个人数据保护全球融合的趋势与挑战
2021-12-04邵国松
邵国松 黄 琪
(1.上海交通大学媒体与传播学院,上海 200030;2.四川大学文学与新闻学院,成都 610064)
一、两大个人数据保护体系
一般认为,个人数据保护有两个理论来源,一个是欧盟基于保护人之尊严的数据保护理论,一个是美国基于保护个人自由的隐私理论。(1)Reidenberg J R.Resolving Conflicting International Data Privacy Rules in Cyberspace[J].Stanford Law Review,2000,52:1315-1372.在这两种理念下发展出的数据保护体系,已成为当今世界的两大主流保护模式,共同影响着国际社会个人数据保护规则的形成与演变。
(一)欧盟个人数据保护体系
欧盟的个人数据保护体系发轫于一个国家的州级法律。1970年9月30日,联邦德国黑森州议会在威斯巴登颁布了世界上第一部信息隐私法。随后,联邦德国其他各州和欧洲其他国家也陆续颁布了类似的数据保护法规。1980年,欧洲委员会通过了《个人数据自动化处理中的个人保护公约》,该公约为世界上第一部关于个人信息保护的国际公约,旨在保护包括隐私权在内的个人基本权利与自由。
1995年,欧盟颁布《数据保护指令》(Data Protection Directive,以下简称DPD),为个人数据保护提供了全面的规范。DPD的目标主要有二:一是要求成员国保护公民的基本权利和自由,尤其是保护有关个人数据处理方面的隐私权;二是促进个人数据在成员国内部或成员国之间的自由流通。(2)Schwartz P M.The EU-U.S.Privacy Collision:A Turn to Institutions and Procedures[J].Harvard Law Review,2013,126:1966-2009.个人数据在此被界定为“与一个身份已被识别或可被识别的自然人相关的任何信息”。DPD为各成员国制定了一系列有关个人数据保护的基本规范。这些规范主要涉及数据主体的权利与数据控制者的义务两个部分。数据主体的权利包括:接触的权利;更正、删除或封存个人数据的权利;反对的权利。数据控制者的义务包括:数据质量原则;数据处理的合法原则;敏感数据的处理原则;告知当事人原则;设置数据保护专员。在国家层面上,DPD要求成员国必须成立一个或多个数据保护机构,对所辖范围内企业数据保护法的履行情况进行监督。该机构必须具备完全的独立性,对涉嫌违反个人数据保护法的公共或私营机构具有调查、行政干预、提起法律诉讼等权力。此外,DPD还对将个人数据转移或传送至第三国的情形进行了特别规定:除非该第三国对于个人数据进行了充分程度的保护,否则将不被允许。值得一提的是,这些规范只是欧盟为成员国设置的最低标准,成员国可根据本国情况制定更高标准。
到了2012年,为应对全球化和信息技术快速发展所带来的挑战,欧盟重新审视了先前的个人数据保护框架,制定了更具包容性、更具法律效力的《数据保护通例》(General Data Protection Regulation,以下简称GDPR)。该通例于2018年5月25日开始实施。DPD对成员国没有直接约束力,需要各国通过国内立法将其有效化,这也导致各国数据保护实践的较大差异。制定GDPR的一个重要目标就是将成员国数据保护的不同法律法规统一起来,并将此法律直接运用到各成员国(无须通过国内立法)。此外,GDPR扩大了数据保护的领土范围,除了欧盟范围内的适用,还适用于数据主体在欧盟境内,但是控制者不在欧盟境内,而在欧盟境内向数据主体提供产品或服务的数据处理活动的情形(即所有向欧盟居民提供产品或服务的企业)。与DPD相比,GDPR还涉及以下一些重要变化:增加了数据控制者的义务;扩大了数据主体的权利;加大了对违法行为的惩罚。(3)邵国松.网络传播法导论[M].北京:中国人民大学出版社,2017:207.
论者指出,本着保护人的尊严的目的,欧盟个人数据保护体系的发展主脉络是将个人数据保护作为一项独立的基本权利来加以保护。该体系对数据处理的所有关键环节都加以严格规制,其保护之严密与全面,可被认为是精心设计和打造的结果。但能否达到其期待的规制效果,对数据产业和经济发展是否存在负面影响,还有待研究。
(二)美国个人数据保护体系
在美国,与个人信息有关的权益保护主要处于隐私保护范畴,从而发展出发达的隐私权保护体系。美国法中的隐私概念含义相当广泛,强调个人自由,除非为了公共利益,个人事务自决,免受非法打扰。(4)高富平.个人数据使用合规:现行规则检讨与建议[EB/OL].(2017-08-31)[2019-11-12].https://mp.weixin.qq.com/s/ytyqwzySPl_pnSJ4WXn1Aw.
