1. 引言
数据成为继土地、劳动力、技术、资本之后的关键生产要素,正在推动生产方式、生活方式和治理方式的深刻变革,被称为二十一世纪的“石油”。科技公司和平台对个人数据的无序利用在侵犯个人隐私的同时,也会影响到国家的数据安全。因此,未来世界各国平衡数据利用和隐私保护的目标是趋同的。我国目前学界一直在寻求数据利用和隐私保护的平衡之道,提出的方案大多聚焦在建立统一的数据保护法体系、加强行业自治、场景视域下的隐私风险评估、数据主体要对敏感数据做出有效同意、对匿名化技术遭受再识别风险的干预等,讨论既有整体上的法律体系构建,也有针对现有保护框架的完善。只是在国家着力要构建数据基础制度并提出指导性意见的背景下,已有的关于数据保护法体系的构建讨论存在一定的滞后性,对于具体保护框架的修正也因缺乏相应的法律及政策支撑难以发挥实际的效用,当然场景视域下的隐私风险评估是有极大的可适用空间的。值得一提的是,学界现有的数据保护法体系,还是聚焦于赋予数据控制者一方主体以数据财产权。笔者希望通过聚焦欧盟和美国在平衡个人数据和隐私保护上的方案,结合国家关于构建数据基础制度的意见,为数据保护制度的设计提出一些新的设想,以期为数据保护制度的构建提供可行的思路。
2. 个人数据商业化利用与隐私的基础理论
2.1. 个人数据商业化利用正当性辨析
个人数据正常的商业化利用是有正当性基础的。通过劳动赋予权利理论、激励理论以及权利让渡原则,能够对个人数据商业化利用的合理性进行更好的解释。
首先,劳动赋予权利理论意味着劳动者通过自己的劳动赋予某些尚无归属的东西权利,使无主的东西成为其的私有财产。[1]个人数据的价值在于其潜在的规律和趋势,这些规律可以被商业化利用以实现价值创造和市场竞争优势。个人数据只有在进行规律分析和总结后,才能实现其真正的价值。企业需要投入成本和劳动力来挖掘和分析这些数据,而个人通常只需提供必要的信息,如地址、联系方式和账号名称等。从劳动赋予权利理论的角度来看,企业通过利用个人数据获得收益是合理和正当的,因为他们已经付出了成本和劳动力。
其次,激励理论是知识产权领域的重要理论。在知识产权领域,激励理论的应用更好地调动了创作者的主动性和积极性,使得技术创新得以不断更新迭代。数据领域也是如此,特别是未来数据产业有极大的商业潜能的背景下,如果个人数据无法被商业化利用,或者受到过多限制以至于降低了其经济价值,那么企业的技术创新积极性将会受到打击,这将不利于数字产业的发展。
最后,权利让渡原则是指个人、团体或国家基于某种需求或生存需要,将自己的部分或全部权利让渡给相关个人、团体或国家,以换取相对应的权利需求。[2]为了在原始社会生存,个人的大部分权利被让渡给家庭和部落。如今,为了享受数字时代的便利,我们必须将一些数据权利转让给商业集团。如果不让渡一定的个人数据权利,过度限制个人数据的商业使用,那么当今时代人们正在享受的技术将难以生存和发展。
个人数据商业化利用的正当性是建立在对其进行合理利用的基础之上的,过度、无序以致侵扰到私人生活安宁必然丧失商业化利用的正当性基础。
2.2. 个人数据与隐私的关系
数据时代的到来使得数据的发展呈现多样化的态势。个人数据作为数据的一种,由于其与自然人主体密切相关在整个数据体系中占据重要地位,通过对细微零散的信息进行拼接形成个人“数据画像”,因关联到个人的私密领域进而可能触碰到个人隐私。
个人数据最关键的特征是其对自然人主体的可识别性。《数据安全法》中将数据描述为“任何以电子或者其他方式对信息的记录”,1《民法典》对个人信息和数据进行了剥离,2这是时代变化所带来的必然结果,因此数据更加侧重于信息的记录和整合方面。个人数据通常将“可识别性”作为主要识别特征,这源于欧盟《通用数据保护条例》(以下简称GDPR)对于个人数据的定义:“个人数据是与已识别或可识别的自然人相关的任何信息”。3个人数据既包括可以直接识别数据主体的数据,也包括能够间接识别到相关主体的数据。随着数据分析利用技术的发展变革,个人数据所包含的数据范畴将会越来越广泛。尽管个人数据的范围难以全面列举,但是其识别性的本质却是可以把握的。个人数据对于自然人主体的可识别性使得个人数据必然会与隐私产生千丝万缕的联系。
隐私权的含义也是处于动态发展之中的。隐私权理论的演进从过去的“独处权理论”、“限制接触理论”、“信息控制理论”等诸多理论到如今的“场景理论”。尼森鲍姆场景理论的提出是对僵化的“公共–私人”式的隐私判断框架的突破,他认为隐私权既不是保密性的权利,也非信息控制权,是一种个人信息进行适当流动的权利,还提出了信息收集应用需要遵循适当性原则。[3]“场景理论”在国内学界尚处于发展状态,可以说隐私权方面的“场景理论”可以被视作一种不同场景下的隐私识别和保护理论。[4]司法实践中对于场景理论在隐私判断方面的适用,是在遵循个案平衡的原则的基础上,利用一般性的隐私观念逐案进行分析,来比较个人信息与隐私保护之间价值的平衡。4立法上认为隐私的核心在于私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息,5立法上会偏重于个人对信息的控制,同时更加关注隐私的情感属性。笔者看来,就隐私权保护,价值平衡需要考虑,个人意愿也需考量,“场景理论”应当灵活适用,不能盲目追求一般性的隐私观念。
个人数据与隐私有紧密联系但并不等同。个人数据与隐私在内容方面有交叉,一些个人数据是隐私的外在表现形式,无论是直接还是间接识别个人的数据,难免会触及隐私区域;两者在危害后果上也有交集,个人数据的不当利用很可能会威胁到自然人的个人隐私权利。个人数据与隐私之间交叉但不互相包含的特性体现了两者之间存在诸多的不同。首先,两者的属性不同,隐私具有人格属性,个人数据有时同时具有财产和人格的属性。其次,两者的客体范围和权利内容也是不同的,但笔者认为要探求个人数据与隐私的交叉部分,本质上还是要把握二者在属性上的差异,同时关注随着社会变化带来的具体内容的变化。
3. 个人数据商业化利用中隐私保护面临的困境
3.1. 数据利用与隐私保护的利益冲突
隐私权本就是利益与平衡之间冲突的产物。关于隐私权的讨论始终与利益冲突密不可分。数据利用和隐私保护的不同方向的价值追求决定了两者之间存在内在利益冲突。同时,各种数据相关主体之间的利益冲突不断,这种冲突广泛存在于数据主体,数据控制者和社会公众之间。
隐私与数据利用不同的价值追求使得二者存在天然的内在冲突。通过对隐私保护的发展与演变的参考,我们可以发现隐私利益是一个复杂的利益集合,它受到时代和社会背景的影响,涉及人格尊严、信息自决权等方面内容,并且可能随社会发展而变化。同时,如果我们将研究的焦点转向数据的价值评估,我们可以发现数据的价值本质上在于解决信息不对称所带来的不确定性,提高人类认知和把握规律的能力。[5]而数据价值的实现需要数据的流通和共享,数据的价值是在动态开发和利用过程中实现的。相比之下,隐私利益更多地体现为人格尊严和自由的价值目标,隐私保护的重点在于如何保护个人隐私不被外界知晓或干预。数据利用的价值更多地体现为财产性利益。因此,这两者之间存在内在的冲突和不协调。
隐私和数据利用的内在冲突外在表现为不同利益主体之间的利益冲突。首先,在数据利用的背景下,数据主体和数据控制者之间存在着不同的利益诉求。数据主体希望在享受数据利用带来的便捷性的同时,不会泄露个人隐私,保护人格尊严和自由等隐私利益。[6]而数据控制者则希望能够利用收集到的原始个人数据及加工出的衍生数据创造利润,实现利益的最大化。然而,在获取的数据资源足够多并且趋于稳定之后,数据控制者会反过来占据优越的主体地位,原来的数据主体往往会失去选择的实际权利,并且也难以了解到其数据的处理、流通等相关信息。数据主体和数据控制者之间的冲突具体表现为大数据杀熟行为、未经同意对数据主体的数据进行收集等。其次,数据控制者们之间也存在激烈竞争。