贾文山 赵立敏
在当前的数字经济时代,随着数字世界和物理世界的隔阂日益消融,现实世界和虚拟世界的界限日益模糊,个体湮没在数据海洋之中,每个人以数据化的方式存在,人们产生的海量个人数据,正面临着较大的暴露风险。这些个人数据,呈现出多样性、复杂性特点,既包括了可以识别的数据,还包括非可识别的数据;既包括公共数据,又包括个人数据。其中,公共数据通常是指没有任何主体指向的数据。个人数据则指向具体的个体,包括个体的消费数据、资产数据、健康数据,行动轨迹数据等。所谓数据所有权是指主体可以支配、处置和获益等财产权力,具体表现为对数据使用的同意权、知情权、异议权、司法救济权等。当涉及个体或机构的敏感数据在没有经过数据所有者的知情和同意下被他人暴露或利用时,就产生了数据隐私被侵犯的问题。
在数字化时代,我们绕不开却又需要区分数据、信息、隐私这三个高度关联的概念。数据是信息的载体,数据可能是杂乱无序的,只有数据中那些有用的内容才能称之为信息。而信息又包含了价值和隐私两个维度。信息中的价值指向公共领域,而隐私则指向私人领域。隐私主要侧重人格意义,包括生命权、健康权、肖像权、名誉权、信用权等人格利益,涉及的是“人格的尊严”,而价值主要是指数据对个人、企业、社会和国家而言带来的经济和社会效益。王利明强调了个人信息与个人隐私不同的侧重点。他认为,“个人信息体现人格利益与财产利益,而个人隐私只体现人格利益;个人信息注重身份识别性,且与国家安全有关联,而个人隐私注重私密性,且与国家安全无关联;个人信息需要载体,而个人隐私不需要载体”①王利明:《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》,《现代法学》2013年第4期。。
事实上,作为数据生产者的个体大多数时候对于数据是无能为力的。数据只有达到一定的规模效应才具有价值。这就要求掌握强大的数据收集能力。目前只有政府、企业、机构等大规模组织或平台才能做到这一点。此外,对数据处理和分析的能力,一般也只有一些组织或平台而非个体才能达到。而没有经过筛选和分析的数据哪怕是海量的也没有价值。数据的收集、处理、分析的过程其实就是数据信息化呈现的过程,亦即数据价值得以彰显和释放的过程。正如程啸认为:数据只有被信息化呈现,才能产生价值,而价值又会引起数据权益的归属和保护的问题。②程啸:《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期。目前的问题在于数据的生产和利用是分离的,生产者和利用者分属于不同主体。这就导致数据效益的分配在数据生产者与利用者之间存在着极大的不平衡。
关于数据的生产、利用和数据权益分配之间的不对称一直以来就是学者关注的一个问题。从数据的特性来看,数据是无形的,它不为某一特定主体独占,而是被多个主体共同拥有,此即数据的非独占性或共享性特点。正是由于这种天然的公共属性决定了数据是一种公共财产,甚至是一种国家基础性战略资源,也决定了数据关系到国家和社会的政治、经济安全与发展。然而,人类世界中大部分的数据都是由社会个体或私人团体产生。数据的价值离不开数据中所蕴含的个体信息,而信息又总是关系个体隐私和尊严。这就天然决定了数据是一种特殊的资源:既是一种包含财产权和人格权的私人资源,同时又是一种涉及企业、国家等不同主体利益的公共资源。除了对数据的人格权一贯地关注外,随着大数据的商业化运用,近年来不少学者开始关注数据的个人财产权。例如,有学者认为个人信息的商业价值不能只归属于企业,还应该归属个人(独立于人格权之外)的独立财产权益。③刘德良:《个人信息法律保护的正确观念和做法》,《中国信息安全》2013年第2期。林爱珺和蔡牧认为:“在大数据时代,个人信息采集广泛运用于商业领域,具有预测商业趋势、精准营销、广告投放等功能。公民的个人数据不仅具有人格权意义,而且还能带来商业价值。”④林爱珺、蔡牧:《大数据中的隐私流动与个人信息保护》,《现代传播》2020年第4期。王秀哲也认为个人信息具有财产权和人格权双重属性,且两者同样重要,不能为追求个人信息的财产权而置人格权于不顾。⑤王秀哲:《信息社会个人隐私权的公法保护研究》,中国民主法制出版社2017年版,第33页。笔者则认为,数据保护的真正难点不在于承认个人对数据享有财产权和人格权,而在于如何平衡私人权益与公共权益、个人财产权益和人格权益,以及如何平衡个人权益与信息流通,这就需要我们找到一个数据利用与数据保护的结合点,从而促进数字经济的长远发展。现实中个人利益与公共利益之间、财产权与人格权之间、个人隐私与信息流通之间的冲突,正是个人数据价值的悖论所在。
