個(gè)人信息保護(hù)立法的域外借鑒

梅心荃

【關(guān)鍵詞】個(gè)人信息保護(hù);通用數(shù)據(jù)保護(hù)條例;GDPR;立法啟示

當(dāng)前，數(shù)字經(jīng)濟(jì)、人工智能、大數(shù)據(jù)技術(shù)飛速發(fā)展與應(yīng)用，每天需要對(duì)海量數(shù)據(jù)做統(tǒng)計(jì)性處理，個(gè)人信息在其中起著基礎(chǔ)性的作用。隨著個(gè)人信息成為企業(yè)提高核心競爭力的資產(chǎn)，公民個(gè)人信息的商用價(jià)值愈發(fā)凸顯，隨之而來的是公民個(gè)人信息的“裸奔”與形形色色的侵犯個(gè)人信息案件，公民個(gè)人信息的保護(hù)逐漸被社會(huì)所重視，成為時(shí)代必須回答之問。從APP兜售用戶個(gè)人隱私，非法買賣個(gè)人信息已成了新興行業(yè)，到企業(yè)利用大數(shù)據(jù)篩選“殺熟”，再到2021年“3·15”晚會(huì)曝光的商家違法收集顧客人臉信息，大量的侵犯公民個(gè)人信息案件層出不窮，甚至有愈演愈烈之勢，這正反映了當(dāng)前，我國在個(gè)人信息保護(hù)方面相關(guān)法律的空白，也警示我們?cè)诠駛€(gè)人信息保護(hù)方面的立法工作刻不容緩。

一、個(gè)人信息概述

（一）個(gè)人信息概念

《中華人民共和國民法典》第一千零三十四條規(guī)定，個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，實(shí)際上強(qiáng)調(diào)的是個(gè)人信息的“專屬識(shí)別性”，即通過特定的信息，從而能識(shí)別到特定的人。個(gè)人信息并不只表現(xiàn)為自然人的專屬信息，除了如自然人的身份證號(hào)、肖像、姓名、家庭住址、電話號(hào)碼等專屬信息，還可以通過組合分析一些看似不具有專屬性的信息，來識(shí)別特定的自然人，如某個(gè)人的興趣愛好、生活習(xí)慣等，都可以成為個(gè)人信息。

（二）個(gè)人信息法益的邏輯證成

個(gè)人信息概念中，最難厘定的莫過于個(gè)人信息究竟屬于法益還是權(quán)利，我國學(xué)者也經(jīng)常在個(gè)人信息的保護(hù)模式上，為是選擇法益保護(hù)模式還是權(quán)利保護(hù)模式有著不同的主張。歐盟、日本、韓國等對(duì)個(gè)人信息都采取了權(quán)利保護(hù)模式，而從現(xiàn)有法律來看，我國對(duì)個(gè)人信息采取是法益保護(hù)模式，實(shí)際上也意味著我國法律將個(gè)人信息視為一種法益所進(jìn)行保護(hù)。

我國民法典中的用詞為“自然人的個(gè)人信息受法律保護(hù)”，而不是“自然人的個(gè)人信息權(quán)受法律保護(hù)”，且在最新的《中華人民共和國個(gè)人信息保護(hù)法（草案第二次審議稿）》的第一條中規(guī)定：“為了保護(hù)個(gè)人信息權(quán)益，規(guī)范個(gè)人信息處理活動(dòng)……制定本法”，可以得出結(jié)論，我國對(duì)個(gè)人信息保護(hù)采取的是法益保護(hù)模式，即認(rèn)為個(gè)人信息是一種“法益”而不是一種“權(quán)利”。

（三）個(gè)人信息與隱私的界分

個(gè)人信息與隱私存在諸多共性，容易被混同，如個(gè)人信息與隱私都是一種人格權(quán)益，兩者在外觀上十分相似，受侵犯的方式也大多相同，如非法收集、泄露、轉(zhuǎn)讓等。美國法律將個(gè)人信息納入隱私權(quán)內(nèi)容中進(jìn)行保護(hù)，日本的《個(gè)人信息保護(hù)法》也將個(gè)人信息歸納到隱私當(dāng)中，但其實(shí)二者是兩個(gè)概念。我國民法典人格權(quán)編第六章為隱私權(quán)和個(gè)人信息保護(hù)，可以得知我國是將個(gè)人信息與隱私區(qū)分開進(jìn)行保護(hù)。

