- 网络法律评论(第18卷)
- 张平
- 14426字
- 2020-07-09 19:26:32
网络安全立法的经济法制度安排
Cyber Security Legislation from the Perspective of Economy Law
Summary:The breadth and depth of network as a basic carrier of economic activity is continuing to extend.However,the contained legal risks may jeopardize network security,and even economic security.Arrangements from the perspective of economic law to regulate the system are mainly related to financial law,unfair competition law and consumer protection law.Virtual currency may bring fluctua-tions to macroeconomic order,and the network financing model may bring potential damage to financial consumers,so we need effective regulations of the law.Howev-er,China's current institutional arrangements are not sufficient to respond to these questions.Besides,there are other problems like inaccurate legal positioning,tight legal bondage and lack of legal regulation and so on.In the environment of network,centered as personal data privacy protection,we should build a consumer protection system through a network of security legislation.
Key words:Network security,virtual currency,network financing,privacy of personal data,financial consumer
根据经济法的调整对象,一般将经济法规范分为宏观调控法规范和市场规制法规范,其中,宏观调控法可进一步细分为财税法、金融法、计划法规范,市场规制法可进一步细分为反垄断法、反不正当竞争法和消费者保护法。[44]当然,这种划分不能绝对化,比如,金融法律制度就不仅仅是宏观调控制度,其中涉及的有关金融交易、金融消费者保护等方面的内容即属市场规制规范的范畴。传统上,经济法的调整对象是市场经济,随着现代科学技术的发展,与实体经济相对应,以网络作为基本载体和平台的经济活动在广度和深度上不断扩展,其内含之法律风险可能危害到网络安全、乃至经济安全。因此,经济法作出相应的制度安排也就很有必要。总体上看,有关网络安全的经济法制度安排,主要涉及金融法、反不正当竞争法和消费者保护法等方面的内容。
一、互联网金融方面的制度需求与规范回应
以互联网作为载体和主要通道、作为金融创新工具和产物的互联网金融,被学者们称赞为金融民主化、普惠金融和小金融的代表,其在一定程度上改变了金融交易结构。与此同时,互联网金融也带来多方位的法律风险,在网络安全立法时可能需要予以适当关注。[45]互联网金融有不同的业态模式,以此为轴即可揭示不同的法律风险与相应的制度需求;前已述及,金融法制度结构中既有宏观调控规范,也有市场规制规范,前者主要涉及一国的金融体系的安全、进而可能波及实体经济的安全,后者则指向互联网金融这一微观“市场”本身的秩序、对金融消费者的保护。
以网络作为载体和通道的虚拟货币,根据发行主体、产生机制和流通范围的不同,可区分为初级虚拟货币和高级虚拟货币。前者是由个别商家发行、只能在网络虚拟世界中流通且仅能在发行者范围内、发行者与密切关联第三方商家之间流通的非法定货币,典型代表如Q币、百度币、猫扑MM币等;而后者则是由中央银行或特定机构发行、或不存在发行主体而以特定机制产生,被所有商家接受作为支付手段,可以在虚拟世界、甚至现实世界中流通的法定货币。[46]目前流行的比特币,按照提出者的设想,是希望能成为高级虚拟货币的,但目前受到极为强大的制度约束,距离高级虚拟货币的构想相去甚远。
