探索個(gè)人數(shù)據(jù)保護(hù)的中國(guó)方案*

王 融

（騰訊研究院，北京 100080）

0 引 言

2020 年10 月21 日，《個(gè)人信息保護(hù)法(草案)》（以下簡(jiǎn)稱草案）在中國(guó)人大網(wǎng)公布，公開征求社會(huì)公眾意見。這部法律關(guān)系到數(shù)字化時(shí)代每個(gè)個(gè)體的生活安寧，個(gè)人在享受數(shù)字服務(wù)帶來的生活便利的同時(shí)，其個(gè)人信息權(quán)益也要受到法律保護(hù)；同時(shí)，這部法律也關(guān)系到我國(guó)數(shù)字經(jīng)濟(jì)健康發(fā)展。當(dāng)前，數(shù)據(jù)已經(jīng)成為新興的生產(chǎn)要素，個(gè)人信息中蘊(yùn)藏著巨大的經(jīng)濟(jì)價(jià)值，需要通過立法建立權(quán)責(zé)明確、保護(hù)有效、利用規(guī)范的制度規(guī)則,在保障個(gè)人信息權(quán)益的基礎(chǔ)上,促進(jìn)信息數(shù)據(jù)依法合理有效利用。

草案的具體制度借鑒了國(guó)際上個(gè)人信息保護(hù)制度領(lǐng)域的一般做法。但結(jié)合我國(guó)實(shí)際國(guó)情和現(xiàn)有法律制度，為落實(shí)個(gè)人權(quán)利保護(hù)與促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展，草案相關(guān)制度仍有深入討論和不斷完善的空間。

1 數(shù)據(jù)利用與個(gè)人信息保護(hù)并非二元對(duì)立

當(dāng)前，圍繞制定個(gè)人信息保護(hù)法的討論核心議題是平衡“兩種利益”：一是促進(jìn)基于數(shù)據(jù)的創(chuàng)新應(yīng)用，在此方面，我國(guó)已經(jīng)走到了世界前列，中央文件明確將數(shù)據(jù)上升為生產(chǎn)要素；二是個(gè)人利益保護(hù)，關(guān)注數(shù)字經(jīng)濟(jì)高速發(fā)展伴生的“負(fù)面陰霾”，包括數(shù)據(jù)泄露、濫用、自動(dòng)化決策對(duì)個(gè)人基本權(quán)益的負(fù)面影響。

但討論似乎往往陷入“利益的二元對(duì)立”困境，比如向個(gè)人信息保護(hù)傾斜是否會(huì)損害創(chuàng)新發(fā)展？創(chuàng)造更為寬松法律制度時(shí)，伴隨的風(fēng)險(xiǎn)是否也會(huì)增大？在以政府為主導(dǎo)的數(shù)據(jù)處理中，如果賦予政府更多的數(shù)據(jù)處理權(quán)力，公民個(gè)人權(quán)利是否會(huì)沒有保障？顯然，個(gè)人信息保護(hù)制度設(shè)計(jì)并不是如此簡(jiǎn)單的二元選擇，特別是當(dāng)前圍繞數(shù)據(jù)政策討論的歷史背景正在發(fā)生巨大變化，從傳統(tǒng)單向的、靜止的“個(gè)人信息保護(hù)政策”向多維的、互動(dòng)的“數(shù)據(jù)治理”政策框架轉(zhuǎn)變。換言之，未來將制定的個(gè)人信息保護(hù)法中的“利益平衡”，不是二元對(duì)立，而是共生共存，相互促進(jìn)，并在互動(dòng)的過程中形成了圍繞數(shù)據(jù)資產(chǎn)的隱私保護(hù)、創(chuàng)新競(jìng)爭(zhēng)、安全主權(quán)等更復(fù)雜化、更多維的公共政策討論場(chǎng)。

這些復(fù)雜因素代表了從三種視角出發(fā)的利益訴求：第一，從個(gè)人視角出發(fā)的權(quán)利保護(hù)訴求；第二，從產(chǎn)業(yè)視角出發(fā)的創(chuàng)新、發(fā)展、競(jìng)爭(zhēng)需求；第三，從國(guó)家視角出發(fā)的數(shù)字經(jīng)濟(jì)國(guó)際競(jìng)爭(zhēng)力和數(shù)據(jù)主權(quán)安全需求。

