個人隱私信息保護(hù)之中歐比較

馮冠霖 閆一新 張紅艷 郭啟勇

一、數(shù)字化時代個人隱私面臨嚴(yán)峻挑戰(zhàn)

從工業(yè)時代、信息時代邁入數(shù)字化時代，人們的生活方式正被深刻地影響和改變，人的數(shù)字化存在也成為一種新趨勢。借助個人在社會生活中產(chǎn)生的海量數(shù)據(jù)，可以分析出整個經(jīng)濟(jì)社會運(yùn)行的總體情況，找尋到看似無關(guān)事物之間的內(nèi)在關(guān)聯(lián)。近年來，我國數(shù)據(jù)量呈現(xiàn)井噴式增長，據(jù)預(yù)測，我國在2025年將以48.6ZB的數(shù)據(jù)量成為全球最大的數(shù)據(jù)圈。數(shù)據(jù)的爆發(fā)式增長有力地推動了數(shù)字化時代經(jīng)濟(jì)的蓬勃發(fā)展，但同時也給個人信息隱私與安全帶來了嚴(yán)峻的挑戰(zhàn)。

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第47次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告，截至2020年12月，我國網(wǎng)民規(guī)模已達(dá)到9.89億?！熬W(wǎng)上沖浪”在帶給消費(fèi)者便利的同時，其背后的個人數(shù)據(jù)的濫采、濫用現(xiàn)象也逐漸引發(fā)關(guān)注。根據(jù)艾媒咨詢《2020年中國手機(jī)APP隱私權(quán)限測評報告》，當(dāng)前我國97%的APP默認(rèn)調(diào)用相機(jī)權(quán)限，35%的APP默認(rèn)調(diào)用讀取聯(lián)系人權(quán)限。新浪微博、航旅縱橫等知名網(wǎng)站也存在著未告知用戶數(shù)據(jù)收集目的、用戶明確不同意打開某權(quán)限后仍頻繁征求用戶同意等違規(guī)現(xiàn)象。

從全球范圍來看，個人信息的保護(hù)也是世界性難題，目前全球有百余個國家和地區(qū)制定了個人信息保護(hù)法律。特別是歐盟、美國等發(fā)達(dá)國家的個人信息保護(hù)工作起步較早，發(fā)展程度較高，為我國相關(guān)法律政策的制定提供了參考。

二、中歐個人信息保護(hù)政策對比

（一）歐盟相關(guān)法律規(guī)定

2016年4月，歐盟審批通過了《通用數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）。GDPR被普遍認(rèn)為是歐盟有史以來最嚴(yán)格的數(shù)據(jù)管理法案，根據(jù)GDPR，企業(yè)在嚴(yán)重違規(guī)的情況下，可被處罰兩千萬歐元或該企業(yè)全球年總收入的4%，在2019年7月，英國信息監(jiān)管局發(fā)表聲明稱，英國航空公司因違反《通用數(shù)據(jù)保護(hù)條例》被罰近兩億英鎊。2018年5月25日，GDPR生效，GDPR的執(zhí)行給數(shù)字化時代的數(shù)據(jù)利用、互聯(lián)網(wǎng)企業(yè)經(jīng)營等帶來了巨大挑戰(zhàn)，2018年4月，騰訊宣布從2018年5月20日起停止QQ在歐洲地區(qū)的服務(wù)，媒體猜測此舉與GDPR的生效有關(guān)。

GDPR中的主要角色有三類，即數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者。數(shù)據(jù)主體被定義為擁有個人信息的自然人，其享有個人隱私數(shù)據(jù)被依法保護(hù)的權(quán)利，有權(quán)對個人數(shù)據(jù)進(jìn)行訪問、修正、刪除等。數(shù)據(jù)控制者被定義為有權(quán)決定收集、處理個人信息的自然人、組織與政府機(jī)構(gòu)等，其承擔(dān)著保護(hù)個人信息、遵守GDPR相關(guān)規(guī)定的責(zé)任與義務(wù)。數(shù)據(jù)處理者依據(jù)數(shù)據(jù)控制者的要求來處理個人信息，數(shù)據(jù)處理者也需要直接遵守GDPR。

GDPR明確了處理個人數(shù)據(jù)的七大原則：一是強(qiáng)調(diào)合法、公平、透明;二是限定數(shù)據(jù)使用目的;三是要求采集盡可能少的數(shù)據(jù);四是突出數(shù)據(jù)準(zhǔn)確性;五是設(shè)置數(shù)據(jù)存儲期限;六是強(qiáng)調(diào)完整性和機(jī)密性;七是實(shí)施問責(zé)制。GDPR對數(shù)據(jù)主體權(quán)益給予了充分保障，明確規(guī)定了數(shù)據(jù)主體的特定權(quán)利，包括知情權(quán)、訪問權(quán)、更正權(quán)、刪除權(quán)、數(shù)據(jù)移植權(quán)、限制處理權(quán)、反對（撤回）權(quán)、反自動化決策權(quán)等。同時，GDPR也明確規(guī)定了數(shù)據(jù)控制者、處理者的相關(guān)責(zé)任，他們承擔(dān)著通知用戶、實(shí)現(xiàn)數(shù)據(jù)主體權(quán)利、確保數(shù)據(jù)處理合法性和安全性、數(shù)據(jù)泄露響應(yīng)、數(shù)據(jù)轉(zhuǎn)移、第三方管理、員工管理、舉證等責(zé)任。

對于個人信息的分類，GDPR的做法是將個人信息分為實(shí)名信息、偽名信息和匿名信息，偽名信息（如IMEI號）不能直接看出其與實(shí)名信息的聯(lián)系，但可以借助其他信息恢復(fù)為實(shí)名信息，而匿名信息則完全不可以恢復(fù)為實(shí)名信息。GDPR對實(shí)名信息、偽名信息和匿名信息分別規(guī)定了不同場景下的保護(hù)要求。

但值得注意的是，激進(jìn)的GDPR也具有一定的“雙刃劍”效應(yīng)。據(jù)英國《金融時報》報道，在GDPR推行一年后，歐盟人工智能相關(guān)技術(shù)的發(fā)展顯著落后于中國等“數(shù)據(jù)更加開放”的國家，四分之三的企業(yè)表示，GDPR對企業(yè)創(chuàng)新形成了重大障礙;超過六成的企業(yè)表示GDPR給它們帶來了嚴(yán)重的經(jīng)濟(jì)負(fù)擔(dān)，需要花費(fèi)100萬美元以上為GDPR做準(zhǔn)備。

2020年2月，歐盟發(fā)布了《歐洲數(shù)據(jù)戰(zhàn)略》，該文件旨在讓歐洲成為全球最具活力、吸引力和安全性的數(shù)據(jù)敏捷型經(jīng)濟(jì)體，其中也強(qiáng)調(diào)了個人信息的保護(hù)工作?！稓W洲數(shù)據(jù)戰(zhàn)略》提出了若干舉措來推動戰(zhàn)略的落地實(shí)施。一是建立起統(tǒng)一的數(shù)據(jù)治理框架;二是加強(qiáng)在數(shù)據(jù)基礎(chǔ)設(shè)施領(lǐng)域的投資;三是提升個體數(shù)據(jù)權(quán)利和技能;四是打造歐洲數(shù)據(jù)公共空間。

（二）我國相關(guān)法律規(guī)定

為更好地推動個人信息保護(hù)，我國相繼制定了一系列相關(guān)的法律法規(guī)，積極進(jìn)行探索與實(shí)踐?！吨腥A人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國民法典》、《中華人民共和國個人信息保護(hù)法（草案）》等均明確了對個人信息的保護(hù)。

在個人信息定義方面，與GDPR相比，我國相關(guān)法律體系的定義不夠明確。2020年10月，《中華人民共和國個人信息保護(hù)法（草案）》公布并公開征求社會公眾意見，草案第四條對“個人信息”進(jìn)行了界定，明確“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息”、“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等活動”?！恫莅浮分袑τ趥€人信息的定義比較含糊，沒有給出具體的概念界定，且僅匿名化處理仍可能通過個人生物特征信息等識別特定自然人，《草案》中對于個人信息的處理也沒有包含“個人信息的刪除、銷毀”等過程。

在個人信息分類方面，2020年7月3日，《中華人民共和國數(shù)據(jù)安全法（草案）》向社會公開征求意見，提出國家將對數(shù)據(jù)實(shí)行分級分類保護(hù)、開展數(shù)據(jù)活動必須履行數(shù)據(jù)安全保護(hù)義務(wù)承擔(dān)社會責(zé)任等。但與GDPR相比，我國沒有具體將個人數(shù)據(jù)分為實(shí)名信息、偽名信息和匿名信息等多個類別，進(jìn)行不同場景下的分類保護(hù)。

在個人信息保護(hù)的各方權(quán)利與責(zé)任方面，與GDPR相比，我國的數(shù)據(jù)主體尚未擁有數(shù)據(jù)移植權(quán)與反自動化決策權(quán)，反自動化決策權(quán)即數(shù)據(jù)主體擁有不受制于機(jī)器學(xué)習(xí)等自動化決策的權(quán)利。在數(shù)據(jù)控制者和處理者的責(zé)任方面，我國的數(shù)據(jù)控制者和處理者需加強(qiáng)在第三方管理與問責(zé)制度方面的建設(shè)。

在個人信息保護(hù)的侵權(quán)懲罰機(jī)制方面，與GDPR相比，我國缺少完善的侵權(quán)訴訟與懲罰機(jī)制，更多地停留在原則性保護(hù)上，且部門之間的責(zé)任存在交叉，容易模糊分工和相互推諉。此外，我國對于濫采、濫用個人信息行為的懲罰力度不夠，與GDPR的嚴(yán)格程度相比，我國的懲罰力度較小，震懾效果不強(qiáng)。

此外，我國于2018年5月1日起實(shí)施的《信息安全技術(shù)個人信息安全規(guī)范》與歐盟的GDPR有一定的相似之處，但在某些領(lǐng)域根據(jù)我國的實(shí)際情況作出了更為明確具體甚至更嚴(yán)格的規(guī)定，因此我國企業(yè)在合規(guī)時需要采取最高的標(biāo)準(zhǔn)。

三、總結(jié)與展望

近年來，我國出臺一系列個人信息保護(hù)法規(guī)文件，發(fā)布多項個人信息保護(hù)標(biāo)準(zhǔn)，并開展專項整治行動，取得了一定的成績。但整體來看，我國與歐盟等發(fā)達(dá)國家在個人信息保護(hù)領(lǐng)域相比仍存在一定差距。下一步，我國應(yīng)當(dāng)在以下方面進(jìn)一步做好個人信息保護(hù)工作：

一是在教育、通訊、醫(yī)療等重點(diǎn)領(lǐng)域頒布相關(guān)法律，加強(qiáng)對個人隱私數(shù)據(jù)的保護(hù)，對特定行業(yè)、特定類型數(shù)據(jù)、不公平或有欺詐性質(zhì)的數(shù)據(jù)活動進(jìn)行規(guī)制。同時，完善已有個人信息保護(hù)法規(guī)，對實(shí)踐過程中暴露的漏洞和盲點(diǎn)問題，從技術(shù)層面和監(jiān)管層面完善相關(guān)規(guī)定，并發(fā)布官方解讀，對典型案例進(jìn)行剖析和宣傳告誡。

二是將重點(diǎn)領(lǐng)域的個人信息保護(hù)相關(guān)法律法規(guī)整合，制定類似歐盟GDPR的統(tǒng)一全面的個人信息保護(hù)體系，明確廣大消費(fèi)者對于各類企業(yè)收集、處理個人信息的控制權(quán)，引導(dǎo)企業(yè)在用戶的個人隱私與其商業(yè)需求間找到平衡點(diǎn)，引導(dǎo)消費(fèi)者在崇拜科技進(jìn)步的同時重視個人隱私權(quán)。開展實(shí)名信息、偽名信息和匿名信息等多類型個人信息的分類管理，在不同場景下對個人信息進(jìn)行嚴(yán)格細(xì)致的保護(hù)。

三是針對個人數(shù)據(jù)侵權(quán)訴訟時存在的部門之間責(zé)任交叉、分工模糊等現(xiàn)象，健全個人數(shù)據(jù)保護(hù)訴訟機(jī)制，制定具體法規(guī)細(xì)則，明確主要責(zé)任和分工，避免個人信息保護(hù)僅僅停留在原則性保護(hù)上。適當(dāng)加大對于違規(guī)行為的懲罰力度，強(qiáng)化警示震懾作用。

四是繼續(xù)加強(qiáng)與歐盟、美國等發(fā)達(dá)國家在個人信息保護(hù)領(lǐng)域的國際交流與開放合作，搭建個人信息保護(hù)領(lǐng)域的溝通平臺，交流優(yōu)秀實(shí)踐案例和經(jīng)驗(yàn)。在充分學(xué)習(xí)國外優(yōu)秀經(jīng)驗(yàn)的同時，也要汲取相關(guān)教訓(xùn)，結(jié)合我國國情不斷完善相關(guān)法律規(guī)定，形成有中國特色的個人信息保護(hù)方案。