摘 要:我国数据安全和个人信息保护规则存在混杂现象,从法律关系客体和法律规则相互独立的角度来看,应当建立相互分立的数据安全和个人信息保护规则体系。数据安全与个人信息保护规则在立法目的、法律渊源、保护模式、法律效果等方面均具有区分性,应当分别建立各自的下位法体系。二者规则体系分立应当以调整对象和基本概念的区分为基础,重点处理好数据分类分级保护制度与数据跨境流动制度中个人信息被作为重要数据、或者与重要数据同等适用数据处理相关条款的规则交叉问题。数据安全与个人信息保护规则体系的分立是我国数据法治建设中的基础性问题,应当从基础立法层面解决。
关键词:数据安全;个人信息保护;规则体系;立法完善
一、缺乏规则体系是数据安全与个人信息保护立法的普遍性问题
(一)我国数据安全与个人信息保护的规则体系问题
本文所称规则体系是指具有相同调整对象的法律规则所构成的法律规则系统,规则体系的建立应当遵循基本概念统一、调整对象一致、上下位阶合理、法律规范相互协调等要求。其中的法律规则可能处于法律、行政法规、规章、地方法规等不同的位阶,也可能分别具有民法、刑法、行政法等不同性质。规则体系不完全同于有学者研究的规范体系,后者范围更大,将法律规范与党内法规、党的政策、国家政策、社会规范等均列为规范体系的内容。
法律对于新型社会关系的规范,往往从零碎的规则开始,逐步发展成体系化的法律规则系统。数据安全与个人信息保护均是数字社会发展的要求,在法治社会条件下,必然存在着从单项规则逐步向规则体系发展的过程。在我国,这种规则体系正在形成。《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》(下文分别简称为《网络安全法》《数据安全法》和《个人信息保护法》)共同构成我国当前数据法治的基础框架,三部法律各有其规范对象,但是又有所交叉。从规则体系的视角来看,对于网络安全、数据安全与个人信息保护,应当分别作为三部法律的调整对象,建立各自的规则体系。但《网络安全法》由于颁布相对较早,除了网络安全规则外,还涉及数据安全和个人信息保护的内容,这在对网络安全进行立法的初期当属合理的做法,当前已经进入修订的过程。《数据安全法》与《个人信息保护法》在立法体系上相对明晰,分别对数据安全和个人信息保护进行了规范,但是与《网络安全法》在数据安全和个人信息保护上仍存在一定范围的交叉。在后来的相关立法或者规范性文件中,出现了将数据安全与个人信息保护的规则混合在一起进行立法的情形,比如《网络数据安全管理条例》(以下简称为《条例》)把“个人信息保护”规定在数据安全的规范当中;作为政策文件的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下文简称《数据二十条》)在当前具有一定的法律规范意义,对承载个人信息的数据,提出“规范对个人信息的处理活动”。《数据安全技术 数据分类分级规则》则规定“从数据主体角度,可将数据分为公共数据、组织数据、个人信息三个类别。”尽管网络安全、数据安全与个人信息保护三者的规则体系均有相互交叉,但是,网络安全偏重于技术方面的要求,而数据安全与个人信息保护则更多涉及权利或者权益层面的规则,而且在实践中争议更大,故本文主要研究数据安全与个人信息保护规则体系的分立关系。
数据安全与个人信息保护在规则上的混淆集中体现在调整对象上,“个人数据”似乎是二者共同的调整对象。在我国法律渊源文件中不存在“个人数据”的法律术语。在中国知网上以“个人数据”进行题目检索,截止到2025年2月10日相关文献多达1101篇;在北大法宝法律数据库中,以“个人数据”为关键词进行全文检索,截止到2025年3月2日共有472份民事裁判文书。在《中华人民共和国民法典》(以下简称《民法典》)规定“个人信息”这一法律概念后,即审结日期从2021年1月1日至2025年3月2日,仍有125份民事裁判文书使用“个人数据”一词。例如,王某与深圳市腾讯计算机系统有限公司个人信息保护纠纷案中,法院的说理中同时出现“个人信息的处理”“实现个人数据权益保护”和“数据流动发展之间的平衡”。在张某等与上海某科技有限公司不正当竞争纠纷案中,法院认为上诉人“利用技术手段获取《原神》游戏用户的个人数据”。甚至有多份判决里出现“个人数据信息”的表述。在刑事领域,法律概念的混淆则主要体现在侵犯公民个人信息罪案件上,截止至2025年3月2日,在北大法宝法律数据库中检索到518篇以“侵犯公民个人信息罪”为案由的裁判文书使用了“个人信息数据”的表述。个人数据是一个内涵与外延均不清晰的概念,它到底是作为数据的一个种类,指个人信息组成的数据,还是作为个人信息的数字化形式,仍是指个人信息本身?如果把个人数据作为数据安全与个人信息保护法律规则的共同调整对象,其本身的不确定性必然带来法律规则体系的紊乱。
数据安全和个人信息保护规则体系的不清晰,必然导致法律适用上的混乱,在司法实践中影响当事人诉求和裁判结果。当企业处理个人信息行为出现违反数据安全义务与违反个人信息保护义务竞合时,如果依据《个人信息保护法》第66条,此类违法行为最高可以处以五千万元或者上一年度百分之五营业额的罚款;如果适用《数据安全法》第45条,罚款上限则为一千万元。数据安全和个人信息保护规则处于并行关系,违反数据安全的行为可能同时也构成个人信息保护上的违法行为,由于该二种行为分属不同的行政主管部门,那么适用规则竞合理论解决该问题往往受到执法主体职责的限制,这可能导致同类违法行为可能面临不同的处罚,从而影响到法律实施的一致性和权威性,必然增加数字经济的运行成本。
(二)数据安全与个人信息保护规则体系的域外借鉴阙如
与我国的数字经济规模与发展速度均位居世界前列的形式相适应,我国已经初步建立了相对系统、完整的数据法治体系,也在学术层面设置了专门的“网络与信息法学”二级法学学科。从世界范围来看,其他国家和地区的数字法治呈现出明显参差不齐的发展状态,而且没有形成统一的理论或规则体系。
美国的数字技术与数字经济领先世界发展,但是美国对于数据安全与个人信息保护并没有形成系统的法律体系。对于个人信息保护,美国没有专门的统一立法,仍然主要以隐私权法来保护个人信息,且分散在各州立法之中,这意味着没有进入隐私权范畴的个人信息保护尚未形成统一的规则体系;对于数据安全,美国仍适用国家安全的法律体系,在专门立法上则注重对于数据获取的司法管辖权延伸,比如2018年生效的《澄清境外数据的合法使用法》(即“云法案”,Clarifying Lawful Overseas Use of Data Act)。近年来,为了保护人工智能产业的发展,美国甚至废除了一些关于数据安全与个人信息保护的立法提案,2025年1月,美国总统特朗普撤销了前总统拜登2023年签署的《关于安全、可靠和可信地开发和使用人工智能的行政命令》,该命令旨在减少人工智能对消费者、工人和国家安全构成的风险。这标志着美国联邦政府对AI技术的监管更加趋向于宽松,也说明美国对于数据安全与个人信息保护尚未形成系统的规则体系。
