劉雪婷

(邵陽學院 政法學院， 湖南 邵陽 422000)

隨著“網(wǎng)絡(luò)+”時代的來臨，各項信息技術(shù)飛速發(fā)展，數(shù)據(jù)的收集、挖掘與應(yīng)用和我們的日常生活、工作息息相關(guān)，個人數(shù)據(jù)被海量收集、處理、儲存[1]。在信息化的大背景下，個人信息安全常常面臨各種危機，個人信息的泄露更是屢見不鮮。我國個人信息專門立法仍然缺位，使得每個人都幾乎處在“裸奔”狀態(tài)，個人信息保護在實踐中判決難、執(zhí)行難的境況時有發(fā)生。對事實的技術(shù)界定、法律適用、利益關(guān)聯(lián)等問題，都困擾著社會各界。如何在推動、保障數(shù)字經(jīng)濟發(fā)展的同時，完善對個人信息的法律保護，進而在數(shù)據(jù)充分賦能和個人信息保護間實現(xiàn)平衡，是社會各界高度關(guān)注的問題。十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》(下稱《民法典》)把這一問題的解決向前推進了一大步，而我國有關(guān)個人信息保護的專門立法也呼之欲出。但基于個人信息保護領(lǐng)域的強綜合性，其邊界定位、技法相適、實踐融合等諸多問題，仍值得商榷。

一、個人信息保護的國內(nèi)外立法現(xiàn)狀

目前，美國、俄羅斯、歐盟等國家或地區(qū)根據(jù)自己的實際情況，都建立起了符合本國或本地區(qū)實情的個人信息數(shù)據(jù)保護模式。美國在個人數(shù)據(jù)保護方面立法態(tài)度較為保守，未頒布專門針對個人數(shù)據(jù)保護的法律法規(guī)，主要依靠企業(yè)自身力量及行業(yè)自律維護個人數(shù)據(jù)安全，但2018年美國《加利福尼亞州消費者隱私法案》的頒布顯示美國已開始走上普遍適用的數(shù)據(jù)保護法規(guī)之路[2]。歐盟則根據(jù)本地區(qū)的歷史文化傳統(tǒng)，賦予每一個人都應(yīng)該享有個人數(shù)據(jù)的基本人權(quán)，持較為嚴格的立法態(tài)度，其2016年通過、2018年生效的《一般數(shù)據(jù)保護條例》堪稱“史上最嚴個人數(shù)據(jù)保護條例”。俄羅斯對于個人數(shù)據(jù)保護則具有濃厚的地域性地點，規(guī)定俄羅斯公民數(shù)據(jù)信息的共享和傳播以俄羅斯境內(nèi)為限，試圖通過封閉式立法以保護本國公民個人數(shù)據(jù)安全。

在我國，個人信息保護立法一直處在分散立法的狀態(tài)?！睹穹ǖ洹返谝话僖皇粭l、第一百二十七條及第四編第六章(第一千零三十二至一千零三十九條)的系列規(guī)定，在強化對公民隱私權(quán)和個人信息保護的同時，也對數(shù)據(jù)權(quán)屬及與數(shù)據(jù)相關(guān)行為作出了一定規(guī)定，呼應(yīng)了互聯(lián)網(wǎng)時代的發(fā)展要求，也為我國數(shù)字經(jīng)濟的發(fā)展起到了規(guī)范和引領(lǐng)作用[3]，這是一大進步。但個人信息保護立法目前仍顯散亂。2012年9月8日，《光明日報》曾刊發(fā)專家文章介紹，我國目前針對個人信息的法律法規(guī)并不少，有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及個人信息保護，但相關(guān)保護條款內(nèi)容不集中、闡述不清晰、適用不明確、范圍受局限、處罰不具體，因而可操作性差[4]。個人信息保護仍是一個需要從多方面、多角度深入思考與探討的問題。