随着科技的不断进步,数据控制者们通过各种手段吸引用户并获取其个人数据,这些数据已经成为经营者们竞相争夺的重要商业资源,但数据产业链的上游市场已经被阿里、腾讯等互联网巨头瓜分殆尽,个人数据往往被强势主体所垄断,这使得处于产业链下游的数据控制者们在收集个人数据时面临着重重阻力。[7]同时,由于缺乏行业标准和规范,数据控制者之间的交易、竞争也变得混乱无序,导致数据产业难以健康有序发展。最后,各方利益主体与公权力机关代表的公共利益之间也存在一定的利益冲突。当公权力机关依照规定获取平台的个人数据时,平台很可能会对此感到不满。毕竟,用户数据是平台的核心机密和商业资产,一旦泄露造成的损失是难以估量的。个人数据的泄露问题涉及至少三方主体的利益:个人自身、数据控制者和国家。然而,实质上真正能够发挥保障作用的还是数据控制者。
3.2. 传统隐私保护框架的滞后性
传统隐私保护框架的滞后性实质上是利益冲突加剧后给传统隐私保护框架带来的冲击和挑战的外在表现。传统的“信息控制理论”已经失去了其预防和控制作用,“知情同意原则”的利益平衡作用也被虚化,“匿名技术”也被破解。
控制理论在当前的社会背景下出现了不适应。控制理论兴起于早期的信息社会,该理论赋予了个人决定其信息披露与否以及被利用的程度的决定性地位,曾经在国内外掀起了广泛的讨论。美国控制理论的专家威斯汀对隐私政策的产生有重要的影响,他的建议曾被国会采纳。现如今,相关性的、碎片化的信息整合使得数据的控制主体从用户转移到了数据处理者,数据的流通、共享及后续利用使得数据主体的控制作用被削弱和边缘化,控制理论难以起到保护隐私的实质作用。过去数据主体只与数据收集者产生密切的利益关联,如今数据产业链上出现了数据交易商、潜在的数据利用者,个人难以控制如此多的利益主体对数据的应用。控制理论在新的社会背景下需要得到重新审视和解读。
知情同意原则在保护隐私方面出现了僵化和失灵。所谓“知情同意原则”,即数据控制者需要数据主体同意,才有收集、处理和利用其个人数据的资格,否则可能构成侵权。[8]这一原则的出现,旨在保护数据主体在个人隐私方面的自主决策,成为许多国家平衡个人隐私保护与数据利用的重要法律准则。然而,在如今的时代背景下,这一传统隐私保护策略已经逐渐僵化、将近失灵。[9]以知情同意原则为核心并围绕其展开的隐私政策,也不断偏离其设计初衷,无法真正保障数据主体的自由选择。在现代数字化社会中,数据主体的知情权被忽视,隐私政策变成了数据控制者为了合规而设置的“避风港”。[10]数据控制者通过隐私政策获取数据主体的概然性同意,以此作为合法使用数据主体相关数据的证明。这种僵化退化的知情同意原则既不能做到对个人隐私的充分保护,也难以促进数据产业的良性发展。因此,我们必须对这一原则进行反思和改进,以更好地保护数据主体的权益,同时促进数据利用和创新。
匿名化技术面临着被再识别技术颠覆的风险,实际难以发挥其保护效用。匿名化技术的本质是通过减少数据的敏感性,断开数据与数据主体之间的联系,以实现数据利用和隐私保护的双重目标。[11]然而,当前的匿名化技术似乎已经不再可行。再识别技术颠覆了匿名化技术的基础,通过整合相关数据,数据与主体之间的对应关系可以被重新识别和还原。随着数据的不断收集和传递,算法学习模型可以逐渐掌握足够多的关于去匿名化数据的资料,从而使得个人隐私在众多匿名化数据的整合下变得更加容易被揭示。[11]匿名化技术的可逆性使得其在隐私保护中的作用效果被大大削弱。再识别技术使得匿名化技术不仅未能实现隐私保护,还增加了数据控制者处理和使用数据的成本负担,降低了数据的使用价值。这无疑是一种两败俱伤的局面。值得注意的是匿名化技术本身对于信息流通以及各方利益均衡起着重要作用。
4. 个人数据商业化利用隐私保护的域外考察
4.1. 欧盟:以个人数据权利扩张为基础的数据利用
欧盟关于个人数据的商业化利用的相关立法具有明显的保护主义倾向。2018年投入使用的《一般数据保护条例》(以下简称GDPR)就非常明显地体现了这一立场,GDPR的全面实施,意味着欧盟对个人信息的保护及监管达到了前所未有的高度,被称为史上最严的隐私保护法案。[12]
