引言 在個人信息的跨境流動是大數(shù)據(jù)時代必然選擇的背景下，個人信息保護法律制度面臨著諸多挑戰(zhàn)，主要包括數(shù)據(jù)流動利益與個人信息保護利益的沖突難以平衡、技術(shù)發(fā)展背景下傳統(tǒng)法律框架對于個人信息保護的調(diào)整滯后以及跨境數(shù)據(jù)流動背景下數(shù)據(jù)傳輸規(guī)則不統(tǒng)一產(chǎn)生的問題日益凸顯。本文首先比較分析了歐盟、美國及日本等國的個人信息保護立法模式，而后從民事、刑事、行政以及其他法律制度這幾個方面分析了我國個人信息保護法律制度的現(xiàn)況，強調(diào)了我國的綜合性專門立法。針對我國個人信息保護的現(xiàn)狀，本文提出了構(gòu)建開放安全的數(shù)據(jù)流通體系、區(qū)分普通信息和敏感信息、加大個人信息保護的行業(yè)自律、加快與數(shù)據(jù)跨境傳輸國際規(guī)則的銜接等對策與建議，對我國個人信息保護法律制度的完善具有重要意義。內(nèi)容摘要

在大數(shù)據(jù)時代背景下，個人信息的跨境流動是必然選擇。與此同時也產(chǎn)生了數(shù)據(jù)流動利益與個人信息保護利益之間沖突難以平衡、傳統(tǒng)法律框架對于個人信息保護的調(diào)整滯后、數(shù)據(jù)傳輸規(guī)則不統(tǒng)一等一系列挑戰(zhàn)。比較法上，各國關(guān)于數(shù)據(jù)跨境流動的規(guī)則亦不盡相同。應(yīng)當(dāng)以《個人信息保護法》的制定為契機，通過區(qū)分普通信息和敏感信息，以加大個人信息保護的行業(yè)自律為手段，構(gòu)建開放安全的數(shù)據(jù)流通體系，使之與國際數(shù)據(jù)跨境規(guī)則銜接。

關(guān)鍵詞

數(shù)字經(jīng)濟 個人信息保護法 數(shù)據(jù)跨境流動 隱私權(quán) 數(shù)據(jù)權(quán)益

第十三屆全國人民代表大會第四次會議審議通過的《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標(biāo)綱要》明確提出加快數(shù)字化發(fā)展，并對此作出了系統(tǒng)部署。數(shù)據(jù)被譽為“21世紀的石油”，是推動數(shù)字化發(fā)展的關(guān)鍵要素。當(dāng)前全球數(shù)據(jù)量正在迅速增長，平均每40個月就會翻一倍，國際數(shù)據(jù)公司于2017年發(fā)布的《數(shù)字時代：2025》預(yù)計2025年將增加至175澤字節(jié)（ZB, Zettabyte），即1750億兆字節(jié)（TB, Terabyte, 1TB=1024GB），數(shù)據(jù)量的年復(fù)合增長率為61%。各國在享受大數(shù)據(jù)流動共享、深度開發(fā)利用所帶來便利的同時，也相繼在立法層面建立數(shù)據(jù)資源的產(chǎn)權(quán)界定、市場監(jiān)管、消費者權(quán)益保護、隱私保護、公平競爭、安全保障、跨境傳輸?shù)确矫婊A(chǔ)性法律規(guī)則，對數(shù)據(jù)流動予以規(guī)范。本文梳理了歐盟、美國和日本三類不同的數(shù)據(jù)立法模式，探求不同立法模式背后平衡數(shù)據(jù)流動和個人信息保護的價值取向，以比較法分析為視角，指出差異化的法律制度在大數(shù)據(jù)流動和科技發(fā)展背景下面臨的不同挑戰(zhàn)，并結(jié)合我國已經(jīng)實施的民法典、消費者權(quán)益保護法以及正在立法過程中的個人信息保護法提出對策預(yù)判。本文認為，個人信息保護立法不宜過度借鑒歐盟模式強調(diào)個人在數(shù)據(jù)全生命周期中的數(shù)據(jù)控制權(quán)，而應(yīng)當(dāng)著眼于保護實效，解決當(dāng)前較為緊迫的敏感信息、重點領(lǐng)域信息的保護，以公平信息實踐原則為基礎(chǔ)確定數(shù)據(jù)收集、處理和使用者的義務(wù)，加快與跨境數(shù)據(jù)流動國際規(guī)則的銜接，通過推進數(shù)字治理法治化，為企業(yè)和個人更多參與分享數(shù)據(jù)信息創(chuàng)造良好安全的環(huán)境，減少數(shù)據(jù)流動成本，促進數(shù)字經(jīng)濟、數(shù)字政府、數(shù)字社會的蓬勃發(fā)展。

一、域外主要個人信息保護立法模式的比較分析（一）歐盟模式

歐洲國家因有二戰(zhàn)時期納粹集團戰(zhàn)爭機器的歷史陰影，十分注重公民基本權(quán)利的保障。1950年頒布的《歐洲人權(quán)公約》第8條規(guī)定：“任何人享有私人、家庭生活及其住宅被尊重的權(quán)利?！?0世紀70年代的歐洲處于自動化信息處理技術(shù)高度發(fā)展和福利國家職能發(fā)展的時期，公民對國家以福利為由采集、處理個人信息的潛在風(fēng)險普遍持警惕態(tài)度。在這一時代背景下，最初的個人信息保護立法幾乎都是以規(guī)范國家行為作為立法宗旨的。1970年的德國《黑森州資料保護法》被譽為全球第一部以“資料保護法”命名的法律。在1983年德國聯(lián)邦憲法法院作出的“人口普查案”判決中，因德國《聯(lián)邦人口調(diào)查法》要求公民提供基本的個人信息，填寫詳細表格，包括收入來源、職業(yè)、教育背景、交通方式等事項，并授權(quán)將統(tǒng)計數(shù)據(jù)移交給地方政府，100多位德國公民提起憲法訴訟。法院認為，《德國基本法》第1條第1款規(guī)定的人性尊嚴條款以及第2條第1款的一般人格權(quán)條款表明，基于自主決定理念的個體尊嚴和自由包括信息自決權(quán)，即個人必須被保護免受個人數(shù)據(jù)的無限收集、儲存、使用和傳遞。該案不僅將信息自決權(quán)即個人對信息的權(quán)利作為基本人權(quán)來保護，而且闡述了政府對個人信息自決權(quán)予以限制時應(yīng)當(dāng)合憲，包括符合目的性原則、比例原則、法律明確授權(quán)原則。該案開啟了歐盟國家以個體控制數(shù)據(jù)為基礎(chǔ)的權(quán)利型立法理念。1980年，歐洲議會制定了《關(guān)于自動化處理個人數(shù)據(jù)的個人保護公約》（Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data），規(guī)定個人對于數(shù)據(jù)處理的知情權(quán)，查看、糾正及刪除權(quán)以及獲得救濟的權(quán)利。1990年，德國頒布《聯(lián)邦個人數(shù)據(jù)保護法》，規(guī)定個人在數(shù)據(jù)收集、處理和利用等過程中享有完整的信息自決權(quán)，包括個人信息知情權(quán)、個人信息更正權(quán)、個人信息刪除權(quán)等。1995年歐洲議會制定的《關(guān)于個人數(shù)據(jù)處理和自由流動的個人保護指令》進一步豐富和反映了公平信息準(zhǔn)則，具體包括：（1）目的限定原則；（2）數(shù)據(jù)質(zhì)量與比例原則；（3）透明性原則；（4）安全性原則；（5）可訪問性、更正與異議原則；（6）向他方轉(zhuǎn)移的限制原則；（7）敏感信息特殊保護原則；（8）自動化處理時個人的知情原則。這些內(nèi)容的拓展使得個人信息自決權(quán)成為多面向、多維度的體系化的權(quán)利整體。該保護指令出臺后，歐盟各成員國相繼頒布了各自的個人信息保護法。但各成員國將指令轉(zhuǎn)化為國內(nèi)立法時存在不同的解釋和選擇，增加了歐盟個人信息保護法律制度的復(fù)雜性、不確定性。

2018年5月，歐盟各成員國正式實施《通用數(shù)據(jù)保護條例》（GDPR），以人格權(quán)為立法邏輯起點，在個人信息保護領(lǐng)域?qū)嵤?biāo)準(zhǔn)化、一體化的立法和執(zhí)法措施。GDPR第4條將個人數(shù)據(jù)定義為“指任何指向一個已識別確定或可辨識（identifiable）的自然人（數(shù)據(jù)主體）的信息。該可識別的自然人是指，任何可以通過姓名、身份證號碼、定位數(shù)據(jù)、在線身份識別這類標(biāo)識，或者利用外觀特征、生理特征、基因、心理、經(jīng)濟、文化、社會身份中的一個或多個因素，以直接或間接地識別特定自然人”。GDPR大幅提升了對數(shù)據(jù)主體的保護水平，以專章規(guī)定了數(shù)據(jù)主體權(quán)利，包括信息透明度和信息機制、數(shù)據(jù)訪問權(quán)、數(shù)據(jù)主體的修正權(quán)和刪除權(quán)即“被遺忘權(quán)”、限制處理權(quán)、反對權(quán)、拒絕權(quán)和自主決定權(quán)、知曉黑客入侵權(quán)等，并規(guī)定數(shù)據(jù)主體可以請求違反義務(wù)的主體承擔(dān)損害賠償責(zé)任以及精神損害賠償。GDPR還規(guī)定了數(shù)據(jù)處理者以及合作方的連帶責(zé)任，建立了個人信息權(quán)利保護的公益訴訟制度，規(guī)定數(shù)據(jù)主體為了自身利益，有權(quán)委托非營利組織行使救濟權(quán)利，以及行使成員國法律所規(guī)定的與賠償權(quán)相關(guān)的權(quán)利。此外，GDPR規(guī)定的域外適用條款以及專章規(guī)定的基于個人數(shù)據(jù)向第三國或者國際組織的傳輸，也對各國的數(shù)據(jù)立法產(chǎn)生深遠影響。

GDPR通過體系化立法的方式，對處于弱勢地位的個人以高水平的保護，反對政府、企業(yè)和機構(gòu)濫用個人信息，維護個體的價值和尊嚴。在推進這一目標(biāo)實現(xiàn)的同時，歐盟也企圖通過爭奪數(shù)據(jù)規(guī)則制定的主動權(quán)，克服互聯(lián)網(wǎng)用戶基數(shù)少、數(shù)字經(jīng)濟市場所占份額低、科技創(chuàng)新速度慢的瓶頸，實現(xiàn)一站式執(zhí)法，以標(biāo)準(zhǔn)化的一致機制促進成員國之間的合作和協(xié)助，推動歐盟單一數(shù)字市場建設(shè)。2020年12月15日，歐盟公布了《數(shù)字服務(wù)法》（Digital Services Act）和《數(shù)字市場法》（Digital Markets Act）的草案，前者旨在加強對數(shù)字平臺企業(yè)的治理，保護用戶權(quán)益，從規(guī)制非法內(nèi)容管理、廣告推送、在線商品交易等角度，構(gòu)建安全的網(wǎng)絡(luò)空間，要求在線平臺限制非法信息的傳播，在合理范圍內(nèi)核查商家提供的信息，向用戶推送廣告時確保用戶充分的知情權(quán)。對于在歐盟境內(nèi)有4500萬以上用戶（約占歐盟人口的10%）的特大型平臺，法案規(guī)定了更嚴格的責(zé)任，旨在遏制大型平臺企業(yè)的壟斷，創(chuàng)造公平競爭環(huán)境監(jiān)管。兩部法律對于企業(yè)違規(guī)的最高處罰金額分別達到全球年營業(yè)額的6%和10%，如法案生效，將大幅增加大型科技平臺企業(yè)的合規(guī)負擔(dān)，但對豁免適用的中小企業(yè)則可能會爭取到競爭與發(fā)展空間。

（二）美國模式

與歐盟將個人信息受保護權(quán)利視為一種基本權(quán)利進行體系化保護的立法思路不同，美國采取對政府權(quán)力的一般限制、市場自我規(guī)制和特定行業(yè)、敏感信息重點保護的立法思路，呈現(xiàn)出分散式、回應(yīng)式立法的特點。1973年美國健康教育和福利部（Department of Health, Education, and Welfare, HEW）形成了《存儲、計算機和公民權(quán)利》的HEW報告，首次指出美國法律在個人信息自動化處理背景下存在對個人隱私保護不足的問題，建議成立聯(lián)邦公平信息實踐準(zhǔn)則。該報告推動了1974年聯(lián)邦《隱私法》（Privacy Act）的出臺，并成立自動化個人數(shù)據(jù)機制建議委員會（Advisory Committee on Automated Personal Data System），提出了處理個人數(shù)據(jù)的公平信息實踐準(zhǔn)則（Fair Information Practice Principle）：一是通知/知情原則（Notice/Awareness Principle），要求相關(guān)機構(gòu)在收集數(shù)據(jù)前給個人以清晰的通知，使其知曉信息的使用情況。二是選擇/同意原則（Choice/Consent Principle），要求相關(guān)機構(gòu)對個人信息的二次使用須給予個人表達同意與否的機會。三是訪問/參與原則（Access/Participation Principle），規(guī)定相關(guān)機構(gòu)應(yīng)保障個人能夠了解個人的數(shù)據(jù)并確認數(shù)據(jù)的準(zhǔn)確性和完整性。四是可靠/安全原則（Integrity/Security Principle），要求創(chuàng)建、維護、使用或傳播可識別個人信息的數(shù)據(jù)必須可靠，并且采取合理措施使數(shù)據(jù)處于安全環(huán)境中。五是執(zhí)行/救濟原則（Enforcement/Redress Principle），要求對于違反原則的行為提供救濟渠道和執(zhí)行措施以防止信息的濫用。1977年，美國政府設(shè)立的隱私保護研究委員會（Privacy Protection Study Commission）進一步擴展公平信息實踐準(zhǔn)則。

在特定行業(yè)和敏感信息立法方面，《金融服務(wù)現(xiàn)代化法》的規(guī)制對象是金融機構(gòu)；《家庭教育權(quán)利與隱私法》的規(guī)制對象是公共機構(gòu)；《健康保險可攜帶性和責(zé)任法案》的規(guī)制對象是醫(yī)療保健提供方、提供或支付醫(yī)療費用的實體、醫(yī)療信息交換主體、商業(yè)伙伴等實體；《兒童在線隱私保護法》的規(guī)制對象是在線收集兒童信息的網(wǎng)站等主體；《駕駛者隱私保護法》規(guī)制行政機關(guān)、代理機構(gòu)泄露、銷售駕駛者信息。1998年，因羅伯特·博克被提名最高法院法官人選過程中，其收視喜好信息被媒體獲取，引發(fā)社會爭議，又出臺了《視頻隱私保護法》。在各州層面，不少州出臺法律對于侵犯隱私的行為給予近似于侵權(quán)法的保護。2020年1月1日，美國加利福尼亞州《消費者隱私法》生效，其保護的消費者涵蓋所有的加州居民，無論居民與企業(yè)關(guān)系如何、在線上或線下被收集個人信息，受管轄的企業(yè)范圍限定在年收入超過2500萬美元，或者為商業(yè)目的而年均收集、購買、出售或分享超過5萬個消費者、家庭或設(shè)備個人信息的企業(yè)，即不適用于小微企業(yè)和一般自然人的信息收集與處理活動。該法賦予消費者信息披露請求權(quán)、信息刪除請求權(quán)、禁止企業(yè)出售個人信息的權(quán)利、賠償訴訟請求權(quán)等，被稱為美國最嚴厲的隱私保護立法。2020年2月至3月，加州總檢察長兩次發(fā)布根據(jù)《消費者隱私法》制定的實施細則征求意見稿，擬對如何認定個人信息作出指引，個人信息的認定取決于企業(yè)是否以識別、關(guān)聯(lián)、描述的方式維護信息，或可以直接或間接與特定的消費者、家庭合理關(guān)聯(lián)起來，并增加了出售未成年人個人信息的隱私政策要求，減輕不直接收集消費者個人信息也不出售信息企業(yè)的通知負擔(dān)等。

（三）日本模式

日本的個人信息保護立法突破了傳統(tǒng)公法與私法的界限，定位于社會法范疇，以2003年通過的《個人信息保護法》為基本法，針對行政機關(guān)、獨立行政法人、地方公共團體等分別制定了《行政機關(guān)個人信息保護法》《獨立行政法人等個人信息保護法》以及以地方公共團體條例為配套的法律法規(guī)。2013年6月，日本東鐵公司將約4300萬張SuicaIC卡的乘客信息經(jīng)過一定的匿名處理后，銷售給日立公司，由于未通知并經(jīng)乘客同意，收到大量投訴，東鐵公司予以致歉并停止銷售。該事件推動了日本《個人信息保護法》于2016年12月的修改，主要內(nèi)容包括：一是個人信息的范圍更加清晰，明確姓名、地址、出生年月、人臉識別、指紋、護照號碼、駕駛執(zhí)照號碼、身份證號碼等均屬于個人信息；增加了敏感信息的概念，有關(guān)種族、宗教信仰、醫(yī)療歷史以及可能帶來不當(dāng)歧視或偏見的信息屬于敏感信息，獲取時需要事先取得用戶同意。二是增加了個人信息保護委員會章節(jié)，明確委員會是綜合性的獨立監(jiān)督個人信息保護的有權(quán)機構(gòu)，有權(quán)為防止個人信息的不當(dāng)使用而追索個人信息的提供與接收情況，并規(guī)定了委員會的設(shè)置、任務(wù)、職權(quán)行使、保密義務(wù)、規(guī)則制定等。三是加重企業(yè)責(zé)任，規(guī)定在發(fā)生信息泄露事件時，企業(yè)有義務(wù)向個人信息保護委員會和本人報告。四是增加非法提供信息數(shù)據(jù)庫罪，對從事個人信息處理業(yè)務(wù)或相關(guān)數(shù)據(jù)庫業(yè)務(wù)的法人，包括高管人員、管理人員等，為自己或第三人謀求不正當(dāng)利益，提供或盜用個人信息時的刑事責(zé)任。五是規(guī)定了《個人信息保護法》的域外適用條款。

2020年6月，日本再次修改了《個人信息保護法》，增加了處理假名個人信息（Pseudonymously Processed Information）業(yè)務(wù)的運營商的義務(wù)、第三方使用個人信用信息的限制、禁止運營商不當(dāng)利用的一般條款，加強了運營商對泄露事件的報告義務(wù)，明確了個人請求運營商停止使用個人信息的權(quán)利等，并擴大了個人信息保護委員會的職權(quán)。該修改后的法案將在頒布之日起不超過兩年的時間內(nèi)實施。

二、我國個人信息保護法律制度現(xiàn)況

我國作為互聯(lián)網(wǎng)行業(yè)發(fā)展大國，面臨個人信息保護與促進數(shù)據(jù)流動、共享與利用這兩大法律價值的平衡與協(xié)調(diào)。就我國目前個人信息保護法律制度框架來看，采取了多元綜合治理保護的立法模式，但內(nèi)容相對較為分散。

（一）民事法律制度保護

2013年修正的《消費者權(quán)益保護法》50條規(guī)定了消費者“享有個人信息依法得到保護的權(quán)利”，這是我國法律首次從民事權(quán)利角度對個人信息作出的規(guī)定。2017年3月15日發(fā)布的《民法總則》特別規(guī)定了個人信息的保護，于111條規(guī)定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！?021年1月1日《民法典》實施后，取代《民法總則》的是以第六章專章規(guī)定隱私權(quán)和個人信息保護，成為我國立法別具特色的亮眼之處。具體內(nèi)容為：一是明確通過“可識別性”界定個人信息，即個人信息是以電子或者其他方式記錄的能夠單獨或者能與其他信息結(jié)合從而識別特定自然人的各種信息，包括自然人姓名、出生日期、身份證件號碼、生物識別信息、電子郵件、電話號碼、健康信息、行蹤信息等（第1034條第2款）。二是予以綜合保護。個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定；沒有規(guī)定的，適用有關(guān)個人信息保護的規(guī)定（第1034條第3款）。三是確立處理個人信息須遵循合法、正當(dāng)、必要原則，將自然人知情同意作為合法收集和處理的合法性前提（第1035條），且該條對于個人信息處理的基本原則，較三審稿增加了“不得過度處理”。四是建立了個人信息主體的查閱、復(fù)制、更正和刪除權(quán)（第1037條）。五是明確了信息處理者的信息安全保障義務(wù)（第1038條）。此外，《民法典》還對處理個人信息的免責(zé)事由、國家機關(guān)和承擔(dān)行政職能的法定機構(gòu)及其工作人員的保密義務(wù)等作出了規(guī)定?？梢哉f，《民法典》對個人信息保護的規(guī)定基本體現(xiàn)了公平信息實踐準(zhǔn)則的內(nèi)容，如知情同意原則、收集和使用的目的限定性原則、安全保障原則、個人參與原則等，但以回應(yīng)當(dāng)前互聯(lián)網(wǎng)社會實踐亟須解決的問題為主，和經(jīng)濟合作與發(fā)展組織的《隱私保護與個人數(shù)據(jù)跨境流通指南》規(guī)定的八項原則、亞太經(jīng)濟合作組織制定的《APEC隱私框架》規(guī)定的信息隱私九項原則相比，尚缺乏系統(tǒng)性和完整性。

（二）刑事法律制度保護

《刑法》修正案（九）286條規(guī)定：“網(wǎng)絡(luò)服務(wù)提供者不履行法律、行政法規(guī)規(guī)定的信息網(wǎng)絡(luò)安全管理義務(wù)，經(jīng)監(jiān)管部門責(zé)令采取改正措施而拒不改正，有下列情形之一的，處三年以下有期徒刑、拘役或者管制，并處或者單處罰金：（一）致使違法信息大量傳播的；（二）致使用戶信息泄露，造成嚴重后果的；（三）致使刑事案件證據(jù)滅失，情節(jié)嚴重的；（四）有其他嚴重情節(jié)的。單位犯前款罪的，對單位判處罰金，并對其直接負責(zé)的主管人員和其他直接責(zé)任人員，依照前款的規(guī)定處罰。有前兩款行為，同時構(gòu)成其他犯罪的，依照處罰較重的規(guī)定定罪處罰?！?

（三）行政法律制度保護

2012年12月28日，全國人民代表大會常務(wù)委員會頒布了《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》，2條規(guī)定，網(wǎng)絡(luò)服務(wù)提供者和其他企業(yè)事業(yè)單位在業(yè)務(wù)活動中收集、使用公民個人電子信息，應(yīng)當(dāng)遵守合法、正當(dāng)、必要的原則。2013年7月16日，工信部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，強調(diào)電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者在收集數(shù)據(jù)時必須遵守“知情同意原則”，強化了有關(guān)機構(gòu)的數(shù)據(jù)安全保障義務(wù)，并明確了相應(yīng)的責(zé)任形態(tài)。2017年6月1日施行的《網(wǎng)絡(luò)安全法》41條，對個人信息的收集、存儲、保管和使用進行了全面規(guī)范。

（四）其他法律制度的特別規(guī)定

2019年8月，國家互聯(lián)網(wǎng)信息辦公室出臺《兒童個人信息網(wǎng)絡(luò)保護規(guī)定》，對未成年人采取高于普通人群個人信息保護標(biāo)準(zhǔn)作出專門規(guī)定。新修訂的《未成年人保護法》72條規(guī)定：“信息處理者通過網(wǎng)絡(luò)處理未成年人個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)和必要的原則。處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)征得未成年人的父母或者其他監(jiān)護人同意，但法律、行政法規(guī)另有規(guī)定的除外。未成年人、父母或者其他監(jiān)護人要求信息處理者更正、刪除未成年人個人信息的，信息處理者應(yīng)當(dāng)及時采取措施予以更正、刪除，但法律、行政法規(guī)另有規(guī)定的除外。”第73條規(guī)定：“網(wǎng)絡(luò)服務(wù)提供者發(fā)現(xiàn)未成年人通過網(wǎng)絡(luò)發(fā)布私密信息的，應(yīng)當(dāng)及時提示，并采取必要的保護措施。”此外，我國在《護照法》《身份證法》《檔案法》也都有個人信息保護的規(guī)定。

（五）綜合性的專門立法

2020年10月13日，《個人信息保護法》草案提請十三屆全國人大常委會第二十二次會議審議。草案共八章七十條，對適用范圍、個人信息處理規(guī)則、跨境傳輸、個人信息主體在處理活動中的權(quán)利、個人信息處理者的義務(wù)、監(jiān)管部門以及罰則作出了全方位的規(guī)定，針對個人信息被隨意收集、違法獲取、過度使用等社會公眾高度關(guān)注的問題，對個人信息提供了更加強有力的法律保障，并兼顧當(dāng)前社會對于數(shù)據(jù)流動與鼓勵創(chuàng)新的需要。相較于《網(wǎng)絡(luò)安全法》中“網(wǎng)絡(luò)運營者”概念的不確定性，草案規(guī)定適用于所有公司在運營中以線上或線下方式處理的消費者用戶個人信息、員工個人信息、供應(yīng)商或者客戶代表的信息。該法正式出臺后，將成為我國個人信息保護領(lǐng)域第一部綜合性法律。2020年7月，《數(shù)據(jù)安全法》（草案）也向社會公開征求意見，確立數(shù)據(jù)分級分類管理及風(fēng)險評估、監(jiān)測預(yù)警和應(yīng)急處置等數(shù)據(jù)安全管理各項基本制度，個人的數(shù)據(jù)安全保護義務(wù)，落實數(shù)據(jù)安全保護責(zé)任，明確采取維護數(shù)據(jù)安全和促進數(shù)據(jù)開放利用并重的原則。

三、大數(shù)據(jù)流動背景下個人信息保護法律制度面臨的挑戰(zhàn)（一）數(shù)據(jù)流動利益與個人信息保護利益的沖突難以平衡

主流觀點均已意識到個人數(shù)據(jù)之所以具有人格利益和經(jīng)濟價值，在于數(shù)據(jù)所包含的個人信息。在數(shù)據(jù)加速流動的時代，大數(shù)據(jù)匯集了海量個人信息，用戶信息和數(shù)據(jù)的融合能夠形成“化學(xué)反應(yīng)”，產(chǎn)生對用戶行為模式的可預(yù)測性，并且這種預(yù)測概率會隨著算法的更新迭代以及信息的融合聚集而越發(fā)精準(zhǔn)，從而能夠減少因信息不對稱而產(chǎn)生的社會信任成本和協(xié)商成本。越是大型、復(fù)雜的社會，個人信息流動所具有減少交易障礙、發(fā)現(xiàn)商機、促進協(xié)商合作的經(jīng)濟價值就越是凸顯。從經(jīng)濟效用層面，應(yīng)當(dāng)激勵數(shù)據(jù)和信息的分享和傳播，使數(shù)據(jù)生產(chǎn)的信息配置到更加能夠被有效利用的地方，便于形成更有效率的生產(chǎn)和生活，使得公眾生活、政府施政、社會治理更加智慧和高效。

各國對于加強個人信息保護并無爭議，但是對于個人信息的分類，個人信息權(quán)利類型，數(shù)據(jù)的收集、處理和使用原則等基本問題，有的問題共識度高，有的問題則存在很大爭議。例如，各國對于受保護的個人信息，基本達成共識，即將可識別性作為個人信息判定的依據(jù)。但對于不能直接識別但可以間接識別的個人信息是否納入受保護的個人信息，各國則存在分歧。再如，個人的知情權(quán)、選擇權(quán)、訪問權(quán)和更正權(quán)，此類個人的信息權(quán)利在絕大部分國家和地區(qū)的個人信息保護法中都得到了認可，對于被遺忘權(quán)、數(shù)據(jù)攜帶權(quán)、反對用戶畫像和個性化推薦權(quán)等新型個人信息權(quán)利，則存在很大爭議。比較歐美立法模式不難看出，兩者分別代表著消極限制和積極利用兩種立法規(guī)制思路。歐盟對個人信息的保護比較保守，以人格保護為重點，強調(diào)信息主體對個人信息的控制，但即使歐盟GDPR強化數(shù)據(jù)主體的權(quán)利，也沒有個人對數(shù)據(jù)的權(quán)利賦權(quán)為財產(chǎn)權(quán)；而美國在制定法方面非常謹慎，除1974年主要針對政府行為的《隱私法》外，更關(guān)注個人數(shù)據(jù)的經(jīng)濟特性，在監(jiān)管上采取行業(yè)自律的模式，按照重點領(lǐng)域?qū)π庞眯畔?、電子通信、金融服?wù)、衛(wèi)生健康四個領(lǐng)域以及針對兒童等特殊人群予以立法保護，沒有綜合性立法就個人信息保護進行規(guī)制，其保護的理論基礎(chǔ)就是公平信息實踐準(zhǔn)則。如何平衡數(shù)據(jù)流動和個人信息保護兩者利益之間的平衡，不僅涉及法律傳統(tǒng)文化、法律資源分配、成本收益和風(fēng)險預(yù)防等方面的考慮，也涉及國家數(shù)據(jù)規(guī)則制定權(quán)和產(chǎn)業(yè)發(fā)展利益的爭奪。

（二）技術(shù)發(fā)展背景下傳統(tǒng)法律框架對于個人信息保護的調(diào)整滯后

正如學(xué)者指出的，個人信息保護的獨特性表現(xiàn)為三個方面：一是具有明顯的外部性。合理的個人信息保護具有正外部性，實現(xiàn)各方共贏；而隔絕個人信息則會產(chǎn)生負外部性，妨礙信息主體與信息收集者和處理者的合作，妨礙國家、社會與市場對數(shù)據(jù)的合理使用。二是具有持續(xù)性。信息處理和個人之間關(guān)系不是一次性的，而是持續(xù)互動的。三是個人信息的采集、處理和使用具有不平等性。在上述三項特征中，不平等性特征最為突出。大數(shù)據(jù)技術(shù)使個人變得越來越透明，而數(shù)據(jù)的控制者和行使者卻變得越來越隱秘。例如在2016年，美國阿肯色州發(fā)生的一宗謀殺案中，警方發(fā)現(xiàn)犯罪嫌疑人使用亞馬遜智能家居產(chǎn)品EchoDot，警方要求亞馬遜交出相關(guān)資料，而亞馬遜設(shè)備錄制的各類個人指令信息主要存儲在云端服務(wù)商，并非儲存于EchoDot設(shè)備本身。該案反映出極少有消費者會認真閱讀涉及個人信息保護的收集、存儲、使用協(xié)議，“點擊/勾選”按鈕的告知與同意條款幾乎形同虛設(shè)。另一方面，消費者對個人信息的價值以及嗣后可能發(fā)生的風(fēng)險無法準(zhǔn)確預(yù)見，故其通常選擇填寫信息以換取微小優(yōu)惠。有調(diào)查顯示，90%的谷歌用戶知曉谷歌數(shù)據(jù)收集用于商業(yè)模型，71%的受訪者均認為不愿意被追蹤，但2017年谷歌Alphabet公司收入1110億美元，如果采取向用戶收取搜索服務(wù)費預(yù)計僅能收取1500萬美元，即消費者為搜索服務(wù)愿意支付的對價遠低于廣告商針對數(shù)據(jù)置放廣告的對價，消費者使用搜索服務(wù)的一部分對價實際是以提供個人信息為隱含對價的。

由于傳統(tǒng)合同法、侵權(quán)法等旨在調(diào)整平等主體之間的民事關(guān)系，重視意思自治、平等協(xié)商、過錯歸責(zé)等原則。而在個人信息保護領(lǐng)域，由于技術(shù)的高度復(fù)雜性，使得用戶處于持續(xù)性的弱勢地位，這也是各國在個人信息保護立法上采取類似勞動法、消費者權(quán)益保護法等賦予弱勢群體權(quán)利的方式予以矯正的原因。然而，科技發(fā)展使得大數(shù)據(jù)集合體內(nèi)部通過簡單的交叉檢驗，即可令信息匿名化處理技術(shù)不再奏效。另一方面，信息匿名化處理技術(shù)在迅速發(fā)展的智能家居時代可能面臨尷尬的局面。例如亞馬遜EchoDot和谷歌的Alexa都是能夠識別聲音指令并進行各項智能操作包括控制家居產(chǎn)品運行的設(shè)備，為達到家居產(chǎn)品的智能體驗，用戶的音頻指令數(shù)據(jù)需要在不同家居設(shè)備供應(yīng)商之間流動，而對信息做匿名化的不可溯源處理后將可能難以實現(xiàn)數(shù)據(jù)之間的有效流動，且亞馬遜和谷歌作為主控制設(shè)備供應(yīng)商難以保證收取指令的其他設(shè)備供應(yīng)商不違反隱私保護。因此，有觀點認為設(shè)備供應(yīng)商更應(yīng)當(dāng)注重的是信息安全風(fēng)險，即保護不被個人信息未經(jīng)授權(quán)使用、監(jiān)控以及不受黑客攻擊，將個人信息保護范圍交給市場競爭機制去處理。

