在现阶段,对于隐私、个人信息和数据三者概念的使用、表述和界定,无论是在理论上,还是在法律上,都比较模糊、混乱,甚至存在诸多误解。对三者的概念进行界分,勾勒出差异化保护的制度框架和规则体系,厘清三者之间的关系,无疑是事关个人信息保护立法理念和立法模式的基础性工作。
在我国法律中,隐私、个人信息和数据各有独特的内涵。《民法典》在其第四编“人格权编”中设专章即第六章规定了“隐私权和个人信息保护”问题。其中,第1032条对“隐私”作出界定,把“隐私”定义为“自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息”。第1034条对“个人信息”作出界定,把“个人信息”定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”。《网络安全法》第76条关于“个人信息”的定义与《民法典》第1034条的规定相类似,而《个保法》第4条把“个人信息”界定为“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息”。《数据安全法》对“数据”和“信息”作出了区别对待,在第3条中对“数据”作出界定,即“任何以电子或者其他方式对信息的记录”。同时,我国《民法典》第1034条第3款规定,“个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定”。
但问题在于,在大数据时代,算法为王,如果对算法以及数据驱动型企业缺乏有效监管,则不仅极易对个人信息权造成侵害,还有可能引发社会治理危机。大规模的信息采集和数据处理大大增加了数据被滥用、权利被侵害的风险,使公民的人身财产安全受到严重威胁。如今,完善个人信息保护立法已成为社会共识,但对于如何在保护个人信息安全与促进数字经济发展之间寻求平衡,尚未形成共识。具言之,对于个人信息保护立法,到底是以保护自然人人格利益为主要价值取向,还是以促进数据产业发展为主要价值取向,抑或是以实现政府公共管理职能为主要价值取向对于这一问题,不同的回答将导致不同的立法取向,进而导致不同的制度设计。事实上,我国的个人信息保护立法确实面临着两难境地:若采取过严的个人信息保护策略,则可能影响企业的创新,乃至对数字经济发展产生不利影响;而若采取过松的个人信息保护策略,则必然会侵犯公民私权,进而影响法治建设进程。质言之,若个人信息保护范围过窄,则权利有受到侵害的风险;而若保护范围过宽,则会影响信息的自由流动,阻碍数据产业的发展。
关于个人信息保护的必要性和紧迫性,社会各界已无异议,但关于个人信息保护的具体路径和立法模式,则存在一定分歧。学界的分歧主要体现为两个层面:其一,对于个人信息所蕴含的精神利益和经济利益,是采取一元保护模式,还是采取二元保护模式其二,对于个人信息,是采取私法保护模式,还是采取公法保护模式,抑或采取其他保护模式
从世界范围来看,关于个人信息保护立法,主要形成了以美国立法为代表的分散立法保护模式和以欧盟立法为代表的统一立法保护模式。
就我国而言,个人信息保护立法的路径应建立于社会主义法律体系框架之内和法治传统基础之上。我国个人信息保护立法的时代背景与欧美国家的立法背景显著不同,大数据技术的飞速发展和广泛应用极大地改变了个人信息的应用场景和表现形态,个人信息保护立法进程中的利益衡量和制度选择都面临着新的挑战。无论是欧盟的以统一立法规制为主导的保护模式,还是美国的以市场自我规制为主导的保护模式,都不能完全适应我国当下的市场经济发展现状。因此,我们需要建立多元的治理框架,实现个人信息保护与数据开发利用的二元价值平衡。综合考量我国独特的文化传统背景、行政管理体制和数字经济发展需要,笔者建议开辟第三条立法道路,即综合借鉴美国和欧盟的两种立法保护模式,采取体系性法律保护模式,建立逻辑自洽的个人信息保护法律制度体系,实现信息自由和私权保护的并重,在充分保护个人信息控制权的同时,鼓励信息自由流通。
在数字经济时代,构建隐私保护、个人信息保护、数据保护的三元法律体系具有必然性,然而,这种三元法律体系的构建在当下中国呈现出复杂的现实图景。一方面,加强隐私保护和个人信息保护的呼声日益高涨,这对中国传统文化和法律制度提出了严峻考验;另一方面,加强信息自由流通和数据开发利用的需求日益旺盛,个人信息保护面临着内外两方面法律衔接问题。
我国《民法典》第127条规定:“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”这说明,我国《民法典》中存在着对隐私、个人信息、数据分别进行保护的法治构想,这一构想随着2021年《个保法》和《数据安全法》的出台而基本实现。特别是《个保法》的出台,有效地解决了我国个人信息保护领域专门性、综合性的立法问题。《个保法》超越了传统的公法和私法的简单二元划分格局,坚持了个人信息与隐私相区分的基本立场,并对敏感个人信息作出了明确界定。
