個人信息保護與商業化利用的利益平衡
發布日期: 2020-04-21 供稿:人民政協報
編輯:吳楠 審核:劉曉俏 閱讀次數:原文標題:個人信息保護與商業化利用的利益平衡
原文鏈接:http://dzb.rmzxb.com/index.aspx?date=2020-04-21&verOrder=08&banzi=7&paperType=rmzxb
2020年4月9日,中共中央、國務院印發《關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱《意見》)。值得關注的是,數據作為一種新型生產要素寫入了《意見》,“推動完善適用于大數據環境下的數據分類分級安全保護制度,加強對政務數據、企業商業秘密和個人數據的保護。”
個人數據的保護與利用是數據產業發展的重要內容。傳統民法對個人信息的關注集中在隱私權的保護,立足點在于個人生活安寧不受破壞,個人信息公開受主體控制并最大限度被尊重。大數據技術出現后,個人信息更多更頻繁地被進行數據化加工,浩如煙海而又雜亂無序的個人信息由此轉化為個人數據,并借由大數據分析產生商業利用價值。
平衡好個人數據及商業化利用之間的關系
當下現實中,個人數據商業化分析使“千人千面”的個性化服務成為可能,但精準的個性化信息推送、定向廣告投放、大數據殺熟、大數據平臺的數據泄露丑聞等,都讓我們對大數據時代個體“裸奔”產生了深深的不安和憂慮。一方面,我們希望個人信息得到控制,另一方面也期望享受數字科技提供的免費且優質的產品或服務。而對于數據產業來說,如果法律對其施加嚴苛的義務和責任,加大其數據開發的成本,則會破壞其投入的激勵,阻礙數據產業發展的節奏;這不僅使得社會公眾無法享受技術進步帶來的福祉,也會讓我國在數據產業國際競爭格局中落后勢弱。此外,隨著數據產業的市場細分深化,數據開發者之間的利益沖突加劇,糾紛頻現。因此,法律必須看清個人信息主體與數據開發者、數據開發者相互之間的真實利益訴求,分析其利益訴求背后值得保護的法益,合理平衡各主體之間的利益。
個人數據首先依附于主體產生,只有真實的個人才產生真實有價值的個人數據,這也是商業化利用的根本所在。個人數據所傳達的信息是人們現實生活在互聯網上的“鏡子”,其展示現實生活的方方面面。大數據的分析整理就是從海量數據中精粹出相關聯的可推斷實際事實的過程。個人信息在法律上屬于人格權規范和保護的范疇,個人數據來源于個人信息,每個數據主體的貢獻有限,但個人數據海量聚合并經過加工分析后就會產生巨大的價值。“價值密度低”是大數據的特點,但通過集合形成“高商業價值”。數據商業化加工和利用的“價值貢獻”因此產生,是個人數據商業化利用過程中個人數據保護模式選擇中必須考慮的重要方面。從利益衡量的角度來看,法律應當在保護個人信息主體隱私和現有權利不受侵犯的基礎上,考慮數據集合的創造者與收集工作的提供者的貢獻。而從價值產生來源看,每個主體對個人數據樣本都有貢獻,但并不必然因為缺失某個主體而喪失價值,因此在商業化利用過程中需要淡化個人數據的人格屬性,加強其財產屬性,這樣做有利于促進個人數據流轉,進而防止個人數據的人格依附產生數據流轉的不確定性。
個人數據保護的法律應對迫在眉睫
個人數據保護的現實需求已經走到了法律規制的前面,法律的應對迫在眉睫,主要集中在以下方面:一是數據利用過程中數據開發利用方與用戶之爭,如用戶名或密碼被大量泄露、大數據殺熟;二是數據平臺在個人數據爭奪過程中的競爭糾紛,如API接口超范圍獲取個人信息等;三是數據相關的反壟斷與個人信息的對外提供;四是數據跨境以及數據證據相關的司法主權問題。
從全球看個人信息保護,有關個人數據的一系列問題首先在公法領域得以體現。基于對個人數據中人格屬性的重視,歐盟一開始就將其提升到人權保護的高度,只是隨著個人數據商業價值的顯露,才逐漸認可其可流通性。歐盟立法之最近集成《通用數據保護條例》(GDPR),將個人數據保護提升到基本權利的高度。美國則從消費者隱私的視角加以保護。
