摘 要:從范圍上看,隱私、個人信息、數據三者之間存在重合,個人信息的范圍最大,數據的范圍次之,隱私的范圍最小。從屬性上看,隱私僅具有人格權屬性,數據僅具有財產權屬性,而個人信息兼具人格權屬性和財產權屬性。個人信息保護中存在著不同的利益訴求,應把握好數據開發與信息保護之間的平衡。從世界立法演進歷程來看,存在著一條從名譽權到隱私權再到個人信息權最后到數據權的發展軌跡。在個人信息保護立法方面,形成了以美國立法為代表的分散立法保護模式和以歐盟立法為代表的統一立法保護模式。二者各有優劣,分別根植于獨特的法治體系。我國隱私保護、個人信息保護、數據保護的三元法律體系已初步形成。應通過邏輯自洽的個人信息保護和數據保護法律制度體系實現信息自由和隱私保護并重,通過出臺《數字經濟促進法》《個人信息保護法實施條例》等處理好個人信息保護立法體系的內部協調與外部銜接,完善關于數據分級分類、權利體系、救濟機制等的具體規范。
關鍵詞:隱私;個人信息;大數據;利益平衡;數字經濟促進法
目次
一、問題的提出
二、隱私、個人信息和數據的內在關聯與外在區別
三、立法模式的比較選擇與邏輯自洽
四、立法體系的內部協調與外部銜接
五、隱私、個人信息和數據保護三元立法的優化路徑
結 語
一、問題的提出
現代社會正逐漸從“身份互聯”時代邁入“數據互聯”時代,加強個人信息保護已成為時代關注焦點和國內外立法重點。歐盟在1995年《數據保護指令》(Data Protection Directive)的基礎上于2016年通過了《通用數據保護條例》(General Data Protection Regulation,以下簡稱GDPR),將個人數據(信息)權視為基本人權。GDPR被稱為“史上最嚴個人數據保護條例”。美國加利福尼亞州于2018年頒布了《消費者隱私法案》(California Consumer Privacy Act of ?2018,以下簡稱CCPA),改變了美國長期以來的個人信息自律保護模式。CCPA被認為是“美國國內最嚴格的隱私立法”。
近年來,我國的個人信息保護立法進程正在加快。2012年通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》和2013年修訂的《消費者權益保護法》率先明確規定自然人的個人信息受法律保護;2016年通過的《網絡安全法》從網絡安全角度對個人信息保護作出了專門性規定;2018年通過的《電子商務法》對電子商務中的個人信息保護提出了明確要求;2020年通過的《民法典》在肯定《民法總則》第111條對個人信息進行保護的基礎上,將人格權獨立成編,擴大了個人信息保護范圍;另外,2015年《刑法修正案(九)》、2018年《個人信息安全規范》、2019年《兒童個人信息網絡保護規定》、2021年《數據安全法》等也分別從打擊侵犯公民個人信息的犯罪、嚴格個人信息保護標準、加強兒童個人信息保護、加強數據安全等角度對個人信息保護作出了規定。為進一步解決我國個人信息保護立法的碎片化問題,第十三屆全國人民代表大會常務委員會第三十次會議于2021年8月20日通過了《中華人民共和國個人信息保護法》(以下簡稱《個保法》),引發了社會普遍關注和學界廣泛熱議。
然而,無論是在理論研究層面,還是在立法實踐層面,個人信息保護都面臨著諸多困境。在理論研究層面,不僅存在著個人信息、隱私與數據等術語的概念模糊、個人信息權法律屬性不清等微觀問題,而且存在著關于個人信息權利保護模式、實現路徑等方面的宏觀問題。在立法實踐層面,不僅存在著關于個人信息保護的篇章布局、條文表述等技術問題,而且存在著關于目的導向、價值取舍等方面的理念問題。在數字經濟時代,如何處理個人信息、隱私與數據之間的關系?如何構建具有中國特色的個人信息保護法律體系?這些問題值得深入研究。
基于此,本文以數字經濟時代背景下的個人信息保護為著眼點,以《個保法》相關條文為切入點,以完善我國隱私、個人信息、數據保護的法治路徑為落腳點,研究當今社會個人信息保護中的利益平衡問題。具體研究從以下四個層面依次展開:首先,從厘定隱私、個人信息與數據的概念出發,探討三者在利益范圍、利益屬性、利益主體等方面的內在關聯和本質區別;而后,梳理學界關于個人信息權益屬性的理論觀點和分歧焦點,總結域外相關先進立法經驗和成熟做法,論證隱私、個人信息和數據三元分治法律體系的內在邏輯;繼而,基于法律規范體系化要求,探討個人信息保護立法的內部協調和外部銜接問題;最后,從制度創新角度,就我國的三元法律體系構建問題,從數據分級分類、權利體系構建、救濟機制再塑等方面提出具體建議。
二、隱私、個人信息和數據的內在關聯與外在區別
在現階段,對于隱私、個人信息和數據三者概念的使用、表述和界定,無論是在理論上,還是在法律上,都比較模糊、混亂,甚至存在諸多誤解。對三者的概念進行界分,勾勒出差異化保護的制度框架和規則體系,厘清三者之間的關系,無疑是事關個人信息保護立法理念和立法模式的基礎性工作。
(一)利益范圍的重合
GDPR把“個人數據”(personal data)界定為“與已識別或可識別的自然人相關的任何信息”。德國《聯邦數據保護法》把“個人數據”界定為“所有與已識別或可識別的自然人有關的信息”。在美國法中,廣泛使用“個人可識別信息”和“大隱私權”概念,這兩個概念與“個人數據”概念可以被互換使用,由此,個人信息及數據都被納入隱私保護法的調整范圍。
