盛小平，焦鳳枝

0 引言

在開放科學(xué)時(shí)代[1]與數(shù)字時(shí)代[2]，開放科學(xué)堅(jiān)守“開放、透明、自由、合作、共享”的基本理念，奠定了開放交流、開放共享、開放研究與開放創(chuàng)新的基礎(chǔ)[3]。與此同時(shí)，數(shù)字經(jīng)濟(jì)正在創(chuàng)造大量的各種數(shù)據(jù)，數(shù)據(jù)正在成為一種豐富和寶貴的資源[4]；數(shù)據(jù)驅(qū)動(dòng)的決策[5]、營銷[6]、設(shè)計(jì)[7]、創(chuàng)新[8]、科學(xué)與工程[9]、業(yè)務(wù)[10]、安全[11]、經(jīng)濟(jì)[12]等新業(yè)態(tài)在世界范圍內(nèi)初具雛形。這些新業(yè)態(tài)都不能忽視數(shù)據(jù)隱私問題。2019年1月，谷歌因違反歐盟《一般數(shù)據(jù)保護(hù)條例》(General Data Protection Regulation，GDPR)而被法國國家信息與自由委員會(huì)處以5，000萬歐元罰款，主要原因是谷歌違反了控制者的信息披露義務(wù)和未有效取得用戶同意，侵犯了個(gè)人數(shù)據(jù)隱私權(quán)[13]。

近年我國越來越重視數(shù)據(jù)隱私保護(hù)?！洞龠M(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》要求在依法加強(qiáng)安全保障和隱私保護(hù)的前提下，穩(wěn)步推動(dòng)公共數(shù)據(jù)資源開放。切實(shí)加強(qiáng)對涉及國家利益、公共安全、商業(yè)秘密、個(gè)人隱私、軍工科研生產(chǎn)等信息的保護(hù)[14]?！洞髷?shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃(2016-2020年)》要求建立健全安全防護(hù)體系，保障信息安全和個(gè)人隱私。推動(dòng)完善個(gè)人信息保護(hù)立法，建立個(gè)人信息泄露報(bào)告制度，健全網(wǎng)絡(luò)數(shù)據(jù)和用戶信息的防泄露、防篡改和數(shù)據(jù)備份等安全防護(hù)措施及相關(guān)的管理機(jī)制，加強(qiáng)對數(shù)據(jù)濫用、侵犯個(gè)人隱私等行為的管理和懲戒力度[15]?！睹穹ǖ洹穼ＴO(shè)“第四編第六章 隱私權(quán)和個(gè)人信息保護(hù)”。《個(gè)人信息保護(hù)法(草案)》對保護(hù)個(gè)人信息權(quán)益具有劃時(shí)代的里程碑意義，但個(gè)人隱私保護(hù)在我國實(shí)踐層面面臨政策與法規(guī)保障不健全、尚未建立個(gè)人隱私保護(hù)機(jī)構(gòu)、擔(dān)心泄露數(shù)據(jù)中的隱私信息、開放平臺(tái)數(shù)據(jù)安全審查與脫敏處理不規(guī)范等多重困境[16-17]。雖然許多國內(nèi)外文獻(xiàn)探討了數(shù)據(jù)隱私問題，如數(shù)據(jù)隱私管理[18]、隱私安全保護(hù)[19]、隱私保護(hù)政策[20]、隱私保護(hù)法規(guī)[21-22]、隱私保護(hù)技術(shù)[23-24]，但鮮見成果深入探討開放科學(xué)環(huán)境下的數(shù)據(jù)隱私治理問題。在開放科學(xué)環(huán)境下，如何在追求數(shù)據(jù)共享帶來的巨大經(jīng)濟(jì)和社會(huì)價(jià)值的同時(shí)，最大限度地保護(hù)個(gè)人的正當(dāng)隱私利益，成為亟需解決的問題[25]。本文將從法律法規(guī)視角來探討開放科學(xué)環(huán)境下的我國數(shù)據(jù)隱私治理問題，以促進(jìn)我國公共數(shù)據(jù)或科學(xué)數(shù)據(jù)的開放共享，并為完善我國數(shù)據(jù)隱私治理法律法規(guī)提供參考。

1 相關(guān)概念與問題的界定

對數(shù)據(jù)隱私治理來說，首先必須了解什么是數(shù)據(jù)、數(shù)據(jù)隱私和數(shù)據(jù)隱私權(quán)，其次需要明確數(shù)據(jù)隱私關(guān)聯(lián)的數(shù)據(jù)類型有哪些，侵犯數(shù)據(jù)隱私權(quán)的主要形式是什么。

1.1 數(shù)據(jù)定義

數(shù)據(jù)在不同領(lǐng)域、機(jī)構(gòu)或?qū)W者視野中往往有不同的定義。例如，在計(jì)算機(jī)科學(xué)與通信領(lǐng)域，數(shù)據(jù)有3層含義[26]：(1)是數(shù)據(jù)庫中數(shù)據(jù)元素、數(shù)據(jù)記錄和數(shù)據(jù)文件及其相互關(guān)系的識(shí)別和描述；(2)是一種描述特征、指定關(guān)系或建立給定數(shù)據(jù)集的上下文關(guān)系的計(jì)算機(jī)程序語句；(3)是定義字段、記錄或文件的信息內(nèi)容和特性(如字段中的名稱、長度、位置和數(shù)據(jù)類型)的一種描述?！缎屡＝蛎朗接⒄Z詞典》將數(shù)據(jù)定義為“收集到一起進(jìn)行分析或參考的事實(shí)和統(tǒng)計(jì)資料”。美國質(zhì)量協(xié)會(huì)(The American Society for Quality)將數(shù)據(jù)定義為“收集到的一組事實(shí)。有兩種類型的數(shù)值數(shù)據(jù)：測量數(shù)據(jù)或變量數(shù)據(jù)(如16盎司、4英里、0.75英寸)、計(jì)數(shù)數(shù)據(jù)或?qū)傩詳?shù)據(jù)(如162種缺陷)”。國際標(biāo)準(zhǔn)化組織(The International Standards Organization)將數(shù)據(jù)定義為“以一種適合于通信、解釋或處理的正規(guī)化方式對信息進(jìn)行重新解釋的表示”。如今人們經(jīng)常使用“數(shù)據(jù)”這個(gè)詞來指存儲(chǔ)在數(shù)據(jù)庫或其他計(jì)算機(jī)應(yīng)用程序中并通過電子方式共享的事實(shí)。這些事實(shí)可能是測量、編纂的信息，或世界上物體的簡單描述性屬性，如名稱、位置和物理特征[27]。然而，數(shù)據(jù)和信息概念在目前諸多法律文件和資料中兩者經(jīng)常相互指代[28]。例如，GDPR規(guī)定：“個(gè)人數(shù)據(jù)是指與一個(gè)已識(shí)別或可識(shí)別的自然人相關(guān)的任何信息，該可識(shí)別的自然人能夠被直接或間接地識(shí)別，尤其是通過參照諸如姓名、身份證號(hào)碼、定位數(shù)據(jù)、在線身份識(shí)別介質(zhì)，或者是通過參照針對該自然人一個(gè)或多個(gè)物理、生理、遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份的要素。”[29]而在《個(gè)人信息保護(hù)法(草案)》中，“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”[30]。這兩個(gè)術(shù)語在法律上的界定都類似，那么，有些人把數(shù)據(jù)看作是信息的同義詞[31]也不足為怪。然而，筆者認(rèn)為，我們應(yīng)該明確數(shù)據(jù)與信息是兩個(gè)不同的概念；數(shù)據(jù)是“信息的原材料”，信息是“在上下文語境下的數(shù)據(jù)”[32]。筆者認(rèn)同如下數(shù)據(jù)定義——數(shù)據(jù)是指對客觀事件進(jìn)行記錄并可以鑒別的符號(hào)，是對客觀事物的性質(zhì)、狀態(tài)以及相互關(guān)系等進(jìn)行記載的物理符號(hào)或這些物理符號(hào)的組合。它既可以是狹義上的數(shù)字，也可以是具有一定意義的文字、字母、數(shù)字符號(hào)的組合、圖形、圖像、視頻、音頻等，還可以是客觀事物的屬性、數(shù)量、位置及其相互關(guān)系的抽象表示[33]?；谶@個(gè)數(shù)據(jù)定義，本文進(jìn)一步探討數(shù)據(jù)隱私及其治理問題。

