论大数据背景下个人信息的私法保护

周 庆 暴梦洁

随着互联网科技的不断纵深发展，信息技术逐渐覆盖了人们生活的方方面面。(1)2020年4月28日，中国互联网络信息中心(CNNIC)发布了第45次《中国互联网络发展状况统计报告》，报告显示，截至2020年3月，我国网民规模为9.04亿，互联网普及率达至64.5%(《第45次〈中国互联网络发展状况统计报告〉》，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202004/t20200428_70974.htm)。9月29日，中国互联网络信息中心在京发布第46次《中国互联网络发展状况统计报告》，报告显示，截至2020年6月,我国网民规模达9.40亿，较2020年3月增长3 625万；互联网普及率达67.0%，较2020年3月提升2.5个百分点(《第46次〈中国互联网络发展状况统计报告〉》，http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/202009/t20200929_71257.htm)。因疫情防控要求，个人信息的收集和使用更加普遍。“健康码”“行程码”等利用大数据技术进行个人信息收集活动虽然为人们复工复产提供了方便快捷的“通行证”，但是同时也引发了人们对个人信息保护的潜在担忧。在享受信息技术带来的便利服务的同时，各种与个人信息保护相关的问题也开始浮出水面。2020年3月，中共中央、国务院发布了《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称《意见》)，在第六部分提出加快培育数据要素市场，将数据作为独立的市场化要素之一进行规定，体现了国家对数据市场发展的重视和支持。同时，《意见》第22条特别强调数据的安全保护问题，提出加强对政务数据、企业商业秘密、个人信息数据的保护。个人信息泄露问题在近些年来屡见报端，圆通速递公司内部工作人员有偿租借员工账号导致40万条公民个人信息被泄露，(2)《圆通多位“内鬼”有偿租借员工账号 40万条公民个人信息被泄露》， https://baijiahao.baidu.com/s?id=1683517423101346517&wfr=spider&for=pc。3元买8万张人脸数据信息(3)《3块钱就能买8万张高清人脸照片，你的“脸”被用来干什么？》，http://finance.sina.com.cn/wm/2020-07-08/doc-iirczymm1257326.shtml。等非法买卖个人信息案件多发，为不法分子对不特定社会公众实施精准诈骗、敲诈勒索或者冒用他人信息实施违法犯罪行为提供了可能，特别是一些涉及个人核心隐私的敏感信息，一旦遭到泄露，造成的损失将是难以估量且不可逆的。如何给“失控”的个人信息按下“刹车键”，离不开个人信息保护相关立法的完善。本文通过对个人信息的分析识别、法律保护现状来论证大数据时代个人信息保护的法律路径选择，期待能为未来个人信息法律保护的全面铺开提供一些启发。

一、个人信息的识别

在当下“一部手机走天下”的时代，数字生活带给人们诸多便利，从衣食住行到吃喝玩乐，在满足人们生活、工作和娱乐等各方面需求的同时，也在个人信息保护方面暴露了诸多安全隐患。如何保护广大民众的个人信息不受非法泄露、保障公民的网络安全已经成为一个广受关注的社会问题，在此之前，有必要厘清个人信息的概念和范围以明晰信息侵权行为的具体表现以及进行后续的合理维权。

(一)个人信息的界定

《中华人民共和国民法典》(以下简称《民法典》)第1034条对个人信息的范围进行了界定，同时规定“信息处理者不得泄露、篡改或者未经信息主体授权同意擅自向他人披露、公开其掌握、管理的个人信息，但不具备识别特定自然人特征且无法复原的除外”。(4)《中华人民共和国民法典》，https://www.66law.cn/tiaoli/153012.aspx。这与此前的《中华人民共和国网络安全法》(以下简称《网络安全法》)、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等对个人信息的界定范围是基本一致的。此外，2020年10月21日公布的《中华人民共和国个人信息保护法(草案)》(以下简称《个人信息保护法草案》)第4条对个人信息的范围进行了改动，(5)《中华人民共和国个人信息保护法(草案)》，http://fzzfyjy.cupl.edu.cn/info/1077/12335.htm。相较于《民法典》和相关法律法规以及司法解释的规定，《个人信息保护法草案》排除了“特定自然人”的限制，改采用“自然人”的说法，实质上是采取了个人信息定义的最宽入口模式，扩大了个人信息的认定范围，加大了个人信息的保护力度。综合来看，个人信息定义包括三个要素：载体形式、权利主体和基本特征。从载体形式来看，我国现行法律框架内并未对个人信息的载体形式做过多限制，承认以电子或者其他任何形式反映自然人特征的各种信息。就权利主体来看，限定为自然人，法人和非法人组织不是个人信息权利的适格主体。从基本特征来看，要求个人信息具有“可识别性”，包括单独识别和结合识别。其中，“可识别性”是个人信息的核心内涵和保护基础，对于不具备可识别性(包括单独识别和结合识别)信息的处置行为则成为信息处理者的免责事项或者直接将其排除在“公民个人信息范围”之外。

(二)相关概念辨析

1.个人信息与个人数据

欧盟惯用“personal date”即“个人数据”的表述。我国学者梅绍祖认为“个人信息保护的内涵基本上与个人数据保护相一致”。(6)梅绍祖：《个人信息保护的基础性问题研究》，《苏州大学学报》2005年第2期，第27页。学者齐爱民还对两者的关系进行了论述，指出数据“是指用有意义的、可以识别的符号对客观事物加以表示得到的符号序列, 是代表人、事、时、地的一种符号序列(不以文字为限)”，信息“是指资料经过处理后可以提供为人所用的内容,它的功能是使事物的不确定性减少”。据此，个人信息和个人数据的关系可以概括为：个人信息是个人数据所反映的内容，个人数据是个人信息的表现形式。(7)齐爱民：《论个人信息的法律保护》，《苏州大学学报》2005年第2期，第31页。从个人信息保护相关立法目的来看，其指向的都是个人信息背后的信息权利不受侵犯，而不是载体或者媒介本身，且个人信息权作为一个惯用的法律概念已经得到学界和实践界人士的广泛认可，我国的各项法律法规规章也都惯用“个人信息”进行表达。因此，笔者认为采用“个人信息”的概念更为妥当。

2.个人信息和个人隐私

经常与个人信息放在一起讨论的还有“个人隐私”的概念。美国遵从“大隐私权”概念，将个人信息纳入隐私保护的范畴，将个人可识别信息，即Personal Identifiable Information作为是否纳入隐私权保护的重要参考标准。(8)雷丽莉：《权力结构失衡视角下的个人信息保护机制研究——以信息属性的变迁为出发点》，《国际新闻界》2019年第12期，第69页。我国《民法典》第1034条第3款确定了个人隐私和个人信息的二元保护法律模式。(9)《中华人民共和国民法典》，https://www.66law.cn/tiaoli/153012.aspx。两者的区别主要包括以下方面：就权利客体方面，根据《民法典》第1032条第2款对个人隐私范围的界定，个人隐私不仅包括私密信息的形式，还包括其他具备隐私特征的私密空间和私密活动；而个人信息强调具有可识别性的与自然人相关的各种载体形式的任何信息，通常以具体的某种形式固定并记载下来，但两者又确实呈现出某种交叉关系，个人私密信息就是个人隐私和个人信息的交叉部分。就权利行使目的方面，隐私权侧重于保护自然人的个人秘密免遭非法披露、公开；个人信息权则强调自然人基于自主意识对其个人信息的支配和控制，未经其授权同意不得实施信息处理行为。因此，在“法律保护模式方面，提出个人信息权与隐私权相区分，表明在法律上对它们进行分别保护，在理论上是有充分依据的”。(10)李永军：《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》，《浙江工商大学学报》2017年第3期，第14页。有学者主张根据个人信息与个人核心隐私关联程度的不同将“个人信息区分为纯粹的隐私信息、隐私性信息和纯粹的个人信息。个人生物识别信息、个人敏感信息、个人金融敏感信息等归属于纯粹的隐私信息，而个人生活信息如婚姻家庭状况等属于隐私性信息的范畴，个人身份信息如职业、教育背景等则属于纯粹的个人信息”。(11)景欣：《互联网征信中个人信息保护制度的比较与借鉴》，《西南金融》2020年第9期，第77页。笔者认为，根据个人信息与个人核心隐私的关联程度对个人信息进行类型化界定，有助于后续不同类型信息使用处理规则和保护梯度的区分，也符合我国对一般个人信息和个人私密信息二元保护的立法模式。

