X

国瀚文:数据要素政策指导背景下的隐私权保护研究

国瀚文 西北政法大学民商法学院讲师、西北政法大学师资博士后。

内容摘要

我国于2020年4月9日提出将“数据”纳入市场化配置改革的五大基础生产要素之一,并明确了完善数据要素市场化配置的具体措施。完善的数据市场必然要求生产要素的自由流通。但是,由于缺乏数据保护规则,数据流通与个人隐私权利保护之间存在一定的冲突,主要表现为数据分享的效率和保护之间存在此消彼长的关系,个人隐私泄露问题与日俱增,成为完善数据要素市场的阻碍因素之一。对此,我国需要在数据政策指导下构建综合性、立体化的个人信息保护法律体系,充分挖掘和释放数据要素应有的资源价值,实现数据市场完善与个人隐私保护的平衡发展。

一、引言

数据生产要素的提出,充分体现了我国的制度自信和理论自信,也是数字经济发展的必然要求,但我国距离市场化的数据交易仍有很长一段路要走。因为明晰的权属和有序的流动,是生产要素的本质要求和前提条件,以此才能推动人类社会迈向一个万物互联的数字经济新时代。而数据产权作为一种要素,应从资本构成的层面对它进行定义,即关于数据增值的问题。从完善数据市场的层面来看,数据产权明确才能对不同主体的数据作出明确划分,因为数据的处理过程包括采集、存储、流动、应用等过程,各个阶段都会产生新的主体与权利。现阶段的主要问题是数据的提供方多为个人,而采集方多为企业平台,由于缺乏数据保护规则,个人隐私泄露问题与日俱增,成为完善数据要素市场的阻碍因素之一。自党的十九大报告以来,一方面强调保护个人的人格权益,另一方面也多次强调发展大数据的重要意义,其中个人信息的保护和利用问题尤为关键,民法典的出台更加完善了我国强化个人隐私权保护的立场,为数据要素市场的完善提供了理论依据。因此,现阶段我国亟需在国际社会数字贸易规则与本国数据要素政策指导下构建完善的个人信息保护法律体系,以应对完善数据市场时隐私保护带来的挑战以及如何协调隐私保护与数字经济之间的关系问题,并结合我国相关法律法规规定,探讨完善数字市场背景下保护个人隐私权的可行路径。

二、数据要素市场中的隐私权挑战

《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)提出“加快培育数据要素市场”,并对构建和完善数据要素市场化配置体制机制作出部署。这对数据市场的建设和管理提出了更高要求,也给了我国数字经济治理明确方向,数据要素市场的培育需要新的制度来提供适宜的土壤。一方面,立足于互联网技术的快速发展,通过智能手机、平板电脑、游戏机等人机交互移动设备促使中国社会发生产业变革;另一方面,由于我国对数字经济的市场监管,总体上采取包容审慎的监管模式,为数字经济业态及从业者的发展构筑了宽松的法治环境。这虽然激励了数字经济的快速发展和创新,却也导致了数字经济的无序发展,地下数据交易事件层出不穷,对其进行及时必要和科学有效的法治化市场监管已迫在眉睫。尤其伴随数据的快速流动而产生的个人数据泄露和隐私保护问题,也越来越受到各国的重视。

大数据分析技术的发展使用户数据在不知不觉间就被收集和处理,数据驱动企业依据数据间的相关性,就可以对消费者个人进行仅凭数据相关性而非因果关系即可进行预测与推断。以人机交互活动中最频繁使用的微信、QQ等为例,用户在使用以上软件时,从注册阶段起,就已被采集了个人信息,同时注册协议多是以用户默认方式同意,此类协议中往往包含该软件平台从用户处获得数据使用的许可(包括采集、存储、分析等),一旦该企业从用户处获得数据(包括但不限于、使用时间、地理位置、用户名称、头像、公开发布图片文字等),就会有与该企业相关的第三方企业获得相关数据进而存储、分析或关联。按照用户同意协议的相关规定,这些数据不但包含为用户提供更好体验服务的技术改善所需信息,还包括用户个人有关的浏览历史、地理位置等信息。尤其是随着生物识别等新技术的应用,用户面部、声音、指膜等生物信息也都可能被采集。最终,该社交软件企业以及第三方企业可能采集未来所需的各种数据,并且可以对该数据进行存储或初步分析,并上传到服务器(国内或国际)以备未来之需。虽然这些浏览历史、步数计算、所属位置等数据属于个人隐私相关的间接数据,但在数据库中进行大数据分析,则可以对个人进行聚类分析,为商业目的所需对消费者进行“数据画像”,以进行精准取向识别(宗教信仰、性取向、购买模式、生活方式等),通过消费者的潜在需求,进行精准广告定向投放,在特定时间和场景达到目标客户,诱发冲动消费等,成为消费操纵。以上表明,若无适当的隐私保护机制,个人数据将会被滥用,这不仅会危害个人权益与国家安全,也将影响数据要素市场的完善和数字经济的可持续发展。