1.2 數(shù)據(jù)隱私與數(shù)據(jù)隱私權(quán)的定義

依據(jù)《民法典》，隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息[34]。隱私權(quán)是指自然人享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開等的一種人格權(quán)[35]。由此可見，隱私僅僅是自然人所擁有的。換句話說，只有自然人針對隱私才享有需要法律保護(hù)的精神利益。法人、非法人組織并不存在隱私問題，即使他們也存在不愿意為他人所知的活動(dòng)、信息或不被打擾破壞的工作需要，但這些要么屬于國家秘密、商業(yè)秘密，要么屬于生產(chǎn)經(jīng)營秩序或者公共活動(dòng)秩序的范疇[36]。不過，根據(jù)歐洲人權(quán)法院判例法，那些可能影響人的健康及對私人和家庭生活造成影響的環(huán)境污染，包括來自垃圾填埋場的難聞氣味，靠近監(jiān)獄以及家庭成員的葬禮事項(xiàng)等，也被納入隱私權(quán)范疇[37]。

傳統(tǒng)的隱私與隱私權(quán)概念是圍繞著保護(hù)我們自己和我們的活動(dòng)不受外人的影響，但是數(shù)據(jù)隱私作為一個(gè)概念直到20世紀(jì)晚期互聯(lián)網(wǎng)的誕生以及計(jì)算機(jī)和移動(dòng)電話的指數(shù)級(jí)增長使用才出現(xiàn)[38]。對于什么是數(shù)據(jù)隱私，目前缺少權(quán)威的定義，涌現(xiàn)了多種不同觀點(diǎn)：一是數(shù)據(jù)隱私即信息隱私，通常是指在各種不同的情景中提供給私人行為者的與個(gè)人信息相關(guān)的特定類型的隱私[39]。二是數(shù)據(jù)隱私是數(shù)據(jù)安全的一個(gè)分支，涉及數(shù)據(jù)的適當(dāng)處理——同意、通知和監(jiān)管義務(wù)，即數(shù)據(jù)隱私包括是否或如何與第三方共享數(shù)據(jù)、如何合法地收集或存儲(chǔ)數(shù)據(jù)、監(jiān)管限制三方面問題[40]。三是數(shù)據(jù)隱私是數(shù)據(jù)管理的一個(gè)分支，需處理與第三方的共享數(shù)據(jù)。它通常是基于保護(hù)消費(fèi)者信息，并賦予消費(fèi)者在未經(jīng)同意或不知道這一事實(shí)的情況下向其他組織保留其信息的權(quán)利；同時(shí)將設(shè)立不同級(jí)別的控制來保護(hù)這些信息不受第三方侵犯，必要時(shí)取得數(shù)據(jù)主體的同意，并維持?jǐn)?shù)據(jù)的完整性[41]。四是數(shù)據(jù)隱私是信息技術(shù)的一部分，可幫助個(gè)人或組織確定系統(tǒng)中的哪些數(shù)據(jù)可以與他人共享，哪些數(shù)據(jù)應(yīng)該受到限制[42]。五是數(shù)據(jù)隱私是指一個(gè)人控制個(gè)人信息行蹤的能力，重要的是信息流的“自我決策”[43]。六是數(shù)據(jù)隱私是指個(gè)人及組織擁有的在收集、分享、使用及披露該個(gè)人或組織機(jī)構(gòu)信息的利益[44]。

到底什么是數(shù)據(jù)隱私？由于數(shù)據(jù)與信息并非同一個(gè)概念，所以數(shù)據(jù)隱私與信息隱私也應(yīng)該不同。雖然數(shù)據(jù)隱私與數(shù)據(jù)安全、數(shù)據(jù)管理、信息技術(shù)都有緊密聯(lián)系，但不是包含關(guān)系。筆者認(rèn)為，應(yīng)該綜合自然人、數(shù)據(jù)、隱私三個(gè)概念，把數(shù)據(jù)隱私定義為：數(shù)據(jù)隱私是以個(gè)人數(shù)據(jù)形式記錄或以數(shù)字方式描繪的自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動(dòng)、私密信息。數(shù)據(jù)隱私權(quán)是自然人對其數(shù)據(jù)隱私依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開等的一種人格權(quán)。

1.3 數(shù)據(jù)隱私關(guān)聯(lián)的數(shù)據(jù)類型

基于上述數(shù)據(jù)隱私的定義，數(shù)據(jù)隱私關(guān)聯(lián)的數(shù)據(jù)類型包括：

(1)個(gè)人數(shù)據(jù)。它是與數(shù)據(jù)隱私關(guān)系最密切的一類數(shù)據(jù)。任何可能敏感或可能被某人惡意使用的個(gè)人數(shù)據(jù)都屬于其中，主要包括在線隱私、財(cái)務(wù)隱私、醫(yī)療隱私、居住和地理記錄、政治偏好隱私等。其中，在線隱私包括所有在線交互期間提供的個(gè)人數(shù)據(jù)，如社會(huì)保障號(hào)碼、出生日期；財(cái)務(wù)隱私包括任何在線或離線共享的個(gè)人財(cái)務(wù)信息，如財(cái)務(wù)數(shù)據(jù)、銀行賬戶和信用卡號(hào)碼；醫(yī)療隱私包括個(gè)人的任何健康和醫(yī)療記錄[42，45]。

(2)與數(shù)據(jù)隱私相關(guān)的政府?dāng)?shù)據(jù)。某些政府機(jī)構(gòu)或部門提供的項(xiàng)目、資助、社會(huì)救濟(jì)等事務(wù)，往往包含一些敏感的個(gè)人數(shù)據(jù)，如受資助者身份證號(hào)碼、研究領(lǐng)域與特長、個(gè)人經(jīng)濟(jì)狀況、工作單位、地址。隨著政府?dāng)?shù)據(jù)開放運(yùn)動(dòng)的進(jìn)一步發(fā)展，若不能妥善處理政府?dāng)?shù)據(jù)中敏感的個(gè)人數(shù)據(jù)，很可能引起數(shù)據(jù)隱私泄露問題。

(3)與數(shù)據(jù)隱私相關(guān)的公共服務(wù)數(shù)據(jù)。學(xué)校、圖書館、數(shù)據(jù)中心、醫(yī)院和其他公共服務(wù)機(jī)構(gòu)在開展相關(guān)公共服務(wù)時(shí)，往往收集或記載了大量個(gè)人數(shù)據(jù)，如個(gè)人健康和醫(yī)療記錄、個(gè)人姓名與身份證號(hào)碼、個(gè)人受教育情況、個(gè)人興趣與愛好。隨著數(shù)字化、網(wǎng)絡(luò)化公共服務(wù)的進(jìn)一步發(fā)展，相關(guān)公共服務(wù)機(jī)構(gòu)會(huì)面臨更多的侵犯個(gè)人數(shù)據(jù)隱私權(quán)的風(fēng)險(xiǎn)。

(4)與數(shù)據(jù)隱私相關(guān)的科學(xué)數(shù)據(jù)(或研究數(shù)據(jù))。社會(huì)科學(xué)領(lǐng)域的許多研究，如新冠肺炎疫情分析、中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r調(diào)查、消費(fèi)者購買力分析、犯罪行為分析、人口普查，都要收集大量個(gè)人數(shù)據(jù)，其中可能包含許多敏感個(gè)人數(shù)據(jù)，如家庭成員、收入水平、消費(fèi)傾向、個(gè)人特性。這些個(gè)人數(shù)據(jù)是支撐相關(guān)研究的基礎(chǔ)，但在未經(jīng)數(shù)據(jù)主體明確同意或授權(quán)、且未對這些數(shù)據(jù)進(jìn)行匿名或脫敏的情況下公布出來，就會(huì)侵犯數(shù)據(jù)隱私權(quán)。

1.4 侵犯數(shù)據(jù)隱私權(quán)的主要形式

在開放科學(xué)環(huán)境下，對數(shù)據(jù)隱私的侵犯存在多種形式[46]：(1)以不正當(dāng)方式收集個(gè)人數(shù)據(jù)。任何通過欺詐、偷窺、監(jiān)視等不正當(dāng)手段取得個(gè)人數(shù)據(jù)的行為都屬于侵權(quán)行為，比如翻查廢棄物、偷窺、社交欺詐、監(jiān)視、網(wǎng)站過度收集或通過Cookies、IP地址等專業(yè)工具非法收集個(gè)人數(shù)據(jù)與個(gè)人數(shù)字資源。(2)個(gè)人數(shù)據(jù)泄露。是一種對傳輸、存儲(chǔ)或以其他方式處理的個(gè)人數(shù)據(jù)產(chǎn)生意外或非法銷毀、丟失、更改、未經(jīng)授權(quán)披露或訪問的安全破壞。2007年國際數(shù)據(jù)公司(International Data Corporation)調(diào)查發(fā)現(xiàn)數(shù)據(jù)泄露是頭號(hào)威脅，排名高于病毒、特洛伊木馬和蠕蟲[47]。個(gè)人數(shù)據(jù)泄露行為，如不能及時(shí)適當(dāng)處理，可能會(huì)對自然人造成身體、物質(zhì)或非物質(zhì)損害，包括失去對個(gè)人資料控制；用戶權(quán)限的限制；歧視；身份盜竊或欺詐；經(jīng)濟(jì)損失；擅自顛倒假名；名譽(yù)受損；失去受專業(yè)保密保護(hù)的個(gè)人數(shù)據(jù)的機(jī)密性；對相關(guān)自然人帶來任何其他重大經(jīng)濟(jì)或社會(huì)的損失[38]。(3)非法使用個(gè)人數(shù)據(jù)。主要是指數(shù)據(jù)處理者未經(jīng)數(shù)據(jù)主體同意或授權(quán)的情況下二次開發(fā)利用個(gè)人數(shù)據(jù)，比如私自開展的個(gè)人數(shù)據(jù)挖掘、個(gè)人數(shù)據(jù)整合、超權(quán)限使用個(gè)人數(shù)字資源等。(4)非法交易個(gè)人數(shù)據(jù)，比如網(wǎng)絡(luò)服務(wù)提供商員工非法販賣他人數(shù)據(jù)以謀取暴利。(5)實(shí)時(shí)監(jiān)控使人喪失私密空間、私密活動(dòng)和私密信息。(6)線上或線下惡意傳播隱私或誹謗中傷。(7)黑客入侵與盜竊個(gè)人數(shù)據(jù)。

2 我國數(shù)據(jù)隱私治理的法律依據(jù)

法律法規(guī)是治理數(shù)據(jù)隱私的最有效利器。我國雖然沒有制定數(shù)據(jù)保護(hù)法或隱私法，但在國家層次上已經(jīng)頒布了一系列與數(shù)據(jù)隱私治理相關(guān)的法律、法規(guī)、規(guī)章。本文對相關(guān)數(shù)據(jù)獲取的途徑主要是：(1)通過瀏覽“中華人民共和國司法部中國政府法制信息網(wǎng)”上公開的“法律法規(guī)規(guī)章”欄目，逐一閱讀相關(guān)法律、法規(guī)、規(guī)章，凡涉及“隱私”條款的都被納入表1中；(2)基于現(xiàn)有成果提及到某法律法規(guī)可作為“數(shù)據(jù)隱私治理”依據(jù)的，如《憲法(2018修正)》《刑法(2017修正)》，也被納入表1中，它們在全國范圍內(nèi)筑固了數(shù)據(jù)隱私治理的法律基石。此外，地方政府權(quán)力機(jī)關(guān)還制定了許多與數(shù)據(jù)隱私治理相關(guān)的法規(guī)或規(guī)章，由于它們僅適用于本地區(qū)，這里不對它們進(jìn)行討論；我國還頒布了一些與數(shù)據(jù)隱私治理相關(guān)的國家標(biāo)準(zhǔn)，如《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》《信息安全技術(shù)個(gè)人信息安全規(guī)范》等，由于這些標(biāo)準(zhǔn)不屬于法律法規(guī)，所以也不把它們納入分析范疇。

表1 與數(shù)據(jù)隱私治理相關(guān)的全國性法律法規(guī)

從整體看，表1中與數(shù)據(jù)隱私治理相關(guān)的全國性法律法規(guī)具有幾個(gè)特征：(1)法律法規(guī)種類繁多，既包含《憲法(2018修正)》，也包含刑事、民事、經(jīng)濟(jì)、行政等方面的相關(guān)具體法律法規(guī)與規(guī)章(共計(jì)21部)。(2)不同法律法規(guī)在數(shù)據(jù)隱私治理上的作用有明顯差異。例如，《憲法(2018修正)》是數(shù)據(jù)隱私治理的基礎(chǔ)；《刑法(2017修正)》可以對侵犯個(gè)人數(shù)據(jù)隱私權(quán)的各種行為給予最嚴(yán)厲的懲罰；《民法典》和《侵權(quán)責(zé)任法》是將隱私權(quán)作為其保護(hù)的權(quán)益，明確規(guī)定了需要承擔(dān)的侵權(quán)責(zé)任及其方式。(3)目前國內(nèi)隱私治理法律法規(guī)往往是針對“個(gè)人信息”而言的，特別是《個(gè)人信息保護(hù)法(草案)》比較全面地規(guī)范了個(gè)人信息權(quán)益。由于個(gè)人數(shù)據(jù)是一種形式的個(gè)人信息，因此，上述以“個(gè)人信息”為焦點(diǎn)的全國性法律法規(guī)適用于“個(gè)人數(shù)據(jù)隱私治理”。

3 全國性法律法規(guī)視角下的數(shù)據(jù)隱私治理規(guī)范

上述21部法律法規(guī)從權(quán)利、義務(wù)、責(zé)任三方面確立了國內(nèi)數(shù)據(jù)隱私治理的法律框架。

3.1 數(shù)據(jù)隱私權(quán)利治理規(guī)范

我國迄今沒有頒布一部規(guī)范數(shù)據(jù)隱私權(quán)利的法律法規(guī)，但是一些相關(guān)的全國性法律法規(guī)確立了與數(shù)據(jù)隱私治理相關(guān)的如下權(quán)利：

(1)隱私權(quán)。自然人享有隱私權(quán)(《民法典》第110條和第1032條)。隱私權(quán)受《侵權(quán)責(zé)任法》保護(hù)(《侵權(quán)責(zé)任法》第2條)。

(2)拒絕權(quán)。《個(gè)人信息保護(hù)法(草案)》規(guī)定：個(gè)人有權(quán)限制或者拒絕他人對其個(gè)人信息進(jìn)行處理(第44條)；個(gè)人認(rèn)為自動(dòng)化決策對其權(quán)益造成重大影響的，有權(quán)要求個(gè)人信息處理者予以說明，并有權(quán)拒絕個(gè)人信息處理者僅通過自動(dòng)化決策的方式作出決定(第25條)。

(3)通信自由權(quán)。公民的通信自由和通信秘密受法律的保護(hù)[《憲法(2018修正)》第40條]。

(4)請求查閱權(quán)與復(fù)制權(quán)。個(gè)人或自然人可以依法向信息處理者查閱或者復(fù)制其個(gè)人信息[《民法典》第1037條；《個(gè)人信息保護(hù)法(草案)》第45條]。

(5)請求修正權(quán)與刪除權(quán)。個(gè)人發(fā)現(xiàn)其個(gè)人信息不準(zhǔn)確或者不完整的，有權(quán)請求個(gè)人信息處理者更正、補(bǔ)充；個(gè)人信息處理者在下列情形之一下，應(yīng)當(dāng)主動(dòng)或者根據(jù)個(gè)人的請求，刪除個(gè)人信息：約定的保存期限已屆滿或者處理目的已實(shí)現(xiàn)；個(gè)人信息處理者停止提供產(chǎn)品或者服務(wù)；個(gè)人撤回同意；個(gè)人信息處理者違反法律、行政法規(guī)或者違反約定處理個(gè)人信息；法律、行政法規(guī)規(guī)定的其他情形[《個(gè)人信息保護(hù)法(草案)》第46、47條]。自然人發(fā)現(xiàn)信息處理者違反法律、行政法規(guī)的規(guī)定或者雙方的約定處理其個(gè)人信息的，有權(quán)請求信息處理者及時(shí)刪除(《民法典》第1037條)?！毒W(wǎng)絡(luò)安全法》第43條以及《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第20條和第23條對網(wǎng)絡(luò)運(yùn)營者、《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第8條對網(wǎng)絡(luò)服務(wù)提供者都有類似規(guī)定。

(6)知情權(quán)。國內(nèi)多部法律法規(guī)涉及知情權(quán)問題?！秱€(gè)人信息保護(hù)法(草案)》規(guī)定：個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán)(第44條)；基于個(gè)人同意而進(jìn)行的個(gè)人信息處理活動(dòng)，個(gè)人有權(quán)撤回其同意(第16條)。網(wǎng)絡(luò)產(chǎn)品、服務(wù)具有收集用戶信息功能的，其提供者應(yīng)當(dāng)向用戶明示并取得同意(《網(wǎng)絡(luò)安全法》第22條)。未經(jīng)用戶同意，電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者不得收集、使用用戶個(gè)人信息(《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第9條)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)遵循知情同意原則來收集、存儲(chǔ)、使用、轉(zhuǎn)移、披露兒童個(gè)人信息，并以顯著、清晰的方式告知兒童監(jiān)護(hù)人和征得兒童監(jiān)護(hù)人的同意；網(wǎng)絡(luò)運(yùn)營者停止運(yùn)營產(chǎn)品或者服務(wù)時(shí)，應(yīng)將停止運(yùn)營的通知及時(shí)告知兒童監(jiān)護(hù)人(《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第7、9、23條)。

3.2 數(shù)據(jù)隱私治理義務(wù)規(guī)范

(1)合法、合理處理個(gè)人信息?！睹穹ǖ洹返?11條、《網(wǎng)絡(luò)安全法》第44條、《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第92條規(guī)定：任何組織或者個(gè)人不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。處理個(gè)人信息應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并征得該自然人或者其監(jiān)護(hù)人同意，公開處理信息的規(guī)則，明示處理信息的目的、方式和范圍，且不違反法律、行政法規(guī)的規(guī)定和雙方的約定[《民法典》第1035條；《個(gè)人信息保護(hù)法(草案)》第5、6、7、10條]。網(wǎng)絡(luò)運(yùn)營者應(yīng)加強(qiáng)對用戶發(fā)布信息的管理，發(fā)現(xiàn)法律、行政法規(guī)禁止發(fā)布或傳輸?shù)男畔⒌?，?yīng)當(dāng)立即停止傳輸該信息，采取消除等處置措施，防止信息擴(kuò)散，保存有關(guān)記錄，并向主管部門報(bào)告(《網(wǎng)絡(luò)安全法》第47條)。電子商務(wù)經(jīng)營者收集、使用用戶的個(gè)人信息，應(yīng)遵守法律、行政法規(guī)有關(guān)個(gè)人信息保護(hù)的規(guī)定(《電子商務(wù)法》第23條)。

(2)不能侵犯隱私權(quán)，對隱私和個(gè)人信息保密?！睹穹ǖ洹芬?guī)定：任何組織或個(gè)人不得以刺探、侵?jǐn)_、泄露、公開等方式侵害他人的隱私權(quán)(第1032條)和以其他方式侵害他人的隱私權(quán)以及處理他人的私密信息(第1033條)。國家機(jī)關(guān)、承擔(dān)行政職能的法定機(jī)構(gòu)及其工作人員對履行職責(zé)過程中知悉的自然人的隱私和個(gè)人信息，應(yīng)當(dāng)予以保密，不得泄露或向他人非法提供(《民法典》第1039條、《網(wǎng)絡(luò)安全法》第45條等)。個(gè)人信息處理者不得公開其處理的個(gè)人信息[《個(gè)人信息保護(hù)法(草案)》第26條]。信息處理者不得泄露或篡改其收集、存儲(chǔ)的個(gè)人信息，未經(jīng)自然人同意，不得向他人非法提供其個(gè)人信息(經(jīng)過加工無法識(shí)別特定個(gè)人且不能復(fù)原的除外)；信息處理者對發(fā)生或可能發(fā)生的個(gè)人信息泄露、篡改、丟失，應(yīng)當(dāng)及時(shí)采取補(bǔ)救措施，按照規(guī)定告知自然人并向有關(guān)主管部門報(bào)告(《民法典》第1038條)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)對其收集的用戶信息嚴(yán)格保密(《網(wǎng)絡(luò)安全法》第40條)；不得泄露、篡改、毀損其收集的個(gè)人信息，未經(jīng)被收集者同意，不得向他人提供個(gè)人信息(《網(wǎng)絡(luò)安全法》第42條)，且不得從事非法竊取網(wǎng)絡(luò)(個(gè)人)數(shù)據(jù)的活動(dòng)和提供專門用于從事竊取網(wǎng)絡(luò)(個(gè)人)數(shù)據(jù)的程序與工具(《網(wǎng)絡(luò)安全法》第27條)。任何組織或個(gè)人不得披露未成年人的個(gè)人隱私(《未成年人保護(hù)法》第39條)；對未成年人犯罪案件、新聞報(bào)道、影視節(jié)目、公開出版物、網(wǎng)絡(luò)等不得披露該未成年人的姓名、住所、照片、圖像以及可能推斷出該未成年人的資料(《未成年人保護(hù)法》第58條)。醫(yī)療衛(wèi)生機(jī)構(gòu)、醫(yī)療衛(wèi)生人員應(yīng)當(dāng)保護(hù)患者隱私(《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第33條)；各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)和相關(guān)企事業(yè)單位不得泄露個(gè)人隱私[《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》第35條]。統(tǒng)計(jì)機(jī)構(gòu)和統(tǒng)計(jì)人員對在統(tǒng)計(jì)工作中知悉的個(gè)人信息應(yīng)當(dāng)予以保密(《統(tǒng)計(jì)法》第9條)，任何單位和個(gè)人不得對外提供、泄露統(tǒng)計(jì)調(diào)查中獲得的能夠識(shí)別或推斷單個(gè)統(tǒng)計(jì)調(diào)查對象身份的資料，不得用于統(tǒng)計(jì)以外的目的(《統(tǒng)計(jì)法》第25條)。人民法院不公開審理涉及個(gè)人隱私的案件；對涉及個(gè)人隱私的證據(jù)應(yīng)當(dāng)保密，需要在法庭出示的，不得在公開開庭時(shí)出示[《民事訴訟法(2017修正)》第68、134條]。

(3)對個(gè)人信息處理活動(dòng)進(jìn)行風(fēng)險(xiǎn)與安全評(píng)估。個(gè)人信息處理者應(yīng)當(dāng)對下列個(gè)人信息處理活動(dòng)在事前進(jìn)行風(fēng)險(xiǎn)評(píng)估，并對處理情況進(jìn)行記錄：處理敏感個(gè)人信息；利用個(gè)人信息進(jìn)行自動(dòng)化決策；委托處理個(gè)人信息、向第三方提供個(gè)人信息、公開個(gè)人信息；向境外提供個(gè)人信息；其他對個(gè)人有重大影響的個(gè)人信息處理活動(dòng)[《個(gè)人信息保護(hù)法(草案)》第54條]。關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲(chǔ)；因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估[《網(wǎng)絡(luò)安全法》第37條、《個(gè)人信息保護(hù)法(草案)》第40條]。國家促進(jìn)數(shù)據(jù)安全檢測評(píng)估、認(rèn)證等服務(wù)的發(fā)展，支持?jǐn)?shù)據(jù)安全檢測評(píng)估、認(rèn)證等專業(yè)機(jī)構(gòu)依法開展服務(wù)活動(dòng)；國家建立集中統(tǒng)一、高效權(quán)威的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、報(bào)告、信息共享、監(jiān)測預(yù)警機(jī)制；國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)活動(dòng)進(jìn)行國家安全審查；重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)活動(dòng)定期開展風(fēng)險(xiǎn)評(píng)估，并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告[《數(shù)據(jù)安全法(草案)》第16、20、22、28條]。網(wǎng)絡(luò)運(yùn)營者委托第三方處理兒童個(gè)人信息的，應(yīng)當(dāng)對受委托方及委托行為等進(jìn)行安全評(píng)估，簽署委托協(xié)議；網(wǎng)絡(luò)運(yùn)營者向第三方轉(zhuǎn)移兒童個(gè)人信息的，應(yīng)當(dāng)自行或者委托第三方機(jī)構(gòu)進(jìn)行安全評(píng)估(《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第16、17條)。

(4)保障個(gè)人信息安全。個(gè)人信息處理者應(yīng)當(dāng)對其個(gè)人信息處理活動(dòng)負(fù)責(zé)，并采取必要措施保障所處理的個(gè)人信息的安全[《個(gè)人信息保護(hù)法(草案)》第9條]；防止信息泄露、篡改、丟失(《民法典》第1038條)。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)防止網(wǎng)絡(luò)(個(gè)人)數(shù)據(jù)泄露或者被竊取、篡改，采取技術(shù)措施和其他必要措施來確保其收集的個(gè)人信息安全(《網(wǎng)絡(luò)安全法》第21、42條)；《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第13、21條)。任何組織和個(gè)人不得制作、發(fā)布、傳播侵害兒童個(gè)人信息安全的信息(《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第4條)。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者對其在提供服務(wù)過程中收集、使用的用戶個(gè)人信息的安全負(fù)責(zé)(《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第6條)。有關(guān)主管部門應(yīng)當(dāng)采取必要措施保護(hù)電子商務(wù)經(jīng)營者提供的數(shù)據(jù)信息的安全(《電子商務(wù)法》第25條)；防范、制止和查處竊取或者以其他非法方式獲取、出售或者非法向他人提供公民個(gè)人電子信息的違法犯罪行為以及其他網(wǎng)絡(luò)信息違法犯罪行為(《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第10條)。各級(jí)各類醫(yī)療衛(wèi)生機(jī)構(gòu)和相關(guān)企事業(yè)單位應(yīng)當(dāng)依法依規(guī)使用健康醫(yī)療大數(shù)據(jù)有關(guān)信息，確保公民隱私保護(hù)和數(shù)據(jù)安全；任何單位和個(gè)人不得擅自利用和發(fā)布未經(jīng)授權(quán)或超出授權(quán)范圍的健康醫(yī)療大數(shù)據(jù)，不得使用非法手段獲取數(shù)據(jù)[《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》第21、22條]。

(5)監(jiān)督和管理個(gè)人信息保護(hù)工作。網(wǎng)絡(luò)運(yùn)營者建立網(wǎng)絡(luò)信息安全投訴、舉報(bào)制度，公布投訴、舉報(bào)方式等信息，及時(shí)受理并處理有關(guān)網(wǎng)絡(luò)信息安全的投訴和舉報(bào)，積極配合網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查(《網(wǎng)絡(luò)安全法》第49條)。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)對代理人的用戶個(gè)人信息保護(hù)工作進(jìn)行監(jiān)督和管理，不得委托不符合本規(guī)定有關(guān)用戶個(gè)人信息保護(hù)要求的代理人代辦相關(guān)服務(wù)；電信管理機(jī)構(gòu)應(yīng)當(dāng)對電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者保護(hù)用戶個(gè)人信息的情況實(shí)施監(jiān)督檢查(《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第11、17條)。衛(wèi)生健康行政部門應(yīng)當(dāng)建立公民隱私保護(hù)等軟件評(píng)價(jià)和安全審查保密制度，會(huì)同相關(guān)部門建立健康醫(yī)療大數(shù)據(jù)安全管理工作責(zé)任追究制度[《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》第39、40條]。人民法院支持被侵權(quán)人請求網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者因其利用網(wǎng)絡(luò)公開自然人個(gè)人隱私和其他個(gè)人信息且造成他人損害時(shí)承擔(dān)侵權(quán)責(zé)任；也支持被侵權(quán)人請求網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者因誤用或?yàn)E用國家機(jī)關(guān)依職權(quán)制作的文書和公開信息侵害他人人身權(quán)益時(shí)承擔(dān)侵權(quán)責(zé)任(《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》第12、13條)。

3.3 數(shù)據(jù)隱私治理責(zé)任規(guī)范

(1)侵害隱私權(quán)應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任(《侵權(quán)責(zé)任法》第2條)。偷窺、偷拍、竊聽、散布他人隱私的，將處五日以下拘留或者五百元以下罰款；情節(jié)較重的，處五日以上十日以下拘留，可以并處五百元以下罰款(《治安管理處罰法》第42條)。對依法負(fù)有電子商務(wù)監(jiān)督管理職責(zé)的部門的工作人員泄露、出售或者非法向他人提供在履行職責(zé)中所知悉的個(gè)人信息和隱私的行為依法追究法律責(zé)任(《電子商務(wù)法》第87條)。

(2)“侵犯通信自由罪”的法律責(zé)任。隱匿、毀棄或者非法開拆他人信件以及侵犯公民通信自由權(quán)利屬于“侵犯通信自由罪”的行為，情節(jié)嚴(yán)重的，處一年以下有期徒刑或者拘役[《刑法(2017修正)》第252條]。

(3)“侵犯公民個(gè)人信息罪”的法律責(zé)任。違反國家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息屬于“侵犯公民個(gè)人信息罪”，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金[《刑法(2017修正)》第253條之一]。違反《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》規(guī)定，泄露公民個(gè)人健康信息者將由縣級(jí)以上人民政府衛(wèi)生健康主管部門依照有關(guān)執(zhí)業(yè)醫(yī)師、護(hù)士管理和醫(yī)療糾紛預(yù)防處理等法律、行政法規(guī)的規(guī)定給予行政處罰；非法收集、使用、加工、傳輸公民個(gè)人健康信息，非法買賣、提供或者公開公民個(gè)人健康信息等，構(gòu)成違反治安管理行為的，依法給予治安管理處罰(《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》第102、105條)。

(4)侵害個(gè)人信息權(quán)利的法律責(zé)任。網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的提供者違反《網(wǎng)絡(luò)安全法》第41至43條規(guī)定，侵害個(gè)人信息依法得到保護(hù)的權(quán)利的，由有關(guān)主管部門責(zé)令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款；情節(jié)嚴(yán)重的，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。違反《網(wǎng)絡(luò)安全法》第44條規(guī)定，竊取或者以其他非法方式獲取、非法出售或者非法向他人提供個(gè)人信息，尚不構(gòu)成犯罪的，由公安機(jī)關(guān)沒收違法所得，并處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款(《網(wǎng)絡(luò)安全法》第64條)。

(5)不履行數(shù)據(jù)安全或網(wǎng)絡(luò)安全保護(hù)的法律責(zé)任。開展數(shù)據(jù)活動(dòng)的組織、個(gè)人不履行《數(shù)據(jù)安全法(草案)》規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)或者未采取必要的安全措施的，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員可以處五千元以上五萬元以下罰款；拒不改正或者造成大量數(shù)據(jù)泄漏等嚴(yán)重后果的，處十萬元以上一百萬元以下罰款，對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款[《數(shù)據(jù)安全法(草案)》第42條]。網(wǎng)絡(luò)運(yùn)營者不履行《網(wǎng)絡(luò)安全法》第21條規(guī)定的網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負(fù)責(zé)的主管人員處五千元以上五萬元以下罰款(《網(wǎng)絡(luò)安全法》第59條)。

(6)違反《個(gè)人信息保護(hù)法(草案)》的法律責(zé)任。違反《個(gè)人信息保護(hù)法(草案)》規(guī)定處理個(gè)人信息，或者處理個(gè)人信息未按照規(guī)定采取必要的安全保護(hù)措施的，由履行個(gè)人信息保護(hù)職責(zé)的部門責(zé)令改正，沒收違法所得，給予警告；拒不改正的，并處一百萬元以下罰款；對直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款；構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責(zé)任[《個(gè)人信息保護(hù)法(草案)》第62、67條]。

(7)違反《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》的法律責(zé)任。對有違反《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》行為的，依法給予警告、罰款、沒收違法所得、吊銷許可證或者取消備案、關(guān)閉網(wǎng)站、禁止有關(guān)責(zé)任人員從事網(wǎng)絡(luò)服務(wù)業(yè)務(wù)等處罰，記入社會(huì)信用檔案并予以公布；構(gòu)成違反治安管理行為的，依法給予治安管理處罰。構(gòu)成犯罪的，依法追究刑事責(zé)任。侵害他人民事權(quán)益的，依法承擔(dān)民事責(zé)任(《加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第10條)。

(8)違反《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》的法律責(zé)任。電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者違反《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》的，由電信管理機(jī)構(gòu)依據(jù)職權(quán)責(zé)令限期改正，予以警告，可以并處一萬元以上三萬元以下的罰款，向社會(huì)公告；構(gòu)成犯罪的，依法追究刑事責(zé)任；電信管理機(jī)構(gòu)工作人員在對用戶個(gè)人信息保護(hù)工作實(shí)施監(jiān)督管理的過程中玩忽職守、濫用職權(quán)、徇私舞弊的，依法處理或追究刑事責(zé)任(《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》第23、24條)。

3.4 數(shù)據(jù)隱私治理法律法規(guī)的不足

我國初步建立國家層次的數(shù)據(jù)隱私治理法律法規(guī)體系，改善了國內(nèi)隱私權(quán)保護(hù)，但數(shù)據(jù)隱私治理法律法規(guī)還有一些不足之處，主要包括：

(1)沒有有效解決數(shù)據(jù)開放與個(gè)人隱私保護(hù)之間的沖突問題。開放科學(xué)對于解決科學(xué)研究中的再現(xiàn)性挑戰(zhàn)是至關(guān)重要的，同時(shí)可以促進(jìn)驗(yàn)證先前結(jié)果或建立在先前結(jié)果之上的未來研究。然而，數(shù)據(jù)開放自然而然地增加了數(shù)據(jù)隱私泄露的風(fēng)險(xiǎn)。特別是在開放網(wǎng)絡(luò)環(huán)境下，非法記錄、追蹤個(gè)人網(wǎng)上活動(dòng)成為可能。例如，一些軟件與系統(tǒng)開發(fā)者、電信業(yè)務(wù)經(jīng)營者或互聯(lián)網(wǎng)信息服務(wù)提供商通過對他人互聯(lián)網(wǎng)使用痕跡如網(wǎng)頁瀏覽記錄、網(wǎng)上購物詳情、社交軟件聊天記錄等進(jìn)行全程記錄、監(jiān)控、分析以及二次利用，就可追蹤個(gè)人日常的網(wǎng)上活動(dòng)與隱私信息，無形之中侵犯了個(gè)人數(shù)據(jù)隱私權(quán)與網(wǎng)絡(luò)隱私權(quán)。雖然理論上研究人員可以利用匿名或去識(shí)別化技術(shù)來在開放數(shù)據(jù)和人類主體隱私之間進(jìn)行平衡，但是即使是匿名的數(shù)據(jù)也可以顯示出有關(guān)人類主體的私人信息，這是因?yàn)?，即使不是被?biāo)記為個(gè)人可識(shí)別的特征也可能仍然包含與個(gè)人有關(guān)的敏感信息，通過將這些數(shù)據(jù)與其他可公開獲得的資源聯(lián)系起來，可以重新確定個(gè)人的身份。此外，數(shù)據(jù)開放共享還可能使某些人利用各種黑客程序、Cookies、病毒程序侵犯個(gè)人網(wǎng)絡(luò)空間隱私變得更加隱蔽和容易，加劇個(gè)人網(wǎng)絡(luò)空間隱私被侵犯的危害程度。尤其是當(dāng)蘊(yùn)含個(gè)人隱私的數(shù)據(jù)一旦開放共享，一般不受控制，很難去追溯某位公民的個(gè)人隱私數(shù)據(jù)究竟落入哪些主體、多少主體手中，進(jìn)而也就無法徹底刪除已泄露的個(gè)人隱私信息[25]。因此，開放數(shù)據(jù)與人類主體隱私保護(hù)之間的適當(dāng)平衡仍然是一個(gè)重大挑戰(zhàn)[67]。我國現(xiàn)有數(shù)據(jù)隱私治理法律法規(guī)沒有相關(guān)條款來規(guī)范數(shù)據(jù)開放與個(gè)人隱私保護(hù)之間的沖突，這成為開放科學(xué)環(huán)境下我國數(shù)據(jù)隱私治理必須著力解決的首要問題。

(2)沒有有效解決公眾知情權(quán)與個(gè)人隱私權(quán)之間的沖突問題。在開放社會(huì)與開放科學(xué)環(huán)境下，數(shù)據(jù)開放不僅僅是學(xué)者們身體力行的行為，也是各級(jí)政府積極倡導(dǎo)的重要事務(wù)。開放政府?dāng)?shù)據(jù)可以促進(jìn)決策過程的公開和透明，并培養(yǎng)公民的信任。然而，政府也儲(chǔ)存了大量敏感的個(gè)人信息，這些信息的泄露可能會(huì)損害個(gè)人隱私。這就需要平衡公眾知情權(quán)與個(gè)人隱私權(quán)的沖突與利益[68]。盡管我國《民法典》已經(jīng)明確自然人享有隱私權(quán)，《消費(fèi)者權(quán)益保護(hù)法》《電子商務(wù)法》《網(wǎng)絡(luò)安全法》《基本醫(yī)療衛(wèi)生與健康促進(jìn)法》《合同法》《政府信息公開條例》《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》《兒童個(gè)人信息網(wǎng)絡(luò)保護(hù)規(guī)定》等都有規(guī)范知情權(quán)的條款，但是缺少平衡公眾知情權(quán)與個(gè)人隱私權(quán)的法律條文，沒有建立公眾知情權(quán)與個(gè)人隱私權(quán)平衡保護(hù)的原則與機(jī)制，也就是說，沒有從法律法規(guī)上有效解決公眾知情權(quán)與個(gè)人隱私權(quán)之間的沖突問題。

(3)沒有有效解決個(gè)人數(shù)據(jù)跨境傳輸與隱私保護(hù)的沖突問題。在開放科學(xué)環(huán)境下，個(gè)人數(shù)據(jù)在全球的跨境傳輸、共享愈加重要和普遍。我國《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃(2016-2020年)》明確要求“推動(dòng)建立數(shù)據(jù)跨境流動(dòng)的法律體系和管理機(jī)制，加強(qiáng)重要敏感數(shù)據(jù)跨境流動(dòng)的管理”?！秱€(gè)人信息保護(hù)法(草案)》第三章公布了個(gè)人信息跨境提供的6條規(guī)則(第38至43條)。這是繼國家互聯(lián)網(wǎng)信息辦公室2019年6月13日發(fā)布《個(gè)人信息出境安全評(píng)估辦法(征求意見稿)》通知后，首次對個(gè)人信息跨境傳輸提供法律規(guī)范。第38條強(qiáng)調(diào)個(gè)人信息處理者進(jìn)行跨境個(gè)人信息提供應(yīng)當(dāng)至少滿足下列條件之一：依照本法第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評(píng)估；按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；與境外接收方訂立合同，約定雙方的權(quán)利和義務(wù)，并監(jiān)督其個(gè)人信息處理活動(dòng)達(dá)到本法規(guī)定的個(gè)人信息保護(hù)標(biāo)準(zhǔn)；法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。不過，目前的6條規(guī)則沒有明確涉及隱私保護(hù)問題?！缎畔踩夹g(shù)個(gè)人信息安全規(guī)范》《網(wǎng)絡(luò)安全法》也沒有較好地解決個(gè)人數(shù)據(jù)跨境傳輸與隱私保護(hù)的矛盾。

(4)沒有提供完善的數(shù)據(jù)隱私權(quán)救濟(jì)機(jī)制。依據(jù)我國當(dāng)前立法，隱私權(quán)的救濟(jì)主要體現(xiàn)在《民法通則(2009修正)》第134條、《民法典》第179條和《侵權(quán)責(zé)任法》第15條上，包含停止侵害、排除妨礙、賠償損失、消除影響和恢復(fù)名譽(yù)、賠禮道歉5種救濟(jì)方式。然而，這些救濟(jì)方式面臨一些尷尬問題，比如：缺乏預(yù)防性救濟(jì)措施；侵犯數(shù)據(jù)隱私權(quán)的救濟(jì)途徑不完善；傳統(tǒng)的救濟(jì)方式不能完全有效解決數(shù)據(jù)隱私權(quán)侵權(quán)問題。

(5)我國缺乏專門的《隱私法》《個(gè)人數(shù)據(jù)保護(hù)法》。我國雖然頒布了許多與個(gè)人隱私保護(hù)相關(guān)的法律，但是沒有制定專門的《隱私法》或《個(gè)人數(shù)據(jù)保護(hù)法》，也沒有在法律上界定數(shù)據(jù)隱私權(quán)包括哪些權(quán)利?！稊?shù)據(jù)安全法(草案)》沒有把“數(shù)據(jù)隱私”納入其中；《個(gè)人信息保護(hù)法(草案)》全文沒有出現(xiàn)“隱私”或“數(shù)據(jù)”詞語，且沒有像GDPR一樣詳細(xì)規(guī)范數(shù)據(jù)主體權(quán)利?？v觀國外隱私立法，澳大利亞、加拿大、美國、希臘、以色列、新西蘭、菲律賓、烏干達(dá)、匈牙利、葡萄牙等國家都制定了專門的《隱私法》；全球90個(gè)國家和地區(qū)制定了個(gè)人信息保護(hù)法律[69]，如加拿大、日本、韓國等國的《個(gè)人信息保護(hù)法》；英國、德國、新加坡、法國分別頒布了《數(shù)據(jù)保護(hù)法案(1984)》《聯(lián)邦數(shù)據(jù)保護(hù)法》《個(gè)人數(shù)據(jù)保護(hù)法》《數(shù)字共和國法案》；歐盟于2016年出臺(tái)了GDPR。這些法律對于相關(guān)國家或組織實(shí)施數(shù)據(jù)隱私治理發(fā)揮了支撐與保障作用。