1974年的《隐私法》是美国唯一一部保护信息隐私的联邦立法。尽管该法的标题看似宽泛,但只适用于联邦政府对个人数据的处理,对于州政府或私营部门则无约束力。它规定了美国政府机构在收集、储存、使用公民个人信息时所必须遵守的规则。比如,没有当事人的书面允许,政府机构不能向任何人或机构泄露任何当事人的有关信息。当事人有权向行政机关提出要求,看他们究竟收集了自己什么样的信息。如果这些信息不准确,政府机构需要根据本人的合理要求给予更正。任何采集、保有、使用或传播个人信息的行政机关,必须保证该信息可靠地用于既定目的,合理地预防该信息的滥用。由于美国实行联邦体制,该法并不适用于各州,绝大多数州缺乏综合性的隐私法案,而是提供适用于特定领域或关注点的零散法规,比如“获取教育记录和虐待儿童数据库”的规定。(5)Shaffer G.Globalization and Social Protection:The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law,2000,25:1-88.除了联邦政府就某些特定问题规定的立法外,各州法律几乎没有统一之处。虽然美国宪法的一些条款对州和联邦政府官员的行为提供了一些隐私保障,但其覆盖范围相当有限,而且只适用于政府行为,而非私人行为。
对于商业机构收集和使用个人信息,美国目前采取的是分散立法模式,即对特定信息领域进行专项立法保护,主要包括《公平信用报告法》《健康保险携带和责任法》《儿童网上隐私保护法》等,分别针对个人信用信息、医疗信息和儿童个人信息等敏感领域。这些分散式立法对于保护特定领域的个人数据起到了关键的作用,但还有更多的数据游离于这些法律的管制之外,因此需要其他方式加以补充,比如美国特别强调的业界自律模式,包括但不限于建议性行业指导、网络隐私认证、技术保护模式、隐私政策声明等。(6)邵国松.网络传播法导论[M].北京:中国人民大学出版社,2017:202-204.论者指出,业界自律可以最小化政府对企业的干预,这与美国的自由主义经济模式一脉相承。
另外,美国联邦贸易委员会(FTC)在数据保护方面扮演了相当重要的角色。它不仅能弥补分散式立法的缺陷,而且能和业界自律进行无缝对接,促使业界真正履行隐私保护的承诺。表面看来,FTC有可能沦为“橡皮图章”式的执法机构,因为其执法资源有限,缺乏民事处罚手段,罚款权限也相当有限,但FTC对违法机构的审查相当漫长,大多数公司都会不堪其累,这就是FTC能对美国公司产生巨大震慑力的主要原因。(7)邵国松.网络传播法导论[M].北京:中国人民大学出版社,2017:204.比如,2019年,Facebook因未经用户授权将用户信息泄露给第三方,并通过带有欺诈性的设置和描述,从而被FTC罚款50亿美元,可谓史无前例。这一事件也象征着FTC在隐私与网络安全方面监管公司的重大变化。面对FTC的调查,大部分公司都会接受调解,这样一来就无须承担法律责任,无名誉受损之风险,也不会遭遇高额罚款。但是若接受调解,公司就必须接受“同意令”(consent order)。同意令的内容主要包括:禁止犯同样的错误;罚款;告知用户(甚至进行赔偿);删除或禁止使用数据;完善隐私保护政策;建立全面的隐私保护体系;同意接受独立第三方的合规评估;定期向FTC汇报等。这就被监管机构上了一道紧箍咒,使其谨慎从事,竭力做好数据安全和隐私保护工作。
二、个人数据保护体系全球融合的趋势
如上所示,欧盟与美国分别采用不同的数据保护模式,相较于欧盟更多的依赖政府监管,美国则更强调业界自律和市场机制。不同体系之间的碰撞与冲突在所难免。虽然欧洲数据处理市场基本上被美国垄断,但欧盟庞大的优质消费者市场以及引领国际规则制定的能力,为欧盟提供了相当大的谈判筹码。(8)张金平.欧盟个人数据权的演进及其启示[J].法商研究,2019(5):182-192.两大体系的本质差异迫使双方就数据跨境流动等问题进行了一系列的调和,以避免横跨大西洋的贸易战争。这种调和促进了两大体系的融合,并影响到全球数据保护体系的走势。
(一)欧美数据保护体系的融合趋势
1.GDPR出台之前
在GDPR出台之前,DPD第25条所要求的“充分保护水平”一直是美国互联网企业的心病。如果达不到这一数据保护要求,美国企业就难以实现与欧洲之间数据传输的畅通性与便捷性。安全港协议(Safe Harbor Rules)、标准合同条款(Standard Contractual Clauses)、约束性公司规则(Binding Corporate Rules)等协议和规则的出台则大大缓解了这一矛盾。
安全港协议是美国和欧盟于2000年12月达成的协议,用于调整美国企业出口以及处理欧洲公民的个人数据。根据协议,收集个人数据的企业必须通知个人其数据被收集,并告知他们将对数据进行怎样的处理,企业必须得到允许后方可把信息传递给第三方,必须允许个人访问被收集的数据,并保证数据的真实性和安全性,以及采取措施保障这些条款得到遵从。安全港协议的目标是确保美国企业在达到欧盟较高保护标准的同时,维持美国长久以来一直采用的业界自律机制。安全港协议并非没有漏洞,但人们普遍认为它为解决欧美冲突提供了一个合理的、现实的选择,可被称为隐私法的“软”协调。(9)Swire P P.Elephants and Mice Revisited:Law and Choice of Law on the Internet[J].University of Pennsylvania Law Review,2005,153:1975-2002.
