張林鴻， 周小揚(yáng)

(貴州大學(xué) 法學(xué)院 ，貴州 貴陽 550025)

數(shù)據(jù)時(shí)代來臨之前，大數(shù)據(jù)的利用價(jià)值尚未有明顯體現(xiàn)，個(gè)人信息的收集與利用一直停留在初級階段。隨著數(shù)據(jù)時(shí)代的到來，大數(shù)據(jù)在全球生產(chǎn)、分配、消費(fèi)活動(dòng)、經(jīng)濟(jì)運(yùn)行、社會(huì)活動(dòng)上和國家治理能力交匯融合，成為推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型和發(fā)展的新動(dòng)力，是增強(qiáng)國家競爭優(yōu)勢和提升政府治理能力的新機(jī)遇[注]參見：國務(wù)院〔2015〕50號《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，2015年8月31日。。同時(shí)，大數(shù)據(jù)因其容量大、類型多、存取速度快、應(yīng)用價(jià)值高等特點(diǎn)，快速提升了對數(shù)據(jù)進(jìn)行采集、存儲(chǔ)和分析的能力，并從中發(fā)現(xiàn)知識、創(chuàng)造價(jià)值、增強(qiáng)功能從而成為新一代信息技術(shù)和服務(wù)業(yè)態(tài)[1]80。在數(shù)據(jù)成為具有價(jià)值資源的時(shí)代，個(gè)人信息在經(jīng)過大數(shù)據(jù)算法分析后，幫助政府、企業(yè)做出更好的決策，優(yōu)化管理和運(yùn)營，提升科技水平，加快信息流通，使人們生活更加便利。但由于個(gè)人信息的保護(hù)制度尚未建立，出現(xiàn)了個(gè)人信息的收集未征得主體同意，信息易被泄露、濫用，個(gè)人隱私極易暴露給信息控制者等問題，在一定程度上影響了人們正常的生活秩序。如何確保個(gè)人信息安全，防止個(gè)人信息被濫用和操縱，建立安全可靠的在線流通和跨境流動(dòng)信息模式，已成為各國關(guān)注的立法焦點(diǎn)。當(dāng)前存在美國商業(yè)利益優(yōu)先理念下的寬松立法、歐盟個(gè)人權(quán)利優(yōu)先理念下的嚴(yán)格立法等模式，本文在對歐美個(gè)人信息保護(hù)立法模式進(jìn)行分析的基礎(chǔ)上，根據(jù)中國的國情，力求找尋當(dāng)前我國個(gè)人信息保護(hù)存在的問題和解決之道。

一、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)困境

大數(shù)據(jù)技術(shù)的飛速發(fā)展深刻改變著人們的生活，激活了巨大的經(jīng)濟(jì)價(jià)值和社會(huì)價(jià)值，在更為精準(zhǔn)、高效、賦能的同時(shí)，大數(shù)據(jù)自身的復(fù)雜性、不確定性和風(fēng)險(xiǎn)也隨之而來。盡管我國從多方面加強(qiáng)了對個(gè)人信息的保護(hù)，但利用與保護(hù)之間失衡的可能性仍然很大，而且外部監(jiān)管的嚴(yán)苛抑制了大數(shù)據(jù)的開發(fā)利用；缺乏監(jiān)管或合規(guī)行為，會(huì)以犧牲個(gè)人信息保護(hù)為代價(jià)來使用大數(shù)據(jù)；監(jiān)管游移不定，陷入大數(shù)據(jù)既沒有利用好、個(gè)人信息也沒有保護(hù)好的雙輸格局[2]6。筆者將從企業(yè)發(fā)展、大數(shù)據(jù)發(fā)展、現(xiàn)有法律體制與個(gè)人信息保護(hù)的沖突及行政監(jiān)管在個(gè)人信息保護(hù)中的缺位,分別對我國現(xiàn)階段存在的法律困境展開分析。

1.企業(yè)對個(gè)人信息的不正當(dāng)使用

自大數(shù)據(jù)行業(yè)發(fā)展以來，在對數(shù)據(jù)進(jìn)行收集、傳輸、儲(chǔ)存、處理和分析、檢索和挖掘等過程中，人們發(fā)現(xiàn)，通過梳理雜亂無章的數(shù)據(jù)，可以得到數(shù)據(jù)里蘊(yùn)藏著的規(guī)律：有人從規(guī)律里看到了電商的未來，有人看到了直播的未來。通過總結(jié)和利用規(guī)律，企業(yè)者們預(yù)測到未來發(fā)展趨勢并付諸實(shí)踐從而獲得成功。比如，BAT、谷歌等互聯(lián)網(wǎng)市場平臺(tái)，依靠其優(yōu)勢進(jìn)行大量個(gè)人網(wǎng)絡(luò)訪問數(shù)據(jù)的收集、存儲(chǔ)，結(jié)合云計(jì)算技術(shù)，精準(zhǔn)處理大數(shù)據(jù)信息，從而制定符合市場需求的決策，投放滿足消費(fèi)者需求的產(chǎn)品和服務(wù)，以此獲得迅速發(fā)展成為業(yè)內(nèi)巨頭。可以說，在大數(shù)據(jù)時(shí)代，脫離了大數(shù)據(jù)的企業(yè)就是脫離了市場發(fā)展趨勢的孤舟，缺乏了創(chuàng)造價(jià)值與獲得知識的源泉與動(dòng)能。

在巨大的利益驅(qū)動(dòng)下，企業(yè)愈發(fā)頻繁地收集、儲(chǔ)存、利用個(gè)人信息，除了收集基礎(chǔ)個(gè)人信息外，還會(huì)在用戶不知情、未授權(quán)的情況下，收集用戶的地理位置、金融信息、購物記錄、工作內(nèi)容等涉及個(gè)人隱私的網(wǎng)絡(luò)活動(dòng)數(shù)據(jù)，使得大量的營銷短信、廣告郵件、電話推銷、信息販賣等現(xiàn)象層出不窮。在追求利潤的同時(shí)，企業(yè)過度收集信息，未經(jīng)用戶同意與第三方共享信息等濫用信息的行為，嚴(yán)重威脅到了用戶信息的安全。企業(yè)在保護(hù)個(gè)人信息上，體現(xiàn)出了市場的失靈性，即很少有企業(yè)把用戶個(gè)人信息當(dāng)作核心資產(chǎn)，投入相當(dāng)財(cái)力、物力去維護(hù)其所收集、儲(chǔ)存的個(gè)人信息。在2018年，基于對我國500家網(wǎng)站的實(shí)證調(diào)查結(jié)果顯示：商業(yè)類網(wǎng)絡(luò)信息控制者總體合規(guī)程度偏低，信息管理者不采取必要技術(shù)措施來履行保護(hù)信息的承諾；相較商業(yè)網(wǎng)站，政府、教育和社會(huì)組織類網(wǎng)站合規(guī)程度更低；對于個(gè)人信息保護(hù)而言，需要更強(qiáng)的約束力與執(zhí)法力，才能真正提升實(shí)踐中信息控制主體對個(gè)人信息的保護(hù)水準(zhǔn)[3]。

近年來，我國先后制定了相關(guān)法律法規(guī)及國家標(biāo)準(zhǔn)，用以保護(hù)個(gè)人信息的權(quán)利?！毒W(wǎng)絡(luò)安全法》規(guī)定，網(wǎng)絡(luò)運(yùn)營商在收集和使用個(gè)人信息時(shí)應(yīng)明確說明其使用信息的目的、方式和范圍，并且需征得被收集者同意；《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》強(qiáng)調(diào)，收集、使用個(gè)人信息前需征得用戶同意。對個(gè)人信息權(quán)利保障的規(guī)定還體現(xiàn)在《刑法修正案(九)》《民法通則》等其他法律、行政法規(guī)和規(guī)章中。對于企業(yè)和網(wǎng)絡(luò)經(jīng)營者而言，隨著國家對個(gè)人信息權(quán)利保護(hù)的重視和加強(qiáng)，也意味著企業(yè)主體對個(gè)人信息取得的難度增大，獲取信息的時(shí)間增長，保護(hù)信息的技術(shù)成本增加，信息收集、使用的合規(guī)難度增大，需耗費(fèi)更多的人力、物力與財(cái)力去提升信息保護(hù)的基礎(chǔ)設(shè)施設(shè)備，同時(shí)承擔(dān)更大的保護(hù)責(zé)任。這對企業(yè)及網(wǎng)絡(luò)經(jīng)營者來說無疑增加了經(jīng)營成本，一定程度上也減緩了企業(yè)的成長速度和規(guī)模的壯大。

