我国个人信息保护原则暨“数据驱动中国法律共同体”倡议书

【编者按】

2019年12月7日，第二届中国数据法律高峰论坛在上海举行，数十位多个部门的领导和相关领域学者参加，围绕“数据经济与个人信息立法”的主题展开讨论。“数据驱动中国法律共同体”于论坛举行期间宣告成立。

“我国个人信息保护原则”由华东政法大学互联网法治研究院院长高富平教授草拟，并提交本论坛讨论。以下“我国个人信息保护原则”的文本，系参考论坛中的相关讨论，并汇集论坛结束后多位学者提供的书面修改意见后改定。“数据驱动中国法律共同体”同意将该原则文本同时作为其首份倡议书发布。

随着网络应用的普及，大数据、云计算、物联网、人工智能等新一代信息技术的发展和应用，人类社会逐渐步入了数据驱动发展的时代，人类对数据的应用发生了翻天覆地的变化，数据成为支撑科学研究、社会治理、企业创新、经济转型的基础资源。在数据资源中，个人数据（又称为个人信息）占有非常重要的地位，是整个大数据应用的基础，甚至国际社会在谈数据保护时仅指个人数据的保护。因此，创制和维护个人数据利用秩序，是大数据应用的前提，是大数据战略得以实施的制度保证。

国际社会自从上世纪七十年代开始建立个人信息保护制度，至今已有近五十年的历史，但直到进入本世纪之后，我国才开始考虑建立个人信息保护制度。2012年，全国人大常委会《关于加强网络信息保护的决定》开启了个人信息保护的法律化之路。《刑法》、《消费者权益保护法》、《网络安全法》、《电子商务法》等法律均涉及个人信息保护。但是，我国个人信息保护方面的相关现行立法选择性地移植了国外部分法律规则，导致我国法律规则既不符合国外立法的本义，也不切合我国国情，更不能适应大数据产业发展的需要。

目前，不合理的个人信息利用法律制度和规则，正在扼制甚至禁锢大数据和人工智能应用，妨碍数据驱动发展。

2019年，我国正式启动《个人信息保护法》的立法工作。我们认为，数据驱动经济创新是人类社会发展的新引擎和新动能，是第四次工业革命的根本，我国应当充分利用在大数据新时代制定个人信息保护法的后发优势，制定反映数据经济需求的个人信息保护和利用规则，引领大数据时代的个人信息保护和利用的国际规则。

为此我们提出如下建议：

第一，从我国文化传统与新时代的人权观出发，构建我国个人信息保护的理论基础和制度体系。

个人信息保护本质上是对个人基本权利的保护。国际社会的个人信息保护立基于西方发达国家的人权观或隐私观，是坚持主、客观两元区分的产物。这既不符合我国的文化传统、政治生态与现实国情，也不符合人类社会经济、科技发展的趋势。我们需要发掘与我国文化传统相统一且立基于新时代的发展人权观，建构与我国政治经济文明和社会风俗文化相符的隐私价值观，在该基础上明确个人信息保护的目的和需要，以保护个人基本权利，而不是简单移植国外的制度。

第二，制定反映大数据时代特征的《个人信息保护法》。

国际社会有关个人信息保护的基本原则形成于上世纪七十年代。当时，获取个人信息的主要方式体现为个人向特定数据控制者提供基本数据，法律主要解决计算机处理个人信息所带来的风险，个人信息在电子化状态下被不断重复或永久利用，这导致了个人控制的难题。但在人类社会进入到网络化、智能化和数据化时代后，数据的应用场景、应用方式、应用手段均发生了巨大变化，国际社会现行的个人信息保护规则和方式已然滞后。

相较于其他已有成文法的国家而言，我国没有现存立法的阻碍，又站在数字经济爆发的历史时刻，更有条件去学习和研究其他国家个人信息立法方面的经验与不足，更有资格去解决个人信息保护与数字经济发展的矛盾，建构既能保护个人基本权利，又能促进数字经济高效发展的个人数据保护原则，指导整个立法及后续的规则适用，并引领未来国际社会个人信息立法的潮流。

