郭若嫄
美國(guó)福特漢姆大學(xué)商學(xué)院,美國(guó) 紐約 10023
以大數(shù)據(jù)、人工智能、移動(dòng)互聯(lián)、云計(jì)算、區(qū)塊鏈、物聯(lián)網(wǎng)等為代表的新技術(shù)集群廣泛應(yīng)用,帶動(dòng)數(shù)字經(jīng)濟(jì)、平臺(tái)經(jīng)濟(jì)迅猛發(fā)展。伴隨著發(fā)展而來(lái)的網(wǎng)絡(luò)平臺(tái)個(gè)人信息利用與保護(hù)問(wèn)題,也得到了前所未有的熱度和關(guān)注度,尤其是個(gè)人信息收集、披露、濫用以及“大數(shù)據(jù)殺熟”等社會(huì)負(fù)面現(xiàn)象頻出,讓大眾對(duì)自身信息安全充滿擔(dān)憂,導(dǎo)致對(duì)各網(wǎng)絡(luò)平臺(tái)不信任,甚至引發(fā)法律糾紛,十分不利于經(jīng)濟(jì)社會(huì)的健康與和諧發(fā)展。本文以《個(gè)人信息保護(hù)法》規(guī)定的個(gè)人信息保護(hù)范圍和處理規(guī)則、利益相關(guān)者的權(quán)利義務(wù)和法律責(zé)任等為討論對(duì)象,就網(wǎng)絡(luò)平臺(tái)合法合規(guī)利用用戶信息提出可行策略。
據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)2021 年8 月27 日發(fā)布的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》數(shù)據(jù)顯示,截至2021 年6 月,我國(guó)網(wǎng)民規(guī)模達(dá)10.11 億人,互聯(lián)網(wǎng)普及率達(dá)71.6%,我國(guó)已經(jīng)形成全球最為龐大的數(shù)字社會(huì)。龐大的個(gè)人信息運(yùn)用到互聯(lián)網(wǎng)、大數(shù)據(jù)等領(lǐng)域,激活數(shù)字經(jīng)濟(jì)發(fā)展的同時(shí)也產(chǎn)生諸多新問(wèn)題。例如,2005 年,新浪網(wǎng)站發(fā)布一則《網(wǎng)站搜人引擎偷走9000 萬(wàn)份個(gè)人資料》的新聞,在一個(gè)號(hào)稱全球最大的搜人引擎UCOOL 上,通過(guò)輸入姓名查找到符合姓名的人的詳細(xì)資料,包括聯(lián)系方式、學(xué)習(xí)或工作單位、家庭住址等,[1]一度引發(fā)了不小轟動(dòng)和恐慌;2009 年,中國(guó)社會(huì)科學(xué)院發(fā)布的《法治藍(lán)皮書》顯示,隨著信息處理和存儲(chǔ)技術(shù)不斷發(fā)展,我國(guó)個(gè)人信息濫用問(wèn)題日趨嚴(yán)重[2],過(guò)度收集、擅自披露、盜用濫用、非法買賣用戶信息等問(wèn)題層出不窮;[3]2016 年,美國(guó)近8700 萬(wàn)Facebook 用戶數(shù)據(jù)被不正當(dāng)泄露給為美國(guó)總統(tǒng)競(jìng)選工作服務(wù)的數(shù)據(jù)公司——J 分析公司,借此操縱輿論、干預(yù)總統(tǒng)大選;2020 年,浙江省消保委第三季度受理投訴情況分析中,F(xiàn) 平臺(tái)兩度被點(diǎn)名,分別涉及“大數(shù)據(jù)殺熟”和宣傳與實(shí)際不符的問(wèn)題。網(wǎng)絡(luò)領(lǐng)域的用戶信息合法合理地使用面臨極其嚴(yán)峻的挑戰(zhàn),需要法律來(lái)保護(hù)用戶信息的呼聲越發(fā)響亮,已然成為大眾最為關(guān)心也最為息息相關(guān)的利益問(wèn)題。
