鄭淑霞

西安工業(yè)大學(xué)馬克思主義學(xué)院，陜西 西安 710032

大數(shù)據(jù)時(shí)代如何平衡各方利益主體的利益沖突，是亟待解決的問(wèn)題，本文將通過(guò)對(duì)歐盟、美國(guó)、日本的個(gè)人信息保護(hù)模式進(jìn)行剖析，提出其對(duì)我國(guó)個(gè)人信息流動(dòng)中利益平衡的啟示。

一、歐盟人格權(quán)保護(hù)模式的演進(jìn)及評(píng)析

（一）歐盟人格權(quán)保護(hù)模式的演進(jìn)

歐盟關(guān)于個(gè)人信息（個(gè)人數(shù)據(jù)）的研究以及立法較早，大致可以分為五個(gè)階段：第一階段，1950年的《歐洲人權(quán)公約》，此公約亦屬于世界首次對(duì)個(gè)人數(shù)據(jù)進(jìn)行保護(hù)的立法規(guī)定；第二階段，1970年德國(guó)黑森州制定并頒布了《德國(guó)黑森州數(shù)據(jù)保護(hù)法》，該法屬于世界上第一部個(gè)人數(shù)據(jù)保護(hù)法；［1］第三階段，隨著科技的發(fā)展，開(kāi)始嘗試從整個(gè)歐洲建立統(tǒng)一的個(gè)人數(shù)據(jù)保護(hù)法，先后制定了《1981年個(gè)人信息保護(hù)公約》和《1995年數(shù)據(jù)保護(hù)指令》，但該指令有一個(gè)很大的缺點(diǎn)，它只適用于成員國(guó)，而對(duì)于成員國(guó)的國(guó)民卻不適用；第四階段，為了對(duì)成員國(guó)及其國(guó)民的個(gè)人數(shù)據(jù)均進(jìn)行有效保護(hù)，歐盟又先后通過(guò)了《保護(hù)個(gè)人信息跨國(guó)傳送及隱私權(quán)指導(dǎo)綱領(lǐng)》《有關(guān)個(gè)人數(shù)據(jù)自動(dòng)化處理之個(gè)人保護(hù)公約》和《關(guān)于個(gè)人數(shù)據(jù)處理保護(hù)與自由流動(dòng)指令》，但這些綱領(lǐng)或者指令僅僅屬于框架性的指導(dǎo)文件，僅僅起到指導(dǎo)成員國(guó)國(guó)內(nèi)立法的作用；第五階段，采取了統(tǒng)一立法模式，制定并頒布了《一般數(shù)據(jù)保護(hù)條例》（GDPR），該條例被稱(chēng)為“史上最嚴(yán)個(gè)人信息保護(hù)法”［1］，該條例在個(gè)人數(shù)據(jù)保護(hù)歷史上起到了一個(gè)里程碑的作用。

（二）歐盟人格權(quán)保護(hù)模式評(píng)析

GDPR和歐盟以往的個(gè)人數(shù)據(jù)保護(hù)立法相比較，有以下優(yōu)點(diǎn)：第一，該條例對(duì)個(gè)人數(shù)據(jù)下定義時(shí)采用了“可識(shí)別”和“可間接識(shí)別”的法律術(shù)語(yǔ)。［2］根據(jù)該條例的規(guī)定，所謂個(gè)人數(shù)據(jù)，是指任何能夠直接識(shí)別或者間接識(shí)別自然人的數(shù)據(jù)，包括姓名、性別、年齡、身份證號(hào)、家庭住址、職位、職務(wù)、工作地址、個(gè)人收入、受教育程度等等。第二，對(duì)個(gè)人數(shù)據(jù)處理不僅進(jìn)行了原則性規(guī)定，而且還對(duì)各方主體的權(quán)利和義務(wù)做出了明確規(guī)定，這就使得該條例既有原則性又有可操作性。第三，GDPR既對(duì)成員國(guó)之間個(gè)人信息流動(dòng)進(jìn)行保護(hù)，又對(duì)成員國(guó)境內(nèi)的個(gè)人信息流動(dòng)也進(jìn)行保護(hù)。這就使得個(gè)人數(shù)據(jù)不僅在整個(gè)歐洲層面獲得保護(hù)而且在成員國(guó)國(guó)內(nèi)也得到有效保護(hù)，更有利于個(gè)人數(shù)據(jù)的有效流通和利用。［3］

二、美國(guó)個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)模式的演進(jìn)及評(píng)析

