管洪博

(中國(guó)政法大學(xué) 網(wǎng)絡(luò)法學(xué)研究院，北京 100088)

數(shù)字經(jīng)濟(jì)下，個(gè)人信息已經(jīng)成為重要的生產(chǎn)資料,通過對(duì)海量個(gè)人信息的處理，可以獲得更多的知識(shí)與智慧，為社會(huì)創(chuàng)造更大的價(jià)值。但目前我國(guó)個(gè)人信息共享還不發(fā)達(dá),2017年開始，各地成立專業(yè)數(shù)據(jù)共享機(jī)構(gòu)的熱情迅速消減，一直到2020年8月中旬，才又有一家新的大數(shù)據(jù)交易中心揭牌。(1)大數(shù)據(jù)交易行業(yè)重啟與困局：法律的不確定性和難以定價(jià)的數(shù)據(jù),https：//www.sohu.com/a/417118241_161795?qq-pf-to-pcqq.group,最后訪問日期2020年9月16日。究其原因相對(duì)復(fù)雜，關(guān)鍵問題之一在于如何保障個(gè)人信息的共享安全。本文將對(duì)這一問題展開論證。關(guān)于個(gè)人信息共享，我國(guó)立法和學(xué)理上沒有統(tǒng)一的定義。有學(xué)者主張數(shù)據(jù)共享是指數(shù)據(jù)生成或生產(chǎn)出來之后從數(shù)據(jù)控制者到數(shù)據(jù)使用者之間的流動(dòng)，不包括個(gè)人提供給數(shù)據(jù)控制者的情形。(2)參見高富平：《數(shù)據(jù)流通理論數(shù)據(jù)資源權(quán)利配置的基礎(chǔ)》,載《中外法學(xué)》2019年第6期。筆者采納上述觀點(diǎn)。依據(jù)此定義，個(gè)人信息共享一般發(fā)生在企業(yè)之間，不包括企業(yè)向用戶收集個(gè)人信息的階段。(3)王利明教授主張，數(shù)據(jù)共享是數(shù)據(jù)控制者將自己所收集的信息與他人進(jìn)行分享，在數(shù)據(jù)控制者與分享者之間形成一種合同關(guān)系。王利明：《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，載《現(xiàn)代法學(xué)》2019年第1期。筆者贊同上述觀點(diǎn)，數(shù)據(jù)共享的方式,在法律上可以表現(xiàn)為授權(quán)許可，即企業(yè)將數(shù)據(jù)授權(quán)給另一方企業(yè)使用。共享的主體原則上是企業(yè)。(4)對(duì)于政府或具有公共管理職能的企事業(yè)單位，是否可以成為數(shù)據(jù)共享的主體，尚未形成統(tǒng)一的觀點(diǎn)。但可以確定的是，政府與企業(yè)兩者共享的數(shù)據(jù)類型不同。政府或具有公共管理職能的企事業(yè)單位，共享的數(shù)據(jù)是在履行公共管理職能的過程中收集的公共數(shù)據(jù)/政務(wù)數(shù)據(jù)，具有公共利益屬性，其共享規(guī)則需更多的考慮社會(huì)公共利益。而企業(yè)共享的數(shù)據(jù)是在其生產(chǎn)經(jīng)營(yíng)中收集的數(shù)據(jù)，包括經(jīng)營(yíng)數(shù)據(jù)或用戶個(gè)人信息等。本文討論的是企業(yè)對(duì)收集的用戶個(gè)人信息的共享制度。

一、我國(guó)個(gè)人信息共享制度存在的問題

關(guān)于個(gè)人信息共享的相關(guān)規(guī)定，主要體現(xiàn)在《網(wǎng)絡(luò)安全法》第42條與《民法典》第1038條。兩者規(guī)定幾近相同，即未經(jīng)被收集者(自然人)同意，不得向他人提供個(gè)人信息。但是，經(jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的除外。上述規(guī)定確立了我國(guó)個(gè)人信息共享的基礎(chǔ)依據(jù),即自然人的授權(quán)同意或絕對(duì)匿名化，但仍存在一定的模糊性：

第一,缺少對(duì)可共享個(gè)人信息范圍的規(guī)定。個(gè)人信息種類繁多,有些涉及個(gè)人隱私、個(gè)人財(cái)產(chǎn)、公共利益，甚至一些基因信息、地理位置信息與國(guó)家安全也密切相關(guān)。共享中一旦發(fā)生上述信息的泄漏與濫用，不僅威脅到個(gè)人的人身財(cái)產(chǎn)安全，甚至?xí){到公共安全與國(guó)家利益。因此需要在法律上明確界定可以共享的個(gè)人信息范圍。對(duì)于匿名化的個(gè)人信息共享問題，也需具體明確匿名化的程度或條件。主要是因?yàn)椤敖?jīng)過處理無法識(shí)別特定個(gè)人且不能復(fù)原的個(gè)人信息”太過絕對(duì)。隨著技術(shù)的發(fā)展,絕對(duì)的“匿名化”可能很難實(shí)現(xiàn)。實(shí)踐中判斷匿名化的標(biāo)準(zhǔn)，需綜合考量具體的場(chǎng)景、數(shù)據(jù)隔離措施、現(xiàn)有技術(shù)能力等因素。

第二，缺少對(duì)接收方能否再次共享個(gè)人信息的規(guī)定。個(gè)人信息多次共享對(duì)發(fā)揮其價(jià)值具有重要意義，但多次共享增加個(gè)人信息泄漏與濫用的風(fēng)險(xiǎn)。這里涉及如何實(shí)現(xiàn)多次共享中用戶對(duì)其個(gè)人信息的可控性、敏感個(gè)人信息的保護(hù)以及發(fā)生數(shù)據(jù)安全事件的追責(zé)等諸多問題。立法上若未明確相關(guān)規(guī)則，既不利于自然人的個(gè)人信息保護(hù),又可能影響企業(yè)共享個(gè)人信息的積極性。

第三，缺少對(duì)“同意形式”的規(guī)定。法律上“同意”的形式很多，可以是明示同意，也可以通過行為推定為“同意”；可以是針對(duì)特定個(gè)人信息作出的單獨(dú)同意，也可以是概括式同意。依據(jù)前述法律規(guī)定，個(gè)人信息共享的前提是獲得被收集者的同意，但具體是何種形式的同意，沒有明確要求。這可能引起共享中關(guān)于同意效力的爭(zhēng)議，即被收集者是否在被充分告知后，作出的真實(shí)意思表示。此外,若每一次超范圍的共享都需經(jīng)過用戶明示同意,也會(huì)干擾用戶的生活，缺少實(shí)踐操作性。

