保護還是發展

張問之

2014年11月，馬云在首屆互聯網大會上提出“DT（DataTechnology）時代”，他認為，人類已經從“IT時代”走向“DT時代”，顯著的特征是人們的生活被大量數據嵌入和包圍，對數據的依賴越來越強。“DT時代”帶來了生活的急速變化，加強隱私保護，為消費者個人信息安全提供法律和制度保障成為迫切需求。

過去十年間，我國已經有多部法律、法規、規章涉及個人信息保護。比如刑法、民法總則、消費者權益保護法、網絡安全法、電子商務法等。但是從總體上看，呈現分散立法狀態。2019年3月4日，在十三屆全國人大二次會議新聞發布會上，大會發言人張業遂答記者問時表示，個人信息保護法已列入本屆立法規劃，“相關部門正在抓緊研究和起草，爭取早日出臺”。

陸續立法

從立法實踐來看，對個人信息的保護從來都不曾被遺忘。

2009年《中華人民共和國侵權責任法》首次確定隱私權的法律地位。該法明確了隱私的范圍，指出自然人享有不受他人侵擾、知悉、使用、披露和公開的權利。之前我國對隱私權的保護一般采用間接保護的方法。同年《刑法修正案（七）》設立了出售、非法提供公民個人信息罪與非法獲取公民個人信息兩個罪名。

2013年修訂的《中華人民共和國消費者權益保護法》明確將個人信息得到保護的權利列為消費者的一項基本權利。之后的立法和相關制度則更多地考慮到互聯網發展，對相關方提出了要求。2016年《中華人民共和國網絡安全法》（以下簡稱“網絡安全法”）獲得審議通過，明確規定網絡運營商的制度建設義務、公示義務、信息安全維護義務、告知及報告義務。

2017年中國國家標準化管理委員會發布《信息安全技術個人信息安全規范》（以下簡稱《規范》），《規范》以國家標準的形式，對個人信息收集、保存、使用、流轉等環節提出要求，《規范》起草組成員、中國信息安全研究院副院長左曉棟稱，該規范“非常明確地把網絡安全法原則性的規定給落地了”。

“保護法”出臺難

對個人信息保護法的關注早在2003年就開始了，當時的國務院信息化辦公室正式部署了立法研究工作，2005年相關專家完成了《個人信息保護法（專家建議稿）》（以下簡稱“專家建議稿”），該建議稿并沒有進入正式的立法程序。

據騰訊研究院資深專家王融在《我國（個人信息保護法）立法前路》一文中介紹，網絡社會的有序運行建立在消費者、企業、政府三方良好互動的基礎上，網絡安全法和電商法分別代表政府、市場在網絡空間中的法律利益訴求，個人信息保護法將代表消費者。

“在網絡時代個人與企業相比處于相對弱勢地位，這是個人信息保護立法的根本原因。”負責專家建議稿起草撰寫的中國社科院法學研究所研究員周漢華在接受記者采訪時說道。

王融認為，近年來的分散立法一定程度上回應了公眾對個人信息保護問題的關切，但在法律環境的實際改善方面其作用十分有限，“最主要的原因在于現有分散立法有相當一部分是原則性、宣誓性條款，并沒有對實踐產生直接影響。”

浙江墾丁律師事務所主任張延來回顧了近十年信息社會的飛速發展，他告訴記者：“個人信息的保護與大數據產業等重要經濟形態息息相關，當時貿然立法反而會帶來很多不可預知的問題。”分散立法也不失為有益的嘗試和鋪墊。

數據安全公司昂楷科技CEO劉永波也從行業角度分析道：“從信息安全技術發展來看，當時我國的IT基礎設施，尤其是在信息安全方面還相對落后，立法可能存在這方面的顧慮。”

但王融指出，在我國幾乎沒有隱私權保護傳統的法律國情背景下，用戶并不清楚關于個人信息自己可以主張哪些基本權益。分散立法，導致“用戶維權時面臨‘防范難、舉證難、索賠難’等一系列難題”。

此外分散立法缺乏專門的個人信息保護機構，主要是各行業主管機構進行監督管理，“例如金融行業的用戶個人信息保護工作，由央行主管;醫療行業的用戶個人信息保護工作，由衛生部門管理;互聯網領域的用戶個人信息保護工作，由工信部主管;消費者個人信息保護，由工商總局主管。上述監管邊界有著明顯的重合地帶，但由于分散立法并未涉及職責邊界問題，個人信息保護領域事實上淪為管理的灰色地帶。”

