王春晖:营造良好数字生态的三大法治基石

瀏覽數:42 
文章附图

王春晖:营造良好数字生态的三大法治基石


引言

《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(以下称:《国家“十四五”规划和2035远景目标纲要》)明确提出,构建数字规则体系,营造开放、健康、安全的数字生态。《国家“十四五”规划和2035远景目标纲要》特别提到,加强涉及国家利益、商业秘密、个人隐私的数据保护,加快推进数据安全、个人信息保护等领域基础性立法,强化数据资源全生命周期安全保护。《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》是社会关注度极高的两部数据安全和个人信息保护领域的基础性法律,已经在“十四五”的开局之年出台,分别于2021年9月1日和2021年11月1日起施行。本文认为,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》是营造良好数字社会生态的三大法治基石。

首先,网络安全已经成为关系国家安全和发展、关系广大人民群众切身利益的重大问题,网络已经深刻地融入了经济社会生活的各个方面,网络安全的威胁正在向经济社会的各个层面渗透。实践表明,我国网络安全法为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了坚实的法律保障。

其次,网络安全的核心是数据安全,在数据对各领域的重要性与日俱增的同时,数据风险与数据安全问题也愈发突显,给人类和社会带来了前所未有的挑战。数据安全与数据治理,不仅关乎数据作为重要生产要素的开发利用,而且与国家主权、国家安全、社会秩序、公共利益、公民隐私等休戚相关。《中华人民共和国数据安全法》以贯彻总体国家安全观的目的为出发点,以数据治理中最为重要的安全问题作为切入点,抓住了数据安全的主要矛盾和平衡点,是我国数据安全领域的一部重要基础性法律。

第三,个人信息涉及到自然人的人格权和财产权,在网络环境下,公民作为信息内容的主体完全不能控制自己的个人数据和信息,根本无法了解自己的信息和数据在何时、何地、被何人、以何种方式非法收集、使用、加工、传输。《中华人民共和国个人信息保护法》是社会关注度极高的一部新兴领域立法,其核心不在于“个人信息”本身,而重点在于规范个人信息的处理活动,确保个人敏感信息不受侵害的基础上,促进个人信息的依法合理利用。

强化网络空间的生态治理,必须要构建完整的数字规则体系,营造开放、健康、安全的数字生态。习近平总书记在4.19讲话中强调,网络空间是亿万民众共同的精神家园。网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益。我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理。

数字社会具有五维空间属性,即地理空间、能力空间、有序空间、人文空间、梯度空间;数字社会具有三大特征,一是以网络为重要载体,二是以数据为关键要素,三是以增进人民福祉为发展目标。这是数字社会的本质要求,脱离了数字社会的本质,将会成为无源之水和无本之木,不但不能给社会带来智慧,而且还可能会导致数字风险和危机。因此,数字社会生态就是要使上述的“五维空间”更智慧、更便捷、更效率、更安全。

我注意到,不少中译英的文件中将“数字社会”翻译成digital society,我对此有异议,我认为“数字社会”的英文,应翻译成Society powered by digital technology,社会和数字的关系是由数字技术赋能于社会,即“数字技术赋能的社会”,数字技术赋能的社会是一种综合性、整体性、安全性的数字化、网络化和智能化的发展过程。在整个发展过程中,需要建立五大综合体系,一是建设广泛覆盖的信息通信网络;二是具备深度互联的信息体系;三是构建协同的信息共享机制;四是实现信息的智能处理;五是拓展信息的开放应用。

当前,数字社会将大量的智能终端设备和传感器接入网络和数字平台,由此产生复杂的接入环境、多样化的接入方式、数量庞大的智能接入终端,带来更复杂的网络与数据安全问题。在以上数字社会五大体系的建设中很多涉及到关键信息基础设施的建设,因此必须按照《关键信息基础设施安全保护条例》的要求,优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

数字社会涵盖政务服务、城市管理、民生服务等各个领域,从技术角度来看,通信网、互联网和物联网成为数字社会发展的基础设施,基于三个网络的云计算平台和大数据应用成为数字社会发展的核心,而承载社会运行管理的网络设施、信息系统和海量数据极容易成为网络攻击的显著目标,一旦遭到破坏、丧失功能或者数据泄露,将严重危害国家安全、国计民生、公共利益。《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》为营造良好数字生态提供了坚实的法律保障,是构建安全数字社会生态体系的三大法治基石。

