个人信息保护与商业化利用的利益平衡
发布日期: 2020-04-21 供稿:人民政协报
编辑:吴楠 审核:刘晓俏 阅读次数:原文标题:个人信息保护与商业化利用的利益平衡
原文链接:http://dzb.rmzxb.com/index.aspx?date=2020-04-21&verOrder=08&banzi=7&paperType=rmzxb
2020年4月9日,中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)。值得关注的是,数据作为一种新型生产要素写入了《意见》,“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”
个人数据的保护与利用是数据产业发展的重要内容。传统民法对个人信息的关注集中在隐私权的保护,立足点在于个人生活安宁不受破坏,个人信息公开受主体控制并最大限度被尊重。大数据技术出现后,个人信息更多更频繁地被进行数据化加工,浩如烟海而又杂乱无序的个人信息由此转化为个人数据,并借由大数据分析产生商业利用价值。
平衡好个人数据及商业化利用之间的关系
当下现实中,个人数据商业化分析使“千人千面”的个性化服务成为可能,但精准的个性化信息推送、定向广告投放、大数据杀熟、大数据平台的数据泄露丑闻等,都让我们对大数据时代个体“裸奔”产生了深深的不安和忧虑。一方面,我们希望个人信息得到控制,另一方面也期望享受数字科技提供的免费且优质的产品或服务。而对于数据产业来说,如果法律对其施加严苛的义务和责任,加大其数据开发的成本,则会破坏其投入的激励,阻碍数据产业发展的节奏;这不仅使得社会公众无法享受技术进步带来的福祉,也会让我国在数据产业国际竞争格局中落后势弱。此外,随着数据产业的市场细分深化,数据开发者之间的利益冲突加剧,纠纷频现。因此,法律必须看清个人信息主体与数据开发者、数据开发者相互之间的真实利益诉求,分析其利益诉求背后值得保护的法益,合理平衡各主体之间的利益。
个人数据首先依附于主体产生,只有真实的个人才产生真实有价值的个人数据,这也是商业化利用的根本所在。个人数据所传达的信息是人们现实生活在互联网上的“镜子”,其展示现实生活的方方面面。大数据的分析整理就是从海量数据中精粹出相关联的可推断实际事实的过程。个人信息在法律上属于人格权规范和保护的范畴,个人数据来源于个人信息,每个数据主体的贡献有限,但个人数据海量聚合并经过加工分析后就会产生巨大的价值。“价值密度低”是大数据的特点,但通过集合形成“高商业价值”。数据商业化加工和利用的“价值贡献”因此产生,是个人数据商业化利用过程中个人数据保护模式选择中必须考虑的重要方面。从利益衡量的角度来看,法律应当在保护个人信息主体隐私和现有权利不受侵犯的基础上,考虑数据集合的创造者与收集工作的提供者的贡献。而从价值产生来源看,每个主体对个人数据样本都有贡献,但并不必然因为缺失某个主体而丧失价值,因此在商业化利用过程中需要淡化个人数据的人格属性,加强其财产属性,这样做有利于促进个人数据流转,进而防止个人数据的人格依附产生数据流转的不确定性。
个人数据保护的法律应对迫在眉睫
个人数据保护的现实需求已经走到了法律规制的前面,法律的应对迫在眉睫,主要集中在以下方面:一是数据利用过程中数据开发利用方与用户之争,如用户名或密码被大量泄露、大数据杀熟;二是数据平台在个人数据争夺过程中的竞争纠纷,如API接口超范围获取个人信息等;三是数据相关的反垄断与个人信息的对外提供;四是数据跨境以及数据证据相关的司法主权问题。
从全球看个人信息保护,有关个人数据的一系列问题首先在公法领域得以体现。基于对个人数据中人格属性的重视,欧盟一开始就将其提升到人权保护的高度,只是随着个人数据商业价值的显露,才逐渐认可其可流通性。欧盟立法之最近集成《通用数据保护条例》(GDPR),将个人数据保护提升到基本权利的高度。美国则从消费者隐私的视角加以保护。
