|
文/陳根 2003年����,中國國務(wù)院信息化辦公室著手部署個人信息保護法立法研究工作�����。 2018年9月,全國人大常委會正式將《中華人民共和國個人信息保護法》納入“十三屆全國人大常委會立法規(guī)劃”�����,位列“條件比較成熟����、任期內(nèi)擬提請審議”的69部法律草案之中。 2020年10月21日��,中國人大網(wǎng)如期公布《中華人民共和國個人信息保護法(草案)》(下簡稱“《個人信息保護法(草案)》”)全文�����,并對其公開征求意見��。 17年間���,中國和世界的技術(shù)�����、經(jīng)濟����、社會和政治格局均已發(fā)生了深刻變化。互聯(lián)網(wǎng)��、5G��、大數(shù)據(jù)等技術(shù)的不斷發(fā)展��,在推動數(shù)字經(jīng)濟繁榮的同時也令個人信息與隱私保護成為社會面臨的全新挑戰(zhàn)����,一些企業(yè)�、機構(gòu)違法獲取、過度使用����、非法買賣個人信息等問題突出。經(jīng)濟利益與個人權(quán)益的矛盾愈發(fā)凸顯���。 “世易時移��,變法宜矣�?�!?/span>作為數(shù)字社會的基礎(chǔ)性法律制度,個人信息保護的立法理當(dāng)與時俱進��,以回應(yīng)不斷涌現(xiàn)的新需求和新問題�。 作為首部專門規(guī)定個人信息保護的法律,《個人信息保護法(草案)》在正式出臺后����,將成為個人信息保護領(lǐng)域的“基本法”。而其又能否但此重任�����,破解數(shù)字經(jīng)濟發(fā)展與個人權(quán)益保護前行之路上的重大關(guān)隘�? 數(shù)據(jù)挖掘和個人保護的對立矛盾 《個人信息保護法(草案)》的時代價值源于信息數(shù)據(jù)的挖掘利用與個人保護之間的對立矛盾。 數(shù)字經(jīng)濟時代下���,數(shù)據(jù)(信息)正成為科技創(chuàng)新的突破點����,是數(shù)字經(jīng)濟的核心生產(chǎn)要素��,也是經(jīng)濟轉(zhuǎn)型和創(chuàng)新發(fā)展的新引擎��。對企業(yè)來說��,數(shù)據(jù)是21世紀(jì)的石油;對政府來說�,數(shù)據(jù)則是基礎(chǔ)性的戰(zhàn)略資源。數(shù)據(jù)的挖掘和利用已在商業(yè)(尤其是零售業(yè))�����、公共衛(wèi)生和安全�、個人消費升級等領(lǐng)域創(chuàng)造了許多價值��,數(shù)據(jù)的更多潛在用途也被社會所期許�����。 另一方面�����,隨著數(shù)字化生存的來臨���,不論是“自然人”�����,還是“經(jīng)濟人”�����、“社會人”��,在信息經(jīng)濟和數(shù)字社會的浪潮中皆變成“數(shù)字人”����。被電子化收集、存儲�����、利用的個人信息不但構(gòu)成了每個人虛擬人格的構(gòu)成要素��,而且延伸到現(xiàn)實生活之中�����,成為人們名譽��、財產(chǎn)乃至生命的無形接口��。 此起彼伏的大規(guī)模用戶數(shù)據(jù)泄露事件凸顯了任意使用數(shù)據(jù)(信息)的潛在危害�����,數(shù)據(jù)的泄露和濫用將傷害個人利益,對個人基本權(quán)益造成負面影響進一步將影響社會穩(wěn)定��。 信息數(shù)據(jù)的挖掘利用與個人保護令關(guān)于數(shù)據(jù)(信息)的討論往往陷入利益二元對立的困境�����,比如�,個人信息保護的傾斜是否會損害創(chuàng)新發(fā)展?而創(chuàng)造更為寬松法律制度時����,是否意味著伴隨的風(fēng)險增大����?當(dāng)前對于國民而言,如何讓自己的各種行為與信息大數(shù)據(jù)不被各種平臺與商家����,以人工智能的方式無良的消費與應(yīng)用是個迫切需要解決的問題。 在個人信息保護的傾斜方面�,歐盟《通用數(shù)據(jù)保護條例》(GDPR)出臺以后,大量歐洲中小企業(yè)因為承受不了高額的合規(guī)成本���,其創(chuàng)新能力明顯不足����,難以支撐和發(fā)展。然而���,大型企業(yè)的壟斷能力卻得到了強化�����。事實上���,GDPR的目的之一就是規(guī)制谷歌、臉書等大型企業(yè)���,結(jié)果立法目的卻并未完全實現(xiàn)����。 而相對寬松的法律制度則“大道以多歧亡羊”�����。