反电信网络诈骗中个人信息删除权的实现路径.pdf
《反电信网络诈骗中个人信息删除权的实现路径.pdf》由会员分享,可在线阅读,更多相关《反电信网络诈骗中个人信息删除权的实现路径.pdf(8页珍藏版)》请在文库网上搜索。
1、 年第 期(第 卷总第 期)反电信网络诈骗中个人信息删除权的实现路径朱园伟(北京大学粤港澳大湾区知识产权发展研究院 广东 广州)摘 要:反电信网络诈骗法 是我国在数字社会中进行前端防控犯罪治理思路的典型转型 其中构建的信息监测共享机制成为政企多方协同治理的范例 该机制授予企业组织一定程度以个人信息工具化利用为特性的用户信息控制权 使得信息主体与信息处理者之间的关系更为紧张 其结果可能表现为个人信息删除权的被迫落空 在信息监测机制通体流程解构为“信息实名信息留存风险信息识别风险信息核验风险信息共享中止服务”的程序链条中 包括安全义务主体、信息处理目的、信息留存时限都与删除权的权利场景不相协调 其
2、疏解路径应当分别从 个人信息保护法 和 反电信网络诈骗法 两法规范体系内进行思考 明确在法理和规范性解释下法定个人信息利用行为对信息删除请求权抗辩的合理性 厘清信息监测共享机制中与义务主体、内容有关的模糊地带 同时对信息留存的时限与方式给予上限性规定 实现两法以个人信息保护为核心的共同意志关键词:反电信网络诈骗 个人信息删除 信息监测共享 个人信息留存中图分类号:文献标识码:./引用格式:朱园伟.反电信网络诈骗中个人信息删除权的实现路径.网络安全与数据治理 ():.():.:基金项目:北京市法学会 年市级法学研究课题“自动化决策算法治理中的平台责任研究”()投稿网址:年第 期(第 卷总第 期)
3、引言 年 月 日正式通过的 反电信网络诈骗法对近年泛滥的电信网络诈骗行为进行专门立法 其在参考域外主要国家的先进经验基础上 进行了针对犯罪风险防控的创新型制度配置 在反电信网络诈骗法出台之前 对电信网络诈骗的规制主要体现为事后的责任追究和行为惩治 此次反电信网络诈骗法构建的诸如身份核验、监测预警以及信息共享等措施实现了前端防治转型 在整体治理逻辑上 反电信网络诈骗法强调对治理主体的广泛性和治理资源的丰富性予以体制性整合与重塑 表现为 反电信网络诈骗法 第 条第 款中规定的电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者四类主体 被要求构建反电信网络诈骗内部控制机制和安全责任的义
4、务性规范 可视为授予了市场主体一定的行政管理职责反电信网络诈骗法 中一系列的防治措施在实践中造就了以个人信息为核心的程序链条 即“信息实名信息留存风险信息识别风险信息核验风险信息共享及时限制、暂停服务”以求规避风险 这一过程 经营者首先收集包括姓名、身份证件号、生物信息等个人敏感信息进行实名认证并留存 继而在业务经营中对用户活动和用户信息进行实时监测 将识别出的可能涉诈的用户信息进行实名核验 最后按照法定要求进行风险信息共享 最终目的在于及时停止提供渠道服务 中断诈骗行为的发生 同时为监管机关对诈骗案件侦查提供信息来源 见图 显然 个人信息的“实名 留存”是信息核验的必要前提 风险信息的确认共
5、享是信息核验的行为目的 以实现对网络诈骗行为的即时识别、精准打击不同于以保护性规范为本位的 个人信息保护法 反电信网络诈骗法 中个人信息成为了预防财产犯罪的工具 其中相关措施不免与个人信息权利束中许多主体权能产生矛盾交互 其中最为明显的是信息监测共享机制所勾勒出的个人敏感信息实时控制、频繁查验、信息留存、跨领域共享与个人信息删除权所映射的个人信息自决和信息利用最小化理念之间潜在的抵牾虽然其背后反映出的个人信息保护和利用的权衡是个人信息法律保护中的永恒话题 但目前个人信息删除规则零散且廖少的状态使得公法性质的信息利用表现得过于强势 有待通过规则补正和优化实现缓和平衡因此 厘清 反电信网络诈骗法
