我知道个人信息数据产权机制存在哪些痛点。
第一,立法修法层面,执法惩戒标准的模糊性与落地性有待强化。综合当前立法与司法实践中出现的问题与争议,针对《民法典》《个人信息保护法》等已有立法,在个人信息数据保护和利用方面存在如下两类问题,有待进一步通过修法或司法解释加以完善细化:
其一,少数法律法规的原则性较强,为落地实施带来一定难度,个别规则适用标准尚待统一、具体行业规制标准尚待细化。例如,《个人信息保护法》第二十八条第二款规定的敏感个人信息处理原则,条文原文为“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,其中的“特定的目的”和“充分的必要性”较为抽象,规则的具体适用仍需细化。
《个人信息保护法》未给出证明做到绝对的“无法识别”或“不能复原”的标准,这方面仍倚赖于具体行业、场景中个人信息处理规范的不断完善。
其二,个人信息侵权责任有待进一步明确,执法惩戒和经济赔偿力度(尤其是隐私侵权)考虑酌情加大,精神损害赔偿方面,《民法典》中规定的侵害人格权“禁令制度”尚需在司法实践中被“激活”。
第二,执法机构层面,设置隐私保护专门机构期待高。当前,《个人信息保护法》第60 条规定了个人信息的监管机构,但该条中的“有关部门”与“职责范围”并不明晰,隐私权保护的监管机构仍然不明,导致出现主管部门“重前期部署,不重事中与事后督促指导”;主管部门与等级保护管理部门沟通机制不畅通,导致出现监管真空。②此外,缺乏专门的数据管理和隐私保护机构来通过制定相关法规,明确数据权属,强化协同监管,规范数据采集。
第三,运用“分级分类”激发个人信息数据产权机制活力需重点强化。分类管理层面,个人信息数据包括敏感数据、隐私数据、身份数据和生物数据,类型庞杂决定了其产权机制的探索必须加以区分类型。有专家呼吁,人格权关系越紧密的隐私数据应禁止流动、与财产权关系紧密的身份数据可以有限制的流动。但是,类型化、场景化的法律保护模式在我国仍有较大的立法完善空间;分级管理层面,虽然金融等一些行业开始探索实施行业性的个人信息分级共享制度,但尚未实现重点行业重点领域“全覆盖”,精细化治理程度有待强化。 ①②
第四,暗网交易、生物信息泄露、网络虚拟财产权属模糊等新型挑战不容忽视。其一,新型侵犯公民个人信息权益的违法犯罪行为层出不穷,暗网交易、网络“黑灰产”对执法带来新挑战。在暗网数据非法交易中,涉及金融行业的最多,占比高达 34.3%。 ③其二,生物识别技术引发的个人信息泄露风险持续攀升,“戴头盔看房”一度引发社会热议。虽然最高法已发布办理“人脸识别”民事案件司法解释,但类似风险仍将带来“个人信息保护和利用之争”方面的执法难题。 ④其三,网络虚拟财产引发的新型数据司法权属争议越来越多。以数字藏品领域为例,有关NFT 的法律属性以及NFT发行者、平台经营者、平台用户的数据权利与义务边界,目前未有统一的执法标准。
第一,平台经济统筹发展与安全仍是个人信息数据产权机制探索的重中之重,具体表现如下:从商业模式与合规机制来看,平台经济难逃为逐利而大量收集用户个人信息数据的现象,面对大型数字平台的优势地位,处于弱势地位的个人要实现对个人信息的决定权,尚待“超级平台”夯实个人信息保护合规制度。而对“超级平台”而言,针对《个人信息保护法》要求其成立主要由外部成员组成的独立机构,有专家认为缺乏第三方组织履行对平台个人信息处理活动的独立监督职能。①
从授权模式和隐私保护来看,目前多数平台企业过度索要授权,“所有权转移模式”条款、“无限授权模式”条款、“可再许可”类条款、“不可撤销”类条款与用户个人信息权利冲突,损害用户对个人信息的自决权。①值得注意的是,平台企业中的各类数据承载了大量的隐私信息和肖像信息,该类数据的原始权利归数据主体所有,平台以格式条款概括授权的方式不利于用户人格利益的保护。此外,伴随电子商务和直播电商平台发展,所衍生的侵犯消费者隐私类网络消费纠纷层出不穷。业内认为,隐私保护作为个人信息数据产权机制运行的重要前提,平台企业尚未将其贯穿至数字产品研发到使用的全生命周期,从而缺乏持续性的监督和评估。最高法指出,将推进民法典侵权责任编的解释,加强隐私权和个人信息保护,依法惩治网络侵权行为。未来,在新的数字法治环境中,平台企业如何强化履行个人隐私数据保护的责任和义务,预计还将受到更多关注。
我国《个人信息保护》第十六条明确规定:“个人信息处理者不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;处理个人信息属于提供产品或者服务所必需的除外。”该条有两项规定,第一项是禁止性规定,即不得以个人不同意处理其个人信息或者撤回同意为由,拒绝提供产品或者服务;第二项是除外性规定,即信息属于提供产品或者服务所必需的除外。至此,用户不同意APP收集个人信息,就无法使用 APP 将视为违法,且收集个人信息也必须限定在“必要个人信息范围”,只要超过“必要个人信息范围”的收集和处理行为,均属于超范围收集个人信息,必须严格予以禁止和惩处。
从数据流通交易与合理使用来看,未来以“数据二十条”为新契机,平台企业如何以数据安全为前提,尽到保障用户个人信息人格权与个人信息数据财产权的企业责任,同时借助隐私计算等新技术推进对个人信息数据的合理使用,从而释放更高质量的数据要素价值,已成为国内平台经济创新发展所面临的新命题。
第二,第三方机构尚需在实践中丰富“受托者制度”内涵。“数据二十条”中的第六条提出探索建立个人信息数据的“受托者制度”,也为日后的个人信息数据产权机制提出了新问题——受托者、第三方机构一般要具备什么资质、如何承载需求?这些方面尚需经过探索实践来明晰准入资质和从业标准。
个人信息数据产权机制的探索实施还离不开社会力量的协同参与。一方面,重点行业的个人信息分类分级保护管理标准还需要更多社会组织和行业协会参与制定或完善;另一方面,我国当前的个人信息保护意识和隐私侵权维权意识整体不高。不少民众对各参与主体的权利义务边界不甚了解,对个人信息数据与公共数据、企业数据的权属边界认知也就无从谈起。未来,尚需通过普法宣教在个人信息保护和利用的基本原则上形成更广泛的数字社会共识。