我國個人信息保護的立法緩慢���,盡管在這個過程中數(shù)字經(jīng)濟得到了快速發(fā)展��,但同時也造成個人信息數(shù)據(jù)泄露的頻發(fā)�����。 顯然����,個人信息保護制度設(shè)計并不是如此簡單的二元選擇,特別是當(dāng)前圍繞數(shù)據(jù)政策討論的歷史背景正在發(fā)生巨大變化����,從傳統(tǒng)單向的、靜止的“個人信息保護政策”向多維的��、互動的“數(shù)據(jù)治理”政策框架轉(zhuǎn)變�。 這些復(fù)雜因素代表了從三個視角出發(fā)的利益訴求:從個人視角出發(fā)的權(quán)利保護訴求��;從產(chǎn)業(yè)視角出發(fā)的創(chuàng)新�、發(fā)展、競爭需求��;從國家視角出發(fā)的數(shù)字經(jīng)濟國際競爭力和數(shù)據(jù)主權(quán)安全需求��。 同時����,這三個視角并不是孤立存在的���,而是彼此緊密聯(lián)系、互動影響��。不論是個人基本權(quán)益的保護還是數(shù)字經(jīng)濟產(chǎn)業(yè)的健康發(fā)展���,抑或是國家數(shù)字利益的保障�,都應(yīng)該在市場中形成一種健康的��、良性機制�。此次《個人信息保護法(草案)》的公布則有望為這種健康良性的市場機制提供框架。 數(shù)據(jù)人格和數(shù)據(jù)資產(chǎn)的博弈與權(quán)衡�? 如前所述,在世界數(shù)字化轉(zhuǎn)型的背景下����,個人“數(shù)據(jù)人格”和企業(yè)“數(shù)據(jù)資產(chǎn)”的重要意義與日俱增。近年來�����,個人信息的邊界不斷向生物識別信息、基因信息拓展�����,數(shù)據(jù)作為關(guān)鍵生產(chǎn)要素已被中央文件所確認��。 如何平衡個人信息保護和大數(shù)據(jù)利用之間的關(guān)系����,成為了《個人信息保護法》的首要定位問題。《個人信息保護法》基于這一定位�,也對這一利益衡量進行了妥善的處理。 首先����,草案第一條開宗明義,將“保護個人信息權(quán)益�、促進個人信息合理利用”作為二元并置的立法目標(biāo),旨在實現(xiàn)個人信息保護與利用二者的平衡����。在保護個人信息的基礎(chǔ)上合法利用個人信息�,在合法利用個人信息的過程中持續(xù)保護個人信息。 草案第二條則明確指出“自然人的個人信息受法律保護���,任何組織��、個人不得侵害自然人的個人信息權(quán)益”�����。相較于《中華人民共和國民法總則》和即將生效的《中華人民共和國民法典》���,《個人信息保護法》首次提出自然人享有“個人信息權(quán)益”���。這意味著在法律層面,雖然因為爭議較大未定性為“個人信息權(quán)”��,但若個人信息被侵犯將能夠得到更多的救濟�����。這對于個人信息保護而言���,無疑是利好消息���。 其次,在延續(xù)以“可識別性標(biāo)準(zhǔn)”界定個人信息之做法的基礎(chǔ)上��,《個人信息保護法》采納了《信息安全技術(shù)個人信息安全規(guī)范》中的“匿名化”和“去標(biāo)識化”概念,為企業(yè)的數(shù)據(jù)處理留下了可預(yù)期的空間���。 無論是《網(wǎng)絡(luò)安全法》還是《民法典》�,在對個人信息界定時都未明確排除匿名化信息�,這可能加重個人信息處理者的負擔(dān),妨礙其數(shù)據(jù)權(quán)益�����。 《個人信息保護法》將經(jīng)過匿名化處理的個人信息排除在受保護的個人信息之外��,一方面堅持了個人信息保護上“個人在通過何種信息向外界進行自我展示上的自我決定權(quán)”之核心考慮���,另一方面也為個人信息處理者更加便利的使用經(jīng)過匿名化處理的個人信息這一數(shù)據(jù)預(yù)留了可能性��。同時�����,通過對匿名化和去標(biāo)識化作區(qū)別化處理�,《個人信息保護法》也充分保護了個人信息主體的權(quán)益��。 最后�,《個人信息保護法》的第十三至第二十八條中�����,確立了以“告知-同意”為核心的個人信息處理規(guī)則體系,明確了處理個人信息的合法性基礎(chǔ)��。作為《個人信息保護法(草案)》最核心�����、最重要的改動之一��,其大范圍擴充了處理個人信息的合法性基礎(chǔ)���。 事實上�����,討論個人信息往往繞不過去“同意”��,“同意”是最復(fù)雜�����、最難的問題�。