欧盟的数据法治相对更加完善。可能出于保护自身相对薄弱数字经济的需要,欧盟近年来出台了一系列有关数据保护的法案,以《一般数据保护条例》(General Data Protection Regulation,简称GDPR)为代表,包括 《数据法》(Data Act)、《数字服务法》(Digital Services Act)、《数字市场法案》( Digital Markets Act)等。在本文研究的主题上,欧盟使用的“个人数据”概念及其“同意”规则或许为我国个人信息保护立法提供了一定借鉴,但是在建立系统的个人信息保护规则体系及其司法实践上,欧盟自身似乎也难解其惑:个人数据这一概念的模糊性导致欧盟法院对其认定的不确定性;“同意”程序的繁琐性可能会让数据主体无所适从,同时还会给数据服务商增加额外的困难与成本,最终可能导致同意条款非但不能起到保护数据主体的作用,反而成为数据服务商收集与处理数据的责任转移工具。欧盟“个人数据”概念对我国法律中的“个人信息”概念所带来的混淆不可小觑,其在我国广泛使用,盖源于GDPR的传播,也是造成我国个人信息保护与数据安全规则难以分立的重要因素,下文还将述及。
美国和欧盟本来拥有相似的法治传统,但是在个人信息保护与数据安全的规则体系上迥然不同,归根到底,在于不同国家和地区的数字经济发展实际对于法律的不同需要。我国数字经济发展的状况既不同于美国,也不同于欧盟。目前在规则体系、理论研究和司法实践等方面存在的对数据安全与个人信息保护规则不严格区分的现象,是导致我国数据法治中出现诸多争议的根本性原因之一,也会对数字经济活动产生消极影响,比如可能导致企业对于个人信息和数据利用合规的模糊认识,从而不当增加企业的风险管理成本。应当从规则体系上厘清我国数据安全与个人信息保护规则的界限,建立既有利于个人信息的保护与合理利用,也有利于数据安全及开发利用的规范体系,推动我国数字法治的健康发展。
二、数据安全与个人信息保护规则体系分立的根本理由
法律关系的客体在民(私)法中是法律关系中权利和义务所指向的对象,在刑(公)法中则是指法律保护的社会法益。数据安全与个人信息保护的法律关系分别对应着公法与私法意义上的法律客体,这表现在数据安全与个人信息保护的民事责任、行政责任和刑事责任的法律规范上。在私法上,不同的客体类型意味着不同权利;在刑法上,不同的客体则往往决定着犯罪行为的不同性质或者不同的罪名。无论是私法上的权利类型,还是刑法上的不同法益,都对应着不同的法律规则。因此,客体作为法律关系的关键要素,决定了权利或者法益的种类与内容,往往是构建法律规则的逻辑起点。之所以数据安全与个人信息保护在法律规则上存在一定的混淆,是因为数据安全规则中的“数据”与个人信息保护规则中的“个人信息”具有难以区分的关系。在以比特作为信息单元的数字技术中,两者具有高度的共生性和共通性。只有准确区分数据与个人信息的概念,方能将二者分别作为法律关系客体,并分别制定相应的法律规则。
首先,从二者的关系看,数据是载体,个人信息是内容。我国对于数据和个人信息的规定散见于各类法律文件中。《数据安全法》第3条第1款规定,数据是任何电子或其他形式对信息的记录。依文义解释,数据和信息应当是记录与被记录的关系。其中,记录的载体分为“电子形式”和“其他形式”。用“其他形式”记录信息的数据,例如图文、语言、密码等方式的数据不具有独立于信息而单独保护的法律意义。数据安全保护的客体应当认定为电子载体类型的数据,否则数据处理和个人信息处理的区分价值难以体现。在法律体系的角度下,“其他形式”的表述是为立法留下更多解释空间,立法者预设的场景仍是对电子形式的数据进行规制。数据这种电子化的信息记录方式应当特指计算机系统使用的二进制符号,计算机系统对其进行处理,仅是对这种符号本身的处理,而不直接处理这种符号背后的内容,这样数据就在事实层面成为与个人信息相区分的概念。《个人信息保护法》第4条将个人信息定义为以电子或者其他方式记录的具有识别特征的各种信息,与《数据安全法》对数据的定义形成了相互对应的内容与形式关系:信息是数据方式记录的内容,数据是信息的电子记录方式。这也形成了二者分别作为法律关系客体的特质:信息以其内容作为法律关系的客体,是人脑处理的对象,对应的主体是传统社会主体比如自然人、法人等;数据以其形式作为法律关系的客体,是计算机系统的处理对象,对应的主体是网络平台、人工智能组织等新型社会主体。
从根本上看,个人信息被记录在各种类型的物质性载体上,认定标准在于具体内容而不在于载体的特定表现形式。而数据之所以被法律所保护,是因为除了信息内容之外,数据作为载体本身具有超出信息具体内容价值的属性。数据独立于信息的价值是其作为法律关系客体的正当性所在,也是数据区分于信息的根本要素。如果将数据与信息的内容等同起来,则应当以信息安全为法律目的取向。信息安全会覆盖数据安全,另行制定《数据安全法》就没有必要性。与传统个人信息的载体如文字等相比,数据是个人信息在计算机时代出现的新型载体,因此数据不是信息的替代品。从法律关系客体的角度来讲,数据本身不应当包括信息的内容价值,否则就会把信息与数据混为一谈,带来法律规则的混乱。正因为数据本身的独立价值,才出现了数据安全法与个人信息保护法并列的局面。因此,《数据安全法》和《个人信息保护法》采用了数据与个人信息相区分的概念,不应当因为二者具有内容与形式的关系而忽视了两部法律所规范对象的不同。
其次,从表现形式来看,数据具有集合性,个人信息具有个体性。信息既有集合存在的现象,也有个体存在的现象,都可以用数据记录的方式存在,但是《数据安全法》意义上的数据显然不是指个体信息的数据,因为对于个体信息的数据,已经有信息的相关法律规定对其进行规范,没有必要仅仅因为名称的改变而重复制定法律。信息的价值取决于自身的内容,即其所包含的人格、社会、经济、军事等各方面的价值,因此信息具有个体性。信息的这种个体化处理方式、价值实现方式是人类大脑的产物。然而,信息经电子化形成数据之后,计算机系统并不会认识到信息内容所蕴含的价值。无论什么信息所形成的数据,在计算机系统中均是由0和1组成的字节代码。人类将信息转换成电子数据并积累到一定程度,一方面是为了使用电子方式来发现或者发挥信息自身的价值,另一方面是为了对信息进行数据化处理,进行数据挖掘,实现信息自身以外的关联性价值。虽然有时候单纯从集合性上难以对信息与数据的区分做出一个明确的判断标准,但是从信息与数据各自发挥作用的具体形态,可以判断出其是以集合性还是以个体性的方式来实现价值的。
数据安全意义下的数据处理,其底层逻辑在于数据的相关性,而非数据中具体信息的内容。因此,数据的集合性是电子数据的重要特征。数字化社会提供海量的数据资源,来源于社会领域各个环节的数据通过聚合产生出特有的相关性价值。数据的价值往往与体量成正比,小量的数据可能只具有其记载信息的价值,并不存在多少(数据)价值,大量的数据通过算法处理后形成的数据集就具备了价值密度高的特征。与之相对应,个人信息价值实现必须以个体身份关联为前提。信息哲学领域有学者将人比作“信息有机体”,强调构建自我需要依靠信息处理中的不断交互。无论是《民法典》还是《个人信息保护法》,均界定个人信息具有“可识别”特征,揭示了个人信息实现内容层面的价值与特定主体无法分离。例如,人脸识别技术获取到的面部特征经匿名化处理,虽然处理后的面部特征仍然符合生物识别信息的形式外观,但已经在一定程度上切断了与特定主体的关联,蕴含的信息价值会明显缩减。
数据处理的集合性、相关性与个人信息的个体性、识别性决定了信息处理的规则与数据处理的规则应当各行其道。个体性信息的处理规则必然与具体权利主体相关,个体性的主体授权规则不可能为集合性的数据处理提供正当性基础,在时间上、成本上、效率上均无法匹配数据处理的需要。当数据处理涉及到大量具体信息,而且这些信息的处理均需要授权作为处理的前提时,可能遇到信息处理规则与数据处理规则的竞合问题,但是,竞合的两种规则仍应各自归属各自的体系,绝不意味着两种规则的混同。