这种数据价值悖论却是人们制定不同的数据保护政策的逻辑起点。由于个人数据存在公共权益与个人权益的分野,存在财产利益与人格利益的分野。这种双重维度表面上看或能够和谐统一在数据的生产与使用之中,但事实上它们的矛盾却很难调和。在经济效益驱动下,对数据中的财产利益的过分攫取,可能使人们置个体的人格利益于不顾。而对人格利益的过分强调,则可能导致人们在谋求数据中的财产利益和公共利益时顾虑重重、踌躇不前。这样既不能充分实现数据的财富价值,也不能充分满足公共利益和经济发展的需要。此外,对于国家安全、社会安全以及个体安全的考量,也会使得人们在经济利益与个人隐私之间重新做出调整。故而,大数据时代的个人数据保护,既要充分考量其公共利益,又要考量个人利益。这种价值冲突的悖论使得人们常常游离于公共与隐私的两端、集体与个人的两端,使得人们在经济权益、安全权益和人格权益等不同数据权益之间回旋不定,在不同权益主体之间选择摇摆。这就导致在不同时空场域中出现了是偏向公共还是偏向个体、是偏向财产还是偏向人格这两种不同数据保护政策取舍的难题。
大数据时代个人数据权益受到的损害越来越多样化。就个人而言,数据权益侵害的后果不仅包括个人的名誉受损,还包括个人经济利益损害、人身安全损害、遭受不公平对待等。在互联网时代,网络围观、网络暴力等现象带来的个人数据权益侵害,对个体的精神损害强度更大,波及面也更广,不仅当事人利益受损,他(她)的家庭成员或相关人员也要经受连带打击。就国家而言,大规模的个人数据泄露还将严重危及国家和社会安全。而数据安全是国家安全的应有之义。“作为信息载体的数据不仅是重要的商业资源,其所蕴藏的重要情报价值及预测性功能更昭示了其对国家安全和战略能力的重要意义。”①蔡翠红:《国际关系中的大数据变革及其挑战》,《美国问题研究》2014年第5期。
可以说,个体数据保护一直就是大数据发展必须面对的一个重要议题,也是近年来学界研究的焦点。它既包括个体层面的数据权益保护,也包括社会、国家层面的数据安全保护。数据权问题的产生,不仅与个体产生的海量而多样的数据有关,而且还与人们收集数据的渠道和工具是否足够精密相关。除了各种摄像头等监控设备监视着人类的行动外,互联网时代各类平台还可以跟踪上网者的浏览、搜索、点击记录。智能手机上各类APP都在想方设法收集用户数据。尤其是到了物联网时代,万物互联则意味着除了运动手表外的眼镜、衣服、鞋子、开关、灯头等一切物体都可以收集个体的数据。在这种情况下,个体数据暴露风险越来越大,个人数据的保护也愈加急迫。
随着移动通信工具和社交媒体的盛行,大数据的兴起以及人脸识别技术和人工智能技术的运用,人类个体的隐私变得无处可藏。个人数据被暴露和数据权益被侵犯的风险成为数字社会的一道顽症。一方面,人们对数据安全问题愈发担忧。据美国皮尤研究中心2019年的调查,70%的美国成年人表示他们的个人数据与五年前相比“更加不安全”。②侯丽:《加强数字隐私保护与合理共享》,《中国社会科学报》2019年12月4日。另一方面,大规模的数字隐私泄密事件频发,造成了严重的后果。例如,朱莉娅·阿桑奇的维基泄密事件,在网上公开了多达9.2万份驻阿美军秘密文件,在全球引起轩然大波。为特朗普2016年总统竞选效力的剑桥数据分析公司(Cambridge Analytica)和企业战略通信实验室公司曾窃取并秘密保存了5000万脸书(Facebook)用户的数据,也是一石激起千层浪。除了2018年脸书有5000多万私人账户泄密,2019年又惊爆约5亿4000万用户的私人信息在云端上泄露。个人数据泄露关系到消费者的心理安全、人身安全、财产安全以及社会安全、国家安全,层出不穷的数据泄露和窃取事件,令人防不胜防。由此导致在以个人主义文化著称且具有保护个人隐私传统的欧美社会中,民众普遍产生明显的忧虑情绪。