目前來看,個人數據應為綜合立法,走公法與私法結合之路已成為主流觀點。順應這種趨勢,我國2012年12月28日通過的《全國人大常委會關于加強網絡信息保護的決定》,以及2017年6月1日施行的網絡安全法都對個人信息保護提出了要求。之后修訂的民法總則將個人信息在人格權方面部分予以保護。目前正在修訂中的民法典也致力于將人格權編中的個人信息保護條款予以細化。同時,個人信息保護法已納入十三屆全國人大常委會未來5年的立法規劃。
從刑事法律規范來看,2009年,全國人大常委會通過刑法修正案(七),其中增設“侵犯公民個人信息罪”。2018年刑法修正案(九)將該罪主體由特殊主體改為一般主體,提高最高刑刑期到7年有期徒刑的同時又增設了從重處罰的規定。2017年,最高法、最高檢聯合發布《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,進一步完善了有關侵犯公民個人信息犯罪的具體標準,強化了對公民個人信息的保護。
國家基于公共利益的目的索取個人數據的法律考量
對于國家能否基于公共利益的目的直接向數據開發者索取其收集的個人數據,我國部分領域的立法中已有涉及。電子商務法第25條規定:“有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的,電子商務經營者應當提供。有關主管部門應當采取必要措施保護電子商務經營者提供的數據信息的安全,并對其中的個人信息、隱私和商業秘密嚴格保密,不得泄露、出售或者非法向他人提供。”
從域外經驗來看,2018年4月,美國通過《澄清境外數據的合法使用法案(CLOUD)》,這是一部監視存儲在境外的公民信息的法律。依據這部法案,美國聯邦調查局(FBI)得依據法院頒發的搜查令直接訪問境外的數據,這些數據包括其公民在境外計算機上的電子郵件及其他個人信息。同時,該法案以數據控制者作為行使管轄權的標準。也就是說,借助跨境數據控制者,美國政府可直接從其境外服務器調取相應數據,至于何種情況不應直接調取,裁量權在美國法院。
建議對個人數據商業化利用進行規范
對于個人信息以及個人數據商業化利用的規范,筆者建議:
一是對個人數據進行精細化分類。
可以參考歐盟、德國等劃分敏感數據與非敏感數據的做法,結合我國具體實踐,準確劃分數據敏感層級、覆蓋范圍、保護手段等,并依照不同風險等級劃分安全保護層級,建立風險評估和防范應急制度,落實各主體相應的法律責任及其對應的處罰,并依據數據主體的特性及其關聯性權衡相應的法益,將個人數據依照不同場景進一步區分,如身份數據、行為數據、內容數據等。與此同時,要特別關注老年人和未成年人的數據權益,構建同個人數據分類保護制度相適應的商業化規則。
二是建立體系化的數據監管部門。
針對當下數據產業的監管呈現多頭管理模式,我國各監管部門的做法是在原有職權上進行適當的擴充,以此涵蓋其自身甚至其他有關部門的數據保護問題。將數據保護問題分散給各方分別解決的模式,其優點在于能夠貼合各行業特性,充分聯結各行業與其特定的數據。但以發展的眼光看,大數據相關產業的監管不應該囿于各具體職能部門的特定職權,這樣的分散監管使得監管主體數量增多、權力交叉、職責混淆甚至推脫,因而建立專門的獨立的個人數據監管部門是非常有必要的。
三是建立可信任的數據交換和訪問機制。
對于個人數據來說,其“富礦”的屬性在于作為分析樣本為預期形成的解決方案提供支持,同樣的一份數據基于算法的不同和算力的差異可能形成不同的解決方案和分析結果。但對于數據產業和數字經濟來說,數據在各方主體之間的流動是數據產生價值的基礎,如果數據鏈條中的每一個節點都固守自己享有的數據,必然會導致“數據孤島”,從而阻礙和降低數據帶來的創新。因而,在尊重數據利用基本原則的基礎上,設立一個數據交換和數據訪問的機制,通過設立相應的機制達到更為便捷、自動化的交換和訪問數據,可以更好地鼓勵產業間的數據合作和科技創新,同時保障數據市場的良性發展與活力。
個人信息保護與個人數據商業化利用之間的利益平衡,不僅要著眼于個體與商業主體,還要結合公共利益與國家安全以及國家戰略加以考慮。一方面要注意保護個人的隱私及敏感信息,另一方面也要兼顧數據產業發展,同時對個人數據所涉及的國家安全和數據主權問題要進行“頂層設計”。
(作者杜穎系中央財經大學教授;王磊系北京理工大學博士后研究員)
分享到: