個人數據保護問題與對策

何培育　童婭

【摘要】近年來企業個人數據泄露事件頻發，信息安全形勢日益嚴峻，信息主體所享合法權益正不斷受到侵害，探索企業個人數據安全保障機制迫在眉睫。應當在對企業個人數據的獲取、使用、管理以及保護等情況進行現狀考察的基礎上，結合企業在個人數據處理各個環節中存在的問題，從企業管理、司法保護以及行政監管三個層面加以應對。

【關鍵詞】個人數據保護 網絡安全 權利與義務

【中圖分類號】DF52 【文獻標識碼】A

企業個人數據處理問題現狀梳理

企業個人數據收集環節存在的問題。個人數據的收集環節即指為了更好地為生產經營而服務，企業通過各種途徑將大量零散的個人數據聚集整合在一起的過程。企業收集個人數據的范圍廣泛、途徑多樣，但在收集過程中存在一些問題。

其一，收集方式合法性問題。企業主要以通過注冊、訂購等正當業務途徑方式收集用戶個人數據；通過企業招聘、雇傭方式收集企業內部員工信息。也有企業通過記錄、收集用戶操作行為等方式獲得用戶瀏覽信息或通過個人數據買賣、交換等方式獲取個人數據。通過注冊、訂購、招聘、雇傭等方式獲取個人數據是在信息主體明示或默示的基礎上的進行的收集行為，而通過記錄、收集用戶的操作行為、上網習慣等方式獲取相關個人數據的行為，多數企業未告知信息主體并經其同意，即未經過信息主體許可授權，因此此類收集方式上存在一定的非法性。還有一些企業通過從其他機構或者個人處購買、相互交換等方式獲取個人數據。這種收集行為主要在企業與信息交易機構或個人、企業與企業之間進行，信息主體一般無法得知，更無法參與其中，因此該交易、交換行為屬于根本未獲得信息主體同意的情況下進行的非法收集行為。①

其二，收集程序正當性問題。正當的收集程序應當是基于企業與信息主體之間雙向的告知—同意的過程，企業在收集個人數據之前需要告知信息主體，同時在征得其同意之后，才能開始對個人數據進行正當地收集。②而目前大多數企業缺少履行告知—同意環節，多以企業單方面的收集為主。收集程序中的關鍵環節的缺失，導致其正當性存在問題。

其三，收集用途明確性問題。企業所收集的個人數據的范圍較為廣泛，不僅包括如姓名、性別、聯系方式、住所等基本身份信息，也包括了收入水平、財務狀況、消費能力等帶有財產性質的信息，更包括了個人喜好、生活習慣、想法意愿等與精神活動相關的信息。但在企業收集個人數據后的用途方面，只有較少的企業能夠較為充分地發揮個人數據的作用，多數企業未能充分發掘個人數據的具體價值所在，出現使用用途不明確或者用途單一的情況，無法充分地讓個人數據為生產經營服務。同時另有部分企業雖有明確用途，但過度收集與其用途無關的個人數據。

企業使用個人數據中存在的問題。當企業獲取個人數據后，將會對個人數據進行處理并使用，個人數據將會進入使用環節。企業應依據收集時由信息主體同意的明確的用途使用個人數據，同時允許并協助信息主體查看其信息的使用情況。但是在實際的使用過程中，企業常會存在出現違規行為。

一是未經授權的擅自使用。在企業收集個人數據時或者使用個人數據前，需向信息主體進行信息用途的明確說明，經過信息主體的同意之后，才能合法使用該個人數據。同時，須明確的是，企業只能在信息主體授權的范圍內使用該信息，不能在未經過信息主體同意的其他用途中使用。但是在現實的調研情況來看，很少有企業會在收集時或者使用前向信息主體進行說明并經其同意再使用。

二是超出權利范圍使用。部分企業在經授權的使用過程中，因為存在授權內容不明確，權利限制不清楚等問題，加上許多企業缺乏個人數據使用的正確觀念，因而常存在超出權利范圍的使用情況發生，例如，未經用戶許可的公開，個人數據非法交換、交易等行為。

企業個人數據管理機制缺失。當前多數的企業對個人數據管理方面均適當的采取了一定的措施，例如：聘用專職人員管理個人數據并且接觸人員范圍受限，制定嚴格的信息管理制度，并嚴格實施遵守，建立專業的個人數據數據庫，定期整理、更換、刪除個人數據。但是多數企業未對個人數據管理問題納入企業管理體系中。企業在存儲、使用、管理與保護個人數據時，均存在信息泄露風險、侵害信息主體權益等問題。

一是個人數據存儲方面。企業在收集到個人數據后，大多僅僅進行簡單的錄入、歸檔保存，缺少專業的個人數據存儲數據庫，存儲方式簡陋，存儲安全性被忽略，加大了個人數據泄露的風險。

二是個人數據使用方面。企業未制定專門的個人數據使用準則，也沒有規制使用人員的行為，對使用人員只要以為生產經營服務為目的的個人數據使用行為均持默認態度，對其是否存在違法違規行為也未及時制止，因而經常出現擅自使用、超范圍使用個人數據等情況。

