应尽快立法保障个人数据权

□特约撰稿 杨尚东

近日，《新华每日电讯》以“五毛钱一份！谁在出卖我们的人脸信息？”为题报道称，记者调查发现，一些网络黑产从业者利用电商平台，批量倒卖非法获取的人脸等身份信息和“照片活化”网络工具及教程。这严重侵害公民个人合法的数据权益，亟须数据安全法尽快出台予以规范治理。

人脸数据是每个人独有的个人无形信息资产，随着智能化时代的到来，这些信息的功能与价值日益凸显。假若人脸数据信息被不法分子掌握，那么用户的网络社交平台账号或金融账户内财产则存在被盗取风险；更有甚者，如果将人脸数据信息与个人行踪信息相匹配，可能会被不法分子用于精准诈骗、敲诈勒索等违法犯罪活动。为杜绝此类情形的发生，保障公民个人数据信息的安全，笔者认为，正在制定的数据安全法应至少包含以下四方面内容：

首先，应成立专门保护数据的政府执法机构。监管缺位，是我国个人数据信息目前容易被盗用的重要原因之一，因此，保护个人数据安全的职责应主要由政府承担。实践证明，刑事、民事救济手段对个人信息保护有滞后性、局限性，无法迅速、有效地制止恶意侵权事件。因此，成立专门的数据保护机构，在事前、事中监管，方能从源头上彻底解决个人数据的安全问题。同时，借鉴世界其他国家保护个人信息法律制度的成功经验不难发现，行政监管在个人信息保护方面，均发挥着不可替代的作用，比如美国的联邦贸易委员会（FTC）、欧盟的数据保护委员会、日本的个人数据保护委员会以及韩国专门设置的纠纷调解委员会等。因此，设立专门的数据保护行政执法机构并明确其职权职责，十分有必要。

其次，个人信息保护应采取分级管理模式。在智能化时代，适当的个人数据收集是必要的。从网络创新角度看，不可采取“一刀切”的过度保护模式，在网络发展与个人信息保护之间找到一个恰当的平衡点十分重要。因此，建议对个人信息进行合理区分，并在法律保护上区别对待。实际上，按照使用价值不同，个人信息可以分为隐私信息、身份信息、日志信息和公开信息。在这四类信息中，隐私信息涉及个人不愿为他人所知的秘密，应受到最高强度的保护，限制收集以及及时删除；身份信息是单独或相互结合识别特定用户身份的信息，比如用户基本资料、通讯录信息等，这类信息的保护程度次之，它的转让或公开必须事前得到用户个人的同意；后两类信息使用的限制可以少一些，可以最大程度地发挥其商业和公共管理作用，需要注意的是应防止其不当使用。

再者，数据收集人应承担合理的保护义务。作为保护数据的第一责任人，数据持有人对因工作所采集的数据，必须采取一切可行的措施确保数据安全，防范未经授权的访问、修改和泄露等风险。同时，还应定期对数据进行安全风险评估：一方面应从技术角度做好预防工作，对不宜公开的信息，应通过设置密码等方式，严格限制可访问人员范围；另一方面，信息只用于与工作有关的用途，防止随意共享。一般情形下，个人信息的收集、使用都必须基于正当目的，与此无关的信息使用都是非法的。若经管理机关批准转让给其他机构的，也须留底以便日后查验。此外，应全面提升网络交易的服务水平，尽量减少个人信息泄露的可能性。如网购大型商品时，用户只登记手机号就可办理的，就不应再强求其登记身份证。

最后，应规定收集信息使用完毕后的封存、删除程序。数据使用完毕后，使用人应立即封存或删除，从而减少数据泄露的风险。因此，数据安全立法应对所收集的个人信息设立留存期限限制，根据采集信息的不同级别设定合理的保存期限，对无留存与研究价值的信息应及时清理销毁，对期限届满的个人信息予以封存或删除。这样不仅可以极大地降低信息保管成本，也可以有效预防泄露风险。

当前，《中华人民共和国数据安全法（草案）》正在公开征求意见，相信随着该法的颁行，公民个人数据权益保护法律体系将日趋完善，公民个人的数据权益将会得到更好的保护。

（作者系西南政法大学公法研究中心研究员）