第一篇：個人信息保護法（草案）解讀

2020 年 10 月 21 日，《個人信息保護法（草案）》（以下簡稱 “ 《個信法》 草案” 或 “ 草案”）全文終于在萬眾矚目下揭開面紗。草案通過全方面深化個人信息保護制度，體現(xiàn)了對個人信息強保護為主、兼顧經(jīng)濟社會生活的復雜性的立法思路。近八千字的草案，代表了我國首次嘗試在法律層面上系統(tǒng)性地定義、構(gòu)建并有機整合個人信息的保護與監(jiān)管規(guī)定，既濃縮了近年來以《網(wǎng)絡(luò)安全法》（以下簡稱“ 《網(wǎng)安法》”）為代表的我國數(shù)據(jù)安全立法、監(jiān)管與實務(wù)成果，也借鑒了國際上以 GDPR為代表的各類數(shù)據(jù)保護立法經(jīng)驗。

從內(nèi)容上看，草案顯然沒有辜負業(yè)界對它的殷切期待，產(chǎn)研學各界都對諸多令人興奮的立法亮點做了詳細的介紹。但除了立法技術(shù)上的研討以外，值得強調(diào)的是，個人信息保護立法的意義不僅僅是進一步保護“個人信息權(quán)益”和“維護網(wǎng)絡(luò)空間良好生態(tài)”，同樣也是“促進數(shù)字經(jīng)濟健康發(fā)展的重要舉措”。在全球數(shù)字經(jīng)濟迅猛發(fā)展同時數(shù)字主權(quán)造成的數(shù)據(jù)孤立主義抬頭的背景下，《個信法》草案既是中國個人信息保護思路的重要亮相，也應(yīng)當站在 數(shù)據(jù)競爭的視野高度來看待其背后指向的數(shù)字經(jīng)濟發(fā)展策略。

限于篇幅，我們摘選了《個信法》草案中九個重點立法思路問題，和大家一起從比較法和經(jīng)濟發(fā)展雙角度來追本溯源，探討立法背后的深意和未來的影響。

一、如何看待“ 個人信息” 范圍可能的擴展？ 個人信息概念的界定是個人信息保護立法的核心問題和邏輯起點[1]，直接關(guān)系到法律保護對象的邊界，因此個人信息的定義通常是立法者反復權(quán)衡多種法律關(guān)系后的成果。

1.識別與關(guān)聯(lián)標準的區(qū)別與變化 此前在多部法律法規(guī)中都曾基于個人信息的定義來說明其內(nèi)涵和外延。比如《網(wǎng)安法》第七十六條規(guī)定個人信息為“電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”?！睹穹ǖ洹坊旧涎赜昧恕毒W(wǎng)安法》中“識別”的標準，但同時也將“行蹤軌跡”列明為個人信息的一種，一定程度上也呼應(yīng)了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（“ 《雙高解釋》”）對公民個人信息的定義。考慮到刑事法律保護的法律關(guān)系特殊且有所側(cè)重，《雙高解釋》將“反映特定自然人活動”的信息納入個人信息范圍，通常被理解為在“識別”標準上兼顧“關(guān)聯(lián)”標準，擴大了個人信息的范圍。

《個信法》作為個人信息保護的專門法律，其對個人信息的定義將在民事、刑事及行政法律關(guān)系中產(chǎn)生無可比擬的影響。草案第四條將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人 有關(guān)的各種信息”，一定程度上結(jié)合了 “識別+關(guān)聯(lián)” 標準，客觀上存在將個人信息概念外延擴張的可能性。

2.他山之石與因地制宜

縱觀全球法律實踐，在立法上清晰、準確且恰當?shù)亟缍▊€人信息的具體含義，并非易事。作為數(shù)據(jù)保護立法的比較法源之一，歐盟《通用數(shù)據(jù)保護條例》（“GDPR”）第四條同樣采取“識別+關(guān)聯(lián)”標準，任何已識別或者可識別的自然人相關(guān)（“relating to”）數(shù)據(jù)都是個人數(shù)據(jù)。這種定義標準也承受了一定質(zhì)疑，有觀點認為這種定義方式“非常模糊甚至模棱兩可”[2]，可能造成法律適用的不確定性；還有觀點認為過于寬泛的定義可能使得 GDPR成為“萬能法律”[3]，不僅難以實現(xiàn) GDPR提供最全面數(shù)據(jù)保護的美好愿景，還將導致數(shù)據(jù)保護系統(tǒng)過載[4]，無法平衡數(shù)據(jù)產(chǎn)業(yè)利益。

事實上，歐盟也認識到了問題所在，第 29條工作組對個人信息定義的意見中曾提出應(yīng)適當限制定義的范疇[5]，但由于 GDPR自始尤為注重“可識別”數(shù)據(jù)的保護，并不將其與“已識別”數(shù)據(jù)加以區(qū)分保護[6]，只要數(shù)據(jù)處理的最終目的是識別數(shù)據(jù)主體，那就會被認定為屬于個人數(shù)據(jù)。這實際上將個人信息處理目的與數(shù)據(jù)本身的可識別性進行了綁定[7]，現(xiàn)實問題和矛盾仍懸而未決。而相較于歐盟相較激進的“擴張主義”（expansionist view），美國秉持普通法系實務(wù)導向下的“簡化主義”（reductionist view），認為當信息實際上可與特定人相連接（link）時才屬于個人信息。[8]《美國加州消費者隱私法案》（“CCPA”）主要通過詳細列舉的方式給予了具體定義。

盡管目前世界范圍內(nèi)仍然將“識別性”作為個人信息定義的主要因素，但隨著識別技術(shù)的發(fā)展，個人信息可識別性的判斷事實上是動態(tài)的過程，許多原本不可被識別的信息經(jīng)組合后可能被識別，直接拓寬了個人信息的范圍。因此有學者也提出通過區(qū)分已識別和可識別兩類不同層級的個人信息并設(shè)計了不同保護措施。[9]從監(jiān)管者的角度出發(fā)，我們需要理解在數(shù)字技術(shù)快速發(fā)展和個人信息權(quán)益侵害事件頻發(fā)的背景之下，強化個人信息保護立法存在相當?shù)谋匾耘c緊迫性。與此同時，基于域外立法實踐和經(jīng)驗教訓，個人信息概念的過度擴張仍可能有違個人信息保護之初衷。實踐中，對于個人信息違規(guī)收集及濫用確實廣泛存在，但值得注意的是，在中國數(shù)字經(jīng)濟高速發(fā)展的當前，大量場景下比如機器學習的商業(yè)化及技術(shù)研究中并不以識別特定個人為目的，通常僅為了驗真等目的需要標識或者關(guān)聯(lián)某個對象。個人信息范圍的模糊或者擴展可能導致數(shù)據(jù)處理受限，使得數(shù)字經(jīng)濟無法發(fā)揮最大潛力。

但不可否認的是，在數(shù)字經(jīng)濟社會，個人信息的定義作為核心概念將是我們需要長期探討的時代難題。是否需要區(qū)分識別個人信息的目的？是否要結(jié)合場景來判斷個人信息范圍？是否需要結(jié)合主體處理分析數(shù)據(jù)的能力來判斷？去標識化個人信息的對外共享是否能達到相對匿名化效果？這些問題將伴隨技術(shù)和經(jīng)濟發(fā)展，不斷地要求我們深入思考：在當前的社會發(fā)展階段，如何準確界定個人信息，同時在實踐中增加彈性，以實現(xiàn)多方主體利益的平衡。

二、“ 域外適用” 是暫時的反制，還是虛擬空間推動的時代潮流？

草案規(guī)定的域外適用效力，毫無疑問是最受關(guān)注、最廣為探討的立法亮點之一。根據(jù)草案第三條，該法適用于境內(nèi)處理個人信息，還適用于三種境外處理境內(nèi)自然人個人信息的活動：

（1）以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的；（2）為分析、評估境內(nèi)自然人的行為；或（3）法律、行政法規(guī)規(guī)定的其他情形。

1.“ 長臂管轄”的出發(fā)點與實踐困局 隨著數(shù)據(jù)主權(quán)意識的不斷強調(diào)與深化，各國在數(shù)據(jù)權(quán)屬與域外管轄領(lǐng)域內(nèi)存在客觀的競爭需要。面對歐盟 GDPR、美國《澄清域外合法使用數(shù)據(jù)法案》（“Cloud 法案”）等一系列域外立法中存在的 “長臂管轄” 規(guī)定，以及近段時間以來美國、印度政府對我國出海企業(yè)以國家安全、公民數(shù)據(jù)保護等為由的一系列調(diào)查與糾紛，草案有必要給予相對積極的回應(yīng)。

積極順應(yīng)與面對國際立法是我們的基本立場，但作為一種付諸執(zhí)行的具體立法實踐，“長臂管轄”規(guī)定本身的合理性以及應(yīng)用方式值得我們謹慎審視。有觀點認為，歐盟 GDPR的域外適用并非國際法上的“最佳實踐”，在尚未形成數(shù)據(jù)保護國際規(guī)則的情形下，GDPR的域外適用的規(guī)定在事實上構(gòu)成了對非歐盟區(qū)公民數(shù)據(jù)權(quán)利的限制[10]和對分享全球數(shù)據(jù)產(chǎn)業(yè)紅利的不合理障礙。這種管轄可能將會帶來對其他主權(quán)國家執(zhí)法權(quán)完整性的挑戰(zhàn)、增加引發(fā)貿(mào)易乃至外交沖突的可能性。[11]此外，歐盟內(nèi)部執(zhí)法機構(gòu)也認為，要求境外企業(yè)在境內(nèi)設(shè)立分支機構(gòu)與指定代表的相關(guān)規(guī)定無法落地。[12] 另外，高昂的數(shù)據(jù)合規(guī)成本使得包括跨國公司在內(nèi)企業(yè)“望而卻步”，有數(shù)據(jù)統(tǒng)計 68%的公司預計將花費 100萬到 1000萬美元的合規(guī)成本。[13]

2.有限度的回應(yīng)與長遠考慮

盡管國際法共識認為長臂管轄可能不符合國際法規(guī)則，且各國深知限制或禁止離岸數(shù)據(jù)運營模式將限制跨國企業(yè)的經(jīng)營動力，但時下各國數(shù)據(jù)立法賦予必要的域外效力儼然成為了一種潮流。除上述 GDPR的域外適用效力規(guī)定外，新近通過立法如新加坡的 PDPA、南非 POPIA和埃及 PDPL等國的個人數(shù)據(jù)保護法，以及印度的個人信息保護法案草案等，均涉及針對域外企業(yè)處理域內(nèi)數(shù)據(jù)的規(guī)定。

但從具體條文規(guī)定的細節(jié)對比來看，相較于 GDPR、Cloud法案等積極尋求域外適用的立法態(tài)度，草案則更多地體現(xiàn)出保護我國境內(nèi)個人信息的基本立場和回應(yīng)姿態(tài)。例如，根據(jù) GDPR以及歐盟數(shù)據(jù)保護委員會（“EDPB”）就域外適用的相關(guān)指引文件[14]，GDPR規(guī)定無論在何處設(shè)立和處理歐盟境內(nèi)個人數(shù)據(jù)，凡是向歐盟境內(nèi)提供貨物或服務(wù)的實體，均受到 GDPR的管轄；此外，還規(guī)定了域外監(jiān)控行為的適用。

跨國公司處理關(guān)聯(lián)公司所在國用戶或者本集團內(nèi)部員工的數(shù)據(jù)是企業(yè)運營的普遍及必要情況，而盡管 GDPR在各類指南及實踐中也在盡可能地糾正過于擴張的管轄，但 GDPR“以提供服務(wù)的事實”為標準的規(guī)定理論上幾乎可以涵蓋所有向歐盟區(qū)提供服務(wù)的跨國企業(yè)，因此必將帶來大量的管轄沖突問題。相比 GDPR，草案的域外適用條款則顯得更為克制，規(guī)定“以向境內(nèi)自然人產(chǎn)品或服務(wù)為目的”而處理境內(nèi)個人信息才受約束，相當于對域外適用的要求新增“數(shù)據(jù)處理的目的限制”。

另外，我國企業(yè)近年來愈發(fā)陷于各國長臂管轄的合規(guī)困境，但與之相對，如果跨國企業(yè)通過運營離岸數(shù)據(jù)中心向境內(nèi)提供網(wǎng)絡(luò)服務(wù)，在缺乏監(jiān)管的條件下，大量境內(nèi)個人信息可能在數(shù)據(jù)跨境中“裸奔”而無法得到保障。唯有推進域外適用，使跨國企業(yè)的離岸模式逐漸成為過去式，境內(nèi)個人的信息安全方能在當今全球形勢下獲得對等的保護。

但拋開對國際立法對等規(guī)則以及境內(nèi)個人信息對等保護等考慮，我們會發(fā)現(xiàn)基于數(shù)據(jù)或者網(wǎng)絡(luò)的域外適用規(guī)則在數(shù)字經(jīng)濟全球化時代幾乎無法避免。當前國際經(jīng)濟的驅(qū)動力包括網(wǎng)絡(luò)的互聯(lián)互通以及數(shù)據(jù)的全球流通及整合，盡管我們要避免無序管轄對全球經(jīng)濟發(fā)展的阻礙，同時虛擬空間全球化交互從數(shù)據(jù)安全以及數(shù)據(jù)主權(quán)等多個角度都要求國家適度地擴展域外管轄，維護市場經(jīng)濟秩序和公共安全與利益。從長遠考慮，如果缺乏域外管轄的規(guī)則，從實質(zhì)上將會影響個人信息權(quán)益的保護以及數(shù)據(jù)主權(quán)的行使。

順帶一提，除了本草案，為應(yīng)對各國域外長臂管轄帶來的消極影響，從立法層面看我國以近期出臺的《數(shù)據(jù)安全法（草案）》為代表主要做了兩方面努力：其一，做好針對個人信息保護的數(shù)據(jù)本地化和關(guān)鍵基礎(chǔ)設(shè)施、重要數(shù)據(jù)的安全審查等自我保護制度的建設(shè)；其二，為境內(nèi)法律的境外適用留有必要的空間，以靈活根據(jù)國際法的“對等原則”，采取維護國家和公民合法利益的必要的反制措施。例如，《數(shù)據(jù)安全法（草案）》的第二十四條和草案的第四十三條對外國歧視性措施的反制措施。在數(shù)據(jù)主權(quán)化浪潮當下，各國數(shù)據(jù)立法普遍帶有域外適用效力，跨國企業(yè)經(jīng)營的確需要在日常業(yè)務(wù)中謹慎經(jīng)營、做好合規(guī)，以盡可能提前避免落入域外管轄的“爭執(zhí)”之中。

三、個人信息主體對信息處理“ 絕對” 權(quán)利的利弊

1.個人信息處理合法性依據(jù)的擴展 草案第十三條首次明確個人信息處理多達六項的合法性依據(jù)，分別是同意、履行合同所必需、履行法定職責或法定義務(wù)所必需、應(yīng)對突發(fā)公共衛(wèi)生事件或緊急情況下保護自然人生命健康和財產(chǎn)安全所必需、為公共利益在合理范圍內(nèi)處理、法律和行政法規(guī)另行規(guī)定。

盡管草案增加了個人信息處理的合法性依據(jù)，但其與歐盟 GDPR的規(guī)定仍存在一些差別。草案第四項合法性基礎(chǔ)是緊急情況下對自然人生命健康和財產(chǎn)安全保護所必需，而 GDPR則是表述為對自然人重大利益（vital interests）的保護。對比來看，草案規(guī)定得更為具體，避免“重大利益”這一概念的模糊不清。同時，草案沒有規(guī)定類似 GDPR中對保護控制者或第三方合法利益（legitimate interests）必要的情形，但是其兜底條款“法律法規(guī)規(guī)定的其他情形”可以在很大程度上涵蓋這一情況，并且法律明確規(guī)定的形式也更具有確定性和可操作性，避免濫用相關(guān)條款從而造成對信息主體權(quán)益的損害。

草案中“為履行法定職責或者法定義務(wù)所必需”與“法律、行政法規(guī)規(guī)定的其他情形”這兩項合法性基礎(chǔ)之間的關(guān)系也值得探討。前者的“法定” 要求需要其所適用的情形有法律法規(guī)的依據(jù)，與后者含義一致。但前者在 “法定” 的基礎(chǔ)上加上了 “必需” 要求，實踐中可能更多指向法律法規(guī)未對個人信息收集有明確例外規(guī)定，但法定要求必需處理個人信息的場景。此外應(yīng)當肯定的是，草案還結(jié)合疫情防控經(jīng)驗，加入了 “為應(yīng)對突發(fā)公共衛(wèi)生事件所必需” 這一合法性基礎(chǔ)，充分體現(xiàn)法律與時俱進的時代特色。

2.個人信息主體權(quán)利在不同經(jīng)濟發(fā)展階段的限度 自 2012年全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》中首次提出收集和使用個人信息應(yīng)當征得個人信息被收集者的同意以來，除法律及行政法規(guī)另有規(guī)定以外，個

人信息主體的“同意”一直是我國個人信息處理的主要合法性依據(jù)，甚至學者認為賦予了個人信息主體對于個人信息的“絕對權(quán)利”。此次草案第十三條首次從法律層面對于個人信息處理活動的合法性基礎(chǔ)進行擴充，其由單一到多元化的轉(zhuǎn)變是否合理？這背后又有哪些考量？ 個人信息權(quán)益的定位其人格屬性盡管在《民法典》出臺后才相對清晰，在個人信息保護的初級階段，尤其是隱私權(quán)與個人信息權(quán)利尚未完全厘清關(guān)系的時期，賦予個人信息主體較為“絕對”的控制權(quán)對于個人信息權(quán)益尤其是人格權(quán)益保護具有積極意義。但在大數(shù)據(jù)與高科技浪潮的推動下，個人信息逐漸體現(xiàn)出其所附著的信息主體利益、信息使用者利益與公共利益等多重利益。信息主體的利益主要體現(xiàn)為對個人尊嚴與自由的保護。同時，個人信息還具有社會性、工具性與功能性，因此還應(yīng)保障信息使用者的利益，促進個人信息的使用與流通。此外，在遇到公共利益時，信息主體可能需要讓渡或犧牲部分個人利益以保障公共管理目的的實現(xiàn)。[15] 鑒于此，將知情同意作為個人信息處理的唯一合法性基礎(chǔ)在事實上賦予了信息主體對個人信息較為絕對的支配權(quán)利，但不同于知識產(chǎn)權(quán)等相對成熟的權(quán)利，考慮到個人信息“所有權(quán)”或“控制權(quán)”當前尚未有定論，較為絕對的支配權(quán)利將可能對建立個人信息的權(quán)利束制度造成不利影響，并且會對不同主體的權(quán)利分配造成阻礙。因此，這種絕對性支配權(quán)制度在多主體參與的個人信息處理中會導致較高的授權(quán)成本并可能阻礙科技和社會發(fā)展，造成經(jīng)濟實踐的巨大困境。從比較法上來看，歐盟 GDPR除同意外還規(guī)定了五種合法性基礎(chǔ)，以實現(xiàn)個人數(shù)據(jù)保護與數(shù)據(jù)流通之間的平衡。美國 CCPA 則在保障數(shù)據(jù)流動方面走的更遠，甚至未嚴格將同意作為處理的前提性條件，而是以 “告知+選擇退出” 作為保障消費者權(quán)益的方式。國際社會更傾向于不將保護個人數(shù)據(jù)主體權(quán)益作為個人數(shù)據(jù)保護的唯一目的，而是盡可能地在數(shù)據(jù)保護與數(shù)據(jù)流通之間尋求平衡。

3.從個人控制向多方控制，打開數(shù)據(jù)權(quán)益大門 《民法典》已將“法律法規(guī)另有規(guī)定”作為同意的例外，留下變通空間，并將處理已合法公開的個人信息、維護公共利益或自然人合法權(quán)利作為免責情形。草案更進一步，具體規(guī)定了除同意和法律法規(guī)另有規(guī)定以外的其他四種合法性基礎(chǔ)，體現(xiàn)出個人信息保護制度正逐步從個人控制走向社會控制[16]、多方控制，既符合時代發(fā)展需要，也順應(yīng)國際社會潮流。從個人控制到多方控制并不妨礙保護個人信息主體對于個人信息的人格權(quán)益，并讓參與個人信息處理不同環(huán)節(jié)的主體一定程度上脫離個人信息主體基于絕對同意的控制權(quán)，有空間來尋求對于個人信息可能主張的財產(chǎn)權(quán)益。當前數(shù)據(jù)立法中重點和難點問題集中在數(shù)據(jù)確權(quán)之上，通過對個人信息控制權(quán)主體的擴展，有利于從理論和實務(wù)兩個方面打破禁錮，有望實現(xiàn)平衡個人信息主體和其他處理主體權(quán)益的新型數(shù)據(jù)權(quán)益規(guī)則。

四、“ 同意” 的兩難 草案對于不同情形的“同意”規(guī)則做了細化。草案第十四條要求同意應(yīng)當“由個人在充分知情的前提下，自愿、明確作出意思表示”，并規(guī)定法定應(yīng)當取得單獨同意或書面同意的，從其規(guī)定。同時，草案第二十四條規(guī)定，在對個人信息進行共享時應(yīng)取得信息主體的單獨同意。與此相關(guān)的還有草案第三十條，要求對敏感個人信息的處理應(yīng)取得個人的單獨同意，并且法律法規(guī)規(guī)定處理敏感個人信息應(yīng)當取得書面同意的，從其規(guī)定。草案第一次嘗試在法律層面根

據(jù)處理的不同情形對 “同意” 進行分類，如何準確的界定 “同意”、“單獨同意” 與 “書面同意” 將需要從實務(wù)角度探尋可行性。

1.同意分類的合理性和實現(xiàn)困難 縱觀全球數(shù)據(jù)保護立法，“同意”的概念均有所涉及但又有所差異。草案將“同意” 定義為 “由個人在充分知情的前提下，自愿、明確作出意思表示”，與 GDPR所定義的 “通過陳述或積極行為表示” 的主要區(qū)別在于意思表示實現(xiàn)方式的多樣性。單獨同意與一般同意相比，更強調(diào)信息主體對個人信息處理在充分知情和審慎考慮基礎(chǔ)上的授權(quán)，屬于對一般同意的補強措施，從理論上看具有必要性。

對于向第三方共享個人信息與處理敏感個人信息這兩種敏感度較高的情形而言，單獨同意確實可以在一定程度上征得信息主體更充分和有效的同意。由于草案中并未給出單獨同意的具體定義，實踐中多將其理解為與概括同意相對的授權(quán)同意方式，并常以單獨提示或者彈窗的形式實現(xiàn)。但單獨同意需要在線上實現(xiàn)，尤其是數(shù)據(jù)收集或共享要求實時性時，則實現(xiàn)方式會出現(xiàn)侵擾用戶同時達不到保護個人信息主體自由意志的情況。

比如根據(jù)草案第二十四條，個人信息處理者向第三方提供其處理的個人信息的，應(yīng)當取得個人的單獨同意。但是實踐中以 SDK方式向第三方共享個人信息的情形已屢見不鮮，這也成為了一種常見且高效的商業(yè)合作模式。對于大型企業(yè)來說，其服務(wù)中可能包含多種來自不同第三方的、具有不同處理目的和處理方式的 SDK，并可能在其提供服務(wù)過程中不斷更新，若按照每種 SDK都分別用一個彈窗的形式來征得單獨同意，則可能成本過高且會給用戶帶來不良交互體驗。因此結(jié)合實踐合規(guī)成本與落地難度來看，如何設(shè)計同意機制，使得既達到單獨同意的要求又不造成侵擾用戶的后果，仍值得探討。

書面同意對比一般同意不僅突出信息主體的充分知情權(quán)與授權(quán)有效性，其還強調(diào)信息主體同意的可驗證性。草案中雖提及此概念，我們更期待明確其具體適用的場景，以及有效書面同意的定義。比如俄羅斯個人信息保護法（Federal Law No.152-FZ of 27 July 2006）中規(guī)定“以電子簽名簽署的電子文檔形式的同意應(yīng)被視為等同于包含個人數(shù)據(jù)主體手寫簽名的書面同意書”。類似的規(guī)定有助于明確新經(jīng)濟環(huán)境下，尤其是互聯(lián)網(wǎng)經(jīng)濟中書面同意的邊界。

2.新型同意機制呼吁新業(yè)態(tài) 應(yīng)當肯定立法針對不同情形區(qū)分同意的類型，但由于不同同意類型的界定將在很大程度上影響各相關(guān)主體的權(quán)益，具體對同意的界定與適用可能亟待相關(guān)法規(guī)或指南進一步明確。與此同時，如何實現(xiàn)不同的同意要求以匹配新型的同意機制將是企業(yè)重點關(guān)注的難題。

實踐中，必須承認隱私政策與同意提示等對于個人信息主體的提醒作用十分有限。借由同意機制發(fā)生變化的契機，企業(yè)應(yīng)當進一步研究如何增加個人信息主體對同意的管理路徑，比如讓個人信息主體通過 dashboard等方式自行管理其對個人信息的同意，即增加告知及同意的強度，又降低反復提醒降低產(chǎn)品體感的影響。盡管上述要求可能進一步增加企業(yè)合規(guī)成本，但在尊重個人信息主體意志大原則不變的前提下，可以預見的是以適當、透明的方式使得個人信息主體享有一定的個人信息管理權(quán)限，將有助于自證合規(guī)并提高消費者體驗。與此同時，考慮到個人信息權(quán)利束理論形成后，個人信息附著的財產(chǎn)性權(quán)益同樣有突出的管理需求，企業(yè)對合規(guī)的投資可能轉(zhuǎn)換為類似 privacy box 等可商業(yè)化的新業(yè)態(tài)。

五、處理者法律責任分配背后的政策考慮，如何實現(xiàn)個人信息權(quán)益保護與促進產(chǎn)業(yè)發(fā)展的矛盾統(tǒng)一？ 草案第二十一條規(guī)定，兩個或兩個以上的個人信息共同處理者承擔連帶責任，成為一大亮點。具體而言，受共同處理行為侵害個人信息權(quán)益的個人，有權(quán)向任何一個處理者主張全部損害賠償。從個人信息的強保護立場來看，連帶責任固然有利于保障個人求償權(quán)的實現(xiàn)，鼓勵共同處理者之間充分約定共同處理的安全保護義務(wù)，促使共同處理者積極就數(shù)據(jù)保護進行互相監(jiān)督。但在推動數(shù)字經(jīng)濟的大背景下，處理者連帶責任所代表的強保護政策導向，應(yīng)如何響應(yīng) “促進企業(yè)聯(lián)動轉(zhuǎn)型、跨界合作”[17]的新業(yè)態(tài)發(fā)展需求？ 我們不妨假設(shè)一個場景：整車制造廠商（OEM）希望搭建自己的車聯(lián)網(wǎng)系統(tǒng)，而其中的地圖導航服務(wù)則作由第三方運營。第三方導航服務(wù)直接調(diào)用傳感器收集用戶個人位置信息以提供導航定位服務(wù)，屬于直接的個人信息處理者；而 OEM 將導航服務(wù)獲取并處理的位置信息用于智慧加油、智能停車、旅游信息等車聯(lián)網(wǎng)服務(wù)，屬于位置信息的共同個人信息處理者。根據(jù)草案，若 OEM 在車載外賣服務(wù)中泄露了個人位置信息，第三方共同處理者亦需承擔連帶責任?？紤]到車聯(lián)網(wǎng)方案的開放性，第三方無法充分預見位置信息泄露的可能性與風險，為避免承擔連帶責任，很可能會因此減少與 OEM 的合作，或通過合同限制 OEM 的車聯(lián)網(wǎng)方案應(yīng)用范圍，從而限制車聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展合作。

