加快專門立法明確數據權屬壓實企業責任

為防止鐵路沿線兒童意外傷害事故發生，合肥鐵路公安處六安站派出所民警近日來到轄區小學開展鐵路安全知識宣傳。圖為民警在為學生們講解鐵路安全常識。本報通訊員 任宏亮 攝

“日常生活中，我們填個快遞單、買個母嬰用品、晒個朋友圈、玩個智能手機等，都會引發通訊錄、消費行為、生物特征等個人信息的泄露，甚至被違規買賣。據調查，85%受訪者因個人信息泄露而被‘精准’騷擾。”張英委員說。

陳曉紅委員說，隨著移動互聯網的發展，個人信息泄露的途徑也在發生變化，“比如，一個簡單的App，就要開通用戶20多項權限，幾乎‘掌控’了用戶的手機”。

談劍鋒委員建議，盡快制定相關的法律法規，從採集、傳輸、存儲、使用等方面嚴格設定，並加強監管。

如何在大數據時代科學有效保護個人信息安全，成為委員們關注的話題。

1月10日，全國政協在京召開網絡議政遠程協商會，圍繞“加強大數據時代個人信息保護”協商議政。14位委員與專家在全國政協機關和遼寧、安徽、湖南、貴州5個會場以及通過手機連線方式發言。

一些委員建議，通過加快出台專門的個人信息保護法律、壓實企業主體責任、加強部門間信息共享、實施分級分類保護等方式，在大數據時代科學有效保護個人信息安全。

明晰數據產權歸屬

陳曉紅直言，加強個人信息保護非常重要，已經到了非抓不可的時刻。

“非常重要，是因為這關乎到個人和企業的合法權益，關系到國家的安全，也是為全世界互聯網治理探索新路。非抓不可，是因為相關的犯罪活動呈明顯增長趨勢，因個人信息泄露造成政治風險的可能性也在上升。”陳曉紅說。

一些委員建議，要加快出台專門的個人信息保護法律，明確個人信息概念、適用對象和權屬，明確採集、處理、使用個人信息的程序、規則和相關責任。

“數據到底屬於客戶自己，還是屬於數據採集的平台？”賴明勇委員建議，盡快對個人信息保護進行立法，明晰數據產權歸屬，依法賦予主體權利。

張英認為，網絡安全法等法律的條文分散、規定原則，在個人信息的范圍、數據、處罰機制等關鍵問題上，有待進一步明確，建議盡快出台個人信息保護法，並制定相關配套的有操作性的實施細則和國家標准，解決長期存在的難點和瓶頸問題。

壓實企業主體責任

一些委員提出，要壓實企業主體責任，引導企業建立健全內部管控機制，克服重發展輕安全的傾向。

童國華委員說，當前，大部分大數據經營企業並沒有對個人信息保護建立嚴格的內控機制。“對信息泄露處罰過輕，使企業對內控機制缺失、對個人信息保護不力存在僥幸心理。建議監管部門要健全、創新監管模式，切實壓實企業的主體責任”。

賴明勇建議，明確數據使用主體責任，建立事后追責機制。嚴格個人信息數據使用違法懲戒機制，加大對個人信息保護相關違法行為的查處和處罰力度，強調個人信息處理、利用引發不合理風險的事后規制，彰顯法律強大威懾力。構建個人信息數據“使用者責任”指標，加強個人信息數據使用過程的動態風險控制。

朱山委員提出，鑒於個人信息侵權“輕微”且“分散”的基本特征，應當加強主動監管力度，建立常態化的信息報告、抽查、普查以及針對大型互聯網企業的重點調查制度，及時核查信息採集、保存、使用等行為的合規性。

加強數據統籌管理

一些委員建議，加強部門間信息共享和統籌協調，建立統一的個人信息保護監管平台，避免多頭執法和重復執法。

王小川委員說，應當加強部際之間、部內各機構之間監管行動的協調性和評估標准的一致性，盡量避免出現不同部委或部委的不同司局重復監管以及適用標准不一的情況。

景亞萍委員說，缺乏數據統籌管理部門，不利於個人信息的保護。對此，建議國家層面明確數據的統籌管理部門，將數據牢牢掌握在政府手裡面。加快統一數據標准，將數據“后治理”變為“前治理”﹔明確部門採集邊界，把個人信息保護貫穿於政務信息化建設全過程，避免“多頭採集”“重復採集”。

王悅群委員建議，完善行政治理和懲罰體系。健全行政監管機制，打防結合，形成共建共享共治。探索行政治理優先，節省侵權司法救濟維權成本。

“比如，多部門聯合開展的App違法違規收集使用個人信息行為專項活動，建議工信部牽頭建立專門第三方檢測平台，聯合金融、互聯網、電信等行業，發揮綜合優勢，通過審查、通報、公告、處罰和納入黑名單等手段形成社會保護整體效應。”王悅群說。

實施分級分類保護

一些委員建議，要實施分級分類保護，建立個人信息利用清單，強化對數據爬取等技術應用和“人肉搜索”等行為的監管。

吳杰庄委員說，為規范數據的分類保護，應當根據敏感性程度的不同，對個人信息實施分級分類保護，鼓勵對非敏感數據在保障安全情況下的合理使用，降低授權同意成本，建立個人信息利用類型清單，未經授權不得利用基因、生物識別信息等個人信息。

崔侖委員認為，在信息化時代，很多診療行為與各種信息系統密切相關。由於各種因素，信息容易被泄露，對現有的存儲或安全防范措施提出挑戰。

“應當完善縱深防御信息系統，強化醫療信息數據隱私保護。針對信息的傳輸和存儲部署行之有效的網絡隔離措施，對系統不同的接入用戶在權限上進行嚴格的分級分類，改進安全感知、安全處置和安全審計等方面的數據防護能力，加強對第三方安全運維單位的監管。完善醫療設備、商業化軟件以及運維服務商的安全審查機制。”崔侖說。（記者 蒲曉磊）