從世界范圍來看,加強數據保護與利用相關立法已成趨勢。美國通過修訂《兒童在線隱私保護法案》為兒童等特殊敏感信息提供更加嚴格的法律保護;歐盟、新加坡等以專門立法形式,加強對個人信息的法律保護。今年5月25日,《歐盟一般數據保護條例》生效實施,進一步加強了對個人信息的保護力度。與此同時,大數據技術和產業的興起引發了對數據開放的強烈需求,許多國家或地區通過立法規范和促進包括政府在內的公共部門提供透明、公平的信息再利用服務。
近年來,我國在涉及數據保護與利用相關領域的立法步伐亦明顯加快。2012年通過的《關于加強網絡信息保護的決定》第1條規定:“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息,任何組織和個人不得竊取或者以非法方式獲取公民個人電子信息,不得出售或者非法向他人提供公民個人電子信息。”2015年通過的《刑法修正案(九)》將“出售、非法提供公民個人信息罪”的犯罪主體擴大為一般主體。2017年最高人民法院和最高人民檢察院專門制定了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。《民法總則》第111條規定:“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得并確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。”尤其是《網絡安全法》的出臺,首次從法律層面對網絡信息安全作出系統規定。
可見,我國近年來涉及數據保護與利用的立法活動主要圍繞個人信息保護并且是基于個人信息安全而展開的。主要包括:一是區分了個人信息與個人敏感信息,對個人敏感信息給予更強保護。二是個人信息的收集規則,即合法、正當、必要原則。三是個人信息的保存規則,即個人信息的保存需遵循時間最小化以及去標識化處理。個人信息控制者停止運營時應對其所持有的個人信息進行刪除或匿名化處理。四是個人信息的使用規則。個人信息控制者需對個人信息采取訪問控制措施、設置展示限制和使用限制。五是個人信息的對外提供規則。對個人信息的委托處理、共享、轉讓、公開披露以及跨境傳輸均需遵循一定的規范要求。六是安全保障義務與安全事件處置規則。網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。七是相關的民事、行政與刑事責任。
個人信息保護固然是數據保護與利用立法的重中之重,但并非全部,尤其是在大數據與人工智能快速發展的背景下。大數據技術是從海量數據當中快速獲取需要信息的能力;人工智能技術旨在使計算機能夠模擬人的思維及大腦來進行類人的智慧行為,如常規的判斷、推理和識別等行為。大數據技術與人工智能技術相輔相成,都需要海量數據作為支撐。我國已相繼出臺了《促進大數據發展行動綱要》《大數據產業發展規劃(2016—2020年)》《關于促進云計算創新發展培育信息產業新業態的意見》《新一代人工智能發展規劃》等政策文件。黨的十八屆五中全會正式將實施國家大數據戰略上升到國家政策層面。因此,我國的數據保護與利用立法需要有更加全面、系統和發展的視角。
處理好安全與發展的關系。網絡安全和信息化是一體之兩翼、驅動之雙輪,必須統一謀劃、統一部署、統一推進、統一實施。做好網絡安全和信息化工作,要處理好安全和發展的關系,做到協調一致、齊頭并進,以安全保發展、以發展促安全,努力建久安之勢、成長治之業。在數據立法方面,就是要處理好數據保護與數據利用之間的關系。一方面,要利用好海量數據資源所蘊含的信息價值,改善我國經濟社會各方面的發展方式和效率;另一方面,要規范數據的收集、存儲、使用、對外提供等行為,維護數據安全,規制針對數據或者濫用數據而導致的違法犯罪行為。
處理好個人利益與公共利益的關系。數字經濟的發展離不開對數據資源的開發與利用,這就需要以合理的制度安排來促進有效率的數據競爭和市場發展。數據法律關系的構建既要保護個人合法利益,又要促進社會公共利益。首先,需要明確數據的權屬關系,這是數據得以流轉利用的前提。盡管《民法總則》規定了自然人的個人信息受法律保護,也規定了法律對數據保護有規定的從其規定,但是并未對個人信息和數據的權屬關系予以明確。其次,《網絡安全法》第42條規定:“未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。”因此,個人信息經由匿名化處理可以轉化為非個人數據,而隨著大數據技術的發展,公共數據也可能經由數據挖掘分析而轉化為個人信息。因此,在個人信息數據轉化為非個人數據,以及公共數據轉化為個人信息數據時,其數據權屬關系如何發生變化也需要法律進行規范。再次,隨著數據競爭日益激烈,數據經營者間的競爭規則亦需明確。目前數據競爭引發的訴訟案件已經出現,涉及經營者在經營過程中所收集的數據信息能否被其他經營者自由抓取利用等問題,其實質在于明確數據共享與專享的法律邊界。
針對個人信息的保護需要突出受侵害個人的可救濟性。個人信息被竊取或者泄露會引發電信網絡詐騙、賬戶被盜等下游犯罪,嚴重威脅個人的生命財產安全。就數據失控本身而言,受侵害的個人難以知曉且對其可能產生的危害無法預知。因此,包括我國在內的許多國家立法都會規定相應的救濟措施。如我國《網絡安全法》第42條規定:“在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告。”值得借鑒的是,澳大利亞2018年《重要數據泄漏應對方案》不僅明確規定相關組織在意識到可能造成“嚴重損害”的數據泄露事件發生后,應以最快速度通知在該事件中個人信息受到影響的個人,而且規定各組織應為受害人提供應對建議,告訴他們應該如何行動。
數據安全合規責任的落實要考慮為中小企業提供一定的政策保障。數據安全合規責任的落實需要相應配置的人力、資金和技術,中小企業可能難以達到法定要求,或者成本過高。因此,需要國家提供一定的配套政策,激勵和保障中小企業能夠現實地具備數據安全合規能力。如歐盟委員會在發布《一般數據保護條例》的同時,還提供一定的資金用于幫助企業特別是鼓勵中小企業并推出旨在幫助其實現合規的“實用在線工具”。
作者: 于雯雯