以上三種視角并非孤立存在，而是彼此緊密聯(lián)系、互動(dòng)影響。如果立法的目標(biāo)是更好地保護(hù)用戶的權(quán)利，那么在市場(chǎng)中應(yīng)當(dāng)形成一種健康的良性機(jī)制，使得對(duì)隱私保護(hù)更友好的企業(yè)能夠在市場(chǎng)上被用戶更多地選擇，從而更好地發(fā)展。而如果離開了產(chǎn)業(yè)發(fā)展，國(guó)家的數(shù)字利益也無法得到根本保障。歐盟是一個(gè)鮮活的例證，再嚴(yán)厲的數(shù)據(jù)法律制度，如果沒有產(chǎn)業(yè)支撐，數(shù)據(jù)主權(quán)安全和數(shù)字競(jìng)爭(zhēng)力幾乎是一場(chǎng)空談。

2 制定個(gè)人信息保護(hù)法對(duì)數(shù)字經(jīng)濟(jì)健康發(fā)展帶來充分利好

如前所述，個(gè)人信息保護(hù)法制度討論的出發(fā)點(diǎn)并不是二元對(duì)立，從長(zhǎng)遠(yuǎn)發(fā)展來看，個(gè)人信息保護(hù)法的制定給數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的健康發(fā)展帶來充分利好。

2.1 有利于通過法律制度保障，幫助數(shù)字產(chǎn)業(yè)建立消費(fèi)者信任

我們生活在一個(gè)由數(shù)據(jù)驅(qū)動(dòng)的技術(shù)變革時(shí)代，數(shù)據(jù)的處理越來越深入。享受數(shù)字化技術(shù)便利的每位個(gè)體，也在為無所不在的數(shù)據(jù)處理感到深深不安。從移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、無人駕駛、面部識(shí)別，到可穿戴設(shè)備、智能家居、醫(yī)療監(jiān)測(cè)器械，數(shù)據(jù)驅(qū)動(dòng)的創(chuàng)新背后，人們擔(dān)憂物聯(lián)網(wǎng)設(shè)備的秘密記錄，無意中健康信息的暴露，超出消費(fèi)者授權(quán)的個(gè)人數(shù)據(jù)共享、信用卡欺詐、安全風(fēng)險(xiǎn)、名譽(yù)損害，以及對(duì)他們生活中的隱私細(xì)節(jié)的無端入侵[1]。重建消費(fèi)者的信心與安全信任，是數(shù)字時(shí)代的核心問題之一，而法律制度本身無疑是解決方案的重要組成部分，例如：以歐盟GDPR 為代表的個(gè)人數(shù)據(jù)保護(hù)制度促進(jìn)了合規(guī)與隱私文化的發(fā)展，在重塑數(shù)字信任方面發(fā)揮了重要作用[2]。

2.2 有利于在復(fù)雜的數(shù)據(jù)處理生態(tài)中，創(chuàng)建權(quán)責(zé)明確的數(shù)據(jù)保護(hù)秩序

伴隨數(shù)據(jù)處理場(chǎng)景的復(fù)雜化，數(shù)據(jù)在不同機(jī)構(gòu)、平臺(tái)的流轉(zhuǎn)日益頻繁，形成復(fù)雜的處理生態(tài)[3]。通過法律制度，明確在數(shù)據(jù)處理不同環(huán)節(jié)，不同主體的法律責(zé)任，有利于建立權(quán)責(zé)明確的數(shù)據(jù)保護(hù)秩序。在典型的云計(jì)算市場(chǎng)中，云計(jì)算服務(wù)提供者在絕大部分場(chǎng)景下，作為數(shù)據(jù)處理服務(wù)的提供方，其根據(jù)與客戶的數(shù)據(jù)處理協(xié)議，提供數(shù)據(jù)安全處理保障。而云服務(wù)的客戶則需要承擔(dān)更多的合法性義務(wù)，如確定數(shù)據(jù)處理的合法性理由，對(duì)接所服務(wù)的最終個(gè)體用戶的權(quán)利保障體系。例如《歐盟數(shù)據(jù)保護(hù)通用條例》（GDPR）中提出的“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”的合規(guī)主體二分法就是典型代表。權(quán)責(zé)明確的數(shù)據(jù)安全保障秩序，最終能夠促進(jìn)整個(gè)生態(tài)的健康繁榮。

2.3 有利于與國(guó)際規(guī)則接軌，提升國(guó)家與企業(yè)形象，助力企業(yè)走出去

建立個(gè)人數(shù)據(jù)保護(hù)基本制度是近年來國(guó)際社會(huì)完善數(shù)據(jù)治理制度體系的主要趨勢(shì)之一。《個(gè)人信息保護(hù)法（草案）》明確將國(guó)家機(jī)關(guān)納入規(guī)制范圍，規(guī)定國(guó)家機(jī)關(guān)處理個(gè)人信息同樣適用草案規(guī)定，此規(guī)定具有重要意義。