1.安全风险
虚拟货币可能给宏观经济安全带来的挑战主要表现在:
第一,存在诱发通货膨胀的风险。虚拟货币虽然不是法定货币,但是其在网络空间的大量存在、尤其是在相当范围内和相当程度上的受认可,给消费者提供了更多的选择,而现行制度框架下虚拟货币实质上依托真实货币而存在,两方面因素的综合作用可能带来货币流通速度的加快。根据著名的“费雪方程式”[47],在货币流通速度加快、而货币总量和社会总需求并无明显变化时,将导致商品和劳务价格的提升,从而引发通胀。此外,现行制度框架一定程度上是在割裂比特币等虚拟货币与法定货币的连接通道,而虚拟货币如果脱离法定货币约束,可能通过信用扩张引起通货膨胀。[48]
第二,容易被用于避税、洗钱和毒品犯罪。这同网络的特征直接相关,比特币等虚拟货币具有匿名、跨境流通便利等特征,不易追溯其交易过程,政府对其实施管制的难度相对增加,而且国际间合作不易,可能绕开外汇管制。[49]而且,虚拟货币的数字化特征,也加大调查取证和执法的难度。
第三,规避税收征管,使国家的财税调控目标落空,甚至危及国家的财政收入。商家接受虚拟货币进行的支付,由于虚拟货币并没有法定“货币”地位,只能作为“以物易物”的交易形式,当其进行纳税申报时会产生诸多不便,制度的缺漏给商家的税收规避行为提供负向激励。根据我国《企业所得税法》第6条,企业以货币形式和非货币形式从各种来源取得的收入,为收入总额;我国《企业所得税法实施条例》第12条第2款规定:“企业所得税法第6条所称企业取得收入的非货币形式,包括固定资产、生物资产、无形资产、股权投资、存货、不准备持有至到期的债券投资、劳务以及有关权益等。”这里的列举规定中似未明确指向虚拟货币。另外,该《条例》第13条要求对于此类非货币收入,“应当按照公允价值确定收入额”,而“公允价值,是指按照市场价格确定的价值”,这在具体适用于虚拟货币情形时,总会存在不适配性。究其根源,出现前述窘境的原因系未赋予虚拟货币以“货币”地位;更进一步挖掘,则在于面向实体经济制定的经济法律制度无法完美适用于网络经济场域,财税法律制度在该场域的缺位带来法律上的灰色地带。
第四,存在恶化金融秩序的风险。尤其是在一国金融动荡之时,可能会诱发公众使用本国货币购买或者“兑付”比特币等虚拟货币的情形,大规模的挤兑现象会进一步加速本国货币的贬值。
2.现行立法态度与制度缺失
法律、法规层面对于虚拟货币的态度虽然没有直接、明确的表述,但是立法态度是一目了然的。《中国人民银行法》第16条规定:“中华人民共和国的法定货币是人民币。以人民币支付中华人民共和国境内的一切公共的和私人的债务,任何单位和个人不得拒收”,第20条规定:“任何单位和个人不得印制、发售代币票券,以代替人民币在市场上流通”,这里的“代币票券”禁止,在立法当时未见得是针对比特币等虚拟货币而为,但在当下却很自然地成为相关制度规范设计的基本出发点。《人民币管理条例》第3条要求“以人民币支付中华人民共和国境内的一切公共的和私人的债务”,第29条则复述了《中国人民银行法》第20条的规定。
2013年12月,央行、工信部、银监会、证监会和保监会联合印发《关于防范比特币风险的通知》,明确指出“从性质上看,比特币应当是一种特定的虚拟商品,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用”,而且要求各金融机构和支付机构不得开展与比特币相关的业务。该《通知》也强调要防范可能产生的洗钱风险,并提出加强对社会公众货币知识的教育及投资风险提示。
基于金融安全和金融秩序稳定的考量,立法者和监管者很自然地采取金融抑制的立场,对于虚拟货币采取严格管制的立场,这很容易理解;但是,我们习惯性地将“严格管制”等同于“立法否认”,制度是灰色的,实践之树长青,立法的否定并不能抹去实践中虚拟货币“自行其是”的现实。耐人寻味的是,“严格管制”本身恰恰创造出一个巨大的“法外空间”,孕育出前述诸端法律风险。而且,从经济效果而言,立法者的“绝对否定”态度,产生适得其反的后果:虚拟货币的价值本具有多元性,央行等五部委的《通知》实际上封堵了比特币在国内自由流通的路径,严重削弱了比特币的价值尺度和支付手段的货币职能;直接造成的后果是将比特币的持有者几乎限定在投机炒作的范围内[50],浓厚的投机氛围反而加剧了系统性风险产生的可能性。
