數字經濟時代的個人數據保護:歐美立法經驗與中國方案

賈文山 趙立敏

一、個人數據價值背后的悖論

在當前的數字經濟時代,隨著數字世界和物理世界的隔閡日益消融,現實世界和虛擬世界的界限日益模糊,個體湮沒在數據海洋之中,每個人以數據化的方式存在,人們產生的海量個人數據,正面臨著較大的暴露風險。這些個人數據,呈現出多樣性、復雜性特點,既包括了可以識別的數據,還包括非可識別的數據;既包括公共數據,又包括個人數據。其中,公共數據通常是指沒有任何主體指向的數據。個人數據則指向具體的個體,包括個體的消費數據、資產數據、健康數據,行動軌跡數據等。所謂數據所有權是指主體可以支配、處置和獲益等財產權力,具體表現為對數據使用的同意權、知情權、異議權、司法救濟權等。當涉及個體或機構的敏感數據在沒有經過數據所有者的知情和同意下被他人暴露或利用時,就產生了數據隱私被侵犯的問題。

在數字化時代,我們繞不開卻又需要區分數據、信息、隱私這三個高度關聯的概念。數據是信息的載體,數據可能是雜亂無序的,只有數據中那些有用的內容才能稱之為信息。而信息又包含了價值和隱私兩個維度。信息中的價值指向公共領域,而隱私則指向私人領域。隱私主要側重人格意義,包括生命權、健康權、肖像權、名譽權、信用權等人格利益,涉及的是“人格的尊嚴”,而價值主要是指數據對個人、企業、社會和國家而言帶來的經濟和社會效益。王利明強調了個人信息與個人隱私不同的側重點。他認為,“個人信息體現人格利益與財產利益,而個人隱私只體現人格利益;個人信息注重身份識別性,且與國家安全有關聯,而個人隱私注重私密性,且與國家安全無關聯;個人信息需要載體,而個人隱私不需要載體”①王利明:《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》,《現代法學》2013年第4期。。

事實上,作為數據生產者的個體大多數時候對于數據是無能為力的。數據只有達到一定的規模效應才具有價值。這就要求掌握強大的數據收集能力。目前只有政府、企業、機構等大規模組織或平臺才能做到這一點。此外,對數據處理和分析的能力,一般也只有一些組織或平臺而非個體才能達到。而沒有經過篩選和分析的數據哪怕是海量的也沒有價值。數據的收集、處理、分析的過程其實就是數據信息化呈現的過程,亦即數據價值得以彰顯和釋放的過程。正如程嘯認為:數據只有被信息化呈現,才能產生價值,而價值又會引起數據權益的歸屬和保護的問題。②程嘯:《論大數據時代的個人數據權利》,《中國社會科學》2018年第3期。目前的問題在于數據的生產和利用是分離的,生產者和利用者分屬于不同主體。這就導致數據效益的分配在數據生產者與利用者之間存在著極大的不平衡。

