個人信息保護的利益衡量與制度構(gòu)建

李美燕

?

個人信息保護的利益衡量與制度構(gòu)建

李美燕

（國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心，北京 100029）

海量數(shù)據(jù)時刻記錄著人們生產(chǎn)生活的軌跡，通過分析、挖掘這些數(shù)據(jù)可為網(wǎng)民提供個性化、精準(zhǔn)性的服務(wù)。但數(shù)據(jù)利用的力度越大，個人信息保護面臨的風(fēng)險就越大，失衡現(xiàn)象就越發(fā)嚴(yán)重和常見。探索中國個人信息保護之道，需要符合數(shù)字中國的實踐需要，需要結(jié)合中華民族偉大復(fù)興的宏大背景進(jìn)行具體制度的安排。首先以美國、歐盟、我國為例介紹個人信息保護的立法路徑與模式，然后分析了我國個人信息保護的特點，最后對個人信息保護的利益平衡與制度進(jìn)行了思考。

個人信息保護；人格權(quán)益；經(jīng)濟權(quán)益；網(wǎng)絡(luò)安全；數(shù)字中國

1 引言

當(dāng)前，以互聯(lián)網(wǎng)為代表的信息通信技術(shù)和人類生活生產(chǎn)交匯融合，互聯(lián)網(wǎng)快速普及，消費互聯(lián)網(wǎng)百花齊放，產(chǎn)業(yè)互聯(lián)網(wǎng)跨界融合并持續(xù)激發(fā)創(chuàng)新浪潮，企業(yè)競爭力和影響力持續(xù)提升，互聯(lián)網(wǎng)用戶和市場規(guī)模日益龐大，海量數(shù)據(jù)的集聚對經(jīng)濟發(fā)展、社會治理、國家管理、人民生活都產(chǎn)生了重大影響。正是這些海量數(shù)據(jù)使人工智能得到廣泛應(yīng)用，使深度學(xué)習(xí)成為可能，企業(yè)則通過數(shù)據(jù)的分析、挖掘為網(wǎng)民提供個性化、精準(zhǔn)性的服務(wù)。人們主動擁抱數(shù)字化生產(chǎn)生活的過程，也意味著對個人信息使用權(quán)的主動讓渡。數(shù)據(jù)利用的力度越大，個人信息保護面臨的風(fēng)險就越大，失衡現(xiàn)象就越發(fā)嚴(yán)重和常見。個人信息的濫用、泄露引起了社會各界的廣泛關(guān)注，也成為各國立法關(guān)注的熱點。從立法層面來看，世界各國紛紛在個人信息保護方面做了前瞻性布局。歐盟地區(qū)從個人權(quán)利角度論證個人信息保護的必要性；美國則更關(guān)注個人信息的經(jīng)濟屬性，將個人信息保護作為風(fēng)險管理來對待；我國個人信息保護的框架體系雛形已經(jīng)顯現(xiàn)，但需要合理的制度設(shè)計和實現(xiàn)路徑予以保障，其關(guān)鍵是要處理好3個平衡之間的關(guān)系。

2 個人信息保護的立法路徑與模式

個人信息保護和數(shù)據(jù)治理成為全球的新問題，也成為各國立法關(guān)注的熱點。截至2017年，全球已經(jīng)有120個國家或地區(qū)先后頒布個人信息保護法律。2018年，歐盟《一般數(shù)據(jù)保護規(guī)范》正式實施，美國《2018加州消費者隱私法案》簽署生效，我國個人信息保護立法盡快出臺的呼聲進(jìn)一步高漲。從個人信息保護的權(quán)益關(guān)系來看，傳統(tǒng)法律框架將個人信息納入隱私權(quán)或通過一種獨立人格來加以保護，并通過個人信息的自決功能等特殊效力，以用戶知情同意的方式建立數(shù)據(jù)流通的關(guān)系，當(dāng)然還有其他管理需要的例外情形。隨著時代變遷和產(chǎn)業(yè)發(fā)展，個人信息更多地強調(diào)其流通、利用的價值，也就是其經(jīng)濟屬性。如何適應(yīng)這種形勢，需要理清其中關(guān)系和平衡權(quán)益。