個(gè)人信息與隱私有著較大的區(qū)別，在內(nèi)容上，隱私權(quán)屬于人格權(quán)所保護(hù)的一種，是一種自然人精神上的權(quán)利，且在財(cái)產(chǎn)利益方面并不十分突出。而個(gè)人信息則是一種綜合性的法益，對(duì)其的保護(hù)不僅要體現(xiàn)精神方面，還要兼顧財(cái)產(chǎn)利益方面。

在表現(xiàn)形式上，個(gè)人信息多是以數(shù)字、文字等載體表達(dá)出來的信息，而隱私并不一定需要文字、數(shù)字等載體表現(xiàn)出來，如私密的空間，私密的活動(dòng)。隱私與個(gè)人信息的區(qū)別要落到“隱”和“私”上，即不愿為他人知曉的主觀要件。

二、我國個(gè)人信息保護(hù)立法

（一）我國個(gè)人信息保護(hù)現(xiàn)狀

相較于國外，我國在個(gè)人信息保護(hù)方面的立法起步較晚，但是發(fā)展較快。2016年8月的“徐玉玉案”為保護(hù)公民個(gè)人信息敲響警鐘，同年11月公布的《中華人民共和國民法總則（草案）》第二次審議稿也增加了公民個(gè)人信息保護(hù)的條款，即109條——自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人不得非法收集、利用、加工、傳輸個(gè)人信息不得非法提供、公開或者出售個(gè)人信息。

2020年10月13日，十三屆全國人大常委會(huì)委員長會(huì)議提出了關(guān)于提請(qǐng)審議個(gè)人信息保護(hù)法草案的議案，這表明我國將在個(gè)人信息保護(hù)方面單獨(dú)立法，且保護(hù)的主要力量將從公法轉(zhuǎn)為私法，未來將出臺(tái)施行《中華人民共和國個(gè)人信息保護(hù)法》，表明了我國對(duì)保護(hù)公民個(gè)人信息的決心，也極大地保障了公民個(gè)人信息不受不法侵犯。

以上可以得出結(jié)論，相較于歐美等發(fā)達(dá)國家，我國在個(gè)人信息保護(hù)方面的立法稍顯落后，發(fā)展卻較為迅速，通過多年的不懈努力，已初步形成了對(duì)公民個(gè)人信息保護(hù)的體系。但法律具有一定的滯后性，互聯(lián)網(wǎng)的發(fā)展日新月異，侵犯公民個(gè)人信息的方式與方法也在不斷變化，現(xiàn)行法律對(duì)個(gè)人信息保護(hù)的力度還稍有不足。為了適應(yīng)新形勢下的新內(nèi)容，我國仍需要繼續(xù)深入研究保護(hù)個(gè)人信息的方法與制度，相關(guān)立法工作仍然不能停止。

（二）我國當(dāng)前個(gè)人信息保護(hù)分析

1、法律法規(guī)保護(hù)

我國現(xiàn)有關(guān)于個(gè)人信息保護(hù)的法律及具有法律性質(zhì)的文件有《中華人民共和國民法典》（第一百一十一條、第一千零三十四條、第一千零三十五條）、《中華人民共和國網(wǎng)絡(luò)安全法》（第四十四條、四十五條、七十六條）以及《全國人大常委會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》（第一條）等。

針對(duì)各種APP擅自收集用戶個(gè)人信息，售賣用戶個(gè)人信息，侵犯用戶隱私的亂象，工業(yè)與信息化部發(fā)布了《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范》，并正在起草《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序個(gè)人信息保護(hù)管理暫行規(guī)定》，結(jié)合已經(jīng)公布施行了的《中華人民共和國電信條例》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《寄遞服務(wù)用戶個(gè)人信息安全管理規(guī)定》、《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》等法律法規(guī)，形成了較為體系化的個(gè)人信息保護(hù)措施，有力保障了個(gè)人信息安全。

