论文专著
张怀印:大数据时代的个人信息保护探析

张怀印 同济大学上海国际知识产权学院副教授


  如果说石油是20世纪最重要的资源,那么数据将成为21世纪的重要资源。随着人工智能、云计算和物联网等新技术的应用,新的商业模式不断涌现,个人信息(数据)日益成为企业扩展竞争优势的主要资源。然而,在个人信息处理过程中,个人信息频繁被泄露,个人权益屡屡遭到侵犯,却得不到有效的保护。尽管我国宪法、民法、刑法、网络安全法等都有针对个人信息保护的规定,但由于法律条文比较分散,没有构建体系化的个人信息保护法律,因而我国个人信息保护状况不容乐观。随着数字经济时代的迅猛发展,个人信息(数据)保护业已成为全球关注的焦点问题,欧盟、美国和日本等发达国家和地区纷纷制定法律,加强个人信息保护。面对日益严峻的个人信息保护形势以及数据保护立法不断强化的国际趋势,我们应当借鉴域外立法中的有益经验,加快个人信息保护法的制定步伐。


  一、大数据时代个人信息保护面临的挑战


  数字经济时代,一方面,数据成为企业发展中最重要的竞争资源;另一方面在数据处理过程中,个人信息泄露或者被滥用的案例呈高发趋势,形势严峻。比如,大家每天不胜其烦地接到骚扰电话、短信、邮件,日常工作和生活受到骚扰,甚至造成财产和名誉损失,很多情况下是由于个人信息的泄露、共享和非法交易。近年来,互联网中的个人信息泄露问题频发出现。2017年2月4日,名为“双旗(DoubleFlag)”的著名暗网供应商抛售从中国多家互联网巨头盗取的10多亿条数据。2018年,我国个人信息泄露事件更是接二连三发生:6月13日,视频网站AcFun宣称有900万条用户数据外泄;6月19日,圆通快递10亿条快递数据被售卖;7月18日,顺丰快递3亿用户数据被兜售;8月28日,5亿条华住旗下酒店客户开房数据被出售;9月10日,万豪集团5亿名客人的信息被泄露。


  个人信息泄露事件之所以无法得到有效遏制,主要是由于个人信息保护法的缺失。当前,我国规制个人信息保护的法律较为分散,散见于宪法、民法、刑法、网络安全法等不同规定中。其中,宪法规定的“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民享有通信自由和通信秘密的权利”等内容成为我国个人信息保护立法的宪法基础。民法总则第一百一十一条对个人信息保护作出了原则性规定。刑法中也专门设立“侵犯公民个人信息罪”,用来规制网络时代的公民个人信息犯罪。


  综上所述,虽然我国宪法、民法、刑法和网络安全法等重要法律对个人信息保护都有规制作用,但是由于法律规定分散,无法实现对侵犯个人信息行为的有效打击。因此,迫切需要制定统一的个人信息保护法,构建全面的个人信息保护法律体系。


  二、我国个人信息保护立法的重点和难点


  个人信息保护法的制定在我国学术界和实务界早已达成共识。2003年就出现个人信息保护法专家稿。但直到2018年个人信息保护法才被列为全国人大常委会立法规划。立法为何一直迟滞?笔者认为,主要原因在于个人信息保护不仅涉及个人信息,还涉及产业发展、社会公共利益等诸多方面,需要加以综合考量。因此,我国个人信息保护立法的重点也是难点在于处理好以下三方面的利益平衡问题。


  一是人格利益与财产利益保护的平衡


  个人信息属于人格权益,财产权益,还是二者兼而有之?这是学术界长期以来争论不休的重要问题。这一问题的不同认识将影响和决定个人信息保护法律体系框架的定位。如果强调人格权益,那么必然会侧重于个人信息主体对其个人信息的权属支配属性,限制产业界对个人信息的利用空间;反之,如果强调财产权益,则会侧重于产业界对个人信息利用的一面,而在一定程度上会限制信息主体的支配权。因此,如何协调人格利益和财产利益保护的平衡,是个人信息保护法制定中必须面对的重点问题。