正是在这种背景下,数据保护的法令、政策相继出台。例如,德国于1976年颁布《联邦资料保护法》(Data Protection Act of 1984);1980年,欧洲经济合作与发展组织发布《关于保护隐私与个人数据跨国流动指南》,明确对个人信息予以保护;英国于1984年颁布《数据保护法》。1995年,欧盟发布了“数字保护指令”(Data Protection Directive)。2016年,欧盟通过了《通用数据保护条例》(General Data Protection Regulation,简称GDPR),并于2018年5月25日正式实施,结束了欧盟28个成员国各自为政的立法现状,开启了欧盟数据保护共同法的新时代。该条例出台目的是为了提升个人对自己数据的管控力,促进数据有序流动,增强消费者对数字经济的信任。面对世界各地不同的数据保护政策和壁垒,GDPR旨在推动全球各地区和各国的数字保护法规的融通。此外,为了防止欧盟和美国的个人数据丢失或泄露,欧盟和美国于2000年达成《欧盟-美国安全港框架协议》(EU-U.S.Safe Harbor Privacy Framework)。2016年在此基础上进一步升级为《欧盟-美国隐私盾框架协议》(EU-U.S.Privacy Shield Framework),进一步完善了跨境数据的保护与合作。随着欧洲隐私法律的应用范围在GDPR框架下不断扩大,欧盟境外的其他地区也不得不做出相应的改变,以适应GDPR的规定。GDPR条例提出了数据主体的权利,包括知情权、访问权、更正权、可携权、删除权、限制处理权、反对权、数据迁移权等,并指出个人敏感数据禁止处理的例外情况。该条例的制定让网站经营者在处理用户数据时,必须事先获得用户的同意,企业不能再通过含糊其辞的语言去骗取多用户数据处理的许可。欧盟委员会主席让-克洛德·容克(Jean-Claude Juncker)如此评价GDPR说:“作为一名欧洲人,这就意味着个人的数据隐私将受到欧盟强有力的法律保护。因为在欧洲隐私是人权的一个十分重要的方面。”①刘泽刚:《欧盟个人数据保护的“后隐私权”变革》,《华东政法大学学报》2018年第4期。相较于欧洲,美国在隐私保护的行动上更早,也更加明确。早在1890年,塞缪尔·沃伦和路易斯·布兰代斯就在《哈佛法学评论》发表《隐私权》一文,②Samuel D.Warren and Louis D.Brandeis,“The Right to Privacy,”Harvard Law Review,vol.4,no.5,1890,pp.193-220.将隐私权理解为个人的人格尊严的一部分,将之确立为人的基本权利。1972年,加州宪法里面就增加了隐私权作为人权“不可剥夺的”一部分。1974年,美国通过了保护隐私权的单行法,即《隐私权法》。1988年,美国出台了《计算机对比与隐私权保护法》,对互联网时代的隐私保护作出了新的应对。加州专门针对数字化时代隐私权保护的机制,体现在一系列法案的制定之中,这些法案包括:《在线隐私保护法》(Online Privacy Protection Act)、《数字世界中的加州未成年人隐私权法》(Privacy Rights for California Millennials in the Digital World Act)和旨在让加州人了解企业如何处理消费者个人信息的《反客户信息披露法》(Shine the Light Law)。2018年,《加州消费者隐私保护法》(The California Consumer Privacy Act of 2018)由加州州长布朗签署通过,于2020年1月1日起生效。该法案包括以下权利:(1)个人信息被收集的知情权;(2)个人信息被拍卖或透露的知情权;(3)对销售个人信息说“不”的权利;(4)当事人能够搜索到个人信息的权利;(5)享有服务和价格平等的权利。
