|
中国社会科学院法学研究所副所长、研究员
全球范围内,运用大数据推动经济发展、完善社会治理、提升政府服务和监管能力成为趋势,数据已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着人们的生产方式、生活方式和社会治理方式,成为基本生产要素和驱动创新的重要杠杆。
大数据时代的挑战
数据作为基本生产要素,具有非独占性、非排他性特点,能为不同主体利用与共享。按照“梅特卡夫定律”,即一个网络的价值与这个网络节点数的平方成正比,网络节点属于线性增长,而节点增加带来的连接(网络价值)呈指数级增长。这说明,接入网络的主体越多,数据就越能被更多的主体使用,数据的网络效应就越大,其能创造的社会价值也就越大。这是大数据时代,数字经济飞速发展和数据驱动创新的内在奥秘。
一方面,以ChatGPT为代表的大模型的出现,对数据、算法与算力均提出更高要求,大数据的运用为通用人工智能技术突破开辟了广阔前景。从社会治理角度看,数据的有效采集与利用为国家治理体系与治理能力现代化奠定坚实基础,推进治理体系发生深刻变革。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称《意见》)明确,“数据基础制度建设事关国家发展和安全大局”。
另一方面,大数据是以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合,其中,最有价值的是个人信息。通过对数量巨大、来源分散、格式多样的数据进行采集、存储和关联分析,可以从中发现新知识、创造新价值,为用户提供个性化服务。大数据时代,随着数据价值与作用日益凸显,个人信息面临安全保护的挑战越来越大。国内外大量案例表明,个人信息被违法采集与滥用,直接关乎个人的名誉、生活安宁,甚至是生命与财产安全。对个人信息的侵害通常呈现被侵害对象广、危害链条长、违法行为边界模糊、维权与执法成本高等特点,造成个人信息保护难度加大。海量的个人信息构成大数据的基础。对个人信息的侵害,不仅侵犯个人权益,也会对经济安全、国家安全与社会公共利益带来各种延伸性、综合性挑战。如果个人信息得不到有效保护,势必会动摇大数据的基础。但如果以信息安全与保护为名,阻碍正常的数据流动与利用,必然会制造一个个分割的“数据孤岛”,同样不利于个人权益与公共利益的实现。
大数据时代的个人信息保护不仅关系着网络与信息安全,也直接制约着数据的有效利用与共享。处理得好,能实现双赢或多赢;处理得不好,就有可能顾此失彼,安全与发展难以兼顾,甚至陷入双输、多输结局,既没有安全,也难以发展。大数据时代的个人信息保护是一道综合题、多选题。在有效保护个人信息的基础上促进数据利用与共享,是大数据时代的必然要求。《意见》明确提出“以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线”,构建数据基础制度,是大数据时代个人信息保护的基本指导原则。
更好发挥法治固根本、稳预期、利长远的重要作用
法治兴则国兴,法治强则国强。为有效保护个人信息,近年来,我国对个人信息保护的规律性认识越来越深入,制度设计越来越完备,在《中华人民共和国刑法修正案(七)》、《中华人民共和国消费者权益保护法》、《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》(以下简称“个人信息保护法”)、《中华人民共和国反电信网络诈骗法》等重要立法中分别确立个人信息保护相关制度。例如,个人信息保护法在基本框架、立法目的、适用范围、核心概念、基本原则、例外安排、法律责任等方面,构造以“告知-同意”为核心的个人信息处理一系列规则,首次在我国确立系统的个人信息保护法律制度。同时,个人信息保护法充分尊重大数据规律,在系统强化对个人信息保护的同时,通过多种制度设计,为大数据利用与共享提供合法合规渠道。例如,在个人同意机制之外,明确个人信息处理的其他合法依据,为数据处理活动提供更多合法通道;引入个人信息去标识化、匿名化机制,为个人信息处理者通过管理或技术手段实现对个人信息的分类、分层处理提供法律保障;明确要求“针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准”,以降低初创企业和小型企业的数据处理合规成本;在合规审计与个人信息保护影响评估制度设计上赋予个人信息处理者更多自主决定权,既避免了采用检测、认证等传统手段可能带来的负面作用,又能实现以自律为主、自律与他律相结合的管理方式创新。
《中华人民共和国个人信息保护法》自2021年11月1日起施行。
