【編者按】

2020年10月21日，全國人大常委會法制工作委員在中國人大網公布《中華人民共和國個人信息保護法(草案)》，并向社會征求意見，截止日期為11月19日。

2020年11月7日，第三屆中國數據法律高峰論壇暨上海市法學會網絡治理與數據信息法學研究會2020年年會在上海舉行。作為論壇承辦單位之一，華東政法大學數據法律研究中心就《中華人民共和國個人信息保護法（草案）》提出修改建議，并提交本論壇討論。

經聽取各方意見，第三屆中國數據法律高峰論壇就《中華人民共和國個人信息保護法（草案）》的修改達成共識，并由華東政法大學數據法律研究中心主任高富平教授執筆，形成《數據要素化背景下的個人信息保護與利用新秩序》一文。

本文認為，《中華人民共和國個人信息保護法（草案）》并沒有真正設計出有利于個人數據社會化利用的合法通道，為數據要素市場化建設提供制度保障。

文中意見不代表澎湃新聞立場。歡迎繼續討論。

隨著網絡化、數字化和智能化不斷加深，人類社會已經步入數據智能時代。《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》將數據與土地、資本、勞動力、技術并列為五大生產要素，這是我國適應時代變革對市場經濟要素的新定位，具有重要的戰略意義。

匯集相同主題、相互關聯的數據，形成滿足各種分析目的的數據集（dataset），從中挖掘知識，做出智能化決策，支撐人類各項活動的開展，是數據的生產要素價值所在。由于每個主體掌握的關于相同主體的數據總是有限的、不完整的，所以市場化和非市場化兩種方式促進數據的社會化利用是實現數據生產要素價值的關鍵。

簡言之，數據作為生產要素要求數據持有者對外提供、分享或流通數據。

由于個人是社會主體，一切社會活動均圍繞個人展開，所以個人數據的分析利用是社會治理、商業活動等活動開展不可缺少的要素，甚至是撬動整個數據要素社會化利用的關鍵。近日向社會征求意見的《中華人民共和國個人信息保護法（草案）》（下稱“個保法草案”）第一條對個保法的定位是正確的：平衡信息個人權益和社會價值（利益），促進數據要素分享利用，是個保法的基本目的和制度要求。

但是，個保法草案在內容設計上并沒有真正設計出有利于個人數據社會化利用的合法通道，為數據要素市場化建設提供制度保障。

華東政法大學數據法律研究中心圍繞數據要素市場建設目的，提出個保法草案修改建議，并提交第三屆中國數據法律高峰論壇討論。在吸收各方意見基礎之上，論壇就個保法草案達成以下共識。

1.確立個人信息社會資源屬性，保護數據處理者合法利益

個人數據/信息既承載個人利益（主體價值），也關系社會整體（各信息使用者）利益，每個個體的數據都是社會共同體數據資源的組成部分。通過個人信息識別社會個體是商業運營、公共服務、社會交往等活動開展的必要條件，因而個人信息是一直是可用的社會資源，是重要的生產要素。但是，信息技術不斷迭代給個人作為主體的尊嚴、自由和隱私帶來越來越多的危害，個人信息的收集和使用必須加以規范，以確保個人主體權益不受侵犯。

通過規范個人信息處理，個保法保護的是個人主體權益而不是保護個人信息本身，是要防范個人信息濫用，而不是由個人絕對控制個人信息的使用。建議個保法在總則部分明確個人信息的社會資源屬性，以建立個人信息合法正當使用的原則。

要發揮數據的生產要素價值，就需要確認和保護數據使用者的合法權益。歐盟《通用數據保護條例》（下稱“GDPR”）將“數據控制者或第三方為追求合法利益目的而進行的必要數據處理”作為數據可處理合法基礎，實際上是對數據使用者的保護甚或“賦權”。因為每個社會主體在社會活動中都要使用個人信息，成為數據使用者（歐盟稱為控制者，我國稱為處理者），因而基于自身的合法利益可以使用個人數據（信息）即是賦予使用者自主使用個人信息的權利，只是該種權利以不侵害信息主體權益為前提。

我們認為，這一合法性基礎是開啟數據資源化利用的鑰匙，個保法應當增加體現社會利益的合法性事由，即“為實現數據處理者正當利益需要使用個人信息的”。這樣，社會主體可以援用正當利益條款使用個人信息，發揮個人信息的社會價值。