2.大數(shù)據(jù)產(chǎn)業(yè)對個(gè)人信息的不合理開發(fā)

正如查爾斯·狄更斯所說：“這是最好的時(shí)代，這是最壞的時(shí)代?！贝髷?shù)據(jù)時(shí)代是一個(gè)極具創(chuàng)新創(chuàng)意的時(shí)代，大數(shù)據(jù)結(jié)合云計(jì)算，人工智能結(jié)合大數(shù)據(jù)，勾繪出每個(gè)用戶的“人物肖像”，再以此為依據(jù)，從衣食住行的方方面面給每個(gè)用戶推送“量身定制”的產(chǎn)品和服務(wù)，打開網(wǎng)頁或手機(jī)應(yīng)用，從新聞的推送，到產(chǎn)品的推廣、旅行線路的推薦等，無不體現(xiàn)著個(gè)性化的特征，大數(shù)據(jù)的發(fā)展為人們提供了全新的移動(dòng)支付、自動(dòng)駕駛、智能機(jī)器人等舒適高效、智能化的生活模式。世界各國也致力于將大數(shù)據(jù)與互聯(lián)網(wǎng)、云計(jì)算、人工智能相結(jié)合，建設(shè)新的智能發(fā)展導(dǎo)向型社會(huì)。我國于2015年就發(fā)布了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》，并在之后相關(guān)政策措施和行政法規(guī)中提出了建設(shè)大數(shù)據(jù)型社會(huì)的目標(biāo)方針，力圖以數(shù)據(jù)算法推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型和發(fā)展，提升國家綜合實(shí)力，樹立國際競爭優(yōu)勢。但與此同時(shí)，大數(shù)據(jù)的發(fā)展為個(gè)人信息安全帶來了諸多社會(huì)風(fēng)險(xiǎn)，原有法律制度也不再適用于新型的法律問題，大數(shù)據(jù)對個(gè)人隱私、敏感信息的深度分析轉(zhuǎn)變?yōu)槿蘸蠊魝€(gè)人的潛在威脅，不法分子利用大數(shù)據(jù)制造危險(xiǎn)引發(fā)的后果涉及公民范圍廣，易誘發(fā)社會(huì)、個(gè)人道德風(fēng)險(xiǎn)等。同時(shí)，在平臺(tái)經(jīng)濟(jì)中，起步早、發(fā)展規(guī)模大的一些主導(dǎo)平臺(tái)，更容易出現(xiàn)數(shù)據(jù)壟斷問題，影響了社會(huì)公平和消費(fèi)者權(quán)益，使得未來對個(gè)人信息權(quán)利保護(hù)的難度增大。大數(shù)據(jù)的發(fā)展依賴數(shù)據(jù)的支持，而數(shù)據(jù)來源于每個(gè)公民的日常生活、注冊資料、網(wǎng)絡(luò)活動(dòng)痕跡、電子設(shè)備監(jiān)控等，數(shù)據(jù)的產(chǎn)生、收集、存儲(chǔ)、開發(fā)、傳輸、處理等環(huán)節(jié)眾多，若每個(gè)環(huán)節(jié)都加以保護(hù)，在技術(shù)和經(jīng)濟(jì)成本上會(huì)面臨巨大的挑戰(zhàn)和高額的成本。因此，大數(shù)據(jù)開發(fā)與個(gè)人信息保護(hù)間的平衡，亦是大數(shù)據(jù)時(shí)代必須面臨的規(guī)制難題。

3.立法缺失對個(gè)人信息保護(hù)的制約

大數(shù)據(jù)本身并不是一個(gè)靜態(tài)的概念，而是處于一個(gè)動(dòng)態(tài)的過程，涉及數(shù)據(jù)的收集、處理、存儲(chǔ)等各個(gè)環(huán)節(jié)，數(shù)據(jù)安全的威脅來源和攻擊手段也處在不斷變化之中[4]。個(gè)人信息的侵權(quán)途徑多種多樣，侵害方式也往往很隱蔽，用戶一旦通過使用網(wǎng)絡(luò)、手機(jī)和注冊賬戶等方式留下的痕跡，都能被大數(shù)據(jù)和云計(jì)算技術(shù)勾勒出信息主體圖像，從而引發(fā)信息主體隱私泄露及其支付寶、金融賬戶遭受攻擊等，而權(quán)利維護(hù)的難度增大是大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的重要特征。

對于尋求司法救濟(jì)而言，《民法總則》第111條將個(gè)人信息權(quán)作為一項(xiàng)新的民事權(quán)利納入其中，然而除了原則規(guī)定外，并無對其內(nèi)涵及外延展開論述，也無配套的具體救濟(jì)措施，加之用戶難以對侵犯其個(gè)人信息的主體及行為進(jìn)行舉證，致使司法救濟(jì)尚不能對個(gè)人信息保護(hù)提供足夠保障。對于尋求行政部門救濟(jì)而言，由于尚未形成專門的個(gè)人信息保護(hù)監(jiān)管機(jī)構(gòu)，各信息保護(hù)行政機(jī)構(gòu)的監(jiān)督管理權(quán)限劃分不明，不同的信息處理部門之間沒有共同的數(shù)據(jù)庫來傳輸和共享個(gè)人信息，行政機(jī)構(gòu)內(nèi)沒有專門的個(gè)人信息保護(hù)部門或辦公室，公民向負(fù)有監(jiān)管義務(wù)的行政部門申請救濟(jì)過程繁瑣，極大增加了維權(quán)成本，降低了公民維權(quán)的積極性。對于尋求企業(yè)本身或行業(yè)協(xié)會(huì)救濟(jì)而言，雖互聯(lián)網(wǎng)行業(yè)協(xié)會(huì)、通信行業(yè)協(xié)會(huì)林立，但公民往往面臨與之信息不對稱和地位不平等的局面，而行業(yè)自律規(guī)范大多由互聯(lián)網(wǎng)巨頭商定，無法有效保護(hù)廣大中小互聯(lián)網(wǎng)企業(yè)的利益，大多數(shù)自律規(guī)范都以宣誓性、倡導(dǎo)性條款為主，缺乏具體實(shí)施細(xì)則和救濟(jì)途徑[5]。并且，由于信息控制者有強(qiáng)烈的使用動(dòng)機(jī)而缺乏相同程度的保護(hù)激勵(lì)，如果法律規(guī)則不符合立法要求與信息控制者內(nèi)在激勵(lì)之間的關(guān)系，使個(gè)人信息保護(hù)成為信息控制者自發(fā)的內(nèi)在需要，那么簡單施加強(qiáng)制性規(guī)定勢必因?yàn)榧?lì)不相容影響法律有效實(shí)施[2]5。故而當(dāng)個(gè)人尋求企業(yè)、行業(yè)協(xié)會(huì)救濟(jì)時(shí)，行業(yè)自律組織的混亂及企業(yè)保護(hù)激勵(lì)的缺乏也限制了公民的私力救濟(jì)權(quán)利行使，使公民行使個(gè)人信息權(quán)成為一紙空文。