在2020 年的“疫情”大考中，“健康碼”的應(yīng)用，顯著提升了政府的數(shù)字治理水平，但這種以政府為主導(dǎo)的大規(guī)模數(shù)據(jù)處理活動(dòng)，同樣需要制定一套法律制度來規(guī)范。在服務(wù)型政府以及智慧城市建設(shè)的背景下，政府將成為最主要的數(shù)據(jù)處據(jù)機(jī)構(gòu)，更加凸顯了制定個(gè)人信息保護(hù)法的必要性。個(gè)人信息保護(hù)基本法律規(guī)則的建立，有利于我國(guó)與國(guó)際通行規(guī)則接軌，提升國(guó)家與企業(yè)形象，助力企業(yè)海外發(fā)展[4]。

3 精細(xì)科學(xué)的政策平衡

在探索個(gè)人信息保護(hù)以及更為廣泛的數(shù)據(jù)治理政策框架的道路上，并沒有萬能的標(biāo)準(zhǔn)答案。歐盟GDPR、美國(guó)加州CCPA，也是依據(jù)本地區(qū)的政治、文化、產(chǎn)業(yè)發(fā)展基礎(chǔ)，量身定制的制度方案。同樣，今天我們需要勾勒自己的“中國(guó)”方案。結(jié)合草案相關(guān)制度，以我國(guó)實(shí)際國(guó)情和現(xiàn)有法律制度基礎(chǔ)，為落實(shí)個(gè)人權(quán)利保護(hù)與促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展，筆者提出如下建議：

3.1 進(jìn)一步完善個(gè)人信息的定義

對(duì)于個(gè)人信息的稱謂，各國(guó)家和地區(qū)個(gè)人信息保護(hù)法規(guī)中有個(gè)人數(shù)據(jù)、個(gè)人隱私、個(gè)人信息等不同的表達(dá)。例如，我國(guó)臺(tái)灣地區(qū)采用“個(gè)人數(shù)據(jù)”，歐盟及其成員國(guó)使用“個(gè)人數(shù)據(jù)（Personal Data）”，日韓采用“個(gè)人信息（Personal Information）”，而美國(guó)多用“信息隱私（Information Privacy）”概念[5]。

個(gè)人信息的定義是個(gè)人信息保護(hù)法的核心，決定了未來個(gè)人信息保護(hù)法的保護(hù)范圍。對(duì)“個(gè)人信息”進(jìn)行科學(xué)合理的界定對(duì)于法律的適用至關(guān)重要。過窄的范圍無法充分保護(hù)信息主體的合法利益，而過寬的范圍也將使得法律難以有效實(shí)施。從2012 年的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，到《網(wǎng)絡(luò)安全法》，再到近期出臺(tái)的《民法典》人格權(quán)編，我國(guó)現(xiàn)有法律對(duì)于個(gè)人信息的定義一直堅(jiān)持著“識(shí)別”標(biāo)準(zhǔn)。“可識(shí)別性”認(rèn)定標(biāo)準(zhǔn)也是世界上許多國(guó)家個(gè)人信息保護(hù)立法所采取的標(biāo)準(zhǔn)[6]。“可識(shí)別性”與“身份關(guān)聯(lián)”是區(qū)分個(gè)人信息的兩個(gè)要素，這是整個(gè)制度邏輯的出發(fā)原點(diǎn)。

3.2 明確和完善個(gè)人信息處理的合法性基礎(chǔ)

草案適用的主體不僅包括企業(yè)，也包括決定和參與個(gè)人數(shù)據(jù)處理的任何個(gè)人、機(jī)構(gòu)，涵蓋了政府部門、公共機(jī)構(gòu)和私營(yíng)實(shí)體。因此，考慮到數(shù)據(jù)處理的多種可能場(chǎng)景以及與其他正當(dāng)利益的平衡，除了數(shù)據(jù)主體的同意之外，草案還規(guī)定了五類處理個(gè)人數(shù)據(jù)的合法基礎(chǔ)。結(jié)合實(shí)踐，可以進(jìn)一步增補(bǔ)其他數(shù)據(jù)處理的正當(dāng)場(chǎng)景，例如借鑒歐盟GDPR 中基于數(shù)據(jù)處理者或者其他第三方的正當(dāng)利益的情形，包括：以預(yù)防欺詐為目的，出于保障網(wǎng)絡(luò)信息安全而進(jìn)行的數(shù)據(jù)處理活動(dòng)，以及歷史統(tǒng)計(jì)、科學(xué)研究等數(shù)據(jù)處理活動(dòng)，在不侵犯他人個(gè)人信息權(quán)益的基礎(chǔ)上，可以開展相應(yīng)數(shù)據(jù)處理。

