國瀚文 西北政法大學民商法學院講師、西北政法大學師資博士後。
內容摘要
我國于2020年4月9日提出將“數據”納入市場化配置改革的五大基礎生産要素之一,並明確了完善數據要素市場化配置的具體措施。完善的數據市場必然要求生産要素的自由流通。但是,由于缺乏數據保護規則,數據流通與個人隱私權利保護之間存在一定的沖突,主要表現爲數據分享的效率和保護之間存在此消彼長的關系,個人隱私泄露問題與日俱增,成爲完善數據要素市場的阻礙因素之一。對此,我國需要在數據政策指導下構建綜合性、立體化的個人信息保護法律體系,充分挖掘和釋放數據要素應有的資源價值,實現數據市場完善與個人隱私保護的平衡發展。
一、引言
數據生産要素的提出,充分體現了我國的制度自信和理論自信,也是數字經濟發展的必然要求,但我國距離市場化的數據交易仍有很長一段路要走。因爲明晰的權屬和有序的流動,是生産要素的本質要求和前提條件,以此才能推動人類社會邁向一個萬物互聯的數字經濟新時代。而數據産權作爲一種要素,應從資本構成的層面對它進行定義,即關于數據增值的問題。從完善數據市場的層面來看,數據産權明確才能對不同主體的數據作出明確劃分,因爲數據的處理過程包括采集、存儲、流動、應用等過程,各個階段都會産生新的主體與權利。現階段的主要問題是數據的提供方多爲個人,而采集方多爲企業平台,由于缺乏數據保護規則,個人隱私泄露問題與日俱增,成爲完善數據要素市場的阻礙因素之一。自黨的十九大報告以來,一方面強調保護個人的人格權益,另一方面也多次強調發展大數據的重要意義,其中個人信息的保護和利用問題尤爲關鍵,民法典的出台更加完善了我國強化個人隱私權保護的立場,爲數據要素市場的完善提供了理論依據。因此,現階段我國亟需在國際社會數字貿易規則與本國數據要素政策指導下構建完善的個人信息保護法律體系,以應對完善數據市場時隱私保護帶來的挑戰以及如何協調隱私保護與數字經濟之間的關系問題,並結合我國相關法律法規規定,探討完善數字市場背景下保護個人隱私權的可行路徑。
二、數據要素市場中的隱私權挑戰
《關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱《意見》)提出“加快培育數據要素市場”,並對構建和完善數據要素市場化配置體制機制作出部署。這對數據市場的建設和管理提出了更高要求,也給了我國數字經濟治理明確方向,數據要素市場的培育需要新的制度來提供適宜的土壤。一方面,立足于互聯網技術的快速發展,通過智能手機、平板電腦、遊戲機等人機交互移動設備促使中國社會發生産業變革;另一方面,由于我國對數字經濟的市場監管,總體上采取包容審慎的監管模式,爲數字經濟業態及從業者的發展構築了寬松的法治環境。這雖然激勵了數字經濟的快速發展和創新,卻也導致了數字經濟的無序發展,地下數據交易事件層出不窮,對其進行及時必要和科學有效的法治化市場監管已迫在眉睫。尤其伴隨數據的快速流動而産生的個人數據泄露和隱私保護問題,也越來越受到各國的重視。
大數據分析技術的發展使用戶數據在不知不覺間就被收集和處理,數據驅動企業依據數據間的相關性,就可以對消費者個人進行僅憑數據相關性而非因果關系即可進行預測與推斷。以人機交互活動中最頻繁使用的微信、QQ等爲例,用戶在使用以上軟件時,從注冊階段起,就已被采集了個人信息,同時注冊協議多是以用戶默認方式同意,此類協議中往往包含該軟件平台從用戶處獲得數據使用的許可(包括采集、存儲、分析等),一旦該企業從用戶處獲得數據(包括但不限于、使用時間、地理位置、用戶名稱、頭像、公開發布圖片文字等),就會有與該企業相關的第三方企業獲得相關數據進而存儲、分析或關聯。按照用戶同意協議的相關規定,這些數據不但包含爲用戶提供更好體驗服務的技術改善所需信息,還包括用戶個人有關的浏覽曆史、地理位置等信息。