王秀秀
(浙江树人大学 管理学院,浙江 杭州 310015)
个人数据保护立法的经济分析与路径选择
王秀秀
(浙江树人大学 管理学院,浙江 杭州 310015)
个人数据保护法在为数据主体创设权利的同时,更要促进个人数据的合理流动,以推进大数据产业的发展。经济学分析表明,美国个人数据保护法比欧盟法更容易促进互联网经济的快速增长。究其原因有三:宽松的个人数据保护法有利于社会总福利的增加;有利于发挥数据跨境流动与劳动力迁移的替代效应,降低社会费用;有利于发挥社会有序和无序的双义作用,提升信息技术创新水平。有鉴于此并结合自身国情,中国宜选择以社会经济优先为导向的法律保护模式,即采取改良的“损害”进路,逐步健全个人数据保护法。
个人数据保护法;个人数据权;经济分析;立法路径
国家大数据战略的首要任务是厘清与大数据有关的法律关系,尤其是个人数据处理中的法律关系。但是,学界和各国立法对“个人数据保护法的价值是什么”没有给出统一的答案。有的学者认为,个人数据保护法是为了保护个人数据主体的人格利益。[1](P36)有的学者强调,个人数据保护法一定要在人格利益和财产利益之间寻求平衡。[2]66个国家和地区的立法例的名称就存在着明显的区位特点:欧洲国家愿意使用个人数据保护法,美洲国家喜好隐私权法,亚洲国家偏爱个人信息保护法。不同的名称说明不同的立法价值。欧洲和亚洲国家立法更重视保护个人数据主体的人格利益,而美洲国家立法更愿意照顾个人数据主体的财产利益。实际上,个人数据保护法的价值正从单一向度的隐私权保护发展为多种权力和利益的平衡协调、多种利益的综合保护。[3](P119)从根本上说,个人数据保护法不仅要为个人数据主体创造权利,更应当实现权利保护和数据流动之间的平衡,促进数据健康、有序地流动,从而增强数据市场的活力,最终使数据资源能够带来社会总福利的增加。本文归纳出个人数据保护法的两种典型模式,并对其进行了经济学分析,以此为基础,提出了中国个人数据法律保护模式的有关建议。
欧盟国家和美国是最早进行个人数据保护立法的国家,它们还纷纷通过有关的国际组织或者类似国际组织的平台推广自己的法律模式。[4](P164~165)目前,个人数据法律保护模式已经基本形成了两分天下格局:以美国为代表的低程度保护模式和以欧盟为代表的高程度保护模式。
1.以美国为代表的低程度保护模式
个人数据法律保护模式可以从三个方面切入:立法价值理念、立法模式和执行管理制度。从立法价值理念看,美国法和欧盟法代表两种典型的协调个人数据保护中利益冲突的理念——美国青睐的“损害”进路和欧盟青睐的“权利”进路。[5]美国是一个特别重视企业的创造力与创新性的国家,对于网络和现代通信技术带来的海量个人信息收集、存储和处理,根据美国官方的说法,它们既有利于跨境贸易和电子商务,也会引起对个人信息隐私的担忧。美国政府的立法取向是,既要在国际范围内保护个人数据隐私,又不应阻断跨境信息交流,影响电子商务和跨境贸易。美国政府希望通过对数据隐私保护采取平衡规制方式,创造有利于创新的最佳增长环境。[6](P136~137)可以说,美国个人数据保护法是以经济发展优先、兼顾个人数据隐私的价值理念。
在立法模式方面,美国法发展出两个途径:途径一是法院采用个案衡量政府处理个人数据的合宪性或合法性;途径二是制定隐私保护特别法,在重点领域中创制成文法,从1968至1978年短短10年的时间,美国国会制订了6部法律来调整各种数据的取得、存储和传播。[7](P37)现在美国已经逐渐形成了宪法、普通法和联邦成文法联合保护个人数据的法制体系。创制法采用公私领域分散立法的形式,对联邦机关的数据处理行为采用成文法《隐私权法》来规范,而对私人机构没有统一的法律,只在一些专门的领域制定成文法,如电信、金融、保险等行业。在驾驶员信息、影像制品租赁信息、教育信息、消费者网上隐私和儿童网上隐私等方面也制订了联邦成文法。
在执行管理制度方面,学者班尼特(Bennett)依据政府干预程度区分为五个层级。从低程度政府干预到高程度政府干预的模式依次为:自我约束模式、自律控制模式、数据委员会模式、注册模式和许可模式。[8](P41)自我约束模式是指数据使用者根据需要收集和利用数据,进行自我约束,包括道德约束和技术约束,如泰国。自律控制模式是指企业之间达成部分自律协议的形式,如美国和日本。数据委员会模式中,委员会没有强制执行的权利,但是如果有人起诉,委员会将介入调查,典型的国家有澳大利亚、加拿大及新西兰。注册模式中,政府机构没有权利阻止特定数据系统的创建,典型的国家有英国和丹麦等欧盟国家。许可模式要求每个新创立的包含个人数据的数据库都应当在一个独立政府机构进行登记。由于许可模式过于严苛,至今没有一个国家采用该种模式。
