高富平 | 制定一部促进个人信息流通利用的《个人信息保护法》_风闻

国际社会的个人信息保护规则形成于20 世纪70 年代（前网络时代），已经不适应如今大数据时代的个人信息收集和利用的场景和方式。在20 世纪70— 80 年代，人们担心的问题是计算机(IT) 应用于处理个人信息（在欧洲亦称为个人数据）可以长期存储和累积数据，可以不经人们知晓而识别分析个人甚至自动处理个人信息，而这样的处理有可能对个人尊严或自由（人权法意义上的隐私权）造成危害。但是，在前网络时代，个人信息的来源以个人提供为主，政府组织或企业能够记录的个人行为信息是有限的。如今个人信息主要来源于无所不在网络和传感器自动收集的数据，这些数据多是人机交互或纯粹由机器记录产生的。这些无限的且多元化的个人数据成为观察和分析个人的资源，借助不断迭代的算法，可以赋能商业活动、社会治理、科学研究。于是，数据成为社会运行和发展的新资源。正因此，《中共中央　国务院关于构建更加完善的要素市场化配置体制机制的意见》将数据与土地、资本、劳动力、技术并列为五大生产要素。从数据中挖掘知识，数据决策（或人工智能）正在支撑人类各项活动的开展。因此，包含个人信息在内的数据正驱动社会变革和创新，成为推动社会进步发展的力量。

个人信息保护制度自形成以来，便不断演进，尤其欧盟2018 年5 月生效的《通用数据保护条例》（GDPR）成为域外个人信息保护制度的典范，再一次对全球产生影响。正在制定的《个人信息保护法（草案）》（以下简称《草案》），是我国个人信息保护的基本法，显然，个人信息保护立法既要借鉴域外经验，同时又要反映我国政治、经济和文化需求，尤其要反映数据资源化利用的时代需求。《草案》第1 条明确个人信息保护法是通过“规范个人信息处理活动”来“保护个人信息权益”，实现“保障个人信息依法有序自由流动，促进个人信息合理利用”目的。这样的定位是正确的，但是，《草案》基本上仍是以个人为本位，未将个人信息定位于社会可用资源，设计出平衡信息个人权益和社会价值（利益），促进数据要素分享利用的制度。这里围绕GDPR 的立法经验教训谈几点看法。

将《草案》定位为公民基本权利

保障法

建议《草案》第1 条末尾修改为“依据宪法制定本法”。这样做的目的是明确《草案》是依据宪法制定的，而不是《民法典》，它要比《民法典》具有更高的目标和价值定位。之所以要将个保法升格为个人信息保护基本法，是因为无论美国还是欧盟均将个人信息保护定位于基本人权意义上的隐私权，即保护人作为主体的尊严或自由。只是欧盟将个人信息处理中的个人信息保护从隐私权独立出来，称为“个人数据保护权”。无论个人信息保护是否有从隐私权中独立出来，域外的个人数据保护具有两大特征：一是个人数据保护是个人数据处理中的个人主体权利保护，属于基本人权范畴；二是个人数据保护的方式是消极防御，是对个人数据处理的条件和程序进行规范，处理侵犯主体权利的行为，而不是让个人决定个人数据的处理。尽管宪法层面的个人数据保护可以接入到民事救济体系中，但是至今没有哪个国家直接将个人数据保护权定位于私法意义上人格权，进而直接由私法上的人格权发展出一套个人信息保护体系，或者依据民法典对人格权的保护规范制定出专门的个人信息保护法。

在个人基本权利意义上定位《草案》，主要目的和价值是：

其一，个人信息不能由个人完全决定，需要在宪法层面上平衡个人与社会、国家的利益。个人信息关于个人，个人是主体，不能像客体那样随意处理个人信息，因而应当将个人数据自决权成为《个人信息保护法》立法的理论依据（背后是个人事务自治和自决）。但是，几乎没有任何国家在私法上承认个人信息决定权，因为这容易导致个人享有个人信息支配（决定）权的结论，与个人信息属于社会可用信息的本质是相悖的。建议删除《草案》第44 条的“决定权”，避免引起歧义，如果要保留的话也必须理解为宪法上的基本权利。在宪法上个人信息决定权要平衡信息自由、社会整体利益和国家利益，而不是一项个人说了算的私权利。一旦将个人决定理解为一种私权利，那么任何使用个人信息均需要与个人谈判、达成协议（或取得同意）甚或要支付对价。这样的制度设计，将使社会面临巨大的交易成本和法律风险，妨碍数据驱动经济发展的实现。

其二，国际对话、对抗、谈判的需要。如今个人数据本地化存储和跨境流动的控制成为国际贸易新“壁垒”，而制造这一新壁垒的正当理由是对公民基本权利（尊严或自由）的保护。因此，各国均将个人信息保护溯源于《世界人权宣言》第12 条，以人权保护为依据来保护各自国家公民的个人信息，控制个人信息跨境自由流动。为解决纠纷，国家之间必须谈判和协商，通过国际条约或双边协议来实现互惠流动或者遵循相同规则的流动。如果我们将保护自然人的人格权或人格权益作为与国际对抗、对话的基础，那么就缺失力量，没有说服力，使中国在国际数字经济秩序谈判中处于劣势。

