從寶輝

2017年3月15日十二屆全國人大五次會(huì)議表決通過《民法總則（草案）》并于2017年10月1日正式實(shí)施?！睹穹倓t》首次規(guī)定，自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人應(yīng)當(dāng)確保依法取得的個(gè)人信息安全，不得非法收集、使用、加工、傳輸個(gè)人信息，不得非法買賣、提供或者公開個(gè)人信息。將個(gè)人信息保護(hù)寫入民法總則草案，為未來制定單行法或通過其他方式進(jìn)一步細(xì)化保護(hù)措施提供了依據(jù)，標(biāo)志我國個(gè)人信息保護(hù)立法工作步入了快車道。巧合的是，2018年歐盟將正式實(shí)施《一般數(shù)據(jù)保護(hù)條例》，《條例》對新形勢下個(gè)人信息保護(hù)作出了嚴(yán)格規(guī)定，成為個(gè)人信息保護(hù)里程碑式法律，重塑了個(gè)人信息保護(hù)領(lǐng)域新秩序，也為域外國家實(shí)施個(gè)人信息保護(hù)樹立了一個(gè)高標(biāo)準(zhǔn)的法律模板。在個(gè)人數(shù)據(jù)保護(hù)方面，美國堅(jiān)持靈活策略，以企業(yè)自律機(jī)制和政府執(zhí)法保護(hù)隱私權(quán)，歐盟則通過嚴(yán)厲立法，從制度上保護(hù)個(gè)人信息。隨著全球范圍內(nèi)大數(shù)據(jù)產(chǎn)業(yè)的全面推進(jìn)和信息處理、存儲(chǔ)技術(shù)的快速發(fā)展，海量數(shù)據(jù)給信息所有者帶來巨大隱性財(cái)產(chǎn)的正外部性逐步顯現(xiàn)，同時(shí)也帶來了互聯(lián)網(wǎng)個(gè)人信息濫用問題日趨嚴(yán)重，公民隱私和人信息保護(hù)問題日益凸顯，傳統(tǒng)個(gè)人信息保護(hù)框架遭遇嚴(yán)峻沖擊，社會(huì)對互聯(lián)網(wǎng)領(lǐng)域個(gè)人信息保護(hù)的需求愈發(fā)迫切。

我國個(gè)人信息保護(hù)的突出問題

很長一段時(shí)間以來，我國沒有認(rèn)識到個(gè)人信息保護(hù)的重要性，直到目前為止，我國還沒有制定專門的個(gè)人信息保護(hù)方面的法律。特別是互聯(lián)技術(shù)飛速發(fā)展和廣泛應(yīng)用的今天，個(gè)人信息保護(hù)程度遠(yuǎn)未達(dá)到歐盟“充分性保護(hù)”標(biāo)準(zhǔn)。近年來，我國也在多項(xiàng)法律法規(guī)中關(guān)注和強(qiáng)化了對個(gè)人信息的保護(hù)，對個(gè)人信息的保護(hù)主要體現(xiàn)在與個(gè)人信息保護(hù)有關(guān)的法律法規(guī)中設(shè)置個(gè)人信息保護(hù)條款和通過信息控制人的單方承諾或特定行業(yè)的自律規(guī)范的承諾對個(gè)人信息加以自律性質(zhì)的保護(hù)。由于尚未形成完整的個(gè)人信息保護(hù)的法律體系，對個(gè)人信息保護(hù)散見于各個(gè)部門法中，難以形成有力的保護(hù)，缺乏具體、可操作性的規(guī)定。

隨著移動(dòng)互聯(lián)網(wǎng)的普及和智能穿戴等物聯(lián)網(wǎng)設(shè)備的應(yīng)用，多重來源的個(gè)人信息進(jìn)行比對累積，能夠形成完整的個(gè)人畫像并實(shí)現(xiàn)實(shí)時(shí)追蹤，增加了敏感信息暴露的風(fēng)險(xiǎn)。在數(shù)據(jù)開發(fā)價(jià)值的驅(qū)使下，個(gè)人信息的收集日益密集和隱蔽，個(gè)人信息的流轉(zhuǎn)、交易形成鏈條，信息處理主體多元化、信息傳播方式層層嵌套，個(gè)人信息保護(hù)問題也日益凸顯。

一是個(gè)人信息收集不合規(guī)。以某知名互聯(lián)網(wǎng)小額貸款公司為例，在其產(chǎn)品《用戶服務(wù)合同》中“您同意并授權(quán)服務(wù)商收集您的信息包括但不限于”一項(xiàng)里，明確要求客戶授權(quán)收集用戶除傳統(tǒng)相關(guān)信用記錄以外的包括生物特征、財(cái)稅信息、房產(chǎn)信息、車輛信息、基金、保險(xiǎn)、股票、信托、債券等信息，并在“信息分享”一欄中要求客戶同意并授權(quán)服務(wù)商向某信用管理有限公司等征信機(jī)構(gòu)發(fā)送信息?！墩餍艠I(yè)管理?xiàng)l例》第十四條明確規(guī)定“禁止征信機(jī)構(gòu)采集個(gè)人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規(guī)規(guī)定禁止采集的其他個(gè)人信息”?！罢餍艡C(jī)構(gòu)不得采集個(gè)人的收入、存款、有價(jià)證券、商業(yè)保險(xiǎn)、不動(dòng)產(chǎn)的信息和納稅數(shù)額信息”?！吨袊嗣胥y行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》第二十八條規(guī)定“收集個(gè)人金融信息時(shí)，應(yīng)當(dāng)遵循合法、合理、必要原則，按照法律法規(guī)要求和業(yè)務(wù)需要收集個(gè)人金融信息，不得收集與業(yè)務(wù)無關(guān)的信息或者采取不正當(dāng)方式收集信息”。可見，該互聯(lián)網(wǎng)小額貸款產(chǎn)品涉及征信業(yè)務(wù)的部分條款明顯違背了《征信業(yè)管理?xiàng)l例》《中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法》的相關(guān)規(guī)定。

二是目的限定原則被不斷突破。個(gè)人信息比對及二次利用是大數(shù)據(jù)價(jià)值開發(fā)的核心，個(gè)人信息超出原初目的的利用在大數(shù)據(jù)環(huán)境下已經(jīng)成為常態(tài)，傳統(tǒng)目的限定原則被不斷突破。此外，以互聯(lián)網(wǎng)小額信貸產(chǎn)品為例，互聯(lián)網(wǎng)小額貸款公司扮演的角色更多是中介機(jī)構(gòu)，資金來源則是走銀行通道。目前多數(shù)使用互聯(lián)網(wǎng)小額貸款產(chǎn)品的個(gè)人未意識到自己正在與小額貸款公司發(fā)生業(yè)務(wù)關(guān)系?；ヂ?lián)網(wǎng)小貸產(chǎn)品未通過足以引起金融消費(fèi)者注意的文字、符號、字體等特別標(biāo)識說明用戶是在向小額貸款公司借款。

三是個(gè)人對信息的控制權(quán)被架空。實(shí)際操作中，個(gè)人信息收集的隱蔽性、傳播的復(fù)雜性遠(yuǎn)遠(yuǎn)超出了預(yù)先告知和用戶的理解能力，個(gè)人用戶除了點(diǎn)擊同意外，別無其他選擇，用戶對個(gè)人信息的控制權(quán)利實(shí)質(zhì)上被架空。此外，在多方主體責(zé)任認(rèn)定方面，多元主體尤其是第三方信息中介的迅速發(fā)展，傳統(tǒng)架構(gòu)中難以尋求有效的適用規(guī)定，造成責(zé)任界定不清與監(jiān)管空白。

四是金額展示規(guī)則不合理。近期某地發(fā)生一起涉及互聯(lián)網(wǎng)小額貸款產(chǎn)品的相關(guān)案例，經(jīng)調(diào)查，目前凡是通過該互聯(lián)網(wǎng)小貸產(chǎn)品取得個(gè)人消費(fèi)貸款的用戶，其相關(guān)借貸記錄都會(huì)報(bào)送至個(gè)人金融信用信息基礎(chǔ)數(shù)據(jù)庫，也即顯示在個(gè)人信用報(bào)告中。某知名互聯(lián)網(wǎng)小額貸款有限公司表示，目前該公司采取客戶歷史當(dāng)月累計(jì)最大借款額報(bào)送至個(gè)人金融信用信息基礎(chǔ)數(shù)據(jù)庫。比如，客戶程某2016年9月在平臺累計(jì)借款19筆，金額總計(jì)165100元，且該月為程某歷史當(dāng)月累計(jì)最大借款額，盡管客戶后期按期歸還，且借款金額逐月減少，但程某信用報(bào)告中始終展示9月份向其發(fā)放的165100元個(gè)人消費(fèi)貸款。此外，程某本月應(yīng)還款和本月實(shí)還款分別為171264元和74389元，展示金額與實(shí)際業(yè)務(wù)明顯不符。如繼續(xù)采取客戶歷史當(dāng)月累計(jì)最大借款額展示在用戶人信用報(bào)告中，不僅不合理，更重要的是對客戶在銀行業(yè)金融機(jī)構(gòu)辦理相關(guān)業(yè)務(wù)將會(huì)產(chǎn)生嚴(yán)重不良影響。該公司客服表示，公司已經(jīng)意識到展示規(guī)則存在的問題，正在商議規(guī)則改動(dòng)事宜。

五是個(gè)人信息保護(hù)流于形式。當(dāng)前形勢下，信息收集者注重信息背后隱藏的巨大財(cái)富，而疏于個(gè)人信息保護(hù)絕非個(gè)例。在某互聯(lián)網(wǎng)小額貸款產(chǎn)品服務(wù)協(xié)議中規(guī)定“鑒于技術(shù)限制，不能確保用戶的全部私人通訊及其他個(gè)人信息、資料通過本隱私規(guī)則中未列明的途徑泄露出去”。中國人民銀行金融消費(fèi)者權(quán)益保護(hù)實(shí)施辦法第二十二條明確規(guī)定“金融機(jī)構(gòu)的格式合同條款及服務(wù)協(xié)議文本……不得含有減輕、免除己方責(zé)任……”的情形?；ヂ?lián)網(wǎng)小額貸款產(chǎn)品公司保護(hù)在業(yè)務(wù)過程中產(chǎn)生的客戶隱私信息可以說責(zé)無旁貸，而免除由于未知因素導(dǎo)致的客戶信息泄露責(zé)任易引發(fā)道德風(fēng)險(xiǎn)，最終導(dǎo)致客戶信息大規(guī)模泄露。

歐盟個(gè)人信息保護(hù)的改革經(jīng)驗(yàn)

歐盟一貫倡導(dǎo)立法保護(hù)個(gè)人信息數(shù)據(jù)

目前，歐盟對互聯(lián)網(wǎng)環(huán)境下個(gè)人信息的隱私權(quán)保護(hù)是世界上最為全面和嚴(yán)格的。歐盟有關(guān)個(gè)人數(shù)據(jù)保護(hù)歷史可以追溯到20世紀(jì)90年代。1995年，歐盟通過了《數(shù)據(jù)保護(hù)指令》，為歐盟成員國立法保護(hù)個(gè)人數(shù)據(jù)設(shè)立了最低標(biāo)準(zhǔn)。2002年7月歐盟發(fā)布《隱私與電子通訊指令》，確定了未來互聯(lián)網(wǎng)個(gè)人數(shù)據(jù)保護(hù)的基本原則，如通信和互聯(lián)網(wǎng)服務(wù)商需要采取適當(dāng)措施保證通信和互聯(lián)網(wǎng)服務(wù)的安全性，在未征得用戶同意的情況下禁止存儲(chǔ)和使用用戶數(shù)據(jù)，告知用戶數(shù)據(jù)進(jìn)一步處理意圖和用戶有權(quán)不同意以保障用戶的知情權(quán)等。