欧盟委员会还在2001年6月和2004年12月相继通过了两套适用于数据控制者的标准合同条款,另在2010年2月通过了一套适用于数据处理者的标准合同条款。(10)详情参见欧洲委员会关于标准合同条款的介绍:https://ec.europa.eu/info/law/law-topic/data-protection.其目的在于通过在数据转移双方的合同中纳入标准合同条款,将DPD规定的法定义务和责任转化为合同义务和违约责任,尤其是转化为合同双方对作为第三者的数据主体的合同义务和违约责任,然后通过纳入争议解决及法律适用等条款,来确保数据主体的权利落到实处。(11)冯坚坚,袁立志.标准合同条款:欧盟个人数据出境的常规路径之一[EB/OL].(2018-06-22)[2019-12-06].https://mlaw.wkinfo.com.cn/professional-articles/detail/NjAwMDAwMzI3MDY%3D?module=.标准合同条款虽然是数据转移双方之间的合同,但重点却是数据主体的权利及其保护机制。标准合同条款不仅简化了企业制定数据传输协议的过程,也简化了数据保护委员会对内部隐私程序的识别。这对于欧美双边企业之间的数据便捷传输无疑都是有利的。
此外,欧盟数据保护机构第29条工作组(12)第29条工作组(The Article 29 Data Protection Working Party)为欧盟数据保护权威机构,是一个独立的欧洲顾问机构。根据GDPR规定,第29条工作组将由新组建的欧盟数据保护委员会(EDPB)替代。在2003年公布了所谓的约束性公司规则,这是有关在公司实体或集团内进行国际数据传输的协议,获得欧盟认可。协议规定,如果传输涉及特殊类型数据,数据主体有权被告知,或者在向非充分保护的第三国传输前被事先告知;针对欧盟境外的数据处理疑问,数据主体应有权在合理时间内获得答复等;跨国公司、集团公司如果具备欧盟成员国数据管理机构认可的约束性公司规则,则可以直接进行集团内部的数据跨境传输,而无须另行批准。(13)European Commission.Binding Corporate Rules[EB/OL].(2018-05-25)[2020-02-12].https://ec.europa.eu/info/law/law-topic/data.英特尔、花旗集团、E-bay、安永、GE、爱马仕等数十家跨国集团公司都参与了欧盟主导的这个协议。
2.GDPR出台之后
在GDPR出台之后,美国开始对其隐私法进行调整,以保持和欧盟新体系的兼容。首要的调整是美国国会2016年2月通过的《司法补救法》(Judicial Redress Act),该法将1974年《隐私法》中的隐私保护和救济条款扩展到美国以外符合条件的国家/地区的公民。(14)U.S.Department of Justice.Judicial Redress Act[EB/OL].(2016-02-24)[2020-02-12].https://www.justice.gov/opcl/judicial-redress-act-2015.条件主要有二:一是该国家/地区允许出于商业目的将个人数据转移到美国;二是该国家/地区不会实施实质影响美国国家安全的数据转移政策。涉嫌隐私侵犯行为发生在美国时,这些国家和地区的公民便可享受和美国人同等的司法救济。这个法律的及时通过为之后的伞形协议(Umbrella Agreement)和隐私盾(Privacy Shield)协议铺平了道路。
2016年6月,欧盟和美国达成了涉及犯罪数据的伞形协议。该协议为欧美之间与犯罪活动相关的所有数据交换提供法律保障。欧盟成员国公民在发现其个人数据受到侵害时,能与美国公民享受同等的起诉权利。协议还规定:数据使用仅限于犯罪活动的预防、发现、调查和起诉;将数据转移到美国、欧盟之外的机构,必须事先获得最初提供数据之国家的同意;数据保留不得超过必要或合适的期限,且保留期限必须公之于世等。由于此共享数据协议的通过,欧美在打击跨境犯罪方面变得更为高效,同时也缓解了欧盟此前对缺乏商定保护措施的担忧。
此外,在2015年Schrems案的判决中,因不能对欧盟公民的数据提供充分水平保护,欧美之前达成的安全港协议被正式宣布无效。(15)奥地利隐私保护倡导者Max Schrems与Facebook爱尔兰公司之间的诉讼导致了欧盟与美国之间的隐私谈判,美国对隐私保护措施的修改为谈判的其中一部分。经过不断磋商和艰难谈判,欧美在2016年7月推出了隐私盾协议(Privacy Shield),以作为安全港协议的替代版,为跨境数据流动继续提供制度保障。较之安全港协议,隐私盾协议有许多创新之处。比如,在规范对象方面,“隐私盾”协议约束纳入名单内的企业和退出名单的企业以及第三方;在合作机制方面,美国与欧盟建立了年度联合审查机制;在权力限制方面,美国政府首度承诺官方行动将受到约束;在权利救济方面,隐私盾协议为欧洲公民提供了更多的救济途径。(16)URL.EU-US Privacy Shield[EB/OL].(2016-02-02)[2019-12-27].https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-.隐私盾协议的达成,为跨大西洋数据流通提供了新的安全框架,也促进了欧美双方数字经济的持续增长。
