編者按:大數(shù)據(jù)背景下,“可識別性”個人數(shù)據(jù)的范圍不斷擴大,分類也趨于模糊化,個人數(shù)據(jù)法律保護面臨諸多困境。歐美通過立法改革積極應(yīng)對新技術(shù)背景下個人數(shù)據(jù)保護的新挑戰(zhàn)。我國需認(rèn)識到大數(shù)據(jù)背景下個人數(shù)據(jù)保護立法的滯后性,理性確立個人數(shù)據(jù)保護法的價值取向,對內(nèi)選擇適合國情的個人數(shù)據(jù)法律保護模式,對外有效應(yīng)對個人數(shù)據(jù)保護立法的國際化趨勢。
隨著云計算、云存儲、物聯(lián)網(wǎng)等新技術(shù)的應(yīng)用,人們通過社交網(wǎng)絡(luò)、電子商務(wù)平臺及移動智能終端等途徑搜集、處理的各種數(shù)據(jù)呈爆炸性增長,在容量、關(guān)系和復(fù)雜性等方面已超出了傳統(tǒng)的處理能力和認(rèn)知范疇,從而步入了大數(shù)據(jù)時代。在傳統(tǒng)網(wǎng)絡(luò)數(shù)據(jù)保護問題尚未得到有效解決的情形下,大數(shù)據(jù)時代的到來又給個人數(shù)據(jù)保護帶來了更多新的難題與挑戰(zhàn),亟需從立法層面予以應(yīng)對。
大數(shù)據(jù)與個人數(shù)據(jù)
1. 大數(shù)據(jù)的內(nèi)涵與特征
大數(shù)據(jù)是一個比較抽象的概念,目前尚無確切、公認(rèn)的定義。最早提出大數(shù)據(jù),并認(rèn)識到其重要性的是全球知名咨詢公司麥肯錫。涂子沛在《大數(shù)據(jù)》中提到:“大數(shù)據(jù)”指一般的軟件工具難以捕捉、管理和分析的大容量數(shù)據(jù),一般以“太字節(jié)”為單位。美國學(xué)者維克托·邁爾·舍恩伯格將大數(shù)據(jù)解釋為是人們獲得新的認(rèn)知、創(chuàng)造新的價值的源泉,是改變市場、組織機構(gòu),以及政府與公民關(guān)系的方法。大數(shù)據(jù)將不再苦苦追尋數(shù)據(jù)之間的因果關(guān)系,而是探尋數(shù)據(jù)之間的相關(guān)性,并進行合理的預(yù)測。通過大數(shù)據(jù)分析,藥學(xué)家可以更便捷地測定藥物的交叉反應(yīng);商家能及時解讀看似雜亂無章的消費者行為,誘導(dǎo)購買;犯罪學(xué)家創(chuàng)建了算法犯罪學(xué),用來預(yù)防并懲治犯罪??梢?,大數(shù)據(jù)的突出價值在于通過預(yù)測獲得新知識,以促進決策實現(xiàn),從而創(chuàng)造新的社會價值。
2. 大數(shù)據(jù)背景下對“個人數(shù)據(jù)”的重新審視
個人數(shù)據(jù)是一個特定的法律概念,與之類似的概念還有“隱私”、“個人信息”。學(xué)理上認(rèn)為個人數(shù)據(jù)是指與個人相關(guān)的,能夠直接或間接識別個人的數(shù)據(jù)。在歐盟立法中,“可識別性”是判斷“個人數(shù)據(jù)”的最重要標(biāo)準(zhǔn)。但大數(shù)據(jù)背景下,“個人數(shù)據(jù)”需被重新審視:
首先,“個人數(shù)據(jù)”的范圍不斷擴大。“可識別性”是個人數(shù)據(jù)的重要屬性,但區(qū)分可識別性程度的工具是技術(shù)。數(shù)據(jù)搜集與再識別化技術(shù)的應(yīng)用使得很多價值密度低的數(shù)據(jù)更易被賦予“可識別性”特征。商業(yè)機構(gòu)通過有效組合和集成互聯(lián)網(wǎng)用戶的消費信息、網(wǎng)頁搜集信息、社交網(wǎng)絡(luò)上的個人信息、智能手機的位置信息以及智能電表使用信息等,可快速對某特定的自然人“塑形”。以智能電表的使用為例:個人生活用電時,每種電器在工作和通電情況下的負(fù)荷特征是不同的,智能電表能持續(xù)記錄這些特征,并予以收集和存儲。對這些用電數(shù)據(jù)的分析,可以知道個人在某一時間段所打開的電器以及進行的活動,進而可以利用長期積累的數(shù)據(jù)推測人們的生活習(xí)慣,如作息時間,這顯然已可歸屬于個人數(shù)據(jù)的范疇。不難預(yù)知,大數(shù)據(jù)的發(fā)展以及相關(guān)技術(shù)的應(yīng)用將會使得傳統(tǒng)上不可識別的某些數(shù)據(jù)轉(zhuǎn)化為可識別的,從而拓寬個人數(shù)據(jù)的范圍。
其次,個人數(shù)據(jù)的分類逐漸模糊。學(xué)理上以個人數(shù)據(jù)是否涉及個人隱私為標(biāo)準(zhǔn),分為敏感性與非敏感性個人數(shù)據(jù)。敏感性個人數(shù)據(jù)指涉及個人隱私的數(shù)據(jù),非敏感性個人數(shù)據(jù)是指不涉及個人隱私的數(shù)據(jù)。法律劃分敏感性個人數(shù)據(jù)與非敏感性個人數(shù)據(jù)的用意在于區(qū)分其保護程度與方式。敏感性個人數(shù)據(jù)的收集與處理需要法律給予特殊的保護,而特殊保護的方式就是強化數(shù)據(jù)主體的知情權(quán)與控制權(quán)。隨著新技術(shù)的應(yīng)用,足夠大的數(shù)據(jù)量以及不同來源的數(shù)據(jù)的有效結(jié)合,將會大大增進數(shù)據(jù)之間的交叉檢驗和對比分析,從而使得非敏感與敏感性個人數(shù)據(jù)產(chǎn)生聯(lián)系,進而逐漸模糊兩者之間的界限。這也提醒人們要意識到傳統(tǒng)意義上的某些非敏感數(shù)據(jù)是否也應(yīng)加以特殊保護。
大數(shù)據(jù)背景下個人數(shù)據(jù)法律保護之困境
在傳統(tǒng)立法中的個人數(shù)據(jù)保護問題尚未得到有效解決的情形下,大數(shù)據(jù)時代的到來又給個人數(shù)據(jù)法律保護帶來了新的困惑,主要表現(xiàn)為以下方面:
1. 數(shù)據(jù)主體的對數(shù)據(jù)的控制權(quán)嚴(yán)重削弱
數(shù)據(jù)控制權(quán)是指數(shù)據(jù)主體有權(quán)決定其個人信息在何時、何地及以何種方式被收集、處理及利用。數(shù)據(jù)控制權(quán)的削弱表現(xiàn)為數(shù)據(jù)主體在接收信息上的不對稱,即不了解自己的數(shù)據(jù)何時、何地、被何人、以何種方式進行了處理,主要原因在于:第一,傳統(tǒng)數(shù)據(jù)保護的“匿名化”失效。匿名化指通過技術(shù)措施,讓所有能揭示個人情況的數(shù)據(jù)都不出現(xiàn)在數(shù)據(jù)集里。通過匿名化處理,個人的在線活動及與之相關(guān)的搜索記錄、圖片、地理位置等碎片化數(shù)據(jù)被廣泛的記錄與追蹤似乎并不能侵犯數(shù)據(jù)主體的數(shù)據(jù)控制權(quán)。但隨著數(shù)據(jù)來源、數(shù)量的增多及數(shù)據(jù)分析技術(shù)的應(yīng)用,社交網(wǎng)絡(luò)和互聯(lián)網(wǎng)公司收集的數(shù)據(jù)已呈現(xiàn)出很強的身份特征。例如,哈佛大學(xué)教授拉塔尼婭·斯威尼研究顯示,只要知道一個人的年齡、性別和郵編,并與公開的數(shù)據(jù)庫交叉對比,便可識別出87%的人的身份。第二,透明度原則受到?jīng)_擊。透明度原則是歐盟數(shù)據(jù)保護的基本原則,指應(yīng)當(dāng)告知數(shù)據(jù)主體其個人數(shù)據(jù)的處理的基本情況,如在數(shù)據(jù)收集環(huán)節(jié),通過隱私通知形式,告知數(shù)據(jù)主體數(shù)據(jù)處理的目的。在大數(shù)據(jù)背景下,數(shù)據(jù)主體很難知道數(shù)據(jù)收集、分析與利用是否基于特定的目的。