行业自律理念来自美国追求与推崇的自由理念,其核心在于行业自律规范。它是由行业组织者制定、企业自愿遵守的符合法律最低要求的行为准则。[9](P444)1997年美国公布了《全球电子商务框架报告》,要求美国网站经营者在1998年底之前必须订立保护网上个人数据及隐私权的自律规则,此法案推动了美国行业自律制度的建立。行业自律有两种方式:一个是建设性的行业指引,另一个是隐私保护认证标志。建设性的行业指引是指由自律组织制定的、参加该组织的成员都必须遵守的保护个人数据的行业指导原则,从而为个人数据保护提供范本。[10](P85)隐私保护认证标志是一种私人企业在民间自发形成的个人数据隐私保护的自律组织,不具有强制性。这些认证组织要求,那些被许可在网站上张贴其认证标志的网站,必须遵守其行为规则,并服从于多种形式的监督和管理。[11](P29)
2.以欧盟为代表的高程度保护模式
从立法价值理念看,欧盟将个人数据保护视为一种内在于主体、关系到主体人格尊严、不具有经济属性、不可转让的基本人权,其价值高于其他利益,“为人权宁肯牺牲技术进步”[12]的立场在欧洲更受欢迎。个人数据保护法是一项基本人权法,核心是保障人的自由;与人的自由相比,经济和技术的发展应当让位。作为一项人权,个人不能随意抛弃个人数据权,需要国家公权力予以保障。欧洲国家对待人权的态度,可以从一个例子中反映出来。比利时对父母的命名有严格的限制,认为对孩子的命名也涉及对其人格利益的保护,因而政府如果认为父母对孩子所取的名字不适当,可以拒绝为其登记。[13]可见,欧盟法则以人的自由价值和民主政治为第一位,以社会经济价值为第二位。
在立法模式方面,在将个人数据权作为一项基本人权和自由的欧盟,为了消除个人数据在各成员国之间自由流动的障碍,[14](P3)在《欧盟指令》①指导下,各国形成宪法、行政法、民法等公私法全面立法模式。在个人数据保护单行法中,不仅对个人数据保护的原则做了规定,还分别对公共部门和非公共部门的个人数据处理进行了严格、统一的规范,形成了立法、执法和司法三层全效保护机制。欧盟各国的立法具有几个鲜明的特点:首先,明确个人数据保护的原则,通常包括数据质量原则、特殊类型的数据处理限制原则、例外及限制原则等多个原则;其次,对敏感个人数据提供特殊的保护;最后,对个人数据跨境流动有着严格的限制。如果第三国没有对个人数据提供“充分保障”,通常禁止个人数据的跨境流动。
在执法和管理模式方面,欧盟各国都设立一个或者多个公共机构专门负责监督个人数据保护法的实施。数据保护机构是独立的行政机关,享有行政法规定的立法监督权,成员国在起草与个人数据处理有关的行政措施或规定时,应当向数据保护机构咨询。数据保护机构享有三项权利:第一,调查权,即依照有关当事人的申请或者依照职权,调查相应的违法行为;第二,干预权,在数据处理操作实施之前,命令贴标隔离、删除或毁灭数据、对数据处理下禁令,对数据处理控制人进行警告或训诫,或提交议会等政治机关;第三,参与诉讼的权利,当有违法行为时,参加诉讼或者告知司法机关。
总之,美国法注重个人数据隐私的经济特性,突出其私人价值,采用分散立法形式,并建立了以技术自治、行业自律为主的低政府干预模式。欧盟法强调个人数据的政治属性,强调平等,并将其视为人权的重要组成部分,采用公私合并立法,利用技术自治、行业自律、数据委员会、注册来保证法律的实施,并以数据委员会模式和许可模式等高政府干预模式为主。欧美在法律模式上的南辕北辙,致使实现的社会效果大相径庭。在人称“互联网女王”的玛丽·米克(Mary MeeKer)的《2015年互联网趋势报告》中,全球最有价值的企业排行榜比照数据显示:1995年,排行前15位的企业中,排行第3位的是德国公司,排行第11位的是加拿大公司,其余都是美国公司;而到了2015年,去除4个中国公司外,其余都是美国公司,仅有的德国公司早已消失不见了。[15]美国的互联网经济不断刷新纪录,创造了硅谷神话。美国人民在享用着信息技术为生活带来的物美价廉的商品和高效率的同时,却可能遭受信息技术对人格尊严的威胁和侵害。相反,欧盟实现了民主政治,但是互联网经济发展缓慢。欧盟各国人民较少享受信息技术发展所带来的实惠和便利,但有更安全、更受尊重的感觉。
美国的分散立法更具有灵活性、便捷性,自下而上的执行模式容易促进行业自律和技术自治的生成,最终形成市场规则的良性发展。同时,较低程度的个人数据保护模式,降低了企业的成本,有效激励企业进行创新,有利于推动信息技术的发展。欧盟的统一立法模式,容易实施,方便执行,但缺少灵活性。同时,全面地保护基本人权,可能会付出压制言论自由以及阻碍经济发展、技术创新的双重代价。下面我们将运用经济学方法,详细分析两种法律模式的经济性。
1.基于社会总福利的比较
法律、政策的经济影响标准可以选择社会总福利水平来衡量。[16]社会总福利水平通常用社会总剩余这个指标表现:社会总剩余(SS)=社会的便益(SB)-社会的费用(SC),也可以表示为社会总剩余(SS)=消费者剩余(CS)+生产者剩余(PS)+政府收入+外部便益-外部费用。[17](P34~38)消费者剩余是指消费者愿意支付的价格与实际支付的价格之差。生产者剩余是生产者实际的供给价格与预期的市场价格之差。外部性可分为外部便益和外部费用,是指一定经济主体的活动对社会产生的某些不能由市场价格体系反映出来的影响,若私人成本小于社会成本则为外部费用,若私人收益小于社会收益则为外部便益。下面将运用美国法作为对照组,研究欧盟法的社会总福利。在分析社会总福利之前,需要明确一点,即个人数据保护法的生产者为国家相关立法、执法、管理部门,消费者为数据主体及国家、企业、私人等公私主体。
消费者剩余。一个是数据主体的消费者剩余(1)。美国法承认数据收集者采用隐性的经济补偿如赠送小礼物等条件换取客户数据,也就是所谓的“购买同意”制度。[18]消费者不仅可以拒绝接受推销电话,也可以在给予一定经济补偿的基础上接收特定的推销电话。[19]欧盟法则认为“购买同意”没有明示收集的目的,违反了同意的真实性。德国曾判决以回扣和折扣方法获得的个人的“购买同意”无效。[20](P72)因此,在数据主体的需求曲线既定的情况下,欧盟法较美国法而言,数据主体支付的成本较多,故,数据主体的消费者剩余(1)较小。一个是公私主体的消费者剩余(2)。为了使个人享有充分的个人数据权,欧盟法选择采用严格的明示同意制度,该项义务的履行造成社会成本的巨大浪费。有学者研究表明:欧盟法模式下,商家取得消费者的收集信息的认可,需要通知消费者。一家美国公司认为,为了获得有关客户对其信息利用的许可,联系一个客户需花费30美元,制作、印刷和寄送40亿披露通知,需花费20亿至50亿美元。[21](P98)因此,欧盟法较美国法来说,公私主体的消费者剩余(2)较小。
生产者剩余。个人数据保护法的立法成本有:国内外调研费用、时间成本、专家咨询费、法律制定成本、审核法律等一系列的成本费用。该部分欧美法相等。个人数据保护法的执行和管理成本方面:美国法主要采用行业自律的方式,成本忽略不计;而欧盟法要求成立专门的数据委员会,其成立及维护费是欧盟法的成本。比如,丹麦个人数据保护法就专门成立了数据保护局,该局由委员会和秘书处组成。委员会由司法部长建立,由主席(法定合格的法官)和6位成员组成,负责监督管理该法所管辖的所有处理业务。[22](P198)假如一个数据委员会成员的年薪平均为15万美元,[23]则6位成员合计为每年90万美元。在生产者供给曲线相同的情况下,欧盟法比美国法支付的成本多,因此其生产者剩余较小。
政府收入。个人数据使用和控制者违反个人数据保护法的规定时,政府获得的罚金是政府收入的主要来源。以意大利法(1992年)规定为例,违反第7条第16款……的规定被处以51646欧元至309874欧元的行政罚款;违反第15条第2款……应当被处以2年监禁或者51646欧元到413166欧元的罚款;违反第29条第4款……将被罚款25823欧元到154973欧元。[22](P242~244)欧盟法比美国法更加严厉,政府所获得的罚金更多。因此,欧盟法与美国法相比,政府收入较高。
外部便益。外部便益(1)为信任利益。欧盟委员会负责司法和公民基本权利的专员维维亚娜·雷丁(Viviane Reding)说:“企业将能确保客户有价值的个人数据得到必要的全力保护。信任……对服务提供者而言是一种关键资产,对投资者的判断而言也是一种激励。”增加交易双方的信赖利益,有利于市场的有序健康发展。然而到目前为止,似乎并没有看到由于更高程度个人数据保护制度,使得美国的社交网络转向了欧洲或者亚洲。[24]这就表明,欧盟法带来的信任利益并不显著。外部便益(2)为数据主体的人格权和隐私权的有效保护。虽然欧盟法更容易为数据主体的人格权和隐私权提供全面的保护,但是并不是说美国法就不保护。只是美国法采取事后补偿制,而欧盟法采用事前预防制。
外部费用。它是指因为严格的个人数据保护法,降低数据的流动性而产生的浪费。比如,国家利用公共财政获得了大量的“国家数据库”,但因欧盟法的严格限制,不能够将这些信息进行充分的利用,导致大量的数据资源的浪费。