面對層出不窮的個(gè)人信息保護(hù)威脅與救濟(jì)難問題，我國尚未制定專門的個(gè)人信息保護(hù)法作為應(yīng)對，個(gè)人信息的規(guī)定分散在各法律、行政法規(guī)、規(guī)章和標(biāo)準(zhǔn)之中。如全國人民代表大會(huì)常務(wù)委員會(huì)在2000年頒布的《關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定》，2012年頒布的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2016年通過的《中華人民共和國網(wǎng)絡(luò)安全法》等法律、法規(guī)和規(guī)章，并在《刑法修正案(七)》《刑法修正案(九)》《民法總則》等法律中規(guī)定了對信息保護(hù)的條款。然而，上述法律法規(guī)在大數(shù)據(jù)高速發(fā)展的背景下存在過于原則、不夠具體等問題。在缺乏一部單獨(dú)且詳盡的個(gè)人信息保護(hù)法的情形下，即便是我國對個(gè)人信息規(guī)定最詳盡的《網(wǎng)絡(luò)安全法》，在大數(shù)據(jù)時(shí)代背景下保護(hù)個(gè)人信息的效果也是極為有限的?，F(xiàn)階段，中國個(gè)人信息保護(hù)的對象主要涉及國家、集體利益安全和計(jì)算機(jī)系統(tǒng)安全的信息，這導(dǎo)致了對國家網(wǎng)絡(luò)安全的保護(hù)替代了個(gè)人信息保護(hù)，同時(shí)存在過于原則化和救濟(jì)以刑事處罰為主的問題。在沒有其他法律，特別是民法提供的最基礎(chǔ)保護(hù)的情況下，“刑先民后”勢必讓刑法規(guī)制獨(dú)木難支[6]。當(dāng)“刑法被用作保護(hù)個(gè)人信息的廉價(jià)工具，刑法的功能定位也將會(huì)模糊不清”[7]。

4.行政監(jiān)管在個(gè)人信息保護(hù)中的缺位

隨著大數(shù)據(jù)與互聯(lián)網(wǎng)、云計(jì)算的結(jié)合，數(shù)據(jù)信息成為政府解決監(jiān)管問題的重要依據(jù)之一，個(gè)人信息成為國家和企業(yè)的重要資產(chǎn)，各國政府機(jī)關(guān)在進(jìn)行公共管理活動(dòng)的過程中，都致力于實(shí)現(xiàn)在法律框架下，發(fā)揮政府能動(dòng)職能高效解決個(gè)人信息保護(hù)問題。在面對數(shù)據(jù)商業(yè)化、網(wǎng)絡(luò)黑產(chǎn)盛行的情況下，政府部門應(yīng)當(dāng)對個(gè)人信息保護(hù)的治理需求予以回應(yīng)，使得人們的隱私、利益、信息安全得到保障。目前，中國政府尚未建立明確的專門保護(hù)個(gè)人信息的機(jī)構(gòu)，大數(shù)據(jù)監(jiān)管部門散落在工業(yè)和信息化部、國家市場監(jiān)督管理總局及地方工商行政管理局等各個(gè)部門，政府部門各自執(zhí)法，缺乏共通的數(shù)據(jù)庫和密切的溝通聯(lián)系，使得我國個(gè)人信息保護(hù)的行政監(jiān)管機(jī)構(gòu)保護(hù)強(qiáng)度不一，很容易造成執(zhí)法資源浪費(fèi)和管理難度大等問題。除了對外部市場應(yīng)盡到行政監(jiān)督管理職責(zé)外，政府還應(yīng)對自身處理信息的行為負(fù)責(zé)，設(shè)立內(nèi)部約束的有效機(jī)制。正如舍恩伯格指出，在大數(shù)據(jù)時(shí)代，我們需要建立一個(gè)更著重于數(shù)據(jù)使用者對其行為負(fù)責(zé)的模式。對于自然人、法人和組織而言，因社會(huì)生產(chǎn)、社會(huì)活動(dòng)過程而產(chǎn)生的信息很大一部分不僅存儲(chǔ)在非政府盈利機(jī)構(gòu)，還儲(chǔ)存在政府機(jī)關(guān)單位的數(shù)據(jù)庫中。政府下的公安系統(tǒng)、各類數(shù)據(jù)庫系統(tǒng)，收集儲(chǔ)存了更多更為隱私和重要的個(gè)人信息，但對于政府?dāng)?shù)據(jù)庫收集、處理的個(gè)人信息，卻缺乏詳細(xì)的法律來進(jìn)行規(guī)制[8]。為避免形成“全方位監(jiān)控型社會(huì)”，政府權(quán)力的行使應(yīng)努力確保為個(gè)人自治留出空間，并在進(jìn)入私人領(lǐng)域時(shí)，保持國家權(quán)力的謙遜態(tài)度[9]。由于尚未有成文法明確規(guī)定政府作為信息控制者時(shí)的義務(wù)，同時(shí)政府擁有信息壟斷的權(quán)力并且缺乏競爭者，因而欠缺了改進(jìn)技術(shù)來保護(hù)個(gè)人信息的動(dòng)力。為防止政府機(jī)關(guān)權(quán)力過大而沒有得到相應(yīng)的約束，以及信息過于集中后泄露造成更為嚴(yán)重的影響，應(yīng)給予公權(quán)力機(jī)構(gòu)處理個(gè)人信息法律規(guī)制的重視，并加強(qiáng)政府內(nèi)部規(guī)章制度的設(shè)立。

二、大數(shù)據(jù)時(shí)代歐美個(gè)人信息保護(hù)立法經(jīng)驗(yàn)

縱觀世界，個(gè)人數(shù)據(jù)權(quán)利在歐盟一直被視為一項(xiàng)基本權(quán)利，也是一項(xiàng)基本政治要求。《歐洲人權(quán)公約》規(guī)定人們享有要求尊重其私人和家庭生活、通訊的權(quán)利。歐盟對信息主體自主的控制權(quán)給予了很大的保護(hù)；而美國與歐盟形成了兩種不同的模式，相較而言，由于美國對自由市場發(fā)展的需求高，美國憲法和聯(lián)邦法律都有關(guān)于保護(hù)個(gè)人信息的具體立法，加之強(qiáng)大的外部執(zhí)法機(jī)制和較為成熟的訴訟救濟(jì)渠道，在個(gè)人信息保護(hù)領(lǐng)域，美國較為寬松自由和重視被管理對象參與、回應(yīng)積極性的模式，已成為現(xiàn)如今許多國家所效仿的立法方向。