2.1 美國模式

美國模式以分散式立法為特點，即在各個行業(yè)分別制定有關(guān)個人信息保護的法律規(guī)則、準(zhǔn)則，而不制定統(tǒng)一的個人信息保護法律。從立法層面來看，個人信息被置于隱私的范疇而加以保護，更重視對公共領(lǐng)域政府機關(guān)涉及利用個人數(shù)據(jù)的行為進(jìn)行規(guī)范，如1974年的《隱私法》和1980年的《隱私保護法》[1]。同時，針對敏感信息特別保護需求進(jìn)行特別立法，如2013年的《兒童在線隱私權(quán)保護法案》和美國加利福尼亞州的《商業(yè)和專業(yè)條例》。這種立法模式與美國法律隱私權(quán)概念的開放性有關(guān)，在實踐中，美國從實用主義出發(fā)，并未對個人信息和隱私權(quán)進(jìn)行嚴(yán)格分界[2]，更關(guān)注個人信息的經(jīng)濟特征和個人價值[3]，將個人信息保護作為風(fēng)險管理來對待，采用行業(yè)自律和市場調(diào)節(jié)機制來實現(xiàn)。這種設(shè)置有利于信息的流通和利用，將個人信息的搜集、利用交由企業(yè)，由其與權(quán)利主體通過合同進(jìn)行協(xié)商解決。但是，由于個人與企業(yè)所處地位、掌握信息的不對等，企業(yè)相繼出現(xiàn)了不當(dāng)收集、使用和移轉(zhuǎn)個人信息的情況，從而使個人的權(quán)利難以獲得全面充分的保護。在實踐中問題就折射出來，如Facebook數(shù)據(jù)泄露事件，引發(fā)民眾對個人信息保護的質(zhì)疑和巨大的擔(dān)憂。在此背景下，美國加利福尼亞州的《2018加州消費者隱私法案》獲得民眾高票通過。該法案被稱為美國“最嚴(yán)厲、最全面的個人隱私保護法案”，不僅大幅擴充適用范圍，還創(chuàng)建訪問權(quán)、刪除權(quán)、知情權(quán)等一系列消費者隱私權(quán)利，進(jìn)一步加重企業(yè)保護個人信息的責(zé)任。

2.2 歐盟模式

歐盟模式以制定統(tǒng)一法為特征，采取個人信息人格權(quán)保護模式，對數(shù)據(jù)處理者和控制者進(jìn)行嚴(yán)格規(guī)范。在歐洲，多國曾嘗試制定個人數(shù)據(jù)法，其中德國特征最為明顯。德國聯(lián)邦議會于1977年生效《聯(lián)邦數(shù)據(jù)保護法》，第一次系統(tǒng)地、集中地保護個人信息，并彰顯出其民事權(quán)利的屬性。1981年歐共體制定《關(guān)于自動化處理的個人信息保護公約》對大規(guī)模的自動化信息處理活動進(jìn)行規(guī)范[4]。基于歐盟國家個人數(shù)據(jù)流動的實際情況，決定在一體化進(jìn)程下統(tǒng)一個人數(shù)據(jù)保護立法。1995年，歐盟通過《關(guān)于在個人數(shù)據(jù)處理過程中保護當(dāng)事人及此類數(shù)據(jù)自由流通的95/46/EC指令》（簡稱《95指令》），確立了個人信息保護的價值，包括“基本權(quán)利”“自由”以及“隱私”的概念，構(gòu)建了查閱權(quán)、更正和刪除權(quán)、反對權(quán)、免受完全自動化決定權(quán)等權(quán)利。1997年歐盟頒布《有關(guān)電信行業(yè)中的個人數(shù)據(jù)處理和隱私權(quán)保護的97/66/EC指令》（簡稱《97指令》），適用于電信行業(yè)。2002年《電子通信隱私指令》取代《97指令》，要求電信和互聯(lián)網(wǎng)服務(wù)商確保個人數(shù)據(jù)安全，確定了存儲和使用數(shù)據(jù)時的主體同意規(guī)則。2009年的《歐洲Cookie指令》對cookie使用和必要信息披露進(jìn)行規(guī)范和管理。

