编者按:大数据背景下,“可识别性”个人数据的范围不断扩大,分类也趋于模糊化,个人数据法律保护面临诸多困境。欧美通过立法改革积极应对新技术背景下个人数据保护的新挑战。我国需认识到大数据背景下个人数据保护立法的滞后性,理性确立个人数据保护法的价值取向,对内选择适合国情的个人数据法律保护模式,对外有效应对个人数据保护立法的国际化趋势。
随着云计算、云存储、物联网等新技术的应用,人们通过社交网络、电子商务平台及移动智能终端等途径搜集、处理的各种数据呈爆炸性增长,在容量、关系和复杂性等方面已超出了传统的处理能力和认知范畴,从而步入了大数据时代。在传统网络数据保护问题尚未得到有效解决的情形下,大数据时代的到来又给个人数据保护带来了更多新的难题与挑战,亟需从立法层面予以应对。
大数据与个人数据
1.大数据的内涵与特征
2.大数据背景下对“个人数据”的重新审视
大数据背景下个人数据法律保护之困境
在传统立法中的个人数据保护问题尚未得到有效解决的情形下,大数据时代的到来又给个人数据法律保护带来了新的困惑,主要表现为以下方面:
1.数据主体的对数据的控制权严重削弱
2.数据控制者数据垄断不断强化
3.数据安全风险和数据监控风险增加
在云计算环境下,数据将被集中存储,并形成一个超大的数据共享中心。这种数据存储的集中化特性使数据保护更加便捷,但也更易产生数据混同、数据丢失或引诱恶意攻击。云计算采用开放接入访问模式,访问节点多而分散,动态性和虚拟性加强,数据传输可能跨越多个国家、地区,使个人数据被非法窃取、攻击、修改和破坏的几率增加。当数据过期并需要删除或销毁时,云服务提供商可因为故意或过失而未完全删除或销毁所持有的数据或备份,数据的安全性便会因此受到威胁。此外,大数据时代的监控可谓无孔不入,这种监控并不仅仅反映在数据的大规模非法收集上(如“棱镜门”事件),还表现在利用数据分析与挖掘技术,将收集到的各类数据进行交叉比对、分析检验,从而将某个特定的主体从数据群中“提取”出来的能力提升。这不仅使数据主体无法充分掌控自己的数据,还会使其受到不公正的待遇。
4.“通知—同意”规则难以有效执行
“通知—同意”规则是欧美数据保护立法的核心性规则,是指数据控制者和处理者在收集、处理数据时须事先告知用户,并得到用户的明示或者默示的许可。在大数据背景下下,“通知—同意”规则的执行力度因难以把控而显得格格不入。以云计算机为例,云服务商为取得数据主体的明示许可,须耗费巨大资金,在其系统软件中设计新的收集数据主体做出同意的方式。数据主体也会因此反复签署数据控制者或处理者为确保数据主体做出明确同意的意思表示而提供的合同,这不利于数据主体顺畅的使用现代化服务。但“通知—同意”规则若不执行或宽松执行则将导致数据主体对个人数据的控制力下降甚至消失,如何趋利避害是完善该规则的关键所在。
5.责任追究难度加大
在云环境中,个人数据安全风险存在与数据存储、传输、处理及销毁等全生命周期中,涉及政府、数据控制者、数据处理者、数据主体等多方主体参与者,责任主体的多元化使得责任认定难度增加。此外,越来越多的企业聚集成为共同利益集团,在集团内部进行数据的共享,同一数据需要供给多个主体使用,即呈现“多对多”的模式。在这一模式下,由于数据接口的多样性,往往会被多个主体访问和使用,使责任主体难以辨识。
大数据背景下欧美个人数据保护立法的回应与变革
权利保障与促进数据自由流动是各国数据保护立法的基本价值功能,如何在尊重各国文化、法律、政治及经济发展实际状况的基础上,将其内化到数据保护法律规则的制定中是最大的难题,也是欧盟和美国数据保护立法最主要的分歧所在。
