【摘要】大數(shù)據(jù)時代如何平衡個人數(shù)據(jù)保護與數(shù)字經(jīng)濟發(fā)展之間的關系是世界各國面臨的共同挑戰(zhàn)。歐盟和美國對個人信息的法律保護有從單方面強調(diào)“信息保護”到多方主體共同參與“信息治理”的立法趨向。我國應實現(xiàn)從“信息保護”到“信息治理”的立法理念的轉(zhuǎn)變，對個人信息進行多方共治，實現(xiàn)個人信息保護、數(shù)字經(jīng)濟發(fā)展與國家數(shù)據(jù)安全利益保護的三重目標。建立數(shù)據(jù)控制者的內(nèi)部治理激勵機制，設立個人數(shù)據(jù)保護監(jiān)管機構和數(shù)據(jù)保護官制度。加強利益相關者的共同協(xié)作與對話，不斷尋求更好的隱私保護解決方案。

【關鍵詞】信息保護 ?信息治理 ?個人信息 ?法律保護

【中圖分類號】D923 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文獻標識碼】A

【DOI】10.16619/j.cnki.rmltxsqy.2019.10.009

長期以來，我國關于個人信息的法律保護呈現(xiàn)立法碎片化、保護利益不清、表達不明確、多數(shù)規(guī)范性文件位階較低、缺乏操作性以及相關執(zhí)法部門的定位和權限不明確的特征。[1]2016年發(fā)布的《網(wǎng)絡安全法》首次在法律層面對個人信息保護進行了規(guī)定，自此，我國對個人信息的法律保護立法進入加速期。2018年8月《電子商務法》對電子商務領域的個人信息保護進行了細化。2018年9月6日，我國民法典《人格權編》草案對隱私權與個人信息保護進行了規(guī)定，從私法角度為個人信息提供保護。2018年9月10日，十三屆全國人大常委會將《個人信息保護法》列入第一序列立法計劃，將為個人信息提供一站式的法律保護。在個人信息的法律保護方面，歐盟和美國始終扮演著引領者的角色，是各國進行相關立法的重要參考和制度來源。

大數(shù)據(jù)時代個人信息的三重屬性

從詞意來看，“數(shù)據(jù)”（data）不同于“信息”（information），數(shù)據(jù)是對信息數(shù)字化的記錄，本身并無意義，信息是指把數(shù)據(jù)放置到一定的背景下，對數(shù)據(jù)進行解釋、賦予意義;數(shù)據(jù)是承載信息內(nèi)容的載體，信息以數(shù)據(jù)的形式存儲于計算設備。[2]盡管如此，大數(shù)據(jù)時代，理論界與實務界經(jīng)?；焱褂谩皞€人信息”與“個人數(shù)據(jù)”這兩個概念，兩者的內(nèi)涵所指大致相同，有鑒于此，本文為了行文流暢，交叉使用兩個概念。在所有數(shù)據(jù)中，個人數(shù)據(jù)無疑是最有價值的數(shù)據(jù)，大數(shù)據(jù)時代的個人數(shù)據(jù)具有三重屬性。

一是個人數(shù)據(jù)具有用戶權利屬性。用戶對個人提供的數(shù)據(jù)擁有隱私權或個人數(shù)據(jù)保護的權利。[3]當今時代，用戶在使用各種應用程序之前均須接受網(wǎng)絡服務提供者一定程度的個人數(shù)據(jù)收集和分析活動。這種用戶數(shù)據(jù)收集行為不僅有利于商家改善服務，獲取經(jīng)濟利益，而且有利于提升用戶體驗，給用戶的工作和生活帶來便利。用戶與網(wǎng)絡服務提供者分享個人信息，并不影響用戶就該部分信息對經(jīng)營者主張“合理的隱私期待利益”。[4]正因如此，各國相繼出臺個人信息保護法，保護大數(shù)據(jù)時代的個人信息或隱私權。

