唐雪雯

（中南大學法學院，長沙 410083）

如今，物聯(lián)網(wǎng)已滲透到人類社會生產(chǎn)生活的方方面面，發(fā)展出人與物、物與物之間復雜而龐大的網(wǎng)絡，海量的個人信息在其中被收集、傳遞和處理。它所帶來的個人信息安全問題比互聯(lián)網(wǎng)更為復雜多樣，對個人信息安全保護提出新的挑戰(zhàn)。《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）在一定范圍內(nèi)確立了合理的個人信息使用規(guī)則，強化了個人信息的有效保護和利用。但該法并未涉及物聯(lián)網(wǎng)領域，個人信息在該領域無法得到法律層面的有效保護。筆者擬從個人信息保護的基本邏輯入手，分析物聯(lián)網(wǎng)環(huán)境下個人信息保護方面存在的風險，并提出相應的應對之策。

一、文獻回顧

隨著個人信息在社會生活中重要程度的日益加深，區(qū)分隱私與個人信息，將個人信息作為一項獨立權(quán)利來進行保護成為學界主流觀點［1］。為保障個人信息權(quán)利的有效行使，大多數(shù)國家選擇采用對個人信息主體賦權(quán)的方式實現(xiàn)“信息自決”，而告知同意規(guī)則成為個人行使“信息自決”最主要的方式［2］。學界對于物聯(lián)網(wǎng)環(huán)境下的個人信息保護問題研究較少。史宇航指出，在物聯(lián)網(wǎng)環(huán)境下對個人信息進行保護，應要求廠商提供有效的用戶協(xié)議，在合理的范圍內(nèi)收集數(shù)據(jù)，并對個人數(shù)據(jù)進行脫敏處理，同時還需要行政監(jiān)管與行業(yè)自律共同介入［3］。徐子淼認為，應從技術(shù)層面、法律規(guī)范層面、行業(yè)組織層面分別對智能汽車數(shù)據(jù)處理行為進行法律規(guī)制，以此來完善智能汽車領域的相關(guān)法律規(guī)范，并結(jié)合智能汽車的特點對告知同意原則和數(shù)據(jù)共享制度進行調(diào)整［4］。滿洪杰等人認為，應建立對可穿戴設備中的個人健康信息的靜態(tài)保護和動態(tài)保護，構(gòu)建基于不同類型個人信息的分級同意模式和過程化的同意制度［5］。總的來說，我國學界對物聯(lián)網(wǎng)環(huán)境下的個人信息保護關(guān)注較少，且關(guān)注領域較為單一。

二、物聯(lián)網(wǎng)環(huán)境下個人信息保護的基本原則

傳統(tǒng)的個人信息保護主要根據(jù)“立法賦予權(quán)利—信息主體行使權(quán)利”這一基本邏輯，即當權(quán)利被侵犯時，主要采取民事糾紛的解決與救濟機制［6］。這個邏輯凸顯了個人信息主體的法律地位，但信息主體的有限理性使其難以完全做到理性決策。因此，過分強調(diào)以權(quán)利為核心的保護模式，不能有效區(qū)分對個人信息的保護與利用的關(guān)系。物聯(lián)網(wǎng)領域的法律規(guī)范不完善及其強制性缺乏，使得以侵權(quán)損害責任為主導的私法救濟存在困難。為此，有必要在原有邏輯框架的基礎上對該領域的法律規(guī)范加以豐富，通過價值權(quán)衡來平衡對個人信息的保護與利用，利用法律原則填補現(xiàn)階段的法律漏洞，并輔之以公法介入來彌補私法救濟的不能。

（一）安全優(yōu)先的價值面向

嚴格的保護機制固然能夠保障個人信息權(quán)益，但也會在一定程度上限制信息的交流，從而影響經(jīng)濟、社會的發(fā)展。因此，實現(xiàn)個人信息保護與利用的平衡很有必要。在法律的適用過程中，經(jīng)常會面臨對法律價值的權(quán)衡。物聯(lián)網(wǎng)個人信息保護的法律規(guī)制存在著兩種價值面向，即安全價值與效率價值。

安全價值是對可能風險的防控，重視安全價值就會更側(cè)重于防范風險，避免損害的發(fā)生。相關(guān)法律體現(xiàn)為限制法，具體表現(xiàn)為對個人信息的收集和使用行為設置大量限制性條件。這種法律傾向于盡可能地保障信息的安全，但很可能導致信息無法得到合理的利用。效率價值是對效益最大化的追求，偏重于效率價值則會更關(guān)注于創(chuàng)造效益，鼓勵使用數(shù)據(jù)。相關(guān)法律體現(xiàn)為促進法，具體表現(xiàn)為通過鼓勵信息處理者分析、加工、處理信息，來充分發(fā)掘信息的潛在價值，創(chuàng)造更多效益，但相對激進的信息處理政策則很可能引發(fā)相關(guān)個人信息的安全問題。