1.欧盟个人数据保护立法动向:对个人权利保障的关切
2.美国个人数据保护立法动向:对数据自由与技术进步的关切
3.比较与评析
美欧数据保护立法政策的制定受制于各自的文化、法律、经济发展及政治现实,在内容与立法价值的取向上有所不同。欧盟为个人数据保护提供统一、强制性的标准,有利于保障个人权利及数据的自由流通。但若不能协调法律的稳定性、滞后性与技术发展的高速性之间的矛盾,统一立法难以发挥预设的调控效果。美国分散立法与行业自律相结合的个人数据保护模式调动了企业保护个人数据的主动性,增强了个人数据保护的针对性与灵活性,降低了执法成本。但由于缺乏法律强制力约束,数据主体的法律救济不足,难以有效维权。
大数据背景下我国个人数据保护法律保护模式的思考
大数据背景下,个人数据的法律保护面临诸多困境,如何确立适合本国国情的数据保护立法政策是问题的关键。我国应从厘清现有数据保护立法政策的滞后性入手,理性定位立法的价值取向,并以此为指引,完善我国个人数据保护的法律模式。
1.我国个人数据保护制度的滞后性
2.立法的价值取向:权利保障与数据自由流动的价值平衡
我国在数据保护立法中应充分考虑价值平衡这一问题,在认清基本国情的基础上,在对“技术的信仰和人身的信仰之间”,需求一个平衡的支点:
首先,应理性认识大数据技术背景下的个人数据保护问题。大数据因其强大的“预测”功能被应用于国家安全、社会干预、金融、销售、医疗保健等各个方面,成为国家经济增长与企业盈利的助推器。数据分析与挖掘技术的进步不断扩大数据的“可识别性”的范围,具有人格权属性的个人数据也是一种社会经济资源,因此不能以拒绝或排斥的眼光看待个人数据的商业化利用;其次,应处理好权利保护与权利限制的关系。权利保护是数据保护立法的核心,但对权利保护的过分强调必将克减数据自由流动的机会、增加商业成本,使得大数据的社会价值无法有效发挥。因此,权利限制应成为权利保障的有益补充,当涉及国家安全、国家防御、刑事犯罪、重大公共利益、他人的生命或重要权利时,数据主体的权利应遵循“个案平衡”原则相应克减。第三,应选择或设计成本最低、效率最高的权利保护规则,以促进数据自由流动。
3.建构符合我国国情的个人数据法律保护模式的思路
(1)确立适合国情的“综合保护”立法模式
立法模式在很大程度上承载着立法者的价值期望。在我国,统一立法、分散立法与行业自律相结合的“综合保护”立法模式是最佳途径:首先,数据处理行为应设定普遍的法律规则,制定统一的个人数据保护法是当务之急。欧盟与我国同属大陆法系国家,其法律体系于我国具有很强的兼容和相洽性,欧盟统一立法模式可为我国提供有益借鉴;其次,还应认识到数据处理行为及个人数据存在差异性,可根据数据类型及处理行为的差异设定特殊的规则,比如在犯罪侦查、医疗、科研等特殊领域或涉及到个人敏感数据的行业设立特殊规则;第三,应鼓励和引导行业自律。由于我国缺乏自律传统与自律文化,行业自律最大的弊端是缺乏约束力,可考虑赋予经审查的自律规范以法律效力,或引入激励机制,以保障行业自律的实施效力,使其成为立法的有益补充。
(2)明确基本的个人数据权利
在数据保护立法中,个人权利保护是核心内容。个人数据权利与隐私权是经常容易被混淆的概念,但两者仍有者明显区别:个人数据权利的建立具有高度的技术特征,规定的是如何收集与处理个人数据的规则,兼具人身权与财产权的属性;而隐私权对应新闻自由而产生,以保护人格利益为主,以避免侵害和损害救济为目的。因此我国在数据保护立法中应单独规定个人数据权利,一般包括同意权、获取权、知悉权、删除、修改、补充权。
