論大數據背景下個人信息的私法保護

周 慶 暴夢潔

隨著互聯網科技的不斷縱深發展，信息技術逐漸覆蓋了人們生活的方方面面。(1)2020年4月28日，中國互聯網絡信息中心(CNNIC)發布了第45次《中國互聯網絡發展狀況統計報告》，報告顯示，截至2020年3月，我國網民規模為9.04億，互聯網普及率達至64.5%(《第45次〈中國互聯網絡發展狀況統計報告〉》，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202004/t20200428_70974.htm)。9月29日，中國互聯網絡信息中心在京發布第46次《中國互聯網絡發展狀況統計報告》，報告顯示，截至2020年6月,我國網民規模達9.40億，較2020年3月增長3 625萬；互聯網普及率達67.0%，較2020年3月提升2.5個百分點(《第46次〈中國互聯網絡發展狀況統計報告〉》，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202009/t20200929_71257.htm)。因疫情防控要求，個人信息的收集和使用更加普遍。“健康碼”“行程碼”等利用大數據技術進行個人信息收集活動雖然為人們復工復產提供了方便快捷的“通行證”，但是同時也引發了人們對個人信息保護的潛在擔憂。在享受信息技術帶來的便利服務的同時，各種與個人信息保護相關的問題也開始浮出水面。2020年3月，中共中央、國務院發布了《關于構建更加完善的要素市場化配置體制機制的意見》(以下簡稱《意見》)，在第六部分提出加快培育數據要素市場，將數據作為獨立的市場化要素之一進行規定，體現了國家對數據市場發展的重視和支持。同時，《意見》第22條特別強調數據的安全保護問題，提出加強對政務數據、企業商業秘密、個人信息數據的保護。個人信息泄露問題在近些年來屢見報端，圓通速遞公司內部工作人員有償租借員工賬號導致40萬條公民個人信息被泄露，(2)《圓通多位“內鬼”有償租借員工賬號 40萬條公民個人信息被泄露》， https://baijiahao.baidu.com/s?id=1683517423101346517&wfr=spider&for=pc。3元買8萬張人臉數據信息(3)《3塊錢就能買8萬張高清人臉照片，你的“臉”被用來干什么？》，http://finance.sina.com.cn/wm/2020-07-08/doc-iirczymm1257326.shtml。等非法買賣個人信息案件多發，為不法分子對不特定社會公眾實施精準詐騙、敲詐勒索或者冒用他人信息實施違法犯罪行為提供了可能，特別是一些涉及個人核心隱私的敏感信息，一旦遭到泄露，造成的損失將是難以估量且不可逆的。如何給“失控”的個人信息按下“剎車鍵”，離不開個人信息保護相關立法的完善。本文通過對個人信息的分析識別、法律保護現狀來論證大數據時代個人信息保護的法律路徑選擇，期待能為未來個人信息法律保護的全面鋪開提供一些啟發。

一、個人信息的識別

在當下“一部手機走天下”的時代，數字生活帶給人們諸多便利，從衣食住行到吃喝玩樂，在滿足人們生活、工作和娛樂等各方面需求的同時，也在個人信息保護方面暴露了諸多安全隱患。如何保護廣大民眾的個人信息不受非法泄露、保障公民的網絡安全已經成為一個廣受關注的社會問題，在此之前，有必要厘清個人信息的概念和范圍以明晰信息侵權行為的具體表現以及進行后續的合理維權。

