在信息時代,數據被認為是比石油更為珍貴的資源。由于絕大多數的數據,都來源于個人或與個人的活動有關,因而海量的數據主要是由個人來貢獻。根據可識別性標準,即單獨或結合其他信息是否可識別到特定的自然人,具有可識別性的個人數據,就作為法律上的個人信息而存在。我們在手機上使用的所有App,網絡科技公司提供的宣稱是免費的所有服務,其實都不是無償的。只不過,作為使用者的我們,支付的代價不是金錢,而是個人信息。個人信息方面的代價,可能比有形的費用要高得多。
對數據的合理化治理跨出重要一步
個人信息法律保護命題的復雜性,根源于在個人數據之上,匯集了多方主體不同性質的權益。其中,既涉及作為數據主體的個人隱私權與個人信息權等,也涉及作為收集者與處理者的企業、產業界的經濟性利益,還涉及國家與政府在宏觀經濟與社會治理方面的利益。由于需要在個人權益的保障、數字經濟的發展與社會治理的成效之間進行權衡,這使得有關個人信息的法律保護,自始就茲事體大,需要在整體的社會治理框架中來加以考慮。
作為一個超大規模的復雜社會,中國在國情方面的特殊性,以及網絡化與信息化的發展程度的差異,使得在數據的社會治理上,我們并無現成的方案可供照搬。個人信息保護法草案的出臺,有其積極的意義。它代表著立法者在如何實現對數據的合理化治理的方向上跨出重要一步。
個人信息保護法草案至少在如下方面取得重要成效:一是在落實信息收集環節的“知情—同意”的機制方面,草案出臺了比較切實的舉措。通過對告知事項、各情形中的同意要求、撤回同意權等做出明確規定,“知情—同意”的保護機制或有望借此得到貫徹與落實。二是通過規定包括知情權、查閱復制權、更正權、刪除權等在內的權利,草案強化了個人在信息處理環節的控制權能。三是草案試圖構建以二元機制為支柱的法律保護框架,即在“知情—同意”的機制外,引入對信息處理者的合規要求的機制。為此,草案對信息處理者的義務做出較為明確的規定,包括對個人信息實行分級分類管理與采取相應的加密、去標識化等安全措施,以及在特定情形中要求進行事前的風險評估等。四是初步確立按個人信息類型提供分級保護的機制,對敏感信息的處理做出專節的規定。
法規制度還有待進一步細化和完善
與此同時,個人信息保護法草案的不足之處也較為明顯。
其一,草案在明確個人在信息收集與處理環節享有諸多權利的同時,并未規定相應的法律責任條款與之配套,使得個人事實上根本難以對信息處理者提出權利主張。根據草案第65條的規定,個人如想向信息處理者主張權利,要證明自身存在損失或信息處理者獲得利益,此外尚需進一步證明侵害行為與自身所受損失或信息處理者所獲利益之間存在因果關系。在民事訴訟中,這樣的證明責任于個人而言,無疑是不可承受之重。
其二,草案雖然對國家機關處理個人信息作出專門的規定,但涉及制約性的規定,其內容非常概括,難以對國家機關收集與處理個人信息的行為進行有效的制約。國家機關作為社會治理的主體,本身也擔任信息處理者的角色。相比于像企業這樣的私主體,國家機關在處理個人信息方面無疑應當受到更多的制約,需要遵守公法上的比例原則。這不僅是因為公權力部門的執法活動,只有取得法律的明確授權才可為之,也是因為公權力的濫用,易于對個人、對社會造成更大程度的危害。尤其是,鑒于草案第27條只是含混地規定,在公共場所基于維護公共安全的需要,設置顯著的提醒標識,并遵守國家的有關規定,就可不經同意而收集與處理個人信息,公權力部門的濫權風險提升。對于第27條的內容,有必要考慮吸納比例原則中的相應要求,以對不經同意的例外情形做較為嚴格的限定。
其三,草案專門對監管部門的職責范圍與相應職權作出明確,但對如何確保其合法合理地履行職責并無具體規定。國家機關除了作為個人信息的處理者之外,也可能以數據主體的保護者或利益沖突的調解者的角色出現,承擔起監管方面的職能。這種監管職能屬于國家權力的行使,其間勢必涉及行政機關與相對方之間的關系,故監管部門應當如何履行監管職責方面的內容,也有必要加以規定。與此相應,在法律責任條款中,需要考慮如監管部門未依法履職,相對方如何獲得救濟等問題。
(作者:勞東燕,系清華大學法學院教授)