周疊瑤

毋庸置疑，數(shù)字經濟時代已經來臨。據(jù)統(tǒng)計，截至2018年底，中國數(shù)字經濟規(guī)模達31萬億元，占GDP的三分之一。然而，正如任何新事物的發(fā)展都充滿各種矛盾一樣，數(shù)字經濟發(fā)展的背后也充斥著各方主體對權力和利益的爭奪。其中，最突出的一對矛盾就是企業(yè)對數(shù)據(jù)的收集、分析、存儲和利用的權利擴張與個人數(shù)據(jù)隱私保護之間的博弈。

大數(shù)據(jù)領域立法進入“深水區(qū)”

2018年3月，百度公司董事長兼CEO李彥宏在中國高層發(fā)展論壇上說過這樣一番話：“中國人對隱私問題的態(tài)度更加開放，相對來說也沒那么敏感。如果他們可以用隱私換取便利、安全或者效率，在很多情況下他們就愿意這么做?！币皇て鹎永?，李彥宏“用隱私換服務”的觀點馬上引來了不少人的口誅筆伐。雖然這句話頗具爭議，但也從另一個側面揭示了當下個人用戶參與互聯(lián)網經濟的矛盾心理與尷尬處境：既想享受免費而便捷的服務，同時又不愿意讓渡自己一部分隱私權利。

利益沖突需要解決，而法律存在的意義就恰恰在于解決人類生活中的各種矛盾。近年來，針對這一矛盾，國內大數(shù)據(jù)領域立法動作頻頻。從《民法總則》第111條關于個人信息保護的原則規(guī)定，到《消費者權益保護法》第29條明確規(guī)定經營者有義務維護消費者信息安全，到2015年《刑法修正案（九）》對非法獲取公民個人信息罪進行了更加細致的規(guī)定并加大打擊范圍與力度，到2016年《網絡安全法》首次明確“個人信息”的概念，再到《信息安全技術個人信息安全規(guī)范》中對個人信息保護的規(guī)范化，個人信息保護在法律上從原則性的規(guī)定逐漸落到實處，細化成可操作的規(guī)范。

“縱向來看，個人信息保護經歷了從間接保護到直接保護的歷史沿革。早期立法主要通過‘隱私權等對個人信息進行較為間接的保護。近年來，立法中針對個人信息進行直接保護的趨勢日趨明顯?！敝袊畔⑼ㄐ叛芯吭夯ヂ?lián)網法律研究中心主任方禹給出這樣的評價。

2019年5月28日，國家互聯(lián)網信息辦公室正式發(fā)布《數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《管理辦法》），并向全社會公開征求意見，這意味著大數(shù)據(jù)領域又一重磅法規(guī)發(fā)布，大數(shù)據(jù)領域立法已進入“深水區(qū)”?！豆芾磙k法》的重要地位毋庸置疑，北京市中倫律師事務所合伙人陳際紅曾撰文表示，在2018年9月公布的“十三屆全國人大常委會立法規(guī)劃”中，《數(shù)據(jù)安全法》被列為“條件比較成熟、任期內擬提請審議的法律草案”。在《數(shù)據(jù)安全法》頒布之前，不妨將此辦法視為一個“小數(shù)據(jù)安全法”。

本次面向社會征求意見的《管理辦法》分為總則、數(shù)據(jù)收集、數(shù)據(jù)處理使用、數(shù)據(jù)安全監(jiān)督管理和附則五個章節(jié)，共計40個條文。在北京金誠同達律師事務所律師、高級合伙人周俊武看來，一方面，《管理辦法》賦予了用戶更多權利，如用戶有權向網絡運營者查詢、更正、刪除個人信息;企業(yè)因業(yè)務需要確需擴大個人信息使用范圍的，應當征得個人信息主體同意等。另一方面，《管理辦法》也要求企業(yè)承擔更多義務。如要求企業(yè)在通過網站、應用程序等產品收集使用個人信息時，應當分別制定并公開收集使用規(guī)則，且收集規(guī)則應當明確具體、簡單通俗、易于訪問。

此外，《管理辦法》第23條也引起了法學界的廣泛關注。該條款規(guī)定：網絡運營者利用用戶數(shù)據(jù)和算法推送新聞信息、商業(yè)廣告等，應當以明顯方式標明“定推”字樣，為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時，應當停止推送，并刪除已經收集的設備識別碼等用戶數(shù)據(jù)和個人信息。陳際紅認為，該條款保證了個人信息主體對于定向推送的自主選擇，避免形成信息孤島。

