国内外个人信息保护规制差异与实践探索

姚雨蒙

（伦敦大学学院，英国 伦敦 WC1E 6BT）

随着移动互联网的发展，个人信息逐渐向数字化转变，以“告知同意”为原则的传统个人信息保护规制遇到不同程度的挑战。2021 年11 月1 日，《个人信息保护法》正式生效，作为我国第一部系统的专门性法律，《个人信息保护法》对原有的个人信息保护规制进行了系统性完善，成为移动互联网时代下个人信息保护规制的基石。在不同国家，个人信息保护有不同规制路径，表现出不同特点，通过对国外个人信息保护法律的动态追踪，有助于我国个人信息保护的实践探索。

一、移动互联网时代下国内个人信息保护的规制难点

移动互联网时代下个人信息保护存在诸多问题，在规制层面上，主要表现在以下三个方面：

（一）传统个人信息保护基本原则受到移动互联网冲击

1980 年9 月联合国世界经济合作与发展组织发布《关于隐私保护与个人资料跨国流通的指针的建议》，提出个人信息保护过程中限制收集、表明目的、使用限制等八项原则，成为世界各国个人信息保护立法的重要参考。但是随着移动互联网时代的到来，大数据的广泛运用对传统个人信息保护立法原则产生冲击，比如，告知同意是个人信息保护的重要原则之一[1]，同时，它也是在个人信息利用中用以确定信息主体与信息处理者之间权利及义务的合同规则[2]。然而在移动互联网时代下，很多互联网企业在采集用户信息的时候通过关键字模糊化、条款冗长化、操作步骤复杂化等方式绕开这一原则，使得该原则在互联网企业大数据运用过程中表现出名存实亡的现象。

（二）在个人信息保护的立法理念上存在侧重公共安全、忽视个人信息保护的现象

过去的很长一段时间，国内个人信息保护相关规制只是散见于《刑法》《民法总则》《治安管理处罚法》《网络安全法》以及最高人民法院、最高人民检察院《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》等专门法和司法解释中，相关规制大多站在安全使用个人信息而非保护个人信息的角度，强调打击犯罪、维护社会公共安全，对被侵害人的个人信息权利保障不足，由此导致分散立法模式下呈现出的“重惩治轻保护”现象，继而不断出现以两高司法解释为代表的“修补式”立法。尽管2021 年实施了《民法典》和《个人信息保护法》两部个人信息保护的重磅法律，但这一“安全思维”主导的个人信息保护规制理念依然颇具影响。这就使得我国的个人信息保护规制经常需要面对个人利益、公共利益以及企业利益的平衡发展问题：一方面个人信息保护是依法治国的必然要求，另一方面数字经济发展又需要公民个人信息的数据应用，如何通过法律规范平衡两者关系成为我国个人信息保护立法的重要目标。

（三）对违法使用公民个人信息数据的侵权责任认定十分困难

大数据时代下，个人数据的价值不是数据本身，而是数据被采集之后的使用价值，现有法律条文往往只是根据用户数据泄露进行责任认定，而没有考虑用户数据泄露之后被二次利用之后导致的用户利益损害。即便被法院判定为侵权，判罚金额通常很低，精神损害很难认定。与之相对的是，欧盟针对侵犯用户隐私的行为规定了高昂的惩罚性罚款，“不遵守上述通知义务可能面临高达一千万欧元或相当于全球年营业总额百分之二的罚款（以其中较高者为准）。不遵守监管机构的命令可能会面临高达两千万欧元或相当于全球年营业总额百分之四的罚款（以较高者为准）”[3]，2017 年欧盟相关监管机构据此对Facebook 罚款1.22 亿美元。

二、国外个人信息保护的规制差异

大数据时代的到来使得个人信息保护面临越来越严峻的形势，一方面是个人信息保护的范围明显扩大，传统媒体时代下的个人信息保护大多是从人格权角度进行法律救济，而在移动互联网时代下，个人信息则兼具人格权和财产权双重属性[4]，另一方面个人信息保护内容难以认定，零散、碎片化的个人信息在不同网络应用场景中表现出不同特征，有的属于隐私范畴，有的则不属于隐私范畴，个人信息保护难度较高。国外个人信息保护相关法律规制主要呈现两条路径[5]：