1.大數(shù)據(jù)下歐美個(gè)人信息保護(hù)法案概述

2018年5月25日，歐盟《一般數(shù)據(jù)保護(hù)條例》[注]本文所引《一般數(shù)據(jù)保護(hù)條例》均來源于歐盟法律法規(guī)數(shù)據(jù)庫(Eur-lex)。https://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1532348683434&uri=CELEX:02016R0679-20160504。條文為作者自己翻譯，兼參考中國政法大學(xué)互聯(lián)網(wǎng)金融法律研究院(Internet financial law research institute of CUPL ,IFLRI)組織翻譯的歐盟GDPR《一般數(shù)據(jù)保護(hù)法案》。(也被稱作《通用數(shù)據(jù)保護(hù)條例》，GeneralDataProtectionRegulation，GDPR)正式實(shí)施，致力于規(guī)制大數(shù)據(jù)時(shí)代下的個(gè)人數(shù)據(jù)侵權(quán)行為，是整個(gè)歐盟境內(nèi)個(gè)人信息保護(hù)的“上位法”。GDPR的實(shí)際意義和社會(huì)影響非常重大，因?yàn)樗蔀榱诉m用于整個(gè)歐盟的統(tǒng)一和更新的規(guī)則以及歐洲公民的所有數(shù)據(jù)處理依據(jù)；它旨在避免歐盟市場的分散，促進(jìn)跨境商業(yè)發(fā)展和企業(yè)活動(dòng)，保障個(gè)人數(shù)據(jù)的自由流通以及歐洲公民的基本權(quán)利[注]CHURCH, The new European Union General Regulation on Data Protection and the legal consequences for institutions, Efren Daz Daz,Bufete Mas y Calvet (law firm), Madrid, Spain， COMMUNICATION AND CULTURE,2016 VOL.1, NO.1，第206-239頁。 https://www.tandfonline.com/doi/full/10.1080/23753234.2016.1240912?src=recsys。隨著互聯(lián)網(wǎng)、大數(shù)據(jù)的迅猛發(fā)展，相關(guān)信息處理技術(shù)正逐步破壞著信息主體對其個(gè)人信息的控制能力，傳統(tǒng)個(gè)人信息保護(hù)法已無法規(guī)制新的信息侵權(quán)行為，原有立法面臨著 “失靈”，故而《一般數(shù)據(jù)保護(hù)條例》(以下簡稱《條例》)，以更嚴(yán)格的標(biāo)準(zhǔn)來確立大數(shù)據(jù)時(shí)代下個(gè)人信息應(yīng)有的保障，明確強(qiáng)調(diào)保護(hù)個(gè)人數(shù)據(jù)的權(quán)利。條例規(guī)定了保護(hù)自然人的個(gè)人數(shù)據(jù)處理和個(gè)人數(shù)據(jù)自由流動(dòng)的規(guī)則[注]《一般數(shù)據(jù)保護(hù)條例》第1、第4條規(guī)定：“個(gè)人數(shù)據(jù)”指與已識別或可以識別的自然人有關(guān)的任意資料;“個(gè)人”指可以直接或間接識別的人,特別是通過參考諸如姓名、身份證號、位置數(shù)據(jù)、在線標(biāo)識符或一個(gè)或多個(gè)特定于物理、生理及該自然人的遺傳、心理、經(jīng)濟(jì)、文化或社會(huì)身份；“處理”指針對個(gè)人數(shù)據(jù)或個(gè)人數(shù)據(jù)集合的任何一個(gè)或一系列操作，諸如收集、記錄、組織、建構(gòu)、存儲(chǔ)、自適應(yīng)或修改、檢索、咨詢、使用、披露、傳播或其他的利用，排列、組合、限制、刪除或銷毀，無論此操作是否采用自動(dòng)化的手段。2018年5月25日。。擴(kuò)大了數(shù)據(jù)處理者、控制者內(nèi)涵，將行政機(jī)關(guān)納入規(guī)制主體中，切實(shí)限制了行政權(quán)力的行使，減少了濫用行政權(quán)力的可能。適用范圍也從屬地主義向?qū)偃酥髁x轉(zhuǎn)化，規(guī)定在歐盟境內(nèi)成立、為歐盟境內(nèi)數(shù)據(jù)主體提供商品、服務(wù)活動(dòng)或者對歐盟境內(nèi)數(shù)據(jù)主體進(jìn)行監(jiān)控的數(shù)據(jù)控制者或數(shù)據(jù)處理者都適用本法[注]參見：《一般數(shù)據(jù)保護(hù)條例》第3條,2018年5月25日。。其廣泛的管轄范圍輻射到世界各國。在美國，制定個(gè)人信息保護(hù)法案工作從2010年開始，美國政府提出了白宮白皮書，并在兩年后發(fā)布了FTC報(bào)告。2015年2月，由奧巴馬政府發(fā)布的《消費(fèi)者隱私權(quán)利法案》(ConsumerPrivacyBillofRightsActof2015，CPBR)提出的場景評估理念和風(fēng)險(xiǎn)評估機(jī)制，成為各國對美國個(gè)人信息保護(hù)參考和借鑒的模本。雖然該法案最終并未生效，但大數(shù)據(jù)時(shí)代下美國提出的個(gè)人信息保護(hù)政策更加具有普適性，符合大數(shù)據(jù)的應(yīng)用與發(fā)展，因而被許多國家作為制度設(shè)立的參考及借鑒標(biāo)準(zhǔn)。

2.大數(shù)據(jù)下歐美個(gè)人信息保護(hù)立法理念

隨著大數(shù)據(jù)與云計(jì)算、互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的深度融合，數(shù)據(jù)的收集、處理、使用從互聯(lián)網(wǎng)、物聯(lián)網(wǎng)到可移動(dòng)便攜設(shè)備及云端時(shí)時(shí)都在發(fā)生，通過整合計(jì)算后的信息價(jià)值遠(yuǎn)大于獨(dú)立的信息本身，這也使得在利益相沖突的情況下，手里掌握著數(shù)據(jù)的數(shù)據(jù)處理者、控制者極易為滿足自身利益需求而侵犯數(shù)據(jù)主體權(quán)益。原有法律制度對于現(xiàn)代數(shù)據(jù)收集技術(shù)的隱形化，行業(yè)數(shù)據(jù)之間界限的模糊，數(shù)據(jù)如何合理運(yùn)用，第三方進(jìn)行信息儲(chǔ)存與責(zé)任承擔(dān)等問題的規(guī)制具有較大局限性。

美國政府盡量在不阻礙大數(shù)據(jù)發(fā)展的前提下，提出解決個(gè)人信息權(quán)利保護(hù)問題的方案，進(jìn)行政策調(diào)整與技術(shù)革新，以保障大數(shù)據(jù)的發(fā)展為經(jīng)濟(jì)社會(huì)帶來創(chuàng)新動(dòng)力。美國政府認(rèn)為，傳統(tǒng)的“告知與同意”原則已不能滿足個(gè)人信息保護(hù)的需要，冗長和難以理解的用戶聲明，形式意義大于實(shí)際意義，用戶并沒有實(shí)際可以協(xié)商和改變該聲明的權(quán)利，即便信息的收集征得了信息主體的同意，但信息的后續(xù)挖掘和開發(fā)才是信息價(jià)值的重要體現(xiàn)。然而，該階段信息主體參與度較低，在去中心化的大數(shù)據(jù)系統(tǒng)中，信息主體對加入的第三方主體、數(shù)據(jù)中間商也沒有建立直接聯(lián)系。因此，CPBR首先確定了消費(fèi)者有權(quán)控制企業(yè)對個(gè)人信息的收集和使用；企業(yè)應(yīng)賦予消費(fèi)者選擇權(quán)，且要對第三方進(jìn)行盡職調(diào)查；消費(fèi)者有權(quán)撤銷授權(quán)，而且撤銷應(yīng)與授權(quán)一樣方便。其次，在透明度上，CPBR要求應(yīng)保障消費(fèi)者無障礙地理解和獲取有關(guān)個(gè)人信息，公司應(yīng)該專注于披露與消費(fèi)者期望不一致的個(gè)人數(shù)據(jù)使用行為。再次，需做到情景一致，即企業(yè)使用、公開個(gè)人數(shù)據(jù)的具體情景應(yīng)當(dāng)特定，其后續(xù)傳播和應(yīng)用需要在原始的情景當(dāng)中，如果與初始場景的目的不同，企業(yè)應(yīng)該以消費(fèi)者可以輕松回應(yīng)的方式進(jìn)行特別說明。CPBR引入的最重要的理念即控制風(fēng)險(xiǎn)與情景理念，該理念認(rèn)為企業(yè)在應(yīng)用消費(fèi)者的個(gè)人信息時(shí)，應(yīng)把重心放在信息使用的情境和風(fēng)險(xiǎn)上，在對消費(fèi)者初期承諾的合理范圍內(nèi)使用信息，如果超出預(yù)期風(fēng)險(xiǎn)，應(yīng)及時(shí)、明確地向消費(fèi)者進(jìn)行告知，并提供給消費(fèi)者可以選擇的處理、救濟(jì)方式。該理念跳出了傳統(tǒng)的“知情同意模式”，在更符合大數(shù)據(jù)時(shí)代對信息利用要求的同時(shí)，也實(shí)時(shí)監(jiān)控保障著信息主體的權(quán)利，于合理范圍內(nèi)靈活地進(jìn)行個(gè)人信息保護(hù)。在大數(shù)據(jù)發(fā)展與個(gè)人信息保護(hù)的博弈中，美國政府更傾向于利用大數(shù)據(jù)技術(shù)促進(jìn)經(jīng)濟(jì)社會(huì)發(fā)展，以保持美國在相關(guān)領(lǐng)域的領(lǐng)先地位。

