【作者】陈兵(法学博士,南开大学法学院教授,博士生导师,竞争法律与政策研究中心执行主任、司法与社会研究中心主任)
【来源】《社会科学辑刊》2020年第2期(文末附本期期刊法学要目)。因篇幅较长,已略去原文注释。
内容提要:在新冠肺炎疫情时期,我国各级政府部门联合相关数据企业共同协作,借助大数据、云计算、人工智能等数字数据化技术对疫情进行联防联控并取得显著成果。然而,在公众积极提供个人数据信息配合疫情防控的同时,个人信息保护法制体系的不完善、数据应用行业自治规范的不健全以及公民数据信息安全意识的不充分等法治风险逐渐凸显,暴露出个人(数据)信息在其概念内涵、保护原则及例外适用上的规范困惑和实践困境。故此,在依法打好疫情防控总体战、阻击战的战略指示下,有必要从提高个人信息保护立法的速度和效度、强化数据应用自治规范的建设和完善、提高公民数据信息安全的法治意识和能力等三个维度改善和平衡个人数据利用与个人信息保护的关系,强固我国应对各类突发重大公共事件的综合能力,最终实现我国国家治理体系和治理能力的现代化。关键词:新冠肺炎疫情;个人数据利用;个人信息保护;法治 2020年初,一种名为Corona Virus Disease 2019(简称COVID-19)的新型冠状病毒肺炎疫情(以下简称新冠疫情)在武汉聚集爆发,后迅速席卷全国,截至2020年3月1日11时累计确诊病例79968例,死亡病例2873例。各级政府及有关机构联合数据优势企业共同合作,借助大数据、云计算、人工智能等数字数据技术对新冠疫情进行联防联控,在疫情监测分析、病毒溯源、防控救治、资源调配等方面尽显大数据技术和资源应用的优越性,为精准施策、重点防控、阻止疫情进一步在全国范围内持续爆发提供了技术保障,既为赢得抗“疫”、治“疫”的最终胜利提供了有力支撑,又体现了数字时代国家治理体系和治理能力现代化的新方向和新尝试。尽管国家机构与科技巨头协同合作所形成的超级权力体在此次新冠肺炎疫情抗击和治理中发挥了显著作用,但是由资本、技术、权力三合一的数字化垄断技术帝国在加速和优化政府治理效能、提升治理能力和水平的同时,使得潜在的一系列社会风险不断凸显,值得高度警惕和因应反思。
在我国社会步入互联网数据时代之际,数字数据化技术已成为国家治理和社会生活中的关键技术和核心设施,特别在本次抗击新冠疫情的战役中,数字数据技术的广泛且深度应用尤为突出。2015年8月国务院颁布的《促进大数据发展行动纲要》明确指出,要全面推进我国大数据发展和应用,推动数据的开放和共享。2019年党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》再次强调要推进数字政府建设。国家及地方层面对推动数据开放共享、建设数字政府的努力在本次抗击新冠疫情过程中起到重要作用,国家机构与其他社会主体运用数字数据技术构建联防联控机制,为新冠疫情的防控争取到宝贵时间,提高了疫情防控精准度。然而,突飞猛进的大数据、云计算、人工智能等技术也给公民个人数据信息安全带来了严峻的权益侵蚀风险,特别是在抗击新冠疫情最为紧要的时期,个人数据利用任意性问题被进一步放大,公民个人信息安全遭受侵害或潜在危险。2020年1月26日前后,即在此次新冠病毒肺炎疫情全面爆发后不久,有超过7000名武汉、湖北返乡者的个人信息被大肆泄露,这些信息精确到个人姓名、身份证号码、户籍地址、家庭住址、手机号、车牌号甚至车票航班信息等,致使其人身和财产安全受到严重威胁甚或现实损害,令大数据助力疫情防控的正当性饱受质疑,直接影响后续信息采集过程中公众、机构对采集方的信任度。无独有偶,2020年1月28日,湖南省益阳市赫山区卫生健康局有工作人员将属于内部工作文件且涉及多人隐私的调查报告转发给无关人员,进而传播至微信群,该信息借助微信这一融媒体形式和庞大的用户基数被迅速转发传播,严重侵害了他人隐私权并造成恶劣的社会影响。
在新冠疫情期间汹涌舆情的助推下,长久以来在个人数据利用过程中存在的信息安全问题,再次被置于社会舆论的风口浪尖。早在2011年,国内最大的程序员社区CSDN便发生严重的密码泄露事件,600万用户的账号和密码被公开,随后事件持续发酵,天涯、世纪佳缘、多玩、走秀、京东、当当、支付宝等发生不同程度的密码泄露问题,密码以明文方式公开,导致大量网民受到隐私泄露的威胁。2014年,国内知名漏洞报告平台乌云公布携程支付系统漏洞,导致大量用户银行卡信息可能被泄露,包含持卡人姓名、身份证号码、所持银行卡类别、银行卡号、卡CVV码、6位卡Bin(用于支付的6位数字)。2018年,AcFun视频网站900万条用户数据、前程无忧195万条用户求职简历、圆通快递10亿条快递信息、华住旗下所有酒店近5亿条涉及用户姓名、手机号、身份证号码、家庭住址、入住时间、房间号以及消费金额等敏感数据被泄露。随着大数据、云计算、人工智能等数字数据技术的创新发展和广泛应用,个人数据信息泄露事件持续呈现高发态势,如今在新冠疫情这一突发公共卫生事件的加持之下,我国个人数据信息安全总体状况不容乐观,企业对个人数据信息保护缺乏自我治理的意识,政府机关运用个人数据信息过程中保护机制缺位,亟待引入有针对性的科学化、法治化的体制机制予以系统规范的治理。