互聯(lián)網(wǎng)的廣泛應(yīng)用和飛速發(fā)展,打破了傳統(tǒng)的地域和時(shí)空限制,規(guī)范信息流通、加強(qiáng)個(gè)人信息保護(hù),已經(jīng)成為全球面臨的共性問(wèn)題。目前,全世界已經(jīng)有超過(guò)100 個(gè)國(guó)家通過(guò)立法的形式加強(qiáng)對(duì)個(gè)人信息和隱私的保護(hù),其中最具有代表性的當(dāng)數(shù)歐盟在2018 年5 月頒布生效的《通用數(shù)據(jù)保護(hù)條例(GDPR)》。GDPR 對(duì)互聯(lián)網(wǎng)組織收集、分析和管理用戶信息權(quán)限進(jìn)行了嚴(yán)格限定和監(jiān)管,包括信息收集的知情同意權(quán),個(gè)人數(shù)據(jù)訪問(wèn)權(quán)、修改權(quán)、擦除權(quán)、限制處理權(quán),數(shù)據(jù)攜帶權(quán)和反自動(dòng)化決策權(quán),[4]同時(shí)還設(shè)立了獨(dú)立的監(jiān)管機(jī)構(gòu)[5]。與歐盟不同但同樣具有代表性的是美國(guó)的做法,美國(guó)訴諸“行業(yè)自律+分散立法”的雙重路徑來(lái)保護(hù)個(gè)人信息,在行業(yè)自律維度主要是通過(guò)微軟等互聯(lián)網(wǎng)巨頭建立個(gè)人隱私保護(hù)機(jī)制,在立法上則是通過(guò)制定實(shí)施《消費(fèi)者隱私權(quán)利法案》《算法責(zé)任法案》等法律發(fā)揮作用。我國(guó)《個(gè)人信息保護(hù)法》出臺(tái),在一定程度上借鑒了歐盟GDPR 及其他國(guó)家和地區(qū)的立法思路,同時(shí)順應(yīng)了全球化背景下我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展大趨勢(shì)、新要求,響亮回應(yīng)了個(gè)人信息保護(hù)世界立法的潮流。
早在21 世紀(jì)初,我國(guó)便開(kāi)始針對(duì)個(gè)人信息保護(hù)進(jìn)行立法探索。2000 年頒布的《全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》對(duì)侵犯公民通信自由和通信秘密作出規(guī)定,首次涉及個(gè)人信息保護(hù)[6]。2012 年《全國(guó)人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》提出在收集、利用個(gè)人電子信息時(shí)應(yīng)當(dāng)遵守的三大原則,即合法、正當(dāng)、必要。這三大原則作為基礎(chǔ)性原則在之后的立法中均得到延續(xù)和體現(xiàn)。2013 年《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)管理規(guī)定》對(duì)用戶個(gè)人信息作出明確界定。2016 年《網(wǎng)絡(luò)安全法》首次以法律形式規(guī)范個(gè)人信息保護(hù)問(wèn)題,明確了用戶對(duì)個(gè)人信息的更正權(quán)、刪除權(quán),對(duì)“告知—同意”規(guī)則進(jìn)行具體闡述。該法填補(bǔ)了我國(guó)在個(gè)人信息保護(hù)領(lǐng)域的法律空缺,為個(gè)人信息保護(hù)提供了法律依據(jù),對(duì)我國(guó)網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)具有里程碑意義。同時(shí),一些法律法規(guī)在制(修)訂過(guò)程中都補(bǔ)充了個(gè)人信息保護(hù)相關(guān)條款[6],例如,《消費(fèi)者權(quán)益保護(hù)法(修訂)》《刑法修正案(九)》《民法典· 人格權(quán)編》等,但均未形成完整的個(gè)人信息保護(hù)法律體系。2018 年9 月,《個(gè)人信息保護(hù)法》首次納入立法計(jì)劃,經(jīng)過(guò)3 年的起草修訂,于2021 年11 月1 日正式實(shí)施,標(biāo)志著我國(guó)首個(gè)個(gè)人信息層面的立法登上了時(shí)代舞臺(tái)。