第三,从处理行为的方式来看,数据处理行为是以算法为处理方式的计算机语言行为,个人信息处理则是以法律规定方式的人类自然语言行为。在《数据安全法》和《个人信息保护法》的规范中,二者的处理行为分别称为“数据处理”和“个人信息处理”。数据作为一种机器可识别的资源,可以通过0和1的方式来表示和呈现。在数据处理的过程中,数据抓取、数据处理、数据应用均离不开算法,算法决定了数据的潜在价值,推动了原始数据转向衍生数据,实现数据的价值转变,数据经济的实质可以被视作“算法定义经济”。算法带来的技术革命同样推动个人信息内含的价值被挖掘,个人信息在数字时代被电子数据化,有时被作为数据进行处理。然而,个人信息处理虽然以电子数据为载体,但其法律属性仍源于个人信息的可识别性。信息依赖于人的主观认知和评价,是人处理存在的一种方式。个人信息由人脑识别,不同主体对于同一对象可能会解读出不同的信息内容。与数据处理环节相对,个人信息处理者要受到《个人信息保护法》确立的目的限定、最小必要等法律原则的约束,并且法律赋予信息主体删除权以实现事后救济。因此,单纯的数据处理行为并未涉及人格权益,而是依赖算法技术实现经济效益或者社会效益。个人信息处理行为则与个人人格权益密切相关,相关规则必然更强调价值判断,通过国家强制力维护自然人的个人信息权益。
从语言处理的具体过程来看,数据处理所使用的语言是计算机语言,从当初的Basic语言已经发展到后来的C、C++、Java、Python、JavaScript、Ruby、PHP、Swift、Go和Rust等多种语言。计算机语言功能是通过0和1字节来实现的。虽然现在人工智能发展到可以处理自然语言的阶段,但并不是计算机通过人类语言来处理信息和数据,只不过是在人类语言与计算机语言之间实现了高效的转换,计算机对数据的处理仍然是通过0和1二进制来实现。这种处理语言方式的不同决定了二者的规则也必然不同,计算机语言在处理数据时不可能、也不应当遵守人类语言活动中所包含的价值与行为规则,在被转化为能被人类理解的语言之前,它仍然处于一种计算思想状态当中,类似于人类的想法在没有用语言进行外部表达时的状态,不应当属于法律所调整的对象范围。法律可以从整体上对于数据的安全性、算法的妥当性进行规范,但是不应当、也无法实现对计算机语言具体处理数据的行为进行规范。在未来人工智能发展到高级阶段,可能出现计算机语言直接对外界产生影响,需要将法律规则内置于计算机数据处理当中,但是,那是一种实现了深刻的法治方式变革后的法律实施状态,在当下以及未来相当长的一段时间内,人工智能尚无法成为法治中的主体,法律的任务仍然是调整人类的社会关系。人类处理个人信息使用的是人类的自然语言,语言是思维的工具,自然语言与其所表达的内容是无法分离的,人类作为语言处理与内容处理的双重主体,对语言的处理意味着对内容的处理,当所处理的内容涉及到他人权益的时候,尤其是当法律对内容的处理制定规则的条件下,这种个人信息处理意味着与其他社会主体之间形成社会关系,因而个人信息处理应当以其内容作为法律调整的对象。
三、数据安全与个人信息保护规则的区分
在数字时代,尽管个人信息主要以电子的方式存在,从而在形式上表现为数据,但是数据与个人信息各有作为法律关系客体的独立价值,数据安全与个人信息保护分属两个相互独立的法益。这决定了《数据安全法》与《个人信息保护法》不应当存在上下位阶关系,也不应当存在规则交叉关系,它们的规则体系应当是相互区分、相互独立的。
第一,从立法目的来看,数据虽然在内容上可能是由个人信息组成,但是其安全价值不再是根据具体个人信息的内容发挥作用,从而决定了数据安全与个人信息保护属于不同的法律规则体系。这一点在数据安全与个人信息保护的法律目的上表现出来:《数据安全法》的立法目的在于规范数据处理活动,保障数据安全等。数据安全秉承社会风险控制的整体公共利益的价值取向,保护的是安全与利用的衡平。数据的价值唯有通过利用才能实现,故《数据安全法》强调“促进数据开发利用的目的”。基于此,数据安全的价值追求并非局限于数据本身的绝对安全,而是在于数据的开发利用以及产业发展中的数据相对安全。而《个人信息保护法》的立法目的则在于保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用。所体现的逻辑是:保护个人信息权益是核心目标,在确保个人信息权益得到保护的前提下才能促进个人信息的合理使用,而规范个人信息处理活动对于保护个人信息权益和促进个人信息合理利用是手段和目的的关系。“个人信息保护的最终目的不是维护公共利益和公共秩序,而是维护自然人的合法权益。”显然,个人信息处理活动与数据处理活动是基于个人信息与数据的不同而分别成为各自法律调整对象的。
第二,从法律渊源来看,《民法典》分别将数据和个人信息作为财产权和人格权进行保护,《数据安全法》与《个人信息保护法》在位阶上相互并列。《民法典》第111条、第127条明确表明将个人信息与数据分别纳入不同的编章结构下进行保护,个人信息置于第四编人格权部分,该法第1034条至1039条详细规定了个人信息保护的具体条款,由此从立法层面明确个人信息是具有人格权性质的权益,权利客体是个人信息蕴含的人格利益。数字时代,有学者提出精神性人格利益的概念,与生命、健康权等物质性利益相区分。从这个角度看,个人信息不仅具备内容层面的信息性,更是出于维护主体尊严的需要。《民法典》将数据与虚拟财产放在一起纳入保护范畴,强调了数据所具有的财产价值和法律保护的必要性,通过立法留有空白的方式为数据产权的法律地位和保护提供了框架,并且为未来数据立法的方向提供了指导。数据作为独立于个人信息的客体,既不完全等同于任何单一的个人信息,也不能简单归结为众多个人信息的集合。相反,通过数据之间的相关性产生的价值和意义超出了个体层面的人格权益,形成了新的法律客体。数据作为新型权利对象的主体,显然无法适用个人信息的个体性告知同意规则,其独立性在数据是个人信息的数字记录,而不是作为人格权益的个人信息本身。综上,个人信息保护立法和数据安全立法是两个独立的规则体系,数据与信息从法律文本层面就不属于同一事物,决定了保护路径的不同。
第三,从法律保护模式来看,个人信息保护实行私法上的知情同意模式,数据安全实行公法上的风险控制模式。《个人信息保护法》第13条第1款第1项明确个人信息处理者需要取得个人的同意才能处理个人信息。个人信息处理行为将知情同意作为合法性基础,赋予了个人对自己信息的控制权,在此基础上另行考虑国家安全等因素,即使个人信息跨境提供规则中包含了国家有关部门的评估程序,仍没有脱离保护个人信息权益的底层逻辑。比如《个人信息保护法》第42条规定:境外的组织、个人从事侵害中华人民共和国公民的个人信息权益,或者危害中华人民共和国国家安全、公共利益的个人信息处理活动的,国家网信部门可以将其列入限制或者禁止个人信息提供清单,予以公告,并采取限制或者禁止向其提供个人信息等措施。数据的价值本身及其实现都来源于个人信息的大规模收集和处理,围绕个人信息处理所产生的对个人信息主体的风险控制与传统的权益保护的私法体系出现分歧。随着技术的发展和数据量的激增,个人信息主体面临的风险日益增加。相应的,为适应这种变化,衍生出更全面的数据安全风险控制模式。虽然个人信息保护也具有一定的公法属性,但个人信息保护和数据安全所涉及的公法属于不同领域,个人信息保护领域包含公法救济方式,根本上仍是私权法益保护体系下的路径。数据安全的公法保护模式不再以个人信息保护的知情同意规则为中心,更侧重公共安全。这两种模式的并立意味着立法者不仅要关注信息处理者收集和使用个人信息需要征得同意,还要重视信息或者数据处理过程中可能带来的公共风险。
第四,从法律效果来看,个人信息保护制度不足以覆盖数据安全的效果,数据安全亦无法实现个人信息保护的功能。数据和信息是“载体——内容”的关系,但是数据与信息的价值并不是一一对应的关系。换言之,数据具有不完全依赖具体信息内容的价值,需要另外构建数据安全的规则体系予以保护,因为数据的价值往往通过相关性来体现,算法也会发挥一定的作用。在我国,已经分别出台了《个人信息保护法》和《数据安全法》,是否需要将个人信息保护纳入到数据安全的范围以实现更好的法律实施效果?在大数据时代,若通过扩大个人信息概念的外延来保护,这种路径反而增加保护难度,导致《个人信息保护法》的保护范围被扩大,忽视了个人信息保护规则的针对性,可能导致适用法律的混乱。《数据安全法》正是在这样的理论背景下,从信息保护的基础上发展而来,用来调整私法无法完全涵盖的数据安全领域,并形成与个人信息保护相并列的规则体系。
综上,虽然数据和个人信息辨别具有一定的难度,但是作为法律关系的客体,二者仍需要明确区分,关键要把它们放在数字技术、数字经济的领域当中去考察,通过它们各自发挥作用、实现价值的具体方式来确定各自的属性,不应当使用传统工业经济的方式与视角来看待它们,更不应当把他们不加区分地作为自然人大脑或者计算机处理的对象。《数据安全法》和《个人信息保护法》即是建立在二者基础之上相互分立的基础法律规范,以此为基础丰富发展各自规则体系,需要恪守各自的功能定位与体系边界。
四、数据安全与个人信息保护规则体系的界分
《个人信息保护法》和《数据安全法》均为全国人大常委会通过的法律,分别担当个人信息保护与数据安全领域基本法的角色,是作为其下位的行政法规、地方性法规、自治法规及条例的立法基础。仍存在的具体实施性规范空白,需要制定相应的下位法予以补充和完善。下位法应当与上位法在法律关系主体、客体等法律关系等各要素保持一致,方能形成上下一致的法律体系。另外,在关于数据安全及个人信息保护的政策性文件中,也应当与两部基本法律规范在概念上、体例上保持一致。在本文研究的主题意义上,这意味着在构建数据安全与个人信息保护的规则体系时,应当分别构建其独立的下位法规范体系。但是,由于个人信息与数据之间存在相互牵连的复杂关系,致使在现实当中数据安全与个人信息保护的规则在其下位法当中呈现出界限模糊、甚至相互混杂的情形。因此,需要解决数据安全与个人信息保护规则体系界分中的调整对象、基本法律概念的区分等问题。
(一)调整对象的区分
数字社会条件下存在大量难以区分数据与信息的场景。或许单凭借数据和信息某一维度的特征无法分清数据安全与个人信息保护规则的边界,也难以设定出一个确切的标准来区分数据和信息的界定问题。但这不构成对二者采用混合立法模式的理由,因为在混合立法模式中,法律体系的逻辑层面、法律规范的位阶价值以及责任主体的认定标准都可能存在冲突。分立模式不仅可以避免规则的交叉重叠,还为数据安全和个人信息保护治理分别提供制度基础,在司法实践中能够更精准地识别责任主体,厘定救济途径。数据安全与个人信息保护规则体系的界分首先需要解决调整对象的区分问题,至少体现在如下三个方面:
第一,数据安全与个人信息保护规则体系的基本界分标准在于确定各自的调整对象,即属于内容层面的信息问题还是载体层面的数据问题。《数据安全法》调整的是集合属性的电子数据处理活动,其保护的法益是数据利用上的价值,而不是信息本身的安全性。因此,该法的核心目的在于确保电子数据作为一种记录方式的安全与合理利用,而非直接保护信息的具体内容。此外,数据安全体系下分为电子或其他方式对信息的记录,但实际上,对于其他形式数据的安全问题可以由相应的规范来解决,比如记录在纸质档案中的商业秘密、国家秘密,由反不正当竞争法、国家保守秘密法等相应的法律规范来保护。当数据量达到一定规模时,通过对数据(包含海量信息内容)的分析和加工,其功能得以充分发挥,实现经济或者其他价值,这不是对数据中具体信息内容的处理,不会对信息的来源主体带来任何正面或者负面的影响,比如利用数据调整经营策略、判断经济发展趋势。这说明集合式的电子数据的价值已经超越了单个信息的价值总和,甚至超出了具体信息的功能与价值。《个人信息保护法》调整的是个体层面的信息内容处理活动,其保护的法益是信息内容上的价值——个人对个人信息的权益,以防止因泄露或滥用而对信息主体造成损害。“识别性”是个人信息的核心特征。在区分数据处理与个人信息处理时,一个重要的标志在于是否发挥了信息的“识别性”功能。只有对信息的处理产生或者可能产生识别具体信息主体的效果时,对信息的保护才可能具有人格权意义,才可能进入个人信息保护法的目的范围。无论数据的体量大小,如果没有涉及到数据所记载信息的“识别性”功能,那么就可以归属于数据处理的范围。无论个人信息涉及的内容多么广泛,比如个人安全、个人隐私、财产权益等,只有当某项信息处理直接对具体个人的识别性产生效果时,这种信息处理才可能指向特定的主体。缺乏特定主体效果的信息处理不具有个人信息保护法律上的价值。比如,将个人数据交由专业公司进行数据挖掘,则不涉及个人信息处理,但是进行数据处理后将结果应用到信息的主体,比如数据算法处理后的个性化推送、用户画像等,则属于个人信息处理。这种规则上的区分具有重要的实践价值:可以将人工智能产业所需要的大量个人数据处理活动免于适用个人信息保护规则,从而为产业发展留出合理的制度空间。要求数据处理行为来适用个人信息保护中的“知情同意”规则,不仅是不合理的,也是不现实的。因此,应当确立数据安全与个人信息保护规则各自分别的调整对象,破除“数据”与“个人信息”混同使用的现状。
第二,在数据安全与个人信息保护的规则体系分立的前提下,如何对待数据处理过程中的个人信息保护。数据和信息两者虽有区别,但并不能完全割裂对待。信息借助载体存在,“人创造出来表达自己思想的符号具有外在可感性”,这种可感性意味着人接触信息必须通过信息的载体,信息脱离载体无法被人主观读取。传统信息社会下最常见的载体就是语言,语言承载的文字是信息的载体。数字技术将信息与载体的结构变得更为复杂,原本图像可以打印出来作为物质性的载体存在,而经过算法处理的信息被转化为各种数列,成为JDG或者RAW文件,导致信息和数据几成一体,无法区分。基于此,除了上述纯粹的信息问题或数据问题判断外,还有一些复杂的情况同时涉及到信息处理和数据处理两种属性。在这样的背景下,如何解决数据处理和个人信息处理规则的冲突成为现实需要。
数据处理和个人信息处理都涵盖对数据或信息的收集、存储、使用、加工等环节,在语义上看类似,但是针对的对象和欲达的目的、以及最终效果是不同的,因此需要将数据处理行为与个人信息处理行为加以区分。从根本上来说,数据处理行为与个人信息处理行为应当遵守各自的规则。当个人数据处理既构成数据处理问题也构成个人信息处理问题时,应按照个人信息处理规则来对待。因为,在我国现有法律规则体系下,因为个人信息处理要求远高于数据处理的要求,并规定了更重的法律责任,按照规则竞合时法律责任吸收的理论,数据处理的规则应当为个人信息处理的规则所覆盖并吸收;而且,对于个人信息跨境提供,《个人信息保护法》第三章进行了专门的规定,虽然没有明确说明该章适用于集合性个人信息跨境提供的行为,但这是不言而喻的适用条件,而且也在后续的实施性规范比如《条例》上得到了验证。在数据安全的法律文件中出现的个人信息跨境规范,与其说是数据跨境流动规则,不如说是个人信息跨境提供规则更加符合事实,因为就数据跨境流动规则的实质性条件而言,个人信息保护要求的权重包括了并且远大于数据安全的权重。对于集合意义上的个人信息保护,《个人信息保护法》与《数据安全法》分别设置了行政罚款的法律责任,《个人信息保护法》中规定的处罚最高金额远远高于《数据安全法》的规定。