郭奇琪

【摘 要】 文章首先概述了個人信息的相關(guān)定義和特征，指出目前我國個人信息保護的一些缺陷，使得法律法規(guī)對于個人信息交易的禁止性態(tài)度和個人信息的流通和再利用的現(xiàn)實需求出現(xiàn)明顯矛盾，最后從立法方面提出個人信息保護的完善策略：借鑒域外個人信息保護的有關(guān)法律;完善個人信息保護的法律法規(guī)。

【關(guān)鍵詞】 個人信息;個人信息保護;刪除權(quán)

由于《個人信息保護法》的缺失，我國對于個人信息保護的規(guī)定散見于效力層級較低的法律規(guī)范之中，未成體系。針對實踐中屢屢被曝的個人信息泄露事件如何應(yīng)對，如何構(gòu)建我國的個人信息保護法律體系，顯得尤為重要。

一、個人信息概述

1、個人信息的定義

《中華人民共和國民法總則》第一百一十一條規(guī)定自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。[1]但對于哪些是屬于法律保護范疇內(nèi)的個人信息尚不明確，我國對于個人信息保護的規(guī)定散見于法律法規(guī)之中，未成體系，無法實現(xiàn)對個人信息的全面保護。關(guān)于個人信息的定義，《網(wǎng)絡(luò)安全法》第76條第5款規(guī)定：自然人的個人信息是指以電子或者其他方式記錄的，能夠單獨或者與其他信息結(jié)合，識別的自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物識別信息、住址、電話號碼等。[2]

從法律對于個人信息的界定中我們可以歸納出個人信息的三大特征：（1）個人信息的可識別性;無論是姓名、出生日期、指紋還是可以反映信息主體身體、心理要素的其他信息，都具有較高辨識度，可以使得不特定第三方辨別出信息主體的身份。（2）與主體的關(guān)聯(lián)性;之所以要對個人信息進行特別保護，防止個人信息濫用，就是源于個人信息與特定主體間存在的緊密關(guān)聯(lián)。個人信息中包含有隱私信息，涉及私生活領(lǐng)域，與主體的關(guān)聯(lián)更為密切。（3）個人信息的體系性;與信息主體緊密關(guān)聯(lián)的各項因素被分類，由信息收集機構(gòu)采取特定方式予以處理、分析，使之可輕易被第三方獲取。

2、個人信息的分類

我國對于個人信息與隱私、名譽之間的界線模糊不清，對于個人信息與隱私之間的關(guān)系，學(xué)界存在以下三種觀點：第一種觀點認(rèn)為隱私包括個人信息，對于隱私權(quán)加以保護就是對個人信息進行保護，美國采納這種觀點，其對個人信息保護以“隱私權(quán)”為核心展開，該種觀點忽視了二者在隱私概念上的差異，美國對于隱私的界定較我國遠為寬泛。此種觀點難以對公民姓名、出生年月等公開的個人信息作出解釋，在司法實踐中通常不被采納;第二種觀點認(rèn)為個人信息包括隱私，個人信息包括可以公開的部分和私密信息，后者具有隱私屬性的部分即屬隱私權(quán)范疇，但該種觀點難以回應(yīng)隱私中包含有非以信息形式表現(xiàn)的特定行為、習(xí)慣。第三種觀點認(rèn)為個人信息與隱私存在交叉，二者權(quán)利屬性存在差異。個人信息權(quán)關(guān)系到信息主體對于信息的積極支配，公開個人信息從事社會活動;隱私權(quán)關(guān)系到信息主體的私生活領(lǐng)域是否遭到侵犯，私密信息是否泄漏，是主體的消極防御。個人信息可部分公開，作為交易客體，但隱私事關(guān)個人尊嚴(yán)，不得成為交易的對象。對個人信息的保護應(yīng)當(dāng)從個人信息特征入手，從知情、事前告知和事后動態(tài)監(jiān)管進行多維度保護。