二、个人信息的私法保护现状

保护个人信息安全，法律的作用首屈一指，但在现行的法律体系中，仍存在着新型救济手段——人格权禁令制度规定不明以及专门立法的缺位问题。

(一)人格权禁令制度条文模糊宽泛

综合来看，我国以《民法典》为核心的个人信息私法保护法律体系已经基本形成。《民法典》第111条以及第1034条规定自然人的个人信息以及个人信息中的私密信息，分别受个人信息权和隐私权的保护；第110条、第990条、第991条明确了隐私权属于自然人人格权的范畴并规定人格权依法受法律保护；第995条至第999条规定了人格权受损后的法律救济，包括救济权的产生、救济途径的具体形式以及人格权合理利用的边界限制；第1194条至第1197条为网络领域侵害公民个人信息行为的救济提供了法律依据。可见，从个人信息的权利到受损之后如何救济，《民法典》已经基本形成了个人信息保护的完整框架，但是仍有一些具体问题需要明确。《民法典》第997条规定了“人格权禁令”制度,(12)《中华人民共和国民法典》，https://www.66law.cn/tiaoli/153012.aspx。根据该条，自然人的个人信息被非法使用或处理的，被侵权人可以向有管辖权的法院申请发布禁令，要求行为人立即停止实施有关侵权行为。但是作为一种新型的人格权救济手段，人格权禁令的性质、裁判形式、有效期限以及是否必然依附于诉讼程序等问题法律都未有明确规定，需要立法和学理上的进一步明晰。

(二)个人信息保护专门立法缺位

党的十八大以来，全国人民代表大会及其常委会在发布《关于加强网络信息保护的决定》、出台《网络安全法》《中华人民共和国电子商务法》以及修改《中华人民共和国消费者权益保护法》等法律工作中，确立了个人信息保护的一般原则和以“通知—同意”为核心的一系列个人信息处理规则；2015年，《刑法修正案(九)》中将“出售、非法提供、非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”，扩大了侵犯公民个人信息犯罪的主体范围和行为类型，逐步完善了惩治个人信息犯罪的刑罚制度；在《民法典》编纂工作中，将“自然人的个人信息受法律保护”作为一项重要民事权利进行规定。“我国个人信息保护法律制度体系逐步建立，但仍难以应对信息化快速发展的现实情况和人民日益增长的美好生活需要。”(13)《〈中华人民共和国个人信息保护法(草案)〉的说明》，http://credit.shaanxi.gov.cn/316/10231627.html。在个人信息保护专门立法日益成为国际惯例的情况下，(14)《全球90个国家和地区制定个人信息保护法律》，http://world.people.com.cn/n1/2017/0810/c1002-29463433.html。社会各方面在出台个人信息保护专门立法上的呼声愈发强烈。现行个人信息私法保护框架下仍存在以下问题：

1.个人信息缺乏科学分类

《关于加强网络信息保护的决定》《网络安全法》《民法典》等相关法律法规明确规定个人信息的使用处理应遵循合法、正当、必要原则。《民法典》第1032条明确了自然人享有的隐私权不受任何组织或个人的侵犯，第2款对个人隐私的范围进行了界定并明确私密信息属于个人隐私的范围。《民法典》第1033条对于侵害隐私权的行为类型进行了列举，其中第5款明确规定禁止处理他人的私密信息。《民法典》实质上确立了隐私性信息“严格禁止”的使用处理原则。我国立法模式下，对一般个人信息和隐私信息的保护和处理原则规则进行了分别规定，但是却由于缺乏对个人信息的明确分类，导致一般个人信息和隐私信息之间界限比较模糊，在涉及具体信息的使用处理原则以及确定信息侵权标准时易产生冲突和矛盾。