關于數據的生產、利用和數據權益分配之間的不對稱一直以來就是學者關注的一個問題。從數據的特性來看,數據是無形的,它不為某一特定主體獨占,而是被多個主體共同擁有,此即數據的非獨占性或共享性特點。正是由于這種天然的公共屬性決定了數據是一種公共財產,甚至是一種國家基礎性戰略資源,也決定了數據關系到國家和社會的政治、經濟安全與發展。然而,人類世界中大部分的數據都是由社會個體或私人團體產生。數據的價值離不開數據中所蘊含的個體信息,而信息又總是關系個體隱私和尊嚴。這就天然決定了數據是一種特殊的資源:既是一種包含財產權和人格權的私人資源,同時又是一種涉及企業、國家等不同主體利益的公共資源。除了對數據的人格權一貫地關注外,隨著大數據的商業化運用,近年來不少學者開始關注數據的個人財產權。例如,有學者認為個人信息的商業價值不能只歸屬于企業,還應該歸屬個人(獨立于人格權之外)的獨立財產權益。③劉德良:《個人信息法律保護的正確觀念和做法》,《中國信息安全》2013年第2期。林愛珺和蔡牧認為:“在大數據時代,個人信息采集廣泛運用于商業領域,具有預測商業趨勢、精準營銷、廣告投放等功能。公民的個人數據不僅具有人格權意義,而且還能帶來商業價值。”④林愛珺、蔡牧:《大數據中的隱私流動與個人信息保護》,《現代傳播》2020年第4期。王秀哲也認為個人信息具有財產權和人格權雙重屬性,且兩者同樣重要,不能為追求個人信息的財產權而置人格權于不顧。⑤王秀哲:《信息社會個人隱私權的公法保護研究》,中國民主法制出版社2017年版,第33頁。筆者則認為,數據保護的真正難點不在于承認個人對數據享有財產權和人格權,而在于如何平衡私人權益與公共權益、個人財產權益和人格權益,以及如何平衡個人權益與信息流通,這就需要我們找到一個數據利用與數據保護的結合點,從而促進數字經濟的長遠發展。現實中個人利益與公共利益之間、財產權與人格權之間、個人隱私與信息流通之間的沖突,正是個人數據價值的悖論所在。

這種數據價值悖論卻是人們制定不同的數據保護政策的邏輯起點。由于個人數據存在公共權益與個人權益的分野,存在財產利益與人格利益的分野。這種雙重維度表面上看或能夠和諧統一在數據的生產與使用之中,但事實上它們的矛盾卻很難調和。在經濟效益驅動下,對數據中的財產利益的過分攫取,可能使人們置個體的人格利益于不顧。而對人格利益的過分強調,則可能導致人們在謀求數據中的財產利益和公共利益時顧慮重重、躊躇不前。這樣既不能充分實現數據的財富價值,也不能充分滿足公共利益和經濟發展的需要。此外,對于國家安全、社會安全以及個體安全的考量,也會使得人們在經濟利益與個人隱私之間重新做出調整。故而,大數據時代的個人數據保護,既要充分考量其公共利益,又要考量個人利益。這種價值沖突的悖論使得人們常常游離于公共與隱私的兩端、集體與個人的兩端,使得人們在經濟權益、安全權益和人格權益等不同數據權益之間回旋不定,在不同權益主體之間選擇搖擺。這就導致在不同時空場域中出現了是偏向公共還是偏向個體、是偏向財產還是偏向人格這兩種不同數據保護政策取舍的難題。

二、西方個人數據保護立法概觀

大數據時代個人數據權益受到的損害越來越多樣化。就個人而言,數據權益侵害的后果不僅包括個人的名譽受損,還包括個人經濟利益損害、人身安全損害、遭受不公平對待等。在互聯網時代,網絡圍觀、網絡暴力等現象帶來的個人數據權益侵害,對個體的精神損害強度更大,波及面也更廣,不僅當事人利益受損,他(她)的家庭成員或相關人員也要經受連帶打擊。就國家而言,大規模的個人數據泄露還將嚴重危及國家和社會安全。而數據安全是國家安全的應有之義。“作為信息載體的數據不僅是重要的商業資源,其所蘊藏的重要情報價值及預測性功能更昭示了其對國家安全和戰略能力的重要意義。”①蔡翠紅:《國際關系中的大數據變革及其挑戰》,《美國問題研究》2014年第5期。

可以說,個體數據保護一直就是大數據發展必須面對的一個重要議題,也是近年來學界研究的焦點。它既包括個體層面的數據權益保護,也包括社會、國家層面的數據安全保護。數據權問題的產生,不僅與個體產生的海量而多樣的數據有關,而且還與人們收集數據的渠道和工具是否足夠精密相關。除了各種攝像頭等監控設備監視著人類的行動外,互聯網時代各類平臺還可以跟蹤上網者的瀏覽、搜索、點擊記錄。智能手機上各類APP都在想方設法收集用戶數據。尤其是到了物聯網時代,萬物互聯則意味著除了運動手表外的眼鏡、衣服、鞋子、開關、燈頭等一切物體都可以收集個體的數據。在這種情況下,個體數據暴露風險越來越大,個人數據的保護也愈加急迫。

