李新社 工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心副主任
方興東 浙江大學(xué)社會治理研究院首席專家
薛軍 北京大學(xué)法學(xué)院教授
王利明 中國法學(xué)會副會長、中國人民大學(xué)教授
孫軒 南開大學(xué)數(shù)字城市治理實驗室主任、計算社會科學(xué)實驗室副主任
許可 對外經(jīng)貿(mào)大學(xué)數(shù)字經(jīng)濟(jì)與法律創(chuàng)新研究中心主任
謝鴻飛 中國社會科學(xué)院法學(xué)研究所民法研究室主任、中國社科院大學(xué)博導(dǎo)
11月1日,《個人信息保護(hù)法》正式施行。這是一部保護(hù)公民個人信息的專門法律,與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《電子商務(wù)法》《消費(fèi)者權(quán)益保護(hù)法》等法律共同編織成一張消費(fèi)者個人信息“保護(hù)網(wǎng)”。
近日,圍繞我國在個人信息保護(hù)和數(shù)據(jù)安全方面的現(xiàn)狀、存在的短板以及如何加強(qiáng)保護(hù)等議題,新京智庫聯(lián)合中國法學(xué)交流基金會新興產(chǎn)業(yè)發(fā)展及法治環(huán)境建設(shè)專項基金共同舉辦主題為“《個人信息保護(hù)法》落地實施,如何用好這個‘法’”的研討會,來自北京大學(xué)、中國社科院及工業(yè)和信息化部網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展中心等機(jī)構(gòu)的相關(guān)專家參與研討。
以具體典型案例推動規(guī)則落地
新京智庫:《個人信息保護(hù)法》實施后將發(fā)揮哪些作用?如何落實到位?
王利明:《個人信息保護(hù)法》要和《民法典》相結(jié)合,才能夠形成有效適用的一個規(guī)則體系。事實上《個人信息保護(hù)法》對于個人信息保護(hù)規(guī)則仍然有限,還有大量的保護(hù)規(guī)則,必須要從《民法典》里去尋找,所以《民法典》才是兜底性法律。例如,精神損害賠償,禁令制度等等,《個人信息保護(hù)法》就沒有具體規(guī)定。凡是在《個人信息保護(hù)法》里面找不到的保護(hù)規(guī)則,都得回歸到《民法典》去尋找。有人認(rèn)為《個人信息保護(hù)法》已經(jīng)足以滿足對個人信息保護(hù)的規(guī)定,那這個理解顯然是不妥當(dāng)?shù)模焕趯€人信息的全面有效保護(hù)。
薛軍:《個人信息保護(hù)法》的立意非常好,但它的一些規(guī)則還需要去明確和細(xì)化。在實施中,可以通過一些具體典型案例來推動規(guī)則落地。比如手機(jī)的運(yùn)動數(shù)據(jù),單獨(dú)來看其未必就一定要被界定為個人信息。
現(xiàn)在一些手機(jī)名義上叫手機(jī),但實際上是虛擬機(jī)。有些網(wǎng)絡(luò)黑灰產(chǎn)集團(tuán)利用這種虛擬機(jī)來薅羊毛,商家和平臺深惡痛絕。對此,一個很重要的識別方法就是收集手機(jī)的運(yùn)動數(shù)據(jù),來分析其是否屬于正常的收集。但如果要經(jīng)過用戶同意才能收集數(shù)據(jù),那“羊毛黨”通過設(shè)置,平臺可能就收集不到這些數(shù)據(jù),從而影響通過這種方法來識別一些與“貓池”里的虛擬機(jī)關(guān)聯(lián)的黑灰產(chǎn)賬號。某種意義上這樣會損害商業(yè)效率。
