鄭淑霞

西安工業(yè)大學馬克思主義學院，陜西 西安 710032

大數(shù)據(jù)時代如何平衡各方利益主體的利益沖突，是亟待解決的問題，本文將通過對歐盟、美國、日本的個人信息保護模式進行剖析，提出其對我國個人信息流動中利益平衡的啟示。

一、歐盟人格權保護模式的演進及評析

（一）歐盟人格權保護模式的演進

歐盟關于個人信息（個人數(shù)據(jù)）的研究以及立法較早，大致可以分為五個階段：第一階段，1950年的《歐洲人權公約》，此公約亦屬于世界首次對個人數(shù)據(jù)進行保護的立法規(guī)定；第二階段，1970年德國黑森州制定并頒布了《德國黑森州數(shù)據(jù)保護法》，該法屬于世界上第一部個人數(shù)據(jù)保護法；［1］第三階段，隨著科技的發(fā)展，開始嘗試從整個歐洲建立統(tǒng)一的個人數(shù)據(jù)保護法，先后制定了《1981年個人信息保護公約》和《1995年數(shù)據(jù)保護指令》，但該指令有一個很大的缺點，它只適用于成員國，而對于成員國的國民卻不適用；第四階段，為了對成員國及其國民的個人數(shù)據(jù)均進行有效保護，歐盟又先后通過了《保護個人信息跨國傳送及隱私權指導綱領》《有關個人數(shù)據(jù)自動化處理之個人保護公約》和《關于個人數(shù)據(jù)處理保護與自由流動指令》，但這些綱領或者指令僅僅屬于框架性的指導文件，僅僅起到指導成員國國內立法的作用；第五階段，采取了統(tǒng)一立法模式，制定并頒布了《一般數(shù)據(jù)保護條例》（GDPR），該條例被稱為“史上最嚴個人信息保護法”［1］，該條例在個人數(shù)據(jù)保護歷史上起到了一個里程碑的作用。

（二）歐盟人格權保護模式評析

GDPR和歐盟以往的個人數(shù)據(jù)保護立法相比較，有以下優(yōu)點：第一，該條例對個人數(shù)據(jù)下定義時采用了“可識別”和“可間接識別”的法律術語。［2］根據(jù)該條例的規(guī)定，所謂個人數(shù)據(jù)，是指任何能夠直接識別或者間接識別自然人的數(shù)據(jù)，包括姓名、性別、年齡、身份證號、家庭住址、職位、職務、工作地址、個人收入、受教育程度等等。第二，對個人數(shù)據(jù)處理不僅進行了原則性規(guī)定，而且還對各方主體的權利和義務做出了明確規(guī)定，這就使得該條例既有原則性又有可操作性。第三，GDPR既對成員國之間個人信息流動進行保護，又對成員國境內的個人信息流動也進行保護。這就使得個人數(shù)據(jù)不僅在整個歐洲層面獲得保護而且在成員國國內也得到有效保護，更有利于個人數(shù)據(jù)的有效流通和利用。［3］

二、美國個人信息財產權保護模式的演進及評析

（一）美國個人信息財產權保護模式的演進

美國關于個人信息性質的界定主要經歷了兩個階段，第一階段為消極保護階段，1890年美國學者提出隱私權的概念；第二階段為主動保護階段，提出信息隱私的概念，并將其納入隱私權的范疇，也就是在隱私權保護的體系中對個人信息進行保護。

另外為了加強既對個人信息的人身權進行保護，又對其財產權進行保護，美國的個人信息保護模式主要經歷了兩個階段。

第一階段，不同于歐盟的統(tǒng)一立法模式，美國剛開始對個人信息的保護采取的是分散立法、行業(yè)自律的模式。首先在憲法里確認了個人信息屬于公民的一項基本人權，［1］憲法的規(guī)定為各行各業(yè)的行業(yè)規(guī)范制定提供了原則性的規(guī)定，其分散立法主要有1966年的《信息自由法》、1974年的《隱私法案》、1980年的《隱私保護法》、1994年的《駕駛員隱私保護法》、1998年的《兒童上網隱私保護法》等［4］。另外美國各行各業(yè)在憲法確定的原則的指導下，制定了本行業(yè)有關個人信息保護的行業(yè)規(guī)范。

