個人信息流動中的利益平衡原則

鄭淑霞

西安工業大學馬克思主義學院，陜西 西安 710032

與個人信息有關的利益主體主要有三類，第一類是公民個人，第二類是政府，第三類是相關企業，那么在數據化時代如何兼顧三方利益，既保證對公民個人信息的私權利保護，又兼顧政府基于公共利益和社會利益的目的對個人信息的使用，以及企業基于自身利益的目的對個人信息的使用，如何平衡個人、政府和企業在個人信息流動中的利益平衡關系，此問題的解決將會促進個人信息有效流通和利用。習近平總書記在中共中央政治局第三十四次集體學習時強調，把握數字經濟發展趨勢和規律，推動我國數字經濟健康發展①中共中央政治局2021年10月18日下午就推動我國數字經濟健康發展進行第三十四次集體學習。，此問題的解決也將會促進我國數字經濟的健康良性發展，加快推進產業數字化和數字產業化，加快推進數字中國和智慧社會的建設。

一、構建“三權合理分隔且一體保護”的制度

我國應實行個人信息高效保護與合理利用并重的價值選擇，實現個人信息流動中個人信息權利、企業數據權利與政府數據權利“三權合理分隔且一體保護”的制度模式，并提出利益相對均衡保護的基本原則。

法律制定目的之一，就是解決利益沖突問題，在這里也就是指個人信息主體——自然人和信息處理者——政府和企業之間在個人信息流動中的利益沖突問題。我國近年來制定或者修改的《民法典》《個人信息保護法》《數據安全法》《信息安全技術個人信息安全規范》等相關法律法規，不僅明確規定了自然人和信息處理者（政府和企業）之間在個人信息流動過程中的權利義務關系，而且《民法典》第一千零三十六條還特別規定了信息處理者在處理個人信息時不承擔民事責任的情形，平衡了個人信息權利保護和公共利益、社會利益、商業利益之間的利益關系，另外《民法典》第九百九十八條和第九百九十九條亦有類似規定。［1］

二、建立個人信息分類分級保護制度

根據2021年6月通過的《數據安全法》第二十一條的規定，我們可以按照數據在國家經濟社會發展中的重要性不同，并結合如果其遭受到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度不同，對數據實行分類分級保護；②《中華人民共和國數據安全法》第二十一條。另外《網絡安全法》第二十一條也有類似的規定，國家實行網絡安全等級保護制度，采取數據分類、重要數據備份和加密等措施來保障數據安全③《中華人民共和國網絡安全法》第二十一條。；2021年8月20日全國人大常委會制定并通過的《個人信息保護法》第五十一條規定，要求個人信息處理者對個人信息實行分類管理和采取相應的加密、去標識化等安全技術措施①《中華人民共和國個人信息保護法》第五十一條。；再結合2020版《信息安全技術個人信息安全規范》《民法典》，我們可以根據個人信息可識別度不同將個人信息分為四類：第一種為不需要借助其他信息即可單獨識別自然人的信息，例如身份證號碼、姓名、車牌號碼、社會保險號碼等等；第二種為需要借助其他信息而不能單獨識別自然人的個人信息，例如政治面貌、籍貫、工作地址、家庭地址、性別、婚姻狀況、受教育程度、宗教信仰等等；第三種為個人敏感信息，根據2020版《信息安全技術個人信息安全規范》，個人敏感信息是指，一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。包括身份證件號碼、個人生物識別信息、銀行賬戶、通信記錄和內容、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等等；②2020版《信息安全技術個人信息安全規范》。第四種為通用個人信息，例如民族、國籍、證件類型等等。［2］

結合2020版《信息安全技術個人信息安全規范》《民法典》《個人信息保護法》，我們可以根據個人信息敏感程度不同將個人信息分為五級：主要包括極敏感個人信息（例如診療信息、銀行賬戶等，一旦泄露將會給信息主體身心健康、財產帶來重大損失）、敏感個人信息、較敏感個人信息、低敏感個人信息、非敏感個人信息。

綜上所述，我們可以將個人信息分為四類五級，對于不同類別不同級別的個人信息采取不同級別的保護措施，例如對于不需要借助其他信息即可單獨識別自然人的極敏感個人信息，采取最高級別的保護措施，而對于無敏感性的個人通用信息則采取最低級別的保護措施。

三、合理界定個人信息流動中的個人、政府和企業之間的權利（權力）邊界

（一）明確個人信息權利的內容

1.明確界定個人信息的概念

我國2021年通過的《個人信息保護法》第四條，明確對個人信息進行了概念界定，根據該法條，所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。③《中華人民共和國民法典》第一千零三十四條。2020版《信息安全技術個人信息安全規范》也有類似的概念界定。

根據上述法律法規可見，個人信息具有三個特征：第一，個人信息的主體只能是自然人；第二，個人信息必須以一定方式記錄在一定的載體上，包括電子方式或者其他方式；第三，個人信息具有可識別性。另外，個人信息如果經過脫敏處理或者匿名化處理后，則基本喪失可識別性，無法識別特定自然人，那么這樣的個人信息則不屬于法律規定的個人信息。

2.明確個人信息的權利范圍

我國《個人信息保護法》第四章專門規定了個人在個人信息處理活動中的權利，其權利主要包括：知情權、決定權、查閱權、復制權、更正權、補充權、刪除權、要求解釋權等權利。

3.個人信息權利可以分為三種

第一種為私密信息，私密信息屬于個人信息和自然人隱私權相重合的部分，對于私密信息，按照我國《民法典》第一千零三十四條的規定，適用于隱私權的相關規定。④《中華人民共和國民法典》第一千零三十二條。根據我國《民法典》第一千零三十二條，對于自然人的個人信息中的私密信息，任何組織或者個人都不得采取刺探、侵擾、泄露、公開等等方式。⑤《中華人民共和國個人信息保護法》第四條。

第二種為其他經過授權政府和企業可以使用的個人信息，此部分的個人信息，經過自然人授權，政府基于公共利益或者社會利益的目的（例如人口普查、疫情防控、緝拿逃犯、公布失信人員信息等等）、企業基于商業利益的目的可以采集、使用、流轉、公開。［3］

第三種為無需經過授權政府或者企業即可使用的個人信息，對于此種個人信息，信息主體的知情權、決定權、查閱權和復制權將受到限制。⑥《中華人民共和國個人信息保護法》第四十四條、第四十五條。

（二）明確政府在個人信息流轉中的權力清單和職責

1.明確政府在個人信息流轉中的權力清單

根據我國《個人信息保護法》第十八條和第三十五條的相關規定，政府或者企業在處理個人信息時，如果根據法律或者行政法規的規定，應當保密或告知將會妨礙國家機關履行法定職責、或在無需告知信息主體的情況下，那么以上幾種情況下使用自然人的個人信息，則既不需要征求自然人的同意，也無需告知其使用情況。①《中華人民共和國個人信息保護法》第十八條和第三十五條。

政府此種使用個人信息的情形，其主要目的是公共利益、社會利益或者社會秩序，例如為了調查犯罪、為了國家安全而調取有關監控，為了疫情防控而要求自然人在出入公共場所時出示健康碼和行程碼，為了人口普查而收集的個人的出生信息、家庭成員信息等信息。

2.明確政府在個人信息流轉中的職責

根據我國《個人信息保護法》第五章的規定，政府在個人信息流轉中的職責主要包括：第一，采取有效措施，例如加強個人信息使用的管理流程，采取信息加密、去標識化處理、實行個人信息的分級分類保護等措施確保個人信息使用的合法合規，并防范未經授權的訪問和個人信息的泄露、丟失、篡改；第二，專人專責，專門指定保護個人信息的負責人；第三，政府應定期對其使用個人信息的合法合規情況進行合規審計；第四，建立事前個人信息保護影響評估制度；第五，建立個人信息遭受泄露、丟失、篡改的應急預案制度。②《中華人民共和國個人信息保護法》第五章。

（三）明確數據企業在個人信息流轉中的權利清單和義務

1.明確數據企業在個人信息流轉中的權利清單

企業對個人信息的使用主要權利包括兩種：第一種是基于對大量個人信息的去標識化處理而產生的具有商業價值的數據財產權利。這是一種新的數據權利，就像自然人對其個人信息享有權利一樣，企業對這種產生于個人信息但又做過去標識化處理的數據，同樣擁有數據權利；第二種是經過自然人授權而對個人信息擁有的使用權。

2.明確數據企業在個人信息流轉中的義務

企業除履行如同上述政府在個人信息流轉中的職責外，對于類似BAT提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的企業還應當履行下列義務：第一，成立第三方監管機構，負責對個人信息合法合規使用情況進行監督；第二，明確平臺內產品或者服務提供者處理個人信息的規范和保護個人信息的義務；第三，對平臺內違法違規的產品或者服務提供者，停止提供服務；第四，定期發布個人信息保護社會責任報告，接受社會監督。③《中華人民共和國個人信息保護法》第五十八條。

四、設立專門監管機構，建立行政監管、行業自律監管和社會監管相結合的一體化執法監管體制

（一）設立獨立的第三方機構來對個人信息的使用進行監管

《日本個人信息保護法》針對個人信息的保護，采取的是統一立法，并結合行業自律的模式［4］。我們可以借鑒日本的關于個人信息保護的做法，專門成立一個獨立的監管部門來對政府和企業有關個人信息的使用行為進行監督。我國剛剛通過的《個人信息保護法》就明確規定，由國家網信部門承擔相關個人信息使用情況的監管工作，從而加大對個人信息保護的力度。

（二）加強行業自律和外部監督相結合

我們可以借鑒美國的行業自律模式，并加強對各行業個人信息使用的外部監督。

五、結語

數字化時代，合理平衡個人、政府和企業在個人信息流動中的利益關系，構建“三權合理分隔且一體保護”的制度，建立個人信息分類分級保護制度，合理界定個人信息流動中的個人、政府和企業之間的權利（權力）邊界，設立專門監管機構，建立行政監管、行業自律監管和社會監管相結合的一體化執法監管體制等等，將會促進個人信息有效流通和利用，促進我國數字經濟的健康良性發展，加快推進產業數字化和數字產業化，加快推進數字中國和智慧社會的建設。