在我國法律中,隱私、個人信息和數據各有獨特的內涵。《民法典》在其第四編“人格權編”中設專章即第六章規定了“隱私權和個人信息保護”問題。其中,第1032條對“隱私”作出界定,把“隱私”定義為“自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。第1034條對“個人信息”作出界定,把“個人信息”定義為“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息”。《網絡安全法》第76條關于“個人信息”的定義與《民法典》第1034條的規定相類似,而《個保法》第4條把“個人信息”界定為“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息”。《數據安全法》對“數據”和“信息”作出了區別對待,在第3條中對“數據”作出界定,即“任何以電子或者其他方式對信息的記錄”。同時,我國《民法典》第1034條第3款規定,“個人信息中的私密信息,適用有關隱私權的規定;沒有規定的,適用有關個人信息保護的規定”。
從廣泛意義上看,個人信息中包含了隱私,侵犯隱私的行為必然侵犯個人信息權益。隱私在本質上是信息性的,對于“將隱私視為信息”的觀點,理論上應無異議。從側重點上看,隱私強調“私密性”,個人信息強調“身份識別性”;從表現形態看,個人信息的形態是“信息”,而隱私的形態則不限于信息形態;從利益相關者角度看,隱私僅具有個體性,與他人利益或公共利益無關,而個人信息與國家利益、公共利益密切相關。作為隱私權客體的隱私,與個人生存、自由、尊嚴密不可分;作為個人信息權益客體的信息,已經從隱私中獨立出來,成為了一種獨立的法律保護對象。因此,從范圍上看,隱私、個人信息與數據三者之間雖然存在著某種重合,但整體而言,個人信息的范圍最大,數據的范圍次之,隱私的范圍最小。一方面,個人信息與隱私存在交叉重合之處,個人信息中的敏感信息通常是隱私權保護的客體,隱私中的私人信息也往往屬于個人信息范疇。另一方面,數據是表達信息的一種方式,是以二進制代碼所表現出來的信息內容,屬于信息的一部分。從法學規范意義角度講,我們有必要厘清隱私、個人信息、數據三者概念的內涵和外延,奠定法律賦權的基礎。但也必須認識到,三者之間不是非此即彼的關系,由于個體的差異性和主體的主觀性,欲在實踐層面對三者進行嚴格界分,實屬不易,理論上的區分更多地具有描述性意義。著眼于未來,我們仍應在理論層面和立法層面厘清隱私、個人信息、數據這三種法律關系客體的概念,進而確定相關權利體系、權利內容和權利屬性,為司法實踐提供具體指引。
(二)利益屬性的差異
隱私權屬于人格權,對此觀點,學界并無爭議。然而,關于個人信息權的本質屬性,學界爭論已久,形成了以下幾種代表性觀點:一是基本人權說。該學說主要來源于歐盟。其認為個人信息權具有憲法屬性,屬于“公民的人格尊嚴不受侵犯”的范疇。“不論個人信息由何人收集,其本質上還是有關信息主體的信息記錄,是公民個人的基本權利。”二是隱私權說。該學說主要來源于美國。其認為個人信息屬于傳統隱私范疇,基于場景理論的隱私判斷模式是個人信息保護的基礎。三是新型人格權說。該學說主要來源于德國。其認為個人信息權以人格利益為保護對象和權利內容,具有傳統人格權的本質特征,但又不同于傳統人格權,是一種新型的人格權。四是新型民事權利說。該學說認為,個人信息權并非傳統私法中的人格權、財產權或知識產權,而是互聯網時代的一種新型民事權利。五是公共物品說。該學說認為,個人信息具有公共物品屬性,故應弱化自然人對個人信息的占有,強化個人信息的公共利益價值,允許相關主體對個人信息進行收集、分析和使用。上述各學說均有一定的道理,只是著眼點和側重點不同。整體而言,隱私僅具有人格屬性,數據僅具有財產權屬性,而個人信息兼具人格權屬性和財產權屬性。“在我國法上,自然人就其個人信息所享有的民事權益是一項新型人格權益,其與隱私權在權利性質、許可使用、侵害行為以及處理規則等方面存在差異。”而“數據的價值及其對于經濟發展的潛在重要性,尤其是它對社會生活方方面面的影響,將推動決策者尋找更好的解決方案”。根據個人信息保護的要求,個人信息只有在經過“去識別化”之后,方能被使用,而在“去識別化”后形成的數據已不再與自然人人格權屬性相關,因此,數據僅具有財產權屬性,不具有人格權屬性。總之,隱私和個人信息更多地涉及人格權和受憲法保護的自由、尊嚴和安全,數據則不然,尤其是經過匿名化處理、不再具備可識別性特征的個人信息,更多地體現出財產價值。
關于數據權利的法律屬性,存在物權說、新型財產權說、經營權說、資產權說等多種觀點。當然,也有學者認為,關于數據,存在個人數據、企業數據和國家數據之分,個人數據所承載的是純正的新興法益,而企業數據和國家數據所承載的則是不純正的新興法益,數據法益可以分為原始價值性利益和派生工具性利益。筆者認為,將數據權利作為一種新型財產權,是比較合理的。一方面,數據蘊含著重要的財產價值,數據財產是信息社會的基礎性資源,數據控制者可以利用數據獲得經濟利益,因而數據權利是一種財產權。另一方面,數據不同于傳統的“物”,不能將其作為絕對權保護對象,因而數據權利是一種新型的財產權利。隨著數據價值的不斷增強以及數字經濟的不斷發展,數據權利問題正日益凸顯。“在信息時代,信息作為戰略性資源,其自由流動具有重要的基礎性意義。”筆者認為,將此處的“信息”理解為“數據”,更為恰當。當前,數據已成為重要的生產要素,數字經濟已成為國家重要的經濟業態,數據競爭已成為國際競爭的重要領域。
由此可見,隱私、個人信息和數據這三種法律關系客體既有聯系,也有區別,三者的指向可能具有同一性,需要根據法律關系客體之于權利主體的私密程度以及二者在外在表征上的緊密程度進行具體判斷。隱私、個人信息與數據三者的敏感性不同,法律對它們的保護力度亦不相同。雖然“并不存在絕對受到保護的、無需利益衡量即可推定出侵害行為違法性的核心領域(即隱秘領域)”,但是,隱私、個人信息、數據三者所蘊含的信息的敏感度明顯不同,因此,對它們進行區別對待,是各國立法的通行做法。隱私權與個人信息權在權利性質、侵權行為類型、能否許可他人使用、處理規則等方面存在諸多差異。通過回顧我國關于隱私權的立法進路,不難發現,我國相關立法經歷了從“通過名譽權保護隱私”,到“將隱私權作為獨立人格利益”,再到“明確承認隱私權”三個階段。綜上所述,隱私屬于嚴格意義上的人格利益,且不具有任何財產權屬性,而信息利益主要應被歸屬于法律上的人格利益,具有一定的財產權屬性,數據則僅具有財產權屬性,無人格權屬性,轉讓和利用的自由程度最高。