第二階段，為統(tǒng)一立法階段，隨著“Facebook數(shù)據(jù)泄露事件”，分散立法和行業(yè)自律的個人信息保護模式暴露出其嚴重的不足，美國開始了對個人信息的統(tǒng)一立法保護模式。加利福尼亞州2018年6月28日制定并頒布了《2018年加州消費者隱私法案》（CCPA），繼CCPA后，美國加州又于2020年11月3日通過了《加州隱私權法案》（CPRA），該法案將于2023年1月1日正式生效。

（二）美國個人信息財產權保護模式評析

和GDPR相比較，第一，CCPA個人信息的范圍界定更為廣泛，不僅包括能夠直接識別自然人的生物識別信息，例如性別、年齡、身高、體重、血型、星座、遺傳信息等，還包括個人的家庭信息（家庭住址、家庭成員、婚姻狀況等）、財務信息（個人收入、貸款情況、銀行存款等）和購買信息（購買習慣、購買渠道、購買價格等）等能夠間接識別的個人信息。第二，CCPA擴大了加州居民（消費者）的隱私保護范圍，一方面，消費者對個人信息具有控制權，企業(yè)在使用消費者個人信息時須經消費者同意；另一方面，該法案還為消費者實現(xiàn)其控制權提供了有效路徑。［5］第三，CCPA賦予了加州居民（消費者）更為廣泛的法律救濟途徑和救濟力度。其救濟途徑包括金錢方面的救濟途徑和非金錢方面（消費者具有申請禁令或者是宣告性法律救濟權利）的救濟途徑，而且在金錢賠償方面，企業(yè)承擔的賠償責任比GDPR更大。［1］第四，CCPA一方面借鑒GDPR的統(tǒng)一立法模式，對個人信息進行保護，另一方面又高度重視產業(yè)利益，力求消費者利益、行業(yè)利益和技術創(chuàng)新的平衡。［5］第五，CPRA相比較于CCPA，加州居民（消費者）的控制權更強，權利范圍更廣，而且當權利受到侵犯時，對企業(yè)的懲罰力度更大。［6］

三、日本折衷保護模式演進及其特點

（一）日本折衷保護模式演進

日本的《個人信息保護法》于2003年制定，并于2005年4月1日施行，2013年開始了該法的修訂工作，并于2015年正式通過［7］，于2017年5月30日正式施行。此次修法對《個人信息保護法》作了較大幅度的調整，2020年又做了局部修改。

（二）日本折衷保護模式特點

現(xiàn)行日本《個人信息保護法》具有如下特點：

1.該法明確了個人信息的概念界定，并明確區(qū)分個人數(shù)據(jù)和個人信息的概念區(qū)別，同時引入了“個人信息數(shù)據(jù)庫”的概念。根據(jù)日本《個人信息保護法》，所謂個人信息主要指的是能夠直接或者間接識別某個特定個人的一切信息，范圍較廣。而個人數(shù)據(jù)的范圍較窄，“個人數(shù)據(jù)”就是指構成個人數(shù)據(jù)庫的個人信息?！皞€人信息數(shù)據(jù)庫”是指含有個人信息的信息集合物。［8］綜上可以看出，和歐盟和美國的立法不同，日本立法里的個人信息和個人數(shù)據(jù)屬于不同的概念。

2.在個人信息處理時使用“匿名化加工”制度。在保留個人數(shù)據(jù)有效性的基礎上，對部分可識別內容和符號進行匿名化處理和加工。

3.設立專門機構來保護個人信息。個人信息保護委員會作為獨立的第三方監(jiān)管機構，享有對個人信息的使用者進行監(jiān)督和管理的權限，當個人信息遭受侵權時，有權對侵權者采取調查、建議、指導、命令和勸告等監(jiān)督管理措施。［7］

