网站首页 | 网站地图

大国新村
首页 > 中国品牌 > 领军人物 > 正文

时建中:个人信息权益保护与个人数据要素化并行不悖

个人数据与非个人数据是数据的基本分类。数据是数字经济的关键生产要素,经过较长时期消费互联网的推动,个人数据已经成为我国数字经济的重要要素。目前,我国不断织密个人信息权益保护规则网,筑牢保障数据安全的防火墙,质效明显。然而,由于个人信息的敏感性和个人数据的特殊性,个人数据由信息载体向生产要素的转换机制尚不健全,更加充分地释放个人数据的要素价值还面临一系列障碍。

个人数据并不完全等同于个人信息。对于个人信息的内涵与外延,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)第四条给予了明确规定,“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。而关于个人数据尚无明确的定义,我们可以结合《中华人民共和国数据安全法》(以下简称《数据安全法》)的相关规定予以认识和理解,该法第三条规定,“本法所称数据,是指任何以电子或者其他方式对信息的记录”。可见,所谓个人数据就是任何以电子或者其他方式对个人信息的记录,换言之,就是任何以电子或者其他方式对与已识别或者可识别的自然人有关的各种信息的记录。在数字化时代,我们所讨论的数据,特别是能够作为生产要素的数据仅指电子数据。这是因为,只有电子数据才能成为生产要素。因此,信息与数据的一般关系可以描述为:相对于信息,数据是记录载体;相对于数据,信息是被记录的内容。信息与数据,有着相互对应的关系。随着数据量的增加,在信息与数据相互对应的基础上,衍生出数据之间的相关性,构成了数据的独特价值,形成了对初始信息的超越。鉴于此,尽管数据是信息的记录载体,信息是被数据记录的内容,但是,数据并不完全等同于信息,个人数据并不完全等同于个人信息。

两法确立了保护与利用并重的立法目标,不可偏废。鉴于个人信息保护的必要性和数据安全的重要性,我国分别制定了《个人信息保护法》和《数据安全法》。对这两部法律的理解和适用,切忌望文生义和断章取义。为此,有必要全面准确把握这两部法律的立法目标,以实现纲举目张,发挥其应有的法律效益。

立法目标是一部法律的出发点和落脚点,规定了一部法律的基本价值追求和意图实现的效果。《个人信息保护法》第一条规定,“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法”。据此,“规范个人信息处理活动”既要“保护个人信息权益”,又要“促进个人信息合理利用”,不可偏废。《数据安全法》第一条规定,“为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,制定本法”。据此,“规范数据处理活动”既要“保障数据安全”,又要“促进数据开发利用”,还要“保护个人、组织的合法权益,维护国家主权、安全和发展利益”。可以将两法的目标概括为“保护与利用并重”:保护是利用的前提,利用是保护的延伸;保护是为了防止滥用,利用是防止浪费;保护是为了维护正当权益,利用是为了赋能发展。

深入解构数据的双重属性,准确把握个人信息与个人数据关系的演变。电子数据是现代信息通信技术的产物,承载信息是数据的初始功能。作为信息载体,信息与数据不可分离,保护个人信息就必须保护个人数据。随着数据化的范围、广度、深度的不断拓展,海量数据得以生成。借助不断进步的数智技术,蕴含在不同数据之间的相关性不断被挖掘,派生出新的增量信息。挖掘数据之间的相关性显性地表现为挖掘信息内容的相关性,而信息内容的相关性能够揭示不同事物间的内在联系,反映社会、市场普遍的运行规律,赋能经济发展、社会治理和政府管理的运用场景。没有数据之间相关性的发现和运用,数据只能止步于信息载体。数据的生成、加工、使用逐渐内化到生产经营过程之中,成为新型生产要素,才能兼具信息载体和生产要素的双重属性。作为初始信息载体的初始数据,在要素化的过程中,不断被加工,生成了衍生数据。信息与数据之间的关系呈现复杂化的状态和趋势。增量信息源于初始信息,但又超越初始信息;衍生数据源于初始数据,但又超越初始数据。承载增量信息的衍生数据,与承载初始信息的初始数据,不再同一,初始信息与衍生数据不一定具有内容与载体的关系,增量信息与初始数据之间也不必然具有内容与载体的直接关系。信息与数据之间的这种演变,同样适用于个人信息与个人数据。因此,在保护个人信息与促进个人数据开发利用之间,应该划定合理界限:保护个人信息需要适用的数据范围,应该以保护个人信息权益为必要,既不宜过度扩张也不宜过度限缩。

个人信息与个人数据的保护与利用,需要法治与技术共同发力。在数字化时代,个人的身份、行为以及参与的社会关系均已数据化。作为以调整社会关系为己任的法治,需要主动引入数据思维和方式,以适应不断数据化的新趋势。数据是现代数智技术的产物,包括个人数据和个人信息在内的数据治理和信息保护,必须借助数智技术。从这个意义上讲,数据和数智技术不仅是法治的调整对象,而且是法治的赋能工具。

从保护和利用个人信息与个人数据的角度,可以考虑进一步加快构建个人信息匿名化制度。根据《个人信息保护法》第四条规定,个人信息不包括匿名化处理后的信息,实质性地将“匿名化处理后的信息”排除在个人信息之外。这一条直接切断了数据作为载体与个人信息之间具体单一的对应关系,为数据作为要素进行相关性挖掘提供了充足的空间。然而,我国个人信息匿名化制度目前主要面临两大困境:一是法律笼统地规定匿名化应当以“无法识别、不可复原”为标准,其具体内涵仍然不清;二是现有标准规范混淆了匿名化与相关概念。未来应当进一步深入个人信息匿名化制度的理论研究,明晰有效匿名化的内涵,总结针对统一场景统一适用、不同场景应势调整的匿名化标准,明确匿名化后再识别行为的法律责任,开展匿名化效果动态监测评估,根本消除对个人信息无法完全匿名化的质疑与担忧。

与此同时,应当激励运用可以提高保护个人信息和个人数据的新型技术。例如,隐私计算、区块链、数据脱敏、数据沙箱等技术令数据在不同主体间“可用不可见”“可见不可取”“可控可计量”成为可能。这保障了数据载体—信息内容—信息主体之间具体单一的对应关系在挖掘数据之间相关性的过程中不被发现、不被利用,为个人数据在不同行业、不同地区、不同机构之间流通利用提供了安全可靠的技术环境。因此,需要从制度层面建立激励机制,引入保护隐私的安全技术,不断提高个人信息和个人数据保护的技术能力,加强通用技术体系研究,拓展场景化应用示范,建立一系列配套的技术规范与测评规范。

综上所述,当个人数据作为信息载体时,保护信息内容所蕴含的个人信息权益是优先目标,保护数据安全是保护信息内容安全的应有之义。当个人数据作为生产要素时,促进个人数据流通利用是优先目标。两个“优先目标”虽不一致,但必须统一起来,安全是发展的前提,发展是安全的保障。明确个人信息权益保护的红线,有利于保障个人数据流通利用的有序和效率;推动个人数据要素化,充分释放个人数据的要素价值,不仅可以推动经济发展,而且可以倒逼技术(包括安全技术)进步,持续提升个人信息保护的能力和水平。

(作者系中国政法大学副校长、数据法治研究院院长)

[责任编辑:潘旺旺]