《民法典》中的意思表示分為是明示和默示�����,草案中則包含單獨同意���、自愿明確同意�����、書面同意���、重新取得同意。 雖然《草案》規(guī)定了嚴(yán)格的知情同意規(guī)則��,甚至規(guī)定在有的情況下法律�、行政法規(guī)可以要求個人信息處理者必須取得單獨同意或者書面同意,但是與現(xiàn)行立法相比����,《草案》充分考慮到了例外情況,對無需獲取同意的情形作出了詳細的規(guī)定�����。 此外,《草案》還規(guī)定在個人信息泄漏的情況下如果采取措施能夠有效避免信息泄露造成損害的���,可以不通知個人信息主體��。這些都體現(xiàn)了立法者在保護個人信息權(quán)益的同時充分考慮個人信息處理者數(shù)據(jù)權(quán)益的審慎考量。 從處理個人信息合法性基礎(chǔ)的演變看����,《網(wǎng)絡(luò)安全法》第四十一條第一款明確了收集使用個人信息的合法性基礎(chǔ)為“被收集者同意”,這使得《網(wǎng)絡(luò)安全法》自生效以來�����,已經(jīng)成為了同意收集使用個人信息的唯一的合法性基礎(chǔ)���。 《民法典》第一千零三十五條第一款第一項沿用了“同意”的合法性基礎(chǔ)���,但也留下了“法律、行政法規(guī)另有規(guī)定的除外”的例外規(guī)定�����。隨著《個人信息保護法(草案)》的面世����,前述《民法典》指向的例外規(guī)定浮出水面����,實現(xiàn)了法律之間的有效銜接�����。 世易時移��,變法宜矣 除了個人基本權(quán)益的保護和數(shù)字經(jīng)濟產(chǎn)業(yè)發(fā)展間的平衡�,《個人信息保護法》還為國家機關(guān)處理個人信息打造制度之籠。疫情期間��,健康碼成為流動性治理和科技抗疫的關(guān)鍵助力���。同時�����,又因為個人信息的共享�����、匯聚和自動化處理����,引發(fā)了諸多爭議。 但是���,《個人信息保護法》中����,就明確了國家機關(guān)應(yīng)承擔(dān)與企業(yè)同等的數(shù)據(jù)處理義務(wù)��。為規(guī)范政府權(quán)力��,草案從程序與實體加以限制�。前者要求除保密或妨礙國家機關(guān)履行法定職責(zé)��,國家機關(guān)均應(yīng)履行告知程序并取得同意��;后者要求個人信息處理不得超出履行法定職責(zé)所必需的范圍和限度���。 在未來服務(wù)型政府以及智慧城市建設(shè)的背景下���,政府將成為最主要的數(shù)據(jù)處據(jù)機構(gòu),這更加凸顯了《個人信息保護法》的重要性。法律規(guī)則的建立�����,有利于我國與國際通行規(guī)則接軌��,提升國家與企業(yè)形象��,助力企業(yè)海外發(fā)展����。 顯然,作為首部專門規(guī)定個人信息保護的法律�,《個人信息保護法》滿足了人們的期待。其立基于清晰的定位�,保證了整部立法總體而言具有妥當(dāng)性。 從我國立法現(xiàn)狀來看���,對個人信息作出了規(guī)定的法律包括《網(wǎng)絡(luò)安全法》和《民法典》��,新近修訂的《未成年人保護法》也對未成年人的個人信息保護作出了規(guī)定�。 這意味著���,對于《草案》來說最重要的就是既要保證與《網(wǎng)絡(luò)安全法》和《民法典》之間的銜接�����,又要注意不能把這種立法銜接完全演變成對二者的具體化�����。從《個人信息保護法》來看����,立法者準(zhǔn)確而妥善的把握住了這一關(guān)系。這讓《個人信息保護法》既成為《民法典》和《網(wǎng)絡(luò)安全法》的特別法�,又扮演了個人信息保護領(lǐng)域一般法的角色。 中國和世界的技術(shù)���、經(jīng)濟、社會和政治格局均已發(fā)生了深刻變化��。中國數(shù)字經(jīng)濟正在加速發(fā)展�����,但風(fēng)險暴露也較為充分��。當(dāng)前國際局勢復(fù)雜�,數(shù)據(jù)已經(jīng)成為博弈的焦點。 “世易時移,變法宜矣�����?�!薄秱€人信息保護法》既要回應(yīng)我國實踐難點����,結(jié)合中國經(jīng)驗進行創(chuàng)造性轉(zhuǎn)化,又需兼顧數(shù)字社會發(fā)展大勢�����。在肯定其時代價值的同時�,也要建立更體系化的認識,在包容中發(fā)展和創(chuàng)新�����。
|