三是個人數據管理方面。多數企業安排內部工作人員兼職管理或者未安排人員管理，由于管理人員專業性受限以及其他主要事務繁忙，很難充分履行個人數據以及數據庫的定期維護與更新、無用信息刪減等職責，也無法保證個人數據的安全問題，個人數據泄露現象時有發生。多數企業認為獲得個人數據后，即享有個人數據的所有權，在完成與信息主體約定的使用之后，可以自由對個人數據進行處分，對于達到收集時公告的使用目的的個人數據繼續予以存儲使用；在未經過信息主體的許可下，以贈送、買賣等形式轉移給第三人。

個人數據保護法律關系主體權利義務邊界模糊

個人數據保護法律關系中，企業與個人數據提供者作為法律關系的主體對個人數據享有權利并承擔義務，同時個人數據提供者也應享有對等的權利與義務，但是雙方權利與義務的具體內容目前仍則處于模糊狀態，不利于個人數據保護。

信息獲取環節中存在的權利與義務內容明確問題。在個人數據正當獲取的環節中，企業與信息主體的主要行為及步驟包括：第一，企業充分告知信息主體的收集行為，包括收集內容、收集目的、收集方式等情況；第二，信息主體明確知曉企業收集行為，并對收集情況有充分認識；第三，信息主體決定是否同意企業的收集行為；第四，征得信息主體同意之后，企業開始以所告知方式收集個人數據。但在實際企業收集個人數據時，企業與信息主體均未充分明確自身的權利與義務，導致企業與信息主體經常發生不知曉自身知曉收集行為的權利、消極行使同意收集的權利、怠于履行告知收集義務、超出權利范圍收集信息等情況。

信息使用環節存在的權利與義務內容明確問題。在信息使用環節中，企業應當嚴格按照在收集時告知的收集目的進行個人數據的使用，在使用期間，信息主體應當可以知曉企業對其個人數據的使用情況以及是否存在違反約定使用行為。因此企業應當負有按約定使用個人數據的義務，而信息主體則享有知曉企業使用情況并及時終止企業不當使用行為的權利。但是實際操作中，信息一旦被企業收集，信息主體往往難以獲知其信息的使用情況，同時，信息主體不明確其享有的權利，或者雖知曉但怠于行使，而企業更存在信息獲取后即屬于企業自身財產隨意交易與處分，對應當履行的義務視而不見。

信息管理與保護環節存在的權利與義務不明確。在信息管理環節中，企業應當對信息進行充分合理的管理，降低信息泄露風險，保證信息的安全性，在此基礎之上企業可以在一定限度范圍內對信息進行加工處理、整合等，以提取有價值信息。對于信息主體而言，應當能夠獲知其信息的管理情況、安全狀態，可以要求企業對所管理的自身信息進行修改、刪除。而實際情況中，企業對管理、保護信息安全，防止信息泄露的安全保障工作并不到位，多數企業認為個人數據已屬于自身財產而又無明顯價值，故在管理方面存在懈怠心態，缺乏信息保護意識，不明確保護義務等情況較為普遍。而信息主體對于能夠提出的刪除、修改等權利基本不知曉，更未提出過刪除、修改個人數據等要求，而就算提出，企業也幾乎未曾理會。

企業個人數據保護對策探析

完善企業個人數據管理機制。第一，收集個人數據環節。企業為了精準營銷與更好的推銷自己的產品，往往會以各種方式收集顧客的個人數據，而在收集個人數據環節，企業應注意遵循以下原則：告知同意原則：應告知其收集個人數據的目的及用途，且若信息主體不同意，須立即刪除其收集的個人數據；保障安全原則：應對收集到的信息采取合理的安全措施保護個人數據，以防止個人數據泄露或落入不法分子手中；合法收集原則：應從正規渠道獲取個人數據，不得以非法竊取、購買手段獲取個人數據。

第二，使用個人數據環節。企業所收集到個人數據對于自身將生產的產品或提供的服務具有指導性作用，而企業在對這些信息加以整理、分析的過程中，應遵循以下原則：指定用途原則：應依據明確的用途并經信息提供者同意后方可使用個人數據；客戶查看原則：應允許并協助個人數據提供者查看其信息的使用情況。③

第三，處理個人數據環節。企業對于已達到收集個人數據時所告知的使用目的及范圍后，對于個人數據的處理應遵循以下原則：主動刪除原則：應主動將與客戶個人數據的相關內容全部作不可恢復刪除；繼續授權原則：若想將個人數據存檔以便將來使用，須再次征得信息主體同意、授權。

加強個人數據司法保護。第一，明確信息主體和企業的權利義務。 明確不同信息主體的權利義務是完善企業對于個人數據規制的重要問題，要求在保護信息主體權利的前提下不能剝奪企業對于個人數據合理利用的權利。信息主體享有對于其個人數據是否被收集、利用以及其個人數據在何時、基于何種目的、以何種方式進行處理的決定權。而企業在被授權的條件下，享有在于授權范圍內對于個人數據的收集、使用、處理的權利。④具體而言，分為以下幾個方面。

