【论坛实录】聂正军:个人信息保护立法中的利益权衡

2020年11月7日,由上海市法学会网络治理与数据信息法学研究会主办,华东政法大学数据法律研究中心、互联网法治研究院和上海交通大学知识产权与竞争法研究院共同承办的“第三届中国数据法律高峰论坛暨上海市法学会网络治理与数据信息法学研究会2020年年会”在上海举行。年会以“个人信息保护与数据要素市场建设的冲突与协同”为主题,138位来自产学研的专家学者出席,为数据信息法学发展与网络社会治理贡献智慧和方案。

本次论坛分为“主题演讲”与“专题研讨”两个环节,其中主题演讲环节共有7位专家学者展示自己的观点和见解,我们将陆续推出每位专家的精彩发言。

论坛上午议程主题为“数据要素市场对个保法的冲击与挑战”。蚂蚁金服集团首席隐私官、上海市法学会网络治理与数据信息法学研究会副会长聂正军探讨个人信息保护立法中的利益权衡。

(以下是根据现场录音整理的发言内容)

《个人信息保护法》立法之时机,也是进行制度创新的机会。首先,《个人信息保护法》与其他传统法律的立法过程不同,该立法吸取了其他国家相关立法的经验和教训。截止到2020年9月,全球范围内已经有超过一百三十个国家(地区)制定了个人信息保护法,这些国家在执法和司法过程中积累的有关个人信息保护的经验,为我国《个人信息保护法》立法提供了经验参照。我国数字经济市场发展活跃,是制定新规则、进行制度创新的契机,并且可以将国内的规则推向国际,转化为国际规则。

举例言之,欧盟GDPR条文中赋予了个人信息主体撤回同意的权利,我国的《个人信息保护法(草案)》中也赋予个人用户此项权利。但是,GDPR在实施过程中,撤回同意实际是非常困难的。GDPR设定了高额的罚款,目前为止,还没有顶格罚款的案例,GDPR此项设定并没有达到预想的威慑效果。对于受关注度小的初创企业,受处罚的概率较低,更有可能铤而走险。对于成熟的跨国企业而言,企业的一举一动都在公众的视野中,更容易遭受处罚。也就是说,欧盟GDPR框架下的罚款对象主要是美国的互联网巨头企业。

其次,《个人信息保护法(草案)》涉及三个重要参与者,一是政府,二是企业,三是个人。如何平衡政府、企业和个人三方利益,在《个人信息保护法》制定过程中显得尤为关键和重要。世界经济论坛很早就提出,个人信息保护要平衡政府、企业、个人三方利益,任何一方力量太强、作用太大都会带来风险。一是企业如果不受限制地收集和使用数据,用户可能将不再使用该企业的服务,并进一步限制数字经济的发展和繁荣。二是政府不能无限制地从企业或者其他途径获取个人信息,减损公众对于政府的信任。三是用户不能要求超出技术实现范围的个人控制权利。因此,立法应当采用激励所有利益相关者的方案,增强社会的信任基础。政府有效监管企业,企业推动个人信息保护,用户获得个人数据中创造的价值,从而更有信心分享个人信息。这三方的平衡也体现在《个人信息保护法(草案)》中。

再次,应当建立个人信息保护与产业发展相平衡的制度体系。可以从两个方面考虑:其一,《个人信息保护法(草案)》中同意制度是关键性的平衡规则。《网络安全法》的条文把同意规则设计为合法性基础,《个人信息保护法(草案)》则把同意作为处理信息的合法性基础。但是《个人信息保护法(草案)》条文中没有涉及企业数据处理活动中正当合法地应用数据。企业在数据处理活动中有自身的正当利益或诉求,《个人信息保护法》应当对企业正当的数据处理活动进行回应。其二,《个人信息保护法(草案)》创造了一个全新的规则,即“单独同意”,以实现数据价值发挥和个人信息保护之间的平衡。面对日益频繁的数据流动,仅仅靠同意规则不能平衡个人信息保护与产业发展。需要在制度中设计“尽职免责”等原则激励企业提高数据安全和隐私保护的水平。

最后,实质性的平衡依赖于技术。保护隐私数据安全的技术同样处于高速发展的阶段。建议在《个人信息保护法(草案)》中加入倡导和鼓励企业在隐私和数据安全的保护技术上进行创新的条文。《个人信息保护法(草案)》的价值取向是保护个人权益和企业的正当权益。但是,站在我国乃至全世界的数字经济发展阶段的角度,《个人信息保护法(草案)》亦可以加入国家安全等价值取向。站在国际竞争的角度,在未来,数据越丰富的国家越安全,数据越丰富的国家越有竞争力。数据已经成为新的生产资料,如何有序地创造更多的生产资料,让这些生产资料充分的发挥作用,同样也是制度设计中需要思考和回应的问题。



责任编辑:马小涵