2. 數(shù)據(jù)控制者數(shù)據(jù)壟斷不斷強化
數(shù)據(jù)控制者的概念來源于歐盟法,是指單獨或與他人聯(lián)合決定個人數(shù)據(jù)的處理目的、條件和方法的自然人、法人、公共機構(gòu)或其它實體。在大數(shù)據(jù)環(huán)境下,海量的數(shù)據(jù)往往以聚合形式存在于社交網(wǎng)絡(luò)平臺、電子商務(wù)平臺及移動智能終端平臺,這也意味著一些具有資金與技術(shù)優(yōu)勢的大型網(wǎng)絡(luò)服務(wù)提供商更容易實現(xiàn)數(shù)據(jù)壟斷。實現(xiàn)數(shù)據(jù)壟斷的公司會采取措施限制用戶移轉(zhuǎn)適用通用格式或結(jié)構(gòu)的個人數(shù)據(jù)的副本到其它類似公司的信息處理系統(tǒng),從而達(dá)到占有數(shù)據(jù)資源,規(guī)避競爭的目的。大數(shù)據(jù)的預(yù)測價值來源于數(shù)據(jù)自由與共享,而數(shù)據(jù)壟斷伴隨著數(shù)據(jù)割裂與數(shù)據(jù)鴻溝,使大數(shù)據(jù)的社會價值大打折扣,同時也進一步削弱了數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)。
3. 數(shù)據(jù)安全風(fēng)險和數(shù)據(jù)監(jiān)控風(fēng)險增加
在云計算環(huán)境下,數(shù)據(jù)將被集中存儲,并形成一個超大的數(shù)據(jù)共享中心。這種數(shù)據(jù)存儲的集中化特性使數(shù)據(jù)保護更加便捷,但也更易產(chǎn)生數(shù)據(jù)混同、數(shù)據(jù)丟失或引誘惡意攻擊。云計算采用開放接入訪問模式,訪問節(jié)點多而分散,動態(tài)性和虛擬性加強,數(shù)據(jù)傳輸可能跨越多個國家、地區(qū),使個人數(shù)據(jù)被非法竊取、攻擊、修改和破壞的幾率增加。當(dāng)數(shù)據(jù)過期并需要刪除或銷毀時,云服務(wù)提供商可因為故意或過失而未完全刪除或銷毀所持有的數(shù)據(jù)或備份,數(shù)據(jù)的安全性便會因此受到威脅。此外,大數(shù)據(jù)時代的監(jiān)控可謂無孔不入,這種監(jiān)控并不僅僅反映在數(shù)據(jù)的大規(guī)模非法收集上(如“棱鏡門”事件),還表現(xiàn)在利用數(shù)據(jù)分析與挖掘技術(shù),將收集到的各類數(shù)據(jù)進行交叉比對、分析檢驗,從而將某個特定的主體從數(shù)據(jù)群中“提取”出來的能力提升。這不僅使數(shù)據(jù)主體無法充分掌控自己的數(shù)據(jù),還會使其受到不公正的待遇。
4. “通知—同意”規(guī)則難以有效執(zhí)行
“通知—同意”規(guī)則是歐美數(shù)據(jù)保護立法的核心性規(guī)則,是指數(shù)據(jù)控制者和處理者在收集、處理數(shù)據(jù)時須事先告知用戶,并得到用戶的明示或者默示的許可。在大數(shù)據(jù)背景下下,“通知—同意”規(guī)則的執(zhí)行力度因難以把控而顯得格格不入。以云計算機為例,云服務(wù)商為取得數(shù)據(jù)主體的明示許可,須耗費巨大資金,在其系統(tǒng)軟件中設(shè)計新的收集數(shù)據(jù)主體做出同意的方式。數(shù)據(jù)主體也會因此反復(fù)簽署數(shù)據(jù)控制者或處理者為確保數(shù)據(jù)主體做出明確同意的意思表示而提供的合同,這不利于數(shù)據(jù)主體順暢的使用現(xiàn)代化服務(wù)。但“通知—同意”規(guī)則若不執(zhí)行或?qū)捤蓤?zhí)行則將導(dǎo)致數(shù)據(jù)主體對個人數(shù)據(jù)的控制力下降甚至消失,如何趨利避害是完善該規(guī)則的關(guān)鍵所在。
