要点:
伴随数字化、网络化、智能化的进程,人、物和组织运营日益数据化,数据的收集、分析和应用成为社会有效运营的核心,但是当数据与特定个人相联系在一起,被称为个人信息(又称个人数据),又涉及个人利益(尤其是隐私利益)。如何在个人利益得到保护的前提下,充分利用数据为商业、社会治理等服务,成为当今世界各国关注的话题。尤其是在我国,个人信息非法利用、电信诈骗猖獗给个人信息的正当利用蒙上了一层“非法”阴影。为了促进我国大数据产业的发展,我国亟待在个人尊严和自由保护的高度上制定个人信息保护法,确立与世界接轨的、反映大数据时代特征的个人信息保护原则,建立我国个人信息分类规范体系,明确个人信息正当合法使用的场景和规则,建立事前和事后的隐私风险防控体系,在保护数据上个人利益的同时,促进数据的社会化利用。
一、我国个人信息保护立法的现状和问题
2000年全国人大常委会通过的《全国人大常委会关于维护互联网安全的决定》首次涉及到个人信息保护,但主要涉及侵犯公民通信自由和通信秘密,而非全面的个人信息保护。2003年,国务院信息化办公室就已对个人信息立法研究课题进行部署,2005年《个人信息保护法(专家意见稿)》已经形成,至今未进入正式的立法程序。
2012年全国人大常委会《关于加强网络信息保护的决定》(以下简称《决定》)宣示“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”,并规定了个人信息保护的基本规则,可以说是保护个人信息的基本规范。《决定》所确定的规则被吸收到2013年修正后的《消费者权益保护法》、《网络安全法》等法律中,大致构成我国有关个人信息保护的立法。另外,还有大量的行业性立法(《统计法》、《居民身份证法》等)规定了政府等特殊行业的工作人员的个人信息保密义务或不得泄露义务,也构成个人信息安全保护体系的重要组成部分。
但是,所有这些立法对个人信息保护目的、定位和保护方式存在的许多问题,这些问题不仅使我国个人信息保护规则与国际社会不接轨,而且严重障碍着个人信息的使用,成为大数据应用的绊脚石。
1、过于依赖个人同意或事前控制。自2012年《决定》在法律层面上首次确立了未经个人同意不得收集和使用个人信息的原则后,同意成我国个人信息使用普遍原则。按照我国现行立法确立的规则,一切非经同意的个人信息使用行为均构成侵权、非经同意向第三人提供(即数据流通)即可入刑(构成侵害个人信息罪),使得我国个人信息的利用离开“同意”数据利用则寸步难行。但是,这样的规则并不符合国际规则,欧盟刚刚出台的《统一数据保护条例》(下称《条例》)对于个人信息的使用亦采取的是合法性原则,同意只是一种情形。《条例》明确需要同意的只限 健康信息、性生活、性取向数据,即使个人基因、生物特征也并非绝对需要同意,只是不能够识别而已。因此,我国对消费者个人信息一律采同意原则是与国际趋势不吻合的。而且在效果上,赋予个人信息事先同意也并不能实现保护目的,因为经营者可以利用缔约优势让消费者同意经营者所可能想象出来所有的使用场景。当同意被经营者滥用之后,意味着个人对个人信息就永远失去了控制。
2、个人信息保护的目的和定位狭隘。 欧洲个人信息保护旨在捍卫每个人的个人尊严和保护基本人权和基本自由;美国虽然将个人信息保护纳入隐私范畴,但其隐私涵盖了自由、尊严、自主或独处等,与欧洲具有相同的内涵。这样,个人信息保护法的目的不是保护个人对个人信息的控制、支配,而是在个人信息使用过程中保护个人权益不受侵犯。无论在欧洲还是美国,并没有提出个人信息权或个人信息权,而只有个人信息上的合法利益的保护。虽然《条例》虽然赋予数据主体访问权、更正权、删除权(被遗忘权)、数据可携权等许多权利,但是并没有赋予同意权,就表明了个人信息保护权只在防范个人基本权利(尤其是隐私)不被侵犯,而非对个人信息的支配。
