【摘要】我國個人信息保護的路徑選擇要超越歐美模式，在路徑比較中尋找突破。個人信息保護立法要結合中國特色社會主義新時代的宏大背景和數字中國的實踐需要來考慮，處理好個人信息在社會中的作用，并根據比例性原則與其他權益保持平衡。

【關鍵詞】個人信息保護  人格權益  數字中國  立法路徑    【中圖分類號】D920.1    【文獻標識碼】A

當前，以互聯網為代表的信息通信技術和人類生產生活交匯融合，海量數據的集聚與利用成為推進數字中國、智慧社會的關鍵資源要素。人們主動擁抱數字化生產生活過程，也意味著對個人信息或數據使用權的主動讓渡。隨著信息采集和利用的廣度和深度不斷拓展，信息流動日益突破地域和行業的原有界限，個人信息保護面臨的風險隨之大幅增加。為應對新技術帶來的全新挑戰，各國各地區紛紛將個人信息保護或數據安全作為立法重點。截至2017年，全球已經有120個國家或地區先后頒布個人信息保護法律規范。

歐美個人信息保護立法路徑的不同特點

美國作為互聯網發源地，大型互聯網公司占據前沿技術的制高點，并擁有海量用戶信息。互聯網創新發展需要以信息的自由流動為支撐，美國個人信息保護模式以契約形成的有限保護前提下充分促進信息的自由流通為其顯著特點，并由一系列針對某些特定部門的立法、工業領域的自律規范以及市場本身的強制準則所構成的復合體系組成。美國采用分散式立法，當特定商業部門有濫用隱私信息的可能或當企業持有敏感的個人信息時對其行為加以規范，如1974 年《隱私法》、1980年《隱私保護法》、2013年《兒童在線隱私保護法案》，但沒有專門針對民事組織保護個人信息的立法。同時，美國從實用主義出發，更關注個人信息的經濟特征和個人價值，將個人信息保護作為風險管理來對待，采用行業自律和市場調節機制為主的治理方式。此種模式將個人信息的搜集、利用交由企業，由其與權利主體通過合同進行協商解決，而非政府的直接干預，有利于信息的自由流通。但是，由于企業和個人所處的地位、掌握的信息不對等，個人信息保護在實踐中的問題就反映出來，如Facebook數據泄露事件引發全球關注。在此背景下，美國《2018加州消費者隱私法案》獲得民眾高票通過，進一步加重企業責任。

歐盟為代表的國家或地區從個人權利角度論證個人信息保護的必要性，對數據處理者和控制者的行為進行嚴格限制與規范。立法對個人信息的保護更多地是從個人尊嚴角度來進行制度的設計，采用高水平的保護標準，與其產業發展實際和民眾對生活安寧的追求息息相關。基于增強民眾對數字經濟發展的信心以及更好地保護個人信息的現實需要考慮，歐盟在順應一體化進程下的《一般數據保護規范》（以下簡稱“GDPR”）醞釀許久才于2016年頒布，并于2018年正式實施。GDPR適用范圍大幅擴大，進一步明確數據主體的“知情同意”原則，細化并擴展了1995年出臺的《關于個人數據處理的個人保護與個人數據自由流動的指令》的查閱權、更正與刪除權、反對權以及免受完全自動化決定權的內容，并增設限制處理權、可攜帶權、遺忘權。從現階段來看，GDPR對全球立法的推動與影響是巨大的，有利于個人信息得到全面一體化的保護，但也被產業界吐槽為有礙產業創新發展，尤其是阻礙人工智能應用縱深延展的一部法律。

我國立法路徑選擇要超越歐美兩種模式，在路徑比較中尋找突破

目前，我國個人信息保護沒有統一立法，但在立法原則及理念層面有了體系上的規定。個人信息保護由《刑法》劃出一條高壓線，即2012 年全國人民代表大會常務委員會《關于加強網絡信息保護的決定》、2015年《刑法修正案（九）》、2017年《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》。從立法進程來看，個人信息保護形成了“最后法先行、刑法先行”局面。這反映了迫切的現實需求，即個人信息的濫用或者對公民個人信息破壞、侵犯到了亟待立法解決的程度。2017年《網絡安全法》正式實施，將個人信息保護作為網絡安全的重要組成部分，加重信息控制者和處理者在接觸個人信息過程中的安全責任。隨著我國大數據和人工智能應用持續推進，數據自由流動的需求進一步加大。《民法總則》第111條與第127條，把個人信息保護和數據保護進行分置規定，既明確了個人信息的歸屬和保護問題，還考慮了數據開發和利用問題，將個人信息保護轉向重利用或者歸屬與利用并重方向，回應了經濟和社會的雙重需要。

面對全球新一輪科技革命和產業變革浪潮，我國互聯網產業正在加速迭代演進和轉型升級，由簡單依靠市場紅利的發展路徑向技術創新的發展路徑轉變；從重視用戶數量、“流量為王”的消費互聯網布局向重視底層、基礎核心層的產業互聯網方向發力。當下關口，民眾的訴求和產業的需求持續高漲，留給我國個人信息保護立法的窗口期不多了。我國立法路徑選擇要超越歐美兩種模式，在路徑比較中尋找突破。歐盟模式突出個人權益的保障，卻有阻礙產業創新發展之嫌。美國模式有利于促進信息的自由流通，卻存在個人信息保護不充分的質疑。我國個人信息保護的路徑需要結合中華民族偉大復興的宏大背景和數字中國的實踐需求來進行選擇，充分考慮個人信息在社會的作用并根據比例性原則與其他基本權益保持平衡。

我國個人信息保護權益的衡量與立法路徑的選擇

一要保持個人權益保障與數據商業利用之間的平衡。互聯網平臺聚集海量用戶，并產生海量數據。這些數據可以輕松地勾勒出用戶的人格形象，顯現其生活軌跡。馬斯洛在其需要層次理論中指出，“人格標識的完整性和真實性是主體受到他人尊重的基本條件”。在具體制度構建中，個人信息對于主體的尊嚴和自由價值首先應當被考慮，即人格權益的保護。此外，要兼顧數據商業利用的需要。就用戶而言，權利配置要兼顧信息的經濟屬性，配置財產權益；就經營者而言，分別配置數據經營權和數據資產權。畢竟，沒有經營者的大量投入，數據的利用、挖掘難以延展，用戶也無法獲取免費的網絡服務。個人信息保護的立法制度安排既要構建個人權益保護的屏障，也要使數據“物盡其用”，給產業創新發展留有空間。保持二者的平衡能夠更好地促進數據驅動型創新體系和發展模式形成，培育造就一批國際領軍互聯網企業，筑牢數字中國之基。

二要保持公權力與私權利之間的平衡。信息社會不同于傳統隱私保護中政府超然的中立地位，在個人信息保護和利用中，政府具有了利用者和管理者的雙重身份角色：一方面，政府作為社會管理和社會福利的承擔者，公共安全、公共管理和公共福利的推進離不開對居民個人信息的掌握；另一方面，出于對行政效率的追求，也不斷促進政府積極探索個人信息利用的限度和價值。作為信息的利用者，政府不能無節制地、肆意地收集和利用個人信息。作為信息的管理者，在特定的情況下，需要對個人信息私權利進行必要干預。在現階段，我國正在全力實施國家大數據戰略，運用大數據提升國家治理現代化水平，建立健全大數據輔助科學決策和社會治理的機制，推進政府管理和社會治理模式創新。這些戰略的部署需要政府通過廣泛的樣本分析了解社情民義、了解發展的痛點、了解治理的難點。個人信息對于線索收集、信息溯源與情報分析的意義是巨大的，政府決策科學化、社會治理精準化、公共服務高效化也需要依賴信息的收集和利用。因此，個人信息保護的具體制度的構建中需要有大局意識，處理好公權力與私權利的關系，既保持產業的持續創新發展，也兼顧社會公共利益和國家安全的充分保障。

（作者為國家計算機網絡應急技術處理協調中心助理研究員，中國互聯網協會個人信息保護工作委員會秘書長，北京航空航天大學法學院網絡空間國際治理研究基地特聘研究員）

【參考文獻】

①張平：《大數據時代個人信息保護的立法選擇》，《北京大學學報（哲學社會科學版）》，2017年第3期。

②龍衛球：《數據新型財產權構建及其體系研究》，《政法論壇》，2017年第7期。

責編/孫娜    美編/楊玲玲

聲明：本文為人民論壇雜志社原創內容，任何單位或個人轉載請回復本微信號獲得授權，轉載時務必標明來源及作者，否則追究法律責任。