個人數(shù)據(jù)與非個人數(shù)據(jù)是數(shù)據(jù)的基本分類。數(shù)據(jù)是數(shù)字經(jīng)濟的關鍵生產(chǎn)要素,經(jīng)過較長時期消費互聯(lián)網(wǎng)的推動,個人數(shù)據(jù)已經(jīng)成為我國數(shù)字經(jīng)濟的重要要素。目前,我國不斷織密個人信息權益保護規(guī)則網(wǎng),筑牢保障數(shù)據(jù)安全的防火墻,質(zhì)效明顯。然而,由于個人信息的敏感性和個人數(shù)據(jù)的特殊性,個人數(shù)據(jù)由信息載體向生產(chǎn)要素的轉(zhuǎn)換機制尚不健全,更加充分地釋放個人數(shù)據(jù)的要素價值還面臨一系列障礙。
個人數(shù)據(jù)并不完全等同于個人信息。對于個人信息的內(nèi)涵與外延,《中華人民共和國個人信息保護法》(以下簡稱《個人信息保護法》)第四條給予了明確規(guī)定,“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息,不包括匿名化處理后的信息”。而關于個人數(shù)據(jù)尚無明確的定義,我們可以結(jié)合《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)的相關規(guī)定予以認識和理解,該法第三條規(guī)定,“本法所稱數(shù)據(jù),是指任何以電子或者其他方式對信息的記錄”??梢?,所謂個人數(shù)據(jù)就是任何以電子或者其他方式對個人信息的記錄,換言之,就是任何以電子或者其他方式對與已識別或者可識別的自然人有關的各種信息的記錄。在數(shù)字化時代,我們所討論的數(shù)據(jù),特別是能夠作為生產(chǎn)要素的數(shù)據(jù)僅指電子數(shù)據(jù)。這是因為,只有電子數(shù)據(jù)才能成為生產(chǎn)要素。因此,信息與數(shù)據(jù)的一般關系可以描述為:相對于信息,數(shù)據(jù)是記錄載體;相對于數(shù)據(jù),信息是被記錄的內(nèi)容。信息與數(shù)據(jù),有著相互對應的關系。隨著數(shù)據(jù)量的增加,在信息與數(shù)據(jù)相互對應的基礎上,衍生出數(shù)據(jù)之間的相關性,構成了數(shù)據(jù)的獨特價值,形成了對初始信息的超越。鑒于此,盡管數(shù)據(jù)是信息的記錄載體,信息是被數(shù)據(jù)記錄的內(nèi)容,但是,數(shù)據(jù)并不完全等同于信息,個人數(shù)據(jù)并不完全等同于個人信息。
兩法確立了保護與利用并重的立法目標,不可偏廢。鑒于個人信息保護的必要性和數(shù)據(jù)安全的重要性,我國分別制定了《個人信息保護法》和《數(shù)據(jù)安全法》。對這兩部法律的理解和適用,切忌望文生義和斷章取義。為此,有必要全面準確把握這兩部法律的立法目標,以實現(xiàn)綱舉目張,發(fā)揮其應有的法律效益。
立法目標是一部法律的出發(fā)點和落腳點,規(guī)定了一部法律的基本價值追求和意圖實現(xiàn)的效果?!秱€人信息保護法》第一條規(guī)定,“為了保護個人信息權益,規(guī)范個人信息處理活動,促進個人信息合理利用,根據(jù)憲法,制定本法”。據(jù)此,“規(guī)范個人信息處理活動”既要“保護個人信息權益”,又要“促進個人信息合理利用”,不可偏廢?!稊?shù)據(jù)安全法》第一條規(guī)定,“為了規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用,保護個人、組織的合法權益,維護國家主權、安全和發(fā)展利益,制定本法”。據(jù)此,“規(guī)范數(shù)據(jù)處理活動”既要“保障數(shù)據(jù)安全”,又要“促進數(shù)據(jù)開發(fā)利用”,還要“保護個人、組織的合法權益,維護國家主權、安全和發(fā)展利益”??梢詫煞ǖ哪繕烁爬?ldquo;保護與利用并重”:保護是利用的前提,利用是保護的延伸;保護是為了防止濫用,利用是防止浪費;保護是為了維護正當權益,利用是為了賦能發(fā)展。
深入解構數(shù)據(jù)的雙重屬性,準確把握個人信息與個人數(shù)據(jù)關系的演變。電子數(shù)據(jù)是現(xiàn)代信息通信技術的產(chǎn)物,承載信息是數(shù)據(jù)的初始功能。作為信息載體,信息與數(shù)據(jù)不可分離,保護個人信息就必須保護個人數(shù)據(jù)。隨著數(shù)據(jù)化的范圍、廣度、深度的不斷拓展,海量數(shù)據(jù)得以生成。借助不斷進步的數(shù)智技術,蘊含在不同數(shù)據(jù)之間的相關性不斷被挖掘,派生出新的增量信息。挖掘數(shù)據(jù)之間的相關性顯性地表現(xiàn)為挖掘信息內(nèi)容的相關性,而信息內(nèi)容的相關性能夠揭示不同事物間的內(nèi)在聯(lián)系,反映社會、市場普遍的運行規(guī)律,賦能經(jīng)濟發(fā)展、社會治理和政府管理的運用場景。沒有數(shù)據(jù)之間相關性的發(fā)現(xiàn)和運用,數(shù)據(jù)只能止步于信息載體。數(shù)據(jù)的生成、加工、使用逐漸內(nèi)化到生產(chǎn)經(jīng)營過程之中,成為新型生產(chǎn)要素,才能兼具信息載體和生產(chǎn)要素的雙重屬性。作為初始信息載體的初始數(shù)據(jù),在要素化的過程中,不斷被加工,生成了衍生數(shù)據(jù)。信息與數(shù)據(jù)之間的關系呈現(xiàn)復雜化的狀態(tài)和趨勢。增量信息源于初始信息,但又超越初始信息;衍生數(shù)據(jù)源于初始數(shù)據(jù),但又超越初始數(shù)據(jù)。承載增量信息的衍生數(shù)據(jù),與承載初始信息的初始數(shù)據(jù),不再同一,初始信息與衍生數(shù)據(jù)不一定具有內(nèi)容與載體的關系,增量信息與初始數(shù)據(jù)之間也不必然具有內(nèi)容與載體的直接關系。信息與數(shù)據(jù)之間的這種演變,同樣適用于個人信息與個人數(shù)據(jù)。因此,在保護個人信息與促進個人數(shù)據(jù)開發(fā)利用之間,應該劃定合理界限:保護個人信息需要適用的數(shù)據(jù)范圍,應該以保護個人信息權益為必要,既不宜過度擴張也不宜過度限縮。
個人信息與個人數(shù)據(jù)的保護與利用,需要法治與技術共同發(fā)力。在數(shù)字化時代,個人的身份、行為以及參與的社會關系均已數(shù)據(jù)化。作為以調(diào)整社會關系為己任的法治,需要主動引入數(shù)據(jù)思維和方式,以適應不斷數(shù)據(jù)化的新趨勢。數(shù)據(jù)是現(xiàn)代數(shù)智技術的產(chǎn)物,包括個人數(shù)據(jù)和個人信息在內(nèi)的數(shù)據(jù)治理和信息保護,必須借助數(shù)智技術。從這個意義上講,數(shù)據(jù)和數(shù)智技術不僅是法治的調(diào)整對象,而且是法治的賦能工具。
從保護和利用個人信息與個人數(shù)據(jù)的角度,可以考慮進一步加快構建個人信息匿名化制度。根據(jù)《個人信息保護法》第四條規(guī)定,個人信息不包括匿名化處理后的信息,實質(zhì)性地將“匿名化處理后的信息”排除在個人信息之外。這一條直接切斷了數(shù)據(jù)作為載體與個人信息之間具體單一的對應關系,為數(shù)據(jù)作為要素進行相關性挖掘提供了充足的空間。然而,我國個人信息匿名化制度目前主要面臨兩大困境:一是法律籠統(tǒng)地規(guī)定匿名化應當以“無法識別、不可復原”為標準,其具體內(nèi)涵仍然不清;二是現(xiàn)有標準規(guī)范混淆了匿名化與相關概念。未來應當進一步深入個人信息匿名化制度的理論研究,明晰有效匿名化的內(nèi)涵,總結(jié)針對統(tǒng)一場景統(tǒng)一適用、不同場景應勢調(diào)整的匿名化標準,明確匿名化后再識別行為的法律責任,開展匿名化效果動態(tài)監(jiān)測評估,根本消除對個人信息無法完全匿名化的質(zhì)疑與擔憂。
與此同時,應當激勵運用可以提高保護個人信息和個人數(shù)據(jù)的新型技術。例如,隱私計算、區(qū)塊鏈、數(shù)據(jù)脫敏、數(shù)據(jù)沙箱等技術令數(shù)據(jù)在不同主體間“可用不可見”“可見不可取”“可控可計量”成為可能。這保障了數(shù)據(jù)載體—信息內(nèi)容—信息主體之間具體單一的對應關系在挖掘數(shù)據(jù)之間相關性的過程中不被發(fā)現(xiàn)、不被利用,為個人數(shù)據(jù)在不同行業(yè)、不同地區(qū)、不同機構之間流通利用提供了安全可靠的技術環(huán)境。因此,需要從制度層面建立激勵機制,引入保護隱私的安全技術,不斷提高個人信息和個人數(shù)據(jù)保護的技術能力,加強通用技術體系研究,拓展場景化應用示范,建立一系列配套的技術規(guī)范與測評規(guī)范。
綜上所述,當個人數(shù)據(jù)作為信息載體時,保護信息內(nèi)容所蘊含的個人信息權益是優(yōu)先目標,保護數(shù)據(jù)安全是保護信息內(nèi)容安全的應有之義。當個人數(shù)據(jù)作為生產(chǎn)要素時,促進個人數(shù)據(jù)流通利用是優(yōu)先目標。兩個“優(yōu)先目標”雖不一致,但必須統(tǒng)一起來,安全是發(fā)展的前提,發(fā)展是安全的保障。明確個人信息權益保護的紅線,有利于保障個人數(shù)據(jù)流通利用的有序和效率;推動個人數(shù)據(jù)要素化,充分釋放個人數(shù)據(jù)的要素價值,不僅可以推動經(jīng)濟發(fā)展,而且可以倒逼技術(包括安全技術)進步,持續(xù)提升個人信息保護的能力和水平。
(作者系中國政法大學副校長、數(shù)據(jù)法治研究院院長)