(1. 中國信息通信研究院安全研究所，北京 100191；2. 中國科學(xué)院大學(xué)公共政策與管理學(xué)院，北京 100040；3. 中國政法大學(xué)，北京 100088)

0 引言

隨著數(shù)字技術(shù)與人民群眾生活持續(xù)深度融合，數(shù)字技術(shù)得到普遍應(yīng)用，個人信息的收集、使用更為廣泛，加速暴露了其潛在的安全隱患。在隱私保護(hù)方面，因個人信息不當(dāng)收集、濫用、泄露，導(dǎo)致公民權(quán)益受到侵害的事件時有發(fā)生，對社會生活秩序產(chǎn)生極大負(fù)面影響。在數(shù)據(jù)安全方面，網(wǎng)絡(luò)安全防御措施的缺乏以及互聯(lián)網(wǎng)高聚集、高流量的特征，帶來很多潛在的數(shù)據(jù)安全威脅。未來，加強(qiáng)個人信息保護(hù)將成為各國保護(hù)公民隱私和生命財產(chǎn)安全、規(guī)范網(wǎng)絡(luò)健康有序發(fā)展的必然要求。本文通過對國內(nèi)外個人信息保護(hù)議題的概念困境和理論研究進(jìn)行回顧，分析了當(dāng)前歐盟、美國、日本對待個人信息保護(hù)議題的立場分歧和政策舉措，最后對我國關(guān)于個人信息保護(hù)的法律制定、執(zhí)法規(guī)范和對外主張進(jìn)行了解讀。

1 個人信息保護(hù)議題的主要內(nèi)容

1.1 個人信息保護(hù)的研究回顧

我國對個人信息問題的研究起始于2000年前后，以對國外個人信息保護(hù)立法與實(shí)踐的研究介紹和對個人信息的基本概念與立法思路的思考為主，這與我國互聯(lián)網(wǎng)初步發(fā)展的國內(nèi)經(jīng)濟(jì)與法律環(huán)境相適應(yīng)。其中，針對采取“人格權(quán)客體說”的德國和采取“隱私權(quán)客體說”的美國的個人信息保護(hù)制度的比較研究成為熱點(diǎn)[1-2]。國內(nèi)學(xué)者將個人信息界定義為“一切可以識別本人的信息的總和”，并提出了作為新型人格權(quán)的“個人信息權(quán)”[3]。這一定義代表了這一時期學(xué)界關(guān)于個人信息的主流觀點(diǎn)。

在研究層次方面，從基礎(chǔ)理論研究到法律法規(guī)比較研究，再到具體的法律實(shí)踐與案例研究涌現(xiàn)出大量的研究成果，形成了比較完整的體系。王利明[4]在進(jìn)一步分析隱私權(quán)與個人信息的立法理念和概念邊界后，認(rèn)為個人信息權(quán)是一種具體人格權(quán)，應(yīng)當(dāng)作為一種獨(dú)立的私權(quán)來加以保護(hù)。齊愛民[5]在人格權(quán)理論的基礎(chǔ)上，將個人信息保護(hù)法視為獨(dú)立的部門法和公私混合的領(lǐng)域法。個人信息保護(hù)中所出現(xiàn)的“被遺忘權(quán)”等實(shí)踐過程中的新問題及電子商務(wù)應(yīng)用等領(lǐng)域[6-7]受到廣泛研究，為即將進(jìn)入的大數(shù)據(jù)時代提供了國內(nèi)初步的案例研究。在研究領(lǐng)域方面，除民法學(xué)者所堅持的民法保護(hù)機(jī)制之外，經(jīng)濟(jì)法、刑法、行政法等領(lǐng)域的學(xué)者均就個人信息保護(hù)問題提出了看法。劉德良[8]從經(jīng)濟(jì)法的角度認(rèn)為個人信息由于其所具有的商業(yè)價值，應(yīng)當(dāng)在個人信息權(quán)之上確定一種人格權(quán)之外的個人信息財產(chǎn)權(quán)的保護(hù)；趙秉志[9]則從刑法角度探究了個人信息保護(hù)相關(guān)的刑法歷史和大數(shù)據(jù)時代的立法思路；基于憲法和行政法的視角，孫平[10]從個人信息保護(hù)法的立法淵源出發(fā)對政府和個人信息保護(hù)之間的平衡關(guān)系提出了建議。

隨著“大數(shù)據(jù)”概念的形成和相關(guān)平臺產(chǎn)業(yè)的爆發(fā)式增長，在繼承此前理論研究的基礎(chǔ)上，個人信息保護(hù)的研究開始與大數(shù)據(jù)發(fā)生緊密的關(guān)聯(lián)，為個人信息保護(hù)研究帶來了新的變化，主要包括數(shù)據(jù)的使用與共享問題，以及更深入的權(quán)利原則乃至基礎(chǔ)性概念的再定義。王利明[11]在民法典的基礎(chǔ)上，重新確認(rèn)了在大數(shù)據(jù)時代權(quán)利人(信息被收集者)與義務(wù)人(信息收集者)之間的授權(quán)與被授權(quán)關(guān)系及義務(wù)人所應(yīng)受的更加嚴(yán)格的保護(hù)。與此相反，高富平[12]從“信息”的使用歷史出發(fā)，意圖重構(gòu)個人信息的私人屬性，通過強(qiáng)調(diào)其公共性，來解決前信息時代個人主義式的個人信息保護(hù)原則與大數(shù)據(jù)時代數(shù)據(jù)廣泛流動與使用之間的沖突，建立起具有中國特色的個人信息保護(hù)制度。丁曉東[13]提出基于“合理與正當(dāng)?shù)男畔?shí)踐”的靈活性與保護(hù)兼具的立法思路?？傊?，國內(nèi)的個人信息保護(hù)研究隨著相關(guān)產(chǎn)業(yè)在中國的發(fā)展，形成了針對基礎(chǔ)理論、管理各主體間關(guān)系的具體的制度、具體的經(jīng)濟(jì)與社會案例研究等多層次、多領(lǐng)域的研究體系，更為重要的是在研究中形成了具有中國特色、與中國發(fā)展現(xiàn)狀相適應(yīng)的立法理念與研究路徑。

國際上，1980年，經(jīng)濟(jì)合作與發(fā)展組織(Organization for Economic Co-operation and Development，OECD)首次發(fā)布《隱私保護(hù)和個人數(shù)據(jù)跨境流動指南》，盡管該指南本身未有法律強(qiáng)制性要求，但仍成為各國探索國內(nèi)個人信息保護(hù)立法的重要依據(jù)。該指南規(guī)定了隱私保護(hù)和個人數(shù)據(jù)在各國間自由流動的8個基本原則：限制收集原則、資料完整正確原則、特定目的原則、限制利用原則、安全保護(hù)原則、公開原則、個人參與原則和責(zé)任原則。1990年，聯(lián)合國聚焦于信息通信領(lǐng)域發(fā)布了《關(guān)于計算機(jī)處理的個人數(shù)據(jù)文件指南》，旨在呼吁聯(lián)合國成員國盡快在本國制定個人信息保護(hù)立法，同時鼓勵政府間和非政府間國際組織以負(fù)責(zé)任的、公平的和友好的方式處理個人信息。該指南確立了個人信息保護(hù)的十大原則：合法、合理原則；準(zhǔn)確性原則；特定目的原則；本人參與原則；不得歧視原則；例外規(guī)定；安全原則；監(jiān)督與處罰原則；個人數(shù)據(jù)只在對其提供相似保護(hù)的國家間傳輸原則；政府和私人的電腦和手工處理文件均適用指南原則。2004年，亞太經(jīng)濟(jì)合作組織(Asia-Pacific Economic Cooperation，APEC)發(fā)布了《亞太經(jīng)合組織隱私保護(hù)框架》，該框架是基于OECD框架的改良和延伸，側(cè)重于尋找信息隱私保護(hù)和信息自由流動的平衡點(diǎn)。APEC框架包括9個隱私保護(hù)原則：預(yù)防損害原則；通知原則；收集限制原則；個人信息的合理使用原則；個人信息主體的選擇權(quán)原則；個人信息的完整性原則；安全防護(hù)原則；個人信息主體的獲取權(quán)和要求改正權(quán)原則；責(zé)任原則。

1.2 個人信息概念的界定

大數(shù)據(jù)的快速發(fā)展造成了“個人信息”的界定困境。個人信息是個人信息保護(hù)法中的核心概念。法律適用的最基本前提是所涉及的信息是否為個人信息，否則不構(gòu)成對個人權(quán)利的侵害，也無適用法律規(guī)范的必要。傳統(tǒng)的個人信息保護(hù)法對個人信息的界定，一般以“識別”為核心標(biāo)準(zhǔn)，個人信息是指與個人相關(guān)的，能夠直接或間接識別特定自然人的信息?！翱勺R別性”是個人信息最為重要的特征，包括直接的可識別以及間接的可識別。盡管這是一個開放式的法律界定，但從個人信息保護(hù)法誕生的20世紀(jì)70年代看，具有“身份識別性”的信息是較為有限的，比如個人的姓名、家庭住址、電話號碼等。

當(dāng)前，各國對個人信息的定義有略微差別。歐盟的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的指令》(95/46/EC)以及《歐盟數(shù)據(jù)保護(hù)條例》將“個人信息”定義為與一個身份已識別或可識別的自然人(數(shù)據(jù)主體)相關(guān)的任何信息。但為了避免概念不恰當(dāng)延伸，歐盟也對“個人信息”的界定作出解釋，包括數(shù)據(jù)識別的可能性和合理性。一個需要付出不成比例的費(fèi)用，或者需要克服諸多困難才能識別的信息不屬于其界定的個人信息范疇。美國的《加州消費(fèi)者隱私法案》作為美國第一個應(yīng)對在線隱私危機(jī)的法律，將“個人信息”定義為能夠識別、涉及、描述，能夠與特定消費(fèi)者或者家庭直接或間接地合理關(guān)聯(lián)的信息。我國《網(wǎng)絡(luò)安全法》第七十六條第五款作出定義，個人信息指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！秱€人信息保護(hù)法(草案)》擴(kuò)大了個人信息概念的外延，將“與自然人有關(guān)的各種信息”都囊括進(jìn)個人信息的范疇，擴(kuò)充了個人信息權(quán)益的范圍。

隨著大數(shù)據(jù)技術(shù)的不斷發(fā)展，個人信息與非個人信息的界限越來越模糊，且相互轉(zhuǎn)化越來越容易，這種擴(kuò)展回應(yīng)了因技術(shù)進(jìn)步而帶來的個人信息權(quán)益保護(hù)的需要，有利于為個人信息權(quán)益提供更加充分的保護(hù)基礎(chǔ)，同時也為未來可能出現(xiàn)的各種信息保持了開放性和包容性。隨著個人信息范圍的擴(kuò)大，信息類型日益多樣化，應(yīng)用場景也日益豐富和細(xì)化，不同信息的正當(dāng)價值和安全風(fēng)險不同，分級分類成為個人信息保護(hù)的基本思路。

2 國際立場分歧與焦點(diǎn)

自20世紀(jì)70年代起，個人信息保護(hù)立法逐漸發(fā)展成全球行動，目前已有140多個國家和地區(qū)制定了相關(guān)法律。歐盟、美國、日本在數(shù)據(jù)安全與個人信息保護(hù)規(guī)制上各有特色與代表性。其中，歐盟通過發(fā)布指令與成員國立法相結(jié)合的模式推進(jìn)，而美國則通過補(bǔ)充已有法律和行業(yè)自律的形式推進(jìn)。

2.1 歐盟

自2018年起，數(shù)據(jù)保護(hù)與個人隱私始終是歐盟數(shù)字經(jīng)濟(jì)發(fā)展戰(zhàn)略的主線。2020年2月，歐盟發(fā)布了由政策文件組成的“數(shù)字新政”，分別是《塑造歐洲數(shù)字未來》《歐洲數(shù)據(jù)戰(zhàn)略》《卓越與信任的人工智能》《數(shù)據(jù)治理法案》，再次體現(xiàn)了新一屆歐盟委員會對這兩大主線的高度關(guān)注。

2018年5月，歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》正式生效，取代了歐盟各成員國相關(guān)法律，成為歐盟內(nèi)部統(tǒng)一的數(shù)據(jù)保護(hù)條例，對個人信息的保護(hù)達(dá)到了新的高度，被稱為“史上最嚴(yán)格的數(shù)據(jù)保護(hù)法”，必將對全球數(shù)字經(jīng)濟(jì)產(chǎn)生深遠(yuǎn)影響。在個人隱私權(quán)利上，進(jìn)行了一系列的創(chuàng)新，增設(shè)了兩項新的個人隱私權(quán)，即“刪除權(quán)”和“移植權(quán)”：一方面，“刪除權(quán)”即“個人數(shù)據(jù)的被遺忘權(quán)”，要求企業(yè)在系統(tǒng)或組織內(nèi)通過技術(shù)手段實(shí)現(xiàn)對個人信息的“遺忘”，如對數(shù)據(jù)進(jìn)行匿名化、去標(biāo)識化，保護(hù)個人信息不受暴露；另一方面，移植權(quán)即“數(shù)據(jù)的可攜帶性”，要求企業(yè)必須將平臺上個人信息相關(guān)的所有數(shù)據(jù)打包，按照可讀的方式提供給用戶，以此方式告知用戶企業(yè)在平臺上搜集和存儲的個人信息。此外，歐盟公民有權(quán)要求將其數(shù)據(jù)從一個數(shù)據(jù)服務(wù)供應(yīng)商轉(zhuǎn)移到其他供應(yīng)商的存儲空間。從隱私保護(hù)手段上，規(guī)定了用戶知情意書的使用條件，對互聯(lián)網(wǎng)企業(yè)利用算法和數(shù)據(jù)“個性化推薦”加以限制。不僅要求企業(yè)在處理個人數(shù)據(jù)時必須經(jīng)用戶授權(quán)同意，且要求同意書具有可理解性，避免使用冗長、復(fù)雜的專業(yè)術(shù)語。針對互聯(lián)網(wǎng)企業(yè)利用算法來進(jìn)行自動決策的情況，《歐盟數(shù)據(jù)保護(hù)條例》賦予了歐洲公民拒絕企業(yè)利用搜集到的個人信息來進(jìn)行自動判斷和決策的權(quán)利。這種拒絕權(quán)利可能會導(dǎo)致企業(yè)不能利用個性化的個人信息和行為來進(jìn)行客戶畫像和自動推薦等，避免“大數(shù)據(jù)殺熟”。

自2020年起，歐盟對個人隱私保護(hù)和數(shù)據(jù)治理的態(tài)度有了微妙的轉(zhuǎn)變。2020年2月，歐盟委員會發(fā)布《歐洲數(shù)據(jù)戰(zhàn)略》，概述了歐盟未來5年實(shí)現(xiàn)數(shù)據(jù)經(jīng)濟(jì)所需的政策措施和投資策略。戰(zhàn)略提出將在尊重歐洲“以人為本”的核心價值觀基礎(chǔ)上，通過建立跨部門治理框架、加強(qiáng)數(shù)據(jù)基礎(chǔ)設(shè)施投資、提升個體數(shù)據(jù)權(quán)利和技能、打造公共歐洲數(shù)據(jù)空間等措施，將歐洲打造成全球最具吸引力、最安全和最具活力的數(shù)據(jù)敏捷經(jīng)濟(jì)體(Data-agile Economy)。戰(zhàn)略明確為了促進(jìn)數(shù)據(jù)的共享和使用，將在戰(zhàn)略部門和公共利益領(lǐng)域建立9個共同歐洲數(shù)據(jù)空間，包括共同的歐洲工業(yè)數(shù)據(jù)空間、共同的歐洲綠色協(xié)議數(shù)據(jù)空間、共同的歐洲移動數(shù)據(jù)空間、共同的歐洲衛(wèi)生數(shù)據(jù)空間、共同的歐洲金融數(shù)據(jù)空間、共同的歐洲能源數(shù)據(jù)空間、共同的歐洲農(nóng)業(yè)數(shù)據(jù)空間、共同的歐洲公共行政數(shù)據(jù)空間、共同的歐洲技能數(shù)據(jù)空間。此戰(zhàn)略意味著歐盟的焦點(diǎn)將從建立嚴(yán)苛的個人隱私和數(shù)據(jù)安全監(jiān)管制度轉(zhuǎn)變?yōu)榇龠M(jìn)數(shù)據(jù)共享的發(fā)展策略。

