周汉华:个人信息保护观念演变的四个阶段
演讲者系中国社会科学院研究生院教授、中国社会科学院法学研究所研究员
2018年12月3日,第七届北大-斯坦福互联网法律与公共政策论坛在深圳成功举办。会上,中国社会科学院研究生院教授、中国社会科学院法学研究所研究员周汉华在「数据保护与网络安全」章节就“个人信息保护观念的演变”分享了自己的看法。
以下是演讲全文:
大家好,我今天想跟大家谈的是个人信息保护观念的演变。
虽然个人信息的保护在学术界呼吁了15年以上,但是在此之前一直没有太多的动静,最近两年才有好消息不断传来。今年的十三五立法规划里把《个人信息保护法》及《数据安全法》列入了一类计划。民法总则虽然没有用个人信息权的概念,但实际上已经隐含了这个意思,同时,民法总则也涉及到了隐私权和名誉权。正在讨论中的民法典,尤其是人格权篇,比民法总则在权利体系上更加全面。这时候大家可能会有一个疑问,这么多的法、这么多的权,这么多的制度,相互之间究竟是一个什么关系?我想这个时候我们应该回到基本面,对权利背后的观念进行一个梳理。
新中国成立以来我们的个人信息保护观念有四个发展阶段:第一个阶段是很传统的阴私观念;第二个阶段是民法上的隐私观念;第三个阶段是公法上的个人信息保护观念;第四个阶段是大数据时代的个人数据观念。
如果我们对观念进行一个梳理,再来定位《数据安全法》、《个人信息保护法》、民法总则人格权篇等等,那么我们在法律关系的构建上就会有一个相对清晰的路线图。
第一个是传统的阴私观念。在80年代中期之前,我们后面讲的三个观念都是没有的,阴私观念在中国延续了2000年,所以法律里面也明确采用了这个观念。阴私就是法律上不公开审理的案件,按照最高法院的司法解释,就是涉及性行为和侮辱妇女的犯罪案件。这个解释到今天还是如此,虽然诉讼法把阴私改成了隐私,但仍然不是个人信息保护法规定的隐私,而是性行为和有关侮辱妇女的犯罪案件,这是我们的文化传统决定的。法律所保护的只是一个诉讼程序的权利,遇到这种案子不公开审理,这是第一个阶段,延续了2000年。
第二个是民法上的隐私观念。80年代、尤其是90年代初之后,我们可以看到观念在变化,普遍用隐私概念替代了阴私概念,所以现在政府文件里不再用阴私,大量使用的是“隐私”。从《民事诉讼法》开始,逐步开始使用了隐私的概念,那么隐私概念的特点在什么地方呢?我们通过归纳分析发现了它的几个特点:
1、法律保护权利的种类,已经从诉讼权利的程序保护,进入到了主要是民事实体权利的领域。隐私是一项实体权利,在大量的法律里都是把它做实体权利加以保护的。最开始我们1986年的民法通则里是没有隐私权概念的,是通过最高人民法院的最高司法解释,在名誉权当中解释出了一项隐私权,一直到了《侵权责任法》才把隐私权作为一项独立的权利和名誉权并列。
2、权利保护的方法已经从过去的单一不公开审理的诉讼程序保护,扩展到程序继续保护了,同时还通过侵权救济来保护。
3、隐私的边界目前还不清楚。它在程序上是清楚的,哪些案件不公开审理,这个边界是很清楚的。但是隐私权的实体边界,隐私权和个人信息权是什么关系,这是模糊不清的,要是梳理司法案例就会发现各种不同的结论都有。实体权利处于模糊阶段,这是第二个阶段。
第三个阶段是公法上的个人信息保护观念。这一点非常清晰,90年代末,随着信息化以及消费者权利保护这两个领域的出现,公法上的个人信息观念出现了,在大量的立法中个人信息观念也开始采用。
如果我们提炼规律性就会发现:
1、相比于主要依靠民事侵权法予以保护的隐私,个人信息的概念更为中性,它的范围远远超出隐私权、民事侵权保护的范围,所以它的范围更大。
2、由于个人信息保护超出了隐私侵权、民法保护的范畴,除了传统的程序法和民法的救济之外,个人信息更多的是要靠政府监管和行政法的保护方式,这就从事后的侵权责任向事前、事中、事后并重的多阶段、全过程的保护迈出了一大步。
第四个阶段是大数据时代的个人数据观念。进入移动互联网以后,最近七八年的时间,出现了大数据时代的个人数据观念。这个时候怎么来使用数据,怎么来开发利用数据,就成为了任何一个主体不可回避的战略性的选择,这时候也就相伴出现了新的个人数据的观念。国务院印发大数据发展行动纲要以及一系列的重要文件,就是在系统地部署大数据的开发利用,各种政策文件都开始逐步采用过去仅仅作为科技词汇的数据的概念。
十多年前讲数据基本上都是科学家在用,但是今天个人数据、大数据早已不是一个科技词汇,而变成了一个政策的词汇,这背后是一个观念的重大变化。
这个时期的特点在于:
1、突出强调大数据开发、开放、利用与共享,要突出竞争优势。
2、同样重视信息安全与个人数据的保护。
3、个人数据的观念仍然在形成过程的初期,我们正在经历这个过程,它和个人信息保护的观念到底是什么关系还在磨合,不同的主体对个人数据观念的接受度也不尽相同。
简单地跟大家梳理、归纳了我们法律背后观念的变革,引申出来几点结论:
1、通过梳理可以很清晰地看到,随着社会的发展,个人信息保护的概念在不断变化。我们今天不再用阴私的观念,甚至很少用隐私的观念,大家更多的是在讲个人信息、数据治理,这个概念的变化和历史的变化是同步的。而且概念所蕴涵的观念和制度也在潜移默化的变化,这种变化未必是立法者有意为之,而是客观实践的需要。所以有时候我们会发现,立法内部是相互矛盾的,有时候可能会同时使用几个概念,也是因为立法者也没有把这些概念弄明白。历史造就了一个概念体系,是实践推动这个概念体系完善,四代个人信息保护观念递进的线索其实是非常明显的。
2、因为观念处于快速变化之中,所以不同主体用的概念可能相同,但所指的可能是完全不同的两个领域。大家可能都用同一个概念,但是你用的是第二代的观念,我用的是第一代,也可能有的人用的是第四代或者第三代。为什么有时候会争论不休?可能就是因为大家的观念是不一样的。立法就应该要理清这些观念,这样才能夯实一个比较清晰、有效的立法基础。
3、时代在进步,不同的观念是不能混淆的。我们既不能用第二代的民事隐私的观念,也不能用第三代的个人信息保护的单一视角,来规范第四代的个人数据处理。这个现象非常常见,包括我们在人格权篇的讨论中,很多情况下大家用的是第二代的观念,要讨论的是第四代的问题,这是不可能得出科学结论的。因为这个观念有代际的差别,网络时代三年一代沟,所以这也是正常的,按照观念的变化,这个观念跟不上也是正常现象。由于权利的边界不断扩大,如果用第二代的人格权的观念,包括人格权的讨论,来规定个人数据权,必然会顾头不顾尾,难以覆盖。观念混淆还会导致严重的错位与混乱。民法总则既包括肖像权、姓名权这些列明的权利,也规定了隐私权,同时又规定了一般人格权,以及对个人信息的保护,所以从逻辑上它是不周延的。现在在大数据时代,我们应该用最新的观念讨论立法问题,可能才比较有助于形成共识。