文/陳根
2003年,中國國務院信息化辦公室著手部署個人信息保護法立法研究工作。
2018年9月,全國人大常委會正式將《中華人民共和國個人信息保護法》納入“十三屆全國人大常委會立法規劃”,位列“條件比較成熟、任期內擬提請審議”的69部法律草案之中。
2020年10月21日,中國人大網如期公布《中華人民共和國個人信息保護法(草案)》(下簡稱“《個人信息保護法(草案)》”)全文,并對其公開征求意見。
17年間,中國和世界的技術、經濟、社會和政治格局均已發生了深刻變化。互聯網、5G、大數據等技術的不斷發展,在推動數字經濟繁榮的同時也令個人信息與隱私保護成為社會面臨的全新挑戰,一些企業、機構違法獲取、過度使用、非法買賣個人信息等問題突出。經濟利益與個人權益的矛盾愈發凸顯。
“世易時移,變法宜矣。”作為數字社會的基礎性法律制度,個人信息保護的立法理當與時俱進,以回應不斷涌現的新需求和新問題。
作為首部專門規定個人信息保護的法律,《個人信息保護法(草案)》在正式出臺后,將成為個人信息保護領域的“基本法”。而其又能否但此重任,破解數字經濟發展與個人權益保護前行之路上的重大關隘?
數據挖掘和個人保護的對立矛盾
《個人信息保護法(草案)》的時代價值源于信息數據的挖掘利用與個人保護之間的對立矛盾。
數字經濟時代下,數據(信息)正成為科技創新的突破點,是數字經濟的核心生產要素,也是經濟轉型和創新發展的新引擎。對企業來說,數據是21世紀的石油;對政府來說,數據則是基礎性的戰略資源。數據的挖掘和利用已在商業(尤其是零售業)、公共衛生和安全、個人消費升級等領域創造了許多價值,數據的更多潛在用途也被社會所期許。
另一方面,隨著數字化生存的來臨,不論是“自然人”,還是“經濟人”、“社會人”,在信息經濟和數字社會的浪潮中皆變成“數字人”。被電子化收集、存儲、利用的個人信息不但構成了每個人虛擬人格的構成要素,而且延伸到現實生活之中,成為人們名譽、財產乃至生命的無形接口。
此起彼伏的大規模用戶數據泄露事件凸顯了任意使用數據(信息)的潛在危害,數據的泄露和濫用將傷害個人利益,對個人基本權益造成負面影響進一步將影響社會穩定。
信息數據的挖掘利用與個人保護令關于數據(信息)的討論往往陷入利益二元對立的困境,比如,個人信息保護的傾斜是否會損害創新發展?而創造更為寬松法律制度時,是否意味著伴隨的風險增大?當前對于國民而言,如何讓自己的各種行為與信息大數據不被各種平臺與商家,以人工智能的方式無良的消費與應用是個迫切需要解決的問題。
在個人信息保護的傾斜方面,歐盟《通用數據保護條例》(GDPR)出臺以后,大量歐洲中小企業因為承受不了高額的合規成本,其創新能力明顯不足,難以支撐和發展。然而,大型企業的壟斷能力卻得到了強化。事實上,GDPR的目的之一就是規制谷歌、臉書等大型企業,結果立法目的卻并未完全實現。
而相對寬松的法律制度則“大道以多歧亡羊”。我國個人信息保護的立法緩慢,盡管在這個過程中數字經濟得到了快速發展,但同時也造成個人信息數據泄露的頻發。
顯然,個人信息保護制度設計并不是如此簡單的二元選擇,特別是當前圍繞數據政策討論的歷史背景正在發生巨大變化,從傳統單向的、靜止的“個人信息保護政策”向多維的、互動的“數據治理”政策框架轉變。
這些復雜因素代表了從三個視角出發的利益訴求:從個人視角出發的權利保護訴求;從產業視角出發的創新、發展、競爭需求;從國家視角出發的數字經濟國際競爭力和數據主權安全需求。
同時,這三個視角并不是孤立存在的,而是彼此緊密聯系、互動影響。不論是個人基本權益的保護還是數字經濟產業的健康發展,抑或是國家數字利益的保障,都應該在市場中形成一種健康的、良性機制。此次《個人信息保護法(草案)》的公布則有望為這種健康良性的市場機制提供框架。
數據人格和數據資產的博弈與權衡?
