从世界范围来看,加强数据保护与利用相关立法已成趋势。美国通过修订《儿童在线隐私保护法案》为儿童等特殊敏感信息提供更加严格的法律保护;欧盟、新加坡等以专门立法形式,加强对个人信息的法律保护。今年5月25日,《欧盟一般数据保护条例》生效实施,进一步加强了对个人信息的保护力度。与此同时,大数据技术和产业的兴起引发了对数据开放的强烈需求,许多国家或地区通过立法规范和促进包括政府在内的公共部门提供透明、公平的信息再利用服务。
近年来,我国在涉及数据保护与利用相关领域的立法步伐亦明显加快。2012年通过的《关于加强网络信息保护的决定》第1条规定:“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息,任何组织和个人不得窃取或者以非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息。”2015年通过的《刑法修正案(九)》将“出售、非法提供公民个人信息罪”的犯罪主体扩大为一般主体。2017年最高人民法院和最高人民检察院专门制定了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》。《民法总则》第111条规定:“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。”尤其是《网络安全法》的出台,首次从法律层面对网络信息安全作出系统规定。
可见,我国近年来涉及数据保护与利用的立法活动主要围绕个人信息保护并且是基于个人信息安全而展开的。主要包括:一是区分了个人信息与个人敏感信息,对个人敏感信息给予更强保护。二是个人信息的收集规则,即合法、正当、必要原则。三是个人信息的保存规则,即个人信息的保存需遵循时间最小化以及去标识化处理。个人信息控制者停止运营时应对其所持有的个人信息进行删除或匿名化处理。四是个人信息的使用规则。个人信息控制者需对个人信息采取访问控制措施、设置展示限制和使用限制。五是个人信息的对外提供规则。对个人信息的委托处理、共享、转让、公开披露以及跨境传输均需遵循一定的规范要求。六是安全保障义务与安全事件处置规则。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。七是相关的民事、行政与刑事责任。
个人信息保护固然是数据保护与利用立法的重中之重,但并非全部,尤其是在大数据与人工智能快速发展的背景下。大数据技术是从海量数据当中快速获取需要信息的能力;人工智能技术旨在使计算机能够模拟人的思维及大脑来进行类人的智慧行为,如常规的判断、推理和识别等行为。大数据技术与人工智能技术相辅相成,都需要海量数据作为支撑。我国已相继出台了《促进大数据发展行动纲要》《大数据产业发展规划(2016—2020年)》《关于促进云计算创新发展培育信息产业新业态的意见》《新一代人工智能发展规划》等政策文件。党的十八届五中全会正式将实施国家大数据战略上升到国家政策层面。因此,我国的数据保护与利用立法需要有更加全面、系统和发展的视角。
处理好安全与发展的关系。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。在数据立法方面,就是要处理好数据保护与数据利用之间的关系。一方面,要利用好海量数据资源所蕴含的信息价值,改善我国经济社会各方面的发展方式和效率;另一方面,要规范数据的收集、存储、使用、对外提供等行为,维护数据安全,规制针对数据或者滥用数据而导致的违法犯罪行为。
处理好个人利益与公共利益的关系。数字经济的发展离不开对数据资源的开发与利用,这就需要以合理的制度安排来促进有效率的数据竞争和市场发展。数据法律关系的构建既要保护个人合法利益,又要促进社会公共利益。首先,需要明确数据的权属关系,这是数据得以流转利用的前提。尽管《民法总则》规定了自然人的个人信息受法律保护,也规定了法律对数据保护有规定的从其规定,但是并未对个人信息和数据的权属关系予以明确。其次,《网络安全法》第42条规定:“未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。”因此,个人信息经由匿名化处理可以转化为非个人数据,而随着大数据技术的发展,公共数据也可能经由数据挖掘分析而转化为个人信息。因此,在个人信息数据转化为非个人数据,以及公共数据转化为个人信息数据时,其数据权属关系如何发生变化也需要法律进行规范。再次,随着数据竞争日益激烈,数据经营者间的竞争规则亦需明确。目前数据竞争引发的诉讼案件已经出现,涉及经营者在经营过程中所收集的数据信息能否被其他经营者自由抓取利用等问题,其实质在于明确数据共享与专享的法律边界。
针对个人信息的保护需要突出受侵害个人的可救济性。个人信息被窃取或者泄露会引发电信网络诈骗、账户被盗等下游犯罪,严重威胁个人的生命财产安全。就数据失控本身而言,受侵害的个人难以知晓且对其可能产生的危害无法预知。因此,包括我国在内的许多国家立法都会规定相应的救济措施。如我国《网络安全法》第42条规定:“在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”值得借鉴的是,澳大利亚2018年《重要数据泄漏应对方案》不仅明确规定相关组织在意识到可能造成“严重损害”的数据泄露事件发生后,应以最快速度通知在该事件中个人信息受到影响的个人,而且规定各组织应为受害人提供应对建议,告诉他们应该如何行动。
数据安全合规责任的落实要考虑为中小企业提供一定的政策保障。数据安全合规责任的落实需要相应配置的人力、资金和技术,中小企业可能难以达到法定要求,或者成本过高。因此,需要国家提供一定的配套政策,激励和保障中小企业能够现实地具备数据安全合规能力。如欧盟委员会在发布《一般数据保护条例》的同时,还提供一定的资金用于帮助企业特别是鼓励中小企业并推出旨在帮助其实现合规的“实用在线工具”。
作者: 于雯雯