(作者何渊为上海交通大学数据法律研究中心执行主任,著有《数据法学》《大数据战争》等。)

2020年10月12日,在全国人大常委会法工委发言人记者会上,发言人臧铁伟提到,《个人信息保护法(草案)》等议案将被首次提请全国人大常委会第二十二次会议审议。他认为,在信息化时代,个人信息保护已成为广大人民群众最关心最直接最现实的利益问题之一。为及时回应广大人民群众的呼声和期待,落实党中央部署要求,按照十三届全国人大常委会立法规划和年度立法工作计划的安排,全国人大常委会法工委会同中央网信办在深入调查研究、广泛征求意见的基础上,起草了个人信息保护法草案。

在我看来,我国《个人信息保护法》有亟待解决的十大议题,具体如下:

一、法律定位:数据领域的基本法

首先,需要处理好《个人信息保护法》与《民法典》的关系。

《民法典》是私法,主要解决的是平等主体之间的人身关系和财产关系。如“隐私权和个人信息保护”在第四编“人格权”第六章作了专门规定,并按照人格权的方式来保护;而数据则在第一编“总则”第五章“民事权利”中涉及,与网络虚拟财产放到一块,这是按照财产权的方式来保护。

但《个人信息保护法》显然是一部公法和私法深度融合的法律,一方面,通过个人信息权利体系及以此为基础的民事诉讼机制,来实现对个人信息的私法保护;另一方面,通过设立专门政府监管机构和制定强制性法律规范,用罚款等行政手段监管实现对个人信息的公法保护。体现了“企业自我规制+政府强力规制”的合作治理,最终在数据领域实现国家治理的现代化。从这个角度看,《个人信息保护法》与《民法典》并不是特别法与一般法的关系,而是两个有交叉关系的平行法律。

其次,需要处理好《个人信息保护法》与《国家安全法》、《数据安全法》及《网络安全法》的关系。

从功能主义的角度看,《数据安全法》在数据领域是落实《国家安全法》的“总体国家安全观”的核心法律,重点聚焦于重要数据的国家安全问题,而《个人信息保护法》则以《数据安全法》为基础,在此基础上重点聚焦于个人信息权利保护与数据流动、数据利用等问题。另外,《网络安全法》涉及数据的内容将逐渐被《个人信息保护法》和《数据安全法》所吸收并取代,转而聚焦于网络等级保护2.0、关键基础设施保护及网络安全审查制度等核心问题。

因此,《个人信息保护法》和《数据安全法》是数据领域的两部基本法律,前者聚焦数据隐私,后者聚焦数据安全,共同构建了数据保护和数据利用的整体性法律框架。

二、基本原则:数据权利保护与数据流动的平衡

实现数据权利保护与数据流动、利用的平衡,应当成为我国《个人信息保护法》的基本原则。这同时也是欧盟《通用数据保护条例》(GDPR)、美国《加州消费者隐私法案》(CCPA)以及日本《个人信息保护法》等世界主要数据立法的核心目的。

如GDPR有很好的归纳:GDPR第1条第1款开宗明义地指出,“本条例旨在确立个人数据处理中的自然人保护和数据自由流通的规范”;紧接着,GDPR第1条第2款强调,“本条例旨在保护自然人的基本权利和自由,尤其是保护个人的数据权利”;而GDPR第1条第3款则确认了平衡的重要性,即“个人数据在欧盟境内的自由流通不得因为在个人数据处理过程中保护自然人而被限制或禁止”。

中国社会科学院法学研究所研究员周汉华老师说,大数据时代的个人数据观念同样重视信息安全与个人数据的保护,但更突出强调大数据开发、开放、利用与共享,要突出竞争优势。我也同意这样的观点,数据权利保护与数据流动、经济发展从本质上说并不冲突,从长远看应当是正相关关系。

