規制與流動：智媒時代的個人信息保護
——基于歐盟GDPR本土化的一項研究

閆玲玲

全球化智能傳播時代，以個人信息為代表的大數據全球范圍內采集與流動的普遍性，成為驅動各個產業發展的動力、各國競相爭奪的目標[1]。個人信息保護不僅是公民人權保護的體現，更多地，亦涉及國家網絡主權安全的重要問題。2012年，為應對這一問題，歐盟通過了《一般數據保護條例》（General Data Protection Regulation，以下簡稱GDPR），并于2018年5月25日正式生效。GDPR的實施重構了智能時代下個人信息保護的路徑，在一定程度上引領著世界個人信息流動與保護的發展。在GDPR的影響之下，2018年美國加利福利亞州出臺了新的數據保護法規。

當前我國現有法律對于個人信息保護，散見于不具救濟效力的部門規章、規范性文件和國家標準等上，僅具救濟效力的《侵權責任法》將個人信息納入隱私權中保護，又缺乏一定的針對性[2]。因而，深入解讀歐盟GDPR條例，并考慮將其本土化的適用性和具體性路徑，有助于我國面對人工智能時代個人信息保護立法，幫助我國企業在“走出去”過程中實現個人信息使用與流動安全。

1 人工智能時代個人信息保護面臨的挑戰

人工智能的核心是模擬、延伸和擴展人的智能[3]。人類借助機器存儲海量信息并進行處理，在這些數據中，包含著有關個人隱私的個人信息和與個人隱私無關的非個人信息。對于人類來說，“大數據”是一種難以利用的資產，而人工智能是釋放大數據價值的關鍵[4]。

人工智能對于個人信息安全的挑戰主要體現在三個方面：一是個人對于自己信息控制的能力被削弱[5]。人工智能發展的未知性、處理數據的不透明性使得個人信息和非個人信息的界限越來越模糊。現在不可識別的“非個人信息”，并不意味著在人工智能的發展下未來不可識別；算法自身的黑箱特點使得個人難以了解個人信息被掌控的程度。二是數據控制者數據壟斷不斷強化。可以預見，壟斷趨勢將會逐漸加強，最終將產生巨型壟斷企業，導致不提供個人信息便無法使用相應服務等不平等后果，為個人個人信息保護增加成本。三是數據集中導致的安全風險和數據監控風險增加。黑客攻擊帶來的信息泄露后果將越來越難以估量。人們亟須制定新的解決模式來保護自身的個人信息，GDPR便試圖解決大數據、人工智能、機器學習和個人信息保護之間的問題[4]。

人工智能時代的個人信息保護是全球普遍面臨的問題，歐洲的GDPR能夠領先別國，這與歐洲的人權保護傳統密不可分。歐洲的人權保護傳統可以追溯到二戰時期，德國希特勒政府對于猶太人的迫害，使得二戰后的歐洲對于人權的保護格外重視。1995年，歐洲議會在1981年的法律保護之上又改革通過了《個人數據保護指令》。因此，對于個人信息隱私的保護，在歐洲有著非常悠久的傳統，使得其在人工智能時代來臨時，能夠非常敏銳地對此作出反應，進行立法保護[6]。

另一方面，通過保護個人信息流通，促進經濟的發展是歐盟出臺GDPR更為現實的原因。數據資源的流動性和可獲取性是人工智能時代下大數據應用和產業發展的基礎。原有1995年《數據保護指令》與當今時代不符，難以滿足用戶的需求，亟須改革[7]：一是各國之間程度不同的個人信息保護，數據在歐盟之間的流動時受到數據保護壁壘的阻礙，流通不暢。歐盟內部市場運作帶來個人信息跨境流動大幅度增加；二是贏得消費者的信任，在全球競爭中獲取優勢。早在1995年，世界貿易組織便明確表示，數據保護規則不應成為貿易壁壘[8]。

2 GDPR概述

GDPR共分11章共99條，針對人工智能時代帶來的新挑戰，為數據的收集、處理、刪除、轉移等提供全過程的保護，主要體現在：GDPR賦予數據主體更多的權利，包括創新的被遺忘權、數據攜帶權；GDPR對于數據控制者的問責更嚴，創新設立數據保護官、違規通知等；GDPR的懲罰措施也更加嚴厲，足以令企業破產；GDPR的監管范圍擴大，屬于典型的“長臂”管轄，擴展到域外涉及歐盟公民個人信息處理的主體。

第一章為總體規定，包括四條。其中第1條“主題與目標”明確表明，GDPR是為保護個人數據權利和促進個人數據的自由流動而制定。這為GDPR定下總體基調。第一章第3條“適用范圍”規定了GDPR的適用地域范圍，無論數據處理行為和主體是否在歐盟境內，只要為歐盟境內的數據主體，便適用GDPR。GDPR的“長臂”管轄將有效解決個人信息保護水平差異這一問題，所有處理歐盟境內數據的主體，將受到同樣的法律約束。