一、保护关键信息基础设施安全是网络安全法的核心

达沃斯曾发表过一个报告,在整个世界可能出现最高的风险排名中,第一是极端的天气;第二是自然灾害;第三是网络攻击;第四是数据诈骗和窃取。可见,网络攻击和数据诈骗,被列为全球最高十大风险的前三和前四名。我国网络安全法是在国际网络安全最严峻的时期出台,显得非常及时且极为重要。

我国于2017年6月1日正式实施的《中华人民共和国网络安全法》确定了十大法律制度,一是确立了维护网络空间主权法律制度;二是明确了网络安全标准体系法律制度;三是完善了网络安全等级保护法律制度;四是明确了网络运营者安全义务法律制度;五是构建了个人信息保护法律制度;六是建立了关键信息基础设施安全保护法律制度;七是确定了培养网络安全人才法律制度;八是确立了关键信息基础设施重要数据跨境传输法律制度;九建立了监测预警与应急处置法律制度;十是确立了网络通信管制法律制度。

我以为,《中华人民共和国网络安全法》的核心要素是维护关键信息基础设施的安全,这是网络安全法的基石。国家关键信息基础设施涉及公共通信和信息服务、国防、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,一旦这些重要领的关键信息基础设施遭到破坏、丧失功能或者数据泄露,将会严重危害国家安全、国计民生、公共利益。我的团队曾系统地研究了“911”事件之后,美国政府对网络空间整体战略的调整。2003年2月,鉴于“9·11”恐怖袭击事件的发生,小布什政府将网络空间发展战略从“发展优先”调整为“安全优先”,正式通过了《网络空间安全国家战略》,该战略明确了实施网络空间安全保护计划的指导方针,提出了三大战略目标:一是预防美国的关键基础设施遭到信息网络攻击;二是减少国家对信息网络攻击的脆弱性;三是减少国家在信息网络攻击中遭受的破坏,减少恢复时间。

我国网络安全法第三十一条采用了“非穷尽列举行业和领域+危害后果”的立法技术,明确了关键信息基础设施的重点保护范围,但并没有给出关键信息基础设施定义。2021年7月30日,国务院公布的《关键信息基础设施安全保护条例》(以下称:《条例》)第二条明确了“关键信息基础设施”的定义,即“关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施和信息系统等。”

《条例》例举的重点行业和领域基本上与网络安全法保持了一致,但是《条例》增加了一类“国防科技工业”,成为八类被例举的重点行业和领域。《条例》中的“关键信息基础设施”的定义,有两层结构,第一层结构明确了关键信息基础设施属于重要的网络设施和重要的信息系统;第二层结构是由三个定语进一步修饰和说明“网络设施和重要的信息系统”的重要性,第一个定语是列举了若干特别重要的八类行业和领域,第二个定语是其他不特定的重要领域,第三个定语是可能造成的危害的程度和后果。

《条例》第八条规定:“本条例第二条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(以下简称保护工作部门)”。由此,《条例》第二条“关键信息基础设施”定义中例举的八类行业和领域,在《条例》中被正式界定为是“负责关键信息基础设施安全保护工作部门”,具有非常强的针对性。

二、《中华人民共和国数据安全法》聚焦数据安全领域的突出问题

网络安全的核心是数据安全,数据的保护与治理不仅关乎数据本身作为重要生产要素的开发利用与安全问题,而且与国家主权、国家安全、社会秩序、公共利益等休戚相关。

《中华人民共和国数据安全法》体现了总体国家安全观的立法目标,聚焦数据安全领域的突出问题,明确了我国数据安全保护的域外法律效力,确立了数据分类分级管理制度,建立了数据安全风险评估、监测预警、应急处置制度,构建了数据安全审查等基本制度,并明确了相关数据处理者的数据安全保护义务,是我国首部有关数据安全的基础性法律。

《中华人民共和国数据安全法》第三条第一款明确了“数据”的定义:“数据,是指任何以电子或者其他方式对信息的记录。”该款具有两层含义,一是“数据”是对信息的记录,这表明数据安全法中的数据是有语义的信息,具有可识别性,其本身具有价值;二是对信息的记录可以是电子形式,也可以是非电子形式。

《中华人民共和国数据安全法》首次以法律的形式对“数据”进行定义,实际上我国网络安全法第七十六条并没有对“数据”进行定义,而是对“网络数据”给出了定义:“通过网络收集、存储、传输、处理和产生的各种电子数据”,网络安全法中的“网络数据”只涉及了网络环境下被处理的各种“网络数据”(电子数据)。

《中华人民共和国数据安全法》确立的“数据”定义不仅涉及到数字网络环境下的“网络数据”,也涉及非数字网络环境下的传统数据,特别是考虑到“电子数据”和“非电子数据”之间本身可以相互转化。由此,《中华人民共和国数据安全法》有关“数据”的定义更宽泛,且具有可操作性,特别是在中外法律中多数不能用数据或信息表述的情形下更具有实用性。

《中华人民共和国数据安全法》第七条提出:“国家保护个人、组织与数据有关的权益,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。”该条明确了国家对个人、组织与数据有关权益保护的基础上,鼓励数据的依法合理有效利用,并促进以数据为关键要素的数字经济的发展。

目前,各类网络平台,尤其是超级网络平台通过自身营造的网络生态系统,将网络公共空间的数据当作一种私权,这是一种典型的数据垄断,严重阻碍了数据要素市场的构建。对此,《中华人民共和国数据安全法》明确提出了开展数据处理活动的六项核心义务,一是应当遵守法律、法规;二是应当尊重社会公德和伦理;三是应当遵守商业道德和职业道德;四是应当履行诚实守信原则;五是应当履行数据安全保护义务;六是应当承担社会主体责任。在任何情况下,都不得危害国家安全、公共利益,不得损害个人、组织的合法权益。

三、《中华人民共和国个人信息保护法》最大亮点是确立了以“告知-知情-同意”和“两个最小”为核心的个人信息处理规则

《中华人民共和国个人信息保护法》是社会关注度极高的一部法律,该部法律总体上坚持了“以人民为中心”的法治理念,突出了国家尊重和保障人权的宪法原则,规范了个人信息处理的规则,强化了对个人敏感信息的保护,充分保障了个人信息权益的行使,强化个人信息处理者的义务等,抓住了个人信息保护的主要矛盾和平衡点,是我国个人信息保护领域的一部重要基础性法律。

在学习和贯彻《中华人民共和国个人信息保护法》时,建议重点把握以下七大要点:一是个人信息保护应遵循的基本原则,尤其是处理个人信息应当遵循合法、正当、必要和诚实信用,以及“最小方式”和“最小范围”原则;二是个人信息处理的规则体系,重点掌握个人信息处理的核心规则—“告知-知情-同意”,自动化决策的透明度和公平性,严格禁止“大数据杀熟”,尤其是强化对敏感个人信息和未成年个人信息的保护,以及规范国家机关的个人信息处理活动等;三是个人信息跨境提供的规则,重点掌握关键信息基础设施运营者以及处理个人信息达到规定数量的个人信息处理者,应当将在中国境内收集和产生的个人信息存储在境内,向境外提供的,应当接受国家的安全评估;四是保障个人信息权利的行使,包括知情权、决定权、查阅与复制权、个人信息可携带权以及个人信息的更正、补充和删除权等;五是个人信息处理者的义务,重点关注对个人信息保护影响的评估机制和大型网络平台的主体责任;六是个人信息保护的工作机制,熟悉和了解国家网信部门统筹协调下的个人信息保护工作机制和相关监督管理工作;七是对不履行个人信息保护义务应承担的法律责任,重点把握对企业的董事、监事、高级管理人员和个人信息保护负责人的法律责任,以及个人信息处理者侵权责任的过错推定等。

我以为,以上七大要点中的重点是对个人信息处理规则的确立,尤其是确立以“告知-知情-同意”和“两个最小”为核心的个人信息处理规则。我国个人信息保护法在立法过程中,充分借鉴了国际组织和一些发达国家的个人信息保护立法先进经验,包括GDPR、OECD “隐私框架”、APEC“隐私框架”、美国“消费者隐私权法案”(Consumer Privacy Bill of Rights)、《美国加利福利亚消费者隐私法案》(California Consumer Privacy Act,CCPA)等个人隐私信息保护方面的立法。

上述国际组织和国家的个人信息保护立法均强调未经被收集者同意,不得收集和向他人提供个人隐私信息,突出了知情权、明示同意权、访问权、注销权、撤回权、封锁权、更正权、删除权等个人信息权。比如GDPR将个人信息权看作一项基本人权,个人数据保护的重要性在于对人格尊严的尊重,是对基本人权的保护。

我国宪法明确规定,国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护。制定实施个人信息保护法对于保障公民的人格尊严和其他权益具有重要意义。据此,《中华人民共和国个人信息保护法》第一条明确规定:“为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法,制定本法。”该条作为立法宗旨,突出了国家尊重和保障人权的宪法原则,有着极其重要和深远的意义。

