個人隱私信息保護之中歐比較

馮冠霖 閆一新 張紅艷 郭啟勇

一、數字化時代個人隱私面臨嚴峻挑戰

從工業時代、信息時代邁入數字化時代，人們的生活方式正被深刻地影響和改變，人的數字化存在也成為一種新趨勢。借助個人在社會生活中產生的海量數據，可以分析出整個經濟社會運行的總體情況，找尋到看似無關事物之間的內在關聯。近年來，我國數據量呈現井噴式增長，據預測，我國在2025年將以48.6ZB的數據量成為全球最大的數據圈。數據的爆發式增長有力地推動了數字化時代經濟的蓬勃發展，但同時也給個人信息隱私與安全帶來了嚴峻的挑戰。

根據中國互聯網絡信息中心發布的第47次中國互聯網絡發展狀況統計報告，截至2020年12月，我國網民規模已達到9.89億。“網上沖浪”在帶給消費者便利的同時，其背后的個人數據的濫采、濫用現象也逐漸引發關注。根據艾媒咨詢《2020年中國手機APP隱私權限測評報告》，當前我國97%的APP默認調用相機權限，35%的APP默認調用讀取聯系人權限。新浪微博、航旅縱橫等知名網站也存在著未告知用戶數據收集目的、用戶明確不同意打開某權限后仍頻繁征求用戶同意等違規現象。

從全球范圍來看，個人信息的保護也是世界性難題，目前全球有百余個國家和地區制定了個人信息保護法律。特別是歐盟、美國等發達國家的個人信息保護工作起步較早，發展程度較高，為我國相關法律政策的制定提供了參考。

二、中歐個人信息保護政策對比

（一）歐盟相關法律規定

2016年4月，歐盟審批通過了《通用數據保護條例》（General Data Protection Regulation，簡稱GDPR）。GDPR被普遍認為是歐盟有史以來最嚴格的數據管理法案，根據GDPR，企業在嚴重違規的情況下，可被處罰兩千萬歐元或該企業全球年總收入的4%，在2019年7月，英國信息監管局發表聲明稱，英國航空公司因違反《通用數據保護條例》被罰近兩億英鎊。2018年5月25日，GDPR生效，GDPR的執行給數字化時代的數據利用、互聯網企業經營等帶來了巨大挑戰，2018年4月，騰訊宣布從2018年5月20日起停止QQ在歐洲地區的服務，媒體猜測此舉與GDPR的生效有關。

GDPR中的主要角色有三類，即數據主體、數據控制者、數據處理者。數據主體被定義為擁有個人信息的自然人，其享有個人隱私數據被依法保護的權利，有權對個人數據進行訪問、修正、刪除等。數據控制者被定義為有權決定收集、處理個人信息的自然人、組織與政府機構等，其承擔著保護個人信息、遵守GDPR相關規定的責任與義務。數據處理者依據數據控制者的要求來處理個人信息，數據處理者也需要直接遵守GDPR。

GDPR明確了處理個人數據的七大原則：一是強調合法、公平、透明;二是限定數據使用目的;三是要求采集盡可能少的數據;四是突出數據準確性;五是設置數據存儲期限;六是強調完整性和機密性;七是實施問責制。GDPR對數據主體權益給予了充分保障，明確規定了數據主體的特定權利，包括知情權、訪問權、更正權、刪除權、數據移植權、限制處理權、反對（撤回）權、反自動化決策權等。同時，GDPR也明確規定了數據控制者、處理者的相關責任，他們承擔著通知用戶、實現數據主體權利、確保數據處理合法性和安全性、數據泄露響應、數據轉移、第三方管理、員工管理、舉證等責任。

對于個人信息的分類，GDPR的做法是將個人信息分為實名信息、偽名信息和匿名信息，偽名信息（如IMEI號）不能直接看出其與實名信息的聯系，但可以借助其他信息恢復為實名信息，而匿名信息則完全不可以恢復為實名信息。GDPR對實名信息、偽名信息和匿名信息分別規定了不同場景下的保護要求。

但值得注意的是，激進的GDPR也具有一定的“雙刃劍”效應。據英國《金融時報》報道，在GDPR推行一年后，歐盟人工智能相關技術的發展顯著落后于中國等“數據更加開放”的國家，四分之三的企業表示，GDPR對企業創新形成了重大障礙;超過六成的企業表示GDPR給它們帶來了嚴重的經濟負擔，需要花費100萬美元以上為GDPR做準備。

