近些年來,發展數字經濟已經成為世界主要大國和地區提升經濟競争力的共同選擇。2016年二十國集團(G20)在中國杭州發布的《二十國集團數字經濟發展與合作倡議》認為:“數字經濟是全球經濟增長日益重要的驅動力,在加速經濟發展、提高現有産業勞動生産率、培育新市場和産業新增長點、實現包容性增長和可持續增長中正發揮着重要作用。”
由于移動互聯網技術的飛速發展以及中國“一帶一路”倡議的推進實施,中國數字經濟發展将進入快車道,數字經濟等新興産業蓬勃發展,并推動互聯網、大數據、人工智能和實體經濟深度融合。數字經濟不僅會在國内得到快速蓬勃發展,而且可能推動越來越多的企業走出國門。據相關機構預測,到2020年,中國數字經濟規模将超過32萬億元人民币,占GDP比重的35%;到2030年,數字經濟占GDP比重将超過50%,中國将全面步入數字經濟時代。
然而,在全球數字經濟快速發展的同時,個人信息保護的法律問題受到了日益廣泛的關注。數據是數字經濟的生産資料,數字經濟的發展離不開數據。對大量基礎數據進行挖掘、分析所生成的大數據,是數字經濟發展的新引擎。因而對于企業來說,數據即财富,誰擁有了數據就相當于擁有了生産資料,數據可以直接轉化為利潤。數字經濟企業在利用大數據實施精準營銷、風險管控、優化服務滿足自身發展時,可能會侵犯個人信息,由此産生了數字經濟發展與個人信息保護的沖突。
1.一些數字經濟企業存在過度收集個人信息的情況,超範圍攫取用戶個人信息似乎已成為行業潛規則。大量個人信息是在用戶完全不知情的情況下,被數字經濟企業過度采集、違法處理。一些APP強制索權現象比較普遍。某些APP甚至要求用戶必須同意讀取短信内容、訪問通訊錄、獲取攝像權限、共享位置信息、獲取錄音授權等高達數百項的權限,否則就無法使用。
2.大數據運用中濫用個人信息的情況比較突出。企業收集個人信息,應當符合原初目的,一般不得改變數據用途。但在實踐中,通過收集個人信息,數字經濟企業可以運用大數據進行精準營銷,但同時也可濫用大數據進行“大數據殺熟”。同樣的商品或服務,老客戶看到的價格反而比新客戶要高出許多。對于收集的個人信息,一些數字經濟企業不僅可能會自身濫用,而且還可能向第三方主體提供,甚至用來進行非法交易牟利。
3.數字經濟企業對個人信息安全保障程度不高。一些企業收集了大量個人信息,但安全保障程度并不高。個人信息不僅可能被企業洩露,還可能被内部人員或黑客盜取。管理咨詢公司埃森哲等研究機構發布的一項調查研究結果顯示,其調查的208家企業中,69%的企業曾在過去一年内“遭公司内部人員竊取數據或試圖盜取”。2018年3月2日,北京海澱分局警務支援大隊曾破獲一起利用網絡雲台服務器非法獲取各大網絡公司用戶信息的案件。涉案人員利用黑客技術盜取數據,累計存儲在雲計算服務器内的數據超過760萬條。
由此可見,在大數據時代,全球在大力發展數字經濟的同時,個人信息保護面臨嚴重危機。很多網民似乎都處于“裸奔”狀态,幾乎毫無隐私可言。個人信息保護水平,直接決定着數字經濟企業未來發展的前景。
數字經濟企業對個人信息保護不力,可能造成其業務受損、市值下降、高額罰款等經濟損失。例如,2017年3月18日,劍橋分析數據咨詢公司被指未經用戶同意,利用在Facebook上獲得的8700萬用戶的個人資料數據,來創建檔案,并在2016年美國總統大選期間針對這些人進行定向宣傳。受到醜聞影響,Facebook股價應聲大跌7%,市值縮水360多億美元。同時,Facebook還面臨巨額罰款。
