數字經濟下個人信息保護的路徑探索

文｜張明陽

自數據3.0時代來臨后，個人信息作為大數據收集和分析的重要支撐，在眾多行業中發揮著巨大的作用。但與此同時，個人信息的泄露、電信詐騙的猖獗，也表明了個人信息的保護刻不容緩。本文力求從法律方面在個人信息保護、數字經濟發展與事后監督管理追責三者之間追尋一個平衡，為政府管理提供一定的方法論支持。

數字時代已經悄然而至。自計算機出現后的1.0時代起，人類就已經通過計算機開啟了經濟增長的快速通道。電商等新興平臺迅速崛起，引領了一場新的社會變革。但伴隨而來的，則是個人信息的嚴重泄露所導致和引發的一系列問題。根據中國消費者協會2018年發布的《App個人信息泄露情況調查報告》顯示，高達86%左右的個人信息被泄露過，最常見的泄露方式是騷擾電話或短信、詐騙電話等。問題似乎進入了兩難的境地。正是通過源源不斷的個人數據，才能為大數據分析和識別提供信息支撐，起到降低成本和提高用戶黏性的目的。但同時APP對個人信息的獲取又在一定程度上加大了個人信息泄露的風險，不利于經濟的長久穩定發展。

一、問題的提出

根據《民法典》第990條的規定，其依次提到了身體權、健康權、肖像權、隱私權等權能，卻唯獨沒有 “個人信息權” 的表述。但事實上，個人信息和隱私權在許多方面具有相似性，例如本人不愿意公開的個人信息，如住址等，實際上也可以歸屬到隱私權的范疇。APP對個人信息的獲取，實際上是個體將涉及隱私的部分權利讓渡給了APP公司，所以APP公司應該對個人信息承擔保護責任。2021年《中華人民共和國個人信息保護法》詳細規定了個人信息獲取的方法，即基于“同意”規則。

但是現實中APP隱私條款卻存在以下問題：隱私條款晦澀難懂，充斥著“法言法語”，存在無人讀、不可讀、讀不懂的窘境；部分APP過度索要權限問題嚴重，其中大量APP索要通訊錄、存儲、設備型號等無關權限，一旦不點擊同意，那么其余可正常使用的功能也將停用；用戶協議動輒上千上萬字，據統計，“其中數款下載量過億次的手機App，平均每款需要用戶仔細閱讀并同意的協議內容約有3萬字左右……”

從司法角度出發，用戶協議越詳盡、規定越清楚越有利于雙方明確各自所屬的權利義務。但是從應用法學的角度出發，在APP使用上，字數越多用戶反而越沒有興趣進行閱讀，實際上恰恰起到了阻礙用戶知情權實現的作用。

圖1 個人信息泄露黑色產業鏈

隨著數字經濟的飛速發展，個人信息會在不同的互聯網公司之間進行使用。例如在網絡平臺訂票后，用戶的位置信息會被獲取，并推送當地的酒店供用戶選擇。這不僅促進了關聯平臺之間的合作與發展，也便利了個人的生活和工作。所以往往在用戶協議中APP公司會標注出共享信息第三方，將相關共享條款一并展現給用戶。但是實際上APP公司并未完全履行自身義務，而是通過“第三方”等字眼來模糊其合法化基礎，用戶對于其個人信息的走向并不真正清楚和了解，也大大增加了違法犯罪的可能性。

二、我國的路徑選擇

（一）促進跨APP共享機制的建立

在數字經濟時代，必須要做到個人信息保護和經濟發展相協調。換言之，即數據的經濟價值和個人信息權益之間的價值取舍。基于關聯平臺之間的數據共享模式，應該采取“三重授權原則”來對信息共享模式進行規制。同時在用戶協議和隱私政策中明確列出可能與之相關的關聯服務方，而不能籠統或者模糊化的以“第三方”來概括。以時下熱門的某款手游為例，在其隱私條款中就明確列出了7個信息關聯方，其中也具體列出了每個信息關聯方獲取玩家個人信息的用途。

（二）將隱私協議/用戶條款審核責任前置

根據最新數據顯示，應用商店作為應用分發平臺，在應用下載渠道按用戶來源排序中排名第一，比例最高。對于開發者來說，應用商店具備用戶天然信任度高（64.1%），用戶下載需求精準、轉化率高（55.3%）等優點，是重要的用戶來源渠道。 “利益之所在，責任之所歸。”因此對于垃圾軟件、惡意捆綁、木馬病毒等APP，應用商店平臺應該起到審核、管理的作用。手機廠商可以設計一套自動審核篩選上架APP隱私協議和用戶條款是否存在法律漏洞的AI系統。通過人工智能來最大程度的起到保護個人信息的作用，真正實現技術造福社會。

（三）設立不同的制度審核標準

對個人信息保護法來說，其目的是“在保護個人信息的前提下更好地利用個人信息促進經濟的良好發展。”因此，如果對信息處理主體設立過于嚴苛的義務管理，會有一定的可能導致其僵化和不利于經濟的發展。我們可以針對不同類型的個人信息設立不同的保管義務和處理標準。例如對于隱私性極強的、可以識別出個人的數據設定較高的管理和保管義務，一旦造成泄露就對其處以較為嚴重的懲罰；對于無法識別出具體個人的匿名化、脫敏化信息，可以在一定程度上減輕信息處理者的義務和責任。在個人信息保護的制度建設中，通過類似“歐盟”GDPR立法的“風險為路徑”立法模式，我們可以反向督促和引導信息處理者主動將個人信息進行脫敏化、匿名化處理，增加制度包容性，在已有法律法規的強制規范作用下通過柔性的制度規定來更好實現個人信息保護的目標。

（四）完善行政法規，提高個人信息侵權打擊力度

民法典中具體規定了侵犯公民隱私權等的賠償和受害者的舉證方式，但現實中往往因為舉證困難和收益低導致受害者極少因此而提起訴訟。同時刑事處罰中規定了侵犯公民個人信息罪，同樣因為處罰門檻高而并不適用。因此我們應該在個人信息保護領域大力運用行政手段來規制侵權行為。一方面通過政府的行政手段和技術手段提前防范個人信息泄露，減輕公民因此所遭受的損害，另一方面也能為民事舉證和刑事處罰提供證據支撐。

三、結語

個人信息在當代已經成為了極其重要的戰略資源和經濟資源。利用好個人信息，不僅能夠為我國的經濟發展提供數據支撐，同時對于數據的脫敏化和匿名化處理也能大幅度降低電信詐騙和隱私泄露所導致的一系列惡性案件的數量，維護社會穩定。因此我們需要從源頭規范APP隱私政策和用戶協議，推進其合法合規發展。其次利用好“三重授權”原則，在不阻礙經濟發展、降低效率的前提下最大程度地保護用戶的知情權，同時企業應該做好脫敏、匿名標識和處理。最后由政府擔任守門員，通過行政力量對違法行為進行打擊，最大程度地降低個人維權成本。