劉金銘

摘要：互聯(lián)網(wǎng)時(shí)代，個(gè)人信息具有巨大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值，個(gè)人信息保護(hù)不足和使用不當(dāng)給個(gè)人財(cái)產(chǎn)及人身安全帶來(lái)的問(wèn)題也日益突出。個(gè)人信息保護(hù)和合規(guī)利用成為當(dāng)前個(gè)人信息保護(hù)的重中之重。本文從個(gè)人信息的含義和保護(hù)現(xiàn)狀出發(fā)，結(jié)合域外保護(hù)的經(jīng)驗(yàn)，提出相關(guān)建議，以期引起進(jìn)一步研究，真正實(shí)現(xiàn)個(gè)人信息保護(hù)與使用的平衡。

關(guān)鍵詞：個(gè)人信息;法律保護(hù);知情同意;風(fēng)險(xiǎn)評(píng)估

如今是大數(shù)據(jù)時(shí)代，海量數(shù)據(jù)的生成、分析與共享，產(chǎn)生巨大的經(jīng)濟(jì)價(jià)值。而大數(shù)據(jù)的核心在于個(gè)人信息，大數(shù)據(jù)的反復(fù)使用、分析和共享使得個(gè)人信息泄露變得非常普遍，近兩年每年因個(gè)人信息泄露造成的經(jīng)濟(jì)損失超千億。因此，在利用數(shù)據(jù)創(chuàng)造價(jià)值的同時(shí)，保證個(gè)人信息安全，是亟待研究和解決的命題。

一、個(gè)人信息的概念及特征

《個(gè)人信息安全規(guī)范》（GB/T 35273—2017）里指出，個(gè)人信息包括姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號(hào)密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

個(gè)人信息具有鮮明的特性，具體包括：

首先，個(gè)人信息的主體是單個(gè)的自然人。雖然學(xué)界對(duì)該點(diǎn)有一定的爭(zhēng)議，即部分學(xué)者認(rèn)為信息主體還應(yīng)包括法人。但是，筆者更傾向于個(gè)人信息主體不應(yīng)該包括法人等社會(huì)組織的觀點(diǎn)。個(gè)人信息主體是個(gè)人信息所指向的或者通過(guò)個(gè)人信息被識(shí)別的特定自然人，是有關(guān)個(gè)人信息所針對(duì)的對(duì)象。其次，個(gè)人信息具有一定的秘密性。再次，個(gè)人信息既有人身屬性又具有財(cái)產(chǎn)屬性。個(gè)人信息和其他信息組合能夠?qū)χ黧w相關(guān)利益因素做出辨認(rèn)，對(duì)信息主體做出識(shí)別，因此個(gè)人信息包含人格性質(zhì);同時(shí)，將個(gè)人信息賣給商家能獲取一定的利益，這也就使得個(gè)人信息有了一定的財(cái)產(chǎn)屬性。最后，個(gè)人信息有可區(qū)別性和共享性。區(qū)別性因?yàn)閭€(gè)人信息與單個(gè)主體相關(guān)，，均對(duì)應(yīng)獨(dú)特的單個(gè)自然人，所以說(shuō)個(gè)人信息具有區(qū)別或明確單個(gè)自然人的屬性和作用;共享性是指?jìng)€(gè)人信息在特定范圍內(nèi)可以實(shí)現(xiàn)人與人之間的共享，正是因?yàn)榭晒蚕硇裕沟脗€(gè)人信息的商業(yè)價(jià)值得以實(shí)現(xiàn)。

二、當(dāng)前我國(guó)個(gè)人信息保護(hù)面臨的挑戰(zhàn)

我國(guó)有多部法律法規(guī)等涉及個(gè)人信息保護(hù)，包括《憲法》中涉及“公民的人格尊嚴(yán)、住宅不受侵犯，通信自由和通信秘密受法律保護(hù)”;《刑法》中有“侵犯公民個(gè)人信息罪”，《刑事司法解釋》詳細(xì)列舉了刑法侵犯公民個(gè)人信息罪“情節(jié)嚴(yán)重”的10種情形，《民法總則》中規(guī)定了“法律保護(hù)個(gè)人信息，對(duì)個(gè)人信息進(jìn)行收集、處理的信息控制者和處理者必須履行相應(yīng)的安全保障義務(wù)”;還有《消費(fèi)者權(quán)益保護(hù)法》《網(wǎng)絡(luò)安全法》等規(guī)定了信息保護(hù)的要求，以及有多項(xiàng)國(guó)家及行業(yè)標(biāo)準(zhǔn)出臺(tái)，如《個(gè)人信息安全規(guī)范》從個(gè)人信息的收集、保存、使用、共享、轉(zhuǎn)讓、公開(kāi)披露等方面進(jìn)行了明確、詳細(xì)的規(guī)定。

但是，目前我國(guó)的個(gè)人信息保護(hù)仍然存在很大的挑戰(zhàn)。具體表現(xiàn)在如下幾個(gè)方面：

第一，缺乏一部系統(tǒng)、專門的法律。我國(guó)現(xiàn)行個(gè)人信息立法呈現(xiàn)出碎片化特征，缺乏一部系統(tǒng)、專門的法律對(duì)個(gè)人信息進(jìn)行統(tǒng)一規(guī)定。

