我国个人信息保护法立法主要矛盾研讨

摘要 [摘要]中国个人信息保护法的立法已经箭在弦上，但三大矛盾仍待有效化解。就个人对个人信息保护和企业对个人信息利用之间的矛盾而言，应秉持两头强化的观念，既强化个人敏感信

　　[摘要]中国个人信息保护法的立法已经箭在弦上，但三大矛盾仍待有效化解。就“个人对个人信息保护和企业对个人信息利用”之间的矛盾而言，应秉持“两头强化”的观念，既强化个人敏感信息的保护，又强化个人一般信息的利用。就“权利保护法和行政管理法”之间的矛盾而言，应坚持综合立法的进路，实现个人利益、企业利益和国家利益的三方平衡。就“国内法律和国际法律”之间的矛盾而言，我国一方面应引入个人信息的保护性域外管辖权，拓展主权边界;另一方面应参考世界趋同的个人信息保护原则，提升个人信息保护标准，为个人信息跨境流动的国际协定及条约奠定基础。

　　[关键词]个人信息保护法,敏感信息,信息利用,立法建议

　　自2003年国务院信息化办公室部署个人信息保护法立法研究工作，到今年“两会”对《中华人民共和国个人信息保护法》列入立法规划的讨论，已经过去了15年。15年间，中国和世界的科技、经济和政治格局均已发生了深刻变化。在科技层面，大数据、人工智能、云存储和云计算使得我们的一举一动、一言一行、一喜一悲均被收集、存储、利用。

　　就此而言，不论我们是“自然人”，还是“经济人”或“社会人”，在信息经济和数字社会的浪潮中都已经变成“数字人”。在经济层面，数字化的个人信息在广告、金融、医疗、出行等领域的广泛应用，不仅推动了企业和社会组织的数字化转型，也使人们的生活变得更加智能化、便捷化。在政治层面，2015年国务院印发《促进大数据发展行动纲要》，首次从国家层面认定数据是国家的基础性战略资源，数据由此成为提升政府治理能力的新途径。

　　另一方面，从2018年5月25日生效的欧盟《通用数据保护条例》(GDPR)规定的域外管辖权，到美国《澄清境外数据的合法使用法案》(CLOUDACT)，各国围绕个人信息和重要数据跨境流动问题展开的国际政治博弈日趋激烈。然而，由于认识不到位、立法不完善、私力救济不足、行政监管缺位，我国当前的个人信息保护框架失衡，既不能为自然人提供充分的个人信息权利保障，也无力满足市场对个人信息利用的合理需求，更因国际视野缺乏，无法在国际规则制定和跨境执法中发挥应有的作用。

　　当前，制度缺失的恶果已经显现:近年来，侵害公民个人信息的恶劣案件时有发生;正规企业由于缺乏明确的规范和标准，即便是从事正常经营活动，也多有顾忌，相反，数据黑产却在恣意妄为;监管部门也因为没有明确的法律授权，在个人信息保护方面或者畏手畏脚或者不当使用公权。“世易时移，变法宜矣。”作为数字社会的基础性法律制度，个人信息保护的立法应与时俱进，以回应不断涌现的新需求和新问题。为此，本文拟剖析个人信息保护法立法中的三对重要矛盾关系，并结合我们起草的《个人信息保护法》(专家建议稿)提出可行的解决之道。

　　一、个人和企业的关系

　　(一)个人信息保护和利用之间的矛盾

　　随着数字化生存的来临，电子化的个人信息不但构成了我们的虚拟人格，而且延伸到现实生活之中，成为我们名誉、财产乃至生命的无形接口。2008年，“人肉搜索第一案”———王菲、姜岩案充分说明，被搜索人个人信息的披露所影响的不只是言论上的谴责，更是名誉上的损害以及有形的“惩罚”。[1]2016年8月21日，徐玉玉因个人信息泄露而被诈骗电话骗走上大学的费用9900元，伤心欲绝，郁结于心，最终导致心脏骤停，虽经医院全力抢救，但仍不幸离世。[2]

　　这一案例引发了人们对于个人信息保护的广泛关注。《刑法修正案(七)》《刑法修正案(九)》分别增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，2017年出台的《中华人民共和国民法总则》第111条亦将个人信息置于民法保护之下，从而为个人信息竖立了两道保护屏障。但在另一方面，当企业将海量的个人信息加以汇集成大数据之后，它又摇身一变，成为人们改变市场、创造价值和获得知识的新源泉和新动能。从计量的角度看，PB是大数据的临界点。根据IDC《数字宇宙报告》，到2020年人类拥有的数据量以ZB(1ZB=1048576PB)计量。预计，随着穿戴性设备等互联网的应用普及和在线化，人类将迎来“数据核爆”。[3]

　　2016年，《G20数字经济发展与合作倡议》明确提出如同农业时代的土地、资源、劳动力，工业时代的技术、资本一样，数据成为数字经济时代的重要生产要素。而在2017年12月中共中央政治局就实施国家大数据战略进行第二次集体学习时，这一观点被再次重申。根据中国信息通信研究院《中国大数据发展调查报告》，大数据有助于企业实现更智能的决策、提升运营效率、管理风险、增加生产能力并提升客户满意度。与此同时，高达44%的受访企业认为个人信息保护的法规模糊是制约数据产业发展的首要障碍。[4]故而，如何平衡好个人信息保护和大数据利用之间的关系，就成为个人信息保护法的首要定位问题。

　　(二)“两头强化”的解决思路

　　要解决个人与企业的利益冲突，可行的方案是以一定标准实现对个人信息的区别保护和利用，实现多方共赢。为此，我们提出了“两头强化”的思路[5]，即“强化个人敏感信息的保护”和“强化个人一般信息的利用”，以期最大限度调和个人信息保护与企业利用。

　　1.强化个人敏感信息的保护

　　这里的“个人敏感隐私信息”，是指关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息。我国《个人信息安全规范》将其进一步界定为“一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息”。之所以将“个人敏感隐私信息”作为法律保护的重点，原因在于该等信息的不当使用可能给当事人造成难以弥补的损害，甚至影响社会安定。

　　敏感隐私信息的界定与公众认知和观念密切相关。因此，在进行敏感隐私信息的类型化列举时，应以我国文化传统、社会普遍价值观、法律传统、风俗习惯作为重要的考量因素。就此而言，我国《个人信息安全规范》附录将个人财产信息、个人健康生理信息、个人生物识别信息、个人身份信息、网络身份标识信息均列入“个人敏感信息”，其范围过于宽泛，有必要借鉴我国台湾地区《个人资料保护法》第6条的规定，以相关信息是否与个人核心隐私相关为标准，把敏感隐私信息限定在“医疗、基因、性生活、健康检查、犯罪记录、宗教信仰、通讯记录”之内。

　　二、权利法和管理法的关系

　　(一)个人信息权利具有人格权的性质

　　1.个人信息权利源于人格权

　　无论是在大陆法系还是在英美法系，伴随着信息社会而出现的个人信息权利均与人格利益密不可分。美国法院长久以来就将“人格”(Personhood)作为隐私权的核心价值。在1965年格里斯沃尔德诉康涅狄格州案、1972年伊森斯坦德诉贝尔德案和1973年保护妇女堕胎自主权的罗伊诉韦德案中，美国最高法院多次申明:隐私权是“人在做重大决定时，蕴含其中的一种独立自主之权益”，因为它们涉及人们一生中最亲密、最个人化的选择，也是宪法第十四修正案保护的个人尊严和自治的核心，是定义自我之存在、意义，宇宙概念以及人类生命奥秘的权利。②

　　按照通常理解，隐私权主要由两类权利构成:一类是“私人生活安宁权”，即将个体保留在私人领域之中的权利，如个人活动和日常生活不受监视、监听、调查、窥探，个人住宅不被侵入、监视、骚扰;一类是“信息控制权”，即将个人信息保留在个人控制之下的权利，如姓名、肖像、住址、人生经历、生理秘密不得刺探、公开或传播，通讯、日记或私人文件不被刺探或公开，社会关系不受非法调查或公开。[11]7-8因此，个人信息权利又被称为“信息隐私”(informationprivacy)。基于此，个人信息权利即“个人决定其信息在何时、何种程度以何种方式与他人交流的一种主张”[12]。

　　不过，由于信息的流动性和无形性，美国不得不通过“可识别的个人信息”(personallyidentifiableinformation)来划定信息隐私的边界。美国《儿童网络隐私法》《用于经济和临床健康的健康信息技术法案》《录像带隐私保护法》以及加州的《Song-Beverly信用卡法案》《加州数据安全违反通知法》等均将“可识别的个人信息”作为启动司法管辖的触发因素，因为“这些法律都有一个共同基本假设———如果没有可识别的个人信息，就不存在任何隐私危害”[13]794。在德国，1983年的《人口普查法案》开启了对个人信息的保护，明确了个人信息收集的目的明确原则、必要性原则、透明度原则、信息保护和对个人信息的独立控制权。

　　在此后案件中，宪法法院进一步提出“个人信息自决权”，认为所有违反当事人意志的个人信息处理活动均构成对个人信息自决权的侵害，无论侵权人为国家机关或私主体。[14]所谓“个人信息自决权”，即个人对于本人信息是否披露、于何时、以何种方式、在何种范围内、向何人披露拥有自我决定的权利，也即信息主体有权决定外界在何种程度上获知自己的所思所想以及行动。依托于德国《基本法》第2条第1款所保护的人格自由发展，信息自决权和一般人格权联系了起来。

　　按照德国学者马尔曼(Mallmann)的见解，个人信息对于人格构建和发展具有决定性的意义。[15]详言之，人格建构依托于个人和外界交流中的“自我表现”，自我表现的实质就是对个人信息的使用;而人格发展意味着个人拥有决定以何种方式实现人格发展的自由，也就是自主决定如何使用个人信息的自由。

　　2.个人信息权利的民法认可

　　我国《民法总则》第111条延续第110条“一般人格权”条款、第111条“具体人格权”条款，规定了个人信息权利。针对这一条款，全国人大法律委员会认为，个人信息权利是公民在现代信息社会享有的重要权利，明确对个人信息的保护，对于保护公民的人格尊严，使公民免受非法侵扰，维护正常的社会秩序具有现实意义。[16]220正在征求意见的《民法典·人格权编》亦将“隐私权”和“个人信息权”并列，以独立一章的篇幅加以规定。

　　(二)个人信息权利有赖于国家规制

　　1.国家规制的必要性

　　诚然，个人信息保护法应立足个体，维护民众对个人信息及其处理活动所享有的各项权利。但是，仅仅规定权利是不够的，因为它们太容易被虚化。在权利的开端，同意权已经被网络服务提供者虚化为不必阅读具体内容的点击操作，而在权利的末尾，用户的损害赔偿权，或者因为难以计算个人信息的价值，或者难以举证，不得不沦为“纸面上的权利”。

　　不仅如此，成千上万的个人信息受害者必然令法院不堪重负，难以完成司法使命。由此可以理解，即便是以法院为中心的美国，个人信息的保护也多由美国贸易委员会(FTC)承担，而非经由诉讼解决。从2014年索尼7700万用户的姓名、地址以及信用卡数据泄露案，到2018年Facebook的8000万用户信息被违法传输到英国剑桥分析公司并用于美国大选广告推送的丑闻[18]，站在维权第一线的都是监管机构，而非权利人。

　　(三)迈向综合立法的个人信息保护法

　　鉴于个人信息保护横跨私人空间和公共领域的特质，放眼世界，大多数国家均效仿欧盟，以专项立法的形式对个人信息权利提供综合保护。[20]时至今日，全球已经有120个国家制定了专门的个人信息保护法，超越私法和公法二元对立的立法模式已经成为世界潮流。立法是认识利益、表达利益的过程。围绕着个人信息的保护与利用，信息主体、企业和国家各有诉求，人格尊严和自由、商业价值、公共管理价值在个人信息上彼此交织。

　　迈向综合立法的个人信息保护法，意味着妥善处理个人、企业和国家三方关系，通过国家主导、行业自律和个人参与，实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡。综合立法具有鲜明的制度优势。首先，它有利于统合现有法律。目前，我国对个人信息保护的立法碎片化，相关规定零星分布在公法和私法的不同门类，包括但不限于《全国人大常委会关于加强网络信息保护的决定》《民法总则》《网络安全法》《侵权责任法》《消费者权益保护法》《居民身份证法》等法律，《征信业管理条例》《社会救助暂行办法》等行政法规以及《电信和互联网用户个人信息保护规定》《网络预约出租汽车经营服务管理暂行办法》等部门规章之中。

　　因此，个人信息保护法一方面要整合、修改和补充原有的法律规范，消除其间的矛盾和混乱，建立规范、系统的法律体系。另一方面，由于“宜粗不宜细”的立法传统和人大审议方式的制约，个人信息保护法不可能面面俱到，而只能明确基本原则、基本制度、基本行为规范和法律责任，在具体场景下的细化落实仍要依赖于其他法律、法规、规章、规范性文件乃至国家标准。因此，个人信息保护法只有和其他法律有效协同，才能让个人信息保护制度稳定性和开放性兼备，此谓“法网恢恢，疏而不漏”。

　　其次，综合立法有利于破解分散执法的窘境。2017年8月，就在《网络安全法》生效后2个月内，中央网信办、工信部、公安部、国家标准委联合开展“个人信息保护提升行动”，对微信、淘宝等10款网络产品和服务的隐私条款进行评审。这一举措既凸显出国家对个人信息保护的重视程度，也反映出各部门分散执法的现状。分散执法固然有着精细执法和权力制衡的优点，但若不能妥善处理部门之间的分工合作关系，则会造成或重复执法或执法无力的权力冲突，进而对执法机关的权威性造成严重损害。

　　2018年初，中央网信办和工信部就支付宝年度账单事件，分别对涉事企业进行了单独约谈，便是一个鲜明的例子。而本届政府大刀阔斧的大部制改革，特别是反垄断执行权统一、保监会和银监会的合并，恰恰是对之前“九龙治水”的纠偏。延续这一思路，同时考虑到个人信息保护已突破互联网行业的藩篱，作为综合性法律的个人信息保护法的执法，最好交由更具独立性和全局视野的机关负责，国家网信部门显然是不二选择。当然，有关刑事、金融、医疗等特殊领域，其主管部门亦应在法定职责范围内承担个人信息保护职责，并接受国家网信部门的统筹、协调和指导。

　　三、国内法和国际法的关系

　　“信息想要自由”(Informationwantstobefree)，数字化的信息更是如此。凭借着互联网的时空压缩技术，个人信息能够近乎零成本地跨境流动，这为主权国家的管辖和监管带来了新的挑战。事实上，个人信息早已成为各国博弈的焦点。在欧洲，无论是过去的“安全港协议”(OutdatedSafeHarbor)或当下的“隐私盾协议”(UnstablePrivacyShield)，还是GDPR，都将个人信息保护程度作为处理国际经济和政治关系的关键一环。

　　无独有偶，从亚太经合组织(APEC)建立跨境商业个人隐私保护规则体系(CBPR)到美国主导的TPP，再到CLOUD法案，个人信息保护早已突破了国内法的藩篱，成为国际法上的重要议题。为此，我国个人信息保护法必须考量全球背景，深入把握国际形势，方能未雨绸缪，从容应对。我国应审慎而务实设计个人信息的出境规则，在发展数字市场和维护数据主权之间获得平衡。

　　一方面，我国要坚决维护我国公民个人信息权利，加强《网络安全法》第37条的制度设计，明确规定，“外国司法和执法机关直接调取我国境内存储的个人信息数据，应经主管监管部门的批准，方可向境外提供”。另一方面，包括个人信息在内的数据流动是数字经济的必然要求，在中国企业“走出去”和“一带一路”建设的宏观背景下，我国应积极消除国家之间的数据壁垒，为个人信息的存储和处理提供适当的流动原则。

　　为此，个人信息保护法一方面要为我国参与双边或多边的国际协议埋下伏笔，另一方面也要借鉴“约束力公司规则”“标准合同条款”“跨境隐私规则体系”等软法，推动非国家主体参与国际规制制定，通过行业的自我规制，实现我国企业与境外机构之间的个人信息合理流动。

　　[参考文献]

　　[1]刘晗:《隐私权、言论自由与中国网民文化:人肉搜索的规制困境》，《中外法学》，2011年4期。

　　[2]《“徐玉玉被电信诈骗案”一审宣判陈文辉获无期徒刑》，http://www.cournt.gov.cn/falu-xiangqing-53152.html，2017年7月19日。

　　[3]DG.TheDigitalUniversityin2020.https://www.emc.com/collateral/analyst-reports/idc-the-digital-universe-in2020.pdf，2012-12-01.

　　[4]中国信息通信研究院:《中国大数据发展调查报告(2017年)》，http://www.caict.ac.cn/kxyjqwfb/ztbg/201804/p020170327603296651223.pdf，2017年3月15日。

　　[5]张新宝:《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》，2015年3期。

　　[6]许可:《陷入年度账单风波的支付宝做错了什么?》，http://www.ftchinese.com/story/001076033?archive，2018年5月21日。

　　[7]《扎克伯格暗示未来将推出付费版facebook》，http://www.sohu.com/a/22787768-114760，2018年6月29日。

　　[8]NarayananA，HueyJ，FeltenEW.AprecautionaryapproachtoBigDataPrivacy.http://randomwalker.info/publications/precautionary.pdf，2015-03-19.

　　[9]OhmP.Brokenpromisesofprivacy:Respondingtothesurprisingfailureofanonymization.UCLALawReview，2010，57(6):1701-1777.

　　[10]韩旭至:《大数据时代下匿名信息的法律规制》，《大连理工大学学报》(社会科学版)，2018年4期。

　　[11]张新宝:《隐私权的法律保护》，北京:群众出版社，2004年。

　　[12]WestinAF.Privacyandfreedom.WashingtonandLeeLawReview，1968，25(1):166-170.

　　[13]SoloveDJ，SchwartzP.InformationPrivacyLaw.NewYork:WoltersKluwerLaw&Business，2014.

　　[14]贺栩栩:《比较法上的个人信息自决权》，《比较法研究》，2013年2期。

　　[15]谢远扬:《信息论视角下个人信息的价值》，《清华法学》，2015年3期。

　　[16]张新宝:《中华人民共和国民法总则释义》，北京:中国人民大学出版社，2017年。

　　[17]王利明:《论个人信息权在人格权法中的地位》，《苏州大学学报》，2012年6期。

转载请注明来自：http://www.lunwenhr.com/hrlwfw/hrkjlw/10279.html