网络空间中个人信息保护的法律途径
—— 以《个人信息保护法》为视角

吴文博，唐 艳

（国家无线电监测中心哈尔滨监测站，黑龙江 哈尔滨 150010）

0 引言

随着信息技术的不断发展，个人电脑、智能手机已成为现代人生活中不可或缺的一部分。以社交平台、电子商务平台、外卖软件、手机银行等为代表的各类应用程序充斥着人们的工作与生活，为人们提供便捷、高效的服务，同时也在不断地收集和使用人们的个人信息，有些信息涉及用户的个人隐私，会对用户的个人生活产生不良的影响。因此，需要制定和完善相关法律体系，来规范互联网中公司或个人收集和使用用户信息的行为，进而保护公民个人信息的安全。

1 网络空间中个人信息安全存在的风险和问题

当前，网络空间中个人信息保护存在的风险和问题主要来源于以下几个方面。

首先，大数据的技术特性以及个人信息的收集和不当使用会为个人信息的保护带来巨大的安全性风险[1]。一方面移动智能终端高度集成了摄像头、GPS等传感器和设备，使得智能终端中的软件应用程序可以通过对相关设备及数据的调用来获取所需要的个人信息，这无疑增加了用户个人信息被非法使用的风险。另一方面，在“互联网+”的时代背景下，以无线电通信技术和智能装置为基础的物联网行业发展迅猛，大量可以获得用户图像和信息的智能设备被接入到公网中，也增加了用户个人信息被窃取和滥用的风险。

再者，用户的个人信息可能会受到来自个人信息处理者以及网络运营者的威胁。这里的个人信息处理者是《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中的概念，该法中并未对其进行明确的定义，可以简单的理解为处理个人信息的组织、个人；而《中华人民共和国网络安全法》（以下简称为《网络安全法》）第七十六条则将网络运营者明确定义为网络的所有者、管理者和网络服务提供者。笔者认为个人信息处理者与网络运营者两个概念存在着一定的交叉，网络运营者在为用户提供网络服务的过程中会涉及用户个人信息的处理，而利用网络从事相关业务的个人信息处理者也可能是网络服务提供者。但无论是个人信息处理者，还是网络运营者；一旦缺少相关法律的约束以及内部管理制度的规范，无法对公司或个人形成有效的约束，都会导致用户的个人信息被非法的收集和使用，从而对用户的个人信息安全产生威胁。

最后，相关法律和监管制度的不健全也是导致网络空间中个人信息保护困难重重的重要因素。尽管，随着我国法制进程的不断推进，以《网络安全法》《个人信息保护法》为代表的法律法规相继出台，但在司法实践中不同法律之间的衔接还存在着一定程度的问题和不足。另外，我国现有的针对网络和信息安全的行业标准与测评体系还不够健全，具有信息安全测评的机构较少，这些因素都不利于用户个人信息的保护。

2 《个人信息保护法》的主要内容

《个人信息保护法》的主要内容可分为以下几个方面。

（1）总则。《个人信息保护法》第一章为总则，交待了该法相关的一些基本问题。首先，根据“属地管辖”与“保护管辖”的原则，确定了该法的适用范围；即无论是在中华人民共和国境内还是境外，只要是处理境内自然人个人信息的活动，就适用于本法。其次，该法在第四条中对个人信息以及个人信息处理的范围进行定义[2]；个人信息是指除匿名化处理的信息以外，任何与已识别或可识别的自然人有关的信息，这类信息通常以电子形式为主；而个人信息的处理主要是指对个人信息的收集、存储、使用、加工、传输等各类活动。最后，该法规定了个人信息处理者在处理个人信息的过程中，应遵循诚信原则、最小影响原则、最小范围原则、公开透明原则等基本原则，以规范个人信息处理者的行为，防止对公民个人信息的过度收集，从而保护公民的个人信息安全。