2020年2月，歐盟發布了《歐洲數據戰略》，該文件旨在讓歐洲成為全球最具活力、吸引力和安全性的數據敏捷型經濟體，其中也強調了個人信息的保護工作。《歐洲數據戰略》提出了若干舉措來推動戰略的落地實施。一是建立起統一的數據治理框架;二是加強在數據基礎設施領域的投資;三是提升個體數據權利和技能;四是打造歐洲數據公共空間。

（二）我國相關法律規定

為更好地推動個人信息保護，我國相繼制定了一系列相關的法律法規，積極進行探索與實踐。《中華人民共和國網絡安全法》、《中華人民共和國民法典》、《中華人民共和國個人信息保護法（草案）》等均明確了對個人信息的保護。

在個人信息定義方面，與GDPR相比，我國相關法律體系的定義不夠明確。2020年10月，《中華人民共和國個人信息保護法（草案）》公布并公開征求社會公眾意見，草案第四條對“個人信息”進行了界定，明確“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息”、“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動”。《草案》中對于個人信息的定義比較含糊，沒有給出具體的概念界定，且僅匿名化處理仍可能通過個人生物特征信息等識別特定自然人，《草案》中對于個人信息的處理也沒有包含“個人信息的刪除、銷毀”等過程。

在個人信息分類方面，2020年7月3日，《中華人民共和國數據安全法（草案）》向社會公開征求意見，提出國家將對數據實行分級分類保護、開展數據活動必須履行數據安全保護義務承擔社會責任等。但與GDPR相比，我國沒有具體將個人數據分為實名信息、偽名信息和匿名信息等多個類別，進行不同場景下的分類保護。

在個人信息保護的各方權利與責任方面，與GDPR相比，我國的數據主體尚未擁有數據移植權與反自動化決策權，反自動化決策權即數據主體擁有不受制于機器學習等自動化決策的權利。在數據控制者和處理者的責任方面，我國的數據控制者和處理者需加強在第三方管理與問責制度方面的建設。

在個人信息保護的侵權懲罰機制方面，與GDPR相比，我國缺少完善的侵權訴訟與懲罰機制，更多地停留在原則性保護上，且部門之間的責任存在交叉，容易模糊分工和相互推諉。此外，我國對于濫采、濫用個人信息行為的懲罰力度不夠，與GDPR的嚴格程度相比，我國的懲罰力度較小，震懾效果不強。

此外，我國于2018年5月1日起實施的《信息安全技術個人信息安全規范》與歐盟的GDPR有一定的相似之處，但在某些領域根據我國的實際情況作出了更為明確具體甚至更嚴格的規定，因此我國企業在合規時需要采取最高的標準。

三、總結與展望

近年來，我國出臺一系列個人信息保護法規文件，發布多項個人信息保護標準，并開展專項整治行動，取得了一定的成績。但整體來看，我國與歐盟等發達國家在個人信息保護領域相比仍存在一定差距。下一步，我國應當在以下方面進一步做好個人信息保護工作：

一是在教育、通訊、醫療等重點領域頒布相關法律，加強對個人隱私數據的保護，對特定行業、特定類型數據、不公平或有欺詐性質的數據活動進行規制。同時，完善已有個人信息保護法規，對實踐過程中暴露的漏洞和盲點問題，從技術層面和監管層面完善相關規定，并發布官方解讀，對典型案例進行剖析和宣傳告誡。

二是將重點領域的個人信息保護相關法律法規整合，制定類似歐盟GDPR的統一全面的個人信息保護體系，明確廣大消費者對于各類企業收集、處理個人信息的控制權，引導企業在用戶的個人隱私與其商業需求間找到平衡點，引導消費者在崇拜科技進步的同時重視個人隱私權。開展實名信息、偽名信息和匿名信息等多類型個人信息的分類管理，在不同場景下對個人信息進行嚴格細致的保護。

三是針對個人數據侵權訴訟時存在的部門之間責任交叉、分工模糊等現象，健全個人數據保護訴訟機制，制定具體法規細則，明確主要責任和分工，避免個人信息保護僅僅停留在原則性保護上。適當加大對于違規行為的懲罰力度，強化警示震懾作用。

四是繼續加強與歐盟、美國等發達國家在個人信息保護領域的國際交流與開放合作，搭建個人信息保護領域的溝通平臺，交流優秀實踐案例和經驗。在充分學習國外優秀經驗的同時，也要汲取相關教訓，結合我國國情不斷完善相關法律規定，形成有中國特色的個人信息保護方案。