数字经济时代的个人信息保护
在大数据时代,制定专门的个人信息保护法,刻不容缓。个人信息保护法的制定,对于数字经济企业来说,短期内可能会有阵痛,会增加企业的合规成本。但从长远来看,一定会有利于数字经济企业发展
刘 权 中央财经大学
近些年来,发展数字经济已经成为世界主要大国和地区提升经济竞争力的共同选择。2016年二十国集团(G20)在中国杭州发布的《二十国集团数字经济发展与合作倡议》认为:“数字经济是全球经济增长日益重要的驱动力,在加速经济发展、提高现有产业劳动生产率、培育新市场和产业新增长点、实现包容性增长和可持续增长中正发挥着重要作用。”
由于移动互联网技术的飞速发展以及中国“一带一路”倡议的推进实施,中国数字经济发展将进入快车道,数字经济等新兴产业蓬勃发展,并推动互联网、大数据、人工智能和实体经济深度融合。数字经济不仅会在国内得到快速蓬勃发展,而且可能推动越来越多的企业走出国门。据相关机构预测,到2020年,中国数字经济规模将超过32万亿元人民币,占GDP 比重的35% ;到 2030 年,数字经济占GDP比重将超过50%,中国将全面步入数字经济时代。
然而,在全球数字经济快速发展的同时,个人信息保护的法律问 题受到了日益广泛的关注。数据是数字经济的生产资料,数字经济的发展离不开数据。对大量基础数据进行挖掘、分析所生成的大数据,是数字经济发展的新引擎。因而对于企业来说,数据即财富,谁拥有了数据就相当于拥有了生产资料,数据可以直接转化为利润。数字经济企业在利用大数据实施精准营销、风险管控、优化服务满足自身发展时,可能会侵犯个人信息,由此产生了数字经济发展与个人信息保护的冲突。
1.一些数字经济企业存在过度收集个人信息的情况,超范围攫取用户个人信息似乎已成为行业潜规则。大量个人信息是在用户完全不
知情的情况下,被数字经济企业过度采集、违法处理。一些APP 强制索权现象比较普遍。某些APP 甚至要求用户必须同意读取短信内容、访问通讯录、获取摄像权限、共享位置信息、获取录音授权等高达数百项的权限,否则就无法使用。
2.大数据运用中滥用个人信息的情况比较突出。企业收集个人信
息,应当符合原初目的,一般不得改变数据用途。但在实践中,通过 收集个人信息,数字经济企业可以运用大数据进行精准营销,但同时也可滥用大数据进行“大数据杀熟”。同样的商品或服务,老客户看到的价格反而比新客户要高出许多。对于收集的个人信息,一些数字经济企业不仅可能会自身滥用,而且还可能向第三方主体提供,甚至用来进行非法交易牟利。
3.数字经济企业对个人信息安全保障程度不高。一些企业收集了
大量个人信息,但安全保障程度并不高。个人信息不仅可能被企业泄露,还可能被内部人员或黑客盗取。管理咨询公司埃森哲等研究机构发布的一项调查研究结果显示,其调查的 208 家企业中,69%的企业曾在过去一年内“遭公司内部人员窃取数据或试图盗取”。2018 年 3 月2日,北京海淀分局警务支援大队曾破获一起利用网络云台服务器非法获取各大网络公司用户信息的案件。涉案人员利用黑客技术盗取数据,累计存储在云计算服务器内的数据超过 760 万条。
由此可见,在大数据时代,全球在大力发展数字经济的同时,个人信
息保护面临严重危机。很多网民似乎都处于“裸奔”状态,几乎毫无隐私可言。个人信息保护水平,直接决定着数字经济企业未来发展的前景。
数字经济企业对个人信息保护不力,可能造成其业务受损、市值下降、高额罚款等经济损失。例如,2017年3月18日,剑桥分析数据咨询公司被指未经用户同意,利用在 Facebook 上获得的 8700 万用户的个人资料数据,来创建档案,并在 2016 年美国总统大选期间针对这些人进行定向宣传。受到丑闻影响,Facebook 股价应声大跌7%,市值缩水 360多亿美元。同时, Facebook 还面临巨额罚款。
