此頁面上的內容需要較新版本的 Adobe Flash Player。

獲取 Adobe Flash Player

高級搜索
請輸入檢索內容:

當前位置: 首頁 >> 學術資源 >> 行政法學 >> 正文

方禹:數據價值演變下的個人信息保護:反思與重構

| 時間: 2021-06-24 11:14:23 | 文章來源: 《經貿法律評論》2020年第6期

數據價值演變下的個人信息保護:反思與重構


方禹

(中國信息通信研究院互聯網法律研究中心主任)


摘要:數據認識的問題對個人信息保護制度的構建十分關鍵。通過模型構建的方式,以數據價值如何釋放為切入點,構建三個層次數據的理論模型。利用框架模型,分析發現不同類型數據所可能產生的價值、存在的問題與規范期望之間的沖突點。對比認知期望和規范期望,解釋實踐中出現的有關個人信息保護問題的認識偏差。闡述不同層次數據的特點,以及實踐中不同層次數據的交叉性,提出解決認識偏差的思路。以三層數據的理論模型為視角,分析個人信息保護的思路、個人信息的界定、個人信息保護的具體制度等所可能存在的障礙,提煉得出初步結論。

引言

在社會信息化時代,個人信息保護已成為廣大人民群眾最關心最直接最現實的利益問題之一。個人信息保護立法受到廣泛關注,各方利益訴求十分強烈和迫切。2020年7月3日,全國人大常委會審議了《中華人民共和國數據安全法(草案)》,規定了數據分類、安全保障義務等內容。2020年10月14日,全國人大常委會審議了《中華人民共和國個人信息保護法(草案)》,回應了監管機構、權益設置、主體義務、法律責任等個人信息保護立法的主要元素,同時也在“單獨同意”、審計等方面作出了制度創新。然而,草案能否承受各方高度關注之重,仍有待進一步觀察。實際上,數據、個人數據、信息、個人信息、大數據等概念的交織,使得本身極具復雜性的個人信息保護和數據安全問題,在學界、產業界和普通民眾的聚光燈之下,面臨更廣泛、更深刻的法益協調和平衡工作。如何認識數據并形成有效的規制思路,需要框定視角并通過模型建構的方式,來分析具體存在的利益博弈和真實矛盾,以準確把握通過立法所需要真正調整的法律關系。


一、數據價值視角下的數據類型劃分


(一)數據治理

研究數據治理首先要搞清楚“數據”和“治理”這兩個概念,其研究成果十分豐富,基本能夠形成一致的認識。對于數據,梅夏英對數據和信息進行了深入的對比,從而使人們對數據有了一個清晰的認識。對于治理,一般是相對于管理而言,最明顯的區別體現在參與方的數量和參與的程度上。治理過程中,參與主體更為廣泛,主體能動性發揮的空間也更廣。治理概念的提出,源于行政監管能力與被監管對象的力量對比發生了逆轉,單一的行政力量不足以應對強大的被監管對象。根據“全球治理委員會”的定義:治理是個人和制度、公共和私營部門管理其共同事務的各種方法的綜合。它是一個持續的過程,其中,沖突或多元利益能夠相互調適并能采取合作行動,它既包括正式的制度安排也包括非正式的制度安排。治理與管理最明顯的區別就是參與主體的數量和程度的差異。管理過程當中,以監管為中心,實施監管活動,被監管方處于被動地位。治理過程當中,仍然以監管為中心,但是參與主體不僅包括被監管方,還進一步延伸到行業和個體,多元主體參與治理活動,發揮各自的作用。管理活動適合比較簡單、清晰的社會關系調整,以威權式、命令式手段可以達到預期效果。治理活動適合復雜、動態的社會關系調整,僅僅依靠威權式、命令式手段可能達不到預期效果,復雜的社會關系牽涉多方利益,這種利益交織在同一場景下可能此消彼長,調整這類社會關系以利益平衡為目標,而非只追求單一、純粹的利益。同時,這類社會關系在不同場景之間異化性較強,不宜實施機械、單一的管理要求。治理活動中,選擇或者創設有效的法律制度,是實現治理目標的關鍵。

人們對“數據”和“治理”的認識和理解基本趨于一致,有關爭論實際上是對于如何治理的具體規則和具體制度選擇層面的認識存在差異,而反諸“數據”和“治理”概念本身來尋求解決方案。數據治理問題的解決,需要進一步通過外部環境的適配,來探尋數據治理規則建立的應然性要求。數據治理的問題包括三個方面:數據價值、數據安全和用戶保護。數據價值表現為多個維度,包括經濟價值和非經濟價值,也包括短期價值和長期價值,還包括局部價值和全局價值。數據價值的釋放是數據治理的最終目的,價值釋放的過程中所帶來的數據安全問題,是立法和行政監管應予以解決的。在確保數據安全的前提下,應該盡量多地釋放數據價值。廣義上的數據安全包括個人信息保護問題,但是個人信息保護加入了用戶權利的考量因素。對數據價值和數據安全進行成本收益分析時,若增加用戶保護的考量,則會影響分析結果。