為了應對互聯網時代個人數據保護面臨的新挑戰,以歐盟為代表的地區,制定了極為嚴厲的個人信息保護法律。歐盟《通用數據保護條例》(GeneralDataProtectionRegulation,簡稱GDPR)已于2018年5月25日生效。GDPR确立了重罰機制與“長臂”管轄原則,堪稱世界史上最嚴格的數據保護法律,必将對未來全球數字經濟發展産生深遠影響。人工智能、電子商務、金融科技、搜索引擎、社交媒體、新型的分享經濟等數字經濟企業,都可能受GDPR的嚴重影響。
GDPR以重罰為理念,試圖倒逼數字經濟企業完善個人信息保護制度。對于數據處理的違法行為,GDPR主要設定了兩個等級的處罰。第一等級最高可處以1000萬歐元的罰款,或上一财年全球營業額2%的行政處罰,以較高者為準。如數據控制者與處理者沒有盡到相應數據保護義務、沒有對數據保護認證組織履行義務、沒有對監管部門履行義務。針對嚴重違法的數據處理行為,GDPR設定了第二等級的行政處罰:最高可處以2000萬歐元的罰款,或上一财年全球營業額4%的行政處罰,以較高者為準。譬如,數字經濟企業違反數據處理的基本原則與條件、侵犯數據主體的權利、不符合條件将個人數據傳輸給第三國或國際組織。
世界上任何一家與歐盟有相關貿易往來的數字經濟企業,即使沒有在歐盟境内設立任何機構,也可能受GDPR的管轄。從好的方面來說,GDPR的實施實際上有利于推動全球數字經濟企業提升數據治理水平,有利于保障公民個人信息權利。然而,GDPR是一把雙刃劍。GDPR的實施,也将對全球數字企業産生不利影響。除了造成高昂的合規成本外,GDPR可能阻礙數字經濟企業的技術創新與市場發展。但歐盟GDPR選擇了相對偏重保護個人數據權利,數字經濟企業獲取數據沒那麼容易,可能會對技術創新與市場的發展産生一定的阻礙。例如,可能阻礙人工智能技術的發展創新。歐洲和美國的行業組織曾提出警告說,GDPR中嚴格的數據保護約束将極大阻礙數據的商業價值挖掘,并将給數字經濟企業帶來相當大的額外成本。
因此,如果過于偏重保護個人信息權利,企業獲取數據沒那麼容易,就可能會對技術創新與市場發展造成一定的阻礙,從而不利于整個數字經濟的快速發展。然而,在中國,目前的主要問題可能不是個人信息保護過于嚴格,而是保護不足。面對數字經濟企業對個人信息的大量收集、存儲、處理,中國對個人信息的保護仍缺少系統的立法回應。中國對個人信息保護的規定散見于法律、行政法規、部門規章以及規範性文件之中,呈現出法律層級不高、法律條款分散、法律規定缺乏系統性等特點。
在大數據時代,制定專門的個人信息保護法,刻不容緩。個人信息保護法的制定,對于數字經濟企業來說,短期内可能會有陣痛,會增加企業的合規成本。但從長遠來看,一定是有利于數字經濟企業發展的,有利于數字經濟企業做大做強,提高國際競争力,從而有利于促進中國的數字經濟市場發展。
制定個人信息保護法的難點,在于如何平衡個人信息保護與數字經濟發展。對個人信息保護過于嚴厲,可能無法使數據得到充分利用,不利于大數據交易,阻礙技術創新與市場活力,進而不利于整個中國數字經濟的發展;但如果對個人信息保護過于寬松,不僅可能使個人隐私容易被侵犯,而且還可能導緻大量中國公民個人信息被國外企業或政府收集,從而可能危害社會安全與國家安全。
制定個人信息保護的專門法律,是一項系統性工程。中國未來制定個人信息保護法,需要全國人大、國務院、網信辦、工信部、商務部、國家市場監督管理總局等多部門共同參與,制定出一部經得起曆史檢驗的良法,既切實有效保障公民個人信息,又有力促進中國數字經濟良性快速發展。
(作者為中央财經大學數字經濟與法治研究中心執行主任、法學院副教授)