因此,我国《个人信息保护法》面临的并不是一个“选边站”的问题:选择“数据权利保护”,抑或选择“数据流动和数字经济的发展”。其实我们面临的是一个“平衡”的问题,即在同时选择两者的基础上,决定指针应当稍稍偏向于哪一方,但绝对不能出现天平失衡的问题。

三、个人信息的定义:概括抑或列举

我国《民法典》规定,“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等”。

在我看来,我国《个人信息保护法》对“个人信息”的定义,应当维持这种结合“抽象定义+不完全列举”的立法方式。这种定义方式,既可以有效避免“个人信息”范围的不确定带来的交易成本,也可以针对新技术领域存在争议的数据进行更加明确的界定,并根据实践产生的新数据类型对“个人信息”的范围进行适度调整。

当然,我国《个人信息保护法》还需要明确如下事项:

其一,匿名化是不是判断“个人信息”的唯一标准,去标识化的信息或聚合的信息到底是不是个人信息;

其二,明确“个人信息”是否包含一些易产生争议的数据类型,如“消费历史记录或消费趋势”“浏览记录、搜索记录,以及网站及应用程序等网络活动信息”“视觉、热量、嗅觉”等;其三,按照重要数据、敏感数据及一般数据等对个人信息进行分级,并提供不同程度的相应保护。

四、数据权利:增加抑或限缩

我国《民法典》规定了“隐私权”,即“自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权”。但《民法典》只是把“个人信息”定义为“权益”,规定“自然人的个人信息受法律保护”,并未上升到“权利”的层次。从个人信息的权益范围来看,也仅限于“查阅或者复制”、“发现信息有错误时,有权提出异议并请求及时采取更正等必要措施”以及“违法或违约时,有权请求信息处理者及时删除”等。而在任甲玉诉百度案中,法院则认为,我国并没有“被遗忘权”权利类型,这是欧盟GDPR特有的。

那么,我们为什么要保护个人的数据权利呢?一方面,数据黑市、数据泄露及数据滥用等侵犯个人数据权利的情况严重。正如全国人大发言人臧铁伟指出的那样,“随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分突出”。另一方面,数据权利对我国数字经济的发展具有重要意义。如果说数字经济是具有“显而易见的优点”的“树干”和“数冠”,那么,数据权利则是“深藏土地不被人看见却发挥重要作用”的“树根”。

因此,数据权利体系的构建对我国《个人信息保护法》显得尤为重要:一方面,需要详细论证:在已有的知情同意权、查阅权、复制权、更正权及删除权之外,是否需要增加被遗忘权、数据可携权、数据财产权等新的权利内容;另一方面,对于已有的权利,如何通过更加精细化的立法技术,加强法律的系统性、针对性和可操作性。

五、同意规则:明示抑或默示

在实践中,存在严重的“数据主体客体化”现象,即信息不对称使得个人根本无法了解企业收集和使用了他们的那些数据,更无法决定企业是否共享或交易他们的个人信息。但是,以控制权为特征的“同意规则”却是整个数据权利体系的基础,即个人应当具有控制其个人信息的收集、使用或出售的权利。也就是说,个人既可以从他们喜欢的公司收获数据的价值,当然也可以拒绝他们不喜欢的公司,重新拿回属于他们的个人信息。

因此,“同意规则”也值得我国《个人信息保护法》充分重视,重点处理好如下事项:

一方面,注意区分明示同意和默示通知。如对处理敏感数据作出更严格的限制,强调的是明示同意规则,如草案以保护数据权利为出发点,即在具有特定的目的和充分的必要性的情形下,取得个人的单独同意或者书面同意;相反,对处理一般数据作出相对宽松的规定,强调的是默示通知规则,侧重规范数据的商业化利用,即强调企业在处理数据之前的“通知”义务,只要个人不反对,就默认为符合“同意规则”。

另一方面,细化“同意规则”的豁免事由。针对“维护公共利益或者该自然人合法权益”这一豁免规则,如草案将应对突发公共卫生事件,或者紧急情况下保护自然人的生命健康,作为处理个人信息的合法性基础之一。