2018年6月,即GDPR生效一个月之后,美国加州州议会通过《加州消费者隐私法》(California Consumer Privacy Act,简称CCPA)。如果说GDPR是欧盟“史上最严”的数据保护法,那么CCPA则被认为全美最严厉的隐私保护法。鉴于大多数互联网企业总部都设在加州,因此该法对美国乃至世界的互联网企业影响重大。受法律传统等因素的影响,CCPA与GDPR在立法价值方面存在本质差异,但两者相同之处甚多。首先,立法的目的基本相同,均为通过规范企业处理数据的行为,强化与数据相关的责任,设置较为严格的惩罚,以加强对个人数据和隐私的保护。其次,立法的内容也有诸多共性,比如关于个人信息的定义均较为广泛;均为个人新设数据可携带权、删除权等权利;均要求企业告知用户收集、使用、共享数据的具体信息;均强调尊重个人的信息自决权;均对儿童数据的同意作了具体规定;均设置较严格的处罚方式,为个人提供救济途径;均通过设置例外赋予多种合规路径,鼓励数据流通等。(17)State of California Department of Justice.California Consumer Privacy Act(CCPA)[EB/OL].(2018-06-28)[2020-01-15].https://oag.ca.gov/privacy/ccpa.论者指出,如果说前述欧美之间一系列双边协议是零星的、权宜性的融合举措,那么以CCPA为代表的美国立法则预示着两大模式体系化融合的趋势。
(二)数据保护法律的全球趋同趋势
如前所述,数据保护法诞生于20世纪70年代的德国,之后随着信息技术的不断发展和隐私侵犯的相应加剧,对于数据隐私予以保护已成为全球性的立法实践。发展至今,已有126个国家和地区颁布了数据保护法,其中60%是欧洲以外的地方。近十年的立法趋势尤为明显,平均每年颁布的新法近5部。另有34个国家已将数据保护列入正式的立法议程,预计再过十年,世界上几乎所有的国家都将拥有自己的数据保护法。(18)Greenleaf G.Global Convergence of Data Privacy Standards and Laws:Speaking Notes for the European Commission Events on the Launch of the General Data Protection Regulation(GDPR)in Brussels &New Delhi.[J/OL].(2018-05-25)[2020-01-15].https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3184548#.
全球范围内的大量立法并未导致数据保护的混乱与差异,反而出现全球标准的高度趋同。所有这126部法律都与1980年欧洲理事会108号公约的最初版本和经合组织(OECD)隐私准则所确立的10项内容相似。自欧盟1995年推出DPD以来,全球数据保护的立法明显受到DPD标准的影响。2016年GDPR的问世,则带来了更高层次的立法趋同。比如,马来西亚立法中的“数据可携性”、韩国立法中的“4%行政罚款”、印度尼西亚立法中的“被遗忘的权利”等明显采纳了GDPR的立法创新。此外,大量欧洲以外的跨国公司,已明确表示“遵照GDPR”规则对用户数据加以保护,尽管它们并没有如此行事的法律义务。
另一方面,主权国家对数据主权的重视以及对数据利益的争夺,使得数据的全球流动时常出现迟滞乃至发生争端。发展中国家尽管会模仿欧美的数据保护制度,但并不意味着会臣服于欧美的力量以至于让渡自身的数据主权。另外,由于每个国家存有各自的情况与路径,数据保护很难遵循全球通用的一种模式。对此,我们或许可以借鉴《网络犯罪公约》以及国际知识产权公约等领域的规制经验,打造一个数据保护的国际公约。鉴于GDPR既被认为是欧盟成员国的数据保护公约,也是欧洲之外众多国家模仿的对象,相关国际组织可考虑以GDPR为蓝本,设计全球化数据流动与保护的基本规则,同时给各个国家留下自治空间,最大化消除数据在全球范围内使用与保护的障碍。
三、个人数据保护全球融合面临的挑战
(一)两大数据保护体系的冲突
1.保护理念的不同
在欧洲,数据(隐私)保护被囊括在人权保护的范畴内,并被视为公法的一个重要组成部分。因此,欧盟热衷于制定成文法律,通过打造全面的权责规范进行预防性保护。在立法形式方面,欧盟热衷于综合性立法,孜孜以求构建全面的数据保护体系。在综合性立法中,部门/行业立法仅为一种备选,用于在总框架内规制特殊情况。综合性立法为评估“适当性”与“充分性”提供了一个相对明确的目标及标准。而且,它要求创建专门的数据保护机构,以确保这些权利得到监督和执行。在欧盟数据保护模式中,政府力量不断在增强扩张,力图通过高标准制度、强有力执法实现对个人数据权利的保护。
相对于欧盟及其追随者对综合立法的偏爱,美国则是明显的例外。如上所述,美国是典型的分散立法模式,它按部门、行业性质对信息隐私进行监管,对公共机构和私营部门也有不同的调整规范,在部门法体系下,数据保护主要依靠历久弥新的业界自律机制。美国长期以来对集权方式表示怀疑,美国宪法的核心精神为限制政府权力。表现在数据保护方面,则是有意识地削弱联邦政府的力量(比如,隐私领域最重要的立法《隐私法》只对联邦政府机构的活动进行约束),且认为部门法而非综合法可以使国家对数据市场的干预最小化。
即便加州通过了和GDPR类似的CCPA,两者还是存在本质差异。前者将个人数据权作为一种基本人权加以保护,其立法目的是强化对数据权利的保护,原则上禁止数据的商业使用,例外情况下合法授权允许;后者的立法目的是对数据的商业利用进行规范,原则上允许数据的商业使用,在特定条件下加以禁止。
总体而言,欧盟主张统一和严格立法,而美国倾向分散和宽松立法;欧盟强调政府部门对数据保护的监管,而美国则主张政府的有限干预。这些差别反映了两者在个人数据保护政策基础理念上的分歧。(19)王融.数据治理——精细科学的政策平衡[EB/OL].(2018-12-10)[2020-01-15].http://www.sohu.com/a/280866783_455313.
