【摘要】大数据时代如何平衡个人数据保护与数字经济发展之间的关系是世界各国面临的共同挑战。欧盟和美国对个人信息的法律保护有从单方面强调“信息保护”到多方主体共同参与“信息治理”的立法趋向。我国应实现从“信息保护”到“信息治理”的立法理念的转变,对个人信息进行多方共治,实现个人信息保护、数字经济发展与国家数据安全利益保护的三重目标。建立数据控制者的内部治理激励机制,设立个人数据保护监管机构和数据保护官制度。加强利益相关者的共同协作与对话,不断寻求更好的隐私保护解决方案。
【关键词】信息保护 信息治理 个人信息 法律保护
【中图分类号】D923 【文献标识码】A
【DOI】10.16619/j.cnki.rmltxsqy.2019.10.009
长期以来,我国关于个人信息的法律保护呈现立法碎片化、保护利益不清、表达不明确、多数规范性文件位阶较低、缺乏操作性以及相关执法部门的定位和权限不明确的特征。[1]2016年发布的《网络安全法》首次在法律层面对个人信息保护进行了规定,自此,我国对个人信息的法律保护立法进入加速期。2018年8月《电子商务法》对电子商务领域的个人信息保护进行了细化。2018年9月6日,我国民法典《人格权编》草案对隐私权与个人信息保护进行了规定,从私法角度为个人信息提供保护。2018年9月10日,十三届全国人大常委会将《个人信息保护法》列入第一序列立法计划,将为个人信息提供一站式的法律保护。在个人信息的法律保护方面,欧盟和美国始终扮演着引领者的角色,是各国进行相关立法的重要参考和制度来源。
大数据时代个人信息的三重属性
从词意来看,“数据”(data)不同于“信息”(information),数据是对信息数字化的记录,本身并无意义,信息是指把数据放置到一定的背景下,对数据进行解释、赋予意义;数据是承载信息内容的载体,信息以数据的形式存储于计算设备。[2]尽管如此,大数据时代,理论界与实务界经常混同使用“个人信息”与“个人数据”这两个概念,两者的内涵所指大致相同,有鉴于此,本文为了行文流畅,交叉使用两个概念。在所有数据中,个人数据无疑是最有价值的数据,大数据时代的个人数据具有三重属性。
一是个人数据具有用户权利属性。用户对个人提供的数据拥有隐私权或个人数据保护的权利。[3]当今时代,用户在使用各种应用程序之前均须接受网络服务提供者一定程度的个人数据收集和分析活动。这种用户数据收集行为不仅有利于商家改善服务,获取经济利益,而且有利于提升用户体验,给用户的工作和生活带来便利。用户与网络服务提供者分享个人信息,并不影响用户就该部分信息对经营者主张“合理的隐私期待利益”。[4]正因如此,各国相继出台个人信息保护法,保护大数据时代的个人信息或隐私权。
二是个人数据具有企业利益属性。不夸张地说,个人数据是数字经济时代互联网企业发展的命脉,“得数据者得天下”。当今互联网企业的商业模式是通过向用户免费提供服务吸引用户,通过对大量用户个人数据的收集和分析投放有针对性的广告赚取经济利益。对于企业而言,个人数据包含的市场价值和隐私利益具有低密度性,[5]只有达到一定规模才具有商业价值。
三是个人数据具有国家利益属性。个人数据不仅具有用户权利属性和企业利益属性,还具有国家安全属性,关乎国家的数据主权和数据安全。个人数据的国家安全属性尤其体现在个人数据的跨境传输方面,当前世界各国在涉及数据跨境传输方面,都试图采取双重标准,一方面尽力抓取他国数据,同时限制数据外流,过分开放的数据流动政策显然不利于国家安全。[6]
个人信息的三重属性决定了从任何一方的角度出发设计个人信息保护法都是不合理的。如果只从用户个人的角度考虑,最大限度地保护个人数据,枉顾企业利益和国家利益,最终将造成三败俱伤的局面。“隐私”不是信息分享的对立面,而是对信息分享的控制。[7]正因如此,欧盟和美国对个人信息的法律保护有从单方面强调“信息保护”到多方主体共同参与“信息治理”的立法趋向。“信息保护”是单方面从保护用户个人信息的私权利角度出发对个人信息进行保护,而“信息治理”则从用户、企业、国家多方角度出发对个人信息进行多方共治,旨在实现数字时代的多方合作共赢。
从“保护”到“治理”:欧美个人信息法律保护的立法趋向
大数据时代有效平衡数字经济发展与个人信息保护是一项世界性的难题和挑战,欧盟和美国也处在摸索试验的阶段。最新实证研究表明,欧美两种模式实际上存在某些共同规律可循,不管哪种立法模式,只有激励相容才会取得预期保护效果,成败的关键在于个人数据治理的制度设计是否科学。[8]