2、我國個(gè)人信息保護(hù)的困境

缺乏協(xié)調(diào)引發(fā)法律適用的困難性。我國在個(gè)人信息保護(hù)立法上呈現(xiàn)出多層次，多元化的特征，有法律、法律效力的決定、行政法規(guī)與部門規(guī)章，互相之間難以做到統(tǒng)攝，缺乏協(xié)調(diào)性與混亂性。以對(duì)“個(gè)人信息”的定義為例，《網(wǎng)絡(luò)安全法》、《侵害消費(fèi)者權(quán)益行為處罰辦法》、《民法典》都有著不同的定義，在司法實(shí)踐中將造成一些制度的不周延，對(duì)法律適用產(chǎn)生一定的困難，導(dǎo)致對(duì)個(gè)人信息很難起到全面、有效地保護(hù)。

缺乏專門立法，引發(fā)法律適用的混亂性。雖然我國有多部法律法規(guī)對(duì)個(gè)人信息保護(hù)有所規(guī)定，但多是附帶性的規(guī)定，缺乏統(tǒng)一、專門的立法，個(gè)人信息保護(hù)方面特定的立法如《中華人民共和國個(gè)人信息保護(hù)法》仍處于草案階段。以《中華人民共和國網(wǎng)絡(luò)安全法》為例，對(duì)于個(gè)人信息保護(hù)的規(guī)定也只存在于四十四條、四十五條等極少數(shù)條文中，顯然無法應(yīng)對(duì)當(dāng)前保護(hù)個(gè)人信息的各種情形。

公、私法保護(hù)力度不一導(dǎo)致救濟(jì)的失調(diào)性。我國現(xiàn)有的個(gè)人信息保護(hù)體系，可以看出組成部分大多數(shù)是公法與行政法規(guī)，雖然以公法的形式保護(hù)個(gè)人信息有其優(yōu)點(diǎn)，如在監(jiān)管與處罰上有著較好的執(zhí)行力，但個(gè)人信息也離不開私法的保護(hù)，尤其是在保障個(gè)人信息受到侵犯時(shí)的救濟(jì)途徑方面，補(bǔ)強(qiáng)在信息處理者、政府、自然人之間利益關(guān)系最弱的一方。當(dāng)前私法保護(hù)中仍存在一定的問題，信息處理者利用信息、處理信息的過程，都被信息處理這絕對(duì)掌握，在此背景下繼續(xù)適用民事訴訟中“誰主張誰舉證”的原則，則被侵犯個(gè)人信息者很難舉證，從而維護(hù)自身的合法權(quán)益。

三、《通用數(shù)據(jù)保護(hù)條例》（GDPR）分析

（一）《通用數(shù)據(jù)保護(hù)條例》的時(shí)代背景

歐盟《通用數(shù)據(jù)保護(hù)法案》（GDPR）于2018年5月25日出臺(tái)，其前身，是歐盟于1995年制定的《計(jì)算機(jī)數(shù)據(jù)保護(hù)法》，一經(jīng)發(fā)布，就引起了全世界的關(guān)注。大數(shù)據(jù)時(shí)代，個(gè)人的數(shù)據(jù)、信息等隱私安全尤其重要，從國內(nèi)某衛(wèi)生系統(tǒng)內(nèi)部，泄露數(shù)十萬條母嬰信息，到國外的Facebook泄露2.67億用戶數(shù)據(jù)，《通用數(shù)據(jù)保護(hù)條例》的公布，正是歐盟在新時(shí)代背景下，保護(hù)信息安全呼聲中的一次大膽探索。當(dāng)前，國內(nèi)個(gè)人信息、數(shù)據(jù)保護(hù)方面存在相當(dāng)大的法律空白，對(duì)侵犯公民個(gè)人信息、數(shù)據(jù)的行為缺乏有力的打擊，基于此，歐盟此次通過的《通用數(shù)據(jù)保護(hù)條例》，很大程度上對(duì)我國今后在相關(guān)方面的立法，有著重要的借鑒意義。

（二）《通用數(shù)據(jù)保護(hù)條例》特點(diǎn)

