網(wǎng)絡(luò)空間中個人信息保護的法律途徑
—— 以《個人信息保護法》為視角

吳文博，唐 艷

（國家無線電監(jiān)測中心哈爾濱監(jiān)測站，黑龍江 哈爾濱 150010）

0 引言

隨著信息技術(shù)的不斷發(fā)展，個人電腦、智能手機已成為現(xiàn)代人生活中不可或缺的一部分。以社交平臺、電子商務(wù)平臺、外賣軟件、手機銀行等為代表的各類應(yīng)用程序充斥著人們的工作與生活，為人們提供便捷、高效的服務(wù)，同時也在不斷地收集和使用人們的個人信息，有些信息涉及用戶的個人隱私，會對用戶的個人生活產(chǎn)生不良的影響。因此，需要制定和完善相關(guān)法律體系，來規(guī)范互聯(lián)網(wǎng)中公司或個人收集和使用用戶信息的行為，進而保護公民個人信息的安全。

1 網(wǎng)絡(luò)空間中個人信息安全存在的風(fēng)險和問題

當(dāng)前，網(wǎng)絡(luò)空間中個人信息保護存在的風(fēng)險和問題主要來源于以下幾個方面。

首先，大數(shù)據(jù)的技術(shù)特性以及個人信息的收集和不當(dāng)使用會為個人信息的保護帶來巨大的安全性風(fēng)險[1]。一方面移動智能終端高度集成了攝像頭、GPS等傳感器和設(shè)備，使得智能終端中的軟件應(yīng)用程序可以通過對相關(guān)設(shè)備及數(shù)據(jù)的調(diào)用來獲取所需要的個人信息，這無疑增加了用戶個人信息被非法使用的風(fēng)險。另一方面，在“互聯(lián)網(wǎng)+”的時代背景下，以無線電通信技術(shù)和智能裝置為基礎(chǔ)的物聯(lián)網(wǎng)行業(yè)發(fā)展迅猛，大量可以獲得用戶圖像和信息的智能設(shè)備被接入到公網(wǎng)中，也增加了用戶個人信息被竊取和濫用的風(fēng)險。

再者，用戶的個人信息可能會受到來自個人信息處理者以及網(wǎng)絡(luò)運營者的威脅。這里的個人信息處理者是《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的概念，該法中并未對其進行明確的定義，可以簡單的理解為處理個人信息的組織、個人；而《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱為《網(wǎng)絡(luò)安全法》）第七十六條則將網(wǎng)絡(luò)運營者明確定義為網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。筆者認(rèn)為個人信息處理者與網(wǎng)絡(luò)運營者兩個概念存在著一定的交叉，網(wǎng)絡(luò)運營者在為用戶提供網(wǎng)絡(luò)服務(wù)的過程中會涉及用戶個人信息的處理，而利用網(wǎng)絡(luò)從事相關(guān)業(yè)務(wù)的個人信息處理者也可能是網(wǎng)絡(luò)服務(wù)提供者。但無論是個人信息處理者，還是網(wǎng)絡(luò)運營者；一旦缺少相關(guān)法律的約束以及內(nèi)部管理制度的規(guī)范，無法對公司或個人形成有效的約束，都會導(dǎo)致用戶的個人信息被非法的收集和使用，從而對用戶的個人信息安全產(chǎn)生威脅。

最后，相關(guān)法律和監(jiān)管制度的不健全也是導(dǎo)致網(wǎng)絡(luò)空間中個人信息保護困難重重的重要因素。盡管，隨著我國法制進程的不斷推進，以《網(wǎng)絡(luò)安全法》《個人信息保護法》為代表的法律法規(guī)相繼出臺，但在司法實踐中不同法律之間的銜接還存在著一定程度的問題和不足。另外，我國現(xiàn)有的針對網(wǎng)絡(luò)和信息安全的行業(yè)標(biāo)準(zhǔn)與測評體系還不夠健全，具有信息安全測評的機構(gòu)較少，這些因素都不利于用戶個人信息的保護。

