财新传媒
观点网 > 聚焦 > 正文

中国需要什么样的个人信息保护法?

2018年03月27日 14:21 来源于 财新网
可以听文章啦!
大数据时代的个人信息保护,绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于,如何通过科学的立法与制度设计,理顺立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者的内在需要
随着信息技术发展,数据传输、储存、计算成本快速下降,数据开始成为资源。图/视觉中国

  文︱周汉华

  中国社科院法学所研究员

  一、以激励相容为制度设计的核心

  国内外学术界对于中国改革开放基本经验的主流总结,无外乎中央与地方关系上的纵向分权改革和政府与市场关系上放松管制的市场化改革。“我国经济体制改革最核心的内容就是实现由传统的计划经济向社会主义市场经济体制的转轨”,国家通过分权与市场化改革,调动地方政府与市场主体的积极性与创造性,形成推动经济发展的巨大合力。不同的理论解释,内在逻辑均是强调通过激励机制调整来调动各级政府或者市场主体的积极性与创造性,走出一条中国的大国发展道路。与经济发展相适应,中国社会治理变迁的主要方向,也是“从一元治理到多元治理、从集权到分权、从人治到法治、从管制政府到服务政府、从党内民主到社会民主”。从管理到治理的转变,蕴含的是多元主体的互动、协商与合作,而不再仅仅依靠过去自上而下单方面的控制与命令。

  中国发展道路选择不仅符合本国国情,也与近年来国际上政府改革的普遍经验契合。20世纪70年代末以来,全球范围掀起了汹涌澎湃的行政改革浪潮,被称为新公共管理运动,其基本特征包括公民为本、市场化、结果导向、分权协作、民主参与、多中心自主治理等。新公共管理运动的实质是基于激励约束机制,构建多方合作治理的有效格局。学术界认识到,“与高度复杂性和高度不确定性的时代相适应的社会治理模式应当是一种合作行动模式,只有多元社会治理主体在合作的意愿下共同开展社会治理活动,才能解决已出现的各种各样的社会问题,才能在社会治理方面取得优异的业绩”。

  传统法律理论认为,法律是主权者的命令,是必须遵守的规范,令行禁止是其基本特征。因此,传统立法规制方式通常是命令控制方式,表现为禁止性规范或者义务性规范,要求被管理对象不得或者必须为某些特定行为。这种规制方式有很多弊端,包括:要求很强的执法能力,否则命令会被普遍漠视;由于信息不对称,这种命令可能与市场规律脱节,遏制市场主体创新能力与守法诱因;执法部门权力过大,可能会导致选择性执法或者“执法捕获”等问题。在全球行政改革浪潮中,传统的命令控制式规制受到广泛批评,激励性监管得到重视,人们发现规则如果能够与被管理者激励相容,会极大降低执法成本,提高合规动力。因此,法律规则除了命令、禁止以外,还可以发挥引导作用,调动被管理者的守法诱因。如何设计这种激励相容机制,是规范实施的成败关键。

  理论研究与国内外实践发展均表明,政策或者立法如果激励不相容,会形成“管理型”立法,而不是“治理型”立法。这样制定出来的政策或者法律,实践中难以得到执行,还可能导致执行成本高、规制对象抵触、执行效果差、执行权威受损、运动式执法、选择性执法甚至执行部门造假等连锁问题。在我们“所制定的法律、法规中,绝大多数事实上没有被当作法看待,没有起到法所应起的作用”,首要根源在于“立法违背科学,或立法技术存在问题,使法不能实行或难以实行”。

  我国制定个人信息保护法,不能脱离大的制度背景,有必要从中国改革开放的基本经验和全球行政改革的大趋势中吸取养分,避免或者少走弯路。在大数据时代,由于数据本身的特性,信息控制者有很强的利用激励而缺乏同等程度的保护激励。如果法律规则不能因势利导,只是简单施加各种禁止性或者强制性规定,势必因为激励不相容影响有效实施。