4.借鑒“時間銀行”的社區(qū)養(yǎng)老模式，日本政府在“數(shù)據(jù)流通環(huán)境整備檢討會”提出“信息銀行”的設想?！靶畔y行”是指“基于PDS（Personal Data Store）等個人數(shù)據(jù)存儲系統(tǒng)，對簽訂數(shù)據(jù)使用協(xié)議后的個人數(shù)據(jù)進行管理，并遵照本人的數(shù)據(jù)使用意愿與第三方開展數(shù)據(jù)交易活動（數(shù)據(jù)交易獲得的收益由信息銀行直接或間接交付給本人）”［9］

5.在知情同意原則上，兼顧企業(yè)利益和用戶利益，采取“自愿加入（opt-in）”和“自愿退出（opt-out）”兩種模式?！皁pt-in”模式，使用個人信息，須取得個人同意，此模式一般針對的是“需注意的個人信息”，即指含有政令規(guī)定的、為避免發(fā)生針對本人的人種、社會身份、病歷以及其他不利益而需要在處理上予以特別注意的記述等之個人信息；“opt-out”模式，使用個人信息，默認用戶同意，針對的是其他個人信息。

四、大數(shù)據(jù)時代個人信息流動中利益平衡保護的域外模式對我國的啟示

（一）制定統(tǒng)一的個人信息保護法

順應個人信息統(tǒng)一立法保護模式的世界趨勢。目前我國關于個人信息的保護也采取的是統(tǒng)一立法模式，除了在《民法典》中明確規(guī)定自然人的個人信息受法律保護外，2021年通過的《個人信息保護法》，該法系統(tǒng)地對個人信息進行保護。該法包括八章，其中第一章總則明確規(guī)定了個人信息的權利性質屬于個人信息權益，并明確規(guī)定了個人信息的保護范圍以及處理個人信息應當遵循的原則；第二章明確規(guī)定了個人信息處理規(guī)則，并明確規(guī)定了敏感個人信息的處理規(guī)則和國家機關處理個人信息的特別規(guī)定；第三章規(guī)定了個人信息跨境提供的規(guī)則；第四章規(guī)定了個人在個人信息處理活動中的權利；第五章規(guī)定了個人信息處理者的義務；第六章規(guī)定了履行個人信息保護職責的部門；第七章規(guī)定了各方的法律責任；第八章為附則。

（二）加強行業(yè)自律和外部監(jiān)督相結合

為了加強對個人信息的保護，我國可以借鑒美國的行業(yè)自律模式，并加強對各行業(yè)外部監(jiān)督。

（三）加強對特殊群體的重點關注

未成年人作為弱勢群體，其個人信息容易遭受侵犯，美國加州專門制定了《數(shù)字世界加利福尼亞未成年人隱私權法》，另外還專門就學生群體制定了專門的教育法典。這些對我國立法均有借鑒意義，我國在立法時可以專門就未成年人和學生群體的個人信息保護作出規(guī)定。［10］

（四）設立獨立的第三方機構來對個人信息的使用進行監(jiān)管

日本個人信息的保護采取的是統(tǒng)一立法和行業(yè)自律相結合的“共同規(guī)制”模式［7］。我國可以借鑒日本，設立獨立的監(jiān)管機構來對個人信息的使用進行監(jiān)管。2021年通過的《個人信息保護法》明確規(guī)定國家網信部門負責統(tǒng)籌協(xié)調個人信息保護工作和相關監(jiān)督管理工作。

（五）在知情同意原則上，兼顧企業(yè)利益和用戶利益，采取“opt-in”和“opt-out”兩種模式

我國2021年通過的《個人信息保護法》，亦采取這兩種模式，該法第十三條規(guī)定的七種個人信息處理者可處理個人信息的情形中，其中有六種情形處理個人信息采取的是“opt-out”模式①我國《個人信息保護法》第十三條。，除此之外，使用個人信息采取“opt-in”模式，須取得個人同意。

綜上所述，在大數(shù)據(jù)時代個人信息流動頻繁的背景下，對于個人信息的保護顯得尤為重要，本文通過分析歐盟、美國和日本等國家對于個人信息保護方面的立法以及相關政策，發(fā)現(xiàn)了其中的優(yōu)點與不足，希望我國立法機關可以予以借鑒，完善信息保護相關立法，更好的保護公民的個人信息合法權益。