综上所述,在社会总剩余(SS)=消费者剩余(CS)+生产者剩余(PS)+政府收入+外部便益-外部费用的公式中,欧盟个人数据保护法在消费者剩余(1)、消费者剩余(2)、生产者剩余三个部分明显比美国法小。在政府收入项上,欧盟法比美国法的值大一些。另外,欧盟法在信任利益和实现人权利益的两项外部便益项上,大于美国法,与此同时,在外部费用项上欧盟法大于美国法。政府收入的增加值来自于消费者剩余、生产者剩余的减少值,所以政府收入的多少不影响社会总剩余的值。如上所说,欧盟法的信任利益并没有显现出来,所以它可以忽略。这样算来,美国法的社会总福利应明显高于欧盟法的社会总福利。
2.数据转移与劳动力迁徙的替代效应分析
美国法对个人数据跨境转移没有什么限制,而欧盟法对个人数据跨境流动进行了严格的限制。现在假定:一个是位于美国的IT公司(A),一个是同美国规模、性质相似的位于欧盟的IT公司(B),一个是位于中国的承揽IT项目的公司(C);欧美企业将依赖于低劳动力成本规则预期而制定企业战略。
若中国个人数据保护法与美国法相似的话,A公司可以将个人数据传输到中国的C公司进行数据处理,将从中国低廉的劳动力成本中获利。而C公司拓展了业务范围,学习到美国先进的管理方法和先进的信息技术。对中国而言,带动了IT技术人才的就业,防止了更多高技术人才的流失。但因中国没有达到欧盟要求的“充分性”保护程度,所以B公司不能将个人数据转移到中国的C公司,只能雇佣中国迁徙到欧盟的劳动力。中国的劳动力到了欧盟,B公司需要支付与欧盟生活水平相当的劳动力工资,这明显要高于美国所支付的劳动力成本。又因为欧盟企业需求外来劳动力,所以形成了劳动力迁移大军。为了应对大批的外来人员产生的社会影响,可能需要制定一些新的政策和法规。比如,提高签证的数量、重新制定常住人口的政策、加强安全保障,等等。这些是劳动力人口迁徙带来的间接成本。
若中国的个人数据保护法与欧盟法的要求匹配,那么中国的劳动力人口就不必迁徙到欧盟,那么中国的问题不就解决了吗?其实恰恰相反,假设中国实行与欧盟一样的个人数据保护法,表面上看中欧数据跨境流动问题解决了,中国的劳动力人口也就不需要迁徙到欧盟。然而中美之间的数据流动问题产生了,美国A公司的数据可以传输到C公司进行数据处理,但是C公司的数据无法传回A公司,最终还是中国劳动力迁移到美国,中国的高技术人才还是流失。另外,劳动力成本只是企业经营成本的一部分,更多的成本可能产生于法律风险。比如,2000年,依据《公平信用报告法》,三大征信机构由于阻止或延迟消费者申请获得他们个人信用信息的电话,被罚款250万美元;[25]中国严格的个人数据保护制度,高额的守法成本,将使得很多发达国家的企业望而却步,不愿意将项目外包给中国,中国也就较少获得输入技术效益。
总之,发达国家即便是实施严苛的个人数据保护法,却不会面临高技术人才外流的问题,为履行法律义务所支付的成本可能转嫁给发展中国家或者欠发达国家。[5]发达国家失去的可能只是小部分经济发展能力,但它们获得了国民人格尊严的保障,实现了民主政治的价值。而发展中国家的信息技术水平较低,经济发展程度不高,如果实施严格的个人数据保护法,将使得高技术人才流失,服务经济、外包经济受阻,先进的互联网技术输入效应无法实现。
3.个人数据保护强度与信息技术创新的反向关系
两者之间存在反向关系,归于社会有序与无序的双义作用。社会秩序是为了维护社会公共生活的安定而建立的各种秩序,协调社会关系的各个部分,使社会处于正常而有规律的活动状态。[26](P279)无序是一切宇宙发生过程的组成部分,宇宙中不是只有一种无序,而是有着多种无序:不平衡、紊乱、涡流、随机的相遇、断裂、灾变、波动、不稳定、散射、离散、正反馈、逃逸、爆炸。[27](P29)经典科学把自然界中的有序性放到至尊的统治地位,而否定无序性具有任何重要的意义,这使它不能阐明自然界的质变。莫兰却认为有序性和无序性有同样根本的本体论地位,并且它们对世界事物的变化和发展具有双义性。有序性的积极意义在于保持事物的持久存在,而其消极意义在于保守性并抑制新事物的产生;无序性的消极意义可能使事物解体,其积极作用为它在破坏既有秩序时为新事物或新性质创造条件。[28](P5)质变与创新之间有着不解之缘,社会无序将为新事物或者新性质的产生创造必要的条件。只有在混乱、无序的运动中,各个方向可以随意活动,经过不断地碰壁、折转,最终将产生具有较优良性质的事物,或者产生出新质事物。