有学者指出,大数据时代的个体数据保护面临这样的困惑:个人隐私、经济效益、信息安全性等价值位阶如何排序?由于不同社会对经济发展、国家安全与个人权益的重视程度不一,其数据权益主体的权利大小也不一样,③徐明:《大数据时代的隐私危机及其侵权法应对》,《中国法学》2017年第1期。所以不同国家和地区会根据国情和社情需要决定是偏重个人数据的公共价值还是偏重个体的私人价值,是侧重个人数据的经济或社会效益还是侧重每一个个体的人格权利。事实上,欧盟与美国的个人数据隐私立法就体现出这样的分野。把欧盟与美国的个人数据隐私立法相比较,不难发现,主要有如下特点:(1)欧盟的立法更宽泛、综合,法律所规范的数字信息和对象是多元的。而美国往往采取单独立法的方式,一部法律通常只针对某一特定信息或特定的行业或组织对象。(2)欧盟更加看重个人数据的人格权利,将个人数据保护权利视为一项宪法的基本权利。欧盟通过强化数据主体对数据的控制权以及严格的企业问责体系来保障个体的人格权益。美国则更加注重数据权益中的财产权益,而较为轻视人格权益。这就决定了美国的数据保护目标是为了保障数据作为一项财产在交易中能够有序运行。正如有学者指出:“以市场化为导向的数据保护路径之核心理念为:激励市场主体以自我规制的方式构建数据交易秩序,政府对误导、不公平交易等数据交易中的市场失灵现象进行矫正。”①谢尧雯:《基于数据信任维系的个人信息保护路径》,《浙江学刊》2021年第4期。(3)在具体的内容层面,加州立法聚焦消费者信息,而欧盟聚焦个人信息。欧盟在删节权和知情权上比加州的规定更加宽泛。在关于个人数据可携带权上欧盟有明确规定,而加州没有明确规定。在数据限制使用或退出权议题上,欧盟与加州的立法都有相关规定。欧盟对于数据高风险评估/数据保护影响评估作出了相关规定,这一点加州则没有。(4)从立法的价值和具体执行层面看,欧盟的立法趋向自由主义,加州的立法则趋向实用主义。欧盟的立法执行起来经济代价昂贵,加州立法则经济实惠。欧盟把个人数据的人格权利放在数据的财产权之前,以政府保护为主导。相比经济效益,更加看重个体的数据隐私;而加州更加重视个人数据的财产权益,以市场协调机制为主导,注重挖掘数据的经济价值。(5)在安全问题上,欧盟的数据更加注重个体的安全。而加州的立法则更加凸显国家安全。之所以会出现以上如此多的不同,这背后的逻辑是:欧盟与美国对于个人信息隐私权是归属于自由还是权利持有不同的认知判断和侧重。②项定宜:《比较与启示:欧盟和美国个人信息商业利用规范模式研究》,《重庆邮电大学学报(社会科学版)》2019年第4期。欧盟的立法趋向自由主义,主要原因是在经历二战时期纳粹的残酷迫害后,欧洲对个人信息的泄露怀有深深的恐惧感。因此,欧洲对个人信息的保护力度十分强大,对个人信息的保护根源于以“人权至上”和“自由至上”的个人主义价值体系,强调个人形象、声誉以及生命等个人尊严。③唐飞、唐晓玲:《欧美个人信息保护比较》,《法治与社会》2007年第10期。相对于欧盟,美国的隐私立法比较消极,更加趋向商业实用主义。这与美国隐私权的立法滞后以及发达的商业经济的冲击有关。出于对经济贸易保护的考量,“美国十分注重业界自律在个人数据保护中的作用。通过行业协会及公约的形式,督促成员在进行商业活动的过程中,遵循有关数据保护的精神”。④关伟明:《欧美个人数据保护制度简述》,《信息与电脑》2014年第16期。此外,欧盟与美国在隐私权与言论自由权等价值位阶定位上存在的差异也导致了欧美对隐私权的不同处置。自美国建国以来,言论自由一直备受重视,甚至被认为是立国之基。言论自由远比隐私权更加重要。相比言论而言,欧洲则更加看重个人的尊严。