尤其是隨著生物識別等新技術的應用,用戶面部、聲音、指膜等生物信息也都可能被采集。最終,該社交軟件企業以及第三方企業可能采集未來所需的各種數據,並且可以對該數據進行存儲或初步分析,並上傳到服務器(國內或國際)以備未來之需。雖然這些浏覽曆史、步數計算、所屬位置等數據屬于個人隱私相關的間接數據,但在數據庫中進行大數據分析,則可以對個人進行聚類分析,爲商業目的所需對消費者進行“數據畫像”,以進行精准取向識別(宗教信仰、性取向、購買模式、生活方式等),通過消費者的潛在需求,進行精准廣告定向投放,在特定時間和場景達到目標客戶,誘發沖動消費等,成爲消費操縱。以上表明,若無適當的隱私保護機制,個人數據將會被濫用,這不僅會危害個人權益與國家安全,也將影響數據要素市場的完善和數字經濟的可持續發展。
爲了避免隱私數據泄露帶來的風險,各國(地區)多以“數據本地化”爲要求,展開限制數據流動的措施,以應對數據交易中的隱私泄露問題。以亞洲地區爲例,韓國比日本、中國香港、新加坡在個人信息保護方面更加嚴格,其以個人信息保護法作爲保護個人信息的一般法,其立法目的比起利用個人信息的經濟和社會利益,更重視個人信息相關權利主體的權益保護,從數據管理水平、直接市場化利用的可能性、數據輸出管制、遵守管理法規四個方面作爲強制性要素,對數據流動進行評價。數據本地化措施總的來說是對數據傳輸的一種限制,這種要求在實施過程中會導致某些行業或者領域無法向國外傳遞或儲存信息,從根本上來說限制了數字貿易的開展,成爲新型數字貿易壁壘。從韓國的大數據産業發展進程緩慢可見一斑。另外,大型數據企業基于規模優勢會對數據進行高成本維護以維持競爭力,基于其市場支配地位,會在數據市場中形成市場進入壁壘,影響數據的自由流動,從而影響數據經濟的發展。這種數據保護政策不管從國際還是國內來說都與貿易自由化的國際公約背道而馳,尤其在我國要大力發展數據産業的背景下,更應制定符合數據經濟發展的數據流動政策。根據當前國際上最新開展的區域貿易協定談判中對數據本地化提出禁止性要求的《跨太平洋夥伴關系全面進步協定》(CPTPP),其根本目的在于促進數字貿易發展以及保護合約國的國家安全,並未涉及到各國內部的隱私權保護問題,所以各國自行制定隱私保護立法是解決數字市場中隱私泄露的必要措施。
歐盟作爲當今世界個人隱私保護程度最發達的地區,其于2018年5月正式生效的《一般數據保護條例》(General Data Protection Regulation,GDPR),作出了很多創新性的立法規定,對各國探索數字貿易背景下保護個人隱私權的方式極具價值。而美國《加利福尼亞州消費者隱私法案》(California Consumer Privacy Act,CCPA)于2020年1月1日生效,這是繼歐盟GDPR之後最重要的數據法律,它將成爲美國州層面的最重要數據隱私立法之一。以歐盟爲代表的歐美國家正式開始探索並構築起既促進數字貿易發展又有效保護個人數據隱私的制度規則,引領全球數字經濟走向。以下即從比較法的視角,探索歐盟與美國促進個人隱私保護立法和數字貿易發展平衡方面取得的成就與中國模式的選擇。
三、數據要素市場中個人隱私權保護的立法回應
以歐盟、美國典型模式爲例,探索數據隱私權的保護現狀。兩者均試圖打造獨立的數據王國。歐盟通過GDPR實行,以“數據基本權利”爲基礎的數據經濟模式;美國通過CCPA實行,以“自由交易與強勢監管”爲基礎的數據經濟模式。從表面上看,美國和歐盟的兩種模式互不兼容,甚至背道而馳,事實上卻殊途同歸,都在尋求“數據權利保護和數據自由流通的平衡”。無非歐盟模式偏向“數據權利保護”一方,意在打造公民的數據基本權利;而美國模式卻偏向“數據自由流通”一方,意在數字經濟的發展。兩種模式都強調在維護個人用戶數據隱私與數據經濟發展的重要性,且數據隱私法律需要依賴于國家層面的執行與監督。
