高富平：处在十字路口的个人数据保护

华东政法大学数据法律研究中心主任高富平教授

【编者按】

2018年5月19日，由华东政法大学数据法律研究中心主办的“2018中国数据法律高峰论坛”在华东政法大学长宁校区举行。来自中国社会科学院法学研究所、中国信息通信研究院、上海交通大学等研究机构和蚂蚁金服、微软、腾讯等企业以及实务部门的80多位专家学者参加了本次论坛，共同就大数据时代数据应用的基础法律问题展开研讨。

在题为“处在十字路口的个人数据保护”的论坛主旨发言中，华东政法大学数据法律研究中心主任高富平教授指出，个人数据不完全属于个人，个人不能完全控制个人数据。关于个人信息（个人数据）保护，应当制定一部个人信息保护法，把个人信息流通利用的规则确立起来。最后，应当让个人信息为社会所利用，而不是让个人控制个人信息不让利用。

以下是高富平教授的发言稿，由本人改定。

我今天演讲的题目是“处在十字路口的个人数据保护”。先明确一下，这里对“个人信息”和“个人数据”这两个概念不做区分。

为什么要讲这样一个话题？

我自己认为，国际社会关于个人数据保护的基本原则和理念形成于上个世纪六七十年代，基本规则是在八十年代形成的。到了今天，我们都说进入了大数据时代，这些规则还能不能适用？所以我用了这题目，想给大家讲讲我在这方面的思考。

万物互联时代，数据成了核心资源

先稍微讲讲背景。我们所处的当今时代，是大数据的时代或者说是数据的时代。为什么会有这样的时代？我认为，网络的普及、传感器的普遍使用和各种智能设备，让我们的世界变成了万物互联的世界。我们的网络设备将我们的人、物、组织在时时刻刻的行为都记录下来，形成了一种新的社会资源，这就是data（数据）。

这样的社会是什么样的景象？我用三个关键词来表示：数据基础设施、人工智能、数据经济。

以互联网和各种网络应用为核心的信息基础设施每天都在不断地生产着海量的数据。今天我们说到的大数据和相关应用，实际上是对机器可识读的海量数据的场景化应用，这便是人工智能（AI），也就是智能分析。对数据的分析打开了我们认知世界、展望未来的全新途径，这样的智能分析将支撑整个社会的运行。这个社会被称为数据驱动的经济或数据经济。

这个社会和过去不一样的地方，是我们有了大量互联网、物联网和各种传感设备产生的数据，我们利用这些数据所进行的分析支撑了我们的决策。社会治理也好、商业营销也好，都是建立在对数据进行分析的基础之上。在这样的阶段，数据成了社会的核心资源。

我用三句话表述我对当今的数据时代的基本看法。第一，数据的利用秩序决定了社会的基本秩序，决定了社会的经济秩序、政治秩序；第二，数据的利用能力决定了企业的竞争力和国家的竞争力；第三，数据的安全决定了社会的安全、国家的安全。这也是我们为什么要搞这样一个研讨会的重要原因。

大家知道，大数据战略已成为我们的基本国家战略，数字经济也已成为社会发展的推进器。最近习总书记讲话再一次强调，要实现网络强国战略。在这样一个国家推进大数据发展、推动数字经济发展的时代，思考数据保护，以之构筑数据的利用秩序，就成为我们法律界人士的首要任务。

关于数据利用秩序的构建，我的一个基本看法是，要构筑一个从数据的来源者（包括生产者）到数据的使用者，也就是数据的收集、控制者，再到数据再利用者的不断循环重复的利用过程。那么如何构筑这样一个循环利用的秩序？

大家知道，任何一种社会活动或者经济活动都建立在资源利用的基础之上；而资源利用的基础就是权利，没有权利是没有办法构筑社会资源利用秩序的。所以，数据的利用秩序构成未来社会的基础、未来社会的基本秩序。而个人数据只是整个数据当中的一个部分，或者说是一个基础的部分。有关个人数据的整个法律架构，应该是为促进数据在整个社会中的流通利用的目标而努力。

个人数据不应完全由个人控制

基于这样的思考，关于个人数据保护，这里我提出以下三个问题。第一，到底什么是个人数据，个人数据应该是完全由个人控制，还是应该由社会控制？第二，个人数据的保护到底是具体的人格权，是私权利，还是应由公法调整的行为规范，是关于个人信息在适当场景下的流通规则？第三，拟议中的“个人数据保护法”到底应该是什么样的目标？

接下来回答这三个问题。

第一个问题，个人数据到底是不是完全由个人控制？要求个人数据完全由个人控制，这个观点很流行。个人数据好像属于个人的，为个人支配，这也是我们现在国内个人信息权很流行的原因，而且是主要的观点。

我的基本看法是，个人数据不完全属于个人，个人不能完全控制个人数据。基本理由如下。

首先，个人数据不是个人生产的，不是你自己的产物。

也许大家会反驳我，也许你会说，个人数据是我自己提供的。比如你要申请什么项目，就要填写各种个人基本信息。这些就是你能够提供、能够控制的个人信息，包括你的基本履历、个人的身份等方面的信息等等。在任何情况下，你都需要提供这一类信息。这是你能提供的。而大多数今天我们讨论的个人信息是机器产生的，是网络自动记录的，不论是记录在某个平台还是记录在各种设施中。

所以，个人信息，其实最重要的特点是，它是和你有关的。个人信息不完全是你提供的，也不完全是你创造的。用我们今天更流行的话来说，“个人信息是个生态”，是我们在社会中活动，自然形成的一个生态圈。它不由你单独创造，也不为你单独控制。

其次，个人不能完全控制个人数据，一个重要理由是，个人数据是社会交往的工具。这可以从两个方面来说。

第一个方面，你要走向社会，就要给自己起个名字，要有身份证，要有电话，要有各种各样的身份性的信息来标识自己，以区别于他人。这些身份性的信息，是一个人参加各种社会活动的很重要的内容。所以个人信息首先是个人走向社会的基本工具。

第二个方面，从社会的角度来说，如果有人要到我这里就职就业，我要招一个人，或者说我要找个男朋友、找个女朋友，或者是做任何社会交往，是不是首先要了解你？了解你是不是先要经过你的同意、搜集你的信息，才能了解你呢？你是不是有权利拒绝别人了解你呢？

一旦发生社会关系——我们讲的是发生社会关系；如果不发生关系，那你要搜集我的信息可能有问题——那么我觉得，你没法阻止别人了解你。我觉得，这个时候别人了解你，也是种权利，这是个社会规则，是个社会可以接受的规则。关键在于是哪些类型的信息，以及在什么样的目的下别人了解你是可以接受的。这方面大家要有个共识。

所以，我的基本观点是，个人信息本身是一种社会交往的工具，这种工具性决定了它的社会性，它不是个人可以完全控制的东西。而当个人信息为个人所决定的时候，这其实是违背社会运行的基本规则的，也和我们讲的个人信息的公共性和社会性的特点是相悖的。

应该确立个人信息流通利用的规则

第二个问题，关于个人信息如何保护，说完前面的，大家应该就能看到我的观点了。

《民法总则》出来以后，其中第一百一十一条引发了热烈的讨论：个人信息受保护，到底是什么意思？是不是保护具体的人格权？很多学者说，个人可以完全控制个人信息，个人信息由个人决定。我想对这个观点做分析。（《民法总则》第一百一十一条全文为：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”——编注）

关于个人信息，在《民法总则》2017年3月出台之前，2016年11月通过的《网络安全法》规定，搜集使用个人信息都要必须经过个人同意。个人同意规则成为收集使用个人信息一律要遵循的一般性规则。

这样的规则有什么样的结果？导致个人信息控制权的私权化。那么，个人信息控制权的私权化，最重要的后果是什么？是非经个人同意使用个人信息就是侵权。假如搜集个人信息的一般规则是必须经过个人同意的话，那我们很显然会得出一个结论：个人信息未经同意被搜集了，就是侵权。

但是请问，你那么多的个人信息被使用，你告过侵权吗？如果这个规则不能被接受的话，那么个人同意就不能成为个人信息收集使用一般规则，我们就不能赋予个人对个人信息使用的控制权 。

在我们国家还有一个问题：虽然不构成侵权，但也可以行政处罚，可以入刑。提供或接收五十条、五百条、五千条个人信息，甚至商业运用中，利用个人信息赚五万块钱都可以入刑。既然不能构成侵权，那为什么又能够构成犯罪呢？这是需要大家思考的问题，私权化会带来法律逻辑上出现悖论。 

个人数据维权其实很困难。刚才说了，非经个人同意搜集个人信息属于侵权，但实际上大家没有人维权，这样的案子非常少。但是泄漏个人信息呢？泄漏的案子也很难。

根据《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》（2014年6月通过），公开他人个人信息，造成损害的，应当承担侵权责任。但是我查了近三年有关个人信息泄露的案件共 12起，没有一个得到了法院的支持。也就是说，不仅未经同意使用个人信息没有成功的案例支持，个人信息泄漏得到法院支持的也没有。什么原因？就是个人维权太难了，要证明你的信息是不是他人泄漏的，是一件很困难的事情。而泄漏了是不是会有损失？要给出证明，也是一件很难的事情。所以这方面的个人维权，实质上是走不通的。

我们应该制定一部个人信息保护法，把个人信息流通利用的规则确立起来，数据使用者违反规则就构成违法行为，而当违法行为造成个人损害的时候，被损害者就应当获得民事救济。这走向了依据违法行为来确定，而不是绝对权的救济模式。我始终觉得，这样的保护模式可以进入到民法的话，它应该就是个一般人格权的保护模式。也就是说，保护的就是人格的尊严自由，这就是一般人格权所要提倡和保护的利益。这是对第二个问题的回答。

个人信息当为社会所用

第三个问题，拟议中的应该是“个人信息保护法”还是“个人信息利用法”？

我的基本观点是，个人信息保护法是要确立个人信息保护利用的规则，让个人信息为社会所利用，而不是让个人控制个人信息不让利用。基本的论证是：个人信息要平衡个人的权利和社会整体的利益。国际社会也一直是这样提倡的。

个人信息的使用就意味着流通。个人信息的使用就等于披露和流通，除非你不让人用，除非你想生活在鲁宾逊的孤岛上。刚才我已提出，个人信息是整个社会运行的要素，我觉得这个观点应该得到大家的支持。个人信息流通是常见的社会现象，不是特殊的事情，更不是要用法律禁止的事情。

所以个人信息规范的问题，主要是解决的如下问题：在什么情形下能搜集多少信息；怎么样使用；在使用的过程中能保存多少时间，是永久地保存，还是有删除的权利，等等。这些规范就是个人信息立法要解决的问题。所以，关于个人信息保护的基本规范，我觉得应该是对个人信息利用的规范，是有关个人信息流通利用的规则。个人信息保护需要新的理念，新的观念。

在这里也稍微讲讲GDPR，也就是欧盟制订的《统一数据保护条例》，将于2018年5月25日生效。我认为GDPR是建立在个人本位的基础之上，是以个人控制个人信息为基础，以个人主义为基础而构建的一套体系，没有考虑个人信息在社会中流通和使用的场景，更没有从大数据时代数据已经成为资源的角度来考虑问题。所以我认为，欧洲建立起来的这套规则其实是完全不适应我们这个时代需要的。

我们这个时代所需要的个人数据保护规则应该以社会本位，应该考虑到个人信息在社会中流通和使用的场景，在这样的场景下构筑、重构我们的个人数据保护规则。所以我认为，今天我们是处在一个十字路口，要重新抉择如何保护个人信息。