来源:电信世界 时间:2017-08-08 14:23:33 作者:赵淑钰
电信领域个人信息保护立法
——中国与欧盟的路径比较
2017年1月欧盟发布了“隐私和电子通信条例”,对电子通信领域的隐私保护进行了专门的规定。我国于2013年也颁布了《电信和互联网用户个人信息保护规定》。本文拟通过对比我国与欧盟在电信领域个人信息(隐私)保护方面的法律制度构建情况,为进一步完善我国的个人信息保护制度提供参考。
一、欧盟电信领域个人信息保护制度
(一) 欧盟个人信息保护立法进程
1995年,欧盟颁布了“数据保护指令”,而后互联网的快速发展使通信领域发生了巨大变化,数据保护的范畴需要延伸至电信及其他数据技术领域。在此背景之下,2002年欧盟发布了“隐私和电子通信指令”(以下简称ePrivacy指令),对通信领域的隐私保护进行了专门规定。该指令只适用于传统电信服务提供者,并未将信息服务提供者纳入适用范畴。2016年,欧盟颁布“数据保护通用条例”(General Data ProtectionRegulation,以下简称GDPR)取代了1995年颁布的“数据保护指令”,旨在进一步加强对个人数据权利的保护。为适应实践发展的现实需要,同时与GDPR中的相关规定保持一致,欧盟于2017年1月通过了“隐私与电子通信条例”(以下简称ePrivacy条例),希望以此取代原ePrivacy指令。
ePrivacy条例与GDPR共同构成了欧洲“单一数字市场”下数据保护的法律规制框架,二者是特别法与一般法的关系。但从最基本的权利来源来说,二者即存在差异。GDPR的基本权利原则来源是“欧盟基本权利宪章”第8条,即个人数据保护权;而ePrivacy条例的权利基础则植根于第7条,即通信秘密权。虽然二者之间会存在重叠之处,但在具体的法律的解释和适用中则会有不同的倚重。
GDPR仅是规定了数据保护的一般原则,其侧重于对于个人数据权利的保护,无法涵盖所有涉及个人通信秘密和自由的内容。而且,由于电信领域本身的特殊性,电信领域的特有的数据类型(如cookies的收集规则、流量数据(traffic data)的留存与使用等)无法均在GDPR中得以体现。因此需要对电信领域的隐私和数据保护进行专门的规定。
(二) ePrivacy条例的主要条款内容
ePrivacy条例共有七章、二十九条。其中主要的制度性内容主要包括以下几个方面:
1、适用对象
ePrivacy条例适用于与提供和使用电信服务相关的电信数据,以及与终端用户的终端设备相关的信息。下列活动使用该条例:(1)向终端用户提供电信服务;(2)使用向终端用户提供的电信服务;(3)终端设备的相关信息的保护。
2、电子通信数据可处理的情形
条例第六条分三款分别规定了电子通信数据、电子通信内容、电子通信元数据可以进行处理的情形。
电子通信数据可处理的情形包括:(1)为达到通信传输的需要;(2)为保证电子通信网络和服务的安全性,或为检测电子通信传输中的错误的需要。电子通信元数据可处理的情形包括:(1)为达到电子通信服务强制性质量要求的需要;(2)为付费、计算互联费用、检测或停止欺诈或滥用的需要;(3)用户同意为实现特定的服务目的而使用其元数据,且该服务目的通过使用匿名化数据无法实现。电子通信内容可处理的情形包括:(1)用户同意为实现特定的服务目的而使用其电子通信内容;(2)所有用户都同意为实现特定的服务目的而使用其电子通信内容,且经得监管部门的同意。
3、电子通信数据的删除与存储
根据条例第7条规定,接收者收到电子通信内容之后,服务提供者应当删除该内容或对数据进行匿名化处理。这些数据可以由终端用户或其信任的第三方存储。当传输通信的目的达成后,服务提供者应当电子通信元数据或进行匿名后处理。但当处理元数据是为了收取服务费用时,服务提供者可以保存到用户支付相应的费用。
4、 对终端设备相关信息的保护
除用户外,其他任何人不得使用终端设备的处理和存储数据的功能,或收集终端设备中的信息。以下情况除外:(1)为实现电子通信传输的必要;(2)已经获得了终端用户的同意;(3)提供电信服务的需要;(4)网络用户测量的需要。任何人不得收集终端设备与其他设备或网络设备关联时发出的信息。除非只是为建立关联的需要;或已经事前明确告知用户收集的方式、目的、负责人以及用户停止或减少信息收集的措施。
5、用户同意
收集、使用用户的个人数据应当经用户同意。但用户可以随时撤回处理其电子通信数据的同意。而且只要数据处理在继续,电子通信业务经营者应当每6个月提醒其具有撤回同意的权利。
6、隐私设置