5. 責(zé)任追究難度加大
在云環(huán)境中,個人數(shù)據(jù)安全風(fēng)險存在與數(shù)據(jù)存儲、傳輸、處理及銷毀等全生命周期中,涉及政府、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)主體等多方主體參與者,責(zé)任主體的多元化使得責(zé)任認(rèn)定難度增加。此外,越來越多的企業(yè)聚集成為共同利益集團,在集團內(nèi)部進行數(shù)據(jù)的共享,同一數(shù)據(jù)需要供給多個主體使用,即呈現(xiàn)“多對多”的模式。在這一模式下,由于數(shù)據(jù)接口的多樣性,往往會被多個主體訪問和使用,使責(zé)任主體難以辨識。
大數(shù)據(jù)背景下歐美個人數(shù)據(jù)保護立法的回應(yīng)與變革
權(quán)利保障與促進數(shù)據(jù)自由流動是各國數(shù)據(jù)保護立法的基本價值功能,如何在尊重各國文化、法律、政治及經(jīng)濟發(fā)展實際狀況的基礎(chǔ)上,將其內(nèi)化到數(shù)據(jù)保護法律規(guī)則的制定中是最大的難題,也是歐盟和美國數(shù)據(jù)保護立法最主要的分歧所在。
1. 歐盟個人數(shù)據(jù)保護立法動向:對個人權(quán)利保障的關(guān)切
歐盟數(shù)據(jù)保護法以其綜合性、完整性和統(tǒng)一性而備受關(guān)注。為應(yīng)對新興技術(shù)的發(fā)展所帶來的挑戰(zhàn),歐盟于2012年提出了《歐洲議會和理事會關(guān)于個人數(shù)據(jù)處理中個人權(quán)利保護及促進個人數(shù)據(jù)自由流通條例草案》(下文簡稱《條例草案》),對1995年《個人數(shù)據(jù)保護指令》(下文簡稱《指令》)做出了諸多變革,主要包括以下幾方面:
第一,加強數(shù)據(jù)主體對數(shù)據(jù)的控制權(quán)?!吨噶睢凡⑽疵鞔_個人“同意”是積極同意還是消極同意,而《條例草案》規(guī)定,數(shù)據(jù)主體同意是指數(shù)據(jù)主體自愿給出的、具體的、有根據(jù)的、詳細(xì)的、表明其意愿的說明,該說明可以通過聲明或明確肯定的行動表示。此外,《條例草案》還增加數(shù)據(jù)刪除權(quán) 與數(shù)據(jù)可攜權(quán)二項創(chuàng)新性權(quán)利。第二,增加數(shù)據(jù)控制者對數(shù)據(jù)安全風(fēng)險的防御義務(wù),主要包括數(shù)據(jù)保護影響評估和設(shè)計隱私與默認(rèn)隱私規(guī)則;第三,懲罰措施更為嚴(yán)厲。《條例草案》規(guī)定了對數(shù)據(jù)違法行為的各種罰款,對自然人最高可處25萬歐元至100萬歐元的罰款,對跨國企業(yè)最高可處其全球年收入的0.5%至2%的罰款,對無商業(yè)利益的個人及雇員人數(shù)為250人以下的以非數(shù)據(jù)處理為主業(yè)的企業(yè)可免除上述行政處罰;第四,改革數(shù)據(jù)保護機構(gòu)。“歐盟數(shù)據(jù)保護委員會”取代了“第29條數(shù)據(jù)保護工作組”,成為歐盟數(shù)據(jù)保護的咨詢協(xié)調(diào)與監(jiān)督機構(gòu),并為跨國企業(yè)的數(shù)據(jù)處理行為提供“一站式”監(jiān)管。
