合理平衡隱私保護與價值挖掘推動我國數字經濟可持續(xù)發(fā)展

陳道富，王 剛

(國務院發(fā)展研究中心 金融研究所， 北京 100010)

數字經濟時代下，合理保護用戶隱私，發(fā)展數據產業(yè)鏈，充分挖掘數據價值，是國家的核心競爭力。隱私保護的法律設計是影響數字經濟發(fā)展的關鍵。美國作為全球數字經濟的領先者，與其隱私保護法律標準相對寬松，給數字技術留下發(fā)展空間有相當關系。歐洲沒有真正意義上的互聯(lián)網大數據公司，與其較嚴格的隱私保護有關。歐洲通用數據保護法規(guī)(GDPR)對于歐盟用戶嚴格的數據權益保護，一定程度上是出于產業(yè)競爭考量，限制中美大型互聯(lián)網創(chuàng)新公司。當前，我國正加快推進個人隱私保護基礎性立法，需準確把握國際數字治理與隱私保護的最新動態(tài)，充分考慮我國的基本國情和社會習慣，尤其需要著眼國際數字產業(yè)競爭態(tài)勢，統(tǒng)籌考慮我國數字產業(yè)的未來發(fā)展，平衡好隱私保護與數據共享，合理設計法律和政策尺度。

一、數據共享是數字時代國家的核心競爭力

數據是數字時代的核心生產要素，但數據只有在使用中才能實現價值。在大數據時代，單個數據幾乎沒有使用價值，只有相互連接的大量單體數據，經過合理的加工后才擁有價值。因此，數字經濟時代國家層面的競爭，就是建立一套更合理有效的激勵約束機制和基礎設施，實現數據收集、加工處理、共享使用的數據產業(yè)鏈的社會化分工合作。凝聚信任，實現數據共享是其關鍵。有效的數據共享，就是數據主體、數據控制者(大部分也是數據采集者)和數據使用者三者間的利益平衡。其中，數據主體最關心的是隱私保護、數據控制者更關注數據安全，數據使用者則關心數據價值。

當前，我國數據市場出現的以數據孤島為代表的亂象，與我國尚未建立合理有效的數據共享機制有關。數據控制者由于擔心數據泄漏無法獲得變現環(huán)節(jié)的合理回報，將數據加工處理環(huán)節(jié)內部化，就出現了數據孤島現象。數據孤島現象表現為過度采集消費者數據，泄漏個人隱私，濫用數據侵害消費者權益，典型如大數據殺熟、暴力催收等。

二、發(fā)展隱私計算，以技術手段合理保護個人隱私，實現數據共享與合理利用

個人隱私保護可以通過以下3個方面來實現。一是法律保障。通過界定個人信息主體的權屬和相關人員的行為空間來保護個人隱私。二是技術實現。通過數據處理、計算方法和管理技術等確保個人隱私。三是利益平衡。通過市場交易，承擔一定的隱私泄漏風險獲得更好的服務或收益。

隱私計算是隱私保護下數據共享的技術實現路徑。為了解決互不信任的多個機構間數據共享和數據價值挖掘，國際上開發(fā)出了在不共享原始數據情況下實現數據價值挖掘和流轉，即隱私計算。隱私計算一般通過3個環(huán)節(jié)保證數據和模型隱私，實現數據“可用不可見”“可算不可識”和“可用不可擁”。一是原始數據的“去標識化”。確保合作第三方不能通過數據反向逆推出數據主體，即不能識別出消費者的“自然人”身份，但又盡可能保留數據中的“信息”價值，做到共享信息的“可算不可識”。二是可信的執(zhí)行環(huán)境。通過硬件化、安全沙箱或通過訪問控制、數據脫敏、流轉管控、實時風控和行為審計等管理實現，提升數據和模型計算環(huán)境的安全性，確保全程安全可控。三是能夠保護數據和模型隱私的智能計算技術，如多方安全計算、差分隱私、聯(lián)邦學習等。用戶的原始數據可以在不出域、不泄漏的前提下共享并提取數據價值，實現信息的“可用不可見”。

通過運用隱私計算技術，國內外在大量實踐中取得成效，實現了隱私保護和數據價值流轉的平衡。在個人隱私計算技術下，“去標識化”后的數據可以實現絕大部分個人隱私保護要求。隱私計算過程中，在經過去標識化和多方安全計算分片處理后，第三方已無法通過這些共享數據來反向逆推出數據主體的個人身份，不會出現個人隱私泄露情況。因而，并不需要在“去標識化”數據加工處理過程中再獲得信息主體的確認“授權”。

