个人数据资产保卫战该怎么打? | 甲子光年
你的个人信息,正在通过手机直播给后台潜藏的“有心之人”。
6月1日,在《网络安全法》实施四周年之际,新华社记者做了一个测试:前脚刚跟身边的朋友说了想去吃火锅,后脚打开手机就看到 App 在给推荐附近的火锅店。2017年6月1日,我国第一部全面规范网络空间安全管理方面问题的基础性法律《网络安全法》正式实施。
四年后的6月1日,杭州互联网法院(全国第一家集中审理涉网案件的试点法院)公布了一则消息:个人信息保护案件正呈现增长趋势。对个人信息不当收集、滥用、泄露而导致消费者权益受损的案件时有发生。
在数字信息时代,数据已经成为生产要素之一,也是个人和企业的重要资产之一。然而,时有的的个人信息侵犯事件一再提醒我们,个人信息和网络环境仍像一块无主之地被肆意践踏——刚决定买房,各种中介电话、装修、销售家具的骚扰电话不断;孕妇刚住院待产,奶粉、月嫂、婴幼儿摄影等推销连环call;孩子刚上学,各类培训电话、短信纷沓而至;还有莫名其妙的号码打进来,问是否需要贷款……
针对个人信息收集和使用出现的乱象,最高人民检察院要求有关法律、法规建立新的规则、筑牢原有的藩篱。因此正在征求意见中的《个人信息保护法(草案二次审议稿)》与《数据安全法(草案二次审议稿)》就备受瞩目。个人信息保护是数字经济和社会治理的底线,相关法律的使命就是划出行为边界,引导并约束政府和市场主体,使个人信息的收集、使用、加工、传输、提供、公开等有章可循。
个人信息保护为什么如此重要?企业和个人的合法权益应当如何用立法权衡?这在大国竞争时又有何意义?《数据安全法(草案)》、《个人信息保护法(草案)》在顶层设计角度上反映出我国数据治理制度有何特点?
对于这些热门探讨话题,「甲子光年」整理了数位学者,企业界人士和研究者的观点。本文根据中国政法大学【数字经济与个人信息的法律保护】的研讨会整理,未经过与会发言者确认。
精彩观点:
王星(腾讯研究院数字经济研究中心主任):数字信息真正渗透到城市、乡村和社区的领域之后,个人数据将不会简单局限在消费者的范围,我们每一个人都将是透明人。
徐丹(赛迪智库政策法规研究所研究室主任):关于数据管理、数据收集和数据流动,需要有一套明确的理论体系去支撑制度建设,不论是推动产业发展,还是在国际竞争中,我们都有底气。
栾群(赛迪智库政策法规研究所所长):制度宽松不是人为造成的,而是历史发展出来的。以前我们的规划里面没有阿里、腾讯、京东,但是他们就这样发展起来了,法律不可能预测到这些,所以要“让子弹飞一会”。
严少敏(京东研究院秘书长):个人信息保护合法事由的位阶排序,在履行法定义务的事由中应该是第一位的,公共利益也要排在前面;紧接着是履行合同之必要;接下来是处理者的正当利益(包括为了满足个性化的需求、风控的需求等需要使用信息处理正当利益);最后才到“同意”。
乔维(华为公司战略部高级专家):在大国竞争的背景下,每个国家都在争取自己的数据主权。
沈伟伟(中国政法大学大数据和人工智能法律研究中心主任、副教授):从国家的角度来讲,重视个人信息应用是数字经济非常重要的基础;而从国际竞争的角度来讲,可能涉及到国家安全的各个维度。
1.在数字经济每个环节中
「甲子光年」:为什么个人信息保护日益重要、也日益受到关注?