《中華人民共和國個人信息保護法（草案）》已經(jīng)公布，但草案對個人信息仍然缺乏明確的分類，個人信息的分類是行業(yè)自律規(guī)范的參照，分類的缺失使得實踐中行業(yè)自律規(guī)范缺乏指導(dǎo)。個人信息主要有以下四種形式組成，第一種是個人身份信息，包括姓名、身份證號碼、個人賬號信息等，通過為人格第三方識別，實現(xiàn)對外交往的目的，此類信息兼具公開和隱私雙重屬性，表現(xiàn)為有限度的流通;第二種是個人隱私信息，包括短信記錄、聊天記錄、日記，銀行卡密碼等，關(guān)系到信息主體的私生活領(lǐng)域，可能侵犯信息主體的隱私;第三種是個人行為信息，用戶在實際生活和網(wǎng)絡(luò)中從事各種活動會保有記錄，包括消費記錄、訪問記錄等，通過一系列的記錄形成信息主體個性化的數(shù)字符號;第四種是衍生數(shù)據(jù)，是對上述海量用戶的上述三種個人信息進行處理、分析之后形成的數(shù)據(jù)信息，衍生數(shù)據(jù)已經(jīng)不具備可識別性，其對信息主體產(chǎn)生侵害的可能性較小，大多數(shù)學(xué)者主張衍生數(shù)據(jù)屬于依法可以公開的信息，供任意第三方利用。

二、我國個人信息保護的缺陷

1、我國個人信息保護的現(xiàn)狀

我國現(xiàn)有法律沒有關(guān)于個人信息權(quán)的明確規(guī)定，僅在《刑法》條文中對非法提供、獲取個人信息的行為予以嚴(yán)懲的規(guī)定。對于侵害民事領(lǐng)域內(nèi)的個人信息權(quán)的，司法實踐中一般援引對于隱私權(quán)、名譽權(quán)等人格權(quán)的法律規(guī)定予以保護，缺乏統(tǒng)一的規(guī)定。對于個人信息交易，雖然我國官方明令禁止，但實踐中個人信息交易事件屢禁不止。事實上，個人信息不僅是個人的私有財產(chǎn)，是自然人人格的產(chǎn)物，更是一種交易的客體，能夠經(jīng)信息收集機構(gòu)分析、利用后造福社會，給信息主體也帶來便利。數(shù)據(jù)時代的信息處理和分析靠數(shù)據(jù)庫支撐，著眼于數(shù)據(jù)的共性而非個性的分析，數(shù)據(jù)處理機構(gòu)可以依靠數(shù)據(jù)的收集和分析為信息主體提供個性化服務(wù)。據(jù)一位歐洲交易專員的統(tǒng)計，2020年個人數(shù)據(jù)交易總量將達到歐洲GDP總量的8%。[3]大數(shù)據(jù)時代下適度放開個人信息交易有助于激發(fā)經(jīng)濟活力，首先，市場營銷以消費者的需求和興趣為基礎(chǔ)，商家通過個人信息的收集為消費者提供個性化服務(wù)，大大減少了營銷成本。其次，在對信息進行分析的基礎(chǔ)上，商家可以發(fā)現(xiàn)消費者的潛在需求，推進新的產(chǎn)品研發(fā)和服務(wù)升級，推動本行業(yè)的產(chǎn)業(yè)升級。個人信息處理者即公共機構(gòu)和私法主體收集個人信息的主要目的是為了公共目的，以促進社會發(fā)展和創(chuàng)造經(jīng)濟價值為最終目標(biāo)，并且其中還包括了為信息主體提供多元服務(wù)，信息收集的目的并不是為了實現(xiàn)對個人的監(jiān)視和對信息主體的侵害。

個人存在的價值在于社會交往，信息主體不僅關(guān)系到對信息的支配、控制、排除，主體在對個人信息享有支配權(quán)的同時應(yīng)當(dāng)有所限制。在主體對外交往的場合，個人信息涉及交易安全，是另一方的決策依據(jù)。正是信息主體對于個人信息缺乏支配權(quán)，才產(chǎn)生了個人信息的真實性。如果信息主體對于個人信息有完全的自主權(quán)，那么他完全可以將對外展示的個人信息進行隨意更改、刪除，導(dǎo)致最終展現(xiàn)的個人數(shù)據(jù)不具備客觀真實性，不利于交易安全。