2.保护实践的差异
欧美数据保护的理念不同,也造成了保护实践的差异。比如,欧盟更重视“公正信息准则”(FIP),包括数据收集的限制;数据质量原则;以及通知、访问和改正的个人权利。(20)Schwartz P M.The EU-U.S.Privacy Collision:A Turn to Institutions and Procedures[J].Harvard Law Review,2013,126:1966-2009.而且,部分FIP要素只存在于欧盟体系内,比如:只依据法律处理个人数据;由独立的数据保护机构进行监管;限制向缺乏足够隐私保护的国家输出数据;限制信息的自动化决策;以及对敏感数据的额外保护。而美国在这方面的最大差异就是它并不支持“在没有法律授权的情况下不能处理个人信息”这一观念。相反,美国法律秉持监管最少化原则,允许信息收集和处理,除非法律明确禁止该活动。此外,美国主张个人数据的保护要考虑数据控制者的利益,个人仅有一定的参与权而非控制权;在国际层面,基于国内的宪法第一修正案(言论自由)和数据处理产业的优势主张数据跨境自由流动。(21)张金平.欧盟个人数据权的演进及其启示[J].法商研究,2019(5):182-192.
美国与欧盟的另一个显著差异是,美国没有设立严格法律意义上的数据保护机构。在监管方面,美国最接近国家数据保护机构的是FTC。如前所述,尽管FTC在保护隐私方面扮演着重要角色,但对商业机构缺乏严格意义上的法律管辖权,执法范围仍相对有限。它更重要的作用在于外围惩罚,通过对机构的违法行为进行调查或罚款发挥其监管效能,而并不主动嵌入机构内部进行监管。这与欧盟数据保护机构全面深入的管辖权限形成鲜明对比。
较之于欧盟,美国强调在消费者权益保护和促进企业发展及技术创新之间取得平衡。欧盟并不区分公司盈利与否、规模大小和服务性质,从私营机构到政府部门,从中小企业到跨国公司,甚至是个人,只要收集和处理个人数据,均受规制,且遵守相同的高标准合规要求。(22)王融,吴怡.美欧隐私立法是否走向趋同?加州消费者隐私法CCPA给出答案[EB/OL].(2019-09-26)[2020-01-15].http://www.sohu.com/a/343633883_455313.反之,美国法律的高标准保护仅限于特定的敏感信息行业。另外,美国企业有足够的空间去尝试新的数据处理方式,开拓新业务领域的企业受管制的可能性更小。在欧盟体系中,无论老牌或新兴企业,无论何种技术创新,都要面临数据法律的全面监管,除非存在法定例外情形。比如,美国法律对信息的自动化处理不设限制,而GDPR对此明确赋予数据主体反对权。上述内容仅为欧美数据保护实践差异的部分列举,但可以预见会给两大数据保护体系的融合带来变数。
(二)发展中国家融入全球体系面临的挑战
对于非欧盟国家(尤其是没有建立或健全数据保护制度的发展中国家)而言,GDPR是其数据立法的标杆。然而,对于发展中国家模仿、借鉴欧盟模式并非没有批评之声。(23)Shaffer G.Globalization and Social Protection:The Impact of EU and International Rules in the Ratcheting up of U.S.Privacy Standards[J].The Yale Journal of International Law,2000,25:1-88.尤其是发展中国家在经济、技术、法律层面的缺陷和短板,使得它们在融入全球体系的过程中面临较大的困难,而且也难以达到预期功效。
1.经济层面
履行或遵守GDPR规范的成本是巨大的,对于发展中国家而言是一笔不小的负担,这就有可能导致发展中国家对GDPR的完整执行大打折扣。即便一个发展中国家存在全面的数据保护制度,也可能缺乏实施和执行这些法律的资源手段,从而使数据保护制度最终沦为一个空架子。GDPR的高成本不仅会影响政府,还会波及所有受监管的公司。比如,设置专员以回应消费者的诉求或投诉并进行自我评估,是数据合规的基本要求,但很多发展中国家的企业因预算所限无法达到。另外,发展中国家需要考虑的一个问题是,严格的数据保护可能会给快速发展的信息产业创新带来阻碍。中美两国的互联网巨头企业无一不是通过借助庞大的用户数据而蓬勃发展起来的,若这些企业创办于一个有着严格数据保护的环境中,则难以取得如此规模的成就。欧盟在世界互联网经济竞争中相对落后于中美两国,可视为一个反证。
2.技术层面
在信息时代,因劳动力缺乏受教育的机会或受教育的技术劳动力外流,发展中国家面临严重的技术瓶颈。即使在欧美等发达国家,信息技术方面的人才也并非如想象的那么充裕,遑论一个没有同等教育水准的发展中国家。对于部分发展中国家而言,采取最基本的数据保护措施都有可能是一个无法完成的难题。另外,发展中国家通常存在大量的社会民生问题(比如住房、医疗、清洁饮用水等)亟待解决,如此,对信息技术以及教育的重视与投资便自然摆在次要的位置。这些不利因素使得发展中国家无法有足够的人力和技术资源来移植和执行GDPR的规定。