3.3 區(qū)分“數(shù)據(jù)控制者”與“數(shù)據(jù)處理者”

在受規(guī)制的法律主體方面，建議能夠區(qū)分“數(shù)據(jù)控制者”和“數(shù)據(jù)處理者”，并基于不同主體，建立相應(yīng)的法律義務(wù)體系。目前， 區(qū)分“個(gè)人信息控制者”和“個(gè)人信息處理者”主體概念已成國(guó)際通說。國(guó)外如歐盟等立法中也廣泛采用“個(gè)人信息控制者”“個(gè)人信息處理者”的概念。新加坡《個(gè)人信息保護(hù)法》雖然沒有直接采用前述兩個(gè)概念，但是也區(qū)分了組織（organization）和數(shù)據(jù)中介（data intermediary），數(shù)據(jù)中介是代表組織處理個(gè)人信息的主體。香港《個(gè)人資料（隱私）條例》正在進(jìn)行修訂，以進(jìn)一步明確 “在資料使用者直接控制下收集、持有、處理或使用有關(guān)的資料的主體”的法律地位和責(zé)任。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 個(gè)人信息安全規(guī)范》等也明確使用“信息控制者”概念。明確區(qū)分法律主體和相應(yīng)的法定義務(wù)，有利于建立起權(quán)責(zé)明確的數(shù)據(jù)保護(hù)秩序。

3.4 細(xì)化對(duì)算法與自動(dòng)化決策的規(guī)制

算法支撐下的自動(dòng)化技術(shù)，在越來越多的產(chǎn)業(yè)實(shí)踐中得到廣泛應(yīng)用。例如在電子商務(wù)、廣告營(yíng)銷、新聞資訊等各類服務(wù)中，絕大部分都實(shí)現(xiàn)了基于數(shù)據(jù)和算法的個(gè)性化服務(wù)，實(shí)現(xiàn)供需方的高效匹配，幫助消費(fèi)者快速從海量商品信息中找到所需商品和信息，也有利于中小企業(yè)獲得更多的曝光展示機(jī)會(huì)并得以發(fā)展。因此，對(duì)于這一極具發(fā)展?jié)摿Φ男录夹g(shù)新業(yè)務(wù)應(yīng)用，不宜在立法中通過一刀切的方式，強(qiáng)制回退到統(tǒng)一服務(wù)模式。

歐盟GDPR 將其所規(guī)制的自動(dòng)化決策明確限定在對(duì)個(gè)人產(chǎn)生法律意義上的重大影響的算法領(lǐng)域，如信貸資格獲取、教育入學(xué)資格評(píng)價(jià)等，在這些領(lǐng)域賦予了用戶提出異議的權(quán)利，相關(guān)數(shù)據(jù)處理者應(yīng)當(dāng)對(duì)所應(yīng)用的算法做出合理解釋[7]。規(guī)制要求并沒有廣泛擴(kuò)展到所有使用個(gè)性化算法的其他領(lǐng)域，例如對(duì)于商業(yè)營(yíng)銷、信息推送等一般場(chǎng)景，并沒有做出特別的規(guī)范[8]。

3.5 進(jìn)一步協(xié)調(diào)行政監(jiān)管體制

草案建立了個(gè)人信息保護(hù)監(jiān)管體制。除了具有協(xié)調(diào)統(tǒng)籌職責(zé)的網(wǎng)信辦外，具有個(gè)人信息保護(hù)職責(zé)的各領(lǐng)域、各行業(yè)主管部門，如工信、公安、市場(chǎng)監(jiān)管總局，央行、教育部、交通部、衛(wèi)健委、文化與旅游部、國(guó)家郵政局、商務(wù)部、人力資源和社會(huì)保障部等眾多部門均具有相應(yīng)監(jiān)管職責(zé)。監(jiān)管部門較為分散，且縱向延伸至縣級(jí)以上部門，這與以信息網(wǎng)絡(luò)為載體的跨地域數(shù)據(jù)處理活動(dòng)并不相適應(yīng)，可能帶來較為復(fù)雜的屬地管轄沖突問題，需要加以協(xié)調(diào)。

4 結(jié) 語

在當(dāng)前討論個(gè)人信息保護(hù)法的背景下，所有個(gè)體、企業(yè)、政府的共同價(jià)值目標(biāo)是相同的，都希望在數(shù)字社會(huì)里重塑數(shù)據(jù)信任。制度、技術(shù)、產(chǎn)業(yè)都應(yīng)以開放心態(tài)，彼此學(xué)習(xí)，凝聚共識(shí)，以期實(shí)現(xiàn)技術(shù)與制度的互動(dòng)式進(jìn)步。