存在很大爭議

近年來，個人信息保護法的呼聲越來越高，就立法而言，目前還存在較大爭議。“怎樣平衡保護和發展的關系是立法比較大的難點。”周漢華說道。

此外，個人信息權利的屬性及保護的側重點是什么？個人信息與商業數據的邊界在哪里？這些爭議考慮到了保護個人信息和促進行業發展的關系，試圖實現兩者的平衡。相關法律及制度條例的出臺也是對這些問題進行厘清。

事實上，個人信息保護與行業發展之間的平衡背后，涉及更基礎的個人信息歸屬權及權利屬性等基本問題。暨南大學新聞與傳播學院林愛珺教授告訴記者：“個人信息涉及的范圍很廣，不僅關系到個人同時涉及在各個行業和國家層面的使用;權利屬性也比較復雜，如財產權、人格權等基本理論問題，在這方面仍存在爭議;同時還需要考慮到跨境數據的傳輸和域外數據管理等問題。背后還有很多理論和現實問題沒有厘清，這也是立法的難點。”

在周漢華看來，個人有對自己信息進行控制的權利不容侵犯，在全世界范圍內已是共識。在此基礎上，個人訪問網站、電子商務等在線活動所形成的信息，企業對其進行收集、處理、加工所形成的信息，企業有經營權利，同時也應該采取措施進行保護。“兩者都有權利的情況下，權利的邊界在哪里很重要，需要明確界定。這是個疑難問題，但是這一問題的解決并非想象的那么困難。”周漢華解釋道。

GDPR或可借鑒

面對個人信息保護法諸多爭議，歐盟發布的《通用數據保護條例》（GDPR）或可提供一些借鑒。2018年5月25日，帶著“里程碑”“史上最嚴格”“天價罰單”等光環和標簽的GDPR正式實施。“天價罰單”“被遺忘權”等讓這一法案備受關注。GDPR對違法企業罰金最高可達2000萬歐元（約合1.5億元人民幣）或其全球營業額的4%，以高者為準。我國網絡安全法則對侵害個人信息的企業最高罰款數額為50萬元，且沒有規定到營收的比例，這對于國內互聯網巨頭來說有點九牛一毛。

“‘罰單’行為對企業來說是非常嚴苛的懲罰措施，根據對GDPR該措施的適用情況以及后續影響等情況的分析，我國可參考是否將該類措施納入我國數據保護立法的范疇。”北京師范大學副教授、聯合國網絡安全與網絡犯罪問題高級顧問吳沈括說道。

同時，周漢華也認為，立法應注重建立事前、事中的保護機制。這種用高額的經濟處罰輔助行政刑事處罰，對于互聯網企業而言未嘗不是一種事前震懾。此外GDPR給予了數據主體“隨時撤回同意”的權利，個人的被遺忘權得到了肯定和落實。這些規定已經對互聯網企業產生了影響。

反觀國內互聯網企業，少有這樣的嘗試。據悉QQ7.9.9及以上版本將實現QQ號碼注銷功能，談及這一舉動是否有“被遺忘權”的考量，大連理工大學大數據與人工智能倫理法律與社會研究中心主任李倫教授坦言：“這一舉動應該有對使用者‘被遺忘權，的考量，注銷是指注銷賬號還是將賬號和用戶所有歷史數據全部刪除，涉及‘可攜帶權，問題，注銷前是否能夠保證用戶的可攜帶權，將是對QQ的一大考驗，否則會引起進一步的爭議。”

另外，GDPR采取“長臂”管轄原則，只要企業在歐盟境內為數據主體提供服務就適用該法案。這也意味著在全球化的今天，個人信息保護成為全球共識之后，忽視個人信息保護的企業必然四處碰壁。“更重要的是促使企業將個人信息保護當作戰略問題，與企業的戰略決策、核心價值相互整合，在個人信息保護和創新之間做到平衡，將隱私當作面向未來的社會價值。”上海瑪娜數據科技發展基金會大數據研究員、湖南師范大學人工智能道德決策研究所博士胡曉萌告訴記者。

不過，對于GDPR是否適用于中國，張延來表示：“歐盟的立法在個人信息的保護維度上可以給我們提供很多參考，但這并不意味著我們要采取同樣的立法取向，歐洲各國的發展與我國有很大差異。”

（摘自3月14日《南方周未》。作者為該報特約撰稿）