對我國個人數據（隱私）保護的探討

摘要：互聯網產業的興起與發展使我國個人信息數據隱私面臨極為嚴峻的挑戰，人工智能、機器學習等技術的普及更加加劇了個人信息泄露與數據濫用的現象，因此建立個人信息數據的法律保護規范極具必要性。我國香港地區在個人信息數據保護領域頗有成效，其《個人資料（私隱）條例》規定了六大保障資料原則：收集個人資料的目的及方式;個人資料的準確性及保留時限;個人資料的使用;個人資料的保安;資訊需在一般情況下可提供;查閱個人資料。希望從中發掘內地可以借鑒與學習的成果，并從該角度對《個人信息保護法》予以建議與反思。

關鍵詞：個人數據;香港;個人信息;隱私保護

中圖分類號：D923文獻標識碼：A文章編號：2095-6916（2021）24-0082-04

一、個人數據（隱私）保護的必要性

隨著上世紀80年代互聯網技術的引入，互聯網在我國已經發展了近40年，從一開始的“web loading”到現在的云計算爆發、人工智能以及機器學習技術的不斷完善，以致于人們現在早已無法離開互聯網所帶給我們的便利環境;互聯網所衍生出的各類應用程序以及服務產品也早已滲透至生活各處，與“衣食住行”緊密綁定。根據智研咨詢《2021—2027年中國互聯網行業發展現狀調研及發展趨勢預測報告》數據顯示：2020年中國網民規模為9.89億人，滲透率超60%，并涵蓋金融理財、出行交通等各個領域。但在互聯網經濟不斷發展的同時，由于法律的滯后性、軟件應用開發技術不完善等原因，導致個人數據被開發者、管理者或第三人大量收集且挪用，個人信息泄露事件屢見不鮮，甚至出現第三方平臺出售特定人員的手機號、身份證乃至家庭住址的事件，對社會造成極為惡劣的影響。此外，由于部分應用程序的壟斷，運營商或企業可以獲取大量用戶數據，包括身份數據、位置數據、行為數據等，基于此數據庫內的收集整理分析后，充分利用“回音壁”效應，固化信息繭房，結合運用“推薦系統”進行個性化推薦，以謀取商業利益;除此之外，利用大量個人信息數據進行結果分析，用于企業運營戰略規劃，產生難以估量的價值。

然而，上述互聯網產業鏈中的參與者在享受商業暴利的同時，也正在不斷地蠶食用戶對個人信息的知情權、決定權、控制權，嚴重地侵害了個人隱私[1]。筆者認為數據，從某種意義上講，是一種新時代的權柄，對這份權力若不及時加以嚴格規制，其則會失去控制，成為懸在頭頂的達摩克利斯之劍①。因此，對于我國個人數據（隱私）保護立法刻不容緩。

二、香港地區《個人資料（私隱）條例》

我國香港地區法律過去受英國法律影響，對個人信息（隱私）的保護力度一直在世界各國或地區中名列前茅[2]。香港于1995年便制定了《個人資料（私隱）條例》，甚至成立了香港個人資料私隱專員公署來負責監察

執行該條例，且多次進行全面審閱以及咨詢修訂，有較為完善的體系。香港《個人資料（私隱）條例》于1996年12月20日生效，以保護在世個人有關個人資料的隱私利益。該條例涵蓋了直接或間接與活著的個人（數據主體）有關的資料，根據該資料切實可行地確定該個人的身份，并以查閱或處理是切實可行的形式進行。它適用于控制個人數據的收集、持有、處理或使用的任何人員（數據用戶）[2]。該條例是“保護個人有關個人資料的隱私的條例”，然而“隱私”的表述本就模糊，因此它可以歸因于一個操作定義，即遵守數據保護原則[2]，以設定原則背景的方式，來規范主客體之間的關系以及該條例中所規制的具體行為。由此，筆者希望通過以下兩個角度來探析《個人資料（私隱）條例》。

（一）概念解析

根據《香港法例》②第四百八十六章《個人資料（私隱）條例》（以下簡稱《條例》），開篇便闡明該條例所規制的客體范圍;個人資料是指下列任何資料：（a）直接或間接與一名在生者有關的;（b）可從該等資料直接或間接地查明某人身份的;及（c）該等資料的存在形式是可予以查閱及處理的。

1.“資料”的概念

從上述條例（c）中我們不難發現，資料的存在形式被要求為是可以被外界予以查驗處理的。也就是說，對于某些無法由外界查驗處理形式存在的信息，并不歸于本條例的客體范疇，如人的回憶、思想等，只要沒有外顯形成可查驗的形式，是不受本條例規制的;又或于存在于某種特殊情況下的電子數據，如進行實時監控的閉路電視，僅作為實時觀察使用，并未將視頻數據留痕的情況下，也不作為本條例中的“資料”。

從“可予以查閱及處理的”另一個角度來說，即使是存在文件外顯于外界且有留存形式的情況下，如果沒有能查閱和處理的可能性或可行性，也就不屬于本條例中所述“資料”。“Tso Yuen Shui v.Administrative Appeals Board”案中，法官對“查閱可能性”做出解釋：如果個人資料的原始數據需要特定解碼器才可查閱，而該解碼器僅為資料使用人所持有，那么這些原始數據并不屬于《條例》中的“資料”[2]。

2.“個人”資料的概念

除了“資料”的定義外，“個人”的概念也尤為重要。這涉及資料當事人的身份主體的問題，而從《條例》中我們不難發現，其更加關注的是與在生者相關的信息;簡而言之，若是有相關人員收集死者的個人資料，死者的親屬也無權根據《條例》做出投訴，因為其并未將逝者列入“個人”的概念。

關于《條例》中要求“可從資料直接或間接地查明某人身份”的意思也便如文所述，需要存在有從資料中查明某人身份的可能性才能作為“個人”的資料，不過根據上下文的結構理解，原文所指的“某人”也應僅限于“在生者”而已。

（二）保障資料原則

《條例》附錄I對于保障資料六大原則做出了詳細的規定，該六大原則是該《條例》的真正內涵，其規定了資料的收集、保存、使用、保安、提供和查閱所應遵從的原則。

第一原則：收集個人資料的目的及方式

從《條例》附錄I可知，該原則對于收集目的有三個方面的要求，目的與資料使用者職能或活動相關、目的合法且適度、資料收集對于目的來說是必需或相關。在實務中，公署根據不同行業的特點發放了數份《實務守則》，用于完善上述規定和幫助抽象概念進行輔助理解。除此之外，該原則后續明確個人資料須以合法、公平的方法收集。

第二原則：個人資料的準確性及保留時限

該原則總結為兩個方面，首先是要求資料的使用者需要采取“切實可行”的步驟來保障資料的準確性[3];其次是要求個人資料的保存時限不得超過以貫徹資料被使用或會被使用的目的所需要的時間。

該原則是為了保障個人資料信息在披露、公布或傳播中能夠準確地進行傳播，減少信息失真的可能性，從而進一步保障資料當事人的權益;但從《條例》中所要求的“切實可行”的表述可以發現，《條例》對于資料使用者的資料準確性保障義務也并未過于苛責，僅需要資料使用者在合理的層面實施切實可行的行為保障資料準確性即可。

第三原則：個人資料的使用

本原則在于限制資料使用者對于收集資料后的使用行為，《條例》規定，除了將資料用于收集時的目的或與前述目的相關的目的之外，資料使用者不得未經資料當事人同意將資料用于其他目的。但該原則規定的內容在資料使用者看來過于狹隘且操作成本過高，因此資料使用者在收集資料時往往會將自己的目的描述得過于龐大且寬泛，從而對第三原則進行規避，導致第三原則的適用力度及保障性減弱。對此，公署有關“目的”的定義依據更多地偏向于資料當事人對于被收集后的資料使用目的的理解，而非資料使用者的一面之詞，以回應資料當事人對于資料使用的合理期待。

第四原則：個人資料的保安

本原則要求，需采取所有切實可行的步驟，以確保由資料使用者持有的個人資料受保障而不受未獲準許的或意外的查閱、處理、刪除或其他使用的影響。

該原則所指向的是要求資料使用者對于所持有的個人資料的保護義務，要求資料使用者對于信息泄露所造成的后果及損害進行考量，從而對于個人資料保存的地點、方式、安保措施以及可能直接或間接接觸到所保存的個人資料的人員身份規制進行相應的保護措施[3]。