這就說明在界定個人信息的范圍時,一定要根據(jù)現(xiàn)實的情況,基于良好的利益衡量來進(jìn)行界定。通過具體的類似于杭州野生動物園刷臉入園案、微信讀書案等個案的精細(xì)打磨,慢慢把諸如個人信息的范圍和分類的問題具體化,落實下來。在這個過程中,法院是一個很好的抓手,監(jiān)管部門的專項治理活動等也能發(fā)揮積極作用。同時,消協(xié)等組織也要發(fā)揮積極作用。
《個人信息保護(hù)法》的出臺,盡管提供了一個很好的法律框架,但目前仍然存在一些問題,需要進(jìn)一步通過條例、法院裁判規(guī)則等加以完善、填充和落地。
《個人信息保護(hù)法》的有些條款比較粗線條、框架性,實操性不夠;有些則是存在多種理解方式。這些對企業(yè)的實際運(yùn)營而言,都有非常大的影響。
比如該法中一方面強(qiáng)調(diào),企業(yè)在為用戶提供服務(wù)前,要讓用戶明確是否同意采集個人信息;但同時又規(guī)定,如果用戶拒絕同意,企業(yè)依然需要為用戶提供服務(wù)。
這對企業(yè)而言就是一個難題。因為有些軟件的功能,缺乏相應(yīng)的個人信息是無法正常運(yùn)行的。值得注意的是,該法更多地體現(xiàn)了監(jiān)管思維,結(jié)合中國當(dāng)前的語境,其實需要更多地從民法的視角、從損害賠償?shù)慕嵌龋瑥氖芎φ呔葷?jì)的角度出發(fā)。
謝鴻飛:個人信息的損害賠償是需要及時跟上的必要環(huán)節(jié)。如果缺乏相應(yīng)的損害賠償,那么對于企業(yè)而言,可能會將與之相關(guān)的大量成本外部化,而非企業(yè)本身消化。
《民法典》明確了隱私信息,《個人信息保護(hù)法》明確了敏感信息,但在這些之外還存在一般信息。這些信息應(yīng)不應(yīng)該保護(hù),保護(hù)到何種程度,是個很大問題。尤其是,當(dāng)這些一般信息被泄露,卻既不構(gòu)成隱私權(quán)的損害,也不構(gòu)成財產(chǎn)權(quán)或人格權(quán)的損害時,能否從民法上找到對應(yīng)的損害,就是個問題了。
而在諸如電信詐騙的案例中,受損人無法確定是誰導(dǎo)致了個人信息被泄露,到目前為止,沒有看到有個人主動提起訴訟的案例。盡管檢察機(jī)關(guān)有代表受害人提起一些公益訴訟,但這些訴訟的訴求主要是賠禮道歉和刪除個人信息等,沒有見到有關(guān)任何賠償?shù)膬?nèi)容。這些手段都只是防御、保護(hù)性手段。
法律體系要綜合運(yùn)用起來,行政監(jiān)管和司法必須齊頭并進(jìn)。目前來看,法律的適用或者執(zhí)法過程中,偏重于行政監(jiān)管。在目前存在大量個人信息違法的情況下,僅依靠行政監(jiān)管發(fā)揮很大作用是不太現(xiàn)實的。
促進(jìn)數(shù)字經(jīng)濟(jì)相關(guān)產(chǎn)業(yè)發(fā)展
新京智庫:《個人信息保護(hù)法》實施對相關(guān)產(chǎn)業(yè)將帶來什么影響?