GDPR将个人数据权利定位为一项极为重要的权利,体现了个人数据权利至上的立场。在笔者看来,似乎这种权利可以与人权比肩,因为它为数据主体设置了极大的权利,使得数据主体对其数据具有极强的掌控力。就公民个人的隐私保护而言,无疑是展示了最强硬的保护态度、最全面的管控措施,在维护人格尊严和自由方面发挥了重要作用。数据主体不仅有知情同意的权利,而且数据主体还具有访问、删改、导出、限制处置、反对数据控制者自动化决策等全方位的权利进行保障。6就其中的反对权而言,当因为之前营销目的而处理个人数据,数据主体有权随时反对;即便个人数据的处理是为了科学目的或历史研究目的,数据主体基于其特定情形应当有权反对对关乎其的个人数据进行处理,除非对于实现公共利益的某项任务是必要的。7在收集数据主体个人信息时,数据控制者要提供各种信息,包括控制者的身
份、联系方式、数据保护官的联系方式、个人数据的接收者、个人信息存储的期限等一系列的信息。8上面提到的数据保护官是为了监督相关控制者主动采取合规的方式处理数据。9还有,GDPR规定不可以商业机密为借口不向个人公布采集数据的理由,而且还要公开使用个人数据制作用户画像的相关原理。就像前述所说的,用户通过GDPR可以实现对个人数据的全面掌控,他们可以自己决定是否将自己的数据授权给其他主体,可以将自己的数据转移到其他平台,如果放弃使用相关平台相应数据可以不继续留存。
实际上,这种立法模式也存在着一定的不利影响。这种立法模式下数据控制者对应着繁重的各项义务,想要通过商业化的方式利用个人数据,必然面临着极大的阻碍。自GDPR实施以来,已经对许多公司开出了大额罚单。2021年7月16日,卢森堡数据保护委员会(CNPD)以不符合一般数据处理原则为由,对亚马逊公司欧洲核心部门处以7.46亿欧元罚款。亚马逊公司欧洲总部设在卢森堡,因此卢森堡监管机构有权监管亚马逊公司在欧盟的个人数据保护事宜。该笔罚款迄今为止仍是欧盟数据保护机构对违反GDPR的企业开出的最大罚单。102022年9月5日,爱尔兰数据保护委员会(DPC)认为Meta旗下的Instagram公司公开儿童用户的电话号码和电子邮件地址,违反GDPR关于处理儿童个人数据的规定,对其处以4.05亿欧元的罚款。该笔罚款是监管机构对违反GDPR行为作出的金额第二高罚款。11而且,数据主体和数据控制者之间的权利责任体系是明显失衡的,GDPR把更多的权利给了用户,反而把更重的责任丢给了数据控制者,但数据控制者并没有享受到承担责任相对应的权利。再有就是这一系列的责任给数据控制者带来了极大的成本增加,相应的数据处理效率也就降低了,这与数据产业的高速发展趋势是相悖的,实际上,数据控制者和数据用户都难以享受到数据技术带来的快捷便利。欧盟想要推动其特有的数据规则体系和价值观,实现数据领域的全球领先地位,出发点是值得欣赏的,实践中也确有一些国家基于对等原则和对国内个人信息的保护采取类似GDPR的规定,但似乎规定和实践操作也确实过于严苛了。
4.2. 美国:行业自律主导辅以政府监管
美国保护隐私的一般模式是以市场为主导、行业自律为主要方式、辅之以政府监管,这种模式的采取源于美国对隐私保护和产业发展采取的双向兼顾理念,但美国实际上更重视数据在经济发展方面的促进作用。
美国的隐私和数据保护行业自律主要采用两种形式。第一,行业组织在不违反反垄断规则的基础上,通过订立协议、同行压力等方式对业内行为进行自我约束,美国政府在其中则起着督导的作用。[13]例如,美国广告行业之前发布了一项自律计划,要求各行业组织内的从业者遵循所在行业的互联网广告行为规定,这些规定在很大程度上展现了联邦贸易委员会(以下简称FTC)的规定。12而且,像无线、谷歌等信息科技公司,信息技术行业委员会、互联网协会等专业的协会以及专门的数据隐私倡导机构也制定并实施了自己的隐私规制。第二,隐私合规认证是行业自律的又一重要途径,它依靠专门的认证公司的公信力对网络服务提供商的现有隐私举措进行合规审查,以期实现行业的合法化和规范化。TrustArc虽然是知名的合规认证公司,但它也曾经有过包庇客户的不合规行为,所以所谓的合规认证公司并不一定权威且值得信赖。