《通用數(shù)據(jù)保護(hù)條例》由包括序言在內(nèi)的十一個(gè)部分，九十九個(gè)條款組成，其主要內(nèi)容包含地域適用范圍、數(shù)據(jù)主體的權(quán)利、數(shù)據(jù)處理者與數(shù)據(jù)保護(hù)官等內(nèi)容。在適用主體方面，《通用數(shù)據(jù)保護(hù)條例》明確表示，保護(hù)的是自然人的權(quán)利，第一章第一條：“本法保護(hù)自然人的基本權(quán)利和自由，尤其是自然人的個(gè)人數(shù)據(jù)保護(hù)權(quán)”。由此可見，法人與其他非自然人組織，是不受《通用數(shù)據(jù)條例》的保護(hù)的。

在適用范圍方面，《通用數(shù)據(jù)條例》管轄范圍是極大的，對(duì)于設(shè)立在歐盟境內(nèi)的數(shù)據(jù)處理主體，GDPR具有管轄權(quán)。對(duì)于設(shè)立在歐盟境外的數(shù)據(jù)處理主體，如果處理的數(shù)據(jù)主體涉及歐盟，GDPR也是具有管轄權(quán)的。假設(shè)一家在中國注冊(cè)的公司，收集的用戶信息中，包括歐盟成員國公民的信息，GDPR對(duì)其也是存在管轄權(quán)的。

在定義個(gè)人數(shù)據(jù)方面，GDPR將個(gè)人數(shù)據(jù)定義為：“任何指向一個(gè)已識(shí)別或者可識(shí)別的自然人（數(shù)據(jù)主體）的信息，該可識(shí)別的自然人能夠被直接或者間接地識(shí)別”。在法案中，這種信息包括姓名、身份證號(hào)碼等能直接體現(xiàn)自然人的信息，也包括自然人的生理、心理、基因等“間接信息“，可以說，GDPR對(duì)個(gè)人數(shù)據(jù)的定義較為寬泛，有很大的解讀空間。

《通用數(shù)據(jù)保護(hù)條例》加大了對(duì)數(shù)據(jù)主體權(quán)利的保護(hù)力度，一方面，GDPR明確規(guī)定了數(shù)據(jù)主體所享有的權(quán)利，包括知情權(quán)、擦除權(quán)（被遺忘權(quán)）、拒絕權(quán)和數(shù)據(jù)可攜帶權(quán)等。其中值得一提的是擦除權(quán)也稱為被遺忘權(quán)，其實(shí)質(zhì)是，數(shù)據(jù)主體可以根據(jù)其主觀意愿，或者在必要時(shí)要求數(shù)據(jù)控制者刪除其數(shù)據(jù)。某種意義上，此項(xiàng)權(quán)利有力地保障了數(shù)據(jù)主體的權(quán)利，但同時(shí)也極大增加了數(shù)據(jù)控制者的運(yùn)作難度，對(duì)數(shù)據(jù)控制者也是一次新的挑戰(zhàn)。另一方面，處理個(gè)人數(shù)據(jù)需要有合法理由，GDPR也將數(shù)據(jù)主體的同意，作為數(shù)據(jù)控制者處理數(shù)據(jù)的唯一合法依據(jù)，強(qiáng)調(diào)數(shù)據(jù)主體的同意，必須是清楚、明確的，任何企業(yè)通過“模糊的條款”取得用戶的同意，都將被認(rèn)為是違法的，用戶可以隨時(shí)撤回自己的同意。

在處罰力度上，歐盟延續(xù)了一貫極度重視個(gè)人隱私的傳統(tǒng)，面對(duì)違反《通用數(shù)據(jù)保護(hù)條例》的企業(yè)，最高可處以2000萬歐元或者企業(yè)上一財(cái)年全球營業(yè)總額4%的處罰。任何企業(yè)都無法淡然面對(duì)如此沉重的處罰，在GDPR出臺(tái)后不久，世界各國的企業(yè)都有所行動(dòng)，美國的蘋果公司對(duì)隱私政策進(jìn)行了修改，即首次允許用戶徹徹底底注銷自己的蘋果ID。在國內(nèi)，騰訊公司的QQ國際版與微信國際版被停用，用戶必須升級(jí)到最新版本才可繼續(xù)使用，而新版本相較于老版本也進(jìn)行了改動(dòng)，如一個(gè)賬號(hào)連續(xù)180天未登陸，那么這個(gè)賬號(hào)將被注銷，一個(gè)賬號(hào)的聊天記錄也只能保存72小時(shí)，之后將會(huì)被永久刪除。