但是上述規(guī)則面臨著適用統(tǒng)一性的困境，并隨著公眾對數(shù)據(jù)安全質(zhì)疑的進(jìn)一步增強，歐盟開始著手制定更加一致、細(xì)致的數(shù)據(jù)保護框架，以提高個人數(shù)據(jù)控制能力，并規(guī)范數(shù)據(jù)利用市場。自2010年起，歐盟啟動《個人數(shù)據(jù)保護指令》的修訂計劃，最終于2016年通過《一般數(shù)據(jù)保護條例》（GDPR）。GDPR于2018年正式實施，適用范圍大幅擴大，進(jìn)一步明確數(shù)據(jù)主體的“知情同意”原則，細(xì)化并擴展了《95指令》的查閱權(quán)、更正與刪除權(quán)、反對權(quán)以及免受完全自動化決定權(quán)的內(nèi)容，并增設(shè)限制處理權(quán)、可攜帶權(quán)、遺忘權(quán)[5]。

比較兩種模式的立法經(jīng)驗，美國關(guān)注個人信息的經(jīng)濟特征，更多地將個人信息保護作為風(fēng)險管理來對待，采用行業(yè)自律和市場調(diào)節(jié)機制為主的松散式立法。以歐盟為代表的國家（地區(qū)）從個人權(quán)利角度論證個人信息保護的必要性，尤其是GDPR對全球立法的推動與影響是巨大的，大有成為主導(dǎo)型的立法模式之發(fā)展態(tài)勢。正如維克托教授所說，“當(dāng)世界開始邁向大數(shù)據(jù)時代時，社會也將經(jīng)歷類似的地殼運動。在改變?nèi)祟惢镜纳钆c思維方式的同時，大數(shù)據(jù)早已在推動人類信息管理準(zhǔn)則的重新定位。然而，不同于印刷革命，人沒有幾個世紀(jì)的時間去適應(yīng)，人們也許就只有幾年的時間”[6]。在這樣的時代背景下，給我國個人信息保護立法留下的窗口期也不多了，民眾的訴求和產(chǎn)業(yè)的需求持續(xù)高漲。從全球視野來看，不論是歐盟立法模式，還是美國立法模式，都有其合理的地方，都有各自的價值觀和社會基礎(chǔ)作為支撐。傳統(tǒng)不能涵蓋一切，它只能劃一條模糊的界限，其內(nèi)容不明確[7]。我國個人信息保護的立法路徑的關(guān)鍵不在于模式差別，而在于制度設(shè)計是否符合中國文化的需要和產(chǎn)業(yè)發(fā)展的實際。

2.3 中國模式

我國個人信息保護立法之初走的是一種逆常規(guī)路線，即“最后法先行、刑法先行”。隨著產(chǎn)業(yè)的蓬勃興起，立法日益結(jié)合中國互聯(lián)網(wǎng)產(chǎn)業(yè)高速發(fā)展的實踐需要和中華民族偉大復(fù)興的宏大背景。從刑法視角來看，順應(yīng)發(fā)展需要及時擴展個人信息的內(nèi)涵，劃出權(quán)利保護的紅線、底線，并形成了刑法倒逼之勢，促進(jìn)行政立法、民事立法完善。從行政法視角來看，將個人信息作為產(chǎn)業(yè)運行安全、國家網(wǎng)絡(luò)安全的重要組成部分。從民法視角來看，個人信息保護從重歸屬向重利用或者歸屬和利用并重的方向發(fā)展。具體來看，具有以下特點。

（1）及時回應(yīng)個人信息和隱私保護的迫切需求

2012 年全國人民代表大會常務(wù)委員會《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》規(guī)定，涉及公民個人隱私的電子信息以及可識別的公民個人身份信息受國家保護，任何組織和個人不得非法獲取、出售公民的個人信息。2015年《刑法修正案（九）》將“出售、非法提供公民個人信息罪”和“非法獲取供個人信息罪”整合為“侵犯公民個人信息罪”，放寬了侵犯公民個人信息罪主體范圍。2017年《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》在《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，進(jìn)一步擴大了個人信息范圍，將其特定自然人活動情況的各種信息（如行蹤軌跡信息等）納入保護的范疇。從立法進(jìn)程來看，《中華人民共和國刑法》首先劃出了一條“高壓線”。通過應(yīng)該前置的低度的法先行，讓秩序法優(yōu)先發(fā)揮管理作用，使法律發(fā)揮規(guī)范、引領(lǐng)、保障的作用。然而，我國為何形成了“最后法先行”局面呢？這反映了一個很迫切的現(xiàn)實，如個人信息泄露助長電信詐騙、人肉搜索釀成生活悲劇。個人信息的濫用或?qū)駛€人信息破壞、侵犯到了一個難以容忍的地步，迫使《中華人民共和國刑法》不得不出手。同時，從刑法視角來看，個人信息內(nèi)涵也及時回應(yīng)了產(chǎn)業(yè)發(fā)展需要，特別是人工智能應(yīng)用服務(wù)縱深延展，從身份屬性的信息向活動情況的各種信息方向延展。

（2）堅持信息和數(shù)據(jù)安全以及其他公共利益的底線

2013年工業(yè)和信息化部《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》要求電信業(yè)務(wù)經(jīng)營者、互聯(lián)網(wǎng)信息服務(wù)提供者應(yīng)當(dāng)對收集和使用的用戶個人信息的安全負(fù)責(zé)。2017年《中華人民共和國網(wǎng)絡(luò)安全法》正式實施，將個人信息保護作為網(wǎng)絡(luò)安全的重要組成部分，并明確了經(jīng)營者在發(fā)生數(shù)據(jù)安全事件向用戶和主管部門“雙報告”的規(guī)定。保護個人信息是維護國家安全和公共安全的基礎(chǔ)，我國也不例外，在立法中加重信息控制者和處理者在接觸個人信息過程中的安全責(zé)任。

（3）兼顧商業(yè)利用與產(chǎn)業(yè)發(fā)展的需要

2017年《中華人民共和國民法總則》第111條就對個人信息權(quán)益進(jìn)行專門的確認(rèn)和保障，第127條對數(shù)據(jù)和網(wǎng)絡(luò)虛擬財產(chǎn)進(jìn)行保護和調(diào)整。在我國民事基本法和單行法中首次出現(xiàn)了個人信息保護的有關(guān)規(guī)定。過去立法，權(quán)利概念中比較重歸屬。但是，隨著我國產(chǎn)業(yè)發(fā)展和人工智能應(yīng)用推進(jìn)，《中華人民共和國民法總則》第111條與第127條，把個人信息保護和數(shù)據(jù)保護進(jìn)行分置規(guī)定，既明確了個人信息的歸屬和保護問題，還考慮了數(shù)據(jù)開發(fā)利用和保護問題，將個人信息保護轉(zhuǎn)向重利用或者歸屬、利用并重的方向延展。

總體來看，我國個人信息保護雖然沒有統(tǒng)一立法，但已經(jīng)形成了比較體系化的規(guī)定，表現(xiàn)出了先進(jìn)性。當(dāng)然，立法目前的先進(jìn)性更多地表現(xiàn)在原則以及理念層面。

3 個人信息保護的利益平衡與制度思考

我國個人信息保護的制度設(shè)計超越了歐美兩種模式的簡單對比或移植，進(jìn)一步回應(yīng)個人信息和隱私保護的迫切需求，堅持信息和數(shù)據(jù)安全以及其他公共利益的底線，兼顧數(shù)據(jù)商業(yè)利用與產(chǎn)業(yè)發(fā)展的需要，其核心是相關(guān)主體的權(quán)利及權(quán)利體系的安排。在利益格局下，立法需要考慮個人信息在社會的作用并根據(jù)比例性原則與其他基本權(quán)利保持平衡，結(jié)合數(shù)字中國和中華民族偉大復(fù)興的宏大背景來進(jìn)行考慮。

（1）個人權(quán)益的保障與數(shù)據(jù)商業(yè)利用之間的平衡

用戶的人身特征、行為狀態(tài)時時被海量數(shù)據(jù)記錄，尤其是指向特定主體的個人信息，能夠輕松地勾勒用戶的人格形象，顯現(xiàn)其生活軌跡。用戶發(fā)出的每一條信息、瀏覽的所有痕跡，都不再是自己獨有的存儲記錄，不會被時間磨損，將清晰地成為善意或惡意的他人通向他的路標(biāo)。個人信息的利用增進(jìn)了社會福祉，也導(dǎo)致了信息主體權(quán)益受到威脅和侵害。個人信息保護的重要性被描繪得具體而真切。馬斯洛在其需要層次理論中指出，“人格標(biāo)識的完整性和真實性是主體受到他人尊重的基本條件”[8]。在具體制度構(gòu)建中，個人信息對于權(quán)利主體的尊嚴(yán)和自由價值應(yīng)當(dāng)首先被考慮，即人格權(quán)益的保護，需要賦予用戶信息知情權(quán)、信息決定權(quán)、信息更正權(quán)等權(quán)利。另一方面，個人信息保護需要兼顧數(shù)據(jù)商業(yè)利用的需要。畢竟，數(shù)據(jù)的流通使人們生產(chǎn)生活彰顯便捷性，決策更加智能化，服務(wù)獲取變得精準(zhǔn)化。就用戶而言，權(quán)利配置需要確立其人格權(quán)益，還要兼顧信息的經(jīng)濟屬性，配置財產(chǎn)權(quán)益；就經(jīng)營者而言，分別配置數(shù)據(jù)經(jīng)營權(quán)和數(shù)據(jù)資產(chǎn)權(quán)。因為沒有經(jīng)營者投入大量的人力、物力、財力，數(shù)據(jù)利用、挖掘以及人工智能應(yīng)用難以延展，用戶也無法時時獲取免費的網(wǎng)絡(luò)服務(wù)[9]。

同時，在具體制度的安排過程中要保持一種動態(tài)與彈性，以平衡個人權(quán)益保障和數(shù)據(jù)商業(yè)利用之間的關(guān)系。就人工智能應(yīng)用而言，就會推翻很多過去確立的個人信息保護規(guī)則。在當(dāng)下的產(chǎn)業(yè)環(huán)境下，企業(yè)收集的數(shù)據(jù)越多，分析能力越強，消費需求越大，商業(yè)利潤就越多，以互聯(lián)網(wǎng)公司通過cookie技術(shù)實現(xiàn)用戶畫像為例。雖然可以基于算法對人的工作表現(xiàn)、經(jīng)濟狀況、興趣愛好、行為習(xí)慣、位置等進(jìn)行分析，并精準(zhǔn)評價，但是在應(yīng)用的過程中可能會出現(xiàn)性格歧視、隱私侵犯等問題。從個人信息保護的角度，賦予用戶知情同意權(quán)利十分必要。但在具體的權(quán)利構(gòu)建的過程中，仍需要處理好利益平衡的關(guān)系。比如，采用歐盟GDPR的“明示同意（opt-in）”方式，就難以滿足企業(yè)收集海量用戶數(shù)據(jù)的連貫性需求，在一定程度上會阻礙人工智能應(yīng)用的創(chuàng)新發(fā)展?；诤侠淼臄?shù)據(jù)商業(yè)利用目的，在非高風(fēng)險數(shù)據(jù)或非敏感數(shù)據(jù)的應(yīng)用場景下選擇“退出同意（opt-out）方式”就能夠較好地處理二者的關(guān)系。同時，知情同意原則還需要結(jié)合產(chǎn)業(yè)發(fā)展實際，設(shè)定例外原則。比如，新加坡立法，在互聯(lián)網(wǎng)應(yīng)用場景下所有數(shù)據(jù)的收集需要征得用戶同意變得不現(xiàn)實的情況下，在符合合法商業(yè)目的的情況下，可以不征求用戶同意，只要對例外情形進(jìn)行安全影響評估即可?？梢钥闯?，日新月異的技術(shù)發(fā)展給個人信息保護帶來直接的沖擊和調(diào)整，迫使用戶知情同意原則保持動態(tài)和彈性。

總之，我國個人信息保護既要及時構(gòu)建權(quán)利保護屏障，也要使數(shù)據(jù)“物盡其用”，給產(chǎn)業(yè)創(chuàng)新與發(fā)展留有空間。只有保持?jǐn)?shù)據(jù)的流通，才能以數(shù)據(jù)為紐帶促進(jìn)產(chǎn)學(xué)研深度融合，形成數(shù)據(jù)驅(qū)動型創(chuàng)新體系和發(fā)展模式，培育造就一批國際領(lǐng)軍的互聯(lián)網(wǎng)企業(yè)，筑牢數(shù)字中國之基。在個人信息保護的制度安排上，要堅持個人權(quán)益保障與數(shù)據(jù)商業(yè)利用并重，保持規(guī)則的動態(tài)與彈性，最終才能讓中國互聯(lián)網(wǎng)的發(fā)展成果造福更多國家和人民。

（2）公權(quán)力與私權(quán)利之間的平衡

在個人信息保護的具體制度構(gòu)建中需要兼顧公權(quán)力與私權(quán)利之間的平衡。信息社會，不同于傳統(tǒng)隱私保護中政府超然的中立地位，在個人信息保護和利用中，政府具有了利用者和管理者的雙重角色：一方面，政府作為社會管理和社會福利的承擔(dān)者，公共安全、公共管理和公共福利的推進(jìn)離不開對居民個人信息的掌握；另一方面，出于對行政效率的追求，也不斷促進(jìn)政府積極探索個人信息利用的限度和價值[10]。

作為信息的利用者，政府不能無節(jié)制地、肆意地收集和利用個人信息。也就是說，公權(quán)力需要受到必要的限制。作為信息的管理者，在特定的情況下，需要對個人信息私權(quán)利進(jìn)行必要干預(yù)。比如，為了公共安全，國家對跨境數(shù)據(jù)設(shè)定本地化存儲的要求或要求跨境數(shù)據(jù)轉(zhuǎn)移符合本國對個人信息保護標(biāo)準(zhǔn)。雖然互聯(lián)互通的產(chǎn)業(yè)背景以及商業(yè)模式的創(chuàng)新迭代都需要數(shù)據(jù)的開放，但是基于公共安全對私權(quán)利進(jìn)行必要限制，也是無可非議的。比如，為了公共利益或保護公眾的知情權(quán)，不賦予相關(guān)主體刪除有關(guān)數(shù)據(jù)權(quán)利或遺忘權(quán)。日本一名因猥褻兒童的罪犯起訴谷歌，依據(jù)遺忘權(quán)要求Google刪除他被捕的信息，最后日本最高人民法院判決Google不需要刪除上述信息。在本案中，相比刪除權(quán)，保護公眾的知情權(quán)就顯得更為重要。再比如，歐盟GDPR第112條就規(guī)定為了完成《日內(nèi)瓦公約》的義不容辭的任務(wù)或遵守適用于武裝沖突的國際人道主體法，因為公共利益的重要原因或為了數(shù)據(jù)主體的切實利益，任何向國際人道主義組織客觀上或法律上無法做出同意的數(shù)據(jù)主體的個人數(shù)據(jù)的傳輸可以被認(rèn)定為是必要的[11]。也就是說，為公共利益而傳輸、共享特定主體的個人信息，即使權(quán)利主體不同意，個人數(shù)據(jù)的傳輸、共享也具有合法性。

當(dāng)下關(guān)口，我國正在全力實施國家大數(shù)據(jù)戰(zhàn)略，運用大數(shù)據(jù)提升國家治理現(xiàn)代化水平，建立健全大數(shù)據(jù)輔助科學(xué)決策和社會治理的機制，推進(jìn)政府管理和社會治理模式創(chuàng)新，實現(xiàn)政府決策科學(xué)化、社會治理精準(zhǔn)化、公共服務(wù)高效化；推行電子政務(wù)、建設(shè)智慧城市等為抓手，以數(shù)據(jù)集中和共享為途徑，推動技術(shù)融合、業(yè)務(wù)融合、數(shù)據(jù)融合，打通信息壁壘，形成覆蓋全國、統(tǒng)籌利用、統(tǒng)一接入的數(shù)據(jù)共享大平臺，構(gòu)建全國信息資源共享體系，實現(xiàn)跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的協(xié)同管理和服務(wù)。這些戰(zhàn)略的部署都需要政府通過廣泛的樣本分析了解社情民義、發(fā)展的痛點、治理的難點。畢竟，政府決策科學(xué)化、社會治理精準(zhǔn)化、公共服務(wù)高效化都需要依賴信息的收集和利用。個人信息對于線索收集、信息溯源與情報分析的意義是巨大的，在具體制度的構(gòu)建過程中需要有大局意識，處理好公權(quán)力與私權(quán)利的關(guān)系，并結(jié)合數(shù)字中國和中華民族偉大復(fù)興的宏大背景來進(jìn)行考慮。