必须清晰认识到数据时代个人数据与个人信息之间的密切关联。数据是信息的表现形式和主要载体,数据中包括了大量的个人信息。特别是随着数字数据基础设施、网络基础设施以及个人智能终端的普及,使得个人信息的采集、存储、传输和利用变得更加普遍,信息不断数据化,同时海量的多样化的数据亦正在或者已经经由大数据、物联网、万维网等数字信息技术被信息化和市场化。在数据时代,基于数字数据技术和网络信息技术的深度融合,数据与信息已然成为一个密不可分的整体。任何机构或(和)企业对个人数据的收集、存储、分析及使用,都能够从中获取个人的各类信息,其中包括一般的个人信息和个人的敏感信息,利用个人数据与保护个人信息之间有着逻辑上的连贯性和统合性。在此次抗击新冠肺炎疫情中必须处理好科学高效利用个人数据与合法有序保护个人信息之间的平衡,使“依法战、依法治”成为决胜之保障。
2020年2月5日,习近平总书记于中央全面依法治国委员会第三次会议讲话中强调,在疫情防控关键时期,依法、科学、有序防控至关重要。须从立法、执法、司法、守法各环节发力,全面提高依法防控、依法治理能力,为疫情防控工作提供有力法治保障,提出法治于疫情防控的关键时刻应成为各项工作的出发点与总基调,各类治理举措须在法治框架下有序运行。互联网、大数据、云计算、人工智能等前沿科技为疫情防控起到了关键作用,但其呈现出的个人数据保护问题在严峻疫情加持下被进一步放大,突显出个人信息保护法制供给不足、数据应用行业自治规范缺位、公民数据安全意识有待提升等法治风险,反映出个人数据信息权益在概念内涵、保护原则与例外适用上的学理争议与实践困境。
个人信息安全并不是疫情期间显现的新议题,置于互联网大数据时代背景下,越来越多的个人信息以数据形式被记录、收集、分析、挖掘、利用、共享,令其对社会生产生活可能造成的消极影响愈发凸出。目前“个人数据”与“个人信息”概念在权益保护对象上多有一致性,故下文不再对此作概念上的特殊区分。经此次疫情催化,固有个人数据利用法治化不充分的弊端风险被进一步放大,使本就不乐观的信息保护现状遭受强烈质疑,主要体现为宏观基础法制、中观行业自治与微观公民安保意识三个方面。 目前,我国尚无统一的个人信息保护立法,有关个人信息保护的规定多散见于一些法律、法规、规章或司法解释中。一旦出现新肺炎冠疫情等突发公共安全事件,需要政府部门和科技企业进行大规模个人信息采集应用时,其信息保护法治依据与运行机制便会不可避免地出现瓶颈。梳理既有法制框架内涉及个人信息保护的法律规范,较具有代表性的包括:2014年新修《消费者权益保护法》第29条“经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄露、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息”;《刑法》第253条之一“违反国家有关规定,出售或提供公民个人信息,情节严重的,处三年以下有期徒刑或拘役,并处或单处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚”等。此外,根据北大法宝个人信息检索结果显示,如2017年最高人民法院、最高人民检察院联合颁布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《电子商务法》《电信和互联网用户个人信息保护规定》《信息安全技术公共及商用服务信息系统个人信息保护指南》《全国人大关于加强公民个人信息保护决定》《民法总则》第111条、《网络安全法》第41条至43条、《传染病防治法》第12条、《突发公共卫生事件应急条例》第40条等合计70余部法律、50余部法规以及1000余部规章均有少许内容涉及个人信息保护。可见,条目众多、规定分散、重复交叉,且有相当一部分为原则性、宣示性条款的个人信息保护法律规范极其庞杂,使得多项法律法规在立法目的、法益保护、法律责任、救济途径等方面各自为政,直接导致法律实施效果不佳、可操作性不强,出现前述武汉、湖北返乡者信息泄露问题时,难以提供及时有效规范的保护和救济。 近年来随着大数据、云计算、人工智能等数字数据技术的快速发展与广泛应用,现行法制体系对于个人信息的保护已然捉襟见肘,早在疫情爆发前公民个人信息犯罪以及以个人信息犯罪为上游犯罪的犯罪案件数量便呈爆发式增长态势。据最高人民法院统计,从2009年2月至2015年10月,全国法院共审结出售、非法提供公民个人信息、非法获取公民个人信息刑事案件969起,生效判决人数1415人;2015年11月至2016年12月,全国法院新收侵犯公民个人信息刑事案件495件,审结464件,生效判决人数697人。根据公安部统计,在“净网2018”专项行动中,公安部加大力度对提供信息支撑、技术支撑和工具支撑的侵犯公民个人信息犯罪、黑客攻击破坏犯罪和非法销售“黑卡”犯罪进行严厉打击,抓获犯罪嫌疑人8000余名,其中涉电信服务商、互联网企业、银行等行业内部人员300余名;在“净网2019”专项行动中,公安部组织部署全国公安机关侦破侵犯公民个人信息类案件2868起,抓获犯罪嫌疑人7647名。固然,以大数据为依托的新兴科技产业需要公众让渡部分数据权益,但是这并非个人数据信息保护法律体系滞后于社会现实需要的借口和理由,相反正是其加大法制供给、厘清法制体系的良好契机。故此,从宏观法制角度,如何借助立法技术在促进个人数据信息得到有效利用的同时确保数据信息安全,是化解个人数据利用制度风险、建构信息保护法治模式的前提基础。 除却法律法规及政府相关部门在践行个人信息保护立法的基础性作用外,互联网科技公司在大数据开发应用领域的产业化发展同样是诱发个人数据泄露的重要原因。从积极方面看,以此次疫情为例,众多互联网科技公司如阿里巴巴、百度、腾讯、携程、艺龙等均根据自身模式成立专门数据分析团队,向各级政府防控部门依法规范提供大数据信息,为搜索和定位来自武汉特别是华南海鲜市场的感染者和密切接触者提供了强大信息支持,并在很大程度上缓解了公众的顾虑心理和恐慌情绪。但从常态化角度言,数据应用行业在信息安保中的消极作用同样明显:个人数据信息的商业价值或潜在商业价值,激发了企业收集个人信息的强烈意愿,个人数据的采集、存储、共享和利用开始变得频繁和隐蔽,然而由于缺乏个人数据利用上的信息安全自治规范或准则,令低行业自律性下的用户数据信息时有泄露,成为个人数据信息安全风险隐患的主要来源之一。 总结当前数据应用领域造成个人数据信息泄露的途径大致可以归结为三种:其一,攻击者或竞争者通过拖库、撞库或网络爬虫等方式窃取数据信息。例如,2015年1月19日13时57分,乌云漏洞报告平台披露“网易163/126邮箱过亿数据泄露(涉及邮箱账号/密码/用户密保等)”,网易随后在官方微博上作出回应,称此系“撞库”所致,即黑客通过收集互联网中已泄露的用户和密码信息,尝试批量登录其他网站,从而获取用户的相关信息,如手机号码、身份证号码、银行卡号等。而被列为“影响中国互联网法治进程十大案例”之一的百度与大众点评不正当竞争纠纷案则剑指网络爬虫技术。2016年,北京百度网讯科技有限公司使用网络爬虫等技术手段在上海汉涛信息咨询有限公司旗下大众点评APP上抓取商户的基本信息及点评信息,被认定构成不正当竞争;其二,数据控制从业人员主动或被动泄密。如,阿里巴巴旗下支付宝的前技术员工利用工作之便,在2010年分多次在公司后台下载了支付宝用户的资料,并伙同两位同伙将用户信息多次出售给电商公司、数据公司,资料内容超20G;其三,技术原因导致信息管理失密。如企业数据信息维护失时、处置失当、存储失控导致数据信息泄露等。从上述案件中可以看出,不论是哪种途径的信息泄露,作为数据控制或传输的企业莫不兼有一定联系。此外,企业对于个人信息的过度收集和非法收集亦为数据信息泄露埋下了更大的安全隐患。据报道,2019年有200余款APP因违法违规收集用户信息被约谈整改,腾讯研究院《2017年度网络隐私安全及网络欺诈行为分析报告》则显示,高达96.6%的Android应用会获取用户手机隐私权,甚至25.3%的Android应用存在越界获取用户手机隐私权限的情况。 为应对数据应用行业野蛮扩展下的信息安全风险,2019年4月10日,公安部网络安全保卫局联合北京网络行业协会、公安部第三研究所共同研究制定了《互联网个人信息安全保护指南》,用以引导互联网科技公司加强对用户个人信息的安全保护。此外,中国支付清算协会技术标准工作委员会发布了《个人信息保护技术指引》、中国期货业协会发布《期货公司信息技术管理指引》及检查细则、中国广告协会互动网络分会制定《中国互联网定向广告用户信息保护行业框架标准》、中国科学技术法学会与北京大学互联网法律中心联合发布《互联网企业个人信息保护测评标准》、中国电信、中国移动、中国联通等多家企业共同签署《用户个人信息收集使用自律公约》等规范,用以维护某一行业或多行业内部的个人信息安全。然而,随着大数据、云计算、区块链等数字数据技术不断发展,“共享经济”“平台经济”“宅经济”“森林康养”等新业态、新模式、新产业不断涌现,使得信息安全领域的自治性行业规范在数量与质量方面与大数据产业发展逐渐脱节。同时,相当一部分行业规范约束力不足、针对性不强,导致数据应用企业在规制内容上大打擦边球,仅专注于自身的技术研发与应用推广,刻意回避或忽视用户个人数据信息的保护问题。值得一提的是,随着新冠肺炎疫情正逐步得到有效控制,疫情后续恢复工作已有序展开,但在防疫期间政府与各互联网科技公司所共享的海量实名制敏感数据却预埋下了极大的安全风险,依照现有行业自律现状而言,若不及时补足数据应用行业自治规范的标准化与强制力,一旦被用于恶性商业竞争或违法犯罪活动,造成的现实危害难以估量。 随着“互联网+”计划的不断推进,日常生活的方方面面正快速实现信息数据化,从购物、出行、住宿到社交通讯、学习娱乐等,公众对于提供一定的个人信息以获取便利的服务或产品开始变得习以为常。大数据时代,公民更加关注自己的个人信息收益,却对自身与他人在信息保护上的安全风险重视不足。譬如,在前述武汉、湖北返乡者“污名化”事件中,各地基层防疫信息采集人员及公安、卫生等疫情防控机构在数据采集、比对汇总、对外公布等环节缺乏隐私保护法律意识,致使返乡者个人信息在微信群外传后迅速扩散至整个网络,造成极其恶劣的社会影响与信任危机。更加严重的是,公民对自身信息安全状况普遍缺乏基本了解和实时关注。2018年北京市消费者协会发布《手机APP个人信息安全调查报告》显示,有42.31%的人不知道授权应用采集的个人信息可能一直被留存;有79.23%的人认为手机应用上的个人信息不安全,但是仅有6.15%的人在安装或使用手机应用前会经常阅读授权须知。这表明了大数据时代个人信息利用与保护的部分现状——以信息交换便利。2018年,信息安全领域全球领先的解决方案提供商赛门铁克(SYMC.O)旗下公司诺顿LifeLock通过民调机构The Harris Poll对超过1000名中国成年人进行了线上调查,并基于调查结果发布了《诺顿LifeLock网络安全调查报告》(以下简称《报告》),据《报告》显示,85%的中国消费者比以往更加警惕隐私安全,不过尽管存在隐私方面的顾虑,很多消费者仍然愿意以分享个人信息来换取便利,甚至有62%的消费者愿意牺牲一定的网络隐私来换取便利。从上述调查中可以发现,尽管近年来我国公民对于个人数据信息安全的防护意识有所上升,但整体仍呈薄弱之势。究其根本,则指向我国目前个人信息权层面法律基础设施与配套建设尚不充分、互联网大数据行业迅猛发展同既有数据保护体系不相适应的客观现实。因此,一方面自上而下地加强个人信息保护立法与数据应用行业自治,另一方面应从公民这一微观对象着眼,自下而上、依法依规地主张个人数据权益,倒逼全社会不仅在突发公共安全事件中时刻关注并警惕信息安全风险,更应形成常态化、法治化的数据权利与风险防范意识。 此次新型冠状肺炎疫情是对我国信息数据治理能力的一次全面考验,由于个人信息保护立法供给不足、数据应用行业自治规范匮乏以及个人数据信息保护意识薄弱等原因,目前个人数据利用的规范化与法治化状况不容乐观。进一步分析上述个人信息保护问题在收集、分析、挖掘、利用、共享等环节中的机理发现,其核心困境聚焦于个人信息权益在概念内涵、保护原则、例外适用中的争议化解与系统解读。 对个人信息权益进行概念内涵界定是实现个人数据利用与保护的首要前提。只有确定为法律层面的个人信息才能够得到法律的保护,反之,则不存在法律保护的可能。我国并未统一对个人信息进行概念上的规范界定,也并未对个人信息的内涵和外延统一厘清,仅在部分法律法规中作原则性说明或补充性说明。如,我国第一部关于个人信息保护的法律法规《全国人大常委会关于加强网络信息保护的决定》第1条规定“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”;其后,2017年施行的《网络安全法》第76条规定:“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条:“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”可见,目前我国法律仅将“可识别公民特定身份”作为个人信息侵权保护的判定前提,即只有与个人相关,能够直接或间接识别特定自然人的信息侵权才能诉诸现行法律予以规制。 大数据技术的快速发展与广泛应用,改变了信息的收集和使用方式,模糊了个人数据信息与非个人数据信息的边界。人们上网、社交、旅游、工作、娱乐等,随时在产生信息并被记录数据,海量的多样化数据促进了大数据技术的发展,而发展的大数据技术又大大降低了数据获取、存储和处理的成本。双向增强的大数据使得更多的数据被聚合起来,大大增强了人们将非个人信息转化为个人信息的能力。数据控制者可以通过交叉验证或其他方式对特定个体之外的原始数据和衍生数据进行分析处理来获取某特定的个人信息,即多重来源的个人信息通过比对累积,能够形成完整的用户画像和实时追踪,不仅增加信息泄露的风险,还会影响有关个人权益的决策。 举例来说,甲、乙、丙为一家人,通过分析处理乙、丙的原始数据和衍生数据可以获得甲的数据画像,画像直接指向甲。然而,按照传统个人数据信息概念内涵的界定,该数据画像并不需要甲的授权且不侵犯甲的合法权益。此时,如果甲的个人数据信息被泄露或滥用就很难获得法律层面的保护。故此,如何因时因应地刻画个人信息在数据保护上的合法边界成为当前引入法治规范的首要难题。