從上述例子來看，若共同處理行為可分割且分工明確，一方處理者為另一方處理行為承擔連帶責任，可能有失公平、打擊企業(yè)參與此類產(chǎn)業(yè)合作的積極性。但另一方面，若用戶無法對共同處理者涉嫌侵權(quán)的處理行為的分工有合理清晰認知，則共同處理者承擔連帶責任則顯然具有保障個人權(quán)益的正當性、必要性，也在我國司法實踐中獲得認可。[18]事實上，我國立法對連帶侵權(quán)責任的規(guī)定一向采取謹慎態(tài)度，如《民法典》中對網(wǎng)絡(luò)服務(wù)提供者提出限制條件的連帶責任。[19] 而從國際立法實踐來看，雖然 GDPR第 26條第 3款規(guī)定“數(shù)據(jù)主體可以對每一名[共同]控制者行使權(quán)利”，但該條是否可以理解為共同控制者存在連帶責任仍有極大爭議。[20]顯然，處理者的法律責任分配應(yīng)當如何權(quán)衡個人權(quán)益保障與促進產(chǎn)業(yè)合作發(fā)展，仍有很長的政策研討之路要走——是否應(yīng)當以個人存在對處理行為的分工有合理認識為判斷標準？該判斷標準是否造成過高的司法判斷成本，以至于一刀切地規(guī)定連帶責任更具有可行性？ 類似的政策問題同樣出現(xiàn)在草案第六十五條：對于處理活動侵害個人信息權(quán)益的，“個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任”。該條似乎可以理解為采用了過錯推定的歸責原則，即將證明個人信息處理沒有過錯的舉證責任轉(zhuǎn)移至作為被告的處理者身上；但該條進一步可理解為若處理者證明自己無過錯的，可能僅減輕了其賠償責任，似乎又像是規(guī)定了某種公平責任。此外，將本條與草案第二十一條結(jié)合理解，進一步產(chǎn)生了歸責難題：承擔連帶責任的兩名共同處理者，且個人信息處理中雙方僅分別負責不同階段的個人信息處理時，若甲方能證明自己無過錯，而乙方無法證明，個人引述第二十一條的連帶責任條款，要求甲方承擔損害賠償責任，甲方是否可以引述草案第六十五條抗辯？如何將六十五條的特殊歸責與共同處理者的連帶責任進行統(tǒng)一，在有過錯的乙方、無過錯的甲方與受損害的個人之間如何實現(xiàn)權(quán)益平衡？無論處理者的責任如何劃定，該條毫無疑問將增加處理者的訴訟成本、降低其尋求數(shù)字經(jīng)濟產(chǎn)業(yè)創(chuàng)新的積極性。如何在改善當前個人信息訴訟維權(quán)困難的現(xiàn)狀與保障產(chǎn)業(yè)發(fā)展之間取得微妙的平衡，顯然值得進一步廣泛探討。

六、如何劃定處理公開個人信息的“ 合理界限” ？

1.有限度“ 公開” 的個人信息 草案第二十八條規(guī)定了處理公開個人信息的基本行為規(guī)范，已公開的個人信息只能在被公開的用途之合理范圍內(nèi)被處理，否則需向個人告知并取得同意，即“公開”不能成為無限制處理個人信息的通行證。此前《民法典》第一千零三十六條已將“合理范圍內(nèi)使用公開個人信息”規(guī)定為個人信息處理的免責事由（個人信息主體明確表示拒絕或者處理侵害其重大利益除外），草案第二十八條在予以繼承與銜接的基礎(chǔ)之上，進一步作出規(guī)定：

（1）在使用范圍上，一般局限于“個人信息公開時的用途”，超出此用途相關(guān)合理范圍的，應(yīng)當執(zhí)行“告知-同意”；（2）在使用方式上，應(yīng)當合理、謹慎，如果對個人有重大影響時，應(yīng)當執(zhí)行“告知-同意”。

考慮到已公開個人信息一定范圍內(nèi)的公開性或公共性，其處理不再以“同意”為原則和必要，但從條文規(guī)定來看，“合理謹慎”、“符合用途”成為把握公開個人信息處理行為邊界的關(guān)鍵要素。對于現(xiàn)代企業(yè)而言，大量的個人信息處理行為都離不開已公開的個人信息，比如常見的運用“爬蟲”在互聯(lián)網(wǎng)平臺采集公開信息等，而如何在個人和企業(yè)之間劃定公開個人信息處理的合理邊界，包括商業(yè)化采集、識別人臉等“暴露”在公共場合的生物特征信息，成為公眾關(guān)心的問題。

2.合理隱私期待原則的參考與運用 如何在個人信息公開用途不明確的情形下“合理、謹慎”地處理公開個人信息？我們理解，“合理隱私期待”（Reasonable Expectation of Privacy）原則可以作為參考。自 1967年 Katz訴United States的判例[21]首次確立，該原則用于公民對抗公權(quán)力搜查行為而可能造成的侵犯公民隱私（“執(zhí)法隱私”）。現(xiàn)如今，隨著互聯(lián)網(wǎng)數(shù)字經(jīng)濟的興起，該原則被理論界移植對“信息隱私”的討論研究。根據(jù)理論觀點，應(yīng)當在具體場景[22]（Context）的信息關(guān)系中確定個人對信息享有的權(quán)益邊界，其重要標準即“合理隱私期待”——個人信息的收集、處理與流轉(zhuǎn)應(yīng)當符合個體的合理預期。一般認為，當個人信息的處理超出一個社會中正常理性個體的合理預期時，個人信息處理者必須對個體進行顯著告知，確保個體理解伴隨此類的風險，并且獲得個體的明確授權(quán)。[23]例如在實際場景中，某知名視頻 Up主在視頻中公開分享了一定的個人信息，由于媒介傳播特性，信息很可能被“斷章取義”“隨意剪輯”導致公開個人信息的目的、用途被削弱乃至抹滅，但至少可以合理期待 Up主不希望公開個人信息以任何不利于自己的方式被處理。

3.期待隨著行業(yè)和技術(shù)發(fā)展動態(tài)調(diào)整的合理期待標準

在實踐中，合理期待的判斷也并非沒有難度，其最大的不確定性在于結(jié)合場景和個案化的動態(tài)評估方式。作為對已公開個人信息處理的替代性原則，其應(yīng)當在經(jīng)濟學考量下優(yōu)于“告知-同意”的實施成本，否則合理期待的制度設(shè)計便失去了實際意義。與此同時，對合理隱私期待的判斷依賴于個人信息保護領(lǐng)域具體的執(zhí)法與司法實踐案例，企業(yè)作為個人信息處理者需要一個類似于經(jīng)驗積累的過程，從而形成公開個人信息處理行業(yè)實踐中的有益互動。

合理隱私期待建立在個人存在具體可感的隱私意識之下，相對而言，公共場所采集、識別人臉等個人生物特征信息因可感性較低，清晰、明確地界定合理處理范圍就顯得尤為關(guān)鍵。此前，轟動一時的“國內(nèi)人臉識別第一案”[24]正是對人臉識別技術(shù)合理使用范圍的紛爭。根據(jù)草案第二十九條，人臉信息屬于敏感個人信息，但其一般“暴露”在公共場合之下，如若法律不加以必要限制，其無感知的處理過程可能帶來嚴重后果。對該等信息的處理，草案第二十七條規(guī)定僅限于維護公共安全所必需，并且需要企業(yè)設(shè)置顯著標識。由此，立法者明確地將人臉等生物特征信息排除在公開個人信息之外，并以強制性規(guī)范嚴格約束了未經(jīng)個人單獨同意情形下公共場所內(nèi)人臉信息采集和識別的信息處理范圍。

但值得注意的是，除公共安全所必需的以外，人臉、虹膜、步態(tài)等生物識別信息有著當前設(shè)備識別碼、手機號碼、IP地址等個人標識信息無法比擬的準確性和真實性，可以預見其有廣闊的商業(yè)運用空間。隨著無人超市、智慧商圈、智慧社區(qū)甚至智慧城市的推廣與普及，在公開或者半公開空間，在（1）具有顯著標識，（2）能夠提供用戶超值便利的前提條件下，大家對步入類似空間后會被有限度采集“暴露”在外的生物識別信息是否可能具有合理的期待？對于類似的新型業(yè)態(tài)，是否需要動態(tài)調(diào)整合理期待標準值得我們前瞻性的思考。

七、從網(wǎng)絡(luò)安全到數(shù)據(jù)安全，如何構(gòu)建中國數(shù)據(jù)本地化與跨境規(guī)則？

1.多種數(shù)據(jù)出境路徑與新增本地化要求 數(shù)據(jù)本地化與跨境流動規(guī)則構(gòu)建一直以來是各國數(shù)據(jù)保護立法關(guān)注的重點。除了要求處理者充分告知個人并獲得單獨同意，此次草案更進一步拓展《網(wǎng)安法》下的數(shù)據(jù)本地化及跨境規(guī)則，將數(shù)據(jù)本地化義務(wù)主體從“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”進一步擴展到“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的個人信息處理者”，且要求該兩類主體必須通過網(wǎng)信部門的安全評估方能向境外提供個人信息。而對于其他企業(yè)，草案則提供了多種數(shù)據(jù)出境路徑，只要符合“通過國家網(wǎng)信部門組織的安全評估（存在例外）”、“經(jīng)國家網(wǎng)信部門指定專業(yè)機構(gòu)進行認證”或“簽訂合同并保證達到與本法一致的個人信息保護標準”三項條件的其中一項，即可向?qū)嵤?shù)據(jù)出境，體現(xiàn)了草案兼顧商業(yè)需求，為風險級別低的處理者提供出境便利。

草案的跨境規(guī)則與 GDPR有類似之處，如“指定機構(gòu)認證”要求與 GDPR下經(jīng)認可的有約束力的公司規(guī)則（Binding Corporate Rules）相似、“訂立合同”要求與 GDPR下標準合同條款（Standard Contractual Clauses）有所關(guān)聯(lián)。同時，草案第十二條規(guī)定了國家將積極參與個人信息保護國際規(guī)則的制定，推動與其他國家、地區(qū)和國際組織之間就個人信息保護規(guī)則、標準的互認。由此可以預見的是，未來將會越來越多得通過國際互認等方式建立起數(shù)據(jù)自由流動的區(qū)域性聯(lián)盟，同時也將通過私人協(xié)議的約束約定以及標準認定等方式完善數(shù)據(jù)跨境的合法性依據(jù)。

2.以網(wǎng)絡(luò)為中心轉(zhuǎn)向數(shù)據(jù)為中心的安全策略 草案的數(shù)據(jù)出境監(jiān)管核心是數(shù)據(jù)本地化要求。從國家戰(zhàn)略的角度而言，數(shù)據(jù)本地化存儲是維護國家數(shù)據(jù)主權(quán)，應(yīng)對跨國網(wǎng)絡(luò)攻擊或威脅的重要方式，例如美國很早便開始了網(wǎng)絡(luò)安全的戰(zhàn)略部署，近期特朗普政府戰(zhàn)略政策頻發(fā)，先后發(fā)布《國家安全戰(zhàn)略》《網(wǎng)絡(luò)安全戰(zhàn)略》和《國家網(wǎng)絡(luò)戰(zhàn)略》[25]，在《國家網(wǎng)絡(luò)戰(zhàn)略》中特別強調(diào)保護數(shù)據(jù)和底層基礎(chǔ)設(shè)施，將重點從保護網(wǎng)絡(luò)擴大到保護這些網(wǎng)絡(luò)上的數(shù)據(jù)，確保數(shù)據(jù)安全。[26]在 2010 年 10月 8日，美國國防部發(fā)布了首部《數(shù)據(jù)戰(zhàn)略》（“DoD Data Strategy”）[27]，被理解是以網(wǎng)絡(luò)為中心向以數(shù)據(jù)為中心安全模式的轉(zhuǎn)變。[28] 草案第四十條所確立的本地化規(guī)則事實上也順應(yīng)了當前世界主權(quán)之爭從網(wǎng)絡(luò)上升到數(shù)據(jù)的變革趨勢，如果說《網(wǎng)安法》對于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的本地化要求是以網(wǎng)絡(luò)安全為出發(fā)點，那么草案將本地化要求輻射到“處理個人信息達到一定量級的處理者”則以數(shù)據(jù)安全為立足點，體現(xiàn)了立法者對于本地化要求的關(guān)注點從網(wǎng)絡(luò)安全層面延伸到數(shù)據(jù)安全層面，以及以網(wǎng)絡(luò)為中心轉(zhuǎn)向數(shù)據(jù)為中心的立法思維的進步，是立法者在各國數(shù)據(jù)主權(quán)博弈態(tài)勢下所做出的積極回應(yīng)。