徐丹:数字经济和个人信息保护广受关注,一方面是因为数字经济的发展已经渗透到每个人的生活,大家都在体会、感受着互联网行业的发展,数据要素跟其他的生产要素有一个最大的区别,就是如果不集成、不流动就不称之为要素,个人信息如果不集合到企业、产业链中间流动,就无法产生资产的效应。
王星:数字经济有四个层次:数字经济、数字社会、数字政府和数字生态。关键算法涉及到未来个人信息的处理,无法攻克的话也会直接影响到我国的核心技术。数字经济已是大国竞争关键的抓手,个人信息保护贯穿到数字经济的各个环节。
我国数字经济最有想象力的空间在新模式和新业态,数字经济分为数字产业化和产业数字化两个层次,但是数字经济优势主要是在消费互联网行业,这与我国对于个人信息保护的法律监管的环境包容、审慎的态度密切相关。
十四五期间数字经济已经进入了全面落地的阶段,如果数字信息真正渗透到城市、乡村和社区的领域之后,个人数据将不会简单局限在消费者的范围,我们每一个人都将是透明人。
沈伟伟:个人信息保护实际上谈的是两个层次,一个是从公民的角度、消费者的维度,另外一个是国家安全战略维度。
从小的角度来讲,就是个人信息保护与个人信息应用之间的平衡;从国家的角度来讲,重视个人信息应用是数字经济非常重要的基础;而从国际竞争的角度来讲,可能涉及到国家安全的各个维度。
不过不同层面的人,对此的认知并不一致。用最近很火的刷脸举例,会发现大部分小区居民都非常支持刷脸,因为让渡部分个人信息或权利就可以方便通行、更好管理小区安全。从大数据或者个人隐私法的维度来谈的话,很多的知识分子站在强个人权利保护的路上,他们表达的诉求和老百姓所需要的个人信息保护是两回事。
不管是《网络安全法》还是正在起草的《个人信息保护法》,第一条都是把概念规定得很清楚,而且在具体条文中有平衡或者侧重。
「甲子光年」:在我国,个人信息保护、数字治理的现状什么样?
乔维:当前,我们面临数据治理的背景形势是割裂化。高质量的公共数据集跟共享有关系,现在大规模、高质量公共数据集基本都是美国的。
在大国竞争的背景下,每个国家都在争取自己的数据主权。我国急需通过国家实验室或高校等机构牵头把数字经济的生态建起来,否则在推进算法、算力的时候会发现没有数据集。比如现在做GPT-3训练大模型的时候会发现数据非常匮乏,尽管数据获取的渠道比较宽松,但是爬数据很慢很不划算,购买交易也不健全。
徐丹:产业的发展一定要跟个人权利的让渡紧紧绑定在一起,但现在制度构建的底层或者法律概念的底层都还没探讨清楚,这是我国很多(个人信息保护)问题产生的原因。关于数据管理、数据收集和数据流动,需要有一套明确的理论体系去支撑制度建设,这样我们才有底气去推动产业发展,去应对国际竞争。
个人信息权和隐私权在概念上是两回事,即便最终的载体一样,在不同的领域也体现为不同的权利。比如个人信息权其实是积极性的、主动的权利;但是隐私权其实是防御性权利,它更多是跟精神价值体现在一起,如果精神没有被侵害,隐私权被侵害的就不明显。
无论是讨论知情同意,还是法定事由应该如何界定,都绕不开达成“共识”这个话题。学界和产业界可以更着力推动基础概念的层面达成共识。
工信部和网安局一直都在推动个人信息保护的专项治理,比如下架整改APP都是个案,而在个案在最后做出处理决定时都是五花八门的解释。知情同意和法定事由如何界定都绕不开达成共识这个话题。
比如有行政处罚先行的说法,就要求行政执法机构要有充分的执法能力,而这种执法能力又基于对基本法律概念的认识,而我们现在又没有在法律概念上获得共识。
2.信息收集怎么算正当?
「甲子光年」:在立法层面上,个人信息保护有哪些进展?在法律层面上,怎么界定信息收集的正当性?