这一问题已经在此次抗击新冠肺炎疫情中被着重提出,鉴于新冠肺炎传播途径的不断发现和增加,家庭、单位等聚集型的疫情爆发特别明显,如此一来,很多确诊患者、疑似患者、密切接触者等之间的个人数据信息,在防控疫情的特殊需要下已经无所谓隔离区分,必须作为一个整体来收集、存储、分析及使用,在这一过程中就存在如何规范对不在场当事人的个人数据信息予以授权收集和使用的问题。换言之,在疫情防控之下,对任何公民个人的数据信息的收集和使用等数据行为,都存在在未经当事人知情同意的情况下发生的可能。这就对个人信息的内涵、外延及附属之上的各类权益的明确划定提出了现实要求,即哪些信息包括个人敏感信息,在突发公共事件场景下是可以经由法定机构在法定程序下可以自动获取和使用的,哪些信息尤其是涉及人身财产重大安全的是必须征得当事人知情同意且明确授权的,以此来构筑个人数据信息保护制度运行的压舱石和划定突发公共事件中个人数据信息使用的安全港。 2019年2月1日全国信息安全标准化技术委员会发布了《信息安全技术个人信息安全规范(草案)》GB/T 35273(已批准,尚未公布),其中的突出亮点是详细规定个人信息控制者在开展个人信息处理活动时应遵循的基本原则,包括:a)权责一致——采取技术和其他必要的措施保障个人信息的安全,个人信息处理活动对个人信息主体合法权益造成损害时应承担责任;b)目的明确——具有明确、清晰、具体的个人信息处理目的;c)选择同意——向个人信息主体明示个人信息处理目的、方式、范围、规则等,征求其授权同意;d)最小必要——只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量。目的达成后,应及时删除个人信息;e)公开透明——以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等,并接受外部监督;f)确保安全——具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手段,保护个人信息的保密性、完整性、可用性;g)主体参与——向个人信息主体提供能够查询、更正、删除其个人信息,以及撤回授权同意、注销账户、投诉等方法。现行《关于加强网络信息保护的决定》第2条规定:“网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息,应当遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。不得违反法律、法规的规定和双方的约定收集、使用信息。”《网络安全法》第41条:“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”这些规定初步确立了我国个人数据利用的基本原则体系。 然而,大数据时代下的个人信息正演变为一种无法使用常规软件工具进行捕捉和处理的数据集合,表现为存储在各种存储介质中的多形态海量数据。在此基础上,通过对海量数据进行分析,可令政府部门实现精准决策预测,互联网科技企业获得产品与服务的巨大增值。在此次抗击疫情过程中,各级政府与医疗机构借助大数据有效实施防控治理举措,借助铁路、航空、电信以及多家互联网科技公司提供的业务数据,令防疫工作在收集监控信息、追踪传播路径、定位疑似病例环节效果十分明显。作为一种新型生产和治理工具,大数据的运用提高了资源配置的速度和精确度,在价值上甚至超过了因特定目的专门采集的数据。随着大数据和人工智能技术的发展,信息的价值不在其本身,而是建立在数据的深度挖掘、分析、共享、利用、决策之中。可以想见,新冠疫情这一重大公共安全事件的强势助推,将大大激发未来政府、企业甚至个人收集和处理海量数据信息的意愿动机。故该技术大范围、多层级、宽领域的深度应用对公民个人信息权利将不可避免地造成一定侵蚀。早于疫情爆发之前,众多企业便会在收集业务范围内所必需的信息的基础上,收集一些现阶段不必要的信息,例如某些APP会以提供附加功能、个性化服务、提升用户体验等为由收集某些个人信息(包括非必要信息)/系统权限,要求用户一并同意,对传统个人信息保护法的最小必要原则形成了突破;再如企业通过对衍生数据深度挖掘分析得到的信息并不需要明示告知信息使用的目的、方式和范围,而该信息的泄露依然有可能对原始数据提供者造成人身、财产或其他方面的损害,这俨然同个人信息保护的最小必要、目的明确与公开透明等原则初衷相违背。值得注意的是,作为危机时期的非常举措,在借助大数据进行疫情防范等危机治理活动时,个人信息权益服务公共利益大局的底线被一再降低,大量数据利用行为不断突破既有信息保护原则,对其必要性与正当性的质疑亟待给予规范化、法治化的回应与廓清。 对于新冠病毒肺炎疫情的防控工作而言,特殊时期公共利益先行之下,法治保障机制尚不充分的个人信息权益如何调整权利边界以实现数据利用与保护间的协调平衡值得重点关注与深入思考。