【摘要】我国个人信息保护的路径选择要超越欧美模式,在路径比较中寻找突破。个人信息保护立法要结合中国特色社会主义新时代的宏大背景和数字中国的实践需要来考虑,处理好个人信息在社会中的作用,并根据比例性原则与其他权益保持平衡。
【关键词】个人信息保护 人格权益 数字中国 立法路径 【中图分类号】D920.1 【文献标识码】A
当前,以互联网为代表的信息通信技术和人类生产生活交汇融合,海量数据的集聚与利用成为推进数字中国、智慧社会的关键资源要素。人们主动拥抱数字化生产生活过程,也意味着对个人信息或数据使用权的主动让渡。随着信息采集和利用的广度和深度不断拓展,信息流动日益突破地域和行业的原有界限,个人信息保护面临的风险随之大幅增加。为应对新技术带来的全新挑战,各国各地区纷纷将个人信息保护或数据安全作为立法重点。截至2017年,全球已经有120个国家或地区先后颁布个人信息保护法律规范。
欧美个人信息保护立法路径的不同特点
美国作为互联网发源地,大型互联网公司占据前沿技术的制高点,并拥有海量用户信息。互联网创新发展需要以信息的自由流动为支撑,美国个人信息保护模式以契约形成的有限保护前提下充分促进信息的自由流通为其显著特点,并由一系列针对某些特定部门的立法、工业领域的自律规范以及市场本身的强制准则所构成的复合体系组成。美国采用分散式立法,当特定商业部门有滥用隐私信息的可能或当企业持有敏感的个人信息时对其行为加以规范,如1974 年《隐私法》、1980年《隐私保护法》、2013年《儿童在线隐私保护法案》,但没有专门针对民事组织保护个人信息的立法。同时,美国从实用主义出发,更关注个人信息的经济特征和个人价值,将个人信息保护作为风险管理来对待,采用行业自律和市场调节机制为主的治理方式。此种模式将个人信息的搜集、利用交由企业,由其与权利主体通过合同进行协商解决,而非政府的直接干预,有利于信息的自由流通。但是,由于企业和个人所处的地位、掌握的信息不对等,个人信息保护在实践中的问题就反映出来,如Facebook数据泄露事件引发全球关注。在此背景下,美国《2018加州消费者隐私法案》获得民众高票通过,进一步加重企业责任。
欧盟为代表的国家或地区从个人权利角度论证个人信息保护的必要性,对数据处理者和控制者的行为进行严格限制与规范。立法对个人信息的保护更多地是从个人尊严角度来进行制度的设计,采用高水平的保护标准,与其产业发展实际和民众对生活安宁的追求息息相关。基于增强民众对数字经济发展的信心以及更好地保护个人信息的现实需要考虑,欧盟在顺应一体化进程下的《一般数据保护规范》(以下简称“GDPR”)酝酿许久才于2016年颁布,并于2018年正式实施。GDPR适用范围大幅扩大,进一步明确数据主体的“知情同意”原则,细化并扩展了1995年出台的《关于个人数据处理的个人保护与个人数据自由流动的指令》的查阅权、更正与删除权、反对权以及免受完全自动化决定权的内容,并增设限制处理权、可携带权、遗忘权。从现阶段来看,GDPR对全球立法的推动与影响是巨大的,有利于个人信息得到全面一体化的保护,但也被产业界吐槽为有碍产业创新发展,尤其是阻碍人工智能应用纵深延展的一部法律。
我国立法路径选择要超越欧美两种模式,在路径比较中寻找突破
目前,我国个人信息保护没有统一立法,但在立法原则及理念层面有了体系上的规定。个人信息保护由《刑法》划出一条高压线,即2012 年全国人民代表大会常务委员会《关于加强网络信息保护的决定》、2015年《刑法修正案(九)》、2017年《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。从立法进程来看,个人信息保护形成了“最后法先行、刑法先行”局面。这反映了迫切的现实需求,即个人信息的滥用或者对公民个人信息破坏、侵犯到了亟待立法解决的程度。2017年《网络安全法》正式实施,将个人信息保护作为网络安全的重要组成部分,加重信息控制者和处理者在接触个人信息过程中的安全责任。随着我国大数据和人工智能应用持续推进,数据自由流动的需求进一步加大。《民法总则》第111条与第127条,把个人信息保护和数据保护进行分置规定,既明确了个人信息的归属和保护问题,还考虑了数据开发和利用问题,将个人信息保护转向重利用或者归属与利用并重方向,回应了经济和社会的双重需要。
