古文
(湖北大學(xué),湖北 武漢 430061)
數(shù)據(jù)是以電子化方式存儲的信息,個(gè)人數(shù)據(jù)即為具有個(gè)體識別能度的電子信息。隨著信息技術(shù)的發(fā)展,數(shù)據(jù)成為數(shù)字經(jīng)濟(jì)發(fā)展和社會治理的重要基礎(chǔ)。但隨著信息技術(shù)和數(shù)據(jù)產(chǎn)業(yè)的深入發(fā)展,這種互利共贏的局面正在被更大的利益驅(qū)使所打破,個(gè)人數(shù)據(jù)保護(hù)面臨著不容忽視的危險(xiǎn)和挑戰(zhàn)。首先,在數(shù)據(jù)收集階段,私營或公共部門通過各種追蹤技術(shù),在用戶不知情的背景下進(jìn)行信息挖掘;其次,現(xiàn)行技術(shù)通過對人們的關(guān)聯(lián)性數(shù)據(jù)足跡進(jìn)行分析,挖掘出數(shù)據(jù)主體有意識隱藏的信息,構(gòu)建起完整的“數(shù)字人”,并獲取和分析個(gè)人在線上、線下的所有行為。最后,在利用分析結(jié)果進(jìn)行決策的過程中,使用者可能進(jìn)行信息交換、共享,甚至是交易,導(dǎo)致個(gè)人信息被披露的風(fēng)險(xiǎn)隨之增加。
在大數(shù)據(jù)時(shí)代,如何強(qiáng)化個(gè)人數(shù)據(jù)保護(hù)已經(jīng)成為制約現(xiàn)代社會經(jīng)濟(jì)持續(xù)穩(wěn)定發(fā)展的重要因素。從歐盟、美國等國家的實(shí)踐來看,過去所奉行的個(gè)人控制論已經(jīng)呈現(xiàn)出不足之處:“告知-同意”產(chǎn)生的“全有全無”架構(gòu)導(dǎo)致了低效率和高成本之間的不平衡;“匿名化”面對“再識別”和“去匿名化”的侵襲,已經(jīng)無法兌現(xiàn)“隱私保護(hù)承諾”。因此,迫在探求一種新的解決路徑?!斑^程性監(jiān)督”的個(gè)人數(shù)據(jù)保護(hù)模式不失為一種新的有利嘗試。本文試圖借闡述大數(shù)據(jù)時(shí)代“個(gè)人控制論”的局限性,論述為什么要采用“過程性監(jiān)督”的個(gè)人數(shù)據(jù)保護(hù)模式,并以我國現(xiàn)行立法和實(shí)踐為基礎(chǔ),提出在此方面的完善路徑。
過程性監(jiān)督是從歐盟2018年正式實(shí)施的《一般數(shù)據(jù)保護(hù)條例》(以下簡稱GDPR)中提煉出的一種更具時(shí)代特征的個(gè)人數(shù)據(jù)保護(hù)模式。它針對個(gè)人數(shù)據(jù)從收集、分析到應(yīng)用的各個(gè)環(huán)節(jié)可能出現(xiàn)的數(shù)據(jù)濫用情形,對相關(guān)主體進(jìn)行統(tǒng)籌設(shè)計(jì),以構(gòu)建出一個(gè)具有全局性、高效率的數(shù)據(jù)監(jiān)管機(jī)制。以下將從三個(gè)角度深入闡述應(yīng)用該數(shù)據(jù)保護(hù)模式的必要性和可行性。
在對個(gè)人數(shù)據(jù)的界定上,歐美國家普遍將個(gè)人數(shù)據(jù)界定為人格權(quán)進(jìn)行保護(hù),并在憲法中確立了個(gè)人信息自決權(quán)這一基礎(chǔ)性權(quán)利。但由于該權(quán)利不具有絕對的排他屬性,數(shù)據(jù)主體仍然只能依靠散見于其他部門法的寬泛原則和行為規(guī)范對自身數(shù)據(jù)進(jìn)行維護(hù)。此前的數(shù)據(jù)保護(hù)模式是實(shí)行個(gè)人控制論,為數(shù)據(jù)主體規(guī)定一系列數(shù)據(jù)權(quán)利、在數(shù)據(jù)主體與收集者之間采取“告知-同意”框架是實(shí)現(xiàn)個(gè)人數(shù)據(jù)自我控制的主要途徑。