欧盟个人信息的“治理”转向。欧盟1995年的《个人数据保护指令》制定于大数据时代之前,其侧重于保护个人信息。而2016年的《一般数据保护条例》则同步考虑了欧盟数字经济的发展,具有既保护個人数据又促进个人数据自由流动的双重目标,这种双重目标不仅开宗明义地体现在《条例》的标题上,而且充分体现在序言以及《条例》正文对个人数据保护的制度设计中。从《指令》到《条例》,体现了欧盟对个人信息从偏重“保护”个人数据,到注重对个人数据的多方“治理”的立法转变。《条例》尽力为大数据开发利用开辟路径,一方面强化信息控制者内部治理机制,调动信息控制者参与数据治理的积极性;另一方面设计强有力的外部执法威慑机制,促使信息控制者主动承担责任,符合激励监管的基本原理。[9]
从具体层面来讲,《条例》废止了《指令》要求数据控制者向数据保护监管机构“事先通知”数据处理的要求;强化数据控制者的内部治理机制,要求数据控制者建立有效的技术与管理措施;贯彻“设计即隐私”理念,执行隐私影响评估、任命数据保护官、采取与风险相适应的安全防范技术措施等;在关于个人数据跨境传输方面,《条例》增加了经批准的行为规范和第三方认证具有证明跨境信息传输合法性的效力,丰富了合作治理的形式。[10]
美国加州2018《消费者隐私保护法案》与立法趋向。近20年来,美国在隐私和数据保护方面的立法呈现分散化的特征,各行业和各州针对不同场景下的消费者隐私保护各自制定法律。但美国Facebook数据泄露事件后,美国国会和联邦贸易委员会(FTC)连续举行了多场关于隐私数据保护的听证会,对于制定美国联邦层面的隐私立法已基本达成共识,且获得了科技界的认可和支持。2018年6月28日,美国加州率先公布了《消费者隐私保护法案》(CCPA),对企业提出了通知、披露义务要求,规定了数据泄露的损害赔偿金制度,是美国目前州层面最严格的隐私立法,也因此被视为最具有欧盟《条例》色彩的隐私立法。事实上,美国在政策制定过程中,充分参考借鉴了欧盟《条例》的实施效果和经验。美国在政策设计时始终努力平衡个人数据保护与促进数字经济发展之间的关系,希望通过制度设计实现有效的市场自我运行机制,对数据控制者进行内部激励,使数据控制者保护个人隐私和数据安全不只是出于合规的外部压力,而是使数据控制者认识到保护隐私和个人数据有利于与消费者建立信任,维护企业形象和商业信誉。
欧美最新个人信息立法的趋同与差异。美国加州在制定CCPA的过程中,以及国会和FTC在举办关于制定联邦层面的隐私立法的系列听证会时,充分考虑了欧盟《条例》的立法和实施经验,加强企业责任。欧美关于个人信息保护有互相学习、取长补短、相互融合的趋势。但美国仍然保留了一些与欧盟立法的基本差异。例如,CCPA在处理消费者信息方面,仍然保留了美国一贯的“opt-out”模式,即16周岁以上的消费者除非明确拒绝或选择退出,默认其同意网络服务提供者的个人信息收集和处理。而欧盟《条例》采用的是“opt-in”模式,即网络服务提供者在进行数据收集和处理之前必须首先获得数据主体的同意。从数字经济发展的角度来看,美国“opt-out”模式更为高效和务实,更有利于大数据产业的发展;欧盟的“opt-in”模式,看似增强了用户的个人数据控制权,实际上沦为了一种形式性操作,绝大部分用户不会阅读应用程序的隐私和数据收集政策,即使阅读了相关政策,为了使用相关软件服务也不得不选择同意,因此这种同意机制起的作用是非常微弱的。
个人信息的多方共治:我国个人信息法律保护的应然路径
无论是从大数据时代个人数据的三重属性来看,还是从比较法上欧美个人信息保护的立法趋向上来看,我国对个人信息保护的制度设计应实现从“信息保护”到“信息治理”的立法理念的转变,对个人信息进行多方共治,实现个人数据保护、数字经济发展与国家数据安全利益保护的三重目标。
数据控制者的内部治理。数据控制者是用户个人数据的守门人,对个人信息的多方共治最重要的是实现数据控制者有效的内部治理机制。[11]数据控制者的内部治理机制绝不是单方面从外部向其施加合规压力,而是努力培育其保护个人数据的内在动力。一般而言,企业放在第一位的是追求利润与利益,缺乏投资个人数据保护的内在驱动力。但是近年来国内外大规模的个人数据泄露事件频繁发生,从2017年年末的美国最大的三家征信机构的Equifax的数据泄露,到2018年国内两大酒店集团(华住集团和万豪酒店集团)的个人数据泄露,以及Facebook的数据滥用丑闻,这引起了用户的广泛关注和担忧,消费者的个人数据安全成为数据控制者面临的一项重要挑战。个人数据泄露会造成企业声誉损失和用户流失,有效保护个人信息成为企业的核心竞争力之一。[12]保护用户的隐私和个人信息有助于建立用户与企业的信任,也有利于企业的长远发展。