李新社:過去,我們不知道平臺或者是應(yīng)用提供方收集了哪些數(shù)據(jù),收集這些數(shù)據(jù)的目的是什么,他們怎么利用這些數(shù)據(jù)。《個人信息保護(hù)法》出臺后,明確了不能過度收集無關(guān)的個人信息。《個人信息保護(hù)法》《數(shù)據(jù)安全法》的出現(xiàn),對于產(chǎn)業(yè)的推動作用是明顯的。
比如,過去人們?nèi)ゾ频曜〉辏⒛槨⒁矸葑C等信息,這些信息都保存在酒店。現(xiàn)在已經(jīng)有公司在做第三方認(rèn)證。以后,可能顧客在酒店住店的時候,酒店只需要確認(rèn)站在面前的這個人是真實存在的,而不需要了解其他個人信息。從產(chǎn)業(yè)的角度來講,這推動了安全產(chǎn)業(yè)的發(fā)展。
《個人信息保護(hù)法》出臺實施,一方面提醒了廣大消費(fèi)者注意個人信息,也提醒了企業(yè)不能按照過去的玩法過度收集個人信息。從產(chǎn)業(yè)發(fā)展的角度來講,又催生了第三方驗證,保障信息不泄露、不被濫用等。因此,《個人信息保護(hù)法》的意義是相當(dāng)大的。
許可:《個人信息保護(hù)法》絕不只是個人信息保護(hù)的法律,還是一部促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的法律。
在過去幾年,企業(yè)存在著濫用個人信息的行為。但另一方面也要注意到,當(dāng)數(shù)據(jù)成為新的生產(chǎn)要素,成為數(shù)字經(jīng)濟(jì)推動力的時候,個人經(jīng)過數(shù)據(jù)化加工后的信息,也成為其中重要的生產(chǎn)要素。對此,企業(yè)實際上也是可以利用的,但非常重要的是,要給企業(yè)很重要的激勵,讓其摒棄濫用和錯誤的利用,走向正確的利用。這要進(jìn)一步明確合規(guī)免責(zé)邊界,推動企業(yè)用個人信息做好事,而不是做壞事。
《個人信息保護(hù)法》第13條,在《民法典》的基礎(chǔ)之上,增加了六項個人信息處理的正當(dāng)性事由,體現(xiàn)出在平衡個人信息保護(hù)和數(shù)字經(jīng)濟(jì)發(fā)展上非常重要的考量。第13條因此也被稱為《個人信息保護(hù)法》的法眼之所在。所以這部法律是推動中國數(shù)字經(jīng)濟(jì)健康穩(wěn)健發(fā)展的重要基礎(chǔ)。
孫軒:個人信息保護(hù)需要負(fù)面“處罰”與正面“引導(dǎo)”相結(jié)合。除了注意個人信息安全的制度,也可考慮個人信息合法合規(guī)利用的疏導(dǎo)。比如對公司、企業(yè)是否可以進(jìn)行使用個人信息的評價體系。如果一個企業(yè)使用個人信息非常規(guī)范,符合《個人信息保護(hù)法》等法規(guī)要求,可將其評為“五星”,而做得差的企業(yè),會面臨淘汰壓力。
方興東:過去中國互聯(lián)網(wǎng)行業(yè)的發(fā)展是“隱私驅(qū)動”型的。《個人信息保護(hù)法》等法律實施后,會推動互聯(lián)網(wǎng)行業(yè)回歸到以科技創(chuàng)新驅(qū)動的正常軌道。此外,這還將有助于中國互聯(lián)網(wǎng)的全球化。互聯(lián)網(wǎng)巨頭必須在個人信息保護(hù)方面達(dá)到歐美標(biāo)準(zhǔn),才可能在國外合法經(jīng)營,持續(xù)發(fā)展,真正實現(xiàn)全球化。
中國互聯(lián)網(wǎng)巨頭要經(jīng)歷一個估值的重新調(diào)整,這個過程跟這些法律會直接相關(guān)。目前的幾次專項治理行動并不是調(diào)整的長期因素,而這些法律會是一個長期的因素。
新法普及增加的企業(yè)成本需內(nèi)部消化
新京智庫:企業(yè)在網(wǎng)絡(luò)安全和個人信息保護(hù)方面做得如何?今后有哪些新要求?
