大數(shù)據(jù)時(shí)代，個(gè)人隱私何處藏？

周疊瑤

毋庸置疑，數(shù)字經(jīng)濟(jì)時(shí)代已經(jīng)來(lái)臨。據(jù)統(tǒng)計(jì)，截至2018年底，中國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)31萬(wàn)億元，占GDP的三分之一。然而，正如任何新事物的發(fā)展都充滿各種矛盾一樣，數(shù)字經(jīng)濟(jì)發(fā)展的背后也充斥著各方主體對(duì)權(quán)力和利益的爭(zhēng)奪。其中，最突出的一對(duì)矛盾就是企業(yè)對(duì)數(shù)據(jù)的收集、分析、存儲(chǔ)和利用的權(quán)利擴(kuò)張與個(gè)人數(shù)據(jù)隱私保護(hù)之間的博弈。

大數(shù)據(jù)領(lǐng)域立法進(jìn)入“深水區(qū)”

2018年3月，百度公司董事長(zhǎng)兼CEO李彥宏在中國(guó)高層發(fā)展論壇上說(shuō)過(guò)這樣一番話：“中國(guó)人對(duì)隱私問(wèn)題的態(tài)度更加開放，相對(duì)來(lái)說(shuō)也沒(méi)那么敏感。如果他們可以用隱私換取便利、安全或者效率，在很多情況下他們就愿意這么做?！币皇て鹎永?，李彥宏“用隱私換服務(wù)”的觀點(diǎn)馬上引來(lái)了不少人的口誅筆伐。雖然這句話頗具爭(zhēng)議，但也從另一個(gè)側(cè)面揭示了當(dāng)下個(gè)人用戶參與互聯(lián)網(wǎng)經(jīng)濟(jì)的矛盾心理與尷尬處境：既想享受免費(fèi)而便捷的服務(wù)，同時(shí)又不愿意讓渡自己一部分隱私權(quán)利。

利益沖突需要解決，而法律存在的意義就恰恰在于解決人類生活中的各種矛盾。近年來(lái)，針對(duì)這一矛盾，國(guó)內(nèi)大數(shù)據(jù)領(lǐng)域立法動(dòng)作頻頻。從《民法總則》第111條關(guān)于個(gè)人信息保護(hù)的原則規(guī)定，到《消費(fèi)者權(quán)益保護(hù)法》第29條明確規(guī)定經(jīng)營(yíng)者有義務(wù)維護(hù)消費(fèi)者信息安全，到2015年《刑法修正案（九）》對(duì)非法獲取公民個(gè)人信息罪進(jìn)行了更加細(xì)致的規(guī)定并加大打擊范圍與力度，到2016年《網(wǎng)絡(luò)安全法》首次明確“個(gè)人信息”的概念，再到《信息安全技術(shù)個(gè)人信息安全規(guī)范》中對(duì)個(gè)人信息保護(hù)的規(guī)范化，個(gè)人信息保護(hù)在法律上從原則性的規(guī)定逐漸落到實(shí)處，細(xì)化成可操作的規(guī)范。

“縱向來(lái)看，個(gè)人信息保護(hù)經(jīng)歷了從間接保護(hù)到直接保護(hù)的歷史沿革。早期立法主要通過(guò)‘隱私權(quán)等對(duì)個(gè)人信息進(jìn)行較為間接的保護(hù)。近年來(lái)，立法中針對(duì)個(gè)人信息進(jìn)行直接保護(hù)的趨勢(shì)日趨明顯?！敝袊?guó)信息通信研究院互聯(lián)網(wǎng)法律研究中心主任方禹給出這樣的評(píng)價(jià)。

2019年5月28日，國(guó)家互聯(lián)網(wǎng)信息辦公室正式發(fā)布《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》（下稱《管理辦法》），并向全社會(huì)公開征求意見(jiàn)，這意味著大數(shù)據(jù)領(lǐng)域又一重磅法規(guī)發(fā)布，大數(shù)據(jù)領(lǐng)域立法已進(jìn)入“深水區(qū)”。《管理辦法》的重要地位毋庸置疑，北京市中倫律師事務(wù)所合伙人陳際紅曾撰文表示，在2018年9月公布的“十三屆全國(guó)人大常委會(huì)立法規(guī)劃”中，《數(shù)據(jù)安全法》被列為“條件比較成熟、任期內(nèi)擬提請(qǐng)審議的法律草案”。在《數(shù)據(jù)安全法》頒布之前，不妨將此辦法視為一個(gè)“小數(shù)據(jù)安全法”。

