保護(hù)還是發(fā)展

張問(wèn)之

2014年11月，馬云在首屆互聯(lián)網(wǎng)大會(huì)上提出“DT（DataTechnology）時(shí)代”，他認(rèn)為，人類已經(jīng)從“IT時(shí)代”走向“DT時(shí)代”，顯著的特征是人們的生活被大量數(shù)據(jù)嵌入和包圍，對(duì)數(shù)據(jù)的依賴越來(lái)越強(qiáng)。“DT時(shí)代”帶來(lái)了生活的急速變化，加強(qiáng)隱私保護(hù)，為消費(fèi)者個(gè)人信息安全提供法律和制度保障成為迫切需求。

過(guò)去十年間，我國(guó)已經(jīng)有多部法律、法規(guī)、規(guī)章涉及個(gè)人信息保護(hù)。比如刑法、民法總則、消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)安全法、電子商務(wù)法等。但是從總體上看，呈現(xiàn)分散立法狀態(tài)。2019年3月4日，在十三屆全國(guó)人大二次會(huì)議新聞發(fā)布會(huì)上，大會(huì)發(fā)言人張業(yè)遂答記者問(wèn)時(shí)表示，個(gè)人信息保護(hù)法已列入本屆立法規(guī)劃，“相關(guān)部門正在抓緊研究和起草，爭(zhēng)取早日出臺(tái)”。

陸續(xù)立法

從立法實(shí)踐來(lái)看，對(duì)個(gè)人信息的保護(hù)從來(lái)都不曾被遺忘。

2009年《中華人民共和國(guó)侵權(quán)責(zé)任法》首次確定隱私權(quán)的法律地位。該法明確了隱私的范圍，指出自然人享有不受他人侵?jǐn)_、知悉、使用、披露和公開(kāi)的權(quán)利。之前我國(guó)對(duì)隱私權(quán)的保護(hù)一般采用間接保護(hù)的方法。同年《刑法修正案（七）》設(shè)立了出售、非法提供公民個(gè)人信息罪與非法獲取公民個(gè)人信息兩個(gè)罪名。

2013年修訂的《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》明確將個(gè)人信息得到保護(hù)的權(quán)利列為消費(fèi)者的一項(xiàng)基本權(quán)利。之后的立法和相關(guān)制度則更多地考慮到互聯(lián)網(wǎng)發(fā)展，對(duì)相關(guān)方提出了要求。2016年《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“網(wǎng)絡(luò)安全法”）獲得審議通過(guò)，明確規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)商的制度建設(shè)義務(wù)、公示義務(wù)、信息安全維護(hù)義務(wù)、告知及報(bào)告義務(wù)。

2017年中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù)個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《規(guī)范》），《規(guī)范》以國(guó)家標(biāo)準(zhǔn)的形式，對(duì)個(gè)人信息收集、保存、使用、流轉(zhuǎn)等環(huán)節(jié)提出要求，《規(guī)范》起草組成員、中國(guó)信息安全研究院副院長(zhǎng)左曉棟稱，該規(guī)范“非常明確地把網(wǎng)絡(luò)安全法原則性的規(guī)定給落地了”。

“保護(hù)法”出臺(tái)難

對(duì)個(gè)人信息保護(hù)法的關(guān)注早在2003年就開(kāi)始了，當(dāng)時(shí)的國(guó)務(wù)院信息化辦公室正式部署了立法研究工作，2005年相關(guān)專家完成了《個(gè)人信息保護(hù)法（專家建議稿）》（以下簡(jiǎn)稱“專家建議稿”），該建議稿并沒(méi)有進(jìn)入正式的立法程序。

據(jù)騰訊研究院資深專家王融在《我國(guó)（個(gè)人信息保護(hù)法）立法前路》一文中介紹，網(wǎng)絡(luò)社會(huì)的有序運(yùn)行建立在消費(fèi)者、企業(yè)、政府三方良好互動(dòng)的基礎(chǔ)上，網(wǎng)絡(luò)安全法和電商法分別代表政府、市場(chǎng)在網(wǎng)絡(luò)空間中的法律利益訴求，個(gè)人信息保護(hù)法將代表消費(fèi)者。

“在網(wǎng)絡(luò)時(shí)代個(gè)人與企業(yè)相比處于相對(duì)弱勢(shì)地位，這是個(gè)人信息保護(hù)立法的根本原因。”負(fù)責(zé)專家建議稿起草撰寫的中國(guó)社科院法學(xué)研究所研究員周漢華在接受記者采訪時(shí)說(shuō)道。

王融認(rèn)為，近年來(lái)的分散立法一定程度上回應(yīng)了公眾對(duì)個(gè)人信息保護(hù)問(wèn)題的關(guān)切，但在法律環(huán)境的實(shí)際改善方面其作用十分有限，“最主要的原因在于現(xiàn)有分散立法有相當(dāng)一部分是原則性、宣誓性條款，并沒(méi)有對(duì)實(shí)踐產(chǎn)生直接影響。”

