【編者按】
2020年10月21日,全國人大常委會法制工作委員在中國人大網公布《中華人民共和國個人信息保護法(草案)》,并向社會征求意見,截止日期為11月19日。
2020年11月7日,第三屆中國數(shù)據法律高峰論壇暨上海市法學會網絡治理與數(shù)據信息法學研究會2020年年會在上海舉行。作為論壇承辦單位之一,互聯(lián)網法治研究院、華東政法大學數(shù)據法律研究中心就《中華人民共和國個人信息保護法(草案)》提出修改建議,并提交本論壇討論。
經聽取各方意見,第三屆中國數(shù)據法律高峰論壇就《中華人民共和國個人信息保護法(草案)》的修改達成共識,并由互聯(lián)網法治研究院(杭州)常務副院長、華東政法大學數(shù)據法律研究中心主任高富平教授執(zhí)筆,形成《數(shù)據要素化背景下的個人信息保護與利用新秩序》一文。
隨著網絡化、數(shù)字化和智能化不斷加深,人類社會已經步入數(shù)據智能時代。《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》將數(shù)據與土地、資本、勞動力、技術并列為五大生產要素,這是我國適應時代變革對市場經濟要素的新定位,具有重要的戰(zhàn)略意義。
匯集相同主題、相互關聯(lián)的數(shù)據,形成滿足各種分析目的的數(shù)據集(dataset),從中挖掘知識,做出智能化決策,支撐人類各項活動的開展,是數(shù)據的生產要素價值所在。由于每個主體掌握的關于相同主體的數(shù)據總是有限的、不完整的,所以市場化和非市場化兩種方式促進數(shù)據的社會化利用是實現(xiàn)數(shù)據生產要素價值的關鍵。
簡言之,數(shù)據作為生產要素要求數(shù)據持有者對外提供、分享或流通數(shù)據。
由于個人是社會主體,一切社會活動均圍繞個人展開,所以個人數(shù)據的分析利用是社會治理、商業(yè)活動等活動開展不可缺少的要素,甚至是撬動整個數(shù)據要素社會化利用的關鍵。近日向社會征求意見的《中華人民共和國個人信息保護法(草案)》(下稱“個保法草案”)第一條對個保法的定位是正確的:平衡信息個人權益和社會價值(利益),促進數(shù)據要素分享利用,是個保法的基本目的和制度要求。
但是,個保法草案在內容設計上并沒有真正設計出有利于個人數(shù)據社會化利用的合法通道,為數(shù)據要素市場化建設提供制度保障。
華東政法大學數(shù)據法律研究中心、互聯(lián)網法治研究院圍繞數(shù)據要素市場建設目的,提出個保法草案修改建議,并提交第三屆中國數(shù)據法律高峰論壇討論。在吸收各方意見基礎之上,論壇就個保法草案達成以下共識。
1.確立個人信息社會資源屬性,保護數(shù)據處理者合法利益
個人數(shù)據/信息既承載個人利益(主體價值),也關系社會整體(各信息使用者)利益,每個個體的數(shù)據都是社會共同體數(shù)據資源的組成部分。通過個人信息識別社會個體是商業(yè)運營、公共服務、社會交往等活動開展的必要條件,因而個人信息是一直是可用的社會資源,是重要的生產要素。但是,信息技術不斷迭代給個人作為主體的尊嚴、自由和隱私帶來越來越多的危害,個人信息的收集和使用必須加以規(guī)范,以確保個人主體權益不受侵犯。
通過規(guī)范個人信息處理,個保法保護的是個人主體權益而不是保護個人信息本身,是要防范個人信息濫用,而不是由個人絕對控制個人信息的使用。建議個保法在總則部分明確個人信息的社會資源屬性,以建立個人信息合法正當使用的原則。
要發(fā)揮數(shù)據的生產要素價值,就需要確認和保護數(shù)據使用者的合法權益。歐盟《通用數(shù)據保護條例》(下稱“GDPR”)將“數(shù)據控制者或第三方為追求合法利益目的而進行的必要數(shù)據處理”作為數(shù)據可處理合法基礎,實際上是對數(shù)據使用者的保護甚或“賦權”。因為每個社會主體在社會活動中都要使用個人信息,成為數(shù)據使用者(歐盟稱為控制者,我國稱為處理者),因而基于自身的合法利益可以使用個人數(shù)據(信息)即是賦予使用者自主使用個人信息的權利,只是該種權利以不侵害信息主體權益為前提。
我們認為,這一合法性基礎是開啟數(shù)據資源化利用的鑰匙,個保法應當增加體現(xiàn)社會利益的合法性事由,即“為實現(xiàn)數(shù)據處理者正當利益需要使用個人信息的”。這樣,社會主體可以援用正當利益條款使用個人信息,發(fā)揮個人信息的社會價值。
2. 建立原目的范圍內可分享數(shù)據原則,鼓勵受控的使用
