数据治理视角下的个人信息保护立法研究*
2021-01-06张晓新沙玉萍
张晓新 沙玉萍
(1.四川外国语大学图书馆 重庆 400031)
(2.四川师范大学图书馆 四川成都 610101)
1 引言
随着大数据、移动网络的持续纵深发展,个人信息及重要数据保护面临着新挑战。用户在利用网络及移动终端进行信息查询、资料下载、在线购物、线上缴费等过程中,容易产生个人数据泄露及隐私曝光等诸多问题,导致用户的个人信息权益得不到切实的保障。目前,我国互联网用户对个人数据保护立法的呼声日益高涨,根据我国首份《2018年网民网络安全感满意度调查报告》[1]显示,网民对当前网络个人信息保护状况的满意度较低,近五成网民认为不好,四分之一的网民认为非常不好。实际上,网络安全问题一直以来都是我国政府相关部门重点关注的议题。早在2015年4月28日,国家互联网信息办公室就曾发布《互联网新闻信息服务单位约谈工作规定》(2015年6月1日起实施),尝试约束互联网企业服务规范。工业和信息化部也曾在2018年1月就手机应用软件存在侵犯用户个人隐私的问题,相继约谈了百度、蚂蚁金服、今日头条三家互联网企业,在《网络安全法》《电信和互联网用户个人信息保护规定》等有关规定的比照下,指出这3家企业均存在对用户个人信息收集目的未明确告知、收集使用原则不明朗的情况,要求3家企业本着充分尊重用户选择权和知情权的原则,立即着手整改用户信息使用,并进行了监测和监督查处[2]。2019年1月15日中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,对APP过度收集用户个人信息的行为予以规范[3]。2019年7月,因违规收集个人信息,工业和信息化部约谈了18家互联网企业[4]。但现实中个人信息泄露问题仍有愈演愈烈之势,习近平总书记在2019年国家网络安全宣传周所作的重要指示中,明确强调了要保障个人信息安全,切实维护广大人民群众的切身利益[5],个人信息保护立法成为当前亟待解决的重要议题。
在数据治理能力越来越成为行业发展制约性因素的背景下,立法应顺应当前需求,涵盖个人信息及数据,形成立体化、多层级且高度兼容的法律保障体系。这个法律保障体系的核心机制在于从数据治理的角度,将个人信息及数据保护整合为一体,从而达到既能全面彻底地保障公众的个人隐私,又能最大限度为公众提供大数据时代的信息便利的目的。
2 开展个人信息保护的必要性
我国当前对个人信息及重要数据的立法保护研究,较多使用个人信息概念,多数法律条文没有对个人信息与个人数据作区分,也鲜少提及个人重要数据的保护问题。2012年,我国第11届全国人民代表大会常务委员会通过《关于加强网络信息保护的决定》,明确表示了国家保护“能够识别公民个人身份和涉及公民个人隐私的电子信息”,但对何种公民个人电子信息可纳入保护范围没有详细的规定,也没有针对电子信息做解释说明[6]。2013年,国家质量监督检验检疫总局与国家标准化管理委员会发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》(以下简称《个人信息保护指南》),是我国首个个人信息保护的国家标准,这个标准明确了个人信息分为个人敏感信息和个人一般信息,并列举式地将“敏感信息”界定为“一旦遭到泄露或修改,会对标识的个人信息主体造成不良影响的个人信息”。这些信息包括身份证号码、手机号码、种族、政治观点、宗教信仰、基因、指纹等,除了个人敏感信息以外的信息划入个人一般信息的范畴[7]。同年由我国工业和信息化部公布的《电信和互联网用户个人信息保护规定》第4条,明确“个人信息是指电信业务经营者和互联网信息服务提供者在提供服务的过程中收集的用户姓名、出生日期、身份证件号码、住址、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息”[8]。我国2017年6月1日实施的《网络安全法》定义个人信息为“以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”[9],还设置了诸多条款详细规定了企业、网络内容提供商、网络服务商对个人信息的搜集和使用,但对个人信息的界定不够具体,边界过于模糊,除未区分个人信息与敏感信息外,对个人信息界定的概括式列举方式,难以具备现实的指导意义。近期《个人信息保护法》(建议稿)第三条对个人信息的界定采用了与《网络安全法》一致的定义[10],但通览全部法规,未出现对个人信息及数据的界定和说明,这意味着在我国个人信息保护的立法过程中,尚欠缺对具体个人重要数据保护措施的具体探索。