为了避免隐私数据泄露带来的风险,各国(地区)多以“数据本地化”为要求,展开限制数据流动的措施,以应对数据交易中的隐私泄露问题。以亚洲地区为例,韩国比日本、中国香港、新加坡在个人信息保护方面更加严格,其以个人信息保护法作为保护个人信息的一般法,其立法目的比起利用个人信息的经济和社会利益,更重视个人信息相关权利主体的权益保护,从数据管理水平、直接市场化利用的可能性、数据输出管制、遵守管理法规四个方面作为强制性要素,对数据流动进行评价。数据本地化措施总的来说是对数据传输的一种限制,这种要求在实施过程中会导致某些行业或者领域无法向国外传递或储存信息,从根本上来说限制了数字贸易的开展,成为新型数字贸易壁垒。从韩国的大数据产业发展进程缓慢可见一斑。另外,大型数据企业基于规模优势会对数据进行高成本维护以维持竞争力,基于其市场支配地位,会在数据市场中形成市场进入壁垒,影响数据的自由流动,从而影响数据经济的发展。这种数据保护政策不管从国际还是国内来说都与贸易自由化的国际公约背道而驰,尤其在我国要大力发展数据产业的背景下,更应制定符合数据经济发展的数据流动政策。根据当前国际上最新开展的区域贸易协定谈判中对数据本地化提出禁止性要求的《跨太平洋伙伴关系全面进步协定》(CPTPP),其根本目的在于促进数字贸易发展以及保护合约国的国家安全,并未涉及到各国内部的隐私权保护问题,所以各国自行制定隐私保护立法是解决数字市场中隐私泄露的必要措施。

欧盟作为当今世界个人隐私保护程度最发达的地区,其于2018年5月正式生效的《一般数据保护条例》(General Data Protection Regulation,GDPR),作出了很多创新性的立法规定,对各国探索数字贸易背景下保护个人隐私权的方式极具价值。而美国《加利福尼亚州消费者隐私法案》(California Consumer Privacy Act,CCPA)于2020年1月1日生效,这是继欧盟GDPR之后最重要的数据法律,它将成为美国州层面的最重要数据隐私立法之一。以欧盟为代表的欧美国家正式开始探索并构筑起既促进数字贸易发展又有效保护个人数据隐私的制度规则,引领全球数字经济走向。以下即从比较法的视角,探索欧盟与美国促进个人隐私保护立法和数字贸易发展平衡方面取得的成就与中国模式的选择。

三、数据要素市场中个人隐私权保护的立法回应

以欧盟、美国典型模式为例,探索数据隐私权的保护现状。两者均试图打造独立的数据王国。欧盟通过GDPR实行,以“数据基本权利”为基础的数据经济模式;美国通过CCPA实行,以“自由交易与强势监管”为基础的数据经济模式。从表面上看,美国和欧盟的两种模式互不兼容,甚至背道而驰,事实上却殊途同归,都在寻求“数据权利保护和数据自由流通的平衡”。无非欧盟模式偏向“数据权利保护”一方,意在打造公民的数据基本权利;而美国模式却偏向“数据自由流通”一方,意在数字经济的发展。两种模式都强调在维护个人用户数据隐私与数据经济发展的重要性,且数据隐私法律需要依赖于国家层面的执行与监督。