（2）个人信息处理规则。《个人信息保护法》第二章为个人信息处理规则，该部分由一般规定、敏感个人信息的处理规则、国家机关处理个人信息的特别规定三部分组成，而“个人信息处理者的告知义务、个人的知情与同意”始终是个人信息处理的核心[3]。一般规定中，首先明确了个人信息处理者处理个人信息的条件，即需要个人的同意，但在履行合同、应对突发事件、为公共利益实施等特殊条件下，也可以无须个人同意；其次，个人信息处理者需严格履行告知义务，需以显著、易懂、准确、完整的方式向个人告知——自身名称及联系方式、个人信息处理的目的、方式以及保存期限，乃至个人行使自身权利的方式和程序；再者，该法严格限制了个人信息的流转，不仅共同处理个人信息的个人信息处理者需承担连带责任，个人信息处理者在委托他人处理个人信息、受托人的转委托以及自身的合并、分立、解散等条件下都有严格的法律程序予以限制；最后，对于“大数据杀熟”以及“公共场所个人信息安全”等社会公众关心的热点问题，该法在第二十四条、二十六条也有明确的规定以保护个人信息的安全。敏感个人信息的处理规则中，首先对敏感个人信息进行定义，即可能导致人格尊严以及人身、财产安全受到危害的个人信息——如生物信息、宗教信仰、身份信息、健康信息、金融账户信息等以及不满十四周岁未成年人的个人信息等；考虑到敏感信息的特殊性，该法对于敏感个人信息的处理更为谨慎，不仅需要个人信息处理者履行更为严格的告知义务，也需要在处理个人信息时得到个人更高的授予权限，因此需要个人的单独同意甚至是书面同意；出于对未成年人权益的特殊保护，个人信息处理者在处理不满十四周岁未成年人信息时需取得其监护人的同意，并制定专门的处理规则。对于处理个人信息的国家机关，也应严格履行相应的告知义务，依法、依规开展个人信息处理活动，不能超越法定职责的范围与限度，对于向境外提供的个人信息还应进行必要的安全评估。

（3）个人信息跨境提供的规则。《个人信息保护法》第三章为个人信息跨境提供的规则，该法对于个人信息的跨境提供行为有着严格的法律规定，不仅体现了大数据时代下的国家数据主权，也切实维护了公民个人信息安全乃至国家安全。个人信息处理者若向境外提供个人信息需满足国家网信部门的安全评估、专业机构的个人信息保护认证、按照国家网信部门制定的标准合同与境外接收方签订合同等条件之一；个人信息处理者向境外提供个人信息需履行更为严格的告知义务并取得个人的单独同意；关键信息基础设施运营者以及处理个人信息达到规定数量的个人信息处理者，其在境内收集和产生的个人信息均应存储在境内；对于侵害我国公民个人信息权益、危害国家安全和公共利益的组织和个人，可列入限制或禁止提供个人信息清单，而对于其他国家或地区歧视性的限制或禁止措施，我国也可根据实际情况采取相应的反制措施。

3 网络空间中《个人信息保护法》的实现途径

不同于《网络安全法》以及《数据安全法》中针对网络空间中个人数据及信息安全的保护规定较为笼统、零散，《个人信息保护法》作为专门保护公民个人信息安全的国家法律，对于网络空间中个人信息的保护具有重要意义。

首先，在当今“互联网+”的时代背景下，信息技术高速发展，现如今公民的个人信息主要是以电子形式存在的，而基于电子形式的个人信息更易于在网络空间中进行流转。人们在使用互联网并获得各类便捷的互联网服务的同时，也可能成为个人信息收集和使用的对象；而所有处理人们个人信息的公司及个人都可以被称作个人信息处理者，无论其处于境内还是境外，均受《个人信息保护法》所约束；这也充分体现了国家对于网络空间中公民信息安全的保护。而最小影响原则、最小范围原则等法律原则的规定，更是严格限制了个人信息处理者处理个人信息的范围，从源头上减少可能对公民个人造成不良影响的风险，而网信办等部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》就是这类原则在网络空间中个人信息保护的具体体现。