（3）技術(shù)與法律共治的平衡

法律并不能一勞永逸地解決個人信息保護的所有問題。完全寄希望于法律制度來實現(xiàn)對個人信息的全天候360度保護，并不現(xiàn)實。個人信息保護需要從法律層面，結(jié)合國情明確各主體的權(quán)利與義務(wù)，并使其規(guī)則切實可行；另一方面，需要主動迎接科技進(jìn)步給個人信息保護帶來的全新挑戰(zhàn)，通過技術(shù)手段設(shè)立權(quán)益保護屏障，通過創(chuàng)新促使保護方式變得更加智能與快捷。畢竟，新技術(shù)的應(yīng)用給治理帶來諸多挑戰(zhàn)，尤其是人工智能應(yīng)用使得數(shù)據(jù)采集成為常態(tài)化，區(qū)塊鏈分布式特點會使信息暴露在大眾面前，而互聯(lián)網(wǎng)時代的個人信息保護又面臨違法成本低與維權(quán)成本高的雙重困境。個人信息保護需要通過技術(shù)手段來應(yīng)對技術(shù)帶來的難題，避免保護手段的單一化、簡單化，綜合運用法律、技術(shù)等多種方式求得治理效果全方位貫通無紕漏。

在實踐中，有很多通過技術(shù)功能設(shè)計來保護個人信息的有益嘗試。比如，電子身份證標(biāo)識（eID）就是一種以密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體，由“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”簽發(fā)，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識別身份。2017年10月，全國首個將eID運用到不動產(chǎn)登記領(lǐng)域的項目在?？谡竭\行。比如，企業(yè)在研發(fā)產(chǎn)品時注意對個人隱私的保護，將“經(jīng)設(shè)計保護隱私（PbD）”的理念貫徹產(chǎn)品設(shè)計之中，把隱私保護作為產(chǎn)品的默認(rèn)設(shè)置，以預(yù)防用戶隱私侵犯發(fā)生。比如，Google（谷歌）早期推出街景服務(wù)，用街景車收集街道圖像，并實時展示在谷歌在線街景地圖上。但谷歌街景服務(wù)卻涉嫌非法收集信息、侵犯個人隱私，受到多國處罰或頻頻被消費者起訴。為回應(yīng)規(guī)則的要求，Google開發(fā)用戶人臉和車牌虛化處理功能嵌入設(shè)計，通過技術(shù)將可識別人物身份的信息進(jìn)行模糊化處理，有效地保護了個人信息。再比如，為提升用戶搜索結(jié)果的準(zhǔn)確率，Amazon（亞馬遜）通常會及時存儲和當(dāng)前賬戶關(guān)聯(lián)的語音搜索記錄。但為了保護用戶個人信息，Amazon提供選項以供用戶根據(jù)需要決定是否刪除以往的搜索記錄。

當(dāng)下，我國正在建立網(wǎng)絡(luò)綜合治理體系，探索出一個比較好的、有利于數(shù)字中國發(fā)展的個人信息保護框架模式，應(yīng)當(dāng)是緊跟科技進(jìn)步的步伐，導(dǎo)入科技驅(qū)動型的數(shù)據(jù)治理體系，堅持技術(shù)與法律共治局面。

4 結(jié)束語

數(shù)化萬物，智在融通。隨著產(chǎn)業(yè)和技術(shù)的互聯(lián)互通、商業(yè)模式的創(chuàng)新迭代與演講升級，數(shù)據(jù)的產(chǎn)生、存儲、利用從消費互聯(lián)網(wǎng)向產(chǎn)業(yè)互聯(lián)網(wǎng)融合縱深延展，涉及關(guān)鍵基礎(chǔ)設(shè)施的安全、產(chǎn)業(yè)持續(xù)創(chuàng)新發(fā)展以及社會利益的重新流動。個人信息保護制度與服務(wù)百姓人格權(quán)益和財產(chǎn)權(quán)益息息相關(guān)，與企業(yè)創(chuàng)新創(chuàng)業(yè)和經(jīng)營發(fā)展同頻共振，與國家發(fā)展和社會穩(wěn)定大局緊密相連。個人信息保護制度安排需要先進(jìn)的立法原則和理念，需要合理的制度、科學(xué)的制度模式和具體的制度和實現(xiàn)路徑予以保障。當(dāng)然，要想制定一個符合當(dāng)下文化、與經(jīng)濟發(fā)展水平相適應(yīng)的個人信息保護制度，需要處理好個人權(quán)益保護和數(shù)據(jù)商業(yè)利用之間的平衡、公權(quán)力和私權(quán)利的平衡、法律與技術(shù)共同治理的平衡。

[1] 周漢華．個人信息保護法(專家建議稿)及立法研究報告[M]. 北京: 法律出版社, 2006: 79-80.

ZHOU H H. Personal information protection law (expert draft) and legislative research report[M]. Beijing: Law Press?China, 2006: 79-80.

[2] 王利明．論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心[J]. 現(xiàn)代法學(xué), 2013, 35(4): 62-72.

WANG L M. Legal protection of personal information: centered on the line between personal information and privacy[J]. Modern Law Science, 2013, 35(4): 62-72.

[3] 張平. 大數(shù)據(jù)時代個人信息保護的立法選擇[J]. 北京大學(xué)學(xué)報(哲學(xué)社會科學(xué)版), 2017, 54(3): 143-151.

ZHANG P. Legislative choice of personal information protection in the age of big data[J]. Journal of Peking University(Philosophy and Social Sciences), 2017, 54(3): 143-151.

[4] 孔令杰. 個人資料隱私的法律保護[M]. 武漢: 武漢大學(xué)出版社, 2009: 164-168.

KONG L J. Legal protection of personal data privacy[M]. Wuhan: Wuhan University Press, 2009: 164-168.

[5] 京東法律研究院. 一般數(shù)據(jù)保護條例評書及實務(wù)指引[M]. 北京: 法律出版社, 2018: 24-27.

JD Law Research Institute. General data protection ordinance commentary and practice guide[M]. Beijing: Law Press?China, 2018: 24-27.

[6] MAYER SCHONBERGER V, CUKIER K. 大數(shù)據(jù)時代[M]. 盛楊燕, 周濤, 譯. 杭州: 浙江人民出版, 2013: 217.

MAYER SCHONBERGER V, CUKIER K. Big data: a revolution that will transform how we live, work, and think[M]. Translated by SHENG Y Y, ZHOU T. Hangzhou: Zhejiang People’s Publishing House, 2013: 217.

[7] BURTON S J. 法律的道路及其影響[M]. 張芝梅, 陳剛, 譯. 北京: 北京大學(xué)出版社, 2012: 268.

BURTON S J. The path of the law and its influence[M]. Translated by ZHANG Z M, CHEN G. Beijing: Peking University Press, 2012: 268.

[8] MASLOW A H. 動機與人格[M]. 許金聲, 譯. 北京: 中國人民大學(xué)出版社, 2007: 31.

MASLOW A H. Motivation and personality[M]. Translated by XU J S. Beijing: China Renmin University Press, 2007: 31.

[9] 龍衛(wèi)球. 數(shù)據(jù)新型財產(chǎn)權(quán)構(gòu)建及其體系研究[J]. 政法論壇, 2017, 35(4): 63-77.

LONG W Q. On the construction of new data property and its system structure[J]. Tribune of Political Science and Law, 2017, 35(4): 63-77.

[10] 張新寶．從隱私到個人信息: 利益再衡量的理論與制度安排[J]. 中國法學(xué), 2015(3): 38-59.

ZHANG X B. From privacy to personal information: theory and institutional arrangements for re-measurement of interests[J]. China Legal Science, 2015(3): 38-59.

[11] 京東法律研究院. 一般數(shù)據(jù)保護條例評書及實務(wù)指引[M]. 北京: 法律出版社, 2018: 39.?

JD Law Research Institute. General data protection ordinance commentary and practice guide[M]. Beijing: Law Press?China, 2018: 39.?

Interest measurement and system construction of personal information protection

LI Meiyan

National Internet Emergency Center, Beijing 100029, China

Massive data always records the trajectory of people’s production and life. Through analysis and mining, it can provide personalized and accurate services for netizens. But the greater the intensity of data utilization, the greater the risk of personal information protection, and the imbalance is more serious and common. Exploring the way of protecting personal information in China requires meeting the practical needs of digital China. Firstly, taking United States, European Union, and China as examples, the legislative path and mode of personal information protection were introduced. Then, the characteristics of personal information protection in China were analyzed. Finally, the balance of interests and system of personal information protection was considered.

personal information protection, personality right, economic interest, network security, digital China

D923

A

10.11959/j.issn.1000?0801.2018235

李美燕（1984?），女，國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心助理研究員，中國互聯(lián)網(wǎng)協(xié)會個人信息保護工作委員會秘書長，北京航空航天大學(xué)法學(xué)院網(wǎng)絡(luò)空間國際治理研究基地特聘研究員、博士，主要研究方向為互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展、個人信息保護與數(shù)據(jù)安全、互聯(lián)網(wǎng)治理。

2018?07?03；

2018?08?10