(一)欧盟模式

权利宪章为隐私权的保护提供了制度保障,欧洲数据隐私立法以人的权利作为立法逻辑,认为“基于个人产生的数据是关于人格的延伸,个人对于个人数据的掌握是独立自主的体现,是人权的体现”。而“建立在人的尊严基础上的个人数据保护理论,则内含个人数据由个人自主控制的基本论调”。所以,欧盟为了维护人的尊严,对危机隐私的算法决策行为进行严格限制,要求数据驱动企业进行自动化决策时,要征求数据主体的“同意”,且该种同意不能是形式意义上的同意,否则依然是违反法律规定的“数据交易行为”。鉴于“一条条个人信息的价钱少得可怜,除非被收集的数据与更多来自相近社会经济类别的个人数据予以整合并加以利用,否则这些数据将一文不值”。因此,欧盟数据隐私保护规范的内在价值是维护人的自由而不是保护财产自由,这也说明了欧盟的隐私保护规范与美国存在的差异。

GDPR在欧盟国家地区生效,对任何滥用公民数据的数据持有者进行严厉处罚。在课以罚金时,会考虑数据企业对GDPR的违反程度,欧盟委员会特别强调了要加强欧盟与国外从事数据处理业务公司的责任与问责,同时GDPR不仅适用欧盟境内组织,也适用欧盟境外向欧盟国家提供商品或服务的组织。GDPR刚实施不久,Google与Facebook等大型数字公司因强迫用户共享个人数据而被起诉,并且,因其在与其他公司并购过程中,违法使用用户个人数据的行为,涉嫌滥用市场支配地位。因此,在数据驱动企业横向或纵向的合并中,如果涉及滥用个人用户数据,不仅违反竞争规制,也违反数据保护规则。为确保在欧盟地区的业务不受影响,各大跨国数据公司开始对数字业务开展合规风险评估,并积极进行整改,以适应数字经济背景下越来越严格的个人数据保护规范。但是也可以看出,即使基于历史、基于政策的原因,欧盟制定了最为严格的个人数据保护规范,但是在充分强调隐私权保护的基础上依然坚持促进数字经济的发展,由此可以看到欧盟数据保护立法对国际贸易产生的深远影响。

由于个人数据信息的隐私保护在国际层面上尚不存在统一的条约、协定,依据国内法律程序进行起诉和救济就成为当下个人维权的主要途径。从实践层面来看,显然这一国内法律层面的隐私保护条例已经对美欧之间的贸易产生了巨大的影响。

(二)美国模式

美国隐私立法以促进数据自由流动为原则,将隐私立法精神浓缩到CCPA中。与GDPR不同,美国没有将数据隐私作为一项基本权利,而是赋予个人控制隐私数据的权利。虽然美国并没有联邦层面的统一立法,但加利福尼亚州的经济在美国居于举足轻重的地位,除了微软和亚马逊之外的美国互联网公司的总部都设置在加州,这也注定CCPA将对美国的联邦立法产生重要的影响。联邦法律侧重行业部门的监管,各州的法律则侧重保护个人信息不被盗用,实务中美国对于隐私界定的关键在于自然人所享有的“控制权”,即只有本人对其个人数据有控制的权利,即隐私信息的使用与否由个人决定,未经权利人许可他人不得使用,否则为侵权行为。与欧盟基于人格权产生的隐私权保护理论相比,美国将隐私权看作财产权利,应受市场的调控与保护,而隐私数据的来源体——自然人,则是市场中与经营者相对的另一方,以消费者权益保护机制进行保护。

