数据要素化背景下的个人信息保护与利用新秩序
随着网络化、数字化和智能化不断加深,人类社会已经步入数据智能时代。《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据与土地、资本、劳动力、技术并列为五大生产要素,这是我国适应时代变革对市场经济要素的新定位,具有重要的战略意义。
汇集相同主题、相互关联的数据,形成满足各种分析目的的数据集(dataset),从中挖掘知识,做出智能化决策,支撑人类各项活动的开展,是数据的生产要素价值所在。由于每个主体掌握的关于相同主体的数据总是有限的、不完整的,所以市场化和非市场化两种方式促进数据的社会化利用是实现数据生产要素价值的关键。
简言之,数据作为生产要素要求数据持有者对外提供、分享或流通数据。
由于个人是社会主体,一切社会活动均围绕个人展开,所以个人数据的分析利用是社会治理、商业活动等活动开展不可缺少的要素,甚至是撬动整个数据要素社会化利用的关键。近日向社会征求意见的《中华人民共和国个人信息保护法(草案)》(下称“个保法草案”)第一条对个保法的定位是正确的:平衡信息个人权益和社会价值(利益),促进数据要素分享利用,是个保法的基本目的和制度要求。
但是,个保法草案在内容设计上并没有真正设计出有利于个人数据社会化利用的合法通道,为数据要素市场化建设提供制度保障。
华东政法大学数据法律研究中心围绕数据要素市场建设目的,提出个保法草案修改建议,并提交第三届中国数据法律高峰论坛讨论。在吸收各方意见基础之上,论坛就个保法草案达成以下共识。
1.确立个人信息社会资源属性,保护数据处理者合法利益
个人数据/信息既承载个人利益(主体价值),也关系社会整体(各信息使用者)利益,每个个体的数据都是社会共同体数据资源的组成部分。通过个人信息识别社会个体是商业运营、公共服务、社会交往等活动开展的必要条件,因而个人信息是一直是可用的社会资源,是重要的生产要素。但是,信息技术不断迭代给个人作为主体的尊严、自由和隐私带来越来越多的危害,个人信息的收集和使用必须加以规范,以确保个人主体权益不受侵犯。
通过规范个人信息处理,个保法保护的是个人主体权益而不是保护个人信息本身,是要防范个人信息滥用,而不是由个人绝对控制个人信息的使用。建议个保法在总则部分明确个人信息的社会资源属性,以建立个人信息合法正当使用的原则。
要发挥数据的生产要素价值,就需要确认和保护数据使用者的合法权益。欧盟《通用数据保护条例》(下称“GDPR”)将“数据控制者或第三方为追求合法利益目的而进行的必要数据处理”作为数据可处理合法基础,实际上是对数据使用者的保护甚或“赋权”。因为每个社会主体在社会活动中都要使用个人信息,成为数据使用者(欧盟称为控制者,我国称为处理者),因而基于自身的合法利益可以使用个人数据(信息)即是赋予使用者自主使用个人信息的权利,只是该种权利以不侵害信息主体权益为前提。
我们认为,这一合法性基础是开启数据资源化利用的钥匙,个保法应当增加体现社会利益的合法性事由,即“为实现数据处理者正当利益需要使用个人信息的”。这样,社会主体可以援用正当利益条款使用个人信息,发挥个人信息的社会价值。
2. 建立原目的范围内可分享数据原则,鼓励受控的使用
目的限定原则可以实现个人信息的控制性使用,对保护主体权益具有重要意义。
目的限定原则包含两层具体的内涵:其一,数据控制者只能基于收集之初确定的具体、明确、合法的目的收集个人信息;其二,收集后不能再基于与收集时所确定之目的不相兼容的其他目的处理。这意味着,只要在初始确定的目的范围内或与初始目的相兼容,就可以再使用甚至对外提供;如果基于初始目的以外的数据处理与初始目的相兼容,则无需再获得新的合法性基础。