隨著移動通信工具和社交媒體的盛行,大數據的興起以及人臉識別技術和人工智能技術的運用,人類個體的隱私變得無處可藏。個人數據被暴露和數據權益被侵犯的風險成為數字社會的一道頑癥。一方面,人們對數據安全問題愈發擔憂。據美國皮尤研究中心2019年的調查,70%的美國成年人表示他們的個人數據與五年前相比“更加不安全”。②侯麗:《加強數字隱私保護與合理共享》,《中國社會科學報》2019年12月4日。另一方面,大規模的數字隱私泄密事件頻發,造成了嚴重的后果。例如,朱莉婭·阿桑奇的維基泄密事件,在網上公開了多達9.2萬份駐阿美軍秘密文件,在全球引起軒然大波。為特朗普2016年總統競選效力的劍橋數據分析公司(Cambridge Analytica)和企業戰略通信實驗室公司曾竊取并秘密保存了5000萬臉書(Facebook)用戶的數據,也是一石激起千層浪。除了2018年臉書有5000多萬私人賬戶泄密,2019年又驚爆約5億4000萬用戶的私人信息在云端上泄露。個人數據泄露關系到消費者的心理安全、人身安全、財產安全以及社會安全、國家安全,層出不窮的數據泄露和竊取事件,令人防不勝防。由此導致在以個人主義文化著稱且具有保護個人隱私傳統的歐美社會中,民眾普遍產生明顯的憂慮情緒。

正是在這種背景下,數據保護的法令、政策相繼出臺。例如,德國于1976年頒布《聯邦資料保護法》(Data Protection Act of 1984);1980年,歐洲經濟合作與發展組織發布《關于保護隱私與個人數據跨國流動指南》,明確對個人信息予以保護;英國于1984年頒布《數據保護法》。1995年,歐盟發布了“數字保護指令”(Data Protection Directive)。2016年,歐盟通過了《通用數據保護條例》(General Data Protection Regulation,簡稱GDPR),并于2018年5月25日正式實施,結束了歐盟28個成員國各自為政的立法現狀,開啟了歐盟數據保護共同法的新時代。該條例出臺目的是為了提升個人對自己數據的管控力,促進數據有序流動,增強消費者對數字經濟的信任。面對世界各地不同的數據保護政策和壁壘,GDPR旨在推動全球各地區和各國的數字保護法規的融通。此外,為了防止歐盟和美國的個人數據丟失或泄露,歐盟和美國于2000年達成《歐盟-美國安全港框架協議》(EU-U.S.Safe Harbor Privacy Framework)。2016年在此基礎上進一步升級為《歐盟-美國隱私盾框架協議》(EU-U.S.Privacy Shield Framework),進一步完善了跨境數據的保護與合作。隨著歐洲隱私法律的應用范圍在GDPR框架下不斷擴大,歐盟境外的其他地區也不得不做出相應的改變,以適應GDPR的規定。GDPR條例提出了數據主體的權利,包括知情權、訪問權、更正權、可攜權、刪除權、限制處理權、反對權、數據遷移權等,并指出個人敏感數據禁止處理的例外情況。該條例的制定讓網站經營者在處理用戶數據時,必須事先獲得用戶的同意,企業不能再通過含糊其辭的語言去騙取多用戶數據處理的許可。歐盟委員會主席讓-克洛德·容克(Jean-Claude Juncker)如此評價GDPR說:“作為一名歐洲人,這就意味著個人的數據隱私將受到歐盟強有力的法律保護。因為在歐洲隱私是人權的一個十分重要的方面。”①劉澤剛:《歐盟個人數據保護的“后隱私權”變革》,《華東政法大學學報》2018年第4期。相較于歐洲,美國在隱私保護的行動上更早,也更加明確。早在1890年,塞繆爾·沃倫和路易斯·布蘭代斯就在《哈佛法學評論》發表《隱私權》一文,②Samuel D.Warren and Louis D.Brandeis,“The Right to Privacy,”Harvard Law Review,vol.4,no.5,1890,pp.193-220.將隱私權理解為個人的人格尊嚴的一部分,將之確立為人的基本權利。1972年,加州憲法里面就增加了隱私權作為人權“不可剝奪的”一部分。1974年,美國通過了保護隱私權的單行法,即《隱私權法》。1988年,美國出臺了《計算機對比與隱私權保護法》,對互聯網時代的隱私保護作出了新的應對。加州專門針對數字化時代隱私權保護的機制,體現在一系列法案的制定之中,這些法案包括:《在線隱私保護法》(Online Privacy Protection Act)、《數字世界中的加州未成年人隱私權法》(Privacy Rights for California Millennials in the Digital World Act)和旨在讓加州人了解企業如何處理消費者個人信息的《反客戶信息披露法》(Shine the Light Law)。2018年,《加州消費者隱私保護法》(The California Consumer Privacy Act of 2018)由加州州長布朗簽署通過,于2020年1月1日起生效。該法案包括以下權利:(1)個人信息被收集的知情權;(2)個人信息被拍賣或透露的知情權;(3)對銷售個人信息說“不”的權利;(4)當事人能夠搜索到個人信息的權利;(5)享有服務和價格平等的權利。