歐盟對違反個(gè)人數(shù)據(jù)行為的處罰非常嚴(yán)格，包括發(fā)布禁令救濟(jì)，建立監(jiān)督和調(diào)查數(shù)據(jù)處理行為的專門機(jī)構(gòu)，處數(shù)額巨大的罰款等。歐盟《條例》已根據(jù)1995年頒布的《個(gè)人數(shù)據(jù)保護(hù)指令》進(jìn)行了拓展，規(guī)定數(shù)據(jù)主體享有數(shù)據(jù)知情權(quán)、訪問權(quán)、糾正權(quán)、被遺忘權(quán)、反對權(quán)、可攜帶權(quán)等基本權(quán)利，極大地?cái)U(kuò)充了數(shù)據(jù)權(quán)利的范圍和保護(hù)機(jī)制，凸顯了其對數(shù)據(jù)主體權(quán)利的嚴(yán)格保護(hù)制度。從各項(xiàng)規(guī)定來看，其立法目的緊緊圍繞數(shù)據(jù)主體權(quán)利的充分保障來設(shè)定。數(shù)據(jù)控制者必須以充分、簡單的方式給予個(gè)人對各項(xiàng)信息行使知情權(quán)；積極配合數(shù)據(jù)主體自由訪問和獲得數(shù)據(jù)，及時(shí)糾正有關(guān)數(shù)據(jù)主體不準(zhǔn)確的個(gè)人數(shù)據(jù)，以保障數(shù)據(jù)主體的訪問權(quán)和糾正權(quán)；確保數(shù)據(jù)主體有對抗數(shù)據(jù)控制者的絕對拒絕權(quán)，對數(shù)據(jù)控制者出于自身利益或營銷行為而進(jìn)行的數(shù)據(jù)處理行為有權(quán)拒絕。除了基本權(quán)利保障以外，作為新型權(quán)利引入的被遺忘權(quán)和數(shù)據(jù)攜帶權(quán)成為GDPR立法亮點(diǎn)。當(dāng)數(shù)據(jù)主體撤回同意或者數(shù)據(jù)控制者不再有合法理由繼續(xù)處理數(shù)據(jù)時(shí)，數(shù)據(jù)控制者應(yīng)根據(jù)用戶的請求刪除數(shù)據(jù)，如果數(shù)據(jù)已公開傳播，則應(yīng)通知其他第三方停止利用和刪除該數(shù)據(jù)。該做法是對傳統(tǒng)“刪除權(quán)”的擴(kuò)張[10]。可攜帶權(quán)指數(shù)據(jù)主體有權(quán)無障礙地將其提供給控制者的個(gè)人數(shù)據(jù)轉(zhuǎn)移傳輸給另一個(gè)控制者，原信息控制者需積極配合轉(zhuǎn)移。在大數(shù)據(jù)時(shí)代下，GDPR更多地保障了數(shù)據(jù)主體對于自身數(shù)據(jù)的控制權(quán)，促進(jìn)了信息控制者自身的制度設(shè)計(jì)及設(shè)施的更新完善。

3.大數(shù)據(jù)下歐美個(gè)人信息監(jiān)管救濟(jì)模式

大數(shù)據(jù)時(shí)代，各國對網(wǎng)絡(luò)安全異常重視，將大數(shù)據(jù)的合理利用及風(fēng)險(xiǎn)防控上升到國家安全戰(zhàn)略高度是大勢所趨，筑牢大數(shù)據(jù)安全保障的行政監(jiān)管防線也是各國所探索的熱門。但由于大數(shù)據(jù)興起初期對數(shù)據(jù)使用的權(quán)利界限規(guī)定模糊，除了對涉及國家利益、社會(huì)利益相關(guān)信息的侵權(quán)行為進(jìn)行規(guī)制外，對于維權(quán)力量薄弱的用戶個(gè)人，數(shù)據(jù)侵權(quán)不易受到追究，這使得一段時(shí)間內(nèi)個(gè)人信息成為被侵權(quán)的重災(zāi)區(qū)。

歐盟《條例》在構(gòu)建行政監(jiān)管機(jī)制時(shí)規(guī)定，每個(gè)成員國應(yīng)當(dāng)建立一個(gè)以上的獨(dú)立公共機(jī)構(gòu)，負(fù)責(zé)監(jiān)控條例的實(shí)施，設(shè)立的主導(dǎo)監(jiān)管機(jī)構(gòu)對企業(yè)所有數(shù)據(jù)活動(dòng)享有監(jiān)管權(quán)力，同時(shí)賦予監(jiān)管機(jī)構(gòu)調(diào)查權(quán)，以保障對所在地的數(shù)據(jù)控制者有實(shí)質(zhì)的監(jiān)管權(quán)力。除此以外，特設(shè)了數(shù)據(jù)保護(hù)委員會(huì)作為歐盟各個(gè)監(jiān)管機(jī)構(gòu)之上的綜合監(jiān)管機(jī)構(gòu)，歐盟數(shù)據(jù)保護(hù)委員會(huì)具有完全獨(dú)立性并直接對歐盟負(fù)責(zé)[注]參見：《一般數(shù)據(jù)保護(hù)條例》第50、51、60、61、68條，2018年5月25日。。而在信息主體權(quán)利救濟(jì)途徑上，《條例》首先明確了主體有向監(jiān)管機(jī)構(gòu)提起申訴的權(quán)利，監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)告知申訴者進(jìn)展和結(jié)果，若未在三個(gè)月內(nèi)進(jìn)行處理，數(shù)據(jù)主體有權(quán)提起訴訟。這從根本上保障了行政監(jiān)管空缺時(shí)司法救濟(jì)快速彌補(bǔ)上的可能性；其次，對于監(jiān)管機(jī)構(gòu)做出的對數(shù)據(jù)主體有法律約束力的決定，數(shù)據(jù)主體有權(quán)再提出司法救濟(jì)；再次，數(shù)據(jù)主體對控制者或處理者同樣享有司法救濟(jì)權(quán)，任何數(shù)據(jù)主體認(rèn)為權(quán)利被侵犯時(shí)都有獲取司法救濟(jì)的權(quán)利[注]參見：《一般數(shù)據(jù)保護(hù)條例》第77～79條，2018年5月25日。。值得一提的是，《條例》規(guī)定了高額的賠償范圍和標(biāo)準(zhǔn)，對于涉及條款的違法行為視程度不同，最高可施加1000～2000萬歐元的行政罰款，或最高可處企業(yè)上一年全球總營業(yè)額2%～4%金額的罰款，兩者取其高。這對于類似Facebook、Google、百度等跨國大型企業(yè)來說，若違反條例規(guī)定，將面臨巨額罰款，從而大大增加了數(shù)據(jù)控制者對數(shù)據(jù)處理的謹(jǐn)慎性。而這種對監(jiān)督機(jī)構(gòu)規(guī)定明確、賦予執(zhí)法權(quán)的模式，在我國尚未建立，借鑒歐盟建立統(tǒng)一的個(gè)人信息保護(hù)部門，不僅有利于執(zhí)法資源的整合，同時(shí)可以消除各個(gè)監(jiān)管部門的監(jiān)管真空和效率不高的問題。

美國CPBR提供了一項(xiàng)問責(zé)制度，涵蓋企業(yè)對員工行為控制、內(nèi)部數(shù)據(jù)使用監(jiān)督以及向第三方公開數(shù)據(jù)等。CPBR注重企業(yè)自律，強(qiáng)調(diào)事后責(zé)任，并要求企業(yè)設(shè)立用戶擇出機(jī)制，在用戶個(gè)人信息使用出現(xiàn)隱私風(fēng)險(xiǎn)時(shí)，提供給用戶控制或選擇機(jī)制，如果用戶沒有異議，即視為默認(rèn)同意信息繼續(xù)使用。然而，該選擇機(jī)制實(shí)質(zhì)上可能將個(gè)人信息處理的風(fēng)險(xiǎn)轉(zhuǎn)移給用戶，以此減少企業(yè)主動(dòng)補(bǔ)償?shù)呢?zé)任，并且未能就用戶權(quán)利行使的困境提出方案，以及過度依賴用戶授權(quán)和默認(rèn)同意來降低風(fēng)險(xiǎn)的方式也遭到了其他國家的質(zhì)疑。相比之下，CPBR的事后問責(zé)救濟(jì)模式并未像GDPR救濟(jì)模式那樣嚴(yán)格和完善。

三、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的法律路徑

在大數(shù)據(jù)、人工智能融合發(fā)展時(shí)代，大數(shù)據(jù)帶來了信息技術(shù)進(jìn)步及舒適、便捷的智能化生活模式以外，也帶來了更高、更難以預(yù)料的社會(huì)化風(fēng)險(xiǎn)。大數(shù)據(jù)好比一把雙刃劍，用得好，會(huì)極大地促進(jìn)科技進(jìn)步和人工智能的發(fā)展，為人們帶來福祉；用不好，將帶來侵犯個(gè)人信息、攪亂市場秩序、打破經(jīng)濟(jì)平衡、威脅國家安全等嚴(yán)重后果。為此，在借鑒歐美國家立法經(jīng)驗(yàn)基礎(chǔ)上，通過結(jié)合我國現(xiàn)階段的國情，建議從多元化共同治理、統(tǒng)一行政監(jiān)管、強(qiáng)化信息保護(hù)機(jī)制、完善法律法規(guī)等方面協(xié)同配合，建立起從個(gè)人信息權(quán)利保護(hù)到權(quán)利救濟(jì)的完整體系，以適應(yīng)大數(shù)據(jù)時(shí)代我國對個(gè)人信息保護(hù)發(fā)展的需求。

1.建立場景化及主體自發(fā)性保護(hù)框架

近年來，我國個(gè)人信息保護(hù)法律體系有了初步發(fā)展，但大數(shù)據(jù)時(shí)代下個(gè)人信息侵權(quán)形勢仍然嚴(yán)峻。誠然，制定專門法律更有利于系統(tǒng)保障個(gè)人信息權(quán)利的實(shí)施，然而，現(xiàn)階段我國個(gè)人信息保護(hù)不僅存在立法的缺失，更重要的是尚未搭建起科學(xué)的個(gè)人信息保護(hù)框架，調(diào)動(dòng)市場參與者積極保護(hù)個(gè)人信息權(quán)利?；趯γ绹断M(fèi)者隱私權(quán)利法案》和歐盟《一般數(shù)據(jù)保護(hù)條例》的分析借鑒，我們認(rèn)為，確立場景化的風(fēng)險(xiǎn)評估機(jī)制和促進(jìn)多元化主體共同維護(hù)個(gè)人信息權(quán)利，是當(dāng)前情勢下必要和有效的制度構(gòu)建。

如前所述，傳統(tǒng)的“知情同意模式”已不能有效規(guī)制大數(shù)據(jù)時(shí)代下信息使用的復(fù)雜問題，我國可借鑒美國經(jīng)驗(yàn)，建立以“場景和風(fēng)險(xiǎn)評估”為導(dǎo)向的個(gè)人信息保護(hù)機(jī)制，弱化形式化的個(gè)人同意行為，更加強(qiáng)調(diào)信息控制者在一開始對用戶承諾的信息使用場景，明確收集、儲(chǔ)存、利用、傳輸信息的目的、范圍、方式等信息，征得用戶同意后，在承諾的該“情景”中，進(jìn)行個(gè)人信息的處理行為。同時(shí)，建立信息使用風(fēng)險(xiǎn)評估機(jī)制，對信息使用及處理過程進(jìn)行風(fēng)險(xiǎn)評估，若超出承諾“場景”風(fēng)險(xiǎn)，信息控制者需通知信息主體，以保障信息主體的知情權(quán)，提供給信息主體不同的處理方案。同時(shí)，信息控制者應(yīng)積極做出降低信息使用風(fēng)險(xiǎn)的補(bǔ)救措施，以避免用戶可能遭受更大損失。該框架在保護(hù)和促進(jìn)大數(shù)據(jù)發(fā)展的同時(shí)，也在動(dòng)態(tài)風(fēng)險(xiǎn)的把控模式下兼顧到了個(gè)人信息的合理保護(hù)。

在調(diào)動(dòng)市場主體對個(gè)人信息保護(hù)的積極性，促進(jìn)多元化主體共同維護(hù)個(gè)人信息權(quán)利方面，除了司法、行政機(jī)關(guān)，市場中的自然人、法人、其他組織亦是不容忽視的重要主體組成部分，在去中心化的大數(shù)據(jù)信息多元流轉(zhuǎn)的系統(tǒng)下，除了信息控制者或信息處理者，還出現(xiàn)了中間商和第三方機(jī)構(gòu)等主體。傳統(tǒng)的信息使用者尚未建立起大數(shù)據(jù)就是核心競爭力的意識，而這樣的觀念僅僅依靠法律規(guī)制和行政監(jiān)管無法完全解決。因而，在法律法規(guī)對信息使用者行為進(jìn)行規(guī)制的同時(shí)，也應(yīng)讓其積極建立起信息即是未來企業(yè)發(fā)展競爭力的觀念，改變傳統(tǒng)企業(yè)的信息保護(hù)模式，充分利用行業(yè)協(xié)會(huì)的宣傳力度，從市場主體的內(nèi)部制度構(gòu)建做起，幫助市場主體建立起完整和符合大數(shù)據(jù)時(shí)代發(fā)展要求的個(gè)人信息保護(hù)制度，提高企業(yè)這一重要信息使用主體的信息保護(hù)觀念，調(diào)動(dòng)其內(nèi)生動(dòng)力，以實(shí)現(xiàn)個(gè)人信息保護(hù)的多元化體系。與此同時(shí)，信息主體，即用戶的個(gè)人信息安全意識也亟需提高，在數(shù)據(jù)收集十分普及的今天，用戶個(gè)人的安全防范意識和信息安全教育、信息安全知識也會(huì)在一定程度上減少信息被泄露和濫用的可能。比如，培養(yǎng)用戶定期使用網(wǎng)絡(luò)安全防護(hù)殺毒軟件，提高個(gè)人賬戶密碼難度，不輕易提供個(gè)人隱私數(shù)據(jù)，不隨意授權(quán)商家對自己的地理位置和健康數(shù)據(jù)進(jìn)行跟蹤收集等，從而降低個(gè)人信息的安全隱患。

2.強(qiáng)化個(gè)人信息保護(hù)的行政監(jiān)管

大數(shù)據(jù)信息侵權(quán)通常存在大量性和隱蔽性的特點(diǎn)，當(dāng)騰訊、雅虎等網(wǎng)絡(luò)平臺(tái)出現(xiàn)泄露個(gè)人信息問題時(shí)，被侵權(quán)的主體眾多，無法一一尋求司法救濟(jì)或行業(yè)救濟(jì)，行政監(jiān)管部門的優(yōu)勢就體現(xiàn)出來。行政監(jiān)管機(jī)構(gòu)在對大量信息主體權(quán)利被侵害事件的處理中，可以對信息控制者進(jìn)行統(tǒng)一調(diào)查，行使行政處罰權(quán)，以解決對公共領(lǐng)域的監(jiān)管及救濟(jì)問題。不僅如此，行政監(jiān)管模式可以發(fā)生在事前、事中、事后，從預(yù)防個(gè)人信息侵權(quán)到及時(shí)介入調(diào)查并作出行政處罰，行政監(jiān)管機(jī)構(gòu)能有效快速地做出反應(yīng)。由于司法救濟(jì)周期較長，行業(yè)救濟(jì)缺乏相應(yīng)的處罰權(quán)，行政監(jiān)管可以兼具高效及威懾力兩大優(yōu)勢，對侵犯個(gè)人信息權(quán)的行為加以管制。如今，大數(shù)據(jù)技術(shù)的飛速發(fā)展對政府治理提出了新的要求，該治理行為應(yīng)在法律框架內(nèi)進(jìn)行，形成具有調(diào)查、執(zhí)法及處罰于一體的高效治理模式，并且應(yīng)建立統(tǒng)一的信息行政監(jiān)管機(jī)構(gòu)，以便政府更好地履行個(gè)人信息保護(hù)職責(zé)。

