规制与流动：智媒时代的个人信息保护
——基于欧盟GDPR本土化的一项研究

闫玲玲

全球化智能传播时代，以个人信息为代表的大数据全球范围内采集与流动的普遍性，成为驱动各个产业发展的动力、各国竞相争夺的目标[1]。个人信息保护不仅是公民人权保护的体现，更多地，亦涉及国家网络主权安全的重要问题。2012年，为应对这一问题，欧盟通过了《一般数据保护条例》（General Data Protection Regulation，以下简称GDPR），并于2018年5月25日正式生效。GDPR的实施重构了智能时代下个人信息保护的路径，在一定程度上引领着世界个人信息流动与保护的发展。在GDPR的影响之下，2018年美国加利福利亚州出台了新的数据保护法规。

当前我国现有法律对于个人信息保护，散见于不具救济效力的部门规章、规范性文件和国家标准等上，仅具救济效力的《侵权责任法》将个人信息纳入隐私权中保护，又缺乏一定的针对性[2]。因而，深入解读欧盟GDPR条例，并考虑将其本土化的适用性和具体性路径，有助于我国面对人工智能时代个人信息保护立法，帮助我国企业在“走出去”过程中实现个人信息使用与流动安全。

1 人工智能时代个人信息保护面临的挑战

人工智能的核心是模拟、延伸和扩展人的智能[3]。人类借助机器存储海量信息并进行处理，在这些数据中，包含着有关个人隐私的个人信息和与个人隐私无关的非个人信息。对于人类来说，“大数据”是一种难以利用的资产，而人工智能是释放大数据价值的关键[4]。

人工智能对于个人信息安全的挑战主要体现在三个方面：一是个人对于自己信息控制的能力被削弱[5]。人工智能发展的未知性、处理数据的不透明性使得个人信息和非个人信息的界限越来越模糊。现在不可识别的“非个人信息”，并不意味着在人工智能的发展下未来不可识别；算法自身的黑箱特点使得个人难以了解个人信息被掌控的程度。二是数据控制者数据垄断不断强化。可以预见，垄断趋势将会逐渐加强，最终将产生巨型垄断企业，导致不提供个人信息便无法使用相应服务等不平等后果，为个人个人信息保护增加成本。三是数据集中导致的安全风险和数据监控风险增加。黑客攻击带来的信息泄露后果将越来越难以估量。人们亟须制定新的解决模式来保护自身的个人信息，GDPR便试图解决大数据、人工智能、机器学习和个人信息保护之间的问题[4]。

人工智能时代的个人信息保护是全球普遍面临的问题，欧洲的GDPR能够领先别国，这与欧洲的人权保护传统密不可分。欧洲的人权保护传统可以追溯到二战时期，德国希特勒政府对于犹太人的迫害，使得二战后的欧洲对于人权的保护格外重视。1995年，欧洲议会在1981年的法律保护之上又改革通过了《个人数据保护指令》。因此，对于个人信息隐私的保护，在欧洲有着非常悠久的传统，使得其在人工智能时代来临时，能够非常敏锐地对此作出反应，进行立法保护[6]。

另一方面，通过保护个人信息流通，促进经济的发展是欧盟出台GDPR更为现实的原因。数据资源的流动性和可获取性是人工智能时代下大数据应用和产业发展的基础。原有1995年《数据保护指令》与当今时代不符，难以满足用户的需求，亟须改革[7]：一是各国之间程度不同的个人信息保护，数据在欧盟之间的流动时受到数据保护壁垒的阻碍，流通不畅。欧盟内部市场运作带来个人信息跨境流动大幅度增加；二是赢得消费者的信任，在全球竞争中获取优势。早在1995年，世界贸易组织便明确表示，数据保护规则不应成为贸易壁垒[8]。

2 GDPR概述

GDPR共分11章共99条，针对人工智能时代带来的新挑战，为数据的收集、处理、删除、转移等提供全过程的保护，主要体现在：GDPR赋予数据主体更多的权利，包括创新的被遗忘权、数据携带权；GDPR对于数据控制者的问责更严，创新设立数据保护官、违规通知等；GDPR的惩罚措施也更加严厉，足以令企业破产；GDPR的监管范围扩大，属于典型的“长臂”管辖，扩展到域外涉及欧盟公民个人信息处理的主体。

第一章为总体规定，包括四条。其中第1条“主题与目标”明确表明，GDPR是为保护个人数据权利和促进个人数据的自由流动而制定。这为GDPR定下总体基调。第一章第3条“适用范围”规定了GDPR的适用地域范围，无论数据处理行为和主体是否在欧盟境内，只要为欧盟境内的数据主体，便适用GDPR。GDPR的“长臂”管辖将有效解决个人信息保护水平差异这一问题，所有处理欧盟境内数据的主体，将受到同样的法律约束。

第二章为基本原则。第5条规定了数据处理过程的基本原则，包括合法性、公平性、透明性、目的限制、数据最小化、精度、存储限制、完整性机密性原则和问责制，试图通过基本原则明确数据处理的准则规范。人工智能时代，个人信息泄露具有不可挽回性、泄露范围全球化等特点，为此，欧盟立法着重强调从数据收集的源头加以限制，降低个人信息泄露带来的严重后果。知情同意。第7条明确规定数据的收集应该在个人自由、充分作出同意的前提之下。重点针对“模糊条款”和“强制同意”：模糊条款是故意复杂化条款使得用户难以充分理解隐私条款而作出同意决定；强制同意将同意作为使用服务的前提，使用户不得不选择同意。条款核心是，“同意”的作出应不受任何附加因素的影响和约束；扩大个人信息的保护范围。第9条规定了特殊种类个人数据的处理，重点提到了生物识别信息，包括虹膜、指纹，医疗健康信息，宗教信仰，政治观点，性取向、性生活数据等，都是受保护的个人数据。