但在實(shí)踐中,數(shù)據(jù)主體的權(quán)利很難得到實(shí)現(xiàn):被遺忘權(quán)、刪除權(quán)與表達(dá)自由和知情權(quán)等基本權(quán)利產(chǎn)生沖突,在實(shí)操中尚缺乏一個(gè)跨學(xué)科的綜合方法執(zhí)行該權(quán)利;而數(shù)據(jù)可移植權(quán)對于不具有專業(yè)性和識別性的主體很難操作;“告知-同意”框架通常表現(xiàn)為用戶對企業(yè)隱私政策的同意,其隱含的假設(shè)是只要“告知”充分地描述了企業(yè)的行為,閱讀并理解它的用戶就能對這些行為有足夠的認(rèn)識,進(jìn)而做出自主決定,使企業(yè)的數(shù)據(jù)收集與利用行為合法化。但該框架的執(zhí)行存在兩個(gè)問題:一是在數(shù)字企業(yè)隱私政策不透明、消費(fèi)者面臨較高學(xué)習(xí)成本的情況下,企業(yè)難以有效告知;二是在用戶缺乏相應(yīng)的決策能力或過于依賴相關(guān)服務(wù)的情況下,難以做出有效同意。以上問題為新型數(shù)據(jù)保護(hù)模式的產(chǎn)生提出了現(xiàn)實(shí)需求。
面對信息產(chǎn)業(yè)的紅利,美國傾向于以行業(yè)自律的方式為企業(yè)發(fā)展留足空間、相對弱化對個(gè)人數(shù)據(jù)的保護(hù)。與此相反,歐盟在吸取原來單軌制數(shù)據(jù)治理模式的弊端后,從法律、社會治理以及信息產(chǎn)業(yè)等維度構(gòu)建起個(gè)人數(shù)據(jù)雙軌保護(hù)制,并通過規(guī)范各領(lǐng)域相關(guān)主體的行為實(shí)現(xiàn)數(shù)據(jù)保護(hù)的過程性監(jiān)督。
在法律結(jié)構(gòu)上,GDPR的一般條款明確了其所涉及的主要事項(xiàng)與目標(biāo)、適用范圍、地域管轄范圍等,為確立場景化和技術(shù)化的數(shù)據(jù)保護(hù)理念奠定基礎(chǔ);同時(shí),GDPR 中的“合法性、合理性和透明性”原則、“目的限制”原則、“數(shù)據(jù)最小化”原則等七項(xiàng)原則為數(shù)據(jù)保護(hù)提供了基本的價(jià)值遵循。
在數(shù)據(jù)收集階段,GDPR 賦予數(shù)據(jù)主體知情權(quán)、規(guī)定數(shù)據(jù)控制者有提供信息的義務(wù),減少了授權(quán)主體決策失誤的情形。在數(shù)據(jù)分析階段,賦予數(shù)據(jù)主體訪問權(quán)、修正權(quán)、限制處理權(quán)等,規(guī)定數(shù)據(jù)控制者有“委任數(shù)據(jù)保護(hù)官”等義務(wù),實(shí)現(xiàn)個(gè)人數(shù)據(jù)的有限挖掘。在數(shù)據(jù)應(yīng)用階段,GDPR 對數(shù)據(jù)跨境傳輸、數(shù)據(jù)共享和二次使用等特殊情形制定了嚴(yán)格的行為規(guī)范。此外,行政監(jiān)管機(jī)構(gòu)的監(jiān)督存在于數(shù)據(jù)利用全過程,其在特定情況下可進(jìn)行權(quán)力集中,如“一站式的跨境監(jiān)管”,這增加了法律適用的一致性和確定性,也減少了數(shù)據(jù)控制者與信息處理者的行政負(fù)擔(dān)。
GDPR 引入了問責(zé)制,數(shù)據(jù)控制者若無法證明其信息處理是在遵守條例規(guī)定下進(jìn)行的,監(jiān)管機(jī)構(gòu)可依法要求所涉機(jī)構(gòu)對外承擔(dān)連帶責(zé)任。同時(shí),如若數(shù)據(jù)主體自我察覺個(gè)人數(shù)據(jù)被侵犯,可向監(jiān)管機(jī)構(gòu)進(jìn)行申訴并要求行政賠償;對于行政救濟(jì)無法解決的事由,或當(dāng)侵權(quán)方是監(jiān)管機(jī)構(gòu)時(shí),數(shù)據(jù)主體還可以向司法機(jī)構(gòu)尋求救濟(jì)。
綜上,GDPR 在明確其適用范圍和數(shù)據(jù)保護(hù)原則的基礎(chǔ)之上,通過設(shè)定數(shù)據(jù)主體權(quán)利、數(shù)據(jù)控制者的責(zé)任與義務(wù)、數(shù)據(jù)監(jiān)管機(jī)構(gòu)、行政處罰等內(nèi)容,為個(gè)人數(shù)據(jù)收集、分析、應(yīng)用的全過程構(gòu)建起完整的監(jiān)督框架。