(一)歐盟模式
權利憲章爲隱私權的保護提供了制度保障,歐洲數據隱私立法以人的權利作爲立法邏輯,認爲“基于個人産生的數據是關于人格的延伸,個人對于個人數據的掌握是獨立自主的體現,是人權的體現”。而“建立在人的尊嚴基礎上的個人數據保護理論,則內含個人數據由個人自主控制的基本論調”。所以,歐盟爲了維護人的尊嚴,對危機隱私的算法決策行爲進行嚴格限制,要求數據驅動企業進行自動化決策時,要征求數據主體的“同意”,且該種同意不能是形式意義上的同意,否則依然是違反法律規定的“數據交易行爲”。鑒于“一條條個人信息的價錢少得可憐,除非被收集的數據與更多來自相近社會經濟類別的個人數據予以整合並加以利用,否則這些數據將一文不值”。因此,歐盟數據隱私保護規範的內在價值是維護人的自由而不是保護財産自由,這也說明了歐盟的隱私保護規範與美國存在的差異。
GDPR在歐盟國家地區生效,對任何濫用公民數據的數據持有者進行嚴厲處罰。在課以罰金時,會考慮數據企業對GDPR的違反程度,歐盟委員會特別強調了要加強歐盟與國外從事數據處理業務公司的責任與問責,同時GDPR不僅適用歐盟境內組織,也適用歐盟境外向歐盟國家提供商品或服務的組織。GDPR剛實施不久,Google與Facebook等大型數字公司因強迫用戶共享個人數據而被起訴,並且,因其在與其他公司並購過程中,違法使用用戶個人數據的行爲,涉嫌濫用市場支配地位。因此,在數據驅動企業橫向或縱向的合並中,如果涉及濫用個人用戶數據,不僅違反競爭規制,也違反數據保護規則。爲確保在歐盟地區的業務不受影響,各大跨國數據公司開始對數字業務開展合規風險評估,並積極進行整改,以適應數字經濟背景下越來越嚴格的個人數據保護規範。但是也可以看出,即使基于曆史、基于政策的原因,歐盟制定了最爲嚴格的個人數據保護規範,但是在充分強調隱私權保護的基礎上依然堅持促進數字經濟的發展,由此可以看到歐盟數據保護立法對國際貿易産生的深遠影響。
由于個人數據信息的隱私保護在國際層面上尚不存在統一的條約、協定,依據國內法律程序進行起訴和救濟就成爲當下個人維權的主要途徑。從實踐層面來看,顯然這一國內法律層面的隱私保護條例已經對美歐之間的貿易産生了巨大的影響。
(二)美國模式
美國隱私立法以促進數據自由流動爲原則,將隱私立法精神濃縮到CCPA中。與GDPR不同,美國沒有將數據隱私作爲一項基本權利,而是賦予個人控制隱私數據的權利。雖然美國並沒有聯邦層面的統一立法,但加利福尼亞州的經濟在美國居于舉足輕重的地位,除了微軟和亞馬遜之外的美國互聯網公司的總部都設置在加州,這也注定CCPA將對美國的聯邦立法産生重要的影響。聯邦法律側重行業部門的監管,各州的法律則側重保護個人信息不被盜用,實務中美國對于隱私界定的關鍵在于自然人所享有的“控制權”,即只有本人對其個人數據有控制的權利,即隱私信息的使用與否由個人決定,未經權利人許可他人不得使用,否則爲侵權行爲。與歐盟基于人格權産生的隱私權保護理論相比,美國將隱私權看作財産權利,應受市場的調控與保護,而隱私數據的來源體——自然人,則是市場中與經營者相對的另一方,以消費者權益保護機制進行保護。
法律之所以賦予自然人對其個人信息的控制權,主要是基于“隱私控制論”,個人是個人數據的決策者,個人享有對個人數據的高度自治權,不論是政府還是企業都無權在本人未授權的前提下處理數據。所以,美國理論界普遍認爲,個人數據受到保護的根本原因在于它是一種財産。“個人對他們的個人信息擁有所有權,並且如同財産的所有人那樣,有權控制對其個人信息的任何使用。”總體來看,雖然歐美在隱私立法價值取向上存在不同,但均強調個人對個人數據控制的重要性,數據隱私可在滿足合法目的條件下進行使用,對濫用隱私數據的行爲進行懲處,且均是在促進數據經濟的條件下進行數據保護。