这是源自GDPR的规则,即:只要目的相容,就不需要新的法律基础(同意),可以再使用和对外提供个人信息(数据)。如果再使用或对外提供的目的完全不同于初始目的或不能预期的目的,或对数据主体产生不公平的影响,其目的是不相兼容的,在这种情形下的再处理需要获得数据主体特别同意。
个保法的基本原理认为,只要在主体同意的目的范围使用,个人数据的处理就被认为在个人意志控制之下,就可以避免个人信息滥用的风险。但这种观点已被实践证伪:面对数字时代高频的信息处理,个人没有充足的能力和时间判断个人信息处理是否构成滥用,是否为自身带来不可控的风险。更何况,与服务(或交易)捆绑的同意也无法反映主体的真实意愿,反而成为获取更多“授权”的工具。
为真正保护主体权益,避免个人信息被滥用的风险,不如通过目的相容给个人信息处理者一定的自由度,同时又真正将个人信息的使用限定在一定范围之内。目的相容条件下的分享数据规则即是这样的制度工具。建立这样的规则既可以避免个人信息滥用的风险,又可以允许受控制的个人信息使用,实现个人信息在一定范围内的分享利用。
3. 建立去标识化信息可以分享利用规则,促进个人信息社会化利用
当一个数据集去除与个人关联的信息(包括直接或间接关联的信息即广义的身份信息,实践称为标识符)后,可以防范个人信息处理对隐私的侵害,尤其减少处理中的信息泄露对个人安全的危害风险。
去标识后的个人信息仍然可以用于识别分析,但须适用个保法规定,只是应区分应用场景,适用不同规则:当不需要识别身份时,则不需要同意;当需要识别身份的时候,则需要取得主体同意。如果不区分应用场景,一律要求去标识化的个人信息处理仍需取得主体同意,那么,个人信息处理者就没有动机仅获取去标识化的个人信息,主体的个人信息泄露、滥用风险反而增加。建议个保法建立去标识数据的分享利用,而不是匿名化数据的对外提供规则。
真正做到匿名化的数据(即“经过处理无法识别特定自然人且不能复原”),即转化为抽象信息或知识,不再具有识别个人的分析价值。然而,在大数据环境下,匿名化的数据是否还能够识别一个人,取决于数据处理者掌握多少数据和采取什么样的算法。因而,将匿名化信息排除于个保法调整并可以对外提供的规定是有害于个人权益的。因此,匿名化宜理解为去除数据集风险的信息安全措施,而不是对外提供的安全措施。
建议个保法将去标识定义为:“去标识是对数据集进行处理,以减少数据集中与特定个人相关联信息的风险。”并规定“去标识个人信息可不经同意而对外提供,但使用去标识个人信息须遵守个保法规定”,以为去标识化信息的流通提供正向激励。如果个保法要规定匿名化,且将匿名化定义为“经过处理无法识别特定自然人且不能复原”,那么建议将其作为个人信息安全存管措施,而不是个人信息分享利用(对外提供)的规则。
4. 区分个人信息的控制和对个人信息处理行为的控制,建立有效保护信息主体权利规则
关于个人信息,个保法草案第四条与《民法典》第一千零三十四条的定义不同,采关联标准。有学者认为应当采《民法典》的定义,但是,我们认为个保法应当采国际通行的关联标准。
个人信息最主要的功能是识别个人,而识别个人信息的范围没有边界,能否识别一个人取决于用于识别的数据量和识别分析方法,而不能事先判断。因此建议,以关联标准定义个人信息,限缩其范围;对个人信息处理的定义突出识别分析,即“以识别分析为目的个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。实际上,个保法最为重要的是控制对个人的识别(行为),而不是控制个人信息,从而在区分对个人信息的控制和对个人信息处理行为(核心或目的是识别)控制的基础上建立清晰的规范。
之所以要将个人信息限于关联信息,是因为与特定个人关联的个人信息是有限、可识别和可判断的,以此为基础赋予信息主体一定控制性权利,是合理、正当和可操作的。比如,同意、更正、删除是针对关联信息本身。之所以将识别个人的信息排除于个人信息概念之外,是因为用于识别个人的信息广袤无边,不可识别和判断。设置个人对泛在信息的控制不仅对个人信息保护不具有实际意义,而且对收集者也徒增合规成本。