二是個人數(shù)據(jù)具有企業(yè)利益屬性。不夸張地說，個人數(shù)據(jù)是數(shù)字經(jīng)濟時代互聯(lián)網(wǎng)企業(yè)發(fā)展的命脈，“得數(shù)據(jù)者得天下”。當今互聯(lián)網(wǎng)企業(yè)的商業(yè)模式是通過向用戶免費提供服務吸引用戶，通過對大量用戶個人數(shù)據(jù)的收集和分析投放有針對性的廣告賺取經(jīng)濟利益。對于企業(yè)而言，個人數(shù)據(jù)包含的市場價值和隱私利益具有低密度性，[5]只有達到一定規(guī)模才具有商業(yè)價值。

三是個人數(shù)據(jù)具有國家利益屬性。個人數(shù)據(jù)不僅具有用戶權利屬性和企業(yè)利益屬性，還具有國家安全屬性，關乎國家的數(shù)據(jù)主權和數(shù)據(jù)安全。個人數(shù)據(jù)的國家安全屬性尤其體現(xiàn)在個人數(shù)據(jù)的跨境傳輸方面，當前世界各國在涉及數(shù)據(jù)跨境傳輸方面，都試圖采取雙重標準，一方面盡力抓取他國數(shù)據(jù)，同時限制數(shù)據(jù)外流，過分開放的數(shù)據(jù)流動政策顯然不利于國家安全。[6]

個人信息的三重屬性決定了從任何一方的角度出發(fā)設計個人信息保護法都是不合理的。如果只從用戶個人的角度考慮，最大限度地保護個人數(shù)據(jù)，枉顧企業(yè)利益和國家利益，最終將造成三敗俱傷的局面?！半[私”不是信息分享的對立面，而是對信息分享的控制。[7]正因如此，歐盟和美國對個人信息的法律保護有從單方面強調(diào)“信息保護”到多方主體共同參與“信息治理”的立法趨向?！靶畔⒈Ｗo”是單方面從保護用戶個人信息的私權利角度出發(fā)對個人信息進行保護，而“信息治理”則從用戶、企業(yè)、國家多方角度出發(fā)對個人信息進行多方共治，旨在實現(xiàn)數(shù)字時代的多方合作共贏。

從“保護”到“治理”：歐美個人信息法律保護的立法趨向

大數(shù)據(jù)時代有效平衡數(shù)字經(jīng)濟發(fā)展與個人信息保護是一項世界性的難題和挑戰(zhàn)，歐盟和美國也處在摸索試驗的階段。最新實證研究表明，歐美兩種模式實際上存在某些共同規(guī)律可循，不管哪種立法模式，只有激勵相容才會取得預期保護效果，成敗的關鍵在于個人數(shù)據(jù)治理的制度設計是否科學。[8]

歐盟個人信息的“治理”轉(zhuǎn)向。歐盟1995年的《個人數(shù)據(jù)保護指令》制定于大數(shù)據(jù)時代之前，其側(cè)重于保護個人信息。而2016年的《一般數(shù)據(jù)保護條例》則同步考慮了歐盟數(shù)字經(jīng)濟的發(fā)展，具有既保護個人數(shù)據(jù)又促進個人數(shù)據(jù)自由流動的雙重目標，這種雙重目標不僅開宗明義地體現(xiàn)在《條例》的標題上，而且充分體現(xiàn)在序言以及《條例》正文對個人數(shù)據(jù)保護的制度設計中。從《指令》到《條例》，體現(xiàn)了歐盟對個人信息從偏重“保護”個人數(shù)據(jù)，到注重對個人數(shù)據(jù)的多方“治理”的立法轉(zhuǎn)變?！稐l例》盡力為大數(shù)據(jù)開發(fā)利用開辟路徑，一方面強化信息控制者內(nèi)部治理機制，調(diào)動信息控制者參與數(shù)據(jù)治理的積極性;另一方面設計強有力的外部執(zhí)法威懾機制，促使信息控制者主動承擔責任，符合激勵監(jiān)管的基本原理。[9]