其次，《个人信息保护法》强化了个人信息处理者的告知义务以及公民对个人信息处理的决定权，而“个人信息处理者的告知义务、个人的知情与同意”作为个人信息处理的核心，尤其是对移动互联网应用程序中个人信息的保护具有重要意义。通常人们在开始使用各类移动互联网应用程序时，都需要与应用程序提供者签署《用户服务协议》以及《隐私政策》等文件后方可进行使用；而对用户不利的规定很可能就隐藏在众多复杂、晦涩的格式条款中，个人用户很难识别其中存在的陷阱和漏洞；这也使得用户更倾向于同意相关的协议要求，以获得自身对于应用程序的使用及相关便利。该法通过对个人信息处理者告知义务的强化，使得个人用户能够清楚地了解相关个人信息的收集范围以及可能产生的不良影响，进而做出是否接受相关个人信息处理的决定，这也体现了该法对网络空间中用户知情权和决定权的保护作用。

其三，《个人信息保护法》针对网络空间中基于个人信息的自动化决策以及“大数据杀熟”行为进行严格的规范与约束。该法第二十四条中不仅明确禁止个人信息处理者在自动化决策中，对于个人交易价格等交易条件实行不合理的差别待遇；而且要求个人信息处理者在利用自动化决策方式进行商业营销及信息推送的同时，提供不针对个人特征的选项以及便捷的拒绝方式；这些规定不仅有利于保护电子商务中个人用户的公平交易权，更有利于实现对个人用户隐私权等人格尊严权的保护，避免用户受到各类营销短信、电话以及邮件信息的骚扰。

其四，《个人信息保护法》在第五十八条重点强调了提供重要互联网服务、用户量巨大、业务类型复杂的规模个人信息处理者的责任和义务。不仅要求该类个人信息处理者建立和完善个人信息保护的内部管理制度和流程，还需要引入第三方独立机构进行个人信息保护情况的监督，并强化了互联网平台提供者对于平台内产品或服务提供者的监督与管理责任。以电子商务平台和互联网金融平台为例，这类平台有义务对其平台内产品或服务的提供者如非自营店铺、保险公司等处理个人信息的行为进行监督和管理；用户个人也可以针对平台内产品或服务提供者违规处理个人信息的行为向互联网平台提供者进行投诉、举报，互联网平台应及时进行处理，从而保护用户个人信息的安全。

最后，《个人信息保护法》明确了相关监管部门保护个人信息的责任与义务；通过组织开展应用程序对个人信息保护的测评工作，建立针对小型个人信息处理者、敏感个人信息以及人脸识别、人工智能等新技术的个人信息保护规则、标准，进行电子身份认证技术等新技术的研究、应用和推广；从技术层面上，降低网络空间中个人信息受到不法侵害的风险，从而保护用户个人的合法权益。

4 结束语

信息技术的不断发展、物联网技术和设备的广泛应用，急剧增加了网络空间中威胁个人信息安全的外部风险；而网络空间中某些不法个人信息处理者，甚至将收集和处理的个人信息作为自身谋取非法利益的工具，更加剧了个人信息被窃取和滥用的风险。《中华人民共和国个人信息保护法》作为一部专门针对公民个人信息保护的国家法律；强化了个人信息处理者的告知义务以及公民对个人信息处理的决定权；严格规范和约束基于个人信息的自动化决策以及“大数据杀熟”行为；加强互联网平台提供者对其平台内产品或服务的提供者的监督与管理职责；明确相关监管部门在应用程序的测评，敏感信息以及新技术等规则、标准的制定等多方面的责任和义务；通过多种途径，实现对网络空间中公民个人信息安全的保护，对于保护公民对其个人信息处理的知情权、决定权以及隐私权等人格尊严权具有重要意义。