欧盟的数据保护法的精神土壤似乎早在信息时代出现之前的启蒙时代或文艺复兴时代就形成了,是以反神权为前提,建立在以人权至上和自由至上为核心的个人主义价值体系的基础之上的。事实上,这并不符合数字时代的价值变迁趋向。因为数字时代是互联互通和分享的时代。个人主义价值,如个人隐私,固然重要,但是相互依赖大于个人主义。相互依赖、共存共生的共同体意识在互联互通和分享的数字时代有所增强。因此,以一成不变的传统个人主义价值体系为基石的欧盟数据保护法实施起来不仅代价太大,而且有悖于互联网互通互联、共存共生的精神和价值取向,不能与时俱进,其后果是延缓了欧盟社会的数字化进程,制约了欧盟的一体化进程。从长远来看,欧盟个人数据保护立法模式最终会限制数字文明的发展,乃至人类文明的发展。欧盟许多国家,如法国和德国,互联网经济和数据经济之所以不像美国和中国那样发达,这与其理想主义的数据隐私保护法不无关系。与欧盟模式相比,美国数据隐私保护法,却具有极简主义特色和商业实用主义的性质。这看起来与美国传统意义上的“法律国家”形象极不相称。目前,除加州设立相关立法外,没有其他州设立相关法律。联邦层面的相关立法似乎也尚无动议。美国数据隐私保护法的宗旨似乎是为美国互联网企业和相关权力机构服务,并没有把保护个人数据隐私作为至高无上的目标。这印证了美国社会广为流传的重商主义的口头禅:美国的正经事就是商业。
我国是具有全球影响力的中国特色社会主义大国,既不能照搬欧盟模式,更不能机械移植美国模式。我们应该制定出既符合人性又符合人情、既具有中国特色又具有全球通约性的个人数据保护法。
中国的数据隐私保护起步较晚,2018年5月1日,中国实施保护个人信息方面的推荐性国家标准《信息安全技术个人信息安全规范》。同年9月10日,十三届全国人大常委会立法规划正式发布,在69件法律草案中个人信息保护法被列入第一类项目中的第61个项目。这是在《中华人民共和国网络安全法》自2017年6月1日正式实施以来又一重要立法举措。2019年6月13日,国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》,面向社会征求意见,从而引起人们对于个人数据跨境流动的关注和讨论。2021年8月,我国通过《中华人民共和国个人信息保护法》,2021年11月1日正式施行。
总体来看,我国目前有关个人信息的法律制度还是注重保护传统的人格权,未把大数据的影响因素以及个人数据隐私呈现的新动向纳入个人数据保护中来,①孙政伟:《大数据时代个人信息的法律保护模式选择》,《图书馆学研究》2016年第9期。而且个人信息保护的政策工具显得不足。不少学者提出完善法律制度的建议。例如,吴伟光认为,个人数据信息作为公共物品应该纳入公法的范畴,而不是私法范畴。②吴伟光:《大数据技术下个人数据信息私权保护论批判》,《政治与法律》2016年第7期。陈星认为,在大数据环境下个人信息的保护应当在民法典人格权法编的规定中予以明确,个人信息权应在人格权法编中成为专门章节,这样才能凸显大数据环境下个人信息保护的特殊性。③陈星:《大数据时代个人信息权在我国民法典中的确立及其地位》,《北京行政学院学报》2016年第6期。概而言之,中国的个人数据保护应该根据中国的具体国情,注重中国规则的制定并积极对世界上个体数据的保护做出贡献,对此,在中国公民和消费者的数据安全措施的制定和实施过程中可以考虑采用以下举措:
结合欧盟和加州的个人数据保护法的特点,一方面我们应该加强监管,以人民利益至上,切实保护好个人数据的人格权和财产权,在监管上要防止过度数据处理,防止损害用户平等待遇权。另一方面,我们又应该积极开发数据的潜在价值,研发新的数字产品,鼓励数据使用的流程创新、制度创新和技术创新。只有做到数据监管与数字经济创新的平衡,才能在保护个人数据权益的基础之上可持续地大力发展数字经济。要坚持数字化创新,就要在数据收集、数据共享、数据交易、数据流通、数据价值挖掘上加大创新的力度。通过构建统一的信用体系,打破数据壁垒,逐步实现不同主体例如行政机关、司法机关、金融机构、互联网平台之间的数据共享,有效解决不同数据的分享与流转,从而化解“数据孤岛”的难题;同时还要构建高质量的数据交易平台,完善数据交易机制;进一步完善算法,通过大数据、物联网、区块链、云计算、人工智能和5G等技术,保障数据的充分获取和利用,促进数据有效流通,并且最大程度析出数据的价值。在数据溯源和匿名化问题上,通过技术创新防止隐私安全问题的发生。