3.法律制度层面
发展中国家通常法律制度较为落后,难以满足GDPR的高标准、严要求。没有完善的法律制度,对数据权益被侵犯的补救以及对侵犯数据权益的惩罚,就难以落实或根本不知道如何落实。没有成熟的司法体系,数据争端更有可能遭遇经常性的拖延或泥牛入海般的官僚程序。比如,经济学家马蒂厄·凯明(Matthieu Chemin)的一项调查显示,在印度处理任何案件平均需要2年时间。(24)转引自Curtiss T.Privacy Harmonization and the Developing World:The Impact of the EU’s General Data Protection Regulation on Developing Economics[J].Washington Journal of Law,Technology &Arts,2016,12(1):95-122.发展中国家落后的法律及低效的司法效率,有可能损害自身与GDPR对接的努力及收益。
4.改进的建议
从上文可以看出,GDPR保护范围广但执行成本高。笔者以为,对于发展中国家而言,最好的方法或许是采取共管(co-regulatory)模式。该模式强调以政府的法律要求为背景,行业制定可执行的数据保护标准。由于这些标准是由那些在监管领域有专长的人而非不懂技术的政府官员来制定,该模式实施起来可能会更有效果。若要从共管模式中受益,发展中国家必须加大教育和科技领域的投资,还应构建值得信赖的、高效的司法系统。此外,发展中国家应评估其企业是否有独立保护用户数据的能力,并为消费者提供有效的行政和司法补救手段。
四、个人数据保护的中国路径与中外对接问题
(一)个人数据保护的中国路径
欧美自20世纪70年代开始建立其个人数据保护制度,我国起步较晚,直至进入21世纪才对个人数据予以立法保护。在立法过程中,我们移植了不少欧美体系的信息保护制度。比如,《网络安全法》参照GDPR规定个人有权同意他人是否可以收集其个人信息、有权要求更正和删除其个人信息等。再比如,国家标准《个人信息安全规范》关于个人信息的定义、个人信息处理的基本原则、信息主体及信息控制者等法律关系主体的设置等与GDPR如出一辙。即便如此,我国个人信息的立法保护仍存鲜明的中国特色,大致有三:
1.刑法先行
与欧美数据隐私法孕育于民事领域不同,我国则发端于刑法,呈现明显的“刑先民后”立法轨迹。这与我国社会乃至个人的自治意识较弱有关。很久以来,我们的隐私文化有欠发达。进入时下的互联网时代,人们开始关注其个人信息,主要是担心信息泄露所带来的人身和财产安全。这集中体现在两个方面:一是电信诈骗,我国个人信息保护就是从打击电信诈骗起步的;二是企业因开拓市场需要对个人信息的需求非常旺盛,导致个人信息的灰色产业(个人信息买卖)非常猖獗。(25)高富平.个人数据保护的中国视角[EB/OL].(2019-05-20)[2020-01-07].https://www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.也因为此,我国首先启用刑法来保护个人信息。2005年通过的《刑法修正案(五)》就设置了“窃取、收买、非法提供信用卡信息罪”。2009年通过的《刑法修正案(七)》则将出售或非法提供公民个人信息和窃取、非法获取公民个人信息入刑。2015年通过的《刑法修正案(九)》则将犯罪主体由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩展为一般主体。2017年,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对刑法规定及其适用作出了详细解释,并赋权法官根据数量、类型、获利等情节来判断各种个人信息买卖、提供或流通等行为能否入刑。
然而,刑法的严格保护也有可能导致企业获取个人信息的正常需求被一刀切断,刑法的初始目标是确保人身财产安全与社会安全,结果也有可能冻结了个人信息的合法流动。人类社会发展到今天,个人信息的流动与交易已成为一个普遍现象。如按照当前的刑法标准加以执行,则会出现入刑范围太宽、入刑门槛太低的问题。因此有学者认为,我国个人信息刑法保护已陷入两难困境:我国的特殊“社情”催生了刑事保护,但严格执法可能殃及正当的个人信息利用及技术创新;另一方面,违法的个人信息买卖不禁止,就无法营造一个正当的个人信息利用环境。(26)高富平.个人数据保护的中国视角[EB/OL].(2019-05-20)[2020-01-07].https://www.luohanacademy.com/cn/insights/d89015b9ac3e1eeb.