电子通信软件应当设有防止第三方存储或处理用户信息或终端设备中存储的信息的安全措施。软件在安装时应当告知用户其中的隐私设置,并经得用户同意。
7、发送商业信息
在用户同意的前提下,自然人、法人可以利用电子通信直接向终端用户发布商业信息,但顾客必须有权拒绝,且发送者不得向用户收费,发送者应当明确告知用户可以任何方式撤回同意。拨打营销电话必须符合特定条件,即显示可联系的线路身份;或提供明确的代码或前置性标识显示是营销电话。
8、独立的监管部门
条例第18条规定,应当建立独立的监管部门监督条例的实施。
9、术语定义
条例第4条规定了重要术语的定义,其中明确了电子通信数据、电子通信元数据和电子通信内容的定义。电子通信数据包括电子通信内容和电子通信元数据。电子通信内容是指电子通信服务中交换的内容,例如短信、声音、视频、图片等。电子通信元数据是指在电子通信网络中传输、分发、交换的电子通信内容;包括追踪、确定通信来源和目的的数据,电信服务中设备的位置数据,以及通信的日期、时间、时常和类型等的数据。
二、中国电信领域个人信息保护制度
目前,我国尚未有关于个人信息保护的专门立法。2012年全国人大常委会发布的《关于加强网络信息保护的决定》,在我国首次从法律层面对个人信息保护制度进行了规定。2013年7月,为在电信和互联网领域更好的落实《关于加强网络信息保护的决定》,解决“部分电信业务经营者、互联网信息服务提供者对用户个人信息安全重视不够,安全防护措施不完善,管理制度不健全,信息安全责任落实不到位”[1]的问题,工业和信息化部公布了《电信和互联网用户个人信息保护规定》,进一步明确了电信业务经营者、互联网信息服务提供者对于用户个人信息收集、使用与保护的规定。
《电信和互联网用户个人信息保护规定》共六章、二十五条。其中核心性制度规定主要包括四个方面:
一是,用户个人信息的定义。《电信和互联网用户个人信息保护规定》采取特征描述与肯定列举相结合的方式,明确了用户个人信息是“用户电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的,能够单独或者与其他信息结合识别用户的信息”,其中包括“用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码以及使用服务的时间、地点等信息等”。
二是,电信业务经营者、互联网信息服务提供者对于用户个人信息的保护义务。除收集使用原则、明示同意原则、严格保密等义务外,《电信和互联网用户个人信息保护规定》中还明确了对于代理商的管理,即电信业务经营者、互联网信息服务提供者“委托他人代理市场销售和技术服务等直接面向用户的服务性工作,应当对代理人的用户个人信息保护工作进行监督和管理”。
三是,电信业务经营者、互联网信息服务提供者的安全保障措施。《电信和互联网用户个人信息保护规定》专章对安全保障措施进行了细化规定,内容涉及工作流程、安全管理制度、人员管理、人员培训、载体存储、接入审查等内容,同时规定了应急补救、定期自查等制度。
四是,监管部门的监督检查制度。《电信和互联网用户个人信息保护规定》中明确了电信管理机构监督检查的内容、方式、保密义务等,并强调电信管理机构对电信业务经营者、互联网信息服务提供者违反规定的行为可“记入其社会信用档案并予以公布”。
《电信和互联网用户个人信息保护规定》的颁布实施,为电信业务经营者、互联网信息服务提供者在日常业务中更好的保护用户的个人信息提供了明确的指引,对于解决我国在电信和互联网信息服务中存在的用户个人信息保护不足等问题有着重大的实践意义,足见国家对于电信领域个人信息保护的重视程度。近年来,随着大数据应用的普及,数据安全、个人信息保护在法律体系中的地位日渐凸显,多部新出台或修订的法律法规对于个人信息保护也都有涉及。如2016年11月公布的《网络安全法》,作为网络领域的基础性立法,对网络信息安全进行了专章规定,进一步明确了网络运营者对用户个人信息保护的义务。2017年1月公布的《民法总则》,也明确了个人信息权作为公民基本民事权利的属性。随着立法的不断推进,我国个人信息保护法律制度正逐步构建并完善起来。《电信和互联网用户个人信息保护规定》实施已有四年,新技术、新业务的不断涌现对于电信和互联网领域的个人信息保护提出了新的要求。同时,以欧盟为典型代表的多个国家和地区也纷纷出台或修订了电信领域的个人信息保护规定。我国应当考虑借鉴欧盟或其他国家和地区的立法经验,对规定的内容进行更新或补充,或在推进个人信息保护专项立法中增加对于电信领域个人信息保护的规定。
三、中国与欧盟的路径比较与启示
(一) 中国与欧盟的路径比较