第四，缺少對(duì)違法共享個(gè)人信息的責(zé)任規(guī)定。當(dāng)個(gè)人信息共享侵犯用戶隱私或發(fā)生違約情況時(shí)，對(duì)如何確定共享主體的責(zé)任,如何承擔(dān)責(zé)任等問題，都缺少明確的規(guī)定。此民事責(zé)任的缺位，增加了共享結(jié)果的不確定性。此外，在2017年5月，最高人民法院、最高人民檢察院發(fā)布《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》，規(guī)定了非法獲取、出售或者提供公民個(gè)人信息的定罪量刑標(biāo)準(zhǔn)。此種刑事責(zé)任先行，而民事責(zé)任缺位的情況，在一定程度上不利于鼓勵(lì)企業(yè)共享個(gè)人信息。

二、美國(guó)和歐盟對(duì)個(gè)人信息共享的相關(guān)規(guī)定與評(píng)析

(一)美國(guó)個(gè)人信息共享制度

1.美國(guó)在聯(lián)邦層面上沒有單獨(dú)的個(gè)人信息保護(hù)法，主要是通過隱私權(quán)加上行業(yè)自治的方式保護(hù)公民的個(gè)人信息，其“隱私”一詞常被用來描述個(gè)人信息的權(quán)利。(5)參見Reidenberg,Joel K.Setting Standards for Fair Information Practice in the L.S. Private Sector. Iowa Law Review , Vol. 80, Issue 3 ( May 1995).P498.隱私權(quán)中關(guān)于個(gè)人信息的法律分散在 聯(lián)邦和州的各項(xiàng)法規(guī)中，并且大部分是保護(hù)個(gè)人信息不受政府的不當(dāng)干預(yù)。少數(shù)聯(lián)邦法規(guī)針對(duì)某些特定的行業(yè),規(guī)范了個(gè)人信息共享的行為，例如《聯(lián)邦有線通訊政策法案》規(guī)定了有線運(yùn)營(yíng)商共享個(gè)人信息的法定情形;《司機(jī)隱私保護(hù)法案》規(guī)定了管理機(jī)動(dòng)車的國(guó)家部門可以共享使用與機(jī)動(dòng)車有關(guān)的個(gè)人信息的具體情形等。這些法規(guī)并沒有統(tǒng)一的權(quán)利理論，只是針對(duì)特定行業(yè)的侵權(quán)行為，其保護(hù)范圍也存在顯著差異。這種分散式的立法模式給個(gè)人信息共享規(guī)則帶來一定的不確定性,增加企業(yè)執(zhí)行的難度與合規(guī)成本。與統(tǒng)一的聯(lián)邦立法相比,在一定程度上不利于共享個(gè)人信息的安全。2018年美國(guó)加利福尼亞州發(fā)布《2018消費(fèi)者隱私法案》(CCPA),賦予該州消費(fèi)者新的個(gè)人信息權(quán)利，使人們知曉哪些個(gè)人信息被收集、如何被使用、是否被共享或出售，以及拒絕處理其個(gè)人信息的權(quán)利。其中對(duì)個(gè)人信息共享的相關(guān)規(guī)定，具有一定的借鑒意義。

2.CCPA共享規(guī)則的主要特征。第一,鼓勵(lì)處理數(shù)據(jù)的商業(yè)活動(dòng)。一是明確個(gè)人數(shù)據(jù)可以出售。法案規(guī)定，“出售”“出售中”“銷售”或“已出售”是指企業(yè)以金錢或其他有價(jià)值的對(duì)價(jià)，通過口頭、書面、電子或其他方式，向第三方出售、出租、發(fā)布、披露、傳播、提供、轉(zhuǎn)讓消費(fèi)者的個(gè)人信息。二是規(guī)定“選擇退出”的同意告知方式。CC-PA第1798.120條規(guī)定，(a)對(duì)于向第三方出售其個(gè)人信息的企業(yè),消費(fèi)者有權(quán)隨時(shí)要求其不得出售其個(gè)人信息。該項(xiàng)權(quán)利可以稱為選擇退出的權(quán)利。(b)向第三方出售消費(fèi)者個(gè)人信息的企業(yè)，應(yīng)當(dāng)向消費(fèi)者發(fā)出通知，說明該信息可能被出售，而且消費(fèi)者有權(quán)“選擇退出”出售其個(gè)人信息的行為。三是設(shè)立“經(jīng)濟(jì)激勵(lì)”制度。第1798.125條規(guī)定，企業(yè)可以為收集個(gè)人信息、出售個(gè)人信息或刪除個(gè)人信息提供經(jīng)濟(jì)激勵(lì),包括向消費(fèi)者支付補(bǔ)償金;企業(yè)應(yīng)將經(jīng)濟(jì)激勵(lì)通知消費(fèi)者；只有企業(yè)清楚地描述了經(jīng)濟(jì)激勵(lì)計(jì)劃的實(shí)質(zhì)性條款，消費(fèi)者做出了選擇加入的同意,而且消費(fèi)者可以隨時(shí)撤銷的情況下，企業(yè)才可以讓消費(fèi)者加入經(jīng)濟(jì)激勵(lì)計(jì)劃;企業(yè)不得使用不公正、不合理、脅迫性或具有高利貸性質(zhì)的經(jīng)濟(jì)激勵(lì)措施。

第二，強(qiáng)化消費(fèi)者對(duì)其個(gè)人信息的可控性。一是賦予消費(fèi)者數(shù)據(jù)權(quán)利。CCPA第1798.100條、1798.105條、1798.110條、1798.115條規(guī)定，消費(fèi)者享有查閱權(quán)、數(shù)據(jù)攜帶權(quán)、刪除權(quán)、退出權(quán)、非歧視權(quán)等。二是規(guī)定控制者的披露義務(wù)。第1798.115(a)規(guī)定，對(duì)于出售消費(fèi)者個(gè)人信息或?yàn)樯虡I(yè)目的披露消費(fèi)者個(gè)人信息的企業(yè)，消費(fèi)者有權(quán)要求向消費(fèi)者披露以下信息：(1)收集的個(gè)人信息類別；(2)出售的個(gè)人信息類別，以及根據(jù)個(gè)人信息類別區(qū)分的出售個(gè)人信息的第三方類別；(3)企業(yè)出于商業(yè)目的披露的消費(fèi)者個(gè)人信息類別。(d)第三方不得出售企業(yè)已經(jīng)出售給第三方的消費(fèi)者個(gè)人信息，除非消費(fèi)者已收到明確通知，并有機(jī)會(huì)行使退出權(quán)。三是消費(fèi)者享有訴訟權(quán)利。CCPA第1798.150條規(guī)定，因企業(yè)違反執(zhí)行和維護(hù)與信息性質(zhì)相適應(yīng)的合理安全程序和做法以保護(hù)個(gè)人信息義務(wù),而致使消費(fèi)者的個(gè)人信息受到未經(jīng)授權(quán)的訪問和泄漏、盜竊或披露的，消費(fèi)者可以提起如下民事訴訟，包括主張：100美元到750美元的損害賠償金或?qū)嶋H損害賠償金，以數(shù)額較大者為準(zhǔn);法院發(fā)布禁止令或確認(rèn)賠償請(qǐng)求，或法院認(rèn)為適當(dāng)?shù)娜魏纹渌葷?jì)。法院在評(píng)估法定損害賠償額時(shí)，須考慮案件各方提出的任何一項(xiàng)或多項(xiàng)有關(guān)情況,包括但不限于不當(dāng)行為的性質(zhì)及嚴(yán)重程度、違法行為的數(shù)目、不當(dāng)行為的持續(xù)性、不當(dāng)行為發(fā)生所持續(xù)的時(shí)間長(zhǎng)短，被告不當(dāng)行為的有意性，以及被告的資產(chǎn)、負(fù)債和凈值。