三、歐美數據保護立法的異同與背后的邏輯

有學者指出,大數據時代的個體數據保護面臨這樣的困惑:個人隱私、經濟效益、信息安全性等價值位階如何排序?由于不同社會對經濟發展、國家安全與個人權益的重視程度不一,其數據權益主體的權利大小也不一樣,③徐明:《大數據時代的隱私危機及其侵權法應對》,《中國法學》2017年第1期。所以不同國家和地區會根據國情和社情需要決定是偏重個人數據的公共價值還是偏重個體的私人價值,是側重個人數據的經濟或社會效益還是側重每一個個體的人格權利。事實上,歐盟與美國的個人數據隱私立法就體現出這樣的分野。把歐盟與美國的個人數據隱私立法相比較,不難發現,主要有如下特點:(1)歐盟的立法更寬泛、綜合,法律所規范的數字信息和對象是多元的。而美國往往采取單獨立法的方式,一部法律通常只針對某一特定信息或特定的行業或組織對象。(2)歐盟更加看重個人數據的人格權利,將個人數據保護權利視為一項憲法的基本權利。歐盟通過強化數據主體對數據的控制權以及嚴格的企業問責體系來保障個體的人格權益。美國則更加注重數據權益中的財產權益,而較為輕視人格權益。這就決定了美國的數據保護目標是為了保障數據作為一項財產在交易中能夠有序運行。正如有學者指出:“以市場化為導向的數據保護路徑之核心理念為:激勵市場主體以自我規制的方式構建數據交易秩序,政府對誤導、不公平交易等數據交易中的市場失靈現象進行矯正。”①謝堯雯:《基于數據信任維系的個人信息保護路徑》,《浙江學刊》2021年第4期。(3)在具體的內容層面,加州立法聚焦消費者信息,而歐盟聚焦個人信息。歐盟在刪節權和知情權上比加州的規定更加寬泛。在關于個人數據可攜帶權上歐盟有明確規定,而加州沒有明確規定。在數據限制使用或退出權議題上,歐盟與加州的立法都有相關規定。歐盟對于數據高風險評估/數據保護影響評估作出了相關規定,這一點加州則沒有。(4)從立法的價值和具體執行層面看,歐盟的立法趨向自由主義,加州的立法則趨向實用主義。歐盟的立法執行起來經濟代價昂貴,加州立法則經濟實惠。歐盟把個人數據的人格權利放在數據的財產權之前,以政府保護為主導。相比經濟效益,更加看重個體的數據隱私;而加州更加重視個人數據的財產權益,以市場協調機制為主導,注重挖掘數據的經濟價值。(5)在安全問題上,歐盟的數據更加注重個體的安全。而加州的立法則更加凸顯國家安全。之所以會出現以上如此多的不同,這背后的邏輯是:歐盟與美國對于個人信息隱私權是歸屬于自由還是權利持有不同的認知判斷和側重。②項定宜:《比較與啟示:歐盟和美國個人信息商業利用規范模式研究》,《重慶郵電大學學報(社會科學版)》2019年第4期。歐盟的立法趨向自由主義,主要原因是在經歷二戰時期納粹的殘酷迫害后,歐洲對個人信息的泄露懷有深深的恐懼感。因此,歐洲對個人信息的保護力度十分強大,對個人信息的保護根源于以“人權至上”和“自由至上”的個人主義價值體系,強調個人形象、聲譽以及生命等個人尊嚴。③唐飛、唐曉玲:《歐美個人信息保護比較》,《法治與社會》2007年第10期。相對于歐盟,美國的隱私立法比較消極,更加趨向商業實用主義。這與美國隱私權的立法滯后以及發達的商業經濟的沖擊有關。出于對經濟貿易保護的考量,“美國十分注重業界自律在個人數據保護中的作用。通過行業協會及公約的形式,督促成員在進行商業活動的過程中,遵循有關數據保護的精神”。④關偉明:《歐美個人數據保護制度簡述》,《信息與電腦》2014年第16期。此外,歐盟與美國在隱私權與言論自由權等價值位階定位上存在的差異也導致了歐美對隱私權的不同處置。自美國建國以來,言論自由一直備受重視,甚至被認為是立國之基。言論自由遠比隱私權更加重要。相比言論而言,歐洲則更加看重個人的尊嚴。

