合理平衡隐私保护与价值挖掘推动我国数字经济可持续发展

陈道富，王 刚

(国务院发展研究中心 金融研究所， 北京 100010)

数字经济时代下，合理保护用户隐私，发展数据产业链，充分挖掘数据价值，是国家的核心竞争力。隐私保护的法律设计是影响数字经济发展的关键。美国作为全球数字经济的领先者，与其隐私保护法律标准相对宽松，给数字技术留下发展空间有相当关系。欧洲没有真正意义上的互联网大数据公司，与其较严格的隐私保护有关。欧洲通用数据保护法规(GDPR)对于欧盟用户严格的数据权益保护，一定程度上是出于产业竞争考量，限制中美大型互联网创新公司。当前，我国正加快推进个人隐私保护基础性立法，需准确把握国际数字治理与隐私保护的最新动态，充分考虑我国的基本国情和社会习惯，尤其需要着眼国际数字产业竞争态势，统筹考虑我国数字产业的未来发展，平衡好隐私保护与数据共享，合理设计法律和政策尺度。

一、数据共享是数字时代国家的核心竞争力

数据是数字时代的核心生产要素，但数据只有在使用中才能实现价值。在大数据时代，单个数据几乎没有使用价值，只有相互连接的大量单体数据，经过合理的加工后才拥有价值。因此，数字经济时代国家层面的竞争，就是建立一套更合理有效的激励约束机制和基础设施，实现数据收集、加工处理、共享使用的数据产业链的社会化分工合作。凝聚信任，实现数据共享是其关键。有效的数据共享，就是数据主体、数据控制者(大部分也是数据采集者)和数据使用者三者间的利益平衡。其中，数据主体最关心的是隐私保护、数据控制者更关注数据安全，数据使用者则关心数据价值。

当前，我国数据市场出现的以数据孤岛为代表的乱象，与我国尚未建立合理有效的数据共享机制有关。数据控制者由于担心数据泄漏无法获得变现环节的合理回报，将数据加工处理环节内部化，就出现了数据孤岛现象。数据孤岛现象表现为过度采集消费者数据，泄漏个人隐私，滥用数据侵害消费者权益，典型如大数据杀熟、暴力催收等。

二、发展隐私计算，以技术手段合理保护个人隐私，实现数据共享与合理利用

个人隐私保护可以通过以下3个方面来实现。一是法律保障。通过界定个人信息主体的权属和相关人员的行为空间来保护个人隐私。二是技术实现。通过数据处理、计算方法和管理技术等确保个人隐私。三是利益平衡。通过市场交易，承担一定的隐私泄漏风险获得更好的服务或收益。

隐私计算是隐私保护下数据共享的技术实现路径。为了解决互不信任的多个机构间数据共享和数据价值挖掘，国际上开发出了在不共享原始数据情况下实现数据价值挖掘和流转，即隐私计算。隐私计算一般通过3个环节保证数据和模型隐私，实现数据“可用不可见”“可算不可识”和“可用不可拥”。一是原始数据的“去标识化”。确保合作第三方不能通过数据反向逆推出数据主体，即不能识别出消费者的“自然人”身份，但又尽可能保留数据中的“信息”价值，做到共享信息的“可算不可识”。二是可信的执行环境。通过硬件化、安全沙箱或通过访问控制、数据脱敏、流转管控、实时风控和行为审计等管理实现，提升数据和模型计算环境的安全性，确保全程安全可控。三是能够保护数据和模型隐私的智能计算技术，如多方安全计算、差分隐私、联邦学习等。用户的原始数据可以在不出域、不泄漏的前提下共享并提取数据价值，实现信息的“可用不可见”。

通过运用隐私计算技术，国内外在大量实践中取得成效，实现了隐私保护和数据价值流转的平衡。在个人隐私计算技术下，“去标识化”后的数据可以实现绝大部分个人隐私保护要求。隐私计算过程中，在经过去标识化和多方安全计算分片处理后，第三方已无法通过这些共享数据来反向逆推出数据主体的个人身份，不会出现个人隐私泄露情况。因而，并不需要在“去标识化”数据加工处理过程中再获得信息主体的确认“授权”。