兩難的抉擇

數(shù)字經濟的快速發(fā)展不僅催生了大量矛盾，也給立法者帶來了挑戰(zhàn)。方禹表示，互聯(lián)網是現(xiàn)實社會的映射，適用傳統(tǒng)的法律體系，但在部分環(huán)節(jié)和部分領域改變了傳統(tǒng)法律關系要素的內容。在主體方面，互聯(lián)網法律關系中增加了新的主體，原有主體的權利范圍也發(fā)生了變化。在客體方面，增加了新的物、新的行為和新的智力成果。如刑事犯罪中針對互聯(lián)網的犯罪，互聯(lián)網本身即作為法律關系中的客體而存在，而電子合同、網絡作品的出現(xiàn)則構成了新的行為和新的智力成果。在內容方面，互聯(lián)網改變了現(xiàn)實社會相關活動當事人權利義務的平衡，如隱私權在網絡時代更容易被侵犯且影響范圍更大。

不僅是中國，如何調和數(shù)字經濟發(fā)展與安全的矛盾是全球各國共同面臨的難題。據(jù)統(tǒng)計，目前全球共有126個國家和地區(qū)制定了專門的個人信息保護法，內容包含建立專門的個人信息保護機構、強化數(shù)據(jù)權利主體的控制力和探索建立安全的數(shù)據(jù)自由流動規(guī)則等。

以美國和歐盟為例，二者在個人數(shù)據(jù)隱私保護領域就采取了迥異的立法模式。美國法模式的特點是分散立法而非制定統(tǒng)一的個人信息保護法，即在各個行業(yè)分別制定有關個人信息保護的法律規(guī)則、準則。不同于美國，歐盟選擇了在政府主導下以立法手段規(guī)制個人信息領域問題的模式。2016年4月27日，歐盟通過了《一般數(shù)據(jù)保護條例》（General Data Protection Regulation）（以下簡稱“GDPR”）。GDPR經兩年過渡期后取代1995年出臺的《歐盟數(shù)據(jù)保護指令》（以下簡稱《指令》）并于2018年5月25日正式生效。這標志著歐盟建立了統(tǒng)一的個人數(shù)據(jù)保護法制。

GDPR的通過無疑是對個人信息保護領域做出的一次創(chuàng)新性嘗試。根據(jù)GDPR第1條的表述，“本條例保護自然人的基本權利和自由，尤其是他們的個人數(shù)據(jù)保護權（their right to the protection of personal data）。”這意味著其突破了1995年《指令》將個人數(shù)據(jù)保護權歸屬于隱私權的權利屬性，明確提出了個人數(shù)據(jù)保護權的概念，改變了以往該權利屬性不明的狀態(tài)。此外，GDPR還首次規(guī)定了刪除權和數(shù)據(jù)便攜性的權利。另外，GDPR對同意權的規(guī)定更為嚴格，數(shù)據(jù)主體的同意只能是具體的，不能被假設。

對美國和歐盟在個人信息保護領域立法的差異，方禹這樣評價：“歐美兩國在對該領域立法時，背后的邏輯截然不同。美國基于其自身信息通信產業(yè)優(yōu)勢地位，主張數(shù)據(jù)自由流動，所以立法更向數(shù)據(jù)收集者一方傾斜;而歐盟強調公民權利和自由，個人信息保護水平為全球最高?！?/p>

盡管美歐之間個人信息數(shù)據(jù)的保護程度存在差異，但跨境數(shù)據(jù)仍需要流動，這一問題已成為美歐間博弈的焦點。2000年，“安全港”的概念被首次使用，使美國公司的數(shù)據(jù)收集和處理行為能夠達到相應的隱私權保護標準，從而消除了美國和歐盟間個人數(shù)據(jù)傳送的障礙。然而，在2015年，也就是GDPR頒布的前一年，“安全港”協(xié)議被廢除。盡管“安全港”協(xié)議被廢除，但美歐之間仍存在價值2600億美元的跨境數(shù)據(jù)貿易，2016年8月，“隱私盾”協(xié)議生效，代替了存續(xù)15年的“安全港”協(xié)議。方禹分析，這反映了歐盟對個人信息數(shù)據(jù)不斷加強保護的傾向。

從2018年5月至今，GDPR已實施滿一年。近日，美國智庫信息技術和創(chuàng)新基金會（ITIF）下屬的數(shù)據(jù)創(chuàng)新中心（Center for date innovation）發(fā)布了《GDPR實施一年以來的影響》報告。該報告指出，GDPR實施一年以來，有越來越多的證據(jù)表明該法律沒有產生預期的效果，而且還可能導致很多意想不到的嚴重后果。此外，也有多個調研機構用數(shù)據(jù)證實了GDPR的弊端，比如：對歐盟經濟產生負面影響、消耗公司資源、損害歐洲科技創(chuàng)業(yè)公司、降低數(shù)字廣告行業(yè)的競爭力、未能增加用戶的信任、未能在成員國之間統(tǒng)一實施等。

在數(shù)字經濟時代下，企業(yè)和個人如同站在天平兩端的兩個主體，有合作也有沖突。究竟天平應向哪一邊傾斜，每個國家都有自己的選擇。然而，不管選擇哪一方，矛盾都始終存在，無法徹底彌合。