3.制度需求的可能回应
将虚拟货币纳入监管框架,可能是针对当前网络经济兴起、保障经济安全更可行的道路,这也是一种“疏堵结合”的基本思路。监管的目标主要定位于狭义的网络安全与经济安全。就前者而言,即是要应对虚拟货币系统的安全性风险,比如立法要求虚拟货币发行人或交易平台发展先进的信息技术、加密技术、密钥管理技术和数字签名技术;就后者而言,如果在虚拟货币不具有货币法定地位的当下,并无特别立法要求,而如果今后立法赋予其从虚拟经济走向实体经济的可能性,则需要特别注意以下四个方面的制度供给:
第一,强行限制比特币等虚拟货币的使用价值,反而助长了市场的投机氛围,不如适度放开,但是要在使用范围上加以控制,比如允许零售业内可以小范围使用虚拟货币进行支付;
第二,在金融交易足以维持远高于实物交易收益水平的情况下,对金融交易提供税收优惠等形式呈现出的税收补助,并无必要,且金融市场虚拟化的加深,既造成金融市场净产值虚增,又扭曲了收入分配[51],应该通过金融交易税的制度建构,抑制投机、维持金融秩序,并降低我国的税款流失风险;
第三,对虚拟货币发行人进行审慎监管,一是强化流动性风险监管,比如要求其提取存款准备金,以保证虚拟货币与现实货币在极端情况发生时可进行最低限度的正常兑换,二是要求其进行信息披露,以破解网络空间带来并加剧的信息不对称、及衍生的道德风险;
第四,通过程序和标准立法,规范虚拟货币的交易平台,比如建立监管机构与平台间的数据交换机制,这可以降低洗钱等行为发生的可能性。
网络融资是目前互联网金融领域存在安全风险最大的业态形式,需要通过加强市场监管来加以规制。网络融资主要分为P2P网络借贷和网络众筹两种模式,前者即个人对个人的直接借贷,主要依据P2P平台进行,后者则依托众筹融资门户,系一种利用社交网络由大量人群集体协作完成的融资方式。
1.安全风险
网络融资需要面对的安全问题,最大特点是网络安全风险与金融安全风险的叠加。传统金融业存在的道德风险、市场风险和信用风险,在网络融资层面也存在,而且由于网络融资的信息不对称等特征,这方面的风险较之传统金融形式更加突出;与此同时,由于互联网金融企业多拥有开放式网络通信系统,服务器暴露于开放的网络空间,所以还可能产生网络安全方面的风险。[52]具体来说,这一领域的安全问题包括但不限于以下几种:
第一,信用风险,是危害互联网金融消费者权益、进而危害金融秩序的首要因素。网络融资之所以作为一种“微金融”得以兴起,得益于中小企业融资难的大环境;而互联网具有强大的信息收集、处理和匹配能力,能比较便捷地撮合资金富余的贷款人与资金匮乏的借款人。但是,“在互联网,没人知道你是一条狗”,也即网络空间条件约束下,金融消费者(包括借、贷双方)很难准确甄别出交易对方的信用情况。这里具体区分P2P网络借贷和网络众筹两种业态模式分别讨论。
在P2P网络借贷场合,最重要的风险在于现有网络借贷平台未与第三方征信系统对接,而且部分P2P平台可能基于业绩考虑,在风险控制上“睁一只眼闭一只眼”;而且受限于互联网金融的“远程性”特征,对于贷款的用途如何进行监管也是难以解决的问题,这就增加了运用贷款进行投资“血本无归”的可能性。现下有部分P2P平台基于吸引潜在客户、“小舍大得”的考虑,为兑付允诺收益而独自承担贷款的信用风险,这给平台运行带来巨大的系统性风险。一旦系统性风险爆发,最终损害的是金融消费者的权益和整体的金融秩序、经济安全。
在网络众筹场合,通过众筹募集资金的基本上都是并不成熟稳定的小微企业,而这些小微企业更容易出现经营失败[53],而在众筹平台上提供资金的则以不具备专业信息搜集和分析能力的中小投资者为主体,这部分投资者资金实力和风险承受能力有限,很难享受到“资本盛宴”,更易品尝到投资失败的苦酒。而且互联网信息的芜杂、网络空间里集体非理性易发的特征,恰是欺诈行为最容易滋生的土壤。所以,这里存在的“市场失灵”,需要更强有力的市场监管。
第二,互联网金融消费者的隐私面临被泄漏或是被侵犯的风险。网络融资等业务的开展,需要消费者提供大量的个人信息,比如身份、财产、信用、家庭成员、兴趣爱好等;而在“大数据”时代,企业间开展竞争甚至可以精确到“定向”针对不同客户提供不同服务,这就使得互联网企业搜集的消费者个人信息弥足珍贵,这也增加了信息流失的可能性。有的企业利用非法手段采集客户个人信息,有的企业因保护不到位致使信息泄漏,有的企业甚至通过恶意倒卖个人信息谋利。[54]尤其是在网络金融的关键基础设施安全保障方面,由于技术水平的不足、特别是安全意识的匮乏,使这些设施安全风险较大,加剧了网络安全和金融安全遇到的威胁。