刘晓春:涉及到个人信息本身的分类,尤其是敏感信息的问题,虽然还没有通过个人信息保护法敏感信息的条款,但是民法典已经通过并且实施了。
如何在民法典当中区分隐私和个人信息已经困扰司法机关很久了,比如人脸、电话号、手机号码是不是隐私、是不是个人信息、是不是个人敏感信息,放到每个人面前都很难形成共识。
所以,可能真的需要精细化列出要做到什么程度,哪些是敏感信息,但是也不能完全靠立法把这些细节都规定好,这会局限数字经济发展的想象空间。
乔维:技术和法律是数据治理的两个武器。法律已经在推进了,那从技术的角度看,数据存储和计算的能力更接近我们需要的设备,可以减少企业接触数据,同时减少其对数据的关注,保护用户信息安全,进而用匿名化、隐私保护、多方安全计算等技术手段建立信任。
「甲子光年」:信息收集中的一个关键问题是,什么算“敏感”信息,它的边界在哪里?
徐丹:关于敏感信息、发展和安全,普通人对敏感信息的理解和知识分子、高阶层的人不一样,因为在乎的东西不一样,看待问题的方式就不一样。
严少敏:如果把个人信息保护的合法事由的位阶排序,履行法定义务的事由应该是第一位的,公共利益也要排在前面;紧接着是履行合同之必要;再下来是处理者的正当利益(包括为了满足个性化的需求、风控的需求等需要使用信息处理正当利益);最后才到“同意”。因为前面这些合法事由无法穷尽,你需要继续收集个人信息,这时候才需要用户“同意”。
我们不能用欧盟的GDPR(General Data Protection Regulation,《通用数据保护条例》)这种非常宏观的或者原则性的规定,授予处理者基于合法利益去处理个人信息的正当事由。企业评估合法事由是否高于个人信息主体权益的场景是非常复杂的,在中国当前环境下很难有企业可以做到公正评估。
为了解决这个问题,可以把信息划分为三个等级:必要场景、敏感信息和非敏感信息。最必要的场景,是基于法定的强制性规定和履行合同的必要来收集个人信息的情况,即满足企业处理个人信息的最小必要范围。
如果最小必要范围内的信息不能满足,就应用到第二层级的信息处理规则——即处理非敏感、非必要的信息。
第三个层次是最不必要且风险相对高的场景,即敏感信息在非必要场景的使用问题。这种场景需要给用户主动选择是否同意的途径,而不是采用在隐私政策中隐藏的一揽子同意的方式,必须要赋予用户撤销权以及对信息的删除权。
「甲子光年」:数据从收集到使用的过程中,流动也很重要。目前的国际现状什么样?现在很多企业都是国际运作的。在这个层面上,我们国家的主要挑战是什么?
乔维:隐私保护的挑战明显,不管出海不出海都会面临巨大的数据合规的风险。
美国主张全世界的数据流动起来,凭借输出技术的优势,它可以在开放互联网的过程中让大部分数据流向美国。
俄罗斯是另一个极端,由于技术受限,应用也是由中国生产,就完全采用数据本地化的保护措施把自己先封闭起来。中国一方面希望发展数字经济,但另一方面又有数据本地化的做法。
从企业的角度来讲,希望国家可以通过双边或多边的机制,明确数据流动或者相关的政策红线。现在我国跟巴基斯坦、印尼、泰国签的双边协议可能是一个突破口,虽然不能一下子决定全球跨境流动的准则,但是可以在小范围或者几个国家之间协商出企业遵从的区域性规则。
现在,我国的数据交易中心平台没有大规模的有效交易,原因是:
第一,(数据交易平台)存在技术架构的不完善;
第二,数据交易的商业闭环没有设计好,数据定价没有完成。
3.企业的边界在哪里?
「甲子光年」:在个人信息保护中,企业尤其时代大平台的行为越来越多受到关注。它们的信息收集行为应该遵循什么样的原则?大企业面临的监管是否过于宽松了?