为了应对互联网时代个人数据保护面临的新挑战,以欧盟为代表的地区,制定了极为严厉的个人信息保护法律。欧盟《通用数据保护条例》(General Data Protection Regulation,简称 GDPR)已于 2018年 5 月 25 日生效。GDPR确立了重罚机制与“长臂”管辖原则,堪称世界史上最严格的数据保护法律,必将对未来全球数字经济发展产生深远影响。人工智能、电子商务、金融科技、搜索引擎、社交媒体、新型的分享经济等数字经济企业,都可能受 GDPR的严重影响。
GDPR以重罚为理念,试图倒逼数字经济企业完善个人信息保护制度。对于数据处理的违法行为, GDPR主要设定了两个等级的处罚。第一等级最高可处以 1000 万欧元的罚款,或上一财年全球营业额2%的行政处罚,以较高者为准。如数据控制者与处理者没有尽到相应数据保护义务、没有对数据保护认证组织履行义务、没有对监管部门履 行义务。针对严重违法的数据处理行为,GDPR设定了第二等级的行政处罚:最高可处以 2000 万欧元的罚款,或上一财年全球营业额4%的行政处罚,以较高者为准。譬如,数字经济企业违反数据处理的基本原则与条件、侵犯数据主体的权利、不符合条件将个人数据传输给第三国或国际组织。
世界上任何一家与欧盟有相关贸易往来的数字经济企业,即使没有在欧盟境内设立任何机构,也可能受 GDPR的管辖。从好的方面来说,GDPR的实施实际上有利于推动全球数字经济企业提升数据治理水平,有利于保障公民个人信息权利。然而,GDPR是一把双刃剑。GDPR的实施,也将对全球数字企业产生不利影响。除了造成高昂的合规成本外,GDPR可能阻碍数字经济企业的技术创新与市场发展。但欧盟 GDPR选择了相对偏重保护个人数据权利,数字经济企业获取数据没那么容易,可能会对技术创新与市场的发展产生一定的阻碍。例如,可能阻碍人工智能技术的发展创新。欧洲和美国的行业组织曾提出警告说,GDPR中严格的数据保护约束将极大阻碍数据的商业价值挖掘,并将给数字经济企业带来相当大的额外成本。
因此,如果过于偏重保护个人信息权利,企业获取数据没那么容易,就可能会对技术创新与市场发展造成一定的阻碍,从而不利于整个数字经济的快速发展。然而,在中国,目前的主要问题可能不是个人信息保护过于严格,而是保护不足。面对数字经济企业对个人信息的大量收集、存储、处理,中国对 个人信息的保护仍缺少系统的立法回应。中国对个人信息保护的规定散见于法律、行政法规、部门规章以及规范性文件之中,呈现出法律层级不高、法律条款分散、法律规定缺乏系统性等特点。
在大数据时代,制定专门的个人信息保护法,刻不容缓。个人信息保护法的制定,对于数字经济企业来说,短期内可能会有阵痛,会增加企业的合规成本。但从长远来看,一定是有利于数字经济企业发展的,有利于数字经济企业做大做强,提高国际竞争力,从而有利于促进中国的数字经济市场发展。
制定个人信息保护法的难点,在于如何平衡个人信息保护与数字经济发展。对个人信息保护过于严厉,可能无法使数据得到充分利用,不利于大数据交易,阻碍技术创新与市场活力,进而不利于整个中国数字经济的发展;但如果对个人信息保护过于宽松,不仅可能使个人隐私容易被侵犯,而且还可能导致大量中国公民个人信息被国外企业或政府收集,从而可能危害社会安全与国家安全。
制定个人信息保护的专门法律,是一项系统性工程。中国未来制定个人信息保护法,需要全国人大、国务院、网信办、工信部、商务部、国家市场监督管理总局等多部门共同参与,制定出一部经得起历史检验的良法,既切实有效保障公民个人信息,又有力促进中国数字经济良性快速发展。