(三)利益主體的多元
在個人信息保護法律關系中,存在著不同的利益主體,不同的利益主體代表著不同的利益單元。自然人是個人信息的首要主體,其關于個人信息的人格利益訴求是個人信息保護的基本出發點。雖然法人以及非法人組織依法可以享有商譽、名譽等人格權益,但從嚴格意義上講,個人信息所蘊含的人格權益應當由自然人所獨享。甚至有學者認為:“法律對個人信息加以保護,本質上是保護人格利益(人的尊嚴和自由),而自然人對其個人信息,無論是單一的還是集合的,其直接經濟價值都是可以忽略不計的。”
相關爭論在于,企業、社會組織、政府機構對在自身收集、加工大量個人信息過程中形成的數據是否享有權利?享有什么權利?當前,數據已經與資本、技術、土地、勞動等一并成為重要的生產要素和稀缺資源,但始終存在著關于個人信息權屬的爭議,即個人信息權益是歸自然人所有,還是歸信息收集利用者(企業、社會組織、政府機構)所有?只有在產權清晰的制度框架內,企業才能合理、合法地收集、利用數據,關于個人信息保護的訴求才具備法理基礎。這里主要涉及兩個問題:其一,用戶在使用互聯網平臺時所產生的數據,是歸個人所有,還是歸企業所有?其二,企業可否收集網絡留言、用戶點贊等公開信息,進而進行“數據識人”?我國《民法典》第127條承繼了《民法總則》第127條之規定,確立了對個人信息和數據的二元保護體系,經過匿名化處理的個人信息所形成的數據可以成為財產權益的客體,被法人或非法人組織享有。在現代社會,建立在大量個人信息基礎上的數據,無論是對于企業發展和行業進步,還是對于社會治理,都具有重要意義,數據和信息的所有權應當歸收集者所有,因為其關涉企業利益、國家利益和公共利益。譬如,依據大數據,相關部門可以有效地防控疫情、打擊犯罪、預警危機,這正是“個人信息的公共管理價值”所在。尤其值得注意的是,對于個人敏感信息以及脆弱群體的個人信息的保護,已經超越了個體層面,具有了特殊的公共利益價值。譬如,對未成年人的個人信息進行特殊保護,已是國內外立法的普遍做法。GDPR明確規定,兒童的個人數據需要得到特殊保護。我國香港地區2013年《個人資料(隱私)保護條例》強化和細化了對未成年人等弱勢群體的個人信息的保護措施。我國《網絡安全法》第13條特別規定了未成年人個人信息保護問題,而《兒童個人信息網絡保護規定》也專門規定了未滿十四周歲未成年人個人信息安全問題。總之,在大數據時代,個人信息保護問題十分復雜,涉及不同的利益主體、不同的立場以及不同的訴求,不僅關涉技術問題和法律問題,而且事關商業模式和經濟發展問題。
但問題在于,在大數據時代,算法為王,如果對算法以及數據驅動型企業缺乏有效監管,則不僅極易對個人信息權造成侵害,還有可能引發社會治理危機。大規模的信息采集和數據處理大大增加了數據被濫用、權利被侵害的風險,使公民的人身財產安全受到嚴重威脅。如今,完善個人信息保護立法已成為社會共識,但對于如何在保護個人信息安全與促進數字經濟發展之間尋求平衡,尚未形成共識。具言之,對于個人信息保護立法,到底是以保護自然人人格利益為主要價值取向,還是以促進數據產業發展為主要價值取向,抑或是以實現政府公共管理職能為主要價值取向?對于這一問題,不同的回答將導致不同的立法取向,進而導致不同的制度設計。事實上,我國的個人信息保護立法確實面臨著兩難境地:若采取過嚴的個人信息保護策略,則可能影響企業的創新,乃至對數字經濟發展產生不利影響;而若采取過松的個人信息保護策略,則必然會侵犯公民私權,進而影響法治建設進程。質言之,若個人信息保護范圍過窄,則權利有受到侵害的風險;而若保護范圍過寬,則會影響信息的自由流動,阻礙數據產業的發展。
隱私權的主體只能是自然人,企業、社會組織和政府機構等其他主體都不能成為隱私權的主體;而個人信息權的主體則不僅包括自然人,還包括法人、非法人組織等個人信息的控制者。在某些情況下,雖然企業、社會組織、政府機構等法人或非法人組織也享有信息保護權,但這種信息保護權與個人信息保護權有著本質區別,將其定位為信息財產權即數據權更為合適。換言之,經過收集、加工和處理的個人信息,不再是個人信息,而是“公共數據”或“企業數據”,其利益主體不再是自然人,而是數據的生產者或控制者。因此,在我國的司法實踐中,當“個人”作為主體時,我們往往使用“信息”這一概念,強調個人的知情權、控制權、處理權等,而當“企業”等作為主體時,我們往往使用“數據”這一概念,強調數據的經濟價值或管理價值。
三、立法模式的比較選擇與邏輯自洽
數字經濟的發展壯大,需要法治保駕護航。“一般人格權的主要問題在于它的不確定性,因為對一個人的保護,往往是以犧牲另一個人的權利或利益為代價的。因此在發生爭議時,必須進行利益衡量。”學界已經認識到了個人信息安全與數字經濟發展之間的兼容性問題。有學者提出,應建立以“三方平衡”為基礎的“兩頭強化”方案,即“強化對個人敏感信息的保護”,“強化對個人一般信息的利用”,以期最大限度地調和個人信息保護與企業信息利用之間的矛盾。
(一)個人信息保護立法模式的學界爭議
關于個人信息保護的必要性和緊迫性,社會各界已無異議,但關于個人信息保護的具體路徑和立法模式,則存在一定分歧。學界的分歧主要體現為兩個層面:其一,對于個人信息所蘊含的精神利益和經濟利益,是采取一元保護模式,還是采取二元保護模式?其二,對于個人信息,是采取私法保護模式,還是采取公法保護模式,抑或采取其他保護模式?