2.“通知—同意”规则的异化

个人信息的相关法律法规普遍规定收集使用个人信息必须得到信息主体的授权同意，同时应当把信息收集的范围、方式、用途等告知信息主体。在个人信息保护问题多发的互联网领域，由于网络服务提供者和信息主体之间经济地位和认知能力的严重不对等，且个人对网络服务的强烈依赖性，使得“通知—同意”规则在实践中流于形式。一般来说，人们在使用一项网络服务时，通常具备让渡一部分信息权利的自觉和认知，但是却缺乏准确了解实际被收集和使用的个人信息范围的能力和途径。虽然在注册使用一项网络服务之前，都会有阅读并同意隐私政策的环节，但隐私政策大多内容冗长、表述专业、超出一般用户的理解和认知范围，用户通常怠于阅读、草率同意，即便在用户认真阅读且理解条款内容的前提下，对于同意之后个人信息在何时何地何种程度上被收集和使用同样缺乏发现能力，并不能形成对网络运营者信息处理行为的有效监督和制约。信息主体在并不能真正“明知”的情况下完成了“同意”行为，而网络运营者却完成了通知及明示义务的履行并因此免除了可能超范围收集信息行为的应负责任，网络运营者利用自身技术优势和信息主体的无经验、无能力，不合理地减轻、免除自身责任有违私法公平合理原则。实践中，被异化的“通知—同意”规则暴露了当前“通知—同意”个人信息处理规则的单薄，亟须进一步细化和完善。

三、大数据时代个人信息保护路径选择

如上所述，虽然个人信息保护得到了部分立法的回应，但是面对目前个人信息保护的严峻形势，亟须在下一步的法律完善工作中得到更正补全。

(一)完善人格权禁令制度

《民法典》第997条规定了人格权禁令制度，(15)《中华人民共和国民法典》，https://www.66law.cn/tiaoli/153012.aspx。这也是2020年《民法典》编纂出台的亮点之一。根据民法解释论的观点，该条可以当然适用于侵犯自然人隐私权(包括隐私性信息)以及个人信息权的场景，当事人可以依据该条向人民法院请求发布停止侵害隐私权或者停止非法使用处理个人信息的禁令。互联网和大数据时代背景下，“信息的传播具有即时性，且网络的无边界性以及受众的无限性也使得网络环境对信息的传播具有一种无限放大效应”。(16)张新宝：《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第59页。人格权禁令制度既进一步加强了对人格权侵权行为的事先预防，又体现了对于侵犯人格权损害后果的事后救济。但是作为《民法典》特设的新制度，《民法典》并未就人格权禁令的性质、是否必然依附于某一诉讼的提起、裁判形式以及有效期限等相关问题作出明确规定，有待进一步的讨论和明晰，宜在后续出台《民法典》适用的相关司法解释时予以明确。

首先，关于人格权禁令的性质以及是否必然依附于某一诉讼的提起。人格权禁令是一种行为禁令，内容是禁止行为人为一定行为，这种禁令具有强制性，受禁令的行为人必须遵从，不得实施禁令禁止的行为，违反者需承担相应的法律责任。同样作为一种行为禁令，人格权禁令与行为保全具有共性的部分，同时也有自己的独特之处。从功能定位来看，人格权禁令和行为保全都是出于避免申请人在获得终局救济之前由于不法侵害持续存在造成申请人的合法权益产生难以弥补的损害的目的提起的。从适用的阶段来看，人格权禁令和行为保全皆可以在诉讼前或者诉讼过程中申请。从《民法典》第997条的规定来看，并未体现出人格权禁令制度与诉讼提起的必然关系，只要符合人格权禁令的发布要件，申请人就可以向法院提出发布人格权禁令的申请。有观点认为，“人格权禁令系诉前禁令的一种，必须依附于某一诉讼的提起才能发挥作用”。(17)王利明：《民法典人格权编草案的亮点及完善》，《中国法律评论》2019年第1期，第102页。笔者在此持不一样的观点，早前的《民法典草案》第780条规定：“民事主体有证据证明他人正在实施或者即将实施侵害其人格权的行为，如不及时制止将会使其合法权益受到难以弥补的损害的，可以在起诉前依法向人民法院申请采取责令停止有关行为的措施”。(18)王利明：《民法典人格权编草案的亮点及完善》，《中国法律评论》2019年第1期，第102页。这与《民事诉讼法》第101条的规定类似，(19)《中华人民共和国民事诉讼法(2017修正)》，https://www.pkulaw.com/chl/d33df017c784876fbdfb.html?keyword。都体现了禁令提起对诉讼程序的强制依附性，但是《民法典》最终颁布时却不再有“在起诉前”的表述，这表明《民法典》最终确定人格权禁令制度独立于诉讼的性质，在适用条件上不必同行为保全一样必须依附于某一诉讼的提起。从这个意义上看，人格权禁令与《中华人民共和国反家庭暴力法》(以下简称《反家庭暴力法》)中的人身安全保护令更具相似性。