本次面向社會(huì)征求意見(jiàn)的《管理辦法》分為總則、數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理和附則五個(gè)章節(jié)，共計(jì)40個(gè)條文。在北京金誠(chéng)同達(dá)律師事務(wù)所律師、高級(jí)合伙人周俊武看來(lái)，一方面，《管理辦法》賦予了用戶更多權(quán)利，如用戶有權(quán)向網(wǎng)絡(luò)運(yùn)營(yíng)者查詢、更正、刪除個(gè)人信息;企業(yè)因業(yè)務(wù)需要確需擴(kuò)大個(gè)人信息使用范圍的，應(yīng)當(dāng)征得個(gè)人信息主體同意等。另一方面，《管理辦法》也要求企業(yè)承擔(dān)更多義務(wù)。如要求企業(yè)在通過(guò)網(wǎng)站、應(yīng)用程序等產(chǎn)品收集使用個(gè)人信息時(shí)，應(yīng)當(dāng)分別制定并公開收集使用規(guī)則，且收集規(guī)則應(yīng)當(dāng)明確具體、簡(jiǎn)單通俗、易于訪問(wèn)。

此外，《管理辦法》第23條也引起了法學(xué)界的廣泛關(guān)注。該條款規(guī)定：網(wǎng)絡(luò)運(yùn)營(yíng)者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應(yīng)當(dāng)以明顯方式標(biāo)明“定推”字樣，為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時(shí)，應(yīng)當(dāng)停止推送，并刪除已經(jīng)收集的設(shè)備識(shí)別碼等用戶數(shù)據(jù)和個(gè)人信息。陳際紅認(rèn)為，該條款保證了個(gè)人信息主體對(duì)于定向推送的自主選擇，避免形成信息孤島。

兩難的抉擇

數(shù)字經(jīng)濟(jì)的快速發(fā)展不僅催生了大量矛盾，也給立法者帶來(lái)了挑戰(zhàn)。方禹表示，互聯(lián)網(wǎng)是現(xiàn)實(shí)社會(huì)的映射，適用傳統(tǒng)的法律體系，但在部分環(huán)節(jié)和部分領(lǐng)域改變了傳統(tǒng)法律關(guān)系要素的內(nèi)容。在主體方面，互聯(lián)網(wǎng)法律關(guān)系中增加了新的主體，原有主體的權(quán)利范圍也發(fā)生了變化。在客體方面，增加了新的物、新的行為和新的智力成果。如刑事犯罪中針對(duì)互聯(lián)網(wǎng)的犯罪，互聯(lián)網(wǎng)本身即作為法律關(guān)系中的客體而存在，而電子合同、網(wǎng)絡(luò)作品的出現(xiàn)則構(gòu)成了新的行為和新的智力成果。在內(nèi)容方面，互聯(lián)網(wǎng)改變了現(xiàn)實(shí)社會(huì)相關(guān)活動(dòng)當(dāng)事人權(quán)利義務(wù)的平衡，如隱私權(quán)在網(wǎng)絡(luò)時(shí)代更容易被侵犯且影響范圍更大。

不僅是中國(guó)，如何調(diào)和數(shù)字經(jīng)濟(jì)發(fā)展與安全的矛盾是全球各國(guó)共同面臨的難題。據(jù)統(tǒng)計(jì)，目前全球共有126個(gè)國(guó)家和地區(qū)制定了專門的個(gè)人信息保護(hù)法，內(nèi)容包含建立專門的個(gè)人信息保護(hù)機(jī)構(gòu)、強(qiáng)化數(shù)據(jù)權(quán)利主體的控制力和探索建立安全的數(shù)據(jù)自由流動(dòng)規(guī)則等。

以美國(guó)和歐盟為例，二者在個(gè)人數(shù)據(jù)隱私保護(hù)領(lǐng)域就采取了迥異的立法模式。美國(guó)法模式的特點(diǎn)是分散立法而非制定統(tǒng)一的個(gè)人信息保護(hù)法，即在各個(gè)行業(yè)分別制定有關(guān)個(gè)人信息保護(hù)的法律規(guī)則、準(zhǔn)則。不同于美國(guó)，歐盟選擇了在政府主導(dǎo)下以立法手段規(guī)制個(gè)人信息領(lǐng)域問(wèn)題的模式。2016年4月27日，歐盟通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation）（以下簡(jiǎn)稱“GDPR”）。GDPR經(jīng)兩年過(guò)渡期后取代1995年出臺(tái)的《歐盟數(shù)據(jù)保護(hù)指令》（以下簡(jiǎn)稱《指令》）并于2018年5月25日正式生效。這標(biāo)志著歐盟建立了統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法制。