第五原則：資訊需在一般情況下可提供

本原則要求，資料使用者須采取所有切實可行的步驟，以確保任何人：能確定資料使用者在個人資料方面的政策和實行方式;能被告知資料使用者所持有的個人資料的種類;能被告知資料使用者持有的個人資料是為或將會為什么主要目的而使用的。

本原則中，對于資料使用者在個人資料方面的政策和實行行為并未規定是要式或非要式，因此對實行標準上便存在理解偏差[4]。但往往在實際操作中，由于資料使用者存在需要提供相應證明的義務，因此更多地采取要式的形式對政策或實行方式等予以記錄，也更加方便記錄留存或出示。例如，在企業中，企業主會對員工進行相關條例的宣讀與傳達，并要求員工在理解后進行書面文件的簽署，以證明自身并未違反本原則。

第六原則：查閱個人資料

本原則確定個人對于資料使用者是否持有以他為資料當事人的個人資料的權利（信息查閱權），并多處強調查閱的合理化，如合理時間、合理形式、適度合理的收費。因為資料使用者處于優勢地位，采取不合理的方式阻礙他人查驗實則也是一種變相拒絕，為了減弱資料使用者的優勢地位，本原則便對資料使用者可能采取的變相拒絕的方式進行了規制。

除此之外，本原則還規定了資料當事人改正個人資料的權利（資料修正權）。資料當事人要求資料使用者進行個人資料的修正后，資料使用者需在40天之內采取效應措施，如無法在40天內采取措施或拒絕修正的，都應當向資料當事人說明拒絕理由。

三、我國建立個人信息數據保護制度的反思與建議

（一）我國個人信息數據保護制度現狀

早在2002年12月23日第九屆全國人大常委會第三十一次會議首次審議的民法草案中已明確界定私人信息等屬于隱私范疇，但是至今為止我國依舊把隱私權列入人格權的范疇，通過名譽權以及人格尊嚴的角度來予以保護，沒有單列系統且周詳的法律進行規范，相關的規定還散落在憲法、刑法、民法典等法律各處。

然而由于社會的迫切需要、國家戰略的推進以及各類，如“萬店掌”事件③、滴滴數據事件的發酵④，于2021年8月20日，《個人信息保護法（草案）》成功通過第三次審議。這部對公民個人、信息行業和監管機關都影響重大的法律被正式頒布，并于2021年11月1日起正式施行。《中華人民共和國個人信息保護法》（以下簡稱《保護法》）是我國第一部專門針對個人信息保護的統領性法律文件[5]。《保護法》的頒布代表著我國個人信息保護制度已成功邁入新的階段。

（二）對《個人信息保護法》的建議與反思

《保護法》共八章七十四條，涵蓋個人信息處理規則、信息處理的權利及義務、法律責任等等方面，在立法中借鑒了香港《個人資料（私隱）條例》以及歐盟GDPR⑤等法律的成功經驗。比如，我國香港地區為了保障《條例》的實施成立了個人資料私隱專員公署來負責監察執行該條例，由專門機構來負責專項事宜，高效踐行法律;內地也同樣采取類似形式，授權國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作，作為主要監管部門來保障實施。除此之外，在《保護法》的多處都有類似《條例》中的敘述，如資料修正權（更正、補正）的描述、對于用作家庭事務的豁免（不適用）以及圍繞“資料收集目的”的規范等闡述都與《條例》中相似，《保護法》可以說較好地借鑒《條例》中的特殊規范和六大原則，更加貼合我國國情。

筆者認為，《保護法》更關注的是資料當事人的個體意識，重視當事人之間的意思自治，大多對于數據使用條件以當事人之間的“知情且同意”為前提開展。但我國幅員遼闊人口眾多，且國民素質差異化明顯，采用該前提的信息運作方式，可能會給信息流通或使用帶來較為嚴苛的障礙。在實際適用場景中，給企業或其他資料使用者帶來更多成本支出，從而制約了數據經濟的發展。相較于《條例》以設定原則來規制具體行為所導致的“寬松”，《保護法》的具體條款顯得更為“緊致”;當然這也跟香港特別行政區法官擁有更大的釋法權與區域的法律體系相關，但內地也應進一步探討同意規則在個人數據保護中的實際效用，探索新時代語境下同意規則的合理性及適用問題。

最后是關于《保護法》中“去標識化”和“匿名化”以及“一般”信息的區分對待問題。《保護法》第七十三條對上述三種信息進行了區分說明，且匿名化信息在第四條中以無法識別相關自然人身份為由，不受該保護法的規制（與《條例》類似）。然而在《保護法》中，雖然明確了“去標識化”和“匿名化”兩種特殊的個人信息形式，卻對“去標識化”的信息沒有特殊規定[5]，仍使用對待一般信息的一般規則，筆者認為這一點是有待商榷的。在《保護法》在第五章關于個人信息處理者的義務中指出，個人信息處理者應采取相應的加密、去標識化等安全技術措施。立法者本意為期望信息處理者將信息去標識化地處理，這樣在個人信息泄露或者被竊取、篡改、刪除所造成的社會危害性更小，風險更低。但是《保護法》對于“一般”與“去標識化”兩者本質差異頗大的信息未進行區分對待，反而一概而規之，不僅沒有體現對于信息的分層分級分性質的階梯式處理，更無法起到對于信息處理者將信息“去標識化”的激勵作用。因此，在立法中若能更好地考慮到法律具體實施后的所形成的現實成效，會使法律更加具備長久的生命力和持續力。

注釋：

①達摩克利斯之劍：又稱懸頂之劍。達摩克利斯是公元前4世紀意大利敘拉古的僭主狄奧尼修斯二世的朝臣，他奉承狄奧尼修斯道：作為一個擁有權力和威信的偉人，狄奧尼修斯實在很幸運。狄奧尼修斯提議與他交換一天的身份。在晚上舉行的宴會里，達摩克利斯非常享受成為國王的感覺。當晚餐快結束的時候，他抬頭才注意到王位上方僅用一根馬鬃懸掛著的利劍。他立即失去了對美食和美女的興趣，并請求僭主放過他，他再也不想得到這樣的幸運。達摩克利斯之劍通常被用于象征這則傳說，代表擁有強大的力量非常不安全，很容易被奪走，或者簡單來說，就是感到末日的降臨。

②《香港法例》是中華人民共和國香港特別行政區現存的成文法法例編匯。由于香港的法律制度以普通法為依歸，對于有爭議的判例或有必要遵守的規定，都會以成文法的形式頒布并實行。

③“萬店掌”事件：2021年3月15日，央視3·15晚會曝光蘇州萬店掌網絡科技有限公司（以下簡稱蘇州萬店掌）為商家門店提供人工智能攝像頭，非法收集人臉信息。

④2021年7月2日，網絡安全審查辦公室發布公告，稱為防范國家數據安全風險，依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》，對“滴滴出行”實行網絡安全審查。7月4日，“滴滴出行”因App存在嚴重違法違規收集使用個人信息問題，被國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定下架。

⑤歐盟GDPR：GDPR一般指通用數據保護條例。《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）為歐洲聯盟的條例，前身是歐盟在1995年制定的《計算機數據保護法》。

參考文獻：

[1]華劼.移動互聯網時代個人信息隱私保護[J].重慶郵電大學學報（社會科學版），2017（5）.

[2]張金城，廖永威.香港個人資料隱私保護之經驗——兼論我國個人資料保護法之制定[J].河北法學，2008（11）.

[3]劉傳會，汪小亞.個人信息權利的法律保護——香港的立法與啟示[J].清華金融評論，2019（8）.

[4]陳海帆，趙國強.個人資料的法律保護：放眼中國內地、香港、澳門及臺灣[M].北京：社會科學文獻出版社，2014.

[5]黃道麗，胡文華.《個人信息保護法（草案）》的立法評析與完善思考[J].信息安全與通信保密，2021（2）.

作者簡介：付鈺禧（1998—），男，漢族，廣東廣州人，單位為香港浸會大學，研究方向為數據安全及隱私合規、數據法學、數據挖掘與分析。

（責任編輯：楊超）