王星:个人信息保护属于数据治理基础制度的一个部分。数据治理的基础制度现在分为三个层次——政府和政府的关系,政府和企业的关系,企业和个人的关系。
政府和政府之间数据的关系其实就是政府与政府之间数据怎么共享、怎么开放的问题。政府和企业之间数据方面的关键点,在于政府工作的数据怎么开放给企业进而催生数字经济新模式、新业态的发展,企业的数据怎么跟政府的数据打通,比如说现在阿里的金融数据怎么和人民银行个人征信数据平台对接。
企业与企业之间的数据怎么处理,涉及到他们收集的个人信息和企业自身的信息在企业之间怎么打通,目前也面临很多争议。企业在个人信息处理过程中可以通过数据和算法解决个人信息的隐私保护问题,现在技术界、产业界都是试图通过隐私计算的技术体系来解决这个问题,可以不动数据而是通过技术算法的方式达到数据处理的效果。
我国数字经济有很多行业主管部门和监管部门,其中,发改委作为牵头部门要统筹发展和安全,并在保证安全的情况下释放数据要素的潜力。
一方面,我国消费互联网时代的监管环境比较友善、包容、审慎;另一方面,我国的数据量大,如果用严苛的数据制度把大数据的优势局限住,数字经济的优势会大打折扣。
不管是互联网公司、高校学者,还是政策制定部门,都要关注数据采集、处理过程中所使用的协议、协议内容,法律也需要对其进一步梳理和研究。
闵娜娜:大企业沉淀的数据多,一旦出现问题所导致的社会影响会更大;另外一方面,对大企业的监管确实更严格,行政监管、资本市场和社会公众都会盯着它,所以大企业反而在制度的建设、日常合规的维护有一定的保障。
不过我们也要看到一个事实,即新兴经济之所以在中国发展的比较超前,就是因为其不断开拓出创新的模式。所以在面对每一个新的业务模式的时候,怎样评估合理必要的范围,如何使用、处理、对外提供信息,对企业合规顾问来说是每天都面临的挑战。
这几年个人信息保护的实践中有可喜的变化,尤其是这两三年间,大型企业在个人信息保护的制度搭建方面做了很多努力,既有前端个人信息制度合规的建设,也有后端信息安全技术层面的把控。比如,在前端合规上, 大企业做到了在数据采集之前获得用户知情同意书,以明确数据采集的范围、目的和用途。在后端技术上,大企业在信息传输方面采用了加密的传输方法,在信息存储和保护的方面搭建了分级分类存储的方式,对不同级别的信息采取了不同级别的安全保护措施。
栾群:从政府管理的角度来讲,制度宽松不是人为造成的,而是历史发展出来的。以前我们的规划里面没有阿里、腾讯、京东,但是他们就这样发展起来了,法律不可能预测到这些,所以要“让子弹飞一会”。谁也没有预料到企业野蛮生长的过程,中国经济发展到今天不是规划出来的,而是在企业家们和各种社会力量慢慢博弈的过程中成长起来的。
改革开放创造了大的舞台,各种角色在上面互相博弈、共同发展,才有了现在的局面。产业政策的逻辑需要一段野蛮的生长。在野蛮生长的过程当中,我们不能期望法律或政策给予一个明确的东西,法律把大量的可操作性放到了执法环节,这是整个机制、整个社会的运行在起作用。
严少敏:在个人信息保护中,企业和个人合法权益的比例如何平衡?这在企业层面有两块难以解决的问题。
其一是个人信息保护的原则是什么。长期以来,我国个人信息保护的立法和执法,都是以个人主体的同意为原则。我个人理解,“同意”是比较底层的作用和价值。欧盟和美国的个人信息保护,对企业的合法正当利益有更多的考量,包括欧盟法中提到的“企业的合法利益是个人信息处理的合法事由之一”,和“同意”是并列的关系。
其二是保护原则下的个人信息处理,是否必要以“同意”为合法理由。我国的隐私政策坚持“知情同意”的原则,但是要考量是否运用冗长、大篇幅、专业的隐私政策作为用户授权“同意”的方式,以及能否满足用户知情的效果并实现“同意”的价值。“同意”的主观性很强。用户想要做出真正的“同意”,需要明确企业将会使用哪些信息,要逐项同意并拥有撤回的选项和删除的权利。在合法性基础非常弱的情况下,需要通过赋予消费者更多的补救方式,让其实现隐私的自主性。
