我國個人信息法律保護面臨的困境與完善

◆王茹儀

?

我國個人信息法律保護面臨的困境與完善

◆王茹儀

（中國政法大學刑事司法學院北京 100088）

當前個人信息被嚴重濫用引發了社會信任危機，法律層面的保護也面臨著一系列的難題，立法體系存在漏洞，刑法過度涉足，專門立法缺失，用戶對信息控制權的薄弱也導致信息保護規則難以切實發揮效用。要解決這一系列問題，必須從多元化的角度完善信息法律保護的整體架構，尤其注重優化現有的信息收集處理規則，突破僵化的瓶頸，同時結合企業內部的自律，進行公私合治。同時仍應當做好技術和監督等方面的保障，以此實現信息社會的平穩發展。

信息濫用；控制權；信息收集處理規則；多元完善角度

0 前言

當前互聯網企業憑借著其技術和信息的優勢地位，在商業利潤的驅使下，過度收集利用信息，擠壓并侵犯用戶權益。然而，我國信息立法起步較晚，現有的個人信息法律保護較為滯后，面對實踐操作許多規則陷入失靈的困境。本文將對我國個人信息法律保護現存的弊病進行分析，著眼于提出相應的完善思路，使得個人信息權益能夠得到切實保障。

1 我國個人信息保護面臨的新挑戰

伴隨信息技術的不斷發展，互聯網企業成為最大的獲益者，其形成的“免費+增值服務”的商業模式以燎原之勢迅速俘獲了大批用戶，同時也對傳統線下產業造成了大幅沖擊。其在發展之初通過免費的方式吸引到了大批用戶，借此獲得了大量的用戶信息。此后對信息進行深度挖掘分析，為用戶精準地推送相關服務，賺取增值服務利潤的同時，也使得用戶對應用或平臺產生了依賴性。順應這種市場需求的熱度，企業或者平臺不斷拓展其所涉及的服務領域，整合各方面的資源，可以說形成了一個龐雜的生態系統，這一生態系統希望不斷吸引更多固定的用戶，最大限度地搜集和處理他們的信息。[1]在此過程中，用戶身份從消費者變相成為免費的勞動力、生產者。互聯網企業相對于用戶處于絕對的優勢地位，其對用戶信息的渴求和獲取手段也愈加肆無忌憚。

在信息收集環節，互聯網企業以各種程序為依托，私下搜集用戶信息。對用戶的訪問內容、訪問次數、興趣偏好、網站地址等進行詳細的記載和分析，不斷推出的新應用軟件實則監視著信息主體的一舉一動。另外，注冊登錄程序和實名認證制度的施行一方面對保障網絡環境安全起到一定的積極作用，但同時也迫使個人真實信息被動流出和被強制搜集。

在信息處理環節，首先，系統會根據人們的日常消費或偏好內容，對用戶進行分類，類似于“貼標簽”。大數據殺熟就是由此產生的一個現象，同一商品針對不同消費能力的群體會顯示不同的價格，繼而引發社會公平、消費者權益侵害等系列問題。其次，用戶信息的后續處理和轉手交易泛濫。用戶在一個應用軟件中的搜索記錄，會成為其他軟件進行推送的依據，卻并沒有經過用戶授權，如京東與淘寶，B站與網易云音樂。最后，脫敏技術效果正逐漸喪失。在大數據時代，借助綁定的其他來源獲得的間接識別信息（如IP 地址、標識符、廣告辨識碼等）或者關聯信息，最終也可以鎖定到信息主體。當前用戶信息面臨著嚴重被非法利用的風險，為相關民事侵權和刑事犯罪提供了可乘之機，不僅僅危害用戶的信息權益，也對用戶的人身財產乃至社會公共利益構成了威脅。

2 我國個人信息法律保護現狀

我國缺乏個人信息的專門立法保護，條款散布于多個部門法中，較為零散且缺乏細化措施。在此，主要從個人信息內涵的通說理解，整體的立法框架和信息收集處理規則三方面來闡述法律層面保護的現狀。

（1） “可識別性”為通說的個人信息界定

關于“公民個人信息”的概念刑法典自身未作規定，《刑法修正案（七）》和《刑法修正案（九）》也未作涉及，最高人民法院、最高人民檢察院發布的《關于依法懲處侵害公民個人信息犯罪活動的通知》（網安法之前）將個人信息從電子信息擴大到了所有類型的信息，《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（網安法之后）將反映特定自然人活動情況（行為信息）納入，但是內容存在牽強和自相矛盾之處[2]。因而當前更多的是將“廣義可識別性”界定作為通說，規定于《網絡安全法》第76條第5款中。

（2）當前個人信息保護立法體系

當前立法中，《網絡安全法》、《電子商務法》、《民法總則》、《刑法》、《侵權責任法》、《消費者權益保護法》是主要依據的規范。其中，《刑法修正案（九）》在原有涉及計算機罪名的基礎上修改和新增了相應罪名，例如拒不履行網絡安全管理義務罪，幫助信息網絡犯罪活動罪等，進一步延伸了幫助犯正犯化，預備犯正犯化的理論和擴張解釋的思路。《民法總則》111條規定個人信息受到法律保護，但仍未將其上升至權利的層面。《網絡安全法》第四章專章對網絡信息安全進行了明確的規定，為個人信息保護制度奠定了框架性規則。《侵權責任法》中也規定了一些和個人信息有關的權利，如不得侵犯姓名權、隱私權等。《消費者權益保護法》新增的29條規定了經營者收集、使用消費者個人信息應當遵守的規則和應采取的補救措施。

新出臺的《電子商務法》也對個人信息保護制度做出了相應強調，例如第23條規定了電子商務經營者在合規的基礎上搜集使用個人信息，第25條規定了電子商務經營者向有關主管部門的信息報送制度，并要求主管部門應當嚴格保密所涉的個人信息，不得泄露、出售或非法向他人提供，涉及企業數據處理企業和政府之間的關系。第31條則是對平臺經營者記錄保存信息和保障其安全的義務做出了規定。第18條提及廣告推送的問題，但只是規定參考《中華人民共和國廣告法》，條文頗為概括且爭議較大，專門的措施與落實還需要日后進一步完善。就整個法律體系而言，《電子商務法》一方面彌補了現有信息法律制度的不足，另一方面也有利于處理好與其他法律的銜接問題。

（3）個人信息收集處理規則

根據對前述立法條文的歸納，信息收集處理規則可以概括為以下幾個方面：

第一，有特定目的的限制收集。有特定目的的限制收集可細分為兩個規則：“有特定目的”和“限制收集”。應當按照特定的目，不得沒有、超出或改變目的范圍收集個人信息。要求必須在邊界內收集個人信息，不得越界收集與目的無關的其他個人信息，原則上應當直接向信息本人收集，尤其在涉及敏感個人信息時[3]。

第二，信息主體知情同意。我國《網絡安全法》將告知的主體限定于“網絡經營者”，第41 條僅規定告知的內容為“收集、使用信息的目的、方式和范圍”。第43條規定了信息的刪除權，若網絡運營者違反規定收集和使用信息，信息主體有權要求刪除。

第三，信息內容需要真實可靠。個人信息搜集者要確保信息內容準確，關注并重視個人信息的質量，并及時更新。

第四，收集處理過程保障安全。信息收集處理者不得非法向他人提供或出售所收集處理的信息，不得篡改、泄露或毀損信息內容，同時要采取相應的監控或加密技術予以保障。

3 當前個人信息法律保護面臨的困境

當前個人信息收集處理規則有效性的前提在于個人能夠有效行使其對個人信息的控制權利，并在理性判斷基礎上做出決定，對個人信息的保護偏重于信息主體的主觀意愿。[4]然而在面對現實中錯綜復雜的信息流動鏈條和利益關系時，這一系列規則逐漸顯得力不從心。

（1）“可識別性”理論在實際操作中面臨困難

《網絡安全法》第76條第五項對個人信息概念做出的“廣義可識別性”理解現雖已成為通說，具有一定的理論基礎，但是在實際操作中仍然存在著一些難題。一方面，就一些數據分析公司而言，在收集和處理單條信息時，均不具有可識別性，但是將所有單條信息綜合起來，則會呈現出對信息主體的清晰畫像，具有可識別性。另一方面，當前信息泄露對信息主體造成侵害并不一定需要識別到具體的身份。[5]例如，淘寶和許多歌曲、視頻軟件的每日推送，根據的僅僅是主體某一方面的愛好興趣相關信息。采用“可識別性”的標準并不能將其視為個人信息，由此將使互聯網企業間此類信息的交易肆虐泛濫，影響公民的生活并嚴重損害主體的其他權利。

（2）用戶對自身信息的控制和自決難以實現

信息收集處理者與用戶之間存在著嚴重的信息不對稱，收集者憑借其專業技術，天然地處于信息優勢地位，用戶則處于十分被動的境地。企業在處理該信息后可能與其他個人信息結合使用，也可能繼續多次轉手，甚至與數個交易對象同步進行交易。在此情況下，用戶對自身信息的流向，面臨的損害風險沒有全面的了解，無從預估，也無法介入流程，信息主體的整體控制力非常微弱。

（3）傳統知情同意的可操作性被弱化

一方面，雖然當前軟件APP使用前都會顯示用戶協議的彈窗，并讓用戶做出是否同意的選擇，但大多隱私條款聲明內容冗長用語晦澀，用戶難以仔細閱讀且完全理解；另一方面，如果用戶勾選“不同意”，則直接無法進入后續應用獲取服務，大多數用戶為了滿足自身的工作學習或生活需要而選擇同意，無奈放棄維護自己的信息權益，因此用戶面對信息收集處理實則沒有選擇，“知情同意”的原則成為虛設，甚至反而成為訴訟中企業抗辯的理由。

（4）傳統個人信息保護模式無法覆蓋特殊情形

隨著信息技術的發展，有一些信息的自身收集方式存在特殊之處，比如谷歌街景和百度全景地圖，采用的全景技術是通過專業相機將現實世界的空間場景捕捉下來，利用軟件將多幅平面照片拼接合成，并模擬成三維空間的360度全景景觀。[6]雖然全景地圖開發者已經通過打碼等方式對地圖中的人臉、車牌號等進行模糊處理，但是根據收入地圖中的其他景觀、標志、符號、體型等仍有可能識別出特定個人。[6]在此種情況下，傳統的個人信息保護模式將面臨失靈的難題。

（5）立法體系仍有待完善

總體而言，雖然前文提及《刑法》《民法總則》《網絡安全法》及相關法律法規已初步構建了我國個人信息保護體系，但我國的法律規則與當前信息資源的特點尚未完全配適。我國《個人信息保護法》遲遲未立，存在個人信息保護專門立法的空白，現有相關條文零碎分散、思路局限，缺乏全面完善的保護體系。我國至今明確沒有規定個人信息權，因而信息規制體系的權利基礎也存在模糊地帶。就部門法而言，在我國對于侵犯公民個人信息的行為，一直以《刑法》為準，其也因此成為主要的制裁依據。然而，個人信息的權源在于民法領域，刑法亦具有謙抑性，我國民事立法對個人信息的定性、損害填補與救濟措施缺乏詳細的規定。另外，在將刑法等傳統部門法內容擴張適用于網絡空間的過程中，能夠發現不同條文的解釋之間經常存在矛盾，缺乏統一和自洽的解釋體系。

4 個人信息法律保護的完善思路

完善個人信息保護制度，需要采取立法改進與企業自律的公私合治思路，其中立法改良的側重在于突破當前條文內容和思路的局限，優化相應規則以提高可操作性。同時補充專門立法，填補體系的空缺，進一步明確信息內涵與權利屬性，另外仍制定相應的配套措施幫助落實，綜合形成多方位的保障。

4.1 加強個人信息保護規則的可操作性

伴隨著數據的深度挖掘與利用，信息在產生后與主體幾乎分離，以控制論為核心和前提的信息收集處理規則很難有效應對大數據時代個人信息保護面臨的新挑戰。要解決這一問題，需要針對當前規則的癥結之處進行改良，同時融合補充新的途徑。

