人民网北京7月22日电 人民网研究院组织编写的移动互联网蓝皮书《中国移动互联网发展报告(2021)》今日在京正式发布。其中,北京师范大学法学院教授刘德良、博士研究生靳雨露撰写的《大数据战略目标与个人信息立法的价值冲突与协调》一文指出,2020年我国大数据战略得到了长足发展。但当前我国大数据战略目标与个人信息立法的价值追求存在冲突,应以如何有效防治滥用为个人信息立法的宗旨和目标,合理平衡个人利益与产业利益。
文章认为,立法上的个人信息(数据)的外延在实际中具有不确定性,由此导致了企业手中与个人有关的大数据往往落入个人信息的范畴,进而导致大数据产权不确定,与大数据产业的发展要求产生冲突。
文章提出,要化解我国大数据战略目标与个人信息立法的价值追求的冲突,应注意三方面问题。
一是要正确认识大数据技术及其应用。大数据技术的理念强调从海量和无限丰富的数据中去除其中的个性化元素及其特征,运用归纳思维,抽象出一般性的规律;而个人信息保护的理念恰恰是强调信息的个性化特征。我们担心大数据产业中涉及到的个人信息保护,实际上是对大数据技术及其产业应用的误解。
二是要树立正确的隐私观念。我国未来在个人信息立法上应淡化立法中的隐私观念,树立“只有法律意义上的隐私才需要保密,防止刺探、传播和滥用”的观念。隐私之外的其他个人数据,由于它是在我们社会经济交往过程中产生的,其正常的价值和功能就是促进正常的社会经济交往活动,对其收集、公开、加工本身并不会对我们造成任何危害;造成损害的一定是后续的滥用行为,因此,立法应该以如何有效防止对个人数据的滥用为切入点。如此,既能尊重人的名誉和尊严,个人所真正担心的滥用问题也能够得到有效解决,又能够促进大数据产业发展。
三是区分个人信息与个人数据。个人信息应该被界定为在任何场景下据此可以直接识别出某一特定自然人的符号形式,它强调的是具有直接识别性,如一个人的肖像(面部特征)、声音(纹)、指纹、眼虹膜等生物特征信息;而那些虽然与自然人有关,但不能据此直接识别出特定自然人的数据,叫个人数据。区分个人信息与个人数据,其法律意义在于个人信息的商业价值属于个人财产,对其商业利用必须要取得个人授权,否则,就不仅可能侵犯人格权,而且还会侵害财产权(利益),受害人可以要求财产损害赔偿。从立法技术上讲,未来的立法可以采取实际损害(失)+法定赔偿相结合的救济方式,即只要受害人能够证明自己因此遭受的损失,就可以获得实际损害赔偿;如果难以证明实际损失,可以请求法院以法定赔偿(如法定赔偿可以定为一次侵权赔偿五千、一万元人民币等)。这样,对于一个正常、理性的商家,在趋利避害的秉性驱使下,都会积极采取各种措施尽可能避免不必要的个人信息收集,也会积极采取各种匿名化、去标识化手段处理手中持有的与个人有关的数据。相反,只要商家收集、持有的与个人有关的数据在任何场景下都不能直接识别出特定自然人的话,商家就可以对此享有财产权;收集、处理与个人有关的数据都不需要征得个人授权或同意。当然,立法还必须同时禁止对个人信息和个人数据的滥用。