（一）以美国为代表的隐私权保护路径

认为个人信息属于信息隐私，其理论基础可以追溯至英国的自由主义传统，早在十七世纪，洛克就提出了自由主义概念，认为民主政府应遵循保护人权原则、有限政府原则、法治原则等宪政原则，自由主义将个人自治视为核心，强调个人权利，这一思想深刻影响了美国法律体系建设，由此产生的一个结果就是美国的个人信息保护完全依赖行业自律，美国司法界担心一旦制定个人信息保护的专门法将有可能损害个人自由，并对信息流通产生不利影响，因此，采取一种分散立法的模式，将个人信息纳入到个人隐私范畴，并将相关隐私保护条款融入其它行业法律中。尽管1974 年美国已经开始实施《隐私法案》，但这一法案只是针对政府机构如何收集个人信息、收集什么内容的信息等相关内容，以此规范联邦政府处理个人信息的行为，对于非联邦政府的企业行为，则无能为力。随着移动互联网的发展，美国政府也意识到个人隐私泄露的风险越来越大，单纯依靠行业自律很难保障大数据时代下的个人隐私问题，在联邦政层面必须制定一部全面的隐私保护法律，但政府这一立法设想遭到了行业联盟的强烈抵制，收效甚微。美国这种行业自律的个人信息保护模式因此存在许多问题：由于分散立法使得美国各行业、各地区在个人信息保护上存在规则不一、标准不一的问题，导致司法不协调，互联网企业容易陷入无端法律诉讼中；美国个人信息保护现有法律主要针对政府公权力，对于私人及互联网企业依旧缺乏法律监管，由此导致个人信息泄露事件层出不穷；同时，虽然各个互联网企业注重进行自我规范和提高对用户隐私的技术保护，但这种自律没有国家强制力执行，缺乏司法救济手段，纠纷诉讼机制过于漫长且不透明。

（二）以欧盟为代表的人格权保护路径

认为个人信息是个体人格权利的重要组成部分，其理论来源可以追溯至古希腊的人文主义传统，1973 年，欧洲委员会就提交了一份名为《关于欧共体在资料处理上的政府》的文件，提出采用共同信息资料保护原则以推动信息资料在欧共体内部的传播和流通，并于1974 年提交《曼斯菲尔德报告》，将信息资料的价值取向由经济价值转向人权保护。1995 年，欧盟通过《欧盟数据保护指令》，这是欧盟关于数据保护立法中最重要的一份法律文件，并设立专业机构“资料保护工作小组”，以此来督促各国个人信息保护法的实施。2012 年欧盟继而提出《通用数据保护条例》（GDPR），并于2018 年5 月正式实施，该条例与以往的欧盟个人信息保护规制比较，最大的变化是加强了个人信息保护内容，条例采用“属地”和“属人”原则，要求任何在欧盟境内运营的企业，以及任何面向欧盟用户服务的企业，都必须严格遵守该条例。条例明确指出“保护自然人的基本权利和自由”，将个人信息视为自然人的基本权利。基于此，欧盟采用了统一立法模式，各国以《欧盟数据保护指令》和《通用数据保护条例》为基本法律指引，制定符合本国国情的个人信息保护法律。