美国的隐私立法是典型的分散立法模式,即在未成年人、金融、消费和医疗等领域设置了专门的隐私法律,由专门的监管机构进行执法。[14]金融行业有消费者金融保护局,营销行业有联邦通信委员会,医疗行业有美国卫生与公共服务部。联邦贸易委员会和其他监管机构在执法权和规则制定权方面的关系有些复杂,此处不再赘述。针对未成年人订立了《儿童网上隐私保护法》,规定对于13岁以下儿童,只有其家长同意才能采集他们的信息,而且需要确认父母拥有修改相关信息的权利。13在医疗行业有《健康保险便利和责任法案》,对医疗信息的流通规则、医疗隐私、病患身份识别等一系列问题作了详尽规定。14金融领域有《金融服务现代化法》,规定了金融信息的采集、使用和披露规范,限制了非公开主体信息的披露,数据主体有权选择对其信息不进行共享。15此外,《加州消费者隐私法案》(以下简称CCPA)也在建构个人数据保护制度上做了努力和尝试,其赋予了消费者访问权、删除权、选择权等六大诉讼权利,16与GDPR赋予数据主体的权利有相似之处,只不过CCPA重在平衡隐私保护与高效的商业交易之间的关系,对个人信息的处理活动监管较少。
美国联邦贸易委员会担负着监督企业隐私政策的实施、保护信息安全的角色,通过诉讼和达成和解协议的方式监督企业隐私政策的实行。FTC经常会根据《联邦贸易委员会法案》第5条就某些企业的欺诈和不公平交易进行执法或提起诉讼,17也会通过和解协议完善保护隐私的措施及监管审查,并且一般和解协议的履行期限都比较长。例如,视频社交软件Musically曾因非法收集13岁以下儿童的信息,被FTC处以500多万美元罚款,并责令作出整改,删除已经非法采集到的相关数据。
美国没有像GDPR一样全面的关于数据隐私方面的法律,近些年来,美国国内也有针对全面的数据隐私立法的一些争论。国会、政府、企业以及研究机构基于不同的立场有着不同的意见。随着一系列数据泄露事件的发生以及欧盟GDPR的生效,政府和国会对数据隐私保护的态度变得更加积极[15]。为了确保数据隐私的安全,各类数据保护法案被提出并加以讨论。企业基于降低合规成本的考虑,大多支持制定全面的数据隐私法以及加强数据隐私保护,只不过还是倾向于建立宽松的数据隐私保护规则。然而,由于不同的商业模式,企业内部各家公司对于数据隐私立法的态度也存在差异。苹果公司因为不需要通过倒卖用户数据来实现盈利,所以其在数据隐私保护方面表现积极,而Facebook公司则一直较为保守。美国著名智库支持全面的数据隐私保护立法,但认为应该建立符合美国实践的相对宽松灵活的规则,而不是效仿欧盟。
4.3. 欧美个人数据隐私保护的对比及借鉴设想
从欧盟和美国在数据隐私方面的立法可以看出欧盟整体采取保护主义的保护模式,而美国采取实用主义的保护理念。从文化渊源上讲,欧美对数据保护立法的重视与其将隐私权作为最基本人权之一进行保护的悠久历史是分不开的。[16]美国也重视保护隐私,不过其不会像欧盟一样赋予政府直接调控的权利,即便是联邦贸易委员会,也只是在监督企业隐私政策的执行。总体而言,欧洲确立了更为严密、更加严格的规制网络,体现出对个人数据权利保护的重视;而美国则体现了“契约规制”理念,很少直接提起诉讼,与GDPR相比更为宽松,更加保护商业自由。另外还有一个值得注意的相同点,欧盟的GDPR和美国加州的CCPA都进行了主体区分,GDPR区分了“控制者”和“处理者”,形成了“个人–数据控制者–数据处理者”的三方主体关系,CCPA区分了“企业”、“服务提供商”和“承包商”三类主体,只有“企业”承担CCPA下的义务。