4 加強(qiáng)我國數(shù)據(jù)隱私治理的建議

4.1 制定《隱私法》，建立健全數(shù)據(jù)隱私治理法律體系

《隱私法》可以為本國數(shù)據(jù)隱私治理提供卓有成效的法律保障。例如，美國數(shù)據(jù)隱私受到聯(lián)邦和州法律的復(fù)雜框架保護(hù)[39]。在聯(lián)邦框架內(nèi)，美國國會(huì)頒布一系列旨在為個(gè)人信息提供法定保護(hù)的聯(lián)邦法律，包括《通信法(1934)》《隱私法(1974)》《電信法(1996)》《電子通信隱私法》《家庭教育權(quán)利和隱私法》《視頻隱私保護(hù)法》《健康保險(xiǎn)可攜性和問責(zé)法》《兒童在線隱私保護(hù)法》《公平信用報(bào)告法》《計(jì)算機(jī)欺詐和濫用法》《聯(lián)邦貿(mào)易委員會(huì)法》《消費(fèi)者金融保護(hù)法》《格雷姆-里奇-比利雷法》(Gramm-Leach-Bliley Act，又名《金融服務(wù)現(xiàn)代化法》)[70]，由此構(gòu)建了個(gè)人數(shù)據(jù)隱私保護(hù)的聯(lián)邦法律體系。其中《隱私法(1974)》規(guī)定[71]：(1)不得非法披露個(gè)人記錄(數(shù)據(jù))，即任何機(jī)構(gòu)均不得通過任何方式向任何人或其他機(jī)構(gòu)披露記錄系統(tǒng)中包含的任何記錄，除非根據(jù)該記錄所涉及的個(gè)人的書面要求或事先取得該個(gè)人的書面同意，但某些法定的記錄披露是允許的。(2)個(gè)人有權(quán)查閱聯(lián)邦機(jī)關(guān)記錄中與本人相關(guān)的記錄和對它進(jìn)行更正或修改。(3)政府機(jī)構(gòu)應(yīng)該履行的責(zé)任與義務(wù)，比如：在其記錄中僅保留與完成機(jī)構(gòu)法令或總統(tǒng)行政命令所要求完成的目的相關(guān)和必要的個(gè)人信息；維持機(jī)構(gòu)對任何個(gè)人作出任何決定時(shí)所使用所有記錄的準(zhǔn)確性、相關(guān)性、及時(shí)性和完整性；建立個(gè)人參與設(shè)計(jì)、開發(fā)、操作或維護(hù)任何記錄系統(tǒng)或任何記錄的行為規(guī)則；建立適當(dāng)?shù)墓芾?、技術(shù)和物理安全措施，以確保記錄的安全性和保密性并防止相關(guān)威脅或危害等。不過，該法對隱私的關(guān)注側(cè)重于保護(hù)個(gè)人免受政府的侵?jǐn)_，而不是保護(hù)個(gè)人免受他人的侵?jǐn)_。由于現(xiàn)代數(shù)據(jù)隱私治理不僅僅是數(shù)據(jù)披露問題，涉及到更廣泛的數(shù)據(jù)收集、保護(hù)和使用問題，因此，美國國會(huì)頒布了上述諸多聯(lián)邦法律來支撐其他領(lǐng)域或行業(yè)的數(shù)據(jù)隱私治理。

對比中美兩國數(shù)據(jù)隱私保護(hù)立法，盡管我國已經(jīng)頒布21部相關(guān)的全國性法律法規(guī)，但是缺少專門的《隱私法》，更沒有像美國一樣制定某種特定行業(yè)或人群的隱私法，致使國內(nèi)數(shù)據(jù)隱私治理缺少具有較強(qiáng)操作性的法律法規(guī)的支撐。因此，在國內(nèi)數(shù)據(jù)隱私侵權(quán)時(shí)有發(fā)生的情況下，我國應(yīng)該借鑒國外隱私法立法經(jīng)驗(yàn)，以制定適應(yīng)開放科學(xué)、開放社會(huì)環(huán)境下的《隱私法》作為突破口，確立個(gè)人隱私保護(hù)的法律條款，比如，對個(gè)人隱私的內(nèi)涵和范圍進(jìn)行明確界定，以列舉形式逐條列出，使其更具參照性，以解決數(shù)據(jù)開放(或信息公開)與個(gè)人隱私保護(hù)之間的沖突問題；確立個(gè)人數(shù)據(jù)處理機(jī)構(gòu)的資格審查、登記制度以及個(gè)人數(shù)據(jù)處理行為規(guī)范；確立數(shù)據(jù)開放的隱私保護(hù)措施；確立數(shù)據(jù)跨境傳輸?shù)碾[私保護(hù)措施；確立個(gè)人隱私侵權(quán)救濟(jì)制度等[72]。同時(shí)，還需修改和完善其他法律法規(guī)中有關(guān)個(gè)人隱私保護(hù)的內(nèi)容，以建立健全我國數(shù)據(jù)隱私治理的法律法規(guī)體系。

4.2 以完善《個(gè)人信息保護(hù)法(草案)》為契機(jī)，筑固數(shù)據(jù)隱私治理機(jī)制

在法律語言中，信息與數(shù)據(jù)似一對孿生兄弟，讓人難以辨別[73]，以至于目前鮮見一個(gè)國家同時(shí)頒布《個(gè)人信息保護(hù)法》與《個(gè)人數(shù)據(jù)保護(hù)法》。按照這種慣例，我國公布《個(gè)人信息保護(hù)法(草案)》并征求意見后，將會(huì)經(jīng)過進(jìn)一步完善最終頒布《個(gè)人信息保護(hù)法》，很可能不會(huì)再制定《個(gè)人數(shù)據(jù)保護(hù)法》。基于這種思維邏輯，應(yīng)該以完善《個(gè)人信息保護(hù)法(草案)》為契機(jī)，筑固我國數(shù)據(jù)隱私治理機(jī)制。

(1)把個(gè)人數(shù)據(jù)納入《個(gè)人信息保護(hù)法(草案)》保護(hù)范圍。由于個(gè)人數(shù)據(jù)未出現(xiàn)在《個(gè)人信息保護(hù)法(草案)》中，出于個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)隱私治理的需要，建議把個(gè)人數(shù)據(jù)納入“個(gè)人信息”范疇，即“個(gè)人信息是以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息和數(shù)據(jù)，不包括匿名化處理后的信息和數(shù)據(jù)?！边@樣定義的“個(gè)人信息”就明確包含個(gè)人數(shù)據(jù)，從而奠定數(shù)據(jù)隱私治理的法理基礎(chǔ)。

(2)確立個(gè)人數(shù)據(jù)與信息保護(hù)原則?！秱€(gè)人信息保護(hù)法(草案)》規(guī)定：處理個(gè)人信息應(yīng)當(dāng)采用合法、正當(dāng)?shù)姆绞?，遵循誠信原則(第5條)；處理個(gè)人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得進(jìn)行與處理目的無關(guān)的個(gè)人信息處理(第6條)；處理個(gè)人信息應(yīng)當(dāng)遵循公開、透明的原則，明示個(gè)人信息處理規(guī)則(第7條)；為實(shí)現(xiàn)處理目的，所處理的個(gè)人信息應(yīng)當(dāng)準(zhǔn)確，并及時(shí)更新(第8條)。雖然上述條款有的說明了個(gè)人信息保護(hù)原則，有的包含個(gè)人信息保護(hù)原則的理念，但并沒有十分明確地寫明個(gè)人數(shù)據(jù)與信息保護(hù)原則。借鑒英國《數(shù)據(jù)保護(hù)法(2018)》條款[74]，在修訂《個(gè)人信息保護(hù)法(草案)》時(shí)補(bǔ)充如下6項(xiàng)個(gè)人數(shù)據(jù)與信息保護(hù)原則：合法且公平原則、處理目的具體明確原則、個(gè)人數(shù)據(jù)準(zhǔn)確和相關(guān)且不過量原則、個(gè)人數(shù)據(jù)保持更新原則、個(gè)人數(shù)據(jù)保存不得長于必需原則、以安全方式處理個(gè)人數(shù)據(jù)原則，以便為有效解決公眾知情權(quán)與個(gè)人隱私權(quán)之間的沖突問題奠定法律基礎(chǔ)。

