徐天翊

摘要：個人信息已成為推動社會發(fā)展的重要生產力資源，2021年11月1日起施行的《個人信息保護法》為數字生態(tài)下個人信息保護提供了制度保障。應對個人信息的內涵進行界定，并與隱私概念作出區(qū)分。同時提出個人信息處理的概念，分析數字化場景下個人信息處理中存在的知情權、同意權風險、泄露風險及“信息繭房”風險。面對上述風險，應通過加強網信等相關部門監(jiān)管職責、檢察機關實踐個人信息公益訴訟制度等辦法保護個人信息權益。

關鍵詞：個人信息;信息處理;風險;保護;數字

十四五規(guī)劃和2035年遠景目標綱要提出，我們要迎接數字時代，適應數字技術全面融入社會交往和日常生活新趨勢。在數字生態(tài)下生活已成為常態(tài)，個人信息也成為深度參與并推動社會發(fā)展的重要生產力資源?！秱€人信息保護法》的實施，為數字生態(tài)下個人信息保護提供了更有力的制度保障。

一、個人信息的內涵界定

對個人信息進行保護，首先應對個人信息的范疇作出準確界定，同時將其與隱私作出準確區(qū)分。

（一）個人信息的概念

有學者認為，個人信息是指與特定個人相關聯的、反映個體特征的具有可識別性的符號系統，包括個人身份、工作、家庭、財產、健康等各方面的信息。民法典規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。按照《個人信息保護法》的定義，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。從上述學界觀點和法律條文看，個人信息僅涵蓋與識別特定自然人相關的信息，某一信息是否為個人信息，要看其能否被識別且與特定自然人相關聯。某個信息即使實際上與自然人有關聯，但因科技條件限制而無法被識別，那么該信息在當前也不屬于個人信息。但隨著科技發(fā)展，當前無法識別的信息在將來有可能變成可識別的、與自然人有關聯的信息。因此，從社會發(fā)展和法律實踐角度看，“個人信息”是一個動態(tài)概念?！秱€人信息保護法》中的定義采用高度概括的方式來體現“個人信息”這一概念的本質特征及適用范圍，同時通過“以電子或者其他方式記錄的”這樣的表述，突顯個人信息在數字生態(tài)下主要以電子化手段進行記錄的現實狀況。

（二）個人信息與隱私的區(qū)分

個人信息與隱私作為不同概念，兩者包含的范圍有所區(qū)別，但在部分內容上又有所重疊。民法典第1032條第2款規(guī)定，“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”?？梢娝矫苄畔⒆鳛殡[私權的部分內容被提出。民法典第1034條第3款規(guī)定，“個人信息中的私密信息，適用有關隱私權的規(guī)定;沒有規(guī)定的，適用有關個人信息保護的規(guī)定”。該條款表明私密信息也是個人信息的內容之一，且優(yōu)先適用有關隱私權的規(guī)定?！秱€人信息保護法》還對敏感個人信息的處理作了特別規(guī)定，認為敏感個人信息“包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”?？梢娒舾行畔⒋蠖鄬儆谒矫苄畔?，這些信息被權利人自愿公開或交由他人處理后，已不再構成隱私，但仍屬于敏感個人信息。上述規(guī)定還將不滿14周歲未成年人的全部個人信息作為敏感信息加以保護。

個人對自己享有安寧生活的控制程度及對待“控制”的不同態(tài)度，也是界分個人信息和隱私中的私密信息的一項依據。個人即使要對私密信息進行公開或利用，也不得違背公序良俗。對于個人信息，權利人側重考慮的是如何提供利用的問題，意在使信息保護與使用之間達到平衡。

二、數字生態(tài)下的個人信息處理

（一）個人信息處理的概念與界定

《民法典》與《個人信息保護法》對“個人信息處理”的定義基本相同，《個人信息保護法》第4條第2款規(guī)定，“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”。民法典中的相關規(guī)定沒有“刪除”二字，其他內容一致。法條沒有就具體場景對個人信息處理進行定義，但目前的處理手段幾乎都是在數字化場景下進行的大規(guī)模運用。

《個人信息保護法》的定位之一為“規(guī)范個人信息處理活動”。隨著大數據、人工智能在個人信息處理中的應用，具有危害性的信息處理也迭代升級，利用泛在網絡產生的數據關聯性（大數據根本特征）對潛在個體進行分析成為對個人權益最大的威脅，應當以有規(guī)范價值的識別分析為核心來定義個人信息處理。個人信息處理應被界定為與識別個人相關聯的信息處理活動，而不論信息處理者是否具有識別的主觀故意。一方面，處理者往往會稱其對信息只是單純地進行收集、儲存而非為了對用戶“識別”“畫像”而進行分析、使用;另一方面，數字化環(huán)境下個人信息在極短時間內被自動化處理，各個處理環(huán)節(jié)與“識別”之間不存在明顯區(qū)分，海量信息被反復處理后就很可能形成可識別的個人信息。

