■ 观察家·代表委员议政录

  

  合理恰当地运用隐身份技术,可以较好地实现个人隐私保护与信息利用之间的平衡。

  我国缺乏统一的个人信息保护立法,这方面的法规位阶低,大量分散在部门及地方各种规范性文件中。而我国现有法规又明确规定,个人信息不得交易。

  在此情况下,数据产业的发展面临诸多不确定因素。尤其是个人信息交易过程中可能涉及的隐私风险,成为许多数据从业者最为担忧的风险之一。如何在保护个人隐私的前提下,实现数据产业的快速发展,已经成为立法者亟须解决的问题。

  这也牵涉到“个人信息隐身份”。所谓的“个人信息隐身份”,就是指数据控制者将数据集中可识别个人身份的数据进行删除或者改变的过程。

  合理恰当地运用隐身份技术,可以较好地实现个人隐私保护与信息利用之间的平衡。但一旦隐身份技术被滥用,或者行业标准不一致,这项技术就难以实现应有的法律效果,甚至可能导致新的隐私风险,及至影响大数据产业的发展。

  鉴于此,将来我国个人信息保护专门立法中,亟须对“个人信息隐身份”制度进行规范。为此,我提出几点建议:

  首先,完善个人信息分类,将法律保护的个人信息限定为个人身份信息。为了充分发挥隐身份技术的作用,在将来立法中,应当完善个人信息分类,明确法律要保护的是“个人身份信息”而非广义上的“个人信息”。从概念上厘清二者的关系,才能兼顾个人信息保护与数据利用。

  其次,确立数据流通的隐身份原则,明确承认隐身份后的个人信息的可交易性。法律所要禁止的是针对身份信息的交易。个人信息隐身份,即不再包括个人身份信息,在不重新识别的情况下,一般不具有隐私的风险。在隐私风险得到有效控制的前提下,应承认个人信息隐身份具有可交易性。

  从外国立法来看,已经有部分国家承认,个人信息隐身份是个人信息利用之前提。在将来立法中,应当确立隐身份原则,明确隐身份是信息再利用和流通之前提,未经隐身份的个人信息禁止进入流通。

  再者,重点规制、管控个人身份再识别行为。规范个人身份的再识别,主要有两种途径:一方面,数据提供人可依据数据许可使用协议,约定数据使用人不得从事个人身份再识别行为,限制数据的使用和披露;另一方面,立法中应明确禁止数据使用人以任何目的从事身份再识别行为,并追究从事再识别行为主体的法律责任。在将来的个人信息专门立法中,应当以兼顾保护个人隐私和促进数据流通为目的,重点规制个人身份的再识别行为,禁止数据接收人、使用人以任何目的从事个人身份再识别。

  最后,倡导行业自律,促进相关业界自主制定关于隐身份的行业标准。建议在我国从出台专门立法之前,政府应当引导行业优先制定个人信息隐身份的行业标准,作为规范数据交易市场的重要准则。行业隐身份标准的统一,可在数据利用中降低明显的隐私风险,促进行业健康有序的发展。

  因此,应当鼓励不同行业,根据各自行业的特点,明确不同类型个人信息隐身份的水平,对数据流通的隐私风险进行评估,确保数据流通涉及的个人信息处理和服务,符合数据和隐私保护的要求,同时管控相关风险。

  □周汉民(民建中央副主席、上海市政协副主席、盘古智库学术委员会副主任)