利用大数据技术有效管控追踪潜在或病毒携带人员对于及时阻断传染源、切断传播途径、防止疫情进一步传播无疑具有关键性意义。因此,做好对公民个人信息包括姓名、家庭住址、手机号码、身份证号码、行踪轨迹、位置定位、交际交往、购物医疗等的依法采集工作显得尤为重要。我国《传染病防治法》第12条规定“在中华人民共和国领域内的一切单位和个人,必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施,如实提供有关情况”,这里的如实提供有关情况就包括配合与传染病有关的个人信息采集工作。我国《突发公共卫生事件应急条例》第40条规定“传染病爆发、流行时,街道、乡镇以及居民委员会、村民委员会应当组织力量,团结协作,群防群治,协助卫生行政主管部门和其他有关部门、医疗卫生机构做好疫情信息的收集和报告、人员的分散隔离、公共卫生措施的落实工作”。《个人信息安全规范》《信息安全技术个人信息告知同意指南(征求意见稿)》等亦规定,与公共卫生相关的个人信息采集无需征得信息主体同意。上述法律法规作为个人数据利用在特殊情况下的例外适用,应当严格遵守法定程序,不宜令私人权益在服务公益大局的过程中被肆意侵蚀。 在此次疫情防控的实际操作中,有关政府和部门同相关数据企业协同合作通过地毯式、网格化广泛收集公民诸如家庭关系、工作或学习背景、实时位置信息、旅行及交通信息等个人信息,经大数据处理后所形成的疫情地图则有效地缓解了民众对疫情未知的恐惧。大数据技术之于国家治理的重要性不言而喻。为此,中央网络安全和信息化委员会办公室专门出台《关于做好个人信息保护利用大数据支撑联防联控工作的通知》(以下简称《通知》)以鼓励运用大数据进行疫情防控。《通知》规定“鼓励有能力的企业在有关部门的指导下, 积极利用大数据, 分析预测确诊者、疑似者、密切接触者等重点人群的流动情况, 为联防联控工作提供大数据支持”。当然,《通知》注意到了潜在的信息安全风险,并申明:“为疫情防控、疾病防治收集的个人信息不得用于其他用途。任何单位和个人未经被收集者同意,不得公开姓名、年龄、身份证号码、电话号码,家庭住址等个人信息,因联防联控股工作需要,且经过脱敏处理的除外。”然而疫情防控过程中对超过7000名武汉、湖北返乡人员姓名、家庭住址、身份证号等信息的泄露,以及政府有关主管部门泄漏确诊病人和疑似病人个人信息的事件,无疑暴露出我国疫情防控乃至常态化生产生活中个人信息保护的法治困局。换言之, 法律并不禁止突发公共事件下,政府或者有关部门对个人数据信息的扩大化采集以及充分利用数据企业的信息处理能力, 只是原则上必须对信息进行匿名化处理,防止信息恶意泄露对信息主体造成的人身或财产损害。 对作为新中国成立以来重大突发公共卫生事件的新冠肺炎疫情的全国联防联控既是对国家治理体系和治理能力的重大挑战,也是优化国家治理体系、提升国家治理能力的重要契机。总体而言,经新冠肺炎疫情的严峻考验,我国个人数据利用的法治化进路正逐渐明晰。未来,随着新技术、新模式、新业态的不断涌现,数据价值最大化的内在扩张性会不断显现,甚至会不断颠覆人们对于个人信息保护边界的认知。固然大数据时代需要社会公众提供部分个人数据,但这绝不意味着以牺牲公民合法的基本权益为代价,技术发展的根本在人,只有促进人的全面发展才应是数据价值最大化挖掘的初衷。因此,要处理好个人数据利用与保护的平衡关系,在法治思维框架引领下,综合考量政府、社会、个人的多元诉求,与时俱进“找问题、查不足、补短板、促发展”,从而实现大数据应用与公民全面发展的和谐共赢。 统一个人信息保护法制体系并出台专门性立法是促进个人数据利用法治化的制度前提。在疫情过后,对已进入立法程序的《个人信息保护法》须加快立法步伐,重点厘清个人信息的概念、内涵、外延、基本原则、侵权责任、救济途径等内容。譬如,在个人信息界定环节,可以扩围“个人身份可识别”标准,即关联性验证,对于通过交叉验证获取的明确指向特定个人的用户画像,赋予画像主体信息控制的权利,建立统一的数据信息安全等级保护管理规范,对公民、法人和其他组织实行分等级保护;在数据采集环节,除对数据使用的目的进行明确和限制、遵循数据最小化的限制利用原则、保证采集的数据要限于相关且实时更新的数据外,还要确保数据主体或通过交叉验证等方式获取特定用户画像的主体以修正、删除数据或画像的权利;在数据存储环节,提高相关从业人员的数据信息安全保护意识,例如可以通过培训或者将信息保护工作纳入政府绩效考核等措施,增强相关责任主体保护政府数据开放平台用户信息安全的意识,以意识带动行为,从而为政府数据开放创造良好的人文环境;在数据共享环节,建立畅通的数据通道,通过及时、有效、高速、规范的数据共享通道,实现信息快速交换的目的,减少不规范泄露信息行为的产生;在数据安全保障环节,定期更新和测试现有的隐私数据安全保障技术,避免未经授权访问、披露等信息泄露对用户造成损害行为的发生。