个人信息法律保护研究

刘金铭

摘要：互联网时代，个人信息具有巨大的经济价值和社会价值，个人信息保护不足和使用不当给个人财产及人身安全带来的问题也日益突出。个人信息保护和合规利用成为当前个人信息保护的重中之重。本文从个人信息的含义和保护现状出发，结合域外保护的经验，提出相关建议，以期引起进一步研究，真正实现个人信息保护与使用的平衡。

关键词：个人信息;法律保护;知情同意;风险评估

如今是大数据时代，海量数据的生成、分析与共享，产生巨大的经济价值。而大数据的核心在于个人信息，大数据的反复使用、分析和共享使得个人信息泄露变得非常普遍，近两年每年因个人信息泄露造成的经济损失超千亿。因此，在利用数据创造价值的同时，保证个人信息安全，是亟待研究和解决的命题。

一、个人信息的概念及特征

《个人信息安全规范》（GB/T 35273—2017）里指出，个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

个人信息具有鲜明的特性，具体包括：

首先，个人信息的主体是单个的自然人。虽然学界对该点有一定的争议，即部分学者认为信息主体还应包括法人。但是，笔者更倾向于个人信息主体不应该包括法人等社会组织的观点。个人信息主体是个人信息所指向的或者通过个人信息被识别的特定自然人，是有关个人信息所针对的对象。其次，个人信息具有一定的秘密性。再次，个人信息既有人身属性又具有财产属性。个人信息和其他信息组合能够对主体相关利益因素做出辨认，对信息主体做出识别，因此个人信息包含人格性质;同时，将个人信息卖给商家能获取一定的利益，这也就使得个人信息有了一定的财产属性。最后，个人信息有可区别性和共享性。区别性因为个人信息与单个主体相关，，均对应独特的单个自然人，所以说个人信息具有区别或明确单个自然人的属性和作用;共享性是指个人信息在特定范围内可以实现人与人之间的共享，正是因为可共享性，使得个人信息的商业价值得以实现。

二、当前我国个人信息保护面临的挑战

我国有多部法律法规等涉及个人信息保护，包括《宪法》中涉及“公民的人格尊严、住宅不受侵犯，通信自由和通信秘密受法律保护”;《刑法》中有“侵犯公民个人信息罪”，《刑事司法解释》详细列举了刑法侵犯公民个人信息罪“情节严重”的10种情形，《民法总则》中规定了“法律保护个人信息，对个人信息进行收集、处理的信息控制者和处理者必须履行相应的安全保障义务”;还有《消费者权益保护法》《网络安全法》等规定了信息保护的要求，以及有多项国家及行业标准出台，如《个人信息安全规范》从个人信息的收集、保存、使用、共享、转让、公开披露等方面进行了明确、详细的规定。

但是，目前我国的个人信息保护仍然存在很大的挑战。具体表现在如下几个方面：

第一，缺乏一部系统、专门的法律。我国现行个人信息立法呈现出碎片化特征，缺乏一部系统、专门的法律对个人信息进行统一规定。

第二，缺乏明确的监管部门。现行法律法规没有规定专门的个人信息监管机构，如《网络安全法》规定国家网信部门统筹协调和监督管理工作，其他部门负责各自职权范围内的工作;《消费者权益保护法》也只是规定有关行政部门负责落实消费者合法权益的职责。由于个人信息保护问题涉及各行业、领域，个人信息的监管部门众多的话，容易出现分散监管、各自为政、相互推诿或者重复监管，浪费资源的情形。

第三，目前相关制度内容难以覆盖实践中的问题。包括“知情同意”原则受到一定挑战，其对于公共利益的实现存在困难、给个人和企业带来巨大负担、信息主体并无实质自由选择的权利等;还比如匿名化处理，由于解匿名技术的出现，匿名化信息与数据库中大量其他重叠、交叉的信息进行关联比对，就能再度关联、识别到特定、具体的个人，因此匿名化后的信息在信息保护范围之外也受到了挑战。

三、欧盟实践及对我国信息保护的建议

欧盟是个人信息保护立法的模范和先驱，对个人信息进行了统一立法。1995 年，欧盟颁布了《数据保护指令》。该指令建立了比较完善的个人数据保护体系，明确了对个人数据处理的一般原则、监管机构、司法救济等等，其规定的目的限定原则和透明原则等取得了广泛的共识并一直沿用至今，是欧盟数据保护中最重要的立法之一。2016年《通用数据保护条例》通过，其对知情同意原则进行了完善，使得同意只是其中一项合法依据，为了履行法定义务所必需、为了公共利益或其他正当利益等也是合法依据，同时将“风险管理”的理念引入了匿名化信息中，强调匿名化信息的被重新识别的风险，因此应建立匿名化风险评估机制。同时，欧盟还明确要求企业必须建立完善的内部问责机制。

鉴于我国目前个人信息保护存在的挑战，借鉴欧盟或其他国家的信息保护实践是有必要的。首先，我国尽快出台统一的个人信息保护法。目前，我国正在制定《个人信息保护法》，希望能够尽快出台，不仅能够有利于建立成体系的个人信息保护机制，还能明确监管机制;其次是建议不断完善“知情同意”机制，一是解决企业针对用户隐私条款的问题，真正实现信息主体的自主选择和信息保护;再次是建立完善的风险评估机制。在借鉴欧美国家的经验的基础上，构建具体场景中的风险管理路径，要求并监督信息控制者等主体进一步明确 “合理使用”的场景，并以是否會对信息主体造成风险为标准，引入风险评估机制作为工具，对信息处理行为在具体的场景中可能对信息主体造成的风险、损失进行持续的评估，并针对评估后的风险等级实施不同的措施来降低风险等，不断完善信息控制者对信息保护的动态机制。

参考文献：

[1]万方：《隐私政策中的告知同意原则及其异化》，《法律科学（西北政法大学学报）》，2019年第2期。

[2]范为：《大数据时代个人信息保护的路径重构》，《网络信息法学研究》2017 年第 1 期。