第二，缺乏明確的監(jiān)管部門?，F(xiàn)行法律法規(guī)沒(méi)有規(guī)定專門的個(gè)人信息監(jiān)管機(jī)構(gòu)，如《網(wǎng)絡(luò)安全法》規(guī)定國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)和監(jiān)督管理工作，其他部門負(fù)責(zé)各自職權(quán)范圍內(nèi)的工作;《消費(fèi)者權(quán)益保護(hù)法》也只是規(guī)定有關(guān)行政部門負(fù)責(zé)落實(shí)消費(fèi)者合法權(quán)益的職責(zé)。由于個(gè)人信息保護(hù)問(wèn)題涉及各行業(yè)、領(lǐng)域，個(gè)人信息的監(jiān)管部門眾多的話，容易出現(xiàn)分散監(jiān)管、各自為政、相互推諉或者重復(fù)監(jiān)管，浪費(fèi)資源的情形。

第三，目前相關(guān)制度內(nèi)容難以覆蓋實(shí)踐中的問(wèn)題。包括“知情同意”原則受到一定挑戰(zhàn)，其對(duì)于公共利益的實(shí)現(xiàn)存在困難、給個(gè)人和企業(yè)帶來(lái)巨大負(fù)擔(dān)、信息主體并無(wú)實(shí)質(zhì)自由選擇的權(quán)利等;還比如匿名化處理，由于解匿名技術(shù)的出現(xiàn)，匿名化信息與數(shù)據(jù)庫(kù)中大量其他重疊、交叉的信息進(jìn)行關(guān)聯(lián)比對(duì)，就能再度關(guān)聯(lián)、識(shí)別到特定、具體的個(gè)人，因此匿名化后的信息在信息保護(hù)范圍之外也受到了挑戰(zhàn)。

三、歐盟實(shí)踐及對(duì)我國(guó)信息保護(hù)的建議

歐盟是個(gè)人信息保護(hù)立法的模范和先驅(qū)，對(duì)個(gè)人信息進(jìn)行了統(tǒng)一立法。1995 年，歐盟頒布了《數(shù)據(jù)保護(hù)指令》。該指令建立了比較完善的個(gè)人數(shù)據(jù)保護(hù)體系，明確了對(duì)個(gè)人數(shù)據(jù)處理的一般原則、監(jiān)管機(jī)構(gòu)、司法救濟(jì)等等，其規(guī)定的目的限定原則和透明原則等取得了廣泛的共識(shí)并一直沿用至今，是歐盟數(shù)據(jù)保護(hù)中最重要的立法之一。2016年《通用數(shù)據(jù)保護(hù)條例》通過(guò)，其對(duì)知情同意原則進(jìn)行了完善，使得同意只是其中一項(xiàng)合法依據(jù)，為了履行法定義務(wù)所必需、為了公共利益或其他正當(dāng)利益等也是合法依據(jù)，同時(shí)將“風(fēng)險(xiǎn)管理”的理念引入了匿名化信息中，強(qiáng)調(diào)匿名化信息的被重新識(shí)別的風(fēng)險(xiǎn)，因此應(yīng)建立匿名化風(fēng)險(xiǎn)評(píng)估機(jī)制。同時(shí)，歐盟還明確要求企業(yè)必須建立完善的內(nèi)部問(wèn)責(zé)機(jī)制。

鑒于我國(guó)目前個(gè)人信息保護(hù)存在的挑戰(zhàn)，借鑒歐盟或其他國(guó)家的信息保護(hù)實(shí)踐是有必要的。首先，我國(guó)盡快出臺(tái)統(tǒng)一的個(gè)人信息保護(hù)法。目前，我國(guó)正在制定《個(gè)人信息保護(hù)法》，希望能夠盡快出臺(tái)，不僅能夠有利于建立成體系的個(gè)人信息保護(hù)機(jī)制，還能明確監(jiān)管機(jī)制;其次是建議不斷完善“知情同意”機(jī)制，一是解決企業(yè)針對(duì)用戶隱私條款的問(wèn)題，真正實(shí)現(xiàn)信息主體的自主選擇和信息保護(hù);再次是建立完善的風(fēng)險(xiǎn)評(píng)估機(jī)制。在借鑒歐美國(guó)家的經(jīng)驗(yàn)的基礎(chǔ)上，構(gòu)建具體場(chǎng)景中的風(fēng)險(xiǎn)管理路徑，要求并監(jiān)督信息控制者等主體進(jìn)一步明確 “合理使用”的場(chǎng)景，并以是否會(huì)對(duì)信息主體造成風(fēng)險(xiǎn)為標(biāo)準(zhǔn)，引入風(fēng)險(xiǎn)評(píng)估機(jī)制作為工具，對(duì)信息處理行為在具體的場(chǎng)景中可能對(duì)信息主體造成的風(fēng)險(xiǎn)、損失進(jìn)行持續(xù)的評(píng)估，并針對(duì)評(píng)估后的風(fēng)險(xiǎn)等級(jí)實(shí)施不同的措施來(lái)降低風(fēng)險(xiǎn)等，不斷完善信息控制者對(duì)信息保護(hù)的動(dòng)態(tài)機(jī)制。

參考文獻(xiàn)：

[1]萬(wàn)方：《隱私政策中的告知同意原則及其異化》，《法律科學(xué)（西北政法大學(xué)學(xué)報(bào)）》，2019年第2期。

[2]范為：《大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的路徑重構(gòu)》，《網(wǎng)絡(luò)信息法學(xué)研究》2017 年第 1 期。