6、中个人信息工具性利用机制如何与现有个人信息保护规则实现和谐共生是本文的核心主题在电信网络诈骗的研究方面 目前学界多从刑事犯罪防控和罪名罪数认定两方面进行探讨 删除权的学术讨论主要集中在权利的构建以及与欧盟被遗忘权的对比中 鲜有研究将二者关联并关注到行政监管或者刑事防控而构建的工作机制对个人信息删除权形成的掣肘 本文试图通过对信息监测共享制度的特点及运行流程分析结合目前学界已有的研究共识 梳理出个人信息删除权与反电信网络诈骗的信息监测共享制度之间的矛盾交互为后续的制度运行及个人信息删除权的协同落实提供补充认识图 反电信网络诈骗中个人信息工具化流程 反电信网络诈骗中凸显的个人信息删除权实现问题我国
7、 个人信息保护法 第 条第一款列举出五项信息处理者应当主动删除个人信息的义务内容 并同时给予个人在信息未删除时请求删除的权利 意图形成对个人信息删除权的有效实践闭环 此制度架构下 删除权的多种实施场景与反电信网络诈骗法的信息监测共享制度存在安全保障落空、权利保护悬置、信息风险不明等问题 义务主体范畴模糊反电信网络诈骗法 第 条第 款规定 承担风险计算法学 年第 期(第 卷总第 期)控制机制与安全责任制度的主体为电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者在这四类主体中 我国 电信条例(第七条、第八条)与 电信业务分类目录(版)中对电信业务的概念、经营条件和范畴进行了限定和列
8、举 我国 银行业监督管理法(第二条、第十七条至第十九条、第二十一条)中对银行业金融机构的设立条件与经营规则进行了具体规定 非银行支付机构的范围、业务活动在 非银行支付机构分类评级管理办法 非银行支付机构网络支付业务管理办法 等规章中同样有迹可循 但是 互联网服务提供者的内涵和外延在我国法律法规中并未得到明确 并且其与网络服务提供者这一主体概念的业务类型、层级关系较为模糊 处于定义不明、范畴不清的现状“网络服务提供者”的概念源于美国 数字千年版权法 中“”后出现在我国 侵权责任法 第 条用以针对性地规制网络活动主体 属于法律概念 在网络服务提供者的业务类型中 年我国 信息网络传播权保护条例 中提
9、及的网络服务提供者的业务包括网络自动接入、自动传输服务、信息存储服务和网络搜索、链接服务等 然而 在我国 工业和信息化部关于清理规范互联网网络接入服务市场的通知的目标任务中 直接使用了“”(互联网服务提供者)的表述与“互联网接入服务”形成了等同关系 由此推断 接入服务应当是网络服务也是互联网服务 且互联网服务仅包括网络接入服务但是 根据公安部 年发布的 互联网安全保护技术措施规定 第 条规定 互联网服务提供者是指向用户提供互联网接入服务、互联网数据中心服务、互联网信息服务和互联网上网服务的单位 该规定认为互联网服务提供者并不限于接入服务 而是囊括多种业务的类似于网络服务提供者的概念 而且 另有
10、观点认为 反电信网络诈骗法 中的互联网服务提供者应当包括接入服务、平台服务、内容及产品服务 可见 二者的构成关系、指代的业务类型并未统一在概念层级上 对 美国数字千年版权法()解读中提到“网络著作权侵权责任限定法为在线服务提供商()其中包括互联网服务提供商()创建了安全港规则”全国信息安全标准化技术委员会将二者认定为包含关系 但是 有的学者认为互联网服务提供者是网络服务提供者可替换的概念 并且在我国最高人民法院 年、年和 年的著作权司法解释中得到确认 也有观点认为根据我国 网络安全法 第 条规定 公共电信服务提供者和互联网服务提供者可被合称为网络服务提供者 可见 网络服务提供者与互联网服务提供
