当前位置:首页>> 参政议政 >>提案选登 > 稿件
[2021年组织提案]关于加强本市数据行政执法监督体系建设的建议
发布时间: 2021-02-04 

  一、背景情况

  2020年以来,针对新冠肺炎疫情的侵袭,我国政府已充分实现数据治理技术的全面升级,利用网络信息化和大数据等技术手段不断加强防控实效。但是与此同时,个人信息泄漏和滥用的隐患也频频暴露,呈现出与数据治理权力不相匹配的执法监督和权利保障水平。新时期城市治理的本质是数据治理,上海作为我国电子政务和数据治理创新能力最强的地区之一,加强建设数据执法监督体系必然是进一步提升上海城市能级和核心竞争力的主要手段,也是坚持深化城市一流治理、加快“一网通办”、“一网统管”建设工作,探索符合超大城市特点和规律的治理新路的重要途径。

  二、问题和分析

  (一)个人信息的受害风险陡然提高

  网络信息化时代,以往个人隐私意义上的个人信息保护已无可能。数字技术将社会生活高度数据化,自动采集、存储、处理个人信息的应用场景无处不在。人们在充分享受科技带来便利和经济的同时,个人可识别信息却被广泛收集和流通,相关权益被侵犯的风险随之提高。海量的个人信息被不当用于商业用途,甚至被非法泄露和出售,进而引发各类侵权和违法行为。另一方面,防控疫情的客观需求也放大了个人信息风险的效应,各类市场主体据此进一步扩大数据权力,掌握了庞大规模的用户信息,通过技术手段实施控制,从而形成和滥用着事实上的“监控”权力。在本次疫情中充分暴露出有权主体不明确导致数据收集混乱、数据汇总存储环节管理薄弱、数据安全监管缺失、内部工作人员信息保护的法律意识淡漠等新问题。

  (二)个人信息的司法保护滞后低效

  以往法律对个人信息保护的制度主要建立在民法人格权、数据财产权以及侵权责任制度之上,这种传统司法保护路径的问题在于:其一,有责主体难以明确,数字社会中可能侵害个人信息的主体广泛且数据规模巨大。其二,损害后果难以量化。个人信息的损害后果有时体现为风险隐患,或者在发现时仍难以用金额来衡量或惩戒,因而受害人难以通过事后诉讼方式来有效预防风险和充分维护权益。其三,诉讼救济效益低下。基于前两点原因,受害人主张救济将会面临诉讼成本和举证困难等诸多问题。

  (三)个人信息的执法机制分散乏力

  目前我国政府将信息监管权分散赋予网信、工信、公安、市场监督、商务等各类主管部门。但这些部门基本都未设立数据执法专设机构,因而分散式的行政监管体制并未带来常态化的积极执法体系,实践中往往是在出现大规模信息违法事件而引发舆情后,才会随之启动调查和处理程序。与此同时,相关主管部门对这类新型执法未配备足够的技术力量,难以对整体性的个人信息保护状况进行有效监督,往往倾向于要求市场主体利用其技术优势来分担监管职能,甚至越来越频繁地要求其提供结构化程度很高的数据,这种路径依赖不仅导致主管部门的执法懈怠,甚至也成为网络企业可以过度数据采集和利用的理由。

  (四)个人信息保护的强标准与弱执行

  最新的《信息安全技术-个人信息安全规范》(GB/T 35273-2017)与欧盟的GDPR标准已经全面接轨。客观而言,我国立法上的个人信息保护标准已经相当之高,但是现阶段的贯彻落实程度非常不足。大量企业并未根据国家标准制定明确的个人隐私政策,导致“通知-同意”的具体构成要件、目的专用规则的界定,去识别化限制等要件在企业管理中依然模糊。因此对企业经营活动的约束不足,对个人信息进行采集、存储、分析、使用时,得以频频通过技术手段内嵌各种侵害程序,在源头上违法处理个人信息。

  三、建议

  (一)强化集中监管职能,加强执法打击力度

  通过地方性立法实现地方数据执法职权的统一,针对数据保护事务,在网信部门的基础上设立专门监管机构,并组建具有执法权限的综合队伍。在特定业态和新经济领域率先试验由多部门协同的集中监管模式,授权主管部门升级为兼具规则制定权、法规解释权、特定范围纠纷裁决权的新型监管机构。

  (二)监督市场主体规范,防范源头信息侵害

  通过专门机构执法督促我市企业全面贯彻落实个人信息保护标准,及时制定和更新个人隐私政策,进一步明确个人信息处理活动应遵循的原则,完善个人信息处理规则,保障个人信息处理活动中的各项权利,强化个人信息处理者的义务。为克服企业自我规制的不足,主管部门要及时跟进相应规制措施和责任机制,将个人信息保护情况纳入企业的常态化管理和检查范围,对机制不健全或保护措施不力的企业,要给予严厉处罚。

  (三)探索新型监督途径,提高日常监测能力

  专门机构应当将监管介入时点不断推进至事中与事前,通过各种非正式程序展开调查,广泛收集线索,以便捷的网络、热线等方式接收举报投诉。通过程序规范和机制完善,保障监管主体向涉案企业或第三方发函约谈或要求配合调查的权力,理顺各类措施手段的衔接问题。同时,督促企业根据法定要求和隐私政策承诺开展信息安全排查工作,要求定期形成书面报告提交,重点披露个人信息安全事件细节。

  (四)探索信息安全公益诉讼,预防与治理两手并重

  为落实《上海市人民代表大会常务委员会关于加强检察公益诉讼工作的决定》的重点要求,进一步探索个人信息保护检察公益诉讼案件的实践,我市检察机关应加快明确该类案件的办理程序和保障措施,以公益诉讼有力监督相关主管部门严格履责,监管企业积极保障个人积极信息安全,及时补偿公众的信息权益损失,清除不特定公众的社会损害影响,充分实现办理一案、治理一片的示范效应。