從具體層面來講，《條例》廢止了《指令》要求數(shù)據(jù)控制者向數(shù)據(jù)保護監(jiān)管機構“事先通知”數(shù)據(jù)處理的要求;強化數(shù)據(jù)控制者的內(nèi)部治理機制，要求數(shù)據(jù)控制者建立有效的技術與管理措施;貫徹“設計即隱私”理念，執(zhí)行隱私影響評估、任命數(shù)據(jù)保護官、采取與風險相適應的安全防范技術措施等;在關于個人數(shù)據(jù)跨境傳輸方面，《條例》增加了經(jīng)批準的行為規(guī)范和第三方認證具有證明跨境信息傳輸合法性的效力，豐富了合作治理的形式。[10]

美國加州2018《消費者隱私保護法案》與立法趨向。近20年來，美國在隱私和數(shù)據(jù)保護方面的立法呈現(xiàn)分散化的特征，各行業(yè)和各州針對不同場景下的消費者隱私保護各自制定法律。但美國Facebook數(shù)據(jù)泄露事件后，美國國會和聯(lián)邦貿(mào)易委員會（FTC）連續(xù)舉行了多場關于隱私數(shù)據(jù)保護的聽證會，對于制定美國聯(lián)邦層面的隱私立法已基本達成共識，且獲得了科技界的認可和支持。2018年6月28日，美國加州率先公布了《消費者隱私保護法案》（CCPA），對企業(yè)提出了通知、披露義務要求，規(guī)定了數(shù)據(jù)泄露的損害賠償金制度，是美國目前州層面最嚴格的隱私立法，也因此被視為最具有歐盟《條例》色彩的隱私立法。事實上，美國在政策制定過程中，充分參考借鑒了歐盟《條例》的實施效果和經(jīng)驗。美國在政策設計時始終努力平衡個人數(shù)據(jù)保護與促進數(shù)字經(jīng)濟發(fā)展之間的關系，希望通過制度設計實現(xiàn)有效的市場自我運行機制，對數(shù)據(jù)控制者進行內(nèi)部激勵，使數(shù)據(jù)控制者保護個人隱私和數(shù)據(jù)安全不只是出于合規(guī)的外部壓力，而是使數(shù)據(jù)控制者認識到保護隱私和個人數(shù)據(jù)有利于與消費者建立信任，維護企業(yè)形象和商業(yè)信譽。

歐美最新個人信息立法的趨同與差異。美國加州在制定CCPA的過程中，以及國會和FTC在舉辦關于制定聯(lián)邦層面的隱私立法的系列聽證會時，充分考慮了歐盟《條例》的立法和實施經(jīng)驗，加強企業(yè)責任。歐美關于個人信息保護有互相學習、取長補短、相互融合的趨勢。但美國仍然保留了一些與歐盟立法的基本差異。例如，CCPA在處理消費者信息方面，仍然保留了美國一貫的“opt-out”模式，即16周歲以上的消費者除非明確拒絕或選擇退出，默認其同意網(wǎng)絡服務提供者的個人信息收集和處理。而歐盟《條例》采用的是“opt-in”模式，即網(wǎng)絡服務提供者在進行數(shù)據(jù)收集和處理之前必須首先獲得數(shù)據(jù)主體的同意。從數(shù)字經(jīng)濟發(fā)展的角度來看，美國“opt-out”模式更為高效和務實，更有利于大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展;歐盟的“opt-in”模式，看似增強了用戶的個人數(shù)據(jù)控制權，實際上淪為了一種形式性操作，絕大部分用戶不會閱讀應用程序的隱私和數(shù)據(jù)收集政策，即使閱讀了相關政策，為了使用相關軟件服務也不得不選擇同意，因此這種同意機制起的作用是非常微弱的。

