2003年,中国国务院信息化办公室着手部署个人信息保护法立法研究工作。
2018年9月,全国人大常委会正式将《中华人民共和国个人信息保护法》纳入“十三届全国人大常委会立法规划”,位列“条件比较成熟、任期内拟提请审议”的69部法律草案之中。
2020年10月21日,中国人大网如期公布《中华人民共和国个人信息保护法(草案)》(下简称“《个人信息保护法(草案)》”)全文,并对其公开征求意见。
17年间,中国和世界的技术、经济、社会和政治格局均已发生了深刻变化。互联网、5G、大数据等技术的不断发展,在推动数字经济繁荣的同时也令个人信息与隐私保护成为社会面临的全新挑战,一些企业、机构违法获取、过度使用、非法买卖个人信息等问题突出。经济利益与个人权益的矛盾愈发凸显。
“世易时移,变法宜矣。”作为数字社会的基础性法律制度,个人信息保护的立法理当与时俱进,以回应不断涌现的新需求和新问题。
作为首部专门规定个人信息保护的法律,《个人信息保护法(草案)》在正式出台后,将成为个人信息保护领域的“基本法”。而其又能否但此重任,破解数字经济发展与个人权益保护前行之路上的重大关隘?
数据挖掘和个人保护的对立矛盾
《个人信息保护法(草案)》的时代价值源于信息数据的挖掘利用与个人保护之间的对立矛盾。
数字经济时代下,数据(信息)正成为科技创新的突破点,是数字经济的核心生产要素,也是经济转型和创新发展的新引擎。对企业来说,数据是21世纪的石油;对政府来说,数据则是基础性的战略资源。数据的挖掘和利用已在商业(尤其是零售业)、公共卫生和安全、个人消费升级等领域创造了许多价值,数据的更多潜在用途也被社会所期许。
另一方面,随着数字化生存的来临,不论是“自然人”,还是“经济人”、“社会人”,在信息经济和数字社会的浪潮中皆变成“数字人”。被电子化收集、存储、利用的个人信息不但构成了每个人虚拟人格的构成要素,而且延伸到现实生活之中,成为人们名誉、财产乃至生命的无形接口。
此起彼伏的大规模用户数据泄露事件凸显了任意使用数据(信息)的潜在危害,数据的泄露和滥用将伤害个人利益,对个人基本权益造成负面影响进一步将影响社会稳定。
信息数据的挖掘利用与个人保护令关于数据(信息)的讨论往往陷入利益二元对立的困境,比如,个人信息保护的倾斜是否会损害创新发展?而创造更为宽松法律制度时,是否意味着伴随的风险增大?当前对于国民而言,如何让自己的各种行为与信息大数据不被各种平台与商家,以人工智能的方式无良的消费与应用是个迫切需要解决的问题。
在个人信息保护的倾斜方面,欧盟《通用数据保护条例》(GDPR)出台以后,大量欧洲中小企业因为承受不了高额的合规成本,其创新能力明显不足,难以支撑和发展。然而,大型企业的垄断能力却得到了强化。事实上,GDPR的目的之一就是规制谷歌、脸书等大型企业,结果立法目的却并未完全实现。
而相对宽松的法律制度则“大道以多歧亡羊”。我国个人信息保护的立法缓慢,尽管在这个过程中数字经济得到了快速发展,但同时也造成个人信息数据泄露的频发。
显然,个人信息保护制度设计并不是如此简单的二元选择,特别是当前围绕数据政策讨论的历史背景正在发生巨大变化,从传统单向的、静止的“个人信息保护政策”向多维的、互动的“数据治理”政策框架转变。
这些复杂因素代表了从三个视角出发的利益诉求:从个人视角出发的权利保护诉求;从产业视角出发的创新、发展、竞争需求;从国家视角出发的数字经济国际竞争力和数据主权安全需求。
同时,这三个视角并不是孤立存在的,而是彼此紧密联系、互动影响。不论是个人基本权益的保护还是数字经济产业的健康发展,抑或是国家数字利益的保障,都应该在市场中形成一种健康的、良性机制。此次《个人信息保护法(草案)》的公布则有望为这种健康良性的市场机制提供框架。
数据人格和数据资产的博弈与权衡?