2、我國個人信息保護的缺陷

《網(wǎng)絡(luò)安全法》要求收集、利用、使用個人信息必須獲得信息主體的同意，保證信息處理行為的正當(dāng)性。信息收集的“知情同意”規(guī)則使得為了遵循法律的嚴(yán)格要求，信息收集機構(gòu)往往在隱私聲明中進行冗長晦澀的闡述，以保證用戶對信息收集可能產(chǎn)生的影響有所判斷。信息收集機構(gòu)往往在聲明中對信息來源、處理方式、用途等作出詳盡說明，以撇清關(guān)系，用戶訪問網(wǎng)站或者使用相關(guān)平臺提供的服務(wù)需要閱讀隱私聲明，并點擊同意方可接受服務(wù)。冗長的隱私聲明給用戶閱讀和使用上述產(chǎn)品帶來嚴(yán)重的負擔(dān)，大多數(shù)用戶甚至不加閱讀就直接點擊同意。另一方面，多元的信息流通渠道使得信息收集機構(gòu)在隱私聲明中對可能出現(xiàn)的風(fēng)險難以做到一一詳盡提示。

信息流通具有時效性，數(shù)據(jù)處理以海量數(shù)據(jù)庫為支撐，一律以個人的知情同意為處理前提，將產(chǎn)生額外時間成本，“知情同意”模式存在著明顯的缺陷。首先，個人同意的前提基礎(chǔ)知情權(quán)無法保證，信息處理應(yīng)當(dāng)事前充分告知，機構(gòu)收集方和信息主體之間實力懸殊，嚴(yán)重信息不對稱使得個人對信息處理的影響無法做出預(yù)判。處理前告知并不能消弭信息主體和信息收集方的地位差距。信息不對稱的解決，核心在于保障信息主體的知情權(quán)，知情權(quán)的前提是信息公開，但信息主體處于弱勢地位，無法做到信息對等。其次，信息主體對意思表示難以享有充分的自決權(quán)，為了獲取網(wǎng)絡(luò)服務(wù)提供商提供的服務(wù)，信息主體除了同意以外別無選擇。信息主體面臨的是“要么同意、要么走開”的兩難境地，如果其不提供網(wǎng)絡(luò)服務(wù)商所要求的個人信息，就無法享受后續(xù)的服務(wù)和商品。因此，在面臨此種選擇時，用戶毫無疑問都會選擇同意，甚至連相關(guān)的用戶協(xié)議、服務(wù)條款和隱私權(quán)政策都不會閱讀。此種情形下，閱讀上述文件已經(jīng)缺乏現(xiàn)實的意義，同意作為個人信息收集的正當(dāng)性前提的意義顯然蕩然無存。當(dāng)然，對個人信息自決權(quán)的限制并不意味著降低對信息處理者的責(zé)任，針對潛在的侵害隱私的危險，任何第三方都有合理注意和減小損失義務(wù)，其有義務(wù)將損害降低到最小程度，并對侵害結(jié)果承擔(dān)責(zé)任。

三、個人信息保護立法的完善

1、個人信息保護的域外借鑒

美國和歐洲對于隱私保護的規(guī)定較為原則，將隱私保護作為社會基礎(chǔ)價值，在保護內(nèi)涵的界定上遠不止單純遵守既有的法律規(guī)則，將隱私作為伴隨社會觀念的發(fā)展而動態(tài)演化的精神價值。將個人信息保護作為一項值得追求的社會價值，公共機構(gòu)負責(zé)隱私保護的官員在產(chǎn)品研發(fā)、服務(wù)規(guī)劃的早期階段就將其與隱私保護緊密聯(lián)系，從而充分保護公民個人信息。

美國對于個人信息的保護主要是通過各個領(lǐng)域的隱私權(quán)聯(lián)邦立法和不斷擴充的隱私權(quán)保護司法判例確立的。是在原有以隱私保護為核心的基礎(chǔ)上，將個人信息納入到隱私保護的框架之內(nèi)。[4]關(guān)于美國法下隱私的定義，1980年，加維森提出，隱私是“對別人接近他人的限制”，保護的是個人的“安靜或者安寧”，隱私權(quán)包括：（1）秘密權(quán);（2）匿名權(quán);（3）獨處權(quán)。美國雖然沒有專門的立法保護公民個人信息數(shù)據(jù)，但是通過眾多分散的立法文件確立了以隱私權(quán)為基礎(chǔ)的個人資料保護法律制度，并明確了資料隱私權(quán)和自決隱私權(quán)。[5]美國法院通過一系列的判決對隱私權(quán)的外延作出了一個拓展性的規(guī)定，將隱私權(quán)視為開放性的個人權(quán)利，保護的領(lǐng)域也遠遠超出了私生活的安寧和秘密，還包括了不被干擾、特定情形下的被遺忘權(quán)。對于特定領(lǐng)域內(nèi)的隱私保護由本行業(yè)依據(jù)需要制定法規(guī)，各行各業(yè)都有關(guān)于隱私保護的自律規(guī)定。