就第一個層面而言,主要存在一元保護模式和二元保護模式之間的分歧。所謂一元保護模式,是指通過人格權來實現對自然人等民事主體的精神利益與經濟利益的保護。該觀點從我國民事立法實際和司法實踐出發,認為我國《民法典》允許人格權主體對姓名、名稱、肖像、個人信息等人格要素進行商業化利用,當人格權受到侵害并產生精神損害和財產損害時,人格權主體可以請求損害賠償,因此,只要明確了自然人對其個人信息享有人格權益,即可承認自然人同時享有人格權益中的精神利益和經濟利益,而無需分別設立單獨的人格權和財產權。所謂二元保護模式,是指對于人格權益中的精神利益與經濟利益,采取分別立法保護的模式。該觀點認為,精神利益的保護模式與經濟利益的保護模式之間存在著重大差異,一元保護模式不符合人格權的內在邏輯。具體而言,有學者主張,應在人格權、財產權之外設立商事人格權,以涵攝具有經濟利益的人格權;也有學者主張,應通過創設商品化權或形象權等新型無形財產權,實現對人格權益中的各種經濟利益的保護;還有學者認為,具有人格要素的商品化權益屬于一種獨立的民事利益,而非人格權,我國通過民法、商標法、反不正當競爭法等法律法規已形成了二元保護的立法格局;當然,也有學者認為,對人格權的商品化利用并非創設了一種新的獨立權利,而是人格權的利用權能發生了擴張,否則,難以將所謂的新的權利與原有的人格權區分開來。
就第二個層面的分歧而言,主要有三種觀點:一是私法保護為主說。該觀點認為,個人信息具有人格權屬性,故應通過侵權責任法等私法強化自然人對其個人信息的控制,可借鑒歐美場景理論下的風險控制模式,建立差異化損害賠償制度,甚至可采用賦權保護方式,提升大數據時代下自然人的弱勢地位,調動個體維護個人利益的積極性,從而實現權利保護、信息利用和公共利益之間的平衡。二是公法保護為主說。該觀點認為,在大數據時代,個人信息保護面臨著系統性風險,自然人對個人信息的控制遭到弱化,私法保護模式下的個人信息自決權往往流于形式,這不利于信息流通,加重了企業負擔,阻礙了信息產業發展,因此,應從公共產品角度肯定個人信息流通的公共價值,從公法保護角度進行風險控制,并通過專門機構對個人信息的收集、使用與控制進行監管,以達到促進個人信息的共享與使用之目的。換言之,“個人信息控制權是需要通過個人信息保護法來確立的一項新型公法權利”。政府機構對數據這種公共物品享有信息管理權,有利于發揮政府在維護公共利益方面的能動作用。三是綜合保護說。該觀點認為,當今的個人信息保護立法模式已經超越了傳統的公私法二分的立法模式,故應采用綜合立法模式,即融合公法、私法、社會法保護模式,既確認個人信息權利,又確保個人信息安全。
在大數據時代,個人信息的利益主體多元化,利益訴求多樣化,利益沖突加劇化,因此,無論是傳統的公法保護模式,還是傳統的私法保護模式,都不能因應個人信息保護的復雜形勢。個人信息不僅對于自然人的人格尊嚴意義重大,而且對于經濟發展、犯罪預防、社會管理、疫情應對、國家安全等具有重要價值。多元的利益格局決定了保護個人信息的方式不是單一的,而是綜合的。個人信息所蘊含的人格權屬性和財產價值屬于侵權責任法等傳統民法的保護對象,然而,在大數據時代,由于信息主體與信息控制者之間地位懸殊,故需引入消費者權益保護法等經濟法規范,對違反禁止性規定的經營者作出懲罰。尤為值得注意的是,在當今社會,公權力部門是個人信息的控制者,其極有可能以維護公共利益之名,侵害個人信息權益。因此,需要引入行政法等公法,防范公權力部門在社會治理過程中濫用個人信息。筆者認為,即使在制定了統一的個人信息保護法的背景下,仍應采取公私法協同推進的多元化法治路徑,充分發揮部門法的功能,建立綜合治理模式,實現個人信息保護法律體系內部的統一和協調。《個保法》除了規定了在平等主體之間處理個人信息問題的具體規則之外,還直接規定了國家機關處理個人信息的基本規范,這是公法關系在個人信息保護領域的延伸和體現。因此,個人信息保護法并非單純的私法或公法,而是具有社會法的屬性。
(二)個人信息保護域外立法模式
從世界范圍來看,關于個人信息保護立法,主要形成了以美國立法為代表的分散立法保護模式和以歐盟立法為代表的統一立法保護模式。
美國的分散立法保護模式也可被稱為隱私權保護模式或行業自律保護模式,是指在隱私保護法的基礎上,針對特定行業或領域的個人信息保護問題,制定單行法。所謂“分散立法保護”,一方面體現為美國缺乏統一的適用于各個州、各個行業、各個領域的個人信息保護立法,另一方面體現為美國沒有統一的個人信息保護執法機構和監管機構。在美國,有關個人信息保護的法律主要有1966年的《信息自由法案》和1974年的《隱私法案》。1974年的《隱私法案》可以說是一部專門性的個人隱私保護法,其為特定行業或領域的隱私保護立法提供了基本原則和方針,相關單獨立法包括《公平信用報告》《錄像帶隱私保護法》《美國兒童在線隱私保護法》《金融服務現代法》等。在互聯網時代,美國法律對隱私權的范疇和保護范圍均有所擴張。整體而言,美國立法傾向于鼓勵信息自由流通,因此,除商業秘密及一些明顯涉及公民隱私的政府記錄之外,任何人都有權獲取相關信息。可見,美國對于個人信息保護的立法較為分散,更多地強調商業利益之間的平衡,著重解決個人信息與商業利益之間的矛盾,強調各行業內信息控制者、信息處理者以及信息服務商的行業自律。質言之,美國并未采取“以私權對抗公權”的立法模式為個人信息提供強有力保護,而是通過“自我規制”模式即行業自律模式來保護個人信息。
歐盟的統一立法保護模式,是指通過制定統一的法律制度來對個人信息進行保護。所謂“統一立法保護”,一方面體現為GDPR是適用于各行各業且貫穿于個人信息保護各環節的系統法律規范,另一方面體現為歐盟要求其各成員國建立統一、獨立、權威的數據監管機構。歐盟關于個人信息保護的法律集中體現在GDPR中,其從公民的基本權利與自由出發,確定了較為嚴格的監督管理標準和措施,并對被遺忘權這一新興權利作出了正式規定。通觀歐盟相關立法,不難發現,歐盟采取了“私權至上”的立法模式,即在對保護個人信息權和促進信息自由流通進行價值衡量時,更傾向于前者。