第三,网络融资中的金融消费者权益还可能受到多种形式的侵害。比如,网络黑客攻击、电脑病毒侵入,容易引起消费者财产损失;又如,融资双方无法现场确认对方身份,所有信息均通过网络传输,这即存在信息被盗取、篡改、假冒等情形的出现;等等。此外,网络融资中多为中小投资者,由于其投资额小且分散,作为个体投入相当精力对互联网金融机构进行必要监督的成本远高于收益,所以在“搭便车”心理作用下相关市场的纪律更容易涣散;再加上涉及人数众多,所以可能带来所谓“长尾”风险。[55]
2.法律束缚与法律缺失
有学者将互联网金融视为“既不同于商业银行的间接金融模式,又不同于资本市场的直接金融模式的第三种金融模式”,认为因传统法律制度无法进行有效规制而使得此种新型互联网金融模式游走于法律空白地带。[56]其实,谓其游走于“法律空白地带”或许并不恰切:仍以网络融资为例,虽然在狭义金融法中未见直接对应的制度设计,但是在公司法、证券法乃至刑法中却有相关的规范内容;职是之故,称为游走于“法律模糊地带”,许是更为准确。
若论“相关法律”,则不在少数;但要言“精确制导”,则力所不及。本质上,是因为将实体经济基础上建构的法律制度生搬硬套到网络经济,产生的不适配性。形象地说,现行的互联网金融法制,可谓“穿着皮靴子跳舞”,音乐响起,才发现移动的步伐并不灵敏。
(1)《证券法》《公司法》的“削足适履”与《刑法》的“紧箍咒”
网络众筹,尤其是其中最符合“众筹”本意的股权众筹,一不小心就会触碰到法律划定的“红线”。
《公司法》第24条规定,有限责任公司由50个以下股东出资设立;第78条规定,设立股份有限公司,应当有2人以上200人以下为发起人。采用股权众筹募集资金的主要是中小企业,基本采用有效责任公司的形式;而众筹融资的一大特点就是投资者众多,很容易即超出公司法有关股东人数的限制。现实当中可能通过隐名股东等形式进行法律规避,但是此种法律规避是否合法尚存争议,况且当下因隐名出资而引起的法律纠纷日多[57],可见此非长久之策。
《证券法》第10条规定,公开发行证券,必须符合法律、行政法规规定的条件,并依法报经国务院证券监督管理机构或者国务院授权的部门核准;未经依法核准,任何单位和个人不得公开发行证券。该条将向不特定对象发行证券的、向特定对象发行证券累计超过200人作为“公开发行”的情形。而如果视为公开发行,则需要发行人在组织机构、盈利能力、财务状况等方面满足法律规定的条件,这对于大多数意图通过众筹融资的企业来说,都难以达到。所以,现实中再次出现“绕着走”的奇特现象。针对发行对象的200人限制,相对容易规避,比如“大家投”要求项目中领投人和跟投人的最低投资额度分别为项目融资额度的5%和2.5%,这样参与每一个众筹项目的人数是不可能累计超过200人的,当然,这也部分偏离了众筹“众人拾柴”的本意。而针对“不特定对象”的红线,众筹平台则可能通过实名认证、提交资质证明等方式将“不特定”转化为“特定”,但是,这种方式也还是存在法律风险,取决于裁判者如何认定“特定”。
《刑法》有三个条文给网络融资戴上了“紧箍咒”。该法第176条规定了非法吸收公众存款罪和变相吸收公众存款罪,第179条规定了擅自发行股票、公司、企业债券罪,第192条规定了集资诈骗罪。股权众筹、尤其是在众筹失败时,很容易触犯前述条文,这种法律风险比较明显。此外,P2P网络借贷同样可能触发“紧箍咒”。部分P2P平台办资金池,或是集担保、借贷于一体,这就触碰了非法吸收公众存款的法律红线。
客观地说,这些规定对于防范经济风险,是有一定作用的,比如刑法上非法集资罪的设置就是为了避免“扰乱金融秩序”。但是,这些规定主要指向的是实体经济时代,面对网络时代出现的新情形,显得不灵便,比如网络人群的“高密度”使公司法、证券法有关人数的制度要求很容易被逾越,进而产生是“刚性执法挫伤经济活力”、还是“选择性执法损害法律权威”的两难抉择。而就在这种法律的摇摆不定中,前述网络安全、经济安全所面对的一系列挑战,却并未被真正解决。
(2)《消费者权益保护法》的“鞭长莫及”
《消费者权益保护法》受其“适用范围”条款的限制,效力不足以辐射到互联网金融消费者保护的场合。该法第2条对“消费者”所下定义强调“为生活消费需要购买、使用商品或者接受服务”;而在互联网金融场域,金融消费者或为投资、或为募集资金,很难说是基于生活消费需要。这就注定了该法对消费者权益的较为完备的规定,无法在此次适用。
(3)金融监管体制法的“南橘北枳”