數據的特征決定了數字市場發展的本質特征是數據自由流動,但是美國與歐盟對個人數據立法的不同傾向,決定了各個國家的立法體例、執法特性。同時,在國家政策的影響下,美歐政府對待數據保護規制的執行與數據企業的數據行爲的監管也不同。歐盟嚴格的數據保護規範對美國數據企業影響巨大,如時常可見的關于Facebook與Google違反數據保護規定被處罰的新聞;美國同歐盟簽訂的不論是《安全港協議》還是後續的《隱私盾協議》,都可視爲美國爲了數據業務的持續開展,對歐盟數據保護規則的妥協。因爲關于個人數據隱私方面的規定,與歐盟進行數據交易時要更加重視數據合規成本,不僅美國,包括中國在內的部分大型互聯網企業也都紛紛對GDPR實施可能産生的風險進行了評估。中國企業在與歐盟開展貿易的過程中,應嚴格把握數據跨境傳輸協議、跨境安全傳輸措施、BCR認證、“必要性測試”和“利益平衡測試”等,避免因跨境傳輸不當遭受嚴厲處罰。
(三)中國模式
大數據技術的飛速發展實現了社會的萬物互聯,生活在網絡世界的人們只要進行與網絡有所關聯的活動就會被數據采集,尤其是現代人在網絡世界中文字與圖片的公開上傳或個人觀點評論,均會成爲算法進行自動化決策分析的來源。數據驅動者利用這些數據所作的分析是否侵犯了隱私權,以及由此所引出的網絡社會隱私權界定一直也是我國法律界存在疑問的地方。隱私權人與其他人(義務主體)在隱私保護與言論表達自由、知情權實現等方面的利益衡量問題,是傳統隱私權保護法的立法目的。盡管公共利益是重要的制約因素,但國家尚未以利益主體的身份登場,立法政策傾向于對個人隱私提供“絕對”的保護。但在將數據要素作爲生産力的數字經濟中,以促進數字貿易的流動與個人隱私權保護爲原則,國家從單純的治理者身份轉變爲協調者、維護者以及利用者,數據驅動企業成爲數字貿易中重要的獨立的主體,個人隱私權的有效保護則成爲經濟發展中的關鍵環節(要麽是桎梏,要麽是促進)。有學者認爲可將隱私權的範圍比作是“一個動態平衡的範圍”。從實用主義出發,借助司法個案,展示隱私權的構成要件,從側面敘明隱私權的具體內涵,對隱私權予以全景式把握。
我國關于隱私權的規定最早見于侵權責任法第2條,繼而在網絡安全法第44條規定,“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”此時,我國已經基本建立起禁止非法獲取或出售個人信息的法律體系框架,至2018年出台的電子商務法第18條規定,“電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務的搜索結果的,應當同時向該消費者提供不針對其個人特征的選項,尊重和平等保護消費者合法權益。”該條與歐盟的數據保護規則基本接近,即電子商務經營者可以在取得“同意”後對用戶的個人信息進行收集、使用並進行分析,但是提供搜索結果時應當同時帶有非針對性的選項。這條規定表明,中國以法律限制電子商務經營者對個人數據的任意分析行爲,雖然允許以正常的方式收集分析信息,但電子商務經營者對于與消費者隱私直接相關的專有物品不得銷售。2017年民法總則第110條再次確認了自然人享有隱私權這項獨立的人格權利。另外,2020年5月通過審議的民法典將隱私權與個人信息保護寫入人格權編,實現個人信息與隱私權的區分,這在世界範圍的個人數據保護規範中,是一次有意義的嘗試,表明在數字經濟中我國的立法政策既要符合國情又要與國際接軌。這也是對“公民人身自由與人格尊嚴的基本權利”的貫徹落實。我國現有的數字經濟環境下雖然存在大量的信息泄露事件,但還沒有一家數據企業像Google、Facebook一樣的因侵犯個人隱私而受罰的被訴案件。2020年中國國家計算機病毒應急處理中心在“淨網2020”專項行動中通過監測發現,多款民宿、會議類移動應用存在隱私不合規行爲,違反網絡安全法相關規定,涉嫌超範圍采集個人隱私信息。這意味著我國民衆目前對個人隱私權保護的意識缺乏,權利被侵犯時起訴數據企業違規行爲的情況較少,甚至當用戶起訴數據企業侵犯隱私權時,也會因缺少管制或懲處的法律法規,出現無法可依的現象,這從側面證明了我國當前監管的缺失和處罰力度的不足。