安全價值與效率價值并非完全對立，安全價值是發(fā)展的底線，而效率價值則決定了發(fā)展的上限。這兩種價值始終處于此消彼長、動態(tài)平衡的狀態(tài)，不同的發(fā)展階段對這兩種價值存在不同的偏重。從理論基礎來看，保護個人信息的根本目的是為了保障人的尊嚴與自由，效率價值的實現(xiàn)應以此為前提［7］。從現(xiàn)實問題來看，我國物聯(lián)網(wǎng)行業(yè)正處于高速發(fā)展階段，其面臨的個人信息安全問題激增，且近年來安全事故頻發(fā)［8］?，F(xiàn)階段，物聯(lián)網(wǎng)對安全價值有著更高的要求，相關(guān)法律的制定及實施應優(yōu)先考慮并維護個人信息安全。因此，應在保障安全價值的基礎上，挖掘數(shù)據(jù)的最大價值，并針對物聯(lián)網(wǎng)的特點，設計合理的個人信息利用規(guī)則，在堅守安全底線的同時，尋求價值上限的突破。

（二）法律規(guī)范的基本原則

《中華人民共和國民法典》（以下簡稱《民法典》）規(guī)定，“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理”?！秱€人信息保護法》在此基礎上增加了誠信原則。合法、正當、必要、誠信就是處理個人信息應遵循的總體原則。合法原則屬于形式合法性范疇，即在處理個人信息時，應符合法律對告知程序、必要性義務的規(guī)定。誠信原則為民事法律的題中應有之義。實踐中，最需厘清的是正當和必要原則。其中，正當原則包含目的正當和手段正當兩方面內(nèi)容。目的正當要求信息處理者收集和處理信息的目的應是正向的；手段正當要求信息處理者采用的手段應符合公序良俗和一般公眾的期待，不得損害他人利益以及破壞社會經(jīng)濟秩序［9］。必要原則要求對于個人信息的處理應限于處理目的的最小范圍之內(nèi)，不得為牟利或其他目的過度收集或處理個人信息。除此之外，處理個人信息還應遵循目的原則、公開透明原則、質(zhì)量原則和責任原則。目的原則是指個人信息處理活動需與其處理目的相適應，這就要求信息處理者在處理個人信息時應具有明確、合理的目的，且信息行為應當與處理目的直接相關(guān)。公開透明原則是指個人信息處理者應充分公開其處理個人信息的相關(guān)事項，同時信息被處理者也對此享有知情權(quán)。質(zhì)量原則是指個人信息處理者在處理個人信息時應充分保障質(zhì)量，避免因信息處理對個人信息造成不利影響。責任原則是指個人信息處理者應采取必要措施保障其所處理信息的安全，并對此承擔相應責任。

在物聯(lián)網(wǎng)環(huán)境下，重視處理個人信息的法律原則的作用，充分發(fā)揮這些法律原則的直接效力和補漏效力，對于個人信息的保護至關(guān)重要。首先，在法律規(guī)則尚未充分健全的物聯(lián)網(wǎng)領域，這些法律原則可以填補這一領域法律規(guī)則的漏洞，強化法律的調(diào)控能力；其次，將正當和必要原則作為評價和處理個人信息目的和手段的依據(jù)，不僅有助于彌補告知同意原則過于形式化的缺陷，而且能夠?qū)馇闆r進行有效規(guī)范；最后，這些法律原則彌補了個人信息處理過程中不平等的法律關(guān)系導致的意思自治與契約自由的缺陷［10］。

（三）公私法融合的保護模式

《個人信息保護法》的立法依據(jù)明確指出要“根據(jù)憲法，制定本法”，將對個人信息的保護上升到根本法的視野來推進。這一規(guī)定順應了國際主流的立法經(jīng)驗與做法，充分回應了數(shù)字時代個人信息保護的客觀需求［11］，表明我國長久以來對個人信息以私法保護為主的局面被打破，顯示出公私法融合保護的特征［12］。

首先，《個人信息保護法》既包含以意思自治為表現(xiàn)的私法規(guī)范，也含有強制性的公法監(jiān)管規(guī)范，表現(xiàn)出混合法屬性。其中，《個人信息保護法》中的私法規(guī)范與《民法典》構(gòu)成特別法與普通法的關(guān)系，而《個人信息保護法》中的公法規(guī)范，則屬于行政法中的特別法［13］。其次，《個人信息保護法》不僅調(diào)整平等主體間的私法法律關(guān)系，而且調(diào)整不平等主體間的公法法律關(guān)系。由于我國并未對個人信息處理者作出公私法上的區(qū)分，因此，只有具有專業(yè)化或商業(yè)化信息處理能力的主體，才能被認定為法律意義上的信息處理者。無論是企業(yè)在民事活動中通過與個人簽訂協(xié)議收集、處理其個人信息的行為，還是公權(quán)力機關(guān)在社會管理過程中通過行使權(quán)力處理個人信息的行為，均受此法調(diào)整。最后，《個人信息保護法》所保護的法益，既包含了個人法益也包含了公共法益。個人信息承載著個人法益，這是一種私益。但個人信息數(shù)據(jù)一旦集合，形成包含巨大個人信息數(shù)據(jù)的數(shù)據(jù)庫后，便屬于國家安全范疇，其所代表的個人法益也轉(zhuǎn)化為公共法益，這是一種公益。公共利益是公法秩序賴以建立和形成的核心價值基礎。出于對國家網(wǎng)絡信息安全的管控以及維護公共利益的需要，公法的介入已是大勢所趨［14］。