法律之所以赋予自然人对其个人信息的控制权,主要是基于“隐私控制论”,个人是个人数据的决策者,个人享有对个人数据的高度自治权,不论是政府还是企业都无权在本人未授权的前提下处理数据。所以,美国理论界普遍认为,个人数据受到保护的根本原因在于它是一种财产。“个人对他们的个人信息拥有所有权,并且如同财产的所有人那样,有权控制对其个人信息的任何使用。”总体来看,虽然欧美在隐私立法价值取向上存在不同,但均强调个人对个人数据控制的重要性,数据隐私可在满足合法目的条件下进行使用,对滥用隐私数据的行为进行惩处,且均是在促进数据经济的条件下进行数据保护。数据的特征决定了数字市场发展的本质特征是数据自由流动,但是美国与欧盟对个人数据立法的不同倾向,决定了各个国家的立法体例、执法特性。同时,在国家政策的影响下,美欧政府对待数据保护规制的执行与数据企业的数据行为的监管也不同。欧盟严格的数据保护规范对美国数据企业影响巨大,如时常可见的关于Facebook与Google违反数据保护规定被处罚的新闻;美国同欧盟签订的不论是《安全港协议》还是后续的《隐私盾协议》,都可视为美国为了数据业务的持续开展,对欧盟数据保护规则的妥协。因为关于个人数据隐私方面的规定,与欧盟进行数据交易时要更加重视数据合规成本,不仅美国,包括中国在内的部分大型互联网企业也都纷纷对GDPR实施可能产生的风险进行了评估。中国企业在与欧盟开展贸易的过程中,应严格把握数据跨境传输协议、跨境安全传输措施、BCR认证、“必要性测试”和“利益平衡测试”等,避免因跨境传输不当遭受严厉处罚。

(三)中国模式

大数据技术的飞速发展实现了社会的万物互联,生活在网络世界的人们只要进行与网络有所关联的活动就会被数据采集,尤其是现代人在网络世界中文字与图片的公开上传或个人观点评论,均会成为算法进行自动化决策分析的来源。数据驱动者利用这些数据所作的分析是否侵犯了隐私权,以及由此所引出的网络社会隐私权界定一直也是我国法律界存在疑问的地方。隐私权人与其他人(义务主体)在隐私保护与言论表达自由、知情权实现等方面的利益衡量问题,是传统隐私权保护法的立法目的。尽管公共利益是重要的制约因素,但国家尚未以利益主体的身份登场,立法政策倾向于对个人隐私提供“绝对”的保护。但在将数据要素作为生产力的数字经济中,以促进数字贸易的流动与个人隐私权保护为原则,国家从单纯的治理者身份转变为协调者、维护者以及利用者,数据驱动企业成为数字贸易中重要的独立的主体,个人隐私权的有效保护则成为经济发展中的关键环节(要么是桎梏,要么是促进)。有学者认为可将隐私权的范围比作是“一个动态平衡的范围”。从实用主义出发,借助司法个案,展示隐私权的构成要件,从侧面叙明隐私权的具体内涵,对隐私权予以全景式把握。

我国关于隐私权的规定最早见于侵权责任法第2条,继而在网络安全法第44条规定,“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”此时,我国已经基本建立起禁止非法获取或出售个人信息的法律体系框架,至2018年出台的电子商务法第18条规定,“电子商务经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务的搜索结果的,应当同时向该消费者提供不针对其个人特征的选项,尊重和平等保护消费者合法权益。”该条与欧盟的数据保护规则基本接近,即电子商务经营者可以在取得“同意”后对用户的个人信息进行收集、使用并进行分析,但是提供搜索结果时应当同时带有非针对性的选项。这条规定表明,中国以法律限制电子商务经营者对个人数据的任意分析行为,虽然允许以正常的方式收集分析信息,但电子商务经营者对于与消费者隐私直接相关的专有物品不得销售。2017年民法总则第110条再次确认了自然人享有隐私权这项独立的人格权利。另外,2020年5月通过审议的民法典将隐私权与个人信息保护写入人格权编,实现个人信息与隐私权的区分,这在世界范围的个人数据保护规范中,是一次有意义的尝试,表明在数字经济中我国的立法政策既要符合国情又要与国际接轨。这也是对“公民人身自由与人格尊严的基本权利”的贯彻落实。我国现有的数字经济环境下虽然存在大量的信息泄露事件,但还没有一家数据企业像Google、Facebook一样的因侵犯个人隐私而受罚的被诉案件。2020年中国国家计算机病毒应急处理中心在“净网2020”专项行动中通过监测发现,多款民宿、会议类移动应用存在隐私不合规行为,违反网络安全法相关规定,涉嫌超范围采集个人隐私信息。这意味着我国民众目前对个人隐私权保护的意识缺乏,权利被侵犯时起诉数据企业违规行为的情况较少,甚至当用户起诉数据企业侵犯隐私权时,也会因缺少管制或惩处的法律法规,出现无法可依的现象,这从侧面证明了我国当前监管的缺失和处罚力度的不足。