個人信息的多方共治：我國個人信息法律保護的應然路徑

無論是從大數(shù)據(jù)時代個人數(shù)據(jù)的三重屬性來看，還是從比較法上歐美個人信息保護的立法趨向上來看，我國對個人信息保護的制度設計應實現(xiàn)從“信息保護”到“信息治理”的立法理念的轉(zhuǎn)變，對個人信息進行多方共治，實現(xiàn)個人數(shù)據(jù)保護、數(shù)字經(jīng)濟發(fā)展與國家數(shù)據(jù)安全利益保護的三重目標。

數(shù)據(jù)控制者的內(nèi)部治理。數(shù)據(jù)控制者是用戶個人數(shù)據(jù)的守門人，對個人信息的多方共治最重要的是實現(xiàn)數(shù)據(jù)控制者有效的內(nèi)部治理機制。[11]數(shù)據(jù)控制者的內(nèi)部治理機制絕不是單方面從外部向其施加合規(guī)壓力，而是努力培育其保護個人數(shù)據(jù)的內(nèi)在動力。一般而言，企業(yè)放在第一位的是追求利潤與利益，缺乏投資個人數(shù)據(jù)保護的內(nèi)在驅(qū)動力。但是近年來國內(nèi)外大規(guī)模的個人數(shù)據(jù)泄露事件頻繁發(fā)生，從2017年年末的美國最大的三家征信機構的Equifax的數(shù)據(jù)泄露，到2018年國內(nèi)兩大酒店集團（華住集團和萬豪酒店集團）的個人數(shù)據(jù)泄露，以及Facebook的數(shù)據(jù)濫用丑聞，這引起了用戶的廣泛關注和擔憂，消費者的個人數(shù)據(jù)安全成為數(shù)據(jù)控制者面臨的一項重要挑戰(zhàn)。個人數(shù)據(jù)泄露會造成企業(yè)聲譽損失和用戶流失，有效保護個人信息成為企業(yè)的核心競爭力之一。[12]保護用戶的隱私和個人信息有助于建立用戶與企業(yè)的信任，也有利于企業(yè)的長遠發(fā)展。

我國當前關于個人信息保護的相關立法普遍存在重責任追究，輕過程規(guī)范和多方綜合治理的問題。[13]尤其是關于個人信息保護的刑事責任追究范圍過大，幾乎所有侵犯公民個人信息的行為都將觸發(fā)刑事違法，然而這種嚴格的法律責任不但未能解決信息控制者內(nèi)部信息安全與個人信息保護脫節(jié)問題，還導致外部法律要求與內(nèi)部治理機制脫節(jié)，呈現(xiàn)出典型的命令控制式立法特點。[14]我國未來個人信息保護法的制度設計應注意培育數(shù)據(jù)控制者的內(nèi)部治理激勵機制，注意外部法律要求與內(nèi)部治理機制的有效融合、互相激勵。此外，還應倡導行業(yè)自律，允許設立非營利性的隱私認證組織或機構，創(chuàng)造健康、有序、高效的產(chǎn)業(yè)環(huán)境。[15]

行政執(zhí)法者的外部治理。刑法、民法對個人信息保護都存在實踐上的局限性，不能及時有效的制止惡意侵權事件，因此各國立法都設立了較強的行政監(jiān)管機構。[16]歐盟的數(shù)據(jù)保護委員會（EDPB）作為獨立的數(shù)據(jù)保護監(jiān)管機構，監(jiān)督個人信息保護的全過程;美國的FTC有權制止企業(yè)的不公正和欺瞞行為，可發(fā)布禁令、實施罰款等;日本設立了個人數(shù)據(jù)保護委員會;韓國設立了糾紛調(diào)解委員會。培育激勵相容的內(nèi)生機制，關鍵在形成信息控制者的自律，但完全依靠自律機制不能形成有效的激勵約束，因此有必要設立數(shù)據(jù)保護監(jiān)管機構，構建有效的外部執(zhí)法威懾，促進數(shù)據(jù)控制者積極履行職責，同時對違法行為進行處罰或制裁。[17]有效的外部執(zhí)法威懾，并不是為了增加信息控制者的負擔，最終是為了推動信息控制者形成有效的內(nèi)部治理機制。[18]