2009年11月，歐盟通過了《歐洲Cookie指令》，其核心內(nèi)容是對電子商務(wù)中Cookie的使用加以規(guī)范和必要的信息披露管理。Cookie是互聯(lián)網(wǎng)常用的用戶跟蹤和識別技術(shù)。2002年的《隱私與電子通訊指令》要求網(wǎng)站告知用戶啟用cookie及如何刪除或作廢Cookie，但絕大多數(shù)網(wǎng)站都會(huì)把這部分內(nèi)容放置在用戶注冊時(shí)必須“同意”的用戶協(xié)議中?！稓W洲Cookie指令》則要求網(wǎng)站在用戶初始使用時(shí)網(wǎng)站必須關(guān)閉Cookie的使用，直到用戶明確同意啟用Cookie時(shí)才能開啟此功能?！稓W洲Cookie指令》是《隱私與電子通訊指令》的重要補(bǔ)充，其強(qiáng)化了用戶的知情權(quán)，對互聯(lián)網(wǎng)企業(yè)生成、使用和管理以Cookie為核心的用戶個(gè)人數(shù)據(jù)提出了完整規(guī)范的管控要求，以避免數(shù)據(jù)濫用或以不夠安全的方式操作與存儲(chǔ)用戶個(gè)人數(shù)據(jù)。

可見，針對時(shí)代的需要和技術(shù)的發(fā)展，歐盟在不同階段通過了不同的數(shù)據(jù)保護(hù)修正指令。但是這些修正內(nèi)容還是架構(gòu)在1995年頒布的《數(shù)據(jù)保護(hù)指令》基本框架之上，而“95指令”已經(jīng)不能適應(yīng)互聯(lián)網(wǎng)時(shí)代需求的陳舊框架。在這種形勢下，致力于重新數(shù)據(jù)保護(hù)新秩序的《一般數(shù)據(jù)保護(hù)條例》應(yīng)運(yùn)而生。

歐盟數(shù)據(jù)保護(hù)的核心框架：《一般數(shù)據(jù)保護(hù)條例》2012年1月25日，歐洲議會(huì)公布了《一般數(shù)據(jù)保護(hù)條例》草案，條例共11章99條。2015年12月15日，歐盟執(zhí)委會(huì)通過了《一般數(shù)據(jù)保護(hù)條例》，2016年4月14日，歐洲議會(huì)投票通過了《一般數(shù)據(jù)保護(hù)條例》，在歐盟官方雜志公布正式文本的兩年后也即2018年正式生效，以歐盟法規(guī)的形式確定了對個(gè)人數(shù)據(jù)的保護(hù)原則和監(jiān)管方式?！稐l例》統(tǒng)一了此前歐盟內(nèi)零散的個(gè)人數(shù)據(jù)保護(hù)規(guī)則，以保護(hù)公民的基本權(quán)利為理念，增加的數(shù)據(jù)保護(hù)要求和實(shí)施的復(fù)雜性遠(yuǎn)高于“95指令”，堪稱史上最嚴(yán)格數(shù)據(jù)保護(hù)條例。

一是法律效力明顯提升?！稐l例》將取代“95指令”并直接適用于歐盟各成員國。《條例》和“95指令”具有完全不同的法律效力。“指令”（Directive）需要各成員國據(jù)此在本國立法并加以執(zhí)行，“95指令”和后續(xù)的各個(gè)修正指令不能直接應(yīng)用到各成員國。而“條例”（Regulation）正式實(shí)施之后立即在整個(gè)歐盟范圍內(nèi)生效，無需在各成員國內(nèi)立法確認(rèn)，以統(tǒng)一的標(biāo)準(zhǔn)推進(jìn)個(gè)人數(shù)據(jù)保護(hù)。

二是打破傳統(tǒng)立法管轄權(quán)。傳統(tǒng)的立法管轄權(quán)通常是按照國家（地域）劃分。在《條例》中，數(shù)據(jù)保護(hù)約束同樣適用于向歐盟居民提供產(chǎn)品或者服務(wù)，甚至只是收集或監(jiān)控?cái)?shù)據(jù)的非歐盟企業(yè)和組織，而與這些企業(yè)和組織所在位置無關(guān)。即非歐盟的企業(yè)和組織向歐盟用戶提供服務(wù)，無論收費(fèi)與否，要嚴(yán)格遵從歐盟數(shù)據(jù)保護(hù)條例的相關(guān)要求。由于互聯(lián)網(wǎng)上數(shù)據(jù)分布本身也是在動(dòng)態(tài)變化的，這還意味著法律管轄范圍也有可能按照數(shù)據(jù)的遷移而不斷變化。所以，雖然是歐盟的數(shù)據(jù)保護(hù)條例，但卻有可能應(yīng)用到全球任何企業(yè)身上。此舉開創(chuàng)了一個(gè)法律管轄范圍不是嚴(yán)格按照地域/國家劃分，而是按照數(shù)據(jù)的分布來認(rèn)定的先例。