許可:《個人信息保護(hù)法》是一部對企業(yè)經(jīng)營發(fā)展非常重要的法律規(guī)范。比如,以營業(yè)額5%的金額處罰,比歐盟GDPR的4%還要高,這會是一個非常大的威懾。政府對互聯(lián)網(wǎng)企業(yè)采取強(qiáng)監(jiān)管的態(tài)勢,這使得企業(yè)將高度重視個人信息保護(hù)工作。
《個人信息保護(hù)法》實施之后,對企業(yè)也提出了一些新的運(yùn)營要求。比如“單獨(dú)同意”原則,之前無論是《網(wǎng)絡(luò)安全法》,還是《信息安全技術(shù)個人信息安全規(guī)范》,都沒有涉及“單獨(dú)同意”規(guī)則。這次針對高風(fēng)險的個人信息處理行為,比如將個人信息向第三方提供,涉及敏感個人信息,個人信息的公開等,都需要經(jīng)過個人的“單獨(dú)同意”。
各個企業(yè)內(nèi)部需要進(jìn)一步去完善自己的合規(guī)體系,有一些企業(yè)要設(shè)立個人信息保護(hù)負(fù)責(zé)人,一些超大企業(yè)要設(shè)立個人信息保護(hù)委員會,還有的要根據(jù)算法要求設(shè)立算法隔離委員會等。這些都成為企業(yè)落實《個人信息保護(hù)法》重要的一環(huán)。
《個人信息保護(hù)法》是中國對于個人信息保護(hù)的一個非常鄭重的聲明。“這具有積極的信號作用,反映了我國保護(hù)個人信息的一種決心。”
《個人信息保護(hù)法》第11條指出,形成一個政府、企業(yè)、社會組織、公眾共同參與的個人信息保護(hù)的體系,這種各方共同參與的個人信息保護(hù)體系也是落實《個人信息保護(hù)法》的核心。
相關(guān)社會組織可發(fā)揮作用。首先,一些行業(yè)協(xié)會可以發(fā)揮標(biāo)準(zhǔn)制定的作用。其次,通過行業(yè)形成一些值得學(xué)習(xí)和借鑒的最佳實踐。再者,科技的發(fā)展推動最近幾年相關(guān)的技術(shù)得到大量關(guān)注。從根本上來說,個人信息的保護(hù)來自于科技的完善、發(fā)展,這也是解決個人信息保護(hù)的重要途徑。
公眾參與也很重要。公眾并不是個人信息的弱者,公眾某種意義上說是個人信息能不能被收集的關(guān)卡。對公眾來說,第一要提升個人信息的素養(yǎng),不要把一些信息輕易交出去。一些預(yù)裝的軟件、一些明顯來源不明的網(wǎng)址不要去打開。第二,《個人信息保護(hù)法》充分提升了個人信息的權(quán)益,包括查詢、查閱、更正、刪除、可轉(zhuǎn)移等一系列的權(quán)益。個人可以積極去行使這些權(quán)益,保護(hù)自己在數(shù)字空間中的個人信息。第三,適當(dāng)?shù)那闆r下,公眾可以向相關(guān)監(jiān)管機(jī)構(gòu)提起舉報甚至可以發(fā)起民事訴訟。
李新社:從保護(hù)的角度來講,《個人信息保護(hù)法》起到了保護(hù)作用;從產(chǎn)業(yè)角度來講,推動了一些技術(shù)創(chuàng)新。
謝鴻飛:《個人信息保護(hù)法》肯定會增加一些運(yùn)行成本,但這是企業(yè)必須承擔(dān)的。《個人信息保護(hù)法》規(guī)定的一些行為規(guī)范,企業(yè)在數(shù)據(jù)合規(guī)方面的一些義務(wù),是有利于個人利益和公共利益的。對企業(yè)來說,這部分成本應(yīng)該內(nèi)部消化,而不應(yīng)該由外部來消化。