GDPR的通過(guò)無(wú)疑是對(duì)個(gè)人信息保護(hù)領(lǐng)域做出的一次創(chuàng)新性嘗試。根據(jù)GDPR第1條的表述，“本條例保護(hù)自然人的基本權(quán)利和自由，尤其是他們的個(gè)人數(shù)據(jù)保護(hù)權(quán)（their right to the protection of personal data）?！边@意味著其突破了1995年《指令》將個(gè)人數(shù)據(jù)保護(hù)權(quán)歸屬于隱私權(quán)的權(quán)利屬性，明確提出了個(gè)人數(shù)據(jù)保護(hù)權(quán)的概念，改變了以往該權(quán)利屬性不明的狀態(tài)。此外，GDPR還首次規(guī)定了刪除權(quán)和數(shù)據(jù)便攜性的權(quán)利。另外，GDPR對(duì)同意權(quán)的規(guī)定更為嚴(yán)格，數(shù)據(jù)主體的同意只能是具體的，不能被假設(shè)。

對(duì)美國(guó)和歐盟在個(gè)人信息保護(hù)領(lǐng)域立法的差異，方禹這樣評(píng)價(jià)：“歐美兩國(guó)在對(duì)該領(lǐng)域立法時(shí)，背后的邏輯截然不同。美國(guó)基于其自身信息通信產(chǎn)業(yè)優(yōu)勢(shì)地位，主張數(shù)據(jù)自由流動(dòng)，所以立法更向數(shù)據(jù)收集者一方傾斜;而歐盟強(qiáng)調(diào)公民權(quán)利和自由，個(gè)人信息保護(hù)水平為全球最高。”

盡管美歐之間個(gè)人信息數(shù)據(jù)的保護(hù)程度存在差異，但跨境數(shù)據(jù)仍需要流動(dòng)，這一問(wèn)題已成為美歐間博弈的焦點(diǎn)。2000年，“安全港”的概念被首次使用，使美國(guó)公司的數(shù)據(jù)收集和處理行為能夠達(dá)到相應(yīng)的隱私權(quán)保護(hù)標(biāo)準(zhǔn)，從而消除了美國(guó)和歐盟間個(gè)人數(shù)據(jù)傳送的障礙。然而，在2015年，也就是GDPR頒布的前一年，“安全港”協(xié)議被廢除。盡管“安全港”協(xié)議被廢除，但美歐之間仍存在價(jià)值2600億美元的跨境數(shù)據(jù)貿(mào)易，2016年8月，“隱私盾”協(xié)議生效，代替了存續(xù)15年的“安全港”協(xié)議。方禹分析，這反映了歐盟對(duì)個(gè)人信息數(shù)據(jù)不斷加強(qiáng)保護(hù)的傾向。

從2018年5月至今，GDPR已實(shí)施滿一年。近日，美國(guó)智庫(kù)信息技術(shù)和創(chuàng)新基金會(huì)（ITIF）下屬的數(shù)據(jù)創(chuàng)新中心（Center for date innovation）發(fā)布了《GDPR實(shí)施一年以來(lái)的影響》報(bào)告。該報(bào)告指出，GDPR實(shí)施一年以來(lái)，有越來(lái)越多的證據(jù)表明該法律沒(méi)有產(chǎn)生預(yù)期的效果，而且還可能導(dǎo)致很多意想不到的嚴(yán)重后果。此外，也有多個(gè)調(diào)研機(jī)構(gòu)用數(shù)據(jù)證實(shí)了GDPR的弊端，比如：對(duì)歐盟經(jīng)濟(jì)產(chǎn)生負(fù)面影響、消耗公司資源、損害歐洲科技創(chuàng)業(yè)公司、降低數(shù)字廣告行業(yè)的競(jìng)爭(zhēng)力、未能增加用戶的信任、未能在成員國(guó)之間統(tǒng)一實(shí)施等。

在數(shù)字經(jīng)濟(jì)時(shí)代下，企業(yè)和個(gè)人如同站在天平兩端的兩個(gè)主體，有合作也有沖突。究竟天平應(yīng)向哪一邊傾斜，每個(gè)國(guó)家都有自己的選擇。然而，不管選擇哪一方，矛盾都始終存在，無(wú)法徹底彌合。