（一）美國(guó)個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)模式的演進(jìn)

美國(guó)關(guān)于個(gè)人信息性質(zhì)的界定主要經(jīng)歷了兩個(gè)階段，第一階段為消極保護(hù)階段，1890年美國(guó)學(xué)者提出隱私權(quán)的概念；第二階段為主動(dòng)保護(hù)階段，提出信息隱私的概念，并將其納入隱私權(quán)的范疇，也就是在隱私權(quán)保護(hù)的體系中對(duì)個(gè)人信息進(jìn)行保護(hù)。

另外為了加強(qiáng)既對(duì)個(gè)人信息的人身權(quán)進(jìn)行保護(hù)，又對(duì)其財(cái)產(chǎn)權(quán)進(jìn)行保護(hù)，美國(guó)的個(gè)人信息保護(hù)模式主要經(jīng)歷了兩個(gè)階段。

第一階段，不同于歐盟的統(tǒng)一立法模式，美國(guó)剛開(kāi)始對(duì)個(gè)人信息的保護(hù)采取的是分散立法、行業(yè)自律的模式。首先在憲法里確認(rèn)了個(gè)人信息屬于公民的一項(xiàng)基本人權(quán)，［1］憲法的規(guī)定為各行各業(yè)的行業(yè)規(guī)范制定提供了原則性的規(guī)定，其分散立法主要有1966年的《信息自由法》、1974年的《隱私法案》、1980年的《隱私保護(hù)法》、1994年的《駕駛員隱私保護(hù)法》、1998年的《兒童上網(wǎng)隱私保護(hù)法》等［4］。另外美國(guó)各行各業(yè)在憲法確定的原則的指導(dǎo)下，制定了本行業(yè)有關(guān)個(gè)人信息保護(hù)的行業(yè)規(guī)范。

第二階段，為統(tǒng)一立法階段，隨著“Facebook數(shù)據(jù)泄露事件”，分散立法和行業(yè)自律的個(gè)人信息保護(hù)模式暴露出其嚴(yán)重的不足，美國(guó)開(kāi)始了對(duì)個(gè)人信息的統(tǒng)一立法保護(hù)模式。加利福尼亞州2018年6月28日制定并頒布了《2018年加州消費(fèi)者隱私法案》（CCPA），繼CCPA后，美國(guó)加州又于2020年11月3日通過(guò)了《加州隱私權(quán)法案》（CPRA），該法案將于2023年1月1日正式生效。

（二）美國(guó)個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)模式評(píng)析

和GDPR相比較，第一，CCPA個(gè)人信息的范圍界定更為廣泛，不僅包括能夠直接識(shí)別自然人的生物識(shí)別信息，例如性別、年齡、身高、體重、血型、星座、遺傳信息等，還包括個(gè)人的家庭信息（家庭住址、家庭成員、婚姻狀況等）、財(cái)務(wù)信息（個(gè)人收入、貸款情況、銀行存款等）和購(gòu)買(mǎi)信息（購(gòu)買(mǎi)習(xí)慣、購(gòu)買(mǎi)渠道、購(gòu)買(mǎi)價(jià)格等）等能夠間接識(shí)別的個(gè)人信息。第二，CCPA擴(kuò)大了加州居民（消費(fèi)者）的隱私保護(hù)范圍，一方面，消費(fèi)者對(duì)個(gè)人信息具有控制權(quán)，企業(yè)在使用消費(fèi)者個(gè)人信息時(shí)須經(jīng)消費(fèi)者同意；另一方面，該法案還為消費(fèi)者實(shí)現(xiàn)其控制權(quán)提供了有效路徑。［5］第三，CCPA賦予了加州居民（消費(fèi)者）更為廣泛的法律救濟(jì)途徑和救濟(jì)力度。其救濟(jì)途徑包括金錢(qián)方面的救濟(jì)途徑和非金錢(qián)方面（消費(fèi)者具有申請(qǐng)禁令或者是宣告性法律救濟(jì)權(quán)利）的救濟(jì)途徑，而且在金錢(qián)賠償方面，企業(yè)承擔(dān)的賠償責(zé)任比GDPR更大。［1］第四，CCPA一方面借鑒GDPR的統(tǒng)一立法模式，對(duì)個(gè)人信息進(jìn)行保護(hù)，另一方面又高度重視產(chǎn)業(yè)利益，力求消費(fèi)者利益、行業(yè)利益和技術(shù)創(chuàng)新的平衡。［5］第五，CPRA相比較于CCPA，加州居民（消費(fèi)者）的控制權(quán)更強(qiáng)，權(quán)利范圍更廣，而且當(dāng)權(quán)利受到侵犯時(shí)，對(duì)企業(yè)的懲罰力度更大。［6］

三、日本折衷保護(hù)模式演進(jìn)及其特點(diǎn)

（一）日本折衷保護(hù)模式演進(jìn)

日本的《個(gè)人信息保護(hù)法》于2003年制定，并于2005年4月1日施行，2013年開(kāi)始了該法的修訂工作，并于2015年正式通過(guò)［7］，于2017年5月30日正式施行。此次修法對(duì)《個(gè)人信息保護(hù)法》作了較大幅度的調(diào)整，2020年又做了局部修改。

（二）日本折衷保護(hù)模式特點(diǎn)

現(xiàn)行日本《個(gè)人信息保護(hù)法》具有如下特點(diǎn)：

1.該法明確了個(gè)人信息的概念界定，并明確區(qū)分個(gè)人數(shù)據(jù)和個(gè)人信息的概念區(qū)別，同時(shí)引入了“個(gè)人信息數(shù)據(jù)庫(kù)”的概念。根據(jù)日本《個(gè)人信息保護(hù)法》，所謂個(gè)人信息主要指的是能夠直接或者間接識(shí)別某個(gè)特定個(gè)人的一切信息，范圍較廣。而個(gè)人數(shù)據(jù)的范圍較窄，“個(gè)人數(shù)據(jù)”就是指構(gòu)成個(gè)人數(shù)據(jù)庫(kù)的個(gè)人信息。“個(gè)人信息數(shù)據(jù)庫(kù)”是指含有個(gè)人信息的信息集合物。［8］綜上可以看出，和歐盟和美國(guó)的立法不同，日本立法里的個(gè)人信息和個(gè)人數(shù)據(jù)屬于不同的概念。

2.在個(gè)人信息處理時(shí)使用“匿名化加工”制度。在保留個(gè)人數(shù)據(jù)有效性的基礎(chǔ)上，對(duì)部分可識(shí)別內(nèi)容和符號(hào)進(jìn)行匿名化處理和加工。

3.設(shè)立專(zhuān)門(mén)機(jī)構(gòu)來(lái)保護(hù)個(gè)人信息。個(gè)人信息保護(hù)委員會(huì)作為獨(dú)立的第三方監(jiān)管機(jī)構(gòu)，享有對(duì)個(gè)人信息的使用者進(jìn)行監(jiān)督和管理的權(quán)限，當(dāng)個(gè)人信息遭受侵權(quán)時(shí)，有權(quán)對(duì)侵權(quán)者采取調(diào)查、建議、指導(dǎo)、命令和勸告等監(jiān)督管理措施。［7］

4.借鑒“時(shí)間銀行”的社區(qū)養(yǎng)老模式，日本政府在“數(shù)據(jù)流通環(huán)境整備檢討會(huì)”提出“信息銀行”的設(shè)想?！靶畔y行”是指“基于PDS（Personal Data Store）等個(gè)人數(shù)據(jù)存儲(chǔ)系統(tǒng)，對(duì)簽訂數(shù)據(jù)使用協(xié)議后的個(gè)人數(shù)據(jù)進(jìn)行管理，并遵照本人的數(shù)據(jù)使用意愿與第三方開(kāi)展數(shù)據(jù)交易活動(dòng)（數(shù)據(jù)交易獲得的收益由信息銀行直接或間接交付給本人）”［9］

5.在知情同意原則上，兼顧企業(yè)利益和用戶(hù)利益，采取“自愿加入（opt-in）”和“自愿退出（opt-out）”兩種模式?！皁pt-in”模式，使用個(gè)人信息，須取得個(gè)人同意，此模式一般針對(duì)的是“需注意的個(gè)人信息”，即指含有政令規(guī)定的、為避免發(fā)生針對(duì)本人的人種、社會(huì)身份、病歷以及其他不利益而需要在處理上予以特別注意的記述等之個(gè)人信息；“opt-out”模式，使用個(gè)人信息，默認(rèn)用戶(hù)同意，針對(duì)的是其他個(gè)人信息。