第三，要求企業(yè)與第三方簽訂數(shù)據(jù)安全合同。雖然CCPA沒有強(qiáng)制規(guī)定企業(yè)與第三方需簽訂數(shù)據(jù)保護(hù)合同。但在《2020年加州隱私權(quán)法》(CPRA)，將CCPA的第1798.100(d)修改為，強(qiáng)制企業(yè)與第三方簽訂數(shù)據(jù)安全合同。即企業(yè)收集個(gè)人信息，并向第三方出售或共享該個(gè)人信息,或出于商業(yè)目的向服務(wù)提供商或承包商披露該個(gè)人信息的，應(yīng)當(dāng)與該第三方、服務(wù)提供商或承包商簽訂協(xié)議:(1)明確企業(yè)出售或披露個(gè)人信息僅用于有限或特定的目的;(2)規(guī)定第三方、服務(wù)提供商或承包商遵守本法下的適用義務(wù)，并規(guī)定這些主體提供與本法相同程度的隱私保護(hù)；(3)授權(quán)第三方、服務(wù)提供商或承包商采取合理且適當(dāng)?shù)拇胧?，確保其可以通過符合本法規(guī)定義務(wù)的方式使用所轉(zhuǎn)讓的個(gè)人信息；(4)要求第三方、服務(wù)提供商或承包商在確定其無法再履行本法義務(wù)時(shí)通知企業(yè)；(5)授權(quán)企業(yè)在接到通知后,包括根據(jù)(4)款的規(guī)定，采取合理且適當(dāng)?shù)拇胧?停止未經(jīng)授權(quán)使用個(gè)人信息的行為并作出補(bǔ)償。

第四，規(guī)定“特殊行業(yè)”優(yōu)先適用本行業(yè)規(guī)則。CCPA第1798.145條規(guī)定不適用該法的相關(guān)情況:主要包括《醫(yī)療信息保密法》管轄的醫(yī)療信息、《加州金融信息隱私法》以及《駕駛員隱私保護(hù)法》收集、處理、出售或披露的個(gè)人信息。上述法案并不完全適用“選擇退出”模式，例如《加州金融信息隱私法》(6)參見CALIFORNIA FINANCIAL INFORMATION PRIVACY ACT [ 4050 - 4060],http：//leginfo.legislature.ca.gov/faces/codes_displayText. xhtml? division - 1.4.&lawCode - FIN [ EB/OL] , Last visit time September9, 2020.第4052.5規(guī)定，除本法規(guī)定的特殊情況外，未經(jīng)消費(fèi)者事先明確同意，金融機(jī)構(gòu)不得向任何非關(guān)聯(lián)第三方出售、分享、轉(zhuǎn)移或以其他方式披露非公開個(gè)人信息。

第五，設(shè)立敏感個(gè)人信息的特殊處理規(guī)則。CPRA將CCPA第1798.100增加對(duì)個(gè)人敏感信息的處理規(guī)則。要求企業(yè)收集個(gè)人敏感信息的，擬收集的個(gè)人敏感信息類別和收集或使用該個(gè)人敏感信息類別的目的,以及該信息是否會(huì)被出售或共享。在未向消費(fèi)者提供符合本條規(guī)定的通知情況下，企業(yè)不得收集其他類別的個(gè)人敏感信息或?qū)⑹占膫€(gè)人敏感信息用于與收集個(gè)人敏感信息時(shí)披露的目的不符合的其他目的。同時(shí)將CCPA第1798.135修改為：(2)在企業(yè)網(wǎng)站主頁提供一個(gè)清晰的、明顯的、名稱為“限制使用我的個(gè)人敏感信息”的鏈接,允許消費(fèi)者或消費(fèi)者授權(quán)的代理人限制其個(gè)人敏感信息的使用或披露。

(二)歐盟《一般數(shù)據(jù)保護(hù)條例》的共享規(guī)定

1.《一般數(shù)據(jù)保護(hù)條例》(GDPR)以“選擇進(jìn)入”的同意方式獲得授權(quán)。GDPR的立法目的是保護(hù)個(gè)人數(shù)據(jù)在歐盟境內(nèi)自由流通。GDPR第1條規(guī)定，不得以保護(hù)與處理的個(gè)人數(shù)據(jù)相關(guān)的自然人為由，限制或禁止個(gè)人數(shù)據(jù)在歐盟境內(nèi)的自由流通。GDPR第4條(2)規(guī)定,處理包括收集、記錄、組織、建構(gòu)、存儲(chǔ)、適配或修改、檢索、咨詢、使用、披露、傳播、或其他的利用、排列或組合、限制、刪除或銷毀。由此可以推定,數(shù)據(jù)的共享屬于處理行為。GDPR第6條第1款規(guī)定，處理數(shù)據(jù)的合法情形包括數(shù)據(jù)主體的同意。基于此,GDPR以“選擇進(jìn)入”的方式實(shí)現(xiàn)個(gè)人數(shù)據(jù)在歐盟境內(nèi)的共享。

2.規(guī)定個(gè)人數(shù)據(jù)共享時(shí)需向數(shù)據(jù)主體的告知義務(wù)。GDPR第14條第1款規(guī)定，當(dāng)個(gè)人數(shù)據(jù)并非從數(shù)據(jù)主體處獲取信息時(shí),控制者應(yīng)當(dāng)向數(shù)據(jù)主體告知，主要包括告知控制者身份和聯(lián)系方式，必要時(shí)還要提供其代表人的信息;數(shù)據(jù)保護(hù)局的詳細(xì)聯(lián)系方式;個(gè)人信息處理的目的及法律基礎(chǔ);相關(guān)數(shù)據(jù)的種類;個(gè)人數(shù)據(jù)接收方或者接受方的種類等。

3.明確禁止處理的個(gè)人數(shù)據(jù)類型，同時(shí)賦予成員國(guó)一定權(quán)限。GDPR第9條第1款明確禁止對(duì)下列個(gè)人數(shù)據(jù)進(jìn)行處理:對(duì)顯示種族或民族出身，政治觀點(diǎn)、宗教或哲學(xué)信仰、工會(huì)會(huì)員資格的個(gè)人數(shù)據(jù)進(jìn)行的處理;以識(shí)別特定自然人為目的的對(duì)基因數(shù)據(jù)、生物學(xué)數(shù)據(jù)進(jìn)行的處理;對(duì)健康有關(guān)數(shù)據(jù)或者對(duì)特定自然人的性生活或性取向的數(shù)據(jù)進(jìn)行處理。GDPR第9條第2款規(guī)定前述規(guī)定的10項(xiàng)例外情況，例如:數(shù)據(jù)處理與已經(jīng)由數(shù)據(jù)主體明顯公開的個(gè)人數(shù)據(jù)相關(guān);數(shù)據(jù)處理為法律請(qǐng)求的提出、行使或辯護(hù)所必需或者數(shù)據(jù)處理是法院依據(jù)其司法權(quán)力而作出等。GDPR第9條第4款規(guī)定，成員國(guó)可以就基因數(shù)據(jù)、生物學(xué)數(shù)據(jù)或者健康相關(guān)數(shù)據(jù)的處理保留或者進(jìn)一步限定條件。

4.鼓勵(lì)分場(chǎng)景制定GDPR實(shí)施的行為準(zhǔn)則。GDPR第40條第1款規(guī)定，鼓勵(lì)成員國(guó)、監(jiān)管機(jī)構(gòu)、歐洲數(shù)據(jù)保護(hù)委員會(huì)和歐盟委員會(huì)制定旨在促進(jìn)本條例正確適用的行為準(zhǔn)則，并在制定過程中考慮到各處理行業(yè)的具體特點(diǎn)以及微型、中小型企業(yè)的具體需求。同時(shí)該條第5款要求行為準(zhǔn)則需要報(bào)監(jiān)管部門批準(zhǔn)。

5.建立數(shù)據(jù)保護(hù)影響評(píng)估制度。GDPR第35條第1款規(guī)定，對(duì)數(shù)據(jù)的處理,尤其是運(yùn)用新技術(shù)進(jìn)行處理，考慮到處理的性質(zhì)、范圍、背景和目的，可能對(duì)自然人的權(quán)利和自由產(chǎn)生較高風(fēng)險(xiǎn)，因此在進(jìn)行數(shù)據(jù)處理前，控制者應(yīng)對(duì)擬進(jìn)行的處理操作進(jìn)行個(gè)人數(shù)據(jù)保護(hù)影響評(píng)估。同時(shí)在第7款要求評(píng)估內(nèi)容至少包括對(duì)擬進(jìn)行處理操作的系統(tǒng)描述、處理的必要性和合理性、確保個(gè)人數(shù)據(jù)得到被保護(hù)等。

6.規(guī)定數(shù)據(jù)主體申訴與司法救濟(jì)的權(quán)利。GDPR第77條至第82條規(guī)定數(shù)據(jù)主體對(duì)數(shù)據(jù)處理違反《條例》的行為享有向監(jiān)管機(jī)構(gòu)申訴，以及向法院提起訴訟的權(quán)利。其第82條對(duì)控制者與處理者的責(zé)任進(jìn)行了切分。第82條第2款規(guī)定，參與處理的任何控制者應(yīng)對(duì)本條例的處理行為導(dǎo)致的損害承擔(dān)責(zé)任。處理者僅在其沒有遵守本條例對(duì)處理者義務(wù)的具體規(guī)定，或者超出或違背控制者合法指令的情況下，才對(duì)處理行為引起的損害承擔(dān)責(zé)任。若控制者或處理者能夠證明其對(duì)引起的損害沒有責(zé)任,則免于承擔(dān)責(zé)任。若兩者都對(duì)引起的損害負(fù)有責(zé)任，各控制者或處理者應(yīng)對(duì)全部損害承擔(dān)責(zé)任。全額賠償?shù)闹黧w可向其他控制者或處理者主張各自相應(yīng)的賠償部分。

(三)美國(guó)和歐盟個(gè)人信息共享制度比較分析

首先，美國(guó)和歐盟雖都規(guī)定個(gè)人信息可以共享，但“同意”機(jī)制不同。CCPA以“選擇退出”+“經(jīng)濟(jì)激勵(lì)”的方式，實(shí)現(xiàn)促進(jìn)個(gè)人信息共享的目的。只要消費(fèi)者沒有選擇退出，就視為同意企業(yè)共享個(gè)人信息。同時(shí),美國(guó)通過規(guī)定“詳細(xì)地”退出機(jī)制，實(shí)現(xiàn)消費(fèi)者對(duì)個(gè)人信息共享的可控性。例如，在2020年8月14日生效的加利福尼亞州《CCPA實(shí)施條例》，要求對(duì)消費(fèi)者的告知要使用簡(jiǎn)潔明了的語言,避免使用技術(shù)或法律術(shù)語;使用吸引消費(fèi)者注意力的格式并使得通知易讀;CCPA允許企業(yè)為消費(fèi)者制定兩種及以上提交要求的方式，而《CCPA實(shí)施條例》規(guī)定當(dāng)消費(fèi)者通過非指定方式向企業(yè)提交要求時(shí)，企業(yè)也必須準(zhǔn)確接收或告知消費(fèi)者其指定的提交方式;并明確企業(yè)必須在收到消費(fèi)者知悉請(qǐng)求或刪除請(qǐng)求后10個(gè)工作日內(nèi)確認(rèn)收到該請(qǐng)求，并在45個(gè)工作日內(nèi)回應(yīng)消費(fèi)者的請(qǐng)求等；同時(shí)要求“選擇退出”的鏈接統(tǒng)一命名為“不要出售我的個(gè)人信息”等。GDPR以“選擇加入”的方式實(shí)現(xiàn)個(gè)人數(shù)據(jù)流通，企業(yè)只有在主動(dòng)獲取消費(fèi)者的同意后,才可流通個(gè)人數(shù)據(jù)。與CCPA相比,GDPR可能降低共享的效率。在個(gè)人權(quán)益保護(hù)方面,美國(guó)通過細(xì)化“退出”規(guī)則,在一定程度上使告知內(nèi)容更為清晰和明確,有利于事后追責(zé)。