(一)個人信息的界定

《中華人民共和國民法典》(以下簡稱《民法典》)第1034條對個人信息的范圍進行了界定，同時規定“信息處理者不得泄露、篡改或者未經信息主體授權同意擅自向他人披露、公開其掌握、管理的個人信息，但不具備識別特定自然人特征且無法復原的除外”。(4)《中華人民共和國民法典》，https://www.66law.cn/tiaoli/153012.aspx。這與此前的《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等對個人信息的界定范圍是基本一致的。此外，2020年10月21日公布的《中華人民共和國個人信息保護法(草案)》(以下簡稱《個人信息保護法草案》)第4條對個人信息的范圍進行了改動，(5)《中華人民共和國個人信息保護法(草案)》，http://fzzfyjy.cupl.edu.cn/info/1077/12335.htm。相較于《民法典》和相關法律法規以及司法解釋的規定，《個人信息保護法草案》排除了“特定自然人”的限制，改采用“自然人”的說法，實質上是采取了個人信息定義的最寬入口模式，擴大了個人信息的認定范圍，加大了個人信息的保護力度。綜合來看，個人信息定義包括三個要素：載體形式、權利主體和基本特征。從載體形式來看，我國現行法律框架內并未對個人信息的載體形式做過多限制，承認以電子或者其他任何形式反映自然人特征的各種信息。就權利主體來看，限定為自然人，法人和非法人組織不是個人信息權利的適格主體。從基本特征來看，要求個人信息具有“可識別性”，包括單獨識別和結合識別。其中，“可識別性”是個人信息的核心內涵和保護基礎，對于不具備可識別性(包括單獨識別和結合識別)信息的處置行為則成為信息處理者的免責事項或者直接將其排除在“公民個人信息范圍”之外。

(二)相關概念辨析

1.個人信息與個人數據

歐盟慣用“personal date”即“個人數據”的表述。我國學者梅紹祖認為“個人信息保護的內涵基本上與個人數據保護相一致”。(6)梅紹祖：《個人信息保護的基礎性問題研究》，《蘇州大學學報》2005年第2期，第27頁。學者齊愛民還對兩者的關系進行了論述，指出數據“是指用有意義的、可以識別的符號對客觀事物加以表示得到的符號序列, 是代表人、事、時、地的一種符號序列(不以文字為限)”，信息“是指資料經過處理后可以提供為人所用的內容,它的功能是使事物的不確定性減少”。據此，個人信息和個人數據的關系可以概括為：個人信息是個人數據所反映的內容，個人數據是個人信息的表現形式。(7)齊愛民：《論個人信息的法律保護》，《蘇州大學學報》2005年第2期，第31頁。從個人信息保護相關立法目的來看，其指向的都是個人信息背后的信息權利不受侵犯，而不是載體或者媒介本身，且個人信息權作為一個慣用的法律概念已經得到學界和實踐界人士的廣泛認可，我國的各項法律法規規章也都慣用“個人信息”進行表達。因此，筆者認為采用“個人信息”的概念更為妥當。

2.個人信息和個人隱私

經常與個人信息放在一起討論的還有“個人隱私”的概念。美國遵從“大隱私權”概念，將個人信息納入隱私保護的范疇，將個人可識別信息，即Personal Identifiable Information作為是否納入隱私權保護的重要參考標準。(8)雷麗莉：《權力結構失衡視角下的個人信息保護機制研究——以信息屬性的變遷為出發點》，《國際新聞界》2019年第12期，第69頁。我國《民法典》第1034條第3款確定了個人隱私和個人信息的二元保護法律模式。(9)《中華人民共和國民法典》，https://www.66law.cn/tiaoli/153012.aspx。兩者的區別主要包括以下方面：就權利客體方面，根據《民法典》第1032條第2款對個人隱私范圍的界定，個人隱私不僅包括私密信息的形式，還包括其他具備隱私特征的私密空間和私密活動；而個人信息強調具有可識別性的與自然人相關的各種載體形式的任何信息，通常以具體的某種形式固定并記載下來，但兩者又確實呈現出某種交叉關系，個人私密信息就是個人隱私和個人信息的交叉部分。就權利行使目的方面，隱私權側重于保護自然人的個人秘密免遭非法披露、公開；個人信息權則強調自然人基于自主意識對其個人信息的支配和控制，未經其授權同意不得實施信息處理行為。因此，在“法律保護模式方面，提出個人信息權與隱私權相區分，表明在法律上對它們進行分別保護，在理論上是有充分依據的”。(10)李永軍：《論〈民法總則〉中個人隱私與信息的“二元制”保護及請求權基礎》，《浙江工商大學學報》2017年第3期，第14頁。有學者主張根據個人信息與個人核心隱私關聯程度的不同將“個人信息區分為純粹的隱私信息、隱私性信息和純粹的個人信息。個人生物識別信息、個人敏感信息、個人金融敏感信息等歸屬于純粹的隱私信息，而個人生活信息如婚姻家庭狀況等屬于隱私性信息的范疇，個人身份信息如職業、教育背景等則屬于純粹的個人信息”。(11)景欣：《互聯網征信中個人信息保護制度的比較與借鑒》，《西南金融》2020年第9期，第77頁。筆者認為，根據個人信息與個人核心隱私的關聯程度對個人信息進行類型化界定，有助于后續不同類型信息使用處理規則和保護梯度的區分，也符合我國對一般個人信息和個人私密信息二元保護的立法模式。

二、個人信息的私法保護現狀

保護個人信息安全，法律的作用首屈一指，但在現行的法律體系中，仍存在著新型救濟手段——人格權禁令制度規定不明以及專門立法的缺位問題。

(一)人格權禁令制度條文模糊寬泛

綜合來看，我國以《民法典》為核心的個人信息私法保護法律體系已經基本形成。《民法典》第111條以及第1034條規定自然人的個人信息以及個人信息中的私密信息，分別受個人信息權和隱私權的保護；第110條、第990條、第991條明確了隱私權屬于自然人人格權的范疇并規定人格權依法受法律保護；第995條至第999條規定了人格權受損后的法律救濟，包括救濟權的產生、救濟途徑的具體形式以及人格權合理利用的邊界限制；第1194條至第1197條為網絡領域侵害公民個人信息行為的救濟提供了法律依據。可見，從個人信息的權利到受損之后如何救濟，《民法典》已經基本形成了個人信息保護的完整框架，但是仍有一些具體問題需要明確。《民法典》第997條規定了“人格權禁令”制度,(12)《中華人民共和國民法典》，https://www.66law.cn/tiaoli/153012.aspx。根據該條，自然人的個人信息被非法使用或處理的，被侵權人可以向有管轄權的法院申請發布禁令，要求行為人立即停止實施有關侵權行為。但是作為一種新型的人格權救濟手段，人格權禁令的性質、裁判形式、有效期限以及是否必然依附于訴訟程序等問題法律都未有明確規定，需要立法和學理上的進一步明晰。

(二)個人信息保護專門立法缺位

黨的十八大以來，全國人民代表大會及其常委會在發布《關于加強網絡信息保護的決定》、出臺《網絡安全法》《中華人民共和國電子商務法》以及修改《中華人民共和國消費者權益保護法》等法律工作中，確立了個人信息保護的一般原則和以“通知—同意”為核心的一系列個人信息處理規則；2015年，《刑法修正案(九)》中將“出售、非法提供、非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”，擴大了侵犯公民個人信息犯罪的主體范圍和行為類型，逐步完善了懲治個人信息犯罪的刑罰制度；在《民法典》編纂工作中，將“自然人的個人信息受法律保護”作為一項重要民事權利進行規定。“我國個人信息保護法律制度體系逐步建立，但仍難以應對信息化快速發展的現實情況和人民日益增長的美好生活需要。”(13)《〈中華人民共和國個人信息保護法(草案)〉的說明》，http://credit.shaanxi.gov.cn/316/10231627.html。在個人信息保護專門立法日益成為國際慣例的情況下，(14)《全球90個國家和地區制定個人信息保護法律》，http://world.people.com.cn/n1/2017/0810/c1002-29463433.html。社會各方面在出臺個人信息保護專門立法上的呼聲愈發強烈。現行個人信息私法保護框架下仍存在以下問題：

1.個人信息缺乏科學分類

《關于加強網絡信息保護的決定》《網絡安全法》《民法典》等相關法律法規明確規定個人信息的使用處理應遵循合法、正當、必要原則。《民法典》第1032條明確了自然人享有的隱私權不受任何組織或個人的侵犯，第2款對個人隱私的范圍進行了界定并明確私密信息屬于個人隱私的范圍。《民法典》第1033條對于侵害隱私權的行為類型進行了列舉，其中第5款明確規定禁止處理他人的私密信息。《民法典》實質上確立了隱私性信息“嚴格禁止”的使用處理原則。我國立法模式下，對一般個人信息和隱私信息的保護和處理原則規則進行了分別規定，但是卻由于缺乏對個人信息的明確分類，導致一般個人信息和隱私信息之間界限比較模糊，在涉及具體信息的使用處理原則以及確定信息侵權標準時易產生沖突和矛盾。

2.“通知—同意”規則的異化

個人信息的相關法律法規普遍規定收集使用個人信息必須得到信息主體的授權同意，同時應當把信息收集的范圍、方式、用途等告知信息主體。在個人信息保護問題多發的互聯網領域，由于網絡服務提供者和信息主體之間經濟地位和認知能力的嚴重不對等，且個人對網絡服務的強烈依賴性，使得“通知—同意”規則在實踐中流于形式。一般來說，人們在使用一項網絡服務時，通常具備讓渡一部分信息權利的自覺和認知，但是卻缺乏準確了解實際被收集和使用的個人信息范圍的能力和途徑。雖然在注冊使用一項網絡服務之前，都會有閱讀并同意隱私政策的環節，但隱私政策大多內容冗長、表述專業、超出一般用戶的理解和認知范圍，用戶通常怠于閱讀、草率同意，即便在用戶認真閱讀且理解條款內容的前提下，對于同意之后個人信息在何時何地何種程度上被收集和使用同樣缺乏發現能力，并不能形成對網絡運營者信息處理行為的有效監督和制約。信息主體在并不能真正“明知”的情況下完成了“同意”行為，而網絡運營者卻完成了通知及明示義務的履行并因此免除了可能超范圍收集信息行為的應負責任，網絡運營者利用自身技術優勢和信息主體的無經驗、無能力，不合理地減輕、免除自身責任有違私法公平合理原則。實踐中，被異化的“通知—同意”規則暴露了當前“通知—同意”個人信息處理規則的單薄，亟須進一步細化和完善。

三、大數據時代個人信息保護路徑選擇

如上所述，雖然個人信息保護得到了部分立法的回應，但是面對目前個人信息保護的嚴峻形勢，亟須在下一步的法律完善工作中得到更正補全。

(一)完善人格權禁令制度

《民法典》第997條規定了人格權禁令制度，(15)《中華人民共和國民法典》，https://www.66law.cn/tiaoli/153012.aspx。這也是2020年《民法典》編纂出臺的亮點之一。根據民法解釋論的觀點，該條可以當然適用于侵犯自然人隱私權(包括隱私性信息)以及個人信息權的場景，當事人可以依據該條向人民法院請求發布停止侵害隱私權或者停止非法使用處理個人信息的禁令。互聯網和大數據時代背景下，“信息的傳播具有即時性，且網絡的無邊界性以及受眾的無限性也使得網絡環境對信息的傳播具有一種無限放大效應”。(16)張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學》2015年第3期，第59頁。人格權禁令制度既進一步加強了對人格權侵權行為的事先預防，又體現了對于侵犯人格權損害后果的事后救濟。但是作為《民法典》特設的新制度，《民法典》并未就人格權禁令的性質、是否必然依附于某一訴訟的提起、裁判形式以及有效期限等相關問題作出明確規定，有待進一步的討論和明晰，宜在后續出臺《民法典》適用的相關司法解釋時予以明確。

首先，關于人格權禁令的性質以及是否必然依附于某一訴訟的提起。人格權禁令是一種行為禁令，內容是禁止行為人為一定行為，這種禁令具有強制性，受禁令的行為人必須遵從，不得實施禁令禁止的行為，違反者需承擔相應的法律責任。同樣作為一種行為禁令，人格權禁令與行為保全具有共性的部分，同時也有自己的獨特之處。從功能定位來看，人格權禁令和行為保全都是出于避免申請人在獲得終局救濟之前由于不法侵害持續存在造成申請人的合法權益產生難以彌補的損害的目的提起的。從適用的階段來看，人格權禁令和行為保全皆可以在訴訟前或者訴訟過程中申請。從《民法典》第997條的規定來看，并未體現出人格權禁令制度與訴訟提起的必然關系，只要符合人格權禁令的發布要件，申請人就可以向法院提出發布人格權禁令的申請。有觀點認為，“人格權禁令系訴前禁令的一種，必須依附于某一訴訟的提起才能發揮作用”。(17)王利明：《民法典人格權編草案的亮點及完善》，《中國法律評論》2019年第1期，第102頁。筆者在此持不一樣的觀點，早前的《民法典草案》第780條規定：“民事主體有證據證明他人正在實施或者即將實施侵害其人格權的行為，如不及時制止將會使其合法權益受到難以彌補的損害的，可以在起訴前依法向人民法院申請采取責令停止有關行為的措施”。(18)王利明：《民法典人格權編草案的亮點及完善》，《中國法律評論》2019年第1期，第102頁。這與《民事訴訟法》第101條的規定類似，(19)《中華人民共和國民事訴訟法(2017修正)》，https://www.pkulaw.com/chl/d33df017c784876fbdfb.html?keyword。都體現了禁令提起對訴訟程序的強制依附性，但是《民法典》最終頒布時卻不再有“在起訴前”的表述，這表明《民法典》最終確定人格權禁令制度獨立于訴訟的性質，在適用條件上不必同行為保全一樣必須依附于某一訴訟的提起。從這個意義上看，人格權禁令與《中華人民共和國反家庭暴力法》(以下簡稱《反家庭暴力法》)中的人身安全保護令更具相似性。

其次，關于人格權禁令的裁判形式和有效期限問題。我國民事訴訟領域法定的裁判形式包括三種：判決、裁定和決定，除此之外還包括督促程序中的支付令形式。支付令系命令的一種，命令與一般裁判形式的不同之處在于命令并不具有對爭議事項進行裁決的特點。人格權禁令作為一種行為禁令雖然名稱上與命令具有類似性，但是在探討具體適用的裁判形式時不能僅看形式上的名稱如何，更應該深層次地剖析人格權禁令的性質、內容和功能，綜合判斷人格權禁令應當適用的裁判形式。在通常的民事訴訟程序中，命令這種裁判形式幾乎不存在，支付令的內容也僅限于非訟程序中金錢債權的履行，與人格權禁令行為禁止的內容存在較大差異。因此，筆者認為，人格權禁令應該參考行為保全和人身安全保護令的相關規定，以裁定的形式作出，被申請人對裁定有異議的，其救濟途徑應該是向作出裁定的法院申請復議。上文已經論及人格權禁令和行為保全以及人身安全保護令之間在功能、適用階段等方面存在共通之處，適用與行為保全和人身安全保護令相同的裁判形式符合法理，且行為保全和人身安全保護令經過多年司法實踐，可參考價值和操作性較強，可以為人格權禁令的適用提供依據和指引。

在適用裁定形式發布人格權禁令的基礎上，還會引出關于人格權禁令有效期限的討論。根據《民法典》的規定，人格權禁令并不以某一訴訟的提起為必要，但是這并非意味著人格權禁令與訴訟程序完全脫離。事實上，人格權禁令是否與訴訟存在牽連，取決于人格權禁令的提請發布的時間節點是否與訴訟相關。一種情況是由于出現了某種緊急情況，不申請發布人格權禁令將會造成難以彌補的損害，申請人出于預防或者制止損害進一步擴大的目的將人格權禁令作為提起訴訟前或者訴訟終結前的臨時性過渡措施，在這種情況下，人格權禁令和行為保全并無本質上的差別。在這種情況下，按照申請發布人格權禁令的時間節點，分為訴訟前的禁令和訴訟中的禁令。訴訟前禁令參照適用《民事訴訟法》第101條第3款的規定，在申請禁令后的三十日內不提起訴訟或仲裁的，禁令失效，由此訴訟前人格權禁令的有效期為三十日。訴訟中的人格權禁令在訴訟中持續有效，待法院就人格權侵權的行為作出生效的確定判決后，申請人的權利才能得到終局的保護，在訴訟過程中它始終是一種臨時性的救濟措施。另一種情況是，申請人并無后續提起訴訟的意圖，僅僅具有臨時救濟人格權的目的。此時申請的人格權禁令與《反家庭暴力法》中規定的訴訟外人身安全保護令具有一致性，屬于獨立的司法程序，禁令的發布并不要求申請人及時起訴，只起到制止人格權侵權行為、臨時保護申請人人格權的作用，禁令的有效期限同時參照適用人身安全保護令的相關規定，根據《反家庭暴力法》第30條的規定可知，訴訟外人格權禁令的有效期應不超過六個月，在禁令失效前，人民法院可以根據申請人的申請撤銷、變更或者延長。關于兩種情形下如何判斷人格權禁令與訴訟的關系問題，筆者認為可以引導申請人在申請材料中列明，表明其申請目的是作為訴訟前或訴訟中的臨時性過渡措施，抑或是獨立的訴訟外的特殊司法請求，法院根據不同的申請目的對人格權禁令與訴訟的關系進行判斷從而選擇適用的法律依據。

(二)制定專門的個人信息保護法

現行個人信息保護法律框架下的個人信息缺乏科學分類以及“通知—同意”規則的異化問題可以通過制定專門的個人信息保護法來解決。

1.對個人信息進行科學分類

從個人信息的具體內容來看，主要包括以下類型：“一是個人外觀信息，如姓名、身高、體重等；二是個人身份信息，如職業、職務、教育背景等，個人社交賬號、IP地址等屬于個人的互聯網身份信息；三是個人生物識別信息，如血型、指紋、DNA、面部特征、虹膜等；四是個人健康信息，如病例、體檢報告等；五是個人經濟信息，如存款、房產、貸款及相關經濟活動等；六是個人信用信息，如個人征信記錄、失信懲戒情況等；七是個人的生活信息，如地址、電話、婚姻狀況等；八是個人其他信息，如宗教信仰、社交等”。(20)景欣：《互聯網征信中個人信息保護制度的比較與借鑒》，《西南金融》2020年第9期，第77頁。由于我國實行隱私信息和一般個人信息二元保護的立法模式，因此對個人信息進行一般個人信息和隱私信息的科學分類顯得尤為重要，對兩者進行區分的關鍵在于隱私信息范圍的界定。

一般認為，“隱私信息是指關涉個人隱私核心領域，對其公開或者利用將會給個人造成重大影響的個人信息”。(21)張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學》2015年第3期，第51頁。我國現行個人信息法律保護框架下缺乏對個人隱私信息概念和范圍的明確界定，《信息安全技術公共及商用服務信息系統個人信息保護指南》雖然對個人敏感信息進行了定義和列舉，(22)《信息安全技術 公共及商用服務信息系統個人信息保護指南》，https://www.pkulaw.com/chl/0ff5bc705d989a1abdfb.html?keyword。可在一定程度上為個人隱私信息的界定提供參考，但是由于其僅僅是一個部門工作文件，效力位階過低，輻射范圍有限。我國臺灣地區《個人資料保護法》第6條以是否與個人核心隱私相關為標準，對個人隱私信息進行了類型化列舉。(23)臺灣地區《個人資料保護法》(2015年修正)，https://www.pkulaw.com/twd/4bc14ebbf6661fda88dbe95d34c47cb3bdfb.html?keyword。當前，制定《個人信息保護法》已經被列入第十三屆全國人大常委會立法規劃和年度立法工作計劃，筆者認為將來《個人信息保護法》對個人隱私信息進行界定時，應該吸收借鑒其他國家、地區的有益做法和成熟經驗，結合我國的法律文化傳統、社會普遍價值觀、風俗習慣等，以“是否關涉個人的核心隱私”為標準對個人隱私信息進行綜合界定，同時應認識到“個人隱私信息范圍是一個動態發展的過程，可能會隨著科學技術發展水平、社會發展動態等產生范圍上的擴大或者縮小”，(24)張新寶：《從隱私到個人信息:利益再衡量的理論與制度安排》，《中國法學》2015年第3期，第51頁。在進行個人隱私信息的類型化列舉時應該結合科技發展態勢為其他可能存在的擴展類型預留空間。

2.改進“通知—同意”的個人信息處理規則

現行法律框架下個人信息的收集處理規則是以“通知—同意”為核心建立的，不管是各部門法還是相關的行政法規都將信息主體的同意作為其后續風險負擔的認定依據。筆者認為這種風險分配原理是否妥當值得商榷，單條個人信息體現的經濟、商業價值或許有限，但是在對龐大的信息集合進行分析整合后所產生的能量卻是巨大的，個人信息在商業化流動中產生的巨大收益毫無疑問都是歸屬于信息管理控制者的，而信息主體一旦在信息收集階段表示了“同意”，后續一系列的被泄露或被濫用的現實化的風險和結果都要由其承擔，這種風險分配原理顯然是有失公平的。在缺乏相關配套規則的情況下，現行個人信息保護法律體系下的“通知—同意”規則顯得過于單薄，難以有效應對經濟社會生活的復雜性和個人信息處理的不同情況。

筆者建議應在未來的《個人信息保護法》制定中健全個人信息收集處理的一系列規則，與“通知—同意”規則形成合力。首先，應賦予信息主體“撤回同意意思表示”的權利，規定在特定情形下信息主體可撤回對其個人信息收集使用的同意。關于有權“撤回同意”的具體情形，筆者認為可參考《民法典》關于可撤銷意思表示的規定，在欺詐、脅迫、顯失公平、重大誤解等情形下允許信息主體“撤回同意”。其次，在今后《個人信息保護法》的制定過程中，應該更多地將重心放在信息管理控制者的合規義務的履行和責任承擔方面，而不是放在取得信息主體對于收集處理其個人信息的同意上，當然這并不是意味著信息收集處理不再需要信息主體的同意，而是說信息主體的同意不能成為信息管理控制者在后續信息保管和處理中不合規行為的免責事由，應該通過改變風險分配規則倒逼信息管理控制者把重點放到合規義務的履行上來。目前的情況是除了在信息收集階段需要信息主體的“形式同意”外，在后續的信息處理過程中，信息主體基本喪失對其個人信息的控制權，自己的個人信息在何時何地何種程度被如何使用，信息主體一概無從知曉，并且缺乏自主發現能力。在互聯網愈發普及的時代，每個人無時無刻不在留下自己的“痕跡信息”，而這些“痕跡信息”經過大數據技術的分析整合，最后得出一個完整的“人”，從身份、性別、愛好到家庭經濟狀況、住址、教育水平等，這些分析整合得出的個人信息在后續的保管和使用過程中，一旦信息管理控制者出現不合規行為造成信息泄露，在信息流動速度驚人的網絡空間領域對信息主體造成的影響將是難以容忍且不可逆的。鑒于目前無論是信息密集型的商事主體，還是基于公共管理之需掌握大量個人信息的公權力機關，都離不開互聯網技術的運用，筆者建議可以從技術層面來破解當前互聯網領域的個人信息保護難題。2019年3月，為規范移動互聯網應用程序(以下稱App)收集、使用用戶信息特別是個人信息的行為，加強個人信息安全保護，市場監管總局、中央網信辦發布了《關于開展App安全認證工作的公告》，規定認證機構為中國網絡安全審查技術與認證中心，國家鼓勵App運營者自愿通過App安全認證。(25)《市場監管總局 中央網信辦關于開展App安全認證工作的公告》，http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html。截至2020年6月份，審查認證中心從申請企業中選擇了28款App進行認證試點工作，其中有18款App通過了認證。未來可以考慮通過制定《個人信息保護法》將完成安全認證明確為App進入市場的必要前置程序，規定只有通過安全認證的App方可進入應用市場被正常地下載和使用，使App安全認證的常態化為用戶個人信息安全保駕護航，而且根據《移動互聯網應用程序(App)安全認證實施細則》的規定，安全認證機構對獲證App和App運營者實行持續符合性的自動化、智能化監督，可以減少各行業部門的重復檢測和評估，有效降低企業負擔。同理，基于公共管理之需搭建的網上政務平臺也需要經過第三方認證機構的信息安全檢測，同時應該對檢測結果進行公示，用技術手段強迫和倒逼信息管理控制者在合法合規的軌道內實施信息收集和處理行為，預防和降低信息主體面臨的潛在信息風險。

四、結語

大數據背景下，個人信息的利用和保護如何權衡成為難點和痛點，數字經濟的蓬勃發展離不開大量個人信息數據的流通和利用，但是個人信息權利作為一項重要的帶有人身性質的民事權利，對其的必要保護同樣應該得到重視。雖然《民法典》和相關法律法規基本確立了個人信息保護的基本框架，但是內容上缺乏系統性和針對性，應該在現行法基礎上制定出臺專門的個人信息保護法，為個人信息保護提供更加完備、有力的法律保障。通過對個人信息的界定和識別以及法律保護現狀的分析，未來可考慮通過出臺《民法典》適用的配套司法解釋進一步完善人格權禁令制度以及制定《個人信息保護法》改進“通知—同意”規則，為當前社會日益蓬勃增長的個人信息保護需求提供出口。