同時，還需要盡可能減少必須使用“匿名化”數據的場景。“去標識化”數據在數據加工處理過程中，數據“可算不可識”，但保留了數據間除個人信息以外的關聯(lián)關系，可挖掘的信息價值較大，且僅在用戶“授權”的情況下可重新識別使用。匿名化處理后的數據，無法將同一個人在不同時間、不同空間產生的數據關聯(lián)起來，數據之間關聯(lián)性已被不可逆地破壞，從而無法有效進行數據融合和數據價值提取，散亂為數據碎片，將喪失絕大部分信息價值。“匿名化”后的信息已不屬于個人信息范圍，在數據共享給第三方時雖無需再取得個人的單獨同意，但已沒有多大的使用價值。

三、隱私保護視角下全球數據治理的最新形勢

(一)美國：強化中美數據領域競爭

美中數字經濟規(guī)模居全球前兩位，在5G和人工智能等領域互為最主要競爭對手。近來，美國強化了在數據領域對我國的施壓與競爭。在數據主權與安全方面，美國以侵害敏感個人信息和危害國家安全之名行貿易保護之實。2020年以來，先后對Tiktok、微信、支付寶采取封禁措施，要求數據本地化成為常用的政策手段。在數據治理方面，美國認為中國數據收集壁壘和數據標注成本較低，更容易創(chuàng)建大型數據庫，因而對我采取明顯的“雙重標準”做法：一方面積極宣揚“中國政府可隨意獲取企業(yè)數據”“中國企業(yè)個人信息保護不力”等，向我施壓制定更強有力的個人信息保護法律，減少生產中的數據投入；而其自身無論現行的隱私法案CCPA還是計劃實施的CPRA，隱私保護標準相對歐盟的GDPR都較寬松。另一方面，在國際上繼續(xù)倡導全球數據自由流動，聯(lián)合盟友推動APEC數據跨境認證體系，以利本國數據巨頭攫取更多數據資源。

(二)歐盟：開始反思GDPR過于嚴格的個人信息利用限制的弊端

歐盟憑借GDPR等高標準隱私保護規(guī)則占據了全球數據治理制度設計的制高點，其數據相關法律制度已成為各國立法和監(jiān)管政策借鑒的主要對象。在此基礎上，歐盟正積極尋求實現歐洲技術主權。一方面對跨國互聯(lián)網企業(yè)基于GDPR實施高額處罰，征收數字稅；另一方面試圖通過立法推動數據共享，加強對大型平臺企業(yè)監(jiān)管，促進歐盟中小數字企業(yè)發(fā)展。采取上述立場的出發(fā)點是歐盟自身缺乏本土大型互聯(lián)網企業(yè)。當前，其高額罰款、數字稅和數據共享的主要對象均為美國跨國數據巨頭，未來可能波及我國在歐企業(yè)。在借鑒歐盟制度規(guī)則時，要看到相關制度設計的產業(yè)背景和著重限制中美對歐盟居民隱私數據使用的出發(fā)點，應堅持以我為主，根據自身產業(yè)特點和發(fā)展階段選擇適宜的規(guī)則。

值得關注的是，2020年以來歐盟在其發(fā)布的一系列數據戰(zhàn)略和政策中對基于GDPR的個人信息利用限制進行了反思。在2020年2月發(fā)布的《歐洲數據戰(zhàn)略》中，歐盟認識到當越來越多的產業(yè)或公共數據來源于個人時，過于嚴格的個人信息利用限制可能導致產業(yè)或公共數據供給不足。尤其對于依賴于數據加工才能產生的產業(yè)或公共數據而言，個人信息的收集和適用始終是無法回避的關鍵問題。過于嚴苛而繁瑣的個人信息收集約束將極大影響產業(yè)或公共數據的數量和質量，因而要建設歐盟統(tǒng)一數字市場就必須解決上述問題。為推動數據共享，2020年底歐盟發(fā)布了《數據治理法》(草案)。其要點：一是要求確保公共部門數據在受他人權利約束(如GDPR)的情況下，仍可重復使用；二是允許在個人數據共享中介機構幫助下使用個人數據；三是允許出于“利他主義”使用數據。上述規(guī)定在一定程度上改變了歐盟既往對數據利用的刻板態(tài)度，但GDPR項下個人權利仍是數據利用不可逾越的紅線，也是《數據治理法》需要調整的最大障礙。