以公私法融合的保護模式對個人信息權(quán)利進行保護，不僅要重視私法救濟，賦予信息主體自主保護的權(quán)利，也要發(fā)揮公法的保護效力，加強公權(quán)力機關(guān)的保護和管理職責。但在此過程中，公法對個人信息保護的介入要避免矯枉過正，應當采取以公法為主導的保護模式，在確保私法體系運行自治有序的前提下，對其進行適當限制。

三、物聯(lián)網(wǎng)環(huán)境下個人信息保護的現(xiàn)實風險

在這個“萬物相連的互聯(lián)網(wǎng)”時代，人們的身體和私人空間成為信息收集的來源，個人信息變得更容易被識別、追蹤或收集。在物聯(lián)網(wǎng)環(huán)境下，個人信息在收集階段、授權(quán)階段、處理階段和流轉(zhuǎn)階段均存在風險，極大地增加了保護個人信息的難度。

（一）收集階段：缺乏透明度導致的知情風險

在物聯(lián)網(wǎng)領域，收集信息的工具一般相對隱蔽，比如智能汽車在行駛過程中，其傳感器除了會對車內(nèi)乘客和汽車本身相關(guān)信息進行收集外，還會對車外的道路、行人等信息進行收集。類似的設備目前大量存在，但除了這些設備的所有者和安裝者，其他人很難發(fā)現(xiàn)這些設備的存在。一般人對于這些設備何時會采集信息、如何采集信息、采集了什么信息、誰有訪問權(quán)、采集的信息會被如何使用等更是難以知曉。

歐盟出臺的《通用數(shù)據(jù)保護條例》（GDPR）指出，自然人應當能夠以透明的方式了解與其有關(guān)的個人數(shù)據(jù)的收集、使用、訪問以及其他處理的樣態(tài)和程度，最大程度確保處理環(huán)節(jié)的公開與透明。我國《個人信息保護法》指出，處理個人信息應該明示處理的目的、方式和范圍。然而，物聯(lián)網(wǎng)普遍較為隱蔽的個人信息收集方式，已在不同程度上悄無聲息地侵害了信息被收集者的知情權(quán)。其一，部分物聯(lián)網(wǎng)設備對數(shù)據(jù)收集的提示不充分或者提示方法不當。例如，智能音箱一經(jīng)啟動，無需任何操作便可持續(xù)收集用戶的個人信息。中國信息通訊研究院發(fā)布的《2019 互聯(lián)網(wǎng)設備——智能音箱安全白皮書》指出，智能音箱易在用戶不知情的情況下，對用戶語音、位置等敏感信息進行持續(xù)地收集，且智能音箱所收集的音頻信息中包括個人信息中重要的聲紋信息，這類信息一旦泄露將造成廣泛的惡劣影響。其二，部分物聯(lián)網(wǎng)設備對于其隱私政策的展示不明顯，部分隱私政策甚至只有在打開和安裝設備后才能被看到。以某品牌電子手環(huán)為例，其包裝盒上未標注任何有關(guān)該設備如何收集和使用個人信息的說明，也無法找到閱讀隱私條款的網(wǎng)址或二維碼。打開包裝盒后，該設備的說明書也僅記載了連接該設備的步驟。只有當手環(huán)與手機連接后，用戶才能在手機App 里第一次閱讀到該設備的隱私條款。這讓用戶無法在選購過程中就充分了解使用這些設備可能存在的個人信息安全風險?？梢哉f，正是物聯(lián)網(wǎng)設備在收集信息過程中透明度的缺乏，使得人們對其可能面臨的個人信息風險缺乏認知，從而導致侵權(quán)現(xiàn)象頻發(fā)。