2. 美國個人數(shù)據(jù)保護立法動向:對數(shù)據(jù)自由與技術(shù)進步的關(guān)切
為回應(yīng)大數(shù)據(jù)發(fā)展對隱私保護帶來的挑戰(zhàn),美國也在積極推動相關(guān)立法與政策變革。2012年,美國總統(tǒng)奧巴馬簽署工作報告—《網(wǎng)絡(luò)環(huán)境下消費者數(shù)據(jù)的隱私保護—在全球數(shù)字經(jīng)濟背景下保護隱私和促進創(chuàng)新的政策框架》(簡稱《隱私權(quán)報告》),《消費者隱私權(quán)利法案》隨之被提出。該法案進一步強化了通知與同意的法律規(guī)則、數(shù)據(jù)保存與處理的安全責(zé)任及事后問責(zé)制。2014年,美國總統(tǒng)執(zhí)行辦公室發(fā)布全球大數(shù)據(jù)“白皮書”—《大數(shù)據(jù):把握機遇,守護價值》。白皮書顯示,美國在平衡技術(shù)進步與個人數(shù)據(jù)保護關(guān)系中的基本價值取向——對技術(shù)進步與經(jīng)濟發(fā)展更為關(guān)切。
3. 比較與評析
美歐數(shù)據(jù)保護立法政策的制定受制于各自的文化、法律、經(jīng)濟發(fā)展及政治現(xiàn)實,在內(nèi)容與立法價值的取向上有所不同。歐盟為個人數(shù)據(jù)保護提供統(tǒng)一、強制性的標(biāo)準(zhǔn),有利于保障個人權(quán)利及數(shù)據(jù)的自由流通。但若不能協(xié)調(diào)法律的穩(wěn)定性、滯后性與技術(shù)發(fā)展的高速性之間的矛盾,統(tǒng)一立法難以發(fā)揮預(yù)設(shè)的調(diào)控效果。美國分散立法與行業(yè)自律相結(jié)合的個人數(shù)據(jù)保護模式調(diào)動了企業(yè)保護個人數(shù)據(jù)的主動性,增強了個人數(shù)據(jù)保護的針對性與靈活性,降低了執(zhí)法成本。但由于缺乏法律強制力約束,數(shù)據(jù)主體的法律救濟不足,難以有效維權(quán)。
大數(shù)據(jù)背景下我國個人數(shù)據(jù)保護法律保護模式的思考
大數(shù)據(jù)背景下,個人數(shù)據(jù)的法律保護面臨諸多困境,如何確立適合本國國情的數(shù)據(jù)保護立法政策是問題的關(guān)鍵。我國應(yīng)從厘清現(xiàn)有數(shù)據(jù)保護立法政策的滯后性入手,理性定位立法的價值取向,并以此為指引,完善我國個人數(shù)據(jù)保護的法律模式。
1. 我國個人數(shù)據(jù)保護制度的滯后性
目前,我國雖沒有制定專門性的個人數(shù)據(jù)保護法,但與之相關(guān)的法律法規(guī)仍然存在。對個人數(shù)據(jù)直接保護的立法包括《刑法》、《侵權(quán)責(zé)任法》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等,對個人數(shù)據(jù)間接保護的立法包括《憲法》、《民法通則》等。此外,還包括一些針對特殊領(lǐng)域與特殊主體的法律和法規(guī),如《未成年人保護法》、《婦女權(quán)益保護法》、《執(zhí)業(yè)醫(yī)師法》、《轉(zhuǎn)染病防治法》等。在云計算、大數(shù)據(jù)快速發(fā)展的技術(shù)背景下,我國個人數(shù)據(jù)保護立法的滯后性顯而易見:第一,未建立統(tǒng)一的立法規(guī)劃與數(shù)據(jù)保護執(zhí)法機構(gòu),導(dǎo)致現(xiàn)有法律法規(guī)對個人數(shù)據(jù)的保護力度相對較?。