【編者按】

2019年12月7日，第二屆中國(guó)數(shù)據(jù)法律高峰論壇在上海舉行，數(shù)十位多個(gè)部門的領(lǐng)導(dǎo)和相關(guān)領(lǐng)域?qū)W者參加，圍繞“數(shù)據(jù)經(jīng)濟(jì)與個(gè)人信息立法”的主題展開討論。“數(shù)據(jù)驅(qū)動(dòng)中國(guó)法律共同體”于論壇舉行期間宣告成立。

“我國(guó)個(gè)人信息保護(hù)原則”由華東政法大學(xué)互聯(lián)網(wǎng)法治研究院院長(zhǎng)高富平教授草擬，并提交本論壇討論。以下“我國(guó)個(gè)人信息保護(hù)原則”的文本，系參考論壇中的相關(guān)討論，并匯集論壇結(jié)束后多位學(xué)者提供的書面修改意見后改定?！皵?shù)據(jù)驅(qū)動(dòng)中國(guó)法律共同體”同意將該原則文本同時(shí)作為其首份倡議書發(fā)布。

隨著網(wǎng)絡(luò)應(yīng)用的普及，大數(shù)據(jù)、云計(jì)算、物聯(lián)網(wǎng)、人工智能等新一代信息技術(shù)的發(fā)展和應(yīng)用，人類社會(huì)逐漸步入了數(shù)據(jù)驅(qū)動(dòng)發(fā)展的時(shí)代，人類對(duì)數(shù)據(jù)的應(yīng)用發(fā)生了翻天覆地的變化，數(shù)據(jù)成為支撐科學(xué)研究、社會(huì)治理、企業(yè)創(chuàng)新、經(jīng)濟(jì)轉(zhuǎn)型的基礎(chǔ)資源。在數(shù)據(jù)資源中，個(gè)人數(shù)據(jù)（又稱為個(gè)人信息）占有非常重要的地位，是整個(gè)大數(shù)據(jù)應(yīng)用的基礎(chǔ)，甚至國(guó)際社會(huì)在談數(shù)據(jù)保護(hù)時(shí)僅指?jìng)€(gè)人數(shù)據(jù)的保護(hù)。因此，創(chuàng)制和維護(hù)個(gè)人數(shù)據(jù)利用秩序，是大數(shù)據(jù)應(yīng)用的前提，是大數(shù)據(jù)戰(zhàn)略得以實(shí)施的制度保證。

國(guó)際社會(huì)自從上世紀(jì)七十年代開始建立個(gè)人信息保護(hù)制度，至今已有近五十年的歷史，但直到進(jìn)入本世紀(jì)之后，我國(guó)才開始考慮建立個(gè)人信息保護(hù)制度。2012年，全國(guó)人大常委會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》開啟了個(gè)人信息保護(hù)的法律化之路?！缎谭ā贰ⅰ断M(fèi)者權(quán)益保護(hù)法》、《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》等法律均涉及個(gè)人信息保護(hù)。但是，我國(guó)個(gè)人信息保護(hù)方面的相關(guān)現(xiàn)行立法選擇性地移植了國(guó)外部分法律規(guī)則，導(dǎo)致我國(guó)法律規(guī)則既不符合國(guó)外立法的本義，也不切合我國(guó)國(guó)情，更不能適應(yīng)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的需要。

目前，不合理的個(gè)人信息利用法律制度和規(guī)則，正在扼制甚至禁錮大數(shù)據(jù)和人工智能應(yīng)用，妨礙數(shù)據(jù)驅(qū)動(dòng)發(fā)展。

2019年，我國(guó)正式啟動(dòng)《個(gè)人信息保護(hù)法》的立法工作。我們認(rèn)為，數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)創(chuàng)新是人類社會(huì)發(fā)展的新引擎和新動(dòng)能，是第四次工業(yè)革命的根本，我國(guó)應(yīng)當(dāng)充分利用在大數(shù)據(jù)新時(shí)代制定個(gè)人信息保護(hù)法的后發(fā)優(yōu)勢(shì)，制定反映數(shù)據(jù)經(jīng)濟(jì)需求的個(gè)人信息保護(hù)和利用規(guī)則，引領(lǐng)大數(shù)據(jù)時(shí)代的個(gè)人信息保護(hù)和利用的國(guó)際規(guī)則。

為此我們提出如下建議：

第一，從我國(guó)文化傳統(tǒng)與新時(shí)代的人權(quán)觀出發(fā)，構(gòu)建我國(guó)個(gè)人信息保護(hù)的理論基礎(chǔ)和制度體系。

個(gè)人信息保護(hù)本質(zhì)上是對(duì)個(gè)人基本權(quán)利的保護(hù)。國(guó)際社會(huì)的個(gè)人信息保護(hù)立基于西方發(fā)達(dá)國(guó)家的人權(quán)觀或隱私觀，是堅(jiān)持主、客觀兩元區(qū)分的產(chǎn)物。這既不符合我國(guó)的文化傳統(tǒng)、政治生態(tài)與現(xiàn)實(shí)國(guó)情，也不符合人類社會(huì)經(jīng)濟(jì)、科技發(fā)展的趨勢(shì)。我們需要發(fā)掘與我國(guó)文化傳統(tǒng)相統(tǒng)一且立基于新時(shí)代的發(fā)展人權(quán)觀，建構(gòu)與我國(guó)政治經(jīng)濟(jì)文明和社會(huì)風(fēng)俗文化相符的隱私價(jià)值觀，在該基礎(chǔ)上明確個(gè)人信息保護(hù)的目的和需要，以保護(hù)個(gè)人基本權(quán)利，而不是簡(jiǎn)單移植國(guó)外的制度。

第二，制定反映大數(shù)據(jù)時(shí)代特征的《個(gè)人信息保護(hù)法》。

國(guó)際社會(huì)有關(guān)個(gè)人信息保護(hù)的基本原則形成于上世紀(jì)七十年代。當(dāng)時(shí)，獲取個(gè)人信息的主要方式體現(xiàn)為個(gè)人向特定數(shù)據(jù)控制者提供基本數(shù)據(jù)，法律主要解決計(jì)算機(jī)處理個(gè)人信息所帶來的風(fēng)險(xiǎn)，個(gè)人信息在電子化狀態(tài)下被不斷重復(fù)或永久利用，這導(dǎo)致了個(gè)人控制的難題。但在人類社會(huì)進(jìn)入到網(wǎng)絡(luò)化、智能化和數(shù)據(jù)化時(shí)代后，數(shù)據(jù)的應(yīng)用場(chǎng)景、應(yīng)用方式、應(yīng)用手段均發(fā)生了巨大變化，國(guó)際社會(huì)現(xiàn)行的個(gè)人信息保護(hù)規(guī)則和方式已然滯后。

相較于其他已有成文法的國(guó)家而言，我國(guó)沒有現(xiàn)存立法的阻礙，又站在數(shù)字經(jīng)濟(jì)爆發(fā)的歷史時(shí)刻，更有條件去學(xué)習(xí)和研究其他國(guó)家個(gè)人信息立法方面的經(jīng)驗(yàn)與不足，更有資格去解決個(gè)人信息保護(hù)與數(shù)字經(jīng)濟(jì)發(fā)展的矛盾，建構(gòu)既能保護(hù)個(gè)人基本權(quán)利，又能促進(jìn)數(shù)字經(jīng)濟(jì)高效發(fā)展的個(gè)人數(shù)據(jù)保護(hù)原則，指導(dǎo)整個(gè)立法及后續(xù)的規(guī)則適用，并引領(lǐng)未來國(guó)際社會(huì)個(gè)人信息立法的潮流。

第三，確立個(gè)人信息“有效使用+有效保護(hù)”的原則。

個(gè)人信息一直是社會(huì)可正當(dāng)利用的資源，數(shù)據(jù)驅(qū)動(dòng)更加強(qiáng)化了其基礎(chǔ)資源性。通過個(gè)人信息識(shí)別社會(huì)個(gè)體，是商業(yè)運(yùn)營(yíng)、公共服務(wù)、社會(huì)交往等活動(dòng)開展的必要條件；沒有這些活動(dòng)的開展，社會(huì)個(gè)體在個(gè)人信息上的利益也無法體現(xiàn)。絕對(duì)的、隔離于社會(huì)交往的個(gè)人隱私觀既忽視了社會(huì)生活的公共性，也不符合社會(huì)的現(xiàn)實(shí)。一律要求獲得個(gè)人同意才能收集、處理個(gè)人信息，極易導(dǎo)致將個(gè)人對(duì)其個(gè)人信息控制的絕對(duì)化，并演繹為一項(xiàng)支配性的私權(quán)，妨礙數(shù)據(jù)的正當(dāng)利用。但是，個(gè)人信息的使用關(guān)涉?zhèn)€人隱私和自主利益，甚至關(guān)系人身財(cái)產(chǎn)安全。個(gè)人信息的收集和使用必須加以規(guī)范，從而確保個(gè)人主體權(quán)益不受侵犯，保障個(gè)人人身和財(cái)產(chǎn)安全。