2 《個人信息保護法》的主要內(nèi)容

《個人信息保護法》的主要內(nèi)容可分為以下幾個方面。

（1）總則?！秱€人信息保護法》第一章為總則，交待了該法相關(guān)的一些基本問題。首先，根據(jù)“屬地管轄”與“保護管轄”的原則，確定了該法的適用范圍；即無論是在中華人民共和國境內(nèi)還是境外，只要是處理境內(nèi)自然人個人信息的活動，就適用于本法。其次，該法在第四條中對個人信息以及個人信息處理的范圍進行定義[2]；個人信息是指除匿名化處理的信息以外，任何與已識別或可識別的自然人有關(guān)的信息，這類信息通常以電子形式為主；而個人信息的處理主要是指對個人信息的收集、存儲、使用、加工、傳輸?shù)雀黝惢顒?。最后，該法?guī)定了個人信息處理者在處理個人信息的過程中，應(yīng)遵循誠信原則、最小影響原則、最小范圍原則、公開透明原則等基本原則，以規(guī)范個人信息處理者的行為，防止對公民個人信息的過度收集，從而保護公民的個人信息安全。

（2）個人信息處理規(guī)則。《個人信息保護法》第二章為個人信息處理規(guī)則，該部分由一般規(guī)定、敏感個人信息的處理規(guī)則、國家機關(guān)處理個人信息的特別規(guī)定三部分組成，而“個人信息處理者的告知義務(wù)、個人的知情與同意”始終是個人信息處理的核心[3]。一般規(guī)定中，首先明確了個人信息處理者處理個人信息的條件，即需要個人的同意，但在履行合同、應(yīng)對突發(fā)事件、為公共利益實施等特殊條件下，也可以無須個人同意；其次，個人信息處理者需嚴(yán)格履行告知義務(wù)，需以顯著、易懂、準(zhǔn)確、完整的方式向個人告知——自身名稱及聯(lián)系方式、個人信息處理的目的、方式以及保存期限，乃至個人行使自身權(quán)利的方式和程序；再者，該法嚴(yán)格限制了個人信息的流轉(zhuǎn)，不僅共同處理個人信息的個人信息處理者需承擔(dān)連帶責(zé)任，個人信息處理者在委托他人處理個人信息、受托人的轉(zhuǎn)委托以及自身的合并、分立、解散等條件下都有嚴(yán)格的法律程序予以限制；最后，對于“大數(shù)據(jù)殺熟”以及“公共場所個人信息安全”等社會公眾關(guān)心的熱點問題，該法在第二十四條、二十六條也有明確的規(guī)定以保護個人信息的安全。敏感個人信息的處理規(guī)則中，首先對敏感個人信息進行定義，即可能導(dǎo)致人格尊嚴(yán)以及人身、財產(chǎn)安全受到危害的個人信息——如生物信息、宗教信仰、身份信息、健康信息、金融賬戶信息等以及不滿十四周歲未成年人的個人信息等；考慮到敏感信息的特殊性，該法對于敏感個人信息的處理更為謹(jǐn)慎，不僅需要個人信息處理者履行更為嚴(yán)格的告知義務(wù)，也需要在處理個人信息時得到個人更高的授予權(quán)限，因此需要個人的單獨同意甚至是書面同意；出于對未成年人權(quán)益的特殊保護，個人信息處理者在處理不滿十四周歲未成年人信息時需取得其監(jiān)護人的同意，并制定專門的處理規(guī)則。對于處理個人信息的國家機關(guān)，也應(yīng)嚴(yán)格履行相應(yīng)的告知義務(wù)，依法、依規(guī)開展個人信息處理活動，不能超越法定職責(zé)的范圍與限度，對于向境外提供的個人信息還應(yīng)進行必要的安全評估。

