我國(guó)個(gè)人信息保護(hù)的路徑建構(gòu)
——以GDPR為鏡鑒

蘆亮叢

一、大數(shù)據(jù)背景下個(gè)人信息相關(guān)理論概述

(一)網(wǎng)絡(luò)環(huán)境下個(gè)人信息保護(hù)的重要性

個(gè)人信息作為一種極其重要但又容易被侵犯的寶貴資源，其與公民個(gè)人的人格和財(cái)產(chǎn)等息息相關(guān)，我們身處大數(shù)據(jù)時(shí)代，計(jì)算機(jī)技術(shù)和互聯(lián)網(wǎng)的聯(lián)動(dòng)發(fā)展使我們?cè)讷@得極大便利的同時(shí)，個(gè)人信息也可能被利用或者破壞，每個(gè)人都越來(lái)越重視自己的信息安全，而事實(shí)上由于缺乏明確的法律保護(hù)依據(jù)，加之個(gè)人信息保護(hù)意識(shí)不強(qiáng)，使得個(gè)人信息的維權(quán)無(wú)從下手，因此建立個(gè)人信息保護(hù)制度勢(shì)在必行。

(二)個(gè)人信息保護(hù)的憲法學(xué)基礎(chǔ)

為了探究個(gè)人信息保護(hù)與憲法領(lǐng)域之間的關(guān)系，有必要學(xué)習(xí)和回顧歐美國(guó)家的個(gè)人信息保護(hù)發(fā)展史。歐美國(guó)家關(guān)于信息保護(hù)的研究自20世紀(jì)60年代起始，通過(guò)不斷發(fā)展，現(xiàn)已日臻完善。我們選擇美國(guó)和德國(guó)作為最具代表性的示例，來(lái)論述個(gè)人信息保護(hù)的憲法基礎(chǔ)，為個(gè)人信息保護(hù)的路徑選擇提供充分的法理基礎(chǔ)。

美國(guó)個(gè)人信息保護(hù)來(lái)源于隱私權(quán)，且美國(guó)憲法對(duì)傳統(tǒng)的隱私權(quán)的確認(rèn)和保護(hù)始于20世紀(jì)60年代。眾所周知，美國(guó)隱私權(quán)對(duì)個(gè)人信息憲法意義上的保護(hù)源自“沃倫訴羅伊案”，其首次確認(rèn)了隱私權(quán)中的信息隱私，標(biāo)志著美國(guó)對(duì)信息隱私權(quán)的加強(qiáng)，此后歷經(jīng)發(fā)展，美國(guó)形成了以拓展隱私權(quán)來(lái)確立個(gè)人信息保護(hù)的憲法基礎(chǔ)。

個(gè)人隱私在德國(guó)被視為個(gè)人尊嚴(yán)實(shí)現(xiàn)的一部分，公民私領(lǐng)域的基本權(quán)利與發(fā)展以基本法中的“人格尊嚴(yán)”和“人格自由發(fā)展”為憲法基礎(chǔ)并加以保護(hù)，對(duì)于個(gè)人信息保護(hù)的發(fā)展具有里程碑意義的事件是源于20世紀(jì)80年代的人口普查案，其促使了信息自決權(quán)的形成。至此，德國(guó)以信息自決權(quán)確立了個(gè)人信息的憲法保護(hù)，其實(shí)質(zhì)上亦是源自人格尊嚴(yán)這一憲法基礎(chǔ)。