（二）授權(quán)階段：告知同意規(guī)則流于形式的風險

依照《個人信息保護法》相關(guān)規(guī)定，處理個人信息應當取得個人明確同意。任何組織或個人在處理個人信息時，都應當在獲得個人信息被處理的自然人即信息主體的同意后，方可從事相應的個人信息處理活動。然而，我國復雜的人口結(jié)構(gòu)與社會關(guān)系導致了數(shù)字鴻溝現(xiàn)象嚴重、消費者與經(jīng)營主體實力懸殊等問題，單純的告知同意原則已難以實現(xiàn)對個人信息的確切保護，面臨流于形式的風險。其一，數(shù)字化時代的飛速發(fā)展致使一些人與時代脫節(jié)。例如，部分老年人對于數(shù)字化、智能化的事物以及個人隱私?jīng)]有明確的認知，在被告知其個人信息將被收集時，這類群體往往稀里糊涂地就表示同意，但這樣的“同意”是否有效，顯然有待斟酌。其二，隱私協(xié)議普遍篇幅冗長且內(nèi)容涉及大量專業(yè)名詞與法律知識。大多數(shù)人為能盡快享受服務，一般都在簡單瀏覽后就選擇“同意”，實際上并未做出真實的選擇。其三，存在不同意隱私協(xié)議就不能享受相關(guān)服務的情況。普遍來說，用戶與經(jīng)營主體的談判籌碼相差懸殊，不少用戶為獲取服務不得不同意相關(guān)規(guī)則。這讓告知同意原則淪為“名存實亡”的兜底規(guī)則。其四，隱私協(xié)議往往處于實際上的“不可讀”狀態(tài)，且不可更改，并存在不公平、不合理以及損害用戶個人信息權(quán)益的條款存在［15］。其五，存在隱私協(xié)議的變更通知不明顯、不及時，對變更部分未做突出提示等問題［16］。當隱私協(xié)議內(nèi)容發(fā)生重大變更時，服務提供者應及時通知用戶，明確告知其變更的內(nèi)容，如果用戶接受變更內(nèi)容，則應與其重新簽訂合同；如果用戶不接受變更內(nèi)容，則應與其解除合同。

（三）處理階段：過度處理信息導致的損害風險

智能處理是物聯(lián)網(wǎng)最主要的特征之一，具體表現(xiàn)為自動識別、自動處理、自我反饋與智能控制。物聯(lián)網(wǎng)在為用戶提供便利的同時，也收集了海量的用戶個人信息。這些信息是物聯(lián)網(wǎng)企業(yè)競爭優(yōu)勢及財富的來源。盡管這些被收集的信息并非都是個人隱私，但隨著數(shù)據(jù)的積累，這些信息存在著因被分析處理而被挖掘出更深度敏感信息的風險。例如，通過對健身追蹤器等設備收集的信息加以分析，就可以掌握用戶的活動方式或軌跡，進而推測出其生活、運動習慣以及常住地址等個人信息。這些隱私信息的泄露很可能對公民的人身安全造成威脅。2018 年，Polar Flow 健身追蹤器泄露了數(shù)萬名用戶的活動數(shù)據(jù)，通過對這些泄露數(shù)據(jù)的分析甚至追蹤到軍人活動基地位置等隱私信息［17］。又例如，隨著物聯(lián)網(wǎng)在保險領域的廣泛應用，保險公司通常會通過物聯(lián)網(wǎng)設備對用戶的個人信息進行全面的收集和分析，以此來評估個體風險，從而判斷相關(guān)保險的費率以及是否拒保。一些國外知名健身追蹤器品牌如Garmin、Fitbits 與保險公司進行合作，推出使用健身追蹤器的用戶可每年減少一定的保費等優(yōu)惠活動。也有部分保險公司通過免費贈送健身追蹤器等活動吸引業(yè)務。但隨之而來的問題是，這類標榜“自愿參與”的活動對用戶的強制性逐漸增強。美國約翰·漢考克人壽保險公司（John Hancock Life Insurance Company）在其所有保單中添加了接受可穿戴式健身設備追蹤個人信息的協(xié)議，盡管客戶可以拒絕，但卻會承擔更高的保險費率［18］。當健身追蹤器與人身保險深度綁定，并在社會形成一定的壟斷規(guī)模后，佩戴健身追蹤器、提供不必要的個人健康信息就可能被迫成為被保險人的一項義務、一個難以拒絕的“霸王條款”。

（四）流轉(zhuǎn)階段：數(shù)據(jù)流轉(zhuǎn)導致確權(quán)困難的風險

對數(shù)據(jù)進行確權(quán)，明確其所承載的權(quán)利流轉(zhuǎn)關(guān)系是實現(xiàn)數(shù)字產(chǎn)業(yè)化、規(guī)范數(shù)據(jù)信息的關(guān)鍵環(huán)節(jié)［19］?！吨腥A人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》）中所稱數(shù)據(jù)，是指任何以電子或者其他方式對信息的記錄。個人信息對應的數(shù)據(jù)就是個人數(shù)據(jù)，因此筆者不再在文中對信息與數(shù)據(jù)作進一步的區(qū)分?！稊?shù)據(jù)安全法》指出，國家保護個人、組織與數(shù)據(jù)有關(guān)的權(quán)益。深圳市2022 年1 月1 日起開始實施的《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》，進一步賦予了數(shù)據(jù)依法使用、收益和處分的權(quán)利，對數(shù)據(jù)權(quán)的立法進行了探索與嘗試。李海敏認為，數(shù)據(jù)的價值性、可控性和獨立性，使其可成為法律關(guān)系的客體，與之對應的數(shù)據(jù)權(quán)則是一種新型的財產(chǎn)權(quán)［20］。權(quán)利必定歸屬于某個主體。由于數(shù)據(jù)天然的流通性和分享性，民事主體難以對其實現(xiàn)獨占和控制。同一數(shù)據(jù)很可能同時處于多個主體的控制之下，使得相應的主體對數(shù)據(jù)的收益權(quán)和處分權(quán)無法得到保障，從而導致權(quán)利客體處于一個不確定的狀態(tài)。而個人數(shù)據(jù)由于兼具人身和財產(chǎn)雙重屬性，且直接涉及公民的基本權(quán)利，對其權(quán)利的歸屬和界定應更為謹慎。然而，在物聯(lián)網(wǎng)環(huán)境下，數(shù)據(jù)的交互更為密切、流轉(zhuǎn)更為廣泛，這使得對個人數(shù)據(jù)的確權(quán)也更為困難。例如，智能汽車收集到的數(shù)據(jù)會在用戶、汽車、道路、數(shù)據(jù)處理云端之間動態(tài)傳輸，數(shù)據(jù)交互的范圍較傳統(tǒng)互聯(lián)網(wǎng)進一步擴大，所涉及到的對象也更多。筆者認為，對于物聯(lián)網(wǎng)環(huán)境下個人數(shù)據(jù)的確權(quán)，應在平衡多方數(shù)據(jù)利益、充分考慮技術(shù)設計與社會治理邏輯的基礎上，構(gòu)建多元的數(shù)據(jù)安全法律保護模式。

