罗汉堂

个人信息保护的全球态势和中国选择

数字经济时代,每个人的数据信息都变成数字经济的生产要素,成为一项资产。个人数据信息在每个环节都有可能被不当收集、储存、利用和非法交易。不难想象,在一些领域,甚至可能产生“劣币驱逐良币”的现象。在违法违规成本并不高的前提下,那些违规索取个人信息越多的企业,相比其他合规企业,在数据这项生产要素上就更有竞争优势。我们不禁发问,数据到底属于谁?

本文根据中国人民大学未来法治研究院副院长丁晓东教授在罗汉堂北京隐私座谈会上的讲话整理成文,作者结合个人信息保护和数据领域研究经验,从全球视野下的个人信息保护、具体个人信息保护制度设计和企业数据管理三个方面提供了非常具有全局性和实践性的见解。

 

2020年可称为我国个人信息保护立法元年:民法典草案即将亮相十三届全国人大三次会议审议,其中,独立成编的人格权编草案中关于个人信息保护的内容更是成为各界关注的焦点;国家互联网信息办公室成立数据安全法专项课题;全国人大常委会法工委发言人也对外透露,个人信息保护法已列入2020年全国人大常委会立法工作计划。

商鞅曾说道,“强国知十三数……欲强国,不知国十三数,地虽利,民虽众,国愈弱至削。”古人早就认识到了数据的重要性。数据经济和数据安全在国家战略规划中占据越来越重要的战略高度,数据——加上数据管道——在一定程度上甚至是国家影响力的具象化表现。正如几个世纪前的大航海时代一样,数据信息就是大数据时代的海洋,数字技术是动力,那么规则立法则是指南针。在全球规则之下,如何正当地获取数据、建立合理的数据秩序、循“数”治国,成为一个全球性问题。

而全球性的问题更需要将其置于全球格局的视域下审视。一方面,中国的数字产业处于世界前列,但从个人数据保护、信息规则制定的角度看,仍然无法掌握国际话语权的主动性,这也是一个不容置喙的客观现象。由国家出面直接争夺数据治理的话语权,也面临不少障碍,从这方面来说,个人认为,让中国企业参与国际数据治理规则,承担部分社会责任,形成与我国国家数据治理的战略配合,或许是非常重要而且行之有效的方法。

从全球层面来看,计算机技术发展带来的数据隐私问题于1973年首次进入公众视野。美国卫生、教育与福利部发布了一份题为《录音、计算机与公民权利》(Records, Computer and the Rights of Citizens)的报告[1],分析了“自动化个人数据系统可能导致的不良后果”,并提出了广为人知的“公平信息实践法则”,成为数据保护制度的基石。自此,包括欧洲和全球138个国家在内的《个人信息保护法》在这个框架下逐渐完善,而随着欧洲推行GDPR,以其为代表的个人数据保护规则体系治理达到了一个较为成熟的高度。

世界各国在数据规则上的实践却不尽相同。美国的“公平信息实践法则”在实施之初只针对美国联邦规制机构,通过后续法律出台,首先推行到医疗、儿童保护、金融等领域,因此美国的路径叫领域立法(Sectoral Approach),在数据风险较大的领域先进行立法,其他领域则由企业自我规制。而“数字人权”的概念在进入欧洲之初有逐渐泛化的趋势,《欧盟基本权利宪章》第八条只规定了两个权利——个人数据保护法以及访问权。但随着“95数据保护指令”[2]和GDPR欧盟数据通用保护条例的相继出台,个人数据权利的内涵得以深化和拓展,包括从个人数据知情权、选择权、访问权、修正权、被遗忘权、限制处理权、可携带权、以及基于自动化处理和用户画像合规使用法规等一系列规定。

如果说美国是在普通立法层面通过侵权法、合同法或财产法等法律合力,来实现对个人信息的综合保护,并采取行业自律(self-regulation)作为立法外保护网络隐私权的补充,那么欧盟GDPR条例则是走向特殊权力保护,将通过非自动方法与自动方法获得的全部与部分个人信息数据都纳入了保护范围之内,使个人数据转化为权利。而在一般话语层面,变成权利的东西是没有讨价还价余地的。