同时，还需要尽可能减少必须使用“匿名化”数据的场景。“去标识化”数据在数据加工处理过程中，数据“可算不可识”，但保留了数据间除个人信息以外的关联关系，可挖掘的信息价值较大，且仅在用户“授权”的情况下可重新识别使用。匿名化处理后的数据，无法将同一个人在不同时间、不同空间产生的数据关联起来，数据之间关联性已被不可逆地破坏，从而无法有效进行数据融合和数据价值提取，散乱为数据碎片，将丧失绝大部分信息价值。“匿名化”后的信息已不属于个人信息范围，在数据共享给第三方时虽无需再取得个人的单独同意，但已没有多大的使用价值。

三、隐私保护视角下全球数据治理的最新形势

(一)美国：强化中美数据领域竞争

美中数字经济规模居全球前两位，在5G和人工智能等领域互为最主要竞争对手。近来，美国强化了在数据领域对我国的施压与竞争。在数据主权与安全方面，美国以侵害敏感个人信息和危害国家安全之名行贸易保护之实。2020年以来，先后对Tiktok、微信、支付宝采取封禁措施，要求数据本地化成为常用的政策手段。在数据治理方面，美国认为中国数据收集壁垒和数据标注成本较低，更容易创建大型数据库，因而对我采取明显的“双重标准”做法：一方面积极宣扬“中国政府可随意获取企业数据”“中国企业个人信息保护不力”等，向我施压制定更强有力的个人信息保护法律，减少生产中的数据投入；而其自身无论现行的隐私法案CCPA还是计划实施的CPRA，隐私保护标准相对欧盟的GDPR都较宽松。另一方面，在国际上继续倡导全球数据自由流动，联合盟友推动APEC数据跨境认证体系，以利本国数据巨头攫取更多数据资源。

(二)欧盟：开始反思GDPR过于严格的个人信息利用限制的弊端

欧盟凭借GDPR等高标准隐私保护规则占据了全球数据治理制度设计的制高点，其数据相关法律制度已成为各国立法和监管政策借鉴的主要对象。在此基础上，欧盟正积极寻求实现欧洲技术主权。一方面对跨国互联网企业基于GDPR实施高额处罚，征收数字税；另一方面试图通过立法推动数据共享，加强对大型平台企业监管，促进欧盟中小数字企业发展。采取上述立场的出发点是欧盟自身缺乏本土大型互联网企业。当前，其高额罚款、数字税和数据共享的主要对象均为美国跨国数据巨头，未来可能波及我国在欧企业。在借鉴欧盟制度规则时，要看到相关制度设计的产业背景和着重限制中美对欧盟居民隐私数据使用的出发点，应坚持以我为主，根据自身产业特点和发展阶段选择适宜的规则。

值得关注的是，2020年以来欧盟在其发布的一系列数据战略和政策中对基于GDPR的个人信息利用限制进行了反思。在2020年2月发布的《欧洲数据战略》中，欧盟认识到当越来越多的产业或公共数据来源于个人时，过于严格的个人信息利用限制可能导致产业或公共数据供给不足。尤其对于依赖于数据加工才能产生的产业或公共数据而言，个人信息的收集和适用始终是无法回避的关键问题。过于严苛而繁琐的个人信息收集约束将极大影响产业或公共数据的数量和质量，因而要建设欧盟统一数字市场就必须解决上述问题。为推动数据共享，2020年底欧盟发布了《数据治理法》(草案)。其要点：一是要求确保公共部门数据在受他人权利约束(如GDPR)的情况下，仍可重复使用；二是允许在个人数据共享中介机构帮助下使用个人数据；三是允许出于“利他主义”使用数据。上述规定在一定程度上改变了欧盟既往对数据利用的刻板态度，但GDPR项下个人权利仍是数据利用不可逾越的红线，也是《数据治理法》需要调整的最大障碍。