在個(gè)人控制論框架下,數(shù)據(jù)主體的同意是決定數(shù)據(jù)收集和使用具備正當(dāng)性的重要砝碼,但該方法具有相當(dāng)?shù)木窒扌?。過程性監(jiān)督具有全局性,即使企業(yè)通過非法手段獲得了個(gè)人數(shù)據(jù),但在此后的數(shù)據(jù)分析和應(yīng)用階段其仍然要受到相關(guān)技術(shù)標(biāo)準(zhǔn)的內(nèi)在規(guī)制和行政監(jiān)管機(jī)構(gòu)的外在監(jiān)督;其次,過程性監(jiān)督體系具備有序性;美國學(xué)者喬爾·雷登伯格認(rèn)為,個(gè)人數(shù)據(jù)保護(hù)是由政治模式、經(jīng)濟(jì)模式和技術(shù)模式共同完成的。在過程性監(jiān)督體系中,表現(xiàn)為三方面:行政監(jiān)管機(jī)構(gòu)統(tǒng)籌法律的實(shí)施、數(shù)據(jù)控制者與數(shù)據(jù)主體之間遵循“告知-同意”的市場規(guī)則;數(shù)據(jù)處理者遵循行業(yè)內(nèi)部的技術(shù)處理規(guī)范。此外,過程性監(jiān)督體系還具備有效性;對相關(guān)主體及其權(quán)利、義務(wù)、責(zé)任進(jìn)行勾勒是面,而在微觀層面建立縝密的數(shù)據(jù)處理標(biāo)準(zhǔn)則是點(diǎn),點(diǎn)面結(jié)合可以促使數(shù)據(jù)保護(hù)無懈可擊。
我國對個(gè)人數(shù)據(jù)的保護(hù)模式已呈現(xiàn)出“過程性監(jiān)督”的雛形,但有關(guān)的數(shù)據(jù)保護(hù)規(guī)范散見于各類法律法規(guī)及相關(guān)文件中,如《民法典》《信息安全技術(shù)個(gè)人信息安全規(guī)范》等,專門的《個(gè)人信息保護(hù)法》還處于立法階段。因此,有必要對當(dāng)下的個(gè)人數(shù)據(jù)保護(hù)現(xiàn)狀作出一定的反思和總結(jié),以期在數(shù)據(jù)保護(hù)專門立法中對相關(guān)問題做出有效應(yīng)對。
數(shù)據(jù)主體是數(shù)據(jù)收集過程的直接參與者,明確哪些數(shù)據(jù)是法律保護(hù)的對象直接影響到數(shù)據(jù)主體地位的界定。但我國在立法上缺少對各類數(shù)據(jù)的明確定義,導(dǎo)致數(shù)據(jù)主體模糊不明。其次,我國《個(gè)人信息保護(hù)法(草案)》尚未規(guī)定數(shù)據(jù)可攜帶權(quán),導(dǎo)致數(shù)據(jù)主體無法獲取與轉(zhuǎn)移個(gè)人數(shù)據(jù)、引發(fā)數(shù)字平臺的數(shù)據(jù)壟斷和對消費(fèi)者的鎖定。此外,監(jiān)管機(jī)構(gòu)設(shè)置不完備;我國的個(gè)人數(shù)據(jù)保護(hù)主要由國家網(wǎng)信辦和相關(guān)行業(yè)部門負(fù)責(zé)。但國家網(wǎng)信辦主要以國家數(shù)據(jù)安全保護(hù)為工作中心,缺乏對大量普通消費(fèi)者個(gè)人隱私數(shù)據(jù)的監(jiān)管;而行業(yè)組織的自我監(jiān)管缺乏法律的強(qiáng)制性,可能流于形式。最后,義務(wù)主體的責(zé)任不夠具體和協(xié)調(diào);企業(yè)和行政監(jiān)管機(jī)構(gòu)均是數(shù)據(jù)保護(hù)的義務(wù)主體,但現(xiàn)行立法對兩者義務(wù)的規(guī)定過于原則,沒有具體到操作規(guī)程和行為的合規(guī)性標(biāo)準(zhǔn),并且二者在數(shù)據(jù)治理中各自為政,致使治理體系層次不清、治理效果甚微。