歐盟關于個人數據的立法,呈現出法律效力從弱到強、法律規則從一般到特殊再到抽象、立法體系從碎片化到一體化的漸進特征,以指令立法爲起始,初步建構了歐盟數據保護法的法律基礎和體系,對“從無到有”建構歐盟數據法而言是符合當時的科技生産力水平與司法實踐的,經曆了“條例”一體化的規制時期,形成典型的法律工具。雖然參考歐盟的GDPR的立法體系符合中國同爲大陸法系立法的特征,但是基于數據要素政策的指引和促進數字貿易發展的考慮,與以“數據基本權利”爲基礎的歐盟GDPR相比,中國更偏向于以“促進數據自由流動和便捷交易爲價值取向”的美國CCPA模式,因爲“安全風險防範爲主兼顧數字經濟發展”的中國數據立法模式與GDPR並不兼容,而“個人信息隱私保護和數字經濟發展的平衡”是中國特色的個人信息立法體系將會遵守的主要指導原則。
四、促進數據要素市場發展與隱私保護平衡發展的路徑選擇
“法律的主要作用之一就是調整及調和種種相互沖突的利益,無論是個人的利益還是社會的利益。”現代數字經濟環境中,數據市場體系的完善需要綜合、立體的數據保護法律體系的保障。個人數據的利用與隱私權保護的矛盾也需要個人信息保護法的有效平衡。總而言之,數據要素市場中多元利益沖突的緩和與協調需要統籌協調政府、企業、社會組織多方力量,從多層級別法律入手。而對立法模式的選擇,應該考慮國際數據貿易大的發展趨向,以中國的現實國情爲出發點,並切合國內現有法律制度爲目的進行“多元共進,兩頭平衡”的法律體系構建,充分挖掘和釋放數據要素應有的資源價值。
(一)數據要素政策下的多元共進立法趨向
《關于構建更加完善的要素市場化配置體制機制的意見》把數據作爲參與分配的要素,將對數字經濟的發展起著導向作用,指引數據驅動企業更加重視數據要素以及數據資産管理對數據要素價值的釋放作用。其中提出的“推動人工智能、可穿戴設備、車聯網、物聯網等領域數據采集標准化”,爲完善數據市場的基礎性制度提供了政策指引。大數據技術的發展使數據逐漸成爲支撐業務發展的核心資源,同時由于多源異構數據難以管理、數據質量低下等問題,傳統的數據管理體系已無法滿足企業基于核心數據資産的管理需求,而人工智能的發展應用尤其需要大量的可用數據。可以說,目前在很多領域並非缺乏數據,而是缺乏標准化的、高質量的可用數據,這極大阻礙了人工智能等新技術的應用。因此,需要進一步發揮行業協會、標准化組織的作用,在各個細分領域逐步建立統一的數據標准、接口和規範。國家可考慮在醫療、交通、制造、農業、能源等戰略性領域,推動數據的彙聚整合並建立共同數據空間,解決這些領域中數據分散、不足的問題,以促進人工智能等新産品、新服務的研發應用。並在數據流動方面加強國際合作,積極推動數字經濟領域的國際標准設定。一方面,隨著中國科技公司全球化發展步伐提速,我國應在數據流動等方面加強國際合作,探索雙邊、雙邊的數據自由流動機制,推動數據自由流動符合國家和企業的利益。另一方面,美歐目前在積極建立相關的國際聯盟、同盟、“數據俱樂部”等組織,希望主導數據流動、數字稅收、數據治理以及人工智能的技術、倫理、治理等方面的國際標准,可能給未來中國科技産業帶來影響,爲此,中國需要積極參與甚至主導建立數據和新技術領域的相關國際規則,避免被邊緣化。