第三，确立个人信息“有效使用+有效保护”的原则。

个人信息一直是社会可正当利用的资源，数据驱动更加强化了其基础资源性。通过个人信息识别社会个体，是商业运营、公共服务、社会交往等活动开展的必要条件；没有这些活动的开展，社会个体在个人信息上的利益也无法体现。绝对的、隔离于社会交往的个人隐私观既忽视了社会生活的公共性，也不符合社会的现实。一律要求获得个人同意才能收集、处理个人信息，极易导致将个人对其个人信息控制的绝对化，并演绎为一项支配性的私权，妨碍数据的正当利用。但是，个人信息的使用关涉个人隐私和自主利益，甚至关系人身财产安全。个人信息的收集和使用必须加以规范，从而确保个人主体权益不受侵犯，保障个人人身和财产安全。

因此，个人信息的使用应当采纳“有效使用+有效保护”原则；“有效使用”强调个人信息的流通便利，以实现个人信息的社会、经济利益；“有效保护”强调个人信息的安全，要求企业履行充分的安全保障义务以保障个人主体权益免受侵犯，要求在个人主体权益遭受侵害的场合为其提供便利、高效的机制以维护其权益。

第四，宜采用“负面清单+使用者自主风险管理”的保护规则。

立法应明确负面清单，即明示必须先行征得个人同意的具体情形（数据类型和使用场景、目的等），给个人信息使用者以明确的行为指引（未经同意即侵权）。在明确需要个人同意的情形中，须严格要求同意之要件，禁止与交易或服务紧密捆绑的受迫式概括同意，切实维护个人自主选择权。同时，个人信息的使用是否侵害主体权益因行业、场景、目的等因素而异，个人信息安全风险的高低因使用个人信息的范围、数量、方式不同而不同。

因此，应当给企业自主判断和管理风险的自主权利，并形成规范的行业自律准则，以发展和形成符合产业特征的灵活的个人信息保护政策和规则，明确企业个人信息安全保障义务的边界。

第五，区分个人身份信息和个性特征可识别信息，建立不同保护规则。

个人信息的保护和利用应以流通为原则，禁止为例外。在个人信息中，涉及个人身份信息（姓名、电话、身份证等唯一性身份信息，实践中称为标识符）不受控制的流通利用可能给个人生活安宁甚至人身或财产安全带来危害（这正是我国公民个人目前面临的最大危害）。为不妨碍个人信息流通和利用以及大数据应用，亟待区分唯一关联个人的身份信息与其他可识别个性特征信息。

对个人身份信息，应当采取更加严格的安全措施，使用者应当承担更严格的个人信息安全保障义务。对可识别个性特征的信息（如属性信息、偏好信息等），其获取和流通本身并不必然带来上述风险，因此，对此类信息应当建立与个人身份信息不同的使用规范，确保在不侵害个人信息上权益的前提下促进个人信息的流通利用。

第六，确立个人信息可安全有序流通原则。

个人信息的流通利用是社会运行的必要条件，更是数据驱动发展的基本要求。我们应当建立个人信息可流通原则，但要确保个人信息流通利用的安全和秩序。既然个人信息流通利用的风险主要源自个人信息（集）中可以直接识别、显著关联个人的身份信息，那么去除这些身份标识符，即可以降低个人信息流通利用带来的安全风险。

为此，我们需要依个人信息的不同使用场景而采取客观的、类型化的去身份标识的标准，建立去除直接识别符之后的个人信息流通利用的责任规则，将去身份识别符（匿名化、假名化）的个人信息纳入个人信息保护法调整（而非认定其不再属于个人信息范畴，排除于个人信息保护法之外），使再识别个人的行为得到规范。

（执笔人：高富平教授）