上述兩種模式各有優劣,不存在所謂的“最佳選擇”,兩種模式與各自的文化傳統、政治制度、法治體系密不可分。美國的分散立法保護模式反映出對個人信息保護范圍的限縮,而歐盟的統一立法保護模式則反映出對個人信息保護范圍的擴張,這一差異源于根深蒂固的法律文化差異。可見,歐盟國家不十分重視大數據技術的發展,這阻礙了科技的創新和進步,而美國則過于重視經濟發展,忽略了對個人隱私的保護。美國的個人信息保護模式有利于數據開發,是推動美國數據產業發展的制度性因素,而歐盟的個人信息保護模式強調人格尊嚴的優先地位,彰顯了法律制度的本源性價值。
就我國而言,個人信息保護立法的路徑應建立于社會主義法律體系框架之內和法治傳統基礎之上。我國個人信息保護立法的時代背景與歐美國家的立法背景顯著不同,大數據技術的飛速發展和廣泛應用極大地改變了個人信息的應用場景和表現形態,個人信息保護立法進程中的利益衡量和制度選擇都面臨著新的挑戰。無論是歐盟的以統一立法規制為主導的保護模式,還是美國的以市場自我規制為主導的保護模式,都不能完全適應我國當下的市場經濟發展現狀。因此,我們需要建立多元的治理框架,實現個人信息保護與數據開發利用的二元價值平衡。綜合考量我國獨特的文化傳統背景、行政管理體制和數字經濟發展需要,筆者建議開辟第三條立法道路,即綜合借鑒美國和歐盟的兩種立法保護模式,采取體系性法律保護模式,建立邏輯自洽的個人信息保護法律制度體系,實現信息自由和私權保護的并重,在充分保護個人信息控制權的同時,鼓勵信息自由流通。
(三)隱私、個人信息、數據三元分治的內在邏輯
個人信息保護制度與隱私權制度有著重大差別。其中,最重要的表現是,經過去識別化處理的個人信息可以得到合理利用乃至商業化利用,而隱私無論如何都不能被商業化利用。換言之,隱私權作為人格權,具有純粹的人格權屬性,不能被自由交易和處分。但個人信息已經具有了相當強的社會屬性,其兼具人格權和財產權的特點。因此,對隱私的保護,完全是基于個人利益的,而在保護個人信息時,則需要考慮個人、企業、政府等多方主體的利益。質言之,個人信息權的主體是自然人,客體是個人信息,具有人格權和財產權雙重屬性;而數據權的主體是數據的處理者即法人或非法人組織,客體是數據,僅具有財產權屬性。筆者認為,個人信息權無論是一種“權利”,還是一種“權益”,其雖然包含著一定的財產利益,但仍應將其主要作為人格權益對待,不能使其直接被他人利用。詳言之,他人只有在征得個人信息權利主體的同意后,方可利用和轉讓個人信息并取得財產利益。從這個角度看,隱私權的保護對象是自然人不愿意被他人所知的信息,而個人信息權的保護對象是自然人愿意被他人所知但不愿意被他人濫用的信息。可見,對隱私權和個人信息權進行法律保護的進路完全不同。保護隱私權的目標在于禁止他人侵入及公開隱私,而保護個人信息權的目標在于保護個人的意愿及個人控制自己信息的權利。
數據保護更具特殊性。在個人層面,數據可以等同于信息,個人信息即個人數據。單一的個人信息或數據沒有經濟價值,通過隱私保護法和個人信息保護法對其加以保護即可。只有當大量承載個人信息的數據匯聚在一起并成為數據集合時,相關數據才具有經濟價值,才存在對其進行單獨保護的必要,即將其視為一種新的權利客體來保護。經過收集、整理、加工、脫敏等技術和手段處理的海量數據,凝聚著加工者的勞動和智慧,其與原來的個人信息主體之間的關系已經被切斷,成為應在法律上單獨受到保護的對象。在信息時代,大數據具有大量、高速、多樣、低價值密度等特點,這決定了大數據具有極為重要的商業價值、經濟價值和社會價值,是企業、政府機構、社會組織競相獲取的重要資源。詳言之,從個人角度看,個人信息兼具人格權和財產權雙重屬性;從社會角度看,個人信息是社會管理系統得以高效運行的工具,早已溢出私人法益范疇,具備公共權利屬性;從企業角度看,個人信息是開發和運營數據產業的重要資源,是市場競爭的重要因素。“在信息時代,信息作為戰略性資源,其自由流動具有重要的基礎性意義。”因此,利用大數據,是在信息時代發展經濟的必然要求,是提升政府治理能力的必由之路。
誠然,賦權保護模式與我國傳統的權利保護模式即權利法定模式相吻合,也有利于防止在司法審判中出現同案異判的情況,但是,賦權保護模式忽略了個人信息所具有的公共屬性,權利的絕對性會妨礙對個人信息的充分利用。正因如此,《民法典》和《個保法》都采用了“權益”而非“權利”概念。不可否認,民法在個人信息保護中具有基礎性地位,但是,網絡、電信、金融、醫療、征信、電子商務等領域的個人信息保護問題亦不可忽視,而關于這些領域的立法多屬于公法或社會法,且這些法律規范對于打擊違法犯罪、保障網絡安全、維護公共利益等意義重大。因此,任何單一路徑都無法為個人信息提供完整的法律保護,個人信息保護法體系是一個涉及憲法、民法、刑法、行政法、經濟法等多個部門法的綜合法律體系,應當建立諸部門法相互銜接與配合的綜合治理體系。事實上,個人信息保護立法已日益顯示出其綜合性。筆者贊同這樣一種觀點,即“對隱私權益必須進行場景化的理解,個人信息流通具有公共性價值。法律保護個人信息的目的在于防范相關風險,促進個人信息在具體場景中的合理流通”。由此可見,宜“通過‘消費者法化’,重新激發個人信息私法保護的活力;同時,采取公法框架進行風險規制,保護個人信息”。詳言之,由于建立在主體平等、客體排他、意思自治基礎之上的傳統私法保護模式日益面臨著困境,故應從風險控制的角度出發,將個人信息保護問題納入消費者權益保護法框架,確定具體場景,并對個人進行傾斜性保護,實現從以私法保護為主導向公私法保護相結合的轉變。
四、立法體系的內部協調與外部銜接
在數字經濟時代,構建隱私保護、個人信息保護、數據保護的三元法律體系具有必然性,然而,這種三元法律體系的構建在當下中國呈現出復雜的現實圖景。一方面,加強隱私保護和個人信息保護的呼聲日益高漲,這對中國傳統文化和法律制度提出了嚴峻考驗;另一方面,加強信息自由流通和數據開發利用的需求日益旺盛,個人信息保護面臨著內外兩方面法律銜接問題。
(一)三元法律體系的基本形成
我國《民法典》第127條規定:“法律對數據、網絡虛擬財產的保護有規定的,依照其規定。”這說明,我國《民法典》中存在著對隱私、個人信息、數據分別進行保護的法治構想,這一構想隨著2021年《個保法》和《數據安全法》的出臺而基本實現。特別是《個保法》的出臺,有效地解決了我國個人信息保護領域專門性、綜合性的立法問題。《個保法》超越了傳統的公法和私法的簡單二元劃分格局,堅持了個人信息與隱私相區分的基本立場,并對敏感個人信息作出了明確界定。