其次，美國(guó)和歐盟都要求向用戶進(jìn)行明確的告知,并保證用戶個(gè)人信息權(quán)益的實(shí)現(xiàn)。從前文介紹可知，美國(guó)更注重個(gè)人信息的利用，而歐盟則側(cè)重對(duì)個(gè)人信息的保護(hù)。但二者出現(xiàn)了共同的趨勢(shì)，即都明確規(guī)定企業(yè)處理數(shù)據(jù)的告知義務(wù),從而保證消費(fèi)者的知情權(quán)與數(shù)據(jù)處理的透明性。值得注意的是二者立法均規(guī)定當(dāng)個(gè)人信息再次共享時(shí)，需要向用戶明確告知。由此可知,履行告知義務(wù)是二者個(gè)人信息共享的前提。

最后，美國(guó)和歐盟都對(duì)個(gè)人信息共享的一般規(guī)則作出規(guī)定，同時(shí)允許不同行業(yè)、成員國(guó)針對(duì)具體的情況自行擬定相關(guān)規(guī)則。此種做法兼顧個(gè)人信息保護(hù)的統(tǒng)一性與靈活性。統(tǒng)一性立法最大的優(yōu)勢(shì)在于為個(gè)人信息保護(hù)提供確定的、權(quán)威的依據(jù)，有助于維護(hù)信息主體的合法權(quán)益。同時(shí)實(shí)施行業(yè)自治立法,能夠更有針對(duì)性地解決不同行業(yè)的個(gè)人信息類型與特點(diǎn)、不同的敏感程度、不同場(chǎng)景下，共享中出現(xiàn)的實(shí)際問題。

三、數(shù)字經(jīng)濟(jì)下個(gè)人信息共享的理論依據(jù)與實(shí)現(xiàn)路徑

(一)個(gè)人信息共享符合人格權(quán)的發(fā)展趨勢(shì)

個(gè)人信息共享符合人格權(quán)理論的發(fā)展。傳統(tǒng)民法學(xué)說將人格權(quán)保護(hù)的利益限定為精神利益，人格權(quán)不得轉(zhuǎn)讓、放棄、繼承。然而，隨著社會(huì)經(jīng)濟(jì)生活和科技的發(fā)展,作為人格權(quán)客體的一些人格要素如姓名、名稱、肖像、聲音等逐漸可以被商業(yè)化利用，特別是隨著大眾傳媒和廣告業(yè)的發(fā)展，歌星、影星、體育明星等人的衣著打扮、生活方式等成為大眾爭(zhēng)相模仿、追求的時(shí)尚。這些人的肖像被制作成各種廣告、姓名被注冊(cè)成商標(biāo)等，為其帶來了巨大的經(jīng)濟(jì)利益，由此產(chǎn)生人格權(quán)的商品化。(7)參見程嘯:《論民法典對(duì)人格權(quán)中經(jīng)濟(jì)利益的保護(hù)》，載《新疆師范大學(xué)學(xué)報(bào)》,2020年第6期。《民法典》通過授權(quán)許可制度實(shí)現(xiàn)對(duì)人格權(quán)商品化的保護(hù)?！睹穹ǖ洹返?93條規(guī)定民事主體可以將自己的姓名、名稱、肖像等許可他人使用。由于該條規(guī)定是在人格權(quán)編的一般規(guī)定中，因此該項(xiàng)規(guī)定同樣適用于信息主體的個(gè)人信息權(quán)益。

立法上對(duì)人格權(quán)商業(yè)價(jià)值的保護(hù)早有先例。美國(guó)法采用財(cái)產(chǎn)權(quán)模式，創(chuàng)立了公開權(quán)理論，將人格標(biāo)志上的公開權(quán)設(shè)定為一種新型財(cái)產(chǎn)權(quán)。美國(guó)的公開權(quán)在創(chuàng)立之初，雖然面臨來自傳統(tǒng)法律理論的阻力,法官仍堅(jiān)持從利益需求方面證明權(quán)利保護(hù)的正當(dāng)性。通過判例的探索，美國(guó)法發(fā)展出了一種權(quán)利二分模式：以人格利益與財(cái)產(chǎn)利益的清晰劃分為基礎(chǔ)，將人格標(biāo)志上的某些人格利益歸入隱私權(quán)的保護(hù)范圍，而將人格標(biāo)志的商業(yè)價(jià)值歸入公開權(quán)的范疇。如今,在美國(guó)，公開權(quán)已經(jīng)發(fā)展為一種成熟的財(cái)產(chǎn)權(quán)。它可以轉(zhuǎn)讓，可以許可使用,也可以繼承。在德國(guó)通說即認(rèn)為人格權(quán)不限于保護(hù)精神利益，同時(shí)也保護(hù)經(jīng)濟(jì)利益。德國(guó)法采用人格權(quán)模式，通過構(gòu)造人格權(quán)的財(cái)產(chǎn)成分來保護(hù)人格標(biāo)志上的經(jīng)濟(jì)利益,而且人格權(quán)的財(cái)產(chǎn)成分可以單獨(dú)保護(hù)，也可以轉(zhuǎn)讓、繼承。(8)參見王衛(wèi)國(guó):《現(xiàn)代財(cái)產(chǎn)法的理論構(gòu)建》,載《中國(guó)社會(huì)科學(xué)》2012年第1期。

(二)告知同意是個(gè)人信息共享的基本要求

個(gè)人信息共享實(shí)際上是個(gè)人信息的反復(fù)收集和利用，涉及個(gè)人信息權(quán)益、隱私權(quán)保護(hù)問題,與人格尊嚴(yán)密切相關(guān)，因此這一過程必須是可控的。個(gè)人信息不能由收集者隨意共享他人，被共享者也不能在獲得信息之后隨意再次共享或者允許他人利用，更不能將這些信息經(jīng)過整合后再投入個(gè)人信息黑市進(jìn)行交易。一方面，這可能觸及非法侵入計(jì)算機(jī)系統(tǒng)罪、侵犯公民個(gè)人信息罪等罪名，即便不構(gòu)成犯罪，也可能構(gòu)成對(duì)他人個(gè)人信息權(quán)益和隱私權(quán)的侵害。(9)參見王利明：《數(shù)據(jù)共享與個(gè)人信息保護(hù)》，載《現(xiàn)代法學(xué)》2019年第1期。另一方面，若個(gè)人信息主體在初次授權(quán)后就喪失個(gè)人信息的控制能力，難以確保個(gè)人信息的利用符合其預(yù)期，可能讓信息主體的心里產(chǎn)生焦慮，甚至?xí)l(fā)社會(huì)不良輿論。此外,人格尊嚴(yán)也包括對(duì)人格利益通過自己的意志自主利用，他人不得未經(jīng)許可而利用，這本身就是保護(hù)人格尊嚴(yán)的重要方式。(10)王利明：《人格利益:立法許可使用極其必要》，載《北京日?qǐng)?bào)》2020年3月9日第014版?！案嬷狻笔菍?shí)現(xiàn)可控性與自主利用的重要手段。其目的是保護(hù)信息主體對(duì)個(gè)人信息的自決權(quán)，這是維護(hù)人格利益最基本的要求，表現(xiàn)為控制者(企業(yè))只有在告知同意后，在獲得信息主體許可的范圍內(nèi)利用個(gè)人信息。

