张韶华:个人数据保护监管应避免权力重叠和权力真空并存

时间:2020年01月14日信息来源:经济网-《经济》杂志 【字体:

 随着科技的不断发展,建立个人数据保护立法与监管机制成为越来越重要的话题。我国《网络安全法》第41条规定,网络运营者收集、使用个人信息,应当遵循“合法”、“正当”、“必要”三原则,同时强调“公开规则”、“明示使用目的、方式和范围”、“经被收集者同意”等内容。2011年《关于银行业金融机构做好个人金融信息保护工作的通知》中也有“使用个人金融信息,应当符合收集该信息的目的”。
 
    虽有不少规定,但在中国人民银行参事室副巡视员、国务院参事室金融研究中心秘书长张韶华看来,我国法律对数据主体的权利规定还是比较零乱。其中,《网络安全法》中第42条和《消费者权益保护法》第29条规定了“拒绝权”,《网络安全法》43条规定了“更正、删除权”。2015年国务院办公厅《关于加强金融消费者权益保护工作的指导意见》规定了金融消费者的“信息安全权”,法律责任方面,《网络安全法》规定,网络运营者、网络产品或者服务的提供者侵害个人信息的,处违法所得1倍以上10倍以下罚款,没有违法所得的,处100万元以下罚款。“与欧盟和美国相比,处罚偏低。”
 
    因此,有专家建议,未来立法应当全面明确数据主体的各项权利。区分数据控制者和数据处理者,要求分包时必须签订书面合同。侵害个人信息时,数据控制者和处理者承担连带责任。同时,立法应进一步提高罚款限额,加大违法成本。
 
    对此,张韶华称,个人数据保护监管机构有三种模式:一是新设一个专门监管机构;二是不新设机构,但明确将监管职能划归至既有行政部门负责;三是实行分行业监管的同时,立法再明确一个机构享有最终监管权。
 
    菲律宾和欧盟属于第一种模式。菲律宾新设全国隐私保护委员会(NPC),GDPR决定设立项盟数据保护委员会(EDPB),并要求欧盟各国均设立独立的数据保护主管部门(DPA)。美国联邦层面属于第三种模式,FTC有最终监管权。各州层面则属于第二种模式。
 
    “目前我国个人数据保护监管方面呈明显分散化、多元化、交叉化特征。市场监管总局、工信部、公安部、国家互联网信息办公室、教育主管部门、医院监管机构、金融监管部门均涉及个人数据保护职权。”张韶华建议,我国未来立法可以借鉴国际经验,新设一个统一的执法部门。如新设有困难,可在明确分行业监管的同时,明确一个拥有最终监管权限的执法部门,由其负责统筹协调不同行业不同领域的具体执法标准,避免权力重叠和权力真空现象并存。
(作者:许亚岚 )
文章热词: