第一篇：個(gè)人信息保護(hù)法（草案）解讀

2020 年 10 月 21 日，《個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱(chēng) “ 《個(gè)信法》 草案” 或 “ 草案”）全文終于在萬(wàn)眾矚目下揭開(kāi)面紗。草案通過(guò)全方面深化個(gè)人信息保護(hù)制度，體現(xiàn)了對(duì)個(gè)人信息強(qiáng)保護(hù)為主、兼顧經(jīng)濟(jì)社會(huì)生活的復(fù)雜性的立法思路。近八千字的草案，代表了我國(guó)首次嘗試在法律層面上系統(tǒng)性地定義、構(gòu)建并有機(jī)整合個(gè)人信息的保護(hù)與監(jiān)管規(guī)定，既濃縮了近年來(lái)以《網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱(chēng)“ 《網(wǎng)安法》”）為代表的我國(guó)數(shù)據(jù)安全立法、監(jiān)管與實(shí)務(wù)成果，也借鑒了國(guó)際上以 GDPR為代表的各類(lèi)數(shù)據(jù)保護(hù)立法經(jīng)驗(yàn)。

從內(nèi)容上看，草案顯然沒(méi)有辜負(fù)業(yè)界對(duì)它的殷切期待，產(chǎn)研學(xué)各界都對(duì)諸多令人興奮的立法亮點(diǎn)做了詳細(xì)的介紹。但除了立法技術(shù)上的研討以外，值得強(qiáng)調(diào)的是，個(gè)人信息保護(hù)立法的意義不僅僅是進(jìn)一步保護(hù)“個(gè)人信息權(quán)益”和“維護(hù)網(wǎng)絡(luò)空間良好生態(tài)”，同樣也是“促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的重要舉措”。在全球數(shù)字經(jīng)濟(jì)迅猛發(fā)展同時(shí)數(shù)字主權(quán)造成的數(shù)據(jù)孤立主義抬頭的背景下，《個(gè)信法》草案既是中國(guó)個(gè)人信息保護(hù)思路的重要亮相，也應(yīng)當(dāng)站在 數(shù)據(jù)競(jìng)爭(zhēng)的視野高度來(lái)看待其背后指向的數(shù)字經(jīng)濟(jì)發(fā)展策略。

限于篇幅，我們摘選了《個(gè)信法》草案中九個(gè)重點(diǎn)立法思路問(wèn)題，和大家一起從比較法和經(jīng)濟(jì)發(fā)展雙角度來(lái)追本溯源，探討立法背后的深意和未來(lái)的影響。

一、如何看待“ 個(gè)人信息” 范圍可能的擴(kuò)展？ 個(gè)人信息概念的界定是個(gè)人信息保護(hù)立法的核心問(wèn)題和邏輯起點(diǎn)[1]，直接關(guān)系到法律保護(hù)對(duì)象的邊界，因此個(gè)人信息的定義通常是立法者反復(fù)權(quán)衡多種法律關(guān)系后的成果。

1.識(shí)別與關(guān)聯(lián)標(biāo)準(zhǔn)的區(qū)別與變化 此前在多部法律法規(guī)中都曾基于個(gè)人信息的定義來(lái)說(shuō)明其內(nèi)涵和外延。比如《網(wǎng)安法》第七十六條規(guī)定個(gè)人信息為“電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息”。《民法典》基本上沿用了《網(wǎng)安法》中“識(shí)別”的標(biāo)準(zhǔn)，但同時(shí)也將“行蹤軌跡”列明為個(gè)人信息的一種，一定程度上也呼應(yīng)了《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》（“ 《雙高解釋》”）對(duì)公民個(gè)人信息的定義?？紤]到刑事法律保護(hù)的法律關(guān)系特殊且有所側(cè)重，《雙高解釋》將“反映特定自然人活動(dòng)”的信息納入個(gè)人信息范圍，通常被理解為在“識(shí)別”標(biāo)準(zhǔn)上兼顧“關(guān)聯(lián)”標(biāo)準(zhǔn)，擴(kuò)大了個(gè)人信息的范圍。

《個(gè)信法》作為個(gè)人信息保護(hù)的專(zhuān)門(mén)法律，其對(duì)個(gè)人信息的定義將在民事、刑事及行政法律關(guān)系中產(chǎn)生無(wú)可比擬的影響。草案第四條將個(gè)人信息定義為“以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人 有關(guān)的各種信息”，一定程度上結(jié)合了 “識(shí)別+關(guān)聯(lián)” 標(biāo)準(zhǔn)，客觀上存在將個(gè)人信息概念外延擴(kuò)張的可能性。

2.他山之石與因地制宜

縱觀全球法律實(shí)踐，在立法上清晰、準(zhǔn)確且恰當(dāng)?shù)亟缍▊€(gè)人信息的具體含義，并非易事。作為數(shù)據(jù)保護(hù)立法的比較法源之一，歐盟《通用數(shù)據(jù)保護(hù)條例》（“GDPR”）第四條同樣采取“識(shí)別+關(guān)聯(lián)”標(biāo)準(zhǔn)，任何已識(shí)別或者可識(shí)別的自然人相關(guān)（“relating to”）數(shù)據(jù)都是個(gè)人數(shù)據(jù)。這種定義標(biāo)準(zhǔn)也承受了一定質(zhì)疑，有觀點(diǎn)認(rèn)為這種定義方式“非常模糊甚至模棱兩可”[2]，可能造成法律適用的不確定性；還有觀點(diǎn)認(rèn)為過(guò)于寬泛的定義可能使得 GDPR成為“萬(wàn)能法律”[3]，不僅難以實(shí)現(xiàn) GDPR提供最全面數(shù)據(jù)保護(hù)的美好愿景，還將導(dǎo)致數(shù)據(jù)保護(hù)系統(tǒng)過(guò)載[4]，無(wú)法平衡數(shù)據(jù)產(chǎn)業(yè)利益。

事實(shí)上，歐盟也認(rèn)識(shí)到了問(wèn)題所在，第 29條工作組對(duì)個(gè)人信息定義的意見(jiàn)中曾提出應(yīng)適當(dāng)限制定義的范疇[5]，但由于 GDPR自始尤為注重“可識(shí)別”數(shù)據(jù)的保護(hù)，并不將其與“已識(shí)別”數(shù)據(jù)加以區(qū)分保護(hù)[6]，只要數(shù)據(jù)處理的最終目的是識(shí)別數(shù)據(jù)主體，那就會(huì)被認(rèn)定為屬于個(gè)人數(shù)據(jù)。這實(shí)際上將個(gè)人信息處理目的與數(shù)據(jù)本身的可識(shí)別性進(jìn)行了綁定[7]，現(xiàn)實(shí)問(wèn)題和矛盾仍懸而未決。而相較于歐盟相較激進(jìn)的“擴(kuò)張主義”（expansionist view），美國(guó)秉持普通法系實(shí)務(wù)導(dǎo)向下的“簡(jiǎn)化主義”（reductionist view），認(rèn)為當(dāng)信息實(shí)際上可與特定人相連接（link）時(shí)才屬于個(gè)人信息。[8]《美國(guó)加州消費(fèi)者隱私法案》（“CCPA”）主要通過(guò)詳細(xì)列舉的方式給予了具體定義。

盡管目前世界范圍內(nèi)仍然將“識(shí)別性”作為個(gè)人信息定義的主要因素，但隨著識(shí)別技術(shù)的發(fā)展，個(gè)人信息可識(shí)別性的判斷事實(shí)上是動(dòng)態(tài)的過(guò)程，許多原本不可被識(shí)別的信息經(jīng)組合后可能被識(shí)別，直接拓寬了個(gè)人信息的范圍。因此有學(xué)者也提出通過(guò)區(qū)分已識(shí)別和可識(shí)別兩類(lèi)不同層級(jí)的個(gè)人信息并設(shè)計(jì)了不同保護(hù)措施。[9]從監(jiān)管者的角度出發(fā)，我們需要理解在數(shù)字技術(shù)快速發(fā)展和個(gè)人信息權(quán)益侵害事件頻發(fā)的背景之下，強(qiáng)化個(gè)人信息保護(hù)立法存在相當(dāng)?shù)谋匾耘c緊迫性。與此同時(shí)，基于域外立法實(shí)踐和經(jīng)驗(yàn)教訓(xùn)，個(gè)人信息概念的過(guò)度擴(kuò)張仍可能有違個(gè)人信息保護(hù)之初衷。實(shí)踐中，對(duì)于個(gè)人信息違規(guī)收集及濫用確實(shí)廣泛存在，但值得注意的是，在中國(guó)數(shù)字經(jīng)濟(jì)高速發(fā)展的當(dāng)前，大量場(chǎng)景下比如機(jī)器學(xué)習(xí)的商業(yè)化及技術(shù)研究中并不以識(shí)別特定個(gè)人為目的，通常僅為了驗(yàn)真等目的需要標(biāo)識(shí)或者關(guān)聯(lián)某個(gè)對(duì)象。個(gè)人信息范圍的模糊或者擴(kuò)展可能導(dǎo)致數(shù)據(jù)處理受限，使得數(shù)字經(jīng)濟(jì)無(wú)法發(fā)揮最大潛力。

但不可否認(rèn)的是，在數(shù)字經(jīng)濟(jì)社會(huì)，個(gè)人信息的定義作為核心概念將是我們需要長(zhǎng)期探討的時(shí)代難題。是否需要區(qū)分識(shí)別個(gè)人信息的目的？是否要結(jié)合場(chǎng)景來(lái)判斷個(gè)人信息范圍？是否需要結(jié)合主體處理分析數(shù)據(jù)的能力來(lái)判斷？去標(biāo)識(shí)化個(gè)人信息的對(duì)外共享是否能達(dá)到相對(duì)匿名化效果？這些問(wèn)題將伴隨技術(shù)和經(jīng)濟(jì)發(fā)展，不斷地要求我們深入思考：在當(dāng)前的社會(huì)發(fā)展階段，如何準(zhǔn)確界定個(gè)人信息，同時(shí)在實(shí)踐中增加彈性，以實(shí)現(xiàn)多方主體利益的平衡。

二、“ 域外適用” 是暫時(shí)的反制，還是虛擬空間推動(dòng)的時(shí)代潮流？

草案規(guī)定的域外適用效力，毫無(wú)疑問(wèn)是最受關(guān)注、最廣為探討的立法亮點(diǎn)之一。根據(jù)草案第三條，該法適用于境內(nèi)處理個(gè)人信息，還適用于三種境外處理境內(nèi)自然人個(gè)人信息的活動(dòng)：

（1）以向境內(nèi)自然人提供產(chǎn)品或服務(wù)為目的；（2）為分析、評(píng)估境內(nèi)自然人的行為；或（3）法律、行政法規(guī)規(guī)定的其他情形。

1.“ 長(zhǎng)臂管轄”的出發(fā)點(diǎn)與實(shí)踐困局 隨著數(shù)據(jù)主權(quán)意識(shí)的不斷強(qiáng)調(diào)與深化，各國(guó)在數(shù)據(jù)權(quán)屬與域外管轄領(lǐng)域內(nèi)存在客觀的競(jìng)爭(zhēng)需要。面對(duì)歐盟 GDPR、美國(guó)《澄清域外合法使用數(shù)據(jù)法案》（“Cloud 法案”）等一系列域外立法中存在的 “長(zhǎng)臂管轄” 規(guī)定，以及近段時(shí)間以來(lái)美國(guó)、印度政府對(duì)我國(guó)出海企業(yè)以國(guó)家安全、公民數(shù)據(jù)保護(hù)等為由的一系列調(diào)查與糾紛，草案有必要給予相對(duì)積極的回應(yīng)。

積極順應(yīng)與面對(duì)國(guó)際立法是我們的基本立場(chǎng)，但作為一種付諸執(zhí)行的具體立法實(shí)踐，“長(zhǎng)臂管轄”規(guī)定本身的合理性以及應(yīng)用方式值得我們謹(jǐn)慎審視。有觀點(diǎn)認(rèn)為，歐盟 GDPR的域外適用并非國(guó)際法上的“最佳實(shí)踐”，在尚未形成數(shù)據(jù)保護(hù)國(guó)際規(guī)則的情形下，GDPR的域外適用的規(guī)定在事實(shí)上構(gòu)成了對(duì)非歐盟區(qū)公民數(shù)據(jù)權(quán)利的限制[10]和對(duì)分享全球數(shù)據(jù)產(chǎn)業(yè)紅利的不合理障礙。這種管轄可能將會(huì)帶來(lái)對(duì)其他主權(quán)國(guó)家執(zhí)法權(quán)完整性的挑戰(zhàn)、增加引發(fā)貿(mào)易乃至外交沖突的可能性。[11]此外，歐盟內(nèi)部執(zhí)法機(jī)構(gòu)也認(rèn)為，要求境外企業(yè)在境內(nèi)設(shè)立分支機(jī)構(gòu)與指定代表的相關(guān)規(guī)定無(wú)法落地。[12] 另外，高昂的數(shù)據(jù)合規(guī)成本使得包括跨國(guó)公司在內(nèi)企業(yè)“望而卻步”，有數(shù)據(jù)統(tǒng)計(jì) 68%的公司預(yù)計(jì)將花費(fèi) 100萬(wàn)到 1000萬(wàn)美元的合規(guī)成本。[13]

2.有限度的回應(yīng)與長(zhǎng)遠(yuǎn)考慮

盡管?chē)?guó)際法共識(shí)認(rèn)為長(zhǎng)臂管轄可能不符合國(guó)際法規(guī)則，且各國(guó)深知限制或禁止離岸數(shù)據(jù)運(yùn)營(yíng)模式將限制跨國(guó)企業(yè)的經(jīng)營(yíng)動(dòng)力，但時(shí)下各國(guó)數(shù)據(jù)立法賦予必要的域外效力儼然成為了一種潮流。除上述 GDPR的域外適用效力規(guī)定外，新近通過(guò)立法如新加坡的 PDPA、南非 POPIA和埃及 PDPL等國(guó)的個(gè)人數(shù)據(jù)保護(hù)法，以及印度的個(gè)人信息保護(hù)法案草案等，均涉及針對(duì)域外企業(yè)處理域內(nèi)數(shù)據(jù)的規(guī)定。

但從具體條文規(guī)定的細(xì)節(jié)對(duì)比來(lái)看，相較于 GDPR、Cloud法案等積極尋求域外適用的立法態(tài)度，草案則更多地體現(xiàn)出保護(hù)我國(guó)境內(nèi)個(gè)人信息的基本立場(chǎng)和回應(yīng)姿態(tài)。例如，根據(jù) GDPR以及歐盟數(shù)據(jù)保護(hù)委員會(huì)（“EDPB”）就域外適用的相關(guān)指引文件[14]，GDPR規(guī)定無(wú)論在何處設(shè)立和處理歐盟境內(nèi)個(gè)人數(shù)據(jù)，凡是向歐盟境內(nèi)提供貨物或服務(wù)的實(shí)體，均受到 GDPR的管轄；此外，還規(guī)定了域外監(jiān)控行為的適用。

跨國(guó)公司處理關(guān)聯(lián)公司所在國(guó)用戶或者本集團(tuán)內(nèi)部員工的數(shù)據(jù)是企業(yè)運(yùn)營(yíng)的普遍及必要情況，而盡管 GDPR在各類(lèi)指南及實(shí)踐中也在盡可能地糾正過(guò)于擴(kuò)張的管轄，但 GDPR“以提供服務(wù)的事實(shí)”為標(biāo)準(zhǔn)的規(guī)定理論上幾乎可以涵蓋所有向歐盟區(qū)提供服務(wù)的跨國(guó)企業(yè)，因此必將帶來(lái)大量的管轄沖突問(wèn)題。相比 GDPR，草案的域外適用條款則顯得更為克制，規(guī)定“以向境內(nèi)自然人產(chǎn)品或服務(wù)為目的”而處理境內(nèi)個(gè)人信息才受約束，相當(dāng)于對(duì)域外適用的要求新增“數(shù)據(jù)處理的目的限制”。

另外，我國(guó)企業(yè)近年來(lái)愈發(fā)陷于各國(guó)長(zhǎng)臂管轄的合規(guī)困境，但與之相對(duì)，如果跨國(guó)企業(yè)通過(guò)運(yùn)營(yíng)離岸數(shù)據(jù)中心向境內(nèi)提供網(wǎng)絡(luò)服務(wù)，在缺乏監(jiān)管的條件下，大量境內(nèi)個(gè)人信息可能在數(shù)據(jù)跨境中“裸奔”而無(wú)法得到保障。唯有推進(jìn)域外適用，使跨國(guó)企業(yè)的離岸模式逐漸成為過(guò)去式，境內(nèi)個(gè)人的信息安全方能在當(dāng)今全球形勢(shì)下獲得對(duì)等的保護(hù)。

但拋開(kāi)對(duì)國(guó)際立法對(duì)等規(guī)則以及境內(nèi)個(gè)人信息對(duì)等保護(hù)等考慮，我們會(huì)發(fā)現(xiàn)基于數(shù)據(jù)或者網(wǎng)絡(luò)的域外適用規(guī)則在數(shù)字經(jīng)濟(jì)全球化時(shí)代幾乎無(wú)法避免。當(dāng)前國(guó)際經(jīng)濟(jì)的驅(qū)動(dòng)力包括網(wǎng)絡(luò)的互聯(lián)互通以及數(shù)據(jù)的全球流通及整合，盡管我們要避免無(wú)序管轄對(duì)全球經(jīng)濟(jì)發(fā)展的阻礙，同時(shí)虛擬空間全球化交互從數(shù)據(jù)安全以及數(shù)據(jù)主權(quán)等多個(gè)角度都要求國(guó)家適度地?cái)U(kuò)展域外管轄，維護(hù)市場(chǎng)經(jīng)濟(jì)秩序和公共安全與利益。從長(zhǎng)遠(yuǎn)考慮，如果缺乏域外管轄的規(guī)則，從實(shí)質(zhì)上將會(huì)影響個(gè)人信息權(quán)益的保護(hù)以及數(shù)據(jù)主權(quán)的行使。

順帶一提，除了本草案，為應(yīng)對(duì)各國(guó)域外長(zhǎng)臂管轄?zhēng)?lái)的消極影響，從立法層面看我國(guó)以近期出臺(tái)的《數(shù)據(jù)安全法（草案）》為代表主要做了兩方面努力：其一，做好針對(duì)個(gè)人信息保護(hù)的數(shù)據(jù)本地化和關(guān)鍵基礎(chǔ)設(shè)施、重要數(shù)據(jù)的安全審查等自我保護(hù)制度的建設(shè)；其二，為境內(nèi)法律的境外適用留有必要的空間，以靈活根據(jù)國(guó)際法的“對(duì)等原則”，采取維護(hù)國(guó)家和公民合法利益的必要的反制措施。例如，《數(shù)據(jù)安全法（草案）》的第二十四條和草案的第四十三條對(duì)外國(guó)歧視性措施的反制措施。在數(shù)據(jù)主權(quán)化浪潮當(dāng)下，各國(guó)數(shù)據(jù)立法普遍帶有域外適用效力，跨國(guó)企業(yè)經(jīng)營(yíng)的確需要在日常業(yè)務(wù)中謹(jǐn)慎經(jīng)營(yíng)、做好合規(guī)，以盡可能提前避免落入域外管轄的“爭(zhēng)執(zhí)”之中。

三、個(gè)人信息主體對(duì)信息處理“ 絕對(duì)” 權(quán)利的利弊

1.個(gè)人信息處理合法性依據(jù)的擴(kuò)展 草案第十三條首次明確個(gè)人信息處理多達(dá)六項(xiàng)的合法性依據(jù)，分別是同意、履行合同所必需、履行法定職責(zé)或法定義務(wù)所必需、應(yīng)對(duì)突發(fā)公共衛(wèi)生事件或緊急情況下保護(hù)自然人生命健康和財(cái)產(chǎn)安全所必需、為公共利益在合理范圍內(nèi)處理、法律和行政法規(guī)另行規(guī)定。

盡管草案增加了個(gè)人信息處理的合法性依據(jù)，但其與歐盟 GDPR的規(guī)定仍存在一些差別。草案第四項(xiàng)合法性基礎(chǔ)是緊急情況下對(duì)自然人生命健康和財(cái)產(chǎn)安全保護(hù)所必需，而 GDPR則是表述為對(duì)自然人重大利益（vital interests）的保護(hù)。對(duì)比來(lái)看，草案規(guī)定得更為具體，避免“重大利益”這一概念的模糊不清。同時(shí)，草案沒(méi)有規(guī)定類(lèi)似 GDPR中對(duì)保護(hù)控制者或第三方合法利益（legitimate interests）必要的情形，但是其兜底條款“法律法規(guī)規(guī)定的其他情形”可以在很大程度上涵蓋這一情況，并且法律明確規(guī)定的形式也更具有確定性和可操作性，避免濫用相關(guān)條款從而造成對(duì)信息主體權(quán)益的損害。

草案中“為履行法定職責(zé)或者法定義務(wù)所必需”與“法律、行政法規(guī)規(guī)定的其他情形”這兩項(xiàng)合法性基礎(chǔ)之間的關(guān)系也值得探討。前者的“法定” 要求需要其所適用的情形有法律法規(guī)的依據(jù)，與后者含義一致。但前者在 “法定” 的基礎(chǔ)上加上了 “必需” 要求，實(shí)踐中可能更多指向法律法規(guī)未對(duì)個(gè)人信息收集有明確例外規(guī)定，但法定要求必需處理個(gè)人信息的場(chǎng)景。此外應(yīng)當(dāng)肯定的是，草案還結(jié)合疫情防控經(jīng)驗(yàn)，加入了 “為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件所必需” 這一合法性基礎(chǔ)，充分體現(xiàn)法律與時(shí)俱進(jìn)的時(shí)代特色。

2.個(gè)人信息主體權(quán)利在不同經(jīng)濟(jì)發(fā)展階段的限度 自 2012年全國(guó)人民代表大會(huì)常務(wù)委員會(huì)《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》中首次提出收集和使用個(gè)人信息應(yīng)當(dāng)征得個(gè)人信息被收集者的同意以來(lái)，除法律及行政法規(guī)另有規(guī)定以外，個(gè)

人信息主體的“同意”一直是我國(guó)個(gè)人信息處理的主要合法性依據(jù)，甚至學(xué)者認(rèn)為賦予了個(gè)人信息主體對(duì)于個(gè)人信息的“絕對(duì)權(quán)利”。此次草案第十三條首次從法律層面對(duì)于個(gè)人信息處理活動(dòng)的合法性基礎(chǔ)進(jìn)行擴(kuò)充，其由單一到多元化的轉(zhuǎn)變是否合理？這背后又有哪些考量？ 個(gè)人信息權(quán)益的定位其人格屬性盡管在《民法典》出臺(tái)后才相對(duì)清晰，在個(gè)人信息保護(hù)的初級(jí)階段，尤其是隱私權(quán)與個(gè)人信息權(quán)利尚未完全厘清關(guān)系的時(shí)期，賦予個(gè)人信息主體較為“絕對(duì)”的控制權(quán)對(duì)于個(gè)人信息權(quán)益尤其是人格權(quán)益保護(hù)具有積極意義。但在大數(shù)據(jù)與高科技浪潮的推動(dòng)下，個(gè)人信息逐漸體現(xiàn)出其所附著的信息主體利益、信息使用者利益與公共利益等多重利益。信息主體的利益主要體現(xiàn)為對(duì)個(gè)人尊嚴(yán)與自由的保護(hù)。同時(shí)，個(gè)人信息還具有社會(huì)性、工具性與功能性，因此還應(yīng)保障信息使用者的利益，促進(jìn)個(gè)人信息的使用與流通。此外，在遇到公共利益時(shí)，信息主體可能需要讓渡或犧牲部分個(gè)人利益以保障公共管理目的的實(shí)現(xiàn)。[15] 鑒于此，將知情同意作為個(gè)人信息處理的唯一合法性基礎(chǔ)在事實(shí)上賦予了信息主體對(duì)個(gè)人信息較為絕對(duì)的支配權(quán)利，但不同于知識(shí)產(chǎn)權(quán)等相對(duì)成熟的權(quán)利，考慮到個(gè)人信息“所有權(quán)”或“控制權(quán)”當(dāng)前尚未有定論，較為絕對(duì)的支配權(quán)利將可能對(duì)建立個(gè)人信息的權(quán)利束制度造成不利影響，并且會(huì)對(duì)不同主體的權(quán)利分配造成阻礙。因此，這種絕對(duì)性支配權(quán)制度在多主體參與的個(gè)人信息處理中會(huì)導(dǎo)致較高的授權(quán)成本并可能阻礙科技和社會(huì)發(fā)展，造成經(jīng)濟(jì)實(shí)踐的巨大困境。從比較法上來(lái)看，歐盟 GDPR除同意外還規(guī)定了五種合法性基礎(chǔ)，以實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間的平衡。美國(guó) CCPA 則在保障數(shù)據(jù)流動(dòng)方面走的更遠(yuǎn)，甚至未嚴(yán)格將同意作為處理的前提性條件，而是以 “告知+選擇退出” 作為保障消費(fèi)者權(quán)益的方式。國(guó)際社會(huì)更傾向于不將保護(hù)個(gè)人數(shù)據(jù)主體權(quán)益作為個(gè)人數(shù)據(jù)保護(hù)的唯一目的，而是盡可能地在數(shù)據(jù)保護(hù)與數(shù)據(jù)流通之間尋求平衡。

3.從個(gè)人控制向多方控制，打開(kāi)數(shù)據(jù)權(quán)益大門(mén) 《民法典》已將“法律法規(guī)另有規(guī)定”作為同意的例外，留下變通空間，并將處理已合法公開(kāi)的個(gè)人信息、維護(hù)公共利益或自然人合法權(quán)利作為免責(zé)情形。草案更進(jìn)一步，具體規(guī)定了除同意和法律法規(guī)另有規(guī)定以外的其他四種合法性基礎(chǔ)，體現(xiàn)出個(gè)人信息保護(hù)制度正逐步從個(gè)人控制走向社會(huì)控制[16]、多方控制，既符合時(shí)代發(fā)展需要，也順應(yīng)國(guó)際社會(huì)潮流。從個(gè)人控制到多方控制并不妨礙保護(hù)個(gè)人信息主體對(duì)于個(gè)人信息的人格權(quán)益，并讓參與個(gè)人信息處理不同環(huán)節(jié)的主體一定程度上脫離個(gè)人信息主體基于絕對(duì)同意的控制權(quán)，有空間來(lái)尋求對(duì)于個(gè)人信息可能主張的財(cái)產(chǎn)權(quán)益。當(dāng)前數(shù)據(jù)立法中重點(diǎn)和難點(diǎn)問(wèn)題集中在數(shù)據(jù)確權(quán)之上，通過(guò)對(duì)個(gè)人信息控制權(quán)主體的擴(kuò)展，有利于從理論和實(shí)務(wù)兩個(gè)方面打破禁錮，有望實(shí)現(xiàn)平衡個(gè)人信息主體和其他處理主體權(quán)益的新型數(shù)據(jù)權(quán)益規(guī)則。

四、“ 同意” 的兩難 草案對(duì)于不同情形的“同意”規(guī)則做了細(xì)化。草案第十四條要求同意應(yīng)當(dāng)“由個(gè)人在充分知情的前提下，自愿、明確作出意思表示”，并規(guī)定法定應(yīng)當(dāng)取得單獨(dú)同意或書(shū)面同意的，從其規(guī)定。同時(shí)，草案第二十四條規(guī)定，在對(duì)個(gè)人信息進(jìn)行共享時(shí)應(yīng)取得信息主體的單獨(dú)同意。與此相關(guān)的還有草案第三十條，要求對(duì)敏感個(gè)人信息的處理應(yīng)取得個(gè)人的單獨(dú)同意，并且法律法規(guī)規(guī)定處理敏感個(gè)人信息應(yīng)當(dāng)取得書(shū)面同意的，從其規(guī)定。草案第一次嘗試在法律層面根

據(jù)處理的不同情形對(duì) “同意” 進(jìn)行分類(lèi)，如何準(zhǔn)確的界定 “同意”、“單獨(dú)同意” 與 “書(shū)面同意” 將需要從實(shí)務(wù)角度探尋可行性。

1.同意分類(lèi)的合理性和實(shí)現(xiàn)困難 縱觀全球數(shù)據(jù)保護(hù)立法，“同意”的概念均有所涉及但又有所差異。草案將“同意” 定義為 “由個(gè)人在充分知情的前提下，自愿、明確作出意思表示”，與 GDPR所定義的 “通過(guò)陳述或積極行為表示” 的主要區(qū)別在于意思表示實(shí)現(xiàn)方式的多樣性。單獨(dú)同意與一般同意相比，更強(qiáng)調(diào)信息主體對(duì)個(gè)人信息處理在充分知情和審慎考慮基礎(chǔ)上的授權(quán)，屬于對(duì)一般同意的補(bǔ)強(qiáng)措施，從理論上看具有必要性。

對(duì)于向第三方共享個(gè)人信息與處理敏感個(gè)人信息這兩種敏感度較高的情形而言，單獨(dú)同意確實(shí)可以在一定程度上征得信息主體更充分和有效的同意。由于草案中并未給出單獨(dú)同意的具體定義，實(shí)踐中多將其理解為與概括同意相對(duì)的授權(quán)同意方式，并常以單獨(dú)提示或者彈窗的形式實(shí)現(xiàn)。但單獨(dú)同意需要在線上實(shí)現(xiàn)，尤其是數(shù)據(jù)收集或共享要求實(shí)時(shí)性時(shí)，則實(shí)現(xiàn)方式會(huì)出現(xiàn)侵?jǐn)_用戶同時(shí)達(dá)不到保護(hù)個(gè)人信息主體自由意志的情況。

比如根據(jù)草案第二十四條，個(gè)人信息處理者向第三方提供其處理的個(gè)人信息的，應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。但是實(shí)踐中以 SDK方式向第三方共享個(gè)人信息的情形已屢見(jiàn)不鮮，這也成為了一種常見(jiàn)且高效的商業(yè)合作模式。對(duì)于大型企業(yè)來(lái)說(shuō)，其服務(wù)中可能包含多種來(lái)自不同第三方的、具有不同處理目的和處理方式的 SDK，并可能在其提供服務(wù)過(guò)程中不斷更新，若按照每種 SDK都分別用一個(gè)彈窗的形式來(lái)征得單獨(dú)同意，則可能成本過(guò)高且會(huì)給用戶帶來(lái)不良交互體驗(yàn)。因此結(jié)合實(shí)踐合規(guī)成本與落地難度來(lái)看，如何設(shè)計(jì)同意機(jī)制，使得既達(dá)到單獨(dú)同意的要求又不造成侵?jǐn)_用戶的后果，仍值得探討。

書(shū)面同意對(duì)比一般同意不僅突出信息主體的充分知情權(quán)與授權(quán)有效性，其還強(qiáng)調(diào)信息主體同意的可驗(yàn)證性。草案中雖提及此概念，我們更期待明確其具體適用的場(chǎng)景，以及有效書(shū)面同意的定義。比如俄羅斯個(gè)人信息保護(hù)法（Federal Law No.152-FZ of 27 July 2006）中規(guī)定“以電子簽名簽署的電子文檔形式的同意應(yīng)被視為等同于包含個(gè)人數(shù)據(jù)主體手寫(xiě)簽名的書(shū)面同意書(shū)”。類(lèi)似的規(guī)定有助于明確新經(jīng)濟(jì)環(huán)境下，尤其是互聯(lián)網(wǎng)經(jīng)濟(jì)中書(shū)面同意的邊界。

2.新型同意機(jī)制呼吁新業(yè)態(tài) 應(yīng)當(dāng)肯定立法針對(duì)不同情形區(qū)分同意的類(lèi)型，但由于不同同意類(lèi)型的界定將在很大程度上影響各相關(guān)主體的權(quán)益，具體對(duì)同意的界定與適用可能亟待相關(guān)法規(guī)或指南進(jìn)一步明確。與此同時(shí)，如何實(shí)現(xiàn)不同的同意要求以匹配新型的同意機(jī)制將是企業(yè)重點(diǎn)關(guān)注的難題。

實(shí)踐中，必須承認(rèn)隱私政策與同意提示等對(duì)于個(gè)人信息主體的提醒作用十分有限。借由同意機(jī)制發(fā)生變化的契機(jī)，企業(yè)應(yīng)當(dāng)進(jìn)一步研究如何增加個(gè)人信息主體對(duì)同意的管理路徑，比如讓個(gè)人信息主體通過(guò) dashboard等方式自行管理其對(duì)個(gè)人信息的同意，即增加告知及同意的強(qiáng)度，又降低反復(fù)提醒降低產(chǎn)品體感的影響。盡管上述要求可能進(jìn)一步增加企業(yè)合規(guī)成本，但在尊重個(gè)人信息主體意志大原則不變的前提下，可以預(yù)見(jiàn)的是以適當(dāng)、透明的方式使得個(gè)人信息主體享有一定的個(gè)人信息管理權(quán)限，將有助于自證合規(guī)并提高消費(fèi)者體驗(yàn)。與此同時(shí)，考慮到個(gè)人信息權(quán)利束理論形成后，個(gè)人信息附著的財(cái)產(chǎn)性權(quán)益同樣有突出的管理需求，企業(yè)對(duì)合規(guī)的投資可能轉(zhuǎn)換為類(lèi)似 privacy box 等可商業(yè)化的新業(yè)態(tài)。

五、處理者法律責(zé)任分配背后的政策考慮，如何實(shí)現(xiàn)個(gè)人信息權(quán)益保護(hù)與促進(jìn)產(chǎn)業(yè)發(fā)展的矛盾統(tǒng)一？ 草案第二十一條規(guī)定，兩個(gè)或兩個(gè)以上的個(gè)人信息共同處理者承擔(dān)連帶責(zé)任，成為一大亮點(diǎn)。具體而言，受共同處理行為侵害個(gè)人信息權(quán)益的個(gè)人，有權(quán)向任何一個(gè)處理者主張全部損害賠償。從個(gè)人信息的強(qiáng)保護(hù)立場(chǎng)來(lái)看，連帶責(zé)任固然有利于保障個(gè)人求償權(quán)的實(shí)現(xiàn)，鼓勵(lì)共同處理者之間充分約定共同處理的安全保護(hù)義務(wù)，促使共同處理者積極就數(shù)據(jù)保護(hù)進(jìn)行互相監(jiān)督。但在推動(dòng)數(shù)字經(jīng)濟(jì)的大背景下，處理者連帶責(zé)任所代表的強(qiáng)保護(hù)政策導(dǎo)向，應(yīng)如何響應(yīng) “促進(jìn)企業(yè)聯(lián)動(dòng)轉(zhuǎn)型、跨界合作”[17]的新業(yè)態(tài)發(fā)展需求？ 我們不妨假設(shè)一個(gè)場(chǎng)景：整車(chē)制造廠商（OEM）希望搭建自己的車(chē)聯(lián)網(wǎng)系統(tǒng)，而其中的地圖導(dǎo)航服務(wù)則作由第三方運(yùn)營(yíng)。第三方導(dǎo)航服務(wù)直接調(diào)用傳感器收集用戶個(gè)人位置信息以提供導(dǎo)航定位服務(wù)，屬于直接的個(gè)人信息處理者；而 OEM 將導(dǎo)航服務(wù)獲取并處理的位置信息用于智慧加油、智能停車(chē)、旅游信息等車(chē)聯(lián)網(wǎng)服務(wù)，屬于位置信息的共同個(gè)人信息處理者。根據(jù)草案，若 OEM 在車(chē)載外賣(mài)服務(wù)中泄露了個(gè)人位置信息，第三方共同處理者亦需承擔(dān)連帶責(zé)任?？紤]到車(chē)聯(lián)網(wǎng)方案的開(kāi)放性，第三方無(wú)法充分預(yù)見(jiàn)位置信息泄露的可能性與風(fēng)險(xiǎn)，為避免承擔(dān)連帶責(zé)任，很可能會(huì)因此減少與 OEM 的合作，或通過(guò)合同限制 OEM 的車(chē)聯(lián)網(wǎng)方案應(yīng)用范圍，從而限制車(chē)聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展合作。

從上述例子來(lái)看，若共同處理行為可分割且分工明確，一方處理者為另一方處理行為承擔(dān)連帶責(zé)任，可能有失公平、打擊企業(yè)參與此類(lèi)產(chǎn)業(yè)合作的積極性。但另一方面，若用戶無(wú)法對(duì)共同處理者涉嫌侵權(quán)的處理行為的分工有合理清晰認(rèn)知，則共同處理者承擔(dān)連帶責(zé)任則顯然具有保障個(gè)人權(quán)益的正當(dāng)性、必要性，也在我國(guó)司法實(shí)踐中獲得認(rèn)可。[18]事實(shí)上，我國(guó)立法對(duì)連帶侵權(quán)責(zé)任的規(guī)定一向采取謹(jǐn)慎態(tài)度，如《民法典》中對(duì)網(wǎng)絡(luò)服務(wù)提供者提出限制條件的連帶責(zé)任。[19] 而從國(guó)際立法實(shí)踐來(lái)看，雖然 GDPR第 26條第 3款規(guī)定“數(shù)據(jù)主體可以對(duì)每一名[共同]控制者行使權(quán)利”，但該條是否可以理解為共同控制者存在連帶責(zé)任仍有極大爭(zhēng)議。[20]顯然，處理者的法律責(zé)任分配應(yīng)當(dāng)如何權(quán)衡個(gè)人權(quán)益保障與促進(jìn)產(chǎn)業(yè)合作發(fā)展，仍有很長(zhǎng)的政策研討之路要走——是否應(yīng)當(dāng)以個(gè)人存在對(duì)處理行為的分工有合理認(rèn)識(shí)為判斷標(biāo)準(zhǔn)？該判斷標(biāo)準(zhǔn)是否造成過(guò)高的司法判斷成本，以至于一刀切地規(guī)定連帶責(zé)任更具有可行性？ 類(lèi)似的政策問(wèn)題同樣出現(xiàn)在草案第六十五條：對(duì)于處理活動(dòng)侵害個(gè)人信息權(quán)益的，“個(gè)人信息處理者能夠證明自己沒(méi)有過(guò)錯(cuò)的,可以減輕或者免除責(zé)任”。該條似乎可以理解為采用了過(guò)錯(cuò)推定的歸責(zé)原則，即將證明個(gè)人信息處理沒(méi)有過(guò)錯(cuò)的舉證責(zé)任轉(zhuǎn)移至作為被告的處理者身上；但該條進(jìn)一步可理解為若處理者證明自己無(wú)過(guò)錯(cuò)的，可能僅減輕了其賠償責(zé)任，似乎又像是規(guī)定了某種公平責(zé)任。此外，將本條與草案第二十一條結(jié)合理解，進(jìn)一步產(chǎn)生了歸責(zé)難題：承擔(dān)連帶責(zé)任的兩名共同處理者，且個(gè)人信息處理中雙方僅分別負(fù)責(zé)不同階段的個(gè)人信息處理時(shí)，若甲方能證明自己無(wú)過(guò)錯(cuò)，而乙方無(wú)法證明，個(gè)人引述第二十一條的連帶責(zé)任條款，要求甲方承擔(dān)損害賠償責(zé)任，甲方是否可以引述草案第六十五條抗辯？如何將六十五條的特殊歸責(zé)與共同處理者的連帶責(zé)任進(jìn)行統(tǒng)一，在有過(guò)錯(cuò)的乙方、無(wú)過(guò)錯(cuò)的甲方與受損害的個(gè)人之間如何實(shí)現(xiàn)權(quán)益平衡？無(wú)論處理者的責(zé)任如何劃定，該條毫無(wú)疑問(wèn)將增加處理者的訴訟成本、降低其尋求數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)創(chuàng)新的積極性。如何在改善當(dāng)前個(gè)人信息訴訟維權(quán)困難的現(xiàn)狀與保障產(chǎn)業(yè)發(fā)展之間取得微妙的平衡，顯然值得進(jìn)一步廣泛探討。

六、如何劃定處理公開(kāi)個(gè)人信息的“ 合理界限” ？

1.有限度“ 公開(kāi)” 的個(gè)人信息 草案第二十八條規(guī)定了處理公開(kāi)個(gè)人信息的基本行為規(guī)范，已公開(kāi)的個(gè)人信息只能在被公開(kāi)的用途之合理范圍內(nèi)被處理，否則需向個(gè)人告知并取得同意，即“公開(kāi)”不能成為無(wú)限制處理個(gè)人信息的通行證。此前《民法典》第一千零三十六條已將“合理范圍內(nèi)使用公開(kāi)個(gè)人信息”規(guī)定為個(gè)人信息處理的免責(zé)事由（個(gè)人信息主體明確表示拒絕或者處理侵害其重大利益除外），草案第二十八條在予以繼承與銜接的基礎(chǔ)之上，進(jìn)一步作出規(guī)定：

（1）在使用范圍上，一般局限于“個(gè)人信息公開(kāi)時(shí)的用途”，超出此用途相關(guān)合理范圍的，應(yīng)當(dāng)執(zhí)行“告知-同意”；（2）在使用方式上，應(yīng)當(dāng)合理、謹(jǐn)慎，如果對(duì)個(gè)人有重大影響時(shí)，應(yīng)當(dāng)執(zhí)行“告知-同意”。

考慮到已公開(kāi)個(gè)人信息一定范圍內(nèi)的公開(kāi)性或公共性，其處理不再以“同意”為原則和必要，但從條文規(guī)定來(lái)看，“合理謹(jǐn)慎”、“符合用途”成為把握公開(kāi)個(gè)人信息處理行為邊界的關(guān)鍵要素。對(duì)于現(xiàn)代企業(yè)而言，大量的個(gè)人信息處理行為都離不開(kāi)已公開(kāi)的個(gè)人信息，比如常見(jiàn)的運(yùn)用“爬蟲(chóng)”在互聯(lián)網(wǎng)平臺(tái)采集公開(kāi)信息等，而如何在個(gè)人和企業(yè)之間劃定公開(kāi)個(gè)人信息處理的合理邊界，包括商業(yè)化采集、識(shí)別人臉等“暴露”在公共場(chǎng)合的生物特征信息，成為公眾關(guān)心的問(wèn)題。

2.合理隱私期待原則的參考與運(yùn)用 如何在個(gè)人信息公開(kāi)用途不明確的情形下“合理、謹(jǐn)慎”地處理公開(kāi)個(gè)人信息？我們理解，“合理隱私期待”（Reasonable Expectation of Privacy）原則可以作為參考。自 1967年 Katz訴United States的判例[21]首次確立，該原則用于公民對(duì)抗公權(quán)力搜查行為而可能造成的侵犯公民隱私（“執(zhí)法隱私”）?，F(xiàn)如今，隨著互聯(lián)網(wǎng)數(shù)字經(jīng)濟(jì)的興起，該原則被理論界移植對(duì)“信息隱私”的討論研究。根據(jù)理論觀點(diǎn)，應(yīng)當(dāng)在具體場(chǎng)景[22]（Context）的信息關(guān)系中確定個(gè)人對(duì)信息享有的權(quán)益邊界，其重要標(biāo)準(zhǔn)即“合理隱私期待”——個(gè)人信息的收集、處理與流轉(zhuǎn)應(yīng)當(dāng)符合個(gè)體的合理預(yù)期。一般認(rèn)為，當(dāng)個(gè)人信息的處理超出一個(gè)社會(huì)中正常理性個(gè)體的合理預(yù)期時(shí)，個(gè)人信息處理者必須對(duì)個(gè)體進(jìn)行顯著告知，確保個(gè)體理解伴隨此類(lèi)的風(fēng)險(xiǎn)，并且獲得個(gè)體的明確授權(quán)。[23]例如在實(shí)際場(chǎng)景中，某知名視頻 Up主在視頻中公開(kāi)分享了一定的個(gè)人信息，由于媒介傳播特性，信息很可能被“斷章取義”“隨意剪輯”導(dǎo)致公開(kāi)個(gè)人信息的目的、用途被削弱乃至抹滅，但至少可以合理期待 Up主不希望公開(kāi)個(gè)人信息以任何不利于自己的方式被處理。

3.期待隨著行業(yè)和技術(shù)發(fā)展動(dòng)態(tài)調(diào)整的合理期待標(biāo)準(zhǔn)

在實(shí)踐中，合理期待的判斷也并非沒(méi)有難度，其最大的不確定性在于結(jié)合場(chǎng)景和個(gè)案化的動(dòng)態(tài)評(píng)估方式。作為對(duì)已公開(kāi)個(gè)人信息處理的替代性原則，其應(yīng)當(dāng)在經(jīng)濟(jì)學(xué)考量下優(yōu)于“告知-同意”的實(shí)施成本，否則合理期待的制度設(shè)計(jì)便失去了實(shí)際意義。與此同時(shí)，對(duì)合理隱私期待的判斷依賴(lài)于個(gè)人信息保護(hù)領(lǐng)域具體的執(zhí)法與司法實(shí)踐案例，企業(yè)作為個(gè)人信息處理者需要一個(gè)類(lèi)似于經(jīng)驗(yàn)積累的過(guò)程，從而形成公開(kāi)個(gè)人信息處理行業(yè)實(shí)踐中的有益互動(dòng)。

合理隱私期待建立在個(gè)人存在具體可感的隱私意識(shí)之下，相對(duì)而言，公共場(chǎng)所采集、識(shí)別人臉等個(gè)人生物特征信息因可感性較低，清晰、明確地界定合理處理范圍就顯得尤為關(guān)鍵。此前，轟動(dòng)一時(shí)的“國(guó)內(nèi)人臉識(shí)別第一案”[24]正是對(duì)人臉識(shí)別技術(shù)合理使用范圍的紛爭(zhēng)。根據(jù)草案第二十九條，人臉信息屬于敏感個(gè)人信息，但其一般“暴露”在公共場(chǎng)合之下，如若法律不加以必要限制，其無(wú)感知的處理過(guò)程可能帶來(lái)嚴(yán)重后果。對(duì)該等信息的處理，草案第二十七條規(guī)定僅限于維護(hù)公共安全所必需，并且需要企業(yè)設(shè)置顯著標(biāo)識(shí)。由此，立法者明確地將人臉等生物特征信息排除在公開(kāi)個(gè)人信息之外，并以強(qiáng)制性規(guī)范嚴(yán)格約束了未經(jīng)個(gè)人單獨(dú)同意情形下公共場(chǎng)所內(nèi)人臉信息采集和識(shí)別的信息處理范圍。

但值得注意的是，除公共安全所必需的以外，人臉、虹膜、步態(tài)等生物識(shí)別信息有著當(dāng)前設(shè)備識(shí)別碼、手機(jī)號(hào)碼、IP地址等個(gè)人標(biāo)識(shí)信息無(wú)法比擬的準(zhǔn)確性和真實(shí)性，可以預(yù)見(jiàn)其有廣闊的商業(yè)運(yùn)用空間。隨著無(wú)人超市、智慧商圈、智慧社區(qū)甚至智慧城市的推廣與普及，在公開(kāi)或者半公開(kāi)空間，在（1）具有顯著標(biāo)識(shí)，（2）能夠提供用戶超值便利的前提條件下，大家對(duì)步入類(lèi)似空間后會(huì)被有限度采集“暴露”在外的生物識(shí)別信息是否可能具有合理的期待？對(duì)于類(lèi)似的新型業(yè)態(tài)，是否需要?jiǎng)討B(tài)調(diào)整合理期待標(biāo)準(zhǔn)值得我們前瞻性的思考。

七、從網(wǎng)絡(luò)安全到數(shù)據(jù)安全，如何構(gòu)建中國(guó)數(shù)據(jù)本地化與跨境規(guī)則？

1.多種數(shù)據(jù)出境路徑與新增本地化要求 數(shù)據(jù)本地化與跨境流動(dòng)規(guī)則構(gòu)建一直以來(lái)是各國(guó)數(shù)據(jù)保護(hù)立法關(guān)注的重點(diǎn)。除了要求處理者充分告知個(gè)人并獲得單獨(dú)同意，此次草案更進(jìn)一步拓展《網(wǎng)安法》下的數(shù)據(jù)本地化及跨境規(guī)則，將數(shù)據(jù)本地化義務(wù)主體從“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”進(jìn)一步擴(kuò)展到“處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門(mén)規(guī)定數(shù)量的個(gè)人信息處理者”，且要求該兩類(lèi)主體必須通過(guò)網(wǎng)信部門(mén)的安全評(píng)估方能向境外提供個(gè)人信息。而對(duì)于其他企業(yè)，草案則提供了多種數(shù)據(jù)出境路徑，只要符合“通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估（存在例外）”、“經(jīng)國(guó)家網(wǎng)信部門(mén)指定專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行認(rèn)證”或“簽訂合同并保證達(dá)到與本法一致的個(gè)人信息保護(hù)標(biāo)準(zhǔn)”三項(xiàng)條件的其中一項(xiàng)，即可向?qū)嵤?shù)據(jù)出境，體現(xiàn)了草案兼顧商業(yè)需求，為風(fēng)險(xiǎn)級(jí)別低的處理者提供出境便利。

草案的跨境規(guī)則與 GDPR有類(lèi)似之處，如“指定機(jī)構(gòu)認(rèn)證”要求與 GDPR下經(jīng)認(rèn)可的有約束力的公司規(guī)則（Binding Corporate Rules）相似、“訂立合同”要求與 GDPR下標(biāo)準(zhǔn)合同條款（Standard Contractual Clauses）有所關(guān)聯(lián)。同時(shí)，草案第十二條規(guī)定了國(guó)家將積極參與個(gè)人信息保護(hù)國(guó)際規(guī)則的制定，推動(dòng)與其他國(guó)家、地區(qū)和國(guó)際組織之間就個(gè)人信息保護(hù)規(guī)則、標(biāo)準(zhǔn)的互認(rèn)。由此可以預(yù)見(jiàn)的是，未來(lái)將會(huì)越來(lái)越多得通過(guò)國(guó)際互認(rèn)等方式建立起數(shù)據(jù)自由流動(dòng)的區(qū)域性聯(lián)盟，同時(shí)也將通過(guò)私人協(xié)議的約束約定以及標(biāo)準(zhǔn)認(rèn)定等方式完善數(shù)據(jù)跨境的合法性依據(jù)。

2.以網(wǎng)絡(luò)為中心轉(zhuǎn)向數(shù)據(jù)為中心的安全策略 草案的數(shù)據(jù)出境監(jiān)管核心是數(shù)據(jù)本地化要求。從國(guó)家戰(zhàn)略的角度而言，數(shù)據(jù)本地化存儲(chǔ)是維護(hù)國(guó)家數(shù)據(jù)主權(quán)，應(yīng)對(duì)跨國(guó)網(wǎng)絡(luò)攻擊或威脅的重要方式，例如美國(guó)很早便開(kāi)始了網(wǎng)絡(luò)安全的戰(zhàn)略部署，近期特朗普政府戰(zhàn)略政策頻發(fā)，先后發(fā)布《國(guó)家安全戰(zhàn)略》《網(wǎng)絡(luò)安全戰(zhàn)略》和《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》[25]，在《國(guó)家網(wǎng)絡(luò)戰(zhàn)略》中特別強(qiáng)調(diào)保護(hù)數(shù)據(jù)和底層基礎(chǔ)設(shè)施，將重點(diǎn)從保護(hù)網(wǎng)絡(luò)擴(kuò)大到保護(hù)這些網(wǎng)絡(luò)上的數(shù)據(jù)，確保數(shù)據(jù)安全。[26]在 2010 年 10月 8日，美國(guó)國(guó)防部發(fā)布了首部《數(shù)據(jù)戰(zhàn)略》（“DoD Data Strategy”）[27]，被理解是以網(wǎng)絡(luò)為中心向以數(shù)據(jù)為中心安全模式的轉(zhuǎn)變。[28] 草案第四十條所確立的本地化規(guī)則事實(shí)上也順應(yīng)了當(dāng)前世界主權(quán)之爭(zhēng)從網(wǎng)絡(luò)上升到數(shù)據(jù)的變革趨勢(shì)，如果說(shuō)《網(wǎng)安法》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的本地化要求是以網(wǎng)絡(luò)安全為出發(fā)點(diǎn)，那么草案將本地化要求輻射到“處理個(gè)人信息達(dá)到一定量級(jí)的處理者”則以數(shù)據(jù)安全為立足點(diǎn)，體現(xiàn)了立法者對(duì)于本地化要求的關(guān)注點(diǎn)從網(wǎng)絡(luò)安全層面延伸到數(shù)據(jù)安全層面，以及以網(wǎng)絡(luò)為中心轉(zhuǎn)向數(shù)據(jù)為中心的立法思維的進(jìn)步，是立法者在各國(guó)數(shù)據(jù)主權(quán)博弈態(tài)勢(shì)下所做出的積極回應(yīng)。

3.實(shí)操性有待考驗(yàn) 當(dāng)然在實(shí)際執(zhí)法過(guò)程中，“處理個(gè)人信息達(dá)到一定量級(jí)的處理者”的規(guī)定可能帶來(lái)一定不確定性。一方面，如何界定個(gè)人信息的量級(jí)可能存在一定爭(zhēng)議，如參考《雙高解釋》，個(gè)人信息量級(jí)的計(jì)算將以個(gè)人信息主體的數(shù)量為維度計(jì)算，但考慮到現(xiàn)實(shí)中企業(yè)處理個(gè)人信息的數(shù)量呈動(dòng)態(tài)波動(dòng)的趨勢(shì)，具體數(shù)量的認(rèn)定可能存在一定難度。極端情況下，如一家跨國(guó)企業(yè)由于員工數(shù)據(jù)達(dá)到了網(wǎng)信部門(mén)規(guī)定的數(shù)量，此時(shí)跨國(guó)企業(yè)是否需要或者有必要根據(jù)草案要求將此前在中國(guó)收集存儲(chǔ)在境外的員工數(shù)據(jù)全部本地化；另一方面，數(shù)量為依據(jù)的計(jì)算方式可能會(huì)出現(xiàn)“螞蟻搬家”的規(guī)避方式，企業(yè)可能將數(shù)據(jù)存儲(chǔ)在不同子公司所運(yùn)營(yíng)的信息系統(tǒng)，或者以多個(gè)關(guān)聯(lián)公司的名義來(lái)處理數(shù)據(jù)，以規(guī)避處理數(shù)量達(dá)到量級(jí)所帶來(lái)的本地化要求。如果上述情況確有可能規(guī)避本地化要求，考慮到實(shí)質(zhì)上同樣數(shù)量的數(shù)據(jù)仍然會(huì)發(fā)生跨境或者境外存儲(chǔ)，是否需要結(jié)合跨境安全評(píng)估等規(guī)則來(lái)進(jìn)一步規(guī)范？ 因此，我們理解具體規(guī)則的構(gòu)建可能還有待網(wǎng)信主管部門(mén)出臺(tái)進(jìn)一步的規(guī)章或指南予以指導(dǎo)，當(dāng)然我們也不排除關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者與如達(dá)到一定數(shù)量的個(gè)人信息處理者間在事實(shí)上存在競(jìng)合。進(jìn)一步確認(rèn)將處理個(gè)人信息達(dá)到規(guī)定數(shù)量納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的認(rèn)定標(biāo)準(zhǔn)，在立法上將本地化要求限定于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者或可一定程度解決上述問(wèn)題。

八、個(gè)人信息可攜權(quán)是“ 烏托邦” 還是“ 救命稻草” ？

個(gè)人在個(gè)人信息處理活動(dòng)中所享有的權(quán)利一直是個(gè)人信息保護(hù)立法過(guò)程中備受關(guān)注的重點(diǎn)話題。草案第四章在《網(wǎng)安法》與《民法典》的基礎(chǔ)上對(duì)于個(gè)人信息主體在個(gè)人信息處理活動(dòng)中的權(quán)利作了進(jìn)一步明確與細(xì)化，個(gè)人在個(gè)人信息處理中的知情權(quán)、決定權(quán)、限制權(quán)、拒絕權(quán)、查閱復(fù)制權(quán)、更正權(quán)、刪除權(quán)在草案中到得到了進(jìn)一步確認(rèn)。我國(guó)對(duì)于個(gè)人信息主體權(quán)利的設(shè)置與歐盟 GDPR，巴西 LGPD等相關(guān)規(guī)定類(lèi)似，但與 GDPR相比，草案與《網(wǎng)安法》

及《民法典》一樣，并沒(méi)有賦予個(gè)人信息主體 GDPR第 20條中所規(guī)定的 “數(shù)據(jù)可攜權(quán)”。正如立法者在草案說(shuō)明中所述，對(duì)一些尚存爭(zhēng)議的理論問(wèn)題，應(yīng)在本法中留下必要空間。但可攜權(quán)的現(xiàn)實(shí)難度和立法精神并不妨礙需要我們用時(shí)代的眼光來(lái)審視可攜權(quán)需要的變化和未來(lái)可能的發(fā)展空間。

在 GDPR 語(yǔ)境下，數(shù)據(jù)可攜權(quán)主要包括“數(shù)據(jù)主體有權(quán)下載存儲(chǔ)在數(shù)據(jù)控制者處的個(gè)人數(shù)據(jù)”和“條件允許時(shí)數(shù)據(jù)主體有權(quán)要求數(shù)據(jù)控制者為其將數(shù)據(jù)傳輸給其他控制者”兩方面基本內(nèi)容，當(dāng)然 GDPR為其設(shè)立了“行使可攜權(quán)不得妨礙執(zhí)行公共利益和官方授權(quán)所需，及不得對(duì)他人權(quán)利和自由造成不利影響”的例外情形。[29]從技術(shù)可實(shí)現(xiàn)性和經(jīng)濟(jì)成本考慮，數(shù)據(jù)可攜權(quán)自提出之日就被質(zhì)疑，代表觀點(diǎn)認(rèn)為這種權(quán)利將導(dǎo)致數(shù)據(jù)使用效率的犧牲而失去存在的價(jià)值。

[30] 草案并未接受 “可攜權(quán)” 作為個(gè)人信息主體的權(quán)利，其背后是什么的考量？我們目前是否做好了數(shù)據(jù)可攜落地的充分準(zhǔn)備？這些問(wèn)題還需要我們分別從數(shù)據(jù)可攜權(quán)其背后隱藏的多方主體的權(quán)益平衡談起。

1.數(shù)據(jù)主體信息自決利益范圍之考量 從數(shù)據(jù)主體的立場(chǎng)來(lái)看，可攜權(quán)的理論基礎(chǔ)來(lái)源于最初確立于德國(guó)聯(lián)邦憲法案例“人口普查法案”的信息自決權(quán)。[31]但事實(shí)上，信息自決被理解為對(duì)個(gè)人信息絕對(duì)的控制權(quán)實(shí)乃人們對(duì)該案判決的誤讀。

[32] 將個(gè)人信息作為客體排他性地歸屬于信息主體的做法，無(wú)法為他人的行為劃定清晰的禁區(qū)，因此也不可能構(gòu)成私權(quán)意義上、受侵權(quán)法保護(hù)的民事權(quán)利。一般認(rèn)為，在為保護(hù)個(gè)人信息的隱私利益而行使自決權(quán)時(shí)，也應(yīng)受到相應(yīng)的合理限制。

[33] 這里的合理限制，其中的相當(dāng)大的因素考量在于數(shù)字企業(yè)在用戶數(shù)據(jù)之上享有的一定 “財(cái)產(chǎn)權(quán)利益”。[34]應(yīng)該考慮到，數(shù)據(jù)可攜權(quán)強(qiáng)化個(gè)人對(duì)于個(gè)人數(shù)據(jù)的絕對(duì)控制權(quán)的同時(shí)，必將減損為維護(hù)數(shù)據(jù)資源投入高額成本的企業(yè)的利益、不合理地增加企業(yè)運(yùn)營(yíng)成本。此種信息自決空間是否過(guò)寬、影響社會(huì)和產(chǎn)業(yè)秩序有效運(yùn)轉(zhuǎn)本就值得研討。

2.數(shù)據(jù)企業(yè)競(jìng)爭(zhēng)性利益的保護(hù) 數(shù)據(jù)可攜不僅是個(gè)人數(shù)據(jù)保護(hù)法的調(diào)整對(duì)象，也是競(jìng)爭(zhēng)法的調(diào)整范圍。[35]從數(shù)據(jù)作為戰(zhàn)略資源角度而言，用戶數(shù)據(jù)資源的市場(chǎng)占有率已成為現(xiàn)代數(shù)字驅(qū)動(dòng)型企業(yè)的獨(dú)特競(jìng)爭(zhēng)性?xún)?yōu)勢(shì)。目前例如“頭騰大戰(zhàn)”在內(nèi)普遍而多發(fā)的企業(yè)間數(shù)據(jù)爭(zhēng)奪不正當(dāng)競(jìng)爭(zhēng)案例已足以證明這一點(diǎn)。但試圖利用數(shù)據(jù)可攜權(quán)來(lái)破除數(shù)據(jù)壟斷，可能只是一廂情愿的“烏托邦”。有觀點(diǎn)認(rèn)為，賦予個(gè)人數(shù)據(jù)主體數(shù)據(jù)可攜權(quán)能夠有效制約互聯(lián)網(wǎng)巨頭對(duì)于數(shù)據(jù)的壟斷地位，促進(jìn)數(shù)據(jù)自由流動(dòng)，打破數(shù)據(jù)市場(chǎng)準(zhǔn)入障礙[36]，但該種觀點(diǎn)只關(guān)注了頭部巨型企業(yè)，事實(shí)上，在尚未形成成熟的數(shù)字產(chǎn)業(yè)體系基礎(chǔ)之上貿(mào)然引入數(shù)據(jù)可攜權(quán)制度，更為嚴(yán)重的問(wèn)題可能是急劇加重中小企業(yè)負(fù)擔(dān)。[37]根據(jù)“鎖定效應(yīng)”理論，先進(jìn)入市場(chǎng)的積累了大量用戶的企業(yè)（先發(fā)優(yōu)勢(shì)企業(yè)）對(duì)數(shù)據(jù)具有絕對(duì)性的先占優(yōu)勢(shì)，在占有大量數(shù)據(jù)的同時(shí)，先發(fā)優(yōu)勢(shì)企業(yè)為了保護(hù)自身已形成的優(yōu)勢(shì)地位，會(huì)采取各種方式提高行業(yè)準(zhǔn)入的門(mén)檻，最典型的方式就是將數(shù)據(jù)進(jìn)行封鎖，提高用戶轉(zhuǎn)換服務(wù)商的成本。[38]此外，數(shù)據(jù)可攜的落地可能還會(huì)引發(fā)和變相鼓勵(lì)企業(yè)間“搭便車(chē)”的不正當(dāng)競(jìng)爭(zhēng)，隨之而來(lái)的可能是各種繞過(guò)數(shù)據(jù)可攜的技術(shù)壓制，反而加劇圍繞數(shù)據(jù)的“分封割據(jù)”，最后形成個(gè)別巨型企業(yè)獨(dú)占山頭的局面，恰恰違背了數(shù)據(jù)可攜的制度初衷，從而埋下了違反競(jìng)爭(zhēng)法確定基礎(chǔ)秩序的隱患。

但盡管數(shù)據(jù)可攜權(quán)爭(zhēng)議較大，實(shí)施難度極高，但其立法基于個(gè)人信息主體權(quán)益主動(dòng)權(quán)利的本意，以及蘊(yùn)含的技術(shù)中立性和“烏托邦”精神，仍然值得我們思考。個(gè)人信息從個(gè)體控制向多方控制發(fā)展的趨勢(shì)盡管可能無(wú)法改變，設(shè)置可攜權(quán)或者其他權(quán)利促使數(shù)據(jù)標(biāo)準(zhǔn)化和有條件的自由流動(dòng)可能在數(shù)據(jù)成為生產(chǎn)要素的時(shí)代困難重重，但我們期待突破數(shù)據(jù)瓶頸后的智能時(shí)代，類(lèi)似的權(quán)利能夠發(fā)揮更大的作用。

在當(dāng)下，可攜權(quán)在特殊情況下仍有生存的空間。在某些數(shù)據(jù)流轉(zhuǎn)嚴(yán)格監(jiān)管的行業(yè)，比如金融及醫(yī)療健康等，由于立法滯后禁止不具備相應(yīng)資質(zhì)機(jī)構(gòu)處理行業(yè)數(shù)據(jù)，確實(shí)存在無(wú)法實(shí)現(xiàn)數(shù)據(jù)安全流轉(zhuǎn)，發(fā)揮數(shù)據(jù)價(jià)值的困局。在這種特殊時(shí)期，實(shí)際上機(jī)構(gòu)或企業(yè)對(duì)于可攜權(quán)并不抵觸，企業(yè)與個(gè)人信息主體之間從數(shù)據(jù)角度不存在利益矛盾，從數(shù)據(jù)有序流轉(zhuǎn)的目標(biāo)出發(fā)，甚至有動(dòng)力促使個(gè)人信息主體行使可攜權(quán)來(lái)打破數(shù)據(jù)孤島。因此是否有條件的設(shè)置可攜權(quán)能夠達(dá)到多主體利益平衡并且保障個(gè)人信息安全，可能仍然是具有現(xiàn)實(shí)意義的討論。

九、如何看待個(gè)人信息違法的高額處罰？

秉持著我國(guó)立法體系特色，草案第七章以專(zhuān)章的形式規(guī)定了個(gè)人信息違法行為應(yīng)負(fù)的“法律責(zé)任”。草案第六十二條用兩款規(guī)定了違反本法規(guī)定處理個(gè)人信息或者未采取必要的安全保障措施的行政監(jiān)管責(zé)任，其中備受關(guān)注的是草案在《網(wǎng)安法》的基礎(chǔ)之上大幅度提高了處罰力度，并與 GDPR采取了相似的處罰方式，以最高罰金限額以及年度營(yíng)業(yè)額百分比（5%）作為處罰限額。針對(duì)時(shí)下個(gè)人信息監(jiān)管的嚴(yán)峻形勢(shì)，草案為監(jiān)管部門(mén)實(shí)施個(gè)人信息違法處罰提供了強(qiáng)有力的法律支撐。

英美普通法系下經(jīng)典的“效率違約”[39]理論一定程度上或可解釋提高處罰額度的合理性，個(gè)人信息處理者在考量包括罰款在內(nèi)的違法成本與經(jīng)濟(jì)收益對(duì)比后，如若認(rèn)為放棄合規(guī)努力時(shí)仍然有利可圖乃至收益結(jié)構(gòu)優(yōu)化，監(jiān)管處罰必然僅停留在法律文本之中。然而，監(jiān)管處罰的目標(biāo)不僅停留在處罰本身，評(píng)估處罰機(jī)制的指標(biāo)之一便是其是否能幫助糾正個(gè)人信息違法。根據(jù)歐盟委員會(huì)此前就 GDPR實(shí)施兩周年的評(píng)估報(bào)告 [40] 來(lái)看，通過(guò)使用監(jiān)管工具，在 2018年 5月 25日至 2019年 11月 30日期間，22個(gè)歐盟/歐洲經(jīng)濟(jì)區(qū)的 DPA 共開(kāi)出約 785張罰單。從數(shù)量上看，行政處罰并不占少數(shù)，但從效果上來(lái)說(shuō)，NGO 組織 Access Now指出，與各DPA收到的投訴量相比，罰款次數(shù)仍然很少，這意味著 “大量的投訴沒(méi)有得到解決”。

[41] 草案通過(guò)立法提高處罰額度實(shí)乃應(yīng)時(shí)、應(yīng)勢(shì)而為，但與此同時(shí)，考慮將違法主體以是否主要依靠個(gè)人信息處理獲得經(jīng)濟(jì)利潤(rùn)為標(biāo)準(zhǔn)予以界分進(jìn)而來(lái)評(píng)估具體監(jiān)管處罰的實(shí)施；在多場(chǎng)景下配合運(yùn)用“吊銷(xiāo)執(zhí)照”、“停止個(gè)人信息處理”等其他處罰工具，也可能成為未來(lái)進(jìn)一步細(xì)化罰則的可能方向。

總結(jié)與展望 草案作為我國(guó)個(gè)人信息保護(hù)專(zhuān)門(mén)立法，立足國(guó)內(nèi)信息領(lǐng)域具體實(shí)踐、充分借鑒域外立法經(jīng)驗(yàn)，回應(yīng)了時(shí)下的產(chǎn)業(yè)與法律實(shí)踐的熱點(diǎn)難點(diǎn)，一定程度上揭示了今后的立法與執(zhí)法趨勢(shì)，例如嚴(yán)格規(guī)范授權(quán)同意形式、以數(shù)據(jù)本地化為視角監(jiān)管數(shù)據(jù)跨境傳輸、提升違法行為的處罰力度等。這些規(guī)定在與國(guó)際個(gè)人信息保護(hù)規(guī)則標(biāo)準(zhǔn)對(duì)接、與網(wǎng)安法、民法典等相關(guān)法律規(guī)范做好

銜接與細(xì)化工作的同時(shí)，也為日后配套法規(guī)的頒行預(yù)留了通道，彰顯了立足國(guó)情的務(wù)實(shí)態(tài)度，為國(guó)際個(gè)人信息保護(hù)立法貢獻(xiàn)了中國(guó)方案。尤為可貴的是，草案站在促進(jìn)數(shù)字經(jīng)濟(jì)健康發(fā)展的戰(zhàn)略高度，以將個(gè)人信息保護(hù)思路從網(wǎng)絡(luò)為中心進(jìn)一步豐富為以數(shù)據(jù)為中心，并兼顧經(jīng)濟(jì)生活的復(fù)雜性，為我國(guó)將數(shù)據(jù)作為新生產(chǎn)要素的數(shù)字社會(huì)轉(zhuǎn)型夯實(shí)基礎(chǔ)。我們有理由期待，經(jīng)充分討論、完善與打磨后的個(gè)人信息保護(hù)法，將平衡好個(gè)人信息權(quán)益保護(hù)與有序自由流動(dòng)的辯證關(guān)系，規(guī)范個(gè)人信息處理活動(dòng)、保障廣大人民個(gè)人信息權(quán)益、激發(fā)數(shù)字產(chǎn)業(yè)活力，在數(shù)據(jù)主權(quán)激烈競(jìng)爭(zhēng)的國(guó)際環(huán)境下為我國(guó)數(shù)字經(jīng)濟(jì)發(fā)展帶來(lái)新機(jī)遇。

第二篇：個(gè)人信息保護(hù)

為公眾生活筑一道“防火墻”

個(gè)人信息不但是一個(gè)公民的身份證明，還包含了其生活中最重要的方方面面，它的泄露不僅會(huì)給人們帶來(lái)生活上的困擾，更有甚者，還會(huì)造成財(cái)產(chǎn)的損失和情感的欺騙。隨著信息流通渠道的多樣化，泄露個(gè)人信息的行為呈愈演愈烈的態(tài)勢(shì)，對(duì)于個(gè)人信息的保護(hù)必須引起重視。

近年來(lái)，公民個(gè)人信息被泄露的問(wèn)題頻繁發(fā)生。從絡(luò)繹不絕的廣告短信和郵件到隔三差五的業(yè)務(wù)推銷(xiāo)電話；從虛假的銀行卡消費(fèi)通知到企圖詐騙的短信和電話，泄露他人信息就像是一個(gè)大眾課題，不論是在被泄露的內(nèi)容和泄露途徑上，或是在泄露后信息的去向和用途上，都在不斷推敲中衍生出越來(lái)越多的不法用途。

大到“棱鏡門(mén)”丑聞，小到手機(jī)上的小廣告，人們對(duì)于個(gè)人信息的保護(hù)意識(shí)正在不斷形成，但仍難以避免其不脛而走。究其緣由主要在于當(dāng)下信息傳播的平臺(tái)多，轉(zhuǎn)手速度快，為信息的泄露增添了更多可能性，加之掌握個(gè)人信息的企業(yè)單位缺少行業(yè)自律，民眾對(duì)自身信息的保護(hù)意識(shí)不強(qiáng)，同時(shí)缺少相關(guān)的法律法規(guī)保障，對(duì)不法分子層出不窮的欺騙手段難免心有余而力不足。為了保護(hù)民眾的隱私，我們需要變被動(dòng)為主動(dòng)，分別從個(gè)人信息泄露前、泄漏中、泄露后三方面一起努力。

保護(hù)個(gè)人信息，應(yīng)在信息泄露前增強(qiáng)自我保護(hù)意識(shí)。雖然近些年命眾對(duì)于自身信息的保護(hù)意識(shí)有所增強(qiáng)，但日益增多的欺騙手段往往讓人們防不慎防。所以，可以通過(guò)街道、居委會(huì)分發(fā)《居民個(gè)人信息保護(hù)小貼士》和開(kāi)展防范信息泄露講座等形式，普及個(gè)人信息泄露的案例和信息自我保護(hù)的方法，在人們心中筑起攔阻“大壩”，從源頭防止個(gè)人信息被利用。

保護(hù)個(gè)人信息，應(yīng)加大信息泄露過(guò)程中的監(jiān)察力度。目前，社會(huì)上倒賣(mài)各種身份信息的現(xiàn)象猖獗，信息傳播途徑的多樣化更讓不法分子有恃無(wú)恐。鑒于此，應(yīng)當(dāng)提高相關(guān)部門(mén)人員在如網(wǎng)絡(luò)通信等技術(shù)上的專(zhuān)業(yè)素養(yǎng)，加大對(duì)各個(gè)渠道個(gè)人信息泄露的監(jiān)察力度，對(duì)于易發(fā)生信息泄露的關(guān)鍵點(diǎn)和關(guān)鍵途徑要嚴(yán)格管控，嚴(yán)厲查處，防止個(gè)人信息的進(jìn)一步傳播和倒賣(mài)。

保護(hù)個(gè)人信息，還應(yīng)該在信息泄露后加大懲處力度。建立并完善相關(guān)的法律法規(guī)，對(duì)于泄露他人信息和利用他人信息進(jìn)行不法操作的行為作出嚴(yán)肅處理，提高不法分子的犯罪成本。

還值得注意的是，在竊取個(gè)人信息的渠道中，也不乏對(duì)正規(guī)渠道的利用。如銀行、保險(xiǎn)公司、醫(yī)療機(jī)構(gòu)、物流公司等，這些深受民眾信任的場(chǎng)所也成了個(gè)人信息泄露的重災(zāi)區(qū)。所以，應(yīng)加強(qiáng)相關(guān)企業(yè)負(fù)責(zé)人及員工的職業(yè)道德教育，提高行業(yè)自律和信息倫理意識(shí)，減少不法分子的可乘之機(jī)。

個(gè)人信息是屬于個(gè)人的，但對(duì)個(gè)人信息的保護(hù)是屬于全社會(huì)的。只有形成涵蓋全社會(huì)的個(gè)人信息保護(hù)體系，為公眾的生活筑起一道“防火墻”，才能讓個(gè)人有隱私，讓信息有保障。

第三篇：個(gè)人信息保護(hù)

保護(hù)個(gè)人客戶信息 有效防范金融詐騙

近年來(lái)，關(guān)于銀行客戶個(gè)人信息屢屢外泄的新聞不斷出現(xiàn)在各大媒體報(bào)道中，這類(lèi)重要信息管理缺失行為不僅給客戶帶來(lái)經(jīng)濟(jì)和人身危害，也極大的影響到商業(yè)銀行社會(huì)公信力的塑造。應(yīng)該看到，各類(lèi)商業(yè)銀行都建立了完善的客戶信息保密制度，通過(guò)技術(shù)和政策支持也規(guī)避了部分泄密問(wèn)題，但客戶信息失密事件屢見(jiàn)不鮮且利用常規(guī)管理方式即可避免風(fēng)險(xiǎn)。如何解決當(dāng)前存在的客戶信息泄密問(wèn)題，需要銀行監(jiān)管部門(mén)和商業(yè)銀行高管層、各層級(jí)管理者認(rèn)真思考。本文拋開(kāi)利用計(jì)算機(jī)技術(shù)竊密犯罪因素，僅根據(jù)“銀行――社會(huì)中介――客戶信息需求方”的泄密通道，通過(guò)問(wèn)題描述和現(xiàn)狀反思，圍繞強(qiáng)化銀行員工思想政治教育、建立聲譽(yù)約束的外部監(jiān)管機(jī)制，以及建立同業(yè)聯(lián)盟的信息公開(kāi)平臺(tái)來(lái)防范泄密和詐騙事件的發(fā)生。

一、履職過(guò)程中存在的泄密行為

假設(shè)銀行的客戶信息保密制度設(shè)計(jì)是沒(méi)有瑕疵的，在此基礎(chǔ)上所存在的問(wèn)題可歸納為以下三個(gè)方面。

（一）銀行部分人員的風(fēng)險(xiǎn)意識(shí)淡薄

金融機(jī)構(gòu)向社會(huì)大眾提供負(fù)債、資產(chǎn)、中間業(yè)務(wù)和其他新興業(yè)務(wù)，在提供服務(wù)的過(guò)程中掌握了大量的個(gè)人客戶信息，個(gè)人金融信息和個(gè)人客戶信息必然成為不法之徒追逐利用的目標(biāo)，其中，最有可能成為失密信息大量使用重災(zāi)區(qū)的是資產(chǎn)類(lèi)業(yè)務(wù)。如個(gè)人住房貸款、個(gè)人消費(fèi)貸款，尋求該信貸業(yè)務(wù)的客戶會(huì)被社會(huì)中介重點(diǎn)關(guān)注，他們的個(gè)人信息也成為市場(chǎng)其他產(chǎn)品（如家居類(lèi)產(chǎn)品、裝修、保險(xiǎn)等）供應(yīng)者的商業(yè)資源。部分銀行員工在風(fēng)險(xiǎn)意識(shí)、保密意識(shí)淡薄的情況下，將客戶信息發(fā)布出去。發(fā)布方式可能是口述、紙質(zhì)方式、電子郵件、不當(dāng)處理的垃圾等。

（二）銀行部分人員的利益偏好使然

在現(xiàn)代商業(yè)社會(huì)客戶信息已成為重要的經(jīng)濟(jì)資源，對(duì)該信息的壟斷性獲取將為賣(mài)方提供商機(jī)。由此，客戶信息需求方為了獲得這種商機(jī)，便有意愿通過(guò)商品交換形式來(lái)求助于社會(huì)中介，而社會(huì)中介在人際關(guān)系處理和商品交易原則下，便可能獲得目標(biāo)客戶的銀行信息。不難看出，這表現(xiàn)為銀行部分人員與社會(huì)中介之間的利益交換關(guān)系。

（三）銀行部分人員與中介勾結(jié)

金融業(yè)競(jìng)爭(zhēng)日趨激烈，大部分銀行將業(yè)務(wù)指標(biāo)與員工收入緊密掛鉤，為完成或超額完成分配的業(yè)務(wù)指標(biāo)，獲取薪金收入或業(yè)務(wù)獎(jiǎng)勵(lì)，部分員工有意無(wú)意地放寬保密規(guī)定，為協(xié)助中介達(dá)成交易，不惜提供客戶信息、為中介補(bǔ)充客戶信息。

二、泄密行為反思

上述泄密行為，為我們進(jìn)行對(duì)策研究提供了方向。然而，商業(yè)銀行管理層只能規(guī)范銀行內(nèi)部的信息管理活動(dòng)，卻無(wú)法約束社會(huì)中介、客戶信息需求方。這就意味著，要使得對(duì)策更具有實(shí)效性還要依賴(lài)于全社會(huì)的參與，共同遵守和保護(hù)客戶隱私。

（一）針對(duì)銀行內(nèi)部的現(xiàn)狀反思

客戶信息泄密現(xiàn)象發(fā)端于銀行。因此，首先需要從規(guī)范銀行涉密人員的行為操守開(kāi)始。由于存在著信息不對(duì)稱(chēng)現(xiàn)象，商業(yè)銀行管理者難以及時(shí)、準(zhǔn)確把握關(guān)鍵人員行為的合規(guī)性，因而解決監(jiān)管缺位成為對(duì)策構(gòu)建的出發(fā)點(diǎn)之一。事實(shí)證明，依靠監(jiān)管人員的跟蹤監(jiān)督是不現(xiàn)實(shí)的，需要從組織文化和外部壓力的構(gòu)建著手。

（二）針對(duì)銀行外部的現(xiàn)狀反思

盡管社會(huì)中介和客戶信息需求方的行為難以被銀行約束，但在商業(yè)社會(huì)中銀行應(yīng)充分發(fā)揮自身的網(wǎng)絡(luò)資源，通過(guò)限制和懲戒他們的銀行業(yè)務(wù)來(lái)給予威懾。所謂銀行業(yè)務(wù)可理解為，中介組織和客戶信息需求方與商業(yè)銀行間的業(yè)務(wù)往來(lái)。

三、反泄密行為的對(duì)策

為防止泄密行為引發(fā)的欺詐事件，可從三個(gè)方面著手。

（一）強(qiáng)化銀行員工的思想政治教育

無(wú)論是國(guó)有控股商業(yè)銀行還是其他股份制銀行，都應(yīng)強(qiáng)化組織內(nèi)部的思想政治教育。在開(kāi)展該項(xiàng)工作時(shí)應(yīng)改變傳統(tǒng)的“空對(duì)空”模式，通過(guò)案例教學(xué)促使銀行員工能夠清楚地知道泄露客戶信息對(duì)社會(huì)的危害、對(duì)銀行本身的危害，以及對(duì)自身職業(yè)生涯的影響。只有這樣，才能建立起與員工切身利益相聯(lián)系的自覺(jué)行為。

（二）樹(shù)立銀行員工安全保密意識(shí)

網(wǎng)絡(luò)信息時(shí)代，發(fā)生客戶個(gè)人信息泄露事件，不僅會(huì)給客戶造成較大損失，也會(huì)給銀行帶來(lái)非常嚴(yán)重的法律風(fēng)險(xiǎn)和聲譽(yù)風(fēng)險(xiǎn)。樹(shù)立銀行員工安全保密意識(shí)刻不容緩。通過(guò)開(kāi)展安全保密教育活動(dòng)，教育員工在公眾場(chǎng)合嚴(yán)守商業(yè)機(jī)密，嚴(yán)格遵守“為客戶保密”的原則，并落實(shí)安全保密責(zé)任制。抓好重點(diǎn)崗位的保密工作，強(qiáng)化崗位責(zé)任制，將每一項(xiàng)業(yè)務(wù)操作置于合規(guī)框架下，把信息泄密事件消滅在萌芽狀態(tài)。

（三）建立聲譽(yù)約束的外部監(jiān)管機(jī)制

對(duì)于部分風(fēng)險(xiǎn)意識(shí)較弱或具有強(qiáng)烈利益偏好的員工，應(yīng)在優(yōu)化跟蹤監(jiān)管機(jī)制的同時(shí)，建立起聲譽(yù)約束機(jī)制，借助銀行員工強(qiáng)調(diào)自己在單位內(nèi)部的口碑和聲譽(yù)度的心態(tài)，將其本單位在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，存在信息泄露，如情節(jié)嚴(yán)重的，移送司法機(jī)關(guān)處理，如情節(jié)較為輕微的，進(jìn)行經(jīng)濟(jì)處罰，并在職務(wù)晉升、職稱(chēng)聘任上實(shí)行一票否決制，進(jìn)而在他們的心理上構(gòu)建起一道防線。

（四）建立同業(yè)聯(lián)盟的信息公開(kāi)平臺(tái)

根據(jù)社會(huì)中介和客戶信息需求方流動(dòng)性強(qiáng)、與銀行交易較多的特點(diǎn)，針對(duì)他們必然與商業(yè)銀行發(fā)生正常業(yè)務(wù)往來(lái)的性質(zhì)，金融機(jī)構(gòu)可以在主管部門(mén)的協(xié)調(diào)下建立起各類(lèi)商業(yè)銀行間的信息共享平臺(tái)，利用該平臺(tái)及時(shí)發(fā)布已查獲的社會(huì)中介組織、客戶信息需求方關(guān)鍵人物的信息，在同行業(yè)共享的基礎(chǔ)上對(duì)他們進(jìn)行經(jīng)濟(jì)懲戒。這樣一來(lái)，就能對(duì)潛在的社會(huì)中介組織、客戶信息需求方產(chǎn)生威懾作用，增加他們的犯罪成本，進(jìn)而從信息需求源頭上中止泄密行為。

為維護(hù)客戶合法權(quán)益不受侵害，避免客戶個(gè)人金融信息泄露對(duì)客戶自身財(cái)產(chǎn)安全造成不利影響，棗莊滕州支行采取五項(xiàng)措施落實(shí)客戶個(gè)人金融信息保護(hù)工作。一是結(jié)合各種詐騙案例對(duì)員工進(jìn)行防客戶信息泄露警示教育。要求員工在辦理業(yè)務(wù)及在八小時(shí)以外，高度重視個(gè)人金融信息保護(hù)工作，禁止故意或過(guò)失泄露客戶金融信息行為發(fā)生。二是強(qiáng)化個(gè)人信息使用管理。在客戶信息使用上，必須經(jīng)客戶本人書(shū)面授權(quán)才可查詢(xún)及使用。三是對(duì)員工辦公用電腦進(jìn)行清理，對(duì)涉及客戶敏感信息的相關(guān)文件進(jìn)行清理，對(duì)確需留存的客戶信息進(jìn)行加密處理；四是加強(qiáng)對(duì)第三方機(jī)構(gòu)巡點(diǎn)人員的管理，嚴(yán)禁第三方機(jī)構(gòu)人員接觸我行客戶信息。

一、嚴(yán)格落實(shí)責(zé)任。全行員工均簽訂了《保密承諾書(shū)》，嚴(yán)格落實(shí)保密責(zé)任，嚴(yán)守職業(yè)道德。同時(shí)，嚴(yán)格執(zhí)行《中國(guó)人民銀行關(guān)于銀行業(yè)金融機(jī)構(gòu)做好個(gè)人金融保護(hù)工作的通知》、《中國(guó)工商銀行青海省分行個(gè)人客戶信息管理實(shí)施細(xì)則(試行)》等制度要求，對(duì)客戶個(gè)人金融信息的建立、存儲(chǔ)、維護(hù)、應(yīng)用和管理做到依法合規(guī)、安全保密。

二、健全客戶個(gè)人信息保護(hù)制度。一是制定了個(gè)人客戶信息保護(hù)措施和個(gè)人客戶信息管理的原則，落實(shí)了各部門(mén)、各崗位管理責(zé)任，完善內(nèi)部監(jiān)督和責(zé)任追究機(jī)制。二是加強(qiáng)個(gè)人客戶信息管理的權(quán)限管理，形成相互監(jiān)督，相互制約的管理機(jī)制。三是嚴(yán)格按照《中國(guó)工商銀行會(huì)計(jì)檔案管理辦法》、《中國(guó)工商銀行商業(yè)秘密保護(hù)辦法》等文件規(guī)定，切實(shí)防止信息泄露或?yàn)E用事件的發(fā)生。

三、強(qiáng)化安全觀念教育。及時(shí)組織員工認(rèn)真學(xué)習(xí)《個(gè)人存款賬戶實(shí)名制規(guī)定》、《中國(guó)人民銀行關(guān)于金融機(jī)構(gòu)進(jìn)一步做好客戶個(gè)人信息保護(hù)工作的通知》等文件的學(xué)習(xí)，使廣大員工充分認(rèn)識(shí)個(gè)人客戶信息保護(hù)的重要性，進(jìn)一步認(rèn)識(shí)個(gè)人客戶信息泄露和濫用帶來(lái)的法律后果，對(duì)篡改、違法使用、出售個(gè)人客戶信息要承擔(dān)相應(yīng)的法律責(zé)任，形成了維護(hù)客戶個(gè)人客戶信息安全的自覺(jué)性，增強(qiáng)了發(fā)現(xiàn)和防范信息系統(tǒng)漏洞和缺陷的敏銳度。

第四篇：個(gè)人信息保護(hù)知識(shí)

? ? 時(shí)刻警惕，自己和家人的信息不要隨便泄露。網(wǎng)絡(luò)上泄露信息可能會(huì)很危險(xiǎn)。

各種推銷(xiāo)電話的騷擾，各種莫名其妙的廣告信息通過(guò)四面八方傳播過(guò)來(lái)，甚至有人用我們的個(gè)人信息進(jìn)行經(jīng)濟(jì)犯罪，到底如何最大限度的保護(hù)個(gè)人信息？

1、不填寫(xiě)各種所謂的市場(chǎng)調(diào)研里面的個(gè)人信息，即使有獎(jiǎng)品發(fā)放，也絕不把手機(jī)號(hào)碼、姓名、家庭住址、身份證號(hào)碼泄露出去。

2、不隨便把身份證復(fù)印件交出去，需要辦理信用卡、收入證明之類(lèi)的，必須在身份證復(fù)印件注明：只用于此用途；用身份證的時(shí)候，最好不要讓別人拿著身份證離開(kāi)你的視線。

3、收快遞的時(shí)候，盡量把帶著名字和電話、地址的封面銷(xiāo)毀；發(fā)快遞的時(shí)候，事先和對(duì)方溝通好，發(fā)件方的信息盡量少透露。

4、朋友圈投票盡量不投；不明來(lái)源的文章鏈接和二維碼不點(diǎn)擊也不掃碼；qq、微信、網(wǎng)站等盡量少的填寫(xiě)信息。

5、不隨便下載APP和各種網(wǎng)站資源；網(wǎng)上設(shè)置各種用戶名盡量不實(shí)名制；不可信的wifi不要連接。

6、如參加必須登記姓名和電話的活動(dòng)或會(huì)議，一定告知對(duì)方，不許泄露信息，否則追究責(zé)任；在網(wǎng)絡(luò)上發(fā)各種信息時(shí)不發(fā)家人的圖片、電話、姓名、住址等，盡量少炫耀。

.如何保護(hù)個(gè)人信息

信息泄露有可能會(huì)產(chǎn)生嚴(yán)重的后果，進(jìn)而導(dǎo)致財(cái)產(chǎn)受損失。因此，保護(hù)個(gè)人信息，防范個(gè)人信息泄露至關(guān)重要，這里給大家提供幾條防止信息泄露的小妙招：

1、保護(hù)身份證號(hào)碼、銀行卡號(hào)、密碼或其他隱私信息，千萬(wàn)不要把這些信息通過(guò)郵件、短信或電話告訴別人，無(wú)論這個(gè)人表現(xiàn)得多么可靠。任何時(shí)候請(qǐng)牢記：合法的組織不會(huì)問(wèn)你這些細(xì)節(jié)，因?yàn)樗麄円呀?jīng)獲得必要的信息，或可以其他的方式來(lái)獲取。

2、忽略網(wǎng)上你不認(rèn)識(shí)的“朋友”，因?yàn)樗麄兛赡苁球_子偽裝而來(lái)。因此，務(wù)必要小心在社交網(wǎng)絡(luò)和與就業(yè)相關(guān)網(wǎng)站發(fā)布履歷和聯(lián)系地址等信息，因?yàn)橐坏┻@些信息落入不法分子手中，可能會(huì)引起相關(guān)損害。

3、保護(hù)私人電腦安全。如通過(guò)安裝防火墻等方式，阻止入侵者遠(yuǎn)程訪問(wèn)個(gè)人計(jì)算機(jī)；使用復(fù)雜密碼，提高黑客破解密碼難度。同時(shí)，不用電腦時(shí)記得關(guān)機(jī)。

4、及時(shí)清理“金融垃圾”。丟掉有私人信息的文件前先將其銷(xiāo)毀。在銷(xiāo)售、捐贈(zèng)、拍賣(mài)或丟棄私人電腦前，用專(zhuān)業(yè)軟件清除電腦里所有金融信息。

5、留意那些看起來(lái)極其誘惑的獎(jiǎng)勵(lì)。騙子往往冒充慈善機(jī)構(gòu)或商務(wù)旅客，提供就業(yè)機(jī)會(huì)、獎(jiǎng)賞其他“機(jī)會(huì)”。如果他給的條件不合常理，則是非常可疑的。

6、仔細(xì)檢查銀行對(duì)賬單、賬單及信用卡報(bào)告，確認(rèn)沒(méi)有可疑交易。每月關(guān)注銀行賬戶，如果覺(jué)得有可疑（例如發(fā)現(xiàn)某項(xiàng)非本人操作的取款），及時(shí)聯(lián)系銀行。如果發(fā)現(xiàn)銀行對(duì)賬單未按時(shí)到達(dá)，應(yīng)盡快聯(lián)系銀行工作人員。如果沒(méi)有收到銀行郵件，則有可能郵箱被盜用。即使沒(méi)有任何貸款或透支信用卡消費(fèi)，仍需每年檢查信用報(bào)告，查證盜刷情況是否發(fā)生。如果懷疑自己個(gè)人信息被盜，應(yīng)馬上聯(lián)系銀行。

7、網(wǎng)上購(gòu)物需要注意的提醒：第一：在輸入信用卡和個(gè)人信息之前確認(rèn)網(wǎng)站是否安全。大多數(shù)網(wǎng)站會(huì)有防偽安全標(biāo)志（如網(wǎng)址旁邊的掛鎖）；第二：網(wǎng)上購(gòu)物時(shí)，盡量選擇商譽(yù)好的商家。

第五篇：個(gè)人信息權(quán)利保護(hù)

本科畢業(yè)論文

題 目 信息時(shí)代背景下公民數(shù)據(jù)權(quán)利保護(hù)個(gè)案研

究

學(xué) 院 法 學(xué) 院

專(zhuān) 業(yè) 法 學(xué)

年 級(jí) 2013級(jí)

學(xué) 號(hào) 2220*** 姓 名 黃

瑞 指導(dǎo)教師 馬

濤

成 績(jī)

2017年 3月11日

目錄

目錄...........................................................................................................................................................2

一、案例引出問(wèn)題...................................................................................................................................3

（一）案情簡(jiǎn)介...................................................................................................................................3

（二）案例法律分析...........................................................................................................................4

二、個(gè)人數(shù)據(jù)概述...................................................................................................................................4

（一）個(gè)人數(shù)據(jù)...................................................................................................................................4 1.概念界定、特征...........................................................................................................................4 2.信息時(shí)代特征（信息時(shí)代現(xiàn)狀、特征、帶來(lái)的機(jī)遇與挑戰(zhàn)等）...........................................5 3.信息時(shí)代下個(gè)人數(shù)據(jù)有什么新特征...........................................................................................6

（二）個(gè)人數(shù)據(jù)權(quán)...............................................................................................................................7 1.個(gè)人數(shù)據(jù)權(quán)概念界定...................................................................................................................7 2.權(quán)利內(nèi)容.......................................................................................................................................7 3.個(gè)人信息權(quán)同個(gè)人隱私權(quán)、人格權(quán)的的區(qū)別...........................................................................7

三、我國(guó)對(duì)公民個(gè)人數(shù)據(jù)權(quán)利保護(hù)現(xiàn)狀及完善建議...........................................................................9

（一）案例+分析.................................................................................................................................9

（二）總結(jié)現(xiàn)狀...................................................................................................................................9

1、法制不健全...............................................................................................................................10

2、缺乏良性行業(yè)自律...................................................................................................................10

（三）完善建議.................................................................................................................................11

1、加強(qiáng)輿論宣傳，強(qiáng)化網(wǎng)絡(luò)用戶個(gè)人數(shù)據(jù)信息保護(hù)意識(shí).......................................................11

2、完善個(gè)人數(shù)據(jù)信息安全保護(hù)的法律法規(guī)...............................................................................11

3、加強(qiáng)網(wǎng)絡(luò)道德建設(shè)和行業(yè)自律，建立健全個(gè)人信息安全保護(hù)與防范機(jī)制.......................11 參考文獻(xiàn)：.............................................................................................................................................12

信息時(shí)代背景下公民數(shù)據(jù)權(quán)利保護(hù)個(gè)案研究

黃瑞

（西南大學(xué)法學(xué)院，重慶，400715）

摘 要：互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代，人們每天都會(huì)利用網(wǎng)絡(luò)這個(gè)媒介傳輸各種個(gè)人數(shù)據(jù)。但是受制于公民數(shù)據(jù)安全意識(shí)、網(wǎng)絡(luò)服務(wù)提供者職業(yè)道德、社會(huì)法制建設(shè)等諸多因素，導(dǎo)致我國(guó)公民個(gè)人數(shù)據(jù)安全面臨嚴(yán)重風(fēng)險(xiǎn)。立足于案例，進(jìn)一步分析我國(guó)公民個(gè)人數(shù)據(jù)的概念、個(gè)人數(shù)據(jù)權(quán)的定義、現(xiàn)狀、最終有針對(duì)性的提出解決公民數(shù)據(jù)安全的對(duì)策措施。

關(guān)鍵詞：信息時(shí)代；個(gè)人數(shù)據(jù)權(quán)；保護(hù)措施

一、案例引出問(wèn)題

（一）案情簡(jiǎn)介

2010 年年初，珠海市香洲區(qū)法院以被告周建平向詐騙團(tuán)伙非法出售個(gè)人信息資料為由，以非法獲取公民個(gè)人信息罪判處周建平有期徒刑一年六個(gè)月，并處罰金 2000 元。周建平由此成為我國(guó)被法院以侵犯?jìng)€(gè)人信息安全的新罪名追究刑事責(zé)任的第一人。案中，周建平于 2008 年 11 月在廣州市成立廣州市華探調(diào)查有限公司，違反規(guī)定非法獲取他人電話清單、手機(jī)清單和人員資料。同年12月，周建平以每份 1200 元或 1500 元不等的價(jià)格先后向詐騙團(tuán)伙出售了14 份電話清單，從中獲利 1.6 萬(wàn)元。根據(jù)周建平提供的電話清單，詐騙團(tuán)伙在 2008 年 10 月至 2009 年 2 月 19 日期間，分別冒充珠海市霍副市長(zhǎng)、恩平市委書(shū)記、深圳市寶安區(qū)消防中隊(duì)隊(duì)長(zhǎng)、佛山市紀(jì)委書(shū)記等人以急需用錢(qián)為由對(duì)其親友進(jìn)行電話詐騙，共非法斂財(cái)近九十萬(wàn)元。法院的判決可以說(shuō)走出了對(duì)個(gè)人信息進(jìn)行刑事保護(hù)的第一步，其積極意義自不言而喻。

2008 年北京市朝陽(yáng)區(qū)人民法院對(duì)“人肉搜索第一案”。該案案情為，原告發(fā)生“婚外情”，妻子痛不欲生，在互聯(lián)網(wǎng)絡(luò)上公布了原告和第三者的照片，并且自殺。死者的同學(xué)將相關(guān)信息整理之后，陸續(xù)刊登在互聯(lián)網(wǎng)上，并以知情者身份，繼續(xù)披露原告的有關(guān)信息。原將知情人、互聯(lián)網(wǎng)站和轉(zhuǎn)載有關(guān)信息的天涯網(wǎng)站告上法庭，要求承擔(dān)民事賠償責(zé)任。法院審理后認(rèn)為，原告確實(shí)發(fā)生了婚外情，被告作為知情人，在原告的妻子公開(kāi)有關(guān)信息之后，不斷補(bǔ)充有關(guān)信息，并且在互聯(lián)網(wǎng)絡(luò)刊登?；ヂ?lián)網(wǎng)絡(luò)管公司沒(méi)有盡到審查的義務(wù)，并且及時(shí)刪除有關(guān)信息，承擔(dān)侵犯名譽(yù)和隱私權(quán)的責(zé)任，轉(zhuǎn)載這些信息的天涯網(wǎng)站及時(shí)刪除了有關(guān)信息，不承擔(dān)賠償責(zé)任。

（二）案例法律分析

雖然我國(guó)在各方面都更加重視法律對(duì)公民個(gè)人數(shù)據(jù)的保護(hù)，但是保護(hù)的效果依舊是差強(qiáng)人意的。例如，2015年通過(guò)的《刑法修正案九》將第二百五十三條之一修改為：“違反國(guó)家有關(guān)規(guī)定，向他人出售或者提供公民個(gè)人信息，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。“違反國(guó)家有關(guān)規(guī)定，將在履行職責(zé)或者提供服務(wù)過(guò)程中獲得的公民個(gè)人信息，出售或者提供給他人的，依照前款的規(guī)定從重處罰?！案`取或者以其他方法非法獲取公民個(gè)人信息的，依照第一款的規(guī)定處罰。“單位犯前三款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰?！毙淌轮撇檬侄喂倘皇亲顬閲?yán)厲和最有效果的，但是其使用往往受制于各種相關(guān)因素，例如相關(guān)配套法律規(guī)范的不完善，信息泄露的渠道不顯著、信息泄露追查較為困難、信息泄露針對(duì)單獨(dú)個(gè)體危害性嬌小的特點(diǎn)，大多數(shù)輕微的侵害公民個(gè)人數(shù)據(jù)的案件難以被追究刑事責(zé)任。民法保護(hù)的是公民最基本的法律權(quán)利，但就侵犯公民個(gè)人數(shù)據(jù)這一類(lèi)案件的民事追責(zé)而言，主要是立足于侵權(quán)責(zé)任法的視角，耗費(fèi)周期長(zhǎng)、個(gè)人取證困難，訴訟成本較高等諸多因素也導(dǎo)致了利用民事法律規(guī)范保護(hù)公民自身數(shù)據(jù)的困難。

二、個(gè)人數(shù)據(jù)概述

（一）個(gè)人數(shù)據(jù)

1.概念界定、特征

眾所周知，對(duì)于公民個(gè)人而言，其數(shù)據(jù)是由多元化的結(jié)構(gòu)組成的，包括個(gè)人信息、個(gè)人隱私等，但是又與之有所不同。為了準(zhǔn)確清晰的界定個(gè)人數(shù)據(jù)的概念，我們必須先厘清其相關(guān)概念的定義。就個(gè)人隱私而言，其有著多元化的定義，但我比較贊同美國(guó) 1974 年《隱私權(quán)法》中關(guān)于個(gè)人隱私（personal privacy）的定義，其認(rèn)為個(gè)人隱私就是指不愿公開(kāi)或讓他人知悉的事情，亦即與公共利益無(wú)關(guān)的個(gè)人和生活秘密方面的事宜。那么個(gè)人信息又是指什么呢？個(gè)人信息國(guó)內(nèi)外也有這各種不同的定義方法，但我比較傾向于《歐盟 1995年關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)自由流動(dòng)的指令（95/46/EC）》中的概念界定，“個(gè)人信息是指與一個(gè)身份已被識(shí)別或者身份可識(shí)別的自然人（數(shù)據(jù)主體）相關(guān)的任何信息；身份可識(shí)別的人是指其身份可以直接或間接特別是通過(guò)身份證號(hào)或一個(gè)或多個(gè)與其身體、生理、精神、經(jīng)濟(jì)、文化或社會(huì)身份有關(guān)的特殊因素來(lái)確定的人?！蓖ㄟ^(guò)分析上述概念，我們可以得出，將“個(gè)人數(shù)據(jù)”定義為個(gè)人提供的信息（比如搜索關(guān) 鍵字、注冊(cè)信息等）、或個(gè)人原創(chuàng)內(nèi)容（比如社交關(guān)系資料、評(píng)價(jià)和曬單、旅游 攻略、原創(chuàng)小說(shuō)、原創(chuàng)視頻等）、或個(gè)人（瀏覽、購(gòu)物、閱讀、觀看）行為產(chǎn)生的 數(shù)據(jù)、或被政府、企業(yè)、醫(yī)院和研究機(jī)構(gòu)收集的與個(gè)人直接相關(guān)（比如GPS位置、IP地址、基因測(cè)序、醫(yī)療記錄、信用卡記錄、通話記錄等）的數(shù)據(jù)。

通過(guò)上述關(guān)于個(gè)人數(shù)據(jù)的概念界定，我們不難看出，這些個(gè)人數(shù)據(jù)詳細(xì)而又準(zhǔn)確的描述了我們是誰(shuí)，在哪兒，做了什么，認(rèn)識(shí)哪些人，有什么樣的健康狀態(tài)和生活形態(tài)，展示了我們的數(shù)字化存在。這表現(xiàn)出了個(gè)人數(shù)據(jù)具有隱私性、密切刑、相關(guān)性、重要性、核心性、安全性等諸多特征。

