規(guī)制與流動(dòng)：智媒時(shí)代的個(gè)人信息保護(hù)
——基于歐盟GDPR本土化的一項(xiàng)研究

閆玲玲

全球化智能傳播時(shí)代，以個(gè)人信息為代表的大數(shù)據(jù)全球范圍內(nèi)采集與流動(dòng)的普遍性，成為驅(qū)動(dòng)各個(gè)產(chǎn)業(yè)發(fā)展的動(dòng)力、各國(guó)競(jìng)相爭(zhēng)奪的目標(biāo)[1]。個(gè)人信息保護(hù)不僅是公民人權(quán)保護(hù)的體現(xiàn)，更多地，亦涉及國(guó)家網(wǎng)絡(luò)主權(quán)安全的重要問(wèn)題。2012年，為應(yīng)對(duì)這一問(wèn)題，歐盟通過(guò)了《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，以下簡(jiǎn)稱GDPR），并于2018年5月25日正式生效。GDPR的實(shí)施重構(gòu)了智能時(shí)代下個(gè)人信息保護(hù)的路徑，在一定程度上引領(lǐng)著世界個(gè)人信息流動(dòng)與保護(hù)的發(fā)展。在GDPR的影響之下，2018年美國(guó)加利福利亞州出臺(tái)了新的數(shù)據(jù)保護(hù)法規(guī)。

當(dāng)前我國(guó)現(xiàn)有法律對(duì)于個(gè)人信息保護(hù)，散見于不具救濟(jì)效力的部門規(guī)章、規(guī)范性文件和國(guó)家標(biāo)準(zhǔn)等上，僅具救濟(jì)效力的《侵權(quán)責(zé)任法》將個(gè)人信息納入隱私權(quán)中保護(hù)，又缺乏一定的針對(duì)性[2]。因而，深入解讀歐盟GDPR條例，并考慮將其本土化的適用性和具體性路徑，有助于我國(guó)面對(duì)人工智能時(shí)代個(gè)人信息保護(hù)立法，幫助我國(guó)企業(yè)在“走出去”過(guò)程中實(shí)現(xiàn)個(gè)人信息使用與流動(dòng)安全。

1 人工智能時(shí)代個(gè)人信息保護(hù)面臨的挑戰(zhàn)

人工智能的核心是模擬、延伸和擴(kuò)展人的智能[3]。人類借助機(jī)器存儲(chǔ)海量信息并進(jìn)行處理，在這些數(shù)據(jù)中，包含著有關(guān)個(gè)人隱私的個(gè)人信息和與個(gè)人隱私無(wú)關(guān)的非個(gè)人信息。對(duì)于人類來(lái)說(shuō)，“大數(shù)據(jù)”是一種難以利用的資產(chǎn)，而人工智能是釋放大數(shù)據(jù)價(jià)值的關(guān)鍵[4]。

人工智能對(duì)于個(gè)人信息安全的挑戰(zhàn)主要體現(xiàn)在三個(gè)方面：一是個(gè)人對(duì)于自己信息控制的能力被削弱[5]。人工智能發(fā)展的未知性、處理數(shù)據(jù)的不透明性使得個(gè)人信息和非個(gè)人信息的界限越來(lái)越模糊?，F(xiàn)在不可識(shí)別的“非個(gè)人信息”，并不意味著在人工智能的發(fā)展下未來(lái)不可識(shí)別；算法自身的黑箱特點(diǎn)使得個(gè)人難以了解個(gè)人信息被掌控的程度。二是數(shù)據(jù)控制者數(shù)據(jù)壟斷不斷強(qiáng)化。可以預(yù)見，壟斷趨勢(shì)將會(huì)逐漸加強(qiáng)，最終將產(chǎn)生巨型壟斷企業(yè)，導(dǎo)致不提供個(gè)人信息便無(wú)法使用相應(yīng)服務(wù)等不平等后果，為個(gè)人個(gè)人信息保護(hù)增加成本。三是數(shù)據(jù)集中導(dǎo)致的安全風(fēng)險(xiǎn)和數(shù)據(jù)監(jiān)控風(fēng)險(xiǎn)增加。黑客攻擊帶來(lái)的信息泄露后果將越來(lái)越難以估量。人們亟須制定新的解決模式來(lái)保護(hù)自身的個(gè)人信息，GDPR便試圖解決大數(shù)據(jù)、人工智能、機(jī)器學(xué)習(xí)和個(gè)人信息保護(hù)之間的問(wèn)題[4]。

人工智能時(shí)代的個(gè)人信息保護(hù)是全球普遍面臨的問(wèn)題，歐洲的GDPR能夠領(lǐng)先別國(guó)，這與歐洲的人權(quán)保護(hù)傳統(tǒng)密不可分。歐洲的人權(quán)保護(hù)傳統(tǒng)可以追溯到二戰(zhàn)時(shí)期，德國(guó)希特勒政府對(duì)于猶太人的迫害，使得二戰(zhàn)后的歐洲對(duì)于人權(quán)的保護(hù)格外重視。1995年，歐洲議會(huì)在1981年的法律保護(hù)之上又改革通過(guò)了《個(gè)人數(shù)據(jù)保護(hù)指令》。因此，對(duì)于個(gè)人信息隱私的保護(hù)，在歐洲有著非常悠久的傳統(tǒng)，使得其在人工智能時(shí)代來(lái)臨時(shí)，能夠非常敏銳地對(duì)此作出反應(yīng)，進(jìn)行立法保護(hù)[6]。

另一方面，通過(guò)保護(hù)個(gè)人信息流通，促進(jìn)經(jīng)濟(jì)的發(fā)展是歐盟出臺(tái)GDPR更為現(xiàn)實(shí)的原因。數(shù)據(jù)資源的流動(dòng)性和可獲取性是人工智能時(shí)代下大數(shù)據(jù)應(yīng)用和產(chǎn)業(yè)發(fā)展的基礎(chǔ)。原有1995年《數(shù)據(jù)保護(hù)指令》與當(dāng)今時(shí)代不符，難以滿足用戶的需求，亟須改革[7]：一是各國(guó)之間程度不同的個(gè)人信息保護(hù)，數(shù)據(jù)在歐盟之間的流動(dòng)時(shí)受到數(shù)據(jù)保護(hù)壁壘的阻礙，流通不暢。歐盟內(nèi)部市場(chǎng)運(yùn)作帶來(lái)個(gè)人信息跨境流動(dòng)大幅度增加；二是贏得消費(fèi)者的信任，在全球競(jìng)爭(zhēng)中獲取優(yōu)勢(shì)。早在1995年，世界貿(mào)易組織便明確表示，數(shù)據(jù)保護(hù)規(guī)則不應(yīng)成為貿(mào)易壁壘[8]。

2 GDPR概述

GDPR共分11章共99條，針對(duì)人工智能時(shí)代帶來(lái)的新挑戰(zhàn)，為數(shù)據(jù)的收集、處理、刪除、轉(zhuǎn)移等提供全過(guò)程的保護(hù)，主要體現(xiàn)在：GDPR賦予數(shù)據(jù)主體更多的權(quán)利，包括創(chuàng)新的被遺忘權(quán)、數(shù)據(jù)攜帶權(quán)；GDPR對(duì)于數(shù)據(jù)控制者的問(wèn)責(zé)更嚴(yán)，創(chuàng)新設(shè)立數(shù)據(jù)保護(hù)官、違規(guī)通知等；GDPR的懲罰措施也更加嚴(yán)厲，足以令企業(yè)破產(chǎn)；GDPR的監(jiān)管范圍擴(kuò)大，屬于典型的“長(zhǎng)臂”管轄，擴(kuò)展到域外涉及歐盟公民個(gè)人信息處理的主體。

第一章為總體規(guī)定，包括四條。其中第1條“主題與目標(biāo)”明確表明，GDPR是為保護(hù)個(gè)人數(shù)據(jù)權(quán)利和促進(jìn)個(gè)人數(shù)據(jù)的自由流動(dòng)而制定。這為GDPR定下總體基調(diào)。第一章第3條“適用范圍”規(guī)定了GDPR的適用地域范圍，無(wú)論數(shù)據(jù)處理行為和主體是否在歐盟境內(nèi)，只要為歐盟境內(nèi)的數(shù)據(jù)主體，便適用GDPR。GDPR的“長(zhǎng)臂”管轄將有效解決個(gè)人信息保護(hù)水平差異這一問(wèn)題，所有處理歐盟境內(nèi)數(shù)據(jù)的主體，將受到同樣的法律約束。

第二章為基本原則。第5條規(guī)定了數(shù)據(jù)處理過(guò)程的基本原則，包括合法性、公平性、透明性、目的限制、數(shù)據(jù)最小化、精度、存儲(chǔ)限制、完整性機(jī)密性原則和問(wèn)責(zé)制，試圖通過(guò)基本原則明確數(shù)據(jù)處理的準(zhǔn)則規(guī)范。人工智能時(shí)代，個(gè)人信息泄露具有不可挽回性、泄露范圍全球化等特點(diǎn)，為此，歐盟立法著重強(qiáng)調(diào)從數(shù)據(jù)收集的源頭加以限制，降低個(gè)人信息泄露帶來(lái)的嚴(yán)重后果。知情同意。第7條明確規(guī)定數(shù)據(jù)的收集應(yīng)該在個(gè)人自由、充分作出同意的前提之下。重點(diǎn)針對(duì)“模糊條款”和“強(qiáng)制同意”：模糊條款是故意復(fù)雜化條款使得用戶難以充分理解隱私條款而作出同意決定；強(qiáng)制同意將同意作為使用服務(wù)的前提，使用戶不得不選擇同意。條款核心是，“同意”的作出應(yīng)不受任何附加因素的影響和約束；擴(kuò)大個(gè)人信息的保護(hù)范圍。第9條規(guī)定了特殊種類個(gè)人數(shù)據(jù)的處理，重點(diǎn)提到了生物識(shí)別信息，包括虹膜、指紋，醫(yī)療健康信息，宗教信仰，政治觀點(diǎn)，性取向、性生活數(shù)據(jù)等，都是受保護(hù)的個(gè)人數(shù)據(jù)。

第三章主要為數(shù)據(jù)主體的權(quán)利。數(shù)據(jù)主體的權(quán)利主要為知情權(quán)、訪問(wèn)權(quán)、被遺忘權(quán)、限制處理權(quán)、個(gè)人數(shù)據(jù)可攜帶權(quán)等。第四章主要為數(shù)據(jù)控制者和處理者的義務(wù)。削弱數(shù)據(jù)控制者數(shù)據(jù)壟斷的趨勢(shì)，引導(dǎo)其對(duì)個(gè)人信息進(jìn)行保護(hù)：實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施保護(hù)個(gè)人信息安全；同時(shí)，在個(gè)人信息泄露后，有通知、合作的義務(wù)，甚至建立“數(shù)據(jù)保護(hù)官”一職位。第33條規(guī)定個(gè)人數(shù)據(jù)泄露后，數(shù)據(jù)控制者應(yīng)在72小時(shí)之內(nèi)通知監(jiān)管機(jī)構(gòu)，遲于72小時(shí)，則需要進(jìn)行解釋。

第九章主要是賠償救濟(jì)問(wèn)題。以強(qiáng)制手段倒逼控制者保護(hù)個(gè)人信息。GDPR的賠償力度較大：最高處以2 000萬(wàn)歐元或全球4%的營(yíng)收（以較高者為準(zhǔn)），足以令企業(yè)破產(chǎn)。在全球GDPR訴訟第一案中，被告正是出于對(duì)巨額罰款的擔(dān)憂而決定不再收集相關(guān)數(shù)據(jù)。