2020年11月，歐盟委員會提出《數(shù)據(jù)治理法案》，通過對公共機(jī)構(gòu)的數(shù)據(jù)、數(shù)據(jù)中介機(jī)構(gòu)、數(shù)據(jù)利他主義三個要素的規(guī)制形成了整個立法框架的體系。一是支持促進(jìn)開發(fā)公共機(jī)構(gòu)共享其持有的由于敏感暫時尚未得到共享使用的數(shù)據(jù)，如出于保護(hù)個人權(quán)利、企業(yè)商業(yè)秘密和知識產(chǎn)權(quán)的需要而還沒有進(jìn)行共享的數(shù)據(jù)。但這些數(shù)據(jù)能夠在歐盟產(chǎn)生巨大的價值，如通過健康數(shù)據(jù)的重用可以推進(jìn)研究和發(fā)現(xiàn)罕見或慢性疾病的治療方法。法案為這些公共機(jī)構(gòu)數(shù)據(jù)的重復(fù)使用建立了相關(guān)的機(jī)制，提供了一系列允許重復(fù)使用這類數(shù)據(jù)的統(tǒng)一的基本條件。例如，公共機(jī)構(gòu)數(shù)據(jù)的重用必須遵守非排他性的要求。二是創(chuàng)立數(shù)據(jù)中介機(jī)構(gòu)，允許數(shù)據(jù)共享服務(wù)提供者以非營利的性質(zhì)促進(jìn)個人、企業(yè)間的數(shù)據(jù)交換。法案以數(shù)據(jù)中介機(jī)構(gòu)為中立第三方平臺明確了促進(jìn)數(shù)據(jù)共享的一系列原則，如要求數(shù)據(jù)中介應(yīng)當(dāng)在成員國主管公共當(dāng)局處登記，同時對敏感和機(jī)密的數(shù)據(jù)要提供足夠的保護(hù)措施。三是促進(jìn)數(shù)據(jù)利他主義的發(fā)展，即為個人或企業(yè)自愿提供數(shù)據(jù)創(chuàng)建有利條件和安全環(huán)境，以官方的名義將從事數(shù)據(jù)利他活動的組織注冊為“歐盟認(rèn)可的數(shù)據(jù)利他主義組織”，以提高整個社會對該組織的信任度，為其開展相關(guān)活動提供便利。法案建立了以數(shù)據(jù)保護(hù)為前提，最大程度實(shí)現(xiàn)數(shù)據(jù)共享流通的法律框架體系。歐盟一直將個人數(shù)據(jù)保護(hù)權(quán)利作為基本人權(quán)對待，在個人數(shù)據(jù)保護(hù)方面，歐盟的《通用數(shù)據(jù)保護(hù)條例》是不可逾越的底線。法案雖然規(guī)定了公共機(jī)構(gòu)掌握的有關(guān)涉及個人信息、企業(yè)商業(yè)秘密和知識產(chǎn)權(quán)等數(shù)據(jù)的重用，但同時也明確規(guī)定在公共機(jī)構(gòu)數(shù)據(jù)重用中涉及到個人數(shù)據(jù)保護(hù)、知識產(chǎn)權(quán)、商業(yè)秘密或其他商業(yè)敏感信息問題時，必須首先要遵守相關(guān)的法律法規(guī)，同時規(guī)定公共部門應(yīng)當(dāng)通過匿名化等技術(shù)處理手段，或要求重用數(shù)據(jù)者簽署具有法律約束力的機(jī)密協(xié)議達(dá)到法律要求。從另一個角度講，法案在一定程度上是對GDPR限制過嚴(yán)的一種修正，對于公共機(jī)構(gòu)掌握的數(shù)據(jù)，除在《開放數(shù)據(jù)指令》框架下向社會公開外，還可以通過更加強(qiáng)化的數(shù)據(jù)保護(hù)措施來實(shí)現(xiàn)涉及個人信息、企業(yè)機(jī)密等敏感數(shù)據(jù)的重用。

