探索个人数据保护的中国方案*

2021-04-04王融

信息安全与通信保密 2021年2期

王融

（腾讯研究院，北京 100080）

0 引言

2020 年10 月21 日，《个人信息保护法(草案)》（以下简称草案）在中国人大网公布，公开征求社会公众意见。这部法律关系到数字化时代每个个体的生活安宁，个人在享受数字服务带来的生活便利的同时，其个人信息权益也要受到法律保护；同时，这部法律也关系到我国数字经济健康发展。当前，数据已经成为新兴的生产要素，个人信息中蕴藏着巨大的经济价值，需要通过立法建立权责明确、保护有效、利用规范的制度规则,在保障个人信息权益的基础上,促进信息数据依法合理有效利用。

草案的具体制度借鉴了国际上个人信息保护制度领域的一般做法。但结合我国实际国情和现有法律制度，为落实个人权利保护与促进数字经济发展，草案相关制度仍有深入讨论和不断完善的空间。

1 数据利用与个人信息保护并非二元对立

当前，围绕制定个人信息保护法的讨论核心议题是平衡“两种利益”：一是促进基于数据的创新应用，在此方面，我国已经走到了世界前列，中央文件明确将数据上升为生产要素；二是个人利益保护，关注数字经济高速发展伴生的“负面阴霾”，包括数据泄露、滥用、自动化决策对个人基本权益的负面影响。

但讨论似乎往往陷入“利益的二元对立”困境，比如向个人信息保护倾斜是否会损害创新发展？创造更为宽松法律制度时，伴随的风险是否也会增大？在以政府为主导的数据处理中，如果赋予政府更多的数据处理权力，公民个人权利是否会没有保障？显然，个人信息保护制度设计并不是如此简单的二元选择，特别是当前围绕数据政策讨论的历史背景正在发生巨大变化，从传统单向的、静止的“个人信息保护政策”向多维的、互动的“数据治理”政策框架转变。换言之，未来将制定的个人信息保护法中的“利益平衡”，不是二元对立，而是共生共存，相互促进，并在互动的过程中形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。

这些复杂因素代表了从三种视角出发的利益诉求：第一，从个人视角出发的权利保护诉求；第二，从产业视角出发的创新、发展、竞争需求；第三，从国家视角出发的数字经济国际竞争力和数据主权安全需求。

以上三种视角并非孤立存在，而是彼此紧密联系、互动影响。如果立法的目标是更好地保护用户的权利，那么在市场中应当形成一种健康的良性机制，使得对隐私保护更友好的企业能够在市场上被用户更多地选择，从而更好地发展。而如果离开了产业发展，国家的数字利益也无法得到根本保障。欧盟是一个鲜活的例证，再严厉的数据法律制度，如果没有产业支撑，数据主权安全和数字竞争力几乎是一场空谈。

2 制定个人信息保护法对数字经济健康发展带来充分利好

如前所述，个人信息保护法制度讨论的出发点并不是二元对立，从长远发展来看，个人信息保护法的制定给数字经济产业的健康发展带来充分利好。

2.1 有利于通过法律制度保障，帮助数字产业建立消费者信任

我们生活在一个由数据驱动的技术变革时代，数据的处理越来越深入。享受数字化技术便利的每位个体，也在为无所不在的数据处理感到深深不安。从移动互联网、物联网、无人驾驶、面部识别，到可穿戴设备、智能家居、医疗监测器械，数据驱动的创新背后，人们担忧物联网设备的秘密记录，无意中健康信息的暴露，超出消费者授权的个人数据共享、信用卡欺诈、安全风险、名誉损害，以及对他们生活中的隐私细节的无端入侵[1]。重建消费者的信心与安全信任，是数字时代的核心问题之一，而法律制度本身无疑是解决方案的重要组成部分，例如：以欧盟GDPR 为代表的个人数据保护制度促进了合规与隐私文化的发展，在重塑数字信任方面发挥了重要作用[2]。

2.2 有利于在复杂的数据处理生态中，创建权责明确的数据保护秩序

伴随数据处理场景的复杂化，数据在不同机构、平台的流转日益频繁，形成复杂的处理生态[3]。通过法律制度，明确在数据处理不同环节，不同主体的法律责任，有利于建立权责明确的数据保护秩序。在典型的云计算市场中，云计算服务提供者在绝大部分场景下，作为数据处理服务的提供方，其根据与客户的数据处理协议，提供数据安全处理保障。而云服务的客户则需要承担更多的合法性义务，如确定数据处理的合法性理由，对接所服务的最终个体用户的权利保障体系。例如《欧盟数据保护通用条例》（GDPR）中提出的“数据控制者”和“数据处理者”的合规主体二分法就是典型代表。权责明确的数据安全保障秩序，最终能够促进整个生态的健康繁荣。

2.3 有利于与国际规则接轨，提升国家与企业形象，助力企业走出去

建立个人数据保护基本制度是近年来国际社会完善数据治理制度体系的主要趋势之一。《个人信息保护法（草案）》明确将国家机关纳入规制范围，规定国家机关处理个人信息同样适用草案规定，此规定具有重要意义。