(二)技術變遷背景下的數據價值體現

數據能產生什么價值?這是分析問題的前提,只有明晰了數據價值的具體所在以及與之伴隨而出現了何種問題,才能幫助厘清所需要采取的制度設計。數據的價值主要包括經濟價值和非經濟價值。經濟價值是能產生經濟效益的價值,包括直接經濟價值和間接經濟價值。從當前數據應用情況來看,能夠產生直接經濟價值少,而間接經濟價值體現的則比較明顯,比如利用數據所實現的精準營銷、市場分析等。非經濟價值主要體現于數據所具備的情報功能、預測功能,即通過數據來反映或者推斷某種事實。涂子沛認為,數據產生利潤的方式目前只有兩種:廣告和信用?!稊底纸洕c數字治理白皮書(2017)》中指出數字經濟可以實現五個方面的紅利:(1)重構商業模式;(2)提升勞動生產率;(3)促進產業升級;(4)推動萬眾創業;(5)創造就業能力。張新寶認為,個人信息商業價值的發掘與商業運作尤其是營銷模式的改變有重大關聯。程實認為,數字經濟可以通過不同渠道降低經濟活動成本,也在不同層面影響著經濟主體和對應福利,數字經濟可以降低五個方面的成本:(1)降低搜尋成本;(2)降低復制成本;(3)降低交通成本;(4)降低追蹤成本;(5)降低驗證成本。Paul B.C.van Erp等認為基于交通數據的分析,能夠對交通狀況進行預測,體現的就是一種預測價值。張芳認為大數據能夠在電商活動中產生精準營銷價值。張啟賢認為,大數據在金融領域應用,可以提高銀行業管理效率及降低銀行違約風險,可以促進證券行業信息化程度的提升,可以提升保險業對相關新型產品和保險產品的風險評估,還可以通過數據監控有效防止互聯網、金融、企業和相關領域出現詐騙、洗錢等風險問題的發生,這體現的是情報價值。劉姝認為,通過大數據發揮數據庫的價值,基于用戶的需求和習慣實現精準投放,這體現的是營銷價值。Wilson J等認為,數據的價值不僅是經濟價值,也有非經濟的價值,其通過醫療大數據應用歸納出提升公民生活水平的公共價值。數據的價值體現了多元認知,如經濟價值、營銷價值、情報價值、預測價值等。無論是何種價值,其所關注的是基于數據所形成的事實——已知的事實和未來的事實。這種事實的形成,取決于數據應用的技術能力。針對同樣的數據樣本,不同的技術能力所形成的事實也不相同。有必要認識不同的數據技術能力所對應的風險和收益,進而通過成本分析的方法得出一些結論。

(三)三種層面的數據類型劃分

根據技術發展和應用程度,可以將數據分為單一數據層面的數據、統計層面的數據和大數據層面的數據。本文簡稱為單一數據、統計數據和大數據。三種層面數據的變化體現了數據價值的演變,從個體到群體,從量變到質變。理解三種層面數據的內涵,是后文論述的基礎。

單一數據即個體(包括人和物)所產生的數據,其數據類型單一,比如某個自然人的姓名、身份證號碼等,或者某個機器設備、零部件的型號、狀態信息等。由于信息化技術水平不夠,無法實現單一數據的匯集,使得數據處于分散、碎片化的狀態。比如,在智慧交通興起和發展以前,各個路口的紅綠燈數據是單一的,分散且碎片化的,不能形成數據匯集。單一數據的價值極低,甚至沒有價值。自然人所產生的單一個人信息幾乎沒有什么價值,只有規?;膫€人信息集合才能產生相應的價值。但是對單一數據的濫用會產生個人信息權益受損的問題,我們大多數有關個人信息保護的討論中,所針對的其實是單一數據。比如徐玉玉案件中,由于徐玉玉相關個人信息的泄露,造成了其財產、人身的傷害,而這種危害后果是基于徐玉玉本人的單一數據所發生的。個人信息保護相關法律規定所規范的個人數據也基本是圍繞單一數據所設計的。更為直觀地理解單一數據,還可以以人肉搜索為例。人肉搜索針對的是單一數據,通過分散于網絡的、有關某個具體自然人碎片信息的大規模收集和整理,從而具體化拼湊出該自然人的身份信息。人肉搜索過程中,雖然也有大量信息被收集,但是從屬性上看,所有的信息明確指向單個自然人,所以也應該被視為單一數據。從法益上來看,對單一數據的不當處理,可能會引發侵犯隱私權的風險,但未必會引發個人信息保護的問題。此外,數據跨境執法實際上也是單一數據層面的問題,比如美國聯邦調查局(FBI)要求調取微軟存儲于愛爾蘭服務器中數據的案件,對國家安全、數據安全層面造成負面影響。

統計數據是單一數據的匯集,比如身份證號碼的列表等,典型表現形式就是數據庫,其特點是同一類型或者簡單多種類型的數據集合。雖然數據量可以非常大,但是數據種類相對單一、固定,只能挖掘出統計事實。通過統計數據能夠得出統計結論,比如總量、均值等。零售商可以基于同期銷售情況的統計數據,來進行進貨量的決策。這種數據應用依賴于信息化手段,但尚未達到大數據的技術水平。比如,前述智慧交通的例子中,利用技術手段匯集城市各個路口的紅綠燈數據,再加以分析,得出有關擁堵的交通信息,就是統計數據的應用。利用手機信令數據分析城市人口的時空分布,也是一種統計數據的應用,但這些都不是大數據應用。因為這種分析還是基于同種類型的數據(手機信令)的匯集,即便數據量足夠大,也只是統計數據的層面。大數據的核心不在于數據量級之大,而是能夠對多類型、多維度的數據進行分析,反過來說分析基礎也必須基于多類型、多維度的數據。統計數據能夠進行因果分析,而大數據技術能夠發現數據與數據之間的相關性。如果能夠通過信令數據、就業數據、交通數據等進行分析,得出未來房價或是生育率等走向趨勢,就比較符合大數據的要義——通過尋找海量數據之間的相關性來獲得預測結果。統計數據附加了人類勞動,其價值大于單一數據,最主要的體現是情報價值。利用統計數據,一般可以作預測分析,但是直接經濟價值的釋放并不明顯。所以,單一數據與統計數據之間的沖突并不明顯。統計數據僅僅增加了單一數據的數量累計,而沒有發生質變的效果。從法感情的角度說,用戶傾向于認為統計數據放大了風險。而統計數據也確實明顯體現出侵犯用戶權利的現象,比如騷擾電話、垃圾短信、電信詐騙等都是基于統計數據而得以實現的。