薛軍:作為市場主體,企業(yè)對于生效的法律都有遵守、落實的責(zé)任,這是不容置疑的。但企業(yè)普遍存在的一個潛在擔(dān)憂是,是否會存在某種形式的劣幣驅(qū)逐良幣問題?因為《個人信息保護(hù)法》的大量規(guī)定,缺乏可操作性的規(guī)定,這可能使得一些企業(yè)處于觀望狀態(tài),要看看友商是怎么做的,看看競爭對手是怎么做的。因為對企業(yè)而言,做數(shù)據(jù)合規(guī)的成本是很高的,如果大家不是處于同一合規(guī)水準(zhǔn)之上,做得好的企業(yè),反而可能構(gòu)成對其市場競爭力的傷害。
我相信企業(yè)并沒有去做違法行為的內(nèi)在動力,很多人認(rèn)為企業(yè)好像不監(jiān)管就一定會違法,其實是不客觀的。企業(yè)的行為模式其實是服從于市場競爭的邏輯,當(dāng)企業(yè)明確知道某一法律的執(zhí)行,將會是嚴(yán)格的、公平的,不具有任何選擇性的,這時他們都會認(rèn)真遵守法律。但是當(dāng)法律的執(zhí)行帶有選擇性或者模糊不清的問題時,企業(yè)在經(jīng)營時就可能心存僥幸,主要還是擔(dān)心自己合規(guī)而別人不合規(guī),從而在市場競爭中處于劣勢。從這個角度看,執(zhí)法標(biāo)準(zhǔn)的公平、透明以及統(tǒng)一是極端重要的,是培養(yǎng)企業(yè)合規(guī)文化的基礎(chǔ)。
李新社:如果企業(yè)嚴(yán)格遵守了行業(yè)規(guī)范,但是與商業(yè)利益之間存在沖突該怎么辦?所以需要在遵紀(jì)守法的前提下推動企業(yè)發(fā)展,這才是立法的根本要求。如果立法后,企業(yè)什么都不干了,或者不能干了,不發(fā)展了,那就是有問題的。
《個人信息保護(hù)法》等一系列法規(guī)出臺后,企業(yè)一方面不能再用過去的思維無限度地擴(kuò)大自身收集數(shù)據(jù)的權(quán)利。另一方面,企業(yè)還需要在法律規(guī)范框架內(nèi),收集數(shù)據(jù)、應(yīng)用等,而且還要做得比原來更好,推動產(chǎn)業(yè)發(fā)展。
這一方面取決于企業(yè)遵紀(jì)守法的過程,同時還有一個監(jiān)管的過程,不能說法律規(guī)范出臺后企業(yè)就會自動去遵守。怎么監(jiān)管,如何利用監(jiān)管平臺?對企業(yè)持續(xù)經(jīng)營、產(chǎn)業(yè)長足發(fā)展來說,這都是一個挑戰(zhàn)。
從政府角度而言,如何在法律出臺之后,能夠健康快速推進(jìn)產(chǎn)業(yè)長足的發(fā)展,也是值得關(guān)注的。因為數(shù)據(jù)是將來社會的基礎(chǔ)資源,個人信息作為數(shù)據(jù)的一部分,也會成為社會資源的一部分。企業(yè)如何利用好這些資源給社會創(chuàng)造更大的財富,這需要一個過程。
許可:有句話說,100次普法不如一次執(zhí)法。相信在未來兩到三個月會有一系列的相關(guān)執(zhí)法行動。
孫軒:隨著數(shù)字化時代的到來,我們還要考慮怎樣基于算法、程序、考評機(jī)制等塑造一個全新的數(shù)字化社會。即我們一方面要不斷完善法律規(guī)范,另一方面又要提供一系列服務(wù),執(zhí)法與服務(wù)并舉,創(chuàng)建一個更加完善的市場機(jī)制以促進(jìn)經(jīng)濟(jì)的發(fā)展。當(dāng)然,很多內(nèi)容還需要政府、社會、企業(yè)來共同合作完成。
國外企業(yè)在合規(guī)下的經(jīng)營經(jīng)驗值得借鑒
新京智庫:國外在個人信息、數(shù)據(jù)安全方面有哪些值得借鑒的地方?