在立法理念方面，主流觀點強調(diào)以強制力為保障的立法保護不可取代。有學者認為應(yīng)從私權(quán)利角度保護個人信息，這樣有利于調(diào)動個體的積極性，促使信息主體積極主動地維護自身合法權(quán)益。也有學者認為應(yīng)從公法角度考慮，把大數(shù)據(jù)時代下的個人數(shù)據(jù)看作公共物品，設(shè)立專門的行政機關(guān)來進行信息管理，從而發(fā)揮政府在保護社會公共利益方面的作用[5]。學界目前從被遺忘權(quán)、隱私權(quán)、數(shù)據(jù)流動的長臂管轄等多個角度對個人信息數(shù)據(jù)保護有過諸多探討，這些觀點都有其可取之處，但大多屬于以點見面，從細處探討其保護規(guī)則和方法，鮮涉及專門性立法需要考慮其融合性的問題。個人信息保護法已列入本屆全國人大常委會立法規(guī)劃之中，并出現(xiàn)在全國人大常委會工作報告的下一步主要工作安排中，可見在我國對于個人信息保護需要專門立法已成為主流共識。本文從多視角對個人信息數(shù)據(jù)立法保護進行探討，思考如何從整體架構(gòu)層次實現(xiàn)其兼容。

二、個人信息立法保護的多視角思考

從20世紀90年代末開始，國內(nèi)便有對個人信息保護的研究，專家學者、社會人士多次呼吁要進行專門性立法規(guī)范此領(lǐng)域的諸多問題。個人信息保護法已列入全國人大常委會2020年的立法規(guī)劃中，但至今仍無一份正式版草案現(xiàn)世。

從專門性法律的角度而言，個人信息保護具有涉及時空跨度大，所涉政治、經(jīng)濟、科學技術(shù)等行業(yè)、專業(yè)領(lǐng)域廣，與各學科各領(lǐng)域的交叉多，條文的著述和闡釋呈現(xiàn)困難較多的特征，在滿足法制剛性需求的同時，專門立法需要更加重視多視角研究。

(一)法律對個人信息及隱私權(quán)的界定

《民法典》第四編第六章隱私權(quán)和個人信息保護中對個人信息和隱私做了明確的定義，這是我國法律第一次明確界定“個人信息”和“隱私權(quán)”，具有開創(chuàng)性的意義?！睹穹ǖ洹返谝磺Я闳臈l規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”第一千零三十二條規(guī)定：“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息?！蓖瑫r，第一千零三十四條還明確了個人信息和隱私權(quán)的適用：“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定?！?/p>

(二)個人信息保護的邊界定位

探討的關(guān)鍵點之一在于邊界定位，即對涉及的相關(guān)領(lǐng)域如何做到“恰如其分”。個人信息保護法應(yīng)當是一部個人信息領(lǐng)域的專門性法律，作為個人信息法律的整體架構(gòu)而存在，不是“個人信息侵權(quán)的民商法”，也不是“侵犯個人信息罪的刑法”，更不是針對技術(shù)發(fā)展、實際應(yīng)用的“信息數(shù)據(jù)國家標準”，而是個人信息保護的立法。其既不能越界成為“技術(shù)標準”或“政策指標”；也不能為一時的社會、經(jīng)濟發(fā)展讓步而枉顧信息安全，或是一味追求信息安全，為保障安全性和隱私性而架設(shè)層層障礙，影響正常的數(shù)據(jù)流通；更不能忽略社會和科技的發(fā)展速度、發(fā)展趨勢，只考慮現(xiàn)在的情況，解決目前的問題，使法“出臺即滯后”。同時，要考慮我國個人信息保護相關(guān)的法律法條分散在各個法律法規(guī)中的實際情況，避免重復(fù)性立法。

目前我國規(guī)制個人信息保護的法律散見于憲法、民法、刑法、網(wǎng)絡(luò)安全法等不同規(guī)定中，但這并不意味著個人信息保護的專門立法沒有任何依據(jù)。憲法中的“國家尊重和保障人權(quán)”“公民的人格尊嚴不受侵犯”“公民享有通信自由和通信秘密的權(quán)利”等內(nèi)容即為我國個人信息保護立法的憲法基礎(chǔ)。2009年，我國《刑法修正案(七)》已將非法交易、非法獲取公民個人信息的行為納入規(guī)制范疇；2015年，我國《刑法修正案(九)》擴大了非法獲取公民個人信息罪的犯罪主體和個人信息侵權(quán)行為的范圍；2013年，我國《消費者權(quán)益保護法》的修訂增加了“享有個人信息依法得到保護的權(quán)利”；2017年，我國《網(wǎng)絡(luò)安全法》規(guī)定了信息主體的刪除或者更正權(quán)。加上我國《民法典》第四編第六章對個人信息保護的基本規(guī)定，個人信息保護的頂層設(shè)計已經(jīng)打下基礎(chǔ)。個人信息保護領(lǐng)域并非一片空白，只是缺乏高層次、專門性的架構(gòu)法律。本領(lǐng)域立法應(yīng)以憲法相關(guān)條款為基礎(chǔ)，立足于個人信息保護全領(lǐng)域的高度，構(gòu)建其整體框架。