(三)新加坡：开辟个人信息保护第三条路径

近年来，新加坡数字经济高速发展，数据资本化和跨境自由流动推动了新加坡企业的组织创新和经济竞争力的提升。技术正在改变数据收集的方式，物联网设备、机器学习和人工智能的发展正导致整理和分析大量数据的能力不断提高，这对“基于同意”的数据保护方法带来重大挑战：一是政府和企业越来越不可能在“授权同意”之时就预测到收集、使用或披露个人数据的目的。二是伴随海量数据的无缝与即时收集，组织在每次收据收集中都寻求个人的明确同意并非总是切实可行，且对“知情同意”的依赖必然导致过度冗长或措辞宽泛的通知，并无法真正有效保护个人隐私。三是个人同意与否不一定考虑到对公众更广泛、系统的利益，也不一定会产生最理想的社会效果。

鉴于此，新加坡决定调整个人同意和企业责任之间的平衡，为适当与合法目的利用数据提供便利。2020年5月，新加坡修订《个人数据保护法》，对个人数据保护“知情同意”的基础性规则引入两个新的除外规定：一是合法利益。授权组织在符合其合法利益的情况下收集、使用或披露个人数据，但所实现的利益应当大于对个人的任何不利影响。二是业务改进。授权组织在未经同意的情况下，将个人数据用于如下业务改进目的：运营效率和服务改进；开发或增强产品/服务；了解组织的用户需求。但限定基于业务改进而收集、使用和披露必须是理性人在实际情况下认为适当的，且不得用于做出对个人产生不利影响的决定。

总的来看，在强化数据保护问责机制和执法有效性的同时，“企业赋权”是本次修订的突出亮点。在欧盟GDPR和美国CCPA之外，新加坡的《个人数据保护法》提供了个人数据保护的“第三条道路”，建立了迄今最为平衡的个人数据保护框架。

四、完善我国隐私保护立法的基本原则与具体建议

中央财经委员会第九次会议强调“从构筑国家竞争新优势的战略高度出发，建立健全平台经济治理体系，维护好用户数据权益及隐私权”[1]。《十四五规划》要求“统筹数据开发利用、隐私保护和公共安全，加强涉及个人隐私的数据保护，加快推进个人信息保护等领域基础性立法”[2]。在中美数据竞争加剧、欧盟强调数据主权和数据本地化背景下，我国数据治理规则设定宜着眼国际竞争，通过合理设定政策尺度，完善技术手段，切实平衡好隐私保护和数据共享。

(一)基本原则

一是数据治理与隐私保护应统筹考虑数字经济的国内监管与国际竞争。我国已是全球第二互联网大国，人工智能、区块链、大数据等领域发展迅速。当前,中美数据领域的博弈日益激烈，欧盟也在反思GDPR对数字产业发展和信息技术创新的阻碍并着手修正规则。因此,构建数据治理体系和个人信息保护法律制度应在国际竞争中高度综合平衡，应将激活数据要素潜能、促进大数据产业可持续发展、增强国际竞争力作为重要目标之一，以提高法律规定的前瞻性、灵活性和包容性，为我国数字经济健康发展预留充分空间。

二是数据要素市场培育宜更深入探究数据要素利用和个人信息保护的关系。个人信息包括基本个人信息(姓名、性别、联系方式等)、伴生个人信息(财产信息、账户信息、信用信息等)和预测个人信息(大数据画像)三类，后两类又称为衍生信息。在保护个人隐私前提下，使衍生个人信息有序流动和利用是激活数据要素潜能、推动数字产业发展的关键。欧盟在近期的反思中认识到过于严苛和繁琐的个人信息收集约束阻碍了统一数字市场的形成。新加坡则在《个人数据保护法》以创新性规定重置个人同意和企业责任之间的平衡，便利依据适当和合法目的利用数据。上述反思与立法实践为我国完善个人信息保护立法提供了有益的借鉴。

三是促进数据利用与个人信息保护的平衡，需要规则和技术两方面保障。规则上，保护个人隐私是数据利用的前提和基础，但该前提的真正实现需要适应技术发展趋势的科学制度设计来保障，重点关注个人能真正行使其权利，且在权利受到损害后可得到及时救济。实践证明，设置过多的事前同意环节并不能真正达到保护个人信息的目的，重点应放在事中的风险管理和事后的权利救济上。技术上，隐私计算技术的发展提供了保护个人信息基础上促进数据利用的有效方案，成为近期的主要发展方向。通过隐私计算实现数据的“可用不可见”“可算不可识”已成为全球业界共识。隐私计算的探索与创新将成为促进数据要素利用和流通的重要保障，但需要在法律技术规则层面保障其顺利应用。