此外,由于數據要素的使用主體和利益關聯方衆多,在數據要素市場化配置的長期過程中,要注意平衡數據開發利用、開放共享、自由流動、數據權屬和隱私安全之間的關系,數據要素市場化配置不僅在當下意義重要,在可預見的未來也會持續發揮重大作用。爲更有效落實《意見》相關要求,確保數據要素資源長期發揮價值,應當從頂層設計的角度加快統籌市場政策體系,優化市場管理規則,推進基本制度建設,構建多元共治的數據要素市場治理監管體系。形成體系完備、規則合意、執行有效的中國特色社會主義數據法律體系制度框架,是以數字經濟的快速發展與加強個人隱私保護爲核心原則的個人信息保護的立法趨勢。
(二)數據要素政策下的兩頭平衡立法模式
在數字經濟的利益衡量格局下,實現數據市場化交易和個人信息保護上的平衡(兩頭平衡)是世界難題,立法首先要平衡各方利益,在立法價值上應注重平衡各方之間關系,包括個人數據的有效保護與開發利用之間的關系、個人安甯和社會發展之間不同利益主體(國家、社會、企業、個人)之間的關系。因此,可以說在國家政策指引下,數據貿易與個人信息的保護橫跨民法、行政法、國際法等不同的法律部門,需要立體、綜合運用民事、行政、刑事及科技等手段予以保護,建立集合民事、行政和刑事等法律保護的綜合性、立體化的立法模式。
1.個人信息和隱私權的區分
在法律上對人信息權與隱私權進行分開保護有充分的理論依據,且根據我國的實踐經驗,也具有充分的可行性。更重要的是,在明晰個人信息權和隱私權界分的基礎上,設置有關個人信息保護的法律規則,對個人信息的收集、利用、存儲、傳送和加工等行爲進行規範,從而形成個人信息保護和利用的良好秩序,既充分保護權利人自身的個人信息權利,也能有效發揮個人信息的價值。
民法典已經作出探索,以“隱私權和個人信息保護”進行專章規定。雖然相關法條內容仍遵循傳統的隱私侵權理論,將隱私視爲自然人的私人生活安甯等不願被人知曉的私密權利,但民法典同時將個人信息保護同時寫入本章,並以專門列舉方式增加了“電子郵箱”與“行蹤信息”。其並未直接以個人信息權進行保護,但以個人信息保護進行敘述,表明了我國對于個人信息保護的立法思路是區分私密信息與一般信息的,對于私密信息以隱私權進行保護,對于一般信息明確了個人對于個人信息享有保護的權利,不容他人侵犯。如前所述,既然個人信息權與隱私權之間存在諸多區別,因此,不應將個人信息權理解爲是隱私權的一部分。民法典中沒有使用“個人信息權”的表述,而是以“個人信息保護”進行規範,這意味著立法機關沒有將個人信息作爲一項具體的人格權利,而是認爲自然人的個人信息應當受到法律的保護。立法者對該條采取了行爲規制模式而非權力化模式來保護個人信息,即通過他人行爲加以控制的角度來構建利益空間,維護利益享有者的利益。這爲未來個人信息法律規範如何在利益上兼顧財産化與數據經濟的發展的平衡關系配合預留了一定的解釋空間。
在法律上對人格權編個人信息保護與隱私權進行法律規則細化,既有利于界分二者之間的關聯關系,維持人格權法內在體系的一致性,也有利于實現對個人信息的保護,且爲即將制定的個人信息保護法留下銜接空間。因此,開展個人信息保護的立法工作需要在國家政策指導下梳理、整合、修改和補充原有的法律規範,以此爲基礎構建個人信息保護法律體系。總的來說,以民法典構建個人隱私權保護的基本依據,以個人信息法構建個人隱私權保護的具體細則,以行政法、刑法等構建個人隱私權保護的救濟途徑,並在其他相關法律法規中進行銜接條款編制,如網絡安全法、電子商務法等。在區分隱私和個人信息後,以充分發揮生産力的促進作用爲主對數據貿易進行規制;再將個人信息數據進行級別區分,比如重要數據、一般數據和敏感數據等。所謂一般數據,是可在匿名化的情況下上市交易;重要數據,即金融、行政等數據,可能會威脅公共安全,要特殊對待,予以重點保護;敏感數據,如性數據、基因數據等,較一般數據、重要數據而言,敏感數據與隱私權有著更加密切的聯系,不得交易。綜上,對個人信息進行分級的標准爲“經濟利益”、“公共利益”與“人格權益”規則的適用。在具體操作層面,個人信息與隱私權區分的手段需要由國家強制力保證實施,由中央政府政策進行指引,以高層級的法律進行制度規制。