2. 建立原目的范圍內可分享數據原則，鼓勵受控的使用

目的限定原則可以實現個人信息的控制性使用，對保護主體權益具有重要意義。

目的限定原則包含兩層具體的內涵：其一，數據控制者只能基于收集之初確定的具體、明確、合法的目的收集個人信息；其二，收集后不能再基于與收集時所確定之目的不相兼容的其他目的處理。這意味著，只要在初始確定的目的范圍內或與初始目的相兼容，就可以再使用甚至對外提供；如果基于初始目的以外的數據處理與初始目的相兼容，則無需再獲得新的合法性基礎。

這是源自GDPR的規則，即：只要目的相容，就不需要新的法律基礎（同意），可以再使用和對外提供個人信息（數據）。如果再使用或對外提供的目的完全不同于初始目的或不能預期的目的，或對數據主體產生不公平的影響，其目的是不相兼容的，在這種情形下的再處理需要獲得數據主體特別同意。

個保法的基本原理認為，只要在主體同意的目的范圍使用，個人數據的處理就被認為在個人意志控制之下，就可以避免個人信息濫用的風險。但這種觀點已被實踐證偽：面對數字時代高頻的信息處理，個人沒有充足的能力和時間判斷個人信息處理是否構成濫用，是否為自身帶來不可控的風險。更何況，與服務（或交易）捆綁的同意也無法反映主體的真實意愿，反而成為獲取更多“授權”的工具。

為真正保護主體權益，避免個人信息被濫用的風險，不如通過目的相容給個人信息處理者一定的自由度，同時又真正將個人信息的使用限定在一定范圍之內。目的相容條件下的分享數據規則即是這樣的制度工具。建立這樣的規則既可以避免個人信息濫用的風險，又可以允許受控制的個人信息使用，實現個人信息在一定范圍內的分享利用。

3. 建立去標識化信息可以分享利用規則，促進個人信息社會化利用

當一個數據集去除與個人關聯的信息（包括直接或間接關聯的信息即廣義的身份信息，實踐稱為標識符）后，可以防范個人信息處理對隱私的侵害，尤其減少處理中的信息泄露對個人安全的危害風險。

去標識后的個人信息仍然可以用于識別分析，但須適用個保法規定，只是應區分應用場景，適用不同規則：當不需要識別身份時，則不需要同意；當需要識別身份的時候，則需要取得主體同意。如果不區分應用場景，一律要求去標識化的個人信息處理仍需取得主體同意，那么，個人信息處理者就沒有動機僅獲取去標識化的個人信息，主體的個人信息泄露、濫用風險反而增加。建議個保法建立去標識數據的分享利用，而不是匿名化數據的對外提供規則。

真正做到匿名化的數據（即“經過處理無法識別特定自然人且不能復原”），即轉化為抽象信息或知識，不再具有識別個人的分析價值。然而，在大數據環境下，匿名化的數據是否還能夠識別一個人，取決于數據處理者掌握多少數據和采取什么樣的算法。因而，將匿名化信息排除于個保法調整并可以對外提供的規定是有害于個人權益的。因此，匿名化宜理解為去除數據集風險的信息安全措施，而不是對外提供的安全措施。

建議個保法將去標識定義為：“去標識是對數據集進行處理，以減少數據集中與特定個人相關聯信息的風險。”并規定“去標識個人信息可不經同意而對外提供，但使用去標識個人信息須遵守個保法規定”，以為去標識化信息的流通提供正向激勵。如果個保法要規定匿名化，且將匿名化定義為“經過處理無法識別特定自然人且不能復原”，那么建議將其作為個人信息安全存管措施，而不是個人信息分享利用（對外提供）的規則。

4. 區分個人信息的控制和對個人信息處理行為的控制，建立有效保護信息主體權利規則

關于個人信息，個保法草案第四條與《民法典》第一千零三十四條的定義不同，采關聯標準。有學者認為應當采《民法典》的定義，但是，我們認為個保法應當采國際通行的關聯標準。

個人信息最主要的功能是識別個人，而識別個人信息的范圍沒有邊界，能否識別一個人取決于用于識別的數據量和識別分析方法，而不能事先判斷。因此建議，以關聯標準定義個人信息，限縮其范圍；對個人信息處理的定義突出識別分析，即“以識別分析為目的個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動”。實際上，個保法最為重要的是控制對個人的識別（行為），而不是控制個人信息，從而在區分對個人信息的控制和對個人信息處理行為（核心或目的是識別）控制的基礎上建立清晰的規范。