《中华人民共和国个人信息保护法》在总则部分第六条提出了处理个人信息的“两个最小”原则,一个是处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;另一个是收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。这两个“最小原则”是个人信息处理的核心规则,也是个人信息保护法的最大亮点,尤其是处理目的的“最小范围”,是禁止“过度收集个人信息”的核心要点,因为个人信息处理者只有在严格遵守处理目的的“最小范围”的前提下,才能确保对个人权益影响最小。

《中华人民共和国个人信息保护法》第二章专章规定了“个人信息处理规则”,并在第二节专门确立了对“敏感个人信息的处理规则”。最近,笔者在网络上阅读众多“对个人信息处理规则”的解析,大多认为《中华人民共和国个人信息保护法》确立了以“告知-同意”为核心的个人信息处理规则。事实上,《中华人民共和国个人信息保护法》不仅是确立了以“告知-同意”的个人信息处理规则,而是构建了以“告知-知情-同意”为核心的个人信息处理规则体系。

必须指出,个人信息处理者“告知”的目的是为了确保被告知者的充分“知情”,只有被告知者在充分知情的前提下才能自愿、明确地作出决定。因此,《中华人民共和国个人信息保护法》第十四条明确规定:“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。”该条特别强调了“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出”,即“告知-知情-同意”。

大数据和云环境下的个人信息,从一开始就与自然人主体分离进入数字平台,因此尊重个人信息的消极权利,防止个人信息的控制者和处理者的父权主义对个人信息权利的收集、存储、使用、加工、传输、提供、公开等,这是个人信息保护法对自然人“告知-知情-同意”保护的根源和本旨。

《中华人民共和国民法典》第一千零三十四条规定:“自然人的个人信息受法律保护。

个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。”

按照《中华人民共和国民法典》的上述规定,个人信息保护应当由特别法《中华人民共和国个人信息保护法》做出规定。对此《中华人民共和国民法典》规定,个人信息中的私密信息,适用《中华人民共和国民法典》有关隐私权的规定;《中华人民共和国民法典》没有规定的,适用有关个人信息保护的规定。因此,我国个人信息保护法没有对自然人的隐私信息做出专门规定,而是将个人信息分为敏感信息和非敏感信息,并设专节设置了“敏感个人信息的处理规则”,对“敏感个人信息”的概念和敏感个人信息的处理规则作出了明确具体的规定。

《中华人民共和国个人信息保护法》第二十八条是“敏感个人信息”的定义,即“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。” 该定义采用了“个人信息被泄露或者非法使用+危害后果+列举重要敏感个人信息”的立法技术,同时将不满十四周岁未成年人的个人信息也纳入了“敏感个人信息”给予重点保护。

《中华人民共和国个人信息保护法》对处理敏感个人信息作出了严格的限制性规定,即只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。特别是处理敏感个人信息应当取得个人的单独同意。如果法律、行政法规规定处理敏感个人信息应当取得书面同意的,应当从其规定。

《中华人民共和国个人信息保护法》还特别针对“大数据杀熟”、“用户画像”和“算法推荐”等涉及个人信息自动化决策的热点问题作出了规范,并明确要求,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。

值得注意的是,《中华人民共和国个人信息保护法》第五条引入了“诚信原则”,“诚信原则”是“诚实信用原则”的简称,这是民法中最重要的一项原则,被称为“帝王原则”。《中华人民共和国个人信息保护法》中的“诚信原则”要求所有个人信息的处理者在不损害个人信息权益的前提下,追求自己的合法利益。尽管“诚信原则”属于《中华人民共和国个人信息保护法》的一般条款,但其外延和内涵都不确定,且涵盖的范围极大,远远超过其他一般条款的规定。

随着《中华人民共和国个人信息保护法》的实施,我国个人信息安全保护的基本要义在于:在确保个人敏感信息不受非法侵害的基础上,促进个人信息在“合法、正当、必要和诚信原则”和“告知-知情-同意”原则的基础上,并遵循“实现处理目的的最小范围”和“采取对个人权益影响最小的方式”原则的前期下,进行合情、合理、合法的开发和利用。

法律的生命在于实施,法律的权威也在于实施,要想真正营造良好的数字社会生态,绝不仅仅是靠科学技术的进步,必须构建包含以法律为保障、以道德为支撑、以诚信为基石、以增进人民福祉为目标的四大核心价值体系。(来源:法制网)

(本文作者系浙江大学教授、博导,网络空间治理与数字经济法治(长三角)研究基地主任兼首席专家,中国网络与数据安全法治50人论坛主席,联合国世界丝路论坛数字经济研究院院长、网络空间国际合作委员会主席。本文是作者在首届“中国网络与数据安全法治50人论坛”的演讲内容。)