综合欧美个人信息保护立法模式来看，双方存在诸多差异：首先，立法理念上，欧盟将个人信息视为基本人权，属于个人尊严的一部分，《欧盟基本权利宪章》第一条即规定“人的尊严不可侵犯”的基本人权[6]，因此，欧盟在个人信息保护立法过程中一直将个人信息确定为基本人权。而美国的宪法第一修正案更强调个人的言论自由，当个人信息保护与言论表达自由产生冲突的时候，美国法律界更多地倾向于言论表达自由。其次，在立法模式上，欧盟以综合立法的形式，确定欧盟成员国各个国家之间采用同一个人信息保护标准，并且设立专业的数据保护机构来处理各成员国之间数据保护问题，甚至还可以参与到相关诉讼中，因此，在欧盟个人信息保护立法过程中更加强调政府公权力的介入。而美国政府长期将个人信息视为个人隐私，侧重于行业自律与技术保护着手，法律规制反而处于辅助位置，因此，美国至今也没有一部综合性的个人信息保护法，关于个人信息保护的条款散见于其他专门法律中，实行分散立法模式，比如《公平信用报告法》《电脑资料比对与隐私权保护法》《电子通讯隐私权法》《儿童隐私保护法》等等，其重点是限制政府获取个人信息并保护其免受政府侵害。第三，适用范围不同，欧盟相关法律适用于欧洲各成员国，解决各成员国之间碎片化、非统一的法律条款，减轻互联网企业的法律负担，而美国的相关法律不仅内容分散在不同法律中，而且各州对于个人隐私保护规制也不一样，比如，《橡皮擦法案》是美国保护未成年人隐私的代表性法案，但因为它只是加州通过的地方性法案，仅能适用于加州范围。

欧美个人信息保护的规制差异使得双方在个人数据流动与数据保护问题上不断博弈。比如对于信息数据的流动问题，双方在2000 年达成了《避风港》协议，但这份协议只是部分解决或者缓解了双方矛盾，2013 年的“棱镜门事件”和2015 年的“斯诺登事件”使得这一协议受到重创，随后，欧洲最高法院判定该份协议无效。因此，双方不得不重新谈判，并于2016 年达成《隐私盾》协议，该协议实质上反映了欧盟对于个人数据保护的诉求，强化了欧盟的数据主权。而对于美国来说，该协议构建了一个新的个人信息数据跨境流动的法律框架，确保作为互联网巨头的美国在这一法律框架内的正常活动，避免了更多的法律和政治风险。从《避风港》协议到《隐私盾》协议反映了欧、美双方在个人信息保护、数据主权、数据管控等方面的政策变化，这种政策变化在今后很长一段时间内将影响全球范围内各个国家的互联网产业发展和个人信息保护法律制定，欧盟《通用数据保护条例》（GDPR）的实施就是这一变化的具体体现，从长远来说，欧盟个人信息保护的相关规制为其他国家的个人信息保护立法提供了经验借鉴。

三、我国个人信息保护规制的实践探索

2021 年11 月1 日，《个人信息保护法》正式生效，标志着我国个人信息保护立法体系进入新阶段[7]。该法进一步强调了个人信息保护中的合法性、公开性、表明目的、限制采集等原则，对《民法典》中的个人信息保护内容进行了完善补充，规范了移动互联网时代下的个人信息跨境流动、删除权等，“为个人信息保护与数据治理提供中国方案[8]16”，奠定了我国个人信息保护规制的基石。未来我国个人信息保护规制的完善应当以《个人信息保护法》为核心，结合域外国家经验，探索新路径。

（一）加强个人信息保护立法

当前我国应当建立以法律保护为主、行业自律为辅的个人信息保护新模式，将个人信息视为基本人权，从人格权和财产权两个层面强化个人信息保护立法：首先，我国在立法实践中应当以已实施的《个人信息保护法》为指引，进一步细化相关法律条款，对大数据时代下的公民个人信息知情权、被遗忘权、数据可携权、修正权等内容进行完善，充分体现个人信息保护立法实践中的“公平信息实践”制度，这一制度最主要的特点就是对个体进行赋权，赋予个体以查询复制权、纠正权、删除权、脱离自动化处理权、携带权等权利，同时对信息处理者施加责任，赋予信息处理者目的限制、信息最小化、限期储存、信息安全、信息质量等义务[8]11。其次，侧重从隐私权角度保护个人信息，将传统个人信息保护过程中“重公共利益、轻个人利益”转化为“个人利益与公众利益并重”，将传统司法救济中的刑法惩治为主，转为民法惩罚为主，在民法中树立个人信息保护的独特地位，并为个人信息保护中的个人隐私权问题单独立法。第三，强化未成年人以及特殊群体的个人信息保护，世界各国在个人信息保护的立法过程中基本都有针对未成年人以及特殊群体的专门法，我国于2019 年发布的《儿童个人信息网络保护规定》明确了14 周岁以下儿童个人信息保护内容、范围及救济途径，但该规定只是国家互联网信息办公室制订的行政规章，今后个人信息保护立法实践中，政府有必要在《个人信息保护法》的指引下出台针对未成年人个人信息保护的专门法，并拓展到其它相关特殊人群。