歐盟的數據保護法的精神土壤似乎早在信息時代出現之前的啟蒙時代或文藝復興時代就形成了,是以反神權為前提,建立在以人權至上和自由至上為核心的個人主義價值體系的基礎之上的。事實上,這并不符合數字時代的價值變遷趨向。因為數字時代是互聯互通和分享的時代。個人主義價值,如個人隱私,固然重要,但是相互依賴大于個人主義。相互依賴、共存共生的共同體意識在互聯互通和分享的數字時代有所增強。因此,以一成不變的傳統個人主義價值體系為基石的歐盟數據保護法實施起來不僅代價太大,而且有悖于互聯網互通互聯、共存共生的精神和價值取向,不能與時俱進,其后果是延緩了歐盟社會的數字化進程,制約了歐盟的一體化進程。從長遠來看,歐盟個人數據保護立法模式最終會限制數字文明的發展,乃至人類文明的發展。歐盟許多國家,如法國和德國,互聯網經濟和數據經濟之所以不像美國和中國那樣發達,這與其理想主義的數據隱私保護法不無關系。與歐盟模式相比,美國數據隱私保護法,卻具有極簡主義特色和商業實用主義的性質。這看起來與美國傳統意義上的“法律國家”形象極不相稱。目前,除加州設立相關立法外,沒有其他州設立相關法律。聯邦層面的相關立法似乎也尚無動議。美國數據隱私保護法的宗旨似乎是為美國互聯網企業和相關權力機構服務,并沒有把保護個人數據隱私作為至高無上的目標。這印證了美國社會廣為流傳的重商主義的口頭禪:美國的正經事就是商業。

我國是具有全球影響力的中國特色社會主義大國,既不能照搬歐盟模式,更不能機械移植美國模式。我們應該制定出既符合人性又符合人情、既具有中國特色又具有全球通約性的個人數據保護法。

四、中國需要什么樣的個人數據保護?