歐洲對于個人信息的保護是以對基本人權(quán)、人格尊嚴(yán)為基礎(chǔ)構(gòu)建的，通過對個人信息的保護實現(xiàn)對主體人格尊嚴(yán)的維護。在規(guī)范層面，歐洲國家隱私保護的共同趨勢是將嚴(yán)格的政府執(zhí)法、公共壓力下的行業(yè)自律和低水平的訴訟機制相結(jié)合，即所謂的“合作法治主義”模式。歐洲國家不允許信息收集機構(gòu)在一開始就獲得概括性的同意，要求收集者明確收集的信息范圍、收集方式、使用目的等，充分保障當(dāng)事人的知情權(quán)。對于數(shù)據(jù)留存，《個人數(shù)據(jù)保護指令》只規(guī)定兩種方式：一是基于原始收集目的留存，二是在實現(xiàn)去標(biāo)識化處理之后留存。

歐美在保護個人信息方面存在共性，都是將法律強制和行業(yè)自律相結(jié)合，以增強對個人信息的保護效果。

2、完善個人信息保護的法律法規(guī)

歐美個人信息保護的“合作主義法治”模式取得良好的成效，我國在立法和實踐過程中可依據(jù)國情作出適應(yīng)性調(diào)整。個人數(shù)據(jù)濫用的受害方是信息主體，信息使用者對于保護個人數(shù)據(jù)必定缺乏激勵，缺乏保護個人信息的積極性。要健全對個人信息的保護框架，必須對納入保護范疇的個人信息作出清晰分類，讓信息收集者有法可依，讓裁判者有據(jù)可采。

（1）個人信息的立法。當(dāng)下，個人信息保護法已被納入立法規(guī)劃，關(guān)于《中國人民共和國個人信息保護法（草案）》業(yè)已公布，但僅有這樣一部基礎(chǔ)性的法律規(guī)定難以應(yīng)對實踐中新出現(xiàn)的信息糾紛，由各行業(yè)根據(jù)特性制定自律性規(guī)范具有重要意義。一方面，行業(yè)自律發(fā)揮自身優(yōu)勢，能夠針對經(jīng)濟、技術(shù)的發(fā)展及時作出適應(yīng)性的調(diào)整，不同行業(yè)的個人信息保護的側(cè)重點可能有所差異，自律規(guī)范正是對法律穩(wěn)定性和統(tǒng)一性的補充;另一方面，法律又可以利用強制力后盾提高規(guī)范的約束力，杜絕無視行業(yè)規(guī)范的信息濫用行為。

（2）實踐層面。①個人信息的去標(biāo)識化。其一，可識別性是個人信息最顯著的特征，要實現(xiàn)個人信息的流通和再利用，必須對個人信息進行去標(biāo)識化的處理?；ヂ?lián)網(wǎng)出現(xiàn)以前，人們依賴于有形載體實現(xiàn)信息流通，大數(shù)據(jù)時代的到來使得信息的流通更為快速便捷，只要用戶有任何數(shù)據(jù)片段留存于網(wǎng)絡(luò)空間，那么在任何時間任何地點，這些留存的信息片段就處于公知狀態(tài)，處于觸手可及的狀態(tài)。依托于數(shù)據(jù)處理技術(shù)，這些數(shù)據(jù)片段甚至能夠拼湊成自然人個性化的標(biāo)識符號，實現(xiàn)特定主體的定位。

根據(jù)個人信息識別度不同，可將個人信息分為直接識別信息、準(zhǔn)識別信息和無法識別信息，無法識別信息屬于公開或者準(zhǔn)公開信息，無需設(shè)置特別保護。對于能夠直接反應(yīng)信息主體特定身份的直接識別信息，實踐中通過刪除或者屏蔽等技術(shù)處理手段已經(jīng)可以達到解除與信息主體之間關(guān)聯(lián)的效果。準(zhǔn)識別信息和其他數(shù)據(jù)結(jié)合可以定位到特定自然人，對于準(zhǔn)識別信息應(yīng)當(dāng)設(shè)置清晰去標(biāo)識化標(biāo)準(zhǔn)。