建立个人信息流通利用或再利用的****合法渠道

GDPR 的伟大之处在于将保护公民基本权利的法制定成为推动和保障欧盟数字经济发展的法律。它理想地认为建立统一、高水平的个人信息保护制度，

个人权利就能够在欧盟范围得到尊重和保护，促进个人信息在全境自由流通，同时可以筑造防御国外数字经济竞争的高墙。在法技术上，GDPR 以“ 合法基础+ 原则性”为处理行为的规范”模式，而不是权利规范模式。但是，由于该法以保护数据主体权利为本位，仍然赋予了个人在处理前、处理中和处理后对处理的数据或处理行为进行干预的权利。GDPR 的明显效果是防御或扼制国外数字经济发展，但是目前还没有证据证明GDPR 有效地促进了个人信息在欧盟境内的流通，因此GDPR 是否真正促进个人信息在欧盟境内的流通利用受到很多怀疑。实际上，GDPR 根本没有在资源意义上设计个人信息使用（处理）制度，也不可能在这方面能够给我们多少借鉴意义。但是我们仍然可以从GDPR 挖掘出两个有意义的制度规则。

其一，采用缓和的目的限定原则。传统个人信息保护法的精髓是目的限定原则，认为只要将目的限定在意定（同意）或法定事由的目的范围内，那么就可以实现个人信息的控制性使用，在使个人信息被利用的同时防范其滥用。因此，目的限定原则对于保护主体权益具有重要意义。目的限定原则包含两层具体的内涵：数据控制者只能基于收集之初确定的具体、明确、合法的目的收集个人信息，收集后不能用于与收集时所确定之目的不相兼容的其他目的。这意味着，只要在初始确定的目的范围内或与初始目的相兼容，那么就可以再使用甚至对外提供个人信息。如果基于初始目的以外的信息处理或与初始目的不兼容时，则需要再获得新的合法性基础。这也就是意味着在目的范围内个人信息处理者即可以再利用个人信息，而且根据GDPR，个人信息的再利用也包括对外提供。我国《草案》也将目的限定原则作为基础，但是过于严苛，“限于实现处理目的的最小范围，不得进行与处理目的无关的个人信息处理”，没有引入目的相容限定。赋予信息处理在在相容目的范围内自主利用个人信息的权利，这样的规则既保护了数据主体的权益，又可以满足个人信息处理者延展性地对所收集的个人信息进行再使用的需求，促进了个人信息资源的分享利用。

其二，建立个人信息去标识可流通利用规则。GDPR 没有规定匿名化，而只规定了假名化机制，将假名理解为安全措施或是否超越初目再处理（利用）的考量因素。《草案》分别规定了匿名化和去标识化。匿名化的定义沿用了《网络安全法》第41 条对外提供例外条款的表述，即《草案》第24 条规定：“个人信息经过处理无法识别特定自然人且不能复原的过程”，并将之作为可对外提供的合法性标准；此外，《草案》规定的去标识化是GDPR 假名化的简化，并将之作为个人信息的安全保障措施。从现有技术和行业实践来看，真正匿名化后的数据实际上已经将个人信息转化为抽象信息或知识，不再具有识别个人的分析价值，不再属于数据资源。况且在大数据环境下匿名化的数据是否还能够识别一个人取决于掌握多少数据和采取什么样的算法，因而将匿名化信息视为不受《草案》调整的信息是有害于个人权益的。对应地，GDPR 坚持行为规范，认为“无需识别数据主体的数据处理”不适用或没有必要适用GDPR，而不是从数据本身是否可识别的角度进行规范。因而GDPR 并没有从数据（信息）的角度将某类数据排除在外。

实际上，去标识“是对数据集进行处理，以减少数据集中与特定个人相关联信息的风险”。当一个数据集去除与个人关联的信息（包括直接或间接关联的信息即广义的身份信息，实践称为标识符）后，即可以防范个人信息处理对隐私的侵害，尤其是减少处理中的信息泄露对个人安全的危害风险。去标识化技术旨在平衡数据隐私目的和数据价值之间的利益冲突，去标识后的个人信息仍然可以用于识别分析，但须适用《草案》规定。只是应区分应用场景，适用不同规则：当不需要识别身份时，则不需要同意；当需要识别身份的时候，则需要取得主体同意。

笔者认为，匿名化和去标识（假名化）都是去除个人信息上风险的安全措施，所采取技术手段几乎一致，只是程度不同，建议放弃匿名化，而只采用去标识化。如果我们要采取两个概念，那么《草案》应当将去标识的信息作为对外提供或流通利用的合法性基础，而将匿名化作为安全保障措施。去标识化既可以保留一定的识别性，同时又可以去除个人信息以及与个人关联引发的风险，可以在遵循《草案》规定的前提下进行信息的分享或流通。这样，需要信息处理者可以通过间接取得方式取得数据，使可以自主分享其拥有的数据，形成满足各种分析目的的数据集，实现信息的社会化利用。

由于每个主体掌握的关于相同主体的信息总是有限的，不完整的，所以信息作为生产要素或资源化利用的关键是建立信息分享或流通规则，使数据持有者对外提供、分享或流通信息，通过市场化和非市场化两种方式实现信息的社会化。在笔者看来，确立去标识化信息处理模式可以实现信息分享或流通利用，是我国未来的《个人信息保护法》唯一能够超越GDPR，促进数字经济发展的地方。