四、物聯(lián)網(wǎng)環(huán)境下個人信息保護的優(yōu)化路徑

物聯(lián)網(wǎng)個人信息安全存在著收集信息的過程缺乏透明度、告知同意規(guī)則流于形式、物聯(lián)網(wǎng)信息處理者對用戶個人信息處理過度、數(shù)據(jù)流轉(zhuǎn)頻繁導致確權(quán)困難等現(xiàn)實風險。這些問題如果不能得到妥善解決，不但會直接侵犯用戶的個人信息權(quán)利，還將大大降低人們對物聯(lián)網(wǎng)的信任和接受度。物聯(lián)網(wǎng)設備廣泛用于城市管理、安保、交通控制、應急救援等領域，如果安全保護不到位，就可能會對社會治理和公共安全產(chǎn)生負面影響，最終影響物聯(lián)網(wǎng)行業(yè)的長遠發(fā)展。筆者認為，針對問題，應從整體上對物聯(lián)網(wǎng)個人信息全生命周期的管理進行規(guī)范和設計，從而充分保護物聯(lián)網(wǎng)背景下的個人信息權(quán)利。

（一）完善提示機制，貫徹透明原則

物聯(lián)網(wǎng)設備在收集個人信息時普遍缺乏透明度，這侵害了個人信息主體的知情權(quán)。保證用戶在使用物聯(lián)網(wǎng)服務之前充分知曉其可能面臨的個人信息風險，是物聯(lián)網(wǎng)服務提供者應盡的義務。筆者認為，針對物聯(lián)網(wǎng)領域中收集個人信息的隱私協(xié)議普遍不能有效展示的問題，應通過引入安全隱私標簽制度加以解決。

一是完善物聯(lián)網(wǎng)信息收集的提示機制。為充分保障個人信息主體的知情權(quán)，物聯(lián)網(wǎng)服務提供者應在設備收集用戶個人信息之前，通過在設備的顯示屏顯示或向用戶手機發(fā)送短信等方式，明確給予用戶該設備將要收集其信息的提示。在信息收集完成后，物聯(lián)網(wǎng)服務提供者還應定期向用戶提供使用其個人信息數(shù)據(jù)的報告，如訪問其位置的頻率等。此外，對于處于公共領域的物聯(lián)網(wǎng)設備，其所有者除了應在周圍環(huán)境的醒目位置充分提示該設備的存在之外，還應通過讓民眾掃描二維碼等方式，清楚地告知該設備的名稱、制造商、IP 地址等信息。

二是貫徹全周期的透明原則。對個人信息的保護將成為差異化物聯(lián)網(wǎng)產(chǎn)品的關(guān)鍵，對于描述不屬實的產(chǎn)品，用戶有權(quán)依據(jù)消費者權(quán)益保護法予以追償。因此，應將透明原則貫徹物聯(lián)網(wǎng)設備的整個生命周期。在購買階段，物聯(lián)網(wǎng)服務提供者就應對消費者做清晰的產(chǎn)品信息介紹，如該設備有哪些傳感器、用戶對其有什么控制權(quán)、數(shù)據(jù)的儲藏方式等。在使用階段，物聯(lián)網(wǎng)服務提供者應明確地在設備上標注或是在附帶的應用程序中提供可查閱隱私協(xié)議的路徑，并在協(xié)議中以簡明易懂的語言，真實、準確、完整地向用戶告知相關(guān)的個人信息處理事項，以此來充分避免用戶同意隱私協(xié)議的時間早于發(fā)現(xiàn)或瀏覽隱私協(xié)議內(nèi)容的時間［21］。在淘汰階段，物聯(lián)網(wǎng)服務提供者應在用戶停止使用該物聯(lián)網(wǎng)設備時，提供銷毀已收集信息數(shù)據(jù)的服務。