在2020 年的“疫情”大考中，“健康码”的应用，显著提升了政府的数字治理水平，但这种以政府为主导的大规模数据处理活动，同样需要制定一套法律制度来规范。在服务型政府以及智慧城市建设的背景下，政府将成为最主要的数据处据机构，更加凸显了制定个人信息保护法的必要性。个人信息保护基本法律规则的建立，有利于我国与国际通行规则接轨，提升国家与企业形象，助力企业海外发展[4]。

3 精细科学的政策平衡

在探索个人信息保护以及更为广泛的数据治理政策框架的道路上，并没有万能的标准答案。欧盟GDPR、美国加州CCPA，也是依据本地区的政治、文化、产业发展基础，量身定制的制度方案。同样，今天我们需要勾勒自己的“中国”方案。结合草案相关制度，以我国实际国情和现有法律制度基础，为落实个人权利保护与促进数字经济发展，笔者提出如下建议：

3.1 进一步完善个人信息的定义

对于个人信息的称谓，各国家和地区个人信息保护法规中有个人数据、个人隐私、个人信息等不同的表达。例如，我国台湾地区采用“个人数据”，欧盟及其成员国使用“个人数据（Personal Data）”，日韩采用“个人信息（Personal Information）”，而美国多用“信息隐私（Information Privacy）”概念[5]。

个人信息的定义是个人信息保护法的核心，决定了未来个人信息保护法的保护范围。对“个人信息”进行科学合理的界定对于法律的适用至关重要。过窄的范围无法充分保护信息主体的合法利益，而过宽的范围也将使得法律难以有效实施。从2012 年的《关于加强网络信息保护的决定》，到《网络安全法》，再到近期出台的《民法典》人格权编，我国现有法律对于个人信息的定义一直坚持着“识别”标准。“可识别性”认定标准也是世界上许多国家个人信息保护立法所采取的标准[6]。“可识别性”与“身份关联”是区分个人信息的两个要素，这是整个制度逻辑的出发原点。

3.2 明确和完善个人信息处理的合法性基础

草案适用的主体不仅包括企业，也包括决定和参与个人数据处理的任何个人、机构，涵盖了政府部门、公共机构和私营实体。因此，考虑到数据处理的多种可能场景以及与其他正当利益的平衡，除了数据主体的同意之外，草案还规定了五类处理个人数据的合法基础。结合实践，可以进一步增补其他数据处理的正当场景，例如借鉴欧盟GDPR 中基于数据处理者或者其他第三方的正当利益的情形，包括：以预防欺诈为目的，出于保障网络信息安全而进行的数据处理活动，以及历史统计、科学研究等数据处理活动，在不侵犯他人个人信息权益的基础上，可以开展相应数据处理。

3.3 区分“数据控制者”与“数据处理者”

在受规制的法律主体方面，建议能够区分“数据控制者”和“数据处理者”，并基于不同主体，建立相应的法律义务体系。目前，区分“个人信息控制者”和“个人信息处理者”主体概念已成国际通说。国外如欧盟等立法中也广泛采用“个人信息控制者”“个人信息处理者”的概念。新加坡《个人信息保护法》虽然没有直接采用前述两个概念，但是也区分了组织（organization）和数据中介（data intermediary），数据中介是代表组织处理个人信息的主体。香港《个人资料（隐私）条例》正在进行修订，以进一步明确 “在资料使用者直接控制下收集、持有、处理或使用有关的资料的主体”的法律地位和责任。国家标准《信息安全技术个人信息安全规范》等也明确使用“信息控制者”概念。明确区分法律主体和相应的法定义务，有利于建立起权责明确的数据保护秩序。

3.4 细化对算法与自动化决策的规制

算法支撑下的自动化技术，在越来越多的产业实践中得到广泛应用。例如在电子商务、广告营销、新闻资讯等各类服务中，绝大部分都实现了基于数据和算法的个性化服务，实现供需方的高效匹配，帮助消费者快速从海量商品信息中找到所需商品和信息，也有利于中小企业获得更多的曝光展示机会并得以发展。因此，对于这一极具发展潜力的新技术新业务应用，不宜在立法中通过一刀切的方式，强制回退到统一服务模式。

欧盟GDPR 将其所规制的自动化决策明确限定在对个人产生法律意义上的重大影响的算法领域，如信贷资格获取、教育入学资格评价等，在这些领域赋予了用户提出异议的权利，相关数据处理者应当对所应用的算法做出合理解释[7]。规制要求并没有广泛扩展到所有使用个性化算法的其他领域，例如对于商业营销、信息推送等一般场景，并没有做出特别的规范[8]。

3.5 进一步协调行政监管体制

草案建立了个人信息保护监管体制。除了具有协调统筹职责的网信办外，具有个人信息保护职责的各领域、各行业主管部门，如工信、公安、市场监管总局，央行、教育部、交通部、卫健委、文化与旅游部、国家邮政局、商务部、人力资源和社会保障部等众多部门均具有相应监管职责。监管部门较为分散，且纵向延伸至县级以上部门，这与以信息网络为载体的跨地域数据处理活动并不相适应，可能带来较为复杂的属地管辖冲突问题，需要加以协调。