之所以要將個人信息限于關聯信息，是因為與特定個人關聯的個人信息是有限、可識別和可判斷的，以此為基礎賦予信息主體一定控制性權利，是合理、正當和可操作的。比如，同意、更正、刪除是針對關聯信息本身。之所以將識別個人的信息排除于個人信息概念之外，是因為用于識別個人的信息廣袤無邊，不可識別和判斷。設置個人對泛在信息的控制不僅對個人信息保護不具有實際意義，而且對收集者也徒增合規成本。

所有識別分析對個人權益均有潛在影響，也需要個人的“控制”，不過需要符合法律邏輯并具有可操作性。當一項權利的行使邊界是清晰、有界限的時候，人們對自己的行為合法性就有判斷，對行為結果有預期，就不會給社會造成困擾；而當權利邊界不清晰時，就適合行為規范或責任規范。因此，針對處理行為而不是個人信息本身的權利（比如拒絕處理，拒絕自動識別約束）在個保法中就具有重要意義。

個保法調整的對象是個人信息處理行為，而不是個人信息（權利），核心是建構成處理者與信息主體之間的權利義務關系，防御個人信息處理行為侵害主體權利的風險，并在侵害行為發生時給予校正和救濟。行為規范是個保法的正確方向，個保法需要在此意義之上理解和設計信息主體的權利和信息使用者（處理者）的義務，在限縮個人對個人信息本身的控制范圍的同時，強化個人對處理行為和分析結果的異議和拒絕權利的配置。

5. 以具體的特殊類型信息替代一般的敏感信息，以清晰處理規則指引個人信息處理

個人信息復雜多樣，對個人的影響不盡相同，因而可利用性和利用規則也不同。為此，世界各國普遍采“一般規范+特別規范”模式，個保法草案亦是如此，建立了敏感信息適用特殊規范。但是，我們建議不采敏感信息，而直接規定具體的特殊信息的特殊處理規則。

因為敏感信息源自信息安全管理，它是根據信息泄露給個人、國家或其他組織帶來的風險進行劃分的。更為重要的是，敏感信息本身需要界定和判斷，在識別分析的語境下，脫離特定的應用場景、目的、方法（算法）等很難評估和判斷某個信息的敏感性，采用敏感信息會給個保法適用帶來不確定性或困惑。

另外，敏感信息本身也存在不同種類，敏感信息經處理后也可以變得不敏感，仍然可以發揮個人信息的資源價值，敏感信息作為一個框架性概念可能妨礙人們對可用數據的認知。比如，健康醫療信息多被認為是敏感信息，但只要做到去標識（身份）或不可識別，均可以用于醫學和醫藥研究；為了公共利益和人類健康，也應當支持去標識（身份）或不可識別的健康醫療信息分享。

在這方面，我國可以借鑒GDPR以行為規范模式來規定特殊類型信息的處理規則，結合中國國情和文化明確哪些信息可處理，但不得披露；哪些信息可處理，但不能識別；又有哪些非經事先同意不得處理。這樣的規范不僅使盡可能多的個人信息納入處理范疇，而且可以建立明確清晰的處理行為規范。

6. 個保法應當為基于數據的決策提供寬松環境

個保法的初衷是針對自動處理，因為自動處理可能導致信息主體不知情或沒有感知到信息處理，有可能對作為主體的人造成危害。在某種意義上，個保法本身就是防御“自動決策”給主體尊嚴或自由帶來危害的，而不需要單獨一個條文。關于自動決策，人們最關注的歧視或不公正問題，很難在個保法中通過強調個人權利來解決，而需要通過所涉領域法（如勞動法、消費者權益保護法）加以解決。

因此，個保法草案第二十五條第一款對自動化決策的特別規范中，有意義的內容是，個人“有權拒絕個人信息處理者僅通過自動化決策的方式作出決定”。因為，在自動決策成為商業、社會治理普遍現象的背景下，個人要求信息處理者對算法進行解釋可能會對社會各種主體活動造成無端干擾，況且算法本身具有一定的不可解釋性。因此，自動決策行為規范最適合事后救濟，給予個人拒絕受約束的權利。這也是GDPR對自動決策的規范策略。

至于第二款，因《電子商務法》已有規定，毋需在個保法中予以重復。

人類社會已經邁入基于數據的決策階段，基于數據的決策一定是運用算法的自動決策，基于數據的自動決策將成為社會的普遍現象，這也是數據作為生產要素最主要的實現方式。因此，個保法立法應當著眼于時代的變革，為數據驅動和智能決策創制寬松的環境。