（1）使“虛設”的告知同意規則“落地”

一方面，對傳統告知同意規則進行細化和優化，實現信息處理過程的全公開。告知是取得同意的前提，應擴大告知義務主體的范圍，將個人信息的收集、利用、存儲和分享者等各類企事業單位包括在內。應擴大告知內容的范圍，除了目的、方式和范圍，搜集人的基本信息，存儲的期限以及是否向第三方提供、第三方的信息（若需要向第三方提供）外，不提供個人信息可能受到的不利后果，信息主體具有的權利和救濟途徑都應當包括在內。分階段和多次收集的，要逐次告知；持續收集的，須給予用戶選擇退出的機會。若在后期處理過程中超出收集時告知的目的和使用范圍，也須及時告知信息主體，并再次取得同意。同意就是在告知的基礎上，權利人做出自由意思表示。同意需要注意以下四點：同意選項要有顯著標識；作為權利人任何時候都可以撤銷同意；雙方地位懸殊時，同意并不代表合法；由收集使用人承擔舉證責任。同意的方式宜采取清晰、真實意愿的書面同意，在個別不便采取書面方式的情況下，可以在保障信息主體真實意愿的前提下采取口頭方式。當然，當涉及國家公務、法定義務、社會公共利益、第三方重大權益或者有明確證據證明信息主體已經知曉該事項時，可以免除該項義務。企業提供的隱私聲明或個人信息保護協議中，應當對事關用戶權益的關鍵條款和詞語，用加粗、放大、標記或更改顏色等明顯的方式進行提醒。同時需要對聲明和協議的內容進行精簡，采取通俗易懂的表達。另外，應當對不同場景下用戶同意的自主性做出評估[7]，在知情同意原則中最大限度地保障用戶的自由意志。

另一方面，轉變用戶被迫同意的無奈情形。針對用戶可能不同意隱私條款的情況，較之于完全不允許用戶享受服務，企業可以采取區分對待的措施，例如對不同意條款的用戶限時試用或者限制部分功能的開放，或者對于同意和不同意條款的用戶，分別提供信息保護程度不同的服務。并且企業應當重視統計同意和不同意隱私聲明的用戶數量和比例，關注用戶的意見反饋，及時對隱私聲明內容進行合理修改，由此使“知情同意”的規則切實發揮作用。

（2）完善個人信息處理中的刪除權

《網絡安全法》43條和《電子商務法》第24條第2款對刪除權做出了明確的規定。對比歐盟GDPR對“被遺忘權”的規定，當前的條文存在著兩點不合理之處。第一，將刪除責任人限定于“網絡運營者”，適用范圍較窄，未來立法時應擴大責任主體范圍，一切個人信息收集者、處理者均包含在內與此相同。第二，行使刪除權不應當以信息收集處理者違反收集使用規定為前提，信息主體可以基于意思自治隨時提出申請。[8]另外，刪除權的兜底條款如何規定，在接到申請后應當在多長時限內刪除，如何保障信息刪除的徹底和消除刪除前對信息主體造成的影響，刪除權與企業費用成本如何平衡，也都是應當考慮的問題。

( 3 ) 明確匿名化的標準

當前的關聯識別技術使得通過非敏感信息也能識別到信息主體，即使是做了匿名化處理的敏感信息也能通過脫敏技術還原[9]。解決前者非敏感信息面臨的問題可以通過立法手段從處理權限上加以限制。歐盟《個人數據保護與流通指令》做出了一個很好的范例，規定了非敏感個人信息處理的條件：“個人信息本人毫不含糊地表明其同意；或此前有約定信息本人同意或請求處理；或為履行法律義務；或為保護個人信息本人的重大利益；或為保護公共利益或者獲得他方授權完成事務；或為追求合法利益。只有出現這些情形并且有必要處理時才能處理。”而對于后者敏感信息，個人認為則更應當從技術標準上做出明定，這就需要考慮信息匿名化應當達到怎樣的標準。《網絡安全法》42條第1款，將匿名信息界定為“經過處理無法識別特定個人且不能復原”，結合《網絡安全法》76條第5款的規定可做進一步理解，即“單獨或者與其他信息結合均無法識別”。綜合來看，我國應采取的匿名信息標準為：在現有的技術水平條件下，從數據本身不能夠識別到個人，即使經過關聯比對也不能再識別到個人。數據本身識別不到個人和終端又包括兩層含義，數據處理者本身無法再恢復識別，其他的數據獲得者也無能力再還原[10]。但是信息匿名化后，信息主體自身仍有權決定披露該信息。

4.2 制定個人信息保護專門立法

《個人信息保護法》還未出臺，但目前已經提上了立法議程。《個人信息保護法》要解決當前問題：一方面，必須要重視當前復雜的多方利益關系。正如周漢華教授所提到的：激勵信息控制者主動保護個人信息安全，實現對個人信息權利的保護，立法需要改變原來的命令控制式，而尋求多元互動[11]。另一方面，可以強調構建信息安全信任機制的重要性。當前大數據時代，個人信息的流轉無可避免也是必要的，對信息的收集處理，對信息主體權益的保護，很大程度上依賴于企業和用戶之間的信任。借助立法旨意，政府、第三方服務、媒體和用戶的共同推動，我們可以考慮構建雙向信任管理機制，以企業處理個人信息風險評估、個人信息泄露報告和用戶個人信用情況評估為核心。由此把控企業收集處理信息風險的同時也能夠規范用戶自身的行為，實現信息收集處理過程中多方主體利益的內部自恰。再者，也有利于民法誠實信用原則的應用，推動整體社會信用制度的建立。

再者，前文提到《網絡安全法》“可識別性”的通說標準面臨著挑戰，多條信息相聯系具有可識別性，軟件根據單方面興趣愛好進行推送的泛濫給司法帶來了認定上的困難，朱燁訴百度侵權案[12]就是一個典型例子。因而在《個人信息保護法》中，可以對《網絡安全法》中的“可識別性”做進一步擴張理解：即將個人與其他人區分開來，并能夠聯系到個人或者其使用的設備。個人的基本情況，搜索記錄、瀏覽記錄，終端信息等都應當被納入，在個人信息的界定中強調信息的關聯性和個人信息保護范圍的動態性，打破僵化的模式。

4.3 發揮行業內部的自律作用

針對當前互聯網企業的商業模式，通過行業自治，在其內部形成良好的激勵與驅動機制，與國家層面立法相結合，能夠更好地實現公私合治的效果，也有助于商業利益、用戶權益與國家利益的平衡。

一方面，互聯網企業自身可以通過協商制定行業規范，規范商業運作與服務模式，設定相應的懲戒與處罰措施，形成自律機制。例如，2014 年中國廣告協會網絡互動分會發布的《中國互聯網定向廣告用戶信息保護行業框架標準》就是一個先例。另一方面，互聯網企業之間可以進行聯合，設立一個獨立的認證組織，由這一組織制定個人信息保護規則，同意遵守這些規則的企業將獲得該組織的授權和認證標志，網絡用戶可憑此識別[13]。由此，也有助于形成前文所提到的用戶與企業間信任機制的形成，幫助其貫徹。

4.4 輔以配套措施填補漏洞與保障救濟

立法設計與行業規范需要相應的配套措施加以輔助，營造良好的實施環境，在保障落實的同時實現救濟。具體包括以下幾個方面：

( 1 ) 監督機制

監督分為內外兩部分，內部監督可以靠行業自律來實現，外部監督除了法律政策監督，公共輿論監督，還可以考慮設立獨立的監督機構。公共部門對個人信息進行管控，但是在效率、專業性和覆蓋范圍方面均存在著缺陷。獨立的監管機構可以集中當前分散的個人信息監管事務，全面、有力、高效地維護信息安全。我國也可以參考歐美采取的措施，給予監管機構申請審查和復議的權利，防止個人信息濫用，監管機構針對實際情況，可撤銷該部門處理個人信息的授權或許可。

