歐盟個人信息保護的發展路徑

從寶輝

2017年3月15日十二屆全國人大五次會議表決通過《民法總則（草案）》并于2017年10月1日正式實施。《民法總則》首次規定，自然人的個人信息受法律保護。任何組織和個人應當確保依法取得的個人信息安全，不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息。將個人信息保護寫入民法總則草案，為未來制定單行法或通過其他方式進一步細化保護措施提供了依據，標志我國個人信息保護立法工作步入了快車道。巧合的是，2018年歐盟將正式實施《一般數據保護條例》，《條例》對新形勢下個人信息保護作出了嚴格規定，成為個人信息保護里程碑式法律，重塑了個人信息保護領域新秩序，也為域外國家實施個人信息保護樹立了一個高標準的法律模板。在個人數據保護方面，美國堅持靈活策略，以企業自律機制和政府執法保護隱私權，歐盟則通過嚴厲立法，從制度上保護個人信息。隨著全球范圍內大數據產業的全面推進和信息處理、存儲技術的快速發展，海量數據給信息所有者帶來巨大隱性財產的正外部性逐步顯現，同時也帶來了互聯網個人信息濫用問題日趨嚴重，公民隱私和人信息保護問題日益凸顯，傳統個人信息保護框架遭遇嚴峻沖擊，社會對互聯網領域個人信息保護的需求愈發迫切。

我國個人信息保護的突出問題

很長一段時間以來，我國沒有認識到個人信息保護的重要性，直到目前為止，我國還沒有制定專門的個人信息保護方面的法律。特別是互聯技術飛速發展和廣泛應用的今天，個人信息保護程度遠未達到歐盟“充分性保護”標準。近年來，我國也在多項法律法規中關注和強化了對個人信息的保護，對個人信息的保護主要體現在與個人信息保護有關的法律法規中設置個人信息保護條款和通過信息控制人的單方承諾或特定行業的自律規范的承諾對個人信息加以自律性質的保護。由于尚未形成完整的個人信息保護的法律體系，對個人信息保護散見于各個部門法中，難以形成有力的保護，缺乏具體、可操作性的規定。

隨著移動互聯網的普及和智能穿戴等物聯網設備的應用，多重來源的個人信息進行比對累積，能夠形成完整的個人畫像并實現實時追蹤，增加了敏感信息暴露的風險。在數據開發價值的驅使下，個人信息的收集日益密集和隱蔽，個人信息的流轉、交易形成鏈條，信息處理主體多元化、信息傳播方式層層嵌套，個人信息保護問題也日益凸顯。

一是個人信息收集不合規。以某知名互聯網小額貸款公司為例，在其產品《用戶服務合同》中“您同意并授權服務商收集您的信息包括但不限于”一項里，明確要求客戶授權收集用戶除傳統相關信用記錄以外的包括生物特征、財稅信息、房產信息、車輛信息、基金、保險、股票、信托、債券等信息，并在“信息分享”一欄中要求客戶同意并授權服務商向某信用管理有限公司等征信機構發送信息。《征信業管理條例》第十四條明確規定“禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息以及法律、行政法規規定禁止采集的其他個人信息”。“征信機構不得采集個人的收入、存款、有價證券、商業保險、不動產的信息和納稅數額信息”。《中國人民銀行金融消費者權益保護實施辦法》第二十八條規定“收集個人金融信息時，應當遵循合法、合理、必要原則，按照法律法規要求和業務需要收集個人金融信息，不得收集與業務無關的信息或者采取不正當方式收集信息”。可見，該互聯網小額貸款產品涉及征信業務的部分條款明顯違背了《征信業管理條例》《中國人民銀行金融消費者權益保護實施辦法》的相關規定。

二是目的限定原則被不斷突破。個人信息比對及二次利用是大數據價值開發的核心，個人信息超出原初目的的利用在大數據環境下已經成為常態，傳統目的限定原則被不斷突破。此外，以互聯網小額信貸產品為例，互聯網小額貸款公司扮演的角色更多是中介機構，資金來源則是走銀行通道。目前多數使用互聯網小額貸款產品的個人未意識到自己正在與小額貸款公司發生業務關系。互聯網小貸產品未通過足以引起金融消費者注意的文字、符號、字體等特別標識說明用戶是在向小額貸款公司借款。

三是個人對信息的控制權被架空。實際操作中，個人信息收集的隱蔽性、傳播的復雜性遠遠超出了預先告知和用戶的理解能力，個人用戶除了點擊同意外，別無其他選擇，用戶對個人信息的控制權利實質上被架空。此外，在多方主體責任認定方面，多元主體尤其是第三方信息中介的迅速發展，傳統架構中難以尋求有效的適用規定，造成責任界定不清與監管空白。