实际上,对个人信息进行类型化区分对法律实践具有重要意义,早年虽曾有学者提出个人信息保护法中不宜采用敏感个人信息概念[11],但目前更为通行的观点是认为我国未来个人信息保护法有必要对个人信息进行类型化区分,以实现信息保护与信息利用的更好平衡。有研究者就曾建议将健康信息、性生活和性取向、身份证件号码、金融信息、政治意见、通讯信息、基因信息、生物特征信息和精确地理位置列为个人敏感信息[12]。可见,就当前我国针对个人信息的立法讨论来看,由于个人信息法涵盖面广,且不限制于数字化、电子化的形式,明确区分个人信息的保护类型是大势所趋,立法探索应将个人信息保护扩展到个人数据层面。
从数据治理视角探讨个人信息保护的必要性体现在:①个人信息面临卷入大数据分析流程的极高风险。无处不在的移动互联网络让大众已习惯于网上购物、汇款、资料存储、信息查询、在线娱乐等行为,在使用这些网络服务的过程中,用户有意或无意存留的个人信息,包括主动提交的个人隐私信息、浏览及观看网页时候的浏览数据等,都会被搜集、存储在各电商平台、网络服务器上,数据从业人员通过对这些数据的分析、挖掘、整合,其结果可帮助企业提高营销效果和市场预测的精准度。这种规模化的数据处理容易造成个人数据流转的不可控风险,特别是包含个人隐私或重要价值的数据,如果不设置专门法加以保护,在当前的数据治理环境下,数据一旦传播,其流转和利用将不再受个人数据主体的控制,进而给个人带来巨大的风险。②个人信息保护立法中涵盖个人数据保护是维持数据开放共享及个人隐私保障的有效工具。数据具有潜力巨大的经济文化价值,因此推动数据开放共享是社会发展的时代需求,对个人信息及数据保护过度,会有损社会公共利益。当前个人数据保护和数据开放之间的平衡,是通过数据清洗和脱敏处理来维持的,原则是抹去个人数据中代表个人身份及隐私的成分。《个人信息司法解释》规定:“未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于《刑法》第二百五十三条之一规定的‘提供公民个人信息’,但是经过处理无法识别特定个人且不能复原的除外。”也即是说,可合理提供公民个人信息的方法有两个:一是经过用户同意,二是经过匿名化处理,即强调了匿名化过程之不可逆[13]。经过脱敏及匿名处理的数据,称之为“衍生数据”,这部分数据屏蔽了个人数据中最为核心的个人隐私,可广泛用于社会事务,如进行统计分析、科学研究、行业趋势预判、风险评估、市场预测等用途。同时,从数据市场的实践来看,“衍生数据”作为数据交易市场的交易对象,以及其本身的财产属性,具备成为数据权利化客体的条件[14],这就为个人信息及数据不应纳入大数据处理流程提供了法理上的契机。如此,也给数据控制主体和数据利用主体预留了足够的空间,从而有利于规范有序的数据市场形成。
3 数据治理背景下我国个人信息立法保护困境
3.1 立法前景尚不明朗
我国针对隐私权或个人数据/信息的立法进程缓慢,直到2001年《关于确定民事侵权精神损害赔偿责任若干问题的解释》中,才首次提出将公民隐私作为独立保护对象,2017年出台的《民法总则》第一百一十一条方宣告“个人信息受法律保护,任何组织和个人需依法获取他人个人信息”[15],但未制定具体规则措施,也未提及个人信息类型。
因此我国目前个人信息及数据立法的不确定性体现在:首先,缺乏有关可参照的上位法。高位阶个人信息保护法的缺失,使得各部门、各类型的个人信息/数据保护立法难以系统性、全方位地设立。其次,大数据时代,个人信息保护领域存在隐私与敏感、信息与数据等诸多概念混用的情况,且这些概念的内涵和外延大都存在交叉重复,一定程度上也加深了个人信息及数据立法保护的难度。最后,由于立法探讨应具有相当程度的前瞻性和预见性,且还应该具备一定的弹性空间和兜底条款,而飞速发展的信息科技革命,使得立法的滞后性更为凸显,无疑为个人信息及数据立法增加了新难度。
3.2 法律条款在执行过程中难以完全落实到位
