華劼

摘 要：互聯(lián)網(wǎng)的興起使個人信息隱私保護面臨挑戰(zhàn)，智能手機、移動應用程序及云計算的發(fā)展加劇了移動互聯(lián)網(wǎng)環(huán)境下泄露個人信息和侵犯個人信息隱私的情形。如何在移動互聯(lián)網(wǎng)環(huán)境下保護個人信息隱私成為各國和地區(qū)關注的焦點。我國香港地區(qū)的個人信息隱私保護立法實踐走在各國和地區(qū)的前列，頒布了《個人資料（私隱）條例》，成立了個人資料私隱專員公署負責條例的監(jiān)察執(zhí)行，并于2013年至2015年間出臺了一系列指引，為使用個人資料進行直接促銷和跨境轉(zhuǎn)移提供了具體的解釋和執(zhí)行方案。鑒于目前大陸地區(qū)的個人信息隱私保護法律制度尚不完善，大陸地區(qū)可學習和借鑒香港的個人資料私隱保護法律制度，加強對于個人信息隱私的保護，創(chuàng)造更加和諧的移動互聯(lián)網(wǎng)環(huán)境。

關鍵詞：個人信息保護；隱私權；移動互聯(lián)網(wǎng)；香港；啟示

中圖分類號：D913 文獻標識碼：A

文章編號：1673-8268（2017）05-0040-08

一、移動互聯(lián)網(wǎng)環(huán)境下個人信息隱私保護面臨危機

（一）問題的提出

互聯(lián)網(wǎng)從20世紀80年代進入我國，經(jīng)過30年的發(fā)展，已滲透到個人日常工作生活的每一個角落。截至2016年12月，互聯(lián)網(wǎng)在我國有7.31億用戶，滲透率達到53.2%[1]。2010年，智能手機及云計算技術的爆發(fā)，使手機、平板電腦用戶開始大量使用依賴于互聯(lián)網(wǎng)技術的移動應用程序來處理日常工作和生活事務，包括金融理財、外出交通、出行定位、交友聊天、游戲娛樂等。截至2016年12月，我國手機用戶數(shù)量達6.95億[1]。大量的用戶個人信息被移動應用程序開發(fā)者和管理者收集和使用，由于技術的不完善、法律規(guī)制的缺乏、以及開發(fā)者和管理者的疏忽或惡意行為，使得個人信息泄露事件屢見不鮮，危及到個人信息隱私的安全。例如，2014年12月25日，大量12306客戶端用戶數(shù)據(jù)在網(wǎng)絡上被銷售傳播，其中包含13萬余條賬號密碼、手機號碼、身份證號等個人隱私信息[2]。信息泄露嚴重地侵害了用戶對其個人信息的知情權、決定權和控制權，在未經(jīng)用戶同意的情況下，竊取、復制和利用了個人信息，毫不尊重用戶對其個人信息公開程度的決定權，也無法保證用戶對其信息的適時更新和修改[3]。通過收集和處理個人信息，商家可不斷向潛在用戶推銷產(chǎn)品或服務，或?qū)€人信息轉(zhuǎn)賣給其他商家，從而獲取暴利，嚴重侵害了消費者對個人信息的保護和正當使用。

（二）個人信息隱私泄露的各種隱患

移動互聯(lián)網(wǎng)產(chǎn)業(yè)鏈的參與者包括系統(tǒng)平臺運營商、終端制造商、電信運營商、網(wǎng)絡服務提供商以及應用程序開發(fā)商。這些參與者都涉及收集和使用個人數(shù)據(jù)，如果存在技術或安全漏洞，以及管理使用不當，都可能泄露或侵害個人信息隱私。

1.系統(tǒng)平臺運營商

系統(tǒng)平臺就是手機的操作系統(tǒng)，目前市場上的系統(tǒng)平臺主要有谷歌的Android系統(tǒng)、蘋果的iOS系統(tǒng)、微軟的Windows Phone8系統(tǒng)、三星的Bada OS系統(tǒng)、Research in Motion公司的黑莓系統(tǒng)等，其中以谷歌的Android系統(tǒng)和蘋果的iOS系統(tǒng)最為熱門。這些系統(tǒng)都采用閉源代碼，專為其公司自制的手機服務，不能被其他品牌手機采用。由于操作系統(tǒng)本身存在技術上的漏洞，由此導致的泄密成為用戶信息泄露的一大隱患[4]。

2.終端制造商

終端制造商即為手機等硬件設備的生產(chǎn)商，他們在生產(chǎn)手機硬件時同時提供操作系統(tǒng)，將操作系統(tǒng)和手機終端匹配配置。終端制造商為了使其終端能夠提供更好的通訊、網(wǎng)絡服務，滿足用戶運用多功能應用程序的需求，通常會與電信運營商、網(wǎng)絡服務提供商以及應用程序開發(fā)商合作，共享用戶信息。這對保護用戶個人信息產(chǎn)生了極大的挑戰(zhàn)。

3.電信運營商

電信運營商即為提供無線通訊業(yè)務的運營商，目前我國有三大電信運營商：中國移動、中國聯(lián)通和中國電信。一方面，用戶在辦理無線通訊業(yè)務時，需要填寫個人信息資料，這些資料可能被電信運營商使用并與終端制造商、網(wǎng)絡服務提供商共享；另一方面，電信運營商開始進軍操作系統(tǒng)行業(yè)，其提供的操作系統(tǒng)同樣可能因為技術漏洞而導致用戶資料泄密。

4.網(wǎng)絡服務提供商

智能手機和手機上的應用程序需要互聯(lián)網(wǎng)的支持才能發(fā)揮其功能和作用，否則再先進的操作系統(tǒng)和終端設備都不能滿足用戶對移動智能的需求。網(wǎng)絡服務提供商在提供互聯(lián)網(wǎng)支持方面起著至關重要的作用。由于用戶進行引擎搜索、瀏覽網(wǎng)頁、下載應用程序都得使用互聯(lián)網(wǎng)，網(wǎng)絡服務提供商能通過用戶的網(wǎng)絡使用習慣，掌握用戶的搜索記錄、網(wǎng)站訪問記錄以及應用程序下載記錄。同時，由于通訊和網(wǎng)絡技術的融合，電信運營商在相當程度上充當著網(wǎng)絡服務提供商的角色，電信運營商在處理個人信息時存在的安全漏洞同樣存在于網(wǎng)絡服務提供商的業(yè)務活動中。

5.應用程序開發(fā)商

應用程序開發(fā)商包括企業(yè)和個人，其主要業(yè)務為開發(fā)各類軟件應用程序，供手機應用商店銷售，供用戶下載使用。應用程序開發(fā)商一方面可以掌握用戶使用程序時輸入的個人信息或聊天記錄，另一方面可以和終端制造商合作，通過終端制造商開放應用編程接口，獲取用戶終端中存儲的信息和文件，或是通過與終端制造商分享利潤的方式在終端設備內(nèi)預置應用程序，這些預置應用程序被使用后，可能導致用戶信息泄露[5]。

二、香港個人資料（私隱）保護立法現(xiàn)狀及解讀

受英國和澳大利亞法律的影響，香港地區(qū)對個人隱私的保護一直位于世界各國和地區(qū)的前列。香港于1995年制定了《個人資料（私隱）條例》（以下簡稱《條例》），并于1996年12月20日正式實施，同時成立了香港個人資料私隱專員公署負責條例的監(jiān)察執(zhí)行[6]。針對科技發(fā)展與商業(yè)變化帶來的挑戰(zhàn)，香港個人資料私隱專員公署于2006年對條例進行全方面審閱，并啟動咨詢程序修訂條例，修訂方案最終于2012年形成《個人資料（私隱）（修訂）條例》。其中關于使用個人資料進行直接促銷和授予專員提供法律援助的權力于2013年4月1日正式實施。此外，個人資料私隱專員公署還分別于2013年1月、2014年12月及2015年10月出臺了《直接促銷新指引》《保障個人資料：跨境資料轉(zhuǎn)移指引》以及《移動應用程序開發(fā)最佳操作指引》（以下簡稱《移動應用程序指引》）香港個人資料私隱專員公署將《移動應用程序開發(fā)最佳操作指引》中文版本稱為《開發(fā)流動應用程式最佳行事方式指引》，為方便大陸地區(qū)讀者閱讀，本文采用更符合大陸地區(qū)習慣的中文表達方式。，為使用個人資料進行直接促銷和跨境轉(zhuǎn)移提供了具體的解釋和執(zhí)行方案。endprint

（一）香港個人資料（私隱）保護的基本原則

《條例》所涉及的范圍非常廣，其所規(guī)定的六項收集和使用個人資料的基本原則貫徹整部《條例》的實施和執(zhí)行。首先，《條例》對相關用語做出了明確的界定?！百Y料”指任何文件中所呈現(xiàn)出的信息，包括意見的表達和個人識別碼?！皞€人資料”被定義為直接或間接與一名在世的個人相關的任何資料，通過這些資料直接或間接地確定該個人的身份切實可行，以及這些資料的存儲形式使得訪問和處理這些資料切實可行?！稐l例》對“個人資料”的定義相當廣，包括了能夠識別一位在世的個人的照片?！百Y料當事人”包括了所有成為個人資料當事人的個人?！百Y料使用者”為獨自或連同他人或與他人共同控制個人資料收集、持有、處理或使用的人。資料使用者包括了自然人、企業(yè)、獨立大型個人資料收集者和政府[7]。

其次，《條例》對六項保障資料的基本原則作出了具體闡述，這六項原則分別為：（1）收集資料的目的及方式原則，即收集個人資料的目的必須是為了與資料使用者的職能及活動有關而收集，就該目的而言，只能收集足夠但不超乎適度的資料；（2）準確性及保留期原則，即資料使用者須采取所有合理并切實可行的步驟確保資料被使用時的準確性，及資料不會被保存超過達到使用目的或會被使用于目的所需的時間；（3）使用個人資料原則，即除非資料當事人事先同意，否則個人資料只可用于原本收集資料的目的或直接有關的目的；（4）個人資料保安原則，即資料使用者須采取合理并切實可行的步驟保障個人資料免受未經(jīng)許可或意外的查閱、處理、刪除、丟失或其他使用所造成的影響，尤其要考慮以上情形可能帶來的損害；（5）透明度原則，即資料使用者應制定及向資料當事人提供有關處理個人資料的政策及措施；（6）查閱及改正原則，即資料當事人有權查閱及更正資料使用者所持其個人資料[8]。

（二）直接促銷中個人信息的收集和使用

《條例》并不規(guī)管所有類型的直接促銷活動，而將直接促銷定義為通過直接促銷的方式要約提供產(chǎn)品、設施或服務，或為提供產(chǎn)品、設施或服務而進行廣告宣傳，或為慈善、文化、公益、娛樂、政治或其他目的索求捐贈或捐助。直接促銷的方式被進一步定義為通過郵件、傳真、電子郵件或其他通訊方式向姓名確定的特定人士傳送信息或產(chǎn)品；或致電給特定人士參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 35 A（1）。[9]。例如，向一名已知姓名人士的手機號短信發(fā)送產(chǎn)品或服務信息將被視為直接促銷，而將郵件寄給某處住址的居民則不被視為直接促銷，因為郵件并未寄給一位姓名確定的特定人士。

由于直接促銷需要獲得資料當事人的同意，《條例》將“同意”定義為明確地表示不反對為直接促銷使用其個人資料或提供給第三方用作直接促銷。要達到明確地表示不反對，資料當事人必須清楚明白地進行意思表示，當事人的不回應不被視為同意參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Sections 35E and 35 K。[9]。資料當事人向資料使用者表示同意需要通過一定的“回應渠道”，這些“回應渠道”包括電話熱線、傳真、指定電子郵件賬戶、能讓資料當事人接收或取消直接促銷的網(wǎng)上設施、能收集資料當事人書面同意的特定郵寄地址、能夠通過以上途徑處理資料當事人回應的指定人員①。

在明晰概念的基礎上，《條例》具體規(guī)定了資料使用者為直接促銷目的在收集、使用和向第三方提供個人資料過程中所需遵守的規(guī)定。違反這些規(guī)定將會導致最高額50萬元港幣的罰款和最高刑期三年的監(jiān)禁參見Hong Kong Personal Data（Privacy） Ordinance （2013）， Section 35C（5）。。

1.為直接促銷收集個人資料

根據(jù)保護個人資料的基本原則，為直接促銷目的而收集個人資料只能在為達到目的的合法范圍內(nèi)在必要、足夠的程度上收集資料，不能超過適度的程度收集資料。例如，在一般情況下，為直接促銷目的只需收集消費者的姓名和聯(lián)系方式即可，如果資料使用者為直接促銷而收集個人資料時，還要顧及其他諸如分析和劃分客戶的目的，資料使用者須在收集資料時說明其為了分析和劃分客戶還需收集除姓名和聯(lián)系方式外的其他個人資料。此外，資料收集的方式應是合法且公平的。資料使用者不能采用欺騙或誤導的方式收集個人資料，例如，如果調(diào)查問卷的實際目的是為了直接促銷目的而收集消費者個人資料，資料使用者不能通過贈送獎品讓消費者參與調(diào)查問卷[9]。

資料使用者應當采用所有合理并切實可行的步驟告知資料當事人后者是否有義務提供個人資料、使用資料的目的為何以及這些資料能被轉(zhuǎn)移給何種類別的第三方。資料使用者可以采用“收集個人資料聲明”和“私隱政策聲明”告知資料當事人相關情況，包括資料收集的目的、收集資料的種類、資料可能被轉(zhuǎn)移給的第三方類別以及保護個人資料的相關政策。資料使用者在告知收集資料的目的和資料可能被轉(zhuǎn)移給的第三方類別時，必須避免使用開放、含糊的詞語，以使資料當事人能確定收集目的和第三方類別，例如，將聲稱收集資料的目的為“公司不時制訂的其他目的”就是不妥當?shù)?。這兩類聲明可以作為證據(jù)證明資料使用者采取了切實可行的步驟達到告知要求[9]。

2.為直接促銷使用個人資料

資料使用者應在使用前告知資料當事人其資料將被用作直接促銷、被使用的個人資料類別、資料被使用于的促銷標的類別以及當事人可以向使用者表示同意的回應渠道。在未收到資料當事人明確同意使用的指示下，資料使用者不得為直接促銷目的使用資料 參見Hong Kong Personal Data（Privacy） Ordinance （2013）， Sections 35H and 35M。。

如果資料當事人使用口頭方式表示同意資料使用的，資料使用者在收到口頭同意的14天內(nèi)必須向資料當事人發(fā)出書面確認通知。書面確認通知必須被寄往資料當事人的最后所知聯(lián)系地點，包括住址、電子郵件和能夠接收短信的電話號碼。書面確認通知應當包括以下內(nèi)容：口頭同意接收的時間、已同意的個人資料類別以及已同意的促銷標的類別。為謹慎起見，資料使用者應在發(fā)出書面確認通知一段時間后（例如14天后）再使用個人資料于直接促銷，以避免資料當事人對使用資料有所異議參見Hong Kong Personal Data（Privacy） Ordinance（2013）， Section 35E（1）（b）。。endprint

資料使用者如果是第一次為直接促銷目的使用個人資料，應當告知資料當事人其有權要求資料使用者停止為直接促銷目的使用該資料。資料使用者不得就當事人的請求，向該當事人收取費用參見Hong Kong Personal Data（Privacy） Ordinance（2013）， Section 35F。。個人資料私隱專員公署建議資料使用者在相關信息傳送媒介中突出資料當事人的選擇退出權。資料當事人可隨時行使選擇退出權，要求持有其個人資料的資料使用者不再向其進行直接促銷。

3.向第三方轉(zhuǎn)移個人資料供第三方進行直接促銷

如果資料使用者要向第三方轉(zhuǎn)移其收集的個人資料，以供第三方進行直接促銷，資料使用者必須書面告知資料當事人，后者的個人資料將會被提供給第三方進行直接促銷，并須獲得資料當事人的書面同意。如果資料使用者會從轉(zhuǎn)移行為中獲取收益，其必須在書面通知中明確告知資料當事人，資料轉(zhuǎn)移將被用于獲取收益。除以上規(guī)定外，書面通知還須包含如下內(nèi)容：被轉(zhuǎn)移的個人資料類別、第三方類別、與轉(zhuǎn)移資料相關的促銷標的類別以及供資料當事人傳送書面同意的回應渠道參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 35J（1）-（3）。。未經(jīng)過資料當事人書面同意，資料使用者不得將收集的個人資料提供給第三方，供第三方進行直接促銷。

資料當事人可隨時要求資料使用者停止向任何第三方提供個人資料并且通知已接收資料的第三方停止為直接促銷使用該個人資料。第三方從資料使用者處接到停止為直接促銷目的使用個人資料的通知時，必須按通知要求停止將個人資料用于直接促銷參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 35L。。

（三）關于跨境轉(zhuǎn)移個人資料

《條例》第33條禁止將個人資料轉(zhuǎn)移到香港之外的地區(qū)，除非滿足以下條件中的一項：（a）該地方是個人資料私隱專員在憲報公告中所指明的，該地方有與條例實質(zhì)近似或致力于相同目的的生效法律；（b）資料使用者有合理理由相信該地方有與《條例》實質(zhì)近似或致力于相同目的的生效法律；（c）資料當事人書面同意轉(zhuǎn)移；（d）資料使用者有合理理由相信該轉(zhuǎn)移是為避免或減輕針對資料當事人的負面行動而做出的，獲得資料當事人的書面同意并不切實可行，如果切實可行，則應獲得資料當事人的書面同意；（e）該個人資料憑借《條例》第八部分的豁免而不受個人資料保護第三原則的管制；（f）資料使用者已采取所有合理預防措施和履行所有謹慎注意義務保障資料在該地不被以任何與本《條例》相違背的方式所收集、持有、處理或使用。第33條的轉(zhuǎn)移包括兩類情形：將個人資料從香港轉(zhuǎn)移到香港之外的地方；將個人資料在香港之外的兩處地方間轉(zhuǎn)移，但該轉(zhuǎn)移受香港資料使用者控制[10]。

就條件（a）而言，個人資料私隱專員將評估香港之外其他法域的資料保護體制，以確定哪些法域有與香港《條例》實質(zhì)近似或致力于相同目的的生效法律。由專員確定的地區(qū)名單將在憲報公告中公布。專員將隨時審視這份名單，根據(jù)各地區(qū)法律的變化，增添或刪減這份名單上的地區(qū)參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（a）。。不屬于名單上的地區(qū)如有與香港《條例》實質(zhì)近似或致力于相同目的的生效法律，則會落入條件（b）的范疇。為滿足條件（b）的要求，資料使用者應對資料被轉(zhuǎn)移到的地區(qū)的有關個人資料保護法律進行專業(yè)評估參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（b）。。在資料被轉(zhuǎn)移到的地區(qū)沒有關于資料保護的生效法律的情形下，資料使用者仍可對資料進行轉(zhuǎn)移，如果資料當事人明確且自愿地書面表示資料可以被轉(zhuǎn)移，并且沒有撤銷該書面同意，即條件（c）被滿足參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（c）。。

條件（d）適用于特殊的情形，例如，轉(zhuǎn)移資料是為了履行資料當事人作為其中一方的合同，如果不及時轉(zhuǎn)移資料，資料當事人將遭受重大的經(jīng)濟損失參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（d）。。在條件（e）的要求下，如果個人資料保護第三基本原則（即資料使用原則）的豁免情形能適用，則資料可被轉(zhuǎn)移。這些豁免情形包括：為資料持有者的個人或家庭原因而使用；為阻止犯罪而使用；為資料當事人的健康而使用；經(jīng)香港法律準許而使用；為新聞報道而使用，該使用是為了公共利益；為研究而使用；以及為緊急救援而使用參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（e）。。關于條件（f）要求下的合理預防措施和謹慎注意義務，資料使用者可通過合同約定來實現(xiàn)，個人資料私隱專員已在《保障個人資料：跨境資料轉(zhuǎn)移指引》中準備了一套標準資料轉(zhuǎn)移條款供資料使用者采用。如不采用合同約定方式，資料使用者可通過勘漏和審計模式來監(jiān)控接收資料方是否達到了香港《條例》所規(guī)定的資料保護要求參見Hong Kong Personal Data （Privacy） Ordinance （2013）， Section 33（2）（f）。。

（四）移動應用程序的隱私和資料保護

《移動應用程序指引》針對移動應用程序開發(fā)商收集和使用用戶個人資料做出了指引。在《移動應用程序指引》規(guī)定下，只有當移動應用程序開發(fā)商收集用戶資料用來識別某些個別人士時，移動應用程序開發(fā)商才屬于資料使用者。當程序設計只讀取移動終端內(nèi)的資料，而不會把資料傳輸?shù)狡渌胤?，或該資料不會被用于識別某個人時，移動應用程序開發(fā)商不被視為資料使用者。endprint

如果移動應用開發(fā)商打算將通過程序運用收集到的用戶資料用作直接促銷時，其需要遵守《條例》有關直接促銷的新規(guī)定，在未收到程序用戶的口頭或書面同意前，程序開發(fā)商不得為直接促銷目的收集和使用用戶資料，否則程序開發(fā)商將會違反《條例》規(guī)定，被處以最高額50萬元港幣的罰款和最高刑期三年的監(jiān)禁。當程序開發(fā)商通過移動應用程序收集用戶資料時，通常很難獲取用戶的書面或口頭同意，個人資料私隱專員公署建議開發(fā)商可在程序中設置包含同意資料為直接促銷目的而被收集和使用條款的彈出窗口，讓用戶點擊彈出窗口的復選框來表示同意[8]。如果開發(fā)商會將用戶資料提供給第三方，則須獲取用戶的書面同意，并遵守《條例》中向第三方轉(zhuǎn)移個人資料供第三方進行直接促銷的相關規(guī)定。

當移動應用程序被世界各地的用戶下載時，通常涉及到將個人資料轉(zhuǎn)移到香港境外。雖然《條例》第33條生效日期尚不確定，但個人資料私隱專員公署鼓勵程序開放商自愿遵守《條例》有關跨境資料轉(zhuǎn)移的規(guī)定，讓香港移動應用程序的資料跨境轉(zhuǎn)移處于高標準。

三、啟示與建議

（一）我國大陸地區(qū)個人信息隱私法律保護現(xiàn)狀

大陸地區(qū)在借鑒傳統(tǒng)大陸法系國家的法律基礎上構(gòu)建隱私保護，并沒有類似于英美法系國家法律中的隱私權概念，而是將隱私權視為一種人格權，通過名譽權和人格尊嚴予以保護，分別體現(xiàn)在《憲法》第38條至40條、《民法通則》第101條、《刑法》第245、252條以及《刑法修正案（七）》第7條的規(guī)定中。2010年7月實施的《侵權責任法》將隱私權單列為一項權利類型，與肖像權、名譽權、姓名權等民事權利并列，《侵權責任法》雖然確立了隱私權的獨立地位，但尚未明確隱私權的內(nèi)涵外延和具體侵權形式。

為保護計算機網(wǎng)絡環(huán)境下和征信行業(yè)中的個人信息隱私，我國頒布了《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》《個人信用信息基礎數(shù)據(jù)庫管理暫行辦法》《征信業(yè)管理條例》等一系列行政法規(guī)。在已有法律法規(guī)的基礎上，2012年12月28日，全國人民代表大會常務委員會通過了《關于加強網(wǎng)絡信息保護的決定》（以下簡稱《決定》）；2012年11月5日，國家質(zhì)量監(jiān)督檢驗檢疫總局、國家標準化管理委員會批準發(fā)布了《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》（以下簡稱《指南》），《指南》于2013年2月1日開始實施；2014年6月，最高人民法院通過了《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》（以下簡稱《規(guī)定》）；2017年5月8日，最高人民法院、最高人民檢察院發(fā)布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（以下簡稱《兩高解釋》），《兩高解釋》于2017年6月1日開始實施。