“法与社会秩序有着天然的联系,并把秩序作为社会意义上的、最基本的价值追求。”[29](P386)也就是说,保护程度越高的法律,越容易实现社会秩序。低程度的个人数据保护法,将在一定程度上容忍市场无序的存在。市场秩序的适度破坏极为有利于信息技术创新。由熊彼特提出的创造性破坏理论,揭示了企业家何以成为创新的主体。他们在“创造性地破坏市场均衡”,获取超额利润的机会生于破坏。一般创新都来自于偶然性事件,前提是破坏原有的秩序,使原有的秩序失去有序状态。在无序的市场环境中,才富有创新性。这个创新性的事物不仅可能帮助市场形成新的秩序,而且还可能为创新者带来超额利润。正如钱德尔(Chander)所说,“虽然初创期的硅谷公司最不想见的人就是律师。但,硅谷的传奇绝对不仅仅是出类拔萃的程序员们的故事,而且是容纳他们创新行为之法律环境的故事”。[24]硅谷企业的成功通常并非归功于单一的、最初的灵感,而在于公司内部的反复试验、连续多次的尝试。缺乏一系列有效的强化个人数据保护的法律法规,将为网络服务商提供一个相对无序的市场环境,给了它们不断试错的机会,最终成就了硅谷传奇。
法律离不开其赖以生存的土壤,无论是美国的个人数据保护模式,还是欧盟的个人数据保护模式,所处的社会情境大相径庭,不能一概而论。近些年,中国经济下滑是一个不争的事实,而电子商务、互联网金融、大数据产业的发展可以为中国经济注入新的活力,带动全民创新创业。互联网经济的发展必然要求庞大的数据源,如果个人数据得不到应有的保护,个人可能选择退出市场或者提供虚假信息。因此,个人数据权的法律认可非常必要,但是个人数据法律保护的价值导向要以实现社会经济发展利益为核心、以促进个人数据流通为旨趣,在个人数据权保护和个人数据流通之间寻求一个恰当的平衡点。因此中国应采用美国那样的低程度保护模式,但又不应该照搬美国模式,在立法时把握以下几点:
1.个人数据保护立法的价值导向
第一,明确个人数据保护法的经济性。个人数据保护法的经济性体现在其保护的核心权利——个人数据权的性质定位。美国法上用信息隐私权,德国法上用信息自决权。[30]可见,现阶段各国的立法例中,主要强调个人数据权的一般人格权、隐私权等人格权属性,而很少强调其财产权的属性。个人数据权为法律上赋予数据主体参控与自己相关的数据,支配其收集、存储、加工、更正、删除、利用等信息化处理的权利。其权利内容有个人数据知情权、个人数据保密权、数据查询权、数据更正权、数据封存权、数据删除权[31]和个人数据报酬请求权等。这种建立在个人数据之上的专门的“个人数据处理自由支配权”,简称“个人数据权”。为了突出个人数据保护法对社会经济的价值,应该明确个人数据权的财产权属性,这样有利于个人数据商业化运作。
第二,以促进经济和技术发展为首位。基于现实的状况,中国个人数据保护法应当在充分借鉴国外成功立法经验的基础上,尊重和维护中国特殊的社会发展路径。我们应该注意到,无诉是中国传统的法价值。[32](P135)在儒家文化的影响下,中国一直坚持社会本位观,对个人数据权的诉求不像西方那样强烈,愿意与企业通过平等沟通达成一致。[33](P30~110)立法时,坚持“社会本位”代替“个人本位”是切实可行的。但是,对政府要严格要求,向欧盟个人数据保护法看齐,为数据主体提供全面的保障,提升个人对社会的信任,实现社会和谐发展;对企业则要网开一面,注意个人数据权的适度限制和克制之道,向美国个人数据保护法看齐。
2.个人数据保护立法的基本模式
鉴于个人数据保护法制度仍然处于形成阶段,法律应当承担更多教育宣传功能。最佳的方式就是从国家权力的制约着手,课以政府机关保护个人数据的义务,为私人企业和个人做个表率,表明国家在个人数据保护方面的态度。采取分散立法模式,将原有的《政府信息公开条例》上升为《政府信息公开与个人信息保护法》,突出对公共机关个人数据处理行为的严格法律责任。[34]对私人机构不制定统一的个人数据保护法,但对特殊的行业和人群进行单独的立法。
第一,法律名称为《政府信息公开与个人信息保护法》。我国保护个人数据的第一步是规范政府机关行为,保障政府机关保有个人数据主体的权利。泰国模式是一个较好范本。泰国法在政府信息公开法中一并规定个人数据保护的基本原则与制度,不再单独制定个人数据保护法。中国应当选择效仿泰国法,将《政府信息公开条例》上升为法律,更名为《政府信息公开与个人信息保护法》,并加入个人数据保护的内容。这样做的原因有两个方面:一是从节约成本、将个人数据保护尽快落地开花方面看,《政府信息公开条例》于2008年颁布,是一部较新的法规,并且其第25条和第23条赋予了个人数据的更正权、查阅权、知情权三个权利,是中国第一部真正保护个人数据权的法规,对个人数据保护具有里程碑意义。在此基础上,加入一些个人数据保护的条款,容易与现有的法条相协调。二是从时代要求方面看,《政府信息公开条例》符合世界开放政府数据、促进政府公开、促进产业升级的大背景,也符合中国国务院两次发文要求推动政府数据公开、加强大数据市场化的要求。②