目前来看,个人数据应为综合立法,走公法与私法结合之路已成为主流观点。顺应这种趋势,我国2012年12月28日通过的《全国人大常委会关于加强网络信息保护的决定》,以及2017年6月1日施行的网络安全法都对个人信息保护提出了要求。之后修订的民法总则将个人信息在人格权方面部分予以保护。目前正在修订中的民法典也致力于将人格权编中的个人信息保护条款予以细化。同时,个人信息保护法已纳入十三届全国人大常委会未来5年的立法规划。
从刑事法律规范来看,2009年,全国人大常委会通过刑法修正案(七),其中增设“侵犯公民个人信息罪”。2018年刑法修正案(九)将该罪主体由特殊主体改为一般主体,提高最高刑刑期到7年有期徒刑的同时又增设了从重处罚的规定。2017年,最高法、最高检联合发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,进一步完善了有关侵犯公民个人信息犯罪的具体标准,强化了对公民个人信息的保护。
国家基于公共利益的目的索取个人数据的法律考量
对于国家能否基于公共利益的目的直接向数据开发者索取其收集的个人数据,我国部分领域的立法中已有涉及。电子商务法第25条规定:“有关主管部门依照法律、行政法规的规定要求电子商务经营者提供有关电子商务数据信息的,电子商务经营者应当提供。有关主管部门应当采取必要措施保护电子商务经营者提供的数据信息的安全,并对其中的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。”
从域外经验来看,2018年4月,美国通过《澄清境外数据的合法使用法案(CLOUD)》,这是一部监视存储在境外的公民信息的法律。依据这部法案,美国联邦调查局(FBI)得依据法院颁发的搜查令直接访问境外的数据,这些数据包括其公民在境外计算机上的电子邮件及其他个人信息。同时,该法案以数据控制者作为行使管辖权的标准。也就是说,借助跨境数据控制者,美国政府可直接从其境外服务器调取相应数据,至于何种情况不应直接调取,裁量权在美国法院。
建议对个人数据商业化利用进行规范
对于个人信息以及个人数据商业化利用的规范,笔者建议:
一是对个人数据进行精细化分类。
可以参考欧盟、德国等划分敏感数据与非敏感数据的做法,结合我国具体实践,准确划分数据敏感层级、覆盖范围、保护手段等,并依照不同风险等级划分安全保护层级,建立风险评估和防范应急制度,落实各主体相应的法律责任及其对应的处罚,并依据数据主体的特性及其关联性权衡相应的法益,将个人数据依照不同场景进一步区分,如身份数据、行为数据、内容数据等。与此同时,要特别关注老年人和未成年人的数据权益,构建同个人数据分类保护制度相适应的商业化规则。
二是建立体系化的数据监管部门。
针对当下数据产业的监管呈现多头管理模式,我国各监管部门的做法是在原有职权上进行适当的扩充,以此涵盖其自身甚至其他有关部门的数据保护问题。将数据保护问题分散给各方分别解决的模式,其优点在于能够贴合各行业特性,充分联结各行业与其特定的数据。但以发展的眼光看,大数据相关产业的监管不应该囿于各具体职能部门的特定职权,这样的分散监管使得监管主体数量增多、权力交叉、职责混淆甚至推脱,因而建立专门的独立的个人数据监管部门是非常有必要的。
三是建立可信任的数据交换和访问机制。
对于个人数据来说,其“富矿”的属性在于作为分析样本为预期形成的解决方案提供支持,同样的一份数据基于算法的不同和算力的差异可能形成不同的解决方案和分析结果。但对于数据产业和数字经济来说,数据在各方主体之间的流动是数据产生价值的基础,如果数据链条中的每一个节点都固守自己享有的数据,必然会导致“数据孤岛”,从而阻碍和降低数据带来的创新。因而,在尊重数据利用基本原则的基础上,设立一个数据交换和数据访问的机制,通过设立相应的机制达到更为便捷、自动化的交换和访问数据,可以更好地鼓励产业间的数据合作和科技创新,同时保障数据市场的良性发展与活力。
个人信息保护与个人数据商业化利用之间的利益平衡,不仅要着眼于个体与商业主体,还要结合公共利益与国家安全以及国家战略加以考虑。一方面要注意保护个人的隐私及敏感信息,另一方面也要兼顾数据产业发展,同时对个人数据所涉及的国家安全和数据主权问题要进行“顶层设计”。
(作者杜颖系中央财经大学教授;王磊系北京理工大学博士后研究员)
分享到: