劉學(xué)濤

摘要：信息時代的來臨在給人類社會帶來深刻變革的同時，也在法律領(lǐng)域蘊藏著一場深刻的革命。信息技術(shù)的迅速發(fā)展在為我們生活提供便利的同時也在使得公民個人權(quán)益遭受損害，究其原因主要在于個人數(shù)據(jù)保護的相關(guān)法律問題還有待解決。為了更好地保護個人數(shù)據(jù)，我們需要從個人數(shù)據(jù)保護面臨的形勢、界定標(biāo)準(zhǔn)及主要范疇、原則、價值四個層面作為邏輯理論起點，進一步分析可以發(fā)現(xiàn)個人數(shù)據(jù)保護主要面臨著數(shù)據(jù)權(quán)屬不明、專項立法滯后、監(jiān)管機構(gòu)缺失、合作交流較少、自律機制不夠五大法治難題。為了更好解決這一問題，需要從明確數(shù)據(jù)權(quán)屬、加快制定《個人數(shù)據(jù)保護法》、設(shè)立監(jiān)管機構(gòu)、加強國際合作、建立自我規(guī)制路徑入手，以期對我國個人數(shù)據(jù)保護機制的建構(gòu)有所裨益。使得個人數(shù)據(jù)保護將持續(xù)發(fā)展。

關(guān)鍵詞：個人數(shù)據(jù);泄露;數(shù)據(jù)權(quán)屬;監(jiān)管;規(guī)制

中圖分類號：D923 文獻標(biāo)志碼：A 文章編號：1003-9945（2019）02-0019-09

引言

“互聯(lián)網(wǎng)+大數(shù)據(jù)+人工智能+”時代已經(jīng)悄然來臨，伴隨著中國經(jīng)濟的飛速發(fā)展和科技的巨大進步，信息時代真正地來到我們的身邊，信息的含金量及其對日常生活的影響日益彰顯。信息化時代，數(shù)據(jù)收集和數(shù)據(jù)共享的規(guī)模急劇增長，數(shù)據(jù)已經(jīng)成為經(jīng)濟增長和社會價值創(chuàng)造的源泉，其實早在2011年世界經(jīng)濟論壇就已經(jīng)將個人數(shù)據(jù)定義為新的資產(chǎn)類型，數(shù)據(jù)成為商業(yè)創(chuàng)新的源動力。在“軟件定義一切”的智能時代中，無處不計算，萬物皆互聯(lián)，而計算和互聯(lián)的基本要素是數(shù)據(jù)。數(shù)據(jù)在我國的發(fā)展日新月異，其越來越成為人們學(xué)習(xí)、工作、生活的新空間，越來越成為獲取公共服務(wù)的新平臺。數(shù)據(jù)充分激活了人的能動性，并將其置于社會發(fā)展的嶄新地位，相應(yīng)的社會運作方式也開始發(fā)生了嶄新的變化，“共享”、“平臺”等概念開始迅速被安裝進人的思維和行動邏輯中。數(shù)據(jù)的不斷更新便利了人們的生活，但同時也帶來了困擾，從最近熱議的谷歌數(shù)據(jù)泄露到國內(nèi)攜程的“大數(shù)據(jù)殺熟”，數(shù)字時代的技術(shù)善惡論被推到了風(fēng)口浪尖。數(shù)據(jù)的使用、共享和流通正在成為必須和必然，圍繞數(shù)據(jù)所有、使用、定價、交易等的討論一直是業(yè)界的熱點，尤其是對個人數(shù)據(jù)如何進行保護，找到適合中國國情的數(shù)據(jù)保護模式，是產(chǎn)業(yè)界和學(xué)術(shù)界都亟需解決的問題之一。

面對著數(shù)據(jù)時代日益蓬勃發(fā)展的大環(huán)境之下，如何通過法治治理保護個人數(shù)據(jù)這一核心問題思想，值得我們關(guān)注與思考的幾個重要問題分別是：首先，個人數(shù)據(jù)保護的理論基礎(chǔ)主要包括哪些？其次，個人數(shù)據(jù)保護面臨的法治難題分別有哪些？最后，個人數(shù)據(jù)保護的治理路徑有哪些？本文將對以上幾個問題進行初步分析與嘗試性回答。

一、個人數(shù)據(jù)保護的理論基礎(chǔ)

“任何一個法律部門和法學(xué)體系都必須有深厚而堅實的理論基礎(chǔ)和科學(xué)的理論邏輯的建構(gòu)，否則這個法律部門的存在就缺乏合理性基礎(chǔ)，這一法學(xué)理論體系就不能稱之為現(xiàn)代科學(xué)?！彼?，一套成熟的理論猶如構(gòu)建社會制度大廈的基石，而且任何一種社會制度的形成和發(fā)展離不開一定成熟理論的指導(dǎo)。個人數(shù)據(jù)保護作為一項新興法律制度亦不例外，同樣需要有極為深厚的理論基礎(chǔ)。正是在這種理論基礎(chǔ)的指導(dǎo)和推動之下，個人數(shù)據(jù)才得以產(chǎn)生、發(fā)展并不斷完善。個人數(shù)據(jù)保護的理論基礎(chǔ)主要需要明晰以下幾個問題：首先，需要清楚個人數(shù)據(jù)保護面臨的嚴(yán)峻態(tài)勢;其次，應(yīng)該明確個人數(shù)據(jù)的界定標(biāo)準(zhǔn)及主要包括的范疇;再次，總結(jié)出現(xiàn)行個人數(shù)據(jù)保護所遵循的原則;最后，分析出個人數(shù)據(jù)保護的兩大法治價值。通過對此四個基礎(chǔ)性問題的探討與分析，將為下文的法治難題解決與治理路徑建立起到很好的鋪墊作用。