欧盟关于个人数据的立法,呈现出法律效力从弱到强、法律规则从一般到特殊再到抽象、立法体系从碎片化到一体化的渐进特征,以指令立法为起始,初步建构了欧盟数据保护法的法律基础和体系,对“从无到有”建构欧盟数据法而言是符合当时的科技生产力水平与司法实践的,经历了“条例”一体化的规制时期,形成典型的法律工具。虽然参考欧盟的GDPR的立法体系符合中国同为大陆法系立法的特征,但是基于数据要素政策的指引和促进数字贸易发展的考虑,与以“数据基本权利”为基础的欧盟GDPR相比,中国更偏向于以“促进数据自由流动和便捷交易为价值取向”的美国CCPA模式,因为“安全风险防范为主兼顾数字经济发展”的中国数据立法模式与GDPR并不兼容,而“个人信息隐私保护和数字经济发展的平衡”是中国特色的个人信息立法体系将会遵守的主要指导原则。

四、促进数据要素市场发展与隐私保护平衡发展的路径选择

“法律的主要作用之一就是调整及调和种种相互冲突的利益,无论是个人的利益还是社会的利益。”现代数字经济环境中,数据市场体系的完善需要综合、立体的数据保护法律体系的保障。个人数据的利用与隐私权保护的矛盾也需要个人信息保护法的有效平衡。总而言之,数据要素市场中多元利益冲突的缓和与协调需要统筹协调政府、企业、社会组织多方力量,从多层级别法律入手。而对立法模式的选择,应该考虑国际数据贸易大的发展趋向,以中国的现实国情为出发点,并切合国内现有法律制度为目的进行“多元共进,两头平衡”的法律体系构建,充分挖掘和释放数据要素应有的资源价值。

(一)数据要素政策下的多元共进立法趋向

《关于构建更加完善的要素市场化配置体制机制的意见》把数据作为参与分配的要素,将对数字经济的发展起着导向作用,指引数据驱动企业更加重视数据要素以及数据资产管理对数据要素价值的释放作用。其中提出的“推动人工智能、可穿戴设备、车联网、物联网等领域数据采集标准化”,为完善数据市场的基础性制度提供了政策指引。大数据技术的发展使数据逐渐成为支撑业务发展的核心资源,同时由于多源异构数据难以管理、数据质量低下等问题,传统的数据管理体系已无法满足企业基于核心数据资产的管理需求,而人工智能的发展应用尤其需要大量的可用数据。可以说,目前在很多领域并非缺乏数据,而是缺乏标准化的、高质量的可用数据,这极大阻碍了人工智能等新技术的应用。因此,需要进一步发挥行业协会、标准化组织的作用,在各个细分领域逐步建立统一的数据标准、接口和规范。国家可考虑在医疗、交通、制造、农业、能源等战略性领域,推动数据的汇聚整合并建立共同数据空间,解决这些领域中数据分散、不足的问题,以促进人工智能等新产品、新服务的研发应用。并在数据流动方面加强国际合作,积极推动数字经济领域的国际标准设定。一方面,随着中国科技公司全球化发展步伐提速,我国应在数据流动等方面加强国际合作,探索双边、双边的数据自由流动机制,推动数据自由流动符合国家和企业的利益。另一方面,美欧目前在积极建立相关的国际联盟、同盟、“数据俱乐部”等组织,希望主导数据流动、数字税收、数据治理以及人工智能的技术、伦理、治理等方面的国际标准,可能给未来中国科技产业带来影响,为此,中国需要积极参与甚至主导建立数据和新技术领域的相关国际规则,避免被边缘化。

此外,由于数据要素的使用主体和利益关联方众多,在数据要素市场化配置的长期过程中,要注意平衡数据开发利用、开放共享、自由流动、数据权属和隐私安全之间的关系,数据要素市场化配置不仅在当下意义重要,在可预见的未来也会持续发挥重大作用。为更有效落实《意见》相关要求,确保数据要素资源长期发挥价值,应当从顶层设计的角度加快统筹市场政策体系,优化市场管理规则,推进基本制度建设,构建多元共治的数据要素市场治理监管体系。形成体系完备、规则合意、执行有效的中国特色社会主义数据法律体系制度框架,是以数字经济的快速发展与加强个人隐私保护为核心原则的个人信息保护的立法趋势。

