個人信息法律保護研究

劉金銘

摘要：互聯網時代，個人信息具有巨大的經濟價值和社會價值，個人信息保護不足和使用不當給個人財產及人身安全帶來的問題也日益突出。個人信息保護和合規利用成為當前個人信息保護的重中之重。本文從個人信息的含義和保護現狀出發，結合域外保護的經驗，提出相關建議，以期引起進一步研究，真正實現個人信息保護與使用的平衡。

關鍵詞：個人信息;法律保護;知情同意;風險評估

如今是大數據時代，海量數據的生成、分析與共享，產生巨大的經濟價值。而大數據的核心在于個人信息，大數據的反復使用、分析和共享使得個人信息泄露變得非常普遍，近兩年每年因個人信息泄露造成的經濟損失超千億。因此，在利用數據創造價值的同時，保證個人信息安全，是亟待研究和解決的命題。

一、個人信息的概念及特征

《個人信息安全規范》（GB/T 35273—2017）里指出，個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。

個人信息具有鮮明的特性，具體包括：

首先，個人信息的主體是單個的自然人。雖然學界對該點有一定的爭議，即部分學者認為信息主體還應包括法人。但是，筆者更傾向于個人信息主體不應該包括法人等社會組織的觀點。個人信息主體是個人信息所指向的或者通過個人信息被識別的特定自然人，是有關個人信息所針對的對象。其次，個人信息具有一定的秘密性。再次，個人信息既有人身屬性又具有財產屬性。個人信息和其他信息組合能夠對主體相關利益因素做出辨認，對信息主體做出識別，因此個人信息包含人格性質;同時，將個人信息賣給商家能獲取一定的利益，這也就使得個人信息有了一定的財產屬性。最后，個人信息有可區別性和共享性。區別性因為個人信息與單個主體相關，，均對應獨特的單個自然人，所以說個人信息具有區別或明確單個自然人的屬性和作用;共享性是指個人信息在特定范圍內可以實現人與人之間的共享，正是因為可共享性，使得個人信息的商業價值得以實現。

二、當前我國個人信息保護面臨的挑戰

我國有多部法律法規等涉及個人信息保護，包括《憲法》中涉及“公民的人格尊嚴、住宅不受侵犯，通信自由和通信秘密受法律保護”;《刑法》中有“侵犯公民個人信息罪”，《刑事司法解釋》詳細列舉了刑法侵犯公民個人信息罪“情節嚴重”的10種情形，《民法總則》中規定了“法律保護個人信息，對個人信息進行收集、處理的信息控制者和處理者必須履行相應的安全保障義務”;還有《消費者權益保護法》《網絡安全法》等規定了信息保護的要求，以及有多項國家及行業標準出臺，如《個人信息安全規范》從個人信息的收集、保存、使用、共享、轉讓、公開披露等方面進行了明確、詳細的規定。

但是，目前我國的個人信息保護仍然存在很大的挑戰。具體表現在如下幾個方面：

第一，缺乏一部系統、專門的法律。我國現行個人信息立法呈現出碎片化特征，缺乏一部系統、專門的法律對個人信息進行統一規定。

第二，缺乏明確的監管部門?，F行法律法規沒有規定專門的個人信息監管機構，如《網絡安全法》規定國家網信部門統籌協調和監督管理工作，其他部門負責各自職權范圍內的工作;《消費者權益保護法》也只是規定有關行政部門負責落實消費者合法權益的職責。由于個人信息保護問題涉及各行業、領域，個人信息的監管部門眾多的話，容易出現分散監管、各自為政、相互推諉或者重復監管，浪費資源的情形。

第三，目前相關制度內容難以覆蓋實踐中的問題。包括“知情同意”原則受到一定挑戰，其對于公共利益的實現存在困難、給個人和企業帶來巨大負擔、信息主體并無實質自由選擇的權利等;還比如匿名化處理，由于解匿名技術的出現，匿名化信息與數據庫中大量其他重疊、交叉的信息進行關聯比對，就能再度關聯、識別到特定、具體的個人，因此匿名化后的信息在信息保護范圍之外也受到了挑戰。

三、歐盟實踐及對我國信息保護的建議

歐盟是個人信息保護立法的模范和先驅，對個人信息進行了統一立法。1995 年，歐盟頒布了《數據保護指令》。該指令建立了比較完善的個人數據保護體系，明確了對個人數據處理的一般原則、監管機構、司法救濟等等，其規定的目的限定原則和透明原則等取得了廣泛的共識并一直沿用至今，是歐盟數據保護中最重要的立法之一。2016年《通用數據保護條例》通過，其對知情同意原則進行了完善，使得同意只是其中一項合法依據，為了履行法定義務所必需、為了公共利益或其他正當利益等也是合法依據，同時將“風險管理”的理念引入了匿名化信息中，強調匿名化信息的被重新識別的風險，因此應建立匿名化風險評估機制。同時，歐盟還明確要求企業必須建立完善的內部問責機制。

鑒于我國目前個人信息保護存在的挑戰，借鑒歐盟或其他國家的信息保護實踐是有必要的。首先，我國盡快出臺統一的個人信息保護法。目前，我國正在制定《個人信息保護法》，希望能夠盡快出臺，不僅能夠有利于建立成體系的個人信息保護機制，還能明確監管機制;其次是建議不斷完善“知情同意”機制，一是解決企業針對用戶隱私條款的問題，真正實現信息主體的自主選擇和信息保護;再次是建立完善的風險評估機制。在借鑒歐美國家的經驗的基礎上，構建具體場景中的風險管理路徑，要求并監督信息控制者等主體進一步明確 “合理使用”的場景，并以是否會對信息主體造成風險為標準，引入風險評估機制作為工具，對信息處理行為在具體的場景中可能對信息主體造成的風險、損失進行持續的評估，并針對評估后的風險等級實施不同的措施來降低風險等，不斷完善信息控制者對信息保護的動態機制。

參考文獻：

[1]萬方：《隱私政策中的告知同意原則及其異化》，《法律科學（西北政法大學學報）》，2019年第2期。

[2]范為：《大數據時代個人信息保護的路徑重構》，《網絡信息法學研究》2017 年第 1 期。