摘要：互聯(lián)網(wǎng)產(chǎn)業(yè)的興起與發(fā)展使我國個(gè)人信息數(shù)據(jù)隱私面臨極為嚴(yán)峻的挑戰(zhàn)，人工智能、機(jī)器學(xué)習(xí)等技術(shù)的普及更加加劇了個(gè)人信息泄露與數(shù)據(jù)濫用的現(xiàn)象，因此建立個(gè)人信息數(shù)據(jù)的法律保護(hù)規(guī)范極具必要性。我國香港地區(qū)在個(gè)人信息數(shù)據(jù)保護(hù)領(lǐng)域頗有成效，其《個(gè)人資料（私隱）條例》規(guī)定了六大保障資料原則：收集個(gè)人資料的目的及方式;個(gè)人資料的準(zhǔn)確性及保留時(shí)限;個(gè)人資料的使用;個(gè)人資料的保安;資訊需在一般情況下可提供;查閱個(gè)人資料。希望從中發(fā)掘內(nèi)地可以借鑒與學(xué)習(xí)的成果，并從該角度對《個(gè)人信息保護(hù)法》予以建議與反思。

關(guān)鍵詞：個(gè)人數(shù)據(jù);香港;個(gè)人信息;隱私保護(hù)

中圖分類號(hào)：D923文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：2095-6916（2021）24-0082-04

一、個(gè)人數(shù)據(jù)（隱私）保護(hù)的必要性

隨著上世紀(jì)80年代互聯(lián)網(wǎng)技術(shù)的引入，互聯(lián)網(wǎng)在我國已經(jīng)發(fā)展了近40年，從一開始的“web loading”到現(xiàn)在的云計(jì)算爆發(fā)、人工智能以及機(jī)器學(xué)習(xí)技術(shù)的不斷完善，以致于人們現(xiàn)在早已無法離開互聯(lián)網(wǎng)所帶給我們的便利環(huán)境;互聯(lián)網(wǎng)所衍生出的各類應(yīng)用程序以及服務(wù)產(chǎn)品也早已滲透至生活各處，與“衣食住行”緊密綁定。根據(jù)智研咨詢《2021—2027年中國互聯(lián)網(wǎng)行業(yè)發(fā)展現(xiàn)狀調(diào)研及發(fā)展趨勢預(yù)測報(bào)告》數(shù)據(jù)顯示：2020年中國網(wǎng)民規(guī)模為9.89億人，滲透率超60%，并涵蓋金融理財(cái)、出行交通等各個(gè)領(lǐng)域。但在互聯(lián)網(wǎng)經(jīng)濟(jì)不斷發(fā)展的同時(shí)，由于法律的滯后性、軟件應(yīng)用開發(fā)技術(shù)不完善等原因，導(dǎo)致個(gè)人數(shù)據(jù)被開發(fā)者、管理者或第三人大量收集且挪用，個(gè)人信息泄露事件屢見不鮮，甚至出現(xiàn)第三方平臺(tái)出售特定人員的手機(jī)號(hào)、身份證乃至家庭住址的事件，對社會(huì)造成極為惡劣的影響。此外，由于部分應(yīng)用程序的壟斷，運(yùn)營商或企業(yè)可以獲取大量用戶數(shù)據(jù)，包括身份數(shù)據(jù)、位置數(shù)據(jù)、行為數(shù)據(jù)等，基于此數(shù)據(jù)庫內(nèi)的收集整理分析后，充分利用“回音壁”效應(yīng)，固化信息繭房，結(jié)合運(yùn)用“推薦系統(tǒng)”進(jìn)行個(gè)性化推薦，以謀取商業(yè)利益;除此之外，利用大量個(gè)人信息數(shù)據(jù)進(jìn)行結(jié)果分析，用于企業(yè)運(yùn)營戰(zhàn)略規(guī)劃，產(chǎn)生難以估量的價(jià)值。

然而，上述互聯(lián)網(wǎng)產(chǎn)業(yè)鏈中的參與者在享受商業(yè)暴利的同時(shí)，也正在不斷地蠶食用戶對個(gè)人信息的知情權(quán)、決定權(quán)、控制權(quán)，嚴(yán)重地侵害了個(gè)人隱私[1]。筆者認(rèn)為數(shù)據(jù)，從某種意義上講，是一種新時(shí)代的權(quán)柄，對這份權(quán)力若不及時(shí)加以嚴(yán)格規(guī)制，其則會(huì)失去控制，成為懸在頭頂?shù)倪_(dá)摩克利斯之劍①。因此，對于我國個(gè)人數(shù)據(jù)（隱私）保護(hù)立法刻不容緩。

二、香港地區(qū)《個(gè)人資料（私隱）條例》

我國香港地區(qū)法律過去受英國法律影響，對個(gè)人信息（隱私）的保護(hù)力度一直在世界各國或地區(qū)中名列前茅[2]。香港于1995年便制定了《個(gè)人資料（私隱）條例》，甚至成立了香港個(gè)人資料私隱專員公署來負(fù)責(zé)監(jiān)察

執(zhí)行該條例，且多次進(jìn)行全面審閱以及咨詢修訂，有較為完善的體系。香港《個(gè)人資料（私隱）條例》于1996年12月20日生效，以保護(hù)在世個(gè)人有關(guān)個(gè)人資料的隱私利益。該條例涵蓋了直接或間接與活著的個(gè)人（數(shù)據(jù)主體）有關(guān)的資料，根據(jù)該資料切實(shí)可行地確定該個(gè)人的身份，并以查閱或處理是切實(shí)可行的形式進(jìn)行。它適用于控制個(gè)人數(shù)據(jù)的收集、持有、處理或使用的任何人員（數(shù)據(jù)用戶）[2]。該條例是“保護(hù)個(gè)人有關(guān)個(gè)人資料的隱私的條例”，然而“隱私”的表述本就模糊，因此它可以歸因于一個(gè)操作定義，即遵守?cái)?shù)據(jù)保護(hù)原則[2]，以設(shè)定原則背景的方式，來規(guī)范主客體之間的關(guān)系以及該條例中所規(guī)制的具體行為。由此，筆者希望通過以下兩個(gè)角度來探析《個(gè)人資料（私隱）條例》。

（一）概念解析

根據(jù)《香港法例》②第四百八十六章《個(gè)人資料（私隱）條例》（以下簡稱《條例》），開篇便闡明該條例所規(guī)制的客體范圍;個(gè)人資料是指下列任何資料：（a）直接或間接與一名在生者有關(guān)的;（b）可從該等資料直接或間接地查明某人身份的;及（c）該等資料的存在形式是可予以查閱及處理的。

1.“資料”的概念

從上述條例（c）中我們不難發(fā)現(xiàn)，資料的存在形式被要求為是可以被外界予以查驗(yàn)處理的。也就是說，對于某些無法由外界查驗(yàn)處理形式存在的信息，并不歸于本條例的客體范疇，如人的回憶、思想等，只要沒有外顯形成可查驗(yàn)的形式，是不受本條例規(guī)制的;又或于存在于某種特殊情況下的電子數(shù)據(jù)，如進(jìn)行實(shí)時(shí)監(jiān)控的閉路電視，僅作為實(shí)時(shí)觀察使用，并未將視頻數(shù)據(jù)留痕的情況下，也不作為本條例中的“資料”。

從“可予以查閱及處理的”另一個(gè)角度來說，即使是存在文件外顯于外界且有留存形式的情況下，如果沒有能查閱和處理的可能性或可行性，也就不屬于本條例中所述“資料”。“Tso Yuen Shui v.Administrative Appeals Board”案中，法官對“查閱可能性”做出解釋：如果個(gè)人資料的原始數(shù)據(jù)需要特定解碼器才可查閱，而該解碼器僅為資料使用人所持有，那么這些原始數(shù)據(jù)并不屬于《條例》中的“資料”[2]。

2.“個(gè)人”資料的概念

除了“資料”的定義外，“個(gè)人”的概念也尤為重要。這涉及資料當(dāng)事人的身份主體的問題，而從《條例》中我們不難發(fā)現(xiàn)，其更加關(guān)注的是與在生者相關(guān)的信息;簡而言之，若是有相關(guān)人員收集死者的個(gè)人資料，死者的親屬也無權(quán)根據(jù)《條例》做出投訴，因?yàn)槠洳⑽磳⑹耪吡腥搿皞€(gè)人”的概念。

關(guān)于《條例》中要求“可從資料直接或間接地查明某人身份”的意思也便如文所述，需要存在有從資料中查明某人身份的可能性才能作為“個(gè)人”的資料，不過根據(jù)上下文的結(jié)構(gòu)理解，原文所指的“某人”也應(yīng)僅限于“在生者”而已。

（二）保障資料原則

《條例》附錄I對于保障資料六大原則做出了詳細(xì)的規(guī)定，該六大原則是該《條例》的真正內(nèi)涵，其規(guī)定了資料的收集、保存、使用、保安、提供和查閱所應(yīng)遵從的原則。

第一原則：收集個(gè)人資料的目的及方式

從《條例》附錄I可知，該原則對于收集目的有三個(gè)方面的要求，目的與資料使用者職能或活動(dòng)相關(guān)、目的合法且適度、資料收集對于目的來說是必需或相關(guān)。在實(shí)務(wù)中，公署根據(jù)不同行業(yè)的特點(diǎn)發(fā)放了數(shù)份《實(shí)務(wù)守則》，用于完善上述規(guī)定和幫助抽象概念進(jìn)行輔助理解。除此之外，該原則后續(xù)明確個(gè)人資料須以合法、公平的方法收集。

第二原則：個(gè)人資料的準(zhǔn)確性及保留時(shí)限

該原則總結(jié)為兩個(gè)方面，首先是要求資料的使用者需要采取“切實(shí)可行”的步驟來保障資料的準(zhǔn)確性[3];其次是要求個(gè)人資料的保存時(shí)限不得超過以貫徹資料被使用或會(huì)被使用的目的所需要的時(shí)間。

該原則是為了保障個(gè)人資料信息在披露、公布或傳播中能夠準(zhǔn)確地進(jìn)行傳播，減少信息失真的可能性，從而進(jìn)一步保障資料當(dāng)事人的權(quán)益;但從《條例》中所要求的“切實(shí)可行”的表述可以發(fā)現(xiàn)，《條例》對于資料使用者的資料準(zhǔn)確性保障義務(wù)也并未過于苛責(zé)，僅需要資料使用者在合理的層面實(shí)施切實(shí)可行的行為保障資料準(zhǔn)確性即可。

第三原則：個(gè)人資料的使用

本原則在于限制資料使用者對于收集資料后的使用行為，《條例》規(guī)定，除了將資料用于收集時(shí)的目的或與前述目的相關(guān)的目的之外，資料使用者不得未經(jīng)資料當(dāng)事人同意將資料用于其他目的。但該原則規(guī)定的內(nèi)容在資料使用者看來過于狹隘且操作成本過高，因此資料使用者在收集資料時(shí)往往會(huì)將自己的目的描述得過于龐大且寬泛，從而對第三原則進(jìn)行規(guī)避，導(dǎo)致第三原則的適用力度及保障性減弱。對此，公署有關(guān)“目的”的定義依據(jù)更多地偏向于資料當(dāng)事人對于被收集后的資料使用目的的理解，而非資料使用者的一面之詞，以回應(yīng)資料當(dāng)事人對于資料使用的合理期待。

第四原則：個(gè)人資料的保安

本原則要求，需采取所有切實(shí)可行的步驟，以確保由資料使用者持有的個(gè)人資料受保障而不受未獲準(zhǔn)許的或意外的查閱、處理、刪除或其他使用的影響。

該原則所指向的是要求資料使用者對于所持有的個(gè)人資料的保護(hù)義務(wù)，要求資料使用者對于信息泄露所造成的后果及損害進(jìn)行考量，從而對于個(gè)人資料保存的地點(diǎn)、方式、安保措施以及可能直接或間接接觸到所保存的個(gè)人資料的人員身份規(guī)制進(jìn)行相應(yīng)的保護(hù)措施[3]。

第五原則：資訊需在一般情況下可提供

本原則要求，資料使用者須采取所有切實(shí)可行的步驟，以確保任何人：能確定資料使用者在個(gè)人資料方面的政策和實(shí)行方式;能被告知資料使用者所持有的個(gè)人資料的種類;能被告知資料使用者持有的個(gè)人資料是為或?qū)?huì)為什么主要目的而使用的。

本原則中，對于資料使用者在個(gè)人資料方面的政策和實(shí)行行為并未規(guī)定是要式或非要式，因此對實(shí)行標(biāo)準(zhǔn)上便存在理解偏差[4]。但往往在實(shí)際操作中，由于資料使用者存在需要提供相應(yīng)證明的義務(wù)，因此更多地采取要式的形式對政策或?qū)嵭蟹绞降扔枰杂涗?，也更加方便記錄留存或出示。例如，在企業(yè)中，企業(yè)主會(huì)對員工進(jìn)行相關(guān)條例的宣讀與傳達(dá)，并要求員工在理解后進(jìn)行書面文件的簽署，以證明自身并未違反本原則。

第六原則：查閱個(gè)人資料

本原則確定個(gè)人對于資料使用者是否持有以他為資料當(dāng)事人的個(gè)人資料的權(quán)利（信息查閱權(quán)），并多處強(qiáng)調(diào)查閱的合理化，如合理時(shí)間、合理形式、適度合理的收費(fèi)。因?yàn)橘Y料使用者處于優(yōu)勢地位，采取不合理的方式阻礙他人查驗(yàn)實(shí)則也是一種變相拒絕，為了減弱資料使用者的優(yōu)勢地位，本原則便對資料使用者可能采取的變相拒絕的方式進(jìn)行了規(guī)制。

除此之外，本原則還規(guī)定了資料當(dāng)事人改正個(gè)人資料的權(quán)利（資料修正權(quán)）。資料當(dāng)事人要求資料使用者進(jìn)行個(gè)人資料的修正后，資料使用者需在40天之內(nèi)采取效應(yīng)措施，如無法在40天內(nèi)采取措施或拒絕修正的，都應(yīng)當(dāng)向資料當(dāng)事人說明拒絕理由。

三、我國建立個(gè)人信息數(shù)據(jù)保護(hù)制度的反思與建議

（一）我國個(gè)人信息數(shù)據(jù)保護(hù)制度現(xiàn)狀

早在2002年12月23日第九屆全國人大常委會(huì)第三十一次會(huì)議首次審議的民法草案中已明確界定私人信息等屬于隱私范疇，但是至今為止我國依舊把隱私權(quán)列入人格權(quán)的范疇，通過名譽(yù)權(quán)以及人格尊嚴(yán)的角度來予以保護(hù)，沒有單列系統(tǒng)且周詳?shù)姆蛇M(jìn)行規(guī)范，相關(guān)的規(guī)定還散落在憲法、刑法、民法典等法律各處。

然而由于社會(huì)的迫切需要、國家戰(zhàn)略的推進(jìn)以及各類，如“萬店掌”事件③、滴滴數(shù)據(jù)事件的發(fā)酵④，于2021年8月20日，《個(gè)人信息保護(hù)法（草案）》成功通過第三次審議。這部對公民個(gè)人、信息行業(yè)和監(jiān)管機(jī)關(guān)都影響重大的法律被正式頒布，并于2021年11月1日起正式施行。《中華人民共和國個(gè)人信息保護(hù)法》（以下簡稱《保護(hù)法》）是我國第一部專門針對個(gè)人信息保護(hù)的統(tǒng)領(lǐng)性法律文件[5]?！侗Ｗo(hù)法》的頒布代表著我國個(gè)人信息保護(hù)制度已成功邁入新的階段。

（二）對《個(gè)人信息保護(hù)法》的建議與反思

《保護(hù)法》共八章七十四條，涵蓋個(gè)人信息處理規(guī)則、信息處理的權(quán)利及義務(wù)、法律責(zé)任等等方面，在立法中借鑒了香港《個(gè)人資料（私隱）條例》以及歐盟GDPR⑤等法律的成功經(jīng)驗(yàn)。比如，我國香港地區(qū)為了保障《條例》的實(shí)施成立了個(gè)人資料私隱專員公署來負(fù)責(zé)監(jiān)察執(zhí)行該條例，由專門機(jī)構(gòu)來負(fù)責(zé)專項(xiàng)事宜，高效踐行法律;內(nèi)地也同樣采取類似形式，授權(quán)國家網(wǎng)信部門負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作，作為主要監(jiān)管部門來保障實(shí)施。除此之外，在《保護(hù)法》的多處都有類似《條例》中的敘述，如資料修正權(quán)（更正、補(bǔ)正）的描述、對于用作家庭事務(wù)的豁免（不適用）以及圍繞“資料收集目的”的規(guī)范等闡述都與《條例》中相似，《保護(hù)法》可以說較好地借鑒《條例》中的特殊規(guī)范和六大原則，更加貼合我國國情。

筆者認(rèn)為，《保護(hù)法》更關(guān)注的是資料當(dāng)事人的個(gè)體意識(shí)，重視當(dāng)事人之間的意思自治，大多對于數(shù)據(jù)使用條件以當(dāng)事人之間的“知情且同意”為前提開展。但我國幅員遼闊人口眾多，且國民素質(zhì)差異化明顯，采用該前提的信息運(yùn)作方式，可能會(huì)給信息流通或使用帶來較為嚴(yán)苛的障礙。在實(shí)際適用場景中，給企業(yè)或其他資料使用者帶來更多成本支出，從而制約了數(shù)據(jù)經(jīng)濟(jì)的發(fā)展。相較于《條例》以設(shè)定原則來規(guī)制具體行為所導(dǎo)致的“寬松”，《保護(hù)法》的具體條款顯得更為“緊致”;當(dāng)然這也跟香港特別行政區(qū)法官擁有更大的釋法權(quán)與區(qū)域的法律體系相關(guān)，但內(nèi)地也應(yīng)進(jìn)一步探討同意規(guī)則在個(gè)人數(shù)據(jù)保護(hù)中的實(shí)際效用，探索新時(shí)代語境下同意規(guī)則的合理性及適用問題。

最后是關(guān)于《保護(hù)法》中“去標(biāo)識(shí)化”和“匿名化”以及“一般”信息的區(qū)分對待問題。《保護(hù)法》第七十三條對上述三種信息進(jìn)行了區(qū)分說明，且匿名化信息在第四條中以無法識(shí)別相關(guān)自然人身份為由，不受該保護(hù)法的規(guī)制（與《條例》類似）。然而在《保護(hù)法》中，雖然明確了“去標(biāo)識(shí)化”和“匿名化”兩種特殊的個(gè)人信息形式，卻對“去標(biāo)識(shí)化”的信息沒有特殊規(guī)定[5]，仍使用對待一般信息的一般規(guī)則，筆者認(rèn)為這一點(diǎn)是有待商榷的。在《保護(hù)法》在第五章關(guān)于個(gè)人信息處理者的義務(wù)中指出，個(gè)人信息處理者應(yīng)采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。立法者本意為期望信息處理者將信息去標(biāo)識(shí)化地處理，這樣在個(gè)人信息泄露或者被竊取、篡改、刪除所造成的社會(huì)危害性更小，風(fēng)險(xiǎn)更低。但是《保護(hù)法》對于“一般”與“去標(biāo)識(shí)化”兩者本質(zhì)差異頗大的信息未進(jìn)行區(qū)分對待，反而一概而規(guī)之，不僅沒有體現(xiàn)對于信息的分層分級(jí)分性質(zhì)的階梯式處理，更無法起到對于信息處理者將信息“去標(biāo)識(shí)化”的激勵(lì)作用。因此，在立法中若能更好地考慮到法律具體實(shí)施后的所形成的現(xiàn)實(shí)成效，會(huì)使法律更加具備長久的生命力和持續(xù)力。