这就解释了为什么《数据安全技术数据分类分级规则》虽然规定“从数据主体角度,可将数据分为公共数据、组织数据、个人信息三个类别”,但是又明确“仅影响组织自身或公民个体的数据一般不作为重要数据”。当然,如果能够证明某种数据处理行为虽然包含个人信息,但是不涉及具体内容的处理,则仍然适用数据处理的相关规则。第三,调整对象在立法目的与立法依据上的不同体现。立法目的不仅决定法律的价值、目标导向,也影响法律规则体系的构建;立法依据是实现立法目的的根据和基础,很多法律文件往往在一开始就表明这两方面的内容。法律规范性文件的调整对象在立法目的和立法依据中往往有确定性的表现。网络、数据和个人信息之间存在着错综复杂的关系,《条例》在立法目的上强调“为了规范网络数据处理活动,保障网络数据安全,促进网络数据合理有效利用”,同时将《网络安全法》《数据安全法》《个人信息保护法》列入立法依据,网络安全、个人信息保护确实与数据安全具有较强的相关性,从表述的周延上来说这是妥当的,但是可能带来混淆网络安全、数据安全和个人信息保护三种法律关系的风险。毕竟《条例》在实体规范上以数据安全与利用为主要内容,在立法依据上如果将《数据安全法》作为主要立法依据或者描述为实施对象,将另二者作为次要立法依据或者描述为协调性立法基础,似乎更加妥当。
(二)基本法律概念的区分
基本法律概念的一致性是确保下位法与上位法保持同一法律体例的基础。在当前的个人信息保护与数据安全的法律与政策的表述当中,出现了个人信息、数据与网络数据三个基本概念。其中网络数据是《网络安全法》率先使用的概念,在2024年的《条例》得以再次使用。从立法体例来看,这种概念表述具有合法、合理性,因为《条例》作为行政法规落实《网络安全法》《数据安全法》《个人信息保护法》三部上位法律的实施性行政法规,其使用的基本概念应当与上位法保持一致。而三部上位法由于社会发展的客观原因存在概念与规则上的交叉,并不是《条例》所能够完成的纠正任务,应当由相应的立法机关提起修正程序,比如《网络安全法》已经被提上修正日程。但是,从国家立法体例的整体性、科学性来讲,应当尽快实现对于相关概念使用上的一致,以促进法律适用的准确性与统一性。
1. 个人信息与数据。至少在从文字表述上,《条例》将个人信息作为网络数据安全规则调整的对象,适用数据安全的规则。从《条例》的立法依据来看,《条例》作为《个人信息保护法》的下位法,为个人信息保护提供更具体的实施性规则,没有解决“个人信息”与“数据”概念的区分问题。这种概念的混同可能让人误以为《个人信息保护法》是数据安全的上位法,也可能产生《数据安全法》是个人信息保护的上位法的误解。与《条例》的立法表述相似的还有一些其他规范性文件,如《数据安全技术 数据分类分级规则》,其将个人信息的数据作为数据的一个类别,但是直接使用“个人信息”来表述一种数据,则易与《个人信息保护法》意义上的个人信息形成混淆。
从法律概念表述的准确性来说,上述法律文件存在的问题显然是没有区分“个人信息”和“个人数据”,而是作为相同的概念使用,因此才会出现将个人信息作为数据的种类出现在数据安全的法律文件中。这种概念混淆的缘由之一在于受到比较法层面的影响。审视域外立法,欧盟将任何“已识别”或者“可识别”的自然人相关信息界定为“个人数据”,德国等国家将“个人数据”和“信息”混用,统称为“数据”。美国联邦和各州颁布的法律文件都使用了个人数据的定义,但被普遍接受的概念是个人可识别信息。我国在引入时并未对信息和数据的概念进行严格区分。一是因为数字经济处于萌芽阶段,信息主体和信息处理者之间的矛盾尚不突出,数据的经济价值未被充分揭示。二是在当时相关法律文件数量较小的情形下没有严格区分的需要,概念的混用不会引发法律层面的认知偏差。
但是在《数据安全法》与《个人信息保护法》出台后,“个人信息”和“数据”两个概念应当被严格区分。数据安全领域当中不应当设定个人信息的规则,个人信息领域也不应当对数据安全作出新的行为规范。由于个人数据兼具数据与个人信息的属性,如何界定个人数据的性质成为关键问题。除《数据二十条》外,其他类似高层级法律文件尚未使用个人数据概念,《数据二十条》使用的也是“个人信息数据”,虽然与个人数据并无实质差异,但是也可能让非专业人员产生误解。如果认为个人数据等同于个人信息,作为个人信息保护的法律客体,那么个人数据应当适用个人信息相关的规范,实现的是自然人主体的人格权益的静态保护,这种观点忽视了数据在开发利用时的集合性特征,只是简单将数据理解为信息的载体,忽略了基于数据安全意义上的集合概念特征。
数据和个人信息概念的混淆,会影响数据与个人信息规则的合理安排:第一,产生权利设定偏差,即个人信息权益和数据怎样赋权的问题。只有在法律文本中对二者进行适当的分类,才能解决信息时代数据赋权和数据规制的混乱状态。上位法中的概念模糊和导向的偏离导致我国各地方关于数据的立法无法发挥应有的作用,致使政府管理权能与企业发展需求不匹配,难以满足地方数字产业创新发展需求。例如,通过分析各个省(区、市)的数据立法发现,仅上海、深圳等市的数据立法明确定义了数据的概念,多数地方性数据规则只能在此方面进行模糊处理,致使在规则实施上的困难。第二,影响后续的数据种类分类,难以厘清个人信息、原始数据、衍生数据、大数据产品、数据产品包含信息内容之间的逻辑关系。第三,为数据权益主体的认定带来障碍。在数据权益设定中,产生了“数据来源者权益”这一权益类型,在个人信息领域,这一权益实质就是个人信息权益。在数据权益中混杂了个人信息权益,成为导致当前数据权益难以规则化的重要原因。
在个人信息与个人数据的关系上,《数据二十条》提供了更合理的表述:将个人数据表述为“个人信息数据”,即“承载个人信息的数据”。尽管在规则要求上提出对于个人数据的处理要规范个人信息处理活动,不得采取“一揽子授权”,但是对于个人数据与个人信息的概念仍采取了相互独立表述。作为政策性文件,其要求在数据处理当中遵守个人信息保护规范,是对各相关主体遵守法律法规的政策性表述,而不是作为一种法律规范来表述一种法律关系,其妥当性无可厚非。
《条例》作为行政法规,将个人信息保护作为网络数据安全的内容进行规范,而且明确将《网络安全法》《数据安全法》《个人信息保护法》并列为立法依据,可以理解为一种作为权宜之计的混合式立法方式,但不应因此将个人信息保护与数据安全归属于同一法律关系,未来随着我国数据法治的不断完善,应当呈现出更加科学合理的规则体系设计。
2.数据与网络数据。如果说个人信息与数据的存在交叉关系的话,“网络数据”一词使这一关系更加复杂。从文意的角度来看,数据当然包括网络数据。“网络数据”是一个法定概念。《网络安全法》第七十六条第一款第(四)项规定:网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。《条例》对网络数据采用了类似的表述。虽然在形式上与《网络安全法》的立法依据相一致,但是,在法律关系上,“网络数据”这一概念与《条例》立法目的中的表述似乎并不完全一致:与《条例》中个人信息保护的逻辑相似,对于网络安全,《条例》也没有将其作为立法目的,《条例》只能被看作《数据安全法》的实施法,不是直接作为《网络安全法》和《个人信息保护法》的实施法,《个人信息保护法》和《网络安全法》仅仅在相关联的意义上对于数据安全的细化规则发挥协调性的作用。或者说,《条例》中的个人信息保护与网络安全的内容,是为服务于数据安全的立法目的而制定的规则。在《网络安全法》《数据安全法》共存的情况下,这样的表述可能造成网络安全与数据安全的混淆,将网络安全、个人信息保护与数据安全混同为同一法律关系。尽管网络安全、个人信息保护与数据安全在特定情况下确实有混合现象,但是它们属于不同的法律关系。从根本上讲,不同的客体应当对应着不同的行为规则,以及不同的民事、行政、刑事法律后果。
从理论的角度来看,“网络数据”作为数据安全法中数据的属概念,将数据安全聚焦于网络上的电子数据,更加契合了数据安全的实践需要,也符合《条例》作为《数据安全法》下位法的定位。但是从立法体例一致性的角度来看,下位法关于数据概念的表述与《数据安全法》保持一致更加重要,使用“数据”概念更为妥当。主要理由是:第一,区分网络数据与数据不能实现区分法律适用效果的意义。《数据安全法》中的数据概念尽管包含了“电子方式”和“其他任何方式”两种信息的记录方式,但是在当前社会发展的阶段,电子方式的数据无疑是数据的主要存在方式,在数据安全领域几乎是唯一方式。虽然电子数据在范围上大于网络数据(存在非网络电子数据,如不连网计算机数据),但是《条例》并没有排除对非网络电子数据的适用。《条例》作为《数据安全法》的实施性法规,应当在调整对象上保持一致。第二,使用“网络数据”概念不能体现《条例》与《网络安全法》的上下位对应关系。虽然“网络数据”包含了“网络”一词,但是并不能改变数据与网络的区分性。网络安全与数据安全尽管可能有所交叉,但毕竟不是同一法律关系,网络数据安全不应当成为网络安全的下位概念。网络安全偏重于技术安全,以“网络运行安全”为核心制度,有“关键信息基础设施”“技术等级要求”具体规范,以“安全”为主要价值取向。数据安全则以数据处理活动为主要规范对象,以“数据安全制度”“数据安全保护义务”“政务数据安全与开放”为主要内容,以“安全与开发利用的均衡”为主要价值取向。尽管二者在技术规则上一定的交叉,但是客体的不同决定了二者只能是相互协调关系,而不是包含或者替代关系。第三,从全民守法的角度来看,社会公众对于法律概念更需要简洁、直白、避免起义的表述方式,减少相似概念的使用,可以使社会公众更容易理解并遵守法律,避免因对法律概念的误解而付出不必要的守法成本,有利于提升法律的实施效果。
3.数据处理者与个人信息处理者。《个人信息保护法》引入了新的法律关系主体概念,即个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。《数据安全法》虽然没有规定数据处理者的概念,但是“数据处理者”出现在其条文当中。在《个人信息保护法》与《数据安全法》的层面,数据处理者与个人信息处理者应当是并列的概念。《条例》则明确规定网络数据处理者是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。“网络数据处理者”与“个人信息处理者”概念的表述方式相似,差别主要在于处理对象不同,它们分别处理网络数据和个人信息,其行为规则也本应因此各成体系。《条例》规定了网络数据处理者处理个人信息的行为规范,从《条例》的制定依据来看,《个人信息保护法》是《条例》的立法依据之一,因此应当将网络数据处理者做更宽泛的理解,将个人信息处理者包括进去,至少二者具有交叉关系,否则难以与《条例》相关规则相协调。但是这样又容易引起网络数据处理者与数据处理者概念的不一致:前者作为属概念包含了对个人信息的处理;后者作为种概念与个人信息处理者相并列。
从法律适用的角度看,无论是《个人信息保护法》与《数据安全法》,还是《条例》,其相关规定不仅在行政管理或者私法的角度发挥作用,还可能在司法实践中被作为相关刑法条款适用的前置法,如果不能准确地将行为主体与行为的内容对应起来,则可能引发刑事法律责任与行为主体的错位。比如,侵犯公民个人信息罪的主体只能是处理个人信息的主体,如果要求数据处理者遵守个人信息处理的规则,可能将数据处理者引入到侵犯公民个人信息罪的犯罪主体范围之中。数字时代处理个人信息的数量往往具有大规模的特征,数据处理者处理个人信息的数量往往以万、百万甚至数以亿计。如果要求数据处理者向个人逐一履行“告知——同意”义务,不仅将加重个人信息处理活动的社会成本,还可能不当地扩大侵犯公民个人信息罪的主体范围,不符合侵犯公民个人信息罪的立法本意。从效果上看,这可能造就一种不合理的数据处理行为合法性(甚至是否构成犯罪)的标准,将成为数字经济发展的制度性障碍,不利于发展人工智能等数字技术的发展,不利于我国在当前国际数字经济竞争中占据先机。
从法律规范的性质看,如果网络数据处理者同时被视为个人信息处理的主体,从规范性质层面会导致公法与私法界限不明。个人信息进入个人信息处理领域时天然已经存在受法律保护的民事权益,不属于维护公共利益并促进数据流动的“公共物品”,个人信息权益的实现依赖于私法保护。数据安全保护义务则是具备公法属性,网络数据处理行为需要遵循公法规则。如果对其不加以区分,网络数据处理者可能面临既要履行个人信息处理者的告知义务,又要履行作为数据处理者的风险评估义务。将两者都归入数据安全规则体系中,会产生规则逻辑的自相矛盾。并且从数据处理和个人信息处理的目标来看,前者重视数据流通环节实现共享共用,关注算法运用后的如何将数据有效利用;后者要求处理行为应当遵循合法性基础,强调处理者基于最小必要原则避免权益受到侵害。《个人信息保护法》(一次审议稿)第1条曾仿照数据安全的模式,将“保障个人信息依法有序自由流动”作为立法目的,后续二次审议稿中删除并改为对个人信息权益的保护。这说明,数据安全与个人信息保护具有显著差异。根据《个人信息保护法》,个人信息处理不仅应坚持“合法、正当、必要原则”,还应遵守诚信原则、目的限制原则、最小必要原则、公开透明原则、信息质量原则等个人信息保护原则。然而《数据安全法》第32条仅规定数据收集的“合法、正当”原则。显然,个人信息保护上的“必要”原则以及诚信原则、目的限制原则、最小必要原则、公开透明原则、信息质量原则等对于数据安全而言是不适用的。这反映了立法者意识到个人信息处理与数据处理价值取向的不同,应当构建分别符合个人信息保护与数据安全的不同维度、不同对象、不同规制方法的法律框架。数据安全和个人信息保护的法律规则的不同性质,不仅体现在个人信息与数据的法律属性差异,而且进一步表明个人信息和数据的规范起点、保护原则、保护机制、处罚措施均不相同。这种基于法律规范性质而产生的多方面规则分立的需求应受到重视并在下位法的立法实践中得以体现。
五、数据安全与个人信息保护规则中的制度交叉
数据安全与个人信息保护规则在现有立法实践中的制度交叉,一方面表现为对数据安全适用个人信息的基本处理规则,如告知同意规则;另一方面表现为《数据安全法》与《个人信息保护法》的规则竞合。前者的问题在上文中已经进行分析。后者的交叉主要表现在两个重要制度上:一是数据分类分级保护制度;二是数据跨境流动制度。在这两个制度中,个人信息被视为重要数据,或者与重要数据同等适用数据处理的相关规则。这两个制度在制度竞合的逻辑上具有相似性。
(一)个人信息与重要数据之间的多重关系
在数据分类分级制度的体系层面,我国已经初步形成了重要数据和个人信息的混合规制结构。《网络安全法》中首次提及重要数据,第21条要求对重要数据进行备份,第37条规定了关键信息基础设施运营者对“在境内运营中收集和产生的个人信息和重要数据”的出境安全评估义务,重要数据因此成为数据跨境制度中的评估对象。随着《数据安全法》的出台,重要数据不再局限于跨境的场景,而是发展为独立的数据分类分级制度的核心内容。《数据安全法》明确了处理重要数据的具体义务,在法律适用层面,规定关键信息基础设施者收集和产生的重要数据需要遵守《网络安全法》的规定,对于其他数据处理者则是依据《数据跨境安全评估办法》的要求。《个人信息保护法》则规定了一定标准之上数量的个人信息跨境提供的规则。2024年9月出台的《条例》再次佐证“个人信息保护”和“重要数据安全”的混合治理模式。