所有识别分析对个人权益均有潜在影响,也需要个人的“控制”,不过需要符合法律逻辑并具有可操作性。当一项权利的行使边界是清晰、有界限的时候,人们对自己的行为合法性就有判断,对行为结果有预期,就不会给社会造成困扰;而当权利边界不清晰时,就适合行为规范或责任规范。因此,针对处理行为而不是个人信息本身的权利(比如拒绝处理,拒绝自动识别约束)在个保法中就具有重要意义。
个保法调整的对象是个人信息处理行为,而不是个人信息(权利),核心是建构成处理者与信息主体之间的权利义务关系,防御个人信息处理行为侵害主体权利的风险,并在侵害行为发生时给予校正和救济。行为规范是个保法的正确方向,个保法需要在此意义之上理解和设计信息主体的权利和信息使用者(处理者)的义务,在限缩个人对个人信息本身的控制范围的同时,强化个人对处理行为和分析结果的异议和拒绝权利的配置。
5. 以具体的特殊类型信息替代一般的敏感信息,以清晰处理规则指引个人信息处理
个人信息复杂多样,对个人的影响不尽相同,因而可利用性和利用规则也不同。为此,世界各国普遍采“一般规范+特别规范”模式,个保法草案亦是如此,建立了敏感信息适用特殊规范。但是,我们建议不采敏感信息,而直接规定具体的特殊信息的特殊处理规则。
因为敏感信息源自信息安全管理,它是根据信息泄露给个人、国家或其他组织带来的风险进行划分的。更为重要的是,敏感信息本身需要界定和判断,在识别分析的语境下,脱离特定的应用场景、目的、方法(算法)等很难评估和判断某个信息的敏感性,采用敏感信息会给个保法适用带来不确定性或困惑。
另外,敏感信息本身也存在不同种类,敏感信息经处理后也可以变得不敏感,仍然可以发挥个人信息的资源价值,敏感信息作为一个框架性概念可能妨碍人们对可用数据的认知。比如,健康医疗信息多被认为是敏感信息,但只要做到去标识(身份)或不可识别,均可以用于医学和医药研究;为了公共利益和人类健康,也应当支持去标识(身份)或不可识别的健康医疗信息分享。
在这方面,我国可以借鉴GDPR以行为规范模式来规定特殊类型信息的处理规则,结合中国国情和文化明确哪些信息可处理,但不得披露;哪些信息可处理,但不能识别;又有哪些非经事先同意不得处理。这样的规范不仅使尽可能多的个人信息纳入处理范畴,而且可以建立明确清晰的处理行为规范。
6. 个保法应当为基于数据的决策提供宽松环境
个保法的初衷是针对自动处理,因为自动处理可能导致信息主体不知情或没有感知到信息处理,有可能对作为主体的人造成危害。在某种意义上,个保法本身就是防御“自动决策”给主体尊严或自由带来危害的,而不需要单独一个条文。关于自动决策,人们最关注的歧视或不公正问题,很难在个保法中通过强调个人权利来解决,而需要通过所涉领域法(如劳动法、消费者权益保护法)加以解决。
因此,个保法草案第二十五条第一款对自动化决策的特别规范中,有意义的内容是,个人“有权拒绝个人信息处理者仅通过自动化决策的方式作出决定”。因为,在自动决策成为商业、社会治理普遍现象的背景下,个人要求信息处理者对算法进行解释可能会对社会各种主体活动造成无端干扰,况且算法本身具有一定的不可解释性。因此,自动决策行为规范最适合事后救济,给予个人拒绝受约束的权利。这也是GDPR对自动决策的规范策略。
至于第二款,因《电子商务法》已有规定,毋需在个保法中予以重复。
人类社会已经迈入基于数据的决策阶段,基于数据的决策一定是运用算法的自动决策,基于数据的自动决策将成为社会的普遍现象,这也是数据作为生产要素最主要的实现方式。因此,个保法立法应当着眼于时代的变革,为数据驱动和智能决策创制宽松的环境。