在此背景下,我國的個人信息保護理論研究亦應當轉向,即從立法論轉向解釋論。申言之,在隱私保護和個人信息保護方面,應從法教義學入手,分析《民法典》和《個保法》中的具體規則的立法背景、含義指向及實施建議,為正確落實《民法典》和《個保法》提供理論支撐。特別是針對實踐中出現的隱私保護和個人信息保護所面臨的知情同意機制弱化以及公共數據和公共利益對個人信息造成限制等突出難題,應梳理分歧焦點、基本法理和法律依據,為司法裁決提供理論指引。在數據保護方面,仍應當以制度創新為導向,從企業數據規則、公共數據規則和公共利益規則等方面,提出優化建議,推動《數字經濟促進法》和《個人信息保護法實施條例》的出臺,為進一步完善我國的數字經濟立法提供智力支持。
(二)法律體系的內部協調
我國立法已經確立了對隱私與個人信息分別進行保護的二元立法體系。《網絡安全法》第76條通過“概括定義+列舉”的方式界定了個人信息的內涵,即“能夠單獨或者與其他信息結合而識別自然人身份的各種信息”。《民法總則》在其第五章“民事權利”中,首先肯定了自然人的“隱私權”(第110條),而后明確了“自然人的個人信息受法律保護”(第111條),同時開放性地認可了“數據權”,即“法律對數據、網絡虛擬財產的保護有規定的,依照其規定”(第127條)。《民法典》在其“人格權編”第六章“隱私權和個人信息保護”中,不僅明確規定了自然人享有隱私權、個人信息權益,而且明確界定了“隱私”概念(第1032條)和“個人信息”概念(第1034條),同時對隱私權保護和個人信息保護的法律適用沖突問題作出了規定,即“個人信息中的私密信息,適用有關隱私權的規定,沒有規定的,適用有關個人信息保護的規定”,具有開創性意義。同時,為了回應互聯網時代信息科技的發展要求,《民法典》初步規定了數據權屬等問題,因應了在大數據時代對隱私、個人信息和數據進行三元分治的立法模式。需要注意的是,我國法律使用的是“數據”這一概念,而非“個人數據”這一概念,且對“數據”這一概念的界定較為模糊。同時,在法律體系中,《民法典》將“個人信息”視為“人身權”的一部分,置于“民事權利”范疇,而將“數據”與“虛擬財產”一并進行規制,相關保護依賴于其他法律的規定。由于“個人信息權利是正在興起并不斷發展的信息社會中凸顯的一項新型權利”,因此,在制定個人信息保護法時,面臨著諸多新情況、新問題。
第一,個人信息保護立法應對自動化決策的說明義務作出更加明確的規定,進一步明確接受委托的個人數據處理者的義務和責任,細化合法收集個人信息的依據和標準,明確知情同意機制的例外情形,增加風險評估中的社會倫理維度。
第二,對于某些問題,可以留待后續制定的實施細則或司法解釋去解決,需要研究的只是如何對這些問題作出取舍,即將哪些問題交由后續的實施細則和司法解釋來解決。
第三,在責任條款的設定、請求權條款的設置方面,應進一步作出完善性規定。涉第三方信息處理者的侵害個人信息案件具有以下特點,即主體具有不平等性與不可互換性,侵害事實難以被查清,損害結果具有潛伏性、持續性和放大性,故現有法律規范不足以應對相關個人信息保護困境。因此,應以實現個人信息保護與產業發展之間的平衡為出發點和立足點,完善相關法律責任規則。其一,在侵權責任類型方面,應單獨設立關于個人信息的特殊侵權責任類型;其二,在歸責原則方面,應適用無過錯責任原則;其三,在舉證責任方面,應設立“有限”的舉證責任倒置制度;其四,在證明標準方面,應采用高度蓋然性證明標準;其五,在賠償數額方面,如果無法證明受害人遭受的財產損失,則應適用法定數額。其六,在責任承擔方面,應確立信息控制者和信息處理者之間的連帶責任以及免除連帶責任的條件。
(三)法律體系的外部銜接
為了進一步規范和引領數字經濟的發展,在強化隱私保護、個人信息保護與促進經濟發展之間保持平衡,我國需要構建以公法為依托、以私法為主干、以社會法為補充的個人信息保護權利話語體系。然而,個人信息保護法律體系是一個跨部門的綜合性立法體系,在該體系中,不僅存在一些共通的原則、制度和規則,亦會產生不同法律規范之間的排異反應。我國的個人信息保護立法,既要堅持立足國情與借鑒國際經驗相結合,建立健全適應我國個人信息保護和數字經濟發展需要的法律制度,又要堅持問題導向性和立法前瞻性相結合,體現法律的包容性和適度超前性,還要處理好《個保法》與其他相關法律之間的關系,注意《個保法》與《民法典》《網絡安全法》《數據安全法》等法律法規的銜接問題,細化和充實關于個人信息保護的制度和規則。
處理好《個保法》與其他法律的銜接問題,既包括處理好《個保法》與《民法典》《消費者權益保護法》《網絡安全法》《數據安全法》等已經出臺的法律之間的關系,也包括處理好《個保法》與《數字經濟促進法》等尚未出臺的法律之間的關系。近年來,我國數字經濟立法的步伐明顯加快,《數據安全管理辦法(征求意見稿)》已由國家互聯網信息辦公室于2019年5月28日發布。《數據安全法》對網絡直播、即時通信、搜索引擎等典型數字經濟新業態中的個人信息保護問題作出了規定,但對于自動駕駛、公共數據、人工智能等問題,尚顯規制不足。因此,在未來,還應當出臺《數字經濟促進法》《電信法》《算法法》《政府數據開放法》等法律法規。
首先,關于個人信息保護,應處理好民事保護、行政保護與刑事保護三者之間的關系,實現并重保護和均衡保護。盡管應加大對違法行為的行政處罰力度,讓涉事違法主體望而生畏,但是,除了注重行政機關對個人信息的行政保護外,還必須注重司法機關對個人信息的民事保護和刑事保護。民事保護能夠為個人信息主體實現人格權益與財產權益提供保障,而刑事保護能夠通過追究嚴重侵犯個人信息的違法主體的刑事責任來發揮警示作用。
其次,應明確《個保法》與《民法典》之間的關系,這實則是明確隱私保護與個人信息保護之間的差別。《個保法》在個人信息的定義、處理個人信息的基本原則等方面的規定,都體現了《個保法》與《民法典》相分離的思路,比如,《個保法》沒有提及“隱私”這一概念。《民法典》與《個保法》之間的關系是一般法與特別法之間的關系,二者對于個人信息在調整范圍上基本一致,而當出現不一致時,則應適用《個保法》中的規定。
最后,應將《個保法》與《數據安全法》置于同一法律體系內,加以綜合考慮,堅持安全與發展并重的原則,兼顧個人信息保護與數據共享的雙重立法目的,既做到有效保護權利,合理使用個人信息,鼓勵創新,又做到審慎監管,確保數據安全,保持風險可控。對數據應當進行多層次控制,不同的立法的側重點可以有所不同。而在保護強度上,對隱私、個人信息、數據三者的法律保護等級和保護力度應呈現逐漸減弱狀態。