中國的數據隱私保護起步較晚,2018年5月1日,中國實施保護個人信息方面的推薦性國家標準《信息安全技術個人信息安全規范》。同年9月10日,十三屆全國人大常委會立法規劃正式發布,在69件法律草案中個人信息保護法被列入第一類項目中的第61個項目。這是在《中華人民共和國網絡安全法》自2017年6月1日正式實施以來又一重要立法舉措。2019年6月13日,國家互聯網信息辦公室發布《個人信息出境安全評估辦法(征求意見稿)》,面向社會征求意見,從而引起人們對于個人數據跨境流動的關注和討論。2021年8月,我國通過《中華人民共和國個人信息保護法》,2021年11月1日正式施行。

總體來看,我國目前有關個人信息的法律制度還是注重保護傳統的人格權,未把大數據的影響因素以及個人數據隱私呈現的新動向納入個人數據保護中來,①孫政偉:《大數據時代個人信息的法律保護模式選擇》,《圖書館學研究》2016年第9期。而且個人信息保護的政策工具顯得不足。不少學者提出完善法律制度的建議。例如,吳偉光認為,個人數據信息作為公共物品應該納入公法的范疇,而不是私法范疇。②吳偉光:《大數據技術下個人數據信息私權保護論批判》,《政治與法律》2016年第7期。陳星認為,在大數據環境下個人信息的保護應當在民法典人格權法編的規定中予以明確,個人信息權應在人格權法編中成為專門章節,這樣才能凸顯大數據環境下個人信息保護的特殊性。③陳星:《大數據時代個人信息權在我國民法典中的確立及其地位》,《北京行政學院學報》2016年第6期。概而言之,中國的個人數據保護應該根據中國的具體國情,注重中國規則的制定并積極對世界上個體數據的保護做出貢獻,對此,在中國公民和消費者的數據安全措施的制定和實施過程中可以考慮采用以下舉措:

1.在數字經濟熱潮下,加強監管與鼓勵創新并舉

結合歐盟和加州的個人數據保護法的特點,一方面我們應該加強監管,以人民利益至上,切實保護好個人數據的人格權和財產權,在監管上要防止過度數據處理,防止損害用戶平等待遇權。另一方面,我們又應該積極開發數據的潛在價值,研發新的數字產品,鼓勵數據使用的流程創新、制度創新和技術創新。只有做到數據監管與數字經濟創新的平衡,才能在保護個人數據權益的基礎之上可持續地大力發展數字經濟。要堅持數字化創新,就要在數據收集、數據共享、數據交易、數據流通、數據價值挖掘上加大創新的力度。通過構建統一的信用體系,打破數據壁壘,逐步實現不同主體例如行政機關、司法機關、金融機構、互聯網平臺之間的數據共享,有效解決不同數據的分享與流轉,從而化解“數據孤島”的難題;同時還要構建高質量的數據交易平臺,完善數據交易機制;進一步完善算法,通過大數據、物聯網、區塊鏈、云計算、人工智能和5G等技術,保障數據的充分獲取和利用,促進數據有效流通,并且最大程度析出數據的價值。在數據溯源和匿名化問題上,通過技術創新防止隱私安全問題的發生。

2.多元協同完善個人數據保護法

我國目前對個人數據還缺乏針對大數據最新動向且具有真正現代意義的立法保護,還只是停留在傳統的立法保護框架之內。例如,目前我國僅僅是將隱私的保護納入名譽權的范疇,忽視了隱私權與名譽權之間的差異。我國對隱私權的考慮主要還側重于傳統的隱私。然而,隱私權在大數據時代產生了新的內涵和外延。因此,應該充分考慮現代數據的獨特性,積極完善我國大數據時代的個人數據立法。個體數據保護既是一個倫理問題,又是一個制度問題,還是一個技術問題。因此,立法保護應該推動政府、企業等數據使用的多元主體協同治理,共同建立相應的管理體制,采用新型技術保護大數據隱私。一方面政府作為個人數據保護的責任主體,應該建立專門的數據管理和隱私保護機構,通過制定相關法規加強數據開放審核的力度,明確數據權屬,強化協同監管,規范數據采集的方式,嚴厲打擊非法數據交換和買賣行為,切實保障公民合法享有數據使用的知情權、信息自決權、告知許可權等。另一方面,法律又必須積極推動企業采用“高效、流程化的數據合規管理,包括建立隱私事務管理部門、規劃數據保護戰略、制定隱私政策程序和指南等”①李萬祥:《大數據時代,個人信息如何保護》,《經濟日報》2017年12月25日,第01版。。數據隱私保護應該貫穿數字產品研發到使用的整個生命周期,要對個人隱私保護進行持續的監督和評估。此外,立法保護還要積極推動企業在個人數據隱私保護上進行技術創新。例如,鼓勵企業通過產品設計實現用戶隱私訴求和數據權,從知情權和自決權兩個角度,把用戶的隱私權保護與用戶對產品的體驗結合起來。