四、大數(shù)據(jù)時(shí)代個(gè)人信息流動(dòng)中利益平衡保護(hù)的域外模式對(duì)我國(guó)的啟示

（一）制定統(tǒng)一的個(gè)人信息保護(hù)法

順應(yīng)個(gè)人信息統(tǒng)一立法保護(hù)模式的世界趨勢(shì)。目前我國(guó)關(guān)于個(gè)人信息的保護(hù)也采取的是統(tǒng)一立法模式，除了在《民法典》中明確規(guī)定自然人的個(gè)人信息受法律保護(hù)外，2021年通過(guò)的《個(gè)人信息保護(hù)法》，該法系統(tǒng)地對(duì)個(gè)人信息進(jìn)行保護(hù)。該法包括八章，其中第一章總則明確規(guī)定了個(gè)人信息的權(quán)利性質(zhì)屬于個(gè)人信息權(quán)益，并明確規(guī)定了個(gè)人信息的保護(hù)范圍以及處理個(gè)人信息應(yīng)當(dāng)遵循的原則；第二章明確規(guī)定了個(gè)人信息處理規(guī)則，并明確規(guī)定了敏感個(gè)人信息的處理規(guī)則和國(guó)家機(jī)關(guān)處理個(gè)人信息的特別規(guī)定；第三章規(guī)定了個(gè)人信息跨境提供的規(guī)則；第四章規(guī)定了個(gè)人在個(gè)人信息處理活動(dòng)中的權(quán)利；第五章規(guī)定了個(gè)人信息處理者的義務(wù)；第六章規(guī)定了履行個(gè)人信息保護(hù)職責(zé)的部門(mén)；第七章規(guī)定了各方的法律責(zé)任；第八章為附則。

（二）加強(qiáng)行業(yè)自律和外部監(jiān)督相結(jié)合

為了加強(qiáng)對(duì)個(gè)人信息的保護(hù)，我國(guó)可以借鑒美國(guó)的行業(yè)自律模式，并加強(qiáng)對(duì)各行業(yè)外部監(jiān)督。

（三）加強(qiáng)對(duì)特殊群體的重點(diǎn)關(guān)注

未成年人作為弱勢(shì)群體，其個(gè)人信息容易遭受侵犯，美國(guó)加州專(zhuān)門(mén)制定了《數(shù)字世界加利福尼亞未成年人隱私權(quán)法》，另外還專(zhuān)門(mén)就學(xué)生群體制定了專(zhuān)門(mén)的教育法典。這些對(duì)我國(guó)立法均有借鑒意義，我國(guó)在立法時(shí)可以專(zhuān)門(mén)就未成年人和學(xué)生群體的個(gè)人信息保護(hù)作出規(guī)定。［10］

（四）設(shè)立獨(dú)立的第三方機(jī)構(gòu)來(lái)對(duì)個(gè)人信息的使用進(jìn)行監(jiān)管

日本個(gè)人信息的保護(hù)采取的是統(tǒng)一立法和行業(yè)自律相結(jié)合的“共同規(guī)制”模式［7］。我國(guó)可以借鑒日本，設(shè)立獨(dú)立的監(jiān)管機(jī)構(gòu)來(lái)對(duì)個(gè)人信息的使用進(jìn)行監(jiān)管。2021年通過(guò)的《個(gè)人信息保護(hù)法》明確規(guī)定國(guó)家網(wǎng)信部門(mén)負(fù)責(zé)統(tǒng)籌協(xié)調(diào)個(gè)人信息保護(hù)工作和相關(guān)監(jiān)督管理工作。

（五）在知情同意原則上，兼顧企業(yè)利益和用戶(hù)利益，采取“opt-in”和“opt-out”兩種模式

我國(guó)2021年通過(guò)的《個(gè)人信息保護(hù)法》，亦采取這兩種模式，該法第十三條規(guī)定的七種個(gè)人信息處理者可處理個(gè)人信息的情形中，其中有六種情形處理個(gè)人信息采取的是“opt-out”模式①我國(guó)《個(gè)人信息保護(hù)法》第十三條。，除此之外，使用個(gè)人信息采取“opt-in”模式，須取得個(gè)人同意。

綜上所述，在大數(shù)據(jù)時(shí)代個(gè)人信息流動(dòng)頻繁的背景下，對(duì)于個(gè)人信息的保護(hù)顯得尤為重要，本文通過(guò)分析歐盟、美國(guó)和日本等國(guó)家對(duì)于個(gè)人信息保護(hù)方面的立法以及相關(guān)政策，發(fā)現(xiàn)了其中的優(yōu)點(diǎn)與不足，希望我國(guó)立法機(jī)關(guān)可以予以借鑒，完善信息保護(hù)相關(guān)立法，更好的保護(hù)公民的個(gè)人信息合法權(quán)益。