˙
新闻与出版物
高富平:平衡个人信息权益保护与合理利用——对《个人信息保护法(草案)》修改的建议
2021年06月09日 发布人:华诚小编

平衡个人信息权益保护与合理利用——对《个人信息保护法(草案)》修改的建议

作者:高富平 华诚律师事务所高级合伙人、华东政法大学数据法律研究中心主任、教授

本文首发于:互联网法治研究


  • 为了更加有效地保护个人,应当将信息处理者的告知(信息主体知情)作为一般原则,而将同意(尤其将同意理解为授权使用)建立在个人自由、自愿甚至有对价基础上,切实地保护个人权益。


  • 规定了单独同意等于变相地同意了概括式同意,赋予概括式同意法律效力。过渡依赖同意,区分出单独同意和同意,反而使同意被泛化地应用于各种场景,这可能导致同意成为个人信息滥用行为的保护伞。


  • 匿名化可以作为信息处理者的安全保障措施,而将去标识化规定为去除个人信息与个人相关联引发的风险,将其作为遵循个保法规定的前提下进行个人信息分享或流通(对外提供)的安全机制,并规定相应的限制信息处理者使用行为并再(重)识别的义务,为我国数据要素市场建设预留合法通道。


个人信息保护法(下称个保法)产生于20世纪70年代(前网络时代)。这个时期,个人信息范围、种类和应用场景是有限的,个人信息由谁使用通常也是可知晓、可控制的。今天,人类社会进入万物互联的泛在网络时代,数字化生存成为基本生活方式,无所不在的网络和传感器源源不断地产生关于个人的数据,这些数据成为观察和分析个人、赋能商业活动、社会治理、科学研究的资源。在这样背景下,产生于70年代的个保法基本原则是否可以适用于个人信息(或个人数据,下同)保护,是值得反思的。尤其是,2020年12月,欧盟推出新数字经济战略,在更新数据保护制度的情势下,我们更应当审慎地对待源自于域外的个保法制度。这里从如何平衡个人信息权益保护与促进个人信息利用角度,谈几个观点:


01

个人对个人信息处理不享有决定权或支配权



2021年4月30日全国人大公布的《中华人民共和国个人信息保护法(草案二审稿)》(下称《草案》)第1条明确个保法是通过“规范个人信息处理活动”来“保护个人信息权益”,实现“促进个人信息合理利用”目的。但问题在于如何保护个人信息权益,且如何在保护的同时又促进个人信息合理利用。


笔者认为,个人信息保护是保护个人信息权益,而不是个人信息本身,个人信息不是个人可支配、可决定的对象,也不是保护的对象(参见高富平《个人信息处理中个人权益保护》载《学术月刊》2021年第2期)。从法律性质上,个人信息属于信息范畴,而信息自由是人类文明进步和民主社会默认的基本制度,不能因为信息与个人有关就赋予个人以支配权或决定权。域外个保法的确根源于个人数据自决权理论,但其本身仍然是在宪法或基本权利层面,是个人自治或个人事务自决的一种延伸表达,而不能转化为个人信息处理决定权,更不易理解为绝对权。个人信息处理决定权与个人信息属于社会可用信息是相悖的,与人类文明进步和民主制度相悖,对社会发展和整体利益维护具有极大的破坏性。一旦确认个人对个人信息处理的决定权,那么所有使用个人信息的主体都需要征得个人的同意,与个人交互或谈判时便会产生巨大社会交易成本,人为地制造社会运行成本,不利于社会福祉的改善。

02

同意不宜作为合法处理个人信息的一般原则



《草案》第13条属于个人信息处理的合法性基础规定,但是第二款“本法其他有关条款规定处理个人信息应当取得个人同意,但有前款第二项至第七项规定的情形的,不需要取得个人同意”规定的后果使我们很容易得出同意是个人信息处理合法性的一般原则。同意的一般化极容易导致同意上升为一种权利。从2012年《关于加强网络信息保护的决定》之后,所有的法律都规定个人信息处理应当“明示处理个人信息的目的、方式和范围,并经被收集者同意”,而没有任何例外规定。这导致同意几乎成为企业最好用的合规工具,同意清单越来越长、越来越全,用户点击同意意味着承认企业使用个人信息的合法性。但是,在同意与交易或服务捆绑的情形下,同意根本起不到保护个人权益的效果。本来,第13条第一款是模仿GDPR合法性基础规定的,但是如果有了第二款规定,那么反而使同意居于优越于其他合法性基础的效果,成为信息处理者可以利用的兜底合法性条款。


为了更加有效地保护个人,笔者认为应当将信息处理者的告知(信息主体知情)作为一般原则,而将同意(尤其将同意理解为授权使用)建立在个人自由、自愿甚至有对价基础上,切实地保护个人权益。

03

严格限定同意要件,但建议删除“单独同意”



关于同意,世界各国的总体趋势是限缩同意适用范围或场景,而将个人权益保护的重点放在个人信息使用(处理)行为规制上,而不是形式上的同意。因此,GDPR规定了非常严格的同意要件:同意必须是明确、积极的行为,必须是基于数据主体的自由意志作出的;当处理行为存在多个目的时,数据主体须对每一个目的均表示同意。但是,GDPR并不崇尚同意,甚至对于敏感信息(特殊数据)也并非都要求强制同意,有些是不得公开、不得识别,只有健康数据、性生活、性取向才是以同意前提条件(GDPR第9条)。但是,《草案》提出了单独同意,且将敏感信息规定为需要单独同意。


在笔者看来,同意本来就是针对特定范围和特定目的,本身就属于“单独”。规定了单独同意等于变相地同意了概括式同意,赋予概括式同意法律效力。过渡依赖同意,区分出单独同意和同意,反而使同意被泛化地应用于各种场景,这可能导致同意成为个人信息滥用行为的保护伞。


04

废除匿名化信息不属于个人信息规定,建立单一的去标识制度



从现有技术和行业实践来看,真正做到匿名化后的数据(经过处理无法识别特定自然人且不能复原)需要达到将个人信息转化为抽象信息或知识,而这样的信息就不再具有识别个人的分析价值,不再属于数据资源。问题在于在大数据环境下匿名化的数据具有可再(重)识别可能性,只要允许获得匿名数据的主体继续收集数据,那么再(重)识别就不是一个问题。因此,将匿名化信息视为不受个保法调整将不利于个人信息权益保护。


实际上,国际社会更多地将匿名化、假名化看作是去标识技术处理的不同技术而已,且将去标识理解为“以减少数据集中与特定个人相关联信息的风险”的一种措施,即防范个人信息处理对隐私的侵害,尤其减少处理中的信息泄露对个人安全的危害风险。因此,匿名化可以作为信息处理者的安全保障措施,比如需要删除个人信息时,可以作匿名化处理而不彻底清除信息,而将去标识化规定为去除个人信息与个人相关联引发的风险,将其作为遵循个保法规定的前提下进行个人信息分享或流通(对外提供)的安全机制,并规定相应的限制信息处理者使用行为并再(重)识别的义务,为我国数据要素市场建设预留合法通道。在笔者看来,确立个人信息去标识化路径可以实现个人信息分享或流通利用,是我国《个保法》唯一能够超越GDPR,促进数据经济发展的现实出路。


本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。

© Copyright 2000-2015 All Rights Reserved | 沪ICP备15028801号 隐私保护 | 用户反馈

沪公网安备 31010402001317号

Lin