蘆亮叢

一、大數(shù)據(jù)背景下個人信息相關(guān)理論概述

(一)網(wǎng)絡(luò)環(huán)境下個人信息保護的重要性

個人信息作為一種極其重要但又容易被侵犯的寶貴資源，其與公民個人的人格和財產(chǎn)等息息相關(guān)，我們身處大數(shù)據(jù)時代，計算機技術(shù)和互聯(lián)網(wǎng)的聯(lián)動發(fā)展使我們在獲得極大便利的同時，個人信息也可能被利用或者破壞，每個人都越來越重視自己的信息安全，而事實上由于缺乏明確的法律保護依據(jù)，加之個人信息保護意識不強，使得個人信息的維權(quán)無從下手，因此建立個人信息保護制度勢在必行。

(二)個人信息保護的憲法學基礎(chǔ)

為了探究個人信息保護與憲法領(lǐng)域之間的關(guān)系，有必要學習和回顧歐美國家的個人信息保護發(fā)展史。歐美國家關(guān)于信息保護的研究自20世紀60年代起始，通過不斷發(fā)展，現(xiàn)已日臻完善。我們選擇美國和德國作為最具代表性的示例，來論述個人信息保護的憲法基礎(chǔ)，為個人信息保護的路徑選擇提供充分的法理基礎(chǔ)。

美國個人信息保護來源于隱私權(quán)，且美國憲法對傳統(tǒng)的隱私權(quán)的確認和保護始于20世紀60年代。眾所周知，美國隱私權(quán)對個人信息憲法意義上的保護源自“沃倫訴羅伊案”，其首次確認了隱私權(quán)中的信息隱私，標志著美國對信息隱私權(quán)的加強，此后歷經(jīng)發(fā)展，美國形成了以拓展隱私權(quán)來確立個人信息保護的憲法基礎(chǔ)。

個人隱私在德國被視為個人尊嚴實現(xiàn)的一部分，公民私領(lǐng)域的基本權(quán)利與發(fā)展以基本法中的“人格尊嚴”和“人格自由發(fā)展”為憲法基礎(chǔ)并加以保護，對于個人信息保護的發(fā)展具有里程碑意義的事件是源于20世紀80年代的人口普查案，其促使了信息自決權(quán)的形成。至此，德國以信息自決權(quán)確立了個人信息的憲法保護，其實質(zhì)上亦是源自人格尊嚴這一憲法基礎(chǔ)。

(三)GDPR中個人信息保護的有關(guān)規(guī)定

在GDPR框架下，數(shù)據(jù)主體享有知情權(quán)、訪問權(quán)、更正權(quán)、可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對權(quán)和自動化個人決策相關(guān)權(quán)利。首先，知情權(quán)要求處理個人數(shù)據(jù)的各類組織機構(gòu)必須使用清晰、簡潔的語言，以簡單、透明、易懂的形式提供下列信息，也可使用可視化的方法?！秱€人數(shù)據(jù)法》規(guī)定，數(shù)據(jù)主體有權(quán)要求確認是否正在處理與其有關(guān)的個人數(shù)據(jù)以及訪問其個人數(shù)據(jù)并獲得特定信息。GDPR則擴大了控制者需提供的信息范圍，控制者有義務(wù)向數(shù)據(jù)主體免費提供其個人數(shù)據(jù)副本一份，變相的要求增加控制者的行政管理負擔和責任。其次，GDPR新增了數(shù)據(jù)的可攜性條款，當出現(xiàn)特定情形時，數(shù)據(jù)主體有權(quán)從控制者處接收回其提供給控制者的個人數(shù)據(jù)，進一步加強了數(shù)據(jù)主體對其個人數(shù)據(jù)的控制。最后，刪除權(quán)(也稱作被遺忘權(quán))，賦予了數(shù)據(jù)主體在個人數(shù)據(jù)不正確、不完整或不相關(guān)等存在一個或多個限制性理由時，刪除個人數(shù)據(jù)的權(quán)利。GDPR通過設(shè)立諸多數(shù)據(jù)主體的權(quán)利來明確個人對其信息的控制權(quán)。

GDPR對數(shù)據(jù)控制者的問責機制之一是要求其遵循從設(shè)計著手隱私保護和默認隱私保護原則。首先，從設(shè)計著手隱私保護和默認隱私保護原則要求各類組織機構(gòu)在產(chǎn)品和服務(wù)的初始階段以及整個過程中將數(shù)據(jù)隱私保護考慮在內(nèi)；其次，GDPR要求設(shè)置數(shù)據(jù)保護官(DPO)一職，來監(jiān)督組織機構(gòu)是否遵守GDPR及其他相關(guān)數(shù)據(jù)保護法的規(guī)定，是否符合組織機構(gòu)內(nèi)部與個人數(shù)據(jù)保護相關(guān)的政策，就是否進行隱私影響評估及監(jiān)督隱私影響評估執(zhí)行情況提供意見。歐盟通過以嚴苛的問責機制和賦予數(shù)據(jù)主體較大的權(quán)利來促使GDPR的有效實施，推動了個人數(shù)據(jù)保護的發(fā)展，也為其他國家個人信息保護的路徑架構(gòu)提供了經(jīng)驗法則。

二、我國當前個人信息保護的現(xiàn)實困境

(一)現(xiàn)有法律體系，監(jiān)管體制問題

我國對個人信息保護問題的研究，與歐盟、日本和美國等發(fā)達國家相比，開始的時間要晚很多。現(xiàn)有的法律體系不健全，沒有專門的個人信息保護法案，相關(guān)法律規(guī)定分布分散，沒有系統(tǒng)性。最近實行的《網(wǎng)絡(luò)安全法》雖然明確加強對個人信息的保護，但公民個人信息的范圍被限縮在很小的范圍內(nèi)，未規(guī)定包含公民隱私數(shù)據(jù)的個人信息如何保護，且現(xiàn)行立法原則性較強，具體可操作性較差，同樣不容忽視。在數(shù)據(jù)的監(jiān)管體制下，存在數(shù)據(jù)交易的監(jiān)管不到位，監(jiān)管職責交叉不清，缺乏有效的監(jiān)管制度，管理分散，對違法行為的處罰力度不夠等問題。

(二)傳統(tǒng)“知情同意”模式有效性問題

“同意”是處理個人數(shù)據(jù)的正當理由，是數(shù)據(jù)處理的法律基礎(chǔ)，未經(jīng)同意而處理個人數(shù)據(jù)是不被允許的。在傳統(tǒng)“知情同意”的機制中，社交軟件在用戶使用該App之前，通常會向用戶發(fā)布隱私聲明，只有點擊下方的同意才擁有使用該應(yīng)用的權(quán)利。表面上看是用戶對其個人信息是否披露享有控制權(quán)，而實際上用戶對其信息如何處理并不了解，也不清楚導致的后果，用戶的力量是非常小的，并且傳統(tǒng)的隱私聲明如同列舉長篇的清單，條款內(nèi)容形同虛設(shè)，無關(guān)痛癢，沒有實質(zhì)內(nèi)容，所列事項并不具體明確。面對運營商提供的條款聲明，用戶只能選擇全盤接受，為了更快的使用其產(chǎn)品帶來的服務(wù)。這樣一來，用戶對其個人信息的控制權(quán)實際上已被架空。

(三)個人信息司法救濟的現(xiàn)實困境

目前我國個人信息司法救濟主要以隱私權(quán)為主，該救濟模式將“個人信息”限縮至隱私權(quán)范疇進行保護，倘若涉訴的信息不具有隱私屬性，就不認為是侵權(quán)行為，這就排除了未明顯侵害隱私權(quán)但侵害個人信息自決權(quán)的侵權(quán)行為。單純依靠隱私權(quán)進行個人信息的司法救濟在侵權(quán)行為及侵權(quán)責任認定等方面存在實務(wù)困境，無法實現(xiàn)對個人信息的充分救濟。①

所以僅僅依靠隱私權(quán)來對個人信息進行救濟是不夠完善的，對個人信息保護范疇亟待加強，我國《民法總則》第111條雖確立了自然人的個人信息權(quán)，但對其保護相對模糊且原則性較強，在司法實踐中不具有較強的實用性，依然走不出隱私權(quán)保護的慣性。個人信息保護的范圍邊界也是模糊不定的，司法審判中很難判定此類案件屬于信息保護的范疇，并且信息數(shù)據(jù)主體相較于數(shù)據(jù)控制者和數(shù)據(jù)處理者來說，舉證能力較弱，實際訴訟中勝訴率很低。

三、基于GDPR重構(gòu)個人信息保護路徑

(一)優(yōu)化“有效同意”的法律框架

GDPR第4條第11款原文將“同意”定義為:“數(shù)據(jù)主體的同意是指，數(shù)據(jù)主體依照其意愿自由做出的、特定的、知情的、明確的指示。通過以聲明或清晰肯定的行為做出的該等指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個人數(shù)據(jù)”。“自由做出的同意”意味著信息控制者不得對信息主體進行欺詐、脅迫等行為，數(shù)據(jù)主體做出的同意是其意思自治的結(jié)果?！疤囟ā北砻饔行У耐獗仨毦唧w清楚，同意要容易理解，應(yīng)該清晰指出信息處理的范圍和后果，不能含糊其詞，長篇大論。“知情”則強調(diào)信息控制者要向信息主體提供相應(yīng)的資訊，讓當事人真正實施其信息自決權(quán)。

傳統(tǒng)“知情同意”模式，將所有信息數(shù)據(jù)視為一體，沒有進行分級處理，所以很大程度上該模式形同虛設(shè)。在新型的“有效同意”的法律框架內(nèi)，可以適當提高敏感信息的同意要求，實施分級處理。相關(guān)產(chǎn)品如果涉及敏感信息的處理，此時單一的隱私聲明就不能再適用了，數(shù)據(jù)控制者必須用特殊文字或符號指明數(shù)據(jù)處理可能涉及敏感信息，由數(shù)據(jù)主體自行決定是否同意。數(shù)據(jù)控制者還要委派數(shù)據(jù)保護官(DPO)對敏感數(shù)據(jù)進行保護，防止泄露。