我国目前对个人数据还缺乏针对大数据最新动向且具有真正现代意义的立法保护,还只是停留在传统的立法保护框架之内。例如,目前我国仅仅是将隐私的保护纳入名誉权的范畴,忽视了隐私权与名誉权之间的差异。我国对隐私权的考虑主要还侧重于传统的隐私。然而,隐私权在大数据时代产生了新的内涵和外延。因此,应该充分考虑现代数据的独特性,积极完善我国大数据时代的个人数据立法。个体数据保护既是一个伦理问题,又是一个制度问题,还是一个技术问题。因此,立法保护应该推动政府、企业等数据使用的多元主体协同治理,共同建立相应的管理体制,采用新型技术保护大数据隐私。一方面政府作为个人数据保护的责任主体,应该建立专门的数据管理和隐私保护机构,通过制定相关法规加强数据开放审核的力度,明确数据权属,强化协同监管,规范数据采集的方式,严厉打击非法数据交换和买卖行为,切实保障公民合法享有数据使用的知情权、信息自决权、告知许可权等。另一方面,法律又必须积极推动企业采用“高效、流程化的数据合规管理,包括建立隐私事务管理部门、规划数据保护战略、制定隐私政策程序和指南等”①李万祥:《大数据时代,个人信息如何保护》,《经济日报》2017年12月25日,第01版。。数据隐私保护应该贯穿数字产品研发到使用的整个生命周期,要对个人隐私保护进行持续的监督和评估。此外,立法保护还要积极推动企业在个人数据隐私保护上进行技术创新。例如,鼓励企业通过产品设计实现用户隐私诉求和数据权,从知情权和自决权两个角度,把用户的隐私权保护与用户对产品的体验结合起来。
随着数字经济成为全球经济发展的新引擎,在全球经济发展、社会治理乃至人类生活质量的改善上发挥着越来越重要的作用,故而我们应该积极发展数字经济,坚持个人数据权利保护和推动数字经济并举的原则。建立长效机制,在个人数据权益得以保护的前提下大力发展数字经济。一是要明确数字经济中各主体的法律地位及权利义务,建立保障数字经济正常运行的数据采集、交易、共享、安全使用等法律规范,推动数据资产确权、交易、隐私保护等方面立法,同时要建立数据收集和使用的反垄断法,实现数据的去中心化,让更多主体从数字经济发展中获益。二是要建立对数字经济相关技术的开发和应用进行监管的法律法规,通过规则实现“技术向善”,包括信息安全的监督,尤其是海量用户数据隐私保护以及数字伦理道德的监管,坚持科技以人为本和不损害人类利益的基本伦理。
美国主导的亚太经合组织《隐私保护框架》与欧盟的《通用数据保护条例》均发挥着区域或全球性影响力,其他国家和地区都被迫设法对标欧美的数据保护条例,以便与之相互适应。对此,中国的相关立法可以在这方面向欧美批判性地学习,选择性借鉴和创新。对数据权的类型予以充分的保护,明确界定“个人数据”的利用边界和相关法案的适应范围,针对物联网和5G等技术发展对个人数据的影响积极进行立法调整,使中国数据立法始终处于数据使用和保护的前沿阵地。进一步完善个人数据保护机制,深化区域和国家之间尤其与一带一路沿线国家和地区的数据合作,使之能够适应数字化时代的技术变革,顺应人类发展趋势,扩大中国全球影响力乃至引领作用。
数据具有流动性和普遍性的特征,尤其是在全球化的网络空间,在跨国互联网公司的推动之下,数据的流动早已突破了国家和地区的传统主权意义上的界限。数据的跨境流动成为了全球经济增长的有力引擎,无论对数据的流入国还是流出国都能产生巨大的经济和社会效益。然而,数据的跨境流动所产生的风险也不可低估,尤其是个人数据隐私保护和国家安全在数据跨境流动下都面临更大的考验。根据欧洲政治经济研究院(European Institute Political Economics Research)研究报告,自2006年起全球数据保护指数呈现持续增长态势②邹军:《基于欧盟〈通用数据保护条例〉的个人数据跨境流动规制机制研究》,《新闻大学》2019年第12期。,数据的本地化与数据的跨境传输之间的矛盾日益尖锐。因此,我国有必要建立起跨境数据的合作、共享和保护机制,实现不同国家个人数据的融合。目前,在跨境数据合作共享和保护上做得比较典型的,还是欧盟和美国。