一是信息主體的權利與義務。信息主體的主要權利包括：知情權：指信息主體對于企業收集、使用、處理個人數據的行為及范圍享有知情的權利；選擇權：指信息主體有權選擇自己的個人數據是否被企業收集、使用、處理；查看權：指在不侵犯企業商業秘密的前提下，信息主體享有查看自己的個人數據被使用情況；刪除權：指信息主體有權要求企業對于已達到收集個人數據時所告知的使用目的及范圍后將其刪除；賠償請求權：指當個人數據因企業的疏忽管理或直接泄露等原因受到損害時，信息主體享有要求企業賠償的權利。信息主體對于企業來講處于一個相對弱勢的地位，但在法律義務方面，信息主體在授權企業對自己的個人數據進行管理的同時應遵循信息真實原則。

二是企業的主要權利與義務。企業在收集個人數據時告知的使用目的并且其目的不違反法律規定的情況下，享有對收集個人數據的使用、收益、處分權。同時要履行以下義務：收集告知義務：指企業在收集個人數據時附有告知信息將在 何種范圍內作何種用途的義務；使用有限原則：指企業只能在告知的范圍內使用個人數據，不得將其作其他用途；保障安全義務：指企業在管理個人數據的過程中，附有保障個人數據不被泄露、盜竊的義務；主動刪除義務：指企業在既定范圍內使用完個人數據后，應主動刪除個人數據及相關內容；賠償損害義務：指企業未采取合理、有效措施保障個人數據安全以致被不法分子竊取、泄露作其他用途，應對用戶造成的損害給予適當賠償。

第二，對于侵權行為及責任的分析。當前企業對于個人數據保護還存在諸多不足，容易發生以下幾種侵權行為。

非法收集個人數據：為了促進生產力發展，企業往往會收集潛在客戶的個人數據以準確的捕獲他們的需求。除了一些正常手段收集個人數據外，還可能存在從非正當渠道獲取個人數據的情形，比如違法竊取、購買客戶信息。但應該明確的是，個人數據作為一種人格權應該受到保護，信息主體對于個人數據的收集享有知情權，若企業未將信息處理的方式及范圍告知信息主體及未獲授權情況下非法收集個人數據，可能會對信息主體造成損害，應承擔侵權責任。信息主體有權要求企業停止侵權，并賠禮道歉，若因為其侵權行為對信息主體造成損失的，應當賠償損失。過度使用個人數據：企業會根據生產需求對收集到的個人數據進行篩選、整合，最后形成一個對有用的數據庫。由于不同的信息組合后會形成新的數據資料，企業應在告知信息主體收集目的范圍內使用其個人數據，若過度使用可能會違背信息主體授權時的意愿，信息主體有權要求企業停止侵權、并賠禮道歉，若因為其侵權行為對信息主體造成損失的，應當賠償損失。擅自處理個人數據：指企業未經信息主體同意，擅自將其個人數據與第三方共享。企業在既定范圍內使用完個人數據后，應主動刪除個人數據。若將其擅自出售、分享給其他企業，如保險公司、推銷公司可能導致其個人數據被作為盈利工具不正當使用，給信息主體生活帶來困擾。信息主體有權要求企業賠償因其侵權行為造成的損失，并賠禮道歉。

加強行政監管。監督機制不完善，就難以防止公權力濫用、私權益受損。但是目前我國對于個人數據安全行政監管存在諸多問題。從監管規范上來看，應當不斷制定完善政府機關、企事業單位收集、使用個人數據的標準體系，使行政監管有法可依，建議將《信息安全技術公共及商用服務信息系統個人信息保護指南》針對不同行業領域的情況加以完善并作為強制性的指導規范。從監管效力上看，應當賦予監管主體一定的行政處罰權，當發現相關政府部門、企事業單位在收集、分析、使用個人數據的過程中存在違法行為的，有權對其實施行政處罰，行政處罰認定結果應當與社會征信系統相連接，加大對侵犯個人數據違法行為的遏制力度。

（作者單位：重慶理工大學知識產權學院；本文系2015年重慶市教委人文社科研究項目“網絡環境下個人數據保護問題研究”和2015年重慶市社會科學規劃項目“大數據時代個人數據信息隱私安全風險及應對機制研究”的階段性成果，項目編號：15SKG137、2015YBGL110）

【注釋】

①張錫田，范曉蔚：“論個人信息的非技術性保護”，《檔案學研究》，2013年第3期。

②王忠，殷建立：“大數據環境下個人數據隱私治理機制研究”，《技術經濟與管理研究》，2014年第8期。

③孫凡：“企業個人信息使用及保護業務的框架研究”，《中央財經大學學報》，2015年第7期。

④齊愛民：《私法視野下的信息》，重慶大學出版社，2012年。

⑤何培育：“網絡交易消費者的個人信息保護 ”，《中國流通經濟》，2014年第6期。

責編/王坤娜