坏诙?,現(xiàn)有立法調(diào)整范圍有限,僅局限于“加害行為”,而并非針對“數(shù)據(jù)處理行為”,導(dǎo)致無法有效治理數(shù)據(jù)流轉(zhuǎn)的全生命周期中的安全風(fēng)險;第三,未建立針對數(shù)據(jù)主體、數(shù)據(jù)控制者與處理者的核心權(quán)利義務(wù)的法律規(guī)則,導(dǎo)致個人數(shù)據(jù)保護僅停留在“下游”階段;第四,忽視了云計算、大數(shù)據(jù)快速發(fā)展這一時代背景和數(shù)據(jù)保護的全球化趨勢,使跨國企業(yè)在“走出去”時障礙重重。
2. 立法的價值取向:權(quán)利保障與數(shù)據(jù)自由流動的價值平衡
我國在數(shù)據(jù)保護立法中應(yīng)充分考慮價值平衡這一問題,在認(rèn)清基本國情的基礎(chǔ)上,在對“技術(shù)的信仰和人身的信仰之間”,需求一個平衡的支點:
首先,應(yīng)理性認(rèn)識大數(shù)據(jù)技術(shù)背景下的個人數(shù)據(jù)保護問題。大數(shù)據(jù)因其強大的“預(yù)測”功能被應(yīng)用于國家安全、社會干預(yù)、金融、銷售、醫(yī)療保健等各個方面,成為國家經(jīng)濟增長與企業(yè)盈利的助推器。數(shù)據(jù)分析與挖掘技術(shù)的進步不斷擴大數(shù)據(jù)的“可識別性”的范圍,具有人格權(quán)屬性的個人數(shù)據(jù)也是一種社會經(jīng)濟資源,因此不能以拒絕或排斥的眼光看待個人數(shù)據(jù)的商業(yè)化利用;其次,應(yīng)處理好權(quán)利保護與權(quán)利限制的關(guān)系。權(quán)利保護是數(shù)據(jù)保護立法的核心,但對權(quán)利保護的過分強調(diào)必將克減數(shù)據(jù)自由流動的機會、增加商業(yè)成本,使得大數(shù)據(jù)的社會價值無法有效發(fā)揮。因此,權(quán)利限制應(yīng)成為權(quán)利保障的有益補充,當(dāng)涉及國家安全、國家防御、刑事犯罪、重大公共利益、他人的生命或重要權(quán)利時,數(shù)據(jù)主體的權(quán)利應(yīng)遵循“個案平衡”原則相應(yīng)克減。第三,應(yīng)選擇或設(shè)計成本最低、效率最高的權(quán)利保護規(guī)則,以促進數(shù)據(jù)自由流動。
3. 建構(gòu)符合我國國情的個人數(shù)據(jù)法律保護模式的思路
(1)確立適合國情的“綜合保護”立法模式
立法模式在很大程度上承載著立法者的價值期望。在我國,統(tǒng)一立法、分散立法與行業(yè)自律相結(jié)合的“綜合保護”立法模式是最佳途徑:首先,數(shù)據(jù)處理行為應(yīng)設(shè)定普遍的法律規(guī)則,制定統(tǒng)一的個人數(shù)據(jù)保護法是當(dāng)務(wù)之急。歐盟與我國同屬大陸法系國家,其法律體系于我國具有很強的兼容和相洽性,歐盟統(tǒng)一立法模式可為我國提供有益借鑒;其次,還應(yīng)認(rèn)識到數(shù)據(jù)處理行為及個人數(shù)據(jù)存在差異性,可根據(jù)數(shù)據(jù)類型及處理行為的差異設(shè)定特殊的規(guī)則,比如在犯罪偵查、醫(yī)療、科研等特殊領(lǐng)域或涉及到個人敏感數(shù)據(jù)的行業(yè)設(shè)立特殊規(guī)則;第三,應(yīng)鼓勵和引導(dǎo)行業(yè)自律。由于我國缺乏自律傳統(tǒng)與自律文化,行業(yè)自律最大的弊端是缺乏約束力,可考慮賦予經(jīng)審查的自律規(guī)范以法律效力,或引入激勵機制,以保障行業(yè)自律的實施效力,使其成為立法的有益補充。