《通用數(shù)據(jù)保護(hù)條例》有著其亮眼之處，明確設(shè)立了“數(shù)據(jù)保護(hù)官”的職位，這也是GPDR的一大亮點(diǎn)。數(shù)據(jù)保護(hù)官并非GDPR的首創(chuàng)，早在20世紀(jì)的德國，就曾提出過數(shù)據(jù)保護(hù)官的概念，并在當(dāng)時(shí)的企業(yè)中任職，但GDPR對(duì)此職位的規(guī)定，其相關(guān)的權(quán)利義務(wù)規(guī)定地更為明確。GDPR規(guī)定，數(shù)據(jù)保護(hù)官的工作內(nèi)容包括，對(duì)企業(yè)提出意見和建議，需要負(fù)責(zé)監(jiān)控所在企業(yè)處理數(shù)據(jù)活動(dòng)的合規(guī)合法性，通過一系列方式提高員工的數(shù)據(jù)保護(hù)意識(shí)等。根據(jù)GDPR第三十八條的規(guī)定，數(shù)據(jù)保護(hù)官應(yīng)當(dāng)獨(dú)立行使其職權(quán)，履行其義務(wù)，不能受所雇公司意志的影響。

對(duì)于各成員國之間管理、協(xié)調(diào)可能會(huì)出現(xiàn)的問題，《通用數(shù)據(jù)保護(hù)條例》確定了“一站式”原則，建立了“一致性”的體系。GDPR規(guī)定歐盟一個(gè)以上成員國經(jīng)營的公司只與其主要機(jī)構(gòu)所在地國家的數(shù)據(jù)保護(hù)主管機(jī)構(gòu)合作，這就避免了適用法律混亂的局面，保證了決策的法律確定性，極大地提高了效率。為此GDPR設(shè)立了歐盟數(shù)據(jù)保護(hù)理事會(huì)與歐盟數(shù)據(jù)保護(hù)監(jiān)督局，負(fù)責(zé)落實(shí)GDPR的實(shí)施與處理用戶的投訴與意見，兩個(gè)機(jī)構(gòu)與“數(shù)據(jù)保護(hù)官”形成了一套從內(nèi)到外的監(jiān)督管理體系。如此“一站式”監(jiān)管體系，在保障了用戶個(gè)人數(shù)據(jù)安全的同時(shí)，也方便了企業(yè)的運(yùn)作，一定程度上減少了企業(yè)決策的不確定性因素。

（三）《通用數(shù)據(jù)保護(hù)條例》不足

1、新概念較多，解讀難以統(tǒng)一

《通用數(shù)據(jù)保護(hù)條例》中存在許多新確定的權(quán)利和新設(shè)立的制度，如在第三章中提出了較多的新概念，如擦除權(quán)、數(shù)據(jù)可攜帶權(quán)、限制處理權(quán)等，但是縱觀GDPR的全文，只規(guī)定清楚了數(shù)據(jù)主體所享有的權(quán)利，并未對(duì)相關(guān)的權(quán)利概念進(jìn)行詳細(xì)闡述，這就可能造成適用條件或者適用尺度的不同，進(jìn)而導(dǎo)致法律的不確定性變大。如上文所述，即使歐盟專門設(shè)立歐盟數(shù)據(jù)保護(hù)理事會(huì)這個(gè)部門，去處理有關(guān)數(shù)據(jù)保護(hù)的工作，一些權(quán)利概念的不明確，也可能導(dǎo)致其部門內(nèi)部對(duì)此解讀不一，若真出現(xiàn)此類情況，這對(duì)該部門乃至GDPR的公信力是不小的打擊。