(二)数据要素政策下的两头平衡立法模式

在数字经济的利益衡量格局下,实现数据市场化交易和个人信息保护上的平衡(两头平衡)是世界难题,立法首先要平衡各方利益,在立法价值上应注重平衡各方之间关系,包括个人数据的有效保护与开发利用之间的关系、个人安宁和社会发展之间不同利益主体(国家、社会、企业、个人)之间的关系。因此,可以说在国家政策指引下,数据贸易与个人信息的保护横跨民法、行政法、国际法等不同的法律部门,需要立体、综合运用民事、行政、刑事及科技等手段予以保护,建立集合民事、行政和刑事等法律保护的综合性、立体化的立法模式。

1.个人信息和隐私权的区分

在法律上对人信息权与隐私权进行分开保护有充分的理论依据,且根据我国的实践经验,也具有充分的可行性。更重要的是,在明晰个人信息权和隐私权界分的基础上,设置有关个人信息保护的法律规则,对个人信息的收集、利用、存储、传送和加工等行为进行规范,从而形成个人信息保护和利用的良好秩序,既充分保护权利人自身的个人信息权利,也能有效发挥个人信息的价值。

民法典已经作出探索,以“隐私权和个人信息保护”进行专章规定。虽然相关法条内容仍遵循传统的隐私侵权理论,将隐私视为自然人的私人生活安宁等不愿被人知晓的私密权利,但民法典同时将个人信息保护同时写入本章,并以专门列举方式增加了“电子邮箱”与“行踪信息”。其并未直接以个人信息权进行保护,但以个人信息保护进行叙述,表明了我国对于个人信息保护的立法思路是区分私密信息与一般信息的,对于私密信息以隐私权进行保护,对于一般信息明确了个人对于个人信息享有保护的权利,不容他人侵犯。如前所述,既然个人信息权与隐私权之间存在诸多区别,因此,不应将个人信息权理解为是隐私权的一部分。民法典中没有使用“个人信息权”的表述,而是以“个人信息保护”进行规范,这意味着立法机关没有将个人信息作为一项具体的人格权利,而是认为自然人的个人信息应当受到法律的保护。立法者对该条采取了行为规制模式而非权力化模式来保护个人信息,即通过他人行为加以控制的角度来构建利益空间,维护利益享有者的利益。这为未来个人信息法律规范如何在利益上兼顾财产化与数据经济的发展的平衡关系配合预留了一定的解释空间。

在法律上对人格权编个人信息保护与隐私权进行法律规则细化,既有利于界分二者之间的关联关系,维持人格权法内在体系的一致性,也有利于实现对个人信息的保护,且为即将制定的个人信息保护法留下衔接空间。因此,开展个人信息保护的立法工作需要在国家政策指导下梳理、整合、修改和补充原有的法律规范,以此为基础构建个人信息保护法律体系。总的来说,以民法典构建个人隐私权保护的基本依据,以个人信息法构建个人隐私权保护的具体细则,以行政法、刑法等构建个人隐私权保护的救济途径,并在其他相关法律法规中进行衔接条款编制,如网络安全法、电子商务法等。在区分隐私和个人信息后,以充分发挥生产力的促进作用为主对数据贸易进行规制;再将个人信息数据进行级别区分,比如重要数据、一般数据和敏感数据等。所谓一般数据,是可在匿名化的情况下上市交易;重要数据,即金融、行政等数据,可能会威胁公共安全,要特殊对待,予以重点保护;敏感数据,如性数据、基因数据等,较一般数据、重要数据而言,敏感数据与隐私权有着更加密切的联系,不得交易。综上,对个人信息进行分级的标准为“经济利益”、“公共利益”与“人格权益”规则的适用。在具体操作层面,个人信息与隐私权区分的手段需要由国家强制力保证实施,由中央政府政策进行指引,以高层级的法律进行制度规制。

