加强数据治理应注重个人信息侵权的两个层级

张浩 陈全思 栾群

随着移动终端与生产生活的深度融合，移动互联网使用频次高、使用范围广，也成为个人信息侵权的重灾区。近年来，移动互联网个人信息侵权事件频频出现，涉案规模不断扩大。推动数据治理首先要解决个人信息乱象。根据危害程度的不同，当前个人信息侵权主要可以分为违法使用个人信息和不合理使用个人信息两个层级。

移动互联网个人信息侵权的两个层级

违法使用行为：受关注度高，衍生犯罪不断增多。违法使用源于“知情—同意”原则，即未经用户“知情—同意”的个人信息采集使用行为属于违法使用。该原则受到广泛认可，无论是我国《消费者权益保护法》《网络安全法》等法律法规，还是欧盟《一般数据保护条例》，都将其作为个人信息保护规则的基石。实践中，违法使用个人信息的事件主要有两个层面：一是一般违法。包括未经用户同意，收集、使用用户个人信息和未经专门授权进行跨平台个人信息流通等。二是严重违法。主要指以收集、使用个人信息为工具进行的犯罪，比如电信诈骗等经济犯罪、敲诈勒索等暴力性犯罪等。

不合理使用行为：发生率高，但受重视程度较低。一方面，就我国现行法律法规而言，虽然“知情—同意”原则被法律认可并已形成条文，但具体条文的内容仍局限于原则性规定，缺乏针对性和制度衔接，最终导致形式合法成为服务提供者与用户签订协议的主要目的，而忽略了保护个人信息的本质。另一方面，互联网的灵活性使制度难以明确限定个人信息使用范围。最终导致出现大量“合法但不合理的个人信息使用行为”，即不合理使用。在实践中，常见的不合理使用事件主要有两类：一是一般不合理行为。比如，普遍存在的以合法目的进行轻微过度收集、使用个人信息。二是严重不合理行为。比如常见的“超过APP功能的强制授权”等，此类行为是当前个人信息侵权事件中应当重点关注的领域。严重不合理行为本质上已经构成违法，但由于法律的滞后性，导致该行为并未被成文的法律法规所涵盖。

原因分析

个人信息保护制度缺乏可操作性。在现阶段，我国由《全国人民代表大会常务委员会关于加强网络信息保护的决定》《网络安全法》《电信和互联网用户个人信息保护规定》和《个人信息安全规范》，初步形成个人信息保护制度，“法律—规章—國标”三个层级，可以用一句话概括为：应当遵循合法、正当、必要的原则，明示收集和使用的目的、方式和范围，并经用户同意。但这种原则性表述的规范，在实践和执法中难以有效执行。

未形成制度化的外部监管机制。个人信息保护领域“重打击、轻管理”的现象亟待解决。对于广泛存在的APP个人信息侵权及不合理使用问题，政府监管部门、司法系统及社会公众等层面的外部约束机制尚未有效形成。在行政执法层面，公安机关重点打击信息侵权的下游犯罪，比如网络诈骗、电信诈骗、盗窃等，对于信息侵权和不合理使用行为本身，通信、网信等执法部门则缺少明确的执法依据和有效的执法手段，只能通过间歇性的执法检查和约谈的方式督促企业整改。在司法层面，法院审理涉及个人信息侵权的案件绝大多数为刑事案件。2009—2017年，我国法院共审结侵犯公民个人信息刑事案件2826件。刑法只能治标，难以治本，这种打击力度不足以遏制蔓延的个人信息侵权问题。目前针对个人信息侵权的诉讼很少，检察机关也尚未针对个人信息侵权和不合理使用行为提起过公益诉讼。在公众监督层面，虽然《网络安全法》《消费者权益保护法》等法律赋予了用户维护个人信息权益的权利，用户可以通过向网信、公安及有关行业主管部门投诉，举报个人信息侵权行为，但普通用户通常难以发现个人信息泄露的源头，很难明确投诉举报对象，导致个人信息侵权的公众监督难以落实。

互联网从业主体业务合规意识弱。互联网领域的新兴业态和新业务不断涌现，企业开展业务时要接触并处理大量的个人信息，但企业和相关从业者对个人信息保护的意识还比较薄弱。一方面，互联网快速迭代文化的盛行，使合规难受重视。随着数字经济的兴起，数据被认为是“数字石油”。为了拓展业务空间，抢占市场份额，获取用户流量和数据资源，互联网企业及其从业者往往将注意力聚焦在业务和技术条线上，很可能忽略业务的合规和合理问题，对用户个人信息的保护缺少内在约束机制和主动保护意识。另一方面，计算机等相关领域人才教育中缺少法律课程设置。一般情况下，为提高对社会规则和专业规则的认知，与社会生活直接相关程度高的学科，比如教育、医学和财会等，均设置有相应法律基础知识专业课。而在传统理工科人才培养教学课程设置中，基于社会直接相关度的考虑，除了公共基础课程和专业课程以外，通常缺少专业法律课程的设置，而更多设有的是标准课程。但计算机领域不同，相关产业与社会生活几乎已完全融合，大量法律问题直接涉及普通用户的权利，因此，如果从业者缺少法律素养和法治意识教育，则很可能出现信息侵权或不合理使用问题。