(三)新加坡：開辟個人信息保護第三條路徑

近年來，新加坡數字經濟高速發(fā)展，數據資本化和跨境自由流動推動了新加坡企業(yè)的組織創(chuàng)新和經濟競爭力的提升。技術正在改變數據收集的方式，物聯(lián)網設備、機器學習和人工智能的發(fā)展正導致整理和分析大量數據的能力不斷提高，這對“基于同意”的數據保護方法帶來重大挑戰(zhàn)：一是政府和企業(yè)越來越不可能在“授權同意”之時就預測到收集、使用或披露個人數據的目的。二是伴隨海量數據的無縫與即時收集，組織在每次收據收集中都尋求個人的明確同意并非總是切實可行，且對“知情同意”的依賴必然導致過度冗長或措辭寬泛的通知，并無法真正有效保護個人隱私。三是個人同意與否不一定考慮到對公眾更廣泛、系統(tǒng)的利益，也不一定會產生最理想的社會效果。

鑒于此，新加坡決定調整個人同意和企業(yè)責任之間的平衡，為適當與合法目的利用數據提供便利。2020年5月，新加坡修訂《個人數據保護法》，對個人數據保護“知情同意”的基礎性規(guī)則引入兩個新的除外規(guī)定：一是合法利益。授權組織在符合其合法利益的情況下收集、使用或披露個人數據，但所實現的利益應當大于對個人的任何不利影響。二是業(yè)務改進。授權組織在未經同意的情況下，將個人數據用于如下業(yè)務改進目的：運營效率和服務改進；開發(fā)或增強產品/服務；了解組織的用戶需求。但限定基于業(yè)務改進而收集、使用和披露必須是理性人在實際情況下認為適當的，且不得用于做出對個人產生不利影響的決定。

總的來看，在強化數據保護問責機制和執(zhí)法有效性的同時，“企業(yè)賦權”是本次修訂的突出亮點。在歐盟GDPR和美國CCPA之外，新加坡的《個人數據保護法》提供了個人數據保護的“第三條道路”，建立了迄今最為平衡的個人數據保護框架。

四、完善我國隱私保護立法的基本原則與具體建議

中央財經委員會第九次會議強調“從構筑國家競爭新優(yōu)勢的戰(zhàn)略高度出發(fā)，建立健全平臺經濟治理體系，維護好用戶數據權益及隱私權”[1]。《十四五規(guī)劃》要求“統(tǒng)籌數據開發(fā)利用、隱私保護和公共安全，加強涉及個人隱私的數據保護，加快推進個人信息保護等領域基礎性立法”[2]。在中美數據競爭加劇、歐盟強調數據主權和數據本地化背景下，我國數據治理規(guī)則設定宜著眼國際競爭，通過合理設定政策尺度，完善技術手段，切實平衡好隱私保護和數據共享。

(一)基本原則

一是數據治理與隱私保護應統(tǒng)籌考慮數字經濟的國內監(jiān)管與國際競爭。我國已是全球第二互聯(lián)網大國，人工智能、區(qū)塊鏈、大數據等領域發(fā)展迅速。當前,中美數據領域的博弈日益激烈，歐盟也在反思GDPR對數字產業(yè)發(fā)展和信息技術創(chuàng)新的阻礙并著手修正規(guī)則。因此,構建數據治理體系和個人信息保護法律制度應在國際競爭中高度綜合平衡，應將激活數據要素潛能、促進大數據產業(yè)可持續(xù)發(fā)展、增強國際競爭力作為重要目標之一，以提高法律規(guī)定的前瞻性、靈活性和包容性，為我國數字經濟健康發(fā)展預留充分空間。

二是數據要素市場培育宜更深入探究數據要素利用和個人信息保護的關系。個人信息包括基本個人信息(姓名、性別、聯(lián)系方式等)、伴生個人信息(財產信息、賬戶信息、信用信息等)和預測個人信息(大數據畫像)三類，后兩類又稱為衍生信息。在保護個人隱私前提下，使衍生個人信息有序流動和利用是激活數據要素潛能、推動數字產業(yè)發(fā)展的關鍵。歐盟在近期的反思中認識到過于嚴苛和繁瑣的個人信息收集約束阻礙了統(tǒng)一數字市場的形成。新加坡則在《個人數據保護法》以創(chuàng)新性規(guī)定重置個人同意和企業(yè)責任之間的平衡，便利依據適當和合法目的利用數據。上述反思與立法實踐為我國完善個人信息保護立法提供了有益的借鑒。

三是促進數據利用與個人信息保護的平衡，需要規(guī)則和技術兩方面保障。規(guī)則上，保護個人隱私是數據利用的前提和基礎，但該前提的真正實現需要適應技術發(fā)展趨勢的科學制度設計來保障，重點關注個人能真正行使其權利，且在權利受到損害后可得到及時救濟。實踐證明，設置過多的事前同意環(huán)節(jié)并不能真正達到保護個人信息的目的，重點應放在事中的風險管理和事后的權利救濟上。技術上，隱私計算技術的發(fā)展提供了保護個人信息基礎上促進數據利用的有效方案，成為近期的主要發(fā)展方向。通過隱私計算實現數據的“可用不可見”“可算不可識”已成為全球業(yè)界共識。隱私計算的探索與創(chuàng)新將成為促進數據要素利用和流通的重要保障，但需要在法律技術規(guī)則層面保障其順利應用。