目的限定原則可以實現(xiàn)個人信息的控制性使用,對保護主體權益具有重要意義。
目的限定原則包含兩層具體的內涵:其一,數(shù)據控制者只能基于收集之初確定的具體、明確、合法的目的收集個人信息;其二,收集后不能再基于與收集時所確定之目的不相兼容的其他目的處理。這意味著,只要在初始確定的目的范圍內或與初始目的相兼容,就可以再使用甚至對外提供;如果基于初始目的以外的數(shù)據處理與初始目的相兼容,則無需再獲得新的合法性基礎。
這是源自GDPR的規(guī)則,即:只要目的相容,就不需要新的法律基礎(同意),可以再使用和對外提供個人信息(數(shù)據)。如果再使用或對外提供的目的完全不同于初始目的或不能預期的目的,或對數(shù)據主體產生不公平的影響,其目的是不相兼容的,在這種情形下的再處理需要獲得數(shù)據主體特別同意。
個保法的基本原理認為,只要在主體同意的目的范圍使用,個人數(shù)據的處理就被認為在個人意志控制之下,就可以避免個人信息濫用的風險。但這種觀點已被實踐證偽:面對數(shù)字時代高頻的信息處理,個人沒有充足的能力和時間判斷個人信息處理是否構成濫用,是否為自身帶來不可控的風險。更何況,與服務(或交易)捆綁的同意也無法反映主體的真實意愿,反而成為獲取更多“授權”的工具。
為真正保護主體權益,避免個人信息被濫用的風險,不如通過目的相容給個人信息處理者一定的自由度,同時又真正將個人信息的使用限定在一定范圍之內。目的相容條件下的分享數(shù)據規(guī)則即是這樣的制度工具。建立這樣的規(guī)則既可以避免個人信息濫用的風險,又可以允許受控制的個人信息使用,實現(xiàn)個人信息在一定范圍內的分享利用。
3. 建立去標識化信息可以分享利用規(guī)則,促進個人信息社會化利用
當一個數(shù)據集去除與個人關聯(lián)的信息(包括直接或間接關聯(lián)的信息即廣義的身份信息,實踐稱為標識符)后,可以防范個人信息處理對隱私的侵害,尤其減少處理中的信息泄露對個人安全的危害風險。
去標識后的個人信息仍然可以用于識別分析,但須適用個保法規(guī)定,只是應區(qū)分應用場景,適用不同規(guī)則:當不需要識別身份時,則不需要同意;當需要識別身份的時候,則需要取得主體同意。如果不區(qū)分應用場景,一律要求去標識化的個人信息處理仍需取得主體同意,那么,個人信息處理者就沒有動機僅獲取去標識化的個人信息,主體的個人信息泄露、濫用風險反而增加。建議個保法建立去標識數(shù)據的分享利用,而不是匿名化數(shù)據的對外提供規(guī)則。
真正做到匿名化的數(shù)據(即“經過處理無法識別特定自然人且不能復原”),即轉化為抽象信息或知識,不再具有識別個人的分析價值。然而,在大數(shù)據環(huán)境下,匿名化的數(shù)據是否還能夠識別一個人,取決于數(shù)據處理者掌握多少數(shù)據和采取什么樣的算法。因而,將匿名化信息排除于個保法調整并可以對外提供的規(guī)定是有害于個人權益的。因此,匿名化宜理解為去除數(shù)據集風險的信息安全措施,而不是對外提供的安全措施。
建議個保法將去標識定義為:“去標識是對數(shù)據集進行處理,以減少數(shù)據集中與特定個人相關聯(lián)信息的風險。”并規(guī)定“去標識個人信息可不經同意而對外提供,但使用去標識個人信息須遵守個保法規(guī)定”,以為去標識化信息的流通提供正向激勵。如果個保法要規(guī)定匿名化,且將匿名化定義為“經過處理無法識別特定自然人且不能復原”,那么建議將其作為個人信息安全存管措施,而不是個人信息分享利用(對外提供)的規(guī)則。
4. 區(qū)分個人信息的控制和對個人信息處理行為的控制,建立有效保護信息主體權利規(guī)則
關于個人信息,個保法草案第四條與《民法典》第一千零三十四條的定義不同,采關聯(lián)標準。有學者認為應當采《民法典》的定義,但是,我們認為個保法應當采國際通行的關聯(lián)標準。
個人信息最主要的功能是識別個人,而識別個人信息的范圍沒有邊界,能否識別一個人取決于用于識別的數(shù)據量和識別分析方法,而不能事先判斷。因此建議,以關聯(lián)標準定義個人信息,限縮其范圍;對個人信息處理的定義突出識別分析,即“以識別分析為目的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動”。實際上,個保法最為重要的是控制對個人的識別(行為),而不是控制個人信息,從而在區(qū)分對個人信息的控制和對個人信息處理行為(核心或目的是識別)控制的基礎上建立清晰的規(guī)范。