(三)建立分類分級(jí)的共享制度是平衡個(gè)人信息價(jià)值沖突的重要途徑

個(gè)人信息蘊(yùn)含多元主體的不同價(jià)值，不僅包含人格利益，而且還有企業(yè)的商業(yè)價(jià)值、社會(huì)的公共利益價(jià)值，甚至涉及國(guó)家安全。企業(yè)通過對(duì)個(gè)人信息的處理，可以幫助其戰(zhàn)略決策,制定更有針對(duì)性的銷售策略等;政府利用個(gè)人信息可以提高公共管理水平、醫(yī)療機(jī)構(gòu)通過共享患者信息以提升醫(yī)療水平等;甚至一些基因信息、消費(fèi)信息還關(guān)系到民族獨(dú)立、經(jīng)濟(jì)發(fā)展等國(guó)家安全。因此數(shù)字經(jīng)濟(jì)下的個(gè)人信息共享制度，要平衡上述價(jià)值沖突，不能一味強(qiáng)調(diào)個(gè)人信息安全，影響企業(yè)對(duì)個(gè)人信息的利用和社會(huì)發(fā)展;也不能過度放任個(gè)人信息的共享，侵害自然人的個(gè)人信息權(quán)益。如何協(xié)調(diào)與平衡上述主體的價(jià)值沖突，依據(jù)龐德的觀點(diǎn)，他把法律秩序所應(yīng)保護(hù)的利益分成了三類,包括個(gè)人利益(直接涉及個(gè)人生活,并以個(gè)人生活名義所提出的主張、要求或愿望)、公共利益(“涉及政治組織社會(huì)的生活并以政治組織社會(huì)名義提出的主張，要求和愿望”)和社會(huì)利益(“涉及文明社會(huì)的社會(huì)生活并以社會(huì)生活的名義提出的主張、要求和愿望”)。最后一類利益還包括一般安全利益、個(gè)人生活方面的利益，保護(hù)道德的利益、保護(hù)社會(huì)資源的利益及經(jīng)濟(jì)、政治和文化進(jìn)步方面的利益。龐德拒絕就上述利益評(píng)價(jià)的嚴(yán)格標(biāo)準(zhǔn)問題進(jìn)行表態(tài)。他認(rèn)為，在一定的時(shí)期可能應(yīng)該優(yōu)先考慮一些利益，而在另一時(shí)期則應(yīng)優(yōu)先考慮別的利益。(11)參見[美]E.博登海默：《法理學(xué)——法哲學(xué)及其方法》，鄧正來、姬敬武譯，華夏出版社1987年版，第141-142頁。龐德通過區(qū)分場(chǎng)景的方式，實(shí)現(xiàn)各方利益的平衡，為我們解決個(gè)人信息共享的價(jià)值沖突問題提供了指導(dǎo)思路。在立法上知識(shí)產(chǎn)權(quán)同樣面臨保護(hù)創(chuàng)造者的合法權(quán)利與促進(jìn)文化科學(xué)知識(shí)傳播的價(jià)值沖突。其通過“一般規(guī)則+特殊情況”的模式進(jìn)行平衡。我國(guó)《著作權(quán)法》第10條規(guī)定了著作權(quán)人享有的權(quán)利，第22條詳細(xì)列舉了限制著作權(quán)人權(quán)利的12種合理使用的情形。此種方式還體現(xiàn)在著作權(quán)的法定許可、專利法的強(qiáng)制許可當(dāng)中。由于個(gè)人信息的價(jià)值多元，幾乎無法實(shí)行統(tǒng)一的共享規(guī)則，因此在平衡價(jià)值沖突時(shí)，可以借鑒龐德的場(chǎng)景化思維,采取知識(shí)產(chǎn)權(quán)法的立法模式，在法律上規(guī)定基本的共享規(guī)則，同時(shí)按照不同行業(yè)個(gè)人信息的特點(diǎn),建立不同的共享規(guī)則，即個(gè)人信息的分類分級(jí)共享制度。

四、數(shù)字經(jīng)濟(jì)下我國(guó)個(gè)人信息共享制度的立法模式與規(guī)則設(shè)計(jì)

(—)實(shí)施國(guó)家統(tǒng)一立法+行業(yè)立法的模式

隨著各種APP、小程序的廣泛應(yīng)用，個(gè)人信息被收集的規(guī)模與種類越來越多，增加了個(gè)人信息潛在的安全風(fēng)險(xiǎn)，人們也越來越關(guān)注上述問題，要求保護(hù)個(gè)人信息安全的訴求也越加強(qiáng)烈。法律的基本目標(biāo)就是保護(hù)人們的合法利益，因此在法律上建立統(tǒng)一的個(gè)人信息共享規(guī)則，是立法的必然趨勢(shì)，也是當(dāng)今國(guó)際上許多國(guó)家都采取的一種做法。但發(fā)揮數(shù)據(jù)價(jià)值，促進(jìn)數(shù)字產(chǎn)業(yè)發(fā)展，也是社會(huì)發(fā)展的重要目標(biāo)之一。如何對(duì)個(gè)人信息安全與促進(jìn)其利用兩種價(jià)值進(jìn)行“稱重”呢？美國(guó)與歐盟都采納了“統(tǒng)一立法”加“行業(yè)分類而治”的方式。前文已經(jīng)闡述，美國(guó)沒有聯(lián)邦層面統(tǒng)一的隱私權(quán)保護(hù)法，有關(guān)個(gè)人信息共享的相關(guān)規(guī)定體現(xiàn)在各州的隱私權(quán)立法中。此種模式由于存在缺少統(tǒng)一規(guī)則和各州立法不一致的問題，在一定程度上不利于個(gè)人信息的安全共享。但GDPR實(shí)施后，美國(guó)參眾兩院也提出很多關(guān)于個(gè)人隱私的聯(lián)邦層面的法案。例如2019年《數(shù)據(jù)傳播法案》,2019年《社交媒體隱私和消費(fèi)者權(quán)利法案》、2019年《數(shù)字問責(zé)制和透明度以提升隱私保護(hù)法案》、2020年《數(shù)據(jù)保護(hù)法》、2020年《消費(fèi)者數(shù)據(jù)隱私和安全法》等。(12)參見https^//legiscan.com/&prev-search&pto-aue,Last visit time September 9, 2020.尤其在《消費(fèi)者數(shù)據(jù)隱私和安全法》中規(guī)定,本法不應(yīng)被解釋來修改、限制,或取代下列任一規(guī)則:《兒童在線隱私保護(hù)法》《執(zhí)法通信協(xié)助法》、1934年《通信法》第227節(jié)、《格拉姆-里奇-比利利法案》《公平信用報(bào)告法》《健康保險(xiǎn)可移植性和責(zé)任制法》《經(jīng)濟(jì)和臨床健康衛(wèi)生信息技術(shù)法》《普通教育條文法》第444條(通常稱為“1974年《家庭教育權(quán)和隱私權(quán)法》”)、《電子通信隱私法》、1994年《駕駛員隱私保護(hù)法》、1958年的《聯(lián)邦航空法》。由此可知美國(guó)的個(gè)人信息保護(hù)呈現(xiàn)出“統(tǒng)一立法+行業(yè)立法”相結(jié)合的模式。歐盟立法也采取了此模式。(13)前文美歐立法比較分析中已闡述。