本文認為，個人信息保護立法的邊界定位應(yīng)當注重以下幾個方面：

(1)立法整體架構(gòu)應(yīng)以保護個人人格權(quán)和財產(chǎn)權(quán)為基本出發(fā)點，適應(yīng)時代需求和人的基本需求，從技術(shù)進步路徑入手，基于現(xiàn)實、著眼未來，進行高適應(yīng)性的高層整體規(guī)劃設(shè)計，即盡可能避免立法滯后性，為技術(shù)和社會發(fā)展預(yù)留足夠的框架空間，注重立法的未來適時性。

(2)具體立法應(yīng)當注重界定技術(shù)進步、社會需求的自然取用數(shù)據(jù)和行業(yè)通用做法的社會屬性與個人信息隱私權(quán)屬的邊界，即行業(yè)實用需要與個人權(quán)益保護相適的融合性。

(3)立法應(yīng)當對個人事先申明的權(quán)屬要求與行業(yè)應(yīng)用數(shù)據(jù)法規(guī)手續(xù)的備份有明確的基本規(guī)范和相應(yīng)的細則規(guī)定。

(4)對于數(shù)據(jù)使用、特別是“現(xiàn)實+網(wǎng)絡(luò)”多重數(shù)據(jù)使用的事前、事后的應(yīng)用和刪除、存儲、流轉(zhuǎn)、共享等方面，應(yīng)當有限制性、規(guī)范性的界定及解釋性規(guī)定。

(5)在現(xiàn)有的諸多分散法條基礎(chǔ)之上，對效力較低或規(guī)定較模糊、不利于實踐適用的條款進行效力確定和明確規(guī)范(如對我國《民法典》第六章所涉內(nèi)容從個人信息保護專門法的角度進行明確、詳細的界定)，避免條款適用時的沖突性，明確法條指向性，使個人信息保護落在司法實踐上。

(三)技術(shù)與法條的相適性

在大數(shù)據(jù)這一時代背景下，個人信息保護與技術(shù)息息相關(guān)。脫離數(shù)據(jù)技術(shù)談立法只會是一紙空談，不管法律規(guī)范只管技術(shù)亦不可行。在技術(shù)飛速發(fā)展而法律仍有空缺的情況下，對個人信息數(shù)據(jù)的侵犯、濫用時有發(fā)生?；ヂ?lián)網(wǎng)企業(yè)越界索取用戶授權(quán)行為與違規(guī)收集、使用、私自共享用戶個人信息的事情比比皆是，網(wǎng)絡(luò)用戶的個人信息仍不斷地從網(wǎng)絡(luò)平臺等多種渠道(尤其是各行各業(yè)的應(yīng)用程序App)泄露，致使網(wǎng)絡(luò)用戶產(chǎn)生無可預(yù)估的重大潛在危害風險或有可能造成不同程度的嚴重后果[6]。這都是由技術(shù)未被限制、權(quán)利被濫用所導(dǎo)致的。

當前，2017年出臺的《信息安全技術(shù)個人信息安全規(guī)范》、2016年出臺的《網(wǎng)絡(luò)安全法》、2013年出臺的《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、2012年出臺的《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，以及已納入第十三屆全國人大常委會公布立法規(guī)劃的《中華人民共和國數(shù)據(jù)安全(草案)》等諸多相關(guān)法律法規(guī)都或多或少對相關(guān)技術(shù)有所規(guī)范，但都只是涉及領(lǐng)域的某一部分或整個個人信息數(shù)據(jù)流轉(zhuǎn)中的一部分技術(shù)，一些法律法規(guī)在實際應(yīng)用中也時有沖突，難以應(yīng)用自如。我國新出臺的《民法典》雖然有專門一章涉及個人信息，但也只是完成了頂層架構(gòu)的尖頂勾勒部分，對某幾個基本點有了一個較明確的規(guī)范，離整體架構(gòu)的完成還很遠。