大數據是最容易被誤解的。其本質上是一種技術手段,而不是一種數據,特點是通過海量數據,結合算法等技術手段,得出相關結論。大數據對數據資源的要求非常高,一般認為包括5個V,即數據量大(volume)、速度快(velocity)、類型多(variety)、價值(value)、真實性(veracity)。大數據的“大”是指海量數據,既包括數據量大,也包括數據類型的豐富。大數據要分析與某事物相關的所有數據,而不是依靠分析少量的數據樣本。大數據要求的是混雜性,而非精確性,有觀點指出,即使數據再不良,理論上也可以通過算力來彌補。利用因果關系獲取事實與利用相關關系獲取事實,是大數據與統計數據最關鍵的區別。西醫診斷以數據的因果性為基礎,通過對應的檢查數據來確定病因和診療方案,比如血液白細胞上升,就意味著存在炎癥。而中醫則不局限于因果性,通過“望聞問切”四診法尋求的是數據的混雜性、多樣性,進而依據多種數據進行綜合判斷,而這種判斷不是以因果性為基礎的,而是以相關性為基礎的,是陰陽平衡,而不是單一的“藥到病除”。中醫診治很難通過臨床醫學進行驗證,因為相關關系的驗證通過因果分析很難奏效。通過大數據分析得出的結果能夠遠超過統計數據的簡單分析,因此利用大數據能夠大幅度增加數據價值的釋放,傳統數據所具備的經濟價值在大數據運用中釋放得更為充分,甚至往往能超過預期,間接經濟價值效果更加明顯。大數據對海量數據、類型豐富的需求使得數據交易市場基礎得以充實,也能激發直接經濟價值的產生。周濤認為,進入大數據3.0版本后,將產生數據運營商和數據客(dacker),個人、團隊和企業可以在已有數據的基礎上進行數據分析、加工和挖掘,數據市場進而產生。大數據能夠釋放的間接經濟價值在商業營銷方面十分明顯,利用大數據進行的個性化推薦能夠提高效率、降低成本。大數據同樣放大了傳統的安全問題,跨境數據流動的安全問題就是在大數據的語境下產生的。大數據對隱私保護的挑戰非常嚴峻,從而衍生出個人信息保護問題。一般而言,大數據應用于宏觀層面,但是微觀層面同樣存在大數據的應用,或者大數據原理的技術方式。比如,用戶畫像就是一種微觀環境中的大數據。用戶畫像所得出的結論與用戶的個人數據之間未必形成因果關系,大多數情況下是相關關系。收集用戶的個人數據越多,所能形成的用戶畫像就越準確。這些個人數據之間的相關關系的發現,是人類智力所不能達到的,通過算法的分析,找到相關關系,從而給出匹配結果,可以看作是一種大數據技術的應用。

(四)基于三層數據劃分所認識的偏差

數據治理以大數據為背景,但大數據技術并未充分普及,成熟度也不夠。很多研究和討論是在統計數據的基礎上展開的,從而很難得出準確的結論。杭州互聯網法院在“微信數據權益”案中認為,平臺數據“可以分為兩種數據形態:一是數據資源整體,二是單一數據個體。網絡平臺方對于數據資源整體與單一數據個體所享有的是不同的數據權益”。區分單一數據、統計數據和大數據后,可以簡單地用成本收益的方法進行分析,對比數據價值的釋放和數據安全問題的產生,能夠粗略歸納出一些結論。單一數據的成本遠大于收益(價值小而風險大),因此對單一數據的規制力度較強。統計數據的成本與收益大致相當(價值明顯而風險也明顯),因此對統計數據的規制力度適中。大數據的成本遠小于收益(價值非常明顯而風險并不具化),因此對大數據的規制還不明確,或者說執行并不到位。比如說,跨境數據流動問題的產生,應該是大數據層面的擔憂。由于大數據可以通過海量數據分析得出有價值的情報,所以各種類型的數據出境后一旦被大數據分析,可能對國家安全形成負面影響,因此需要對整體跨境數據流動進行一致性的限制。相反,如果是基于統計數據的擔憂,只需要對特定領域、特定類型的數據作出跨境限制。我們有關數據安全問題的討論,如果針對的是大數據,那么究竟有何種現實的威脅,還缺少具象化的論證,也缺少具體數據和案例的佐證。大多數擔心的安全問題是基于想象而產生的。比如,大數據層面的跨境數據流動,能夠產生什么樣的風險,并沒有現實的、具體的案例予以佐證?!袄忡R門”事件的曝光,一度引發國際層面對數據安全問題的擔憂?!袄忡R門”事件所涉及的數據其實是在統計數據的層面——通信數據的集合,以及單一數據層面——對特定對象通話內容的直接偵聽。很多國家對于跨境數據管理針對的是個人數據,比如歐盟《通用數據保護條例》(GDPR)的規定,防止的是個人數據的外流,其目的是保護個人基本權利。如果出于大數據層面的擔憂,應該禁止或者限制所有類型數據的出境,以避免多類型、大數量的數據外流后,被大數據技術分析出不利于國家安全的情報。

按照三層數據進行分析,可以為如今數據治理中出現的一些困境找到邏輯基礎。數據治理問題的一些難點實際上是應對不同層面的數據所產生的。正確認識和理解這些困境,才能準確地發現問題,作出科學合理的制度安排。

