作者:盘和林 中南财经政法大学数字经济研究院执行院长、教授
《个人信息保护法》于11月1日正式实施。作为我国第一部个人信息保护的专门法律,《个人信息保护法》将自然人姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等全面纳入保护范围,为信息处理者的合规工作提供了明确的方向性指导。
数据要素赋能我国经济发展
据国家工信安全中心测算数据,2020年我国数据要素市场规模达到545亿元,“十三五”期间市场规模复合增速超过 30%;“十四五”期间,这一数值将突破1749亿元,整体上进入高速发展。
伴随着我国数据科技创新,数据要素作为新动能,进入我国农业、工业、交通、市政等经济生活的各个领域,围绕数据要素为核心的产业不断涌现,不仅促进传统产业的转型升级,更创造了新产业,构建了新生态。比如新冠疫情影响下,带动的网课平台、在线办公平台;腾讯、阿里巴巴、华为建立的跨行业工业互联网平台等等,通过数字要素,增强了产业链和不同行业之间资源共享与业务协同,提高了企业和行业的生产效率,赋能产业发展。
数据要素带动产业创新发展的同时,也深刻的改变着人们的生活、消费、社交方式,渗透在衣食住行各个方面。比如智慧政府平台建设,不仅实现了地区一网统管,更使得居民可以足不出户办事,除此之外,外卖大数据调配、大健康平台、大交通体系等数据要素的“全场景应用”,使得居民全方位感受到数据要素给我们带来的红利。
数据要素流通将进入有法可依新阶段
值得关注的是,个人作为社会信息的基本单元,提供相当的个人信息是享受数据红利的基本前提,比如,网课平台需要接入个人学校信息、外卖平台需要获取个人常住地信息,电商平台需要获取个人银行账户信息,还有些平台甚至拥有个人相关的身份、地址、银行、教育背景、社会经验等所有信息,所以,公众在享受数据红利的同时,也常常面临个人信息泄露风险的困扰。比如大数据杀熟、精准营销甚至是电信诈骗等等都是我们个人信息遭受泄露的表现,不仅投诉无门,而且很难预防和补救,给我们带来精神和经济损失。
因此,一方面,我国缺乏针对个人的信息保护制度,而个人信息泄露安全事件频发,个人信息安全风险增加,给个人甚至是国家安全带来了严重的信息安全隐患,个人信息保护规则值得完善。另一方面,我国数据市场发展迅猛,数据交易需求旺盛,但发展处于初期,数据组织管理机构定位不清,法律法制边界模糊,有待完备。应该说,法律筑牢个人信息保护的”篱笆“之后,数据要素流通将进入有法可依的新阶段。
欧美启示:个人信息如何保护更合适?
但大数据时代,个人信息泄露风险绝非个例,个人信息保护也绝非“一家之难”,目前已经有128个国家通过立法保护个人隐私,其中以欧盟GDPR和美国,CCPA&CPRA为代表,我国今年颁布的《个人信息保护法》也将于本年11月1日正式实施,各个国家在立法模式上、严厉程度上、适用范围上仍有差别,因此不同国家个人信息保护法律立法探索经验值得我们学习借鉴。
以欧盟GDPR为例,在《通用数据保护条例》实施的第一年,实行规则严格,其成员国共报告了28100多例GDPR违规案件,投诉门槛低,监管机构不堪重负,不仅如此,由于企业获取对与数据的获取、处理需要更多的程序,因此大大的加大了企业的成本,限制了数据市场的创新,对数据市场的发展形成了阻碍。
于是欧盟随后发布了一系列提条例,对GDPR进行了补充,表明系列立法的核心目的是:为欧盟内外个人数据的自由流动提供确定性保护,而不是过度限制流动。并在2020年发布了《数据治理法》,以加强欧盟各国内部的数据共享和流通。
不同于欧盟,美国并没有设定特定的数据组织机构,信息的监督和保护问题由政府的各个部门共同负责,兼顾个人、政府、企业部门的需要,采用了较为中立的原则,设立了符合大数据特点的,可以保证要素充分自由流动和充足的数据创新空间的准则。
但在具体细则上,则仍关注信息主体的数据隐私,提出了广为人知的“公平信息实践”法则,并根据不同的行业领域制定了一系列特定的信息保护法律,比如《电视隐私保护法》、《健康保险隐私及责任法案》等等,监管上也更加偏向于依赖法律以及行业自制规则,整体而言个人信息保护的原则是避免政府对数据市场的过度干预,保障市场的自由。
从欧盟及美国信息保护的探索经验看,个人信息保护不仅仅关乎到数据要素的合规问题,还涉及到监管方、监管成本、产业发展等多个社会经济的方方面面,因此信息保护的基本原则是保护信息安全,核心是保证数据要素合法流动,关键是保证数据市场自由,这应是个人信息保护需要关注的重点。
促进数据要素的合法流通,赋能数字经济健康发展
从我国此次颁布的《个人信息保护法》看,其采用的立法模式与GDPR类似,但在统一规则、属于安全评估、信息主体知情权、敏感信息处理规则,去识别化等处理规则相对于CCPA&CPRA和GDPR都更为严格,但这并不意味着我国对数据的收集、处理和分享将会进行严苛的限制,而是更加倡导数据的合规价值,保障数据在安全合法的领域内互流互通。近年来我国司法实践案例也都体现了一个准则:促进数据要素的合法流通。
故在大数据时代,个人信息保护立法是个人和国家信息安全保护的需要,但信息收集、处理、分享权限被严格限制和监管,会约束数据的创新空间,同时,过度的个人信息监管不仅增加了政府监管的成本和压力,也会增加企业的生产经营成本,不利于经济的发展。
因此,我们应该为个人信息处理主体留下一定的时间和空间,尽量避免多头执法、多地执法,避免重蹈GDPR弊端的覆辙,投诉门槛过低,只会导致监管机构不堪重负,企业成本增加。
我们需要明确的是,在数字经济时代,数据要素流通是关乎产业发展、国际竞争优势地位、民众生活便捷及经济福利的重大、关键性问题。个人信息保护法的初衷是为了促进数字经济健康发展,倡导数据的合规价值,这样才能为技术创新发展留出更大的空间,为经济发展赋能。
我们期待“良法”落地之后的“善治”,即在实施过程中呵护个人信息权益的同时,还要把握数字经济发展趋势和规律,推动我国数字经济健康发展。