2.信息時(shí)代特征（信息時(shí)代現(xiàn)狀、特征、帶來(lái)的機(jī)遇與挑戰(zhàn)等）

信息化時(shí)代在給社會(huì)帶來(lái)巨大便利和商業(yè)價(jià)值并逐漸成為一項(xiàng)國(guó)家重要的戰(zhàn)略資源，但因其引發(fā)的各類(lèi)風(fēng)險(xiǎn)也在不斷增加，其中對(duì)于個(gè)人信息數(shù)據(jù)帶來(lái)的威脅尤為引人關(guān)注“ 國(guó)外有研究表明，與用戶相關(guān)的數(shù)據(jù)信息正在被逐步集中于少數(shù)幾個(gè)機(jī)構(gòu)，這些機(jī)構(gòu)能夠通過(guò)幾乎所有廣受歡迎的網(wǎng)站追蹤用戶的“網(wǎng)絡(luò)足跡”，而幾乎所有的防護(hù)技術(shù)都在突出問(wèn)題的嚴(yán)重性和尋求替代性解決方法方面存在重大缺陷”，這些缺陷可能導(dǎo)致其對(duì)公民個(gè)人信息數(shù)據(jù)的強(qiáng)烈威脅“一般認(rèn)為，個(gè)人信息包括三類(lèi): 第一類(lèi)是個(gè)人的基本信息，包括個(gè)人的姓名、性別、年齡、住址、職業(yè)等信息；第二類(lèi)信息是消費(fèi)者網(wǎng)絡(luò)活動(dòng)信息，包括消費(fèi)者所瀏覽的網(wǎng)站，所搜索的商品信息以及購(gòu)買(mǎi)記錄等等，這些信息可以準(zhǔn)確地判斷出網(wǎng)民的消費(fèi)傾向#購(gòu)買(mǎi)習(xí)慣、個(gè)人喜好等信息，從而成為商家下一步實(shí)施精準(zhǔn)營(yíng)銷(xiāo)的基礎(chǔ)數(shù)據(jù)；第三類(lèi)信息是消費(fèi)者存儲(chǔ)的個(gè)人信息，比如存在個(gè)人 電腦硬盤(pán)中的私人照片等”在現(xiàn)代網(wǎng)絡(luò)社會(huì)幾乎所有的個(gè)人信息都被記錄和存儲(chǔ)于網(wǎng)絡(luò)之中，國(guó)家機(jī)關(guān)和一些企業(yè)都有意識(shí)地通過(guò)收集和分析個(gè)人信息數(shù)據(jù)以促進(jìn)管理的便利性或營(yíng)銷(xiāo)的精準(zhǔn)化“大數(shù)據(jù)時(shí)代通過(guò)收集和利用個(gè)人信息數(shù)據(jù)能夠給整個(gè)社會(huì)帶來(lái)巨大便利，也為向個(gè)體提供精細(xì)化的服務(wù)打下堅(jiān)實(shí)基礎(chǔ)”但是就像一個(gè)硬幣必然存在正反兩面一樣，大數(shù)據(jù)也必然會(huì)對(duì)個(gè)人信息數(shù)據(jù)帶來(lái)威脅，從一定意義上說(shuō)，大數(shù)據(jù)對(duì)于個(gè)人信息的收集和利用是必然的，而由此引發(fā)的對(duì)個(gè)人信息數(shù)據(jù)的侵害也是不避免的，這就好比一種新近開(kāi)發(fā)和效力極強(qiáng)的新藥，這種新藥本身是醫(yī)藥科學(xué)發(fā)展一定階段的產(chǎn)物，而且藥效顯著，對(duì)于促進(jìn)現(xiàn)代醫(yī)藥水平的發(fā)展具有重要作用“但是“是藥三分毒”，這種新藥也是與生俱來(lái)的帶有毒性，且毒性和藥性是一對(duì)始終相伴相隨的“連體嬰兒”，消滅其中之一也就消滅了整體。信息化大數(shù)據(jù)本身就是一個(gè)將個(gè)人信息數(shù)據(jù)加以收集和整合的過(guò)程，數(shù)據(jù)不夠大或者整合不夠具體細(xì)致就無(wú)法發(fā)揮大數(shù)據(jù)的優(yōu)勢(shì)和價(jià)值，甚至根本就不是大數(shù)據(jù)本身了。但這并不意味著我們就只能放任藥物的毒副作用發(fā)展，就像醫(yī)生為了降低某些藥品的副作用常常會(huì)采用一些其他措施緩解藥品的毒性一樣，我們對(duì)于大數(shù)據(jù) 可能帶來(lái)的一系列侵犯?jìng)€(gè)人權(quán)益的威脅也要引起足夠的重視，對(duì)于由此引發(fā)的個(gè)人信息數(shù)據(jù)危機(jī)，也有必要清楚認(rèn)識(shí)并加以有效應(yīng)對(duì)。這一問(wèn)題已經(jīng)引發(fā)學(xué)界的關(guān)注，但是對(duì)于如何防范和應(yīng)對(duì)信息化時(shí)代大數(shù)據(jù)中的個(gè)人信息風(fēng)險(xiǎn)，學(xué)界有不同的意見(jiàn)，主流觀點(diǎn)主張通過(guò)援引民法中 “隱私權(quán)”的規(guī)定保護(hù)個(gè)人數(shù)據(jù)，根據(jù)不同的保護(hù)對(duì)象和內(nèi)容，對(duì)大數(shù)據(jù)的隱私保護(hù)還可以進(jìn)一步細(xì)分為位置隱私保護(hù)#標(biāo)識(shí)符匿名保護(hù)連接關(guān)系匿名保護(hù)等。但是單純通過(guò)隱私權(quán)的角度保護(hù)個(gè)人信息數(shù)據(jù)也存在一些問(wèn)題，問(wèn)題實(shí)際上不在于大數(shù)據(jù)是否增加了隱私被侵犯的危險(xiǎn)，因?yàn)檫@已經(jīng)是事實(shí)，而是它是否已經(jīng)改變了風(fēng)險(xiǎn)的性質(zhì)(the Character of the Ｒisk)。因?yàn)槿绻皇呛?jiǎn)單的增加了風(fēng)險(xiǎn)，現(xiàn)有的保護(hù)隱私的法律規(guī)范還能夠在大數(shù)據(jù)時(shí)代繼續(xù)發(fā)揮作用，但是如果問(wèn)題已 經(jīng)發(fā)生了質(zhì)的改變，則我們必須尋求新的解決辦法。大數(shù)據(jù)時(shí)代的個(gè)人信息數(shù)據(jù)的保護(hù)顯然已經(jīng)逐步超越了 “隱私權(quán)”的范圍。首先，網(wǎng)絡(luò)時(shí)代大數(shù)據(jù)的特性決定了其不是簡(jiǎn)單的隱私權(quán)侵犯的問(wèn)題”在大數(shù)據(jù)時(shí)代，對(duì)個(gè)人 信息數(shù)據(jù)的收集和利用行為除了涉及隱私權(quán)問(wèn)題外，還涉及其他一些問(wèn)題，比如基于大數(shù)據(jù)對(duì)人們的行為進(jìn)行預(yù)測(cè)，并依據(jù)有關(guān)結(jié)果采取相應(yīng)行動(dòng)，這就可能已經(jīng)超出隱私權(quán)的保護(hù)范圍。在美國(guó)有家名為 “［x + 1］”的公司利用追蹤技術(shù)來(lái)收集用戶的網(wǎng)站瀏覽記錄，形成一個(gè)記錄人們上網(wǎng)行為的龐大數(shù)據(jù)庫(kù)“雖然它不記錄人們的姓名，但會(huì)將收集到的個(gè)人標(biāo)識(shí)與其住房擁有情況、家庭收入、婚姻狀況和常去的餐廳等眾多信息進(jìn)行交叉比對(duì)和匯集，然后通過(guò)統(tǒng)計(jì)分析，推測(cè)上網(wǎng)者的個(gè)人喜好。其次，在信息化時(shí)代的大數(shù)據(jù)即使確知個(gè)人數(shù)據(jù)的隱私風(fēng)險(xiǎn)，也常常無(wú)法簡(jiǎn)單通過(guò)傳統(tǒng)的隱私權(quán)保護(hù)手段解決”在現(xiàn)代網(wǎng)絡(luò)社會(huì)，微博、微信、Facebook 等互聯(lián)網(wǎng)服務(wù)商既生產(chǎn)數(shù)據(jù)，又存儲(chǔ)、管理和使用數(shù)據(jù)，其服務(wù)的內(nèi)容和性質(zhì)決定了它們必然會(huì)接觸到用戶信息數(shù)據(jù)，所以無(wú)法簡(jiǎn)單通過(guò)技術(shù)手段限制其接近用戶信息，也無(wú)法通過(guò)立法禁止其獲得用戶信息 數(shù)據(jù)“再者，對(duì)于一些涉及個(gè)人數(shù)據(jù)信息交易的行為，也 常無(wú)法認(rèn)定為侵犯隱私權(quán)的行為，因?yàn)榫W(wǎng)絡(luò)追蹤技術(shù)這 種手段本身并沒(méi)有問(wèn)題，數(shù)據(jù)中間商分析整理獲得的個(gè)人信息數(shù)據(jù)本身也不符合侵權(quán)行為的構(gòu)成要件，難以認(rèn)定為違法行為” 3.信息時(shí)代下個(gè)人數(shù)據(jù)有什么新特征 在這個(gè)數(shù)據(jù)大爆發(fā)的信息化時(shí)代，網(wǎng)絡(luò)這種高速傳播媒介快速發(fā)展，公民的個(gè)人數(shù)據(jù)也呈現(xiàn)了信息泄露的隱蔽性、信息安全保障的困難性、信息接受的被動(dòng)性、信息處分的隨意性等特征突出而又顯著。

（二）個(gè)人數(shù)據(jù)權(quán)

1.個(gè)人數(shù)據(jù)權(quán)概念界定

個(gè)人信息權(quán)是信息主體依法對(duì)能識(shí)別個(gè)人的信息所具有的支配、控制并排除他人侵害的權(quán)利。個(gè)人信息并不是有體物，不能對(duì)其進(jìn)行物理上的占有和支配，賦予信息主體個(gè)人信息權(quán)體現(xiàn)了法律對(duì)個(gè)人信息的控制力，是民法對(duì)個(gè)人信息進(jìn)行保護(hù)的最有利的方式，充分體現(xiàn)了對(duì)人格尊嚴(yán)和意思自治的尊重，這種尊重主要體現(xiàn)在“個(gè)人有權(quán)決定何人在何時(shí)何地收集、處理和利用其個(gè)人信息”。個(gè)人信息權(quán)作為一種人格權(quán)是一種對(duì)世權(quán)，即信息主體對(duì)個(gè)人信息享有絕對(duì)的支配、控制和排除他人干涉的權(quán)利，并在權(quán)利受到侵害時(shí)能訴諸于法律，請(qǐng)求侵權(quán)損害賠償。

2.權(quán)利內(nèi)容

個(gè)人信息權(quán)本質(zhì)上就是對(duì)個(gè)人信息的控制。德國(guó)《聯(lián)邦資料保護(hù)法》將個(gè)人信息的使用分為收集、處理和利用三個(gè)階段，并在此階段賦予信息主體個(gè)人信息的告知權(quán)、封鎖刪除權(quán)和更正權(quán)。這四種權(quán)利共同構(gòu)成德國(guó)法律保護(hù)個(gè)人信息權(quán)利的基本內(nèi)容。齊愛(ài)民教授也將個(gè)人信息權(quán)的具體內(nèi)容分為信息決定權(quán)、信息保密權(quán)、信息查詢(xún)權(quán)、信息更正權(quán)、信息封鎖權(quán)、信息刪除權(quán)和信息報(bào)酬請(qǐng)求權(quán)。個(gè)人信息權(quán)代表的是信息主體對(duì)個(gè)人信息的控制，是一種積極主動(dòng)的權(quán)利，它所包含的內(nèi)容在信息社會(huì)是具有獨(dú)特性的，與其他具體人格權(quán)有著本質(zhì)的區(qū)別。

3.個(gè)人信息權(quán)同個(gè)人隱私權(quán)、人格權(quán)的的區(qū)別

（1）同個(gè)人隱私權(quán)的區(qū)別

個(gè)人信息權(quán)具有獨(dú)特的權(quán)利客體和內(nèi)容，它里然與隱私權(quán)有較為緊密的聯(lián)系，但是個(gè)人倍息權(quán)并不是隱私權(quán)，二者處于一種平行共存的關(guān)系。一方面，個(gè)人信息權(quán)與隱私權(quán)內(nèi)涵和外延存在巨大差異；另一方面，鑒于我國(guó)現(xiàn)有人格權(quán)體系，我國(guó)隱私權(quán)遠(yuǎn)沒(méi)有美國(guó)隱私權(quán)所特有的獨(dú)立性和包容性。這就注定了在我國(guó)現(xiàn)有民法體系內(nèi)需要個(gè)人信息權(quán)和隱私權(quán)的共同存在來(lái)保障民事主體的私人利益。鑒于當(dāng)前無(wú)論是隱私權(quán)還是個(gè)人信息權(quán)在我國(guó)均有較大爭(zhēng)議，以下將對(duì)隱私權(quán)進(jìn)行梳理，并進(jìn)一步探討個(gè)人信息權(quán)和隱私權(quán)之間存在的差異，以及我國(guó)不適合將個(gè)人信息權(quán)納入隱私權(quán)范疇的原因。

盡管個(gè)人信息權(quán)和隱私權(quán)有著緊密的聯(lián)系，但足個(gè)人信息權(quán)和隱私權(quán)應(yīng)該是兩個(gè)并存的具體人格權(quán)，二者有著本質(zhì)的區(qū)別，并不能混為體。具體而言，個(gè)人信息權(quán)與隱私權(quán)主要有以下差異：

第一，從權(quán)利性質(zhì)上來(lái)看，雖然個(gè)人信息權(quán)和隱私權(quán)均是人格權(quán)，但是隱私權(quán)是一種較為純粹的精神性的人格權(quán)，而個(gè)人信息權(quán)則是一項(xiàng)綜合性的權(quán)利，除了蘊(yùn)含人格利益之外，尚存在財(cái)產(chǎn)利益。較為明顯的案例則是名人的個(gè)人信息具有極大的交易價(jià)值。此外，隱私權(quán)是一種消極防御權(quán)，只有在受到侵害的吋候方可主張救濟(jì)，而個(gè)人信息權(quán)則體現(xiàn)的是信息主體對(duì)個(gè)人信息的支配和控制，是一種積極防御權(quán)。

第二，從權(quán)利客體來(lái)看，隱私權(quán)的客體主要“是自然人不愿為他人知曉或不宜公開(kāi)的秘密，是一種事實(shí)”，其保護(hù)的僅是“秘密的、未公開(kāi)的、可能引起人難堪或不安的信息”。然而，個(gè)人信息的客體則是能直接或間接識(shí)別個(gè)人的信息，不論隱私權(quán)的客體擴(kuò)展得多么寬泛，幾乎沒(méi)有娜個(gè)國(guó)家將已經(jīng)完全公開(kāi)的個(gè)人信息納入隱私范疇。如便于公共管理的需要將個(gè)人的家庭住址和電話號(hào)碼等個(gè)人信息公開(kāi)，則這些信息就難以歸于隱私。此外，隱私不一定都以信息的形態(tài)出現(xiàn)，如未記載的私人活動(dòng)。

第三，從內(nèi)容來(lái)看，隱私權(quán)注重的是維護(hù)個(gè)人獨(dú)處的權(quán)利，私生活的安寧和個(gè)人秘密不被公開(kāi)，而個(gè)人信息權(quán)關(guān)注的則是信息主體對(duì)個(gè)人信息的支配和控制，信息主體對(duì)個(gè)人信息的收集、處理和利用享有知情權(quán)和控制權(quán)等。

第四，從個(gè)人信息權(quán)和隱私權(quán)保護(hù)的立法價(jià)值上看，個(gè)人信息權(quán)的立法價(jià)值傾向于人格尊嚴(yán)和信息流通；而隱私權(quán)立法價(jià)值則僅僅涉及到人格尊嚴(yán)。此外，個(gè)人信息權(quán)和隱私權(quán)的保護(hù)重點(diǎn)和補(bǔ)救措施等也存在較大的差異，如個(gè)人信息權(quán)保護(hù)的不僅是個(gè)人對(duì)信息的控制權(quán)，而且還關(guān)注信息流轉(zhuǎn)過(guò)程中收集、處理和利用各方主體之間利益平衡。（2）同人格權(quán)的區(qū)別

《民法通則》將姓名權(quán)、肖像權(quán)以及名譽(yù)權(quán)均確定為具體的獨(dú)立人格權(quán)。一般情形下，姓名、肖像等就是屬于與信息主體人格尊嚴(yán)密切相關(guān)的個(gè)人信息，姓名權(quán)、肖像權(quán)以及名譽(yù)權(quán)的規(guī)定在一定程度上能保護(hù)個(gè)人信息。如，當(dāng)冒用他人姓名時(shí)可以援引姓名權(quán)尋求救濟(jì)；又比如在利用他人肖像信息謀取個(gè)人利益時(shí)可以運(yùn)用肖像權(quán)予以保護(hù)。但是，總的來(lái)說(shuō)，盡管他們與個(gè)人信息權(quán)存在一定的交集，但是他們對(duì)個(gè)人信息的保護(hù)僅僅限于某一小方面，保護(hù)的作用極其有限。如，對(duì)個(gè)人姓名進(jìn)行收集和利用并不能以姓名權(quán)進(jìn)行相應(yīng)的救濟(jì)。同樣，若將個(gè)人照片傳到互聯(lián)網(wǎng)上并不能依據(jù)肖像權(quán)予以保護(hù)?？梢?jiàn)，個(gè)人信息權(quán)與姓名權(quán)、肖像權(quán)和名譽(yù)權(quán)有著巨大差異，現(xiàn)有這三類(lèi)具體人格權(quán)不能為個(gè)人信息提供有力的保障。

三、我國(guó)對(duì)公民個(gè)人數(shù)據(jù)權(quán)利保護(hù)現(xiàn)狀及完善建議

（一）案例+分析 案例一

近年參加國(guó)家司司考分?jǐn)?shù)的騙局信息。作為考生一員的筆者深感騷擾之苦，于是，自己的個(gè)人信息如何被泄露？很多人質(zhì)疑自己沒(méi)有參加社會(huì)考生培訓(xùn)，也沒(méi)有除考生報(bào)名留下個(gè)人信息之外再留下的個(gè)人信息的可能，自然，考生報(bào)名收集的個(gè)人信息被泄露成為大家最大的猜疑。如此大規(guī)模的個(gè)人信息泄露，如果司法部的考試中心不能給出解釋?zhuān)珖?guó)的司法考試的考生很難再排除心中猜疑。司法部作為行政機(jī)關(guān)以手中的絕對(duì)權(quán)利能收集海量考生信息，假如沒(méi)有具體有效的法律監(jiān)管，很有可能因?yàn)槟撤N經(jīng)濟(jì)利益將司法考試考生信息泄露的可能。案例二

2008年廣東省深圳市知名媒體欄目《第一現(xiàn)場(chǎng)》曝光發(fā)生一起困擾整個(gè)深圳市孕產(chǎn)婦的廣告騷擾電話問(wèn)題。從懷孕孕檢幵始，各種各樣的商業(yè)推銷(xiāo)短信就晝夜不息的發(fā)送短信和撥打電話，有推銷(xiāo)嬰兒產(chǎn)品的、奶粉的、孕產(chǎn)婦的用品的、做胎毛筆的，令人十分氣憤的，還有嬰兒死亡處理的推銷(xiāo)服務(wù)電話。一天的騷擾短信多時(shí)多達(dá)多條，有的半夜都在發(fā)送短信。本來(lái)家中有嬰兒新作父母的年輕人就沒(méi)有足夠時(shí)間休息而這些不停不休商業(yè)騷擾信息讓人苦不言堪，在深圳市對(duì)此類(lèi)因?yàn)閭€(gè)人信息泄露引發(fā)的許多的人的惶恐和煩惱，百般無(wú)奈下只得投訴求助于新聞媒體。在記者現(xiàn)實(shí)調(diào)查中，從網(wǎng)上很輕松就能找到很多販賣(mài)深圳市所有孕產(chǎn)婦的個(gè)人信息的買(mǎi)賣(mài)，經(jīng)過(guò)記者的一番討價(jià)還價(jià)，120塊錢(qián)就能得到一張光盤(pán)，光盤(pán)的內(nèi)容確實(shí)為深圳市當(dāng)年所有的孕產(chǎn)婦信息。販賣(mài)信息的小販見(jiàn)記者懷疑信息的可信度，表示這些信息是從衛(wèi)生局買(mǎi)出來(lái)，如有信息不實(shí)、不全的情況可以退款。該視頻播出后，盡管沒(méi)有直接證據(jù)證明深圳市的當(dāng)年平產(chǎn)婦的所有個(gè)人信息是衛(wèi)生局的管理不善而泄露，但是如此大規(guī)模、精準(zhǔn)的、全面的個(gè)人信息是哪里泄露的？新聞追蹤后的第二年，該市的孕產(chǎn)婦再?zèng)]有受到此類(lèi)的個(gè)人信息泄露的困擾。

由此可見(jiàn)，在我國(guó)公民個(gè)人數(shù)據(jù)權(quán)利保護(hù)方面依舊存在很大的不足及短板，嚴(yán)重制約了我國(guó)公民個(gè)人信息安全的保障，給社會(huì)埋下巨大的不穩(wěn)定因素。

（二）總結(jié)現(xiàn)狀

人類(lèi)社會(huì)從農(nóng)耕社會(huì)、工業(yè)社會(huì)再到信息社會(huì)的發(fā)展，數(shù)據(jù)收集的手段也從單純的手工收集，發(fā)展到電腦收集、分類(lèi)與識(shí)別，再到現(xiàn)如今的大數(shù)據(jù)分析處理，技術(shù)革新帶來(lái)的方便快捷讓人們?cè)谙硎芷淅玫耐瑫r(shí)，也經(jīng)歷其帶來(lái)的“痛楚”。大數(shù)據(jù)時(shí)代，資訊革命迅速充斥著生活的每個(gè)角落?！霸诖穗A段，社會(huì)對(duì)信息的依賴(lài)越來(lái)越強(qiáng)。個(gè)人數(shù)據(jù)信息成為社會(huì)信息的一種重要資源?！辈⑶?，信息社會(huì)中的信息已改變了存在方式，從附屬于物質(zhì)和能源中剝離出來(lái)，成為獨(dú)立的資源?！靶畔⒃谛畔⑸鐣?huì)獲得了獨(dú)立，其經(jīng)濟(jì)屬性得到了充分發(fā)揮，信息具有價(jià)值和交換價(jià)值，還可帶來(lái)附加值，已進(jìn)入流通領(lǐng)域自由買(mǎi)賣(mài)，對(duì)信息的占有量是衡量一個(gè)企業(yè)市場(chǎng)力量的標(biāo)準(zhǔn)之一?！眰€(gè)人數(shù)據(jù)權(quán)利作為公民權(quán)利的重要組成部分，其在社會(huì)交往中以及經(jīng)濟(jì)生活中的經(jīng)濟(jì)屬性越來(lái)越明顯。現(xiàn)如今，智能通信設(shè)備尤其是智能手機(jī)的普及使得電商等網(wǎng)絡(luò)手段的應(yīng)用越來(lái)越廣泛。這使得個(gè)人信息也更容易被收集。而個(gè)人信息所具有的商業(yè)價(jià)值與商業(yè)利益，促生個(gè)人信息被頻繁濫用，且規(guī)模巨大、范圍甚廣。針對(duì)個(gè)人信息濫用，“中國(guó)個(gè)人信息保護(hù)的現(xiàn)狀與意識(shí)”課題組在《個(gè)人信息保護(hù)現(xiàn)狀調(diào)研報(bào)告》中，將個(gè)人信息濫用歸納為過(guò)度收集個(gè)人信息、擅自披露個(gè)人信息、擅自提供個(gè)人信息、非法買(mǎi)賣(mài)個(gè)人信息、超目的使用個(gè)人信息、保管不善、掌握的信息不準(zhǔn)確、個(gè)人信息被冒用八個(gè)方面?？梢?jiàn)，個(gè)人信息安全已成為人們必須面對(duì)的一個(gè)社會(huì)問(wèn)題。

1、法制不健全

雖然目前，我國(guó)現(xiàn)有的法律對(duì)公民個(gè)人數(shù)據(jù)信息的保護(hù)的確做出了一些規(guī)定，但是這些規(guī)定多是零星分散于部門(mén)法中的。對(duì)于什么是公民個(gè)人數(shù)據(jù)、公民個(gè)人數(shù)據(jù)信息中哪些信息可以合法使用以及不當(dāng)使用公民的個(gè)人信息如何問(wèn)責(zé)等一系列問(wèn)題均未作出明確的規(guī)定，那么就需要出臺(tái)一部特殊的法律制度來(lái)加以規(guī)定、加以規(guī)范和約束。可是到目前為止，我國(guó)公民的個(gè)人信息保護(hù)法尚未出臺(tái)，在如何保護(hù)公民個(gè)人信息方面仍然存在著較大的法律空白。此外，相關(guān)制度的缺位明顯，我國(guó)對(duì)公民個(gè)人信息保護(hù)的主要范圍僅限于個(gè)人隱私，而對(duì)于隱私信息，也僅僅是提供了間接的，一般的原則性規(guī)定，而且主要體現(xiàn)為侵犯后的一種救濟(jì)機(jī)制。最后，相關(guān)配套的機(jī)制尚未建立從現(xiàn)有的法律規(guī)定來(lái)看，我國(guó)重刑事處罰和行政管理，輕民事權(quán)利和民事責(zé)任。對(duì)公民個(gè)人信息侵權(quán)責(zé)任作出的規(guī)定僅限于行政責(zé)任和刑事責(zé)任，忽略或淡化了其民事責(zé)任，從而使得民事主體得不到相應(yīng)的財(cái)產(chǎn)或非財(cái)產(chǎn)補(bǔ)償。

2、缺乏良性行業(yè)自律

由于政府對(duì)企事業(yè)單位的監(jiān)管不到位或監(jiān)管乏力，對(duì)企事業(yè)單位泄露公民個(gè)人數(shù)據(jù)的懲罰力度也相對(duì)偏輕，使得其內(nèi)部制訂的規(guī)章制度、技術(shù)防范措施、保密手段等形同虛設(shè)。這樣行業(yè)就缺乏自律的意愿，不愿意自設(shè)囚籠、自設(shè)規(guī)范來(lái)約束自己。甚至有些企業(yè)無(wú)視國(guó)家法律和社會(huì)的公序良俗，沆瀣一氣，實(shí)現(xiàn)資源的共享。而對(duì)被發(fā)散出去的公民個(gè)人數(shù)據(jù)信息對(duì)公民自身的侵害或損害微小，達(dá)不到相關(guān)法律法規(guī)的執(zhí)行門(mén)限，那么公民對(duì)于自己的維權(quán)也就無(wú)從談起。

（三）完善建議

1、加強(qiáng)輿論宣傳，強(qiáng)化網(wǎng)絡(luò)用戶個(gè)人數(shù)據(jù)信息保護(hù)意識(shí)

首先，網(wǎng)絡(luò)主管部門(mén)和網(wǎng)絡(luò)運(yùn)營(yíng)商要通過(guò)各種輿論宣傳工具，對(duì)網(wǎng)絡(luò)用戶進(jìn)行個(gè)人信息保護(hù)知識(shí)的宣傳，提高公民對(duì)個(gè)人信息安全的認(rèn)識(shí)和重視，樹(shù)立公民保護(hù)個(gè)人信息、尊重他人個(gè)人信息的理念。同時(shí)加強(qiáng)網(wǎng)絡(luò)規(guī)范的制度建設(shè)，建立網(wǎng)絡(luò)用戶的道德準(zhǔn)則和行為準(zhǔn)則，要求信息使 用者不能非法干擾他人信息系統(tǒng)的正常運(yùn)行；不能利用信息技術(shù)竊取他人信息并且在未經(jīng)允許的情況下使用或出售他人的信息等。其次，個(gè)人在信息保護(hù)上是第一責(zé)任人，負(fù)有維護(hù)個(gè)人信息安全的當(dāng)然義務(wù)。網(wǎng)絡(luò)是虛擬的，所以在網(wǎng)絡(luò)中要 學(xué)會(huì)保護(hù)個(gè)人信息，自我保護(hù)意識(shí)顯得尤為重要。個(gè)人在 進(jìn)行網(wǎng)絡(luò)行為時(shí)，如非必要不要將自己的個(gè)人信息放到網(wǎng) 絡(luò)中去。同時(shí)，應(yīng)加強(qiáng)對(duì)個(gè)人電腦的安全防護(hù)，安裝并及 時(shí)升級(jí)殺毒軟件與防火墻，提高個(gè)人上網(wǎng)設(shè)備的安全性能； 此外，還應(yīng)及時(shí)刪除過(guò)時(shí)不用的個(gè)人信息或加密有關(guān)個(gè)人的信息資料；再有就是在網(wǎng)上瀏覽網(wǎng)頁(yè)和注冊(cè)賬戶時(shí)，盡 量不要把自己的個(gè)人信息在網(wǎng)絡(luò)中透露給他人。

2、完善個(gè)人數(shù)據(jù)信息安全保護(hù)的法律法規(guī)

雖然我國(guó)目前已有的這些法律法規(guī)對(duì)個(gè)人信息進(jìn)行了保護(hù)，但是卻仍然沒(méi)有一部明確保護(hù)個(gè)人信息的專(zhuān)門(mén)法律。立法保護(hù)個(gè)人信息，不僅突出了公民的信息自由權(quán)，彰顯出以人為本的理念，回應(yīng)了和諧社會(huì)權(quán)利有序化的訴求。而且立法保護(hù)個(gè)人信息還能為已受害的公民提供完全充分的幫助。同時(shí)還可保護(hù)網(wǎng)上消費(fèi)者的個(gè)人信息安全，促使網(wǎng)絡(luò)運(yùn)營(yíng)有序化，推動(dòng)全國(guó)電子商務(wù)和電子政務(wù)的健康發(fā)展。因此建議國(guó)家最高權(quán)力機(jī)關(guān)應(yīng)該加快立法，盡快出臺(tái) 《個(gè)人數(shù)據(jù)安全保護(hù)法》。

3、加強(qiáng)網(wǎng)絡(luò)道德建設(shè)和行業(yè)自律，建立健全個(gè)人信息安全保護(hù)與防范機(jī)制

個(gè)人數(shù)據(jù)安全的保護(hù)不僅要依靠法律，更需要網(wǎng)絡(luò)主體從業(yè)人員的道德意識(shí)以及自律意識(shí)。所有未經(jīng)本人允許或授權(quán)而在網(wǎng)絡(luò)上竊取、傳播、出售他人個(gè)人信息的行為，是違法的也是不道德的。因此，要加強(qiáng)網(wǎng)絡(luò)道德建設(shè)，用道德標(biāo)準(zhǔn)約束人們?cè)诰W(wǎng)絡(luò)上的行為，要讓網(wǎng)絡(luò)道德成為人們?cè)诰W(wǎng)絡(luò)中實(shí)施行為時(shí)的一個(gè)標(biāo)準(zhǔn)。對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)商而言，除了要對(duì)網(wǎng)絡(luò)從業(yè)人員進(jìn)行道德教育并提高行業(yè)自律意識(shí)外，具體還應(yīng)該做到：在未經(jīng)網(wǎng)絡(luò)用戶同意之前，不得將用戶的個(gè)人信息用于其他目的，更不得將其出售給任何人 或提供給任何的第三方機(jī)構(gòu)使用，從而更好地保護(hù)個(gè)人信息。許多網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)掌握著客戶大量的個(gè)人信息，如果沒(méi)有很好的防范機(jī)制就很容易造成信息的丟失。無(wú)論是電信運(yùn)營(yíng)商、電子商務(wù)企業(yè)，還是信息安全企業(yè)都需要對(duì)外 來(lái)的技術(shù)攻擊加以防范。對(duì)此，企業(yè)必須加強(qiáng)自我約束力，提高保護(hù)客戶信息的意識(shí)，同時(shí)提高技術(shù)手段，完善相關(guān)信息管理系統(tǒng)，并對(duì)用戶個(gè)人信息安全管理制度和流程進(jìn)行梳理和完善，建立健全侵犯用戶個(gè)人信息的各項(xiàng)管理制 度與規(guī)范，其中主要應(yīng)包括：用戶個(gè)人信息安全管理和保 護(hù)機(jī)制、問(wèn)題處理機(jī)制、監(jiān)督機(jī)制和獎(jiǎng)懲機(jī)制等。對(duì)侵犯用戶個(gè)人信息的情況，要做到 “快、準(zhǔn)、齊”進(jìn)行處理。“快”，即要求相關(guān)負(fù)責(zé)人在第一時(shí)間了解具體情況，形成初步處理方案并付諸實(shí)施?！皽?zhǔn)”，即要求決策、處置問(wèn)題 要追本溯源，抓住問(wèn)題本質(zhì)，采取切實(shí)有力的行動(dòng)?！褒R”，即要求企業(yè)內(nèi)部人員要齊心協(xié)力，共同解決問(wèn)題。其核心就是要在網(wǎng)絡(luò)運(yùn)營(yíng)企業(yè)領(lǐng)導(dǎo)人的統(tǒng)一領(lǐng)導(dǎo)下，堅(jiān)持綜合協(xié) 調(diào)、分類(lèi)管理、分級(jí)負(fù)責(zé)的原則。對(duì)于因泄露用戶個(gè)人信息而觸犯刑律的，政法機(jī)關(guān)應(yīng)堅(jiān)決依法查處。

總之，現(xiàn)代網(wǎng)絡(luò)在人們的學(xué)習(xí)、工作和生活中占有重要的一席之地，而網(wǎng)絡(luò)環(huán)境下的個(gè)人信息安全關(guān)系到個(gè)人的生命財(cái)產(chǎn)安全乃至社會(huì)的和諧穩(wěn)定。因此，無(wú)論是個(gè)人還是全社會(huì)，都應(yīng)該重視個(gè)人信息安全的保護(hù)。

參考文獻(xiàn)：

[1] 田中梅.網(wǎng)絡(luò)環(huán)境下我國(guó)個(gè)人信息的安全問(wèn)題與保護(hù)[J].經(jīng)營(yíng)管理者.2013(24)[2]吳佼玲.個(gè)人信息安全的思考——解讀中華人民共和國(guó)刑法修正案七[J].湘潮(下半月).2010(12)[3]朱羽佳.個(gè)人信息安全的刑法保護(hù)[J].法制博覽.2016(10)[4]賈經(jīng)緯.網(wǎng)絡(luò)個(gè)人信息安全現(xiàn)狀及處理辦法[J].數(shù)字技術(shù)與應(yīng)用.2012(03)[5]李皓.網(wǎng)絡(luò)環(huán)境下個(gè)人信息泄露的理論分析及防范探討[J].情報(bào)探索.2011(01)[6]齊愛(ài)民.中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué).2005(06）[7]肖登輝,張文杰.我國(guó)個(gè)人信息保護(hù)立法探究[J].科技創(chuàng)業(yè)月刊.2016(16)[8]劉育培.對(duì)我國(guó)個(gè)人信息保護(hù)模式的探究[J].法制與經(jīng)濟(jì).2015(09)[9]劉幾任.淺談大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)問(wèn)題[J].法制與社會(huì).2014(31)