就中国目前现有的广义的数据立法来看,2021年的《个人信息保护法》中的个人信息定义、数据保护原则和权利等有参照GDPR中的一些内容,在权利方面有类似的知情决定权、查阅复制权、纠正权、删除权、请求解释权以及拒绝权等。18在原则方面有类似的公开透明、合法正当、必要诚信原则等。19只是相较而言,GDPR对个人数据权利的定义更细致和丰富。
欧美数据隐私保护经验有许多方面值得借鉴。在法律条文的制定上,《个人信息保护法》已经借鉴了欧盟GDPR的风格,但实际上,数据不同于信息,数据的基本制度尚处于搭建的筹备阶段,所以不管是欧盟还是美国都存在很多值得我们国家借鉴的点。在保护理念上,笔者侧重于在欧盟的保护主义和美国的实用主义理念之间寻求平衡。在立法理念上,融合欧盟和美国的可取之处形成统一立法加分散立法的立法模式。在具体的制度搭建方面,像美国和欧盟一样区分数据权利主体并且建立专门的数据保护机构。在社会治理方面,还是要模仿美国模式,引导行业自治和企业自律,慢慢引导良好的行业氛围的形成,毕竟企业主动承担数据保护义务才是平衡个人隐私和数据利用的最有效的方法。
5. 个人数据商业化利用隐私保护的域外经验借鉴
5.1. 数据保护制度理念上的借鉴
在整体的保护理念上,不借鉴欧盟那种极强的保护主义观点,也不吸收过于注重商业利益的理念,还是要在整体上注重个人隐私和数据利用之间的平衡。首先,数据始终不能脱离政府的监管。数据这种同时涉及国家安全、企业交易安全、消费者隐私安全的特殊的生产要素,必须有政府进行宏观的政策上的安排,有相关政府机构对违法行为进行处罚、对数据处理与交易流通事项进行监管。欧盟和美国尽管保护重点存在差异,但其均是有政府机构参与其中的。其次,借鉴美国行业自治和企业自律的理念,同样注重对于隐私保护和产业发展的双向兼顾。最后,在立法理念上兼采欧盟和美国的部分理念。像欧盟一样建立一个统一的数据制度体系,在基础制度搭建完备以后,在金融、消费、医疗等特殊领域根据基础制度建立行业专门的个人数据制度,细化保护。实际上国家已经在《关于构建数据基础制度更好发挥数据要素作用的意见》中提出了要从数据产权、流通交易、收益分配和安全治理四个方面出发搭建我国数据基本制度体系,20基础制度体系已有设想,行业制度细化可以借鉴美国。
5.2. 数据保护制度设计上的借鉴
数据主体的数据权利分层且具体细化,即个人数据权利分为强保护和弱保护两层,对强弱两层权利进行适当细化。数据和个人信息毕竟有差异,数据实际上相较于个人信息而言离数据主体更远了,所以数据主体的权利相较于个人信息权利而言理论上应当弱化,但是也应该有例外,就像那种利用再识别技术通过整合零散分散的数据形成的能够识别特定自然人的数据,就应当赋予数据主体更强的保护权利,当其他主体通过这些数据侵害到自然人的隐私的时候,能够存在有效的权利进行相应的保护。对于具体的权利内容,不需要像GDPR中的权利那样事无巨细,权利内容的细化程度可以介于GDPR和《个人信息保护法》之间,过于细碎繁琐的权利会无端加重企业等主体的责任,但过于原则性的规定,则会让法律的规定失去其应有的指引作用。
数据权利拥有者主体分层,在“三权分置”的设想基础上添加原始数据主体的权利。借鉴欧盟和美国都有对数据相关主体区分的做法,我们也应该就拥有数据权利的相关主体进行区分。毕竟在数据处理的各个环节都付出一定成本的主体,都应该拥有一定的数据权利,这是符合生产关系分配要素的,也是符合个人数据生成特点的。在2022年12月19日发布的《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称数据二十条)中,提到要建立数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的数据产权制度框架。21这个意见考虑到了数据处理流通环节中的各个主体,笔者深以为然,只是觉得对于原始数据主体的权利也应做出一定的明确,如果这个数据可以识别到具体个人的话,个人数据的人格属性还是要注意保护。当然,在给各数据权利主体搭建权利的时候,也要注意施加一定的数据保护义务,这样才能使处于数据产业链最底端的、处于相对弱势地位的原始数据主体的隐私权利得到保障,也有利于数据产业的良性发展。