3.實操性有待考驗 當然在實際執(zhí)法過程中，“處理個人信息達到一定量級的處理者”的規(guī)定可能帶來一定不確定性。一方面，如何界定個人信息的量級可能存在一定爭議，如參考《雙高解釋》，個人信息量級的計算將以個人信息主體的數(shù)量為維度計算，但考慮到現(xiàn)實中企業(yè)處理個人信息的數(shù)量呈動態(tài)波動的趨勢，具體數(shù)量的認定可能存在一定難度。極端情況下，如一家跨國企業(yè)由于員工數(shù)據(jù)達到了網(wǎng)信部門規(guī)定的數(shù)量，此時跨國企業(yè)是否需要或者有必要根據(jù)草案要求將此前在中國收集存儲在境外的員工數(shù)據(jù)全部本地化；另一方面，數(shù)量為依據(jù)的計算方式可能會出現(xiàn)“螞蟻搬家”的規(guī)避方式，企業(yè)可能將數(shù)據(jù)存儲在不同子公司所運營的信息系統(tǒng)，或者以多個關(guān)聯(lián)公司的名義來處理數(shù)據(jù)，以規(guī)避處理數(shù)量達到量級所帶來的本地化要求。如果上述情況確有可能規(guī)避本地化要求，考慮到實質(zhì)上同樣數(shù)量的數(shù)據(jù)仍然會發(fā)生跨境或者境外存儲，是否需要結(jié)合跨境安全評估等規(guī)則來進一步規(guī)范？ 因此，我們理解具體規(guī)則的構(gòu)建可能還有待網(wǎng)信主管部門出臺進一步的規(guī)章或指南予以指導，當然我們也不排除關(guān)鍵信息基礎(chǔ)設(shè)施運營者與如達到一定數(shù)量的個人信息處理者間在事實上存在競合。進一步確認將處理個人信息達到規(guī)定數(shù)量納入關(guān)鍵信息基礎(chǔ)設(shè)施運營者的認定標準，在立法上將本地化要求限定于關(guān)鍵信息基礎(chǔ)設(shè)施運營者或可一定程度解決上述問題。

八、個人信息可攜權(quán)是“ 烏托邦” 還是“ 救命稻草” ？

個人在個人信息處理活動中所享有的權(quán)利一直是個人信息保護立法過程中備受關(guān)注的重點話題。草案第四章在《網(wǎng)安法》與《民法典》的基礎(chǔ)上對于個人信息主體在個人信息處理活動中的權(quán)利作了進一步明確與細化，個人在個人信息處理中的知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱復制權(quán)、更正權(quán)、刪除權(quán)在草案中到得到了進一步確認。我國對于個人信息主體權(quán)利的設(shè)置與歐盟 GDPR，巴西 LGPD等相關(guān)規(guī)定類似，但與 GDPR相比，草案與《網(wǎng)安法》

及《民法典》一樣，并沒有賦予個人信息主體 GDPR第 20條中所規(guī)定的 “數(shù)據(jù)可攜權(quán)”。正如立法者在草案說明中所述，對一些尚存爭議的理論問題，應(yīng)在本法中留下必要空間。但可攜權(quán)的現(xiàn)實難度和立法精神并不妨礙需要我們用時代的眼光來審視可攜權(quán)需要的變化和未來可能的發(fā)展空間。

在 GDPR 語境下，數(shù)據(jù)可攜權(quán)主要包括“數(shù)據(jù)主體有權(quán)下載存儲在數(shù)據(jù)控制者處的個人數(shù)據(jù)”和“條件允許時數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者為其將數(shù)據(jù)傳輸給其他控制者”兩方面基本內(nèi)容，當然 GDPR為其設(shè)立了“行使可攜權(quán)不得妨礙執(zhí)行公共利益和官方授權(quán)所需，及不得對他人權(quán)利和自由造成不利影響”的例外情形。[29]從技術(shù)可實現(xiàn)性和經(jīng)濟成本考慮，數(shù)據(jù)可攜權(quán)自提出之日就被質(zhì)疑，代表觀點認為這種權(quán)利將導致數(shù)據(jù)使用效率的犧牲而失去存在的價值。

[30] 草案并未接受 “可攜權(quán)” 作為個人信息主體的權(quán)利，其背后是什么的考量？我們目前是否做好了數(shù)據(jù)可攜落地的充分準備？這些問題還需要我們分別從數(shù)據(jù)可攜權(quán)其背后隱藏的多方主體的權(quán)益平衡談起。

1.數(shù)據(jù)主體信息自決利益范圍之考量 從數(shù)據(jù)主體的立場來看，可攜權(quán)的理論基礎(chǔ)來源于最初確立于德國聯(lián)邦憲法案例“人口普查法案”的信息自決權(quán)。[31]但事實上，信息自決被理解為對個人信息絕對的控制權(quán)實乃人們對該案判決的誤讀。

[32] 將個人信息作為客體排他性地歸屬于信息主體的做法，無法為他人的行為劃定清晰的禁區(qū)，因此也不可能構(gòu)成私權(quán)意義上、受侵權(quán)法保護的民事權(quán)利。一般認為，在為保護個人信息的隱私利益而行使自決權(quán)時，也應(yīng)受到相應(yīng)的合理限制。

[33] 這里的合理限制，其中的相當大的因素考量在于數(shù)字企業(yè)在用戶數(shù)據(jù)之上享有的一定 “財產(chǎn)權(quán)利益”。[34]應(yīng)該考慮到，數(shù)據(jù)可攜權(quán)強化個人對于個人數(shù)據(jù)的絕對控制權(quán)的同時，必將減損為維護數(shù)據(jù)資源投入高額成本的企業(yè)的利益、不合理地增加企業(yè)運營成本。此種信息自決空間是否過寬、影響社會和產(chǎn)業(yè)秩序有效運轉(zhuǎn)本就值得研討。

2.數(shù)據(jù)企業(yè)競爭性利益的保護 數(shù)據(jù)可攜不僅是個人數(shù)據(jù)保護法的調(diào)整對象，也是競爭法的調(diào)整范圍。[35]從數(shù)據(jù)作為戰(zhàn)略資源角度而言，用戶數(shù)據(jù)資源的市場占有率已成為現(xiàn)代數(shù)字驅(qū)動型企業(yè)的獨特競爭性優(yōu)勢。目前例如“頭騰大戰(zhàn)”在內(nèi)普遍而多發(fā)的企業(yè)間數(shù)據(jù)爭奪不正當競爭案例已足以證明這一點。但試圖利用數(shù)據(jù)可攜權(quán)來破除數(shù)據(jù)壟斷，可能只是一廂情愿的“烏托邦”。有觀點認為，賦予個人數(shù)據(jù)主體數(shù)據(jù)可攜權(quán)能夠有效制約互聯(lián)網(wǎng)巨頭對于數(shù)據(jù)的壟斷地位，促進數(shù)據(jù)自由流動，打破數(shù)據(jù)市場準入障礙[36]，但該種觀點只關(guān)注了頭部巨型企業(yè)，事實上，在尚未形成成熟的數(shù)字產(chǎn)業(yè)體系基礎(chǔ)之上貿(mào)然引入數(shù)據(jù)可攜權(quán)制度，更為嚴重的問題可能是急劇加重中小企業(yè)負擔。[37]根據(jù)“鎖定效應(yīng)”理論，先進入市場的積累了大量用戶的企業(yè)（先發(fā)優(yōu)勢企業(yè)）對數(shù)據(jù)具有絕對性的先占優(yōu)勢，在占有大量數(shù)據(jù)的同時，先發(fā)優(yōu)勢企業(yè)為了保護自身已形成的優(yōu)勢地位，會采取各種方式提高行業(yè)準入的門檻，最典型的方式就是將數(shù)據(jù)進行封鎖，提高用戶轉(zhuǎn)換服務(wù)商的成本。[38]此外，數(shù)據(jù)可攜的落地可能還會引發(fā)和變相鼓勵企業(yè)間“搭便車”的不正當競爭，隨之而來的可能是各種繞過數(shù)據(jù)可攜的技術(shù)壓制，反而加劇圍繞數(shù)據(jù)的“分封割據(jù)”，最后形成個別巨型企業(yè)獨占山頭的局面，恰恰違背了數(shù)據(jù)可攜的制度初衷，從而埋下了違反競爭法確定基礎(chǔ)秩序的隱患。

但盡管數(shù)據(jù)可攜權(quán)爭議較大，實施難度極高，但其立法基于個人信息主體權(quán)益主動權(quán)利的本意，以及蘊含的技術(shù)中立性和“烏托邦”精神，仍然值得我們思考。個人信息從個體控制向多方控制發(fā)展的趨勢盡管可能無法改變，設(shè)置可攜權(quán)或者其他權(quán)利促使數(shù)據(jù)標準化和有條件的自由流動可能在數(shù)據(jù)成為生產(chǎn)要素的時代困難重重，但我們期待突破數(shù)據(jù)瓶頸后的智能時代，類似的權(quán)利能夠發(fā)揮更大的作用。

在當下，可攜權(quán)在特殊情況下仍有生存的空間。在某些數(shù)據(jù)流轉(zhuǎn)嚴格監(jiān)管的行業(yè)，比如金融及醫(yī)療健康等，由于立法滯后禁止不具備相應(yīng)資質(zhì)機構(gòu)處理行業(yè)數(shù)據(jù)，確實存在無法實現(xiàn)數(shù)據(jù)安全流轉(zhuǎn)，發(fā)揮數(shù)據(jù)價值的困局。在這種特殊時期，實際上機構(gòu)或企業(yè)對于可攜權(quán)并不抵觸，企業(yè)與個人信息主體之間從數(shù)據(jù)角度不存在利益矛盾，從數(shù)據(jù)有序流轉(zhuǎn)的目標出發(fā)，甚至有動力促使個人信息主體行使可攜權(quán)來打破數(shù)據(jù)孤島。因此是否有條件的設(shè)置可攜權(quán)能夠達到多主體利益平衡并且保障個人信息安全，可能仍然是具有現(xiàn)實意義的討論。

九、如何看待個人信息違法的高額處罰？

秉持著我國立法體系特色，草案第七章以專章的形式規(guī)定了個人信息違法行為應(yīng)負的“法律責任”。草案第六十二條用兩款規(guī)定了違反本法規(guī)定處理個人信息或者未采取必要的安全保障措施的行政監(jiān)管責任，其中備受關(guān)注的是草案在《網(wǎng)安法》的基礎(chǔ)之上大幅度提高了處罰力度，并與 GDPR采取了相似的處罰方式，以最高罰金限額以及年度營業(yè)額百分比（5%）作為處罰限額。針對時下個人信息監(jiān)管的嚴峻形勢，草案為監(jiān)管部門實施個人信息違法處罰提供了強有力的法律支撐。

英美普通法系下經(jīng)典的“效率違約”[39]理論一定程度上或可解釋提高處罰額度的合理性，個人信息處理者在考量包括罰款在內(nèi)的違法成本與經(jīng)濟收益對比后，如若認為放棄合規(guī)努力時仍然有利可圖乃至收益結(jié)構(gòu)優(yōu)化，監(jiān)管處罰必然僅停留在法律文本之中。然而，監(jiān)管處罰的目標不僅停留在處罰本身，評估處罰機制的指標之一便是其是否能幫助糾正個人信息違法。根據(jù)歐盟委員會此前就 GDPR實施兩周年的評估報告 [40] 來看，通過使用監(jiān)管工具，在 2018年 5月 25日至 2019年 11月 30日期間，22個歐盟/歐洲經(jīng)濟區(qū)的 DPA 共開出約 785張罰單。從數(shù)量上看，行政處罰并不占少數(shù)，但從效果上來說，NGO 組織 Access Now指出，與各DPA收到的投訴量相比，罰款次數(shù)仍然很少，這意味著 “大量的投訴沒有得到解決”。

[41] 草案通過立法提高處罰額度實乃應(yīng)時、應(yīng)勢而為，但與此同時，考慮將違法主體以是否主要依靠個人信息處理獲得經(jīng)濟利潤為標準予以界分進而來評估具體監(jiān)管處罰的實施；在多場景下配合運用“吊銷執(zhí)照”、“停止個人信息處理”等其他處罰工具，也可能成為未來進一步細化罰則的可能方向。

總結(jié)與展望 草案作為我國個人信息保護專門立法，立足國內(nèi)信息領(lǐng)域具體實踐、充分借鑒域外立法經(jīng)驗，回應(yīng)了時下的產(chǎn)業(yè)與法律實踐的熱點難點，一定程度上揭示了今后的立法與執(zhí)法趨勢，例如嚴格規(guī)范授權(quán)同意形式、以數(shù)據(jù)本地化為視角監(jiān)管數(shù)據(jù)跨境傳輸、提升違法行為的處罰力度等。這些規(guī)定在與國際個人信息保護規(guī)則標準對接、與網(wǎng)安法、民法典等相關(guān)法律規(guī)范做好

銜接與細化工作的同時，也為日后配套法規(guī)的頒行預留了通道，彰顯了立足國情的務(wù)實態(tài)度，為國際個人信息保護立法貢獻了中國方案。尤為可貴的是，草案站在促進數(shù)字經(jīng)濟健康發(fā)展的戰(zhàn)略高度，以將個人信息保護思路從網(wǎng)絡(luò)為中心進一步豐富為以數(shù)據(jù)為中心，并兼顧經(jīng)濟生活的復雜性，為我國將數(shù)據(jù)作為新生產(chǎn)要素的數(shù)字社會轉(zhuǎn)型夯實基礎(chǔ)。我們有理由期待，經(jīng)充分討論、完善與打磨后的個人信息保護法，將平衡好個人信息權(quán)益保護與有序自由流動的辯證關(guān)系，規(guī)范個人信息處理活動、保障廣大人民個人信息權(quán)益、激發(fā)數(shù)字產(chǎn)業(yè)活力，在數(shù)據(jù)主權(quán)激烈競爭的國際環(huán)境下為我國數(shù)字經(jīng)濟發(fā)展帶來新機遇。

