大数据背景下我国个人数据法律保护模式分析

大数据背景下欧美个人数据保护立法的回应与变革

权利保障与促进数据自由流动是各国数据保护立法的基本价值功能，如何在尊重各国文化、法律、政治及经济发展实际状况的基础上，将其内化到数据保护法律规则的制定中是最大的难题，也是欧盟和美国数据保护立法最主要的分歧所在。

1. 欧盟个人数据保护立法动向：对个人权利保障的关切

欧盟数据保护法以其综合性、完整性和统一性而备受关注。为应对新兴技术的发展所带来的挑战，欧盟于2012年提出了《欧洲议会和理事会关于个人数据 处理中个人权利保护及促进个人数据自由流通条例草案》（下文简称《条例草案》），对1995年《个人数据保护指令》（下文简称《指令》）做出了诸多变革， 主要包括以下几方面：

第一，加强数据主体对数据的控制权。《指令》并未明确个人“同意”是积极同意还是消极同意，而《条例草案》规定，数据主体同意是指数据主体自愿给出 的、具体的、有根据的、详细的、表明其意愿的说明，该说明可以通过声明或明确肯定的行动表示。此外，《条例草案》还增加数据删除权 与数据可携权二项创新性权利。第二，增加数据控制者对数据安全风险的防御义务，主要包括数据保护影响评估和设计隐私与默认隐私规则；第三，惩罚措施更为严 厉。《条例草案》规定了对数据违法行为的各种罚款，对自然人最高可处25万欧元至100万欧元的罚款，对跨国企业最高可处其全球年收入的0.5%至2%的 罚款，对无商业利益的个人及雇员人数为250人以下的以非数据处理为主业的企业可免除上述行政处罚；第四，改革数据保护机构。“欧盟数据保护委员会”取代 了“第29条数据保护工作组”，成为欧盟数据保护的咨询协调与监督机构，并为跨国企业的数据处理行为提供“一站式”监管。

2. 美国个人数据保护立法动向：对数据自由与技术进步的关切

为回应大数据发展对隐私保护带来的挑战，美国也在积极推动相关立法与政策变革。2012年，美国总统奥巴马签署工作报告—《网络环境下消费者数据的 隐私保护—在全球数字经济背景下保护隐私和促进创新的政策框架》（简称《隐私权报告》），《消费者隐私权利法案》随之被提出。该法案进一步强化了通知与同 意的法律规则、数据保存与处理的安全责任及事后问责制。2014年，美国总统执行办公室发布全球大数据“白皮书”—《大数据：把握机遇，守护价值》。白皮 书显示，美国在平衡技术进步与个人数据保护关系中的基本价值取向——对技术进步与经济发展更为关切。

3. 比较与评析

美欧数据保护立法政策的制定受制于各自的文化、法律、经济发展及政治现实，在内容与立法价值的取向上有所不同。欧盟为个人数据保护提供统一、强制性 的标准，有利于保障个人权利及数据的自由流通。但若不能协调法律的稳定性、滞后性与技术发展的高速性之间的矛盾，统一立法难以发挥预设的调控效果。美国分 散立法与行业自律相结合的个人数据保护模式调动了企业保护个人数据的主动性，增强了个人数据保护的针对性与灵活性，降低了执法成本。但由于缺乏法律强制力 约束，数据主体的法律救济不足，难以有效维权。

大数据背景下我国个人数据保护法律保护模式的思考

大数据背景下，个人数据的法律保护面临诸多困境，如何确立适合本国国情的数据保护立法政策是问题的关键。我国应从厘清现有数据保护立法政策的滞后性入手，理性定位立法的价值取向，并以此为指引，完善我国个人数据保护的法律模式。

1. 我国个人数据保护制度的滞后性

目前，我国虽没有制定专门性的个人数据保护法，但与之相关的法律法规仍然存在。对个人数据直接保护的立法包括《刑法》、《侵权责任法》、《互联网信 息服务管理办法》、《关于加强网络信息保护的决定》等，对个人数据间接保护的立法包括《宪法》、《民法通则》等。此外，还包括一些针对特殊领域与特殊主体 的法律和法规，如《未成年人保护法》、《妇女权益保护法》、《执业医师法》、《转染病防治法》等。在云计算、大数据快速发展的技术背景下，我国个人数据保 护立法的滞后性显而易见：第一，未建立统一的立法规划与数据保护执法机构，导致现有法律法规对个人数据的保护力度相对较小；第二，现有立法调整范围有限， 仅局限于“加害行为”，而并非针对“数据处理行为”，导致无法有效治理数据流转的全生命周期中的安全风险；第三，未建立针对数据主体、数据控制者与处理者 的核心权利义务的法律规则，导致个人数据保护仅停留在“下游”阶段；第四，忽视了云计算、大数据快速发展这一时代背景和数据保护的全球化趋势，使跨国企业 在“走出去”时障碍重重。

2. 立法的价值取向：权利保障与数据自由流动的价值平衡

我国在数据保护立法中应充分考虑价值平衡这一问题，在认清基本国情的基础上，在对“技术的信仰和人身的信仰之间”，需求一个平衡的支点：

首先，应理性认识大数据技术背景下的个人数据保护问题。大数据因其强大的“预测”功能被应用于国家安全、社会干预、金融、销售、医疗保健等各个方 面，成为国家经济增长与企业盈利的助推器。数据分析与挖掘技术的进步不断扩大数据的“可识别性”的范围，具有人格权属性的个人数据也是一种社会经济资源， 因此不能以拒绝或排斥的眼光看待个人数据的商业化利用；其次，应处理好权利保护与权利限制的关系。权利保护是数据保护立法的核心，但对权利保护的过分强调 必将克减数据自由流动的机会、增加商业成本，使得大数据的社会价值无法有效发挥。因此，权利限制应成为权利保障的有益补充，当涉及国家安全、国家防御、刑 事犯罪、重大公共利益、他人的生命或重要权利时，数据主体的权利应遵循“个案平衡”原则相应克减。第三，应选择或设计成本最低、效率最高的权利保护规则， 以促进数据自由流动。

3. 建构符合我国国情的个人数据法律保护模式的思路

（1）确立适合国情的“综合保护”立法模式

立法模式在很大程度上承载着立法者的价值期望。在我国，统一立法、分散立法与行业自律相结合的“综合保护”立法模式是最佳途径：首先，数据处理行为 应设定普遍的法律规则，制定统一的个人数据保护法是当务之急。欧盟与我国同属大陆法系国家，其法律体系于我国具有很强的兼容和相洽性，欧盟统一立法模式可 为我国提供有益借鉴；其次，还应认识到数据处理行为及个人数据存在差异性，可根据数据类型及处理行为的差异设定特殊的规则，比如在犯罪侦查、医疗、科研等 特殊领域或涉及到个人敏感数据的行业设立特殊规则；第三，应鼓励和引导行业自律。由于我国缺乏自律传统与自律文化，行业自律最大的弊端是缺乏约束力，可考 虑赋予经审查的自律规范以法律效力，或引入激励机制，以保障行业自律的实施效力，使其成为立法的有益补充。

（2）明确基本的个人数据权利

在数据保护立法中，个人权利保护是核心内容。个人数据权利与隐私权是经常容易被混淆的概念，但两者仍有者明显区别：个人数据权利的建立具有高度的技 术特征，规定的是如何收集与处理个人数据的规则，兼具人身权与财产权的属性；而隐私权对应新闻自由而产生，以保护人格利益为主，以避免侵害和损害救济为目 的。因此我国在数据保护立法中应单独规定个人数据权利，一般包括同意权、获取权、知悉权、删除、修改、补充权。