五、隱私、個人信息和數據保護三元立法的優化路徑
著眼于未來,我國應健全對隱私、個人信息、數據進行分別保護的三元法律體系,不宜混用隱私、個人信息和數據的概念。目前,個人信息與隱私之間存在區別,且應對二者分別進行立法保護,已成學界共識,而將個人信息區分為敏感信息與一般信息,并予以不同力度的法律保護,也已成為學界的主流觀點。在相應的立法設計中,應當區分個人信息保護與數據保護,確立個人信息主體對個人信息的自主控制權。事實上,隨著《數據安全法》和《個保法》的出臺,我國立法正朝著對隱私、個人信息、數據進行三元分治的格局邁進。
(一)信息數據的分級
“傳統個人信息立法立足于單向利益保護,形成‘一刀切’的個人信息保護模式,造成了利益失衡的現實困境。”在大數據時代,個人信息具有財產權屬性和公共屬性,相應地,個人信息保護立法的價值目標應具有多元性,即應根據個人信息的生命周期進行分類保護和綜合考量。換言之,公民的個人信息關涉整個社會的公共利益、國家的安全,甚至關涉國家的信息主權,在理解和把握個人信息時,需從公民、社會、國家的角度進行解釋,個人信息保護具有超個人法益的性質。
《民法典》將個人信息區分為個人普通信息和個人私密信息,《個保法》則明確區分了普通個人信息和敏感個人信息。但在《個保法》中,缺少關于個人信息分級分類標準的規定,這導致在司法實踐中易對敏感個人信息進行擴大解釋,可能導致對個人信息進行分類保護的制度設計被架空。從域外立法經驗來看,GDPR第9條對敏感個人信息進行了列舉,而美國的《隱私法案》則列舉了判斷敏感個人信息的12項標準。以此為鑒,我國需要建立健全個人信息分級分類保護目錄或保護清單制度,對個人信息尤其是敏感個人信息進行分級分類。另外,《個保法》對個人信息采用了可識別性和可關聯性雙重標準,但在實踐中,可識別性標準和可關聯性標準難以被準確把握,故需要由法律規定作出總體性指引。筆者建議在《個保法》第11條中增加一款,作為該條的第2款,即“國家推行個人信息分級分類保護,目錄由履行個人信息保護職責的部門制定,并根據個人信息保護的實踐狀況動態調整”。
實際上,對于個人信息或者數據,存在更多的分級分類方法。譬如,可將數據區分為“個人數據”和“非個人數據”,或者可將其區分為“數據隱私”和“數據財產”,或者可將其區分為“用戶數據”和“企業數據”。在現代數據安全語境下,應改變傳統的靜態保護模式,轉而采用動態保護模式,即根據具體場景,確保數據安全和數據共享自由。具體場景不同,數據安全所面臨的風險便不同,相應保護措施和風險管理技術方案也隨之不同。在構建我國的數據分級分類法律制度時,應制定數據分級分類目錄、數據分級分類規則、數據分級分類技術標準等。具體而言,數據分級就是對數據的安全等級進行劃分,并采取不同的管理措施,即根據數據對國家、個人、企業、社會公眾等不同主體的不同價值意義和作用影響,分別采取嚴格保密、限制監管、鼓勵流動、主動公開等強度不同的規制方法和利用規則,并分別適用不同的授權范圍規則、保護義務規則和責任救濟規則等。數據分類就是按照不同標準對應用過程中涉及的數據進行類型化,并采取不同的處理規則。譬如,按照來源不同,可以把數據分為個人數據、企業數據、公共數據等;按照公開程度不同,可以把數據分為公開數據、有限公開數據、秘密保護數據等;按照敏感性不同,可以把數據分為一般數據、敏感數據、高度敏感數據等。需要強調的是,數據的分級分類應當是動態的、相對的,在不同場景下,數據的分級分類可能會有所差異。
(二)權利體系的構建
鑒于傳統的隱私保護模式和個人信息保護模式無法解決大數據時代的信息控制、利用和處理問題,有學者提出,可以通過個人信息賦權保護模式,明確相關主體的權利、義務和責任,從而克服利益衡量方法的不穩定性,為司法裁判提供具體、明確的法律指引。筆者建議,可以從以下幾個方面構建關于個人信息保護和數據保護的權利體系:
其一,應明確規定個人信息權。《民法典》第1034條并未使用“個人信息權”這一概念,導致理論界對個人信息的屬性問題存在很大爭議。在大數據時代,以數據為載體的個人信息既具有獨立的人格權屬性,亦具有鮮明的財產權屬性,即同時具有“信息自決權”和“數據財產權”兩個面向。換言之,在大數據時代,私權保護與數據共享應并行不悖,應將數據財產權與個人信息自決權相區分,以“場景”或“情境”為核心,對個人信息權益進行個別化保護。應進一步明確個人信息主體所享有的權利,具體而言,我國的個人信息權利束包括但不限于個人信息主體在信息收集、保存、利用中的知情權、同意權、決定權、查詢權、訪問權、刪除權、拒絕權、更正權、知情權、選擇權、反對權、復制權、被遺忘權、可攜帶權、自動化處理拒絕權、自主決定權、救濟權。
其二,應賦予個人和企業公共數據利用權,引導公共數據的共享和開放。公共數據具有公共屬性。公共數據的共享,既可以在政府部門與企業組織之間實現,也可以在政府部門與政府部門之間實現。為此,我國需要進一步完善公共數據的共享與公開規則,促進公共數據效用的最大發揮。
其三,應賦予企業數據權,推動企業數據的利用和流轉。企業數據是企業通過合法形式收集和取得的各類數據,其權屬性質既有可能是完全權屬,也有可能是有限權屬,還有可能是無權屬。權屬性質的不同會導致管理和使用數據的目的和方式不同。在信息社會,數據的價值驟升,已經成為與資本、技術、勞動力、土地等同等重要的生產要素。因此,我國應進一步明確關于數據的權屬規則、分配規則、交易規則、安全規則、監管規則等。
其四,應賦予個人被遺忘權,強化新技術運用中的個人信息安全。在當今社會,自動化決策、個性化推薦、人臉識別、用戶畫像、深度偽造、數據挖掘等新技術不斷涌現。這些新技術在提高了數據利用效率的同時,亦帶來了算法黑箱、信息泄露、數據濫用、隱私侵犯等問題。因此,應當對數據安全進行風險評估,完善數據的場景化利用規則,確保信息安全。在這一背景下,GDPR中的“被遺忘權”制度進入我國學界視野。有學者認為,被遺忘權呈現出適用情形與責任主體的雙重擴張趨勢,其更適合被解釋為信息化時代利益沖突的解決框架,即應被作為中立性的利益權衡規則引入我國的法律制度體系。而有學者認為,被遺忘權是互聯網時代多種價值不平衡發展的產物,我國不必在被遺忘權的建構問題上亦步亦趨,而應當選擇更為妥當的方法實現對相關法益的保護。筆者認為,我國有必要賦予個人被遺忘權。譬如,在突發公共衛生事件結束以后,為了個人信息主體的生活安寧,個人信息主體有權要求數據控制者刪除相關個人信息,具體可以參考GDPR中的限期存儲規定,即“為了控制傳染病而收集的個人信息的存儲時間不得超過12個月”。對于不具有可識別性的個人信息,基于研究等合理使用之目的,可由相關部門予以封存,確保個人信息的安全性。