第二篇：個人信息保護

為公眾生活筑一道“防火墻”

個人信息不但是一個公民的身份證明，還包含了其生活中最重要的方方面面，它的泄露不僅會給人們帶來生活上的困擾，更有甚者，還會造成財產(chǎn)的損失和情感的欺騙。隨著信息流通渠道的多樣化，泄露個人信息的行為呈愈演愈烈的態(tài)勢，對于個人信息的保護必須引起重視。

近年來，公民個人信息被泄露的問題頻繁發(fā)生。從絡(luò)繹不絕的廣告短信和郵件到隔三差五的業(yè)務(wù)推銷電話；從虛假的銀行卡消費通知到企圖詐騙的短信和電話，泄露他人信息就像是一個大眾課題，不論是在被泄露的內(nèi)容和泄露途徑上，或是在泄露后信息的去向和用途上，都在不斷推敲中衍生出越來越多的不法用途。

大到“棱鏡門”丑聞，小到手機上的小廣告，人們對于個人信息的保護意識正在不斷形成，但仍難以避免其不脛而走。究其緣由主要在于當下信息傳播的平臺多，轉(zhuǎn)手速度快，為信息的泄露增添了更多可能性，加之掌握個人信息的企業(yè)單位缺少行業(yè)自律，民眾對自身信息的保護意識不強，同時缺少相關(guān)的法律法規(guī)保障，對不法分子層出不窮的欺騙手段難免心有余而力不足。為了保護民眾的隱私，我們需要變被動為主動，分別從個人信息泄露前、泄漏中、泄露后三方面一起努力。

保護個人信息，應(yīng)在信息泄露前增強自我保護意識。雖然近些年命眾對于自身信息的保護意識有所增強，但日益增多的欺騙手段往往讓人們防不慎防。所以，可以通過街道、居委會分發(fā)《居民個人信息保護小貼士》和開展防范信息泄露講座等形式，普及個人信息泄露的案例和信息自我保護的方法，在人們心中筑起攔阻“大壩”，從源頭防止個人信息被利用。

保護個人信息，應(yīng)加大信息泄露過程中的監(jiān)察力度。目前，社會上倒賣各種身份信息的現(xiàn)象猖獗，信息傳播途徑的多樣化更讓不法分子有恃無恐。鑒于此，應(yīng)當提高相關(guān)部門人員在如網(wǎng)絡(luò)通信等技術(shù)上的專業(yè)素養(yǎng)，加大對各個渠道個人信息泄露的監(jiān)察力度，對于易發(fā)生信息泄露的關(guān)鍵點和關(guān)鍵途徑要嚴格管控，嚴厲查處，防止個人信息的進一步傳播和倒賣。

保護個人信息，還應(yīng)該在信息泄露后加大懲處力度。建立并完善相關(guān)的法律法規(guī)，對于泄露他人信息和利用他人信息進行不法操作的行為作出嚴肅處理，提高不法分子的犯罪成本。

還值得注意的是，在竊取個人信息的渠道中，也不乏對正規(guī)渠道的利用。如銀行、保險公司、醫(yī)療機構(gòu)、物流公司等，這些深受民眾信任的場所也成了個人信息泄露的重災區(qū)。所以，應(yīng)加強相關(guān)企業(yè)負責人及員工的職業(yè)道德教育，提高行業(yè)自律和信息倫理意識，減少不法分子的可乘之機。

個人信息是屬于個人的，但對個人信息的保護是屬于全社會的。只有形成涵蓋全社會的個人信息保護體系，為公眾的生活筑起一道“防火墻”，才能讓個人有隱私，讓信息有保障。

第三篇：個人信息保護

保護個人客戶信息 有效防范金融詐騙

近年來，關(guān)于銀行客戶個人信息屢屢外泄的新聞不斷出現(xiàn)在各大媒體報道中，這類重要信息管理缺失行為不僅給客戶帶來經(jīng)濟和人身危害，也極大的影響到商業(yè)銀行社會公信力的塑造。應(yīng)該看到，各類商業(yè)銀行都建立了完善的客戶信息保密制度，通過技術(shù)和政策支持也規(guī)避了部分泄密問題，但客戶信息失密事件屢見不鮮且利用常規(guī)管理方式即可避免風險。如何解決當前存在的客戶信息泄密問題，需要銀行監(jiān)管部門和商業(yè)銀行高管層、各層級管理者認真思考。本文拋開利用計算機技術(shù)竊密犯罪因素，僅根據(jù)“銀行――社會中介――客戶信息需求方”的泄密通道，通過問題描述和現(xiàn)狀反思，圍繞強化銀行員工思想政治教育、建立聲譽約束的外部監(jiān)管機制，以及建立同業(yè)聯(lián)盟的信息公開平臺來防范泄密和詐騙事件的發(fā)生。

一、履職過程中存在的泄密行為

假設(shè)銀行的客戶信息保密制度設(shè)計是沒有瑕疵的，在此基礎(chǔ)上所存在的問題可歸納為以下三個方面。

（一）銀行部分人員的風險意識淡薄

金融機構(gòu)向社會大眾提供負債、資產(chǎn)、中間業(yè)務(wù)和其他新興業(yè)務(wù)，在提供服務(wù)的過程中掌握了大量的個人客戶信息，個人金融信息和個人客戶信息必然成為不法之徒追逐利用的目標，其中，最有可能成為失密信息大量使用重災區(qū)的是資產(chǎn)類業(yè)務(wù)。如個人住房貸款、個人消費貸款，尋求該信貸業(yè)務(wù)的客戶會被社會中介重點關(guān)注，他們的個人信息也成為市場其他產(chǎn)品（如家居類產(chǎn)品、裝修、保險等）供應(yīng)者的商業(yè)資源。部分銀行員工在風險意識、保密意識淡薄的情況下，將客戶信息發(fā)布出去。發(fā)布方式可能是口述、紙質(zhì)方式、電子郵件、不當處理的垃圾等。

（二）銀行部分人員的利益偏好使然

在現(xiàn)代商業(yè)社會客戶信息已成為重要的經(jīng)濟資源，對該信息的壟斷性獲取將為賣方提供商機。由此，客戶信息需求方為了獲得這種商機，便有意愿通過商品交換形式來求助于社會中介，而社會中介在人際關(guān)系處理和商品交易原則下，便可能獲得目標客戶的銀行信息。不難看出，這表現(xiàn)為銀行部分人員與社會中介之間的利益交換關(guān)系。

（三）銀行部分人員與中介勾結(jié)

金融業(yè)競爭日趨激烈，大部分銀行將業(yè)務(wù)指標與員工收入緊密掛鉤，為完成或超額完成分配的業(yè)務(wù)指標，獲取薪金收入或業(yè)務(wù)獎勵，部分員工有意無意地放寬保密規(guī)定，為協(xié)助中介達成交易，不惜提供客戶信息、為中介補充客戶信息。

二、泄密行為反思

上述泄密行為，為我們進行對策研究提供了方向。然而，商業(yè)銀行管理層只能規(guī)范銀行內(nèi)部的信息管理活動，卻無法約束社會中介、客戶信息需求方。這就意味著，要使得對策更具有實效性還要依賴于全社會的參與，共同遵守和保護客戶隱私。

（一）針對銀行內(nèi)部的現(xiàn)狀反思

客戶信息泄密現(xiàn)象發(fā)端于銀行。因此，首先需要從規(guī)范銀行涉密人員的行為操守開始。由于存在著信息不對稱現(xiàn)象，商業(yè)銀行管理者難以及時、準確把握關(guān)鍵人員行為的合規(guī)性，因而解決監(jiān)管缺位成為對策構(gòu)建的出發(fā)點之一。事實證明，依靠監(jiān)管人員的跟蹤監(jiān)督是不現(xiàn)實的，需要從組織文化和外部壓力的構(gòu)建著手。

（二）針對銀行外部的現(xiàn)狀反思

盡管社會中介和客戶信息需求方的行為難以被銀行約束，但在商業(yè)社會中銀行應(yīng)充分發(fā)揮自身的網(wǎng)絡(luò)資源，通過限制和懲戒他們的銀行業(yè)務(wù)來給予威懾。所謂銀行業(yè)務(wù)可理解為，中介組織和客戶信息需求方與商業(yè)銀行間的業(yè)務(wù)往來。

三、反泄密行為的對策

為防止泄密行為引發(fā)的欺詐事件，可從三個方面著手。

（一）強化銀行員工的思想政治教育

無論是國有控股商業(yè)銀行還是其他股份制銀行，都應(yīng)強化組織內(nèi)部的思想政治教育。在開展該項工作時應(yīng)改變傳統(tǒng)的“空對空”模式，通過案例教學促使銀行員工能夠清楚地知道泄露客戶信息對社會的危害、對銀行本身的危害，以及對自身職業(yè)生涯的影響。只有這樣，才能建立起與員工切身利益相聯(lián)系的自覺行為。

（二）樹立銀行員工安全保密意識

網(wǎng)絡(luò)信息時代，發(fā)生客戶個人信息泄露事件，不僅會給客戶造成較大損失，也會給銀行帶來非常嚴重的法律風險和聲譽風險。樹立銀行員工安全保密意識刻不容緩。通過開展安全保密教育活動，教育員工在公眾場合嚴守商業(yè)機密，嚴格遵守“為客戶保密”的原則，并落實安全保密責任制。抓好重點崗位的保密工作，強化崗位責任制，將每一項業(yè)務(wù)操作置于合規(guī)框架下，把信息泄密事件消滅在萌芽狀態(tài)。

（三）建立聲譽約束的外部監(jiān)管機制

對于部分風險意識較弱或具有強烈利益偏好的員工，應(yīng)在優(yōu)化跟蹤監(jiān)管機制的同時，建立起聲譽約束機制，借助銀行員工強調(diào)自己在單位內(nèi)部的口碑和聲譽度的心態(tài)，將其本單位在履行職責或者提供服務(wù)過程中獲得的公民個人信息，存在信息泄露，如情節(jié)嚴重的，移送司法機關(guān)處理，如情節(jié)較為輕微的，進行經(jīng)濟處罰，并在職務(wù)晉升、職稱聘任上實行一票否決制，進而在他們的心理上構(gòu)建起一道防線。

（四）建立同業(yè)聯(lián)盟的信息公開平臺

根據(jù)社會中介和客戶信息需求方流動性強、與銀行交易較多的特點，針對他們必然與商業(yè)銀行發(fā)生正常業(yè)務(wù)往來的性質(zhì)，金融機構(gòu)可以在主管部門的協(xié)調(diào)下建立起各類商業(yè)銀行間的信息共享平臺，利用該平臺及時發(fā)布已查獲的社會中介組織、客戶信息需求方關(guān)鍵人物的信息，在同行業(yè)共享的基礎(chǔ)上對他們進行經(jīng)濟懲戒。這樣一來，就能對潛在的社會中介組織、客戶信息需求方產(chǎn)生威懾作用，增加他們的犯罪成本，進而從信息需求源頭上中止泄密行為。

為維護客戶合法權(quán)益不受侵害，避免客戶個人金融信息泄露對客戶自身財產(chǎn)安全造成不利影響，棗莊滕州支行采取五項措施落實客戶個人金融信息保護工作。一是結(jié)合各種詐騙案例對員工進行防客戶信息泄露警示教育。要求員工在辦理業(yè)務(wù)及在八小時以外，高度重視個人金融信息保護工作，禁止故意或過失泄露客戶金融信息行為發(fā)生。二是強化個人信息使用管理。在客戶信息使用上，必須經(jīng)客戶本人書面授權(quán)才可查詢及使用。三是對員工辦公用電腦進行清理，對涉及客戶敏感信息的相關(guān)文件進行清理，對確需留存的客戶信息進行加密處理；四是加強對第三方機構(gòu)巡點人員的管理，嚴禁第三方機構(gòu)人員接觸我行客戶信息。

一、嚴格落實責任。全行員工均簽訂了《保密承諾書》，嚴格落實保密責任，嚴守職業(yè)道德。同時，嚴格執(zhí)行《中國人民銀行關(guān)于銀行業(yè)金融機構(gòu)做好個人金融保護工作的通知》、《中國工商銀行青海省分行個人客戶信息管理實施細則(試行)》等制度要求，對客戶個人金融信息的建立、存儲、維護、應(yīng)用和管理做到依法合規(guī)、安全保密。

二、健全客戶個人信息保護制度。一是制定了個人客戶信息保護措施和個人客戶信息管理的原則，落實了各部門、各崗位管理責任，完善內(nèi)部監(jiān)督和責任追究機制。二是加強個人客戶信息管理的權(quán)限管理，形成相互監(jiān)督，相互制約的管理機制。三是嚴格按照《中國工商銀行會計檔案管理辦法》、《中國工商銀行商業(yè)秘密保護辦法》等文件規(guī)定，切實防止信息泄露或濫用事件的發(fā)生。