3 我國(guó)個(gè)人信息保護(hù)的現(xiàn)實(shí)路徑

一直以來(lái)，我國(guó)個(gè)人信息保護(hù)立法不完善，致使我國(guó)個(gè)人信息保護(hù)停留在較低的水平[9]。目前我國(guó)個(gè)人信息保護(hù)采取的方式是在多項(xiàng)法律中關(guān)注和強(qiáng)化，而新技術(shù)、新商業(yè)模式則對(duì)立法提出了新的挑戰(zhàn)，應(yīng)當(dāng)不斷完善法律制度。目前我國(guó)對(duì)于個(gè)人信息的保護(hù)呈現(xiàn)出碎片化的狀態(tài)，涉及法律眾多，實(shí)際應(yīng)用混亂低效，重刑事輕民事，個(gè)人保護(hù)法律體系亟待健全，推進(jìn)個(gè)人信息保護(hù)法的出臺(tái)。

3.1 明確個(gè)人信息保護(hù)的立法目的

一直以來(lái)，我國(guó)個(gè)人信息保護(hù)屬于民事權(quán)利層面，尚未上升至人權(quán)高度。我們認(rèn)為，在民事權(quán)益層面，我國(guó)個(gè)人信息保護(hù)的立法目的應(yīng)是平衡好大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展與個(gè)人信息的保護(hù)之間的關(guān)系?？尚械姆桨甘菂^(qū)分個(gè)人信息保護(hù)的維度，分為個(gè)人一般信息和個(gè)人敏感信息。對(duì)于個(gè)人敏感信息，強(qiáng)化保護(hù)；對(duì)于個(gè)人一般信息，強(qiáng)化利用[10]。

3.2 基本原則

合法性原則、透明性原則、目的限制原則、安全保密原則和主體參與原則等已成為國(guó)際上獲得廣泛認(rèn)可的個(gè)人信息保護(hù)原則，在GDPR中都有所體現(xiàn)[11]。在目的限制原則方面，我國(guó)應(yīng)該立足本國(guó)國(guó)情，對(duì)歐盟的法律有所揚(yáng)棄：一方面目的應(yīng)該足夠明確，減少模糊的空間；另一方面，個(gè)人信息的利用和保護(hù)應(yīng)仔細(xì)平衡，不能完全苛求目的范圍的最小化，容留一些彈性空間[12]。

3.3 監(jiān)管制度

GDPR要求歐盟各國(guó)設(shè)立統(tǒng)一的監(jiān)管機(jī)構(gòu)，負(fù)責(zé)全權(quán)監(jiān)管此條例的實(shí)施，將各項(xiàng)條款落實(shí)到位。為此，GDPR細(xì)致地規(guī)定了監(jiān)管機(jī)構(gòu)應(yīng)保持獨(dú)立性、國(guó)家應(yīng)給予大力的支持等落實(shí)其監(jiān)管效用。對(duì)我國(guó)的借鑒為，在監(jiān)督問(wèn)責(zé)方面，建立統(tǒng)一的監(jiān)管機(jī)構(gòu)，貫徹個(gè)人信息保護(hù)法條款，在具體實(shí)施階段落實(shí)個(gè)人信息保護(hù)。同時(shí)，在一定情況下，可向企業(yè)派出數(shù)據(jù)保護(hù)官，進(jìn)行更加嚴(yán)格的保護(hù)。

3.4 賠償救濟(jì)