三是明確數(shù)據(jù)處理原則?！稐l例》規(guī)定數(shù)據(jù)處理應(yīng)遵循合法、正當(dāng)、透明；處理數(shù)據(jù)的目的有限；僅處理為達(dá)到目的的最少數(shù)據(jù)；確保數(shù)據(jù)準(zhǔn)確、時(shí)新；儲(chǔ)存數(shù)據(jù)的期限不得長于為達(dá)到目的所需的時(shí)間和采取技術(shù)和管理措施以保護(hù)數(shù)據(jù)安全等原則?！稐l例》禁止收集處理反映個(gè)人種族或民族起源、政治觀點(diǎn)、宗教/哲學(xué)信仰、是否是工會(huì)組織成員的數(shù)據(jù)、個(gè)人基因識別數(shù)據(jù)、生物數(shù)據(jù)、或涉及健康、性生活或性取向的數(shù)據(jù)?！稐l例》還特別規(guī)范了兒童個(gè)人數(shù)據(jù)的處理，即處理16歲以下兒童的個(gè)人數(shù)據(jù)必須獲得該兒童父母或監(jiān)護(hù)人的同意或授權(quán)。

四是創(chuàng)新引入兩項(xiàng)重要權(quán)利?！稐l例》開創(chuàng)性地引入了被遺忘權(quán)和可攜帶權(quán)。被遺忘權(quán)是指當(dāng)個(gè)人數(shù)據(jù)已和收集處理的目的無關(guān)、數(shù)據(jù)主體不希望其數(shù)據(jù)被處理或數(shù)據(jù)控制者已沒有正當(dāng)理由保存該數(shù)據(jù)時(shí)，數(shù)據(jù)主體可隨時(shí)要求收集其數(shù)據(jù)的企業(yè)或個(gè)人刪除其個(gè)人數(shù)據(jù)。如果該數(shù)據(jù)被傳遞給了任何第三方，數(shù)據(jù)控制者應(yīng)通知該第三方刪除該數(shù)據(jù)?？蓴y帶權(quán)是指數(shù)據(jù)主體可向數(shù)據(jù)控制者索要其數(shù)據(jù)，也可將其個(gè)人數(shù)據(jù)轉(zhuǎn)移至另一個(gè)數(shù)據(jù)控制者。此外，如果數(shù)據(jù)信息發(fā)生泄漏，數(shù)據(jù)控制者應(yīng)在72小時(shí)內(nèi)向監(jiān)管機(jī)構(gòu)報(bào)告?zhèn)€人數(shù)據(jù)的泄露情況。當(dāng)數(shù)據(jù)泄露可能會(huì)給數(shù)據(jù)主體的權(quán)利或自由帶來巨大風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)控制者必須毫不延誤地通知數(shù)據(jù)主體，以便數(shù)據(jù)主體及時(shí)采取措施。

五是大幅提升違規(guī)成本?！稐l例》規(guī)定違法的懲罰金額由成員國自行確定，懲罰上限處于歐盟立法中較高標(biāo)準(zhǔn)。對于一般性違法行為，罰款上限是一千萬歐元或前一年全球營業(yè)收入的2%（兩值中取大者）；對于嚴(yán)重違法行為或造成嚴(yán)重后果，罰款上限是兩千萬歐元或前一年全球營業(yè)收入的4%（兩值中取大者），全面提升了對個(gè)人數(shù)據(jù)的保護(hù)力度。

政策建議

加快制定《個(gè)人信息保護(hù)法》。積極探索制定符合時(shí)代特征的系統(tǒng)的個(gè)人信息保護(hù)法律，對個(gè)人信息類型、采集范圍與原則、存儲(chǔ)技術(shù)、運(yùn)用與傳播、法律適用范圍等作出明確規(guī)定，特別是賦予個(gè)人撤銷授權(quán)的權(quán)利，增強(qiáng)個(gè)人對信息的控制權(quán)，構(gòu)建安全、信任的大數(shù)據(jù)產(chǎn)業(yè)法律環(huán)境。