個人信息保護問題的爭議之所以產生,是因為諸多個人信息保護制度構建,是以單一數據為對象的,避免的是單一數據的負外部性。這也是為什么以歐盟為代表的個人數據保護法規,都是以個人基本權利的保護為基礎的。這在很大程度上是為了規避單一數據負外部性的數據安全問題。然而,個人數據的價值釋放是以統計數據、大數據為基礎的,特別是大數據。比如,前述用戶畫像的例子,微觀層面對個人數據的價值挖掘是基于大數據技術所實現的。大數據的特點是對數據類型、數量的高度需求,數據越多、越豐富,越能釋放價值。這一點與個人信息保護的最小化原則、必要原則等相沖突。從技術特點來看,統計數據、大數據并不關注具體自然人的身份信息——雖然大數據技術能夠比較容易地確定自然人身份,但這并非運用大數據技術的目的,也并非商業模式之基礎。這一點又與個人信息保護以能夠識別自然人身份的信息為調整范圍有沖突。個人信息保護中,數據價值和數據安全所規范的數據并非同一層次的數據,因此而產生的矛盾很難調和。在這一點上認識不清,就很難形成共識和定論。

數據流通之所以難以形成規模,也是同樣的原因。數據流通應當以大數據為基礎,而目前大數據技術的應用和普及尚不成熟。除了超大型互聯網平臺,企業與企業之間的數據需求主要還是統計數據層面的。統計數據的類型化很強,需要確定類型數據的量化集合。買賣雙方存在博弈,需要滿足雙重偶然性,才能形成交易。統計數據的技術不能發現相關性,數據需求基于因果關系而產生,因此數據需求類型非常固定,價值體現十分具化。有價值的數據賣方不想賣,無價值的數據買方不想買,這種價值僅僅體現于簡單的情報價值,或者能夠直接服務于買方的業務模式,因此數據交易只能發生在同業競爭者之間,而雙方由于競爭關系的存在,往往缺乏交易動能?,F在對數據交易的促進主要是在“需求量”上求解,而忽視了“需求”本身并不存在——認為問題是交易量不夠,進而忽視了交易需求本身是否存在。對于大數據而言,情況就大為不同,因為大數據的需求是各種類型的海量數據,數據類型化的需求并不強烈。數據交易的基礎能夠廣泛達成。舉一個簡單的廢品回收利用的例子,可以更形象地說明這個問題。利用不同的技術手段,對廢品回收利用的市場需求會發生較大的變化。假定某企業需要回收盛裝可樂的易拉罐,如果技術水平較低,需要回收的是形狀相同、材質相同、容量相同的易拉罐,進而清洗處理后再次利用。這時企業回收所需要的易拉罐類型非常固定,必須符合雙重偶然性,交易才能發生。如果技術水平提高,企業通過熔化重塑的技術可以制造新的易拉罐,那么企業回收需求就僅限于材質,比如必須是鐵器或者鋁器等,但是對于形狀、容量等就沒有要求了。這時交易的雙重偶然性大大提升,交易市場形成的可能性變得很高。假如能夠成熟地運用3D打印技術,那么材質的限制也可以打破,企業回收任意材質的廢品,都可以通過3D打印制成易拉罐,那么連雙重偶然性的交易基礎都不再需要。交易的可能性幾乎普遍存在,交易雙方很容易達成一致,從而能夠廣泛地形成交易。通過這個案例的假設,可以分析數據流通的實際障礙,并非絕對地是由于數據權屬不清所造成的。如果大數據技術得不到充分普及,數據交易就難以形成市場規模。正如同3D打印技術不夠成熟和普及,在一定程度上限制了廢品回收的市場規模。

公共數據資源開放的重要性受到各方關注,也從另一角度佐證了我們正面臨的是統計數據的問題,而非大數據的問題。正是因為受目前的技術水平限制,導致數據需求停留在統計數據層面,數據本身的價值就尤為重要(能夠建立因果關系)。不難理解,統計數據中最具價值的數據由政府部門、公共機構等所掌握。根據前述分析,這類數據的交易基礎、流通基礎廣泛存在,相關行業、相關領域對這類數據的需求十分明確,很容易通過主管部門的劃分找到對應的數據資源。然而,如果大數據技術足夠成熟,數據分析能力持續提高,對數據資源的特定化、類型化的要求降低,可能同時也會使得公共數據資源開放的需求相應下降。


二、多層面數據交織中的個人信息保護制度偏差


(一)小引

個人信息保護問題復雜且具有爭議,個人信息保護既可以通過民法予以保護,也可以通過行政法予以保護,還可以通過刑法予以保護。高富平認為,基于不同的保護目的,可能構建出不同的法律制度。實踐中,不同背景、不同主體、不同場景的變化,都會出現個人信息理解的偏差,影響個人信息保護規則的實施效果,甚至發生個人信息保護規則失靈的后果。比如,“知情同意”規則在人工智能中應用于無人駕駛領域,就導致有效同意難以實現。

這些差異化實際上就是不同層面數據的交織,在個人信息保護問題中的體現。目前,主流觀點對于個人信息的定義,其實屬于單一數據層面。如果說個人信息保護制度的目標就是保障用戶權利,那么現在的制度設計無可厚非。但是,無論國內還是國外,都十分強調安全與發展的平衡。個人信息保護領域同樣如此,GDPR雖然強調對個人數據進行基本權利的保護,但是在其前言中還是認識到技術發展、經濟發展的重要性。如果以平衡安全和發展為目標,對個人數據保護的單一數據層面和個人數據價值釋放的統計數據或大數據層面,就存在強不兼容性。制度設計應該以此為前提而展開,才有可能形成較為科學、合理的制度安排。