从2000年《欧盟-美国安全港框架协议》(EU-U.S.Safe Harbor Privacy Framework)到2016年达成的《欧盟-美国隐私盾框架协议》(EU-U.S.Privacy Shield Framework),欧美不断完善跨境数据合作。此外,美国在2015年达成了多边层面的跨境数据流动规则——TPP协议。此举具有里程碑式的意义。这些框架协议分别“从数据的质量(确定数据的使用目的和使用数据获得消费者认可)、透明度(数据处理的开放程度)和具体实施机制三个方面认可和划定跨境数据保护的衡量标准”③曹杰、王晶:《跨境数据流动规则分析——以欧美隐私盾协议为视角》,《国际经贸探索》2017年第4期。。中国也需要积极参与数据国际规则的制定,在“人类命运共同体”思想的指导之下,推动“数字共同体”的建设,促进多边层面的跨境数据合作共享与保护,规范各数据收集方承担的义务,制定更加完善的数据保护标准,丰富数据救济手段,提升数据响应的速度,从而促进跨境数据在协调生产、服务、金融等要素上发挥更加积极的作用。协调、统筹好数据隐私、数据安全和数据自由流动之间的关系,需要因地制宜、因时制宜地处理好数据本地化与数据跨境传输之间的关系,最终实现数据输入方和输出方的双赢。
由于数据隐私总是与其他数据权益牵扯在一起,这就注定了我们在强调数据隐私权的时候又不能置其他数据权益于不顾。保护个体数据隐私的权益不能单考虑某一个体,还要考虑其他数据权益主体。这些主体包括数据的生产者、处理者、控制者、使用者和最终受益者,涵盖个体、企业、社会机构、国家等不同主体。由于这些主体从不同立场和层面分享数据权益,所以对于个体隐私权的诉求必须与其他数据权益相协调。一方面,数据权益的多样性,决定我们必须处理好主体的数据隐私权益与其他权益之间的关系。另一方面,现实中数据生产者、控制者、处理者和使用者在很大程度上分离,他们都是享有数据权益的主体,这些主体往往在权益获得的大小和类型上并不一致,这就决定了我们要处理好不同数据权益主体之间的关系。在权益分配博弈中,数据生产的个体往往处于弱势地位,而数据控制者和处理者处于强势地位。如何处理好不同主体的权益关系,这涉及必须处理好不同主体间的一系列冲突。这些冲突具体可以表现为:“个人与政府的冲突、行政与监控的冲突、垄断与竞争的冲突、默契与立法的冲突、保护与开发的冲突、开放与流动的冲突、技术与法律的冲突、公平与效率的冲突、救济与成本的冲突。”①李勇坚:《个人数据权利体系的理论建构》,《中国社会科学院研究生院学报》2019年第5期。此外,数据隐私保护与数据开发利用之间的矛盾,也决定着我们要处理好数据隐私权与经济发展之间的平衡,以及个体发展与社会发展、私人空间与公共空间、安全与共享之间的平衡关系。过度保护个人信息的隐私,就无法充分挖掘数据的商业价值,不利于推动数据产业的发展。然而任由挖掘数据的商业价值,就有可能侵犯个人的数据隐私,损害个人的人格权益,甚至还危害国家安全。因此,个人数据价值的悖论不在于数据价值本身,其实质在于数据价值的公共性与私人性之间的内在冲突,在于个人数据的共享与隐私之间难以调和的矛盾。正如有学者指出两者的悖论:强调数据共享可能侵犯数据主体的隐私;而保护主体的隐私又可能导致数据的封闭。②闫坤如:《大数据的共享-隐私悖论探析》,《大连理工大学学报(社会科学版)》2020年第5期。不同国家和地区会根据自身需要在数据共享和隐私上各有偏重。目前,我国的立法侧重从人格权或抽象的人权来看待数据权益问题,算是对过分追求数据的商业效益的一种纠偏。然而,随着全球化的分工与合作日益加深,如今我们将面临一场诸多领域的单边开放,当然也包括我们在数据领域的全球流通,中国在根据自身国情制定个人数据保护制度的同时,必须在兼顾安全与共享的前提下,充分考虑到数据保护的全球通约性问题,对标欧美等地区的主流数据保护条例,与之适应;同时,中国还应深度参与到全球数据的流通、使用之中,完善数据开放平台与共享机制,搭建数据共享和交流的技术设施及社会基础设施,从而深度参与国际事务,从全球数据中获得平等的话语权。中国获取的全球数据话语权不仅会有助于中国有力应对公共卫生和气候变化的挑战,也会促进国家在经济、科技等方面的全球性发展。