個(gè)人信息保護(hù)建立在規(guī)定和限制個(gè)人信息處理者行為的前提之上?!秱€(gè)人信息保護(hù)法》在繼承了三大原則的基礎(chǔ)上,增加了誠(chéng)信、質(zhì)量、最小范圍、目的限制等原則。例如《個(gè)人信息保護(hù)法》的第五條、第六條以及第七條均彰顯了個(gè)人信息處理的核心原則。同時(shí),《個(gè)人信息保護(hù)法》對(duì)“告知—同意”規(guī)則做出了更為明確具體的規(guī)定?!秱€(gè)人信息保護(hù)法》的第十七條規(guī)定了信息處理者在處理信息前應(yīng)當(dāng)以顯著的方式,并用清晰易懂的語(yǔ)言履行告知義務(wù)并取得同意。
《個(gè)人信息保護(hù)法》學(xué)習(xí)、吸收了2018 年歐盟《通用數(shù)據(jù)保護(hù)條例(GDPR)》關(guān)于個(gè)人信息保護(hù)境外效力的相關(guān)提法、做法和經(jīng)驗(yàn),在條款中明文規(guī)定了個(gè)人信息境外效力情形,耦合了國(guó)際個(gè)人信息保護(hù)的境外效力趨勢(shì)。根據(jù)《個(gè)人信息保護(hù)法》第三條第二款規(guī)定,在中華人民共和國(guó)境外處理中華人民共和國(guó)境內(nèi)自然人個(gè)人信息的活動(dòng),包括以向境內(nèi)自然人提供產(chǎn)品或者服務(wù)為目的的活動(dòng)(如麥肯錫、波士頓咨詢等大型國(guó)外咨詢公司向境內(nèi)的自然人提供咨詢服務(wù)),分析、評(píng)估境內(nèi)自然人的行為的活動(dòng)(如國(guó)際商業(yè)機(jī)器公司(IBM)發(fā)布的用戶行為調(diào)查報(bào)告),以及法律、行政法規(guī)規(guī)定的其他情形,均適用本法。個(gè)人信息境外效力的相關(guān)規(guī)定,進(jìn)一步明確和規(guī)范了個(gè)人信息國(guó)際流通的規(guī)范性,有效促進(jìn)國(guó)際交流合作和經(jīng)濟(jì)全球化健康可持續(xù)發(fā)展。
隨著大數(shù)據(jù)、數(shù)據(jù)挖掘、人工智能等現(xiàn)代信息技術(shù)在個(gè)人信息處理中的廣泛應(yīng)用,算法黑箱、信息繭房、羊群效應(yīng)、大數(shù)據(jù)殺熟等負(fù)面社會(huì)現(xiàn)象接踵而至,嚴(yán)重影響了經(jīng)濟(jì)秩序。為了扭轉(zhuǎn)局面、維持健康經(jīng)濟(jì)秩序,《個(gè)人信息保護(hù)法》第二十四條明確指出在進(jìn)行自動(dòng)化決策時(shí),個(gè)人信息處理者應(yīng)當(dāng)堅(jiān)持的原則,即決策的透明度和結(jié)果公平、公正,以及不得對(duì)個(gè)人實(shí)行不合理的差別待遇,包括交易價(jià)格等交易條件。同時(shí),要求個(gè)人信息處理者提供不具有針對(duì)性的選項(xiàng),如在營(yíng)銷信息推送時(shí)提供自動(dòng)化決策信息和非自動(dòng)化決策信息兩個(gè)選項(xiàng),由用戶自主選擇?!秱€(gè)人信息保護(hù)法》賦予了用戶拒絕的權(quán)利,即對(duì)于利用自動(dòng)化決策作出的結(jié)果用戶可以要求處理者說(shuō)明并拒絕那些對(duì)自己權(quán)益有重大影響的決定,這樣能夠有效避免信息處理者濫用自動(dòng)化決策。
《個(gè)人信息保護(hù)法》從人格尊嚴(yán)、人身及財(cái)產(chǎn)安全、是否年滿十四周歲等三個(gè)維度區(qū)分了敏感信息和非敏感信息?!秱€(gè)人信息保護(hù)法》用單獨(dú)的一節(jié)詳細(xì)厘定了個(gè)人敏感信息的處理原則和方法,例如利用敏感信息必須同時(shí)滿足以下兩個(gè)條件:一是具有特定的目的以及充分的必要性,二是采取嚴(yán)格保護(hù)措施。滿足以上兩個(gè)條件并不意味著信息處理者可以立即實(shí)施處理行為。個(gè)人信息處理者要充分告知個(gè)人信息處理的必要性及可能影響,取得單獨(dú)同意后才可實(shí)施處理敏感信息行為。這些規(guī)則展現(xiàn)了立法者對(duì)敏感個(gè)人信息的高度重視和嚴(yán)格保護(hù)。
確立信息主體在個(gè)人信息處理中享有的各項(xiàng)權(quán)利,有助于更好地管理自身信息權(quán)益,做好風(fēng)險(xiǎn)預(yù)期與防范,同時(shí)也有助于個(gè)人信息處理者更好地規(guī)范和約束自身信息處理行為。基于此,《個(gè)人信息保護(hù)法》用完整的一章,即第四章(第四十四條至第五十條)厘定了主體的權(quán)利,構(gòu)筑信息主體在個(gè)人信息處理活動(dòng)中的權(quán)利大樓,包括知情權(quán)、決定權(quán)、查詢復(fù)制權(quán)、轉(zhuǎn)移攜帶權(quán)、更正補(bǔ)充請(qǐng)求權(quán)、刪除請(qǐng)求權(quán)以及要求解釋說(shuō)明權(quán)七項(xiàng)權(quán)利[7]。
只有嚴(yán)格監(jiān)督個(gè)人信息處理者履行其在個(gè)人信息處理中各項(xiàng)義務(wù),才能更好地保證主體在個(gè)人信息處理中的權(quán)利。鑒于此,《個(gè)人信息保護(hù)法》專設(shè)一章對(duì)個(gè)人信息處理者的義務(wù)進(jìn)行了規(guī)制。一是規(guī)定了安全保障義務(wù),《個(gè)人信息保護(hù)法》第五十一條從“制定內(nèi)部管理制度和操作規(guī)程、對(duì)個(gè)人信息實(shí)行分類管理……法律及行政法規(guī)規(guī)定的其他措施”等六項(xiàng)措施來(lái)保證處理個(gè)人信息行為的合法性和安全性;二是規(guī)定了個(gè)人信息保護(hù)人制度[8],據(jù)第五十二條,處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者,應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人;三是個(gè)人信息保護(hù)影響評(píng)估制度,第五十五條規(guī)定了四種需要進(jìn)行個(gè)人信息保護(hù)影響評(píng)估的具體情形,即敏感信息的處理、進(jìn)行自動(dòng)化決策、委托或向其他處理者提供個(gè)人信息以及向境外提供信息,并最后利用對(duì)個(gè)人權(quán)利有無(wú)重大影響,來(lái)評(píng)估其他未列舉情形是否需要進(jìn)行評(píng)估作為兜底,以保證對(duì)個(gè)人信息的全面保護(hù);四是規(guī)定了大型互聯(lián)網(wǎng)平臺(tái)的特殊保護(hù)義務(wù),《個(gè)人信息保護(hù)法》要求其履行“守門人”角色,承擔(dān)更多的責(zé)任,例如由外部成員成立獨(dú)立機(jī)構(gòu)來(lái)進(jìn)行監(jiān)督工作,定期發(fā)布報(bào)告,以接受社會(huì)監(jiān)督[9]。
《個(gè)人信息保護(hù)法》在《民法典》對(duì)侵犯?jìng)€(gè)人信息權(quán)益的損害賠償規(guī)則的基礎(chǔ)上,進(jìn)一步加強(qiáng)了對(duì)個(gè)人信息權(quán)益的保護(hù),增加了許多強(qiáng)有力的個(gè)人信息保護(hù)措施[8]。第一,確立了民事責(zé)任、行政責(zé)任與刑事責(zé)任相結(jié)合的多維度、多層次、立體化責(zé)任體系;第二,確立個(gè)人信息侵害過(guò)錯(cuò)推定責(zé)任;第三,確立個(gè)人信息損害賠償責(zé)任。《個(gè)人信息保護(hù)法》在罰款相關(guān)的規(guī)定上也相當(dāng)嚴(yán)格,其中“處5000 萬(wàn)元以下或者上一年度營(yíng)業(yè)額5%以下罰款”,對(duì)比GDPR 的“對(duì)輕微罰款營(yíng)業(yè)額2%或1000 萬(wàn)歐元的罰款”,以及“對(duì)嚴(yán)重違約罰款全球營(yíng)業(yè)額的4%或2000 萬(wàn)歐元”處罰規(guī)則來(lái)看,我國(guó)的處罰程度與歐盟處在同一個(gè)量級(jí),體現(xiàn)了我國(guó)對(duì)違反個(gè)人信息保護(hù)制度的嚴(yán)厲處罰以及對(duì)個(gè)人信息的堅(jiān)決保護(hù)。
進(jìn)入以數(shù)據(jù)資源作為關(guān)鍵生產(chǎn)要素、以現(xiàn)代信息網(wǎng)絡(luò)作為重要載體、以信息通信技術(shù)的有效使用作為效率提升和經(jīng)濟(jì)結(jié)構(gòu)優(yōu)化的重要推動(dòng)力的數(shù)字經(jīng)濟(jì)時(shí)代[10],是經(jīng)濟(jì)、計(jì)算機(jī)科學(xué)技術(shù)發(fā)展的必然趨勢(shì)。通過(guò)數(shù)據(jù)挖掘分析把握市場(chǎng)深層次需求,利用精確的推薦算法程序滿足差異化、多樣化的需求,并指引商品生產(chǎn)規(guī)劃,動(dòng)態(tài)解決供需失衡問(wèn)題[11],從而形成高效穩(wěn)定供求關(guān)系,顯著提升市場(chǎng)效率,可以進(jìn)一步發(fā)揮數(shù)字經(jīng)濟(jì)優(yōu)勢(shì)、推動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展。因此,各網(wǎng)絡(luò)平臺(tái)應(yīng)當(dāng)樹(shù)立信息利用和信息保護(hù)“互促雙贏”的理念,在保護(hù)用戶個(gè)人信息的同時(shí),充分利用這一優(yōu)點(diǎn),找到信息保護(hù)和信息合理使用之間的平衡,促進(jìn)盈利增收的同時(shí)推動(dòng)數(shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展。從《個(gè)人信息保護(hù)法》第一條“為了保護(hù)個(gè)人信息權(quán)益,規(guī)范個(gè)人信息處理活動(dòng),促進(jìn)個(gè)人信息合理利用,根據(jù)憲法,制定本法”也能看出,信息保護(hù)和信息合理利用之間并不是相互對(duì)立、互不相容的關(guān)系,信息保護(hù)是信息合理利用的前提,合理利用信息是信息保護(hù)的目的[11]。
第一,準(zhǔn)確認(rèn)知《個(gè)人信息保護(hù)法》所提及的基礎(chǔ)原則。這些原則不僅反映了立法的指導(dǎo)原理和準(zhǔn)則,同時(shí)折射出當(dāng)今社會(huì)的價(jià)值取向、趨勢(shì)和要求。因此,平臺(tái)只有在各項(xiàng)原則的指導(dǎo)下進(jìn)行個(gè)人信息收集、處理等活動(dòng),才能建立起平臺(tái)的公信力,取得民眾的信賴,用戶才會(huì)放心地將個(gè)人信息授權(quán)給平臺(tái)使用。
第二,準(zhǔn)確識(shí)別不同個(gè)人信息類型的適用場(chǎng)景。非敏感個(gè)人信息、敏感個(gè)人信息及不同類型敏感個(gè)人信息的適用場(chǎng)景不同,處理方式也應(yīng)有所區(qū)別。例如,人臉識(shí)別這種屬于生物識(shí)別的敏感個(gè)人信息,平臺(tái)在收集、處理時(shí)應(yīng)該以單獨(dú)、顯著的方式征得用戶的同意,而且不能以用戶拒絕提供面部信息為由而拒絕提供服務(wù)。
第三,科學(xué)合法使用自動(dòng)化決策。對(duì)幾乎所有網(wǎng)絡(luò)平臺(tái)來(lái)講,自動(dòng)化決策解放了生產(chǎn)力。網(wǎng)絡(luò)平臺(tái)最常見(jiàn)的自動(dòng)化決策,是借助數(shù)據(jù)分析、可視化分析等手段將收集到的大量用戶個(gè)人信息構(gòu)建出用戶畫像,并依托推薦算法向用戶進(jìn)行個(gè)性化推薦,預(yù)測(cè)用戶購(gòu)買行為,影響甚至引導(dǎo)用戶的購(gòu)買決策。在《個(gè)人信息保護(hù)法》的指導(dǎo)下,網(wǎng)絡(luò)平臺(tái)應(yīng)該提高自動(dòng)化決策過(guò)程中的透明度,給予用戶選擇是否需要個(gè)性化推薦的選擇權(quán);對(duì)影響用戶做出重大決策的場(chǎng)景引入人工審核,并且在有第三方介入的場(chǎng)景時(shí)確保第三方系統(tǒng)滿足法律的要求;同時(shí),還可在使用用戶信息之前將用戶個(gè)人信息進(jìn)行加密處理,使處理后的數(shù)據(jù)無(wú)法反向定位、識(shí)別到具體用戶,借此保護(hù)用戶的信息。
從《個(gè)人信息保護(hù)法》對(duì)大體量的互聯(lián)網(wǎng)平臺(tái)在用戶個(gè)人信息保護(hù)的要求上來(lái)看,平臺(tái)需建立一套耦合《個(gè)人信息保護(hù)法》相關(guān)規(guī)定、符合自身實(shí)際的個(gè)人信息保護(hù)規(guī)章制度和完備且高效的數(shù)據(jù)管理體系與內(nèi)部監(jiān)管模式。例如,遵循公開(kāi)、公平、公正的原則,制定利用規(guī)則、過(guò)錯(cuò)推定責(zé)任認(rèn)定規(guī)則、違規(guī)處罰規(guī)則,明確平臺(tái)在個(gè)人信息利用中的“利用什么信息、用在哪些地方、如何利用、如何保護(hù)、如何約束、如何處理違規(guī)利用”;成立專門的個(gè)人信息保護(hù)小組或團(tuán)隊(duì),明確個(gè)人信息保護(hù)第一責(zé)任人,進(jìn)行合法合規(guī)、隱私保護(hù)方案具體實(shí)施的監(jiān)管,并逐步形成穩(wěn)定健全的監(jiān)督機(jī)制,充分履行個(gè)人信息保護(hù)“守門人”職責(zé)。
《中國(guó)互聯(lián)網(wǎng)發(fā)展報(bào)告2021》顯示,2020 年中國(guó)數(shù)字經(jīng)濟(jì)規(guī)模達(dá)到39.2 萬(wàn)億,占GDP 比重38.6%并保持了9.7%的高位增速。我國(guó)數(shù)字經(jīng)濟(jì)正以勢(shì)不可當(dāng)?shù)淖藨B(tài)闊步而來(lái)。各網(wǎng)絡(luò)平臺(tái)應(yīng)結(jié)合數(shù)字經(jīng)濟(jì)發(fā)展趨勢(shì)和規(guī)律,主動(dòng)迎接《個(gè)人信息保護(hù)法》,在以《個(gè)人信息保護(hù)法》為核心的網(wǎng)絡(luò)法律體系下進(jìn)行自我限定,及時(shí)轉(zhuǎn)變經(jīng)營(yíng)管理思路和方向,利用好、保護(hù)好用戶個(gè)人信息,定將享受到數(shù)字經(jīng)濟(jì)的優(yōu)勢(shì),分享到其帶來(lái)的紅利,進(jìn)而帶動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)健康可持續(xù)發(fā)展。