（二）個人信息數字化處理帶來的風險

個人信息受侵害風險在數字化生態(tài)下呈指數級放大，識別個人信息數字化處理過程中的風險類型，有助于科學規(guī)范個人信息處理行為。

1.個人信息收集的知情權、同意權風險

傳統模式下個人信息收集者與被收集者之間呈現相對平等的互動關系，收集者通過當面詢問記錄、讓被收集者填寫表格等方式進行收集，被收集者能直觀感受到“誰在收集、收集什么、怎么收集”，知情權得到較大程度保障，可通過拒絕提供或部分提供的方式行使同意權。數字化處理模式卻給個人信息知情權、同意權行使帶來極大風險。

個人用戶在終端設備上下載安裝APP后，從打開使用那一刻起，個人信息便已處于被收集的過程中。例如，應用市場中的APP普遍需要用戶授權讀取使用位置信息、通話記錄、媒介內容等權限才能正常運行使用，事實上我們所使用的主要APP均已達到“掌控市場”的支配地位，個人用戶在實際上喪失了對某個APP的使用選擇權及相關聯的個人信息處理同意權。數字化場景下用戶同意權變成了一種程序性權利，大部分用戶為了操作便捷都會習慣性選擇同意授權，個人用戶的同意權被架空了。

有些流氓軟件會在后臺直接收集使用個人信息，還有未經用戶操作便偷偷安裝運行的詐騙軟件、木馬程序，大肆對個人信息進行非法收集使用，這些都嚴重侵犯了個人知情權和同意權。

2.個人信息的泄露風險

個人信息即使被合法收集、存儲，其仍面臨著泄露風險。首先是來自處理者內部的風險，工作人員可能出于某種動機將個人信息散布到互聯網上或是提供給其他人，也可能因疏忽或操作不當將信息設置為公開狀態(tài)或擴大知悉范圍。然而更大的風險來自外部環(huán)境中的不可控因素——黑客，他們能夠通過后門程序、信息炸彈、網絡炸彈、D.O.S攻擊以及密碼破解等方式發(fā)動攻擊，通過登上目標主機或是使用網絡監(jiān)聽進行攻擊。

3.“信息繭房”風險

信息繭房（information cocoons）這一概念由桑斯坦在其所著的《信息烏托邦》中提出，指人們關注的信息領域會習慣性地被自己的興趣所引導，從而將自己的生活桎梏于像蠶繭一般的“繭房”中的現象。在純技術層面，個人信息在數字化場景下幾乎處于“裸泳”狀態(tài)，用戶的個人信息都已被互聯網平臺精準掌握或可通過“畫像”分析描述出來，某種程度上“他們比你更了解自己”。憑借這樣的優(yōu)勢，各個平臺將各種“量身定制”的信息內容以多種形式向個人用戶精準投放，每個用戶各自的興趣和關注點均得到了“投喂”，需求得到了滿足，而從信息處理者角度看，平臺以個人信息為“原材料”提煉創(chuàng)造出“需求”，通過精準投放來滿足這種“需求”并不斷強化。個人用戶越來越關注特定類別的信息并產生某種依賴，最終陷入信息處理者編制的“信息繭房”之中。

三、數字生態(tài)下個人信息的保護路徑

（一）加強職能部門監(jiān)管職責

各大互聯網平臺均以占有市場及盈利為首要目標，個人信息保護與公司營收利潤發(fā)生沖突時，不能僅寄希望于通過這些公司的自律來實現保護。應通過網信等有關部門的有效監(jiān)管，使互聯網公司切實承擔起應有責任。一是可以向互聯網頭部企業(yè)派駐監(jiān)督指導專員或工作組進行常態(tài)化監(jiān)管。頭部互聯網企業(yè)集中分布在北上廣深、杭州等城市，監(jiān)管部門在這些城市均設有對應監(jiān)管機構，客觀上具備派專員或工作組進駐企業(yè)實施常態(tài)化監(jiān)管的條件。專員（工作組）應有權參加與個人信息相關的各種會議，有權調閱、復印、拷貝各類相關數據資料，有權就個人信息保護工作提出意見，并對明顯違法的或可能導致個人信息處理發(fā)生重大風險的行為采取措施。二是不定期對平臺、網站進行技術檢測，核查其是否在運行過程中有非法或過度收集使用個人信息的行為。

（二）推進檢察機關個人信息保護工作

近年來檢察機關通過推進公益訴訟制度來維護社會公共利益及不特定群體利益，檢察機關也可以對侵害眾多個人信息權益的行為依法提起訴訟。個人用戶面對互聯網大公司天然處于弱勢地位，往往選擇“知難而退”，檢察機關行使著公權力，具有為維護群眾共同利益而提起公益訴訟的法定職權，以數字化處理手段侵害不特定個人信息權益的行為，應成為檢察機關履行公益訴訟職責的“戰(zhàn)場”。同時還可以結合檢察機關正在推進的“企業(yè)合規(guī)”工作，對刑、民、行檢察案件中涉及個人信息處理問題的涉案企業(yè)和平臺，通過指導幫助其建立個人信息處理內部合規(guī)制度，減少因員工違規(guī)違法操作而給企業(yè)帶來涉案涉罪風險，從而達到保護個人信息與護航企業(yè)長遠健康發(fā)展的雙贏效果。

基金項目：同濟大學浙江學院2020年嘉興市高校學生工作精品項目（項目編號：20JXGZS001）。