其次，关于人格权禁令的裁判形式和有效期限问题。我国民事诉讼领域法定的裁判形式包括三种：判决、裁定和决定，除此之外还包括督促程序中的支付令形式。支付令系命令的一种，命令与一般裁判形式的不同之处在于命令并不具有对争议事项进行裁决的特点。人格权禁令作为一种行为禁令虽然名称上与命令具有类似性，但是在探讨具体适用的裁判形式时不能仅看形式上的名称如何，更应该深层次地剖析人格权禁令的性质、内容和功能，综合判断人格权禁令应当适用的裁判形式。在通常的民事诉讼程序中，命令这种裁判形式几乎不存在，支付令的内容也仅限于非讼程序中金钱债权的履行，与人格权禁令行为禁止的内容存在较大差异。因此，笔者认为，人格权禁令应该参考行为保全和人身安全保护令的相关规定，以裁定的形式作出，被申请人对裁定有异议的，其救济途径应该是向作出裁定的法院申请复议。上文已经论及人格权禁令和行为保全以及人身安全保护令之间在功能、适用阶段等方面存在共通之处，适用与行为保全和人身安全保护令相同的裁判形式符合法理，且行为保全和人身安全保护令经过多年司法实践，可参考价值和操作性较强，可以为人格权禁令的适用提供依据和指引。

在适用裁定形式发布人格权禁令的基础上，还会引出关于人格权禁令有效期限的讨论。根据《民法典》的规定，人格权禁令并不以某一诉讼的提起为必要，但是这并非意味着人格权禁令与诉讼程序完全脱离。事实上，人格权禁令是否与诉讼存在牵连，取决于人格权禁令的提请发布的时间节点是否与诉讼相关。一种情况是由于出现了某种紧急情况，不申请发布人格权禁令将会造成难以弥补的损害，申请人出于预防或者制止损害进一步扩大的目的将人格权禁令作为提起诉讼前或者诉讼终结前的临时性过渡措施，在这种情况下，人格权禁令和行为保全并无本质上的差别。在这种情况下，按照申请发布人格权禁令的时间节点，分为诉讼前的禁令和诉讼中的禁令。诉讼前禁令参照适用《民事诉讼法》第101条第3款的规定，在申请禁令后的三十日内不提起诉讼或仲裁的，禁令失效，由此诉讼前人格权禁令的有效期为三十日。诉讼中的人格权禁令在诉讼中持续有效，待法院就人格权侵权的行为作出生效的确定判决后，申请人的权利才能得到终局的保护，在诉讼过程中它始终是一种临时性的救济措施。另一种情况是，申请人并无后续提起诉讼的意图，仅仅具有临时救济人格权的目的。此时申请的人格权禁令与《反家庭暴力法》中规定的诉讼外人身安全保护令具有一致性，属于独立的司法程序，禁令的发布并不要求申请人及时起诉，只起到制止人格权侵权行为、临时保护申请人人格权的作用，禁令的有效期限同时参照适用人身安全保护令的相关规定，根据《反家庭暴力法》第30条的规定可知，诉讼外人格权禁令的有效期应不超过六个月，在禁令失效前，人民法院可以根据申请人的申请撤销、变更或者延长。关于两种情形下如何判断人格权禁令与诉讼的关系问题，笔者认为可以引导申请人在申请材料中列明，表明其申请目的是作为诉讼前或诉讼中的临时性过渡措施，抑或是独立的诉讼外的特殊司法请求，法院根据不同的申请目的对人格权禁令与诉讼的关系进行判断从而选择适用的法律依据。