鉴于我国尚未出台个人信息保护的专门法,当前涉及个人数据隐私安全等互联网法律纠纷主要根据现行部门行政规章、《民法总则》以及《网络安全法》等相关规定执行判决。但在实际执法过程中存在以下难题:(1)监管机构不明确,执法标准不一。遵照现有的个人信息保护体制,各类法律法规的发布主体就有商务部、信息部、电信部等各种政府机构部门,存在零散和碎片化的特点,造成执法过程中的混乱状态。尤其网络空间中,其主体治理模式是由多个执法部门参与的“分段监管”,网信部门、电信部门以及公安部门各自履行其独立职责[16],在具体的法律实务中,即使是针对同一个体的信息和数据,其涉及信息类型的差异都会导向不同的犯罪结果。例如,窃取用户个人社交账户的内容,牵涉到公民个人隐私权;侵入用户银行账户信息并进行篡改等,则涉及到金融犯罪;若个人数据中有涉及到国家安全的商业机密、科研数据,更会触及到国家信息安全防护层面。因此,合理有效地确保执法效果和效率,首要的问题在于明确执法主体,这是个人信息保护执法面临的第一重困境。(2)公民个人举证不力,诉讼困难。从个人信息保护实务来看,目前公民遭受个人信息侵权主要依赖公民自觉举证为主,但受技术、经济、身份权限等现实条件的限制,公民往往难以有效搜集证据,且网络信息不同于难篡改、易鉴定的传统证据,通过技术手段可将网络信息随意删除、修改,从而给侵权认定带来了困难[17],这为执法效率的提高又添加了一重难度。
3.3 缺乏完善的个人信息及数据分类机制
欧盟《通用数据保护条例》通过设置“引发高风险的行为”等不同场景中的处理方式,将风险按大小分为高、中、低三个等级,为“可能引发高风险的行为”规定了额外的增强性义务,为风险低的数据处理行为豁免部分义务[18]。我国目前没有个人信息及数据保护方面的法律条规区分各方主体的权利及义务,个人信息及数据的范围和边界也很模糊,缺乏具体的针对个人信息及数据的分层级风险评估,以及数据分类型保护措施。
4 关键问题
从数据治理角度开展个人信息保护立法,应着重考虑以下关键问题。
4.1 个人信息立法保护应拓展为个人信息及数据立法保护
个人信息内涵和外延均远远大于个人数据范围。随着大数据分析应用的普及,数据被开发、复用、流转的概率增大,过于宽泛的个人信息保护法不足以适用数据环境下的个人信息及重要数据保护。从物理技术层面来说,网络空间中的数据只是一种以二进制手段存储的客观字段,难以直接移植现有的法律进行制衡,数据的无形性、可复制性、不唯一性等特点造成了数据的权利化困境。网络法学的奠基者莱格斯就探讨了网络法治的特殊性,提出在现有法律不能有所作为时,可依靠代码规制网络空间中的隐私保护问题[19]。但也需要注意,若脱离了现实民法的人格或个人信息保护这一目的,数据在民法上始终缺席,没有正式进入民法的理论视野[20]。从立法的全面性和体系化角度,依赖于现有的法律体系不能有效保护网络环境下的个人信息,而是需要从广度和深度都加以着手,将个人信息与数据保护结合起来,兼顾一般与特殊。
4.2 重视个人信息及数据立法中的自然人特性
自然人是法学领域中与法人相对的重要概念,是指基于自然规律而出生和存在的个体,法律赋予自然人享受民事权利、承担民事义务的资格。个人信息及重要数据保护的主体应有明确对象,我国《个人信息保护法》(学者建议稿)第一条立法目的表述为:“规范个人信息的收集、处理和利用,保护自然人个人信息权以及其他合法权益,促进个人信息的合理利用,规范个人信息跨境传输”[21],强调了对个人信息保护的主体为自然人,不包括法人或法人组织,意味着个人信息法的赋权对象是针对具有民事权利的自然个体,具备广泛性和平等性的特征。但个人信息保护领域仍然有以公民身份为标的的立法尝试,如2012年第11届全国人民代表大会常务委员会30次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》,就规定了“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”[22],使用了不同于自然人的表述,意味着在当前的立法实践中,还没有确立下来以自然人为个人信息或数据主体的规范。
个人信息及数据立法保护,是自然状态下的个体所拥有的民事权利的体现,将个人信息保护的主体界定为自然人,是保证自然人对自身信息处理权利的天然诉求。有学者论证了德国和我国台湾地区的个人数据、个人资料保护法,归纳出个人数据权的人格权属性已被广泛认可[23]。我国个人信息及数据立法应明确规定自然人对其自身信息和数据拥有主体权利,因为,从“人”的个体性与多样性来说,个人信息及数据的自主权是独立自然人最为核心、最为隐私的安全需求,不应受个人所属社区、团体、宗教等限制,法律所称个人数据权利,应为每个自然人平等拥有。被称为史上最严个人数据保护法的《通用数据保护条例》(General Data Protection Regulation,简称GDPR),也明确了“个人数据”指的是任何已识别或可识别的自然人(数据主体)相关的信息。我国现阶段个人信息及数据立法,将个人数据主体限定在自然人范围,既是推进个人信息立法的关键步骤,也是从法理上确认个人数据主体权利的必要前提。