2.2 美國

盡管美國對隱私保護(hù)的重視在一些法案中有所體現(xiàn)，如1974年的《隱私法》、1986年的《電子通信隱私法》、1998年的《兒童網(wǎng)上隱私保護(hù)法》等，但這些法案相對于數(shù)字經(jīng)濟(jì)的發(fā)展速度而言十分滯后。為應(yīng)對此危機(jī)，對美國政府建立更完善的隱私保護(hù)和數(shù)據(jù)安全法律體系的呼聲不斷。2020年1月1日，《加利福尼亞州消費(fèi)者隱私法》(California Consumer Privacy Act，CCPA)正式生效。法案賦予了消費(fèi)者對其個人信息更多的控制權(quán)，并且對企業(yè)收集、處理數(shù)據(jù)的方式作出了明確要求。法案規(guī)定，針對凡是用戶數(shù)量超過5萬名的企業(yè)，消費(fèi)者有權(quán)要求該企業(yè)披露其收集的數(shù)據(jù)類別和內(nèi)容，以及使用這些數(shù)據(jù)的目的。此外，法案還增加了訪問權(quán)、刪除權(quán)、知情權(quán)等一系列消費(fèi)者隱私權(quán)利。在CCPA的影響下，美國聯(lián)邦與地方政府開始著手搭建隱私保護(hù)與數(shù)據(jù)安全法律框架。

聯(lián)邦層面上，美國政府正在尋求制定一項全面的數(shù)據(jù)隱私保護(hù)政策，由商務(wù)部與白宮磋商。2019年1月，美國國家標(biāo)準(zhǔn)與技術(shù)研究院(National Institute of Standards and Technology，NIST)發(fā)布了《NIST隱私框架1.0版：一個通過企業(yè)風(fēng)險管理來改善隱私的工具》，作為識別、評估、管理和溝通隱私風(fēng)險的工具。此外，美國國家電信與信息管理局(National Telecommunications and Information Administration，NTIA)也在牽頭制定一套隱私原則，并與國際貿(mào)易署(International Trade Administration，ITA)配合，以確保符合美國的國際政策目標(biāo)。2019年7月，美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission，F(xiàn)TC)以侵犯消費(fèi)者隱私為由對Facebook處以50 億美元的罰款，并提出一系列合規(guī)要求，包括企業(yè)內(nèi)部建立獨(dú)立的隱私保護(hù)委員會、設(shè)立第三方評估員進(jìn)行外部監(jiān)督、剝奪首席執(zhí)行官對隱私問題上的決策控制權(quán)等，這可能成為未來美國政府處理隱私保護(hù)和數(shù)據(jù)安全事件的參考案例。此外，參議院動作頻發(fā)，相繼提出了《數(shù)據(jù)隱私法案》《2019年商業(yè)人臉識別隱私法案》《2019年遺傳信息隱私法案》《2019算法問責(zé)法案》等。

地方層面上，2019年，華盛頓、紐約、新澤西、伊利諾伊等州也相繼提出了法案。華盛頓州提出了《華盛頓隱私法案》，該法案對適用人群、涉及實(shí)體進(jìn)行了界定，賦予了消費(fèi)者對個人數(shù)據(jù)的訪問權(quán)、糾正權(quán)、刪除權(quán)、轉(zhuǎn)移權(quán)、退出權(quán)等，并首次對人臉識別技術(shù)做出規(guī)定。值得一提的是，舊金山市表決通過了對《停止秘密監(jiān)視條例》所作的修訂，成為美國第一個禁止使用人臉識別技術(shù)的城市。

2.3 日本

日本經(jīng)濟(jì)產(chǎn)業(yè)省發(fā)布的《新產(chǎn)業(yè)構(gòu)造視野》提出，對于個人數(shù)據(jù)的基本方針是，在保護(hù)數(shù)據(jù)與流通中尋找平衡點(diǎn)，逐步修正個人信息保護(hù)法，促進(jìn)全球數(shù)據(jù)更好地被利用。此外，日本通過建立個人信息保護(hù)委員會，積極參與國際協(xié)議規(guī)則的制定，已經(jīng)被全球隱私執(zhí)法網(wǎng)絡(luò)、亞太隱私機(jī)構(gòu)正式認(rèn)定為會員。

