个人信息保护法 给数字经济开了怎样的绿灯

　　近期，《个人信息保护法（草案）》（以下简称“草案”）公开征求意见，这也回应了当前社会对个人信息使用和传输安全的关注。

　　毕竟，近两年来，包括网贷背后的个人信息非法获取、万豪用户数据泄露等事件，充分暴露了个人信息保护不足带来的风险。但另一方面，个人信息作为重要的数据要素，对于数字经济发展、社会治理提升又有重要作用。如何在尽可能规避风险的基础上挖掘个人信息价值，成为重要的课题。

　　那么，草案对于这个课题的解答如何呢？它为数字经济发展开了怎样的绿灯？

　　一、个人信息以保护为先

　　草案对于个人信息体现了严格保护的倾向，主要体现在以下三点。

　　一是明确了个人信息的权益属于个人。草案第二条即明确“自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益”。除了这一句宏观叙事，个人信息的权益属于个人，还具体体现在草案第十三条。这一条中，阐述了可以处理个人信息的几个情形，其中第一款就是“取得个人的同意”。由此，明确了个人对于个人信息的“占有权”，我不同意，别人是不能处理我的个人信息的。当然，在法定义务所必需或应对突发公共卫生事件等情形下例外。比如，面对新冠肺炎防控，有些个人信息的处理，就无需我们同意。

　　二是严格限定了个人信息处理的条件。即使是取得个人同意，草案也对信息处理做了严格的限制。草案第十四条规定，个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意。也就是说，个人信息的处理被严格限定在某一个“瓶子”中，无法复制到各种不同的“瓶子”里，从而有效保护了数据的安全。即使是已公开的个人信息，草案第二十八条也做出了详尽的规定，严格限制了其使用范围。

　　三是未将个人信息的交易纳入处理范围。草案第四条指出，“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动”。而数月前征求意见的《数据安全法（草案）》，第三条写的则是“数据活动，是指数据的收集、存储、加工、使用、提供、交易、公开等行为”。两者最大的差别就是个人信息的处理不包括“交易”。这在草案第十六条得到了验证，“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意”。这对于所有权转移的交易来说是无法接受的。而无法交易，自然降低了个人信息的活性，从而减少了未知风险，起到了很好的保护作用。

　　二、匿名化处理后的信息被排除在个人信息之外，成为重要的数据要素

　　草案对个人信息做出了严格的保护，让数据价值的挖掘遇到重重阻碍。那么草案给数字经济发展开的绿灯到底在哪里呢？

　　草案第四条规定，个人信息不包括匿名化处理后的信息。也就是说，只要将个人信息通过技术处理，变得不再识别个人，就能不受个人信息保护的约束，进而为数字经济的发展打开一扇大门。不仅如此，草案第二十四条甚至规定：“个人信息处理者向第三方提供匿名化信息的，第三方不得利用技术等手段重新识别个人身份”，进一步保证了信息处理者能够深入和广泛使用匿名化信息，不用承担复原后产生的风险。

　　当然，如果信息采集者能够掌握火候，有些时候不去穿透底层至特定个人，那么这些信息就能从源头上避免个人信息保护的影响，成为数字经济发展的要素。比如说，要分析某个路口的人群流量来支持开店决策，那就没有必要锁定至特定个人，只要采集总人流数据即可。

　　而这也符合大数据的精髓。在维克托•迈尔-舍恩伯格、肯尼思·库克耶合著的《大数据时代》一书中，开篇就指出了大数据的三个特性，即更多、更杂、更好。更多指的是“不是随机样本，而是全体数据”，更杂指的是“不是精确性，而是混杂性”，更好指的是“不是因果关系，而是相关关系”。

《大数据时代》，维克托•迈尔-舍恩伯格、肯尼思·库克耶 著，周涛 等译，湛庐文化2012年出品

　　个人信息是精确的样本数据，往往能分析出很强的因果关系。比如说知道A学校B学生家住C地，就很容易分析出A学生上学乘坐的交通工具及出行时间。而匿名化信息则更讲求混杂的批量数据，比如A学校5000个学生的住址，我们无法知道每个学生的行程信息，但是可以用这些数据来规划校车的路线。

　　事实上，现在综合运用匿名化信息来进行大数据分析的，还不是很多，更多的所谓大数据，是在使用大量的个人信息。相信《个人信息保护法》正式出台后，对于匿名化信息的应用会越来越多。

　　三、个人信息作为数据要素的风险

　　当我们回头来看，为何个人信息更多的是讲保护，而非价值挖掘。笔者认为，这还是由个人信息的性质决定的。

　　草案第四条明确，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。由此，我们看到，个人信息本质上是对个人的一种记录，是“虚拟”的，其价值很大程度上取决于我们个人本身。比如说两个人，一个年均消费100万，另一个年均消费10万，他们产生的具体消费信息，其价值就是不同的。这并不是因为数据量不同而产生的，而是由于数据代表的个人及其行为不同而产生的。所以，当我们满心欢喜，感觉个人信息能为自己带来价值的时候，我们要打个深深的问号，这种价值获取能否改变自己在现实世界中的境遇？是会缩小与其他人的物质差距，还是会放大这种差距？

　　前不久，中国银保监会、中国人民银行在官网公布《网络小额贷款业务管理暂行办法（征求意见稿）》，限定了网络小额贷款业务经营地域不得出省。另外，网贷公司与持牌金融机构（如银行）形成的联合贷款，网贷出资比例不得低于30%。瞬间，拥有流量与数据（特别是大量的个人信息数据）的互联网平台受到重大冲击，主要就是数据价值被大幅压缩。

　　本来，网贷公司以其拥有的海量数据，可以用1块钱撬动银行的99块钱，来进行联合借贷，但现在，数据发挥不了这么大的杠杆作用了。国家开始意识到，当网贷公司掌握了个人信息，投其所好放任借贷时，实际上使得许多人错误估计了自身。用个人信息换来的价值（贷款）反而成了放大人性弱点的武器，在伤害个人的同时，也给金融体系和整个社会埋下了巨大风险。

　　另一个典型例子，就是部分App的自动化推送。现在很多人都知道刷某些App会中“毒”，因为它会根据点赞、逗留时间、回复等，精准判断个人喜好，从而一直推送你喜欢的内容，让你愉悦其中。因此，草案第二十五条明确，“利用个人信息进行自动化决策，应当保证决策的透明度和处理结果的公平合理。……通过自动化决策方式进行商业营销、信息推送，应当同时提供不针对其个人特征的选项。”这些个人信息运用过程中产生的问题和风险，正是《个人信息保护法》要规避的，也是我们发展数字经济要规避的。

　　（作者顾子乙为无锡市大数据管理局公务员）