(2)明確基本的個人數(shù)據(jù)權(quán)利
在數(shù)據(jù)保護立法中,個人權(quán)利保護是核心內(nèi)容。個人數(shù)據(jù)權(quán)利與隱私權(quán)是經(jīng)常容易被混淆的概念,但兩者仍有者明顯區(qū)別:個人數(shù)據(jù)權(quán)利的建立具有高度的技術(shù)特征,規(guī)定的是如何收集與處理個人數(shù)據(jù)的規(guī)則,兼具人身權(quán)與財產(chǎn)權(quán)的屬性;而隱私權(quán)對應(yīng)新聞自由而產(chǎn)生,以保護人格利益為主,以避免侵害和損害救濟為目的。因此我國在數(shù)據(jù)保護立法中應(yīng)單獨規(guī)定個人數(shù)據(jù)權(quán)利,一般包括同意權(quán)、獲取權(quán)、知悉權(quán)、刪除、修改、補充權(quán)。
(3)明確數(shù)據(jù)控制者的核心義務(wù)與責(zé)任,增強風(fēng)險防御能力
數(shù)據(jù)控制者是指數(shù)據(jù)保護立法的核心義務(wù)主體,可分為商業(yè)機構(gòu)、政府機關(guān)與公共機構(gòu)。目前,各國數(shù)據(jù)保護立法均將政府與公共機構(gòu)納入范圍之內(nèi),分別適用統(tǒng)一或有差異性的調(diào)整方法。我國已有學(xué)者提出政府機關(guān)處理個人信息的行為屬于行政法律關(guān)系,理應(yīng)在規(guī)制程度上弱于其它信息處理者。但本文認(rèn)為,與商業(yè)機構(gòu)相比,政府機關(guān)與公共機構(gòu)掌握公權(quán)力,其收集、處理的個人數(shù)據(jù)范圍廣、內(nèi)容多,應(yīng)受到數(shù)據(jù)保護立法同等的規(guī)制。在新技術(shù)背景下,不僅應(yīng)將告知義務(wù)、合法獲得義務(wù)、安全保障義務(wù)等納入數(shù)據(jù)控制者的義務(wù)體系中,還應(yīng)認(rèn)識到,將風(fēng)險規(guī)制寄托于懲罰與救濟的方法實施成本高、效果有限,對風(fēng)險事先防御才是明智之舉??稍诹⒎ㄖ性O(shè)立激勵機制,鼓勵公私機構(gòu)就擬建的數(shù)據(jù)處理系統(tǒng)或任何新的大數(shù)據(jù)項目進行數(shù)據(jù)安全影響評估,并定期向社會公布這些評估報告。另外,可鼓勵高新技術(shù)企業(yè)將隱私強化技術(shù)應(yīng)用至企業(yè)數(shù)據(jù)處理系統(tǒng)及產(chǎn)品的設(shè)計之中,增強企業(yè)對數(shù)據(jù)安全風(fēng)險的防御能力。
(4)完善“通知—同意”法律規(guī)則
大數(shù)據(jù)背景下的“通知—同意”法律規(guī)則難以發(fā)揮應(yīng)有的功效。為應(yīng)對此難題,歐盟的做法是明確數(shù)據(jù)主體的“同意”應(yīng)為“積極同意”,這有利于保護個人數(shù)據(jù)權(quán)利,但也因增加商業(yè)成本而飽受詬病。建議我國在數(shù)據(jù)保護立法中采用“積極同意”與“消極同意”相結(jié)合模式。對于統(tǒng)一的數(shù)據(jù)保護立法應(yīng)采納“消極同意”模式??紤]到這種模式所降低的商業(yè)成本會變相轉(zhuǎn)移到數(shù)據(jù)主體身上,故我國在引入消極“通知—同意”規(guī)則時應(yīng)注意兩個因素:一是“通知”應(yīng)是明確、充分、具體的。數(shù)據(jù)控制者應(yīng)告知數(shù)據(jù)處理的機構(gòu)、目的、種類等核心要素。二是賦予數(shù)據(jù)主體便捷、經(jīng)濟的反對途徑。應(yīng)規(guī)定數(shù)據(jù)處理者要求數(shù)據(jù)主體反對的方式必須與數(shù)據(jù)處理者通知的方式同等便利,不給數(shù)據(jù)主體增加額外的負(fù)擔(dān)。對于犯罪偵查、醫(yī)療、科研等特殊領(lǐng)域或涉及到個人敏感數(shù)據(jù)的特殊保護規(guī)則應(yīng)采用“積極同意”模式。