因此，個(gè)人信息的使用應(yīng)當(dāng)采納“有效使用+有效保護(hù)”原則；“有效使用”強(qiáng)調(diào)個(gè)人信息的流通便利，以實(shí)現(xiàn)個(gè)人信息的社會(huì)、經(jīng)濟(jì)利益；“有效保護(hù)”強(qiáng)調(diào)個(gè)人信息的安全，要求企業(yè)履行充分的安全保障義務(wù)以保障個(gè)人主體權(quán)益免受侵犯，要求在個(gè)人主體權(quán)益遭受侵害的場(chǎng)合為其提供便利、高效的機(jī)制以維護(hù)其權(quán)益。

第四，宜采用“負(fù)面清單+使用者自主風(fēng)險(xiǎn)管理”的保護(hù)規(guī)則。

立法應(yīng)明確負(fù)面清單，即明示必須先行征得個(gè)人同意的具體情形（數(shù)據(jù)類型和使用場(chǎng)景、目的等），給個(gè)人信息使用者以明確的行為指引（未經(jīng)同意即侵權(quán)）。在明確需要個(gè)人同意的情形中，須嚴(yán)格要求同意之要件，禁止與交易或服務(wù)緊密捆綁的受迫式概括同意，切實(shí)維護(hù)個(gè)人自主選擇權(quán)。同時(shí)，個(gè)人信息的使用是否侵害主體權(quán)益因行業(yè)、場(chǎng)景、目的等因素而異，個(gè)人信息安全風(fēng)險(xiǎn)的高低因使用個(gè)人信息的范圍、數(shù)量、方式不同而不同。

因此，應(yīng)當(dāng)給企業(yè)自主判斷和管理風(fēng)險(xiǎn)的自主權(quán)利，并形成規(guī)范的行業(yè)自律準(zhǔn)則，以發(fā)展和形成符合產(chǎn)業(yè)特征的靈活的個(gè)人信息保護(hù)政策和規(guī)則，明確企業(yè)個(gè)人信息安全保障義務(wù)的邊界。

第五，區(qū)分個(gè)人身份信息和個(gè)性特征可識(shí)別信息，建立不同保護(hù)規(guī)則。

個(gè)人信息的保護(hù)和利用應(yīng)以流通為原則，禁止為例外。在個(gè)人信息中，涉及個(gè)人身份信息（姓名、電話、身份證等唯一性身份信息，實(shí)踐中稱為標(biāo)識(shí)符）不受控制的流通利用可能給個(gè)人生活安寧甚至人身或財(cái)產(chǎn)安全帶來危害（這正是我國(guó)公民個(gè)人目前面臨的最大危害）。為不妨礙個(gè)人信息流通和利用以及大數(shù)據(jù)應(yīng)用，亟待區(qū)分唯一關(guān)聯(lián)個(gè)人的身份信息與其他可識(shí)別個(gè)性特征信息。

對(duì)個(gè)人身份信息，應(yīng)當(dāng)采取更加嚴(yán)格的安全措施，使用者應(yīng)當(dāng)承擔(dān)更嚴(yán)格的個(gè)人信息安全保障義務(wù)。對(duì)可識(shí)別個(gè)性特征的信息（如屬性信息、偏好信息等），其獲取和流通本身并不必然帶來上述風(fēng)險(xiǎn)，因此，對(duì)此類信息應(yīng)當(dāng)建立與個(gè)人身份信息不同的使用規(guī)范，確保在不侵害個(gè)人信息上權(quán)益的前提下促進(jìn)個(gè)人信息的流通利用。

第六，確立個(gè)人信息可安全有序流通原則。

個(gè)人信息的流通利用是社會(huì)運(yùn)行的必要條件，更是數(shù)據(jù)驅(qū)動(dòng)發(fā)展的基本要求。我們應(yīng)當(dāng)建立個(gè)人信息可流通原則，但要確保個(gè)人信息流通利用的安全和秩序。既然個(gè)人信息流通利用的風(fēng)險(xiǎn)主要源自個(gè)人信息（集）中可以直接識(shí)別、顯著關(guān)聯(lián)個(gè)人的身份信息，那么去除這些身份標(biāo)識(shí)符，即可以降低個(gè)人信息流通利用帶來的安全風(fēng)險(xiǎn)。

為此，我們需要依個(gè)人信息的不同使用場(chǎng)景而采取客觀的、類型化的去身份標(biāo)識(shí)的標(biāo)準(zhǔn)，建立去除直接識(shí)別符之后的個(gè)人信息流通利用的責(zé)任規(guī)則，將去身份識(shí)別符（匿名化、假名化）的個(gè)人信息納入個(gè)人信息保護(hù)法調(diào)整（而非認(rèn)定其不再屬于個(gè)人信息范疇，排除于個(gè)人信息保護(hù)法之外），使再識(shí)別個(gè)人的行為得到規(guī)范。

（執(zhí)筆人：高富平教授）