張問之

2014年11月，馬云在首屆互聯(lián)網(wǎng)大會上提出“DT（DataTechnology）時代”，他認(rèn)為，人類已經(jīng)從“IT時代”走向“DT時代”，顯著的特征是人們的生活被大量數(shù)據(jù)嵌入和包圍，對數(shù)據(jù)的依賴越來越強?！癉T時代”帶來了生活的急速變化，加強隱私保護，為消費者個人信息安全提供法律和制度保障成為迫切需求。

過去十年間，我國已經(jīng)有多部法律、法規(guī)、規(guī)章涉及個人信息保護。比如刑法、民法總則、消費者權(quán)益保護法、網(wǎng)絡(luò)安全法、電子商務(wù)法等。但是從總體上看，呈現(xiàn)分散立法狀態(tài)。2019年3月4日，在十三屆全國人大二次會議新聞發(fā)布會上，大會發(fā)言人張業(yè)遂答記者問時表示，個人信息保護法已列入本屆立法規(guī)劃，“相關(guān)部門正在抓緊研究和起草，爭取早日出臺”。

陸續(xù)立法

從立法實踐來看，對個人信息的保護從來都不曾被遺忘。

2009年《中華人民共和國侵權(quán)責(zé)任法》首次確定隱私權(quán)的法律地位。該法明確了隱私的范圍，指出自然人享有不受他人侵?jǐn)_、知悉、使用、披露和公開的權(quán)利。之前我國對隱私權(quán)的保護一般采用間接保護的方法。同年《刑法修正案（七）》設(shè)立了出售、非法提供公民個人信息罪與非法獲取公民個人信息兩個罪名。

2013年修訂的《中華人民共和國消費者權(quán)益保護法》明確將個人信息得到保護的權(quán)利列為消費者的一項基本權(quán)利。之后的立法和相關(guān)制度則更多地考慮到互聯(lián)網(wǎng)發(fā)展，對相關(guān)方提出了要求。2016年《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“網(wǎng)絡(luò)安全法”）獲得審議通過，明確規(guī)定網(wǎng)絡(luò)運營商的制度建設(shè)義務(wù)、公示義務(wù)、信息安全維護義務(wù)、告知及報告義務(wù)。

2017年中國國家標(biāo)準(zhǔn)化管理委員會發(fā)布《信息安全技術(shù)個人信息安全規(guī)范》（以下簡稱《規(guī)范》），《規(guī)范》以國家標(biāo)準(zhǔn)的形式，對個人信息收集、保存、使用、流轉(zhuǎn)等環(huán)節(jié)提出要求，《規(guī)范》起草組成員、中國信息安全研究院副院長左曉棟稱，該規(guī)范“非常明確地把網(wǎng)絡(luò)安全法原則性的規(guī)定給落地了”。

“保護法”出臺難

對個人信息保護法的關(guān)注早在2003年就開始了，當(dāng)時的國務(wù)院信息化辦公室正式部署了立法研究工作，2005年相關(guān)專家完成了《個人信息保護法（專家建議稿）》（以下簡稱“專家建議稿”），該建議稿并沒有進(jìn)入正式的立法程序。

據(jù)騰訊研究院資深專家王融在《我國（個人信息保護法）立法前路》一文中介紹，網(wǎng)絡(luò)社會的有序運行建立在消費者、企業(yè)、政府三方良好互動的基礎(chǔ)上，網(wǎng)絡(luò)安全法和電商法分別代表政府、市場在網(wǎng)絡(luò)空間中的法律利益訴求，個人信息保護法將代表消費者。

“在網(wǎng)絡(luò)時代個人與企業(yè)相比處于相對弱勢地位，這是個人信息保護立法的根本原因?！必?fù)責(zé)專家建議稿起草撰寫的中國社科院法學(xué)研究所研究員周漢華在接受記者采訪時說道。