此外,应积极借鉴域外个人信息保护法律实践成果,通过对日本《个人信息保护法》(2003)、俄罗斯《个人数据保护法》(2006)、《欧盟通用数据保护条例》(GDPR,2018)、美国《开放政府数据法案》(2018)和澳大利亚《用户数据权利法案》(2019)等有益经验的汲取,完善数据采集、存储、利用、共享、安全保障等全周期立法规定。再者,配合《民法典(草案)》“隐私权和个人信息保护”章节中的基础性权利规定,全面推进个人信息的专门化、系统化的法治保障体系。 在互联网大数据时代,数据信息安全保护不仅需要国家在宏观法制层面建立统一的数据信息立法体系,还需要引导有关个人数据信息安全的主要参与者尤其是企业数据主体与第三方数据主体,密切合作共同设置和实施中观层面上的个人数据信息安全实体标准和程序规范,构建和完善多元数据主体共建共治共享的数据信息安全保护规范或者行动守则。相较于国家立法作为权益保障和救济的正式规范形式,数据应用领域的自治性规范对于个人数据利用与保护而言,更易被各类数据主体所接受。应从企业自建数据安全规则角度出发,提高信息泄露的行业自治与惩罚约束,倒逼企业增强数据信息安全的防范意识。尤其在疫情结束后的恢复重建过程中,早前广泛收集的公民个人数据信息安全管理风险逐渐显现,包括攻击者或外部竞争者通过拖库、撞库或网络爬虫等方式窃取数据信息行为,数据信息控制从业人员泄密以及企业数据信息维护失时、处置失当、存储失控等行为均应提前防范、实施监督、严格管控。 在具体操作环节,应分两阶段完善当前及未来数据应用行业领域自治规范。其一,在疫情防控期间,鉴于《民法典(草案)》与《个人信息保护法》尚处在立法制订环节,当务之急可暂以《国家安全法》第51条和《网络安全法》第4章的法律规定为基准,对突发公共事件中个人数据利用进行行业统一规制和调节。对上述条文规定模糊的,需进一步出台行政规范性文件或其他措施进行弥补,引导数据应用领域尽快完善个人信息保护与分享配套自治性行业共识或统一技术标准;其二,从长远制度建设着眼,可由政府主导积极建构数据应用方向的共享合作长效机制,敦促相关经营者共同推动大数据行业组织协会建设与功能履行,以提高彼此之间的相互协作来降低信息泄露风险,增强信息提供者、数据控制者、数据利用者的多方互信,为下一步数据信息的收集、存储、分析、传输、共享、利用打下坚实基础,并最终形成激励相容、利益共享、互相监督的大数据共治生态,使各主体既有挖掘、收集数据的积极性,又能打通数据壁垒、串联信息孤岛,在法治框架下实现政府大数据精准决策与经营者和行业组织便捷利用的协调良性发展。 由于数据信息的大体量、多样性、瞬时性特征,单凭政府、企业或第三方机构均无法对每一位公民的个人数据信息提供及时、充分、高效、全面的实时保护。以此次新冠肺炎疫情期间出现的个人数据泄露事件为例,基层防疫信息采集管理人员或因数据保护立法缺位致使主观上存有任意性,但其个人在该方面法治意识淡薄也是既定事实。在实际生活中,公民享受互联网大数据便利的同时,鲜有关注个人信息管理与保护的具体细节。譬如,用户为了方便记忆,通常会采用一个密码登录多个互联网服务平台,在方便自己的同时,也给个人数据信息的泄露或滥用埋下了隐患。据调查显示,83.48%的网民支付行为存在安全隐患,近四成的网民使用没有密码的公共WIFI进行网络支付,42.55%的网民在使用公共计算机网络支付中没有消除上网痕迹。故此,增强公民个人对数据信息的防护意识,是保障个人数据信息安全在微观层面的第一步,也是大数据时代公民自身应承担的义务和责任。在数据信息安全愈发成为社会生活和社会治理重要议题之时,相对于通过事后的法律救济或是事中的数据企业或其他数据控制主体的信息安全防范来杜绝个人数据信息泄露,公民个人自身的数据信息安全保护意识尤为重要,事前安全预防应纳入个人数据信息利用法治体系的软环境建设环节,进行常态化的宣传强调与法律普及。正所谓预防是最好的治疗,就此次新冠肺炎疫情突发公共卫生事件而言,防控胜于救治,事前安全预防应该受到更多的重视,这一点在个人数据信息保护法治系统的建设中理应放置首位。“节物风光不相待,桑田碧海须臾改”,数据时代个人信息安全保护在任何场景下都没有局外人。 习近平总书记在统筹推进新冠肺炎疫情防控和经济社会发展工作部署会议上强调,这次新冠肺炎疫情传播速度快、感染范围广、防控难度大,是新中国成立以来一次重大突发公共卫生事件。同时,此次疫情也是对坚决推进国家治理体系和治理能力现代化、不断增强人民幸福感和获得感的重大考验。如今,疫情防控形势在社会各界齐心共聚、多种先进治理技术并举之下正积极向好,抗击疫情的最终胜利指日可待。然而,在公共利益先行之下,包括个人数据利用在内的社会风险逐渐显现。此次疫情防控过程中的信息泄露问题,突显了我国公民个人数据信息安全中的漏洞和短板。因此,亟须从国家专门立法、行业领域自治、公民增强防范意识等维度出发,更新数字数据技术对传统个人数据理念的认知和定位,廓清个人信息概念内涵、保护原则、例外适用等权利救济内容程序,拓宽社会公众寻求且获得及时有效法律救济的正当途径,系统构建个人数据有效保护与科学利用的平衡,不断赋能国家治理体系和治理能力的现代化与法治化进程。