之所以要將個人信息限于關聯(lián)信息,是因為與特定個人關聯(lián)的個人信息是有限、可識別和可判斷的,以此為基礎賦予信息主體一定控制性權利,是合理、正當和可操作的。比如,同意、更正、刪除是針對關聯(lián)信息本身。之所以將識別個人的信息排除于個人信息概念之外,是因為用于識別個人的信息廣袤無邊,不可識別和判斷。設置個人對泛在信息的控制不僅對個人信息保護不具有實際意義,而且對收集者也徒增合規(guī)成本。
所有識別分析對個人權益均有潛在影響,也需要個人的“控制”,不過需要符合法律邏輯并具有可操作性。當一項權利的行使邊界是清晰、有界限的時候,人們對自己的行為合法性就有判斷,對行為結果有預期,就不會給社會造成困擾;而當權利邊界不清晰時,就適合行為規(guī)范或責任規(guī)范。因此,針對處理行為而不是個人信息本身的權利(比如拒絕處理,拒絕自動識別約束)在個保法中就具有重要意義。
個保法調整的對象是個人信息處理行為,而不是個人信息(權利),核心是建構成處理者與信息主體之間的權利義務關系,防御個人信息處理行為侵害主體權利的風險,并在侵害行為發(fā)生時給予校正和救濟。行為規(guī)范是個保法的正確方向,個保法需要在此意義之上理解和設計信息主體的權利和信息使用者(處理者)的義務,在限縮個人對個人信息本身的控制范圍的同時,強化個人對處理行為和分析結果的異議和拒絕權利的配置。
5. 以具體的特殊類型信息替代一般的敏感信息,以清晰處理規(guī)則指引個人信息處理
個人信息復雜多樣,對個人的影響不盡相同,因而可利用性和利用規(guī)則也不同。為此,世界各國普遍采“一般規(guī)范+特別規(guī)范”模式,個保法草案亦是如此,建立了敏感信息適用特殊規(guī)范。但是,我們建議不采敏感信息,而直接規(guī)定具體的特殊信息的特殊處理規(guī)則。
因為敏感信息源自信息安全管理,它是根據信息泄露給個人、國家或其他組織帶來的風險進行劃分的。更為重要的是,敏感信息本身需要界定和判斷,在識別分析的語境下,脫離特定的應用場景、目的、方法(算法)等很難評估和判斷某個信息的敏感性,采用敏感信息會給個保法適用帶來不確定性或困惑。
另外,敏感信息本身也存在不同種類,敏感信息經處理后也可以變得不敏感,仍然可以發(fā)揮個人信息的資源價值,敏感信息作為一個框架性概念可能妨礙人們對可用數(shù)據的認知。比如,健康醫(yī)療信息多被認為是敏感信息,但只要做到去標識(身份)或不可識別,均可以用于醫(yī)學和醫(yī)藥研究;為了公共利益和人類健康,也應當支持去標識(身份)或不可識別的健康醫(yī)療信息分享。
在這方面,我國可以借鑒GDPR以行為規(guī)范模式來規(guī)定特殊類型信息的處理規(guī)則,結合中國國情和文化明確哪些信息可處理,但不得披露;哪些信息可處理,但不能識別;又有哪些非經事先同意不得處理。這樣的規(guī)范不僅使盡可能多的個人信息納入處理范疇,而且可以建立明確清晰的處理行為規(guī)范。
6. 個保法應當為基于數(shù)據的決策提供寬松環(huán)境
個保法的初衷是針對自動處理,因為自動處理可能導致信息主體不知情或沒有感知到信息處理,有可能對作為主體的人造成危害。在某種意義上,個保法本身就是防御“自動決策”給主體尊嚴或自由帶來危害的,而不需要單獨一個條文。關于自動決策,人們最關注的歧視或不公正問題,很難在個保法中通過強調個人權利來解決,而需要通過所涉領域法(如勞動法、消費者權益保護法)加以解決。
因此,個保法草案第二十五條第一款對自動化決策的特別規(guī)范中,有意義的內容是,個人“有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”。因為,在自動決策成為商業(yè)、社會治理普遍現(xiàn)象的背景下,個人要求信息處理者對算法進行解釋可能會對社會各種主體活動造成無端干擾,況且算法本身具有一定的不可解釋性。因此,自動決策行為規(guī)范最適合事后救濟,給予個人拒絕受約束的權利。這也是GDPR對自動決策的規(guī)范策略。
至于第二款,因《電子商務法》已有規(guī)定,毋需在個保法中予以重復。
人類社會已經邁入基于數(shù)據的決策階段,基于數(shù)據的決策一定是運用算法的自動決策,基于數(shù)據的自動決策將成為社會的普遍現(xiàn)象,這也是數(shù)據作為生產要素最主要的實現(xiàn)方式。因此,個保法立法應當著眼于時代的變革,為數(shù)據驅動和智能決策創(chuàng)制寬松的環(huán)境。