浙江墾丁律師事務(wù)所主任張延來(lái)回顧了近十年信息社會(huì)的飛速發(fā)展，他告訴記者：“個(gè)人信息的保護(hù)與大數(shù)據(jù)產(chǎn)業(yè)等重要經(jīng)濟(jì)形態(tài)息息相關(guān)，當(dāng)時(shí)貿(mào)然立法反而會(huì)帶來(lái)很多不可預(yù)知的問(wèn)題。”分散立法也不失為有益的嘗試和鋪墊。

數(shù)據(jù)安全公司昂楷科技CEO劉永波也從行業(yè)角度分析道：“從信息安全技術(shù)發(fā)展來(lái)看，當(dāng)時(shí)我國(guó)的IT基礎(chǔ)設(shè)施，尤其是在信息安全方面還相對(duì)落后，立法可能存在這方面的顧慮。”

但王融指出，在我國(guó)幾乎沒(méi)有隱私權(quán)保護(hù)傳統(tǒng)的法律國(guó)情背景下，用戶并不清楚關(guān)于個(gè)人信息自己可以主張哪些基本權(quán)益。分散立法，導(dǎo)致“用戶維權(quán)時(shí)面臨‘防范難、舉證難、索賠難’等一系列難題”。

此外分散立法缺乏專門的個(gè)人信息保護(hù)機(jī)構(gòu)，主要是各行業(yè)主管機(jī)構(gòu)進(jìn)行監(jiān)督管理，“例如金融行業(yè)的用戶個(gè)人信息保護(hù)工作，由央行主管;醫(yī)療行業(yè)的用戶個(gè)人信息保護(hù)工作，由衛(wèi)生部門管理;互聯(lián)網(wǎng)領(lǐng)域的用戶個(gè)人信息保護(hù)工作，由工信部主管;消費(fèi)者個(gè)人信息保護(hù)，由工商總局主管。上述監(jiān)管邊界有著明顯的重合地帶，但由于分散立法并未涉及職責(zé)邊界問(wèn)題，個(gè)人信息保護(hù)領(lǐng)域事實(shí)上淪為管理的灰色地帶。”

存在很大爭(zhēng)議

近年來(lái)，個(gè)人信息保護(hù)法的呼聲越來(lái)越高，就立法而言，目前還存在較大爭(zhēng)議。“怎樣平衡保護(hù)和發(fā)展的關(guān)系是立法比較大的難點(diǎn)。”周漢華說(shuō)道。

此外，個(gè)人信息權(quán)利的屬性及保護(hù)的側(cè)重點(diǎn)是什么？個(gè)人信息與商業(yè)數(shù)據(jù)的邊界在哪里？這些爭(zhēng)議考慮到了保護(hù)個(gè)人信息和促進(jìn)行業(yè)發(fā)展的關(guān)系，試圖實(shí)現(xiàn)兩者的平衡。相關(guān)法律及制度條例的出臺(tái)也是對(duì)這些問(wèn)題進(jìn)行厘清。

事實(shí)上，個(gè)人信息保護(hù)與行業(yè)發(fā)展之間的平衡背后，涉及更基礎(chǔ)的個(gè)人信息歸屬權(quán)及權(quán)利屬性等基本問(wèn)題。暨南大學(xué)新聞與傳播學(xué)院林愛(ài)珺教授告訴記者：“個(gè)人信息涉及的范圍很廣，不僅關(guān)系到個(gè)人同時(shí)涉及在各個(gè)行業(yè)和國(guó)家層面的使用;權(quán)利屬性也比較復(fù)雜，如財(cái)產(chǎn)權(quán)、人格權(quán)等基本理論問(wèn)題，在這方面仍存在爭(zhēng)議;同時(shí)還需要考慮到跨境數(shù)據(jù)的傳輸和域外數(shù)據(jù)管理等問(wèn)題。背后還有很多理論和現(xiàn)實(shí)問(wèn)題沒(méi)有厘清，這也是立法的難點(diǎn)。”

在周漢華看來(lái)，個(gè)人有對(duì)自己信息進(jìn)行控制的權(quán)利不容侵犯，在全世界范圍內(nèi)已是共識(shí)。在此基礎(chǔ)上，個(gè)人訪問(wèn)網(wǎng)站、電子商務(wù)等在線活動(dòng)所形成的信息，企業(yè)對(duì)其進(jìn)行收集、處理、加工所形成的信息，企業(yè)有經(jīng)營(yíng)權(quán)利，同時(shí)也應(yīng)該采取措施進(jìn)行保護(hù)。“兩者都有權(quán)利的情況下，權(quán)利的邊界在哪里很重要，需要明確界定。這是個(gè)疑難問(wèn)題，但是這一問(wèn)題的解決并非想象的那么困難。”周漢華解釋道。