(二)個人信息再界定

個人信息保護最底層的邏輯不自洽就是對個人信息定義的理解。目前,個人信息的定義主要有兩種方式:(1)識別論;(2)關聯論。無論采取何種方式,個人信息的定義都有過寬之嫌。筆者此前已撰文闡述。通過單一數據、統計數據和大數據的理解框架,我們可以進一步發現個人信息定義的問題所在。立法中對個人信息的定義針對的是單一數據,這是基于用戶保護的角度。而數據價值的釋放是以統計數據為基礎,甚至是以大數據為基礎的。從統計數據、大數據的視角看個人信息保護問題,對個人信息定義的理解,會發生很大的變化。前述人肉搜索的例子中,有關自然人的數據是分散、碎片化的,通過整合而具備了識別自然人身份的效果,這是通過統計數據層面實現的。前述用戶畫像的例子中,有關自然人的數據是“海量”的、豐富的,通過算法(大數據技術)形成了用戶畫像。這些數據如果分別置于單一數據層面,都是不能識別自然人身份的。放置于統計數據層面,問題就會產生,比如“步態識別”技術,就可以通過步態分析來達到身份識別的目的。按照通行個人信息定義的理解,步態也應當作為個人信息的類型予以保護。放置于大數據層面,問題更為突出,個人信息的定義強調的是因果關系,而大數據并不以因果關系為前提,通過相關關系就能分析出結果,比如微觀層面的大數據——用戶畫像。那么個人信息的范圍還將變得更寬,甚至是無窮大。程嘯認為,個人信息保護的范圍越來越廣,甚至在許多情況下,連界定哪些信息屬于個人信息都存在困難。我們可能還無法想象未來通過何種數據能夠識別自然人身份。由此可以發現,問題的癥結在于,我們所期待保護的是單一數據層面,以此對個人信息進行界定,同時也制約了統計數據,特別是大數據的形成,用戶保護和數據價值相沖突,且難以調和。

個人信息保護的出發點是單一數據層面,防止個人身份被不當識別。但是,統計數據、大數據層面并不一定要識別自然人身份,甚至有些信息并不能識別自然人身份。比如,新冠疫情期間這一問題就十分突出。應對迅速蔓延的疫情,只有及時、準確掌握疫情相關人員信息,才能迅速采取針對性的措施,避免疫情的進一步擴散。對此,有必要采取技術手段,確定密切接觸人員的范圍。確定的目的是能夠將密切接觸的信息通知到個人,并進一步采取相關措施。這一技術手段并非要識別自然人身份,而是建立聯系渠道。有可能通過技術機制取得的僅僅是某個人的手機號碼,而并未獲取這個人的身份。當然,如果說手機號碼不是個人信息,可能不符合大眾認識。更進一步來舉個例子,為了確認密切接觸人群,安卓系統(Android)和蘋果系統(IOS)所開發的藍牙追蹤技術,也引發了個人信息保護的擔憂。從法律層面看,假設用戶A被確診,通過該藍牙技術可以追蹤到用戶B、C、D等,通過用戶A從用戶B、C、D處所收集的信息是否屬于個人信息?需要用戶B、C、D的同意嗎?當用戶A被確診時,他所掌握的與用戶B、C、D的接觸信息就會被上傳到疫情防控機構,此時是否構成了一項個人信息轉移行為,這種轉移是否需要取得用戶B、C、D的同意?如果答案都是肯定的,這種機制能否覆蓋平時的情況?例如當我們使用有些App時,需要上傳手機通訊錄,此時App所征求的是手機所有人的同意。但是,通訊錄中的聯系人信息并不屬于手機所有人,而是對應聯系人的個人信息。這實質上是一項個人信息轉移的活動。實踐中,我們并沒有征求對應聯系人的同意,也很難操作。德國WhatsAPP案中,用戶E注冊使用WhatsAPP時,必須同意接受其用戶協議,向WhatsAPP提供其手機通訊錄中聯系人的信息。但用戶E未從聯系人處得到同意。法院裁判用戶E的母親(因E是未成年人,由其監護人承擔義務)有義務取得孩子手機通訊錄中所有聯系人的書面同意。如果在疫情防控過程中,適用德國WhatsAPP案的思路,數據防疫的作用將大為減弱,甚至是不可實現。而在平時,如果通訊錄的讀取需要逐一取得聯系人的同意,也不具有強操作性。這對如何確定個人信息保護的客體,以及如何進行個人信息保護提供了討論的空間。

(三)個人信息保護之目的

個人信息保護的目的不是構建積極的控制權,而是避免消極后果。從近年來各國個人信息保護立法情況來看,強化用戶對其個人信息的控制權比較普遍。實際上,用戶基于知情同意而讓渡出數據后,其控制能力就幾乎不復存在。數據控制者、數據處理者通過統計數據、大數據來對個人數據進行使用,完全脫離了單一數據層面。這時,市場實踐出現“原子化”,用戶監控一個企業是否遵守法律規定十分困難,甚至是不可能的。一味強化用戶的控制權很有可能陷入制度的空想,賦予用戶并不實際的權利?;诮y計數據、大數據層面的技術應用,使得數據成為數字經濟的關鍵生產要素。數據的收集和使用成為必然,也是數字經濟社會人類的理性選擇。用戶一旦讓渡出數據,就很難再對該數據形成有效控制,通過法律規定強制性對用戶進行廣泛賦權,很大程度上會抑制數據價值的釋放,甚至完全扼殺部分產業模式。將個人信息保護的目標定位于保障用戶權益無可厚非,但是這種權益需要辯證地理解。數據共享、數據流通和大數據應用,給生產生活帶來的便利性是能夠被普遍感知的。統計數據和大數據都是由單一數據所組成的,其運作機理發生了質的改變。強用戶賦權能夠大幅度提升用戶隱私、安寧等方面的權益,但是對于用戶享受數字經濟時代紅利卻有負面的效果。用戶也在便利性和隱私性之間權衡,有些用戶出于對隱私的擔心,主動放棄了使用某些互聯網工具或者功能。這也反映了基于單一數據的隱私訴求與基于統計數據、大數據的價值訴求的沖突。在理解統計數據、大數據的基礎之上,個人信息保護目標的實現就應當以“用戶實際上無法有效控制其讓渡的數據”為前提,重點解決用戶讓渡數據以后可能遭受的不利后果。如馮果、薛亦颯提出“數據信托”的思路,將數據主體和數據控制者之間視為數據信托的法律關系,數據主體是委托人和受益人,數據控制者是受托人,承擔信托責任。數據主體與數據控制者之間以信任為基礎形成信托關系。由此,保護個人信息的法律制度,需要解決信任的問題,而不只是賦權的問題。