王融認(rèn)為，近年來的分散立法一定程度上回應(yīng)了公眾對個人信息保護問題的關(guān)切，但在法律環(huán)境的實際改善方面其作用十分有限，“最主要的原因在于現(xiàn)有分散立法有相當(dāng)一部分是原則性、宣誓性條款，并沒有對實踐產(chǎn)生直接影響?！?/p>

浙江墾丁律師事務(wù)所主任張延來回顧了近十年信息社會的飛速發(fā)展，他告訴記者：“個人信息的保護與大數(shù)據(jù)產(chǎn)業(yè)等重要經(jīng)濟形態(tài)息息相關(guān)，當(dāng)時貿(mào)然立法反而會帶來很多不可預(yù)知的問題?！狈稚⒘⒎ㄒ膊皇橛幸娴膰L試和鋪墊。

數(shù)據(jù)安全公司昂楷科技CEO劉永波也從行業(yè)角度分析道：“從信息安全技術(shù)發(fā)展來看，當(dāng)時我國的IT基礎(chǔ)設(shè)施，尤其是在信息安全方面還相對落后，立法可能存在這方面的顧慮。”

但王融指出，在我國幾乎沒有隱私權(quán)保護傳統(tǒng)的法律國情背景下，用戶并不清楚關(guān)于個人信息自己可以主張哪些基本權(quán)益。分散立法，導(dǎo)致“用戶維權(quán)時面臨‘防范難、舉證難、索賠難’等一系列難題”。

此外分散立法缺乏專門的個人信息保護機構(gòu)，主要是各行業(yè)主管機構(gòu)進(jìn)行監(jiān)督管理，“例如金融行業(yè)的用戶個人信息保護工作，由央行主管;醫(yī)療行業(yè)的用戶個人信息保護工作，由衛(wèi)生部門管理;互聯(lián)網(wǎng)領(lǐng)域的用戶個人信息保護工作，由工信部主管;消費者個人信息保護，由工商總局主管。上述監(jiān)管邊界有著明顯的重合地帶，但由于分散立法并未涉及職責(zé)邊界問題，個人信息保護領(lǐng)域事實上淪為管理的灰色地帶。”

存在很大爭議

近年來，個人信息保護法的呼聲越來越高，就立法而言，目前還存在較大爭議?！霸鯓悠胶獗Ｗo和發(fā)展的關(guān)系是立法比較大的難點。”周漢華說道。

此外，個人信息權(quán)利的屬性及保護的側(cè)重點是什么？個人信息與商業(yè)數(shù)據(jù)的邊界在哪里？這些爭議考慮到了保護個人信息和促進(jìn)行業(yè)發(fā)展的關(guān)系，試圖實現(xiàn)兩者的平衡。相關(guān)法律及制度條例的出臺也是對這些問題進(jìn)行厘清。

事實上，個人信息保護與行業(yè)發(fā)展之間的平衡背后，涉及更基礎(chǔ)的個人信息歸屬權(quán)及權(quán)利屬性等基本問題。暨南大學(xué)新聞與傳播學(xué)院林愛珺教授告訴記者：“個人信息涉及的范圍很廣，不僅關(guān)系到個人同時涉及在各個行業(yè)和國家層面的使用;權(quán)利屬性也比較復(fù)雜，如財產(chǎn)權(quán)、人格權(quán)等基本理論問題，在這方面仍存在爭議;同時還需要考慮到跨境數(shù)據(jù)的傳輸和域外數(shù)據(jù)管理等問題。背后還有很多理論和現(xiàn)實問題沒有厘清，這也是立法的難點。”

在周漢華看來，個人有對自己信息進(jìn)行控制的權(quán)利不容侵犯，在全世界范圍內(nèi)已是共識。在此基礎(chǔ)上，個人訪問網(wǎng)站、電子商務(wù)等在線活動所形成的信息，企業(yè)對其進(jìn)行收集、處理、加工所形成的信息，企業(yè)有經(jīng)營權(quán)利，同時也應(yīng)該采取措施進(jìn)行保護?！皟烧叨加袡?quán)利的情況下，權(quán)利的邊界在哪里很重要，需要明確界定。這是個疑難問題，但是這一問題的解決并非想象的那么困難?！敝軡h華解釋道。