面对全球新一轮科技革命和产业变革浪潮,我国互联网产业正在加速迭代演进和转型升级,由简单依靠市场红利的发展路径向技术创新的发展路径转变;从重视用户数量、“流量为王”的消费互联网布局向重视底层、基础核心层的产业互联网方向发力。当下关口,民众的诉求和产业的需求持续高涨,留给我国个人信息保护立法的窗口期不多了。我国立法路径选择要超越欧美两种模式,在路径比较中寻找突破。欧盟模式突出个人权益的保障,却有阻碍产业创新发展之嫌。美国模式有利于促进信息的自由流通,却存在个人信息保护不充分的质疑。我国个人信息保护的路径需要结合中华民族伟大复兴的宏大背景和数字中国的实践需求来进行选择,充分考虑个人信息在社会的作用并根据比例性原则与其他基本权益保持平衡。
我国个人信息保护权益的衡量与立法路径的选择
一要保持个人权益保障与数据商业利用之间的平衡。互联网平台聚集海量用户,并产生海量数据。这些数据可以轻松地勾勒出用户的人格形象,显现其生活轨迹。马斯洛在其需要层次理论中指出,“人格标识的完整性和真实性是主体受到他人尊重的基本条件”。在具体制度构建中,个人信息对于主体的尊严和自由价值首先应当被考虑,即人格权益的保护。此外,要兼顾数据商业利用的需要。就用户而言,权利配置要兼顾信息的经济属性,配置财产权益;就经营者而言,分别配置数据经营权和数据资产权。毕竟,没有经营者的大量投入,数据的利用、挖掘难以延展,用户也无法获取免费的网络服务。个人信息保护的立法制度安排既要构建个人权益保护的屏障,也要使数据“物尽其用”,给产业创新发展留有空间。保持二者的平衡能够更好地促进数据驱动型创新体系和发展模式形成,培育造就一批国际领军互联网企业,筑牢数字中国之基。
二要保持公权力与私权利之间的平衡。信息社会不同于传统隐私保护中政府超然的中立地位,在个人信息保护和利用中,政府具有了利用者和管理者的双重身份角色:一方面,政府作为社会管理和社会福利的承担者,公共安全、公共管理和公共福利的推进离不开对居民个人信息的掌握;另一方面,出于对行政效率的追求,也不断促进政府积极探索个人信息利用的限度和价值。作为信息的利用者,政府不能无节制地、肆意地收集和利用个人信息。作为信息的管理者,在特定的情况下,需要对个人信息私权利进行必要干预。在现阶段,我国正在全力实施国家大数据战略,运用大数据提升国家治理现代化水平,建立健全大数据辅助科学决策和社会治理的机制,推进政府管理和社会治理模式创新。这些战略的部署需要政府通过广泛的样本分析了解社情民义、了解发展的痛点、了解治理的难点。个人信息对于线索收集、信息溯源与情报分析的意义是巨大的,政府决策科学化、社会治理精准化、公共服务高效化也需要依赖信息的收集和利用。因此,个人信息保护的具体制度的构建中需要有大局意识,处理好公权力与私权利的关系,既保持产业的持续创新发展,也兼顾社会公共利益和国家安全的充分保障。
(作者为国家计算机网络应急技术处理协调中心助理研究员,中国互联网协会个人信息保护工作委员会秘书长,北京航空航天大学法学院网络空间国际治理研究基地特聘研究员)
【参考文献】
①张平:《大数据时代个人信息保护的立法选择》,《北京大学学报(哲学社会科学版)》,2017年第3期。
②龙卫球:《数据新型财产权构建及其体系研究》,《政法论坛》,2017年第7期。
责编/孙娜 美编/杨玲玲
声明:本文为人民论坛杂志社原创内容,任何单位或个人转载请回复本微信号获得授权,转载时务必标明来源及作者,否则追究法律责任。