數(shù)據(jù)的動態(tài)利用使得數(shù)據(jù)流動過程中的權(quán)責(zé)難以分辨,因此需要在流通環(huán)節(jié)中設(shè)定相應(yīng)的權(quán)利保障機(jī)制,但我國法律在此方面還存在如下問題:第一,數(shù)據(jù)收集階段,傳統(tǒng)收集公開原則和安全保障原則過于泛化,無法實(shí)現(xiàn)對個(gè)人數(shù)據(jù)的安全保護(hù);第二,數(shù)據(jù)分析階段,未明確企業(yè)的風(fēng)險(xiǎn)評估責(zé)任;第三,數(shù)據(jù)應(yīng)用階段,對數(shù)據(jù)共享和數(shù)據(jù)跨境傳輸沒有制定詳細(xì)的規(guī)則;第四,事后監(jiān)督階段,缺乏因政府行為而遭受數(shù)據(jù)侵害的公民進(jìn)行賠償?shù)闹贫取?/p>
綜上,我國的數(shù)據(jù)安全意識正在覺醒,相關(guān)法律法規(guī)及數(shù)據(jù)治理主體已經(jīng)開展了一定的數(shù)據(jù)保護(hù)工作。但目前仍是點(diǎn)狀的數(shù)據(jù)安全和個(gè)人隱私保護(hù)體系,各級數(shù)據(jù)治理主體之間的策略、措施存在較大差異,某些關(guān)鍵的數(shù)據(jù)治理規(guī)則存在缺漏,個(gè)人數(shù)據(jù)安全依舊存在風(fēng)險(xiǎn)。
專門性立法是數(shù)據(jù)治理的根基,我國應(yīng)立法,從適用范圍、數(shù)據(jù)保護(hù)原則、數(shù)據(jù)主體權(quán)利、控制者的義務(wù)等方面確立個(gè)人數(shù)據(jù)保護(hù)的法律框架。
政府、企業(yè)和個(gè)人要在整合現(xiàn)有規(guī)范的基礎(chǔ)上進(jìn)行合理分工、減少矛盾與缺漏,實(shí)現(xiàn)數(shù)據(jù)治理效能最大化。首先,我國應(yīng)明確數(shù)據(jù)保護(hù)范圍不包括匿名數(shù)據(jù),這是界定數(shù)據(jù)主體的基礎(chǔ)。明確數(shù)據(jù)主體享有的數(shù)據(jù)權(quán)利,如數(shù)據(jù)可攜帶權(quán)、反對權(quán)等,使數(shù)據(jù)的市場化流動受個(gè)人權(quán)利的控制,促進(jìn)市場競爭和消費(fèi)者的自主選擇。其次,我國應(yīng)該加強(qiáng)國家網(wǎng)信辦對個(gè)人數(shù)據(jù)的監(jiān)管職能;明確數(shù)據(jù)監(jiān)管機(jī)構(gòu)的主要職能是對隱私政策、信息保護(hù)影響性評定的合法性審核;最后,企業(yè)內(nèi)部要建立完善的數(shù)據(jù)處理規(guī)則:1.選派專人執(zhí)行數(shù)據(jù)合規(guī)工作,加強(qiáng)對內(nèi)部員工的培訓(xùn);2.完善數(shù)據(jù)處理流程;及時(shí)檢測并建立個(gè)人數(shù)據(jù)泄露應(yīng)急機(jī)制。3.不具備數(shù)據(jù)合規(guī)測評能力的機(jī)構(gòu),可通過第三方企業(yè)進(jìn)行合規(guī)分析和漏洞檢測。
行政救濟(jì)層面,完善數(shù)據(jù)主體投訴、受理及處理的行政救濟(jì)措施,對違反行政監(jiān)管措施的數(shù)據(jù)違法收集和濫用行為進(jìn)行罰款。司法救濟(jì)層面,對個(gè)人尋求損害賠償?shù)木葷?jì)程序、賠償額的確定等問題做進(jìn)一步的細(xì)化。
綜上,在數(shù)據(jù)保護(hù)面臨嚴(yán)峻困境的情況下,過程性監(jiān)督的數(shù)據(jù)保護(hù)模式通過賦予各類數(shù)據(jù)主體不同的數(shù)據(jù)保護(hù)義務(wù),實(shí)現(xiàn)對信息收集、分析和應(yīng)用全過程的監(jiān)督和引導(dǎo),而非僅將重心聚焦在是否通過正常途徑采集信息的行為上,可以促進(jìn)數(shù)據(jù)保護(hù)的全局性、有序性和有效性。我國在個(gè)人數(shù)據(jù)保護(hù)的專門立法當(dāng)中,應(yīng)該融入此種理念,完善數(shù)據(jù)保護(hù)的框架體系和權(quán)利保障機(jī)制。