注釋：

①達(dá)摩克利斯之劍：又稱懸頂之劍。達(dá)摩克利斯是公元前4世紀(jì)意大利敘拉古的僭主狄奧尼修斯二世的朝臣，他奉承狄奧尼修斯道：作為一個(gè)擁有權(quán)力和威信的偉人，狄奧尼修斯實(shí)在很幸運(yùn)。狄奧尼修斯提議與他交換一天的身份。在晚上舉行的宴會(huì)里，達(dá)摩克利斯非常享受成為國王的感覺。當(dāng)晚餐快結(jié)束的時(shí)候，他抬頭才注意到王位上方僅用一根馬鬃懸掛著的利劍。他立即失去了對美食和美女的興趣，并請求僭主放過他，他再也不想得到這樣的幸運(yùn)。達(dá)摩克利斯之劍通常被用于象征這則傳說，代表擁有強(qiáng)大的力量非常不安全，很容易被奪走，或者簡單來說，就是感到末日的降臨。

②《香港法例》是中華人民共和國香港特別行政區(qū)現(xiàn)存的成文法法例編匯。由于香港的法律制度以普通法為依歸，對于有爭議的判例或有必要遵守的規(guī)定，都會(huì)以成文法的形式頒布并實(shí)行。

③“萬店掌”事件：2021年3月15日，央視3·15晚會(huì)曝光蘇州萬店掌網(wǎng)絡(luò)科技有限公司（以下簡稱蘇州萬店掌）為商家門店提供人工智能攝像頭，非法收集人臉信息。

④2021年7月2日，網(wǎng)絡(luò)安全審查辦公室發(fā)布公告，稱為防范國家數(shù)據(jù)安全風(fēng)險(xiǎn)，依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》，對“滴滴出行”實(shí)行網(wǎng)絡(luò)安全審查。7月4日，“滴滴出行”因App存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題，被國家互聯(lián)網(wǎng)信息辦公室依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》相關(guān)規(guī)定下架。

⑤歐盟GDPR：GDPR一般指通用數(shù)據(jù)保護(hù)條例?！锻ㄓ脭?shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯(lián)盟的條例，前身是歐盟在1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》。

參考文獻(xiàn)：

[1]華劼.移動(dòng)互聯(lián)網(wǎng)時(shí)代個(gè)人信息隱私保護(hù)[J].重慶郵電大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2017（5）.

[2]張金城，廖永威.香港個(gè)人資料隱私保護(hù)之經(jīng)驗(yàn)——兼論我國個(gè)人資料保護(hù)法之制定[J].河北法學(xué)，2008（11）.

[3]劉傳會(huì)，汪小亞.個(gè)人信息權(quán)利的法律保護(hù)——香港的立法與啟示[J].清華金融評(píng)論，2019（8）.

[4]陳海帆，趙國強(qiáng).個(gè)人資料的法律保護(hù)：放眼中國內(nèi)地、香港、澳門及臺(tái)灣[M].北京：社會(huì)科學(xué)文獻(xiàn)出版社，2014.

[5]黃道麗，胡文華.《個(gè)人信息保護(hù)法（草案）》的立法評(píng)析與完善思考[J].信息安全與通信保密，2021（2）.

作者簡介：付鈺禧（1998—），男，漢族，廣東廣州人，單位為香港浸會(huì)大學(xué)，研究方向?yàn)閿?shù)據(jù)安全及隱私合規(guī)、數(shù)據(jù)法學(xué)、數(shù)據(jù)挖掘與分析。

（責(zé)任編輯：楊超）