薛軍:相關(guān)法律的適用需要注意一些具體的語境,要考慮國家合規(guī)經(jīng)營的土壤,更要與政府的法治水平相適應(yīng)。不能把國外一些個人信息保護(hù)的問題和相應(yīng)的做法,跟國內(nèi)進(jìn)行簡單的橫向比較,如果不重視國內(nèi)的具體情況,單純把國外的制度挪用過來,有很大的風(fēng)險性。
謝鴻飛:每個國家都必須考慮自己本土的政治、經(jīng)濟(jì)、文化等的情況,但是我們也必須承認(rèn),在個人信息保護(hù)這個領(lǐng)域,中國和其他國家也有一些共同的地方,這個時候參考域外法的一些方案,還是有啟發(fā)意義的。
孫軒:歐美國家在個人信息保護(hù)問題上的態(tài)度一直是比較明確的,執(zhí)法力度也非常大,使得整個社會都形成了一種產(chǎn)業(yè)、行業(yè)的自覺性,就是有意識、主動地保護(hù)個人隱私。
頒布法律主要是提供一種行為準(zhǔn)繩、行為準(zhǔn)則,國外的這種個人信息保護(hù)的文化值得我們學(xué)習(xí)。
方興東:《個人信息保護(hù)法》在很多方面借鑒了歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)。中國要像過去幾十年學(xué)習(xí)美國的技術(shù)創(chuàng)新能力一樣,認(rèn)真學(xué)習(xí)歐洲在個人信息保護(hù)方面的制度創(chuàng)新能力,這不僅直接決定了我們在此方面的更新速度,甚至還決定未來在這方面趕超速度的快慢。
李新社:對企業(yè)來說,需要學(xué)習(xí)借鑒歐盟企業(yè)如何在合規(guī)的情況下合理合法地做經(jīng)營。GDPR頒布之后,很多企業(yè)為了合規(guī)性在內(nèi)部做了大量的技術(shù)改造工作。這就是法律最終對于市場和發(fā)展的一些影響,這是值得中國企業(yè)借鑒的。從數(shù)據(jù)安全角度來講,我們也應(yīng)該考慮哪些問題會對國家安全產(chǎn)生影響。這方面西方有些實踐對中國有借鑒意義。
許可:中國的《個人信息保護(hù)法》對應(yīng)歐盟來看,有兩個非常重要的特點,一個是很多條款過于原則,缺乏可操作性,需要未來出臺更細(xì)的規(guī)則加以補(bǔ)充和落實。第二是沒有貫徹基于風(fēng)險的規(guī)制思路,最典型的問題就是對于去標(biāo)識化的個人信息,沒有給予風(fēng)險減免。
中國可以借鑒韓國和新加坡相關(guān)立法,這些國家在某種程度上是吸收了很多歐洲國家的個人信息保護(hù)做法,同時又增加了促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展的行業(yè)規(guī)制。
典型的例子就是新加坡對于個人信息保護(hù)增加了一個非常重要的合理性事由,那就是基于創(chuàng)新的個人信息的使用。對于企業(yè)來說,如果真的是創(chuàng)新活動,就可以使用個人信息。
方興東:《個人信息保護(hù)法》本質(zhì)上并不是僅僅為了解決當(dāng)前面臨的一些問題,最核心的還是面向未來,這是人類在數(shù)字時代面臨的共同機(jī)遇和挑戰(zhàn)。中國在借鑒其他國家經(jīng)驗的同時,并不妨礙突出中國的特色,更不影響中國以后站在別人的肩膀之上去貢獻(xiàn)制度創(chuàng)新。
新京報記者 鄭偉彬 柯銳 肖隆平 查志遠(yuǎn)