在思考對個人信息保護的立法時，我們要重點考慮技術(shù)與法條的相適性，避免涉及技術(shù)問題的法律法規(guī)成為無法應(yīng)用到實踐層面的“空文”。本文認為，個人信息保護法的條文應(yīng)當有明確軟件設(shè)計、應(yīng)用、存儲、流轉(zhuǎn)等數(shù)據(jù)使用的事前、事后所涉及技術(shù)的禁止性規(guī)范，使保護個人信息安全使用的技術(shù)設(shè)置成為技術(shù)開發(fā)、設(shè)計的常態(tài)，達到以法律規(guī)范引導(dǎo)技術(shù)良性發(fā)展，以技術(shù)規(guī)范實現(xiàn)安全保護的目的。

(四)安全與發(fā)展的兼容性

隨著國務(wù)院《促進大數(shù)據(jù)發(fā)展行動綱要》、工信部《大數(shù)據(jù)產(chǎn)業(yè)發(fā)展規(guī)劃(2016—2019)》等一批文件的出臺，大數(shù)據(jù)智能化的發(fā)展已然被提升為國家戰(zhàn)略。李克強總理在《2019年政府工作報告中》著重強調(diào)了人工智能技術(shù)的發(fā)展以及數(shù)字經(jīng)濟的壯大，可見我國大數(shù)據(jù)智能化產(chǎn)業(yè)已成為經(jīng)濟社會發(fā)展的一大助力[7]。在注重發(fā)展需要的同時，也不能忽視個人信息的安全性。

目前國內(nèi)對加強個人信息的保護呼聲很高，這是個人信息保護的必然要求，是大數(shù)據(jù)時代的必然趨勢，也是個人信息保護專門立法的時機所在。個人信息的安全性既是技術(shù)上的要求，也是法律上的要求。因而不少學者認為，安全性才是立法的首要考慮，為此可以舍棄大數(shù)據(jù)的一部分便捷性。而互聯(lián)網(wǎng)企業(yè)存在追求商業(yè)利益最大化傾向，試圖加強數(shù)據(jù)使用的便捷性，為此，哪怕犧牲用戶的一部分數(shù)據(jù)安全也在所不惜。如百度創(chuàng)始人李彥宏2018年3月參加中國發(fā)展高峰論壇時對用戶個人數(shù)據(jù)授權(quán)的態(tài)度：“中國人更加開放，或者說對于隱私問題沒有那么敏感，很多情況下他們愿意用隱私交換便捷性或效率?！盵8]

數(shù)據(jù)安全與企業(yè)發(fā)展的矛盾沖突已被社會各界注意到。過分保護個人信息會提高數(shù)據(jù)產(chǎn)品成本，影響相關(guān)企業(yè)的生存和發(fā)展，對社會發(fā)展的進程亦會產(chǎn)生影響；而一味鼓勵相關(guān)產(chǎn)業(yè)發(fā)展則容易忽略保障個人基本權(quán)利，造成本末倒置的局面[9]。為解決上述困境，有學者提出兩頭強化，即“強化個人敏感信息的保護”和“強化個人一般信息的利用”，以期最大限度調(diào)和個人信息保護與企業(yè)利用的矛盾[10]。而數(shù)據(jù)從業(yè)者則尋求通過技術(shù)途徑解決問題，即通過對個人信息匿名化保護公民隱私[9]。這似乎是一種解決方法，可以解決一部分個人信息數(shù)據(jù)不被隨意、過分泄露的問題。但這一技術(shù)容易成為違法犯罪者的規(guī)避手段，在應(yīng)用中如何把握好這個尺度，又成了新的問題。

基于以上種種，個人信息保護法需要更加注重對安全與發(fā)展的兼容性，以整體眼光看個人信息保護問題，避免激化矛盾，產(chǎn)生促使企業(yè)為求發(fā)展而想方設(shè)法進行規(guī)避的反作用。本文認為，個人信息保護法應(yīng)當以條文明確行業(yè)通用數(shù)據(jù)、個人特用數(shù)據(jù)、為社會公共利益特定用途(如教學用途)數(shù)據(jù)的區(qū)別及法律權(quán)屬，使不同區(qū)域、不同行業(yè)、不同用途的信息數(shù)據(jù)得以明確規(guī)范，使信息數(shù)據(jù)的屬性需求與技術(shù)相適。

(五)路徑融合的可操作性

法律條文、規(guī)章制度要能落到實處，適用于實踐當中，才是真正的“規(guī)則”，否則只是一紙空文。個人信息保護立法在整體架構(gòu)的框架上，必須考慮與技術(shù)的相適性，避免被技術(shù)所架空；也必須考慮安全與發(fā)展的兼容性，防止被發(fā)展的需求所規(guī)避；同時還必須考慮與現(xiàn)有法律法規(guī)、行政政策的相融性，尤其是與司法、執(zhí)法、守法的相融。綜合而論，是要使其具有可操作性。