個(gè)人信息侵權(quán)的特點(diǎn)是大規(guī)模小損害，單個(gè)訴訟主體缺乏積極性，群體性糾紛解決機(jī)制不夠完善[13]。為此，可以采取公益訴訟，由消費(fèi)者協(xié)會(huì)或同意的監(jiān)管部門提出；同時(shí)，確立多樣的糾紛解決制度，如個(gè)人信息監(jiān)管部門調(diào)解、公益訴訟和行政救濟(jì)等多元方式。最后，在賠償金額方面，應(yīng)加重賠償力度。加大賠償標(biāo)準(zhǔn)，促進(jìn)企業(yè)重視個(gè)人信息保護(hù)，是我國(guó)個(gè)人信息保護(hù)必須考慮的。

3.5 生物信息

人工智能時(shí)代，生物識(shí)別信息是個(gè)人敏感信息中的敏感信息，應(yīng)嚴(yán)格控制與保護(hù)。新技術(shù)層出不窮，不斷為新技術(shù)而立法，因法律的滯后性而難以實(shí)現(xiàn)。因此，應(yīng)將這類唯一可識(shí)別的生物信息保護(hù)納入至個(gè)人信息保護(hù)法中，成為個(gè)人信息保護(hù)的基本原則，且明確數(shù)據(jù)收集主體的責(zé)任。

3.6 數(shù)據(jù)流動(dòng)

從個(gè)人角度來(lái)看，我國(guó)可適當(dāng)借鑒個(gè)人數(shù)據(jù)可攜帶權(quán)，一方面是能夠便利于民；另一方面是能夠在一定程度上打破各家互聯(lián)網(wǎng)公司數(shù)據(jù)壟斷的局面，促進(jìn)合理有序的市場(chǎng)競(jìng)爭(zhēng)。從國(guó)家角度來(lái)看，我國(guó)也應(yīng)建立自身的數(shù)據(jù)出境規(guī)則，在發(fā)展數(shù)字市場(chǎng)和維護(hù)數(shù)字主權(quán)之間獲得平衡。如在個(gè)人信息保護(hù)法中，對(duì)個(gè)人信息劃分保護(hù)：個(gè)人一般信息實(shí)行事后追責(zé)制，個(gè)人敏感信息實(shí)行事前審查制，實(shí)現(xiàn)我國(guó)企業(yè)與境外機(jī)構(gòu)之間的個(gè)人信息合理流動(dòng)[10]。

在發(fā)展數(shù)字經(jīng)濟(jì)同時(shí)，應(yīng)強(qiáng)化對(duì)于個(gè)人信息的保護(hù)。人工智能時(shí)代下，算法和深度學(xué)習(xí)等人工智能技術(shù)為個(gè)人信息保護(hù)帶來(lái)了挑戰(zhàn)。一方面是技術(shù)的“黑箱子”特點(diǎn)使得人們難以、也不可能完全了解個(gè)人信息的處理詳情，未知帶來(lái)隱形風(fēng)險(xiǎn)，人們呼吁個(gè)人信息真正為己所掌控；另一方面，信息傳播環(huán)境翻天覆地的變化，權(quán)力讓渡于算法和機(jī)器，數(shù)據(jù)控制者成為了體量龐大的數(shù)據(jù)壟斷者，帶來(lái)監(jiān)管救濟(jì)的困難。歐盟保護(hù)個(gè)人信息傳統(tǒng)悠久、對(duì)人工智能時(shí)代反應(yīng)最靈敏，GDPR具有很高的借鑒價(jià)值。借鑒歐盟，結(jié)合我國(guó)國(guó)情有所揚(yáng)棄，應(yīng)從兩方面入手：一是數(shù)據(jù)收集的源頭，加強(qiáng)個(gè)人對(duì)于個(gè)人信息的掌控能力；二是數(shù)據(jù)泄露的問(wèn)責(zé)，建立完善的問(wèn)責(zé)監(jiān)管、賠償救濟(jì)體系，統(tǒng)一監(jiān)管部門，提高賠償救濟(jì)金額。在人工智能時(shí)代下，探尋我國(guó)個(gè)人信息保護(hù)的現(xiàn)實(shí)路徑。