部設立專門的數據監督專員是GDPR在增強數據企業責任的一系列規定中的又一大亮點。在GDPR條文中將這一職位稱為“數據保護官”(data protection officer, DPO),并明確規定數據保護官應當獨立開展工作,直接向數據企業的最高管理層報告,履行職責不受企業干涉。有關數據保護官的職責,GDPR第35條第2款規定,數據企業在進行數據保護影響評估時,應征求其數據保護官的意見。此外,還應當監測企業數據合規情況,同時對參與數據實踐的工作人員進行培訓。當個人信息泄露時,數據保護官的強制性任務包括向數據控制者或數據處理者提供數據保護建議和信息,以及提供進行數據影響評估的建議。數據保護官還必須與監管機構合作,并承擔起與監管機構及所涉信息主體聯絡的職責。例如,第33條第3款就要求,數據控制者在向監管機構告知泄露情況時提供其數據保護官的名稱和聯絡方式。在記錄泄露的情況方面,數據企業能夠從數據保護官處獲得對該記載的結構、設置及管理方面的意見,這表示數據保護官可能額外負擔維護這些記錄的任務。以上職責意味著,數據保護官通過提供咨詢和監測合規情況,不但能夠在協助防止泄露及為泄露做好準備方面,同時也應在向監管機構告知泄露情況及在監管機構隨后進行的任何調查期間發揮關鍵作用。基于此,第29條工作組建議數據企業將數據泄露的情況及時告知數據保護官,并使其參與整個數據實踐過程。

三、我國數據企業責任制度審視與完善

我國現行法律法規中有關個人信息保護的條文并不鮮見,但從條文規定看,我國現行法律仍以傳統告知同意的保護機制為主,對數據企業的個人信息保護責任規定不多。盡管《網絡安全法》首次以法律形式對網絡經營者的數據責任作出了規定,包括網絡運營者采取必要措施防止信息泄露的義務,以及信息泄露發生后進行補救、及時告知用戶及監管機構等義務,但這些規定都并非深入具體的進行規定,而僅是原則性、概括性條款。面對大數據時代的浪潮,僅靠《網絡安全法》顯得獨木難支。因此,在《民法總則》將個人信息權認定為獨立的民事權利后,各界對個人信息保護單獨立法呼聲較高。

目前,我國雖未對個人信息保護進行單獨立法,但對個人信息實踐影響密切的個人信息安全國家標準業已制訂,即《信息安全技術個人信息安全規范》(以下簡稱《規范》)。《規范》首次較為系統的規定了數據企業的個人信息保護責任,對信息安全事件處置及告知進行了指引。在應急預案、應急演練等事前防范措施之外,《規范》要求數據控制者在個人信息安全事件發生后,需要采取記錄、評估、上報、告知等四大類措施以確保將風險控制在盡可能小的范圍內。值得一提的是,《規范》設置個人信息安全影響評估的目的與GDPR相同,均是“使風險降低到可接受的水平”,這反映出《規范》在設置數據控制者責任時的風險導向。此外,《規范》還根據我國國情做出了一些創新性指引,例如在人員管理培訓方面,《規范》要求數據企業與涉數據人員簽訂保密協議、明確職責與懲罰機制。

《規范》也存在著一些明顯的局限。首當其沖的是《規范》的效力問題。《規范》作為國家標準,其效力弱于法律及行政法規等。不僅如此,《規范》也并非國家強制性標準,而是國家推薦性標準,其對于相關企業的約束力很難得到保證,這將導致《規范》無法起到預想的規制數據企業的效果。對此,有兩種解決方式。一是通過立法程序,將《規范》內容加以凝練和擴充,成為我國個人信息單獨立法的一部分;二是在指令性文件中對《規范》的有關內容進行引用,根據我國《標準化法條文解釋》的規定,推薦性標準一旦納入指令性文件,將具有相應的行政約束力。通過以上方法,我國對數據企業個人信息責任的規制效力才能得到真正提升。此外,目前我國在這方面規制還存在著僅有規定而無制裁的缺陷,限于《規范》推薦性標準的形式,其雖有規定卻無法對違反的數據企業進行懲罰。這一問題同樣體現在《網絡安全法》中,我國《網絡安全法》規定,數據企業泄露個人信息最高可處違法所得1倍以上10倍以下罰款,無違法所得的處100萬元罰款,但對于企業個人信息安全措施不到位的問題因未規定而無法制裁。且在數額上,相較于GDPR最高1000歐元或上年度全球營業額4%的罰款,《網絡安全法》也存在較大差距,這顯示出我國對數據企業個人信息安全責任的規制力度還有待進一步加大。

保護個人信息安全是一項長期性、系統性工程,是大數據行業健康發展的基礎。我國對個人信息安全的法制建設正處于關鍵時期,從《規范》的經驗看,我國的個人信息規制應當在結合我國數據行業實踐與信息主體權利意識程度的前提下對國際上的其他方案進行取長補短,不斷探索適合中國的個人信息安全規制道路。

上一篇:我國自認制度的完善研究     下一篇:訴訟成本的法經濟學研究
 
論文客服 542793091
論文熱線18796337551
本站網址 qaly-analyser.com
鄭重承諾 原創,包修改,包通過!
童鞋論文網真誠歡迎新老客戶的光臨與惠顧!
 
 熱門文章
· 住宅建設用地使用權續期研究
· 用戶鎖定效應視角下的網易云音
· 眾籌產品創新性對融資績效的影
· 南京市城鎮居民冷鮮肉認知度問
· 摩拜共享單車可持續盈利研究
· 催生地方政府隱性債務風險的原
· 基于網絡平臺的SPA模式研究——
· 社交媒體中不實信息轉發主體心
· 基于游客感知的云臺山景區微信
· 新媒體時代背景下鄉村旅游企業
 
 推薦文章
· 廣播體操與戲曲的共生之路研究
· 國產荒誕喜劇《我是余歡水》和
· 小微項目學習研學旅行課程的實
· 夜間文化旅游消費的影響因素探
· 高職院校圖書館信息資源生態系
· 網絡眾籌下剩余善款處置問題研
· 春蘭矩陣改革過程及失敗原因研
· 基于AISAS模型的拈花灣網絡直播
· 精準扶貧的改善對策探討
· 格力電器發展驅動因素解構探討
 
 相關文章
· 美國與德國個人信息保護比較及
· 信托和公司服務提供商洗錢風險
· 信用卡使用中侵犯金融消費者權
· 越權刑法司法解釋之現實表現與
· 商標權限制體系中的商標先用權
· 程序對司法公正的意義研究
· 搶劫罪和敲詐勒索罪中暴力行為
· 歐盟個人信息保護的法律救濟體
· 基于法律角度的“3Q之爭”消費
· 基于經濟法的大學生創業初期風

論文原創,準時交稿,包修改,包通過,十年信譽,品質保證
童鞋論文網提供本科論文、專科論文、畢業論文、職稱論文、碩士論文代寫 指導以及論文發表、論文查重服務
備案號:蘇ICP備11011187號-1 蘇公網安備32030502000117號
版權歸童鞋論文網所有 禁止一切商用盜用
友情链接: 北美代写 论文代写