  随着信息技术发展,数据传输、储存、计算成本快速下降,数据开始成为资源。大数据不仅具有容量大、类型多、存取速度快等特点,还可以通过分析技术“使数字信息成为知识,支持智能决策”,产生新价值。这样,大数据不仅给信息控制者带来巨大经济收益,也给消费者(包括信息主体)带来免费使用、高品质服务、快速迭代创新等各种便利。凯文•凯利在对未来20年商业科技发展预测的一次讲演中提出,在大数据时代,“所有生意都是数据生意”,“个人数据才是大未来”。舍恩伯格更明确指出,“大数据的核心就是预测”。在大数据时代,数据对于信息控制者而言,就是生产要素和行动指引。信息控制者必然会充分利用大数据揭示的相关性,提前预测信息主体和社会的各种需要,提供精准的定制化产品或服务。对于国家而言,数据早已成为各国基础性战略资源,大数据发展成为国家战略的一部分。

  大数据由人、机器或者传感器产生。其中,最基本、最有价值的是个人信息,由用户活动产生,“收集和整理个人信息都是获取权力的方式,通常以信息主体为代价”,因此需要在个人信息保护与大数据发展之间实现平衡。不同于其他生产要素,数据具有公共产品才具有的非排他性、非独占性特点,可以反复使用、共享,这使信息控制者对个人数据保护远不如对其他私有财产保护重视,容易产生各种疏忽现象。在网络环境下,数据具有随时产生、多点存储、多次开发、跨场景应用、多人经手、跨国界传输、收集与处理分离、生命周期短、孤立数据本身并不产生价值、需要技术解决方案等特点,若全部都加以保护,技术、经济上有很大难度,会产生很高的保护成本。并且,隐私与隐私之间也需要权衡,在一端加强对隐私的保护,会在另一端产生弱化对其保护的结果。数据发生泄露的情形非常复杂,个人数据滥用的受害者是信息主体,不是信息控制者。信息控制者很难有充分的激励与能力保护个人数据,只是被动应付法律要求。

  在信息控制者利用激励与保护激励明显失衡的结构下,如果缺乏外部干预与政府监管,势必产生“丛林法则”和对个人信息的肆意滥用,这是各国普遍重视个人信息保护、个人信息保护法成为全球性立法趋势的根本理由。我国近年来也明显加强了立法与制度建设的步伐,从多方面加强对个人信息的保护力度。但是,在信息控制者激励失衡的背景下,如果立法缺乏科学性,只是简单施加各种强制性外部要求,忽视信息控制者内在激励机制设计,并不能消除失衡根源。从概率角度看,利用与保护之间失衡的可能性仍然很大,占四分之三的比例:外部监管过于严格,抑制大数据开发利用;缺乏监管或者监管要求普遍不被遵守,大数据利用以牺牲个人信息保护为代价;监管游移不定,忽左忽右,陷入既没有大数据利用也难以保护个人信息的双输格局。只有外部要求与内生激励相容,才能够实现大数据利用与个人信息保护协调发展,其概率只有四分之一。

  在大数据时代来临之前,个人数据实际处于未被利用的沉睡状态,激励失衡问题并未被激活。至大数据时代,随着数据价值逐步被认识,信息控制者利用数据的激励越来越强烈,激励失衡现象会愈发突出,法律实施遇到的挑战也会越来越大。因此,大数据时代的个人信息保护,绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于,如何通过科学的立法与制度设计,理顺立法要求与信息控制者内在激励之间的关系,使个人信息保护成为信息控制者的内在需要。这是个人信息保护法制度设计的目标和最终评价标准。

责任编辑:张帆 | 版面编辑:邱楠添
  • 此篇文章很值
  • 赞赏激励一下

首席赞赏官虚位以待

推广

财新私房课
好课推荐
财新微信

热词推荐
美国总统大选 渐冻症 东江环保 prl 极右翼 会议 网贷天使 英镑兑美元 中央巡视组 预警级别颜色 军事干预 龚正 谷俊山 十三届三中全会 通货紧缩