淺談數字經濟新形勢下的個人信息保護

（中國人民銀行新河縣支行，河北 新河 055650）

當前數字經濟已經成為我國經濟發展中最活躍的領域，其所包含的大數據、云計算、物聯網、人工智能等新技術深刻的改變著人們的生產生活方式，引領中國經濟乃至全球經濟的轉型變革。中國信息通信研究院2020年7月3日發布的《中國數字經濟發展白皮書》顯示，2019年，我國數字經濟增加值規模達到35.8萬億元，占GDP比重達到36.2%。然而，個人信息作為數字經濟的核心和基礎，因缺乏應有保護而面臨巨大風險：移動互聯網應用程序違法違規收集使用個人信息的亂象大量存在，掌握海量個人信息的相關機構因管理不當而成為數據泄露源頭，導致公民個人信息被非法獲取，互聯網營銷牟利、電信詐騙案件層出不窮。在中國消費者協會組織的“App個人信息泄露情況”問卷調查中，85.2%的受訪者表示遭遇過App個人信息泄露情況，遭遇信息泄露的近九成受訪者表示曾接到過推銷電話或騷擾短信。由此可見，在大力發展數字經濟的同時，個人信息保護面臨著嚴重危機，應予關注。

一、當前個人信息保護領域存在的問題

（一)個人信息保護和數據產業發展存在矛盾

在數字經濟的發展過程中，如何協調個人信息保護和數據產業發展的關系，是個人信息保護法面對的核心問題之一。如果要有力的推動數據產業的發展，必須相應地提高消費者個人信息數據的開放性，一定程度上會導致侵害消費者的個人隱私權和信息權的現象發生。而如果片面強調消費者個人信息保護，就會壓抑企業開發大數據的積極性和創造性，又可能會阻礙數據產業的發展。《歐盟通用數據保護條例》實施以來，飽受詬病的一條就是其增加了企業的成本，降低了企業創新能力。有人甚至認為其妨礙了互聯網在線廣告行業和，人工智能產業的發展。個人信息主體看重個人權益保護，數據產業界看重商業利益的獲取，如何平衡個人信息保護、數據產業發展成為有待解決的重點問題。

（二）數字經濟企業收集、使用個人信息超出必要范圍

當前數字經濟企業過度收集和濫用個人信息似乎已成為行業潛規則。一是大量個人信息是在用戶完全不知情的情況下被收集、使用。2020年5月中國消費者協會在京發布的《100款App個人信息收集與隱私政策測評報告》顯示，100款App中，多達91款App列出的權限存在涉嫌“越界”，即存在過度收集用戶個人信息的問題。2020年2月艾媒咨詢發布的報告顯示，97.0%的App默認調用相機權限；35.0%的App默認調用讀取聯系人權限。二是APP強制索權現象比較普遍。某些APP要求用戶必須同意讀取短信內容、訪問通訊錄、獲取攝像權限、共享位置信息、獲取錄音授權等高達數百項的權限，否則就無法使用。三是大數據運用中濫用個人信息的情況比較突出。企業可以通過收集個人信息，運用大數據進行精準營銷，但在實踐中，企業往往不能遵守初始目的，濫用大數據進行“大數據殺熟”。一些企業不僅可能會自身濫用，而且還可能向第三方主體提供，甚至用來進行非法交易。

（三）個人信息安全法律體系不夠健全

長期以來，我國尚未形成比較完善的個人信息安全保護法律體系。我國目前有近40部法律、30余部法規，以及近200部規章涉及個人信息保護，其中包括規范互聯網信息規定、醫療信息規定、個人信用管理辦法等，但是相關保護條款內容不集中、闡述不清晰、適用不明確、范圍受局限、處罰不具體，因而可操作性差。2020年5月28日，由十三屆全國人民代表大會第三次會議通過的《中華人民共和國民法典》，把這一問題的解決向前推進了一大步。其中第一百一十一條、第一百二十七條及第四編第六章（第一千零三十二至一千零三十九條）的系列規定，在強化對公民隱私權和個人信息保護的同時，也對數據權屬及與數據相關行為做出規定，將為我國數字經濟的發展起到積極的規范和引領作用。然而，《民法典》更側重于賦權與事后救濟，難以全面防范事前侵害風險，實現信息主體利益、信息處理者利益和公共利益的三方平衡。并且不能實質上改變個人信息保護法律體系整體構架破碎的現狀。