（一）個人數(shù)據(jù)保護面臨的嚴(yán)峻態(tài)勢

隨著信息通信技術(shù)的應(yīng)用普及，網(wǎng)絡(luò)數(shù)據(jù)流轉(zhuǎn)通道逐漸擴大，網(wǎng)絡(luò)上流通的個人數(shù)據(jù)愈加廣泛，全球個人數(shù)據(jù)安全問題日益凸顯，盜取數(shù)據(jù)資源謀求商業(yè)利益的行為日益增多，形成了明顯的黑色或灰色產(chǎn)業(yè)鏈。這類行為與用戶權(quán)益聯(lián)系緊密，輕則導(dǎo)致公民財產(chǎn)損失，重則危害行業(yè)發(fā)展，挑戰(zhàn)監(jiān)管底線。在過去的2018年，外媒統(tǒng)計已經(jīng)確認(rèn)的數(shù)據(jù)泄露事件高達2，216起。去年3月發(fā)生的Faeebook事件，超過8700萬條數(shù)據(jù)被泄露和濫用;4月，國外廣受歡迎的三明治連鎖店P(guān)anera Bread因網(wǎng)站漏洞泄露顧客信息;8月，華住旗下多個連鎖酒店開房信息數(shù)據(jù)在暗網(wǎng)出售，總量近5億;11月，萬豪酒店發(fā)布公告稱旗下喜達屋5億房客信息泄露，被索賠125億美元;12月底，國民購票軟件12306的470萬條用戶數(shù)據(jù)因第三方平臺而遭到泄露。美國電信運營商Verizon發(fā)布的《2018年數(shù)據(jù)泄露調(diào)查報告》顯示，網(wǎng)絡(luò)犯罪所竊取的個人信息主要有支付細(xì)節(jié)、醫(yī)療記錄、憑證等，這類事件主要集中在健康醫(yī)療、住宿和餐飲業(yè)、公共服務(wù)等領(lǐng)域。2018年是數(shù)據(jù)泄露的灰色之年。頻頻發(fā)生的數(shù)據(jù)泄露事件原因可能包括：1.個人數(shù)據(jù)外延的擴大。技術(shù)發(fā)展讓個人數(shù)據(jù)的外延擴大，一切能識別、關(guān)聯(lián)和反映到特定個人的信息都納入個人數(shù)據(jù)范疇。海量數(shù)據(jù)的流轉(zhuǎn)往往裹挾著大量的個人信息，使其邊界日益模糊，增加了保護難度;2.技術(shù)發(fā)展的負(fù)外部性。人工智能、云計算等新技術(shù)的發(fā)展在更加依賴于數(shù)據(jù)資源的同時，不可避免地帶來了負(fù)外部性，加大了個人數(shù)據(jù)的安全風(fēng)險，沖擊了個人信息保護體系。例如，勒索軟件和惡意代碼通過電子郵件、入侵服務(wù)器、攻擊供應(yīng)鏈、掛馬網(wǎng)頁、系統(tǒng)漏洞傳播等方式盜取個人數(shù)據(jù);3.監(jiān)管模式的滯后。產(chǎn)業(yè)鏈的延長、市場主體的增加讓個人數(shù)據(jù)的多向流動成為常態(tài)，使得個人數(shù)據(jù)安全的監(jiān)管牽扯到多個行業(yè)、多個領(lǐng)域，導(dǎo)致監(jiān)管目標(biāo)和監(jiān)管任務(wù)難以區(qū)分，沖擊了傳統(tǒng)監(jiān)管體系，提升了監(jiān)管難度。

（二）個人數(shù)據(jù)的界定標(biāo)準(zhǔn)及主要范疇

個人數(shù)據(jù)與公共數(shù)據(jù)是一組相對的概念，在當(dāng)前時代背景下，有必要明確其定義。截止2018年，全球近120個國家和獨立的司法管轄區(qū)已采用全面的數(shù)據(jù)保護或隱私法律來保護個人數(shù)據(jù)，另有近40個國家和司法管轄區(qū)有待批準(zhǔn)此類法案或倡議翻。據(jù)不完全統(tǒng)計，當(dāng)前世界上擁有個人信息保護法的國家有近90個?！癎eneral Data Protection Regulation”（簡稱GDPR），翻譯成《通用數(shù)據(jù)保護條例》/《一般數(shù)據(jù)保護條例》，是歐盟議會于2016年4月通過的關(guān)于個人數(shù)據(jù)保護的新法規(guī)，該法規(guī)完全更新了歐盟成員國以及任何與歐盟各國進行交易或擁有歐盟成員國公民數(shù)據(jù)的公司安全處理個人數(shù)據(jù)以及保證個人數(shù)據(jù)自由流動的規(guī)定，已于2018年5月25日正式生效，且是在28個歐盟成員國統(tǒng)一實施生效的。GDPR中對“個人數(shù)據(jù)”的概念做了明確規(guī)定。按照經(jīng)濟合作與發(fā)展組織forganization for Economic Co-operation andDevelopment，OECD）理事會在1980年頒布的《關(guān)于規(guī)制個人隱私保護與跨境個人數(shù)據(jù)流通的建議》中的規(guī)定，所謂的個人數(shù)據(jù)，是指任何與可以或能夠辨別出來某一個人有關(guān)的信息。《信息安全技術(shù)—個人數(shù)據(jù)保護指南》（GB/Z28828-2012）將個人數(shù)據(jù)定義為：可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨或通過與其他信息結(jié)合識別該特定自然人的計算機數(shù)據(jù)。從上述相關(guān)的定義可以發(fā)現(xiàn)對于個人數(shù)據(jù)主要是圍繞可識別性來界定。