重要数据是数据的一个下位概念,是数据分类中的重要类别,也是数据跨境流动制度的前提性概念,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据跨境安全评估。在信息与数据作为上位概念且其关系不清晰的情况下,个人信息与重要数据的关系在当前的法律法规及政策性文件中,也表现出多重状态:有时将个人信息作与重要数据作为并列的规范对象,比如《促进和规范数据跨境流动规定》中多处将个人信息与重要数据进行并列表述;有时将1000万人以上个人信息作为重要数据对待,比如,《条例》第二十八条规定,网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定;有时将个人信息与重要数据刻意区分,比如《条例》第五条第二款明确规定“前款所称向境外提供的个人信息,不包括重要数据”;有时对个人信息按照来源者数量分别视为个人信息与重要数据,比如《促进和规范数据跨境流动规定》要求关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息,应当向国家网信部门申报数据跨境安全评估,而对于前值以下的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。在法律责任上也存在将个人信息保护和重要数据安全进行混同性处理的情况。
判断重要数据以影响国家安全、经济运行、社会稳定、公共健康和安全的程度为参考因素;个人信息则是以信息内容为标准,分为敏感个人信息与一般个人信息,按照《数据安全技术数据分类分级规则》,具体分为“个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康医疗信息、个人教育工作信息、个人财产信息、身份鉴别信息”等。虽然个人信息因“识别性”而具有广泛性与不确定性,但是其与数据在自身的分类标准上还是明显不同的。总体来看,无论在数据分类分级制度中单独规定个人信息,还是把个人信息作为重要数据进行处理,均可能导致个人信息保护制度与重要数据制度的混合,这在规则表面上似乎是统一的,但实际上会造成法律规则适用的割裂,也会带来对于个人信息保护与数据安全规则适用上的难题:当处理的个人信息数量达到一定程度时,是按照《个人信息保护法》,还是按照数据安全的相关规则来履行相关的安全义务或者承担责任。而且,由于个人信息保护与数据安全分别处于私法与公法的领域,很难使用规则竞合的方法来解决该问题。
(二)避免个人信息保护与重要数据安全的规则交叉
个人信息保护与数据安全作为两种不同的法律行为,其规则当然可以并且应当并行;对于信息及信息的载体数据分别进行规范,所形成的规则竞合是正常的。需要避免的是把个人信息和数据作为相同的法律规范对象所产生的制度交叉问题。在数据分类分级保护制度和数据跨境流动制度中,应当尽可能避免出现个人信息保护与重要数据安全的规则交叉现象。
一方面,将一定数量作为个人信息与重要数据适用相同处理规则的条件不具有充分合理性。当前的普遍做法是:当个人信息数量大于一定程度时,比如1000万人的个人信息,则按照重要数据进行处理,当数量比较小时则降低安全保护的等级。其不合理性体现在:一方面,个人信息的数量与重要性没有必然的联系,从重要数据的判断标准——“可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”来讲,1000万以上普通行业人员的个人信息的重要性,有时可能赶不上某些敏感行业1万人的个人信息的重要性。另一方面,即使个人信息的重要性与数量有关系,也不能仅仅看人的数量,更要看信息本身的性质与价值。比如,对判断重要数据来讲,个人信息中的性别信息的价值可能远远小于健康、网络识别信息。更重要的是,我国对于个人信息采取了人格权益的基本定位,如果按照人的数量来决定个人信息权益保护制度权重的话,则难以避免落入“人的数量决定权益的高低”的“电车困境”。另外,还存在个人信息数量如何计算的难题,是按以人为单位还是以信息本身为单位?这涉及到个人信息概念的不确定问题,个人信息概念之所以不确定,是因为个人信息高度依赖场景,因个人信息识别目标、识别主体、识别概率、识别风险的不同而不同。而单纯的个人信息数量确定方法,恰恰会存在场景缺失的问题,可能导致个人信息的数量无法确切计算。
另一方面,将一定数量作为个人信息与重要数据适用相同处理规则的条件,与个人信息保护的相关规定存在冲突。以数量为前提来决定个人信息与重要数据的同等处理规则,与个人信息保护法对于个人信息的人格权基本定位难以协调。在网络平台处理个人信息时,一般都会对于个人信息来源者进行告知并征求同意。在该规则得以落实的前提下,另外对于个人信息以数量为前提进行数据安全的管控,从而按照数据安全的规则进行处理,会产生规则混合问题。当数据来源者为个人时,应首先适用个人信息保护相关制度。本来是基于不同的行为对象,但是由于违反个人信息保护的法律责任形式涵盖了数据安全的违法责任形式,而且提供了更加严重的法律责任,导致按照数据安全进行处理失去实质性意义。另外,以数量作为标准来判断个人信息作为重要数据进行出境安全评估,还存在个人信息数量的计算方式问题:如果以数据处理者的主体身份来判断,显然不符合数据安全的需求;如果以个人信息数量的累计为判断标准,虽然是一种优化了的方案,但是也存在将标准之内与标准之外的个人信息进行区别对待的问题。从根本上看,这种以数量为标准来判断个人信息是否受到数据安全规制的方法,与个人信息的“告知同意”基本规则在底层逻辑上是不一致的。对于告知同意规则下的个人信息出境,应当受到数据安全规则的控制,因为当数量达到一定程度时,个人信息可能涉及到社会公共安全问题,已经超出了个人信息权益的支配范围。但是,此时对个人信息作为“重要数据”应当从数据相关性的角度进行管控,而不是从个人信息的数量进行管控。
另外,还要妥当处理个人信息分类与数据分类之间的关系。数字经济下,个人信息涉及的权益主体和利益范围极为广泛,并且由于个人信息的多元利益属性导致个人信息分级立法的规制存在局限。在制度设计上,必须兼顾不同利益主体的需求冲突和公民权利的保障。随着数字技术与产业服务的不断发展,与之相关的个人数据法律问题也将变得更加复杂。因此,在数据分类分级制度框架下,除了保障重要数据安全和个人信息保护协同发展外,还要厘清个人信息保护的核心在于对信息主体权益的保护。根据《民法典》《个人信息保护法》《敏感个人信息识别指南》等法律文件,个人信息可以分为一般个人信息和敏感个人信息,在此基础上按照个人信息权益的重要程度不同进行区分,对于敏感信息,可以按敏感程度进行进一步划分,例如最重要的层级应包括个人隐私信息、生物识别信息等。由个人信息组成的数据,在被作为重要数据处理时,当然也应当尊重个人信息本身的分类。当前对于个人信息的数据进行处理时的分类也在一定程度上体现出了个人信息与敏感个人信息的区别,比如《规定》对于数据出境安全评估的条件上将100万人以上个人信息(不含敏感个人信息)与1万人以上敏感个人信息同等对待,但是这种数字对应关系很难从数学上证成,也难以适用于其他场景。
(三)数据跨境流动制度与个人信息保护制度的协调
在当前全球化的数字环境中,我国通过一系列法律法规构建了基本的数据跨境流动体系。《网络安全法》《数据安全法》和《个人信息保护法》共同构成了这一领域的基础法律框架,为细化制度落实,我国还陆续出台了《数据跨境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等规范性文件,旨在确保数据在跨境流通过程中的安全性。数据跨境流动指的是存在于一个国家境内的电子形式的信息记录被他国境内的公权力机关或私的主体访问、储存、处理的过程。《数据安全法》第11条基于《网络安全法》第12条规定“网络信息依法有序自由流动”的内容上,明确了数据跨境“安全、自由流动”的基本原则,进一步深化数据安全的目标,凸显数据跨境制度应在总体国家安全观的框架下进行。《个人信息保护法》设立专章对“个人信息跨境”进行规范,该法第38条确立了安全评估、个人信息保护认证和标准合同三大规则。其中,安全评估是个人信息跨境的重要前置程序之一,要求个人信息处理者在将个人信息转移至境外前,必须对其出境活动进行全面的风险评估,并提交给国家网信部门进行审核。需要指出的是,当前关于个人信息跨境提供规则,既有个人信息保护的性质,也有数据安全规则的要求,是个人信息保护与数据安全规则的混合体。
但是,个人信息跨境安全评估与数据跨境安全评估不应当属于同一规则体系。数据跨境安全评估强调事前的风险防范,个人信息保护认证侧重信息处理者的长期保护能力的认证和体系构建,签订标准合同能保障数据在境外法律与我国法律存在差异的客观现实下实现安全可控。然而,个人信息跨境制度与数据安全内容交叉重叠,不利于跨国企业内部数据的流动和整合,企业不得不面临着“双向合规”的困境。通过比较可以发现,个人信息跨境安全评估与数据跨境安全评估不应当属于同一规则体系,主要表现为:
1.个人信息跨境提供规则与数据跨境安全规则的规范对象不同。在《规定》中,数据跨境安全管理不适用于所有数据,只限于重要数据和个人信息,这里的重要数据是针对国家而言,而不是针对企业和个人。《个人信息保护法》第三章规定了安全评估、标准合同、认证规则的个人信息跨境提供规则。该规则体现了个人信息的基本属性,为个人信息跨境的独有规则,不适用于一般的数据跨境安全评估。《条例》第35条扩大了个人信息跨境提供的范围,但是在审查对象上仍存在混淆:对于个人信息到底是作为数据进行安全进行审查,还是作为个人信息对其具体内容进行审查?如果是进行数据安全进行审查的话,单个人的个人信息显然不足以构成公共安全意义上的重要数据;如果是进行个人信息审查的话,那么安全评估与个人信息的“告知同意”规则难以协调。
2.个人信息跨境提供与数据跨境的评估标准不同。个人信息具有明显的个人人格性权益,它不仅在相关性上与其他数据在进行安全评估时使用的方法不同,更重要的是它是基于个人告知同意规则基础之上产生的是否适用于跨境提供的妥当性评估,具有明显的个人权益性特征;而且要求“个人信息处理者应当采取必要措施,保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准”。《个人信息保护法》第40条规定的需要经国家网信部门组织的安全评估的个人信息包括两种:一种是关键信息基础设施运营者向境外提供的个人信息,一种是达到国家网信部门规定数量的个人信息。这两种需要评估的个人信息,均是以其自身内容的重要性作为评估的条件,决定了评估标准在于信息内容的重要性。而数据跨境的评估标准,必须以属于重要数据为前提。但是,自《数据安全法》实施以来,我国只有工业和信息化部印发了《工业和信息化领域数据安全管理办法(试行)》,规定了重要数据的条件构成。其他各行业尚未出台关于重要数据的认定标准,甚至连司法数据是否属于重要数据也缺乏明确规定。因此,在数据跨境评估规则自身尚不完善的情况下,将个人信息跨境提供与数据跨境的规则混合起来,在实践中必然带来评估标准与程序上的困惑。
3.个人信息跨境提供与数据跨境的申请评估主体不同。从法律适用的主体上,《数据安全法》对应的是数据处理者或者网络数据处理者,《个人信息保护法》对应的是个人信息处理者。对于包含个人信息的数据而言,可能既存在个人信息处理者,也存在数据处理者。如果个人信息跨境提供与数据跨境的规则边界不清晰,则可能导致包含个人信息的数据在进行跨境流动时,发生申请主体与评估内容不对应的窘境:数据处理者申请评估个人信息安全,或者个人信息处理者申请评估数据安全,或者均要同时申请评估个人信息安全与数据安全。现有规则大都强调数据处理者应当申请评估个人信息安全,这可能不适当地限缩了数据跨境相关法律责任条款的适用。毕竟没有法律规定个人信息安全评估等同于数据安全评估。
因此,对于个人信息跨境应当制定与数据跨境相独立的规则与法律责任,才能满足个人信息保护的实际需要。从与数据跨境比较的角度而言,个人信息跨境规则体系提供应当包括三个方面的规则:一是个人信息作为数据时所应当遵循的评估规则,适用重要数据跨境提供的一般性规则;二是一定数量的个人信息跨境提供规则,虽然达到一定数量,但是不意味着个人信息在性质上变成了“数据”,按照《个人信息保护法》规定的“安全评估”“保护认证”“标准合同”的相关规则进行跨境提供;三是具体个人信息的“告知同意”规则,应当依法将个人信息跨境提供的相关信息告诉个人,并取得个人的单独同意。上述三个方面的规则,分别对应着相应的法律责任,形成清晰的、有别于数据安全规则的个人信息跨境提供法律规则体系。
结论
个人信息保护的法律责任以知情同意原则和个人信息权益保护为核心,本质是私法领域的救济体系。数据安全法以数据安全保护义务为立法根基,维护更广泛的公共利益,具有强烈的公法性质。由个人信息汇聚而成的个人数据也需要从数据安全的角度予以规制,但是个人数据的安全规则应当明确限定于数据而非信息的客体之上。《数据安全法》和《个人信息保护法》为两者的区分提供了规范基础,分别针对载体层的数据和内容层的信息,为下位法提供了规则体系的分野界限,构建了不同的法律保护模式和效果,二者的下位法规则不应相互混合。随着数据交易和个人信息保护问题日益复杂化,提升法律适用的精准性愈加重要。从法理上讲,法律适用不仅仅是将法律规定应用于具体案件的过程,更是一个需要综合考虑多种因素的价值判断过程。因此,构建调整对象清晰、逻辑严密且责任明确的个人信息保护与数据安全规则体系显得尤为重要。
《条例》对个人信息保护、数据跨境流动、数据分类分级等规则进行了细化,虽然存在将个人信息保护与数据安全规则混同的问题,但是本文并不主张基于个人信息和数据的区分而建议对《条例》等相关行政法规进行修改,因为这是我国数据法治发展过程中的规则体系化问题,会随着数字社会的发展呈现出不断变化的状态,不可能也不应该通过一部行政法规的修改而实现整体性的完善。在关于个人信息安全、数据安全和网络安全的基本法律存在概念交织的情况下,需要在整体上重新梳理我国在该领域的社会经济生活基础与治理规则的基本关系。当前《网络安全法》正处于修订过程之中,趁此机会对于该法所涉及的网络、个人信息以及数据的多重法律客体进行边界厘定,具有一定的正本清源意义。至于数据法治规则体系的发展完善,需要根据数字社会发展的实际情况逐步实施。在当前情况下,为避免这种规则混杂带来法律适用上的混乱,可以加强法解释学的应用,在不轻易修改法律的前提下满足执法或者司法活动对于法律规则的确定性要求。当然,在科学立法的目标下,我们应当不断总结执法和司法实践经验,结合数字经济的实际发展状况,在未来适时对于我国个人信息保护和数据安全的规则做出更加合理的安排,建立更加科学的数据安全与个人信息保护规则体系。