三、強化安全觀念教育。及時組織員工認真學習《個人存款賬戶實名制規(guī)定》、《中國人民銀行關(guān)于金融機構(gòu)進一步做好客戶個人信息保護工作的通知》等文件的學習，使廣大員工充分認識個人客戶信息保護的重要性，進一步認識個人客戶信息泄露和濫用帶來的法律后果，對篡改、違法使用、出售個人客戶信息要承擔相應(yīng)的法律責任，形成了維護客戶個人客戶信息安全的自覺性，增強了發(fā)現(xiàn)和防范信息系統(tǒng)漏洞和缺陷的敏銳度。

第四篇：個人信息保護知識

? ? 時刻警惕，自己和家人的信息不要隨便泄露。網(wǎng)絡(luò)上泄露信息可能會很危險。

各種推銷電話的騷擾，各種莫名其妙的廣告信息通過四面八方傳播過來，甚至有人用我們的個人信息進行經(jīng)濟犯罪，到底如何最大限度的保護個人信息？

1、不填寫各種所謂的市場調(diào)研里面的個人信息，即使有獎品發(fā)放，也絕不把手機號碼、姓名、家庭住址、身份證號碼泄露出去。

2、不隨便把身份證復印件交出去，需要辦理信用卡、收入證明之類的，必須在身份證復印件注明：只用于此用途；用身份證的時候，最好不要讓別人拿著身份證離開你的視線。

3、收快遞的時候，盡量把帶著名字和電話、地址的封面銷毀；發(fā)快遞的時候，事先和對方溝通好，發(fā)件方的信息盡量少透露。

4、朋友圈投票盡量不投；不明來源的文章鏈接和二維碼不點擊也不掃碼；qq、微信、網(wǎng)站等盡量少的填寫信息。

5、不隨便下載APP和各種網(wǎng)站資源；網(wǎng)上設(shè)置各種用戶名盡量不實名制；不可信的wifi不要連接。

6、如參加必須登記姓名和電話的活動或會議，一定告知對方，不許泄露信息，否則追究責任；在網(wǎng)絡(luò)上發(fā)各種信息時不發(fā)家人的圖片、電話、姓名、住址等，盡量少炫耀。

.如何保護個人信息

信息泄露有可能會產(chǎn)生嚴重的后果，進而導致財產(chǎn)受損失。因此，保護個人信息，防范個人信息泄露至關(guān)重要，這里給大家提供幾條防止信息泄露的小妙招：

1、保護身份證號碼、銀行卡號、密碼或其他隱私信息，千萬不要把這些信息通過郵件、短信或電話告訴別人，無論這個人表現(xiàn)得多么可靠。任何時候請牢記：合法的組織不會問你這些細節(jié)，因為他們已經(jīng)獲得必要的信息，或可以其他的方式來獲取。

2、忽略網(wǎng)上你不認識的“朋友”，因為他們可能是騙子偽裝而來。因此，務(wù)必要小心在社交網(wǎng)絡(luò)和與就業(yè)相關(guān)網(wǎng)站發(fā)布履歷和聯(lián)系地址等信息，因為一旦這些信息落入不法分子手中，可能會引起相關(guān)損害。

3、保護私人電腦安全。如通過安裝防火墻等方式，阻止入侵者遠程訪問個人計算機；使用復雜密碼，提高黑客破解密碼難度。同時，不用電腦時記得關(guān)機。

4、及時清理“金融垃圾”。丟掉有私人信息的文件前先將其銷毀。在銷售、捐贈、拍賣或丟棄私人電腦前，用專業(yè)軟件清除電腦里所有金融信息。

5、留意那些看起來極其誘惑的獎勵。騙子往往冒充慈善機構(gòu)或商務(wù)旅客，提供就業(yè)機會、獎賞其他“機會”。如果他給的條件不合常理，則是非?？梢傻?。

6、仔細檢查銀行對賬單、賬單及信用卡報告，確認沒有可疑交易。每月關(guān)注銀行賬戶，如果覺得有可疑（例如發(fā)現(xiàn)某項非本人操作的取款），及時聯(lián)系銀行。如果發(fā)現(xiàn)銀行對賬單未按時到達，應(yīng)盡快聯(lián)系銀行工作人員。如果沒有收到銀行郵件，則有可能郵箱被盜用。即使沒有任何貸款或透支信用卡消費，仍需每年檢查信用報告，查證盜刷情況是否發(fā)生。如果懷疑自己個人信息被盜，應(yīng)馬上聯(lián)系銀行。

7、網(wǎng)上購物需要注意的提醒：第一：在輸入信用卡和個人信息之前確認網(wǎng)站是否安全。大多數(shù)網(wǎng)站會有防偽安全標志（如網(wǎng)址旁邊的掛鎖）；第二：網(wǎng)上購物時，盡量選擇商譽好的商家。

第五篇：個人信息權(quán)利保護

本科畢業(yè)論文

題 目 信息時代背景下公民數(shù)據(jù)權(quán)利保護個案研

究

學 院 法 學 院

專 業(yè) 法 學

年 級 2013級

學 號 2220*** 姓 名 黃

瑞 指導教師 馬

濤

成 績

2017年 3月11日

目錄

目錄...........................................................................................................................................................2

一、案例引出問題...................................................................................................................................3

（一）案情簡介...................................................................................................................................3

（二）案例法律分析...........................................................................................................................4

二、個人數(shù)據(jù)概述...................................................................................................................................4

（一）個人數(shù)據(jù)...................................................................................................................................4 1.概念界定、特征...........................................................................................................................4 2.信息時代特征（信息時代現(xiàn)狀、特征、帶來的機遇與挑戰(zhàn)等）...........................................5 3.信息時代下個人數(shù)據(jù)有什么新特征...........................................................................................6

（二）個人數(shù)據(jù)權(quán)...............................................................................................................................7 1.個人數(shù)據(jù)權(quán)概念界定...................................................................................................................7 2.權(quán)利內(nèi)容.......................................................................................................................................7 3.個人信息權(quán)同個人隱私權(quán)、人格權(quán)的的區(qū)別...........................................................................7

三、我國對公民個人數(shù)據(jù)權(quán)利保護現(xiàn)狀及完善建議...........................................................................9

（一）案例+分析.................................................................................................................................9

（二）總結(jié)現(xiàn)狀...................................................................................................................................9

1、法制不健全...............................................................................................................................10

2、缺乏良性行業(yè)自律...................................................................................................................10

（三）完善建議.................................................................................................................................11

1、加強輿論宣傳，強化網(wǎng)絡(luò)用戶個人數(shù)據(jù)信息保護意識.......................................................11

2、完善個人數(shù)據(jù)信息安全保護的法律法規(guī)...............................................................................11

3、加強網(wǎng)絡(luò)道德建設(shè)和行業(yè)自律，建立健全個人信息安全保護與防范機制.......................11 參考文獻：.............................................................................................................................................12

信息時代背景下公民數(shù)據(jù)權(quán)利保護個案研究

黃瑞

（西南大學法學院，重慶，400715）

摘 要：互聯(lián)網(wǎng)大數(shù)據(jù)時代，人們每天都會利用網(wǎng)絡(luò)這個媒介傳輸各種個人數(shù)據(jù)。但是受制于公民數(shù)據(jù)安全意識、網(wǎng)絡(luò)服務(wù)提供者職業(yè)道德、社會法制建設(shè)等諸多因素，導致我國公民個人數(shù)據(jù)安全面臨嚴重風險。立足于案例，進一步分析我國公民個人數(shù)據(jù)的概念、個人數(shù)據(jù)權(quán)的定義、現(xiàn)狀、最終有針對性的提出解決公民數(shù)據(jù)安全的對策措施。

關(guān)鍵詞：信息時代；個人數(shù)據(jù)權(quán)；保護措施

一、案例引出問題

（一）案情簡介

2010 年年初，珠海市香洲區(qū)法院以被告周建平向詐騙團伙非法出售個人信息資料為由，以非法獲取公民個人信息罪判處周建平有期徒刑一年六個月，并處罰金 2000 元。周建平由此成為我國被法院以侵犯個人信息安全的新罪名追究刑事責任的第一人。案中，周建平于 2008 年 11 月在廣州市成立廣州市華探調(diào)查有限公司，違反規(guī)定非法獲取他人電話清單、手機清單和人員資料。同年12月，周建平以每份 1200 元或 1500 元不等的價格先后向詐騙團伙出售了14 份電話清單，從中獲利 1.6 萬元。根據(jù)周建平提供的電話清單，詐騙團伙在 2008 年 10 月至 2009 年 2 月 19 日期間，分別冒充珠海市霍副市長、恩平市委書記、深圳市寶安區(qū)消防中隊隊長、佛山市紀委書記等人以急需用錢為由對其親友進行電話詐騙，共非法斂財近九十萬元。法院的判決可以說走出了對個人信息進行刑事保護的第一步，其積極意義自不言而喻。

2008 年北京市朝陽區(qū)人民法院對“人肉搜索第一案”。該案案情為，原告發(fā)生“婚外情”，妻子痛不欲生，在互聯(lián)網(wǎng)絡(luò)上公布了原告和第三者的照片，并且自殺。死者的同學將相關(guān)信息整理之后，陸續(xù)刊登在互聯(lián)網(wǎng)上，并以知情者身份，繼續(xù)披露原告的有關(guān)信息。原將知情人、互聯(lián)網(wǎng)站和轉(zhuǎn)載有關(guān)信息的天涯網(wǎng)站告上法庭，要求承擔民事賠償責任。法院審理后認為，原告確實發(fā)生了婚外情，被告作為知情人，在原告的妻子公開有關(guān)信息之后，不斷補充有關(guān)信息，并且在互聯(lián)網(wǎng)絡(luò)刊登?；ヂ?lián)網(wǎng)絡(luò)管公司沒有盡到審查的義務(wù)，并且及時刪除有關(guān)信息，承擔侵犯名譽和隱私權(quán)的責任，轉(zhuǎn)載這些信息的天涯網(wǎng)站及時刪除了有關(guān)信息，不承擔賠償責任。

（二）案例法律分析

雖然我國在各方面都更加重視法律對公民個人數(shù)據(jù)的保護，但是保護的效果依舊是差強人意的。例如，2015年通過的《刑法修正案九》將第二百五十三條之一修改為：“違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。“違反國家有關(guān)規(guī)定，將在履行職責或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰。“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規(guī)定處罰?！皢挝环盖叭钭锏模瑢挝慌刑幜P金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰?！毙淌轮撇檬侄喂倘皇亲顬閲绤柡妥钣行Ч?，但是其使用往往受制于各種相關(guān)因素，例如相關(guān)配套法律規(guī)范的不完善，信息泄露的渠道不顯著、信息泄露追查較為困難、信息泄露針對單獨個體危害性嬌小的特點，大多數(shù)輕微的侵害公民個人數(shù)據(jù)的案件難以被追究刑事責任。民法保護的是公民最基本的法律權(quán)利，但就侵犯公民個人數(shù)據(jù)這一類案件的民事追責而言，主要是立足于侵權(quán)責任法的視角，耗費周期長、個人取證困難，訴訟成本較高等諸多因素也導致了利用民事法律規(guī)范保護公民自身數(shù)據(jù)的困難。

二、個人數(shù)據(jù)概述

（一）個人數(shù)據(jù)

1.概念界定、特征

眾所周知，對于公民個人而言，其數(shù)據(jù)是由多元化的結(jié)構(gòu)組成的，包括個人信息、個人隱私等，但是又與之有所不同。為了準確清晰的界定個人數(shù)據(jù)的概念，我們必須先厘清其相關(guān)概念的定義。就個人隱私而言，其有著多元化的定義，但我比較贊同美國 1974 年《隱私權(quán)法》中關(guān)于個人隱私（personal privacy）的定義，其認為個人隱私就是指不愿公開或讓他人知悉的事情，亦即與公共利益無關(guān)的個人和生活秘密方面的事宜。那么個人信息又是指什么呢？個人信息國內(nèi)外也有這各種不同的定義方法，但我比較傾向于《歐盟 1995年關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令（95/46/EC）》中的概念界定，“個人信息是指與一個身份已被識別或者身份可識別的自然人（數(shù)據(jù)主體）相關(guān)的任何信息；身份可識別的人是指其身份可以直接或間接特別是通過身份證號或一個或多個與其身體、生理、精神、經(jīng)濟、文化或社會身份有關(guān)的特殊因素來確定的人?！蓖ㄟ^分析上述概念，我們可以得出，將“個人數(shù)據(jù)”定義為個人提供的信息（比如搜索關(guān) 鍵字、注冊信息等）、或個人原創(chuàng)內(nèi)容（比如社交關(guān)系資料、評價和曬單、旅游 攻略、原創(chuàng)小說、原創(chuàng)視頻等）、或個人（瀏覽、購物、閱讀、觀看）行為產(chǎn)生的 數(shù)據(jù)、或被政府、企業(yè)、醫(yī)院和研究機構(gòu)收集的與個人直接相關(guān)（比如GPS位置、IP地址、基因測序、醫(yī)療記錄、信用卡記錄、通話記錄等）的數(shù)據(jù)。

通過上述關(guān)于個人數(shù)據(jù)的概念界定，我們不難看出，這些個人數(shù)據(jù)詳細而又準確的描述了我們是誰，在哪兒，做了什么，認識哪些人，有什么樣的健康狀態(tài)和生活形態(tài)，展示了我們的數(shù)字化存在。這表現(xiàn)出了個人數(shù)據(jù)具有隱私性、密切刑、相關(guān)性、重要性、核心性、安全性等諸多特征。

