作者 | 王融 腾讯研究院首席数据政策专家

2020年10月24日下午,“数字经济时代个人信息保护——《个人信息保护法(草案)》解读与展望”研讨会在上海社科院成功举行,来自政府部门、科研高校、互联网企业、律师事务所等不同机构的专家围绕《个人信息保护法(草案)》进行了深入的交流和研讨。腾讯研究院首席数据政策专家王融在会上发表题为“探索个人数据保护的中国方案”的主旨演讲。

《个人信息保护法》中的“利益平衡”,不是二元对立,而是共生共存,相互促进

当前,围绕《个人信息保护法》的讨论核心议题是平衡“两个利益”:一是促进基于数据的创新应用,在这方面,我国已经走到了世界前列,中央文件也明确把数据上升为确定生产要素;二是个人利益保护,关注数字经济高速发展伴生的“负面阴霾”,包括数据泄露、滥用、自动化决策对个人基本权益的负面影响。

但讨论似乎往往陷入“利益的二元对立”困境,比如:向个人信息保护倾斜是不是就损害了创新发展?创造更为宽松法律制度时,伴随的风险是否也会增大?在以政府为主导的数据处理中,如果赋予政府更多的数据处理权力,是不是公民个人权利就没有保障?显然,个人信息保护制度设计并不是如此简单的二元选择,特别是当前围绕数据政策讨论的历史背景正在发生巨大变化,从传统单向的、静止的“个人信息保护政策”向多维的、互动的“数据治理”政策框架转变。形成了围绕数据资产的隐私保护、创新竞争、安全主权等更复杂化、更多维的公共政策讨论场。

这些复杂因素代表了从三个视角出发的利益诉求:第一,从个人视角出发的权利保护诉求;第二,从产业视角出发的创新、发展、竞争需求;第三,从国家视角出发的数字经济国际竞争力和数据主权安全需求。

以上三个视角并不是孤立存在的,而是彼此紧密联系、互动影响。如果立法的目标是更好地保护用户的权利,那么在市场中就应该形成一种健康的、良性机制,使得对隐私保护更友好的企业能够在市场上得到用户更多的选择,得到更好地发展。而如果离开了产业发展,国家的数字利益也无法得到根本保障。欧盟是一个鲜活的例子,再严厉的数据法律制度,没有产业支撑,数据主权安全和数字竞争力几乎是一场空谈。

《个人信息保护法》对数字经济健康发展带来充分利好

如前所述,《个人信息保护法》制度讨论的出发点并不是二元对立,从长远发展而看,《个人信息保护法》的制定对数字经济产业的健康发展带来充分利好。

腾讯研究院首席数据政策专家王融

1 / 有利于通过法律制度保障,帮助数字产业建立消费者信任

我们生活在一个由数据驱动的技术变革时代,数据的处理越来越深入。享受数字化技术便利的每位个体,也在为无所不在的数据处理感到深深不安。从移动互联网、物联网、无人驾驶、面部识别、可穿戴设代、智能家居、医疗监测器械,数据驱动的创新背后,人们担忧物联网设备的秘密记录、无意中健康信息的暴露、超出消费者授权的个人数据共享、信用卡欺诈、安全风险、名誉损害、以及对他们生活中的隐私细节的无端入侵。重建消费者的信心与安全信任,是数字时代的核心问题之一,而法律制度本身无疑是解决方案的重要组成部分。

2 / 有利于在复杂的数据处理生态中,创建权责明确的数据保护秩序

伴随数据处理场景的复杂化,数据在不同机构,平台的流转日益频繁,形成复杂的处理生态。通过法律制度,明确在数据处理不同环节,不同主体的法律责任,有利于建立权责明确的数据保护秩序。典型在云计算市场上,云计算服务提供者在绝大部分场景下,作为数据处理服务的提供方,其根据与客户的数据处理协议,提供数据安全处理保障。而云服务的客户则需要承担更多的合法性义务,如确定数据处理的合法性理由,对接所服务的最终个体用户的权利保障体系。权责明确的数据安全保障秩序,最终会促进整个生态的健康繁荣。