(四)個人信息保護的行業性

個人信息保護的復雜性無庸置疑,行業之間差異性比較大。同樣是對數據的收集、使用,生活服務類平臺對個人數據的依賴度相對較低,這類平臺通過中間服務賺取抽成來構建商業模式,比如外賣平臺、打車平臺等。但個性推薦類平臺對個人數據的依賴度就比較高,這類平臺以個性化推薦為基礎,通過信息服務來吸引用戶,進而以精準營銷的方式構建商業模式。如果實施嚴格的個人信息保護政策,對前類平臺的商業模式影響較小,而對后類平臺的商業模式可能是顛覆性的打擊??偨Y起來說,線下業務線上化的行業與完全線上化的行業收集、使用個人信息的活動區別度非常明顯,未來隨著“互聯網+”融合程度和數字經濟發展程度的深入,數據處理的特點、模式還有可能進一步區分化,單一、籠統的個人信息保護規則難以適應不同行業的實際需求。

不同行業的數據應用是有差異的,有的是針對單一數據的,必須識別自然人的身份才能維持運營,比如電話營銷,對獲取特定自然人身份的需求十分明顯;有的是針對統計數據的,比如定向廣告,只需要獲取目標對象的群體性特征就能滿足需求;有的是針對大數據的,比如精準營銷,需要實現微觀層面的有效大數據分析,才能提高精準性。這種區分既是行業的,也是動態的。電話營銷、定向廣告和精準營銷等都屬于廣告活動,其商業模式是由技術能力所決定的,隨著技術水平的提升、更新,業務活動也會從單一數據層面向統計數據、大數據層面轉換。差異化的特點需要差異化的應對,為了實現科學性和合理性,需要構建“法律規定+行業準則+行政認可”的治理模式,由立法作出規定,由行業形成共識,由行政部門確認。比如個人信息界定的問題,首先通過立法確定個人信息的內涵和外延,再由行業提出個人信息界定的具體標準,最后經個人信息保護機構確認,從而作為該行業個人信息保護的定義。整個模式是一項法律制度設計,同樣需要在立法中予以明確。

2012年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》中規定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”,確立了對“個人信息”采取“識別說”的定義模式?!峨娦藕突ヂ摼W用戶個人信息保護規定》《網絡安全法》《民法典》延續了“識別說”的思路,都將“個人信息”定義為以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息。2017年,《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中增加了“反映特定自然人活動情況”的描述,也基本是在“識別說”的定義框架之下。各類規定在列舉個人信息的類型時有所增補,但對個人信息的定性以識別自然人身份為基礎的共識已經形成?!吨腥A人民共和國個人信息保護法(草案)》基本堅持了“識別說”的模式,突出強調了“已識別或者可識別”的要件,同時也弱化了對“身份”性的限定,放棄了對具體個人信息類型的列舉,并明確匿名化信息不是個人信息,為實踐留足了解釋和調整的空間。

(五)小結

有關個人信息保護的討論中,很多都指出了個人信息保護和產業發展之間的平衡問題。但不同層面的數據所觸發的機制本質上就有不同,因而無法采取完全相同的平衡策略。目前雖然有很多有益的討論,但難免陷入問題無解的困境——提出問題,而不能解決問題,或者說不能解決所有的問題而導致了漏洞或空白。制度設計取決于對社會關系機理的準確認知,從而才能選擇或者創設適當的法律制度,來調整相應的社會關系,取得應有的效果。個人信息保護爭議的根源就是風險產生于單一數據,而收益來自統計數據或者大數據。筆者以為,問題不是不能解決,通過單一數據、統計數據和大數據三個層面的區分,并逐一對個人信息保護所產生的現象進行內在對應分析,找出癥結點,再用平衡的思路設計法律制度,就可以初步明確制度設計的方向和具體細節。


三、個人信息保護制度構建


(一)思路之確定

多數個人信息保護立法都是以用戶為中心展開的,體現了用戶利益優先的思路。前文已有分析,這種保護思路局限于單一數據層面。數據治理所包括的數據價值、數據安全和用戶保護三個問題,應該以數據價值為目標,制度設計圍繞如何釋放數據價值,同時避免數據安全風險,兼顧用戶保護。數據價值釋放的主體是商事組織,也就是企業。以用戶為中心的制度設計潛在地弱化了企業的價值釋放作用,不利于數據治理目標的最終實現。我們已經遠遠超越單一數據的時代,正處于統計數據的階段,并有很大可能在較短的未來進入深層次的大數據時代。對此,我們的制度考量應該以企業為中心展開,那么何種制度應予建立,就顯得十分清晰了。從單一數據的層面來說,用戶權益保護更為重要,因此要強化用戶賦權,同時制度設計上給用戶更多的保護,以扭轉其弱勢的地位,比如舉證責任倒置、公益訴訟的制度設計,由用戶來掌握主動權,必要時行使權利即可。從統一數據的層面來說,用戶權益保護同樣重要,但是單個用戶發生權利受損的情況,還是應該轉至單一數據層面解決。行政干預的必要性在統計數據層面體現出來,根據統計數據釋放價值的特點,規定匿名化、去識別化等管理要求,以平衡統計數據層面的風險與收益。從大數據的層面來說,用戶權益或被大幅地稀釋,人們或以比特化形式在數字化空間生存,數據風險得以降低,而數據蘊含的巨大價值將被充分釋放,制度設計上還需要進行前瞻性研究。