GDPR或可借鑒

面對個人信息保護法諸多爭議，歐盟發(fā)布的《通用數(shù)據(jù)保護條例》（GDPR）或可提供一些借鑒。2018年5月25日，帶著“里程碑”“史上最嚴(yán)格”“天價罰單”等光環(huán)和標(biāo)簽的GDPR正式實施?！疤靸r罰單”“被遺忘權(quán)”等讓這一法案備受關(guān)注。GDPR對違法企業(yè)罰金最高可達(dá)2000萬歐元（約合1.5億元人民幣）或其全球營業(yè)額的4%，以高者為準(zhǔn)。我國網(wǎng)絡(luò)安全法則對侵害個人信息的企業(yè)最高罰款數(shù)額為50萬元，且沒有規(guī)定到營收的比例，這對于國內(nèi)互聯(lián)網(wǎng)巨頭來說有點九牛一毛。

“‘罰單’行為對企業(yè)來說是非常嚴(yán)苛的懲罰措施，根據(jù)對GDPR該措施的適用情況以及后續(xù)影響等情況的分析，我國可參考是否將該類措施納入我國數(shù)據(jù)保護立法的范疇。”北京師范大學(xué)副教授、聯(lián)合國網(wǎng)絡(luò)安全與網(wǎng)絡(luò)犯罪問題高級顧問吳沈括說道。

同時，周漢華也認(rèn)為，立法應(yīng)注重建立事前、事中的保護機制。這種用高額的經(jīng)濟處罰輔助行政刑事處罰，對于互聯(lián)網(wǎng)企業(yè)而言未嘗不是一種事前震懾。此外GDPR給予了數(shù)據(jù)主體“隨時撤回同意”的權(quán)利，個人的被遺忘權(quán)得到了肯定和落實。這些規(guī)定已經(jīng)對互聯(lián)網(wǎng)企業(yè)產(chǎn)生了影響。

反觀國內(nèi)互聯(lián)網(wǎng)企業(yè)，少有這樣的嘗試。據(jù)悉QQ7.9.9及以上版本將實現(xiàn)QQ號碼注銷功能，談及這一舉動是否有“被遺忘權(quán)”的考量，大連理工大學(xué)大數(shù)據(jù)與人工智能倫理法律與社會研究中心主任李倫教授坦言：“這一舉動應(yīng)該有對使用者‘被遺忘權(quán)，的考量，注銷是指注銷賬號還是將賬號和用戶所有歷史數(shù)據(jù)全部刪除，涉及‘可攜帶權(quán)，問題，注銷前是否能夠保證用戶的可攜帶權(quán)，將是對QQ的一大考驗，否則會引起進(jìn)一步的爭議?！?/p>

另外，GDPR采取“長臂”管轄原則，只要企業(yè)在歐盟境內(nèi)為數(shù)據(jù)主體提供服務(wù)就適用該法案。這也意味著在全球化的今天，個人信息保護成為全球共識之后，忽視個人信息保護的企業(yè)必然四處碰壁。“更重要的是促使企業(yè)將個人信息保護當(dāng)作戰(zhàn)略問題，與企業(yè)的戰(zhàn)略決策、核心價值相互整合，在個人信息保護和創(chuàng)新之間做到平衡，將隱私當(dāng)作面向未來的社會價值?！鄙虾，斈葦?shù)據(jù)科技發(fā)展基金會大數(shù)據(jù)研究員、湖南師范大學(xué)人工智能道德決策研究所博士胡曉萌告訴記者。

不過，對于GDPR是否適用于中國，張延來表示：“歐盟的立法在個人信息的保護維度上可以給我們提供很多參考，但這并不意味著我們要采取同樣的立法取向，歐洲各國的發(fā)展與我國有很大差異。”

（摘自3月14日《南方周未》。作者為該報特約撰稿）