（二）强化行业自律，建立“使用人责任”机制

“使用人责任”机制作为《侵权责任法》司法救济过程中的有效机制，可以让信息使用者承担更多责任，从而推动行业自律。首先，成立以互联网企业为主的行业自律协会，在个人信息保护规则与章程制定过程中，充分吸纳政府、媒体、社会公众等不同群体的意见与建议，利用互联网公司的平台优势，制定符合行业现状与发展趋势的规章制度；并实行会员制，入会互联网企业可以在其网站、APP 等产品和服务中显著标识，彰显社会责任。其次，开展个人信息保护认证制度，由国家监管部门与行业自律组织设立个人信息保护认证机构，对互联网公司个人信息保护情况进行审计和核查，对通过认证的互联网公司予以显著标识，便于用户识别。没有通过认证的则要求限期内整改，直至通过个人信息保护认证。最后，互联网企业通过技术手段进行个人信息保护，通过脱敏化的技术处理将用户数据去识别化、确保用户数据去识别化过程不可逆、在与第三方共享或者转让给下游使用者时必须保持用户数据的去识别化格式，同时，互联网企业必须对已经去识别化的数据进行风险评估之后方可转让与共享，以技术自律的方式降低用户个人信息泄露风险。

（三）引入第三方监管机制

大数据时代下的个人信息泄露大多发生在互联网企业的数据应用过程中，因此，互联网企业应当在行业自律基础上，引入第三方监管，其作用在于健全公众个人信息保护体系的社会性、独立性和公信力，第三方包括民间公益组织、媒体、专家学者、学术机构甚至是营利性组织等，由第三方制订互联网企业必须遵循的个人信息保护规则，同时进行监督。比如英国的UKAN（UK Anonymisation Network）就是由民间公益组织参与的第三方组织，其主要职责就是发布标准化的网络匿名实施准则，并核查互联网公司是否遵守这一准则。

（四）加强国际合作，推动个人信息保护规制标准化

互联网作为开放共享的虚拟空间，信息流动必然呈现全球跨境的现象，而不同国家个人信息保护规制的差异化将阻碍数据的流动与信息的传播，因此，通过国际合作，加强规制标准化就显得十分重要。当前世界各国都在不断加强个人信息保护的法律监管，总体趋势是越来越严格。其监管内容也逐步从数据采集阶段转向数据利用阶段，并且向用户权利保障阶段发展，意味着今后的法律向更加重视用户隐私权的保障，比如，欧盟的《通用数据保护条例》首次确立了“被遗忘权”和“可携权”两项新的用户隐私权，而新的用户隐私权的确立可能成为国际通用规则，日本、韩国已经开始就此进行讨论，韩国还将它列入到立法议程当中。事实上，随着经济全球化的发展，不同国家和地区、不同法律模式之间将产生激烈的规制冲突。我国个人信息保护规制如果不能有效对接国际趋势，便会使互联网企业“走出去”过程中面临许多法律风险。有关机构在《个人信息保护法》的立法过程中已经注意到相关问题，继而在概念界定、数据携带权、数据删除权、敏感个人信息处理等方面借鉴了欧盟《一般数据保护条例》的部分内容，有效减少了中欧之间个人信息保护的规制冲突。

总而论之，移动互联网时代下的个人信息保护面临越来越多的挑战，基于信息自由市场的美国行业自律模式蕴藏着较大的个人信息泄露风险，而基于高标准统一立法的欧盟模式则缺乏弹性，阻碍数据应用。相较于欧美的不同立法模式，我国应该构建符合中国国情的个人信息保护新模式，即以《个人信息保护法》为核心，政府立法为主、行业自律为辅的个人信息保护规制体系，从而推动个人信息保护的协同治理。