(三)GDPR中個(gè)人信息保護(hù)的有關(guān)規(guī)定

在GDPR框架下，數(shù)據(jù)主體享有知情權(quán)、訪問(wèn)權(quán)、更正權(quán)、可攜權(quán)、刪除權(quán)、限制處理權(quán)、反對(duì)權(quán)和自動(dòng)化個(gè)人決策相關(guān)權(quán)利。首先，知情權(quán)要求處理個(gè)人數(shù)據(jù)的各類組織機(jī)構(gòu)必須使用清晰、簡(jiǎn)潔的語(yǔ)言，以簡(jiǎn)單、透明、易懂的形式提供下列信息，也可使用可視化的方法?！秱€(gè)人數(shù)據(jù)法》規(guī)定，數(shù)據(jù)主體有權(quán)要求確認(rèn)是否正在處理與其有關(guān)的個(gè)人數(shù)據(jù)以及訪問(wèn)其個(gè)人數(shù)據(jù)并獲得特定信息。GDPR則擴(kuò)大了控制者需提供的信息范圍，控制者有義務(wù)向數(shù)據(jù)主體免費(fèi)提供其個(gè)人數(shù)據(jù)副本一份，變相的要求增加控制者的行政管理負(fù)擔(dān)和責(zé)任。其次，GDPR新增了數(shù)據(jù)的可攜性條款，當(dāng)出現(xiàn)特定情形時(shí)，數(shù)據(jù)主體有權(quán)從控制者處接收回其提供給控制者的個(gè)人數(shù)據(jù)，進(jìn)一步加強(qiáng)了數(shù)據(jù)主體對(duì)其個(gè)人數(shù)據(jù)的控制。最后，刪除權(quán)(也稱作被遺忘權(quán))，賦予了數(shù)據(jù)主體在個(gè)人數(shù)據(jù)不正確、不完整或不相關(guān)等存在一個(gè)或多個(gè)限制性理由時(shí)，刪除個(gè)人數(shù)據(jù)的權(quán)利。GDPR通過(guò)設(shè)立諸多數(shù)據(jù)主體的權(quán)利來(lái)明確個(gè)人對(duì)其信息的控制權(quán)。

GDPR對(duì)數(shù)據(jù)控制者的問(wèn)責(zé)機(jī)制之一是要求其遵循從設(shè)計(jì)著手隱私保護(hù)和默認(rèn)隱私保護(hù)原則。首先，從設(shè)計(jì)著手隱私保護(hù)和默認(rèn)隱私保護(hù)原則要求各類組織機(jī)構(gòu)在產(chǎn)品和服務(wù)的初始階段以及整個(gè)過(guò)程中將數(shù)據(jù)隱私保護(hù)考慮在內(nèi)；其次，GDPR要求設(shè)置數(shù)據(jù)保護(hù)官(DPO)一職，來(lái)監(jiān)督組織機(jī)構(gòu)是否遵守GDPR及其他相關(guān)數(shù)據(jù)保護(hù)法的規(guī)定，是否符合組織機(jī)構(gòu)內(nèi)部與個(gè)人數(shù)據(jù)保護(hù)相關(guān)的政策，就是否進(jìn)行隱私影響評(píng)估及監(jiān)督隱私影響評(píng)估執(zhí)行情況提供意見(jiàn)。歐盟通過(guò)以嚴(yán)苛的問(wèn)責(zé)機(jī)制和賦予數(shù)據(jù)主體較大的權(quán)利來(lái)促使GDPR的有效實(shí)施，推動(dòng)了個(gè)人數(shù)據(jù)保護(hù)的發(fā)展，也為其他國(guó)家個(gè)人信息保護(hù)的路徑架構(gòu)提供了經(jīng)驗(yàn)法則。

二、我國(guó)當(dāng)前個(gè)人信息保護(hù)的現(xiàn)實(shí)困境

(一)現(xiàn)有法律體系，監(jiān)管體制問(wèn)題

我國(guó)對(duì)個(gè)人信息保護(hù)問(wèn)題的研究，與歐盟、日本和美國(guó)等發(fā)達(dá)國(guó)家相比，開(kāi)始的時(shí)間要晚很多?，F(xiàn)有的法律體系不健全，沒(méi)有專門的個(gè)人信息保護(hù)法案，相關(guān)法律規(guī)定分布分散，沒(méi)有系統(tǒng)性。最近實(shí)行的《網(wǎng)絡(luò)安全法》雖然明確加強(qiáng)對(duì)個(gè)人信息的保護(hù)，但公民個(gè)人信息的范圍被限縮在很小的范圍內(nèi)，未規(guī)定包含公民隱私數(shù)據(jù)的個(gè)人信息如何保護(hù)，且現(xiàn)行立法原則性較強(qiáng)，具體可操作性較差，同樣不容忽視。在數(shù)據(jù)的監(jiān)管體制下，存在數(shù)據(jù)交易的監(jiān)管不到位，監(jiān)管職責(zé)交叉不清，缺乏有效的監(jiān)管制度，管理分散，對(duì)違法行為的處罰力度不夠等問(wèn)題。

(二)傳統(tǒng)“知情同意”模式有效性問(wèn)題

“同意”是處理個(gè)人數(shù)據(jù)的正當(dāng)理由，是數(shù)據(jù)處理的法律基礎(chǔ)，未經(jīng)同意而處理個(gè)人數(shù)據(jù)是不被允許的。在傳統(tǒng)“知情同意”的機(jī)制中，社交軟件在用戶使用該App之前，通常會(huì)向用戶發(fā)布隱私聲明，只有點(diǎn)擊下方的同意才擁有使用該應(yīng)用的權(quán)利。表面上看是用戶對(duì)其個(gè)人信息是否披露享有控制權(quán)，而實(shí)際上用戶對(duì)其信息如何處理并不了解，也不清楚導(dǎo)致的后果，用戶的力量是非常小的，并且傳統(tǒng)的隱私聲明如同列舉長(zhǎng)篇的清單，條款內(nèi)容形同虛設(shè)，無(wú)關(guān)痛癢，沒(méi)有實(shí)質(zhì)內(nèi)容，所列事項(xiàng)并不具體明確。面對(duì)運(yùn)營(yíng)商提供的條款聲明，用戶只能選擇全盤(pán)接受，為了更快的使用其產(chǎn)品帶來(lái)的服務(wù)。這樣一來(lái)，用戶對(duì)其個(gè)人信息的控制權(quán)實(shí)際上已被架空。

(三)個(gè)人信息司法救濟(jì)的現(xiàn)實(shí)困境

目前我國(guó)個(gè)人信息司法救濟(jì)主要以隱私權(quán)為主，該救濟(jì)模式將“個(gè)人信息”限縮至隱私權(quán)范疇進(jìn)行保護(hù)，倘若涉訴的信息不具有隱私屬性，就不認(rèn)為是侵權(quán)行為，這就排除了未明顯侵害隱私權(quán)但侵害個(gè)人信息自決權(quán)的侵權(quán)行為。單純依靠隱私權(quán)進(jìn)行個(gè)人信息的司法救濟(jì)在侵權(quán)行為及侵權(quán)責(zé)任認(rèn)定等方面存在實(shí)務(wù)困境，無(wú)法實(shí)現(xiàn)對(duì)個(gè)人信息的充分救濟(jì)。①

所以僅僅依靠隱私權(quán)來(lái)對(duì)個(gè)人信息進(jìn)行救濟(jì)是不夠完善的，對(duì)個(gè)人信息保護(hù)范疇亟待加強(qiáng)，我國(guó)《民法總則》第111條雖確立了自然人的個(gè)人信息權(quán)，但對(duì)其保護(hù)相對(duì)模糊且原則性較強(qiáng)，在司法實(shí)踐中不具有較強(qiáng)的實(shí)用性，依然走不出隱私權(quán)保護(hù)的慣性。個(gè)人信息保護(hù)的范圍邊界也是模糊不定的，司法審判中很難判定此類案件屬于信息保護(hù)的范疇，并且信息數(shù)據(jù)主體相較于數(shù)據(jù)控制者和數(shù)據(jù)處理者來(lái)說(shuō)，舉證能力較弱，實(shí)際訴訟中勝訴率很低。

三、基于GDPR重構(gòu)個(gè)人信息保護(hù)路徑

(一)優(yōu)化“有效同意”的法律框架

GDPR第4條第11款原文將“同意”定義為:“數(shù)據(jù)主體的同意是指，數(shù)據(jù)主體依照其意愿自由做出的、特定的、知情的、明確的指示。通過(guò)以聲明或清晰肯定的行為做出的該等指示，數(shù)據(jù)主體表明其同意處理與其相關(guān)的個(gè)人數(shù)據(jù)”?！白杂勺龀龅耐狻币馕吨畔⒖刂普卟坏脤?duì)信息主體進(jìn)行欺詐、脅迫等行為，數(shù)據(jù)主體做出的同意是其意思自治的結(jié)果?！疤囟ā北砻饔行У耐獗仨毦唧w清楚，同意要容易理解，應(yīng)該清晰指出信息處理的范圍和后果，不能含糊其詞，長(zhǎng)篇大論?！爸椤眲t強(qiáng)調(diào)信息控制者要向信息主體提供相應(yīng)的資訊，讓當(dāng)事人真正實(shí)施其信息自決權(quán)。