第二,对特殊行业和人群单独立法。每个行业有其自身特点,尤其是一些涉及大量个人数据处理业务的行业。中国台湾地区所谓的“计算机处理个人数据保护法”就单独对征信行业、医院、学校、电信业、金融业、证券业、保险业及大众传播业八个领域进行特殊规定。中国大陆可以效仿其做法,在个人数据保护单行法中,再增加交通、互联网行业,做法律上的特殊处理。这样做不但可以照顾到每个行业的特殊性,还能够与中国现行的法律法规更好地接轨。除了特殊行业有必要单独规定外,一些特殊人群也应当单独立法,如儿童和公务人员的个人数据应当重点保护。儿童对个人数据隐私的认识与防护意识较弱,特别容易被泄露。一旦隐私被侵犯后,其承受能力又差,将会影响其健康成长,因此儿童数据保护特别重要。还有一类就是公务人员数据保护问题。恩格斯在与彼得·拉甫罗夫的论战中,对官员隐私与社会利益的关系问题做过精辟的论述:个人的隐私应当受到法律的保护,但个人隐私甚至阴私与重要的社会利益—政治生活发生联系的时候,个人隐私就不是一般意义上的私事,而是属于政治的一部分;它不再受隐私权的保护,应成为历史记载和新闻报道不可回避的内容。[35](P387~391 )虽说公务员的个人信息与社会公共利益之间经常存在矛盾,但是不能总是以牺牲公务员个人数据权来成全社会公共利益。[36]因此,中国应效仿美国法,对公务人员数据进行单独的立法。
3.个人数据保护立法的执行管理制度
应像美国法一样,不设定统一的监督机关,仅设置一个具有研究、咨询性质的“数据公开与个人数据保护委员会”的虚拟机构。主要采用行业自律、行业自治和私力救济模式来保护个人数据。[37](P170 )不过为了弥补行业自律的不足,还应当配合安全港模式。
第一,不设立专门数据保护机构。中国可以效仿日本法的做法。日本没有独立的个人数据保护机构,认为单独的保护机构可能导致限制私领域的自由活动范围,与行政改革和放松管制的潮流相背离。[38](P234)日本为了处理个人数据保护相关的行政争议的咨询,将原来《信息公开法》所设置的“信息公开审查会”整合为“数据公开与个人数据保护委员会”,专门负责政府信息公开和个人信息保护的相关事项,为复议机关提供咨询意见。[39](P230)中国国务院可以将原有审查政府数据公开的机构的权限放宽,增加个人数据保护的相关事项,为复议机关提供咨询意见,每个部门指派一两名人员组成一个虚拟的“数据公开与个人数据保护委员会”,网络监管部门可以委派一个人担任委员会主席。“数据公开与个人数据保护委员会”负责敦促各部委和地方行政部门公示委员会成员名单于其官网,保证各部门将数据类型、处理流程、利用情况以专栏的形式放置在其官网首页醒目位置,审核和监察各部门的数据处理工作。
第二,行业自律模式+安全港模式。中国应效仿美国法,主要采用行业自律的模式规范私主体处理个人数据的行为。政府引导市场主体,让行业组织自愿制定个人数据保护条款,这样的方式具有灵活、自主和执法成本低廉的优势。[9](P453~457 )但是中国行业自律组织起步较晚,尚未形成完善或成熟的行业自律传统。此种现状下高调提倡行业自律机制,预期效果可能无法达到。中国最好采取双轨制,一方面,推动和促进行业自律机制,在法律条款中写入“提倡行业自律保护个人数据”;另一方面,为了克服单纯的行业自律模式的缺陷和不足,采用安全港模式。由“数据公开与个人数据保护委员会”负责提供个人数据处理活动产生的问题,敦促行业自律组织加强行业规范的制定,为行业组织提供个人数据保护的咨询服务。如果有消费者投诉行业自律组织及成员,“数据公开与个人数据保护委员会”有权调查,并将调查报告予以公布。
4.个人数据保护立法的其他相关问题
第一,明确个人数据的分类管理理念。在法律中对数据进行明确的分类,不同类型的数据适用不同的法律规制,明确不能公开的数据范围。为了国家大数据战略的实施,应当尽量向社会公开政府机关保有的数据,数据应当是动态的、兼容性良好的,这样才能提高数据的市场利用率,促进大数据产业的市场活力。[40]最大限度地公开数据,可以效仿《阿根廷个人数据保护法》,在法律中明确规定数据离解(Data dissociation)技术。③离解数据将不受个人数据保护法的约束,同样可以公开。
第二,数据泄漏通知制度。保障数据安全的措施固然重要,但是再完美的措施、再先进的技术,也不可能做到无懈可击。当数据泄漏后,数据主体的知情权非常重要。数据主体获悉数据被泄漏的情况后,可以采取自我防范措施,以防止遭到进一步的侵害。如:2000万条开房信息泄漏后,当事人王金龙提起的民事诉讼以败诉终结[41],已经过了三年多,网络上却依然可以查找到2000万条开房数据。笔者一个朋友近期接到骚扰电话,对方对其家庭住址、家庭成员等信息了如指掌。后来才知道,正是由于开房记录泄露所致。如果不是咨询了笔者,至今其仍然对该事情一无所知,又何谈防范呢?实际上,数据泄漏通知制度很受公众欢迎,“在美国,被调查的82%的人相信组织应该经常被要求报告破坏情况”。[21](P385)公众对于数据泄漏、身份信息盗窃十分关注,因为这种影响可能是潜在的、永久性的。如果人们知道自己的数据遭到泄漏,至少能够对未来的威胁有个心理预期,或者采取一定措施来保护自己。在具体的通知制度设计上,不必像美国法那样采用到达所有受害者的方式,可以采用指定网站公示的方式。这样既可以节省企业和政府部门的成本,也能起到提醒受害者注意的效果,从而防止对受害者的二次侵害。
人类正从信息时代迈入数据时代,第三次技术革命是数据能源带来的计算能力所致,改变的是人类的思维方式。中国错过了前两次技术革命,第三次技术革命必须要抓住。事实上,中国正走在第三次技术革命的路上,这一轮革命的前锋是互联网企业,它们有足够引领革命的动力。随着数据技术革命逐渐进入深水区后,每个人都会参与到革命中来,社会力量将被充分释放。中国还处于该技术革命的初级阶段,当务之急应提供给网络企业更多的便利,依据技术革命的需要构建合理的法律体系,赢得此次技术革命的胜利。没有充足可靠的数据,就如无源之水一样,革命的力量早晚要消失殆尽。个人数据作为数据的子集合,不但具有商业价值、技术创新价值,而且还与人的尊严和隐私息息相关。无论你愿不愿意,技术革命正在发生,我们能做的就是不断地调整相关的法律,使其在最大限度地促进数据技术发展的同时,兼顾个人数据保护。
注释:
①1995年个人数据保护指令(欧盟)(95/46/EC)的简称为《欧盟指令》。
②参看国务院2015发文,http://www.d1net.com/bigdata/news/348376.html?from=timeline&isappinstalled=0;《国务院办公厅关于运用大数据加强对市场主体服务和监管的若干意见》,(国办发〔2015〕51)。
③数据离解是指对个人数据进行处理以便使所获取的信息与任何特定或可确定的人不再有联系的数据处理方式。
[1] 齐爱民. 个人资料保护法原理及其跨国流通法律问题研究[M]. 武汉:武汉大学出版社,2004.
[2] 李延舜. 个人信息权保护的法经济学分析及其限制[J]. 法学论坛,2015,(3).
[3] 刘德学. 个人资料保护中的权利冲突问题研究[A]. 陈海帆. 个人资料的法律保护——放眼中国内地、香港、澳门及台湾[C].北京:社会科学文献出版社,2014.
[4] 田禾. 亚洲信息法研究[M]. 北京:中国人民公安大学出版社,2007.
[5] Turner, M A. 隐私权与政策过失——数据限制立法如何影响新兴市场中信息引导的发展[J].苏苗罕,译. 公法研究,2007,(5).
[6] 刘青. 信息法新论——平衡信息控制与获取的法律制度[M]. 北京:科学出版社,2008.
[7] 阿丽塔·L·艾伦.美国隐私法学说判例与立法[M]. 冯建姝,等,译. 北京:中国民主法制出版社,2003.
[8] Bennett, C J. Regulating Privacy: Data Protection and Public Policy in Europe and the United States[M].NY: Cornell University Press,1992.
[9] 杨咏婕. 个人信息私法保护研究[D]. 吉林大学博士学位论文,2013.
[10] 王利明.电子商务法律制度[M]. 北京:人民法院出版社,2005.
[11] 洪海林. 个人信息的民法保护研究[D]. 西南政法大学博士学位论文,2007.
[12] 贺栩栩. 比较法上的个人数据信息自决权[J]. 比较法研究,2013,(2).
[13] Roson, J. American See Privacy as A Protection of Liberty, Europeans as A Protection of Dignity[J]. Affairs,2004,(9).
[14] 个人数据保护——欧盟指令及成员国法律、经合组织指导方针[M].陈飞,译. 北京:法律出版社,2006.
[15] MeeKer, M. 2015年互联网趋势报告[EB/OL].http://home.focus.cn/news/2015-06-08/433047.html,2017-01-18.
[16] Chamley , Christophe. The Welfare Cost of Capital Income Taxation in a Growing Economy[J]. Journal of Political Economy,1981 , (89).
[17] 金本良嗣,莲池胜人,藤原彻. 政策評価ミクロモデ[M]. 东京:东洋经济新报社,2006.
[18] 王秀秀. 个人数据的法律保护模式形成逻辑及我国选择[J]. 学术探索,2016,(4).
[19] Ayres, I; Funk, M. Maketing Privacy[J] . Yale Journal on Regulation,2003,(20).
[20] Kuner, C. 欧盟数据保护法——公司遵守与管制[M]. 旷野,译. 北京: 法律出版社,2008.
[21] Cate, F H. 美国的隐私保护[A]. 周汉华. 个人信息保护前沿问题研究[C]. 北京:法律出版社,2006.
[22] 周汉华. 域外个人数据保护法汇编[M]. 北京:法律出版社,2006.
[23] 杨奕. 欧洲法官工资薪酬制度及其对我国的启示[J]. 法律适用,2015,(12).
[24] Chander, A. 法律如何成就硅谷?(上)[EB/OL]. 杨安舒等,译. 智合法律新媒体,2015-12-21.
[25] 刘新海. 为什么欧美互联网不做个人征信——全球个人征信机构面临的挑战[EB/OL].财新网,2015-10-18.
[26] 章人英. 社会学词典[M]. 上海:上海辞书出版社,1992.
[27] 埃德加·莫兰. 方法:天然之天性[M]. 吴泓渺,等,译. 北京:北京大学出版社,2002.
[28] 埃德加·莫兰. 复杂性思想导论[M]. 陈一壮,译. 上海:华东师范大学出版社,2008.
[29] 卓泽渊. 法理学[M]. 北京:法律出版社,1998.
[30] 李震山. 基因资讯利用与资讯隐私权之保障[J]. 法治与现代行政法学,2004,(5).
[31] 范姜真媺. 网路时代个人资料保护之强化——被遗忘权利之主张[J]. 兴大法学,2016,(19).
[32] 卓泽渊. 法的价值论[M]. 北京:法律出版社,1999.
[33] Lin Yaonan . Information Privacy Concernsin the Customer Relationship Management Context:A Comparison of Consumer Attitudes in the U.S., China, and Taiwan [D]. Ageno school of business golden gate university, 2010.
[34] 王泽群.大数据环境下隐私保护的行政立法研究[J].行政论坛,2016,(4).
[35] 邱业伟. 信息网络与民法前沿问题研究[M]. 北京:法律出版社,2009.
[36] 范姜真媺. 公务员个人资料之公开与保证——日本之立法与实务带来之启示[J].中原财经法学,2014,(33).
[37] 孔令杰. 个人资料隐私的法律保护[M]. 武汉:武汉大学出版社,2009.
[38] 郭瑜. 个人数据保护法研究[M]. 北京:北京大学出版社,2012.
[39] 吕艳滨. 信息法治政府治理新视角[M]. 北京:社会科学文献出版社,2009.
[40] 于跃,王庆华.大数据的特质及其安全和信用风险[J].行政论坛,2016,(1).
[41] 毛占宇.2000万条开房数据遭泄漏涉及汉庭等酒店[N]. 法制晚报,2014-01-21.
(责任编辑:知 鱼)
An Economic Analysis of Personal Data Protection Act and China’s Path Choice
WANG Xiuxiu
(School of Management, Zhejiang Shuren University, Hangzhou 310015, China)
Personal data protection act endows the data subject with rights of processing of personal data. Therefore, it is important to promote the rational flow of personal data so as to promote the development of big data industry. In fact, personal data protection law of the USA is easier to promote the rapid growth of the Internet economy than that of EU. There are three reasons: firstly, the relaxed personal data protection act increases social welfare; secondly, the relaxed personal data protection act is helpful to play the substitution effect between trans-border flows of personal data and labor migration and to reduce the social cost; thirdly, the relaxed personal data protection act effectively plays a dual role of social order and disorder to enhance the level of information technology innovation. Accordingly, China should improve the personal data protection act with social economy given priority and adopt the improved “damage” approach to perfect the personal data protection act.
personal data protection act, personal data rights, economic analysis, legislative path
2015-12-28
浙江省软科学重点项目“创新型省份重点政策研究——推动大数据产业新视界的政策支持”(2017C25023)
王秀秀,黑龙江虎林人,法学博士,浙江树人大学管理学院,主要从事网络法经济学及管理学研究。
D901
A
1004-8634(2017)03-0048-(09)
10.13852/J.CNKI.JSHNU.2017.03.007