从全球数据竞争格局来说,美国与欧洲具有一定的分歧。美国因为有强大的数字经济产业背景,因此采取了自由流通加有限规制的策略。一定程度的规制不但会带来产业效益,也正是美国企业所需要的,外加宪法第一修正案在内,以言论自由和市场为基石刺激全球数据流通,而数据越流通美国作为全球数据终端从中受益就越多。相较之下,欧盟采取了人权加统一市场的战略。欧盟战略又称数字经济统一市场战略,欧盟是由分散小国组成的,只有将各国法律统一才能统一市场。因此,制定GDPR和数据统一保护规则的好处之一就是可以使法律统一化。正如20世纪初的“立宪风潮”,如果不立宪会被开除“球籍”,被认为是野蛮国家。现在欧盟实际上在数据领域确立了一个文明与野蛮的标准。当然,现在欧盟将数据保护标准提升了一个维度,让人喜忧参半。从其他产品战略市场来看,产品标准的提升可以促使质量也随之提高,但另一方面也引发了合规困境,特别是如果涉及到不特别合理的制度设计,中小企业会受限于各种权利问题。这方面的研究已经非常多,即使欧洲学者,对GDPR的合理性也存在很多争议。

 

在这样一个美欧背景之下,中国又应该采取怎样的个人信息保护和战略?

回到具体个人信息保护规则的制定,简单地反对欧盟制度或者全套搬用美国制度并非长宜之计,我们应该做的是将美欧制度——包括CCPA[3]和GDPR——分解、重构、创新。目前的公平信息实践的框架基本已经定型并且不太容易在短期内改变,中国未来个人信息保护,则是要聚焦在具体哪一种权利、企业任务和数据处理规则如何做细化这三个方向上。这个大框架本质上是合作治理,既不同于传统民法也不完全等同于传统公法,一方面强调个体信息权利,另一方面也要对企业问责,类似个人正当程序。以前是国家受制于各种权利,现在则针对企业知情权、访问权、修正权、被遗忘权、限制处理权、可携带权、拒绝权这些权利,相当于把权利赋予给消费者、用户,把“风筝线”递到消费者、用户手中,无论企业“飞”多远都有拉回来的权利。

但所有权利本身边界在何处仍面临很多争议,包括欧洲在内很多专家也在反思GDPR是否应该批判权利本身,还是要重新界定权利边界和使用场景,以及如何规范化数据使用收集过程中的企业责任。例如目的限制原则只强调了收集数据只能收集与目的直接相关的数据,却没有对二次利用进行具体规制。中国的立法启动或许标志了一个良好的开端,蚂蚁金服设立首席信息保护官也是一个很好的实践,但总体而言中国依旧任重道远。这也将是一个持续性的问题,数据保护规则落在纸面上并不是终点,而是要通过不断交流、界定、勾勒边界使之落在实处。个人数据与信息保护未来需要做更多工作。

我们还要考量数据权属和数据竞争规则的问题。“头腾大战”已经涉及到通过用户授权将数据从一个平台转移另外一个平台的现象,在这种情况下到底应该是个人数据优先,还是平台数据优先?一些平台企业可能认为自己是数据生产者,搭建了架构,所以收集数据至少有一定的优先权,有的企业主张数据仍然属于个人,给用户选择权,只不过是帮个体把数据转移。由此可以看出个人数据权属界定还十分模糊。

数据保护的难题在于,如何处理数据的保护与合理流通。我们都已经习惯听说,数据是石油。但数据不具有稀缺性与竞争性,正如杰斐逊所言,思想和信息更像是火,传播越多,只会照亮更多的人。从全球数据规则来看,可以说美国和欧洲都没有很好地解决这个问题,对于中国来说,如何在全球背景下中国的数据规则与数据话语,这既是挑战,也是机会。

 

[1] 该法则规定了个人有权知道他人收集了哪些关于自己的信息,以及这些信息是如何被使用的;个人有权拒绝某些信息使用并更正不准确的信息;信息收集企业有义务保证信息的可靠性并保护信息安全。

[2] 又称2001/95/EC指令,或GPSD(General Product Safety Directive,通用产品安全指令)

[3] 《加州消费者隐私法案》

0 条评论

评论请

加载中...

00:00:0000:00:00