（3）個人信息跨境提供的規(guī)則?！秱€人信息保護法》第三章為個人信息跨境提供的規(guī)則，該法對于個人信息的跨境提供行為有著嚴(yán)格的法律規(guī)定，不僅體現(xiàn)了大數(shù)據(jù)時代下的國家數(shù)據(jù)主權(quán)，也切實維護了公民個人信息安全乃至國家安全。個人信息處理者若向境外提供個人信息需滿足國家網(wǎng)信部門的安全評估、專業(yè)機構(gòu)的個人信息保護認(rèn)證、按照國家網(wǎng)信部門制定的標(biāo)準(zhǔn)合同與境外接收方簽訂合同等條件之一；個人信息處理者向境外提供個人信息需履行更為嚴(yán)格的告知義務(wù)并取得個人的單獨同意；關(guān)鍵信息基礎(chǔ)設(shè)施運營者以及處理個人信息達到規(guī)定數(shù)量的個人信息處理者，其在境內(nèi)收集和產(chǎn)生的個人信息均應(yīng)存儲在境內(nèi)；對于侵害我國公民個人信息權(quán)益、危害國家安全和公共利益的組織和個人，可列入限制或禁止提供個人信息清單，而對于其他國家或地區(qū)歧視性的限制或禁止措施，我國也可根據(jù)實際情況采取相應(yīng)的反制措施。

3 網(wǎng)絡(luò)空間中《個人信息保護法》的實現(xiàn)途徑

不同于《網(wǎng)絡(luò)安全法》以及《數(shù)據(jù)安全法》中針對網(wǎng)絡(luò)空間中個人數(shù)據(jù)及信息安全的保護規(guī)定較為籠統(tǒng)、零散，《個人信息保護法》作為專門保護公民個人信息安全的國家法律，對于網(wǎng)絡(luò)空間中個人信息的保護具有重要意義。

首先，在當(dāng)今“互聯(lián)網(wǎng)+”的時代背景下，信息技術(shù)高速發(fā)展，現(xiàn)如今公民的個人信息主要是以電子形式存在的，而基于電子形式的個人信息更易于在網(wǎng)絡(luò)空間中進行流轉(zhuǎn)。人們在使用互聯(lián)網(wǎng)并獲得各類便捷的互聯(lián)網(wǎng)服務(wù)的同時，也可能成為個人信息收集和使用的對象；而所有處理人們個人信息的公司及個人都可以被稱作個人信息處理者，無論其處于境內(nèi)還是境外，均受《個人信息保護法》所約束；這也充分體現(xiàn)了國家對于網(wǎng)絡(luò)空間中公民信息安全的保護。而最小影響原則、最小范圍原則等法律原則的規(guī)定，更是嚴(yán)格限制了個人信息處理者處理個人信息的范圍，從源頭上減少可能對公民個人造成不良影響的風(fēng)險，而網(wǎng)信辦等部門聯(lián)合發(fā)布的《常見類型移動互聯(lián)網(wǎng)應(yīng)用程序必要個人信息范圍規(guī)定》就是這類原則在網(wǎng)絡(luò)空間中個人信息保護的具體體現(xiàn)。

其次，《個人信息保護法》強化了個人信息處理者的告知義務(wù)以及公民對個人信息處理的決定權(quán)，而“個人信息處理者的告知義務(wù)、個人的知情與同意”作為個人信息處理的核心，尤其是對移動互聯(lián)網(wǎng)應(yīng)用程序中個人信息的保護具有重要意義。通常人們在開始使用各類移動互聯(lián)網(wǎng)應(yīng)用程序時，都需要與應(yīng)用程序提供者簽署《用戶服務(wù)協(xié)議》以及《隱私政策》等文件后方可進行使用；而對用戶不利的規(guī)定很可能就隱藏在眾多復(fù)雜、晦澀的格式條款中，個人用戶很難識別其中存在的陷阱和漏洞；這也使得用戶更傾向于同意相關(guān)的協(xié)議要求，以獲得自身對于應(yīng)用程序的使用及相關(guān)便利。該法通過對個人信息處理者告知義務(wù)的強化，使得個人用戶能夠清楚地了解相關(guān)個人信息的收集范圍以及可能產(chǎn)生的不良影響，進而做出是否接受相關(guān)個人信息處理的決定，這也體現(xiàn)了該法對網(wǎng)絡(luò)空間中用戶知情權(quán)和決定權(quán)的保護作用。