反觀我國國內(nèi)學(xué)術(shù)界，關(guān)于個人數(shù)據(jù)的稱謂一直爭論不休（與個人數(shù)據(jù)稱謂相同的主要有個人資料、個人信息、個人隱私等，本文對其不做以刻意區(qū)分，主要采用個人數(shù)據(jù)這一稱謂）。隨著關(guān)于個人數(shù)據(jù)本身討論的不斷深入，可識別性逐漸成為判斷是否屬于個人數(shù)據(jù)的核心元素，圍繞可識別性界定個人數(shù)據(jù)也逐漸被廣泛接受。同時，現(xiàn)行的法律法規(guī)確定了個人數(shù)據(jù)的具體內(nèi)容一種為定義加列舉式，如工信部出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》《電信和互聯(lián)網(wǎng)服務(wù)用戶個人信息保護定義和分類》、中國科學(xué)技術(shù)法學(xué)會與北京大學(xué)互聯(lián)網(wǎng)法律中心出臺的《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標(biāo)準(zhǔn)》、中國互聯(lián)網(wǎng)協(xié)會出臺的《互聯(lián)網(wǎng)終端安全服務(wù)自律公約》《互聯(lián)網(wǎng)終端軟件服務(wù)行業(yè)自律公約》、中國廣告協(xié)會互動網(wǎng)絡(luò)分會出臺的《中國互聯(lián)網(wǎng)定向廣告用戶信息保護框架標(biāo)準(zhǔn)釋義和基本指引》等均采取此種界定模式，即除了給出個人數(shù)據(jù)的一般定義外，還列舉典型的個人數(shù)據(jù)類型以及排除類型。另一種則為單純定義模式，如工信部出臺的《規(guī)范互聯(lián)網(wǎng)信息服務(wù)市場秩序若干規(guī)定》、國家質(zhì)檢總局與國家標(biāo)準(zhǔn)委出臺的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》、中國廣告協(xié)會互動網(wǎng)絡(luò)分會出臺的《互聯(lián)網(wǎng)定向廣告?zhèn)€人信息保護聲明》、國家質(zhì)檢總局與國家標(biāo)準(zhǔn)委出臺的《健康信息學(xué)推動個人健康信息跨國流動的數(shù)據(jù)保護指南》、中國人民銀行出臺的《中國金融移動支付檢測規(guī)范第8部分：個人信息保護》等均使用了單純定義的方式，并未列舉典型的個人數(shù)據(jù)類型。而上述兩種模式其共同點在于都運用了定義的方式，而在定義之中都強調(diào)了可識別性對于判別個人數(shù)據(jù)的重要性。

結(jié)合目前的立法態(tài)勢，不難發(fā)現(xiàn)全球立法對個人數(shù)據(jù)的定義逐漸呈現(xiàn)趨同性的趨勢，個人數(shù)據(jù)的“識別性”構(gòu)成了國際公認(rèn)的一般特征。具體到我國，2012年全國人大《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》第一條就明確規(guī)定“國家保護能夠識別公民個人身份和涉及公民個人隱私的電子信息”。因此，“一切與個人身份及行為有關(guān)的內(nèi)容都可以相繼納入個人數(shù)據(jù)的范疇”。上文提及到數(shù)據(jù)泄露的原因之一可能包括個人數(shù)據(jù)外延的擴大，因此，為了使得數(shù)據(jù)泄露事件減少發(fā)生，我們有必要對其予以嚴(yán)格限定化。本文認(rèn)為個人數(shù)據(jù)主要范疇將其歸納整理主要可以包括（具體參見如下圖1）：（1）身份信息，如：姓名、年齡、居住地、ID號碼、國籍、種族、民族、政治面貌等;（2）偏好信息，如：生活習(xí)慣、飲食習(xí)慣、業(yè)余愛好、行為模式、個人好惡、消費習(xí)慣;（3）網(wǎng)絡(luò)信息，如：網(wǎng)絡(luò)賬戶（昵稱）和密碼、位置、IP地址、Cookie數(shù)據(jù)和RFID標(biāo)簽等;（4）社交信息，如：家庭、朋友、社會關(guān)系、成長經(jīng)歷、社團組織、通訊記錄等;（5）生物識別，如：人臉、指紋、虹膜、聲音、遺傳信息等;（6）職業(yè)信息，如：職務(wù)、工作單位、收入、工作經(jīng)驗、社會保險、公積金等;（7）健康信息，如：醫(yī)療、保健、運動數(shù)據(jù)等;（8）經(jīng)濟信息，如：儲蓄、投資、理財、資產(chǎn)、負(fù)債、房產(chǎn)、租金等;（9）其他信息，如：性取向、宗教信仰、犯罪記錄等。

（三）個人數(shù)據(jù)保護的原則

有關(guān)個人數(shù)據(jù)保護的原則最重要的是經(jīng)濟合作與發(fā)展組織在1980年頒布的《關(guān)于保護隱私和個人數(shù)據(jù)跨國流通指導(dǎo)原則》中有關(guān)個人數(shù)據(jù)保護的8項原則，將其可以概括為開放性、個人參與、責(zé)任、使用限制、數(shù)據(jù)質(zhì)量、收集限制、特殊目的與安全（具體見表1）。

資料來源：經(jīng)濟合作與發(fā)展組織

隨著8項原則的公布，許多國家以此8項核心原則為依據(jù)制定本國的個人數(shù)據(jù)保護法，并在此基礎(chǔ)上不斷進行補充和完善。早在1995年，歐盟就出臺了涵蓋廣泛并極具前瞻性的《個人數(shù)據(jù)保護指令》;1998年6月，美國電子工業(yè)協(xié)會、美國工商協(xié)會和AOL、IBM、Bank of America等100多家主要團體和企業(yè)成立了在線隱私聯(lián)盟（Online Privacy Alliances，OPA），發(fā)布了《在線隱私指導(dǎo)》;中國臺灣地區(qū)于1995年出臺了“電腦處理個人資料保護法”;次年中國香港出臺《個人資料私隱條例》。在中國大陸，2006年大連市推出針對個人數(shù)據(jù)保護的地區(qū)性規(guī)定一《大連軟件及信息服務(wù)業(yè)個人信息保護規(guī)范》;深圳于2010年提出了個人數(shù)據(jù)保護的立法起草;2019年全國兩會期間，個人數(shù)據(jù)保護再次成為熱點，在3月4日十三屆全國人大二次會議新聞發(fā)布會上，大會發(fā)言人張業(yè)遂透露，“全國人大常委會已將制定個人信息保護法列入本屆立法規(guī)劃，相關(guān)部門正在抓緊研究和起草，爭取早日出臺”。個人數(shù)據(jù)保護原則的出臺促進了相關(guān)國家法律法規(guī)制度的陸續(xù)建立，雖然我國目前尚沒有一部完整的關(guān)于個人數(shù)據(jù)保護的法律制度，但是下一步在制定具體法律法規(guī)時可以借鑒現(xiàn)行的規(guī)定并且將該原則貫徹到法律法規(guī)具體條文之中。

（四）工人數(shù)據(jù)保護的法治價值

近年來，隨著科技的進步與發(fā)展，尤其是網(wǎng)絡(luò)技術(shù)的突飛猛進，一些機構(gòu)或個人無視職業(yè)道德或保密義務(wù)，不當(dāng)搜集、惡意使用、出售牟利、任意泄露居民的個人數(shù)據(jù)資料，嚴(yán)重侵犯了居民依法享有的人身、財產(chǎn)、隱私等基本權(quán)利，破壞了正常的社會管理秩序。法治在國家治理現(xiàn)代化中的功能是多維度和結(jié)構(gòu)性的，其最重要的功能是在于提供正當(dāng)性、合法性和權(quán)威性的基礎(chǔ)，發(fā)揮權(quán)力規(guī)制和人權(quán)保障的功能。個人數(shù)據(jù)保護的法治價值對于個人數(shù)據(jù)保護有著深遠的影響與意義，本文將其歸納整理認(rèn)為其法治價值主要在于：

1.建設(shè)法治政府的時代要求

《法治政府建設(shè)實施綱要（2015-2020年）》提出到2020年基本建成職能科學(xué)、權(quán)責(zé)法定、執(zhí)法嚴(yán)明、公開公正、廉潔高效、守法誠信的法治政府。法治政府建設(shè)是現(xiàn)代國家政治文明的重要標(biāo)志，是實現(xiàn)治理體系、治理能力現(xiàn)代化的必由之路，是全面推進依法治國的關(guān)鍵，是推進全面深化改革的重要支撐和保障，更是贏得人民信賴、鞏固黨的執(zhí)政基礎(chǔ)的必然要求。從法治政府的建設(shè)上來看，高效的法治實施體系和嚴(yán)密的法治監(jiān)督體系必須建立在法治數(shù)據(jù)的多樣化及公開、透明、互通的基礎(chǔ)上，而個人數(shù)據(jù)的相互疊加會組成龐大豐富的數(shù)據(jù)庫。因此，個人數(shù)據(jù)保護不僅可以使得公民權(quán)利得到不斷保障，而且也是建設(shè)社會主義現(xiàn)代化法治政府的時代要求。

2.改進行政服務(wù)的必然選擇

隨著公民公共利益和公共服務(wù)意識的加強，法國學(xué)者萊昂·狄冀提出“公共服務(wù)”的概念，認(rèn)為“公共服務(wù)”是現(xiàn)代國家的基礎(chǔ)，主張以為公民服務(wù)為核心，強調(diào)“公民優(yōu)先”，政府的職能既不是“掌舵”，也不是“劃槳”，而是“服務(wù)”，民主價值和公共利益才應(yīng)該是政府及其工作人員應(yīng)該關(guān)注的重點。從黨的十八大“建設(shè)職能科學(xué)、結(jié)構(gòu)優(yōu)化、廉潔高效、人民滿意的服務(wù)型政府”到黨的十九大“轉(zhuǎn)變政府職能，深化簡政放權(quán)，創(chuàng)新監(jiān)管方式，增強政府公信力和執(zhí)行力，建設(shè)人民滿意的服務(wù)型政府”，我國政府建設(shè)和治理已經(jīng)由傳統(tǒng)的偏重管理演化為服務(wù)與管理并重。個人數(shù)據(jù)保護促使政府為社會經(jīng)濟活動提供充分的公共安全，這是服務(wù)型政府履行公共服務(wù)職能的應(yīng)有之義，也是服務(wù)型政府不斷改進服務(wù)行政的必然選擇。

二、個人數(shù)據(jù)保護的法治難題

現(xiàn)代信息技術(shù)構(gòu)建的龐大數(shù)據(jù)庫儲藏著海量信息，我們每個人都是龐大數(shù)據(jù)的貢獻者與所有者。通過對數(shù)據(jù)的存儲、加工、分析，每一個個體的需求偏好、生活軌跡都變得有跡可循，可以為每個人量身定做私人化的方案，用戶參與度和用戶體驗得到了極大提高。利之所在，弊之所存，互聯(lián)網(wǎng)在解放人類生產(chǎn)的同時，亦帶來一些負(fù)面影響。海量個人的隱私信息被有意無意泄露，無用信息無孔不入，垃圾郵件鋪天蓋地，騷擾電話瘋狂轟炸，如何利用好這把雙刃劍，成為實現(xiàn)國家治理現(xiàn)代化繞不過去的一個重要課題。造成此種亂像的法治難題主要在于：

（一）個人數(shù)據(jù)保護數(shù)據(jù)權(quán)屬不明

“數(shù)據(jù)浪潮，洶涌來襲，與互聯(lián)網(wǎng)的發(fā)明一樣，這絕不僅僅是信息技術(shù)領(lǐng)域的革命，更是在全球范圍啟動透明政府、加速企業(yè)創(chuàng)新、引領(lǐng)社會變革的利器?！雹桕P(guān)于個人數(shù)據(jù)保護是否為數(shù)據(jù)主體創(chuàng)設(shè)了權(quán)利，一直存在兩種對立的觀點：一種觀點認(rèn)為，個人數(shù)據(jù)保護，保護的是公民既有的權(quán)利免受信息時代產(chǎn)生的新威脅。另一種觀點則認(rèn)為，個人數(shù)據(jù)保護，保護的是公民在信息時代的新權(quán)利。在數(shù)據(jù)時代，數(shù)據(jù)已逐步產(chǎn)生出巨大的應(yīng)用價值，個人數(shù)據(jù)保護開始被重視，但無論從理論還是實務(wù)上都還處于起步探索階段，從現(xiàn)階段實踐來看，在法律上關(guān)于數(shù)據(jù)權(quán)屬仍沒有明確定論，在制度設(shè)計層面上缺乏確權(quán)的過程，信息保護也就沒有了生存的基礎(chǔ)和靈魂。

（二）個人數(shù)據(jù)保護專項立法滯后

現(xiàn)代社會是信息社會，離開各種數(shù)據(jù)，人們甚至無法在現(xiàn)代社會中生存，更遑論發(fā)展。更重要的是，現(xiàn)代社會中每個成員自身的情況也已經(jīng)是社會數(shù)據(jù)庫中不可分割的部分。關(guān)于個人數(shù)據(jù)的保護，我國沒有相關(guān)法律規(guī)定。與此相關(guān)的是個人信息的保護，我國已有多部法律法規(guī)涉及個人信息保護，如《刑法》《民法總則》《消費者權(quán)益保護法》《網(wǎng)絡(luò)安全法》《電子商務(wù)法》等都作了相關(guān)規(guī)定。但是從總體上看，相關(guān)的法律法規(guī)規(guī)定較為零散，呈現(xiàn)出分散立法的狀態(tài)，沒有形成體系化，這很難與高度發(fā)展的信息社會對個人數(shù)據(jù)保護要求相適應(yīng)，缺乏法律保護體系成為制約我國個人數(shù)據(jù)保護的最大瓶頸。

（三）個人數(shù)據(jù)保護監(jiān)管機構(gòu)缺失

自提出對個人數(shù)據(jù)立法保護以來，就有設(shè)立獨立專門的機構(gòu)保護個人數(shù)據(jù)的訴求，1973年瑞典《數(shù)據(jù)保護法》與法國《信息、檔案與自由法》都提出建立專門的數(shù)據(jù)保護機構(gòu)。同時，歐美日等域外國家都有關(guān)于數(shù)據(jù)保護實施監(jiān)管的機構(gòu)。要想適當(dāng)?shù)刂萍s行政權(quán)力、保障公民權(quán)利，其中非常重要的一個舉措就是設(shè)立一個獨立的個人數(shù)據(jù)保護機構(gòu)，既能實現(xiàn)對市場經(jīng)濟領(lǐng)域的監(jiān)督，也能獨立地監(jiān)督國家行政機關(guān)的數(shù)據(jù)使用行為。我國目前尚未搭建起專業(yè)性的監(jiān)管平臺，這一組織體系的缺失導(dǎo)致法治政府治理效能的降低，使得數(shù)據(jù)保護處于監(jiān)管真空狀態(tài)，最終導(dǎo)致個人數(shù)據(jù)不能為社會創(chuàng)造更大的價值財富。

（四）個人數(shù)據(jù)保護合作國際交流較少

當(dāng)今世界，數(shù)據(jù)正被高速低成本地復(fù)制、傳播與共享，個人數(shù)據(jù)被廣泛地開發(fā)利用，個人數(shù)據(jù)安全面臨著前所未有的沖擊和威脅。互聯(lián)網(wǎng)給人類社會發(fā)展帶來巨大變革，讓世界真正變成了“地球村”。信息流通無國界，個人數(shù)據(jù)保護也成為了跨國界的全球性問題，任何國家都不可能置身事外、獨善其身。信息流通過程有跨界的性質(zhì)，只有在統(tǒng)一的國際法律基礎(chǔ)存在的情況下，在一個國家之內(nèi)開展的保護個人數(shù)據(jù)的實際措施，才能保證盡可能實施有效。歐美之間關(guān)于數(shù)據(jù)跨境安全流通已有了成文的《安全港協(xié)議》或一系列的協(xié)商合作機制，而我國在國際數(shù)據(jù)交流使用中缺少國際合作機制，導(dǎo)致數(shù)據(jù)在使用過程中障礙重重。

（五）個人數(shù)據(jù)保護自律機制不夠

我國非公共領(lǐng)域在談及個人數(shù)據(jù)保護時，大多強調(diào)自律，但考慮到網(wǎng)絡(luò)化時代個人數(shù)據(jù)侵權(quán)行為的隱秘性與個人因技術(shù)壁壘限制難以取證等因素，專門機關(guān)監(jiān)督管理的“他律”行為不能完全實現(xiàn)對個人數(shù)據(jù)處理行為的有效監(jiān)督。在個人通常不知個人數(shù)據(jù)侵權(quán)事實存在，也難以確定侵害個人數(shù)據(jù)權(quán)主體的情況下，我們應(yīng)該意識到他律的嚴(yán)重不足，適當(dāng)引入企業(yè)機關(guān)的“自律”進行監(jiān)督管理。通過企業(yè)的監(jiān)督管理，讓其認(rèn)識到自身對于個人數(shù)據(jù)保護的重要地位，督促企業(yè)重視個人數(shù)據(jù)權(quán)的地位，杜絕過分追求經(jīng)濟利益而侵害個人數(shù)據(jù)權(quán)。

三、個人數(shù)據(jù)保護的治理路徑

眾所周知，今天的人類社會已經(jīng)邁入了信息化的網(wǎng)絡(luò)時代。在計算機與通信信息技術(shù)的推動下，個人數(shù)據(jù)的收集、運用及其儲存，也已擺脫了紙質(zhì)的陳舊束縛而走向嶄新的數(shù)據(jù)庫控制模式。個人數(shù)據(jù)數(shù)字化就像一把雙刃劍，它既為人們的日常生活創(chuàng)造了種種便利，帶來了諸多實惠，但也為不法分子侵犯居民個人隱私打開了一扇方便之門，致使個人數(shù)據(jù)被不當(dāng)收集、惡意使用、非法監(jiān)控、肆意傳播的現(xiàn)象層出不窮，日益嚴(yán)重。一個現(xiàn)代化強國必然是法治強國，一個現(xiàn)代化的國家必然是法治現(xiàn)代化的國家。任何一種新型權(quán)利在法律制度上的生成、保護及其不斷發(fā)展，都是人性尊嚴(yán)得到進一步尊重和法治不斷完善的體現(xiàn)。面對個人數(shù)據(jù)保護所帶來的挑戰(zhàn)，如何從法律的層面去有效地保護，這是一個無法回避的現(xiàn)實問題，必須認(rèn)真研究。

（一）立法應(yīng)明確數(shù)據(jù)權(quán)屬

今年兩會期間，多名全國政協(xié)委員對數(shù)字經(jīng)濟時代個人數(shù)據(jù)保護存在法律缺位問題提出意見建議，焦點在于數(shù)據(jù)的權(quán)屬方面。全國政協(xié)委員、公安部原副部長陳智敏對新京報記者表示，在數(shù)字經(jīng)濟時代，無數(shù)公民無償提供的數(shù)據(jù)，被極少數(shù)人在無形中控制，這很危險，現(xiàn)在急需要在立法上明確數(shù)據(jù)的權(quán)屬問題。學(xué)界提出的所謂的“人格/財產(chǎn)”路徑之爭（dignity/property approach）也被有的學(xué)者批評為純形式上的，實質(zhì)上并無重大區(qū)別。本文認(rèn)為，個人數(shù)據(jù)應(yīng)具有雙重權(quán)利屬性。就法理權(quán)利屬性而言，個人數(shù)據(jù)權(quán)具有類似肖像權(quán)、姓名權(quán)、名譽權(quán)等人格權(quán)的特征。隨著社會發(fā)展，也逐漸具備了類似所有權(quán)、收益權(quán)、處分權(quán)等財產(chǎn)權(quán)的屬性。數(shù)據(jù)權(quán)屬的進一步明細(xì)化將會助力物聯(lián)網(wǎng)、智慧城市、以及工業(yè)互聯(lián)網(wǎng)等數(shù)據(jù)處理生態(tài)的繁榮。在立法過程中，要把握好個人數(shù)據(jù)權(quán)屬問題，目前許多學(xué)者指出個人數(shù)據(jù)不僅是私人物品，也是公共物品，具有公共質(zhì)⑤。那么在立法中也需要平衡兩者的關(guān)系。一些學(xué)者提出了“資源準(zhǔn)入”的模式，有些學(xué)者主張利用行政法上的公物法概念加以解決。還有如特定領(lǐng)域的個人數(shù)據(jù)（如基因信息、生物信息），如何保護也需要在未來進一步深入研究。

（二）加快制定《個人數(shù)據(jù)保護法》

在數(shù)據(jù)時代，個人數(shù)據(jù)泄露的情況極為復(fù)雜，需要綜合運用刑事、民事、行政及科技等手段予以保護，也需要各有關(guān)方面齊抓共促?？紤]到各自的行業(yè)特點與所保護法益的差異，允許特定行業(yè)存在變通條款是合理的，但前提是存在一部普遍適用的保護個人數(shù)據(jù)的成文法律文本，通過統(tǒng)一、規(guī)范、系統(tǒng)立法，協(xié)調(diào)對個人數(shù)據(jù)的保護與開發(fā)利用，避免各部門規(guī)章之間存在的法律沖突與漏洞，建立對個人數(shù)據(jù)的法律保護體系。2018年9月10日，全國人大公布十三屆全國人大常委會立法規(guī)劃，其中《個人信息保護法》《數(shù)據(jù)安全法》一并列入第一類項目立法項目，集中代表了我國法律體系對于數(shù)據(jù)保護問題的關(guān)注。當(dāng)然，我國制定《個人數(shù)據(jù)保護法》時應(yīng)結(jié)合自身情況將上文提到的八項原則貫穿其中。同時，由于網(wǎng)絡(luò)和信息技術(shù)的快速發(fā)展，加之人工智能、大數(shù)據(jù)分析等應(yīng)用不斷普及，可能會面臨著許多事情均可以被數(shù)據(jù)化或者信息化，任何信息均可以合理地被認(rèn)為是“個人的”。這種現(xiàn)象導(dǎo)致現(xiàn)實和虛擬世界、人和機器及自然界彼此間區(qū)分并不那么明顯，實現(xiàn)了從信息稀缺到信息豐富的逆轉(zhuǎn)，更為重要的是導(dǎo)致個人或者事物之間原本的獨立性、或者屬性和二元關(guān)系轉(zhuǎn)變?yōu)橐曰?、過程和網(wǎng)絡(luò)化（interactions，processes and networks）的主要關(guān)系在這樣的情況下，有學(xué)者指出歐盟的數(shù)據(jù)保護法正在面臨著成為“萬物之法”（the law of everything）的風(fēng)險，從立法來看，意味著任何情況下均能夠提供最高的法律保護，但在實踐中法律規(guī)范很難得到遵守，可能會因權(quán)利濫用或者不合理使用等情況導(dǎo)致個人信息保護的目標(biāo)落空。個人信息范圍的擴張目前已被個人信息保護研究者和實務(wù)者所認(rèn)可，帶來的問題則是個人信息的概念變得過于寬泛。主流的文獻尤其關(guān)注個人信息概念的重要要素，即能否識別個人。另外，為回應(yīng)科技發(fā)展，亦同時關(guān)注再識別、匿名化的算法（re-identification and de-anonymisation algorithms）等問題。如一些學(xué)者指出鑒于數(shù)據(jù)處理技術(shù)的進步和可用于分析的數(shù)據(jù)的總量巨大，絕對和不可逆轉(zhuǎn)的匿名早已不再可能。還有學(xué)者利用大數(shù)據(jù)分析得出結(jié)論認(rèn)為識別和非識別信息之間的二元區(qū)分已無意義㈣。法律應(yīng)當(dāng)與時俱進，永葆時代性，這些問題成為我國制定《個人數(shù)據(jù)保護法》時必須要解決的問題。

（三）設(shè)立數(shù)據(jù)保護監(jiān)管機構(gòu)

今年兩會期間，周漢民委員建議，政府可參考美國的聯(lián)邦貿(mào)易委員會、歐盟的數(shù)據(jù)保護委員會等，也設(shè)立統(tǒng)一的執(zhí)法機構(gòu)，快速、有效地解決糾紛。經(jīng)過我國香港地區(qū)的實踐檢驗，設(shè)立專門獨立的個人信息保護機構(gòu)是切實可行的。本文認(rèn)為可以設(shè)立國家層面的個人數(shù)據(jù)保護委員會，專門負(fù)責(zé)個人數(shù)據(jù)保護領(lǐng)域的工作，主要承擔(dān)推動個人數(shù)據(jù)保護法律完善和實施、督促相關(guān)國家機關(guān)遵守個人數(shù)據(jù)保護法與落實執(zhí)法監(jiān)管責(zé)任、開展個人數(shù)據(jù)保護行政執(zhí)法、宣傳教育和國際交流合作等，個人數(shù)據(jù)保護委員會向國務(wù)院負(fù)責(zé)。同時，國家要突出個人數(shù)據(jù)保護委員會地位，健全組織機構(gòu)，打通政府各個部門機構(gòu)之間的關(guān)系，并配備專門的相關(guān)技術(shù)性人才，這樣更有利于個人數(shù)據(jù)的保護。

（四）加強數(shù)據(jù)保護國際合作制度建設(shè)

中華人民共和國首席大檢察官、最高人民檢察院檢察長張軍在第五屆世界互聯(lián)網(wǎng)大會的主要分論壇發(fā)言中表示，中國愿與各方攜手，深化國際執(zhí)法司法合作，深化與法學(xué)界以及相關(guān)管理部門、網(wǎng)絡(luò)服務(wù)企業(yè)的合作，共同開啟大數(shù)據(jù)時代個人信息保護新的“對話窗”，推動形成個人信息保護新的“共識圈”，為個人信息司法保護、為大數(shù)據(jù)安全、為全球互聯(lián)網(wǎng)發(fā)展治理作出應(yīng)有的貢獻。我國應(yīng)積極地與相關(guān)國家展開雙邊和多邊磋商，簽訂類似于歐美的《安全港協(xié)議》或建立協(xié)商溝通機制，實現(xiàn)對國際數(shù)據(jù)流動保護的新突破。通過雙方、多方的共同合作，打破信息孤島，實現(xiàn)更深、更廣地研究。以類似的雙邊多邊渠道開展對話合作，秉承平等、互信、互利的原則，堅持雙贏多贏共贏的理念，共同打擊侵犯公民個人數(shù)據(jù)等犯罪，強化個人數(shù)據(jù)法律保護。

（五）引導(dǎo)行業(yè)建立自我規(guī)制機制

在信息流通無處不在的今天，單純依靠行政機關(guān)運用行政權(quán)監(jiān)管個人數(shù)據(jù)的使用情況是不可能的，政府的資源有限，因而通過引導(dǎo)行業(yè)自律機制監(jiān)督行業(yè)內(nèi)使用個人信息的情況，既能達到保護個人信息安全的目的，又能節(jié)約行政資源，同時也能促進社會組織發(fā)展與現(xiàn)代管理制度的革新。自治規(guī)則的實施主要依賴于行業(yè)自治組織采取行動，企業(yè)需要建立起與專業(yè)網(wǎng)絡(luò)安全廠商合作的意識，不斷發(fā)現(xiàn)問題、解決問題，保持對數(shù)據(jù)安全持續(xù)和穩(wěn)定的投入，同時關(guān)注網(wǎng)絡(luò)安全形勢的發(fā)展，不斷為用戶數(shù)據(jù)加上“安全鎖”。企業(yè)需要建立相應(yīng)的數(shù)據(jù)保護制度。近年來企業(yè)個人數(shù)據(jù)泄露事件頻繁發(fā)生，導(dǎo)致信息主體所享有的合法權(quán)益正不斷受到侵害，探討企業(yè)和行業(yè)的自我規(guī)制刻不容緩，有學(xué)者建議應(yīng)當(dāng)結(jié)合企業(yè)在個人數(shù)據(jù)處理各個環(huán)節(jié)中存在的問題，從企業(yè)管理、司法保護以及行政監(jiān)管幾個層面加以應(yīng)對，這些應(yīng)當(dāng)也是未來法治發(fā)展中的重要內(nèi)容。

結(jié)語

總而言之，在當(dāng)今信息化時代，個人數(shù)據(jù)既不再是隱私權(quán)的客體，也不是人格權(quán)衍生出的財產(chǎn)權(quán)的組成部分，而成為國家、數(shù)據(jù)企業(yè)和個人共享的寶貴數(shù)據(jù)資源。因此，關(guān)于個人數(shù)據(jù)的立法不應(yīng)再狹隘地局限于個人利益或私權(quán)保護，應(yīng)側(cè)重規(guī)范信息資產(chǎn)合理開發(fā)中個人利益和社會公共利益的平衡，應(yīng)更好地發(fā)揮個人數(shù)據(jù)在促進個人全面發(fā)展和推動社會進步中的公共產(chǎn)品作用，這是大勢所趨，也是我國法律適應(yīng)時代發(fā)展需求的必然選擇。未來，數(shù)據(jù)使用的方法和模式均是過去難以想像的。由人工智能、機器學(xué)習(xí)驅(qū)動的數(shù)據(jù)分析與信息保護的目的限制原則會發(fā)生沖突，這也導(dǎo)致數(shù)據(jù)驅(qū)動的產(chǎn)業(yè)的所有信息都會與人有關(guān)。機器學(xué)習(xí)的整合性方式需要提前確定目的，這將為相關(guān)的研究設(shè)計明確可靠性和效率。問題是很難對機器學(xué)習(xí)加以提前預(yù)設(shè)，這導(dǎo)致個人數(shù)據(jù)的法治建設(shè)中面臨著巨大的挑戰(zhàn)?？萍嫉陌l(fā)展，社會的進步，終極目標(biāo)是讓人類更安全，更自由。通過構(gòu)建個人數(shù)據(jù)保護制度，確保數(shù)據(jù)主體的充分權(quán)力，促進個人數(shù)據(jù)在產(chǎn)權(quán)清晰、保障有力的制度框架下發(fā)揮更大的價值，協(xié)力維護個人數(shù)據(jù)安全，共筑網(wǎng)絡(luò)強國之夢，從而使我國能夠緊跟數(shù)據(jù)信息時代的發(fā)展潮流。