其实,从总体上看,现行金融监管体制在网络环境下的“手足无措”,同样是监管失效、互联网金融安全隐患丛生的制度性诱因。我国金融体制改革的一项重要内容就是从过度集中管理模式,转变为适度分权模式,重要体现之一即是将原来由央行集中管理的银行业、证券业和保险业分开由三个主管部门来管理,分别成立证监会、保监会和银监会专门监督管理证券市场、保险市场和货币信贷市场的经营。[58]但是,互联网的开放性使得金融市场“分业经营、分业监管”的模式面临极大挑战。建立在互联网上的金融交易平台之间能通过超链接便利地实现跳转,不同金融机构之间的合作和混搭在技术上也具备相当的可行性,也即互联网的存在使得不同金融行业物理隔离的有效性大为减弱。[59]而伴随着互联网上的金融创新在竞争压力驱动下愈演愈烈,现行分业监管体制的“力不从心”表现得愈益明显。以余额宝为例,支付宝沉淀资金系第三方支付业务,归口央行监管;客户将钱转入余额宝实为购买天弘货币基金,归口证监会监管;而天弘货币基金绝大部分款项以一般协议存款形式回到银行,又归口银监会监管。[60]对同一个产品,不同部门的监管各管一块,极易产生“九龙治水”的局面。2013年8月,国务院为进一步加强金融监管协调,保障金融业稳健运行,同意建立由中国人民银行牵头的金融监管部际联席会议,职责之一即是“交叉性金融产品、跨市场金融创新的协调”。这当然在一定程度上有助于改善监管漏洞,但“部际联席会议”的现实生态是其运行效果有时不尽如人意,而互联网与金融的结合又格外容易酝酿系统性风险。监管漏洞、监管盲区的存在,不利于防范金融风险,毕竟,对于一国整体而言,有的时候,金融创新再向前一步,可能就是金融风险。
3.国外立法经验
针对网络融资、乃至整个互联网金融存在的安全问题,各国进行了一系列立法探索,值得我国加以关注的典型经验主要有:
(1)建立金融消费者保护的专职机构。2011年2月,英国发布金融改革白皮书,决定建立金融行为监管局,接管消费者保护的职能;同年6月,美国通过《多德—弗兰克法案》,在美联储内部建立消费者金融保护局,将过去由财政部、货币监理署等七家机构共同行使的金融消费者保护职责统归其一体行使。[61]
(2)对网络众筹融资进行特别的制度安排。2012年4月,美国总统奥巴马签署《企业振兴法案》(简称“JOBS法案”),意在通过放宽外部监管以鼓励中小企业融资,达到保护投资者和促进资本形成的平衡。该法案的核心内容是对发行人的资质条件和发行行为进行限制,对众筹融资平台进行限制,对投资者进行适当性监管。[62]该法案的放松监管则表现在为众筹融资创设了对于联邦证券法的豁免[63],豁免众筹门户作为经纪商或承销商注册的义务。[64]
通过比较可见,对金融消费者保护的相关国际立法经验,中国现阶段采用可能有一定的难度,但可以作为努力方向;至于前述对众筹融资特别豁免的制度安排,虽然有助于缓解中小企业的融资难之现状,但是其对安全风险的规避不甚得力,在中国目前网络安全和金融安全整体环境不佳的前提下,借鉴时应该更加慎重。
4.立法建议
根据前述分析,拟提出如下立法建议:
(1)在网络安全立法中专设一章、至少集中制定几个条文,专门规定网络金融安全的相关问题。由于网络金融总体上尚属于新生事物,而且还处在不断发展、变化之中,因此特别具体的规定不现实,可以首先规定网络金融监管的基本原则(审慎监管与行为监管并重、政府监管与行业自律结合)、监管机构设置等原则性问题。
(2)关键基础设施安全的保障和法律责任条款。将基本的安全保障责任配置给网络服务提供者,并且设置专门的监管机构、规定监管程序和责任条款。
(3)针对P2P网络贷款等可能存在的安全风险,设计相关监管规则[65]:准入监管,主要是建立基本准入标准,建立“谁批设机构、谁负责风险处置”的机制;运营监管,主要是规定P2P平台仅限于从事金融信息服务业务、不得直接参与借贷关系,P2P平台如果通过风险储备池方式承担信用风险,则必须遵循与银行资产损失准备金、资本相当的监管标准,P2P平台严格隔离自有资产与客户资金、对后者实施第三方账户管理,P2P平台采取有效手段对客户身份进行识别、认证,建立合格投资者制度;信息监管,要求P2P平台完整保存客户资料,不得虚构债权或篡改借贷信息,充分履行风险告知义务,如实披露经营信息,保障客户信息安全、尤其是防止客户信息的灭失、损毁和泄漏。
(4)针对股权众筹的法律规制,由于现行《证券法》《公司法》《刑法》等法律制度的束缚,使得真正意义上的股权众筹尚难以展开;所以只有待这些法律作出相应调试以后,才有特别设规立范的必要。现阶段,可以参酌前述针对P2P网络贷款的制度设计,借鉴适用。