六、数据共享和交易:生死存亡

中共中央、国务院连续发文要求加快培育发展数据要素市场,其中把数据定义成土地、资本、劳动力及技术之外的第五大基本市场要素,并建立数据资源清单管理机制,完善数据权属界定、开放共享、交易流通等标准和措施,发挥社会数据资源价值。

最近,中央又支持深圳加快培育数据要素市场,要求率先完善数据产权制度,探索数据产权保护和利用新机制,建立数据隐私保护制度,试点推进政府数据开放共享,支持建设粤港澳大湾区数据平台,研究论证设立数据交易市场或依托现有交易场所开展数据交易,开展数据生产要素统计核算试点。

数据要素市场最主要的机制是数据共享和交易,大致可以分为数据货币化、数据交易市场、数据共享联盟、数据技术推动者以及开放数据策略等五种形式。但在实践中,数据共享和交易并未大规模开展,而数据黑市却十分猖獗,这主要存在技术及法律等障碍。技术障碍可能包括缺乏互操作性、数据安全顾虑和其他网络安全要求;而法律障碍主要是“数据所有权”的不确定性、对数据合法利用的边界,以及在满足企业对数据保护方面的法律需求上遇到的困难。

在我看来,我国《个人信息保护法》应当从法律上着力解决上述障碍,具体可以考虑以下两点:

其一,对“匿名化”作扩大化和宽松化的解释,强调“去标识化”也符合“不能识别特定个人且不能复原”的规定,毕竟绝对的“匿名化”从技术角度来看是不可能实现的,这会严重阻碍数据的流动及利用。

其二,建构“数据信托”制度,强调数据共享及交易是数据平衡战略的一部分。对于个人,这意味着与其相关的个人数据将被保存在公共服务器中,并由数据信托机构管理。企业则可以通过信托关系来访问和处理这些数据,而个人将获取“数据红利”。

七、数据跨境:自由抑或限制

对于数据跨境,欧盟GDPR作出严格限制,设置了充分性认定白名单、遵守适当保障措施、公司约束规则、国际协议以及通过“必要性测试”和“偶然性判定”等五道“关口”。而美国CCPA对于数据跨境管控持有“留白与放任”的态度,这是因为美国数字经济产业领先于全球,从价值取向上更加鼓励数据的自由跨境流动。上个月,欧盟法院更是判定“隐私盾协议”无效,这直接导致欧美之间的数据跨境传输陷入中断。

那么,我国《个人信息保护法》又应当设计怎样的数据跨境传输机制呢?在我看来,我国应当建构一套凝聚全球数据安全共识、符合全球共同利益及普遍价值、持续开放共享的数据跨境方案,重点强调的是在数据安全基础上的数据自由流动,强调持续的开放性。

法律在数据跨境机制中主要起到“安全阀”作用,具体体现在:

其一,建立分级基础上的分类监管机制。如草案规定,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的处理者,应当通过国家网信部门组织的安全评估;对于其他需要跨境提供个人信息的,规定了经专业机构认证等途径。

其二,建构数据跨境的批准机制。如草案对跨境提供个人信息的“告知—同意”作出更严格的要求。对因国际司法协助或者行政执法协助,需要向境外提供个人信息的,要求依法申请有关主管部门批准。

其三,采取国际对等原则。如草案规定,对从事损害我国公民个人信息权益等活动的境外组织、个人,以及在个人信息保护方面对我国采取不合理措施的国家和地区,我国也可以采取的相应措施。

八、数据泄露:实体和程序

在我国,频发的大规模数据泄露事件对个人信息造成了极大的侵害,这已引发了全民的安全担忧,如华住酒店集团近5亿条用户信息被泄露,12306网站470余万条用户数据在网络上被贩卖等。可惜的是,现行法律确对此却束手无策,这既与过于原则的实体性规定有关,更与程序性规定的缺失有直接关系。