傳統(tǒng)“知情同意”模式，將所有信息數(shù)據(jù)視為一體，沒(méi)有進(jìn)行分級(jí)處理，所以很大程度上該模式形同虛設(shè)。在新型的“有效同意”的法律框架內(nèi)，可以適當(dāng)提高敏感信息的同意要求，實(shí)施分級(jí)處理。相關(guān)產(chǎn)品如果涉及敏感信息的處理，此時(shí)單一的隱私聲明就不能再適用了，數(shù)據(jù)控制者必須用特殊文字或符號(hào)指明數(shù)據(jù)處理可能涉及敏感信息，由數(shù)據(jù)主體自行決定是否同意。數(shù)據(jù)控制者還要委派數(shù)據(jù)保護(hù)官(DPO)對(duì)敏感數(shù)據(jù)進(jìn)行保護(hù)，防止泄露。

對(duì)于兒童這一特殊主體，應(yīng)當(dāng)適用特殊的同意規(guī)則。因其缺乏對(duì)風(fēng)險(xiǎn)與處理個(gè)人數(shù)據(jù)相關(guān)權(quán)利的了解。只有兒童在年滿16周歲時(shí)，基于同意的數(shù)據(jù)處理才是合法的，倘若兒童未滿該年齡，則只有在有監(jiān)護(hù)權(quán)的父母同意或授權(quán)的情況下，數(shù)據(jù)處理才是合法的。此外還要加強(qiáng)數(shù)據(jù)控制者對(duì)兒童的告知義務(wù)，設(shè)置合理的同意程序來(lái)確保兒童能夠理解，有效地參與到同意的決策，實(shí)現(xiàn)自己的信息自決權(quán)。

(二)設(shè)立新型的風(fēng)險(xiǎn)評(píng)估體系

基于目前我國(guó)個(gè)人信息保護(hù)的實(shí)際情況，應(yīng)當(dāng)在行政機(jī)關(guān)內(nèi)部設(shè)立專屬的信息保護(hù)風(fēng)險(xiǎn)規(guī)制機(jī)構(gòu)，吸納信息安全領(lǐng)域的人才對(duì)具體的信息風(fēng)險(xiǎn)進(jìn)行甄別，溝通交流，出具甄別報(bào)告，方便查閱。

風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)規(guī)制路徑中最為重要的一環(huán)，也是風(fēng)險(xiǎn)規(guī)制的基礎(chǔ)性工作。個(gè)人信息保護(hù)不像傳統(tǒng)食品安全衛(wèi)生、環(huán)境保護(hù)等領(lǐng)域存在的風(fēng)險(xiǎn)那般的具象化，信息保護(hù)的風(fēng)險(xiǎn)評(píng)估是建立在虛擬數(shù)據(jù)的分析上。個(gè)人信息的風(fēng)險(xiǎn)評(píng)估，可以從信息的價(jià)值、數(shù)據(jù)控制者和處理者的處理頻率、威脅程度進(jìn)行衡量。首先，風(fēng)險(xiǎn)規(guī)制部門需要對(duì)這三項(xiàng)基本要素進(jìn)行分析定性；其次，根據(jù)數(shù)據(jù)處理者的處理頻率和成因進(jìn)行量化，得出個(gè)人信息爆發(fā)安全事故的可能性；最后，根據(jù)爆發(fā)安全事故的可能性推導(dǎo)出信息所受損失，以損失大小為基礎(chǔ)計(jì)算出個(gè)人信息保護(hù)的風(fēng)險(xiǎn)閾值。

(三)重申第三方信息處理者的民事責(zé)任

GDPR新增了信息控制者和第三方信息處理者民事責(zé)任的分擔(dān)形式，對(duì)外就信息主體的全部損失承擔(dān)連帶責(zé)任，歸責(zé)原則適用過(guò)錯(cuò)推定原則。在參考?xì)W盟GDPR第三方信息處理者民事責(zé)任承擔(dān)模式的同時(shí)，對(duì)我國(guó)涉第三方信息處理者的民事責(zé)任的架構(gòu)可以這樣考慮:

首先，對(duì)于信息保護(hù)糾紛，可以設(shè)置舉證責(zé)任倒置，由信息控制者和第三方信息處理者承擔(dān)舉證責(zé)任，證明自己不存在過(guò)錯(cuò)。因?yàn)楝F(xiàn)實(shí)中，原告即數(shù)據(jù)主體處于弱勢(shì)地位，舉證能力較弱，通過(guò)舉證責(zé)任倒置將舉證責(zé)任分配給在證據(jù)層面占據(jù)優(yōu)勢(shì)的信息控制者和信息處理者，是比較合理的。當(dāng)然不能對(duì)信息處理者處以過(guò)于嚴(yán)苛的舉證責(zé)任，否則可能會(huì)制約產(chǎn)業(yè)發(fā)展的平衡，因此將其舉證責(zé)任限定在其沒(méi)有過(guò)錯(cuò)的范圍內(nèi)。

其次，可以學(xué)習(xí)GDPR相關(guān)規(guī)定，明確信息控制者與信息處理者的連帶責(zé)任，直接給予信息主體向信息控制者或者信息處理者任何一方追索的權(quán)利，極大地提高其維權(quán)效率。當(dāng)然要注意，信息處理者承擔(dān)的是有限連帶責(zé)任，其只需證明自己對(duì)信息控制者的施令已經(jīng)盡到了注意義務(wù)即可。

(四)完善現(xiàn)有法律體系和監(jiān)管

首先，近年來(lái)對(duì)于個(gè)人信息保護(hù)的呼聲越來(lái)越高，我國(guó)也做出了不懈的努力，最新的《電子商務(wù)法》和《網(wǎng)絡(luò)安全法》重申了對(duì)個(gè)人信息的保護(hù)力度，但我國(guó)個(gè)人信息保護(hù)體系依然不健全，具體實(shí)操性較差，新增法案雖然對(duì)個(gè)人信息保護(hù)部分做出了多項(xiàng)規(guī)定，但依然是以傳統(tǒng)的知情同意模式為架構(gòu)，難以實(shí)現(xiàn)公民的信息自決權(quán)，因此建立統(tǒng)一的《個(gè)人信息保護(hù)法》勢(shì)在必行。其次，相關(guān)信息保護(hù)法案要相互銜接，對(duì)于個(gè)人信息的范圍和法律適用要有良好的界定。最后，建議監(jiān)管部門成立專門的信息保護(hù)署，當(dāng)個(gè)人數(shù)據(jù)被非法利用時(shí)，要加大對(duì)數(shù)據(jù)控制者的處罰力度，追究相關(guān)責(zé)任人員的刑事責(zé)任。

四、結(jié)語(yǔ)

身處大數(shù)據(jù)時(shí)代，個(gè)人信息保護(hù)問(wèn)題亟待解決。GDPR被稱為“史上最嚴(yán)厲的信息保護(hù)法案”，它的相關(guān)規(guī)定對(duì)全世界的信息保護(hù)問(wèn)題研究產(chǎn)生了深刻的影響，不管是GDPR中數(shù)據(jù)主體的權(quán)利，數(shù)據(jù)控制者和處理者的義務(wù)，還是風(fēng)險(xiǎn)評(píng)估和問(wèn)責(zé)機(jī)制的相關(guān)規(guī)定都值得我們深入探究?；谖覈?guó)目前個(gè)人信息保護(hù)的現(xiàn)狀，希望通過(guò)優(yōu)化同意機(jī)制，建立風(fēng)險(xiǎn)評(píng)估和對(duì)舉證責(zé)任的重申，構(gòu)架出一條個(gè)人信息保護(hù)的新型路徑。