構(gòu)建網(wǎng)絡(luò)個(gè)人信息保護(hù)標(biāo)準(zhǔn)化體系。當(dāng)前互聯(lián)網(wǎng)環(huán)境下信息共享、存儲(chǔ)和管理的隱私信息規(guī)模急速增長，收集、利用個(gè)人信息的技術(shù)迅速發(fā)展，構(gòu)建網(wǎng)絡(luò)個(gè)人信息保護(hù)標(biāo)準(zhǔn)化體系有利于增強(qiáng)個(gè)人信息處理各環(huán)節(jié)的透明度，保證個(gè)人信息的加工和運(yùn)用留有痕跡，始終處于可追蹤狀態(tài)。

建立個(gè)人信息保護(hù)協(xié)調(diào)機(jī)制。從近年來我國關(guān)于個(gè)人信息保護(hù)的立法內(nèi)容和集中領(lǐng)域不難看出，個(gè)人信息不當(dāng)采集和以實(shí)施信息網(wǎng)絡(luò)詐騙這種跨行業(yè)運(yùn)用成為危害公民合法權(quán)益的主要形式，因此有必要建立靈活彈性、應(yīng)對迅速的個(gè)人信息保護(hù)協(xié)調(diào)機(jī)制。

重拳打擊侵害個(gè)人信息行為。督導(dǎo)有關(guān)行業(yè)按照最新法律法規(guī)對涉及個(gè)人信息的授權(quán)條款、格式文書等認(rèn)真梳理、切實(shí)整改，規(guī)范機(jī)構(gòu)經(jīng)營行為，堅(jiān)決制止侵害信息主體合法權(quán)益的行為，重拳打擊新領(lǐng)域內(nèi)征信違規(guī)情況，形成示范效應(yīng)，做到在規(guī)范中創(chuàng)新，在創(chuàng)新中發(fā)展。

積極參與國際執(zhí)法協(xié)作。技術(shù)的快速發(fā)展和深層次運(yùn)用決定了信息跨境流通更加便捷和具有隱蔽性，圍堵信息跨境流通、企圖將信息數(shù)據(jù)僅在一國區(qū)域內(nèi)幾無可能。未來，建議運(yùn)用場景理念推動(dòng)國際通用框架的構(gòu)建，尊重國際共通因素，調(diào)節(jié)地區(qū)差異因素，積極參與國際執(zhí)法協(xié)作和框架協(xié)議規(guī)范跨境流通。

《一般數(shù)據(jù)保護(hù)條例》的出臺震動(dòng)了向個(gè)人提供互聯(lián)網(wǎng)服務(wù)，并長期大量收集用戶個(gè)人數(shù)據(jù)的互聯(lián)網(wǎng)服務(wù)商。《條例》中嚴(yán)格的數(shù)據(jù)保護(hù)勢必阻礙數(shù)據(jù)的商業(yè)價(jià)值挖掘，并將給企業(yè)帶來巨大額外成本。筆者認(rèn)為，幾乎任何行業(yè)都處于創(chuàng)新和監(jiān)管的動(dòng)態(tài)博弈之中，過度創(chuàng)新和過度監(jiān)管都會(huì)帶來負(fù)外部性。在《一般數(shù)據(jù)保護(hù)條例》的約束與引導(dǎo)下，歐洲的未來大數(shù)據(jù)時(shí)代將走上一條獨(dú)特道路?；ヂ?lián)網(wǎng)組織自由收集、分析和管理用戶信息的權(quán)限會(huì)被嚴(yán)格限定和監(jiān)管，互聯(lián)網(wǎng)個(gè)人信息保護(hù)力度達(dá)到了前所未有的高度。反過來，嚴(yán)格的個(gè)人數(shù)據(jù)保護(hù)所帶來的額外成本、復(fù)雜的數(shù)據(jù)使用授權(quán)和政府過度監(jiān)管也極大約束了大數(shù)據(jù)所帶來的創(chuàng)新空間。如何處理好創(chuàng)新與監(jiān)管的動(dòng)態(tài)博弈關(guān)系是一門需要深入研究的操作藝術(shù)。

（作者單位：中國人民銀行安慶市中心支行）