(3)明确数据控制者的核心义务与责任,增强风险防御能力
数据控制者是指数据保护立法的核心义务主体,可分为商业机构、政府机关与公共机构。目前,各国数据保护立法均将政府与公共机构纳入范围之内,分别适用统一或有差异性的调整方法。我国已有学者提出政府机关处理个人信息的行为属于行政法律关系,理应在规制程度上弱于其它信息处理者。但本文认为,与商业机构相比,政府机关与公共机构掌握公权力,其收集、处理的个人数据范围广、内容多,应受到数据保护立法同等的规制。在新技术背景下,不仅应将告知义务、合法获得义务、安全保障义务等纳入数据控制者的义务体系中,还应认识到,将风险规制寄托于惩罚与救济的方法实施成本高、效果有限,对风险事先防御才是明智之举。可在立法中设立激励机制,鼓励公私机构就拟建的数据处理系统或任何新的大数据项目进行数据安全影响评估,并定期向社会公布这些评估报告。另外,可鼓励高新技术企业将隐私强化技术应用至企业数据处理系统及产品的设计之中,增强企业对数据安全风险的防御能力。
(4)完善“通知—同意”法律规则
大数据背景下的“通知—同意”法律规则难以发挥应有的功效。为应对此难题,欧盟的做法是明确数据主体的“同意”应为“积极同意”,这有利于保护个人数据权利,但也因增加商业成本而饱受诟病。建议我国在数据保护立法中采用“积极同意”与“消极同意”相结合模式。对于统一的数据保护立法应采纳“消极同意”模式。考虑到这种模式所降低的商业成本会变相转移到数据主体身上,故我国在引入消极“通知—同意”规则时应注意两个因素:一是“通知”应是明确、充分、具体的。数据控制者应告知数据处理的机构、目的、种类等核心要素。二是赋予数据主体便捷、经济的反对途径。应规定数据处理者要求数据主体反对的方式必须与数据处理者通知的方式同等便利,不给数据主体增加额外的负担。对于犯罪侦查、医疗、科研等特殊领域或涉及到个人敏感数据的特殊保护规则应采用“积极同意”模式。
(5)健全个人数据保护民事诉讼与行政处罚机制
权利保障与救济是个人数据保护立法的核心。在云计算模式下,侵权主体具有多样性并很难确定,数据主体难以有效维权。我国应逐渐健全个人数据保护的民事诉讼机制,明确建立由被告证明其不应承担责任的举证规则。当数据主体不能确定具体的侵权主体时,由数据控制者与处理者承担连带侵权责任。此外,在大数据时代,个人数据是价值巨大的“金矿”,很多企业会对存储于云端的数据进行商业化利用,数据泄露、非法交易也将成为常态,加大行政处罚的力度是当务之急。也可考虑设立违法行为处罚“公示”制度,将违法企业计入“违法行为黑名单”等方式,来有效遏制侵犯个人信息的违法行为。
(6)有效应对个人数据保护国际化趋势
结语
大数据时代,数据共享和数据收集的规模急剧增长,数据已经成为经济增长和社会价值创造的源泉。快速发展的数据挖掘与利用技术使个人在网络空间逐渐由“匿名”变为“透明”,产生于大机器时代的个人数据保护法律规则亦无法有效应对大数据环境下个人数据保护的新问题,而立法改革成为欧美国家解决上述问题的一剂良药。欧盟《条例草案》在生效与推广之后很可能成为主导世界的数据安全法律治理模式之一。我国需理性认识到数据保护的国际动向与本国立法的滞后性,在对“技术的信仰和人身的信仰之间”需求一个价值平衡的支点,并以此为指引,尽快探索适合我国国情的个人数据法律保护模式。同时积极应对个人数据保护的国际化趋势,积极争取国际规则制定中的话语权。
[作者单位黄道丽,公安部第三研究所(信息网络安全公安部重点实验室);张敏,西安交通大学]