三是引入安全隱私標簽制度。Knijnenburg 等人提出了物聯(lián)網(wǎng)安全隱私標簽的概念，這種安全隱私標簽，參考了食品包裝上的營養(yǎng)成分表，試圖將關(guān)鍵信息以簡單、標準化的格式傳達給消費者［22］。物聯(lián)網(wǎng)安全隱私標簽可印制在任何物聯(lián)網(wǎng)設備的包裝上，它可以包含有關(guān)設備數(shù)據(jù)實踐的所有關(guān)鍵信息，如數(shù)據(jù)收集目的、數(shù)據(jù)存儲位置、數(shù)據(jù)共享實踐等。這可以讓用戶通過閱讀此類標簽，便在購買設備前對產(chǎn)品進行了解，進而作出選擇。目前，安全隱私標簽還尚未被物聯(lián)網(wǎng)設備制造商采用，但已在其他領域投入實踐。蘋果公司就于2020 年12 月8 日起，要求App Store 應用開發(fā)者通過標注隱私標簽，向用戶提供新的隱私細節(jié)，以便用戶在任何蘋果平臺上下載應用程序之前，了解應用程序的隱私保護措施。筆者認為，這項制度也可以廣泛應用于物聯(lián)網(wǎng)領域。政府應制定國家標準來對隱私標簽加以規(guī)范，并由國家市場監(jiān)督管理總局對其進行監(jiān)管，從而更為方便、高效地提示物聯(lián)網(wǎng)設備使用者可能存在的個人信息風險。

（二）以合法為中心，重構(gòu)告知同意規(guī)則

流于形式的知情同意對于保護個人信息的作用是微小的。為充分發(fā)揮告知同意原則在個人信息利用中作為授權(quán)機制和免責機制的功能，筆者認為有必要進一步豐富此原則。具體來說，涉及以下3 個方面。

首先，為防止隱私條款侵害用戶權(quán)利，應加強事前階段的保護。告知同意原則不僅是一種授權(quán)機制，而且是物聯(lián)網(wǎng)服務提供者的免責機制。流于形式的知情同意，會使這一機制失去效力。而用戶往往只有在其權(quán)利被侵犯時，才會注意到當初簽訂的協(xié)議中存在著不公平、不合理的要求。因此，加強告知同意原則事前階段的保護很有必要。合法性是隱私協(xié)議的首要要求。對于隱私協(xié)議中違反強制性管理規(guī)定且明顯不合理、不平等的條款，即使該協(xié)議取得用戶同意，也不能成為物聯(lián)網(wǎng)服務提供者的免責事由。同時，在確立了以合法性為中心的個人信息保護制度后，還需明確取得個人同意是個人信息處理的基本前提。在事前階段，為取得用戶的同意，物聯(lián)網(wǎng)服務提供者不僅需要向用戶詳細解說其義務，而且需要針對不同的用戶主體確定其不同的責任，如對于未成年人和與時代脫節(jié)產(chǎn)生數(shù)字鴻溝的老年人，物聯(lián)網(wǎng)服務提供者應加以區(qū)別對待和特別保護。

其次，針對隱私協(xié)議不可讀、不能改的現(xiàn)象，優(yōu)化同意的形式是解決這一問題的關(guān)鍵。通常在簽訂隱私協(xié)議時，用戶主要通過點擊條款中的“同意”按鈕來表示對協(xié)議的認可。這種形式雖然便捷高效，但卻不夠慎重。面對冗長、專業(yè)的協(xié)議條款，大多數(shù)用戶為盡快享受服務，總是簡單瀏覽協(xié)議便點擊“同意”?？梢哉f，按鈕形式的“同意”在一定程度上弱化了用戶在簽訂協(xié)議時的謹慎心理。對此，筆者認為，對于用戶表示同意的形式，可由點擊條款中的“同意”按鈕改為出具電子簽名。簽名不但天然帶有締約的內(nèi)涵，而且能廣泛適應于不同情況的同意需求［23］。電子簽名作為簽名的一種形式，亦充分強調(diào)了隱私協(xié)議的合同屬性，已在銀行、證券公司的業(yè)務辦理中廣泛使用。物聯(lián)網(wǎng)服務提供者在與用戶簽訂隱私協(xié)議時完全可以借鑒這一形式，必要時還可將協(xié)議中可能會影響用戶決策的重要條款單獨摘出，通過再次簽名的方式加以二次確認，從而盡到最大的告知義務。而針對隱私協(xié)議通常為固定格式，無法單獨修改，只能以“全有或全無”的方式適用等問題，筆者認為，物聯(lián)網(wǎng)服務提供者可向用戶提供不同版本的隱私協(xié)議，或?qū)f(xié)議中的部分適用條款調(diào)整為可選項，通過分別設置“選擇適用”和“一鍵同意”等選項加以解決。