2005年制定《個人信息保護(hù)法》，并于2015年進(jìn)行修訂，2017年5月開始實(shí)施。2020年，日本國會通過《個人信息保護(hù)法》修訂提案，并正式對外公布，計劃于頒布后的兩年內(nèi)施行。2017年修訂目的主要在于確保信息流通的可追溯性，加強(qiáng)國家監(jiān)管部門對個人信息一元化的管理。一是增加“敏感信息”概念，即政治觀點(diǎn)、宗教、工會、種族和民族以及出生地和住所、醫(yī)療保健、性生活、犯罪記錄信息等信息。二是新增加“個人信息保護(hù)委員會”，即第59～74條。該章主要規(guī)定個人信息保護(hù)委員會的設(shè)置、任務(wù)、職權(quán)行使的獨(dú)立性、委員長、專門委員、任期、身份保障、罷免、事務(wù)局、會議、保密義務(wù)、規(guī)則制定等事項。三是增加“非法提供信息數(shù)據(jù)庫罪”。所謂“非法提供信息數(shù)據(jù)庫罪”是指從事個人信息處理業(yè)者或從事與其相關(guān)數(shù)據(jù)庫業(yè)務(wù)的法人(包括高管人員、管理人員在內(nèi)的非法人團(tuán)體)，為自己或第三人謀求不正當(dāng)利益，而提供或盜用其業(yè)務(wù)處理過的個人信息數(shù)據(jù)庫(包括對其部分或全部信息的復(fù)制、加工)的，處一年以下有期徒刑或50 萬日元以下罰款。該修正案為迎合大數(shù)據(jù)時代技術(shù)創(chuàng)新的要求，防范和化解未來個人信息保護(hù)中潛在的各類風(fēng)險，擴(kuò)充了很多內(nèi)容，如保障個人權(quán)利、信息使用推廣、擴(kuò)大企業(yè)責(zé)任、強(qiáng)化法律處罰、增加域外適用等。其中，保障個人權(quán)利涉及權(quán)利范圍、個人信息范圍、第三方限制等；信息使用推廣如引入“假名化信息”，但僅限于經(jīng)營者內(nèi)部使用，并禁止向第三方提供假名化信息；擴(kuò)大企業(yè)責(zé)任如信息泄露報告、限制不正當(dāng)使用；強(qiáng)化法律責(zé)任如增加罰款；域外適用如賦予個人信息保護(hù)委員會更多權(quán)力、加強(qiáng)國際傳輸監(jiān)管。

總體而言，歐盟采取統(tǒng)一立法保護(hù)模式，且對個人信息的保護(hù)涵蓋收集、利用、儲存、披露的所有環(huán)節(jié)，采取“嚴(yán)進(jìn)嚴(yán)出”的保護(hù)模式。而美國對個人信息保護(hù)以行業(yè)自律為主，在特定行業(yè)信息隱私保護(hù)法較為零散，難以涵蓋個人信息保護(hù)的所有環(huán)節(jié)。日本選擇了中間道路，一方面積極與歐盟的個人信息保護(hù)法律相接軌，努力與歐盟建立數(shù)據(jù)流動白名單；另一方面迎合數(shù)字經(jīng)濟(jì)時代技術(shù)創(chuàng)新的要求，力求建立安全有序的數(shù)據(jù)跨境流動機(jī)制。

3 我國在該議題上的立場及政策主張

當(dāng)前，我國數(shù)據(jù)和個人隱私保護(hù)體系日益完善。在法律制定上，國家互聯(lián)網(wǎng)信息辦公室出臺《數(shù)據(jù)安全管理辦法(征求意見稿)》，旨在維護(hù)國家安全、社會公共利益，保護(hù)公民、法人和其他組織在網(wǎng)絡(luò)空間的合法權(quán)益，保障個人信息和重要數(shù)據(jù)安全。另外，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《個人信息出境安全評估辦法(征求意見稿)》，明確網(wǎng)絡(luò)運(yùn)營者向境外提供在中國境內(nèi)運(yùn)營中收集的個人信息，需要進(jìn)行安全評估，推進(jìn)保障數(shù)據(jù)跨境流動中的個人信息安全。同時，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》，為各界關(guān)注的兒童個人信息安全保護(hù)問題定章立制。2020年10月，作為我國個人信息保護(hù)領(lǐng)域的第一部專門性立法，公開征求意見。2021年4月，《中華人民共和國個人信息保護(hù)法(草案)》提請全國人大常委會二次審議。該草案重點(diǎn)關(guān)注提供基礎(chǔ)性互聯(lián)網(wǎng)平臺服務(wù)、用戶數(shù)量巨大、業(yè)務(wù)類型復(fù)雜的個人信息處理者，提出成立獨(dú)立的監(jiān)督機(jī)構(gòu)，對個人信息處理活動進(jìn)行監(jiān)督，并要求其定期發(fā)布個人信息保護(hù)社會責(zé)任報告等。2021年6月，十三屆全國人大常委會第二十九次會議通過了數(shù)據(jù)安全法，對數(shù)據(jù)的分類分級、風(fēng)險評估、應(yīng)急處置、安全審查和出口管制等方面提出制度安排。該法律于2021年9月1日起施行。這些法律法規(guī)共同構(gòu)筑起我國個人信息保護(hù)的法律基石，為我國未來在國際談判中的議題立場和規(guī)則訴求提供重要的法律依據(jù)。