對于兒童這一特殊主體，應(yīng)當適用特殊的同意規(guī)則。因其缺乏對風險與處理個人數(shù)據(jù)相關(guān)權(quán)利的了解。只有兒童在年滿16周歲時，基于同意的數(shù)據(jù)處理才是合法的，倘若兒童未滿該年齡，則只有在有監(jiān)護權(quán)的父母同意或授權(quán)的情況下，數(shù)據(jù)處理才是合法的。此外還要加強數(shù)據(jù)控制者對兒童的告知義務(wù)，設(shè)置合理的同意程序來確保兒童能夠理解，有效地參與到同意的決策，實現(xiàn)自己的信息自決權(quán)。

(二)設(shè)立新型的風險評估體系

基于目前我國個人信息保護的實際情況，應(yīng)當在行政機關(guān)內(nèi)部設(shè)立專屬的信息保護風險規(guī)制機構(gòu)，吸納信息安全領(lǐng)域的人才對具體的信息風險進行甄別，溝通交流，出具甄別報告，方便查閱。

風險評估是風險規(guī)制路徑中最為重要的一環(huán)，也是風險規(guī)制的基礎(chǔ)性工作。個人信息保護不像傳統(tǒng)食品安全衛(wèi)生、環(huán)境保護等領(lǐng)域存在的風險那般的具象化，信息保護的風險評估是建立在虛擬數(shù)據(jù)的分析上。個人信息的風險評估，可以從信息的價值、數(shù)據(jù)控制者和處理者的處理頻率、威脅程度進行衡量。首先，風險規(guī)制部門需要對這三項基本要素進行分析定性；其次，根據(jù)數(shù)據(jù)處理者的處理頻率和成因進行量化，得出個人信息爆發(fā)安全事故的可能性；最后，根據(jù)爆發(fā)安全事故的可能性推導出信息所受損失，以損失大小為基礎(chǔ)計算出個人信息保護的風險閾值。

(三)重申第三方信息處理者的民事責任

GDPR新增了信息控制者和第三方信息處理者民事責任的分擔形式，對外就信息主體的全部損失承擔連帶責任，歸責原則適用過錯推定原則。在參考歐盟GDPR第三方信息處理者民事責任承擔模式的同時，對我國涉第三方信息處理者的民事責任的架構(gòu)可以這樣考慮:

首先，對于信息保護糾紛，可以設(shè)置舉證責任倒置，由信息控制者和第三方信息處理者承擔舉證責任，證明自己不存在過錯。因為現(xiàn)實中，原告即數(shù)據(jù)主體處于弱勢地位，舉證能力較弱，通過舉證責任倒置將舉證責任分配給在證據(jù)層面占據(jù)優(yōu)勢的信息控制者和信息處理者，是比較合理的。當然不能對信息處理者處以過于嚴苛的舉證責任，否則可能會制約產(chǎn)業(yè)發(fā)展的平衡，因此將其舉證責任限定在其沒有過錯的范圍內(nèi)。

其次，可以學習GDPR相關(guān)規(guī)定，明確信息控制者與信息處理者的連帶責任，直接給予信息主體向信息控制者或者信息處理者任何一方追索的權(quán)利，極大地提高其維權(quán)效率。當然要注意，信息處理者承擔的是有限連帶責任，其只需證明自己對信息控制者的施令已經(jīng)盡到了注意義務(wù)即可。

(四)完善現(xiàn)有法律體系和監(jiān)管

首先，近年來對于個人信息保護的呼聲越來越高，我國也做出了不懈的努力，最新的《電子商務(wù)法》和《網(wǎng)絡(luò)安全法》重申了對個人信息的保護力度，但我國個人信息保護體系依然不健全，具體實操性較差，新增法案雖然對個人信息保護部分做出了多項規(guī)定，但依然是以傳統(tǒng)的知情同意模式為架構(gòu)，難以實現(xiàn)公民的信息自決權(quán)，因此建立統(tǒng)一的《個人信息保護法》勢在必行。其次，相關(guān)信息保護法案要相互銜接，對于個人信息的范圍和法律適用要有良好的界定。最后，建議監(jiān)管部門成立專門的信息保護署，當個人數(shù)據(jù)被非法利用時，要加大對數(shù)據(jù)控制者的處罰力度，追究相關(guān)責任人員的刑事責任。

四、結(jié)語

身處大數(shù)據(jù)時代，個人信息保護問題亟待解決。GDPR被稱為“史上最嚴厲的信息保護法案”，它的相關(guān)規(guī)定對全世界的信息保護問題研究產(chǎn)生了深刻的影響，不管是GDPR中數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)控制者和處理者的義務(wù)，還是風險評估和問責機制的相關(guān)規(guī)定都值得我們深入探究。基于我國目前個人信息保護的現(xiàn)狀，希望通過優(yōu)化同意機制，建立風險評估和對舉證責任的重申，構(gòu)架出一條個人信息保護的新型路徑。