2.分散立法
我国个人信息保护立法虽然模仿欧盟模式,但是并没有形成综合性法律体系,法律规定相当零散。根据有关学者统计,我国目前有近40部法律、30余部法规以及近200部规章涉及个人信息保护。(27)邵国松.“被遗忘的权利”:个人信息保护的新问题及对策[J].南京社会科学,2013(2):104-109.除有《全国人大常委会关于维护互联网安全的决定》《全国人大常委会关于加强网络信息保护的决定》《网络安全法》等专门立法外,个人信息保护还散见于《宪法》《刑法》《民法总则》《国家安全法》《保守国家秘密法》《消费者权益保护法》《民法典》等法律中。而且,工信部、公安部、卫健委、银监会、证监会等部门也就各自主管领域发布了大量的规章制度,在行政层面上规范互联网、医疗、个人信用等方方面面的个人信息。这些分散立法看似与美国的立法模式相似,实则在立法理念、保护逻辑、法律规则等方面存在极大的差异。我们的分散式立法本质上是应对式立法。它缺乏顶层规划与整体设计,对个人信息保护的目的、在何种层面进行保护、何为个人信息保护控制权等核心问题缺乏体系化的考虑,结果造成每个法律法规各自为政,缺乏内在的逻辑和协调。而且,碎片化立法容易导致规则缺乏必要的弹性,也使得规范层级偏低,立法权威和管理的有效性受到减损。(28)彭诚信,向秦.“信息”与“数据”的私法界定[J].河南社会科学,2019(11):25-37.
3.“同意”前置
在我国现行法律体系中,个人信息的收集以及使用须事先征得信息主体的同意。例如,《消费者权益保护法》第29条规定:“经营者收集、使用消费者个人信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经消费者同意。”《网络安全法》第41条规定:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。”最新颁布的《民法典》第1035条关于个人信息处理的原则仍全面沿袭了前述之规定,并无突破。“同意”意味着个人信息由个人控制或支配。尽管个人信息控制论为个人信息保护的理论基础,但不等同于非经同意不得使用个人信息的规则。在欧盟,合法性为个人数据处理的基础,同意只是合法性基础之一,它并没有上升为一种权利,而是作为一种特殊情形的保护模式。在美国,个人对信息的控制也不是一项绝对权,它受到宪法第一修正案的制约,对信息的控制应与信息的自由流动平衡,而不能起阻碍效应。因此,美国的《隐私法》对个人同意的范围进行严格限制,没有将个人控制一般化。质言之,个人信息控制理论在欧美没有升级对个人数据的排他支配权,我国则是目前国际社会为数不多的在个人信息收集、使用上将同意规则前置的国家。(29)高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3):84-101.要彻底贯彻这个规定不仅不现实,而且会阻碍个人信息的正常流通。
(二)个人数据保护的中外对接
如上所述,即便形式上借鉴了欧美的保护制度,我国个人信息保护仍存鲜明的中国特色。随着国内外环境的变化,已有学者提议要建立起一套和欧美媲美乃至抗衡的信息保护制度。在此背景下,我国个人信息保护法律是否还需要和世界主流体系对接?若真有需要,又当如何对接?这是我国当下大力发展数据驱动产业时必须认真对待的两个问题。
1.是否需要和世界对接?
当今世界以人工智能为代表的技术革命暗潮涌动,而这一轮技术革命的核心要素在于个人数据的收集和利用,因此众多国家纷纷从战略高度予以重视并付诸行动。在个人数据保护层面,欧美为第一档次,处于规则制定者地位,其他国家为第二或更低档次,属于追随者与被动承受者角色。(30)高富平,王苑.论个人数据保护制度的源流——域外立法的历史分析和启示[J].河南社会科学,2019(11):38-49.我国虽处于第二档次,但与其他第二档层次的国家甚至与欧盟相比,具有许多后者不可比拟的发展优势。欧盟追求全面、严格、完善的数据立法固然有其历史缘由,但很大一部分原因在于欧洲的数据市场长期被美国网络巨头占据。因此,欧盟立法的一个重要目的就是限制美国企业,保护、扶持和发展欧盟本土数据产业,进而在全球数据处理市场获得一席之地。(31)张金平.欧盟个人数据权的演进及其启示[J].法商研究,2019(5):182-192.我国虽为一个发展中经济体,但在我国数据处理市场中占主导地位的一直都是本土企业,部分本土企业更是在国际市场高居前位(比如,百度、腾讯、阿里巴巴三家公司多年来稳居世界互联网公司市值前十)。因此,我国数据立法的主要目的不是防止他国挑战我国的数据处理市场,而是如何为本土信息产业的壮大创造良好的制度环境,并防范本土企业实施不正当竞争。我国数据市场的规模在国际社会可与欧美媲美,但与欧美市场之间的互相影响与渗透不同,我国数据处理市场相对孤立封闭,外部影响微弱且难以介入。这使得我国数据法律在一个相对封闭的市场环境中运行,涉及数据出入境规则及域外效力问题较少,与国际主动对接的机会也较少。
然而,随着中国企业走向世界的决心日益坚定,向世界拓展的节奏逐渐加快,数据的跨境流动和保护也必然成为我国企业要解决的关键问题。2020年,美国政府以数据安全为名对字节跳动旗下的抖音海外版Tiktok进行封杀,体现了个人信息保护与国际规则接轨的紧迫性。美国打压Tiktok自然有多个层面的考虑,但如前所述,我国当前的个人数据保护制度的确需要改进,在促进数据产业发展的同时,需要加大用户信息保护的力度,否则难以取信于世界。尤其是,个人数据不可阻挡地会在全球流动,没有任何国家和地区真能将其局限于一国国境之内。这都要求我们积极主动和世界对接,创建一套高水准的、符合中国国情的数据保护体系。
2.如何和世界对接?