2.数字市场完善与个人隐私保护的平衡

完善的数据市场必然要求生产要素的自由流通。数据流通与个人信息权利保护之间存在一定的矛盾,主要表现为数据分享的效率和个人信息保护之间存在此消彼长的关系。从世界范围来看,如何妥当协调和处理二者之间的关系,是各国法律制度所面临的共同难题。根据前文所述,欧盟立法注重个人信息的保护,美国立法更注重个人信息利用,以提升数据产业的优势地位。但在数字经济的促进中,隐私保护成为两大法系共同的立法趋势。百度公司董事长兼首席执行官李彦宏曾经指出,“中国的用户在很多时候是愿意个人隐私数据去换取更加便捷的服务。”这种以隐私换效率的行为很多情况下是个人对个人数据的授权使用,允许数据驱动企业对其个人信息进行收集、存储、使用等,一方面有利于促进数字贸易的发展,但不断出现数据驱动企业隐私泄露的现象,也反映了这一问题的严重性。因此,为了推进信息数据的流通必须从多角度出发实现个人隐私权利的保护。

(1)国家主导

国家在促进数字经济发展和个人隐私权保护的进程中起着主导地位的作用。主要体现在立法与监管两个方面:一方面,根据我国数字产业形成和发展的基本国情,以数据要素政策为指导方针,推动整个新型法律体系的构建。数字经济中的新型权利具有跨法律部门、多元特征混合、公法私法融合等特点,对于现行法律规范进行新型范式解读,并进行相关修订,如民法总则、刑法、消费者权益保护法、反不正当竞争法等,均在数据经济形成、发展过程中进行了修订;制订新法保护新型权利,规制新型违法行为,如电子商务法、网络安全法等,为数字经济的发展保驾护航;制订统一的个人信息保护法,作为保护个人隐私权的基本法律,协调公法与私法领域内的各项法律规范的衔接与适用。“制定法权威性、强制性与普遍适用性等优势是自律贵方等非正式制度无法企及的,它能够为机构和个人建立稳定的预期从而更加有效地规制其行为。”我国数字经济正处于的高速发展初期,更需要把握住国家的立法趋向,个人信息保护与数据贸易发展的平衡才会有坚实的制度保障。

另一方面,法律的有效性体现在法律的有效实施上。不论欧盟模式还是美国模式,个人对于个人信息的保护核心均在于信息主体对于自己信息的控制权,包括知情权、修改权、删除权、可携带权、被遗忘权等。只要个人信息保护法加以明确规定,权利主体就享有这些具体的控制权利。基于民事权利的性质,主要的保护手段是事后救济以及相应的侵权赔偿,责任形式只能是诸如停止侵害、排除妨碍、消除危险、赔偿损失、消除影响、恢复名誉、赔礼道歉等民事责任,并且需要进行有效举证。但是在数字时代,这种事后救济机制既无法预防泄露、滥用个人信息行为的发生,也无法有效惩罚、威慑违法者。国家有义务建立有效的事前、事中监管与行政执法制度,比如,可以在事前监管中,以科技手段监管科技行为,充分利用区块链等科技特性,建立新型监管模式。另外,除一般的民事侵权行为,依靠民事侵权赔偿机制达到保护私权利的目的,也可以在公法权利框架之下构建监管机制,有效预防损害的发生,保护公民所享有的权利。

同时,在全球数字经济一体化背景下,国家政策、法律的制定有利于提升国内的数据保护标准,对数据驱动企业的境内外业务的发展起到推进作用,更好地参与国际合作,有助于提升我国的国际地位,掌握主导国际数据贸易规则的话语权。