我國(guó)對(duì)于個(gè)人信息共享制度的構(gòu)建，也可以借鑒上述模式,而不宜實(shí)行一刀切的立法模式。若僅由國(guó)家統(tǒng)一立法，一方面國(guó)家只能制定通用規(guī)則，不能對(duì)每個(gè)行業(yè)都建立特殊的規(guī)則。另一方面國(guó)家可能并不完全了解行業(yè)的實(shí)際情況,制定的規(guī)則不能滿足行業(yè)的需要。若僅由行業(yè)立法，可能會(huì)出現(xiàn)行業(yè)過度追求經(jīng)濟(jì)利益，而侵害個(gè)人信息權(quán)益的局面。另外由于共享的個(gè)人信息規(guī)模巨大、種類繁多,其中蘊(yùn)含多元價(jià)值,因此既需要國(guó)家對(duì)個(gè)人信息共享的規(guī)則做出基本的規(guī)定，提供各行業(yè)必須遵守的最低要求，又需要行業(yè)根據(jù)自身個(gè)人信息的特征,制定有針對(duì)性、可操作性的具體規(guī)則。因此需要在國(guó)家制定基本規(guī)則的基礎(chǔ)上，由行業(yè)制定具體的共享辦法。同時(shí)個(gè)人信息共享需要避免各地區(qū)分別立法,一是避免重復(fù)立法，二是防止出現(xiàn)地方規(guī)則不統(tǒng)一阻礙個(gè)人共享的情況。具體的實(shí)施辦法可以由國(guó)家制定基本規(guī)則,包括禁止共享的個(gè)人信息類型(14)禁止共享的個(gè)人信息類型可以包括有關(guān)國(guó)家安全、社會(huì)公共安全的個(gè)人信息等，同時(shí)對(duì)禁止共享的例外情況也需作出說明。、分類分級(jí)制度、告知同意制度等內(nèi)容。

(二)各行業(yè)建立分級(jí)的個(gè)人信息共享制度

構(gòu)建個(gè)人信息的共享規(guī)則，需要平衡各種利益，類型化的構(gòu)建模式，可以作為解決利益沖突問題的基本思路。所謂的類型化，就是區(qū)別不同的個(gè)人信息種類，分而治之。我國(guó)各行業(yè)可以根據(jù)個(gè)人信息的敏感程度建立分級(jí)的共享制度，同時(shí)強(qiáng)調(diào)敏感個(gè)人信息的保護(hù)。具體方式可以參考2020年2月發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》。該《規(guī)范》首先明確個(gè)人金融信息的種類，包括賬號(hào)信息、鑒別信息、金融交易信息等，并對(duì)每種信息進(jìn)行定義。其次依據(jù)未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更后所產(chǎn)生的影響和危害，將個(gè)人金融信息按敏感程度從高到低分為C3、C2、C1三個(gè)等級(jí)。C3主要為鑒別類信息，該類信息敏感程度最高，是指一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成嚴(yán)重危害，主要包括銀行卡磁道數(shù)據(jù)、卡片驗(yàn)證碼、卡片有效期等。C2類別信息是指可識(shí)別特定個(gè)人金融信息主體身份與金融狀況的個(gè)人金融信息，以及用于金融產(chǎn)品與服務(wù)的關(guān)鍵信息，該類信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，會(huì)對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定危害，主要包括支付賬號(hào)、賬戶、用戶鑒別輔助信息(動(dòng)態(tài)口令等)、網(wǎng)絡(luò)支付賬號(hào)余額等；C1類別信息主要為機(jī)構(gòu)內(nèi)部的信息資產(chǎn)，主要指供金融機(jī)構(gòu)內(nèi)部使用的個(gè)人金融信息。該類信息一旦遭到未經(jīng)授權(quán)的查看或未經(jīng)授權(quán)的變更，可能對(duì)個(gè)人金融信息主體的信息安全與財(cái)產(chǎn)安全造成一定的影響，主要包括賬號(hào)開立時(shí)間、基于賬戶信息產(chǎn)生的支付標(biāo)記信息等。該《規(guī)范》還規(guī)定了個(gè)人金融信息的一般共享規(guī)則，要求除法律法規(guī)與行業(yè)主管部門另有規(guī)定或開展金融業(yè)務(wù)所必需的數(shù)據(jù)共享與轉(zhuǎn)讓外，金融業(yè)機(jī)構(gòu)原則上不應(yīng)共享收集的個(gè)人金融信息，確需共享的，應(yīng)向個(gè)人金融信息主體進(jìn)行告知，并征明示同意。同時(shí)強(qiáng)調(diào)C3類別信息以及C2類別信息中的用戶鑒別輔助信息不得共享；支付賬號(hào)及其等效信息在共享時(shí)，除法律法規(guī)和行業(yè)主管部門另有規(guī)定外，應(yīng)使用支付標(biāo)記化技術(shù)進(jìn)行脫敏處理，防范信息泄漏風(fēng)險(xiǎn)。

該《規(guī)范》的分級(jí)治理具有一定的借鑒意義。其通過明確一般個(gè)人金融信息的處理規(guī)則，同時(shí)強(qiáng)調(diào)特別敏感個(gè)人信息(C3)不得共享的方式，不僅使共享規(guī)則明確化、具體化，而且通過明確禁止共享的情況，很大程度上平衡個(gè)人信息共享與安全的沖突。在構(gòu)建我國(guó)個(gè)人信息共享規(guī)則時(shí)，可以由各行業(yè)主管部門，依據(jù)本行業(yè)收集的個(gè)人信息特點(diǎn)，以及一旦泄漏后對(duì)國(guó)家安全、社會(huì)利益，以及自然人的人身、財(cái)產(chǎn)安全的影響程度，劃分個(gè)人信息的敏感級(jí)別。(15)個(gè)人信息可以分為：特別敏感個(gè)人信息(一旦泄漏后會(huì)對(duì)國(guó)家安全、社會(huì)秩序和公共利益造成特別嚴(yán)重危害)；較為敏感個(gè)人信息(一旦泄漏會(huì)對(duì)國(guó)家安全、社會(huì)秩序和社會(huì)公共利益造成危害，或者對(duì)用戶、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害)；一般個(gè)人信息(一旦泄漏會(huì)對(duì)相關(guān)用戶、法人和其他組織的合法權(quán)益造成影響)等。然后依據(jù)個(gè)人信息的敏感程度，確立每種信息是否可以共享以及如何共享。對(duì)于行業(yè)制定的個(gè)人信息分級(jí)共享標(biāo)準(zhǔn)，可以報(bào)主管機(jī)關(guān)批準(zhǔn)或備案。