《決定》主要針對網(wǎng)絡服務提供者和其他企事業(yè)單位在收集和使用用戶個人信息過程中的管理和保護提出了12條概括性規(guī)定。例如，《決定》規(guī)定網(wǎng)絡服務提供者和其他企事業(yè)單位收集和使用用戶個人電子信息應遵循合法、正當、必要的原則，明示收集和使用信息的目的、方式和范圍，并經(jīng)用戶同意，應采取技術措施防止個人電子信息的泄露、損毀和丟失參見《關于加強網(wǎng)絡信息保護的決定》第二、三條。?！稕Q定》第7條涉及到為直接促銷目的收集、使用個人電子信息，“任何組織和個人未經(jīng)電子信息接收者同意或者請求，或者電子信息接收者明確表示拒絕的，不得向其固定電話、移動電話或者個人電子郵箱發(fā)送商業(yè)性電子信息”。對違反《決定》的行為將給予警告、罰款、沒收違法所得、吊銷許可證或取消備案、關閉網(wǎng)站、禁止有關責任人員從事網(wǎng)絡服務業(yè)等處罰參見《關于加強網(wǎng)絡信息保護的決定》第十一條。?！吨改稀窞橹笇约夹g文件，旨在指導政府機關和電信、金融、醫(yī)療等服務機構(gòu)開展個人信息保護工作，其雖然對個人信息的收集和保護做出了較詳細的規(guī)定，但卻沒有法律約束力，不能成為強制相關機構(gòu)按其要求進行信息收集和處理的法律依據(jù)?！兑?guī)定》著重解決網(wǎng)絡環(huán)境下被侵權人提起侵權訴訟的問題，明確了網(wǎng)絡服務提供者的“知道”標準和轉(zhuǎn)載網(wǎng)絡信息行為的過錯及程度的判斷標準[11]?！秲筛呓忉尅分饕槍π谭ㄖ械那址腹駛€人信息罪作出了相應解釋，列舉了非法獲取、出售或提供個人信息情節(jié)嚴重和特別嚴重的情形。此外，網(wǎng)絡服務提供者如不履行信息網(wǎng)絡安全管理義務，致使個人信息泄露，造成嚴重后果的，將構(gòu)成拒不履行信息網(wǎng)絡安全管理義務罪參見《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第五、六、九條。。

（二）我國香港地區(qū)個人資料（私隱）保護法律制度相較于大陸地區(qū)的優(yōu)勢

我國香港地區(qū)個人資料私隱保護新發(fā)展相對于目前大陸地區(qū)的個人信息保護有以下幾點優(yōu)勢：（1）吸收英美法系對隱私權的保護，明確了隱私權在法律中的獨立地位；（2）有針對個人資料私隱保護的獨立、綜合的《條例》，該《條例》體系完整、條款詳盡，而且隨著技術和商業(yè)的發(fā)展，條款能得到及時修訂，能在不影響《條例》整體結(jié)構(gòu)的基礎上適時增加新規(guī)定；（3）有具有獨立地位的個人資料私隱專員公署對《條例》的實施執(zhí)行進行監(jiān)督；（4）在移動互聯(lián)網(wǎng)技術快速發(fā)展的情態(tài)下，《條例》適時地針對為直接促銷目的使用個人資料和向第三方提供個人資料作出了詳盡規(guī)定；（5）《條例》含有跨境轉(zhuǎn)移個人資料的規(guī)定，這在移動互聯(lián)網(wǎng)環(huán)境下有效保護個人資料尤為重要；（6）除《條例》規(guī)定外，個人資料私隱專員公署及時地出臺針對某類特定情形的指引，將《條例》中的新規(guī)定以通俗易懂的語言和舉例的方式讓涉及收集和使用個人資料的產(chǎn)品和服務提供者能夠更及時、準確地把握保護個人資料私隱的新要求，從而做出相應調(diào)整和制訂公司隱私政策。大陸地區(qū)應根據(jù)其經(jīng)濟、社會、科技發(fā)展狀況，適當吸收和借鑒香港地區(qū)在個人資料私隱保護方面的經(jīng)驗，為保護移動互聯(lián)網(wǎng)時代的個人信息隱私提供新規(guī)定。具體而言，大陸地區(qū)應在以下幾方面作出調(diào)整。

（三）對我國大陸地區(qū)個人信息隱私法律保護的建議endprint

1.關于個人信息隱私權入憲

雖然我國《憲法》提到了保護公民的住宅和通信自由不受侵犯，但《憲法》并未將隱私權規(guī)定為一種獨立的權利。如果隱私權不能作為一項獨立的人格權利在《憲法》中體現(xiàn)，則不利于對隱私權的保護，更談不上對個人信息隱私的保護[12]。因此，大陸地區(qū)應首先在《憲法》中將隱私權增加為一項獨立的權利，以確定隱私權的法律基礎。

