本文作者:华东政法大学教授 大数据政策法律研究中心主任 高富平
为推进大数据应用和数据产业发展,“大数据流通与交易技术国家工程实验室”于2016年经国家发改委批复,正式落户上海。实验室由上海数据交易中心有限公司、中国互联网信息中心、中国联通集团、复旦大学、中国信息通信研究院等单位联合共建,围绕大数据国家战略和数字经济发展,面向大数据关键共性技术、垂直行业、国家治理体系,开展数据流通应用的技术、标准和法律规范的协同研究。
个人信息保护是大数据应用的前提,实验室下设的 “大数据政策法律研究中心”协同相关大数据行业组织,反复论证形成“完善个人信息保护体系,促进大数据产业发展”建议稿。在2017年7月6日上海静安国际大数据论坛闭门专家会议上,建议稿经讨论定稿,以上海共识名义向社会公开发布。
信息的价值在于使用
人类进入网络化、数据化和智能化时代,大数据技术不仅带来科技和商业模式的创新,还带来管理决策方式的变革。在大数据时代,信息成为非常重要的资源,那些与个人有联系、能够识别出个人完整情况的信息(又称个人数据)构成了大数据利用的重要组成部分。现在,个人信息流动和社会化利用成为当今社会发展的必然趋势,商务活动、政务活动、社会活动都离不开个人信息的收集和利用,进而催生出了专门的数据收集、加工处理等数据服务行业。
个人信息归属于个人,法律必须给予切实有效保护。企业在业务中获取和使用个人信息应当遵循合法、正当、必要的原则,这是世界公认的行为准则。在遵守该准则的前提下,企业经营活动中收集客户或用户的个人信息,并用于合法经营目的或合同约定目的是正当的商业行为。超出该准则之外的行为,包括提供给合同外第三方使用(即流通),由于可能会导致个人信息受泄露、披露、公开或被不当使用、非法使用,甚至可能危害到公民人身和财产安全,就应当被禁止。世界各国纷纷制定个人信息保护法,对个人信息收集和使用行为予以规范,在保护个人基本权利的同时,促进个人信息流通使用。
中国目前尚未建立起对个人信息的民事和行政保护体系,尚只是在2009年的《刑法修正案(七)》上确立了侵犯公民个人信息罪,着重打击非法提供(包括出售)和非法获取个人信息(包括窃取)行为,两高发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(法释〔2017〕10号,下称《刑法释2017》)进一步对侵犯个人信息犯罪行为和量刑作出更具体明确的规定,有利于厘清是否入刑的边界,正确适用刑法。无疑,刑法的规定对于扼制日益猖獗的数据黑产,打击利用个人信息的各种犯罪行为,保护个人基本权利,维护个人信息利用正当秩序具有非常重要的意义。但是,在现实应用场景中,许多个人信息利用行为的合法与非法、罪与非罪的边界仍然不清,企业对个人信息的使用仍然面临着法律上的模糊地带。
2013年修订后的《消费者权益保护法》将消费者个人信息保护归为工商管理部门的职责。2016年6月1日,《网络安全法》生效,个人信息被纳入“网络信息安全”范围加以保护,一个国家网信部门统筹监管,电信、公安和其他有关机关分工协作的个人信息行政保护体系由此开始建立。
打击个人信息的非法利用、保护公民基本权利与促进信息流动、掘取大数据红利同样重要。因为,信息的价值在于使用──不仅仅在于自己使用,更在于向社会开放,提供给他人使用。信息的流通是信息社会化利用的必然要求。为了促进大数据的应用,带动我国产业的升级转型,我们形成并发布本建议书。
共识
1.个人信息收集、流通和使用是大数据时代企业的生存发展模式,在给社会带来福祉的同时也存在潜在危害,主要来自:(1)泄露、披露或公开个人信息可能侵害个人隐私,甚至被“不法分子”利用以实施各种犯罪;(2)不当收集、使用或滥用个人信息,例如在个人不知情的情形下,收集处理个人信息,对个人作出错误画像,可能危害个人的尊严和自由,甚至带来歧视。