(二)制定专门的个人信息保护法

现行个人信息保护法律框架下的个人信息缺乏科学分类以及“通知—同意”规则的异化问题可以通过制定专门的个人信息保护法来解决。

1.对个人信息进行科学分类

从个人信息的具体内容来看，主要包括以下类型：“一是个人外观信息，如姓名、身高、体重等；二是个人身份信息，如职业、职务、教育背景等，个人社交账号、IP地址等属于个人的互联网身份信息；三是个人生物识别信息，如血型、指纹、DNA、面部特征、虹膜等；四是个人健康信息，如病例、体检报告等；五是个人经济信息，如存款、房产、贷款及相关经济活动等；六是个人信用信息，如个人征信记录、失信惩戒情况等；七是个人的生活信息，如地址、电话、婚姻状况等；八是个人其他信息，如宗教信仰、社交等”。(20)景欣：《互联网征信中个人信息保护制度的比较与借鉴》，《西南金融》2020年第9期，第77页。由于我国实行隐私信息和一般个人信息二元保护的立法模式，因此对个人信息进行一般个人信息和隐私信息的科学分类显得尤为重要，对两者进行区分的关键在于隐私信息范围的界定。

一般认为，“隐私信息是指关涉个人隐私核心领域，对其公开或者利用将会给个人造成重大影响的个人信息”。(21)张新宝：《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第51页。我国现行个人信息法律保护框架下缺乏对个人隐私信息概念和范围的明确界定，《信息安全技术公共及商用服务信息系统个人信息保护指南》虽然对个人敏感信息进行了定义和列举，(22)《信息安全技术 公共及商用服务信息系统个人信息保护指南》，https://www.pkulaw.com/chl/0ff5bc705d989a1abdfb.html?keyword。可在一定程度上为个人隐私信息的界定提供参考，但是由于其仅仅是一个部门工作文件，效力位阶过低，辐射范围有限。我国台湾地区《个人资料保护法》第6条以是否与个人核心隐私相关为标准，对个人隐私信息进行了类型化列举。(23)台湾地区《个人资料保护法》(2015年修正)，https://www.pkulaw.com/twd/4bc14ebbf6661fda88dbe95d34c47cb3bdfb.html?keyword。当前，制定《个人信息保护法》已经被列入第十三届全国人大常委会立法规划和年度立法工作计划，笔者认为将来《个人信息保护法》对个人隐私信息进行界定时，应该吸收借鉴其他国家、地区的有益做法和成熟经验，结合我国的法律文化传统、社会普遍价值观、风俗习惯等，以“是否关涉个人的核心隐私”为标准对个人隐私信息进行综合界定，同时应认识到“个人隐私信息范围是一个动态发展的过程，可能会随着科学技术发展水平、社会发展动态等产生范围上的扩大或者缩小”，(24)张新宝：《从隐私到个人信息:利益再衡量的理论与制度安排》，《中国法学》2015年第3期，第51页。在进行个人隐私信息的类型化列举时应该结合科技发展态势为其他可能存在的扩展类型预留空间。

2.改进“通知—同意”的个人信息处理规则

现行法律框架下个人信息的收集处理规则是以“通知—同意”为核心建立的，不管是各部门法还是相关的行政法规都将信息主体的同意作为其后续风险负担的认定依据。笔者认为这种风险分配原理是否妥当值得商榷，单条个人信息体现的经济、商业价值或许有限，但是在对庞大的信息集合进行分析整合后所产生的能量却是巨大的，个人信息在商业化流动中产生的巨大收益毫无疑问都是归属于信息管理控制者的，而信息主体一旦在信息收集阶段表示了“同意”，后续一系列的被泄露或被滥用的现实化的风险和结果都要由其承担，这种风险分配原理显然是有失公平的。在缺乏相关配套规则的情况下，现行个人信息保护法律体系下的“通知—同意”规则显得过于单薄，难以有效应对经济社会生活的复杂性和个人信息处理的不同情况。