11、者的概念关系同样难以辨析在对于互联网服务提供者概念界定的观点纷争中难以言明是否所有的互联网服务提供者都有必要成为风险信息监测共享的义务主体 这是反电信网络诈骗机制建立的同时亟待明确的基础问题 商业与法律目的交织按照 个人信息保护法 第 条第 款要求 个人信息处理者处理目的已实现、无法实现或者实现处理目的不再必要时 应当对个人信息进行主动删除 这一规定的核心在于信息处理者的信息处理目的的界定和边界廓清 具体可归纳为当目的已达、目的不达以及目的不必要时 个人信息应当在法定期限内被删除 关于“信息处理目的”个人信息保护法 将其明确要求在信息处理者的告知同意内容之中 旨在表明信息处理目的应是信息主体与
12、处理者双方协商下的结果 从而使信息主体可对信息处理的界限和信息删除的时机进行把控但在 反电信网络诈骗法 的信息监测共享机制中 电信业务经营者、银行业金融机构、非银行支付机构、互联网服务提供者等主体的信息处理行为实质上表现出商业目的和法定目的的交叉与混杂 一般情形下 处理者基于个人同意而处理个人信息 一旦个人信息处理者停止提供产品或者服务 个人信息的处理目的将不复存在信息处理者留存的信息库中 非特定要求所必要的信息就不再具有合法基础 应当在法定期限内删除 但如果用户信息被信息处理者识别为风险信息 信息处理者则可按照法定要求对用户数据进行监测和收集并对信息主体的身份进行核验 当认定其具有涉诈可能性
13、时 还需将信息传输共享至其他机关 此时 以同意为基础的信息处理行为则被法定目的下的信息处理收集行为所湮没突破了原有的告知同意范围的处理目的个人信息删除权属于请求权范畴 其请求的对象为个人信息处理者 应当遵循民事法律体系中请求权的基本规范逻辑 当个人信息处理者以法定理由对个人信息进行必要留存或共享给第三方时 意味着此时信息成为刑事侦查机关的案件线索而脱离个人自决的空间范围商业社会中 基于个人信息潜在的价值性 个人信息处理者原则上都企图对个人信息或者生成的数据集合尽可能地留存和利用 而在商业目的与法定目的交织下的个人信息处理行为有可能会成为信息处理者对个人信息继续留存的“合理化”借口 按照 反电信
14、网络诈骗法的规定 信息处理者对涉诈信息的监测、认定、核验等义务于一身 这无疑为个人信息删除权“法定原因”下的落空创设了更大的风险投稿网址:年第 期(第 卷总第 期)保存期限规定不明根据 个人信息保护法 第 条第 款规定 个人信息保存期限届满时 信息处理者应当对个人信息进行主动删除 该款项中“保存期限届满”成为了个人信息删除的法定理由 然而 各行业中对于数据信息的使用模式与存储方式并不相同 我国宏观层面的法律规范例如个人信息保护法或者国家标准当中 仅对个人信息留存最小化进行原则性要求 信息留存的具体期限多体现在特定行业规范或地方性法规之中 由此 我国关于信息留存时限的规则可分为三种类型 如图 所
15、示 第一类为最低时限型规则 包括 电子商务法 网络预约出租汽车经营服务管理暂行办法 医疗机构管理条例实施细则 证券法 反洗钱法 劳动合同法 在内都仅规定了信息留存的下限 即必须要保存的时长 其目的在于确保电子存档的可用性 使其有据可查 这些立法对于信息留存所带来的个人信息风险并未进行场景化类析 此情形下的信息处理者几乎可以基于特定目的或监管需要无限期对个人信息进行留存 第二类为业务区间型规则 例如 电信和互联网用户个人信息保护规定第 条第 款、信息安全技术 个人信息安全规范 ()项 将个人信息留存的合理区间设定为“提供业务/产品/服务时”当服务停止时 信息应当删除 该类规则在反电信网络诈骗机制
16、中难以发挥删除权的期间限定效用 原因在于服务结束时 其信息可随时被以反诈骗目的进行继续留存 第三类为特定期限型规则 例如关于开展 违法违规收集使用个人信息专项治理的通知 第 项中 规定删除信息的日期不得超过用户提出请求权的 日 南宁市个人信用信息征集使用管理办法 第 条规定 市信用信息系统对个人信用信息的保存期限为 年 该种类型的规定对信息留存给出了明确的期限 但在监测共享机制中其局限性与第二种相似信息持续受监测的解释权由信息处理者掌握 反电信诈骗机制为用户的信息删除请求权设筑了壁垒事实上 信息留存目的与信息留存期限在个人信息的合规体系中是相互独立的部分 二者分别以目的限定和存储限定为基本原则