其三，《個人信息保護法》針對網(wǎng)絡(luò)空間中基于個人信息的自動化決策以及“大數(shù)據(jù)殺熟”行為進行嚴(yán)格的規(guī)范與約束。該法第二十四條中不僅明確禁止個人信息處理者在自動化決策中，對于個人交易價格等交易條件實行不合理的差別待遇；而且要求個人信息處理者在利用自動化決策方式進行商業(yè)營銷及信息推送的同時，提供不針對個人特征的選項以及便捷的拒絕方式；這些規(guī)定不僅有利于保護電子商務(wù)中個人用戶的公平交易權(quán)，更有利于實現(xiàn)對個人用戶隱私權(quán)等人格尊嚴(yán)權(quán)的保護，避免用戶受到各類營銷短信、電話以及郵件信息的騷擾。

其四，《個人信息保護法》在第五十八條重點強調(diào)了提供重要互聯(lián)網(wǎng)服務(wù)、用戶量巨大、業(yè)務(wù)類型復(fù)雜的規(guī)模個人信息處理者的責(zé)任和義務(wù)。不僅要求該類個人信息處理者建立和完善個人信息保護的內(nèi)部管理制度和流程，還需要引入第三方獨立機構(gòu)進行個人信息保護情況的監(jiān)督，并強化了互聯(lián)網(wǎng)平臺提供者對于平臺內(nèi)產(chǎn)品或服務(wù)提供者的監(jiān)督與管理責(zé)任。以電子商務(wù)平臺和互聯(lián)網(wǎng)金融平臺為例，這類平臺有義務(wù)對其平臺內(nèi)產(chǎn)品或服務(wù)的提供者如非自營店鋪、保險公司等處理個人信息的行為進行監(jiān)督和管理；用戶個人也可以針對平臺內(nèi)產(chǎn)品或服務(wù)提供者違規(guī)處理個人信息的行為向互聯(lián)網(wǎng)平臺提供者進行投訴、舉報，互聯(lián)網(wǎng)平臺應(yīng)及時進行處理，從而保護用戶個人信息的安全。

最后，《個人信息保護法》明確了相關(guān)監(jiān)管部門保護個人信息的責(zé)任與義務(wù)；通過組織開展應(yīng)用程序?qū)€人信息保護的測評工作，建立針對小型個人信息處理者、敏感個人信息以及人臉識別、人工智能等新技術(shù)的個人信息保護規(guī)則、標(biāo)準(zhǔn)，進行電子身份認(rèn)證技術(shù)等新技術(shù)的研究、應(yīng)用和推廣；從技術(shù)層面上，降低網(wǎng)絡(luò)空間中個人信息受到不法侵害的風(fēng)險，從而保護用戶個人的合法權(quán)益。

4 結(jié)束語

信息技術(shù)的不斷發(fā)展、物聯(lián)網(wǎng)技術(shù)和設(shè)備的廣泛應(yīng)用，急劇增加了網(wǎng)絡(luò)空間中威脅個人信息安全的外部風(fēng)險；而網(wǎng)絡(luò)空間中某些不法個人信息處理者，甚至將收集和處理的個人信息作為自身謀取非法利益的工具，更加劇了個人信息被竊取和濫用的風(fēng)險?！吨腥A人民共和國個人信息保護法》作為一部專門針對公民個人信息保護的國家法律；強化了個人信息處理者的告知義務(wù)以及公民對個人信息處理的決定權(quán)；嚴(yán)格規(guī)范和約束基于個人信息的自動化決策以及“大數(shù)據(jù)殺熟”行為；加強互聯(lián)網(wǎng)平臺提供者對其平臺內(nèi)產(chǎn)品或服務(wù)的提供者的監(jiān)督與管理職責(zé)；明確相關(guān)監(jiān)管部門在應(yīng)用程序的測評，敏感信息以及新技術(shù)等規(guī)則、標(biāo)準(zhǔn)的制定等多方面的責(zé)任和義務(wù)；通過多種途徑，實現(xiàn)對網(wǎng)絡(luò)空間中公民個人信息安全的保護，對于保護公民對其個人信息處理的知情權(quán)、決定權(quán)以及隱私權(quán)等人格尊嚴(yán)權(quán)具有重要意義。