在此背景下,我国的个人信息保护理论研究亦应当转向,即从立法论转向解释论。申言之,在隐私保护和个人信息保护方面,应从法教义学入手,分析《民法典》和《个保法》中的具体规则的立法背景、含义指向及实施建议,为正确落实《民法典》和《个保法》提供理论支撑。特别是针对实践中出现的隐私保护和个人信息保护所面临的知情同意机制弱化以及公共数据和公共利益对个人信息造成限制等突出难题,应梳理分歧焦点、基本法理和法律依据,为司法裁决提供理论指引。在数据保护方面,仍应当以制度创新为导向,从企业数据规则、公共数据规则和公共利益规则等方面,提出优化建议,推动《数字经济促进法》和《个人信息保护法实施条例》的出台,为进一步完善我国的数字经济立法提供智力支持。
第一,个人信息保护立法应对自动化决策的说明义务作出更加明确的规定,进一步明确接受委托的个人数据处理者的义务和责任,细化合法收集个人信息的依据和标准,明确知情同意机制的例外情形,增加风险评估中的社会伦理维度。
第二,对于某些问题,可以留待后续制定的实施细则或司法解释去解决,需要研究的只是如何对这些问题作出取舍,即将哪些问题交由后续的实施细则和司法解释来解决。
处理好《个保法》与其他法律的衔接问题,既包括处理好《个保法》与《民法典》《消费者权益保护法》《网络安全法》《数据安全法》等已经出台的法律之间的关系,也包括处理好《个保法》与《数字经济促进法》等尚未出台的法律之间的关系。近年来,我国数字经济立法的步伐明显加快,《数据安全管理办法(征求意见稿)》已由国家互联网信息办公室于2019年5月28日发布。《数据安全法》对网络直播、即时通信、搜索引擎等典型数字经济新业态中的个人信息保护问题作出了规定,但对于自动驾驶、公共数据、人工智能等问题,尚显规制不足。因此,在未来,还应当出台《数字经济促进法》《电信法》《算法法》《政府数据开放法》等法律法规。
首先,关于个人信息保护,应处理好民事保护、行政保护与刑事保护三者之间的关系,实现并重保护和均衡保护。尽管应加大对违法行为的行政处罚力度,让涉事违法主体望而生畏,但是,除了注重行政机关对个人信息的行政保护外,还必须注重司法机关对个人信息的民事保护和刑事保护。民事保护能够为个人信息主体实现人格权益与财产权益提供保障,而刑事保护能够通过追究严重侵犯个人信息的违法主体的刑事责任来发挥警示作用。
其次,应明确《个保法》与《民法典》之间的关系,这实则是明确隐私保护与个人信息保护之间的差别。《个保法》在个人信息的定义、处理个人信息的基本原则等方面的规定,都体现了《个保法》与《民法典》相分离的思路,比如,《个保法》没有提及“隐私”这一概念。《民法典》与《个保法》之间的关系是一般法与特别法之间的关系,二者对于个人信息在调整范围上基本一致,而当出现不一致时,则应适用《个保法》中的规定。
《民法典》将个人信息区分为个人普通信息和个人私密信息,《个保法》则明确区分了普通个人信息和敏感个人信息。但在《个保法》中,缺少关于个人信息分级分类标准的规定,这导致在司法实践中易对敏感个人信息进行扩大解释,可能导致对个人信息进行分类保护的制度设计被架空。从域外立法经验来看,GDPR第9条对敏感个人信息进行了列举,而美国的《隐私法案》则列举了判断敏感个人信息的12项标准。以此为鉴,我国需要建立健全个人信息分级分类保护目录或保护清单制度,对个人信息尤其是敏感个人信息进行分级分类。另外,《个保法》对个人信息采用了可识别性和可关联性双重标准,但在实践中,可识别性标准和可关联性标准难以被准确把握,故需要由法律规定作出总体性指引。笔者建议在《个保法》第11条中增加一款,作为该条的第2款,即“国家推行个人信息分级分类保护,目录由履行个人信息保护职责的部门制定,并根据个人信息保护的实践状况动态调整”。
其二,应赋予个人和企业公共数据利用权,引导公共数据的共享和开放。公共数据具有公共属性。公共数据的共享,既可以在政府部门与企业组织之间实现,也可以在政府部门与政府部门之间实现。为此,我国需要进一步完善公共数据的共享与公开规则,促进公共数据效用的最大发挥。
其三,应赋予企业数据权,推动企业数据的利用和流转。企业数据是企业通过合法形式收集和取得的各类数据,其权属性质既有可能是完全权属,也有可能是有限权属,还有可能是无权属。权属性质的不同会导致管理和使用数据的目的和方式不同。在信息社会,数据的价值骤升,已经成为与资本、技术、劳动力、土地等同等重要的生产要素。因此,我国应进一步明确关于数据的权属规则、分配规则、交易规则、安全规则、监管规则等。
关于个人信息保护机构,《个保法》提出了“网信部门统筹协调+有关部门各自监管”的模式。这一模式比较贴近于我国传统的行业主管部门专门监管模式,比较符合我国行政机关设置和职能划分的传统,有利于各行业主管部门提高本行业内的个人信息保护水平。总之,对于个人信息保护,我们倡导的是一种“外部监管+行业自律”的双重保护模式。就行业自律而言,需完善内部管理规范和技术保护措施;就外部监管而言,市场监管部门应主动与信息保护部门和司法机关进行有效对接,健全个人信息司法保护机制。