2、權(quán)利義務(wù)的失衡，后果難料

《通用數(shù)據(jù)保護(hù)條例》實(shí)施后，其最終的實(shí)施效果如何還有待觀察，但就GDPR的內(nèi)容來看，整個(gè)法案中規(guī)定的權(quán)利大多數(shù)都是數(shù)據(jù)主體的權(quán)利，法案中規(guī)定的義務(wù)大多數(shù)都是數(shù)據(jù)控制者的義務(wù)，數(shù)據(jù)控制者稍有違反GPDR，面臨的就將會(huì)是巨額的罰金。在GDPR的規(guī)定中，數(shù)據(jù)主體與數(shù)據(jù)控制者雙方的權(quán)利義務(wù)完全失衡，GDPR確實(shí)有力保障了數(shù)據(jù)主體的權(quán)利，但數(shù)據(jù)控制者是否有能力承擔(dān)如此多的義務(wù)呢？是否存在該種可能，一些中小企業(yè)，在GDPR實(shí)施后極大加重了運(yùn)行的成本和負(fù)擔(dān)，導(dǎo)致破產(chǎn)倒閉？其結(jié)果我們不得而知，只能經(jīng)由時(shí)間給出一個(gè)答案。

四、GDPR對(duì)我國個(gè)人信息保護(hù)啟示

（一）我國個(gè)人信息保護(hù)立法缺失

隨著社會(huì)的飛速發(fā)展，社會(huì)信息化程度不斷提高，出現(xiàn)了大數(shù)據(jù)、人臉識(shí)別技術(shù)等時(shí)代進(jìn)步產(chǎn)物.在方便人們?nèi)粘Ｉ畹耐瑫r(shí)，也拓寬了侵犯公民個(gè)人信息的途徑。這些都是社會(huì)進(jìn)步的結(jié)果，我們不能阻止社會(huì)的進(jìn)一步信息化，但是可以通過立法，保護(hù)公民的隱私不受侵犯。

就當(dāng)前我國現(xiàn)狀，缺乏系統(tǒng)、較為全面地對(duì)公民個(gè)人信息進(jìn)行保護(hù)，以《中華人民共和國民法典》為例，也只是在第一百一十一條、第一千零三十四條、第一千零三十五條規(guī)定了個(gè)人信息受法律保護(hù)，以及個(gè)人信息的定義與處理的原則和條件。顯然，這并不能滿足當(dāng)前形勢下對(duì)公民個(gè)人信息保護(hù)的需要，我國急需一部全面、具體、能夠普遍使用，對(duì)公民個(gè)人信息有著強(qiáng)有力保護(hù)的法律。若不抓緊立法，容易造成在個(gè)人信息保護(hù)方面成為“規(guī)則洼地”，這不利于我國維護(hù)信息安全與科技、經(jīng)濟(jì)的發(fā)展。

（二）“長臂管轄”條款缺失

在《APP收集使用個(gè)人信息最小必要評(píng)估規(guī)范總則》中，只是制定了行業(yè)標(biāo)準(zhǔn)，但未對(duì)適用地域范圍、主體作出明確規(guī)定。在《中華人民共和國網(wǎng)絡(luò)安全法》第二條中雖然有所規(guī)定，但較為籠統(tǒng)，對(duì)經(jīng)營、建設(shè)、使用網(wǎng)絡(luò)缺乏明確的定義。

而GDPR有著較為詳細(xì)的規(guī)定與定義，在第3條地域范圍內(nèi)規(guī)定到：“本條例適用于如下相關(guān)活動(dòng)中的個(gè)人數(shù)據(jù)處理，即使數(shù)據(jù)控制者或者處理者不在歐盟設(shè)立”，這意味著企業(yè)即使不在歐盟境內(nèi)，但只要涉及處理歐盟成員國公民的個(gè)人信息，都必須受到GDPR的約束。而中國目前現(xiàn)有的法律，在這方面仍存在空白，這不僅不利于保護(hù)我國公民的個(gè)人信息，還容易遭到企業(yè)的“雙重標(biāo)準(zhǔn)”。以微信國際版為例，其在隱私條款中對(duì)于中國大陸居民規(guī)定如下：“您將受微信服務(wù)條款和微信隱私政策的約束，而不受本隱私政策的約束”，而對(duì)于歐盟境內(nèi)的居民則規(guī)定：“您對(duì)我們所持有的關(guān)于您的個(gè)人信息擁有某些權(quán)利，詳見下文。”顯而易見，在GDPR約束下制定出來的微信國際版隱私條款，對(duì)用戶個(gè)人信息的保護(hù)力度比微信服務(wù)條款、微信隱私政策要大得多。