最后，針對隱私協(xié)議變更通知不明顯、不及時導致其未能充分起到提示作用的問題，需進一步完善隱私協(xié)議的變更通知方式?！秱€人信息保護法》在第14、17、22、23 條中明確指出，個人信息處理發(fā)生變更的，應當重新取得個人同意。隱私協(xié)議的更新可分為兩種類型：一類是涉及可能影響用戶決策、關(guān)于用戶敏感信息的重要條款更新；另一類是不涉及上述內(nèi)容的普通條款更新。在物聯(lián)網(wǎng)設備的使用過程中，用戶極有可能遇到因未能及時登入應用程序查看更新的協(xié)議而影響使用的問題。如協(xié)議的更新內(nèi)容涉及第一類情況，物聯(lián)網(wǎng)服務提供者應在第一時間以顯著方式提醒用戶協(xié)議已更新，并即刻暫停設備的運行，待用戶查看更新后的協(xié)議并表示認可后再繼續(xù)提供服務。但如果存在信息收集緊迫性的情況應除外，例如行駛中的智能汽車。如協(xié)議的更新內(nèi)容涉及第二類情況，物聯(lián)網(wǎng)設備服務提供者可在不中斷服務的情況下，第一時間以顯著方式對用戶進行提醒，并指定一個接受新條款的期限。到期后，若用戶仍未查看并認可新的條款，則應當暫停設備的運行，待用戶查看更新后的協(xié)議并表示認可后再繼續(xù)提供服務。

（三）規(guī)范個人信息使用，完善事后救濟

物聯(lián)網(wǎng)設備的自動識別與推斷功能已對個人信息主體的自主選擇產(chǎn)生干擾和影響，并導致歧視現(xiàn)象的發(fā)生。安全優(yōu)先的價值取向要求，物聯(lián)網(wǎng)服務提供者在處理和利用個人信息的過程中應充分保障用戶個人信息的安全。而在信息的處理階段，政府、行業(yè)與物聯(lián)網(wǎng)服務提供者的共建共治，可以避免個人信息不恰當使用情況的出現(xiàn)。

其一，合理使用個人信息。在用戶充分知情并授權(quán)的前提下，物聯(lián)網(wǎng)服務提供者應履行安全保護義務，嚴格依據(jù)信息處理目的對個人信息進行使用和加工。此處的“處理目的”要從兩個方面去理解。一是應與用戶簽訂的隱私協(xié)議中的處理目的保持一致，不得超出隱私協(xié)議的范圍。二是對信息的處理需滿足正當原則與必要原則，告知同意不能成為排除侵權(quán)事由的唯一理由，即物聯(lián)網(wǎng)服務提供者不得在未經(jīng)用戶允許的情況下，對用戶個人信息過度使用和加工，如擅自通過分析用戶相關(guān)信息，推斷出用戶的私人活動情況，并以此服務于自己或他人的商業(yè)用途。同時，在對個人信息進行處理的過程中，應盡量進行脫敏處理。用戶個人信息的保存期限，應為實現(xiàn)處理目的所需要的最短時間，物聯(lián)網(wǎng)服務提供者在達到信息處理目的后，應及時刪除用戶的個人相關(guān)信息，不得備份或重復利用。

其二，加強政府監(jiān)管與行業(yè)自律。在法律性質(zhì)上，《個人信息保護法》具有公法屬性，要求公權(quán)力對個人信息保護發(fā)揮作用。物聯(lián)網(wǎng)作為我國戰(zhàn)略性新興產(chǎn)業(yè)的重要組成部分，在迅猛發(fā)展的同時，需要政府及相關(guān)監(jiān)管機構(gòu)充分發(fā)揮引導和管理的作用。國家應積極出臺物聯(lián)網(wǎng)及其細分領域的法律法規(guī)，并制定統(tǒng)一的國家標準，對物聯(lián)網(wǎng)環(huán)境下個人信息安全保護的一般要求、技術(shù)規(guī)范作出規(guī)定。相關(guān)工會和行業(yè)自治機構(gòu)也應制定相應的自律規(guī)范，對這一領域的法律規(guī)范作出進一步的補充，以此形成行業(yè)內(nèi)部的良性競爭，保障物聯(lián)網(wǎng)行業(yè)的可持續(xù)發(fā)展。

其三，完善事后救濟。事后救濟主要圍繞對不當使用個人信息行為的處罰以及向利益被損害方提供相應的救助兩方面來展開。告知同意原則是信息處理者收集并使用用戶個人信息的權(quán)利基礎。物聯(lián)網(wǎng)服務提供者未經(jīng)用戶同意多次擅自使用或超出處理目的使用用戶個人信息的行為，均是對告知同意原則的破壞和對用戶個人信息權(quán)利的侵犯，應依據(jù)法律規(guī)定對其進行處罰。尤其對于國家機關(guān)公務人員的這類侵權(quán)行為，應當給予特別處罰，具體可參照《中華人民共和國公務員法》等行政法中關(guān)于責任與事后處理的相關(guān)規(guī)定。同時，國家相關(guān)網(wǎng)信部門還應完善投訴機制、設立黑名單制度以及開展維權(quán)咨詢和指導業(yè)務，及時、合理地處理有關(guān)告知同意原則的侵權(quán)問題，提高物聯(lián)網(wǎng)用戶維權(quán)的效率。