(5)健全個人數(shù)據(jù)保護民事訴訟與行政處罰機制
權(quán)利保障與救濟是個人數(shù)據(jù)保護立法的核心。在云計算模式下,侵權(quán)主體具有多樣性并很難確定,數(shù)據(jù)主體難以有效維權(quán)。我國應(yīng)逐漸健全個人數(shù)據(jù)保護的民事訴訟機制,明確建立由被告證明其不應(yīng)承擔(dān)責(zé)任的舉證規(guī)則。當(dāng)數(shù)據(jù)主體不能確定具體的侵權(quán)主體時,由數(shù)據(jù)控制者與處理者承擔(dān)連帶侵權(quán)責(zé)任。此外,在大數(shù)據(jù)時代,個人數(shù)據(jù)是價值巨大的“金礦”,很多企業(yè)會對存儲于云端的數(shù)據(jù)進行商業(yè)化利用,數(shù)據(jù)泄露、非法交易也將成為常態(tài),加大行政處罰的力度是當(dāng)務(wù)之急。也可考慮設(shè)立違法行為處罰“公示”制度,將違法企業(yè)計入“違法行為黑名單”等方式,來有效遏制侵犯個人信息的違法行為 。
(6)有效應(yīng)對個人數(shù)據(jù)保護國際化趨勢
跨境的數(shù)據(jù)流動將成為常態(tài)。中國仍被歐盟認(rèn)定為是不能對個人數(shù)據(jù)提供充分性保護的國家,這將使具有財產(chǎn)價值的個人數(shù)據(jù)外流易,而流入難,導(dǎo)致企業(yè)在國際貿(mào)易中始終處于競爭劣勢,甚至我國大量公民個人數(shù)據(jù)被變相獲取。應(yīng)對這一問題的最主要方法是與歐盟或相關(guān)國家展開雙邊磋商,建立一個類似于歐美的“安全港協(xié)議”。同時,積極參與到個人數(shù)據(jù)保護的國家合作中,爭取規(guī)則擬定中的話語權(quán)。在國際立法中,應(yīng)強調(diào)將個人數(shù)據(jù)流動作為經(jīng)濟問題的解決方案,而對個人數(shù)據(jù)保護在人格權(quán)方面的問題適度擱置,以利于糾紛的解決。
結(jié)語
大數(shù)據(jù)時代,數(shù)據(jù)共享和數(shù)據(jù)收集的規(guī)模急劇增長,數(shù)據(jù)已經(jīng)成為經(jīng)濟增長和社會價值創(chuàng)造的源泉??焖侔l(fā)展的數(shù)據(jù)挖掘與利用技術(shù)使個人在網(wǎng)絡(luò)空間逐漸由“匿名”變?yōu)?ldquo;透明”,產(chǎn)生于大機器時代的個人數(shù)據(jù)保護法律規(guī)則亦無法有效應(yīng)對大數(shù)據(jù)環(huán)境下個人數(shù)據(jù)保護的新問題,而立法改革成為歐美國家解決上述問題的一劑良藥。歐盟《條例草案》在生效與推廣之后很可能成為主導(dǎo)世界的數(shù)據(jù)安全法律治理模式之一。我國需理性認(rèn)識到數(shù)據(jù)保護的國際動向與本國立法的滯后性,在對“技術(shù)的信仰和人身的信仰之間”需求一個價值平衡的支點,并以此為指引,盡快探索適合我國國情的個人數(shù)據(jù)法律保護模式。同時積極應(yīng)對個人數(shù)據(jù)保護的國際化趨勢,積極爭取國際規(guī)則制定中的話語權(quán)。