笔者建议应在未来的《个人信息保护法》制定中健全个人信息收集处理的一系列规则，与“通知—同意”规则形成合力。首先，应赋予信息主体“撤回同意意思表示”的权利，规定在特定情形下信息主体可撤回对其个人信息收集使用的同意。关于有权“撤回同意”的具体情形，笔者认为可参考《民法典》关于可撤销意思表示的规定，在欺诈、胁迫、显失公平、重大误解等情形下允许信息主体“撤回同意”。其次，在今后《个人信息保护法》的制定过程中，应该更多地将重心放在信息管理控制者的合规义务的履行和责任承担方面，而不是放在取得信息主体对于收集处理其个人信息的同意上，当然这并不是意味着信息收集处理不再需要信息主体的同意，而是说信息主体的同意不能成为信息管理控制者在后续信息保管和处理中不合规行为的免责事由，应该通过改变风险分配规则倒逼信息管理控制者把重点放到合规义务的履行上来。目前的情况是除了在信息收集阶段需要信息主体的“形式同意”外，在后续的信息处理过程中，信息主体基本丧失对其个人信息的控制权，自己的个人信息在何时何地何种程度被如何使用，信息主体一概无从知晓，并且缺乏自主发现能力。在互联网愈发普及的时代，每个人无时无刻不在留下自己的“痕迹信息”，而这些“痕迹信息”经过大数据技术的分析整合，最后得出一个完整的“人”，从身份、性别、爱好到家庭经济状况、住址、教育水平等，这些分析整合得出的个人信息在后续的保管和使用过程中，一旦信息管理控制者出现不合规行为造成信息泄露，在信息流动速度惊人的网络空间领域对信息主体造成的影响将是难以容忍且不可逆的。鉴于目前无论是信息密集型的商事主体，还是基于公共管理之需掌握大量个人信息的公权力机关，都离不开互联网技术的运用，笔者建议可以从技术层面来破解当前互联网领域的个人信息保护难题。2019年3月，为规范移动互联网应用程序(以下称App)收集、使用用户信息特别是个人信息的行为，加强个人信息安全保护，市场监管总局、中央网信办发布了《关于开展App安全认证工作的公告》，规定认证机构为中国网络安全审查技术与认证中心，国家鼓励App运营者自愿通过App安全认证。(25)《市场监管总局 中央网信办关于开展App安全认证工作的公告》，http://gkml.samr.gov.cn/nsjg/rzjgs/201903/t20190315_292035.html。截至2020年6月份，审查认证中心从申请企业中选择了28款App进行认证试点工作，其中有18款App通过了认证。未来可以考虑通过制定《个人信息保护法》将完成安全认证明确为App进入市场的必要前置程序，规定只有通过安全认证的App方可进入应用市场被正常地下载和使用，使App安全认证的常态化为用户个人信息安全保驾护航，而且根据《移动互联网应用程序(App)安全认证实施细则》的规定，安全认证机构对获证App和App运营者实行持续符合性的自动化、智能化监督，可以减少各行业部门的重复检测和评估，有效降低企业负担。同理，基于公共管理之需搭建的网上政务平台也需要经过第三方认证机构的信息安全检测，同时应该对检测结果进行公示，用技术手段强迫和倒逼信息管理控制者在合法合规的轨道内实施信息收集和处理行为，预防和降低信息主体面临的潜在信息风险。

四、结语

大数据背景下，个人信息的利用和保护如何权衡成为难点和痛点，数字经济的蓬勃发展离不开大量个人信息数据的流通和利用，但是个人信息权利作为一项重要的带有人身性质的民事权利，对其的必要保护同样应该得到重视。虽然《民法典》和相关法律法规基本确立了个人信息保护的基本框架，但是内容上缺乏系统性和针对性，应该在现行法基础上制定出台专门的个人信息保护法，为个人信息保护提供更加完备、有力的法律保障。通过对个人信息的界定和识别以及法律保护现状的分析，未来可考虑通过出台《民法典》适用的配套司法解释进一步完善人格权禁令制度以及制定《个人信息保护法》改进“通知—同意”规则，为当前社会日益蓬勃增长的个人信息保护需求提供出口。