四是金額展示規則不合理。近期某地發生一起涉及互聯網小額貸款產品的相關案例，經調查，目前凡是通過該互聯網小貸產品取得個人消費貸款的用戶，其相關借貸記錄都會報送至個人金融信用信息基礎數據庫，也即顯示在個人信用報告中。某知名互聯網小額貸款有限公司表示，目前該公司采取客戶歷史當月累計最大借款額報送至個人金融信用信息基礎數據庫。比如，客戶程某2016年9月在平臺累計借款19筆，金額總計165100元，且該月為程某歷史當月累計最大借款額，盡管客戶后期按期歸還，且借款金額逐月減少，但程某信用報告中始終展示9月份向其發放的165100元個人消費貸款。此外，程某本月應還款和本月實還款分別為171264元和74389元，展示金額與實際業務明顯不符。如繼續采取客戶歷史當月累計最大借款額展示在用戶人信用報告中，不僅不合理，更重要的是對客戶在銀行業金融機構辦理相關業務將會產生嚴重不良影響。該公司客服表示，公司已經意識到展示規則存在的問題，正在商議規則改動事宜。

五是個人信息保護流于形式。當前形勢下，信息收集者注重信息背后隱藏的巨大財富，而疏于個人信息保護絕非個例。在某互聯網小額貸款產品服務協議中規定“鑒于技術限制，不能確保用戶的全部私人通訊及其他個人信息、資料通過本隱私規則中未列明的途徑泄露出去”。中國人民銀行金融消費者權益保護實施辦法第二十二條明確規定“金融機構的格式合同條款及服務協議文本……不得含有減輕、免除己方責任……”的情形。互聯網小額貸款產品公司保護在業務過程中產生的客戶隱私信息可以說責無旁貸，而免除由于未知因素導致的客戶信息泄露責任易引發道德風險，最終導致客戶信息大規模泄露。

歐盟個人信息保護的改革經驗

歐盟一貫倡導立法保護個人信息數據

目前，歐盟對互聯網環境下個人信息的隱私權保護是世界上最為全面和嚴格的。歐盟有關個人數據保護歷史可以追溯到20世紀90年代。1995年，歐盟通過了《數據保護指令》，為歐盟成員國立法保護個人數據設立了最低標準。2002年7月歐盟發布《隱私與電子通訊指令》，確定了未來互聯網個人數據保護的基本原則，如通信和互聯網服務商需要采取適當措施保證通信和互聯網服務的安全性，在未征得用戶同意的情況下禁止存儲和使用用戶數據，告知用戶數據進一步處理意圖和用戶有權不同意以保障用戶的知情權等。

2009年11月，歐盟通過了《歐洲Cookie指令》，其核心內容是對電子商務中Cookie的使用加以規范和必要的信息披露管理。Cookie是互聯網常用的用戶跟蹤和識別技術。2002年的《隱私與電子通訊指令》要求網站告知用戶啟用cookie及如何刪除或作廢Cookie，但絕大多數網站都會把這部分內容放置在用戶注冊時必須“同意”的用戶協議中。《歐洲Cookie指令》則要求網站在用戶初始使用時網站必須關閉Cookie的使用，直到用戶明確同意啟用Cookie時才能開啟此功能。《歐洲Cookie指令》是《隱私與電子通訊指令》的重要補充，其強化了用戶的知情權，對互聯網企業生成、使用和管理以Cookie為核心的用戶個人數據提出了完整規范的管控要求，以避免數據濫用或以不夠安全的方式操作與存儲用戶個人數據。

可見，針對時代的需要和技術的發展，歐盟在不同階段通過了不同的數據保護修正指令。但是這些修正內容還是架構在1995年頒布的《數據保護指令》基本框架之上，而“95指令”已經不能適應互聯網時代需求的陳舊框架。在這種形勢下，致力于重新數據保護新秩序的《一般數據保護條例》應運而生。

歐盟數據保護的核心框架：《一般數據保護條例》2012年1月25日，歐洲議會公布了《一般數據保護條例》草案，條例共11章99條。2015年12月15日，歐盟執委會通過了《一般數據保護條例》，2016年4月14日，歐洲議會投票通過了《一般數據保護條例》，在歐盟官方雜志公布正式文本的兩年后也即2018年正式生效，以歐盟法規的形式確定了對個人數據的保護原則和監管方式。《條例》統一了此前歐盟內零散的個人數據保護規則，以保護公民的基本權利為理念，增加的數據保護要求和實施的復雜性遠高于“95指令”，堪稱史上最嚴格數據保護條例。

一是法律效力明顯提升。《條例》將取代“95指令”并直接適用于歐盟各成員國。《條例》和“95指令”具有完全不同的法律效力。“指令”（Directive）需要各成員國據此在本國立法并加以執行，“95指令”和后續的各個修正指令不能直接應用到各成員國。而“條例”（Regulation）正式實施之后立即在整個歐盟范圍內生效，無需在各成員國內立法確認，以統一的標準推進個人數據保護。