(3)完善個(gè)人數(shù)據(jù)權(quán)利或信息權(quán)利?！秱€(gè)人信息保護(hù)法(草案)》第四章規(guī)定：個(gè)人對其個(gè)人信息的處理享有知情權(quán)、決定權(quán)、限制處理權(quán)、拒絕權(quán)(第44條)，查閱與復(fù)制權(quán)(第45條)，修正權(quán)(第46條)，刪除權(quán)(第47條)，請求解釋權(quán)(第48條)，免受自動(dòng)化決策權(quán)(第25條)等。這些權(quán)利基本上實(shí)現(xiàn)了與GDPR界定的數(shù)據(jù)主體權(quán)利的接軌，但仍缺少撤回同意權(quán)、可攜帶權(quán)等[29]。建議在《個(gè)人信息保護(hù)法(草案)》中補(bǔ)充撤回同意權(quán)、可攜帶權(quán)兩項(xiàng)權(quán)利，以便更好地進(jìn)行個(gè)人數(shù)據(jù)與信息的處理，特別是跨境個(gè)人數(shù)據(jù)與信息的傳輸。

(4)完善個(gè)人數(shù)據(jù)與信息處理者的義務(wù)?！秱€(gè)人信息保護(hù)法(草案)》規(guī)定的個(gè)人信息處理者的主要義務(wù)包括：一是應(yīng)當(dāng)采取必要措施(如制定內(nèi)部管理制度和操作規(guī)程、對個(gè)人信息實(shí)行分級(jí)分類管理、采取相應(yīng)的加密和去標(biāo)識(shí)化等安全技術(shù)措施、合理確定個(gè)人信息處理的操作權(quán)限和定期對從業(yè)人員進(jìn)行安全教育和培訓(xùn)、制定并組織實(shí)施個(gè)人信息安全事件應(yīng)急預(yù)案等)確保個(gè)人信息處理活動(dòng)符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個(gè)人信息泄露或者被竊取、篡改、刪除(第50條)；二是應(yīng)當(dāng)公開個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等，并報(bào)送履行個(gè)人信息保護(hù)職責(zé)的部門(第51條)；三是應(yīng)當(dāng)定期對其個(gè)人信息處理活動(dòng)、采取的保護(hù)措施等是否符合法律、行政法規(guī)的規(guī)定進(jìn)行審計(jì)(第53條)；四是應(yīng)當(dāng)對包括處理敏感個(gè)人信息、利用個(gè)人信息進(jìn)行自動(dòng)化決策、向境外提供個(gè)人信息等個(gè)人信息處理活動(dòng)進(jìn)行事前風(fēng)險(xiǎn)評(píng)估，并對處理情況進(jìn)行記錄(第54條)；五是對信息泄露立即采取補(bǔ)救措施，并通知履行個(gè)人信息保護(hù)職責(zé)的部門和個(gè)人(第55條)。這些有助于規(guī)范個(gè)人數(shù)據(jù)與信息處理者對個(gè)人數(shù)據(jù)與信息的操作和管理，但應(yīng)該看到某些地方仍待完善。例如，《個(gè)人信息保護(hù)法(草案)》第六章雖然明確了“履行個(gè)人信息保護(hù)職責(zé)的部門”的義務(wù)，但是沒有指明到底由誰來執(zhí)行，這有可能使個(gè)人信息保護(hù)不能落到實(shí)處。事實(shí)上，GDPR要求控制者和處理者任命一名數(shù)據(jù)保護(hù)官，公布其聯(lián)系方式并報(bào)告給監(jiān)管機(jī)構(gòu)[29]。因此，把設(shè)立個(gè)人信息保護(hù)官或個(gè)人數(shù)據(jù)保護(hù)官寫入第六章條款中，以便通過充分發(fā)揮其領(lǐng)導(dǎo)、組織與協(xié)調(diào)作用來更好地實(shí)施個(gè)人數(shù)據(jù)與信息保護(hù)。

(5)完善個(gè)人數(shù)據(jù)與信息跨境傳輸安全保護(hù)機(jī)制?！秱€(gè)人信息保護(hù)法(草案)》第三章指出，個(gè)人信息跨境提供需要滿足安全保障原則(第38、40條)、知情同意原則(第39條)、司法協(xié)助原則(第41條)、限制與禁止原則(第42條——國家網(wǎng)信部門可以對境外從事?lián)p害我國公民的個(gè)人信息權(quán)益或者危害我國國家安全、公共利益的個(gè)人信息處理活動(dòng)的組織或個(gè)人，列入限制或者禁止個(gè)人信息提供清單)、對等處理原則(第43條——我國可以根據(jù)其他國家和地區(qū)在個(gè)人信息保護(hù)方面對我國采取歧視性的禁止、限制或者其他類似行動(dòng)，對該國家或者該地區(qū)采取相應(yīng)措施)。這些條款無疑可以為我國個(gè)人數(shù)據(jù)與信息跨境傳輸提供安全保護(hù)。不過，《個(gè)人信息保護(hù)法(草案)》還應(yīng)該強(qiáng)調(diào)與補(bǔ)充質(zhì)量原則(個(gè)人數(shù)據(jù)與信息應(yīng)該與其被使用目的相關(guān)，并且是準(zhǔn)確、完整和最新的)、目的規(guī)范原則(應(yīng)當(dāng)在個(gè)人數(shù)據(jù)與信息跨境傳輸前明確說明收集這些個(gè)人數(shù)據(jù)與信息的目的，且其后的使用應(yīng)當(dāng)限制于這些目的)、責(zé)任原則(個(gè)人信息/數(shù)據(jù)處理者或控制者應(yīng)該遵循本法確定的個(gè)人數(shù)據(jù)與信息跨境傳輸安全保護(hù)原則和措施)[75]，從而健全我國個(gè)人數(shù)據(jù)與信息跨境傳輸安全保護(hù)機(jī)制，為跨境數(shù)據(jù)隱私治理提供法律準(zhǔn)繩。

5 結(jié)語

如今世界比以往任何時(shí)候都更緊密地聯(lián)系在一起[76]，數(shù)據(jù)隱私權(quán)侵權(quán)行為時(shí)有發(fā)生。從“2019年我國個(gè)人信息與隱私保護(hù)十大法治事件”來看，被告人陳德武等5人因倒賣2億余條公民個(gè)人信息而受到刑事處罰的大案，中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局等四部門聯(lián)合在全國范圍組織開展App違法違規(guī)收集使用個(gè)人信息的專項(xiàng)治理行動(dòng)，國家市場監(jiān)管總局等8部門聯(lián)合開展的2019網(wǎng)絡(luò)市場監(jiān)管專項(xiàng)行動(dòng)(網(wǎng)劍行動(dòng))等事件[77]，集中反映出我國數(shù)據(jù)隱私治理面臨許多新挑戰(zhàn)。比如，個(gè)人信息或個(gè)人數(shù)據(jù)的收集、開發(fā)和利用本應(yīng)該以保護(hù)個(gè)人信息權(quán)利和隱私權(quán)為前提[78]，但將社交網(wǎng)絡(luò)數(shù)據(jù)等新形式的個(gè)人數(shù)據(jù)用作研究資源時(shí)是否對個(gè)人隱私構(gòu)成風(fēng)險(xiǎn)、甚至侵犯個(gè)人隱私等方面還缺少規(guī)范；目前國內(nèi)數(shù)據(jù)保護(hù)與隱私治理法律法規(guī)并不健全。因此，我國應(yīng)該借鑒國外數(shù)據(jù)保護(hù)法或隱私法，制定我國《隱私法》，同時(shí)進(jìn)一步完善包括《個(gè)人信息保護(hù)法(草案)》在內(nèi)的與數(shù)據(jù)隱私治理相關(guān)的各種法律法規(guī)，最終形成支撐開放科學(xué)、開放網(wǎng)絡(luò)環(huán)境下進(jìn)行數(shù)據(jù)保護(hù)和隱私治理的法律法規(guī)體系。