( 2 ) 技術措施

法律手段不可避免地具有滯后性，網絡空間的規制離不開技術的架構，要深度防范個人信息被侵害，就必須設置技術防線。風險防范技術不僅僅需要降低信息收集處理的過程產生的風險，還應當盡量降低數據在后續利用環節中可能產生的風險，比如針對數據的二次利用和關聯識別的問題，可以在收集處理階段建立個體識別風險預測模型，實現進行預估計算[13]。此外，考慮到效率與成本，應當對安全保障措施分級，對不同種類，敏感程度不同的信息采取不同等級的技術保障。

( 3 ) 救濟措施

用戶在發現其信息權益被侵害后，無法得到及時合理的救濟，也是造成用戶維權積極性低，任由企業收集處理的因素之一。當前《網絡安全法》和《刑法》多是從行政責任和刑事責任的角度加以規定。個人信息的權源在于民法領域，在研究規制措施中，需要補足和逐步完善民事責任的承擔。首先要明確的就是賠償數額的計算方式：被侵權人信息權益本身遭受的損失，因侵犯個人信息引發的其他財產損失，侵權行為的手段和危害性等均應當作為考慮因素。另外，可以考慮引入懲罰性賠償制度，更好地遏制侵犯個人信息的行為，同時提高用戶維權的積極性[14]。

( 4 ) 樹立用戶自主意識

在分享經濟的社會背景下，用戶的信息權益被嚴重侵害，一方面是因為企業與用戶間的地位不對等，后者明顯處于弱勢地位；但另一方面，我國缺乏私權意識的土壤，用戶缺乏自主意識，放任企業隨意收集處理自身信息也是不容忽視的一個重要因素。用戶作為信息主體，在技術和架構成為根本驅動的大背景下，應當不斷培養自主意識，正確認識和控制個人信息的利用，而非單純淪為企業的免費生產者。

5 結語

個人信息保護是當今時代的關鍵詞，從宏觀社會發展趨勢到微觀個人權益，均與其息息相關。一方面我們要融合新的途徑對現有立法細化優化，使知情同意、匿名化、刪除權等規則切實“落地”有效，注重個人信息專門立法，構建完備的立法體系；另一方面，要充分發揮內部行業自律的作用，與立法互為補充。最后，監督、技術、救濟、自主意識等配套措施作為不可或缺的外圍防線，也應當得到重視。希望本文對我國個人信息法律保護面臨問題的歸納與完善措施的構想，能夠對實現信息時代安全與效益共舉，個人利益與商業利益平衡，起到一定的參考作用。

[1]胡凌.網絡法的政治經濟起源[M].上海：上海財經大學出版社，2016.

[2]于志剛.“公民個人信息”的權利屬性與刑法保護思路[J].浙江社會科學，2017（10）.

[3]高志明.個人信息流轉環節的法律規制[J].上海政法學院學報，2015（03）.

[4]孫清白，王建文.大數據時代個人信息“公共性”的法律邏輯與法律規制[J].行政法學研究，2018（3）.

[5]王秀哲.大數據時代個人信息法律保護制度之重構[J].法學論壇，2018（6）.

[6]百度百科：“百度全景地圖”詞條，網址https：//baike.baidu.com/item/百度全景地圖/9699291?fr=Aladdin，2018-12 -20.

[7]姜盼盼.歐盟個人信息保護法中當事人同意的立法經驗與啟示[J].圖書館建設，2018（11）.

[8]楊菲兒.互聯網下的“被遺忘權”[J].法制博覽，2018（32）

[9]徐衛華.大數據時代個人信息保護與互聯網廣告治理[J]. 浙江傳媒學院學報，2017（2）.

[10]韓旭至.大數據時代下匿名信息的法律規制[J]. 大連理工大學學報，2018（4）.

[11]周漢華：探索激勵相容的個人數據治理之道—中國個人信息保護法的立法方向[J].法學研究，2018（2）.

[12]凱迪綜合網.百度隱私權保護聲明：尋找個人信息保護和利用的平衡點-朱燁訴百度隱私權侵權案. http：//www.szkai-di.cn/a/2017/1106/26005.html，2017-11-06.

[13]范為.大數據時代個人信息定義的再審視[J].信息安全與通信保密，2016（8）.