因此,我国《个人信息保护法》应当构建覆盖全流程、多环节的数据泄露通知制度,考虑进一步明确在发生或可能发生数据泄露时网络运营者应采取补救措施的具体内容,触发数据泄露通知的条件,告知用户和主管部门的时限、内容、形式,以及未履行数据泄露通知义务应当承担的法律责任。同时,对评估数据泄露严重程度的具体指标进行合理规定,增强制度的可操作性。

九、监管机构:独立抑或综合

在欧盟,GDPR要求欧盟层面及各成员国都应当建立独立的数据监管机构,负责监督条例的实施,并授予这些机构调查、矫正、授权和建议等权力,并建构了数据主体向监管机构投诉、受理及处理等一整套行政救济制度框架。而在美国,联邦层面虽然也设立了负责隐私执法的联邦贸易委员(FTC),但各个行业领域还是采取了分类监管的模式,如金融数据领域的国消费者金融保护局、健康医疗数据领域的美国卫生部以及教育数据领域的美国教育部等。

那么,我国《个人信息保护法》到底应该设立欧盟式的独立数据监管机构,以解决政企不分、政资不分、政事不分等引发的“九龙治水”的分散执法问题,还是应该维持现状,采纳美国式的“FTC+其他机构”的综合治理方案?

在我看来,由于个人信息保护客观上涉及各个领域和多个部门的职责,再加上金融、医疗健康等特殊行业领域所具有的较高执法门槛,新设独立的统一数据监管机构不仅不能实际解决问题,反而会带来更多的麻烦。显而易见的是,我国《个人信息保护法》草案也持有类似观点,草案明确国家网信部门负责个人信息保护工作的统筹协调,发挥其统筹协调作用,而国家网信部门和国务院有关部门在各自职责范围内负责个人信息保护和监督管理工作。

十、法律责任:严格抑或宽松

在数据执法领域,强监管和严格的法律责任是一个世界趋势。在欧盟,GDPR不仅设计了罚款等处罚机制,还包括了警告、训斥等强制措施,而最高罚款更是高达2000万欧元或者企业上年度4%的全球营业收入。在美国,监管机构试图用严厉的事后罚款来倒逼企业实现对个人信息的全面保护,如在剑桥分析案中,FTC对脸书的处罚高达50亿美元。

在我看来,法律责任的设置也是一个追求平衡的过程。

一方面,必须具有足够的震慑力,即法律通过大幅提高罚款金额,增加企业的违法违规成本,以天价罚款促使企业建立良好的内部数据合规体系,实现“企业自我规制+政府规制”的合作治理。但另一方面,又不能随意适用刑法,上纲上线会对数据产业的发展造成巨大威胁。而且“要么坐牢、要么没事”的现象又会导致很多企业、个人铤而走险。

同时,严格的法律责任必须与柔性执法机制相配合,我主张建构行政执法和解协议制度,把企业建立数据合规机制作为适用和解程序的条件,在协议当中引入完整的企业数据合规条款,及时向全社会公布情况,规定一定的合规考验期,允许企业有机会实现改过自新。

显然,我国《个人信息保护法》草案也对违法行为加大惩处力度,设置了严格的法律责任。草案对违反本法规定行为的处罚及侵害个人信息权益的民事赔偿等作了规定。如“侵害个人信息权益的违法行为,情节严重的,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款”,并增加了“记入信用档案”的处罚机制,同时规定对侵害个人信息权益的民事赔偿,按照个人所受损失或者个人信息处理者所获利益确定数额,上述数额无法确定的,由人民法院根据实际情况确定赔偿数额。

总之,针对个人信息野蛮掘金的时代已经结束,该是到了通过《个人信息保护法》和《数据安全法》建构数据法律新秩序的时候了。让我们一起为数据权利而斗争!

声明:本文来自数据法盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。