我國2017年3月15日發(fā)布的《民法總則》已在民事基本法律中將隱私權單列為一項權利類型參見《民法總則》第一百一十條。，也明確了自然人的個人信息受法律保護，任何人不得非法使用、傳輸他人個人信息參見《民法總則》第一百一十一條。?！睹穹倓t》將于2017年10月1日起實施?！睹穹倓t》雖然從民事基本法律的層面確立了隱私權的獨立法律地位，相較于《民法通則》有明顯的進步，但鑒于目前移動互聯(lián)網(wǎng)環(huán)境下侵犯個人信息隱私的泛濫和嚴重程度，應在憲法層面進一步明確個人隱私權的法律地位。

2.制訂個人信息隱私保護條例并增加直接促銷目的使用個人信息和跨境轉(zhuǎn)移個人信息的規(guī)定

不同于香港地區(qū)，大陸地區(qū)尚未制定一部綜合的個人信息隱私保護條例，關于保護個人信息隱私的規(guī)定分散在不同的法律、行政法規(guī)、司法解釋、立法決定、地方規(guī)章及行業(yè)指南中。這種分散型的個人信息保護雖能在一定程度上彌補大陸地區(qū)無獨立隱私保護條例的缺陷，但每條法律規(guī)定只針對特定情形作出規(guī)制，每部法律之間無緊密聯(lián)系，不足以滿足移動互聯(lián)網(wǎng)環(huán)境下對個人信息隱私強化保護的要求。

相較于香港地區(qū)綜合性的《條例》，大陸地區(qū)對于個人信息隱私的保護較為分散，這樣分散型的立法體例不利于從整體上把握個人信息隱私的保護，各法律條文之間相互獨立、沒有銜接，一部法律法規(guī)中的條文僅針對該條文涉及的特定情形進行規(guī)定，很難覆蓋到其他法律法規(guī)下所涉及的問題。而且不同法律法規(guī)的制定在針對信息收集和處理的規(guī)范時，會重復對相關原則性條款進行規(guī)定，使各條款看上去大同小異，但都沒有細致、詳盡的條文支撐。例如，《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干問題》和《決定》都提到網(wǎng)絡服務提供者收集、使用用戶個人信息應當經(jīng)過用戶同意，但兩部法規(guī)都未具體說明用戶個人信息包括哪些內(nèi)容，網(wǎng)絡服務提供者應該通過何種方式取得用戶同意，用戶的同意是否必須為書面形式等。

因此，大陸地區(qū)應著手制訂一部完善的綜合性個人信息保護條例，該條例應具體、詳盡地為直接促銷目的收集、使用個人信息和跨境轉(zhuǎn)移個人信息提供法律保護和規(guī)制。具體而言，可參照香港《條例》關于這部分的規(guī)定，對相關用詞進行明確界定，并為直接促銷目的收集、使用或向第三方轉(zhuǎn)移個人信息制定具體規(guī)則，包括收集和使用信息的原則性要求、方式方法、被收集和使用的個人信息類型、信息主體通過何種途徑表示同意或拒絕、信息使用者如何制訂隱私保護聲明和隱私政策等。大陸地區(qū)應增加對于跨境轉(zhuǎn)移個人信息的規(guī)制，規(guī)定在滿足何種條件下大陸地區(qū)的個人信息允許被轉(zhuǎn)移至境外，這些條件的具體制訂可以香港《條例》為參考和借鑒。另外，大陸地區(qū)制訂相關條款時，不應將信息使用者局限于網(wǎng)絡服務提供者，而應考慮到在移動互聯(lián)網(wǎng)環(huán)境下的系統(tǒng)平臺運營商、終端制造商、電信運營商以及應用程序開發(fā)商皆有可能成為信息使用的主體。

3.適時地制訂幫助信息使用者理解法律規(guī)定的指南

香港地區(qū)在修訂法律條例的同時，不斷地通過個人資料私隱專員公署出臺指引，對《條例》中的新規(guī)定進行解釋，并列舉相關的例子，以通俗易懂的方式讓資料使用者能夠及時接收和理解條例的新規(guī)定，并幫助資料使用者調(diào)整隱私保護政策，使其能在新規(guī)定實施的第一時間內(nèi)遵法執(zhí)法。由于指引的制訂和出臺過程不及法律條例般復雜、繁瑣，通過出臺指引，能有效快速地指導資料使用者作出內(nèi)部調(diào)適。

大陸地區(qū)可學習借鑒香港地區(qū)個人資料私隱專員公署制訂出臺指引的經(jīng)驗，在已授權某政府機構(gòu)監(jiān)管實施個人信息隱私保護條例的基礎上，同時賦予該政府機構(gòu)制訂頒布指南的權力，讓該政府機構(gòu)制訂相關指南針對條例中的某類問題進行具體釋義和提供指導性建議。在移動互聯(lián)網(wǎng)技術不斷發(fā)展的情況下，該政府機構(gòu)還可針對技術和商業(yè)發(fā)展產(chǎn)生的新問題，作出建議性指南，出臺類似于香港《移動應用程序指引》的指南。

