數(shù)字經(jīng)濟下個人信息法律保護制度的路徑研究

周 琳

（中國計量大學(xué)，浙江杭州 310018）

隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)時代已經(jīng)到來，數(shù)據(jù)逐漸成為一種資源，而且是關(guān)系到國家經(jīng)濟發(fā)展的一種重要戰(zhàn)略資源。各國在不斷利用數(shù)據(jù)資源來實現(xiàn)經(jīng)濟價值時，數(shù)據(jù)挖掘所帶來的弊端也在逐漸顯露，最為明顯的就是個人信息的保護問題。一些國家已經(jīng)出臺一系列政策或立法來進行數(shù)據(jù)治理，以期保護個人信息的安全。我國也逐漸重視個人信息保護問題，在數(shù)字經(jīng)濟時代下對個人信息保護制度的可行路徑進行進一步研究。

1 數(shù)字經(jīng)濟下個人信息法律保護所面臨的的挑戰(zhàn)

1.1 未跳出可識別性個人信息的界定

1980年《OECD委員會關(guān)于管理隱私保護和個人數(shù)據(jù)跨疆界流動的指導(dǎo)原則的建議書》就把“個人數(shù)據(jù)”界定為“與確定的和可以確定的個人相關(guān)的任何信息”。[1]2018年《一般數(shù)據(jù)保護條例》（GDPR）中將“個人數(shù)據(jù)”定義為，任何已識別或可識別的自然人（數(shù)據(jù)主體）相關(guān)的信息，包括直接和間接信息。我國《網(wǎng)絡(luò)安全法》中第七十六條規(guī)定，個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。

通過以上各個國家關(guān)于個人信息定義的對比可以看出，個人信息最大的特征就是可識別性，能夠直接或間接識別到自然人。但以可識別性來判斷是否屬于個人信息，無形之間將個人信息的范圍擴大了，這對于個人信息的保護范圍會隨之?dāng)U大，而且以直接和間接的方式都可以用來界定個人信息過于僵化，因為并不是任何可識別的信息都可以定義為真正需要保護的個人信息。

1.2 傳統(tǒng)個人信息保護架構(gòu)已經(jīng)無法適應(yīng)大數(shù)據(jù)時代的需要

傳統(tǒng)個人信息保護架構(gòu)最先由美國衛(wèi)生及公共服務(wù)部于1973年提出，宗旨是確保信息主體的信息得到公平的利用，后來拓展為八項基本原則。[2]但是在大數(shù)據(jù)時代下，個人信息的輸入、輸出以及流轉(zhuǎn)不再是過去單方面的，而是動態(tài)的、交互往來的多方結(jié)構(gòu)。互聯(lián)網(wǎng)上的經(jīng)濟活動從側(cè)重于為人類客戶提供內(nèi)容和服務(wù)的信息經(jīng)濟擴展到數(shù)據(jù)經(jīng)濟。[3]

但隨之而來的問題是，每個人對個人的信息控制能力在減弱，其信息被濫用。這時企業(yè)一般會先設(shè)置相關(guān)的隱私聲明，得到用戶的授權(quán)同意之后才能夠獲取用戶信息。而這種授權(quán)同意的方式其實對于用戶和企業(yè)來說都是一項沉重的負擔(dān)，往往企業(yè)要提前設(shè)置一系列復(fù)雜冗長的隱私條款，而用戶一般為了使用該項服務(wù)，往往不會仔細閱讀就直接找到同意授權(quán)選項。這種授權(quán)條款已演變成了形式上的需要，原來那種建立在“知情同意”架構(gòu)基礎(chǔ)上的傳統(tǒng)個人信息保護架構(gòu)已不能適應(yīng)大數(shù)據(jù)時代的需要了。

1.3 個人信息立法保護較為分散

關(guān)于我國個人信息保護的法律現(xiàn)狀，總體上仍處于一種較為分散的狀態(tài)，而且過于重視刑事責(zé)任的作用。我國2012年出臺了《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，后來制定了《網(wǎng)絡(luò)安全法》，同時還在《消費者權(quán)益保護法》中突出消費者的信息保護問題，在《刑法修正案（九）》中增設(shè)了侵犯公民個人信息罪和了拒不履行信息網(wǎng)絡(luò)安全管理義務(wù)罪。

但我國對于個人信息的保護往往存在以下問題：一方面，有關(guān)個人信息保護的法律中對個人信息權(quán)益的保護過于原則化。這就導(dǎo)致在法條的引用和具體操作上存在一定的難度。另一方面，對于個人信息的保護存在民事救濟與刑事救濟不平衡的局面。而且我國對于個人信息保護問題更側(cè)重于刑事打擊和事后打擊，雖然可以起到一定的懲戒作用，但不利于個人信息保護法體系的構(gòu)建并且更加從源頭上放任侵犯個人信息權(quán)益的行為。

2 域外個人信息保護方案的重新解讀

2.1 歐美國家個人信息保護制度的發(fā)展

歐盟在個人信息保護方面頒布的較為重要的法律主要有1995年《歐盟議會與歐盟理事會關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流通的第95/46/EC號指令》以及2018年的《一般數(shù)據(jù)保護條例》（GDPR）。1995年的《指令》已經(jīng)對個人信息保護做了較為全面的規(guī)定，而《一般數(shù)據(jù)保護條例》除了強調(diào)個人信息控制權(quán)的同時，更加注重數(shù)據(jù)的流通與利用。[4]

美國對于個人信息的控制權(quán)來說更加寬松，但這并不是說美國對于個人信息保護不到位，引入場景為主導(dǎo)的個人信息保護新機制。簡單而言，就是在利用個人信息時應(yīng)當(dāng)在具體環(huán)境或場景中做合理判斷，若不合理，則機構(gòu)需要告知，并以合理的方式為用戶提供是否要承擔(dān)風(fēng)險以及是否希望降低風(fēng)險的選擇機制。而非抽象的認定利用是否合理，跳出了傳統(tǒng)的“知情同意”架構(gòu)。

2.2 域外經(jīng)驗對我國的啟示

通過對歐盟和美國在數(shù)據(jù)治理和個人信息保護上不同路徑的選擇可以看出，歐盟和美國的治理方案都在個人信息的控制上達到了一種均衡的狀態(tài)，不會過松也不會過緊。這對于我國來說具有一定的參考意義，因為目前來說，我國對于個人信息的保護還沒有跳出傳統(tǒng)“知情同意”的框架，不能將個人對于個人信息的控制上升到一種排他的絕對權(quán)的性質(zhì)。

3 數(shù)字經(jīng)濟時代個人信息法律保護的實施路徑

3.1 對個人信息概念重新解讀

大多數(shù)國家對于個人信息的定義仍局限于可識別性這一特征，而美國更強調(diào)個人信息的連結(jié)性或關(guān)聯(lián)性，這對于我國來說是有借鑒意義的。但我國還應(yīng)對個人信息的定義在此基礎(chǔ)之上做重新解讀，跳出對個人信息定義二分法的局限，將其視為一個動態(tài)的概念，將關(guān)注點轉(zhuǎn)為信息利用階段，因為個人信息從本質(zhì)上來說就是數(shù)據(jù)，但是其流轉(zhuǎn)或利用的過程中所包含或者可關(guān)聯(lián)的內(nèi)容就越來越具體，可以連接或指向個人，所以我國對于個人信息的把握要有一個動態(tài)的、關(guān)聯(lián)的認識。

3.2 跳出傳統(tǒng)的個人信息保護框架，優(yōu)化升級場景與風(fēng)險管理理念

之所以不能將所有與個人有關(guān)的信息理所當(dāng)然的納入個人信息中，是因為不利于數(shù)據(jù)的自由流動，也不利于個人信息的保護。我們應(yīng)該適當(dāng)采取場景與風(fēng)險管理理念并結(jié)合我國的現(xiàn)狀對其進行重新架構(gòu)。

場景與風(fēng)險管理理念是指將場景導(dǎo)向路徑和風(fēng)險評估路徑結(jié)合在一起，將個人數(shù)據(jù)和隱私保護的邊界視為是動態(tài)的、可變的。場景與風(fēng)險導(dǎo)向的理念秉持個案分析的精神，認識到個人信息合理使用的判斷標(biāo)準(zhǔn)取決于是否符合用戶的合理隱私期待，以及是否造成了不合理的隱私風(fēng)險，而并非僵化審視是否取得了當(dāng)事人的同意。[5]

可以說場景與風(fēng)險管理理念相對于原來傳統(tǒng)的“知情同意”原則來說是一個重大的突破，其將個人信息的合理使用放在具體的情境中分析判斷，同時對于不符合個人信息合理使用的進行風(fēng)險評估并采取相應(yīng)管理措施。但該理念也有其不足之處，一方面，對于個人信息合理使用的判斷標(biāo)準(zhǔn)難以確定，過于主觀；另一方面，場景與風(fēng)險管理理念的應(yīng)用還是以個案分析為主，在具體適用上可能會存在障礙。所以我國應(yīng)當(dāng)以個人信息和數(shù)據(jù)保護的動態(tài)發(fā)展為主旨，適當(dāng)吸收場景與風(fēng)險管理理念，對個人信息保護制度進行重構(gòu)。

3.3 多元主體參與配合

除了要對傳統(tǒng)的個人信息保護框架進行重構(gòu)之外，還應(yīng)當(dāng)在具體實施的手段和方式上做調(diào)整。這就不僅需要國家在制度構(gòu)架方面做引導(dǎo)，也需要企業(yè)、第三方平臺等相關(guān)責(zé)任主體進行多方互動和參與。企業(yè)在其能夠承擔(dān)的限度之內(nèi)，可以適當(dāng)修改各自的隱私聲明或隱私政策，主動承擔(dān)保護個人信息或隱私的責(zé)任，這不僅有助于個人信息的多方保護，而且還可以為企業(yè)贏得良好聲譽。此外，還可以引入第三方監(jiān)管平臺，對企業(yè)不規(guī)范行為進行監(jiān)管和披露，這樣內(nèi)部和外部措施共舉，可以更好的保護數(shù)字經(jīng)濟時代下的個人信息。

4 結(jié)論

數(shù)字經(jīng)濟背景下，數(shù)據(jù)開發(fā)利用與個人信息保護之間的平衡發(fā)展是關(guān)鍵。對個人信息不能一味的過度強調(diào)保護和控制，還應(yīng)注意個人信息在社會中的流通和利用，使個人信息的保護由個人控制向社會控制方向發(fā)展。同時，要注意到對個人信息的保護其實是對個人信息的法益保護而非是對個人信息控制權(quán)的保護。大數(shù)據(jù)時代對于個人信息的保護提出了更大的挑戰(zhàn)，我國雖然在個人信息保護方面還沒有完整的法律體系，但是數(shù)字經(jīng)濟的快速發(fā)展以及他國有益經(jīng)驗的借鑒對我國的個人信息保護制度的路徑選擇有重要的影響。我國應(yīng)結(jié)合具體國情以及經(jīng)濟體制改革的背景下，重新界定個人信息的內(nèi)涵和外延，優(yōu)化升級場景與風(fēng)險管理理念，實現(xiàn)多方主體的參與和互動，加強政府引導(dǎo)和企業(yè)自律，適當(dāng)引入第三方平臺監(jiān)測，實現(xiàn)數(shù)據(jù)開發(fā)利用與個人信息保護之間的平衡。