欧盟有关个人信息保护的立法往往将保护公民的个人信息权利作为首要考量,特别是GDPR颁布以来,欧盟更是加大了对于个人信息权利的保护强度,而GDPR基础之上制定的ePrivacy条例也正体现了这一立法倾向。ePrivacy条例颁布时间不长,其更能反映目前互联网产业、大数据应用发展中的新要求。因此我国对于电信、互联网领域个人信息保护的制度构建应当积极参照ePrivacy条例中的相关规定。
ePrivacy条例与《电信和互联网用户个人信息保护规定》在电信领域个人信息(数据)保护方面存在很多共通之处。如都规定了电信服务提供者有保护用户个人信息安全的义务;电信服务提供者必须出于提供服务的需要才能收集、使用用户的个人信息,且必须经用户同意;以及发生用户信息泄露时应当及时报告数据保护监管部门等。二者之间的区别则主要体现在以下几个方面:
1、基本权利来源不同
ePrivacy条例旨在保护公民的通信秘密不受侵犯,而《电信和互联网用户个人信息保护规定》则主要是为保护在电信和互联网领域的公民个人信息权利。基本权利来源的属性不同,导致二者在规定电信领域公民个人信息(数据)的保护中侧重不同。ePrivacy条例侧重于保护公民通信过程的私密性,《电信和互联网用户个人信息保护规定》则侧重于保护与个人身份相关信息的安全性。
2、适用对象
《电信和互联网用户个人信息保护规定》仅是对电信和互联网领域能够识别用户个人身份的信息。而由于GDPR中已经对个人数据进行了详细的规定,作为特别法的ePrivacy条例则只是对提供和使用电信服务中涉及的相关电信数据,以及与终端用户的终端设备相关的信息进行了规定。《电信和互联网用户个人信息保护规定》中并未涉及对通信领域特有的数据(如Cookies,通信内容等)的规定。
3、用户个人信息保护义务
除收集、使用规则外,《电信和互联网用户个人信息保护规定》还规定了电信业务经营者对代理人的监督和管理义务,以及对于用户个人信息应当采取的安全保障措施,包括确定安全管理责任、人员权限管理、用户信息安全存储等。ePrivacy条例中对于电信运营者所采取的安全保障措施并未详细规定。但对电信业务中的cookies的收集、使用规则,未经用户许可的商业信息、营销电话,以及终端设备中存储和处理的信息等进行了规定。此外,虽然两部法律文件都规定了收集、使用用户个人信息需经用户同意,但ePrivacy条例中还规定了用户可以随时撤回同意,电信业务经营者应当停止对用户数据的收集和使用。
4、法律责任
两部法律文件都对电信业务经营者不遵守对于用户个人信息保护的义务应当承担的行政处罚进行了规定。但ePrivacy条例还同时规定了电信业务经营者的民事责任。根据ePrivacy条例,用户可因电信业务经营者未履行对用户数据的保护义务而对用户造成物质或非物质的损害,向电信业务经营者要求损害赔偿。
(二) 欧盟经验对中国的启示
通过上述对我国与欧盟在电信领域个人信息(或隐私)保护的比较,我国仍需在以下三个方面进一步推进电信、互联网领域个人信息保护的立法进程。
一是,提高立法层级。《电信和互联网用户个人信息保护规定》属于部门规章,其在适用范围、效力层级方面十分有限。而ePrivacy条例在欧盟的立法层级中属于较高层级的法律文件,可以直接在成员国适用而无需转化为国内法。借鉴欧盟的立法经验,我国应当进一步提高公民个人信息(或隐私)保护法律文件的层级,加强对于公民个人信息的保护力度。
二是,增加电信领域特有的个人信息(数据)的规定。通过对比我国与欧盟在电信领域个人信息保护的相关规定可知,我国目前的规定对于电信领域特有的涉及个人信息保护的内容(如商业信息、营销电话)以及个人信息属性界定不明的数据(如cookies)未有规定。在未来的立法体系构建中,应当考虑增加此方面的规定,以全面覆盖个人信息保护的各个方面,更好的发挥专门立法在行业领域的指导作用。
三是,进一步完善电信业务经营者在保护用户个人信息方面的法律责任。《电信和互联网用户个人信息保护规定》中仅规定了对电信业务经营者的行政处罚,对于其不履行对用户个人信息的保护义务而应当承担的民事侵权责任未进行规定。我国其他相关立法中,对于侵犯公民个人信息权利的民事责任也规定较为原则,这导致实践中公民在个人信息受到侵害时获得权利救济的门槛较高。因此,我国在完善个人信息保护法律体系过程中,应当健全法律责任体系的构建,完善公民的权利救济渠道。
作者简介
赵淑钰,中国信息通信研究院互联网法律研究中心研究员,中国社会科学院法学博士。主要研究方向为网络安全、关键信息基础设施保护、个人信息保护等。
(本文已发表在《世界电信》2017年第2期)
责任编辑:陈近梅