（四）個人信息安全救濟機制有待完善

當前我國法律雖然規定了保護個人信息安全的制度，公民個人信息一旦受到侵害，可以通過法律途徑來維護自身的合法權益，但是由于維權成本高、專業性強、訴訟標的低、賠償數額小、舉證艱難等問題，不愿起訴、不會起訴、難以勝訴現象普遍存在。對公民個人信息的安全保護，始終面臨著違法成本低與維權成本高的困境。致使個人信息保護的訴訟案件少之又少，個人信息安全保護救濟機制的缺乏，一定程度上也導致信息泄露的情況屢禁不止。

二、完善個人信息保護的相關建議

（一）加強個人信息保護和數據產業發展頂層設計

習總書記指出:“要提高網絡綜合治理能力,形成黨委領導,政府管理,企業履責,社會監督,網民自律等多主體參與,經濟、法律、技術等多種手段相結合的綜合治網格局”。據此應當開展大數據安全綜合治理的全面規劃設計，一是明確個人信息數據安全責任人。將數據所有人、持有人、管理人、使用人以及其他從事數據采集、存儲、清洗、開發、應用、交易、服務等的單位和個人一并納入，共同參與個人信息數據安全保護工作。明確各方在數據采集、使用等方面的權利和義務。二是擴大數據涵蓋范圍。將個人信息安全保護范圍擴大到銀行、保險、供電、供水、航空、鐵路、醫療、社保以及大數據中心等各個重要信息系統。三是細化個人信息安全和數據產業發展的管理。組建保護組織體系、預防保護體系、監管保護體系、應急處置體系、技術防護體系、技術服務體系、人才教育培訓體系、工作支撐體系等。最終形成全社會參與的個人信息安全和數據產業發展綜合治理格局。

（二）明確個人信息數據采集、使用范圍

一是清晰、靈活地劃定收集范圍。監管者在事前列出與特定服務直接相連的個人信息范圍。2019年6月,全國信息安全標準化技術委員會制定的《移動互聯網應用基本業務功能必要信息規范(V1.0)》便依照這一思路,明確了地圖導航、網絡約車、即時通訊社交、網絡支付等16種服務所需的個人信息類型。但必須指出,在產品迅速迭代、服務日新月異的今天,相關規范必須及時更新才能更準確地覆蓋。二是嚴謹、務實地監管信息利用。歐盟在《歐盟通用數據保護條例》的起草中,已經意識到數據的二次利用可能與原先目的無關,為此特別引入“兼容使用”概念。這意味著企業可以在既有目的之外,對數據作出后續處理。今后在此類數據使用的監管方面,需要綜合考量后續使用目的與原先目的之間的關聯性、數據收集的場景、該場景下個人的合理預期、數據性質、后續使用產生的后果及現有的保障措施等。

（三）健全法律框架和監管體系

個人信息保護需要實現法律化、統一化和精細化。實現個人信息保護的法律化，就是要加快個人信息保護立法，制定出臺法律層級的《個人信息保護法》。一是解決目前法律規范適用困難，規范之間相互沖突，整體構架的支離破碎的現狀。為公民個人信息撐開法律的保護傘，用法律夯實保護公民個人信息的安全防線。二是確立相關的原則，規定具體的措施和罰則，增強個人信息保護特別是相關處罰的可操作性，織密織牢法律之網，讓違法者無法律空子可鉆。

（四）探索個人信息權益保護救濟途徑

一是探索完善個人信息非損害類侵權行為的救濟途徑。建立個人信息保護執法機關，并在未來的《個人信息保護法》中明確個人信息侵權者的行政責任。在具體制度設計上，可以探索建立全國個人信息侵權舉報平臺，同時對被舉報者個人信息來源公開、公民個人對于非公共部門收集的個人信息自主刪除等問題進行明晰界定。二是探索公益訴訟途徑。在用好用足行政管理、刑事處罰等手段之外，也可嘗試將其納入公益訴訟探索的范圍，既可以探索民事公益訴訟，也可以探索行政公益訴訟。對消費者保護組織等提起的消費公益訴訟，檢察機關要積極予以支持起訴。對負有監管職責的行政機關違法行使職權或者不作為，致使國家利益或者社會公共利益受到侵害的情形，檢察機關應啟動監督程序。三是妥善引入懲罰性賠償制度、舉證責任倒置制度等符合個人信息保護工作需求的措施。