3、忽略个人信息正当使用的保护。无论是国际社会,还是主要国家,有关个人信息保护立法的目的如何在保护个人隐私或基本权利前提下实现个人信息的利用。因此,个人信息的利用(包括流通)是个人信息保护法重要目的。对当今国际社会个人信息保护具有直接影响的OECD的《隐私保护和个人信息跨境流通指南》和欧洲委员会的《个人信息保护公约》均是为个人信息的跨境流通建立国际规则。欧盟之所以制定《条例》也是要彻底扫除个人信息在欧盟成员范围内自由流动障碍,服务于欧盟2015年提出的“数字单一市场”战略。而我国有关个人信息立法的主导思想忽略了个人信息流通使用的事实和需求。在我国所有涉及个人信息保护的法律中,均规定“不得出售或者非法向他人提供”禁止性规定,甚至2015年《刑法修正案(九)》明确:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的处以有期徒刑。在个人信息不作限定和出售或提供个人信息的目的不作限定的情形下,就使现实生活中许多正常的个人信息流通使用蒙上一层违法犯罪的阴影。这非常不利于我国个人信息的正常流通使用,更与国际社会促进个人信息流通使用的精神相违背。
二、制定个人信息保护法,扫清个人信息利用的法律障碍
伴随对个人信息保护强烈需求下,我国已经在不同类型和层次的法律移植国际社会有关个人信息保护的规则,但是由于没有对个人信息的性质、个人信息保护的目的、个人信息保护立法的定位等有正确的理解,分散于各种立法中的个人信息保护规则不仅与国际社会的认知和通行规则相悖,而且障碍着我国个人信息的正当合法的使用,使大数据的应用面临法律上的不确定性甚至困惑。我们认为,只能通过制定个人信息基本法,才能以新法优先旧法、专门法优于一般法的原理修正现行法律中不适当规则,才能统一我国个人信息保护规则,在保护个人权益的前提下,构筑我国的个人信息利用秩序,促进大数据的应用。
《个人信息保护法》应当确立以下个人信息保护原则:
1.确立与世界接轨的、反映大数据时代特征的个人信息保护原则。目前国际社会有关个人信息保护的基本原则形成于上世纪80年代,存在不适用大数据时代的特点缺陷。在人类社会进入到网络化、智能化和数据化时代,数据的应用场景、应用方式、应用手段均发生了巨大变化,国际社会一直在反思和重构个人信息保护规则和方式。相对于其他国家而言,我们更有条件认真学习和研究其他国家的个人信息立法的经验,考察这些法律的实施效果,提出既与国际社会接轨,又适合我国国情个人信息保护原则,以指导整个立法和我国个人信息保护规则的适用。
2.在个人尊严和自由保护的高度上定位我国的个人信息保护法。我国之所以在个人信息保护认知和保护规则方面存在偏差,主要在于将个人信息保护与人格权保护、隐私保护混同,错误地认为只要赋予个人对个人信息的排他支配权(表现为“非经同意不得使用”)就可以解决个人信息保护问题。实际上,个人信息的非个人属性决定了我们不可能赋予这样的权利,即使可以赋予这样的控制权,但因个人信息使用场景的多样性,我们也很难实现对个人信息的控制。因此,我们应当借鉴欧盟《条例》通过立法对个人信息控制人或使用人施加全面的保护义务的角度来保护个人权益的,而不是单一地赋予个人权利。
3.建立我国个人信息分类规范体系。由于个人信息属性和作用多样,因而应当根据不同类型的数据从平衡各方利益的角度确立不同的规范。从各国实践来看,识别和敏感性是个人信息分类的两个维度,只能在清晰界定个人信息类型基础上,采取分类规范的模式,根据不同使用行为、不同的场景(比如原目的范围的使用,超越收集目的的使用、提供第三人使用等)建立不同的个人信息利用规范,以使个人信息得到利用的同时,不会侵犯个人权益(包括隐私),使任何侵害行为能够得到救济。
4.坚持国际社会通行的个人信息收集和使用的合法性原则,明确个人信息正当合法使用的场景和规则。为了给个人信息确立明确使用规则,法律应当直接规定个人信息合法使用的情形,并明确哪些情形下需要征得数据主体的同意,哪些情形需要事后拒绝(退出机制);在需要同意情形下,同意应当满足的条件,以切实保护个人的隐私利益。要建立明确的个人信息合法适用规则,建立清晰的个人信息流通使用规则,使个人信息在合法合规的前提下,可以进行多用途的开发利用,为各种场景的应用提供规则。
5.建立事前和事后的隐私风险防控体系。隐私安全既关系个人利益,也关系公共安全,需要通过立法建立事前和事后的隐私安全防范体系。一方面,要引入世界各国公认默认隐私保护方法,将隐私保护贯彻到系统设计中,贯彻到企事业单位的日常管理流程和制度中,加强企业组织对隐私风险的防范和控制;另一方面国家也应成立专门的个人信息保护或隐私保护机构,统一和协同执法,加强国家对个信息滥用惩处力度,打击个人信息的非法买卖和非法提供,尤其是盗卖直接识别个人身份信息,从事违法犯罪目的的犯罪行为,为个人信息的合法利用提供良好的环境。
责任编辑:马小涵