总体上讲,互联网金融对网络安全的危害比较间接,主要是在关键基础设施安全和交易安全两个层面,其中交易安全是主要方面;而交易安全又涉及狭义网络安全和狭义金融安全两个层面。此外,这部分涉及的某些内容,可能与一般网络环境下的安全问题并无特别之处(也可能是,仅仅是稍有特别、并无质的区别)。所以,我们比较认同的立法模式是:网络安全立法采用“单行法+配套法律、法规”结构,其中在单行网络安全立法中设置若干条文规定网络金融安全的重要事项和基本原则,更为具体、详尽的制度安排体现在其他“外围”法律、法规中。
二、网络环境下的消费者保护:以个人数据隐私保护为中心
在网络时代,个人隐私的保护遇到更多新的困难:相关主体变得复杂化和大众化,不再局限于特定主体;由于信息技术和服务的发展,收集和获得个人隐私的成本急剧下降,而市场需求显著上升,使得个人数据隐私的供给与需求关系面临巨大压力。[66]网络环境下,消费者在网上购物、使用搜索引擎,甚至简单地浏览网址,都或多或少地通过相关数据透露出个人的隐私信息,比如性别、年龄、兴趣爱好、经济情况、家庭成员,等等;更遑论前述互联网金融之类的业务通常要求消费者提供准确的个人信息。所以,在如今这个信息时代,对于网络消费者的权益保护,是极为必要的,而这种消费者保护的一个重心,即是对个人数据隐私的保护。传统民法也有隐私权保护的制度规范,但主要是调整平等主体之间的法律关系,而此处发生在网络服务商和服务对象(网络消费者)间的围绕数据隐私而展开的法律关系,带有一定程度的公私法交融特征;而且,私法的分析和规制路径是以损害后果的发生或即将发生作为前提,而对于有损害后果发生风险的情形,则无能为力;相应的,私法所提供的救济一般是事后救济,无法对权利滥用过程进行事中规制。[67]此外,传统的《消费者权益保护法》在此题域项下也是力有不逮,且不论《消费者权益保护法》中对“消费者”的定义难以扩及于此种情形,该法的适用对象主要是生产者、经营者与消费者之间的商品、服务买卖活动,很难适用于网络空间中更为常见的免费服务基础上的服务商和服务对象之间的支配关系。职是之故,这种对网络消费者的保护、对“私权力”运行的规制,需要专门的网络消费者数据信息保护之经济立法始得为之。
网络信息安全是网络安全的重要组成部分。梳理中国现下的网络法律、法规,有不少涉及网络消费者个人数据隐私保护的内容,但是内容规定比较零散,统一的立法更是尚付阙如。全国人大常委会于2000年通过《关于维护互联网安全的决定》,这是具有法律效力的规范性文件,特别强调要“保障互联网的运行安全和信息安全”,但是相关内容原则性比较强,比如第7条规定“在促进互联网的应用和网络技术的普及过程中,重视和支持对网络安全技术的研究和开发,增强网络的安全防护能力”,主要起到指引性作用。几乎与此同时,国务院在2000年发布《电信条例》,在其第五章“电信安全”中,于第58条规定,“任何组织或者个人不得有下列危害电信网络安全和信息安全的行为……利用电信网从事窃取或者破坏他人信息、损害他人合法权益的活动……”。《互联网信息服务管理办法》是行政法规层面对于网络信息安全规定相对细致的文件,其第6条要求,“从事经营性互联网信息服务,除应当符合《中华人民共和国电信条例》规定的要求外,还应当具备下列条件……有健全的网络与信息安全保障措施,包括网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度……”。在其他规范性文件中,对于网络消费者个人数据隐私的保护,关联度更加间接,如《互联网上网服务营业场所管理条例》等。
通过对前述既有规范性文件进行检索,可以得出目前我国在个人数据隐私保护方面的立法,存在以下突出问题:从形式上看,缺乏网络个人数据保护的统一立法,专门监管机构也无从谈起,规范内容散见于不同规范性文件中,很难形成完整、周延的保护体系;从内容上看,既有规定内容很不全面,而且过于抽象,不具可操作性,比如泛泛而谈不得危害信息安全,要求建立网站安全保障措施、信息安全保密管理制度、用户信息安全管理制度,已经算是相对来讲较为细致的规定。
需要注意的是,2011年1月14日,工业和信息化部电信管理局发布了《互联网信息服务市场秩序监督管理暂行办法(征求意见稿)》,向社会各界征求意见。相对而言,该办法对于网络消费者保护的规定,有不少具体规定,尤其是在第二章“互联网信息服务市场行为规范”中,有数个条文值得关注。这当中,涉及个人数据信息隐私保护的是第12—14条。第12条规定:“互联网信息服务提供者应尊重用户隐私,维护个人信息安全,规范个人信息处理行为。未经法律法规的明确授权或用户的明示同意,互联网信息服务提供者不得擅自收集和处理用户的个人信息。如确需收集和处理用户身份、行为等个人信息,收集的个人信息应与所提供服务直接相关,并明确告知用户所收集和处理信息的内容和用途,不得超越服务范围收集个人信息。除法律另有规定外,任何组织或个人不得以任何理由向第三方提供用户个人信息……。”第13条规定了互联网信息服务提供者对用户信息承担的保密义务,以及加强系统安全保护的要求;第14条则明确列示了互联网信息服务提供者不得进行的侵害网络消费者个人数据信息保护的三种行为。[68]但是,《暂行办法》征求意见之后未见下文,而且即便就其内容而言,也还是存在不少遗漏,并不足以撑起网络消费者个人数据隐私保护的大厦。对此,不妨借鉴国外的立法经验,加以对比。
综合考察美国《消费者隐私权利法案》、欧盟个人数据隐私保护立法、日本网络安全立法以及OECD《关于隐私保护与个人资料跨国流通的指针的建议》(以下简称“OECD建议”)等文件,对于网络消费者个人数据隐私保护的立法,主要有以下几方面内容。
1.个人控制
美国《消费者隐私权利法案》规定消费者有权控制企业对个人数据的收集和使用行为,既包括消费者能够对个人数据的收集、使用和公开作出充分的考虑和选择,也包括消费者应该得以同样简便的方式撤销或限制这种同意。第三方同样应赋予消费者与个人数据的数量、范围和敏感度相匹配的选择权,当该第三方与消费者无直接接触时,个人控制需要与透明度原则与制度结合起来,使公民有权知悉数据如何被收集、使用和传播,同时有权接入和更正相关数据。[69]日本《特定电讯服务提供者的损害赔偿责任限制及发信人信息公开法》在网络消费者个人控制方面有一个制度安排值得借鉴,该法第4条规定了发信人的信息开示请求的权利。[70]欧盟在2009年通过了《更好规制指令》与《公民权利指令》,在个人数据保护方面强调运营商数据侵权强制通知义务及用户终端存储信息同意原则,相关规定明显提升了欧盟国家对个人控制的保护力度。比如,成员国法国之前立法规定网站将“cookie”载入个人电脑以收集数据前需要通知用户,用户可以反对,但是实践中往往通过“使用条款”规避这个规定;而在前述两个指令出台后,法国修改国内法《信息、档案与自由法》,规定“电信服务数据处理负责人或其代表应以明确完整的方式通知电信用户:1.通过电信方式进入电信终端存储信息及向终端存储信息的目的;2.用户反对的方法。用户收到该通知后,只有明确表示同意后数据处理者才能进入或储存用户信息……”。这明显增强了网络消费者个人对数据信息的控制力。OECD建议设置了限制收集原则,要求“对个人资料的收集加以限制,应该用合法的、公正的手段获取资料,必要时,应得到本人的同意或告知本人”。[71]
2.透明度
美国《消费者隐私权利法案》规定消费者有权无障碍理解和获取有关隐私及其安全保障的信息,法案要求企业清楚说明如下内容:收集个人数据的种类;收集个人数据的原因;收集个人数据的用途;在何种条件下删除数据或删除数据中消费者的身份信息;是否与第三方分享个人数据以及分享目的。法国国家信息与自由委员会制定的《互联网个人信息保护指南》中还建议,发布涉及未成年人的个人信息,尤其是照片,必须得到其父母的明确许可。[72]加拿大《个人信息保护和电子文件法》中要求收集、使用和披露个人之前要进行告知并取得同意,这一原则不仅要求社交媒体付出努力使用户知道其收集使用信息的目的,而且要采取合适的、能为用户所理解的方式取得同意。[73]
3.情境一致
美国《消费者隐私权利法案》规定消费者有权期望企业收集、利用和披露个人信息的方式与其提供信息时的情境协调一致。OECD建议确立的目的明确原则,其实是就“情景一致”而言的,其规定:“个人资料的收集目的在收集前就应明确,其后的利用仅限于实现收集目的和与最初的收集目的不相抵触的其他目的,目的变更时目的也应该是明确的。”其后又规定了限制利用原则,也即不得为明确目的以外的目的揭露、提供或利用个人资料,除非消费者本人同意或有法律规定。
4.数据安全
美国《消费者隐私权利法案》规定消费者有权享受数据得到安全和负责任的处理。《欧盟网络安全战略》要求“任何威胁私人数据安全的信息共享行径都应当受到《欧盟数据保护法》的规制,并且应当充分考虑该领域内的个体权利”。OECD建议设计了安全保护原则,“应该以合理的安全措施保护个人资料,以免资料面临遗失、不法接触、毁坏、利用、变更或者揭露的危险”。
5.接入权与准确性
美国《消费者隐私权利法案》规定消费者在个人数据有误时,有权获取及更正以可用格式存在的个人数据。OECD建议设计的个人参与原则与此类似,其规定消费者个人有权向资料控制者或其他人确认是否保有与其有关的资料,有权在合理期间内、以不过分的费用、合理的方式、容易理解的形式知悉有关自己的资料,在行使权利遭到拒绝时提出异议,对有关自己的资料提出异议且于异议成立时,得对资料进行删除、修改、完善或者补正。
6.数据信息删除权利
美国《消费者隐私权利法案》规定企业收集个人数据应当以他们足以实现“情境一致”原则所允许的特定目标为限,当企业不再需要个人数据时,应以安全方式删除数据或清除数据中的身份信息。法国《互联网个人信息保护指南》也建议个人信息的保存期限应根据用途确定,在任何情况下,信息权利人都有权随时要求删除其个人信息。加拿大《个人信息保护和电子文件法》赋予公民另一项基本的隐私权利,也即被忘却的权利,指社交媒体和其他网络公司因为商业目的而保留信息应有一个合理的期限,期限过后就理应删除而不能永久保留。[74]
7.企业责任原则
美国《消费者隐私权利法案》规定企业应当采取适当措施以确保消费者信息安全,企业应当就此向执法机关和消费者负责,同时也应要求其雇员遵守责任原则。企业在条件允许时应进行全面的审计监督。企业若将个人数据向第三方公开,应确保该第三方企业遵守法案规定的原则。加拿大《个人信息保护和电子文件法》要求企业必须对消费者负责,必须尽最大努力保护和尊重其隐私,包括雇用受过训练的、负责隐私的职员,设立专门的内部机构。OECD建议也要求“资料控制者有义务遵守根据以上原则而采取的措施”。
我国的网络安全立法,应当采用“单行立法+相关配套法律、法规”的多层次结构;其中,网络消费者个人数据信息的安全属于网络安全中极为重要的组成部分,而且现实中侵犯这部分信息安全的现象层出不穷,因此,应当在网络安全基本立法中重点予以规定。具体而言,在网络消费者个人数据隐私保护方面,立法应当考虑规定以下几方面的内容:
1.网络消费者对个人数据信息的控制权
(1)企业应为网络消费者提供适当的控制个人数据收集、使用和公开的手段;
(2)企业应提供给消费者以同样简便的方式撤销或限制对个人数据的收集、使用和公开;
(3)当面向消费者的企业与直接获取消费者个人数据的第三方企业签订合同时,前者应该尽勤勉调查义务,确保该第三方企业将赋予消费者就个人数据的收集、使用和公开以适当的选择权,并提供同样简便的方式撤销或限制对个人数据的收集、使用和公开;
(4)第三方企业应赋予消费者就个人数据的收集、使用和公开进行选择的权利,并可撤销对第三方企业控制个人数据的授权。
2.网络消费者有权充分获取和了解有关其隐私及安全保障的信息
(1)企业对于信息的提供,应当在最有利于消费者理解隐私风险和实施个人控制的时间和地点为之;
(2)企业应当清楚向消费者提供的信息包括但不限于:收集个人数据的种类;收集个人数据的原因;收集个人数据的用途;在何种条件下删除数据或删除数据中消费者的身份信息;是否与第三方分享个人数据以及分享目的;
(3)第三方企业应详尽地告知消费者其收集、使用及公开个人数据的情况;
(4)消费者系未成年人的,企业或第三方应当向其监护人提供信息。
3.网络消费者有权要求企业收集、使用和公开个人信息的方式与其提供信息时的情境一致
(1)企业在收集数据时应有明确目的,且该目的应当通过适当方式提供给消费者;
(2)企业只能以其收集数据时的特定目的为限使用消费者的个人数据;
(3)企业在收集个人数据之后决定以与当初告知消费者的特定目的不相符合的方式使用,必须使消费者明确获知该情况,并且作出明确的肯定意思表示。
4.企业应审慎评估消费者个人数据被侵犯的安全风险,并采取合理的安全措施防范可能出现的(1)数据丢失;(2)数据被非法获取、使用、损坏或修改;(3)数据被不当公开的风险。
5.企业应确认其保存的个人数据准确
(1)企业应采取合理的措施确保其保存的是准确的个人数据;
(2)当出现保存个人数据不准确时,企业应为消费者提供合理的接入权限,使其得请求更正、删除个人数据或限制错误个人数据的使用;
(3)企业采取的保障措施应当与消费者个人数据的规模、范围、敏感程度,以及相关数据的使用可能造成的损害相适应。
6.网络消费者有权合理限制企业对个人数据信息的保存
(1)企业收集和保存消费者个人数据信息以告知消费者的特定目的为限,当企业不再需要个人数据后应合理、及时、安全地删除个人数据或清除个人数据中的身份信息;
(2)当企业不主动履行前项义务时,消费者得主动申请企业删除个人数据或清除个人数据中的身份信息。
7.企业应采取必要措施以确保消费者个人数据信息安全
(1)企业应对其雇员进行培训以使其合乎法律规定地使用消费者个人数据;
(2)企业应定期对消费者个人数据信息安全的保障情况进行绩效评估,可以通过审计监督的方式为之;
(3)企业如向第三方公开消费者个人数据,应确保该第三方企业同样履行确保数据安全的义务。