如前所述,在世界数字化转型的背景下,个人“数据人格”和企业“数据资产”的重要意义与日俱增。近年来,个人信息的边界不断向生物识别信息、基因信息拓展,数据作为关键生产要素已被中央文件所确认。
如何平衡个人信息保护和大数据利用之间的关系,成为了《个人信息保护法》的首要定位问题。《个人信息保护法》基于这一定位,也对这一利益衡量进行了妥善的处理。
首先,草案第一条开宗明义,将“保护个人信息权益、促进个人信息合理利用”作为二元并置的立法目标,旨在实现个人信息保护与利用二者的平衡。在保护个人信息的基础上合法利用个人信息,在合法利用个人信息的过程中持续保护个人信息。
草案第二条则明确指出“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益”。相较于《中华人民共和国民法总则》和即将生效的《中华人民共和国民法典》,《个人信息保护法》首次提出自然人享有“个人信息权益”。这意味着在法律层面,虽然因为争议较大未定性为“个人信息权”,但若个人信息被侵犯将能够得到更多的救济。这对于个人信息保护而言,无疑是利好消息。
其次,在延续以“可识别性标准”界定个人信息之做法的基础上,《个人信息保护法》采纳了《信息安全技术个人信息安全规范》中的“匿名化”和“去标识化”概念,为企业的数据处理留下了可预期的空间。
无论是《网络安全法》还是《民法典》,在对个人信息界定时都未明确排除匿名化信息,这可能加重个人信息处理者的负担,妨碍其数据权益。
《个人信息保护法》将经过匿名化处理的个人信息排除在受保护的个人信息之外,一方面坚持了个人信息保护上“个人在通过何种信息向外界进行自我展示上的自我决定权”之核心考虑,另一方面也为个人信息处理者更加便利的使用经过匿名化处理的个人信息这一数据预留了可能性。同时,通过对匿名化和去标识化作区别化处理,《个人信息保护法》也充分保护了个人信息主体的权益。
最后,《个人信息保护法》的第十三至第二十八条中,确立了以“告知-同意”为核心的个人信息处理规则体系,明确了处理个人信息的合法性基础。作为《个人信息保护法(草案)》最核心、最重要的改动之一,其大范围扩充了处理个人信息的合法性基础。
事实上,讨论个人信息往往绕不过去“同意”,“同意”是最复杂、最难的问题。《民法典》中的意思表示分为是明示和默示,草案中则包含单独同意、自愿明确同意、书面同意、重新取得同意。
虽然《草案》规定了严格的知情同意规则,甚至规定在有的情况下法律、行政法规可以要求个人信息处理者必须取得单独同意或者书面同意,但是与现行立法相比,《草案》充分考虑到了例外情况,对无需获取同意的情形作出了详细的规定。
此外,《草案》还规定在个人信息泄漏的情况下如果采取措施能够有效避免信息泄露造成损害的,可以不通知个人信息主体。这些都体现了立法者在保护个人信息权益的同时充分考虑个人信息处理者数据权益的审慎考量。
从处理个人信息合法性基础的演变看,《网络安全法》第四十一条第一款明确了收集使用个人信息的合法性基础为“被收集者同意”,这使得《网络安全法》自生效以来,已经成为了同意收集使用个人信息的唯一的合法性基础。
《民法典》第一千零三十五条第一款第一项沿用了“同意”的合法性基础,但也留下了“法律、行政法规另有规定的除外”的例外规定。随着《个人信息保护法(草案)》的面世,前述《民法典》指向的例外规定浮出水面,实现了法律之间的有效衔接。
世易时移,变法宜矣
除了个人基本权益的保护和数字经济产业发展间的平衡,《个人信息保护法》还为国家机关处理个人信息打造制度之笼。疫情期间,健康码成为流动性治理和科技抗疫的关键助力。同时,又因为个人信息的共享、汇聚和自动化处理,引发了诸多争议。
但是,《个人信息保护法》中,就明确了国家机关应承担与企业同等的数据处理义务。为规范政府权力,草案从程序与实体加以限制。前者要求除保密或妨碍国家机关履行法定职责,国家机关均应履行告知程序并取得同意;后者要求个人信息处理不得超出履行法定职责所必需的范围和限度。
在未来服务型政府以及智慧城市建设的背景下,政府将成为最主要的数据处据机构,这更加凸显了《个人信息保护法》的重要性。法律规则的建立,有利于我国与国际通行规则接轨,提升国家与企业形象,助力企业海外发展。
显然,作为首部专门规定个人信息保护的法律,《个人信息保护法》满足了人们的期待。其立基于清晰的定位,保证了整部立法总体而言具有妥当性。
从我国立法现状来看,对个人信息作出了规定的法律包括《网络安全法》和《民法典》,新近修订的《未成年人保护法》也对未成年人的个人信息保护作出了规定。
这意味着,对于《草案》来说最重要的就是既要保证与《网络安全法》和《民法典》之间的衔接,又要注意不能把这种立法衔接完全演变成对二者的具体化。从《个人信息保护法》来看,立法者准确而妥善的把握住了这一关系。这让《个人信息保护法》既成为《民法典》和《网络安全法》的特别法,又扮演了个人信息保护领域一般法的角色。
中国和世界的技术、经济、社会和政治格局均已发生了深刻变化。中国数字经济正在加速发展,但风险暴露也较为充分。当前国际局势复杂,数据已经成为博弈的焦点。
“世易时移,变法宜矣。”《个人信息保护法》既要回应我国实践难点,结合中国经验进行创造性转化,又需兼顾数字社会发展大势。在肯定其时代价值的同时,也要建立更体系化的认识,在包容中发展和创新。