应对方式

虽然当前个人信息保护需求紧迫，但立法条件尚不成熟，对个人信息能否合理利用仍未达成共识。基于现有研究，优化执法体系，以现有原则性立法为基础，探索可操作性规则，更具实践意义。

执法层面：引进中立第三方社会团体开展常态化评估。缺乏事中监督也是当前个人信息侵权频出的重要原因。虽然自《网络安全法》实施以来，相关部委和机构在全国组织了一系列检查监督活动，但这些活动多为运动式执法，缺乏制度化的事前事中监管机制。受客观因素限制，主管机关仅依靠自身力量难以实现对企业个人信息保护的定期监督和专业审查。在高频次使用的移动互联网领域，仅依赖运动式执法难以有效杜绝个人信息侵权事件的发生。因此，应当引进中立第三方社会团体开展常态化评估。主管机关可以委托或授权具备公信力和专业能力的中立第三方社会团体从事常态化评估，作为其执法辅助。具体而言，该第三方社会团体可以组织专业技术人员对相关企业的业务合规性、合理性进行年度、季度和不定期评估，固定评估痕迹，定期出具相应评估报告，并报主管机关审议。对发现有不合规或存在潜在风险的业务，由主管机关组织检查。除此之外，还可以鼓励该第三方社会团体作为公益诉讼的主体或证人，将评估痕迹和报告作为诉讼证据。

研究层面：探索个人信息可利用范围的界限。应重视数据占有主体的数据权利，探索数字经济发展与公众隐私保护的平衡点，厘清个人信息的可利用范围，重视数据占有主体的合理数据权利。个人信息与隐私、数据的交叉混淆是个人信息侵权事件愈渐频繁的重要原因。受技术因素影响，数据量及其丰富度是互联网企业提高业务竞争力的核心。其中，用户的个人信息是消费互联网数据的重要来源。随着数字经济的兴起，个人信息逐渐为公众所重视，并与隐私挂钩。最终，数字经济发展与公众隐私保护逐渐成为个人信息保护的主要矛盾。但受用户思维和商业数据中企业优势地位的共同作用，现有研究更多关注的是如何限制企业、增加企业义务，而较少关注企业本身的数据权利。随着数据重要性的进一步提高，缺乏对企业权利的合理保护会使其丧失积极性，违反了客观的数据经济规律。对此，欧盟采取严格的隐私本位措施，出台了《一般数据保护条例》，将个人信息明确为不可转移的人格权。经过一年的实践，虽然难以证明长期影响，但从短期影响来看，该政策倾向将对数字经济发展产生较大的不利影响。美国国家经济研究局（NBER）研究显示，在《一般数据保护条例》推行后，欧盟国家企业的融资总额、融资交易笔数以及每笔融资交易金额均大幅减少，使得新企业每周减损90 万美元投资，成熟企业每周减损710万美元;使得新兴、年轻和成长阶段的企业每笔交易融资额分别缩水27.1%、31.4%和77.3%。综合GDPR 可能创造的就业岗位与消灭的岗位来看，其造成的岗位流失大致相当于样本新兴企业雇工人数的4.09%～11.2%;并且严重影响了最具价值和生命力的处于从天使投资向风险投资转变阶段的新兴企业。因此，为有效治理个人信息和数据相关问题，确保数字经济持续稳定发展，应当专题研究个人信息可利用范围，兼顾发展与保护，探索个人信息的合理利用规则。

教育层面：建立以人為本的个人信息侵权预防体系。治理移动互联网个人信息侵权应当采取以人为本的措施，从源头上进行引导和教育。一方面，针对从业者，鼓励或要求互联网公司定期进行法治培训。培训形式应灵活和多元化，内容有针对性，使从业者能具备基本的个人信息保护等法律常识。同时，还应建立基本的业务合规机制，对新设、变更等业务变动进行“红线审查”并制作合规备份，有条件的企业应建立专门的合规流程和部门，确保相关业务可审可查。另一方面，编制计算机相关专业高等教育法治课程，作为专业必修课。课程设置应多样化，内容应覆盖宪法、权利义务、法律红线和基本原则等基础法律知识。鼓励高校和相关机构开展多种形式的普法教育活动。