除了個人數(shù)據(jù)保護監(jiān)管機構，我國個人信息保護法還應設立數(shù)據(jù)保護官制度。歐盟《條例》要求數(shù)據(jù)控制者設立數(shù)據(jù)保護官（DPO），監(jiān)督企業(yè)執(zhí)行《條例》的個人數(shù)據(jù)保護要求。美國大多數(shù)大型公司都設立了首席隱私執(zhí)行官，評估公司的隱私保護執(zhí)行政策。數(shù)據(jù)保護官是連接外部行政執(zhí)法與內(nèi)部企業(yè)治理的關鍵因素，有助于個人信息法律政策的執(zhí)行和落實。

加強利益相關者的共同協(xié)作與對話。大數(shù)據(jù)時代個人數(shù)據(jù)的治理涉及用戶、數(shù)據(jù)控制者、監(jiān)管機構、研究機構、計算機技術工程師、數(shù)據(jù)權利倡導者等多方主體，我國個人信息保護法的制定和落地執(zhí)行，應以召開相關研討會和聽證會的方式，充分了解各方主體的利益訴求和面臨的問題，促進各方主體的共同參與、協(xié)作和對話。

消費者用戶需要提高隱私風險意識，學習必要的網(wǎng)絡安全技術，提高數(shù)據(jù)提供者的數(shù)據(jù)素養(yǎng)和隱私風險防范意識。數(shù)據(jù)控制者應將設計和默認的數(shù)據(jù)保護理念融入軟件設計的最初階段，對于數(shù)據(jù)的收集和處理除了應有明確的政策和傳播機制外，還需獨立的第三方對其數(shù)據(jù)收集和處理活動進行公正和專業(yè)的定期審核。[19]數(shù)據(jù)控制者尤其是數(shù)據(jù)分析者采用的算法決定著個人數(shù)據(jù)的分類方式和傳播形式，應保證采用的算法具有可解釋性，并在分析處理個人數(shù)據(jù)時反思該算法是否會對數(shù)據(jù)產(chǎn)生不利影響，多與數(shù)據(jù)權利倡導者對話和討論，了解用戶的需求，開發(fā)隱私友好型工具。此外，還應提高數(shù)據(jù)控制者對數(shù)據(jù)可靠性、算法局限性、技術安全性及對用戶數(shù)據(jù)權利潛在影響的認識，確保數(shù)據(jù)使用的安全合規(guī)。[20]加強各方主體之間的共同協(xié)作與對話，有利于真正平衡各方利益，不斷尋求更好的個人信息和隱私保護解決方案。

注釋

[1]張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》，2015年第3期，第38～59頁。

[2]涂子沛：《大數(shù)據(jù)》，桂林：廣西師范大學出版社，2015年，第274頁。

[3][4][7]王融：《隱私與競爭：數(shù)字經(jīng)濟秩序的平衡之道》，《競爭政策研究》，2017年第6期，第13～16頁。

[5]吳偉光：《大數(shù)據(jù)技術下個人數(shù)據(jù)信息私權保護論批判》，《政治與法律》，2016年第7期，第116～132頁。

[6][15][16]張平：《大數(shù)據(jù)時代個人信息保護的立法選擇》，《北京大學學報（哲學社會科學版）》，2017年第3期，第143～151頁。

[8][9][10][11][12][13][14][17][18]周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，《法學研究》，2018年第2期，第3～23頁。

[19][20]付新華：《大數(shù)據(jù)時代兒童數(shù)據(jù)法律保護的困境及其應對——兼評歐盟〈一般數(shù)據(jù)保護條例〉的相關規(guī)定》，《暨南學報（哲學社會科學版）》，2018年第12期，第81～93頁。

責 編∕馬冰瑩