  二是个人信息保护和数据产业发展的平衡


  个人信息保护关乎每个人的隐私权、被遗忘权、财产权等基本权利,极为重要。而数据产业的创新发展又离不开数据的获取和利用。如何协调个人信息保护和数据产业发展的关系,是个人信息保护法面对的核心问题之一。如果立法过于重视个人信息保护,则可能导致产业发展受损。《欧盟一般数据保护条例》实施一周年以来,饱受诟病的一条就是其增加了企业的成本,降低了企业创新能力。有人甚至认为其妨碍了互联网在线广告行业和人工智能产业的发展。反之,过于强调产业发展,放松个人信息保护,则会导致个人信息滥用,陷于无法得到有效保护的局面。


  三是个人利益、商业利益、社会公共利益的平衡。


  作为保护个人信息的基本法律,个人信息保护法既关系到个人人格和财产利益的保护,也关乎产业发展以及社会公共利益的保护。个人信息主体看重个人权益保护,产业界看重商业利益的获取,而个人信息的获取、加工和利用衍生的社会公共利益则归属于国家,需要通过国家治理或监管途径实现。立法中如何平衡个人、产业和社会公共利益的关系,也是有待解决的重点问题。


  三、我国个人信息保护的路径选择


  近年来,我国加强个人信息保护、制定个人信息保护法的呼声越来越高。笔者认为,该法的出台,关乎利益层面极为广泛,需要从立法模式、定位、利用机制、监管机制等多方面问题展开深入、系统的研究,为法律制定提供坚实的智力支撑。


  1、选择适宜的个人信息保护立法模式


  大数据时代,个人信息保护成为时代的主旋律。据统计,已有100多个国家制订了个人信息保护方面的法律。当前,主要的立法模式有欧盟的“数据法模式”、美国的“隐私法模式”和日本的“个人信息保护法模式”。欧盟《一般数据保护条例》已于2018年5月25日开始实施。美国自1974年制定联邦《隐私法》。近年来各州也纷纷通过立法,规制大数据时代的个人信息保护问题。日本2005年制定《个人信息保护法》,并于2015年进行修订、2017年5月开始实施,其目的主要是保护“高度信息通信社会”的个人信息权利和权益。


  2、厘清个人信息保护法的边界


  大数据时代,“个人信息”的内涵和外延是什么?个人信息保护与产业发展、国家数据安全的关系如何协调?这些错综复杂的利益关系如何协调,将会影响到个人信息保护法的顺利制定及其规制功能的圆满实现。


  3、创设合理的个人信息(数据)利用机制


  制定个人信息保护法的目的固然在于保护大数据时代的个人权益,更在于保障企业在规则范围内合理收集和使用数据。为此,我们应当在立法中设计合理的数据利用机制。比如“知情同意”制度、信息层级制度等。“知情同意”制度是个人信息保护的核心制度之一,主要是从用户权利保护的角度出发,在取得用户同意的基础上开展个人信息收集、利用等所有活动。信息层级制度是指根据互联网行业特点将个人信息分为不同层级的制度。比如分为基本信息、敏感信息和专业信息等。该制度可以让个人信息收集和利用更具可操作性。


  4、完善行业自律,强化行政监管


  行业自律是指行业协会制定行为规章规范个人信息处理行为。由于不同领域和行业在处理个人信息方面有很大的差异性,因而行业自律在个人信息治理方面具有很大的优越性。当然,由于行业协会自身的公信力、覆盖面等问题,以及利益考量问题,行业自律也带有一定的局限性。因此,我们在完善行业自律的同时,要强化行政监管,通过构建具有威慑力的外部监管机制促进行业自律的有效实施。


本文转载自2019年9月19日《新华网》:http://www.xinhuanet.com/info/2019-09/19/c_138403840.htm