（三）基礎(chǔ)概念定義缺失

《民法典》、《網(wǎng)絡(luò)安全法》、草案狀態(tài)中的《中華人民共和國個(gè)人信息保護(hù)法（二審稿）》等，都缺乏對(duì)基本概念的定義。如《個(gè)人信息保護(hù)法（二審稿）》只在第四條對(duì)個(gè)人信息進(jìn)行了定義，且描述十分簡潔，對(duì)處理行為、信息處理者、信息控制者等重要概念更是只字未提。

GDPR在第4條定義中，對(duì)個(gè)人數(shù)據(jù)、處理、用戶畫像、處理者、控制者等基礎(chǔ)概念，進(jìn)行了詳細(xì)的定義與規(guī)定，而對(duì)比我國現(xiàn)有相關(guān)的法律，都對(duì)相關(guān)的概念缺少詳細(xì)的定義，相關(guān)條文簡潔明了，實(shí)際上給適用法律留下了太多不確定性因素，在司法實(shí)踐中將造成法律適用的困難。

（四）法律沖突中適用法律規(guī)定缺失

我國民法典中有保護(hù)個(gè)人信息的條款，仍處于草案狀態(tài)中的個(gè)人信息保護(hù)法也有保護(hù)個(gè)人信息的條款，二者究竟是何關(guān)系？個(gè)人信息保護(hù)法是不是民法典的特別法？法律相沖突中如何適用法律？若個(gè)人信息保護(hù)法屬于特別法，這將沖擊民法典體系化立法的意義，從而影響民法典的權(quán)威。

GDPR在第二條中的第三第四款、第九十四條、第九十五條等，將與GDPR相沖突的法律法規(guī)已經(jīng)列明并規(guī)定了沖突中的法律適用問題。對(duì)于與GDPR有沖突的法律條文或規(guī)則，都進(jìn)行了詳細(xì)說明，或廢除相關(guān)指令，或規(guī)定某些指令不受GDPR影響。

五、個(gè)人信息侵權(quán)責(zé)任

民法典與尚未出臺(tái)的個(gè)人信息保護(hù)法，都對(duì)侵犯個(gè)人信息的行為有較為詳盡的規(guī)定，民法典第一千零三十四條規(guī)定：“個(gè)人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的，適用有關(guān)個(gè)人信息保護(hù)的規(guī)定”，對(duì)于侵犯自然人個(gè)人信息對(duì)自然人造成的損失，可以參照侵權(quán)責(zé)任編處理?！吨腥A人民共和國個(gè)人信息保護(hù)法（二審稿）》第六十五條更是對(duì)處罰就行了細(xì)化，處罰手段包括：責(zé)令改正、給予警告、沒收違法所得和罰款等等。

需要探討的是，侵犯個(gè)人信息是否可以適用民法典第九百九十五條的規(guī)定，筆者認(rèn)為，個(gè)人信息受到侵犯是可以適用第九百九十五條的規(guī)定，即除了請(qǐng)求侵害人承擔(dān)民事責(zé)任外，還享有停止侵害、排除妨礙、消除危險(xiǎn)、恢復(fù)名譽(yù)、賠禮道歉等一系列請(qǐng)求權(quán)。原因是民法典將隱私權(quán)與個(gè)人信息保護(hù)一起規(guī)定在人格權(quán)編中，實(shí)際上是將個(gè)人信息視作了一種人格權(quán)利益，當(dāng)個(gè)人信息受到侵犯時(shí)，自然可以適用有關(guān)人格權(quán)的相關(guān)規(guī)定。