(二)對《個人信息保護法》(草案)的修改建議

2020年10月，《個人信息報告法》(草案)(以下簡稱《草案》)首次提交全國人大常委會審議，并已列入2021年人大常委會審議重點。總的來看，草案具有比較明顯的GDPR印記，對個人信息的全生命周期均設定了比較全面的保護義務與監(jiān)管責任，具有較強的保護力度。但在如下幾個方面有待修改完善：

1.“個人信息”定義過于泛化，且與現行法律不一致

“個人信息”的定義是《個人信息保護法》的起點和最核心的概念。《草案》第4條將“個人信息”定義為“以電子或其他方式記錄的與已識別或可識別的自然人有關的各種信息，不包括匿名化處理后的信息”。在“識別說”基礎上增加了關聯(lián)性考慮，涵蓋“與已識別或者可識別的自然人有關的各種信息”，極大擴展了個人信息范圍。而且與民法典及《網絡安全法》等現行立法對個人信息的定義不一致，將顯著增加企業(yè)使用數據的限制與合規(guī)壓力。 “可識別”與“匿名化”相結合，隨著技術的不斷發(fā)展，實際上很難實現對“匿名化”信息的真正排除。

建議與民法典對個人信息的定義保持一致，修改為“以電子或其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，不包括匿名化處理后的信息”。

2.未對“去標識化”信息予以明確界定

草案個人信息定義中對“匿名化”處理的信息予以排除，這是值得肯定的巨大進步。但一方面?zhèn)€人信息的匿名化處理無法確保達到“無法識別且不能復原”的絕對匿名化標準，另一方面為達到完全的匿名化會極大損害數據的價值性與可用性。

與“匿名化”相比，“去標識化”更可能實現隱私保護與數據利用的平衡。個人信息去標識化是處理者去除收集到的個人信息中可識別的隱私因子并進行加工、分析、處理與分級和多層利用的過程。通過技術處理已經將侵權風險控制在適度范圍內，既能有效排除個人信息的流通障礙，又能最大限度發(fā)揮數據效用。

建議在草案中增加“去標識化”制度的規(guī)定。鑒于個人信息具有相對性，經“去標識化”處理且第三方不具有識別能力的信息，對于第三方而言不屬于個人信息。建議將提供此類信息作為告知的例外。具體而言，在《草案》第24條第一款增加“個人信息處理者向第三方提供去標識化信息且第三方無法識別個人身份的除外”，同時將第24條第二款修改為“個人信息處理者向第三方提供去標識化信息的，第三方不得利用技術等手段重新識別個人身份”。

3.民事責任設定規(guī)則未體現對合規(guī)的正向激勵

《草案》第21條規(guī)定共同信息處理者承擔連帶責任，第65條規(guī)定因個人信息處理活動侵害個人信息權益的，如果“個人信息處理者能夠證明自己沒有過錯的，可以減輕或者免除責任”。分析前述規(guī)定的文義，個人信息侵權責任的歸責原則傾向于無過錯責任原則，即無論個人信息處理者是否有過錯，都應當承擔責任。個人信息處理者沒有過錯的，不必然減輕或免除其責任。上述規(guī)定體現了對被侵權人的傾斜保護，但過度保護可能帶來職業(yè)維權、濫訴等新問題。同時，上述規(guī)定與民法典確定的責任體系存在矛盾。民法典對無過錯責任的表述是“行為人造成他人民事權益損害，不論行為人有無過錯，法律規(guī)定應當承擔侵權責任的，依照其規(guī)定”。目前，《民法典》實際規(guī)定的無過錯責任僅包括8種情形。個人信息侵權作為數字經濟時代新興的侵權責任類型，是否達到無過錯責任的程度在法理上仍存爭議。海外立法則普遍對承擔民事責任設定了鼓勵合規(guī)的激勵制度。

建議《草案》從正向激勵個人信息處理者主動提高合規(guī)程度的考量出發(fā)，遵循《民法典》人格權編和侵權責任法的基本規(guī)則，以過錯責任為歸責原則，或明確個人信息處理者的免責事由。如此處理既可以協(xié)調各數據主體間的利益，促進數字經濟有序發(fā)展，也可避免可能的職業(yè)維權等權利濫用。