推荐阅读- 向上滑动,查看完整目录 -
《社会科学辑刊》2020年第2期法学要目
【疫情下的社会与人文】
1.重大疫情下的应急管理机制与地方治理
作者:林卡(浙江大学公共管理学院)
内容提要:回溯新型冠状病毒肺炎疫情的发生、蔓延,最后演变成全国性的重大公共卫生事件的历程可以发现,地方政府在抗击疫情的应急管理过程中存在诸多问题,对比湖北、浙江两地地方政府在危机处理中采取不同的措施所引发民意反响的差异,可见应急管理的成效与地方社会治理的水平密切相关。因此采用协同型应急管理模式有助于强化地方应急管理责任,推进政府与社会力量的协同,弥补我国应急管理体系在此次事件中反映出来的各种漏洞,提升应对公共安全重大危机的处置能力,避免人民群众生命财产安全遭受重大损失,提升应急管理的水平。
关键词:重大疫情;应急管理;社会管理;新冠肺炎;公共卫生事件
2.抗击新冠肺炎疫情中个人信息保护的法治慎思
作者:陈兵(南开大学法学院,竞争法律与政策研究中心,司法与社会研究中心)
内容提要:在新冠肺炎疫情时期,我国各级政府部门联合相关数据企业共同协作,借助大数据、云计算、人工智能等数字数据化技术对疫情进行联防联控并取得显著成果。然而,在公众积极提供个人数据信息配合疫情防控的同时,个人信息保护法制体系的不完善、数据应用行业自治规范的不健全以及公民数据信息安全意识的不充分等法治风险逐渐凸显,暴露出个人(数据)信息在其概念内涵、保护原则及例外适用上的规范困惑和实践困境。故此,在依法打好疫情防控总体战、阻击战的战略指示下,有必要从提高个人信息保护立法的速度和效度、强化数据应用自治规范的建设和完善、提高公民数据信息安全的法治意识和能力等三个维度改善和平衡个人数据利用与个人信息保护的关系,强固我国应对各类突发重大公共事件的综合能力,最终实现我国国家治理体系和治理能力的现代化。
关键词:新冠肺炎疫情;个人数据利用;个人信息保护;法治
【刑法问题研究】
3.刑法的扩张对谦抑性的悖离
作者:李洁;孔祥参(吉林大学法学院)
内容提要:近年来,我国刑法进入立法活性化时代,立法的变化主要表现为犯罪圈的扩大和罪刑结构的调整。犯罪圈扩大的方式主要包括抽象危险犯的设定、持有型犯罪的增加和帮助行为、预备行为正犯化等。罪刑结构的调整表现为刑罚裁量制度和刑罚执行制度的修改以及刑罚配置上的重刑化倾向。司法解释通过将行政处罚后又实施以及小概率事件作为罪量要素、对兜底条款的扩大解释等方式不断扩大犯罪成立范围。刑法立法和司法中出现的犯罪圈的扩大以及重刑化倾向悖离了刑法谦抑性的基本理念,体现出社会治理对刑法的过度依赖。必须审慎立法司法,以谦抑性的视角检视刑法的扩张问题。
关键词:刑事立法;司法解释;刑法谦抑性
4.秦及西汉初期的奸罪与腐刑——以出土简牍资料为主要依据
作者:霍存福;程令政(吉林大学法学院;沈阳师范大学;吉林大学法学院;天津财经大学法学院)
内容提要:在秦及西汉初期,奸罪已经被分为和奸与强奸两种类型,其相应的刑罚也有相当大的区别,其中的强奸要被处以腐刑。不过,在张家山汉简《二年律令》中,腐刑的适用并不单纯,在其律文之中,腐刑无法以一种统一的含义去理解。如果结合奸罪分析腐刑就会发现,在秦及西汉初期存在两种不同意义上的腐刑。虽然在秦汉之后的传统中国法里,这两个问题并没有必然的联系,但在出土简牍资料中却可发现秦及西汉初期的奸罪与腐刑之间的隐秘联系,并可以尝试将这种联系追溯到刑罚初定之时。
关键词:奸罪;腐刑;睡虎地秦简;《二年律令》;岳麓书院藏秦简
《社会科学辑刊》是由辽宁省社会科学院主办的大型学术双月刊,为国家期刊奖百种重点期刊、全国中文核心期刊、中国综合性人文社会科学类核心期刊、中文社会科学引文索引(CSSCI)来源期刊、国家新闻出版总署“中国期刊方阵”双效期刊、中国北方优秀期刊、辽宁省一级期刊。1979年3月创刊,辽宁社会科学院主管主办。人文、社会科学综合性学术刊物。发表人文、社会科学领域的最新研究成果。
百万法律人都在用的北大法宝详细介绍!
林卡:重大疫情下的应急管理机制与地方治理 | 社会科学辑刊202002
《社会科学辑刊》征稿启事(内含选题方向和常设专栏)
张美红:“一带一路”背景下国家税收协定中利息免税条款的适用 | 社会科学辑刊202001
田洪鋆:最密切联系原则控制模式欧美比较研究 | 社会科学辑刊202001
刘艳红:治理能力现代化语境下疫情防控中的刑法适用研究
陈柏峰:乡村基层执法的空间制约与机制再造
徐雨衡 | 法律原则适用的涵摄模式:基础、方法与难题
客服 | 法小宝
微信 | pkulaw-kefu
微博 | @北大法宝
点击相应图片识别二维码
获取更多信息
北大法宝
北大法律信息网
法宝学堂
法宝智能