二是打破傳統立法管轄權。傳統的立法管轄權通常是按照國家（地域）劃分。在《條例》中，數據保護約束同樣適用于向歐盟居民提供產品或者服務，甚至只是收集或監控數據的非歐盟企業和組織，而與這些企業和組織所在位置無關。即非歐盟的企業和組織向歐盟用戶提供服務，無論收費與否，要嚴格遵從歐盟數據保護條例的相關要求。由于互聯網上數據分布本身也是在動態變化的，這還意味著法律管轄范圍也有可能按照數據的遷移而不斷變化。所以，雖然是歐盟的數據保護條例，但卻有可能應用到全球任何企業身上。此舉開創了一個法律管轄范圍不是嚴格按照地域/國家劃分，而是按照數據的分布來認定的先例。

三是明確數據處理原則。《條例》規定數據處理應遵循合法、正當、透明；處理數據的目的有限；僅處理為達到目的的最少數據；確保數據準確、時新；儲存數據的期限不得長于為達到目的所需的時間和采取技術和管理措施以保護數據安全等原則。《條例》禁止收集處理反映個人種族或民族起源、政治觀點、宗教/哲學信仰、是否是工會組織成員的數據、個人基因識別數據、生物數據、或涉及健康、性生活或性取向的數據。《條例》還特別規范了兒童個人數據的處理，即處理16歲以下兒童的個人數據必須獲得該兒童父母或監護人的同意或授權。

四是創新引入兩項重要權利。《條例》開創性地引入了被遺忘權和可攜帶權。被遺忘權是指當個人數據已和收集處理的目的無關、數據主體不希望其數據被處理或數據控制者已沒有正當理由保存該數據時，數據主體可隨時要求收集其數據的企業或個人刪除其個人數據。如果該數據被傳遞給了任何第三方，數據控制者應通知該第三方刪除該數據。可攜帶權是指數據主體可向數據控制者索要其數據，也可將其個人數據轉移至另一個數據控制者。此外，如果數據信息發生泄漏，數據控制者應在72小時內向監管機構報告個人數據的泄露情況。當數據泄露可能會給數據主體的權利或自由帶來巨大風險時，數據控制者必須毫不延誤地通知數據主體，以便數據主體及時采取措施。

五是大幅提升違規成本。《條例》規定違法的懲罰金額由成員國自行確定，懲罰上限處于歐盟立法中較高標準。對于一般性違法行為，罰款上限是一千萬歐元或前一年全球營業收入的2%（兩值中取大者）；對于嚴重違法行為或造成嚴重后果，罰款上限是兩千萬歐元或前一年全球營業收入的4%（兩值中取大者），全面提升了對個人數據的保護力度。

政策建議

加快制定《個人信息保護法》。積極探索制定符合時代特征的系統的個人信息保護法律，對個人信息類型、采集范圍與原則、存儲技術、運用與傳播、法律適用范圍等作出明確規定，特別是賦予個人撤銷授權的權利，增強個人對信息的控制權，構建安全、信任的大數據產業法律環境。

構建網絡個人信息保護標準化體系。當前互聯網環境下信息共享、存儲和管理的隱私信息規模急速增長，收集、利用個人信息的技術迅速發展，構建網絡個人信息保護標準化體系有利于增強個人信息處理各環節的透明度，保證個人信息的加工和運用留有痕跡，始終處于可追蹤狀態。

建立個人信息保護協調機制。從近年來我國關于個人信息保護的立法內容和集中領域不難看出，個人信息不當采集和以實施信息網絡詐騙這種跨行業運用成為危害公民合法權益的主要形式，因此有必要建立靈活彈性、應對迅速的個人信息保護協調機制。

重拳打擊侵害個人信息行為。督導有關行業按照最新法律法規對涉及個人信息的授權條款、格式文書等認真梳理、切實整改，規范機構經營行為，堅決制止侵害信息主體合法權益的行為，重拳打擊新領域內征信違規情況，形成示范效應，做到在規范中創新，在創新中發展。

積極參與國際執法協作。技術的快速發展和深層次運用決定了信息跨境流通更加便捷和具有隱蔽性，圍堵信息跨境流通、企圖將信息數據僅在一國區域內幾無可能。未來，建議運用場景理念推動國際通用框架的構建，尊重國際共通因素，調節地區差異因素，積極參與國際執法協作和框架協議規范跨境流通。

《一般數據保護條例》的出臺震動了向個人提供互聯網服務，并長期大量收集用戶個人數據的互聯網服務商。《條例》中嚴格的數據保護勢必阻礙數據的商業價值挖掘，并將給企業帶來巨大額外成本。筆者認為，幾乎任何行業都處于創新和監管的動態博弈之中，過度創新和過度監管都會帶來負外部性。在《一般數據保護條例》的約束與引導下，歐洲的未來大數據時代將走上一條獨特道路。互聯網組織自由收集、分析和管理用戶信息的權限會被嚴格限定和監管，互聯網個人信息保護力度達到了前所未有的高度。反過來，嚴格的個人數據保護所帶來的額外成本、復雜的數據使用授權和政府過度監管也極大約束了大數據所帶來的創新空間。如何處理好創新與監管的動態博弈關系是一門需要深入研究的操作藝術。

（作者單位：中國人民銀行安慶市中心支行）