第三章主要为数据主体的权利。数据主体的权利主要为知情权、访问权、被遗忘权、限制处理权、个人数据可携带权等。第四章主要为数据控制者和处理者的义务。削弱数据控制者数据垄断的趋势，引导其对个人信息进行保护：实施适当的技术和组织措施保护个人信息安全；同时，在个人信息泄露后，有通知、合作的义务，甚至建立“数据保护官”一职位。第33条规定个人数据泄露后，数据控制者应在72小时之内通知监管机构，迟于72小时，则需要进行解释。

第九章主要是赔偿救济问题。以强制手段倒逼控制者保护个人信息。GDPR的赔偿力度较大：最高处以2 000万欧元或全球4%的营收（以较高者为准），足以令企业破产。在全球GDPR诉讼第一案中，被告正是出于对巨额罚款的担忧而决定不再收集相关数据。

3 我国个人信息保护的现实路径

一直以来，我国个人信息保护立法不完善，致使我国个人信息保护停留在较低的水平[9]。目前我国个人信息保护采取的方式是在多项法律中关注和强化，而新技术、新商业模式则对立法提出了新的挑战，应当不断完善法律制度。目前我国对于个人信息的保护呈现出碎片化的状态，涉及法律众多，实际应用混乱低效，重刑事轻民事，个人保护法律体系亟待健全，推进个人信息保护法的出台。

3.1 明确个人信息保护的立法目的

一直以来，我国个人信息保护属于民事权利层面，尚未上升至人权高度。我们认为，在民事权益层面，我国个人信息保护的立法目的应是平衡好大数据产业的发展与个人信息的保护之间的关系。可行的方案是区分个人信息保护的维度，分为个人一般信息和个人敏感信息。对于个人敏感信息，强化保护；对于个人一般信息，强化利用[10]。

3.2 基本原则

合法性原则、透明性原则、目的限制原则、安全保密原则和主体参与原则等已成为国际上获得广泛认可的个人信息保护原则，在GDPR中都有所体现[11]。在目的限制原则方面，我国应该立足本国国情，对欧盟的法律有所扬弃：一方面目的应该足够明确，减少模糊的空间；另一方面，个人信息的利用和保护应仔细平衡，不能完全苛求目的范围的最小化，容留一些弹性空间[12]。

3.3 监管制度

GDPR要求欧盟各国设立统一的监管机构，负责全权监管此条例的实施，将各项条款落实到位。为此，GDPR细致地规定了监管机构应保持独立性、国家应给予大力的支持等落实其监管效用。对我国的借鉴为，在监督问责方面，建立统一的监管机构，贯彻个人信息保护法条款，在具体实施阶段落实个人信息保护。同时，在一定情况下，可向企业派出数据保护官，进行更加严格的保护。

3.4 赔偿救济

个人信息侵权的特点是大规模小损害，单个诉讼主体缺乏积极性，群体性纠纷解决机制不够完善[13]。为此，可以采取公益诉讼，由消费者协会或同意的监管部门提出；同时，确立多样的纠纷解决制度，如个人信息监管部门调解、公益诉讼和行政救济等多元方式。最后，在赔偿金额方面，应加重赔偿力度。加大赔偿标准，促进企业重视个人信息保护，是我国个人信息保护必须考虑的。

3.5 生物信息

人工智能时代，生物识别信息是个人敏感信息中的敏感信息，应严格控制与保护。新技术层出不穷，不断为新技术而立法，因法律的滞后性而难以实现。因此，应将这类唯一可识别的生物信息保护纳入至个人信息保护法中，成为个人信息保护的基本原则，且明确数据收集主体的责任。

3.6 数据流动

从个人角度来看，我国可适当借鉴个人数据可携带权，一方面是能够便利于民；另一方面是能够在一定程度上打破各家互联网公司数据垄断的局面，促进合理有序的市场竞争。从国家角度来看，我国也应建立自身的数据出境规则，在发展数字市场和维护数字主权之间获得平衡。如在个人信息保护法中，对个人信息划分保护：个人一般信息实行事后追责制，个人敏感信息实行事前审查制，实现我国企业与境外机构之间的个人信息合理流动[10]。

在发展数字经济同时，应强化对于个人信息的保护。人工智能时代下，算法和深度学习等人工智能技术为个人信息保护带来了挑战。一方面是技术的“黑箱子”特点使得人们难以、也不可能完全了解个人信息的处理详情，未知带来隐形风险，人们呼吁个人信息真正为己所掌控；另一方面，信息传播环境翻天覆地的变化，权力让渡于算法和机器，数据控制者成为了体量庞大的数据垄断者，带来监管救济的困难。欧盟保护个人信息传统悠久、对人工智能时代反应最灵敏，GDPR具有很高的借鉴价值。借鉴欧盟，结合我国国情有所扬弃，应从两方面入手：一是数据收集的源头，加强个人对于个人信息的掌控能力；二是数据泄露的问责，建立完善的问责监管、赔偿救济体系，统一监管部门，提高赔偿救济金额。在人工智能时代下，探寻我国个人信息保护的现实路径。