17、 在欧盟法院公布的判例(/)中 公司以程序测试、纠偏为理由将基于履行服务合同为目的收集的用户信息进行了持续留存和二次利用 最终欧盟法院在利用“目的兼容”原则判断 公司二次利用信息的目的与履行服务合同的初始目的具有关联性且满足信息主体的合理期待并不违法 但欧盟法院对于信息的留存同时作出了单独评价 认定其未满足存储限定原则而对 公司处以罚款 以此案例为鉴 反电信诈骗为目的的信息监测预警尽管属于法定目的下的信息处理行为 但处理者在处理流程中仍应对信息留存满足最小期限承担注意义务表 个人信息留存规则的类型及在监测机制下的风险表征类型规范特征风险最低时限型规则电子商务法 第 条网络预约出租汽车经营服务管
18、理暂行办法 第 条 医疗机构管理条例实施细则 第 条 证券法 第 条 反洗钱法 第 条 劳动合同法 第 条 仅进行了留存日期下限的规定 信息处理者几乎可以基于特定目的或监管需要无限期对个人信息进行留存业务区间型规则特定期限型规则 电信和互联网用户个人信息保护规定 第 条第 款 信息安全技术个人信息安全规范 ()项 关于开展 违法违规收集使用个人信息专项治理的通知 第 项南宁市个人信用信息征集 使 用 管 理 办 法 第 条 信息留存区间为“提 供 业务/产品/服务时”对信息留存确定了明确的期限 服务结束时 其信息可随时被以反诈骗目的进 行 继 续留存此外 反电信网络诈骗法 中所要求的监测共享信
19、息类型十分广泛 在犯罪预防理论中 电信网络诈骗的监测预警主要利用大数据和算法等技术 对犯罪特征进行提炼 对犯罪规律进行建模 对犯罪嫌疑人和罪犯的特征进行精准画像 从而实现系统的自动识别 其中关键措施之一在于利用数据对规律和特征进行挖掘 仅针对被害人的特征研究中 就可细化为客观特征、主观特征、环境特征、个人信息特征等 该机制建立通常还需依托多方数据共享为前提 例如通过运营商数据、金融机构数据和政府数据的联合建模 有利于扩大名单覆盖率、提升欺诈识别精确度 这意味个人信息监测共享机制对类型广泛的个人信息的留存利用提出了急迫需求 却并未对各信息处理者的留存时间进行限制安排个人信息权利的内容体现在对个人
20、信息利用行为进行有限自主的控制和支配之上 包括信息的收集、存储、使用、公开和删除等 而个人信息的存储则关系着个人信息权利的最终实现 同时 反电信网络诈骗监管机关计算法学 年第 期(第 卷总第 期)也可通过风险信息共享机制获取企业组织收集的信息在多主体协同共治的政策指导下依法调取企业收集到的个人信息 这相当于确认了目前基于“预防犯罪”这一法定目的而进行几乎无限制的个人信息留存和流转 与保护个人信息理念与实践充满矛盾张力 从规范价值对反电信网络诈骗中个人信息删除权实现的塑造 法定使用的价值优位个人信息删除权指在法定或双方约定的情形下 信息主体请求信息处理者及时删除已收集的个人信息的权利 在比较法上
21、 欧盟的 一般数据保护条例 第 条第 款()项中规定了基于公共利益的目的可以对数据主体的删除权等一系列权利进行限制 我国台湾地区个人资料保护法 中也有相关规定 在执行职务或业务所必须或经当事人书面同意情形下 无需对个人信息删除的请求进行处理 信息删除权在我国 民法典 和个人信息保护法 中都有明确体现 但现有规定中对个人请求信息删除的例外仅限两种情形 即法律上不能(法律、法规规定的保存期限未届满)和事实上不能(技术上无法实现)并未将“基于公共利益目的”利用作为请求删除权例外的情形 对是否应当将公共利益考量纳入例外情形可以基于利益平衡视角和规范体系化视角进行分析以利益平衡视角分析 主要解决的问题是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电信 网络 诈骗 个人信息 删除 实现 路径