在執(zhí)法規(guī)范上，工業(yè)和信息化部發(fā)布了《關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項整治行動的通知》等規(guī)范要求，并連續(xù)兩年組織開展了APP侵害用戶權(quán)益專項整治行動。同時，有針對性地制定了《APP用戶權(quán)益保護(hù)測評規(guī)范》10項標(biāo)準(zhǔn)。對于“最小必要”等收集使用用戶個人信息的原則，制定了《APP收集使用用戶個人信息最小必要評估規(guī)范》8項系列標(biāo)準(zhǔn)。規(guī)范要求在如何保護(hù)用戶權(quán)益方面制定了非常清晰的操作規(guī)范。未來工業(yè)和信息化部將研究制定《APP個人信息保護(hù)暫行規(guī)定》，繼續(xù)推動行業(yè)標(biāo)準(zhǔn)制定，完善APP檢測技術(shù)平臺系統(tǒng)功能，持續(xù)開展APP侵害用戶權(quán)益專項整治，堅決做好保障國家數(shù)據(jù)安全、加強(qiáng)個人信息保護(hù)工作。

在對外主張上，我國發(fā)起《全球數(shù)據(jù)安全倡議》。該倡議是數(shù)字安全領(lǐng)域首個由國家發(fā)起的全球性倡議，聚焦全球數(shù)字安全治理領(lǐng)域核心問題，旨在通過明確政府行為規(guī)范、推動企業(yè)共擔(dān)責(zé)任、合作應(yīng)對安全風(fēng)險等務(wù)實(shí)舉措，為加強(qiáng)全球數(shù)字安全治理、促進(jìn)數(shù)字經(jīng)濟(jì)可持續(xù)發(fā)展提出中國方案，貢獻(xiàn)中國智慧。

4 結(jié)束語

未來可通過構(gòu)建更具系統(tǒng)性、針對性和可操作性的完備制度體系，為大數(shù)據(jù)時代的個人信息保護(hù)提供中國方案和中國智慧。一是應(yīng)更加明確個人信息處理不同環(huán)節(jié)、不同主體的法律責(zé)任，建立權(quán)責(zé)明確的個人信息保護(hù)秩序。立足我國國情和數(shù)字化轉(zhuǎn)型實(shí)際，科學(xué)借鑒歐盟、美國、日本等國家和地區(qū)的立法經(jīng)驗(yàn)，合理吸收最小必要、目的限定、隱私安全、權(quán)益保護(hù)等國際通行原則，探索實(shí)現(xiàn)信息可攜帶權(quán)等新型權(quán)利形式的可行路徑，適時出臺《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》的相關(guān)配套標(biāo)準(zhǔn)。二是加強(qiáng)國際數(shù)據(jù)與個人信息保護(hù)的規(guī)則和立法對接。針對目前各國個人信息保護(hù)立法、理念、立場的差異，在我國現(xiàn)有法律法規(guī)的基礎(chǔ)上，結(jié)合本國發(fā)展實(shí)情，加快與重點(diǎn)國別和地區(qū)開展個人信息保護(hù)和數(shù)字經(jīng)濟(jì)領(lǐng)域的規(guī)則溝通和標(biāo)準(zhǔn)共制，警惕為其他國家的標(biāo)準(zhǔn)聯(lián)盟所排斥脫鉤，推動我國的個人信息保護(hù)法案與國際立法相接軌，增強(qiáng)兼容性與互可操作性。三是構(gòu)建更具系統(tǒng)性、針對性和接受度強(qiáng)的話語體系。如依托《全球數(shù)據(jù)安全倡議》建設(shè)性參與聯(lián)合國、G20、APEC、金磚國家、東盟地區(qū)論壇等多邊平臺的數(shù)據(jù)安全和個人信息保護(hù)討論，為大數(shù)據(jù)時代的個人信息保護(hù)提供中國方案和中國智慧。