2.信息時代特征（信息時代現(xiàn)狀、特征、帶來的機遇與挑戰(zhàn)等）

信息化時代在給社會帶來巨大便利和商業(yè)價值并逐漸成為一項國家重要的戰(zhàn)略資源，但因其引發(fā)的各類風險也在不斷增加，其中對于個人信息數(shù)據(jù)帶來的威脅尤為引人關(guān)注“ 國外有研究表明，與用戶相關(guān)的數(shù)據(jù)信息正在被逐步集中于少數(shù)幾個機構(gòu)，這些機構(gòu)能夠通過幾乎所有廣受歡迎的網(wǎng)站追蹤用戶的“網(wǎng)絡(luò)足跡”，而幾乎所有的防護技術(shù)都在突出問題的嚴重性和尋求替代性解決方法方面存在重大缺陷”，這些缺陷可能導致其對公民個人信息數(shù)據(jù)的強烈威脅“一般認為，個人信息包括三類: 第一類是個人的基本信息，包括個人的姓名、性別、年齡、住址、職業(yè)等信息；第二類信息是消費者網(wǎng)絡(luò)活動信息，包括消費者所瀏覽的網(wǎng)站，所搜索的商品信息以及購買記錄等等，這些信息可以準確地判斷出網(wǎng)民的消費傾向#購買習慣、個人喜好等信息，從而成為商家下一步實施精準營銷的基礎(chǔ)數(shù)據(jù)；第三類信息是消費者存儲的個人信息，比如存在個人 電腦硬盤中的私人照片等”在現(xiàn)代網(wǎng)絡(luò)社會幾乎所有的個人信息都被記錄和存儲于網(wǎng)絡(luò)之中，國家機關(guān)和一些企業(yè)都有意識地通過收集和分析個人信息數(shù)據(jù)以促進管理的便利性或營銷的精準化“大數(shù)據(jù)時代通過收集和利用個人信息數(shù)據(jù)能夠給整個社會帶來巨大便利，也為向個體提供精細化的服務(wù)打下堅實基礎(chǔ)”但是就像一個硬幣必然存在正反兩面一樣，大數(shù)據(jù)也必然會對個人信息數(shù)據(jù)帶來威脅，從一定意義上說，大數(shù)據(jù)對于個人信息的收集和利用是必然的，而由此引發(fā)的對個人信息數(shù)據(jù)的侵害也是不避免的，這就好比一種新近開發(fā)和效力極強的新藥，這種新藥本身是醫(yī)藥科學發(fā)展一定階段的產(chǎn)物，而且藥效顯著，對于促進現(xiàn)代醫(yī)藥水平的發(fā)展具有重要作用“但是“是藥三分毒”，這種新藥也是與生俱來的帶有毒性，且毒性和藥性是一對始終相伴相隨的“連體嬰兒”，消滅其中之一也就消滅了整體。信息化大數(shù)據(jù)本身就是一個將個人信息數(shù)據(jù)加以收集和整合的過程，數(shù)據(jù)不夠大或者整合不夠具體細致就無法發(fā)揮大數(shù)據(jù)的優(yōu)勢和價值，甚至根本就不是大數(shù)據(jù)本身了。但這并不意味著我們就只能放任藥物的毒副作用發(fā)展，就像醫(yī)生為了降低某些藥品的副作用常常會采用一些其他措施緩解藥品的毒性一樣，我們對于大數(shù)據(jù) 可能帶來的一系列侵犯個人權(quán)益的威脅也要引起足夠的重視，對于由此引發(fā)的個人信息數(shù)據(jù)危機，也有必要清楚認識并加以有效應(yīng)對。這一問題已經(jīng)引發(fā)學界的關(guān)注，但是對于如何防范和應(yīng)對信息化時代大數(shù)據(jù)中的個人信息風險，學界有不同的意見，主流觀點主張通過援引民法中 “隱私權(quán)”的規(guī)定保護個人數(shù)據(jù)，根據(jù)不同的保護對象和內(nèi)容，對大數(shù)據(jù)的隱私保護還可以進一步細分為位置隱私保護#標識符匿名保護連接關(guān)系匿名保護等。但是單純通過隱私權(quán)的角度保護個人信息數(shù)據(jù)也存在一些問題，問題實際上不在于大數(shù)據(jù)是否增加了隱私被侵犯的危險，因為這已經(jīng)是事實，而是它是否已經(jīng)改變了風險的性質(zhì)(the Character of the Ｒisk)。因為如果只是簡單的增加了風險，現(xiàn)有的保護隱私的法律規(guī)范還能夠在大數(shù)據(jù)時代繼續(xù)發(fā)揮作用，但是如果問題已 經(jīng)發(fā)生了質(zhì)的改變，則我們必須尋求新的解決辦法。大數(shù)據(jù)時代的個人信息數(shù)據(jù)的保護顯然已經(jīng)逐步超越了 “隱私權(quán)”的范圍。首先，網(wǎng)絡(luò)時代大數(shù)據(jù)的特性決定了其不是簡單的隱私權(quán)侵犯的問題”在大數(shù)據(jù)時代，對個人 信息數(shù)據(jù)的收集和利用行為除了涉及隱私權(quán)問題外，還涉及其他一些問題，比如基于大數(shù)據(jù)對人們的行為進行預測，并依據(jù)有關(guān)結(jié)果采取相應(yīng)行動，這就可能已經(jīng)超出隱私權(quán)的保護范圍。在美國有家名為 “［x + 1］”的公司利用追蹤技術(shù)來收集用戶的網(wǎng)站瀏覽記錄，形成一個記錄人們上網(wǎng)行為的龐大數(shù)據(jù)庫“雖然它不記錄人們的姓名，但會將收集到的個人標識與其住房擁有情況、家庭收入、婚姻狀況和常去的餐廳等眾多信息進行交叉比對和匯集，然后通過統(tǒng)計分析，推測上網(wǎng)者的個人喜好。其次，在信息化時代的大數(shù)據(jù)即使確知個人數(shù)據(jù)的隱私風險，也常常無法簡單通過傳統(tǒng)的隱私權(quán)保護手段解決”在現(xiàn)代網(wǎng)絡(luò)社會，微博、微信、Facebook 等互聯(lián)網(wǎng)服務(wù)商既生產(chǎn)數(shù)據(jù)，又存儲、管理和使用數(shù)據(jù)，其服務(wù)的內(nèi)容和性質(zhì)決定了它們必然會接觸到用戶信息數(shù)據(jù)，所以無法簡單通過技術(shù)手段限制其接近用戶信息，也無法通過立法禁止其獲得用戶信息 數(shù)據(jù)“再者，對于一些涉及個人數(shù)據(jù)信息交易的行為，也 常無法認定為侵犯隱私權(quán)的行為，因為網(wǎng)絡(luò)追蹤技術(shù)這 種手段本身并沒有問題，數(shù)據(jù)中間商分析整理獲得的個人信息數(shù)據(jù)本身也不符合侵權(quán)行為的構(gòu)成要件，難以認定為違法行為” 3.信息時代下個人數(shù)據(jù)有什么新特征 在這個數(shù)據(jù)大爆發(fā)的信息化時代，網(wǎng)絡(luò)這種高速傳播媒介快速發(fā)展，公民的個人數(shù)據(jù)也呈現(xiàn)了信息泄露的隱蔽性、信息安全保障的困難性、信息接受的被動性、信息處分的隨意性等特征突出而又顯著。

（二）個人數(shù)據(jù)權(quán)

1.個人數(shù)據(jù)權(quán)概念界定

個人信息權(quán)是信息主體依法對能識別個人的信息所具有的支配、控制并排除他人侵害的權(quán)利。個人信息并不是有體物，不能對其進行物理上的占有和支配，賦予信息主體個人信息權(quán)體現(xiàn)了法律對個人信息的控制力，是民法對個人信息進行保護的最有利的方式，充分體現(xiàn)了對人格尊嚴和意思自治的尊重，這種尊重主要體現(xiàn)在“個人有權(quán)決定何人在何時何地收集、處理和利用其個人信息”。個人信息權(quán)作為一種人格權(quán)是一種對世權(quán)，即信息主體對個人信息享有絕對的支配、控制和排除他人干涉的權(quán)利，并在權(quán)利受到侵害時能訴諸于法律，請求侵權(quán)損害賠償。

2.權(quán)利內(nèi)容

個人信息權(quán)本質(zhì)上就是對個人信息的控制。德國《聯(lián)邦資料保護法》將個人信息的使用分為收集、處理和利用三個階段，并在此階段賦予信息主體個人信息的告知權(quán)、封鎖刪除權(quán)和更正權(quán)。這四種權(quán)利共同構(gòu)成德國法律保護個人信息權(quán)利的基本內(nèi)容。齊愛民教授也將個人信息權(quán)的具體內(nèi)容分為信息決定權(quán)、信息保密權(quán)、信息查詢權(quán)、信息更正權(quán)、信息封鎖權(quán)、信息刪除權(quán)和信息報酬請求權(quán)。個人信息權(quán)代表的是信息主體對個人信息的控制，是一種積極主動的權(quán)利，它所包含的內(nèi)容在信息社會是具有獨特性的，與其他具體人格權(quán)有著本質(zhì)的區(qū)別。

3.個人信息權(quán)同個人隱私權(quán)、人格權(quán)的的區(qū)別

（1）同個人隱私權(quán)的區(qū)別

個人信息權(quán)具有獨特的權(quán)利客體和內(nèi)容，它里然與隱私權(quán)有較為緊密的聯(lián)系，但是個人倍息權(quán)并不是隱私權(quán)，二者處于一種平行共存的關(guān)系。一方面，個人信息權(quán)與隱私權(quán)內(nèi)涵和外延存在巨大差異；另一方面，鑒于我國現(xiàn)有人格權(quán)體系，我國隱私權(quán)遠沒有美國隱私權(quán)所特有的獨立性和包容性。這就注定了在我國現(xiàn)有民法體系內(nèi)需要個人信息權(quán)和隱私權(quán)的共同存在來保障民事主體的私人利益。鑒于當前無論是隱私權(quán)還是個人信息權(quán)在我國均有較大爭議，以下將對隱私權(quán)進行梳理，并進一步探討個人信息權(quán)和隱私權(quán)之間存在的差異，以及我國不適合將個人信息權(quán)納入隱私權(quán)范疇的原因。

盡管個人信息權(quán)和隱私權(quán)有著緊密的聯(lián)系，但足個人信息權(quán)和隱私權(quán)應(yīng)該是兩個并存的具體人格權(quán)，二者有著本質(zhì)的區(qū)別，并不能混為體。具體而言，個人信息權(quán)與隱私權(quán)主要有以下差異：

第一，從權(quán)利性質(zhì)上來看，雖然個人信息權(quán)和隱私權(quán)均是人格權(quán)，但是隱私權(quán)是一種較為純粹的精神性的人格權(quán)，而個人信息權(quán)則是一項綜合性的權(quán)利，除了蘊含人格利益之外，尚存在財產(chǎn)利益。較為明顯的案例則是名人的個人信息具有極大的交易價值。此外，隱私權(quán)是一種消極防御權(quán)，只有在受到侵害的吋候方可主張救濟，而個人信息權(quán)則體現(xiàn)的是信息主體對個人信息的支配和控制，是一種積極防御權(quán)。

第二，從權(quán)利客體來看，隱私權(quán)的客體主要“是自然人不愿為他人知曉或不宜公開的秘密，是一種事實”，其保護的僅是“秘密的、未公開的、可能引起人難堪或不安的信息”。然而，個人信息的客體則是能直接或間接識別個人的信息，不論隱私權(quán)的客體擴展得多么寬泛，幾乎沒有娜個國家將已經(jīng)完全公開的個人信息納入隱私范疇。如便于公共管理的需要將個人的家庭住址和電話號碼等個人信息公開，則這些信息就難以歸于隱私。此外，隱私不一定都以信息的形態(tài)出現(xiàn)，如未記載的私人活動。

第三，從內(nèi)容來看，隱私權(quán)注重的是維護個人獨處的權(quán)利，私生活的安寧和個人秘密不被公開，而個人信息權(quán)關(guān)注的則是信息主體對個人信息的支配和控制，信息主體對個人信息的收集、處理和利用享有知情權(quán)和控制權(quán)等。

第四，從個人信息權(quán)和隱私權(quán)保護的立法價值上看，個人信息權(quán)的立法價值傾向于人格尊嚴和信息流通；而隱私權(quán)立法價值則僅僅涉及到人格尊嚴。此外，個人信息權(quán)和隱私權(quán)的保護重點和補救措施等也存在較大的差異，如個人信息權(quán)保護的不僅是個人對信息的控制權(quán)，而且還關(guān)注信息流轉(zhuǎn)過程中收集、處理和利用各方主體之間利益平衡。（2）同人格權(quán)的區(qū)別

《民法通則》將姓名權(quán)、肖像權(quán)以及名譽權(quán)均確定為具體的獨立人格權(quán)。一般情形下，姓名、肖像等就是屬于與信息主體人格尊嚴密切相關(guān)的個人信息，姓名權(quán)、肖像權(quán)以及名譽權(quán)的規(guī)定在一定程度上能保護個人信息。如，當冒用他人姓名時可以援引姓名權(quán)尋求救濟；又比如在利用他人肖像信息謀取個人利益時可以運用肖像權(quán)予以保護。但是，總的來說，盡管他們與個人信息權(quán)存在一定的交集，但是他們對個人信息的保護僅僅限于某一小方面，保護的作用極其有限。如，對個人姓名進行收集和利用并不能以姓名權(quán)進行相應(yīng)的救濟。同樣，若將個人照片傳到互聯(lián)網(wǎng)上并不能依據(jù)肖像權(quán)予以保護?？梢姡瑐€人信息權(quán)與姓名權(quán)、肖像權(quán)和名譽權(quán)有著巨大差異，現(xiàn)有這三類具體人格權(quán)不能為個人信息提供有力的保障。