首先，統(tǒng)一行政監(jiān)管機(jī)構(gòu)應(yīng)積極推動(dòng)各部門間合作治理。我國目前對于個(gè)人信息保護(hù)的行政執(zhí)法機(jī)構(gòu)分散在金融監(jiān)管機(jī)構(gòu)、通信部門、公安部門等，缺乏統(tǒng)一的執(zhí)法標(biāo)準(zhǔn)，容易因信息不對稱造成監(jiān)管缺位或執(zhí)法資源浪費(fèi)。統(tǒng)一的信息管理行政機(jī)構(gòu)作為機(jī)構(gòu)之間的聯(lián)系紐帶，能夠積極整合執(zhí)法資源，增強(qiáng)各個(gè)行政執(zhí)法機(jī)構(gòu)之間的聯(lián)系，互通各個(gè)部門之間的執(zhí)法現(xiàn)狀和執(zhí)法經(jīng)驗(yàn)，不斷提高自身和其他部門的行政執(zhí)法效率。其次，統(tǒng)一行政監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)具備監(jiān)管、調(diào)查和處罰違法行為的職能。個(gè)人信息在大數(shù)據(jù)時(shí)代的極大暴露，使得個(gè)人信息極易受到泄露和濫用，對此應(yīng)加強(qiáng)信息整合和使用環(huán)節(jié)監(jiān)督，加大對相關(guān)領(lǐng)域信息濫用和泄露的處罰[1]84。可將統(tǒng)一信息監(jiān)管機(jī)構(gòu)規(guī)定為主要的個(gè)人信息行政監(jiān)管機(jī)關(guān)，并在各地設(shè)立分支機(jī)構(gòu)，統(tǒng)一信息監(jiān)管機(jī)構(gòu)有權(quán)責(zé)令信息控制者提供數(shù)據(jù)處理說明，依法要求其進(jìn)行整改，給予違法處罰等，以實(shí)現(xiàn)對個(gè)人信息收集和處理行為的監(jiān)管。通過立法賦予統(tǒng)一信息監(jiān)管機(jī)構(gòu)調(diào)查權(quán)、處罰權(quán)、行政拘留權(quán)等權(quán)力，以實(shí)現(xiàn)行政監(jiān)管的自發(fā)性、及時(shí)性、高效性和高靈活性，大大縮短信息主體的維權(quán)時(shí)間和成本。再次，統(tǒng)一行政監(jiān)管機(jī)構(gòu)應(yīng)具有宣傳及教育職能。介于加強(qiáng)企業(yè)和個(gè)人對信息保護(hù)的法律意識十分重要，從全球行政改革的大趨勢來看，信息管理者有很強(qiáng)的信息利用激勵(lì)，但缺乏同等程度的保護(hù)激勵(lì)，如果法律規(guī)則不能以情況為導(dǎo)向，而只是強(qiáng)加各種禁止或強(qiáng)制性規(guī)定，則必然會(huì)因激勵(lì)不相容而影響法律的有效實(shí)施[2]5。因此，通過統(tǒng)一信息監(jiān)管機(jī)構(gòu)對企業(yè)、個(gè)人進(jìn)行信息保護(hù)意識的引導(dǎo)和強(qiáng)化，可逐步樹立起全民對信息保護(hù)的自覺意識[注]參見：《一般數(shù)據(jù)保護(hù)條例》第57條：(b)在其管轄范圍內(nèi)，每個(gè)監(jiān)管機(jī)構(gòu)應(yīng)當(dāng)提高公眾意識,對和處理相關(guān)的風(fēng)險(xiǎn)、規(guī)則、安全保障和權(quán)利的理解.對針對兒童的活動(dòng)保持特別注意。2018年5月25日。，幫助公民、法人、政府單位等主體樹立個(gè)人信息保護(hù)正確意識，促生個(gè)人信息保護(hù)的內(nèi)部激勵(lì)機(jī)制。在大數(shù)據(jù)高速發(fā)展的信息社會(huì)中，個(gè)人數(shù)據(jù)不僅具有人格屬性，也具有財(cái)產(chǎn)屬性，信息控制者對個(gè)人信息的商業(yè)化利用往往伴隨著用戶信息被泄露和侵害的風(fēng)險(xiǎn)，侵權(quán)行為會(huì)造成信息主體的人格權(quán)及財(cái)產(chǎn)權(quán)的雙重?fù)p害，在這一社會(huì)階段，積極發(fā)揮行政部門監(jiān)管優(yōu)勢，以彌補(bǔ)其他個(gè)人信息保護(hù)方式的空缺與局限成為當(dāng)務(wù)之急。

3.適時(shí)出臺(tái)專門的個(gè)人信息保護(hù)法

如今，世界各國對出臺(tái)個(gè)人信息保護(hù)相關(guān)法律呼聲漸高，在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展上升到國家戰(zhàn)略高度的今天，對個(gè)人信息使用應(yīng)納入到更加規(guī)范的信息流通和處理利用模式當(dāng)中。我國個(gè)人信息保護(hù)的規(guī)定分散于各法律、行政法規(guī)及規(guī)章、國家行業(yè)規(guī)范中，過于原則化和缺乏義務(wù)性規(guī)定，難以充分保護(hù)個(gè)人信息權(quán)利，導(dǎo)致我國對個(gè)人信息保護(hù)的效果大打折扣。為此，我國設(shè)立專門的《個(gè)人信息保護(hù)法》是未來發(fā)展趨勢，也是大數(shù)據(jù)時(shí)代發(fā)展的要求。對于設(shè)定專門的個(gè)人信息保護(hù)法，應(yīng)將下列幾點(diǎn)考慮其中：

首先，應(yīng)完善信息主體權(quán)利保護(hù)機(jī)制。個(gè)人信息保護(hù)法應(yīng)注重對信息主體的權(quán)利明示，將個(gè)人信息權(quán)利以列舉加概括的方式呈現(xiàn)：一方面，列舉模式可以闡明個(gè)人信息主體現(xiàn)階段享有的知情權(quán)、同意權(quán)、糾正權(quán)、訪問權(quán)等基本性權(quán)利，考慮到大數(shù)據(jù)的流通及利用必要性，應(yīng)同時(shí)規(guī)定信息主體僅在其關(guān)鍵信息上享有被遺忘權(quán)和拒絕權(quán)；另一方面，概括式的表述也便于以后在個(gè)人信息保護(hù)領(lǐng)域的基礎(chǔ)上，根據(jù)大數(shù)據(jù)時(shí)代發(fā)展的變化，對法條加以解釋，以保障法律符合時(shí)代變化的需要。其次，對信息控制者、信息處理者的責(zé)任加以嚴(yán)格規(guī)定，對二者內(nèi)部的制度設(shè)立提出法律要求，要求信息控制者和信息處理者在對信息進(jìn)行處理時(shí)，具備相應(yīng)的制度設(shè)立或者信息處理流程，以促進(jìn)信息控制者和處理者內(nèi)部激勵(lì)制度發(fā)展，完善和加強(qiáng)其對信息的保護(hù)力度。結(jié)構(gòu)決定功能，有效的結(jié)構(gòu)將促使信息控制者自發(fā)積極地完善其體系，使個(gè)人信息保護(hù)成為其內(nèi)生機(jī)制。個(gè)人信息保護(hù)法應(yīng)明確要求信息控制者設(shè)立專門機(jī)構(gòu)或聘請有資質(zhì)的人員，專門從事對個(gè)人信息保護(hù)的重大決策討論、風(fēng)險(xiǎn)評估、政策制定、接待投訴、業(yè)務(wù)培訓(xùn)等工作，該機(jī)構(gòu)或人員應(yīng)獨(dú)立履行職責(zé)，直接對內(nèi)部最高層負(fù)責(zé)，確保信息保護(hù)工作落到實(shí)處[2]15。再次，對司法救濟(jì)和其他救濟(jì)模式予以設(shè)定，明確司法救濟(jì)和其他救濟(jì)方式的適用和補(bǔ)充情形，確立信息主體向信息監(jiān)管行政機(jī)構(gòu)進(jìn)行申訴的同時(shí)，始終享有司法救濟(jì)的權(quán)利，并且規(guī)定個(gè)人信息保護(hù)主體尋求救濟(jì)時(shí)各個(gè)程序階段的時(shí)間限制，以保障信息主體尋求救濟(jì)時(shí)對救濟(jì)行為的可預(yù)測性及可選擇性，這不僅保障了信息主體享有雙重的救濟(jì)渠道，還對行政監(jiān)管機(jī)構(gòu)形成了潛在的監(jiān)督機(jī)制。在司法救濟(jì)中，考慮到信息主體與信息控制者之間地位和資本上的巨大差異，應(yīng)改變原有“誰主張誰舉證”的原則。信息主體收集證據(jù)的資金、技術(shù)等能力有限，難以與信息控制者對抗，轉(zhuǎn)而建立信息控制者承擔(dān)舉證責(zé)任制度，在個(gè)人信息保護(hù)問題上采取舉證責(zé)任倒置原則，由信息控制者證明其處理信息行為的合法性及合理性，將更能推動(dòng)司法救濟(jì)對于個(gè)人信息維權(quán)的積極作用。