此外，在現(xiàn)行的數(shù)據(jù)商業(yè)化利用模式下，網(wǎng)絡(luò)運營服務(wù)商投入大量人力、物力和金錢收集網(wǎng)絡(luò)行為數(shù)據(jù)去創(chuàng)建數(shù)據(jù)庫，但目前大部分國家對于數(shù)據(jù)庫權(quán)利并沒有進行立法，而是通過傳統(tǒng)的著作權(quán)法或合同法來保護。但數(shù)據(jù)庫很可能因為不具有原創(chuàng)性而不能受到著作權(quán)法的保護，而合同法又只能約束簽署合同的相對人。為此，歐盟于1996年發(fā)布了數(shù)據(jù)庫指令（96/9/EC），創(chuàng)建了新型的自成一體的權(quán)利（Sui Generis Right），為數(shù)據(jù)庫生產(chǎn)者提供保護，對于他人提取或再利用數(shù)據(jù)庫的內(nèi)容設(shè)置一定的限制。

（三）跨境數(shù)據(jù)流動背景下數(shù)據(jù)傳輸規(guī)則不統(tǒng)一產(chǎn)生的問題日益凸顯

網(wǎng)絡(luò)空間是一個龐大的生態(tài)且具備自身的獨特性，數(shù)據(jù)的巨量流動使得一國自身的立法、司法以及行政執(zhí)法難以很好地解決數(shù)據(jù)流動中產(chǎn)生的個人數(shù)據(jù)自決、信息自由、隱私保護、數(shù)據(jù)安全、公共利益之間的平衡問題，需要有統(tǒng)一的國際規(guī)則加以協(xié)調(diào)。但在涉及跨境數(shù)據(jù)傳輸時，各國出于數(shù)字主權(quán)、公共安全、經(jīng)濟利益等考慮，都試圖采取雙重標(biāo)準(zhǔn)，一方面盡可能擴大國內(nèi)立法的域外適用范圍，獲取他國的數(shù)據(jù)；另一方面又盡可能避免本國的數(shù)據(jù)外流，紛紛根據(jù)世貿(mào)組織框架下的《服務(wù)貿(mào)易總協(xié)定》（GATS）之隱私例外條款限制跨境數(shù)據(jù)傳輸，由此形成了以美國為代表的寬松型立法、以歐盟為代表的嚴格型立法、以俄羅斯為代表的本地存取型立法以及以澳大利亞為代表的折中型立法。由于各國關(guān)于跨境數(shù)據(jù)傳輸?shù)牧⒎ɡ砟?、適用范圍、監(jiān)管架構(gòu)、規(guī)范途徑有較大差異，產(chǎn)生數(shù)據(jù)跨境交互操作的復(fù)雜性、法律沖突和數(shù)據(jù)交易秩序的不確定性。

當(dāng)前，全球性的跨境數(shù)據(jù)傳輸統(tǒng)一規(guī)則尚未形成，1980年經(jīng)濟合作與發(fā)展組織（OECD）的《關(guān)于隱私保護和個人跨境數(shù)據(jù)流動指南》，確定了數(shù)據(jù)保護的最低標(biāo)準(zhǔn)，第3部分規(guī)定在數(shù)據(jù)跨境傳輸問題上，成員國應(yīng)當(dāng)避免以隱私保護和個人自由為名出臺立法或政策限制數(shù)據(jù)的自由流動，但在成員國認為其他成員國未對數(shù)據(jù)采取同等保護的特殊情況下除外。因此，通過對目的國數(shù)據(jù)保護水平進行評估即“充分性”（Adequacy）測試后，實行數(shù)據(jù)跨境傳輸?shù)摹鞍酌麊巍敝贫龋╓hite List），正在逐漸成為各國雙邊協(xié)商數(shù)據(jù)跨境傳輸?shù)幕A(chǔ)。值得關(guān)注的是，2019年1月23日，日本個人信息保護委員會與歐洲委員會司法、消費者與性別平等委員會宣布了相互認可充分性保護水平（Mutual Adequacy）的聯(lián)合聲明，此系首個不需要額外的數(shù)據(jù)跨境流動機制即可實現(xiàn)兩國之間數(shù)據(jù)相互平穩(wěn)傳輸?shù)目蚣堋５习輫H金融中心根據(jù)該雙邊聲明，將日本納入白名單，但不適用于日本傳輸歐盟數(shù)據(jù)涉及迪拜居民的情形。自2015年以來，歐盟還與韓國也開展了類似磋商。目前，關(guān)于跨境數(shù)據(jù)傳輸?shù)膰H談判還包括《跨大西洋貿(mào)易與投資合作伙伴關(guān)系協(xié)議》（TTIP）和《服務(wù)貿(mào)易協(xié)議》（TISA）等。聯(lián)合國貿(mào)法會第四工作組電子商務(wù)工作組目前正在進行數(shù)字經(jīng)濟探索項目，圍繞新興技術(shù)應(yīng)用和跨境數(shù)據(jù)流動產(chǎn)生的法律問題展開研究，提出了數(shù)據(jù)交易各方權(quán)利、使用分布式賬本技術(shù)的資產(chǎn)標(biāo)記化、在線爭議解決中技術(shù)的運用等前沿問題。

我國《網(wǎng)絡(luò)安全法》37條對跨境數(shù)據(jù)傳輸采取了有限和安全評估方案，規(guī)定網(wǎng)絡(luò)運營商因業(yè)務(wù)需要，確需向境外提供個人信息的，必須申請國家網(wǎng)信部門的安全評估，但《網(wǎng)絡(luò)安全法》沒有區(qū)分基因數(shù)據(jù)、醫(yī)療數(shù)據(jù)、生物數(shù)據(jù)等敏感數(shù)據(jù)的專門保護。由于該條沒有規(guī)定安全評估標(biāo)準(zhǔn)，存在一定的不確定性和不可預(yù)見性，因此也會影響他國對我國的數(shù)據(jù)充分性保護水平評價，數(shù)據(jù)出入境在一定程度上受到限制。隨著中國互聯(lián)網(wǎng)平臺海外業(yè)務(wù)拓展、跨境電子交易和網(wǎng)絡(luò)支付的蓬勃發(fā)展，我國數(shù)據(jù)跨境傳輸規(guī)則與國際規(guī)則的協(xié)調(diào)是未來迫切需要解決的問題。

四、對策與建議

第一，構(gòu)建開放、安全的數(shù)據(jù)流通體系。隨著我國數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府的交融發(fā)展，互聯(lián)網(wǎng)整合線上線下資源，推進數(shù)字產(chǎn)業(yè)化和產(chǎn)業(yè)化數(shù)字，個人信息的收集、處理和使用必然更為廣泛。在互聯(lián)網(wǎng)模式下，大數(shù)據(jù)的價值并不在于某個個體的獨特信息，而在于大批量具有共同特點的個人信息所反映出的某種共性。創(chuàng)建嚴格的個人信息保護制度并不是禁止利用個人信息，而是創(chuàng)造安全的信息環(huán)境，增強消費者參與數(shù)字經(jīng)濟的信心，使個人更傾向于允許他人出于公共利益目的使用其私人數(shù)據(jù)，改善政策制定和公共服務(wù)，使數(shù)據(jù)驅(qū)動創(chuàng)新真正給國家、社會與公民帶來巨大利益。在個人敏感信息進行匿名化、假名化處理后的數(shù)據(jù)，具有較強的公共屬性，原則上運營商不再需要經(jīng)過本人同意，可以與第三人進行交易、共享，即以促進自由流通為原則，以特殊保護為例外。

第二，區(qū)分普通信息和敏感信息。《個人信息保護法》草案已經(jīng)區(qū)別普通信息和敏感信息的保護。為避免大規(guī)模數(shù)據(jù)處理對個人的權(quán)益及自主性造成損害，有學(xué)者提出，可以借鑒網(wǎng)絡(luò)著作權(quán)治理領(lǐng)域的“選擇排除規(guī)則”（opt-out）”，即用戶享有簡單明確、實際可行的拒絕網(wǎng)絡(luò)運營商獲取和使用網(wǎng)絡(luò)行為數(shù)據(jù)的途徑。日本《次世代醫(yī)療基礎(chǔ)法》允許認定制作者使用選擇排除方式獲得醫(yī)療信息。即默認患者只要沒有表示拒絕即為同意提供醫(yī)療數(shù)據(jù)，以提升醫(yī)療信息匿名加工處理的效率。此外，“隱私標(biāo)識”（privacy mark）認證也是區(qū)分普通信息和敏感信息值得借鑒的經(jīng)驗。

第三，加大個人信息保護的行業(yè)自律。在市場競爭機制下，除了企業(yè)自身的合規(guī)審查，倡導(dǎo)行業(yè)自律也有助于創(chuàng)造有序的產(chǎn)業(yè)環(huán)境。目前，在云服務(wù)領(lǐng)域已經(jīng)興起了云服務(wù)等級協(xié)議。美國的非營利性網(wǎng)絡(luò)隱私認證機構(gòu)TRUSTe、BBBonline（BetterBusinessBureausonline）實行網(wǎng)絡(luò)隱私認證計劃，對企業(yè)的隱私保護隨時進行測評。我國應(yīng)當(dāng)加強對隱私認證機構(gòu)的建設(shè)，形成隱私保護等級和認證體系，鼓勵互聯(lián)網(wǎng)平臺企業(yè)就信息保護水平和范圍展開競爭，根據(jù)消費者對個人信息保護的重視程度，選擇提供符合其偏好的互聯(lián)網(wǎng)平臺。

第四，加快與數(shù)據(jù)跨境傳輸國際規(guī)則的銜接。從各國白名單制度的評價體系來看，較為共性的要求為：（1）法律法規(guī)對于個人信息保護有相應(yīng)的立法規(guī)范；（2）明確商業(yè)運營商處理個人信息應(yīng)當(dāng)遵守的義務(wù)；（3）相關(guān)政策、程序和制度是可識別的；（4）有獨立的個人數(shù)據(jù)保護權(quán)力機構(gòu)保障必須的執(zhí)行；（5）有相互理解、合作和可互操作的可能性；（5）有執(zhí)行框架保障數(shù)據(jù)的相互平穩(wěn)傳輸。我國應(yīng)當(dāng)積極參與數(shù)據(jù)跨境傳輸國際規(guī)則的磋商與制定，提供數(shù)字經(jīng)濟治理方面的司法經(jīng)驗與案例，促進跨境數(shù)據(jù)流動所涉規(guī)則和標(biāo)準(zhǔn)的協(xié)調(diào)統(tǒng)一。