三、我國對公民個人數(shù)據(jù)權(quán)利保護現(xiàn)狀及完善建議

（一）案例+分析 案例一

近年參加國家司司考分數(shù)的騙局信息。作為考生一員的筆者深感騷擾之苦，于是，自己的個人信息如何被泄露？很多人質(zhì)疑自己沒有參加社會考生培訓，也沒有除考生報名留下個人信息之外再留下的個人信息的可能，自然，考生報名收集的個人信息被泄露成為大家最大的猜疑。如此大規(guī)模的個人信息泄露，如果司法部的考試中心不能給出解釋，全國的司法考試的考生很難再排除心中猜疑。司法部作為行政機關(guān)以手中的絕對權(quán)利能收集海量考生信息，假如沒有具體有效的法律監(jiān)管，很有可能因為某種經(jīng)濟利益將司法考試考生信息泄露的可能。案例二

2008年廣東省深圳市知名媒體欄目《第一現(xiàn)場》曝光發(fā)生一起困擾整個深圳市孕產(chǎn)婦的廣告騷擾電話問題。從懷孕孕檢幵始，各種各樣的商業(yè)推銷短信就晝夜不息的發(fā)送短信和撥打電話，有推銷嬰兒產(chǎn)品的、奶粉的、孕產(chǎn)婦的用品的、做胎毛筆的，令人十分氣憤的，還有嬰兒死亡處理的推銷服務(wù)電話。一天的騷擾短信多時多達多條，有的半夜都在發(fā)送短信。本來家中有嬰兒新作父母的年輕人就沒有足夠時間休息而這些不停不休商業(yè)騷擾信息讓人苦不言堪，在深圳市對此類因為個人信息泄露引發(fā)的許多的人的惶恐和煩惱，百般無奈下只得投訴求助于新聞媒體。在記者現(xiàn)實調(diào)查中，從網(wǎng)上很輕松就能找到很多販賣深圳市所有孕產(chǎn)婦的個人信息的買賣，經(jīng)過記者的一番討價還價，120塊錢就能得到一張光盤，光盤的內(nèi)容確實為深圳市當年所有的孕產(chǎn)婦信息。販賣信息的小販見記者懷疑信息的可信度，表示這些信息是從衛(wèi)生局買出來，如有信息不實、不全的情況可以退款。該視頻播出后，盡管沒有直接證據(jù)證明深圳市的當年平產(chǎn)婦的所有個人信息是衛(wèi)生局的管理不善而泄露，但是如此大規(guī)模、精準的、全面的個人信息是哪里泄露的？新聞追蹤后的第二年，該市的孕產(chǎn)婦再沒有受到此類的個人信息泄露的困擾。

由此可見，在我國公民個人數(shù)據(jù)權(quán)利保護方面依舊存在很大的不足及短板，嚴重制約了我國公民個人信息安全的保障，給社會埋下巨大的不穩(wěn)定因素。

（二）總結(jié)現(xiàn)狀

人類社會從農(nóng)耕社會、工業(yè)社會再到信息社會的發(fā)展，數(shù)據(jù)收集的手段也從單純的手工收集，發(fā)展到電腦收集、分類與識別，再到現(xiàn)如今的大數(shù)據(jù)分析處理，技術(shù)革新帶來的方便快捷讓人們在享受其利好的同時，也經(jīng)歷其帶來的“痛楚”。大數(shù)據(jù)時代，資訊革命迅速充斥著生活的每個角落?！霸诖穗A段，社會對信息的依賴越來越強。個人數(shù)據(jù)信息成為社會信息的一種重要資源。”并且，信息社會中的信息已改變了存在方式，從附屬于物質(zhì)和能源中剝離出來，成為獨立的資源。“信息在信息社會獲得了獨立，其經(jīng)濟屬性得到了充分發(fā)揮，信息具有價值和交換價值，還可帶來附加值，已進入流通領(lǐng)域自由買賣，對信息的占有量是衡量一個企業(yè)市場力量的標準之一?！眰€人數(shù)據(jù)權(quán)利作為公民權(quán)利的重要組成部分，其在社會交往中以及經(jīng)濟生活中的經(jīng)濟屬性越來越明顯?，F(xiàn)如今，智能通信設(shè)備尤其是智能手機的普及使得電商等網(wǎng)絡(luò)手段的應(yīng)用越來越廣泛。這使得個人信息也更容易被收集。而個人信息所具有的商業(yè)價值與商業(yè)利益，促生個人信息被頻繁濫用，且規(guī)模巨大、范圍甚廣。針對個人信息濫用，“中國個人信息保護的現(xiàn)狀與意識”課題組在《個人信息保護現(xiàn)狀調(diào)研報告》中，將個人信息濫用歸納為過度收集個人信息、擅自披露個人信息、擅自提供個人信息、非法買賣個人信息、超目的使用個人信息、保管不善、掌握的信息不準確、個人信息被冒用八個方面?？梢?，個人信息安全已成為人們必須面對的一個社會問題。

1、法制不健全

雖然目前，我國現(xiàn)有的法律對公民個人數(shù)據(jù)信息的保護的確做出了一些規(guī)定，但是這些規(guī)定多是零星分散于部門法中的。對于什么是公民個人數(shù)據(jù)、公民個人數(shù)據(jù)信息中哪些信息可以合法使用以及不當使用公民的個人信息如何問責等一系列問題均未作出明確的規(guī)定，那么就需要出臺一部特殊的法律制度來加以規(guī)定、加以規(guī)范和約束?？墒堑侥壳盀橹?，我國公民的個人信息保護法尚未出臺，在如何保護公民個人信息方面仍然存在著較大的法律空白。此外，相關(guān)制度的缺位明顯，我國對公民個人信息保護的主要范圍僅限于個人隱私，而對于隱私信息，也僅僅是提供了間接的，一般的原則性規(guī)定，而且主要體現(xiàn)為侵犯后的一種救濟機制。最后，相關(guān)配套的機制尚未建立從現(xiàn)有的法律規(guī)定來看，我國重刑事處罰和行政管理，輕民事權(quán)利和民事責任。對公民個人信息侵權(quán)責任作出的規(guī)定僅限于行政責任和刑事責任，忽略或淡化了其民事責任，從而使得民事主體得不到相應(yīng)的財產(chǎn)或非財產(chǎn)補償。

2、缺乏良性行業(yè)自律

由于政府對企事業(yè)單位的監(jiān)管不到位或監(jiān)管乏力，對企事業(yè)單位泄露公民個人數(shù)據(jù)的懲罰力度也相對偏輕，使得其內(nèi)部制訂的規(guī)章制度、技術(shù)防范措施、保密手段等形同虛設(shè)。這樣行業(yè)就缺乏自律的意愿，不愿意自設(shè)囚籠、自設(shè)規(guī)范來約束自己。甚至有些企業(yè)無視國家法律和社會的公序良俗，沆瀣一氣，實現(xiàn)資源的共享。而對被發(fā)散出去的公民個人數(shù)據(jù)信息對公民自身的侵害或損害微小，達不到相關(guān)法律法規(guī)的執(zhí)行門限，那么公民對于自己的維權(quán)也就無從談起。

（三）完善建議

1、加強輿論宣傳，強化網(wǎng)絡(luò)用戶個人數(shù)據(jù)信息保護意識

首先，網(wǎng)絡(luò)主管部門和網(wǎng)絡(luò)運營商要通過各種輿論宣傳工具，對網(wǎng)絡(luò)用戶進行個人信息保護知識的宣傳，提高公民對個人信息安全的認識和重視，樹立公民保護個人信息、尊重他人個人信息的理念。同時加強網(wǎng)絡(luò)規(guī)范的制度建設(shè)，建立網(wǎng)絡(luò)用戶的道德準則和行為準則，要求信息使 用者不能非法干擾他人信息系統(tǒng)的正常運行；不能利用信息技術(shù)竊取他人信息并且在未經(jīng)允許的情況下使用或出售他人的信息等。其次，個人在信息保護上是第一責任人，負有維護個人信息安全的當然義務(wù)。網(wǎng)絡(luò)是虛擬的，所以在網(wǎng)絡(luò)中要 學會保護個人信息，自我保護意識顯得尤為重要。個人在 進行網(wǎng)絡(luò)行為時，如非必要不要將自己的個人信息放到網(wǎng) 絡(luò)中去。同時，應(yīng)加強對個人電腦的安全防護，安裝并及 時升級殺毒軟件與防火墻，提高個人上網(wǎng)設(shè)備的安全性能； 此外，還應(yīng)及時刪除過時不用的個人信息或加密有關(guān)個人的信息資料；再有就是在網(wǎng)上瀏覽網(wǎng)頁和注冊賬戶時，盡 量不要把自己的個人信息在網(wǎng)絡(luò)中透露給他人。

2、完善個人數(shù)據(jù)信息安全保護的法律法規(guī)

雖然我國目前已有的這些法律法規(guī)對個人信息進行了保護，但是卻仍然沒有一部明確保護個人信息的專門法律。立法保護個人信息，不僅突出了公民的信息自由權(quán)，彰顯出以人為本的理念，回應(yīng)了和諧社會權(quán)利有序化的訴求。而且立法保護個人信息還能為已受害的公民提供完全充分的幫助。同時還可保護網(wǎng)上消費者的個人信息安全，促使網(wǎng)絡(luò)運營有序化，推動全國電子商務(wù)和電子政務(wù)的健康發(fā)展。因此建議國家最高權(quán)力機關(guān)應(yīng)該加快立法，盡快出臺 《個人數(shù)據(jù)安全保護法》。

3、加強網(wǎng)絡(luò)道德建設(shè)和行業(yè)自律，建立健全個人信息安全保護與防范機制

個人數(shù)據(jù)安全的保護不僅要依靠法律，更需要網(wǎng)絡(luò)主體從業(yè)人員的道德意識以及自律意識。所有未經(jīng)本人允許或授權(quán)而在網(wǎng)絡(luò)上竊取、傳播、出售他人個人信息的行為，是違法的也是不道德的。因此，要加強網(wǎng)絡(luò)道德建設(shè)，用道德標準約束人們在網(wǎng)絡(luò)上的行為，要讓網(wǎng)絡(luò)道德成為人們在網(wǎng)絡(luò)中實施行為時的一個標準。對網(wǎng)絡(luò)運營商而言，除了要對網(wǎng)絡(luò)從業(yè)人員進行道德教育并提高行業(yè)自律意識外，具體還應(yīng)該做到：在未經(jīng)網(wǎng)絡(luò)用戶同意之前，不得將用戶的個人信息用于其他目的，更不得將其出售給任何人 或提供給任何的第三方機構(gòu)使用，從而更好地保護個人信息。許多網(wǎng)絡(luò)運營企業(yè)掌握著客戶大量的個人信息，如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務(wù)企業(yè)，還是信息安全企業(yè)都需要對外 來的技術(shù)攻擊加以防范。對此，企業(yè)必須加強自我約束力，提高保護客戶信息的意識，同時提高技術(shù)手段，完善相關(guān)信息管理系統(tǒng)，并對用戶個人信息安全管理制度和流程進行梳理和完善，建立健全侵犯用戶個人信息的各項管理制 度與規(guī)范，其中主要應(yīng)包括：用戶個人信息安全管理和保 護機制、問題處理機制、監(jiān)督機制和獎懲機制等。對侵犯用戶個人信息的情況，要做到 “快、準、齊”進行處理。“快”，即要求相關(guān)負責人在第一時間了解具體情況，形成初步處理方案并付諸實施。“準”，即要求決策、處置問題 要追本溯源，抓住問題本質(zhì)，采取切實有力的行動。“齊”，即要求企業(yè)內(nèi)部人員要齊心協(xié)力，共同解決問題。其核心就是要在網(wǎng)絡(luò)運營企業(yè)領(lǐng)導人的統(tǒng)一領(lǐng)導下，堅持綜合協(xié) 調(diào)、分類管理、分級負責的原則。對于因泄露用戶個人信息而觸犯刑律的，政法機關(guān)應(yīng)堅決依法查處。

總之，現(xiàn)代網(wǎng)絡(luò)在人們的學習、工作和生活中占有重要的一席之地，而網(wǎng)絡(luò)環(huán)境下的個人信息安全關(guān)系到個人的生命財產(chǎn)安全乃至社會的和諧穩(wěn)定。因此，無論是個人還是全社會，都應(yīng)該重視個人信息安全的保護。

參考文獻：

[1] 田中梅.網(wǎng)絡(luò)環(huán)境下我國個人信息的安全問題與保護[J].經(jīng)營管理者.2013(24)[2]吳佼玲.個人信息安全的思考——解讀中華人民共和國刑法修正案七[J].湘潮(下半月).2010(12)[3]朱羽佳.個人信息安全的刑法保護[J].法制博覽.2016(10)[4]賈經(jīng)緯.網(wǎng)絡(luò)個人信息安全現(xiàn)狀及處理辦法[J].數(shù)字技術(shù)與應(yīng)用.2012(03)[5]李皓.網(wǎng)絡(luò)環(huán)境下個人信息泄露的理論分析及防范探討[J].情報探索.2011(01)[6]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學.2005(06）[7]肖登輝,張文杰.我國個人信息保護立法探究[J].科技創(chuàng)業(yè)月刊.2016(16)[8]劉育培.對我國個人信息保護模式的探究[J].法制與經(jīng)濟.2015(09)[9]劉幾任.淺談大數(shù)據(jù)時代個人信息保護問題[J].法制與社會.2014(31)