四、結(jié) 語

移動互聯(lián)網(wǎng)技術的發(fā)展及智能終端的普及使移動通訊成為個人日常工作和生活的重要組成部分，隨之帶來的個人信息隱私泄密問題也越來越嚴重，只有提高對個人信息隱私保護的重視，學習和借鑒其他國家和地區(qū)的隱私保護法規(guī)和實踐，及時調(diào)整我國的個人信息保護法律法規(guī)，才能在移動互聯(lián)網(wǎng)環(huán)境下有效地保護用戶個人信息[13]。作為我國特別行政區(qū)的香港在個人信息隱私保護方面已走在了世界前列，通過分析香港地區(qū)關于個人信息保護的新規(guī)定和信息保護實踐，能為大陸地區(qū)加強個人信息隱私保護起到借鑒作用，使大陸地區(qū)能夠創(chuàng)造更加和諧的移動互聯(lián)網(wǎng)環(huán)境。

參考文獻：

[1] 中國互聯(lián)網(wǎng)絡信息中心.第39次《中國互聯(lián)網(wǎng)絡發(fā)展狀況統(tǒng)計報告》[R/OL].（2017-01-23）[2017-03-10].http：//cnnic.cn/hlwfzyj/hlwxzbg/hlwtjbg/201701/P020170123364672657408.pdf.

[2] 周霞.APP成數(shù)據(jù)泄露新主體 個人信息亟需立法保護[N].通信信息報，2015-06-03.

[3] 張建文，高完成.司法實踐中個人信息的保護模式及其反思——以隱私權的轉(zhuǎn)型為視角[J].重慶郵電大學學報（社會科學版），2016（3）：27-33.

[4] 劉佳.智能手機中個人信息保護研究[J].法制博覽，2014（5）：92.

[5] 王妮娜.移動互聯(lián)網(wǎng)時代個人隱私保護研究[J].現(xiàn)代電信科技，2015（2）：45.

[6] 齊愛民，陳星.海峽兩岸及港澳地區(qū)個人信息保護立法比較研究[J].經(jīng)濟法論壇，2013（1）：141.endprint

[7] DEACONS. Hong Kong-A Guide to the Personal Data （Privacy） Ordinance[EB/OL]. （2013-04-07）[2016-12-10]. http：//www.conventuslaw.com/archive/hong-kong-a-guide-to-the-personal-data-privacy-ordinance/.

[8] Hong Kong Office of the Privacy Commissioner for Personal Data. Best Practice Guide for Mobile App Development[EB/OL]. （2015-10-01）[2016-12-10]. https：//www.pcpd.org.hk/english/resources_centre/industry_specific/files/Mobileapp_guide_e.pdf.

[9] Hong Kong Office of the Privacy Commissioner for Personal Data.New Guidance on Direct Marketing[EB/OL].（2013-01-01）[2017-01-20].https：//www.pcpd.org.hk/english/publications/files/GN_DM_e.pdf.

[10]Hong Kong Office of the Privacy Commissioner for Personal Data.Guidance on Personal Data Protection in Cross-border Data Transfer[EB/OL].（2014-12-01）[2017-01-01].https：//www.pcpd.org.hk/english/resources_centre/publications/files/GN_crossborder_e.pdf.

[11]徐明.大數(shù)據(jù)時代的隱私危機及其侵權法應對[J].中國法學，2017（1）：130-149.

[12]李媛.共識與爭議：個人信息保護的價值目標[J].重慶郵電大學學報（社會科學版），2016（3）：59-64.

[13]王楠.個人信息跨境轉(zhuǎn)移的法律保護——以公司隱私規(guī)則為視角[J].重慶工商大學學報（社會科學版），2016（1）：68-74.

Protection of Personal Data Privacy in the Mobile Internet Age：

The Interpretations and Implications from Hong Kong Personal Data

（Privacy） Ordinance

HUA Jie

（Shanghai International College of Intellectual Property， Tongji University， Shanghai 200092， China）

Abstract：The emergence of Internet has brought about challenges to personal data privacy protection. The development of smart phones， mobile applications and cloud computing has exacerbated disclosure of personal data and infringement of personal data privacy under the mobile Internet environment. Various countries and regions have paid their attentions on how personal data privacy can be protected under the mobile Internet environment. The legislative practice of Hong Kong SAR in China has been at the forefront of various countries and regions， under which Hong Kong Personal Data （Privacy） Ordinance has been promulgated and Privacy Commissioner for Personal Data has been established to be responsible for the enforcement of the Ordinance. In light of the imperfect legal systems on personal data privacy protection in the mainland China， this article suggests the mainland China learning and borrowing from the legal system of personal data privacy protection in Hong Kong to strengthen its protection of personal data privacy and create a more harmonious mobile internet environment.

Keywords：personal data protection； privacy； mobile Internet； Hong Kong； implicationsendprint