我国个人信息保护法律制度与规范体系的确立来之不易,体现了时代特色,反映了时代规律。推进大数据时代的个人信息保护需要坚持全面依法治国基本原则,运用法治思维和方式推动各项个人信息保护法律规定的有效实施。一是要提高行政执法能力与水平,加大法律实施力度,以法律实施确立法治权威。二是在行政执法工作中,对于存在法律缺漏的领域要把握大数据时代的基本规律,提高执法与司法能动性,避免法律形式主义与机械执法,实现法律效果与社会效果的统一。三是要加强法律解释与实施细则制定工作,尽快填补法律缺漏,明确执法行为规范,规范执法自由裁量权,提高执法的可预期性,增强市场主体信心。四是对于实践证明不利于促进数据合规高效流通使用的一些现行法律规定,尤其是妨碍互操作的法律规定,要按照《数字中国建设整体布局规划》,及时按程序调整不适应数字化发展的法律制度。只有加大推动相关法律的立改废释工作(包括制定公共数据开放条例),才能进一步明确数据开发利用与个人信息保护之间的界限,为大数据开发利用奠定法律基础,并反过来更好地推动个人信息保护相关法律的实施。
推动个人信息处理者积极履行法律责任
个人信息处理者是个人信息保护的第一责任人,负有履行各项法律义务的责任。大数据时代,由于数据能带来巨大收益,而个人信息保护的守法成本由信息处理者承担,因此,信息处理者有很强的利用激励而缺乏同等程度的保护激励。随着数据价值日益彰显,信息处理者利用数据的激励会越来越强烈,激励失衡现象也会愈发突出,法律实施过程中遇到的挑战也会越来越大。如果不能因势利导,调动信息处理者的内在守法激励,只是简单施加各种禁止性或强制性规定,可能会因激励不相容而影响法律有效实施,还可能导致执行成本高、义务主体抵触、执行效果差、执行权威受损、运动式执法、选择性执法等连锁问题。为此,需要借鉴近年来国际社会的经验与国内领先企业的有益探索,以培育信息处理者内部治理机制为目标,将个人信息保护要求嵌入整体信息安全防范体系中,实现法律规范的外在要求与信息处理者的内在需要激励相容,达到既保护个人信息安全,又强化信息处理者的安全防范能力的双赢结果。
首先,需要走出传统的运行安全、系统安全的纯技术路径依赖,适应大数据时代特点,确立数据安全观念,把数据当作核心资产,确立用户个人信息至上的基本价值观,培育保护个人信息就是维护核心竞争力的认知,积极主动承担个人信息保护责任。其次,鼓励并督促信息处理者按照个人信息保护法的要求,完善内部治理结构,包括指定个人信息保护负责人、负责对个人信息处理活动以及采取的保护措施等进行监督,依法进行合规审计和个人信息保护影响评估,达到“守门人”标准的信息处理者成立主要由外部成员组成的独立机构对个人信息保护情况进行监督等。个人信息保护负责人应独立履行职责,享有任职保障,并直接向其单位最高管理层负责,使最高决策层能够直接过问个人信息保护问题。只有这样,才能从组织体系上实现个人信息保护与信息安全管理、安全管理与业务发展相融合。再次,改变过去合规与业务流程设计相互分离、就合规谈合规的传统做法,从业务流程设计开始就将个人信息保护要求嵌入产品与服务之中,体现设计即隐私、合规即发展的理念,实现个人信息保护全流程覆盖、全业务贯通的行为方式转变。最后,鼓励信息处理者积极采用科技手段,提升网络与数据安全防护水平,并探索通过多方安全计算、联邦学习、可信执行环境等隐私计算技术和去标识化、匿名化等方式,更好地实现大数据时代的个人信息保护。
构筑个人信息保护的社会共治格局
大数据时代的个人信息保护须依靠多元主体共同参与,利用多种不同手段,推动形成社会共治格局。要实现大数据利用与个人信息保护之间的协调发展,必须充分调动信息主体的积极性,构筑个人、信息处理者、执法者三者之间的多维治理结构。如果缺乏信息主体参与,缺乏完整的治理结构支撑,就难以出现激励相容的结果,大数据发展与个人信息保护也无法实现持久平衡。个人信息保护法全面规定了个人对其个人信息的处理享有的知情权、决定权,包括查阅权、复制权、信息可携权、更正权、删除权、解释说明权、诉讼请求权,为个人维护其个人信息权益提供了多种手段,使个人能够真正地参与个人信息保护。有必要在实践中针对不同权项,根据不同场景,由易到难,调动个人参与个人信息保护的积极性,形成有效的治理结构。
我国个人信息保护具有鲜明的公法执法与私法执法相结合的制度设计特点,既借鉴国际经验,又体现自身特点。我国的整体制度设计强调“预防”与“惩治”相结合,加强个人信息保护宣传教育,推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。在实践中,需要探索行业自律、社会监督、舆论监督、公益诉讼、国际合作等不同机制发挥作用的有效形式,多方参与,形成社会共治合力。个人信息保护法第七十条规定“个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、法律规定的消费者组织和由国家网信部门确定的组织可以依法向人民法院提起诉讼”,这为社会组织发挥作用提供了法定渠道。尤其是人民检察院作为公益诉讼的主体,具有权威性、专业性、统一性等特点,既可以很大程度上弥补履行个人信息保护职责的部门比较分散的不足,也可以做实做强公益诉讼机制,形成有效的社会共治格局。
稿件来源:中国网信杂志
|
|