在如何和世界主流体系对接方面,我国进行了一些移植性尝试,但效果尚不显著。对接的首要问题是要理解欧美两大体系的特点。欧盟体系偏好综合立法,偏向数据权利保护一方,意在打造公民的基本数据权利体系。而且,当前欧盟模式在世界范围内较美国模式更占主导地位,自然有其易于学习和模仿的优势。无论从大陆法系的衔接性还是从现实情况出发,我国向欧盟标准靠拢看似具有更大的可行性。
传统的美国模式强调业界自律,最小化政府干预,因而偏好数据的自由流通,以促进数字经济的发展。美国数据保护的最新成果——CCPA——则吸收了欧盟GDPR的经验,同时又部分保留了美国立法的自由主义传统。简而言之,CCPA旨在通过提升数据利用的透明度来实现主体的隐私控制权,进而寻求数据价值利用与主体权益保护的一致性。在立法实践上,CCPA弱化了个人信息主体的绝对控制权,从而为数据处理和控制企业进行商业创新预留了空间。在赋予个人数据开放共享、甚至买卖出售空间的同时,CCPA又对数据隐私主体的基本权益予以坚决保护。从这个层面来讲,CCPA或许更适合我国的国情。我国当前的使命主要是促进数字产业的创新与发展,实现数字技术革命的弯道超车,从而在此基础上给民众带来更多的技术红利。如果全盘采取GDPR那般严密的保护体系,不仅有可能大幅压缩我国互联网企业的成长空间,客观上也有可能限制技术、资金与人才的自由流动。从这个意义上讲,CCPA的整体平衡、均等保护策略,对于我国的个人数据法律保护而言,或许具有更好的参考价值。
参照欧美两大保护体系,我们可从顶层、整体设计我国的个人信息保护体系,尤其有必要出台一部基于我国国情的个人信息保护法,以结束当前分散立法、“九龙治水”的混乱局面。在立法理念上,我国应牢牢秉持“安全风险防范为主、兼顾数字经济”的立法原则,推崇“促进数据自由流动和便捷交易”的价值取向,平衡个人信息的保护与数字经济的发展。在立法实践层面,我们应采用个人信息的有效利用和有效保护相结合方案。有效利用强调个人信息流通的经济和社会价值;我们尤其需要终止“同意前置”的刚性要求,因为这可能导致对个人信息控制的绝对化,阻碍个人信息的正常流通和有效利用。有效保护要求商业机构充分履行安全保障义务,故应阻止对个体主体权益的侵犯;而在个体主体权益遭到侵害时,又能提供便利、高效的救济机制。
此外,鉴于个人数据保护全球融合的最大原动力来自个人数据的跨境流动,我们应在现有法律基础之上,进一步完善数据跨境流动的法律体系。我们尤其需要尽快通过和实施个人信息保护法,以保障跨境流动中数据主权和数据自由的平衡。目前,欧盟GDPR要求欧盟境外的数据接收方在达到与其相同的数据保护水平时数据才可跨境;(32)欧盟GDPR规定,向获得欧盟保护水平认定的国家或国际组织转移个人数据,不需要任何特别授权。目前,获得认定的国家包括安道尔、阿根廷、加拿大(部分)、法罗群岛(属丹麦)、格恩西、以色列、马恩岛(英国属地)、泽西、新西兰、瑞士、乌拉圭、美国 (隐私盾),但不包括我国。美国新近通过的CLOUD法则赋予美国执法部门通过服务提供商获取存储于境外的电子数据的权力。(33)美国2018年初通过《澄清合法使用境外数据法》(简称CLOUD法案),赋予美国执法部门通过服务提供商获取存储于境外的电子数据的权力,同时也赋予“适格外国政府”通过服务提供商获取存储于美国的电子数据的权力。我国目前尚不属于该法所谓的“适格外国政府”。我国《网络安全法》强制规定了数据本地化储存制度,(34)我国《网络安全法》明确规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据必须在境内存储;如因业务确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。这固然有利于保护我国的数据主权,但也有可能影响数据的跨境流动。因此,我们有必要完善个人信息立法,在保障数据主权、提升境内数据保护水准的同时,积极主动利用国际公约或双边、多边对话机制构建境外数据的互惠、对等获取机制。