（四）明確個人數(shù)據(jù)權(quán)屬，加強平臺保護

厘清數(shù)據(jù)的權(quán)屬是保護個人信息數(shù)據(jù)的前提。物聯(lián)網(wǎng)所采集的個人信息數(shù)據(jù)可以分為底層數(shù)據(jù)、匿名化數(shù)據(jù)和衍生數(shù)據(jù)。其中，底層數(shù)據(jù)是指可能含有個人隱私信息的原始數(shù)據(jù)；匿名化數(shù)據(jù)是指經(jīng)過脫敏技術(shù)處理后無法識別具體個人的數(shù)據(jù)；衍生數(shù)據(jù)是指經(jīng)過數(shù)據(jù)清理、數(shù)據(jù)可視化等技術(shù)手段加工后的改造數(shù)據(jù)［24］。不同類型的數(shù)據(jù)應有不同的權(quán)屬。洛克的勞動財產(chǎn)理論為數(shù)據(jù)確權(quán)提供了理論依據(jù)。根據(jù)該理論，只要個人使任何東西脫離自然所提供的和那個東西所處的狀態(tài)，就意味著他在這個東西上摻進了自己的勞動，從而使這個東西成為他的財產(chǎn)［25］?；谶@個理論，數(shù)據(jù)權(quán)的權(quán)利人包括對數(shù)據(jù)注入勞動的人。數(shù)據(jù)權(quán)保障的不僅是原始數(shù)據(jù)本身，而且包括對其開發(fā)利用、二次增值以及加工處理后的數(shù)據(jù)產(chǎn)品。因此，筆者認為，在物聯(lián)網(wǎng)領域應對底層數(shù)據(jù)、匿名化數(shù)據(jù)和衍生數(shù)據(jù)作如下權(quán)利歸屬劃分。底層數(shù)據(jù)由用戶對設備的使用而產(chǎn)生，其權(quán)利毋庸置疑應屬于用戶本人。匿名化數(shù)據(jù)是數(shù)據(jù)處理者對底層數(shù)據(jù)進行脫敏處理后形成的數(shù)據(jù)，且已排除數(shù)據(jù)的可識別性，其權(quán)利應歸數(shù)據(jù)處理者所有。衍生數(shù)據(jù)是數(shù)據(jù)處理者在用戶授權(quán)范圍內(nèi)，通過對底層數(shù)據(jù)的二次加工而形成的數(shù)據(jù)。因此在用戶授權(quán)的范圍內(nèi)，該數(shù)據(jù)處理者就其對數(shù)據(jù)付出增值性勞動的部分享有權(quán)利。數(shù)據(jù)處理者盡管大多數(shù)情況下是物聯(lián)網(wǎng)服務提供者或其外包機構(gòu)，但有時也會是用戶本人，相應產(chǎn)生的衍生數(shù)據(jù)也應歸屬于該用戶。需要注意的是，若用戶在未經(jīng)許可的情況下，對物聯(lián)網(wǎng)設備采集的他人的數(shù)據(jù)擅自進行處理，也同樣屬于侵權(quán)行為。

在完善數(shù)據(jù)分類保護、明確數(shù)據(jù)權(quán)利歸屬的同時，還應強調(diào)并落實網(wǎng)絡平臺對個人信息數(shù)據(jù)的保護責任。數(shù)據(jù)安全保護存在時效性，只有網(wǎng)絡平臺能夠?qū)τ脩舻膫€人信息安全進行充分、及時的保護。因此，物聯(lián)網(wǎng)平臺應以數(shù)據(jù)市場的參與者、數(shù)據(jù)管理的輔助者身份充分參與數(shù)據(jù)治理，承擔起對用戶個人信息管理與保護的責任。具體來說，物聯(lián)網(wǎng)平臺應具有以下3 個方面的能力。一是數(shù)據(jù)匯聚、數(shù)據(jù)開發(fā)的能力。二是技術(shù)創(chuàng)新，對平臺及設備不斷進行技術(shù)升級的能力，即充分優(yōu)化數(shù)據(jù)處理方式，提升數(shù)據(jù)處理的能力。三是數(shù)據(jù)安全和隱私保護能力。平臺應落實對數(shù)據(jù)的分類、分級，根據(jù)不同的數(shù)據(jù)類型配備相應的數(shù)據(jù)安全保護措施，并以數(shù)據(jù)控制者的身份防御任何針對用戶個人信息數(shù)據(jù)的非法入侵。

五、結(jié)語

在萬物互聯(lián)的時代，人、機、物的互聯(lián)互通全面而深刻地改變著人們的生活。個人信息安全保護成為物聯(lián)網(wǎng)發(fā)展必須面對的課題。以安全優(yōu)先為價值取向的個人信息保護，是物聯(lián)網(wǎng)行業(yè)可持續(xù)發(fā)展的基礎。在物聯(lián)網(wǎng)背景下優(yōu)化對個人信息的保護，應進一步完善提示機制，貫徹透明原則；以合法為中心，重構(gòu)告知同意規(guī)則；規(guī)范個人信息使用，完善事后救濟；明確個人數(shù)據(jù)權(quán)屬，加強平臺保護。