我国的立法认为,个人的同意是个人信息处理合法事由最重要的部分,也有一定的优势。但是企业为履行法定义务或满足公共利益而进行的个人信息处理,并没有体现企业自身正当发展的需求。因此,我国的条款是否具有足够的合法性基础也是我们的困境。
王星:我国数字经济有很多行业主管部门和监管部门,其中,发改委作为牵头部门要统筹发展和安全,并在保证安全的情况下释放数据要素的潜力。
一方面,我国消费互联网时代的监管环境比较友善、包容、审慎;另一方面,我国的数据量大,如果用严苛的数据制度把大数据的优势局限住,数字经济的优势会大打折扣。
不管是互联网公司、高校学者,还是政策制定部门,都要关注数据采集、处理过程中所使用的协议、协议内容,法律也需要对其进一步梳理和研究。
徐丹:针对个人信息保护的问题,要区分对待大企业和中小企业的方式。大企业和中小企业看待问题的方式有很大的区别,我们在界定不同企业的社会责任和法定责任的时候,要通过更完善的制度保证所有的法律法规、制度体系、标准规范能够落地。
我国对于个人信息处理者采用的是权利和义务相统一的强监管模式,对企业自身的标准体系和基本的义务的设定是一刀切的。但是从客观来讲,中小企业的资金规模、经营规模、基础能力等方面跟大企业不同,无法做到跟大企业保持同样的义务。
参照国际的经验做法,GDPR在数据保护这方面为中小企业的建设性的责任或义务豁免进行了制度上的设计,通过划分企业规模来避免对企业形成过重的负担。
4.GDPR,要学习不要套用
「甲子光年」:如何看待GDPR?其中有哪些东西是我们可以学习的?
沈伟伟:GDPR管辖的国家和国民跟我国对于隐私的期待是不一样的。前段时间一个德国学者做讲座的时候提到,通过GDPR实现内紧外松的数字单一市场,是自缚手脚的工程。虽然技术先进但数字经济仍处于落后水平,导致欧盟自身也在质疑到底要不要GDPR,既然他们自己都有怀疑,我们还要不要去借鉴和学习就是个问题。
严少敏:尽管很多人认为欧盟的GDPR是史上最严格的个人信息保护法案,但作为宪法性权力,要考量社会化的作用,需要同时跟其他的基本权利进行评估。在欧盟、日本和美国,“同意”并不是个人信息处理的原则或主要的基础,他们所提出的个人信息保护原则强调正当合理的限度,超出合理限度才需要引入同意,“同意”是补足正当合理限度的方式。
全球通行的做法,现在其实强调的主要是正当性、必要性,还有最小化的问题,即实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。
栾群:GDPR里面的“同意”是一种状态。企业在提供数字服务时,需要采集用户信息并使其持续同意的状态,当同意被取消之后完全退出来并停止使用这个APP就可以了。全过程中要通过隐私协议的方式透明化,然后把企业采集的信息、所做的行为透明化,用户可以随时看到这些,而不是只有进入的时候才可以看,并且看完以后可以随时退出或者迁移。GDPR的整套流程是状态性的同意,而不是单点行为的同意。
徐丹:GDPR跟我们国家的个人信息保护之间的最大区别是,它扩展了个人信息权的范畴,又提出了很多新的概念,比如被遗忘权、迁移权等。很多中国的消费者和公民其实并不知道是什么意思,虽然法律不应该保护躺在权利上睡觉(拥有权力却疏于维护和管理)的人,但是很多人之所以躺在权利上睡觉,是因为他不知道权利是什么。一旦产生争议权力机关或司法机关应该先保护哪一方也是问题。
我始终认为法律、规则的制定是为了执行,否则既会影响规则的神圣性,又对行业发展的指导没有好的示范效应。如果只能机械地套用法律规定,法律规定又不清楚,就会导致“今天左,明天右”的情况。