3.推動數字經濟與個人數據保護相結合

隨著數字經濟成為全球經濟發展的新引擎,在全球經濟發展、社會治理乃至人類生活質量的改善上發揮著越來越重要的作用,故而我們應該積極發展數字經濟,堅持個人數據權利保護和推動數字經濟并舉的原則。建立長效機制,在個人數據權益得以保護的前提下大力發展數字經濟。一是要明確數字經濟中各主體的法律地位及權利義務,建立保障數字經濟正常運行的數據采集、交易、共享、安全使用等法律規范,推動數據資產確權、交易、隱私保護等方面立法,同時要建立數據收集和使用的反壟斷法,實現數據的去中心化,讓更多主體從數字經濟發展中獲益。二是要建立對數字經濟相關技術的開發和應用進行監管的法律法規,通過規則實現“技術向善”,包括信息安全的監督,尤其是海量用戶數據隱私保護以及數字倫理道德的監管,堅持科技以人為本和不損害人類利益的基本倫理。

4.積極參與相關國際規則制定,為全球數字經濟治理提供中國方案

美國主導的亞太經合組織《隱私保護框架》與歐盟的《通用數據保護條例》均發揮著區域或全球性影響力,其他國家和地區都被迫設法對標歐美的數據保護條例,以便與之相互適應。對此,中國的相關立法可以在這方面向歐美批判性地學習,選擇性借鑒和創新。對數據權的類型予以充分的保護,明確界定“個人數據”的利用邊界和相關法案的適應范圍,針對物聯網和5G等技術發展對個人數據的影響積極進行立法調整,使中國數據立法始終處于數據使用和保護的前沿陣地。進一步完善個人數據保護機制,深化區域和國家之間尤其與一帶一路沿線國家和地區的數據合作,使之能夠適應數字化時代的技術變革,順應人類發展趨勢,擴大中國全球影響力乃至引領作用。

數據具有流動性和普遍性的特征,尤其是在全球化的網絡空間,在跨國互聯網公司的推動之下,數據的流動早已突破了國家和地區的傳統主權意義上的界限。數據的跨境流動成為了全球經濟增長的有力引擎,無論對數據的流入國還是流出國都能產生巨大的經濟和社會效益。然而,數據的跨境流動所產生的風險也不可低估,尤其是個人數據隱私保護和國家安全在數據跨境流動下都面臨更大的考驗。根據歐洲政治經濟研究院(European Institute Political Economics Research)研究報告,自2006年起全球數據保護指數呈現持續增長態勢②鄒軍:《基于歐盟〈通用數據保護條例〉的個人數據跨境流動規制機制研究》,《新聞大學》2019年第12期。,數據的本地化與數據的跨境傳輸之間的矛盾日益尖銳。因此,我國有必要建立起跨境數據的合作、共享和保護機制,實現不同國家個人數據的融合。目前,在跨境數據合作共享和保護上做得比較典型的,還是歐盟和美國。從2000年《歐盟-美國安全港框架協議》(EU-U.S.Safe Harbor Privacy Framework)到2016年達成的《歐盟-美國隱私盾框架協議》(EU-U.S.Privacy Shield Framework),歐美不斷完善跨境數據合作。此外,美國在2015年達成了多邊層面的跨境數據流動規則——TPP協議。此舉具有里程碑式的意義。這些框架協議分別“從數據的質量(確定數據的使用目的和使用數據獲得消費者認可)、透明度(數據處理的開放程度)和具體實施機制三個方面認可和劃定跨境數據保護的衡量標準”③曹杰、王晶:《跨境數據流動規則分析——以歐美隱私盾協議為視角》,《國際經貿探索》2017年第4期。。中國也需要積極參與數據國際規則的制定,在“人類命運共同體”思想的指導之下,推動“數字共同體”的建設,促進多邊層面的跨境數據合作共享與保護,規范各數據收集方承擔的義務,制定更加完善的數據保護標準,豐富數據救濟手段,提升數據響應的速度,從而促進跨境數據在協調生產、服務、金融等要素上發揮更加積極的作用。協調、統籌好數據隱私、數據安全和數據自由流動之間的關系,需要因地制宜、因時制宜地處理好數據本地化與數據跨境傳輸之間的關系,最終實現數據輸入方和輸出方的雙贏。