(2)企业自律

企业在数字经济生活中发挥着难以替代的作用,它们是促进数字贸易发展的主力军,在塑造新社会规范。在隐私泄露的案例中,企业多为案件的责任承担者,因此在数据流通与个人信息保护平衡方面,企业需要增强自身数据合规意识。网络安全法第42条规定了企业未经被收集者同意,不得向他人提供个人信息;经过处理无法识别特定个人且不能复原的不属于限制范围。也就是依照现有法律,经过匿名化处理的数据其实是可以交易的,因为这时已是商业化的数据,不再涉及个人信息。与分散的传统线下交易不同,互联网平台天然地伴随着“规模效应”,其带来的是效率的提升与垄断的靠近。随着数字市场的优胜劣汰,少数数据驱动企业平台占据了市场的绝大多数份额,如百度、腾讯、阿里巴巴等,这些超级平台具备了强势的市场支配地位,以排他性竞争、差别待遇等行为,采用数据驱动型策略获取和维持竞争优势。伴随数据经济扩张趋势,大企业越来越大,控制过多消费者日常活动的个人数据,各类企业间的合并也可能导致个人数据被动流出。长远来看,增强企业保护个人隐私的意识有利于企业自身的利益发展,只有尊重用户隐私权的企业可以获得用户的支持,从而使该企业可以获得源源不断的数据,不论是数据储备量还是数据技术的创新发展都会有支持来源。另外,加大企业违法成本,强化其违法获取、使用或泄露个人隐私数据时的法律责任。这样一方面以国家强制力保障法律的实施,一方面由企业自身通过风险合规机制,构建内部的数据流通管理风险控制,与外部的法律规范形成内外的有机统一,以弥补国家法律实施过程中所缺乏的灵活性与具体性。企业的自律,是保护个人隐私权的必不可少的坚实后盾。

(3)个人参与

个人是数据的来源,是数据驱动企业进行算法识别的数据提供者,是国家制定数据政策、数据法律提供数据规制的权利主体。提高个人的隐私保护意识能够提升数字经济的高质量发展,有助于数据要素市场在完善过程中找到最能实现各方利益均衡的平衡点。目前,个人对于个人数据隐私维权的意识淡薄,隐私泄露事件频发,“数字画像”、“大数据杀熟”、“广告定投”等事件成为网络上的热点,但很少有人愿意拿起法律武器维护自己的权利。这与消费者在数据经济中处于竞争链最底端的地位有关,与数字驱动企业相比,个人在收集证据、举证能力等方面处于绝对的弱势一方,所以很多情况下,类似案件都不了了之。另一方面,法律制度尚不健全,个人在使用网络产品时,应该强化个人对本人数据的控制力,增加“同意”规则的授权难度。例如,GDPR对算法决策中的默认同意视为无效、需要经过用户同意才能与第三方共享数据等,用以实现个人对于数据的控制权。在进行数字经济市场化配置时,个人数据要素区别于传统要素资源的特点是虚拟化的要素更易泄露。我国在民法典以及陆续出台的个人信息保护法、数据安全法中,已经明确个人对于个人信息的控制力是个人信息保护制度中的关键环节,需要以法律进行规制。做好数据安全保护才能推动数据要素资源更有效配置,如果没有对个人隐私数据的充分保护,就会导致市场失灵,市场配置资源就不能实现对数据要素的最优配置。

总体而言,我国的个人信息保护立法是以数据要素政策为导向,实现综合性、立体化的立法思路,为了数据市场的完善必须实现个人隐私权利的保护。数字要素政策的提出对促进数字贸易发展和加强个人隐私保护提出了全新的理念和要求,在两者之间找到一个平衡点,使得既能保证企业运用正常收集的数据开展商业活动,又能保护用户的隐私信息不被泄露,保障其正当权利受到侵害时可以得到维权救济,而平衡的实现需要由国家主导、企业自律与个人参与进行具体构建。基于“多元共进”立法趋向下的“两头平衡”立法模式具有鲜明的制度优势,有利于统合现有法律,对个人隐私权进行符合中国国情的全方位保护。

上海市法学会欢迎您的投稿

fxhgzh@vip.163.com

罗培新:疫病境外输入压力日增,外国人可到中国免费医疗?国民待遇,绝不应等于“国民的”待遇

罗培新:“作业帮、题拍拍”等摧毁的,或许是我们最应珍视的价值

罗培新:医护人员“集体放弃”抗疫补助?法理事理情理,理理皆输

曾昕:论瑕疵股权的善意受让

祝振伟 张帆:浅析上市公司越权担保中“善”“恶”区分

贺强 钱晶:金融资产交易所管理规范之反思与完善

俞北瑜 赵步真:我国Bolar例外适用与生产经营目的之关系辨析

王讷敏:论互联网分发、转发新业态下服务提供商的救济路径