2.數字市場完善與個人隱私保護的平衡
完善的數據市場必然要求生産要素的自由流通。數據流通與個人信息權利保護之間存在一定的矛盾,主要表現爲數據分享的效率和個人信息保護之間存在此消彼長的關系。從世界範圍來看,如何妥當協調和處理二者之間的關系,是各國法律制度所面臨的共同難題。根據前文所述,歐盟立法注重個人信息的保護,美國立法更注重個人信息利用,以提升數據産業的優勢地位。但在數字經濟的促進中,隱私保護成爲兩大法系共同的立法趨勢。百度公司董事長兼首席執行官李彥宏曾經指出,“中國的用戶在很多時候是願意個人隱私數據去換取更加便捷的服務。”這種以隱私換效率的行爲很多情況下是個人對個人數據的授權使用,允許數據驅動企業對其個人信息進行收集、存儲、使用等,一方面有利于促進數字貿易的發展,但不斷出現數據驅動企業隱私泄露的現象,也反映了這一問題的嚴重性。因此,爲了推進信息數據的流通必須從多角度出發實現個人隱私權利的保護。
(1)國家主導
國家在促進數字經濟發展和個人隱私權保護的進程中起著主導地位的作用。主要體現在立法與監管兩個方面:一方面,根據我國數字産業形成和發展的基本國情,以數據要素政策爲指導方針,推動整個新型法律體系的構建。數字經濟中的新型權利具有跨法律部門、多元特征混合、公法私法融合等特點,對于現行法律規範進行新型範式解讀,並進行相關修訂,如民法總則、刑法、消費者權益保護法、反不正當競爭法等,均在數據經濟形成、發展過程中進行了修訂;制訂新法保護新型權利,規制新型違法行爲,如電子商務法、網絡安全法等,爲數字經濟的發展保駕護航;制訂統一的個人信息保護法,作爲保護個人隱私權的基本法律,協調公法與私法領域內的各項法律規範的銜接與適用。“制定法權威性、強制性與普遍適用性等優勢是自律貴方等非正式制度無法企及的,它能夠爲機構和個人建立穩定的預期從而更加有效地規制其行爲。”我國數字經濟正處于的高速發展初期,更需要把握住國家的立法趨向,個人信息保護與數據貿易發展的平衡才會有堅實的制度保障。
另一方面,法律的有效性體現在法律的有效實施上。不論歐盟模式還是美國模式,個人對于個人信息的保護核心均在于信息主體對于自己信息的控制權,包括知情權、修改權、刪除權、可攜帶權、被遺忘權等。只要個人信息保護法加以明確規定,權利主體就享有這些具體的控制權利。基于民事權利的性質,主要的保護手段是事後救濟以及相應的侵權賠償,責任形式只能是諸如停止侵害、排除妨礙、消除危險、賠償損失、消除影響、恢複名譽、賠禮道歉等民事責任,並且需要進行有效舉證。但是在數字時代,這種事後救濟機制既無法預防泄露、濫用個人信息行爲的發生,也無法有效懲罰、威懾違法者。國家有義務建立有效的事前、事中監管與行政執法制度,比如,可以在事前監管中,以科技手段監管科技行爲,充分利用區塊鏈等科技特性,建立新型監管模式。另外,除一般的民事侵權行爲,依靠民事侵權賠償機制達到保護私權利的目的,也可以在公法權利框架之下構建監管機制,有效預防損害的發生,保護公民所享有的權利。
同時,在全球數字經濟一體化背景下,國家政策、法律的制定有利于提升國內的數據保護標准,對數據驅動企業的境內外業務的發展起到推進作用,更好地參與國際合作,有助于提升我國的國際地位,掌握主導國際數據貿易規則的話語權。
(2)企業自律