设立专门的数据保护机构。有效保护个人数据隐私,建立专门的数据保护机构是非常必要的。欧盟很多国家都专门设立了数据保护委员会。美国也有联邦贸易委员会来监督企业隐私政策的实行,特殊行业还有专门的数据监管机构,比如联邦通信委员会和消费者金融保护局等。而我们国家目前实际上没有专门的数据保护机构,没有专业的机构牵头去实施一系列的数据保护措施,理论上、制度上有再多的设想也无济于事,所以有必要借鉴欧盟和美国建立专属的数据保护机构。而且在国务院发布数据二十条、准备建立数据基础制度体系的背景下,有必要建立专门的数据保护机构,以期在建立相应制度之后有执行和实施的主体机构。而笔者在收集资料的过程中,关注到了2023年3月中共中央、国务院印发的《国务院机构改革方案》,其中明确提出要组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等职能。22这与笔者的想法实际上不谋而合,进一步而言,笔者还希望借鉴美国的专门保护机构模式,结合我国实际,在国家数据局下面设专司分别负责各个领域内的数据隐私监管保护义务,然后与相关行业协会协作,形成内外合力,共同推进数据利用与隐私保护的平衡目标得以实现。
5.3. 行业自治辅以政府监管模式的借鉴
行业自治和企业自律实际上是平衡数据利用和隐私保护的最有效的手段。与数据有关的企业是关联数据加工处理、流通、控制的直接主体,数据的非法利用和泄露往往也起源于此,想要解决数据利用和隐私保护之间的难题也还是要从根源入手。此外,行业自治是有其本身的优势的。数据行业本身就有专业壁垒,非专业机构和政府不了解其运行模式和作用机制,也难以采取最有效率和效果的规制措施。运行良好的行业自治环境实际上也给企业甚或是整个行业带来可持续发展的机会。
行业自治与企业自律的审查标准可以以相应的数据服务协议和行业的一般保护标准为基础标准,当然行业自治模式如果运转良好的话也可以自主加强审查标准。行业的一般数据保护标准的建立离不开专门数据保护机构的推动。当然,其行业协会本身也可能已经形成了可堪适用的保护共识。在自纠自查的过程中,可以发现存在的问题和风险并加以纠正,比如行业可以自发禁止通过再识别技术重新识别特定的数据主体;还可以主动针对现在已经僵化的知情同意原则进行修正,比如将现有的“选择进入模式”改为“选择退出模式”或制定更加公平合理的服务协议与隐私政策。当然,行业自律离不开行业自治组织的建设,比较理想的状态是这些行业组织应当秉持中立性、透明性和开放性的原则。实际上,如果数据行业的生态环境要想能够往良性健康的方向发展,数据企业必须主动承担保障个人数据隐私安全的社会责任,而企业一旦主动承担责任,那么目前个人隐私保护与数据平衡的很多困境便迎刃而解。退一步讲,对于传统的隐私保护框架的修正就算是由政府主导,最终成功的关键还是在于企业的配合。还应注意的是,行业自治不是完全自治,必须配备必要的监管措施,没有监管的自治权力必然走向膨胀和失败。
6. 结论
对欧盟和美国隐私数据保护方案的借鉴分为保护理念、制度构建、社会治理三个方面。首先是明确顶层设计的一些方面。整体的保护观念是要注重个人隐私和数据利用的平衡,局部的保护理念是:由统一到分散的数据保护制度是基础,政府监管是必要保障,行业自治和企业自律是最终追求。然后将理念转化为具体的数据制度设想和行业自治应当注意的问题。
笔者在数据权利的设计方面,在契合当前数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的理念基础上,提出要添加原始数据主体的相关权利,做到“四权分置”,并且对原始数据主体的权利做强弱分层保护,以便满足不同主体的利益诉求,缓解当前隐私保护面临的利益冲突困境,更好契合“谁投入、谁贡献、谁收益”的权利和收益分配原则,以便对数据利用和隐私保护进行更好地平衡。在数据保护机构的设置上,在国家预计设立国家数据局的背景下,希望能够在局下设专司负责各个领域的隐私数据保护事务。