GDPR或可借鑒

面對(duì)個(gè)人信息保護(hù)法諸多爭(zhēng)議，歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》（GDPR）或可提供一些借鑒。2018年5月25日，帶著“里程碑”“史上最嚴(yán)格”“天價(jià)罰單”等光環(huán)和標(biāo)簽的GDPR正式實(shí)施。“天價(jià)罰單”“被遺忘權(quán)”等讓這一法案?jìng)涫荜P(guān)注。GDPR對(duì)違法企業(yè)罰金最高可達(dá)2000萬(wàn)歐元（約合1.5億元人民幣）或其全球營(yíng)業(yè)額的4%，以高者為準(zhǔn)。我國(guó)網(wǎng)絡(luò)安全法則對(duì)侵害個(gè)人信息的企業(yè)最高罰款數(shù)額為50萬(wàn)元，且沒(méi)有規(guī)定到營(yíng)收的比例，這對(duì)于國(guó)內(nèi)互聯(lián)網(wǎng)巨頭來(lái)說(shuō)有點(diǎn)九牛一毛。

“‘罰單’行為對(duì)企業(yè)來(lái)說(shuō)是非常嚴(yán)苛的懲罰措施，根據(jù)對(duì)GDPR該措施的適用情況以及后續(xù)影響等情況的分析，我國(guó)可參考是否將該類措施納入我國(guó)數(shù)據(jù)保護(hù)立法的范疇。”北京師范大學(xué)副教授、聯(lián)合國(guó)網(wǎng)絡(luò)安全與網(wǎng)絡(luò)犯罪問(wèn)題高級(jí)顧問(wèn)吳沈括說(shuō)道。

同時(shí)，周漢華也認(rèn)為，立法應(yīng)注重建立事前、事中的保護(hù)機(jī)制。這種用高額的經(jīng)濟(jì)處罰輔助行政刑事處罰，對(duì)于互聯(lián)網(wǎng)企業(yè)而言未嘗不是一種事前震懾。此外GDPR給予了數(shù)據(jù)主體“隨時(shí)撤回同意”的權(quán)利，個(gè)人的被遺忘權(quán)得到了肯定和落實(shí)。這些規(guī)定已經(jīng)對(duì)互聯(lián)網(wǎng)企業(yè)產(chǎn)生了影響。

反觀國(guó)內(nèi)互聯(lián)網(wǎng)企業(yè)，少有這樣的嘗試。據(jù)悉QQ7.9.9及以上版本將實(shí)現(xiàn)QQ號(hào)碼注銷功能，談及這一舉動(dòng)是否有“被遺忘權(quán)”的考量，大連理工大學(xué)大數(shù)據(jù)與人工智能倫理法律與社會(huì)研究中心主任李倫教授坦言：“這一舉動(dòng)應(yīng)該有對(duì)使用者‘被遺忘權(quán)，的考量，注銷是指注銷賬號(hào)還是將賬號(hào)和用戶所有歷史數(shù)據(jù)全部刪除，涉及‘可攜帶權(quán)，問(wèn)題，注銷前是否能夠保證用戶的可攜帶權(quán)，將是對(duì)QQ的一大考驗(yàn)，否則會(huì)引起進(jìn)一步的爭(zhēng)議。”

另外，GDPR采取“長(zhǎng)臂”管轄原則，只要企業(yè)在歐盟境內(nèi)為數(shù)據(jù)主體提供服務(wù)就適用該法案。這也意味著在全球化的今天，個(gè)人信息保護(hù)成為全球共識(shí)之后，忽視個(gè)人信息保護(hù)的企業(yè)必然四處碰壁。“更重要的是促使企業(yè)將個(gè)人信息保護(hù)當(dāng)作戰(zhàn)略問(wèn)題，與企業(yè)的戰(zhàn)略決策、核心價(jià)值相互整合，在個(gè)人信息保護(hù)和創(chuàng)新之間做到平衡，將隱私當(dāng)作面向未來(lái)的社會(huì)價(jià)值。”上海瑪娜數(shù)據(jù)科技發(fā)展基金會(huì)大數(shù)據(jù)研究員、湖南師范大學(xué)人工智能道德決策研究所博士胡曉萌告訴記者。

不過(guò)，對(duì)于GDPR是否適用于中國(guó)，張延來(lái)表示：“歐盟的立法在個(gè)人信息的保護(hù)維度上可以給我們提供很多參考，但這并不意味著我們要采取同樣的立法取向，歐洲各國(guó)的發(fā)展與我國(guó)有很大差異。”

（摘自3月14日《南方周未》。作者為該報(bào)特約撰稿）