我国当前关于个人信息保护的相关立法普遍存在重责任追究,轻过程规范和多方综合治理的问题。[13]尤其是关于个人信息保护的刑事责任追究范围过大,几乎所有侵犯公民个人信息的行为都将触发刑事违法,然而这种严格的法律责任不但未能解决信息控制者内部信息安全与个人信息保护脱节问题,还导致外部法律要求与内部治理机制脱节,呈现出典型的命令控制式立法特点。[14]我国未来个人信息保护法的制度设计应注意培育数据控制者的内部治理激励机制,注意外部法律要求与内部治理机制的有效融合、互相激励。此外,还应倡导行业自律,允许设立非营利性的隐私认证组织或机构,创造健康、有序、高效的产业环境。[15]
行政执法者的外部治理。刑法、民法对个人信息保护都存在实践上的局限性,不能及时有效的制止恶意侵权事件,因此各国立法都设立了较强的行政监管机构。[16]欧盟的数据保护委员会(EDPB)作为独立的数据保护监管机构,监督个人信息保护的全过程;美国的FTC有权制止企业的不公正和欺瞒行为,可发布禁令、实施罚款等;日本设立了个人数据保护委员会;韩国设立了纠纷调解委员会。培育激励相容的内生机制,关键在形成信息控制者的自律,但完全依靠自律机制不能形成有效的激励约束,因此有必要设立数据保护监管机构,构建有效的外部执法威慑,促进数据控制者积极履行职责,同时对违法行为进行处罚或制裁。[17]有效的外部执法威慑,并不是为了增加信息控制者的负担,最终是为了推动信息控制者形成有效的内部治理机制。[18]
除了个人数据保护监管机构,我国个人信息保护法还应设立数据保护官制度。欧盟《条例》要求数据控制者设立数据保护官(DPO),监督企业执行《条例》的个人数据保护要求。美国大多数大型公司都设立了首席隐私执行官,评估公司的隐私保护执行政策。数据保护官是连接外部行政执法与内部企业治理的关键因素,有助于个人信息法律政策的执行和落实。
加强利益相关者的共同协作与对话。大数据时代个人数据的治理涉及用户、数据控制者、监管机构、研究机构、计算机技术工程师、数据权利倡导者等多方主体,我国个人信息保护法的制定和落地执行,应以召开相关研讨会和听证会的方式,充分了解各方主体的利益诉求和面临的问题,促进各方主体的共同参与、协作和对话。
消费者用户需要提高隐私风险意识,学习必要的网络安全技术,提高数据提供者的数据素养和隐私风险防范意识。数据控制者应将设计和默认的数据保护理念融入软件设计的最初阶段,对于数据的收集和处理除了应有明确的政策和传播机制外,还需独立的第三方对其数据收集和处理活动进行公正和专业的定期审核。[19]数据控制者尤其是数据分析者采用的算法决定着个人数据的分类方式和传播形式,应保证采用的算法具有可解释性,并在分析处理个人数据时反思该算法是否会对数据产生不利影响,多与数据权利倡导者对话和讨论,了解用户的需求,开发隐私友好型工具。此外,还应提高数据控制者对数据可靠性、算法局限性、技术安全性及对用户数据权利潜在影响的认识,确保数据使用的安全合规。[20]加强各方主体之间的共同协作与对话,有利于真正平衡各方利益,不断寻求更好的个人信息和隱私保护解决方案。
注释
[1]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》,《中国法学》,2015年第3期,第38~59页。
[2]涂子沛:《大数据》,桂林:广西师范大学出版社,2015年,第274页。
[3][4][7]王融:《隐私与竞争:数字经济秩序的平衡之道》,《竞争政策研究》,2017年第6期,第13~16页。
[5]吴伟光:《大数据技术下个人数据信息私权保护论批判》,《政治与法律》,2016年第7期,第116~132页。
[6][15][16]张平:《大数据时代个人信息保护的立法选择》,《北京大学学报(哲学社会科学版)》,2017年第3期,第143~151页。
[8][9][10][11][12][13][14][17][18]周汉华:《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》,2018年第2期,第3~23页。
[19][20]付新华:《大数据时代儿童数据法律保护的困境及其应对——兼评欧盟〈一般数据保护条例〉的相关规定》,《暨南学报(哲学社会科学版)》,2018年第12期,第81~93页。
责 编∕马冰莹