在全球范围内,利用大数据促进经济发展、完善社会治理、提高最佳服务和监管能力已成为一种趋势,数据已迅速融入生产、流通、消费和社会服务管理等环节,深刻改变着人们的生产方式、生活方式和社会治理,成为生产的基本要素和推动创新的重要杠杆。
大数据时代的挑战
数据作为基本生产要素,具有非排他性和非排他性,可以被不同的主体使用和共享。 根据梅特卡夫定律,网络的价值与网络中节点数的平方成正比,网络中的节点数呈线性增长,而节点数增加产生的连接数(网络值)呈指数增长。 这说明,接入网络的主体越多,可以被更多主体使用的数据就越多,数据的网络效应越大,能创造的社会价值就越大。 这是大数据时代数字经济快速发展和数据驱动创新的内在奥秘。
一方面,以ChatGPT为代表的大模型的出现,对数据、算法和算力提出了更高的要求,大数据的应用为通用人工智能技术的突破开辟了广阔的前景。 从社会治理角度看,数据的有效收集和利用,为国家治理体系和治理能力的现代化奠定了坚实的基础,推动了治理体系的深刻变革。 《中国共产党关于构建数据基础体系更好地发挥数据要素作用的意见》(以下简称《意见》)明确提出,“建设数据基础设施体系事关国家发展和安全大局”。
另一方面,大数据是容量大、类型多、访问速度快、应用价值高的数据集合,其中最有价值的是个人信息。 通过对大量不同多样的数据进行采集、存储和关联分析,可以发现新知识,创造新价值,为用户提供个性化服务。 在大数据时代,随着数据的价值和作用日益凸显,个人信息在安全防护方面面临着越来越多的挑战。 国内外大量案例表明,非法收集和滥用个人信息直接关系到个人的声誉、生活的安宁,甚至生命财产的安全。 个人信息侵权通常具有侵权对象范围广、危害链长、违法行为界限模糊、维权和执法成本高等特点,使得个人信息保护更加困难。 海量个人信息构成了大数据的基础。 侵犯个人信息不仅侵犯了个人权益,还给经济安全、社会和公共利益带来了各种延伸性、全面的挑战。 如果个人信息得不到有效保护,势必会动摇大数据的根基。 但是,如果以信息安全和保护的名义阻碍数据的正常流动和利用,必然会造成碎片化的“数据孤岛”,也不利于个人权益和公共利益的实现。
大数据时代的个人信息保护不仅关系到网络和信息安全,也直接制约了数据的有效使用和共享。 处理得当,可以达到双赢或双赢的局面; 如果处理不好,就可能以牺牲另一方为代价而忽视一方,难以兼顾安全与发展,甚至陷入既不安全又发展的双输局面。 大数据时代的个人信息保护是一个综合性、多项选择题。 在有效保护个人信息的基础上,促进数据的使用和共享,是大数据时代的必然要求。 《意见》明确提出,“在维护国家数据安全、保护个人信息和商业秘密、促进数据合规高效流通使用、赋能实体经济的前提下,构建基础数据体系是大数据时代个人信息保护的基本指导原则。
更好地发挥法治在夯实基础、稳定预期、长远利好方面的重要作用
法治兴国,法治强国,法治强国。为了有效保护个人信息,近年来,我国对个人信息保护的规律性有了越来越深刻的认识,制度设计也越来越完善,在《中华人民共和国刑法修正案(七)》、《中华人民共和国消费者权益保护》中, 《中华人民共和国网络安全法》、《中华人民共和国民法典》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护》、《中华人民共和国个人信息保护法》以下简称《中华人民共和国反电信网络欺诈法》等重要立法均已制定个人信息保护的相关制度。例如,在基本框架、立法目的、适用范围、核心概念、基本原则、例外安排、法律责任等方面,构建了以“告知同意”为核心的一系列个人信息处理规则,并在国内首次建立了系统的个人信息保护法律体系。 同时,个人信息保护充分尊重大数据规律,在系统加强个人信息保护的同时,通过多种系统设计,为大数据的使用和共享提供合法合规的渠道。 例如,除个人同意机制外,明确个人信息处理的其他合法依据,为数据处理活动提供更多合法渠道; 引入个人信息去标识化、匿名化机制,为个人信息处理者通过管理或技术手段实现个人信息分类分级处理提供法律保障; 明确要求“针对小型个人信息处理者、敏感个人信息处理、人脸识别、人工智能等新技术和应用制定专门的个人信息保护规则和标准”,降低初创企业和小企业的数据处理合规成本; 在合规审计和个人信息保护影响评估体系的设计中,赋予个人信息处理者更多的自主决策权,既避免了检测认证等传统手段可能带来的负面影响,又实现了注重自律、自律与其他学科相结合的管理方法的创新。
《中华人民共和国个人信息保护**》将于2021年11月1日起施行。
我国个人信息保护制度和规范体系的建立来之不易,既体现了时代特点,又体现了时代规律。 在大数据时代推动个人信息保护,要坚持全面依法治国的基本原则,运用法治思维和方法,推动个人信息保护法各项条款的有效实施。 一是要提高行政执法能力和水平,加大执法力度,通过落实建立法治权威。 其次,在行政执法工作中,要在存在法律空白的领域掌握大数据时代的基本规律,提高执法和司法的主动性,避免法律形式主义和机械执法,实现法律效力与社会效益的统一。 三是要加强法律解释和实施细则的制定,尽快填补法律空白,明确执法行为规范,规范执法自由裁量权,提高执法可预测性,增强市场主体信心。 第四,对于一些已证明不利于促进数据合规高效流通和使用的现行法律规定,特别是那些阻碍互操作的法律规定,应按照《数字中国建设总体布局方案》的规定,及时按照程序调整不适合数字化发展的法律制度。 只有加大力度推进相关法律的制定、改革、废止和解释(包括制定公开公共数据法规),才能进一步明确数据开发利用与个人信息保护的界限,为大数据的开发利用奠定法律基础,进而更好地推动个人信息保护相关法律的实施。
推动个人信息处理者积极履行法律责任
个人信息处理者是个人信息保护的第一责任人,有责任履行各项法律义务。 在大数据时代,由于数据可以带来巨大的收益,而个人信息保护的合规成本由信息处理者承担,因此信息处理者有很强的使用动机,但缺乏同等程度的保护激励。 随着数据的价值越来越明显,信息处理者使用数据的激励将越来越强烈,激励失衡将越来越突出,法律实施中遇到的挑战也将越来越明显。 如果无法根据情况调动信息处理者内在的守法激励,而简单地实施各种禁止或强制性规定,可能会因激励不相容而影响法律的有效实施,还可能导致执法成本高、义务主体冲突、执法效果不佳等连锁问题。 对执法机构、体育执法和选择性执法的损害。为此,要借鉴国际社会近年来的经验和国内龙头企业的有益探索,以培育信息处理者内部治理机制为目标,将个人信息保护要求嵌入到整体信息安全防范体系中,实现法律规范的外部要求与内部需求和激励措施的对接信息处理者,从而实现双赢,既保护个人信息安全,又加强信息处理者的安全和预防能力。
首先,要摆脱传统单纯技术路径对运营安全和系统安全的依赖,适应大数据时代的特点,树立数据安全理念,视数据为核心资产,树立用户个人信息至上的基本价值,培养保护个人信息就是维护核心竞争力的认识, 并积极承担个人信息保护的责任。其次,鼓励和督促信息处理者按照个人信息保护的要求完善内部治理结构,包括指定个人信息保护负责人,负责监督个人信息处理活动和采取的保护措施,依法进行合规审计和个人信息保护影响评估; 设立由外部成员组成的独立机构,对符合“把关人”标准的信息处理者对个人信息的保护进行监督。个人信息保护负责人应当独立履行职责,享有工作保障,并直接对本单位最高管理层负责,以便最高决策层能够直接干预个人信息保护问题。 只有这样,我们才能从组织体系中将个人信息保护与信息安全管理融为一体,将安全管理与业务发展融为一体。 第三,要改变合规与业务流程设计分离、合规上讨论合规的传统做法,从业务流程设计之初就将个人信息保护要求嵌入到产品和服务中,体现隐私设计、合规开发理念,实现个人信息保护行为模式的转变,覆盖全流程、连接个人信息保护。整个业务。最后,鼓励信息处理者积极采用科技手段,提升网络和数据安全保护水平,探索如何通过多方安全计算、联邦学习、可信执行环境等隐私保护计算技术,以及去标识化和匿名化等方式,更好地实现大数据时代的个人信息保护。
构建个人信息保护的社会共治模式
在大数据时代,个人信息保护必须依靠多个主体的共同参与,运用多种不同手段,推动社会共治格局的形成。 要实现大数据使用与个人信息保护的协同发展,需要充分调动信息主体的积极性,构建个人、信息处理者、执法者之间的多维度治理结构。 没有信息主体的参与和完整治理结构的支持,就很难实现激励相容的结果,大数据的发展和个人信息的保护也无法实现持久的平衡。 个人信息保护全面规定了个人信息处理的知情权和决定权,包括访问权、复制权、数据可移植权、更正权、删除权、解释权、诉讼权等,为个人保护个人信息权益提供了多种手段, 使个人真正参与到个人信息的保护中来。在实践中,要调动个人参与个人信息保护的积极性,针对不同权利和场景,从易到难,形成有效的治理结构。
我国个人信息保护具有鲜明的公法与私法相结合的制度设计特点,既借鉴了国际经验,又体现了自身特点。 我国整体制度设计强调“预防”与“惩戒”相结合,加强个人信息保护宣传教育,推动形成企业、相关社会组织、公众参与个人信息保护的良好环境。 在实践中,要探索行业自律、社会监督、监督、公益诉讼、国际合作、多方参与等不同机制的有效形式,形成社会共治合力。 《个人信息保护法》第七十条规定,“个人信息处理者违反本法规定处理个人信息,侵害大量个人权益的,人民检察院、法律规定的消费者组织、国家网信办认定的组织可以依法向人民法院提起诉讼”。 为社会组织发挥作用提供了法律渠道。特别是人民检察院作为公益诉讼主体,具有权威性、专业性、统一性等特点,不仅可以在很大程度上弥补部门分散履行个人信息保护职责的不足,而且可以强化公益诉讼机制,形成有效的社会共治格局。