企業在數字經濟生活中發揮著難以替代的作用,它們是促進數字貿易發展的主力軍,在塑造新社會規範。在隱私泄露的案例中,企業多爲案件的責任承擔者,因此在數據流通與個人信息保護平衡方面,企業需要增強自身數據合規意識。網絡安全法第42條規定了企業未經被收集者同意,不得向他人提供個人信息;經過處理無法識別特定個人且不能複原的不屬于限制範圍。也就是依照現有法律,經過匿名化處理的數據其實是可以交易的,因爲這時已是商業化的數據,不再涉及個人信息。與分散的傳統線下交易不同,互聯網平台天然地伴隨著“規模效應”,其帶來的是效率的提升與壟斷的靠近。隨著數字市場的優勝劣汰,少數數據驅動企業平台占據了市場的絕大多數份額,如百度、騰訊、阿裏巴巴等,這些超級平台具備了強勢的市場支配地位,以排他性競爭、差別待遇等行爲,采用數據驅動型策略獲取和維持競爭優勢。伴隨數據經濟擴張趨勢,大企業越來越大,控制過多消費者日常活動的個人數據,各類企業間的合並也可能導致個人數據被動流出。長遠來看,增強企業保護個人隱私的意識有利于企業自身的利益發展,只有尊重用戶隱私權的企業可以獲得用戶的支持,從而使該企業可以獲得源源不斷的數據,不論是數據儲備量還是數據技術的創新發展都會有支持來源。另外,加大企業違法成本,強化其違法獲取、使用或泄露個人隱私數據時的法律責任。這樣一方面以國家強制力保障法律的實施,一方面由企業自身通過風險合規機制,構建內部的數據流通管理風險控制,與外部的法律規範形成內外的有機統一,以彌補國家法律實施過程中所缺乏的靈活性與具體性。企業的自律,是保護個人隱私權的必不可少的堅實後盾。
(3)個人參與
個人是數據的來源,是數據驅動企業進行算法識別的數據提供者,是國家制定數據政策、數據法律提供數據規制的權利主體。提高個人的隱私保護意識能夠提升數字經濟的高質量發展,有助于數據要素市場在完善過程中找到最能實現各方利益均衡的平衡點。目前,個人對于個人數據隱私維權的意識淡薄,隱私泄露事件頻發,“數字畫像”、“大數據殺熟”、“廣告定投”等事件成爲網絡上的熱點,但很少有人願意拿起法律武器維護自己的權利。這與消費者在數據經濟中處于競爭鏈最底端的地位有關,與數字驅動企業相比,個人在收集證據、舉證能力等方面處于絕對的弱勢一方,所以很多情況下,類似案件都不了了之。另一方面,法律制度尚不健全,個人在使用網絡産品時,應該強化個人對本人數據的控制力,增加“同意”規則的授權難度。例如,GDPR對算法決策中的默認同意視爲無效、需要經過用戶同意才能與第三方共享數據等,用以實現個人對于數據的控制權。在進行數字經濟市場化配置時,個人數據要素區別于傳統要素資源的特點是虛擬化的要素更易泄露。我國在民法典以及陸續出台的個人信息保護法、數據安全法中,已經明確個人對于個人信息的控制力是個人信息保護制度中的關鍵環節,需要以法律進行規制。做好數據安全保護才能推動數據要素資源更有效配置,如果沒有對個人隱私數據的充分保護,就會導致市場失靈,市場配置資源就不能實現對數據要素的最優配置。
總體而言,我國的個人信息保護立法是以數據要素政策爲導向,實現綜合性、立體化的立法思路,爲了數據市場的完善必須實現個人隱私權利的保護。數字要素政策的提出對促進數字貿易發展和加強個人隱私保護提出了全新的理念和要求,在兩者之間找到一個平衡點,使得既能保證企業運用正常收集的數據開展商業活動,又能保護用戶的隱私信息不被泄露,保障其正當權利受到侵害時可以得到維權救濟,而平衡的實現需要由國家主導、企業自律與個人參與進行具體構建。基于“多元共進”立法趨向下的“兩頭平衡”立法模式具有鮮明的制度優勢,有利于統合現有法律,對個人隱私權進行符合中國國情的全方位保護。
上海市法學會歡迎您的投稿
羅培新:疫病境外輸入壓力日增,外國人可到中國免費醫療?國民待遇,絕不應等于“國民的”待遇
羅培新:“作業幫、題拍拍”等摧毀的,或許是我們最應珍視的價值
羅培新:醫護人員“集體放棄”抗疫補助?法理事理情理,理理皆輸
曾昕:論瑕疵股權的善意受讓
祝振偉 張帆:淺析上市公司越權擔保中“善”“惡”區分
賀強 錢晶:金融資産交易所管理規範之反思與完善
俞北瑜 趙步真:我國Bolar例外適用與生産經營目的之關系辨析
王讷敏:論互聯網分發、轉發新業態下服務提供商的救濟路徑