(二)數據泄露通知制度

筆者認為,數據泄露通知制度應該成為數據治理,特別是個人信息保護的核心制度。數字經濟時代數據價值釋放的基礎是統計數據或者大數據?;谇拔膫€人信息保護目標的闡述,用戶應該能夠享受積極福利,而同時避免消極后果。數據泄露事件對用戶的消極后果最為明顯。黑客入侵、員工泄密、系統安全漏洞、設備失竊都有可能造成數據泄露。錯誤配置的云存儲、未受保護的代碼存儲庫、脆弱的開源軟件等也可能造成數據泄露。這些原因既包含了客觀因素——系統漏洞或脆弱性等,也包括了主觀因素——內部人員的失誤或者黑客的入侵等。這些因素不可能完全消除或者杜絕。數據泄露并不能百分百預防。比如,系統漏洞并不可能完全不存在或者得到徹底彌補,而是需要適時更新。但是,漏洞總是先被發現,然后才有補救措施。其中的時間差,有可能會被黑客等利用而竊取數據。內部的違規操作雖然可以通過權限限定、流程管控等予以規制,但是制度總是存在被違反的可能,同樣可能由內因導致數據泄露事件。用戶讓渡數據所期望獲得的是數字便利性的對價,讓渡行為實際上是基于信任基礎。按照前引數據信托的思路,數據泄露會在很大程度上破壞信任基礎,也會觸發信托責任。數據泄露事件會動搖信任基礎,但并非雙方所期待的。通過數據泄露通知制度,可以一定程度上消除信任基礎的減損,也就是抵消負外部性。數據泄露通知制度的處罰條件是發生數據泄露事件,那么用戶本身并不具有積極的控制權,而是消極的控制權。因此,對于發生數據泄露事件而不通知的,應當處以較高的處罰。

根據GDPR的規定,數據控制者不履行數據泄露通知義務,可處最高1 000萬歐元或其全球年營業額2%的罰款。美國沒有聯邦層面的數據泄露通知法規,但是各州都有數據泄露通知法。部分州規定,個人可以向未履行通知義務造成損害的責任主體提起訴訟賠償,或者直接依據該州的消費者保護相關法律向泄露方提出損害賠償。根據各州的規定,有些處罰按照損害人群統計(民事處罰從500美金到50 000美金不等),有些按照泄露次數統計(泄露一次2 500美金),有些則按逾期時間計算(每天最高1 000美金)。法律責任的提升,目的是防止企業刻意逃避通知義務,提高違法門檻,以促進制度的落地執行。同時,在技術手段上也要形成溯源機制,能夠在檢查中發現瞞報數據泄露的情況。試想,在完善的數據泄露通知制度之下,理性企業首先要做的是盡可能避免數據泄露的發生,因為一旦發生數據泄露,就不得不履行通知義務,從而對企業聲譽造成影響。這就能夠形成一種倒逼機制,理性企業就應該根據業務規模匹配相應的技術保障手段和安全保障等級,來最大可能地防止數據泄露的發生。但是,如果沒有這種倒逼機制,就需要通過主動性的監督檢查來確保企業安全保障義務履行到位,也需要通過法規、標準等形式規定清楚企業應該適配何種技術保障手段和安全保障等級。通過比較研究,可以合理地預見,如果以法規、標準等形式作出規定,企業傾向于滿足最低要求即可;而如果通過倒逼機制,企業傾向于最大程度實現安全保障能力。這就是制度設計的妙處所在。

當然,建立數據泄露通知制度,并不排斥監管部門的監督執法活動。實際上,數據泄露通知制度并不增加行政執法成本,反而降低了行政執法成本。數據泄露通知制度的效果在于威懾性,迫使企業在發生數據泄露事件后一定要履行通知義務。這里最需要指出的是,數據泄露通知是一項獨立的法律制度,與其他法律制度平行而非互斥。比如,企業對個人數據負有安全保障義務,監管部門可以行使監管職權,對企業的安全保障義務履行情況進行檢查或執法。同樣,企業履行了數據泄露通知制度,并未消除履行其他要求的義務。企業發生數據泄露事件后,按照要求履行了通知義務,此時泄露通知的法律義務已經得以履行。但是,如果數據泄露是由于企業自身安全保障義務沒有履行到位,同樣需要承擔安全保障義務不到位的法律責任,該責任并不因為數據泄露通知義務的履行而得以免除。數據泄露通知制度和安全保障制度相互獨立而非互斥。同時,數據泄露通知還可以成為監管部門發現違法活動的重要線索。根據中興通訊和數據法盟聯合發布的《GDPR執法案例精選白皮書》梳理的案件情況,很多企業安全保障義務不到位的查處,都是由數據泄露通知所觸發的。企業發生數據泄露后,按照GDPR的規定履行了通知義務,監管部門隨即對其進行檢查。發現安全保障義務未履行的,就對其進行處罰??梢?,完善的數據泄露通知制度可以提高監管效率,從普遍性監督到觸發性監督,從“大海撈針”到精準式執法。就數據泄露通知制度本身而言,執法成本也能降低。數據管理過程中,取證是執法的難點之一,監管部門證明企業違法的技術成本較高,難度也很大。數據泄露是顯性的,通知或者沒通知都是非常清楚的。是否發生了數據泄露,通過簡單的技術手段或者日志查詢都可以實現。這在很大程度上能夠降低執法成本,同時也縮小了監管范圍。