五、結語

由于數據隱私總是與其他數據權益牽扯在一起,這就注定了我們在強調數據隱私權的時候又不能置其他數據權益于不顧。保護個體數據隱私的權益不能單考慮某一個體,還要考慮其他數據權益主體。這些主體包括數據的生產者、處理者、控制者、使用者和最終受益者,涵蓋個體、企業、社會機構、國家等不同主體。由于這些主體從不同立場和層面分享數據權益,所以對于個體隱私權的訴求必須與其他數據權益相協調。一方面,數據權益的多樣性,決定我們必須處理好主體的數據隱私權益與其他權益之間的關系。另一方面,現實中數據生產者、控制者、處理者和使用者在很大程度上分離,他們都是享有數據權益的主體,這些主體往往在權益獲得的大小和類型上并不一致,這就決定了我們要處理好不同數據權益主體之間的關系。在權益分配博弈中,數據生產的個體往往處于弱勢地位,而數據控制者和處理者處于強勢地位。如何處理好不同主體的權益關系,這涉及必須處理好不同主體間的一系列沖突。這些沖突具體可以表現為:“個人與政府的沖突、行政與監控的沖突、壟斷與競爭的沖突、默契與立法的沖突、保護與開發的沖突、開放與流動的沖突、技術與法律的沖突、公平與效率的沖突、救濟與成本的沖突。”①李勇堅:《個人數據權利體系的理論建構》,《中國社會科學院研究生院學報》2019年第5期。此外,數據隱私保護與數據開發利用之間的矛盾,也決定著我們要處理好數據隱私權與經濟發展之間的平衡,以及個體發展與社會發展、私人空間與公共空間、安全與共享之間的平衡關系。過度保護個人信息的隱私,就無法充分挖掘數據的商業價值,不利于推動數據產業的發展。然而任由挖掘數據的商業價值,就有可能侵犯個人的數據隱私,損害個人的人格權益,甚至還危害國家安全。因此,個人數據價值的悖論不在于數據價值本身,其實質在于數據價值的公共性與私人性之間的內在沖突,在于個人數據的共享與隱私之間難以調和的矛盾。正如有學者指出兩者的悖論:強調數據共享可能侵犯數據主體的隱私;而保護主體的隱私又可能導致數據的封閉。②閆坤如:《大數據的共享-隱私悖論探析》,《大連理工大學學報(社會科學版)》2020年第5期。不同國家和地區會根據自身需要在數據共享和隱私上各有偏重。目前,我國的立法側重從人格權或抽象的人權來看待數據權益問題,算是對過分追求數據的商業效益的一種糾偏。然而,隨著全球化的分工與合作日益加深,如今我們將面臨一場諸多領域的單邊開放,當然也包括我們在數據領域的全球流通,中國在根據自身國情制定個人數據保護制度的同時,必須在兼顧安全與共享的前提下,充分考慮到數據保護的全球通約性問題,對標歐美等地區的主流數據保護條例,與之適應;同時,中國還應深度參與到全球數據的流通、使用之中,完善數據開放平臺與共享機制,搭建數據共享和交流的技術設施及社會基礎設施,從而深度參與國際事務,從全球數據中獲得平等的話語權。中國獲取的全球數據話語權不僅會有助于中國有力應對公共衛生和氣候變化的挑戰,也會促進國家在經濟、科技等方面的全球性發展。