(三)根據(jù)個(gè)人信息的敏感程度實(shí)行不同的告知同意模式

從司法判例來看，我國(guó)現(xiàn)階段的個(gè)人信息共享實(shí)行的是“三重授權(quán)+選擇進(jìn)入”的模式。在淘友技術(shù)公司、淘友科技公司與北京微夢(mèng)創(chuàng)科網(wǎng)絡(luò)技術(shù)有限公司的案件中，北京知識(shí)產(chǎn)權(quán)法院認(rèn)為，淘友技術(shù)公司、淘友科技公司未經(jīng)新浪微博用戶的同意及新浪微博的授權(quán)，獲取、使用脈脈用戶手機(jī)通訊錄中非脈脈用戶聯(lián)系人與新浪微博用戶對(duì)應(yīng)關(guān)系的行為，構(gòu)成不正當(dāng)競(jìng)爭(zhēng)行為。(16)參見北京知識(shí)產(chǎn)權(quán)法院(2016)京73民終588號(hào)民事判決書。依據(jù)此案的判決，個(gè)人信息共享中的控制者需要經(jīng)過用戶授權(quán)，接收方需要經(jīng)過用戶授權(quán)和平臺(tái)授權(quán),即三重授權(quán)。此種授權(quán)方式保護(hù)了用戶對(duì)個(gè)人信息共享的控制性，但在一定程度上不利于個(gè)人信息共享的效率。在個(gè)人信息已經(jīng)實(shí)行分類分級(jí)共享的前提下，對(duì)于一般個(gè)人信息可以更關(guān)注共享的效率，借鑒美國(guó)選擇退出的模式。對(duì)于較為敏感的個(gè)人信息可以由企業(yè)評(píng)估風(fēng)險(xiǎn)，自行選擇何種同意方式。若執(zhí)行“選擇退出”機(jī)制，需要落實(shí)退出操作的各項(xiàng)制度。對(duì)于特別敏感的個(gè)人信息可以規(guī)定禁止共享或匿名化共享。

(四)實(shí)施有條件的個(gè)人信息再次共享制度

對(duì)于個(gè)人信息再次共享的問題,依據(jù)前文闡述，美歐都規(guī)定有條件的再次共享。美國(guó)CCPA原則上規(guī)定不得出售企業(yè)已經(jīng)出售給第三方的消費(fèi)者個(gè)人信息，除非消費(fèi)者已收到明確通知，并有機(jī)會(huì)行使退出權(quán)。同時(shí)消費(fèi)者有權(quán)要求披露收集、出售的個(gè)人信息類別,第三方類別等信息。歐盟GDPR要求當(dāng)個(gè)人數(shù)據(jù)并非從數(shù)據(jù)主體處獲取信息時(shí),控制者應(yīng)當(dāng)向數(shù)據(jù)主體告知個(gè)人信息處理的目的、種類及接受方的種類等。由此可知告知同意是數(shù)據(jù)再次共享的合法前提。

上述做法也存在不足之處。若出現(xiàn)個(gè)人信息多次共享,每一次共享都需要向信息主體明確告知的情況，會(huì)出現(xiàn)如下問題:一是企業(yè)的告知量級(jí)將十分巨大；二是企業(yè)應(yīng)采取何種方式對(duì)用戶告知；三是企業(yè)該如何判斷用戶是否同意；四是否會(huì)干擾用戶的正常生活。因此需要在立法上明確再次共享的告知同意規(guī)則。本文建議只有當(dāng)再次共享超出收集者的原有目的、使用范圍、共享主體類別時(shí)，才需向用戶告知，并采取“選擇退出”機(jī)制，推定用戶同意。同時(shí)采取區(qū)塊鏈技術(shù)，記錄個(gè)人信息共享的主體。這里需要強(qiáng)調(diào)特別敏感個(gè)人信息的再次共享規(guī)則，需單獨(dú)向用戶告知，并獲得明示同意。

(五)通過法律、技術(shù)相結(jié)合的方式解決個(gè)人信息追責(zé)問題

對(duì)于個(gè)人信息共享中侵犯?jìng)€(gè)人信息權(quán)益的行為,可以依據(jù)侵權(quán)法及合同法來解決。當(dāng)信息主體發(fā)現(xiàn)個(gè)人信息泄漏、濫用后，按照一般過錯(cuò)歸責(zé)原則，由其舉證侵害的事實(shí)與侵權(quán)主體。但若個(gè)人信息多次共享，涉及多方主體時(shí)，信息主體可能很難確定侵權(quán)人，因此鼓勵(lì)采用區(qū)塊鏈技術(shù)記錄共享的情況。企業(yè)間的個(gè)人信息保護(hù)責(zé)任由合同法調(diào)整，但需要在立法上明確雙方的基本義務(wù)。主要包括個(gè)人信息提供方的風(fēng)險(xiǎn)評(píng)估義務(wù)(包括個(gè)人信息共享風(fēng)險(xiǎn)評(píng)估、以及對(duì)方保護(hù)個(gè)人信息的安全能力)，接收方的個(gè)人信息來源審查義務(wù)等，從而為解決合同爭(zhēng)議提供基本依據(jù)。

結(jié)語

數(shù)字經(jīng)濟(jì)下,如何平衡個(gè)人信息的共享與安全，是發(fā)揮數(shù)據(jù)價(jià)值的關(guān)鍵。本文提出分類分級(jí)的治理思路，以國(guó)家統(tǒng)一立法為基礎(chǔ)，制定個(gè)人信息共享的基本規(guī)則，以保障個(gè)人信息共享中的國(guó)家安全與社會(huì)公共利益。同時(shí)實(shí)施按行業(yè)分級(jí)治理制度，注重敏感個(gè)人信息的保護(hù)，與一般個(gè)人信息共享相對(duì)自由的共享規(guī)則，同時(shí)落實(shí)個(gè)人對(duì)其信息的知情與控制，以期最終實(shí)現(xiàn)促進(jìn)個(gè)人信息共享與保護(hù)個(gè)人信息安全的目的。