(三)救濟機制的再塑
《個保法》大幅度提高了對侵犯個人信息權益的行為的處罰力度,尤其是其“按照營業額百分比進行罰款”的規定,被視為《個保法》的一大亮點,大大提高了對違法企業的威懾力,大大增加了企業的違法成本。同時,為了解決司法實踐中長期存在的訴訟動力不足、獲賠金額過低、舉證困難等問題,《個保法》確立了個人信息保護公益訴訟制度。具體而言,對于侵害眾多個人信息權益的行為,人民檢察院、履行個人信息保護職責的部門和由國家網信部門確定的組織可以依法向人民法院提起訴訟。然而,數據保護專門機構的缺位往往導致相關法律的執行不到位,救濟機制的滯后更導致我國的個人信息保護面臨諸多困境。為此,筆者建議從以下幾個方面完善我國的個人信息權益救濟機制:
第一,應建立統一、權威的個人信息保護機構。關于個人信息保護機構,《個保法》提出了“網信部門統籌協調+有關部門各自監管”的模式。這一模式比較貼近于我國傳統的行業主管部門專門監管模式,比較符合我國行政機關設置和職能劃分的傳統,有利于各行業主管部門提高本行業內的個人信息保護水平。總之,對于個人信息保護,我們倡導的是一種“外部監管+行業自律”的雙重保護模式。就行業自律而言,需完善內部管理規范和技術保護措施;就外部監管而言,市場監管部門應主動與信息保護部門和司法機關進行有效對接,健全個人信息司法保護機制。
第二,應健全訴訟救濟制度。其一,應確立個人信息保護領域的集團訴訟制度,擴大個人信息保護范圍,尤其是加強對不知情的潛在受害人的全面保護。其二,應確立行政公益訴訟制度。近年來,我國的公益訴訟立法逐步完善,公益訴訟制度逐步確立,公益訴訟實踐日益豐富。在《消費者權益保護法》《環境保護法》《民事訴訟法》確認了消費者權益保護領域和環境資源保護領域的民事公益訴訟制度后,2017年的《行政訴訟法》創造性地確立了行政公益訴訟制度。然而,無論是《民事訴訟法》第55條所列舉的民事公益訴訟類型,還是《行政訴訟法》第25條所列舉的行政公益訴訟類型,均未窮盡公益訴訟的所有類型,相反,二者均以規定兜底條款的形式表明,其他侵犯公共利益的行為亦具有被納入公益訴訟的可能。實際上,依法構建專門的個人信息保護公益訴訟制度,是破解個人信息保護困局的有益措施。因此,我國需要進一步深化司法體制改革,拓展行政公益訴訟的受案范圍,在個人信息保護領域建立健全行政公益訴訟制度。具體而言,針對行政機關的侵犯公民個人信息權益的行為,應賦予檢察機關提出檢察建議的權力,敦促相關行政機關履行法定職責,否則,檢察機關有權向人民法院提起行政公益訴訟。就具體建構路徑而言,應當進一步拓展行政公益訴訟制度的適用范圍,明確行政公益訴訟的起訴條件,優化行政公益訴訟的訴前程序規則,完善檢察機關的調查取證舉措,建立檢察機關與個人信息保護組織之間的雙向互動機制。詳言之,在構建個人信息行政公益訴訟制度時,需在線索來源、起訴節點和起訴標準等方面作出明確規定。應參照偵訴機關之間的線索移送規定,進一步完善檢察機關與行政機關之間的線索移送機制,確保檢察建議的科學性、客觀性和實效性,并依托證據理論,適當實行舉證責任倒置,保障檢察機關的調查取證權充分實現。其三,應完善民事公益訴訟制度,取消國家網信部門對提起民事公益訴訟的主體的確定權,增加關于“消費者協會等消費者權益保護組織可以作為原告提起個人信息保護民事公益訴訟”的規定。
第三,應完善個人信息侵權法律責任制度。“基于交易成本、估價成本、行為模式預期等經濟效率的綜合考量,應當重構我國個人信息保護的救濟規則”,即“對自然性個人信息適用財產規則,對社會性個人信息與復合性個人信息適用責任規則,并結合行業規則的逐步完善,建立去身份化的行為指引,實現理論構想、法律規范與社會實踐的逐步統一”。其一,應堅持對敏感個人信息和非敏感個人信息進行區別化對待的基本立場,對侵犯敏感個人信息的行為,施以更重的法律責任。其二,應確立個人信息保護領域的懲罰性賠償責任制度,從而彌補傳統侵權責任機制中損害填補責任的不足。其三,應確定個人信息保護領域的侵權舉證責任倒置原則,督促個人信息控制者及處理者盡其所能采取一些新的措施,不斷研發一些新的技術,以確保個人信息處理活動的合法性與合規性。其四,應建立三元歸責體系,即針對使用自動數據處理系統的公務機關、非公務機關以及未使用自動數據處理系統的其他主體的侵害行為,分別適用無過錯責任原則、過錯推定原則以及一般過錯責任原則,追究嚴重侵犯個人信息權益的單位及其直接負責人的刑事責任。
結語
大數據的發展不僅是技術的變革,亦是思維方式的變革,更是治理規則的變革。任何國家的立法都與具體的政治制度、文化背景、法治傳統等密不可分,個人信息保護立法亦不例外。在大數據時代,我國的個人信息保護立法應當兼具權利保護、產業促進、權力規制等綜合立法目的。隱私、個人信息與數據三者之間,既有區別,又有聯系。對于隱私權益,應主要交由民法進行保護;對于個人信息權益,應主要交由個人信息保護法進行保護;對于數據權益,應主要交由數據產業促進法進行保護。從實踐情況來看,我國的數字經濟發展已經走在了世界前列,但在個人信息保護方面,仍存在治理效果亟待提升等諸多問題。究其原因,我國的個人信息保護法的科學性有待提高,可操作性有待加強。我國頒布了《個保法》,這標志著我國的個人信息保護法治建設邁入了新階段,但是,個人信息保護立法中的諸多問題仍有待得到進一步研究和解決,具體包括法律名稱、立法模式、適用范圍、敏感信息、主體權利、執行機構、自律機制等方面的問題,尤其應關注個人信息保護與信息流通促進之間的關系協調問題。實際上,在大數據時代,在進行個人信息保護制度設計時,應從注重傳統的靜態、單向的保護政策,轉向建構現代的動態、多維的數據治理框架,從而平衡個人、企業、國家等不同主體的利益訴求,實現權利保護、行業發展與數據主權之間的良性互動。
(部分內容來源網絡,如有侵權請聯系刪除)