3 / 有利于与国际规则接轨,提升国家与企业形象,助力企业走出去

建立个人数据保护基本制度是近年来国际主要趋势。《个人信息保护法(草案)》(以下简称《草案》)明确将国家机关纳入规制范围,规定国家机关处理个人信息同样适用《草案》规定,具有重要意义。
在今年的“疫情”大考中,“健康码”的应用,显著提升了政府的数字治理水平,但这种以政府为主导的大规模数据处理活动,也需要形成一套法律制度来规范。在未来服务型政府以及智慧城市建设的背景下,政府将成为最主要的数据处据机构,更加凸显了《个人信息保护法》的重要性。基本法律规则的建立,有利于我国与国际通行规则接轨,提升国家与企业形象,助力企业海外发展。

精细科学的政策平衡

在探索个人信息保护以及更为广泛的数据治理政策框架的道路上,并没有万能的标准答案。欧盟GDPR、美国加州CCPA,也是依据本地区的政治、文化、产业发展基础,量身定制的制度方案。同样,今天我们同样需要勾勒自己的“中国”方案。结合《草案》相关制度,以我国实际国情和现有法律制度基础,为落实个人权利保护与促进数字经济发展,提出如下建议:

1 / 进一步完善个人信息的定义。

个人信息的定义是个人信息保护法的核心,决定了《个人信息保护法》的保护范围。对“个人信息”进行科学合理的界定对于法律的适用至关重要。过窄的范围无法充分保护信息主体的合法利益,而过宽的范围也将使得法律难以有效实施。从2012年全国人大决定,到《网络安全法》,再到近期出台的《民法典人格权编》,我国现有法律对于个人信息的定义一直坚持着“身份关联”标准。“识别”与“身份关联”是区分个人信息的两要素,这是整个制度逻辑的出发原点。

2 / 明确和完善个人信息处理的合法性基础。

《草案》适用的主体不仅包括企业,也包括决定和参与个人数据处理的任何个人、机构,涵盖了政府部门、公共机构和私营实体。因此,考虑到数据处理的多种可能场景以及与其他正当利益的平衡,除了数据主体的同意之外,《草案》还规定了五类处理个人数据的合法基础。结合实践,可以进一步增补其他数据处理的正当场景,例如借鉴欧盟GDPR中基于数据处理者或者其他第三方的正当利益的情形。包括:以预防欺诈为目的,出于保障网络信息安全目的,历史统计、科学研究等数据处理活动,在不侵犯他人个人信息权益的基础上,可以开展相应数据处理。

3 / 在受规制的法律主体方面,建议能够区分“数据控制者”和“数据处理者”两类,并基于不同主体,建立相应的法律义务体系。

目前, 区分“个人信息控制者”和“个人信息处理者”主体概念已成国际通说。国家标准《信息安全技术个人信息安全规范》等也明确使用“信息控制者”概念。明确区分法律主体和相应的法定义务,有利于建立起权责明确的数据保护秩序。

4 / 关于算法与自动化决策的规范。

算法支撑下的自动化技术,正在越来越多的产业实践中得到广泛应用。例如在电子商务、广告营销、新闻资讯等各类服务中,绝大部分都实现了基于数据和算法的个性化服务,实现供需方的高效匹配。帮助消费者快速从海量商品信息中找到所需商品和信息、也有利于中小企业获得更多的曝光展示机会并得以发展。因此,对于这一极具发展潜力的新技术新业务应用,不宜在立法中通过一刀切的方式,强制回退到统一服务模式。
欧盟GDPR将其所规制的自动化决策明确限定在对个人产生法律意义上的重大影响的算法领域,如信贷资格获取、教育入学资格评价等,在这些领域赋予了用户提出异议的权利,相关数据处理者应当所应用的算法作出合理解释。规制要求并没有泛泛扩展到所有使用个性化算法的其他领域,例如对于商业营销、信息推送等一般场景,并没有做出特别的规范。

5 / 关于行政监管体制协调性问题。

《草案》建立了个人信息保护监管体制。除了具有协调统筹职责的网信办外,具有个人信息保护职责的各领域、各行业主管部门:如工信、公安、市场监管总局,央行、教育部、交通部、卫健委、文化与旅游部、国家邮政局、商务部、人力资源和社会保障部等众多部门均具有相应监管职责。监管部门较为分散,且纵向延伸至县级以上部门,这与以信息网络为载体的跨地域数据处理活动并不相适应,可能带来较为复杂的属地管辖冲突问题,需要加以协调。

结语

在当前讨论《个人信息保护法》的背景下,所有个体、企业、政府的共同价值目标是一样的,都渴望在数字社会里重塑数据信任。制度、技术、产业都应以开放心态,彼此学习,凝聚共识,以期实现技术与制度的互动式进步。