4.建立健全信息追溯體系及跨境審查制度

大數(shù)據(jù)的廣泛利用，使得網(wǎng)絡(luò)攻擊者的水平也在日益提升，原有信息保護(hù)技術(shù)產(chǎn)生了一定局限性。當(dāng)前，自然人對于個(gè)人信息被泄露或被侵害的維權(quán)過程較難，面臨著侵權(quán)主體無法確定，難以對侵權(quán)行為進(jìn)行取證，以及難以衡量信息受侵害程度等問題，由于信息處理主體的多元化和信息處理過程的復(fù)雜化，導(dǎo)致信息侵權(quán)主體可能為個(gè)人、企業(yè)或政府機(jī)構(gòu)等，信息侵權(quán)行為可能發(fā)生在信息的收集、使用、轉(zhuǎn)移等過程中。要解決這些問題，應(yīng)以信息記錄為基礎(chǔ)構(gòu)建追溯體系平臺(tái)，建立以大數(shù)據(jù)使用記錄為基礎(chǔ)的追溯體系。對于政府和企業(yè)，應(yīng)針對大數(shù)據(jù)時(shí)代下個(gè)人信息易被侵權(quán)的模式，努力提高技術(shù)層面的保護(hù)措施，開發(fā)大數(shù)據(jù)信息收集、使用、儲(chǔ)存、流轉(zhuǎn)等環(huán)節(jié)的信息處理記錄體系，實(shí)現(xiàn)每個(gè)信息控制者處理信息的活動(dòng)得到完整記錄，包括信息處理主體的詳細(xì)信息，處理信息的目的，信息處理主體的類別，轉(zhuǎn)移至第三國家的收件人等。有了詳細(xì)的信息收集、存儲(chǔ)、使用、(跨境)轉(zhuǎn)移等過程的記錄，可以有效建立起信息處理主體及過程的追溯機(jī)制，在每個(gè)環(huán)節(jié)都能有據(jù)可循，不僅有利于被侵權(quán)人迅速定位到具體侵權(quán)主體和侵權(quán)行為發(fā)生的環(huán)節(jié)，減少訴訟成本，一定程度上也能促使信息控制者重視內(nèi)部治理和行為模式，增強(qiáng)對個(gè)人信息的保護(hù)意識，促進(jìn)其內(nèi)部信息保護(hù)機(jī)制的建立與完善。

隨著大數(shù)據(jù)時(shí)代的來臨，為給人工智能的發(fā)展創(chuàng)造出良好環(huán)境，國際社會(huì)對個(gè)人信息的重視程度大大提升，從美國擬定的《消費(fèi)者隱私權(quán)利法案》、日本修訂的《個(gè)人信息保護(hù)法》，到歐盟頒布的《一般數(shù)據(jù)保護(hù)條例》等各國對個(gè)人信息保護(hù)出臺(tái)的專門法律來看，在大數(shù)據(jù)時(shí)代，個(gè)人信息尤其是特殊隱私信息，在國家安全和經(jīng)濟(jì)發(fā)展中起著至關(guān)重要的作用，為適應(yīng)國際趨勢和我國國家安全及社會(huì)發(fā)展需求，我們需要認(rèn)識到跨境信息保護(hù)的重要性。

我國《信息安全技術(shù)個(gè)人信息安全規(guī)范》對個(gè)人敏感信息定義為，泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，容易導(dǎo)致個(gè)人聲譽(yù)、身心健康受損或歧視性待遇，但作為國家標(biāo)準(zhǔn)，該定義并無強(qiáng)制性的法律約束力。我國可以將帶有民族性、地域性、基因信息、健康狀況信息、與財(cái)產(chǎn)有關(guān)賬戶信息等個(gè)人敏感信息以法律形式確定下來，尤其在信息跨境傳輸問題上，訂立審慎原則，嚴(yán)格審查特殊信息是否可以跨境流轉(zhuǎn)，或者將個(gè)人信息匿名處理后確認(rèn)無法被恢復(fù)倒推的情況下再允許跨境傳輸。這樣的審慎審查原則有利于防止我國特殊個(gè)人信息被境外不法機(jī)構(gòu)進(jìn)行“數(shù)據(jù)畫像”[注]根據(jù)歐盟《一般數(shù)據(jù)保護(hù)條例》，“數(shù)據(jù)畫像”是指任何通過自動(dòng)化方式處理數(shù)據(jù)來專門分析預(yù)測個(gè)人特定的健康、經(jīng)濟(jì)、偏好、位置等私人信息。2018年5月25日。。在建立跨境信息處理審慎原則的同時(shí)，再配套具體的法律操作、違法后果及處罰，以較小的審查成本，達(dá)到極大降低個(gè)人信息被境外不法分子利用從而損害本國利益的可能性，在數(shù)據(jù)技術(shù)與全球網(wǎng)絡(luò)的發(fā)展下，將利于維持境內(nèi)嚴(yán)格保護(hù)個(gè)人信息的成果。

四、結(jié)語

大數(shù)據(jù)時(shí)代，數(shù)據(jù)的流通已是全球發(fā)展的趨勢，信息安全受到了來自各方的威脅，海量的個(gè)人信息可能被大數(shù)據(jù)處理分析，得出涉及國家政治、經(jīng)濟(jì)等方面的保密數(shù)據(jù)，因而個(gè)人信息安全不僅關(guān)系到信息主體的人格權(quán)及財(cái)產(chǎn)權(quán)，也與國家安全密不可分。目前，中國處于個(gè)人信息保護(hù)的早期階段，個(gè)人信息保護(hù)的治理規(guī)則也應(yīng)該建立在中國的制度和發(fā)展基礎(chǔ)上，不應(yīng)盲目跟從，在借鑒歐美法律設(shè)立經(jīng)驗(yàn)時(shí)，也應(yīng)綜合考慮法律、政策、科技、倫理道德等因素：立法上完善我國上位法規(guī)定的缺失，在未來時(shí)機(jī)成熟時(shí)以成文法形式確立個(gè)人信息權(quán)利的保護(hù)機(jī)制；國家行政管理上著手建立統(tǒng)一行政監(jiān)管機(jī)構(gòu)，綜合治理及監(jiān)督使用、處理個(gè)人信息的行為；救濟(jì)方式上，從國家行政監(jiān)管機(jī)構(gòu)主動(dòng)監(jiān)管到信息主體尋求行政機(jī)關(guān)救濟(jì)或司法救濟(jì)層面，分別進(jìn)行完善，以保障在大數(shù)據(jù)技術(shù)發(fā)展的同時(shí)，我國個(gè)人信息主體的權(quán)利得到最大化保障。然而，個(gè)人信息保護(hù)相關(guān)立法和制度達(dá)到成熟不僅需要一個(gè)漫長的時(shí)期，還需要不斷推進(jìn)符合時(shí)代要求的改革創(chuàng)新等，更重要的是要讓信息保護(hù)的理念深入每個(gè)自然人、企業(yè)法人和政府部門當(dāng)中，這需要加強(qiáng)對公民保護(hù)個(gè)人信息意識的宣傳力度，強(qiáng)化企業(yè)法人對信息保護(hù)的內(nèi)生激勵(lì)機(jī)制，轉(zhuǎn)變政府部門對個(gè)人信息處理及管理理念，還需要不斷完善個(gè)人信息保護(hù)法治理念和借鑒國際先進(jìn)立法經(jīng)驗(yàn)與實(shí)踐成果。只有緊跟數(shù)據(jù)化時(shí)代和人工智能時(shí)代的步伐，才能使我國更好地維護(hù)公民的個(gè)人信息安全，成為個(gè)人信息保護(hù)和利用的強(qiáng)國。