目前我國并不存在明確的個人信息保護機構(gòu)。以個人收支信息為例，個人的收入支出信息分散在不同的部門、不同的平臺、不同的系統(tǒng)當中，涉稅信息的保護機構(gòu)是稅務(wù)機關(guān)，公共交通信息的保護機構(gòu)是交通部門及網(wǎng)購交通的電子交易平臺，而消費信息的保護機構(gòu)又是工商行政部門。在數(shù)據(jù)大流通和大融合的當下，很難確保被泄露或不正當使用的信息僅為某種單一類型的，此時便出現(xiàn)了執(zhí)法重疊和執(zhí)法空白，而執(zhí)法標準也很難統(tǒng)一。執(zhí)法若無法進行，保護也只是一個口號。在個人信息保護法律制度構(gòu)建中，這是必須考慮和解決的一個重要問題。

個人信息涉及信息主體和信息使用、流轉(zhuǎn)、留存相關(guān)方。信息主體即個人，其享有對其自我信息處置的權(quán)利，且有權(quán)反對他方對本人信息實施的自動化處理及所附帶的營銷、推廣等[11]。這一點在2018年歐盟的《一般數(shù)據(jù)保護條例》中即有明確規(guī)定：信息主體享有以合理理由拒絕信息使用者處理其信息的權(quán)利；享有反對數(shù)據(jù)控制者為銷售等目的向其他任何第三方披露數(shù)據(jù)的權(quán)利?？梢娦畔⒅黧w應(yīng)當是個人信息數(shù)據(jù)的主要方、主導(dǎo)者和主要權(quán)利者，應(yīng)當占據(jù)主要地位。但在我國，信息主體在個人信息保護方面卻因大數(shù)據(jù)的迅猛發(fā)展、互聯(lián)網(wǎng)企業(yè)的龐大、法律的缺位而處在一個較為弱勢的地位。而個人信息的使用、流轉(zhuǎn)、留存相關(guān)方往往較信息主體更強勢，且各方互有關(guān)聯(lián)，更需要有所約束。在立法或者司法實踐中，對信息主體信息權(quán)利的尊重和保護應(yīng)當是可通過法律制度的建設(shè)實現(xiàn)的。

本文認為，實現(xiàn)的路徑可以從以下幾方面考慮：

(1)對涉及個人信息數(shù)據(jù)使用、流轉(zhuǎn)、留存的相關(guān)方，應(yīng)當進行綜合性規(guī)范，同時將行業(yè)規(guī)范與軟件設(shè)計相結(jié)合，使數(shù)據(jù)使用的整體安全性從技術(shù)性上得以保證。

(2)對于流轉(zhuǎn)過程中涉及的個人信息數(shù)據(jù)，相關(guān)方在應(yīng)用界面的事前承諾與被收集數(shù)據(jù)的事后處置應(yīng)當具有一致性，從靜態(tài)風險控制方面降低數(shù)據(jù)事后泄露的危險。

(3)對相關(guān)方以高位法、具體條款的形式作出要求，應(yīng)當使數(shù)據(jù)提交與存儲、流轉(zhuǎn)、刪除等過程的技術(shù)設(shè)計在整體架構(gòu)上相融，減少個人信息數(shù)據(jù)應(yīng)用中的個人信息安全問題。

(4)在個人信息保護的司法、執(zhí)法、守法方面，以條文明確信息主體的信息權(quán)利，增強信息主體在信息授權(quán)之后保有的拒絕或撤銷權(quán)利。

三、結(jié)語

綜上所述，本文認為對個人信息的立法保護需要進行多視角的思考研究，既要充分考慮本土文化、國情，更要適應(yīng)時代發(fā)展，從整體架構(gòu)的高層設(shè)計到條文著述、司法闡釋都應(yīng)有明確的邊界定位和技術(shù)規(guī)范要求。同時，要將個人人格權(quán)與財產(chǎn)權(quán)的權(quán)益保障融入技術(shù)進步的設(shè)置中，對數(shù)據(jù)信息進行規(guī)范使用，促進行業(yè)發(fā)展與社會發(fā)展，提升人們的生活品質(zhì)。