4.3 个人信息及数据分级分类保护
个人信息及数据保护是明确构建个人数据权属框架的核心基础,可帮助确立数据治理过程中的多方数据主体身份。举例来说,针对特定人群的个人信息及数据界定,可在产生数据权属纠纷时,帮助法官判断所调用数据是否适用于合理使用。不适用于合理使用的数据内容,根据特定人群的数据分级分类标准,可依法征求数据主体(当数据主体为未成年人时需要获得其监护人的授权)的同意或许可,尤其在涉及到多元数据主体权属纠纷时,明确的数据权属机制可高效地裁定各方权利义务。
为了便于立法,建立清晰的法律体系,个人信息及数据类型可划分为:(1)个人基本信息:属于自然人拥有的可向社会公开的信息,包括国籍、姓名、职务、年龄等,这部分信息因个体的差异,与个人敏感信息之间存在一定的转换关系,如从事特殊工种的群体,其职务可能需要保密,有的社会名人如流量明星可能不愿公开实际年龄等。(2)个人敏感信息,包括以下几个大的类别:①人事身份的管理数据,包括身份证号码、个人档案、社交账号、电话号码、住址等;②疾病医疗的健康数据,包括个人的生物信息,如基因、血型、指纹、声音特征等;③公民个体的商业金融交通旅游活动基本数据,如固定资产、银行账户、债券交易等信息。(3)个人重要数据:①未披露的科研数据:包含未发表的科研数据、读者个人借阅数据、未使用的科学实验、调研分析及科研产生的数据、版权保护期内的学位论文数据等;②基于主管领导班子及其成员的民主评议数据、绩效考核评价数据;③不适合公开的项目申请、版权申请、专利申请、商标注册、科技成果转化、技术转让、作价投资等智力成果专有数据;④不适宜披露的服务工作数据,包含高校学科竞争力对标分析数据、知识产权信息服务数据、委托性技术咨询服务报告数据等。
不同类型的个人信息及数据采取不同的保护标准,一般而言,个人基本信息可视作个人愿意公开的信息,是个体参与社会生活的基本条件,对这部分信息设置一般保护标准即可。个人敏感信息涉及到公民极为重要的个人隐私部分,对这部分信息需要设置极高的保护标准,包括访问权限控制以及个体主动进行修改访问范围的权限。在这样的保护机制下,当第三方需要访问个体敏感信息时,个人信息管理平台需要审查第三方身份,同时将结果告知个人信息主体,由个人信息主体决定是否允许第三方访问其个人敏感信息,达到切实保护个人敏感信息的目的。对个人重要数据的保护牵涉到多方主体利益,因此需要采用更为严格的信息保护手段,采取诸如水印隐藏及溯源相结合的技术来隐藏和追踪个人重要数据[24],进而对个人重要数据提供技术保护。构建完备而立体的个人信息及数据分级分类保护机制,才能有效应对当前错综复杂的个人信息保护需求。
4.4 个人信息及数据立法应警惕数据治理中的“算法陷阱”
大数据技术应用回归、聚类、关联等分析算法,从海量数据中挖掘出蕴含潜在价值的信息,用于决策支持、市场营销、广告投放等过程,是数据体现市场价值的常规手段。但现实中,如果过分依赖于大数据算法,容易陷入“算法陷阱”,从而造成个人数据孤岛效应。
2019年9 月国家互联网信息办公室就《网络生态治理规定(征求意见稿)》向社会公开征求意见,第15条就针对算法推荐的效应,规定了“网络信息内容服务平台采用个性化算法推荐技术推送信息的,应当建立体现主流价值导向的推荐模型,建立健全人工干预机制,建立用户自主选择机制”[25]。因此,在个人信息及数据立法实践中,必须警惕随着大数据效应而来的算法循环,特别在针对未成年人的服务中,如果任由大数据分析结果对未成年人采用既定的推送服务,将从根本上忽略了未成年人未来发展的不可预测性,进而为文明发展带来不可估量的损失。
在个人信息及数据立法实践中要做到合理规避“算法陷阱”,需要严格控制个人信息及数据中的敏感部分进入大数据分析流程,换言之,现时的个人信息及数据立法探讨中,既要时刻准备转型以迎接大数据时代的思维和运营模式,也要随时警惕由此带来的个人隐私边界和伦理界定之争,进而为公民的全面自由发展提供坚实的保障。
5 结语
在我国加速助推大数据产业、移动互联网发展的时代大背景下,构建合理有效的个人信息及数据立法机制是推动社会健康发展的有效保障。从数据治理的角度来探讨个人信息及数据立法,可避免引起技术对自然“人”这个权利主体的过度侵犯。大数据思维应该建立在以“人”为主体、“数据”为客体的基础上[26],数据只是个人信息的特殊载体形式,从数据治理的角度来探讨个人信息保护,是大数据时代的特殊需求,也是现阶段切实有效地构建个人信息保护机制的必要路径。
