作者:吳沈括
近期特斯拉女車主在上海車展維權的事件在網路世界不斷髮酵,成為一個引起廣泛關注的社會公共議題。事關財產安全、人身安全和公共安全,在大眾追問的情緒因素以外,我們更需要理性地反思和檢視特斯拉事件折射的諸多制度性問題。
我們看到,從事主方和公司方的多輪公開發聲,到各級監管部門以及消費者保護組織的多次立場表達,雖然話語角度存在差異,但是都涉及一個共同的關切,就是包括資料收集、儲存、使用、加工、傳輸、提供、公開等諸多場景在內的資料流轉利用,應該依據何種法規的問題。更進一步而言:車主作為資料主體對於其自有車輛的車身資料和行車資料擁有什麼樣的權利?特斯拉等車企在各項資料的採集、處理、儲存、提供以及披露等各個環節承擔什麼樣的義務?對於這兩個問題的回答正是務實探討現行法律規範與未來生態完善的鑰匙。
歷史地來看,我國法治高度重視資料主體的權益保護,從2012年全國人大常委會《關於加強網路資訊保護的決定》到2017年6月1日實施的《網路安全法》,從《刑法》到《民法典》,現行法律法規的核心要求都涵蓋網路產品和服務提供者應當滿足使用者圍繞其資料的安全可信利益:一方面,應當保障使用者對資料可控,產品或服務提供者不應該利用提供產品或服務的便利條件非法獲取使用者重要資料,損害使用者對自己資料的控制權;另一方面,應當保障使用者對系統可控,產品或服務提供者不應透過網路非法控制和操縱使用者裝置,損害使用者對自己系統的控制權;此外,保障使用者的選擇權,產品和服務提供者不應利用使用者對其產品和服務的依賴性,損害使用者的資料安全和利益。
而在2021年4月26日提請十三屆全國人大常委會第二十八次會議二次審議的《資料安全法(草案)》和《個人資訊保護法(草案)》,更是以明確、清晰的規範設計再次強調充分尊重和切實保障資料主體對資料尤其是其個人資料在流轉利用全生命週期的充分控制權益。由此意味著在國家法律層面,使用者個人(如車主)對其個人資訊的處理享有知情權、決定權,有權限制或者拒絕他人對其個人資訊進行處理;有權查閱、複製其個人資訊;有權請求更正、補充不準確或者不完整的個人資訊;有權依法請求刪除個人資訊;有權要求相對方(如車企)對其個人資訊處理規則進行解釋說明。
這一系列關於資料的法定權利的制度安排為我們回答上述第一個問題提供了明確的答案。
我們明白,在資料流轉利用的過程中,網路產品和服務提供者扮演著重要的生態角色,他們擔負的義務的實現程度在相當程度上決定了數字生態的法治水平。目前各界從業單位紛紛響應國家號召,積極履行主體責任,全面建設資料合規風控體系,自覺以實際行動遵從法律法規要求,滿足民眾的各項資料權益訴求,提升自身的能力建設與品牌形象。事實上,在當下實踐層面,企業等各類主體依法根據個人在充分知情的前提下自願、明確作出的同意,開展資料採集、處理以及披露等活動,已經成為普遍的業務共識。而除非取得個人單獨同意,企業等網路產品和服務提供者不得公開披露處理的個人資訊,更是《個人資訊保護法(草案)》二審稿的明文要求。
這一攬子關於資料的法定義務的制度安排為我們迴應上述第二個問題提供了清晰的依據。
我們相信,隨著國家持續建立健全資料安全與資料保護制度,預防和懲治侵害各類資料權益的行為,加強資料治理和數字素養的宣傳教育,民眾持續提升自身資料權利意識和維權能力,各方企業主動落實資料處理義務,基於順應技術發展水平的資料流轉利用法律規則的數字生態必將成為可期的未來。
(作者系北京師範大學網路法治國際中心執行主任)