至于传统隐私保护框架中的知情同意原则失灵和匿名化技术遭受再识别技术干扰的两个突出问题,笔者认为这两个问题的解决最终还是要通过顶层数据保护制度的构建来逐步指导具体的路径修正,这绝非一日之功。
NOTES
1《中华人民共和国数据安全法》第3条。
2参见《中华人民共和国民法典》第111、127条。
3参见General Data Protection Regulation (GDPR),访问地址:https://GDPR-info.eu/issues/personal-data/,访问时间:2023年6月4日。
4北京互联网法院(2019)京0491民初1612号判决书,北京互联网法院(2019)京0491民初10989号判决书。
5参见《中华人民共和国民法典》第1032条。
6参见General Data Protection Regulation (GDPR),访问地址:https://gdpr-info.eu/chapter-3/,访问时间:2023年6月8日。
7参见General Data Protection Regulation (GDPR),访问地址:https://gdpr-info.eu/art-21-gdpr/,访问时间:2023年6月8日。
8参见General Data Protection Regulation (GDPR),访问地址:https://gdpr-info.eu/art-13-gdpr/,访问时间:2023年6月8日。
9参见General Data Protection Regulation (GDPR),访问地址:https://gdpr-info.eu/issues/data-protection-officer/,访问时间:2023年6月8日。
10参见《亚马逊因违反欧盟数据保护条例被重罚7.46亿欧元》,
访问地址:https://news.cctv.com/2021/07/31/ARTIwAQnLUy5IXw8VLptEBFQ210731.shtml,访问时间:2023年6月8日。
11参见《未保护儿童用户信息,Meta领到GDPR生效后第二高罚款》,访问地址:https://new.qq.com/rain/a/20220907A00UAI00/,访问时间:2023年6月8日。
12The Interactive Advertising Bureau. Self-regulatory program for online behavioral advertising.
(https://www.iab.com/news/self-regulatory-program-for-online-behavioral-advertising/, 2023-06-08).
1316 C.F.R. § 312.2.
1445 C.F.R. § 164.512.
1531 C.F.R. § 566.404.
1612 C.F.R. § 1070.56.
1716 C.F.R. § 424.1.
18参见《中华人民共和国个人信息保护法》第24-48条。
19参见《中华人民共和国个人信息保护法》第5-10条。
20参见《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》第1条。
21参见《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》第3条。
22参见《党和国家机构改革方案》,访问地址:https://www.gov.cn/gongbao/content/2023/content_5748649.htm/,访问时间:2023年6月9日。