（3）明确数据控制者的核心义务与责任，增强风险防御能力

数据控制者是指数据保护立法的核心义务主体，可分为商业机构、政府机关与公共机构。目前，各国数据保护立法均将政府与公共机构纳入范围之内，分别适 用统一或有差异性的调整方法。我国已有学者提出政府机关处理个人信息的行为属于行政法律关系，理应在规制程度上弱于其它信息处理者。但本文认为，与商业机 构相比，政府机关与公共机构掌握公权力，其收集、处理的个人数据范围广、内容多，应受到数据保护立法同等的规制。在新技术背景下，不仅应将告知义务、合法 获得义务、安全保障义务等纳入数据控制者的义务体系中，还应认识到，将风险规制寄托于惩罚与救济的方法实施成本高、效果有限，对风险事先防御才是明智之 举。可在立法中设立激励机制，鼓励公私机构就拟建的数据处理系统或任何新的大数据项目进行数据安全影响评估，并定期向社会公布这些评估报告。另外，可鼓励 高新技术企业将隐私强化技术应用至企业数据处理系统及产品的设计之中，增强企业对数据安全风险的防御能力。

（4）完善“通知—同意”法律规则

大数据背景下的“通知—同意”法律规则难以发挥应有的功效。为应对此难题，欧盟的做法是明确数据主体的“同意”应为“积极同意”，这有利于保护个人 数据权利，但也因增加商业成本而饱受诟病。建议我国在数据保护立法中采用“积极同意”与“消极同意”相结合模式。对于统一的数据保护立法应采纳“消极同 意”模式。考虑到这种模式所降低的商业成本会变相转移到数据主体身上，故我国在引入消极“通知—同意”规则时应注意两个因素：一是“通知”应是明确、充 分、具体的。数据控制者应告知数据处理的机构、目的、种类等核心要素。二是赋予数据主体便捷、经济的反对途径。应规定数据处理者要求数据主体反对的方式必 须与数据处理者通知的方式同等便利，不给数据主体增加额外的负担。对于犯罪侦查、医疗、科研等特殊领域或涉及到个人敏感数据的特殊保护规则应采用“积极同 意”模式。

（5）健全个人数据保护民事诉讼与行政处罚机制

权利保障与救济是个人数据保护立法的核心。在云计算模式下，侵权主体具有多样性并很难确定，数据主体难以有效维权。我国应逐渐健全个人数据保护的民 事诉讼机制，明确建立由被告证明其不应承担责任的举证规则。当数据主体不能确定具体的侵权主体时，由数据控制者与处理者承担连带侵权责任。此外，在大数据 时代，个人数据是价值巨大的“金矿”，很多企业会对存储于云端的数据进行商业化利用，数据泄露、非法交易也将成为常态，加大行政处罚的力度是当务之急。也 可考虑设立违法行为处罚“公示”制度，将违法企业计入“违法行为黑名单”等方式，来有效遏制侵犯个人信息的违法行为 。

（6）有效应对个人数据保护国际化趋势

跨境的数据流动将成为常态。中国仍被欧盟认定为是不能对个人数据提供充分性保护的国家，这将使具有财产价值的个人数据外流易，而流入难，导致企业在 国际贸易中始终处于竞争劣势，甚至我国大量公民个人数据被变相获取。应对这一问题的最主要方法是与欧盟或相关国家展开双边磋商，建立一个类似于欧美的“安 全港协议”。同时，积极参与到个人数据保护的国家合作中，争取规则拟定中的话语权。在国际立法中，应强调将个人数据流动作为经济问题的解决方案，而对个人 数据保护在人格权方面的问题适度搁置，以利于纠纷的解决。

结语

大数据时代，数据共享和数据收集的规模急剧增长，数据已经成为经济增长和社会价值创造的源泉。快速发展的数据挖掘与利用技术使个人在网络空间逐渐由 “匿名”变为“透明”，产生于大机器时代的个人数据保护法律规则亦无法有效应对大数据环境下个人数据保护的新问题，而立法改革成为欧美国家解决上述问题的 一剂良药。欧盟《条例草案》在生效与推广之后很可能成为主导世界的数据安全法律治理模式之一。我国需理性认识到数据保护的国际动向与本国立法的滞后性，在 对“技术的信仰和人身的信仰之间”需求一个价值平衡的支点，并以此为指引，尽快探索适合我国国情的个人数据法律保护模式。同时积极应对个人数据保护的国际 化趋势，积极争取国际规则制定中的话语权。