如前所述,在世界數字化轉型的背景下,個人“數據人格”和企業“數據資產”的重要意義與日俱增。近年來,個人信息的邊界不斷向生物識別信息、基因信息拓展,數據作為關鍵生產要素已被中央文件所確認。
如何平衡個人信息保護和大數據利用之間的關系,成為了《個人信息保護法》的首要定位問題。《個人信息保護法》基于這一定位,也對這一利益衡量進行了妥善的處理。
首先,草案第一條開宗明義,將“保護個人信息權益、促進個人信息合理利用”作為二元并置的立法目標,旨在實現個人信息保護與利用二者的平衡。在保護個人信息的基礎上合法利用個人信息,在合法利用個人信息的過程中持續保護個人信息。
草案第二條則明確指出“自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權益”。相較于《中華人民共和國民法總則》和即將生效的《中華人民共和國民法典》,《個人信息保護法》首次提出自然人享有“個人信息權益”。這意味著在法律層面,雖然因為爭議較大未定性為“個人信息權”,但若個人信息被侵犯將能夠得到更多的救濟。這對于個人信息保護而言,無疑是利好消息。
其次,在延續以“可識別性標準”界定個人信息之做法的基礎上,《個人信息保護法》采納了《信息安全技術個人信息安全規范》中的“匿名化”和“去標識化”概念,為企業的數據處理留下了可預期的空間。
無論是《網絡安全法》還是《民法典》,在對個人信息界定時都未明確排除匿名化信息,這可能加重個人信息處理者的負擔,妨礙其數據權益。
《個人信息保護法》將經過匿名化處理的個人信息排除在受保護的個人信息之外,一方面堅持了個人信息保護上“個人在通過何種信息向外界進行自我展示上的自我決定權”之核心考慮,另一方面也為個人信息處理者更加便利的使用經過匿名化處理的個人信息這一數據預留了可能性。同時,通過對匿名化和去標識化作區別化處理,《個人信息保護法》也充分保護了個人信息主體的權益。
最后,《個人信息保護法》的第十三至第二十八條中,確立了以“告知-同意”為核心的個人信息處理規則體系,明確了處理個人信息的合法性基礎。作為《個人信息保護法(草案)》最核心、最重要的改動之一,其大范圍擴充了處理個人信息的合法性基礎。
事實上,討論個人信息往往繞不過去“同意”,“同意”是最復雜、最難的問題。《民法典》中的意思表示分為是明示和默示,草案中則包含單獨同意、自愿明確同意、書面同意、重新取得同意。
雖然《草案》規定了嚴格的知情同意規則,甚至規定在有的情況下法律、行政法規可以要求個人信息處理者必須取得單獨同意或者書面同意,但是與現行立法相比,《草案》充分考慮到了例外情況,對無需獲取同意的情形作出了詳細的規定。
此外,《草案》還規定在個人信息泄漏的情況下如果采取措施能夠有效避免信息泄露造成損害的,可以不通知個人信息主體。這些都體現了立法者在保護個人信息權益的同時充分考慮個人信息處理者數據權益的審慎考量。
從處理個人信息合法性基礎的演變看,《網絡安全法》第四十一條第一款明確了收集使用個人信息的合法性基礎為“被收集者同意”,這使得《網絡安全法》自生效以來,已經成為了同意收集使用個人信息的唯一的合法性基礎。
《民法典》第一千零三十五條第一款第一項沿用了“同意”的合法性基礎,但也留下了“法律、行政法規另有規定的除外”的例外規定。隨著《個人信息保護法(草案)》的面世,前述《民法典》指向的例外規定浮出水面,實現了法律之間的有效銜接。
世易時移,變法宜矣
除了個人基本權益的保護和數字經濟產業發展間的平衡,《個人信息保護法》還為國家機關處理個人信息打造制度之籠。疫情期間,健康碼成為流動性治理和科技抗疫的關鍵助力。同時,又因為個人信息的共享、匯聚和自動化處理,引發了諸多爭議。
但是,《個人信息保護法》中,就明確了國家機關應承擔與企業同等的數據處理義務。為規范政府權力,草案從程序與實體加以限制。前者要求除保密或妨礙國家機關履行法定職責,國家機關均應履行告知程序并取得同意;后者要求個人信息處理不得超出履行法定職責所必需的范圍和限度。
在未來服務型政府以及智慧城市建設的背景下,政府將成為最主要的數據處據機構,這更加凸顯了《個人信息保護法》的重要性。法律規則的建立,有利于我國與國際通行規則接軌,提升國家與企業形象,助力企業海外發展。
顯然,作為首部專門規定個人信息保護的法律,《個人信息保護法》滿足了人們的期待。其立基于清晰的定位,保證了整部立法總體而言具有妥當性。
從我國立法現狀來看,對個人信息作出了規定的法律包括《網絡安全法》和《民法典》,新近修訂的《未成年人保護法》也對未成年人的個人信息保護作出了規定。
這意味著,對于《草案》來說最重要的就是既要保證與《網絡安全法》和《民法典》之間的銜接,又要注意不能把這種立法銜接完全演變成對二者的具體化。從《個人信息保護法》來看,立法者準確而妥善的把握住了這一關系。這讓《個人信息保護法》既成為《民法典》和《網絡安全法》的特別法,又扮演了個人信息保護領域一般法的角色。
中國和世界的技術、經濟、社會和政治格局均已發生了深刻變化。中國數字經濟正在加速發展,但風險暴露也較為充分。當前國際局勢復雜,數據已經成為博弈的焦點。
“世易時移,變法宜矣。”《個人信息保護法》既要回應我國實踐難點,結合中國經驗進行創造性轉化,又需兼顧數字社會發展大勢。在肯定其時代價值的同時,也要建立更體系化的認識,在包容中發展和創新。