(三)數據處理登記制度

數據處理登記制度是數據處理者(控制者)將收集、處理個人信息的相關情況報告主管部門的制度。數據治理中,數據處理登記制度應當作為一項基礎性制度。從各國立法來看,規定數據控制者和處理者登記制度的不是多數,主要規定于歐盟及其成員國。此外,少數亞洲國家和地區(如韓國和中國香港)和拉丁美洲國家(如秘魯和哥斯達黎加)也存在登記制度。而美國、加拿大等北美國家、大多數亞洲國家和地區(如日本、新加坡、以色列、印度、中國臺灣)、大洋洲國家(澳大利亞和新西蘭)目前沒有該要求。數據處理登記制度實質上是一個備案的程序,作用是建立雙向的聯系,實現DPO(Data Protection Officer,信息保護專員)和DPA(Data Protection Agency,信息保護機構)之間的信息共享渠道。數據處理登記制度也是一項銜接性的制度,是數據泄露通知制度等其他制度順利實現的前提。數據泄露事件緊迫性強,要求快速反應,只有DPO和DPA之間具備常態化的溝通聯系機制,才能確保數據泄露通知制度的有效落實。數字經濟時代,數據處理將不可避免地普遍化和常態化,數據處理者本身就成為一個數據在數字化生活中存在,十分有必要對其進行基礎性、系統性地統計。

(四)跨境數據流動制度

正如前文所分析,跨境數據流動的具體風險尚不可知,至少還沒有量化研究的支撐。但是從大數據層面理解,潛在威脅便清晰起來??缇硵祿鲃颖O管的目的是降低境外實施大數據分析的可能,因此應該盡量避免大批量、多類型的數據出境,盡可能將數據(并不區分是何種數據)留存在境內,以避免潛在風險。目前,各國對數據流入基本不作限制,關注點主要集中于本國數據流出。各國對跨境數據流動的監管政策,都與本國數字產業發展緊密結合,一般會統籌考慮國家安全、隱私保護、產業能力等多元因素,構建符合本國利益的監管制度。大數據追求數據的混雜性,通過相關關系來預測結果,而不是像統計數據一樣通過因果關系來追求精確的結果。因此,如果以大數據為背景進行考量,跨境數據流動就應當以數據本地化存儲為基礎,例外情形下通過安全評估來確保安全。當然這可能與主流觀點相悖,大多數人主張數據自由流動,以促進數字經濟的發展。薛亞君認為,要求所有數據的存儲、管理和處理只能在一個國家進行,會阻礙企業利用云技術的分布式特征所帶來的成本和速度的優勢。然而,這并不能構成跨境數據流動就能帶來收益的直接論據。本土化發展起來的互聯網企業并不少見,很多企業都是在實現本土規?;蟛艑で蠛M馐袌龅臄U張。要對跨境數據流動進行準確的成本收益分析,還有待進一步的深入論證來思考應當采取何種跨境數據流動的政策。

提及跨境數據流動的管理,數據分級分類制度是得到認可比較多的,廖璇、陳湉認為,數據出境管理要以數據分級管理為基礎,對政府數據、軍事數據、重要的經濟數據、個人信息敏感數據(例如與基因、醫療、銀行賬戶密碼相關的數據)等應當禁止流動?!吨腥A人民共和國網絡安全法》第37條也要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。但是,這些數據均是統計數據層面,規制的是因果關系的數據。以大數據視角來看,數據分級分類制度卻未必能起到應有的效果。大數據通過混雜數據可以分析相關性,來得出相關結論。如果確實存在安全問題,可能還要進行一般性、普遍性的出境禁止或者限制。


四、數據治理視野下的個人信息保護展望


數據治理與個人信息保護問題在當前階段交織性非常強。討論數據治理,很容易異化為個人信息保護問題。限于技術發展水平,現在對數據的認識以及對個人數據的定義方式,導致幾乎所有數據都屬于個人信息。對數據的擔憂往往是對個人信息權利的擔憂。隨著數據技術的演進和突破,數據治理所依賴的思路和規則都將發生變化。數據可以大致分為三個階段。第一個階段主要是人的數據(personal data),這些數據由自然人而產生,同時能夠通過感官發現,比如姓名、肖像、身份識別號碼等。第二個階段主要是人機數據(mixed data),這些數據由自然人而產生,但是需要借助機器設備而獲取,比如通過具備定位功能的設備而產生的自然人的行蹤軌跡,通過智能穿戴設備所讀取的心率、血壓等。第三個階段主要是機器數據(machine data),這些數據已經突破我們現在對個人數據的認識。自然人機器化或者機器人擬人化,由此所產生的數據,雖然具備個人數據的特征,但其社會意義已經發生了實質性的變化。法感情的變遷將隨著生產生活方式的變化而逐步實現。楊延超假設了一個機器人場景,TOM利用家庭機器人的管理實現了家居生活高度智能化,便利性極為增強,可見技術成熟后,TOM對這種智能化、便利化生活的依賴性。這種依賴性完全是以數據為基礎的,TOM必須大幅讓渡其個人數據。這種讓渡在數據3.0時代將成為一種必然。正如凱文·凱利在《必然》中提及的,當我們依賴數字而不是文字時,將構建出一個“量化自我”。數據3.0時代未必很遠,思考與之適應的數據治理規則,正當其時。


版權所有:法治政府研究院北京市海淀區西土城路25號郵編:100088

站長統計 聯系我們

麻豆画精品