(二)对《个人信息保护法》(草案)的修改建议

2020年10月，《个人信息报告法》(草案)(以下简称《草案》)首次提交全国人大常委会审议，并已列入2021年人大常委会审议重点。总的来看，草案具有比较明显的GDPR印记，对个人信息的全生命周期均设定了比较全面的保护义务与监管责任，具有较强的保护力度。但在如下几个方面有待修改完善：

1.“个人信息”定义过于泛化，且与现行法律不一致

“个人信息”的定义是《个人信息保护法》的起点和最核心的概念。《草案》第4条将“个人信息”定义为“以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。在“识别说”基础上增加了关联性考虑，涵盖“与已识别或者可识别的自然人有关的各种信息”，极大扩展了个人信息范围。而且与民法典及《网络安全法》等现行立法对个人信息的定义不一致，将显著增加企业使用数据的限制与合规压力。 “可识别”与“匿名化”相结合，随着技术的不断发展，实际上很难实现对“匿名化”信息的真正排除。

建议与民法典对个人信息的定义保持一致，修改为“以电子或其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，不包括匿名化处理后的信息”。

2.未对“去标识化”信息予以明确界定

草案个人信息定义中对“匿名化”处理的信息予以排除，这是值得肯定的巨大进步。但一方面个人信息的匿名化处理无法确保达到“无法识别且不能复原”的绝对匿名化标准，另一方面为达到完全的匿名化会极大损害数据的价值性与可用性。

与“匿名化”相比，“去标识化”更可能实现隐私保护与数据利用的平衡。个人信息去标识化是处理者去除收集到的个人信息中可识别的隐私因子并进行加工、分析、处理与分级和多层利用的过程。通过技术处理已经将侵权风险控制在适度范围内，既能有效排除个人信息的流通障碍，又能最大限度发挥数据效用。

建议在草案中增加“去标识化”制度的规定。鉴于个人信息具有相对性，经“去标识化”处理且第三方不具有识别能力的信息，对于第三方而言不属于个人信息。建议将提供此类信息作为告知的例外。具体而言，在《草案》第24条第一款增加“个人信息处理者向第三方提供去标识化信息且第三方无法识别个人身份的除外”，同时将第24条第二款修改为“个人信息处理者向第三方提供去标识化信息的，第三方不得利用技术等手段重新识别个人身份”。

3.民事责任设定规则未体现对合规的正向激励

《草案》第21条规定共同信息处理者承担连带责任，第65条规定因个人信息处理活动侵害个人信息权益的，如果“个人信息处理者能够证明自己没有过错的，可以减轻或者免除责任”。分析前述规定的文义，个人信息侵权责任的归责原则倾向于无过错责任原则，即无论个人信息处理者是否有过错，都应当承担责任。个人信息处理者没有过错的，不必然减轻或免除其责任。上述规定体现了对被侵权人的倾斜保护，但过度保护可能带来职业维权、滥诉等新问题。同时，上述规定与民法典确定的责任体系存在矛盾。民法典对无过错责任的表述是“行为人造成他人民事权益损害，不论行为人有无过错，法律规定应当承担侵权责任的，依照其规定”。目前，《民法典》实际规定的无过错责任仅包括8种情形。个人信息侵权作为数字经济时代新兴的侵权责任类型，是否达到无过错责任的程度在法理上仍存争议。海外立法则普遍对承担民事责任设定了鼓励合规的激励制度。

建议《草案》从正向激励个人信息处理者主动提高合规程度的考量出发，遵循《民法典》人格权编和侵权责任法的基本规则，以过错责任为归责原则，或明确个人信息处理者的免责事由。如此处理既可以协调各数据主体间的利益，促进数字经济有序发展，也可避免可能的职业维权等权利滥用。