日期:[2019年03月06日]
-- 华商报 --
版次:[A8]
两会华商专访 西安交通大学苏州信息安全法律研究中心主任、陕西法学会信息安全法学研究会会长马民虎:
立法保护个人信息应强化技术在执法中的作用
3月4日,十三届全国人大二次会议新闻发言人张业遂表示,已将《个人信息保护法》的制定列入本届立法规划。
3月5日,华商报记者就立法相关问题采访了西安交通大学苏州信息安全法律研究中心主任、陕西法学会信息安全法学研究会会长马民虎教授。
立法应突破单靠法律或技术
华商报:对个人信息进行立法保护,重要性主要体现在哪些方面?
马民虎:由于网络应用和其他技术的发展,个人信息、个人数据被大量采集和使用。但行业应用中个人信息数据边界并不清晰,不少个人信息被企业收集了以后,被作为企业资产。以银行为例,由于其业务性质,需要对客户信息进行收集,但实践中有许多企业却并非这样的情况,它们收集了个人信息后进行转让,甚至进入黑市交易,这就对个人隐私、个人权利产生了巨大威胁。而且就目前来看,这不是一个小范围的问题,现有法律法规对这种现象的规制仍存在很多真空带。虽然我国有法律规定,收集个人信息要征得信息主人的同意,且要进行匿名处理,但信息采集方若不按照规定执行,相关部门也缺乏管理方式与机制。数据治理技术性太强了,即便按照传统管理方式进一步进行规定,也难免会存在执行难度大、约束力有限等问题。正因为目前单独依靠法律或单独依靠技术都不能全面保障个人信息及数据权利,所以就需要我们来重新定位、重新立法,在保障信息处理各个环节的安全合规上都有一个新的突破。
技术发展太快 应对其充分评估
华商报:《个人信息保护法》在立法时,对于已经被获取的个人信息,应该如何规范使用和保护呢?
马民虎:对于已进入黑市或者暗网的个人信息数据,目前已有法律规定不允许针对其进行交易,这已经提出并解决了一部分问题。另一个关键问题是企业对它拥有的数据到底享有怎样的权利不了解,比如人脸识别信息、个人的位置信息等,而个人对被企业所占有的个人信息数据又享有怎样的权利也存在困惑和担忧,比如用户如何去了解、掌握、控制个人信息的使用情况,又该如何保障自己的权利。这些是本次立法要重点解决的。
这就需要从立法上采取一些新举措。比如说,有一项新的技术或应用要使用,投入使用前要进行伦理道德评估等,把相关内容纳入立法考虑范围。其次,从技术本身来讲,对技术使用主体规定一些强制性的要求。比如有些国家规定,在立法还没说颁布、标准也还不具备的情况下,企业必须要履行“积极性义务”,采取一些积极的防范措施,把风险防控尽量前移。现在一些互联网企业也有这样的意识,认为技术在对义务的保障、落实方面应当有所作为,否则规定都是空的。总而言之,技术发展太快,要对技术进行充分评估。
应在执法手段上有所突破
华商报:在社会生活中,个人信息泄露,被侵害者往往很难知晓,对于是谁“出卖”了自己的个人信息更是无从得知,对这样的问题在立法和执法中该如何解决?
马民虎:在保护个人信息方面,个人还是处于弱势。很多情况下,个人信息在不经意间就被收集了。所以,这已经不是个人的问题,而是社会问题,需要从执法方面进行加强。对这种情况,需要执法手段有所突破,要用技术执法手段来发现企业是否侵犯个人信息。这就要求对执法行为也要采取特别的保护。现在执法面临的形式很严峻,不采取技术措施不能履行职责,采取了技术措施就有可能被认为是在监听。所以,执法也面临着一些实际的难题。我认为,对于协助国家执法部门的技术团队、技术公司、技术个人,应当进行保护,这一点在立法上也要明确。由安全研究人员协助执法,从目前来看是比较有效,也是一种比较适应当前态势的办法。 华商报记者 马虎振
3月5日,华商报记者就立法相关问题采访了西安交通大学苏州信息安全法律研究中心主任、陕西法学会信息安全法学研究会会长马民虎教授。
立法应突破单靠法律或技术
华商报:对个人信息进行立法保护,重要性主要体现在哪些方面?
马民虎:由于网络应用和其他技术的发展,个人信息、个人数据被大量采集和使用。但行业应用中个人信息数据边界并不清晰,不少个人信息被企业收集了以后,被作为企业资产。以银行为例,由于其业务性质,需要对客户信息进行收集,但实践中有许多企业却并非这样的情况,它们收集了个人信息后进行转让,甚至进入黑市交易,这就对个人隐私、个人权利产生了巨大威胁。而且就目前来看,这不是一个小范围的问题,现有法律法规对这种现象的规制仍存在很多真空带。虽然我国有法律规定,收集个人信息要征得信息主人的同意,且要进行匿名处理,但信息采集方若不按照规定执行,相关部门也缺乏管理方式与机制。数据治理技术性太强了,即便按照传统管理方式进一步进行规定,也难免会存在执行难度大、约束力有限等问题。正因为目前单独依靠法律或单独依靠技术都不能全面保障个人信息及数据权利,所以就需要我们来重新定位、重新立法,在保障信息处理各个环节的安全合规上都有一个新的突破。
技术发展太快 应对其充分评估
华商报:《个人信息保护法》在立法时,对于已经被获取的个人信息,应该如何规范使用和保护呢?
马民虎:对于已进入黑市或者暗网的个人信息数据,目前已有法律规定不允许针对其进行交易,这已经提出并解决了一部分问题。另一个关键问题是企业对它拥有的数据到底享有怎样的权利不了解,比如人脸识别信息、个人的位置信息等,而个人对被企业所占有的个人信息数据又享有怎样的权利也存在困惑和担忧,比如用户如何去了解、掌握、控制个人信息的使用情况,又该如何保障自己的权利。这些是本次立法要重点解决的。
这就需要从立法上采取一些新举措。比如说,有一项新的技术或应用要使用,投入使用前要进行伦理道德评估等,把相关内容纳入立法考虑范围。其次,从技术本身来讲,对技术使用主体规定一些强制性的要求。比如有些国家规定,在立法还没说颁布、标准也还不具备的情况下,企业必须要履行“积极性义务”,采取一些积极的防范措施,把风险防控尽量前移。现在一些互联网企业也有这样的意识,认为技术在对义务的保障、落实方面应当有所作为,否则规定都是空的。总而言之,技术发展太快,要对技术进行充分评估。
应在执法手段上有所突破
华商报:在社会生活中,个人信息泄露,被侵害者往往很难知晓,对于是谁“出卖”了自己的个人信息更是无从得知,对这样的问题在立法和执法中该如何解决?
马民虎:在保护个人信息方面,个人还是处于弱势。很多情况下,个人信息在不经意间就被收集了。所以,这已经不是个人的问题,而是社会问题,需要从执法方面进行加强。对这种情况,需要执法手段有所突破,要用技术执法手段来发现企业是否侵犯个人信息。这就要求对执法行为也要采取特别的保护。现在执法面临的形式很严峻,不采取技术措施不能履行职责,采取了技术措施就有可能被认为是在监听。所以,执法也面临着一些实际的难题。我认为,对于协助国家执法部门的技术团队、技术公司、技术个人,应当进行保护,这一点在立法上也要明确。由安全研究人员协助执法,从目前来看是比较有效,也是一种比较适应当前态势的办法。 华商报记者 马虎振