第二章為基本原則。第5條規定了數據處理過程的基本原則，包括合法性、公平性、透明性、目的限制、數據最小化、精度、存儲限制、完整性機密性原則和問責制，試圖通過基本原則明確數據處理的準則規范。人工智能時代，個人信息泄露具有不可挽回性、泄露范圍全球化等特點，為此，歐盟立法著重強調從數據收集的源頭加以限制，降低個人信息泄露帶來的嚴重后果。知情同意。第7條明確規定數據的收集應該在個人自由、充分作出同意的前提之下。重點針對“模糊條款”和“強制同意”：模糊條款是故意復雜化條款使得用戶難以充分理解隱私條款而作出同意決定；強制同意將同意作為使用服務的前提，使用戶不得不選擇同意。條款核心是，“同意”的作出應不受任何附加因素的影響和約束；擴大個人信息的保護范圍。第9條規定了特殊種類個人數據的處理，重點提到了生物識別信息，包括虹膜、指紋，醫療健康信息，宗教信仰，政治觀點，性取向、性生活數據等，都是受保護的個人數據。

第三章主要為數據主體的權利。數據主體的權利主要為知情權、訪問權、被遺忘權、限制處理權、個人數據可攜帶權等。第四章主要為數據控制者和處理者的義務。削弱數據控制者數據壟斷的趨勢，引導其對個人信息進行保護：實施適當的技術和組織措施保護個人信息安全；同時，在個人信息泄露后，有通知、合作的義務，甚至建立“數據保護官”一職位。第33條規定個人數據泄露后，數據控制者應在72小時之內通知監管機構，遲于72小時，則需要進行解釋。

第九章主要是賠償救濟問題。以強制手段倒逼控制者保護個人信息。GDPR的賠償力度較大：最高處以2 000萬歐元或全球4%的營收（以較高者為準），足以令企業破產。在全球GDPR訴訟第一案中，被告正是出于對巨額罰款的擔憂而決定不再收集相關數據。

3 我國個人信息保護的現實路徑

一直以來，我國個人信息保護立法不完善，致使我國個人信息保護停留在較低的水平[9]。目前我國個人信息保護采取的方式是在多項法律中關注和強化，而新技術、新商業模式則對立法提出了新的挑戰，應當不斷完善法律制度。目前我國對于個人信息的保護呈現出碎片化的狀態，涉及法律眾多，實際應用混亂低效，重刑事輕民事，個人保護法律體系亟待健全，推進個人信息保護法的出臺。

3.1 明確個人信息保護的立法目的

一直以來，我國個人信息保護屬于民事權利層面，尚未上升至人權高度。我們認為，在民事權益層面，我國個人信息保護的立法目的應是平衡好大數據產業的發展與個人信息的保護之間的關系。可行的方案是區分個人信息保護的維度，分為個人一般信息和個人敏感信息。對于個人敏感信息，強化保護；對于個人一般信息，強化利用[10]。

3.2 基本原則

合法性原則、透明性原則、目的限制原則、安全保密原則和主體參與原則等已成為國際上獲得廣泛認可的個人信息保護原則，在GDPR中都有所體現[11]。在目的限制原則方面，我國應該立足本國國情，對歐盟的法律有所揚棄：一方面目的應該足夠明確，減少模糊的空間；另一方面，個人信息的利用和保護應仔細平衡，不能完全苛求目的范圍的最小化，容留一些彈性空間[12]。

3.3 監管制度

GDPR要求歐盟各國設立統一的監管機構，負責全權監管此條例的實施，將各項條款落實到位。為此，GDPR細致地規定了監管機構應保持獨立性、國家應給予大力的支持等落實其監管效用。對我國的借鑒為，在監督問責方面，建立統一的監管機構，貫徹個人信息保護法條款，在具體實施階段落實個人信息保護。同時，在一定情況下，可向企業派出數據保護官，進行更加嚴格的保護。

3.4 賠償救濟

個人信息侵權的特點是大規模小損害，單個訴訟主體缺乏積極性，群體性糾紛解決機制不夠完善[13]。為此，可以采取公益訴訟，由消費者協會或同意的監管部門提出；同時，確立多樣的糾紛解決制度，如個人信息監管部門調解、公益訴訟和行政救濟等多元方式。最后，在賠償金額方面，應加重賠償力度。加大賠償標準，促進企業重視個人信息保護，是我國個人信息保護必須考慮的。

3.5 生物信息

人工智能時代，生物識別信息是個人敏感信息中的敏感信息，應嚴格控制與保護。新技術層出不窮，不斷為新技術而立法，因法律的滯后性而難以實現。因此，應將這類唯一可識別的生物信息保護納入至個人信息保護法中，成為個人信息保護的基本原則，且明確數據收集主體的責任。

3.6 數據流動

從個人角度來看，我國可適當借鑒個人數據可攜帶權，一方面是能夠便利于民；另一方面是能夠在一定程度上打破各家互聯網公司數據壟斷的局面，促進合理有序的市場競爭。從國家角度來看，我國也應建立自身的數據出境規則，在發展數字市場和維護數字主權之間獲得平衡。如在個人信息保護法中，對個人信息劃分保護：個人一般信息實行事后追責制，個人敏感信息實行事前審查制，實現我國企業與境外機構之間的個人信息合理流動[10]。

在發展數字經濟同時，應強化對于個人信息的保護。人工智能時代下，算法和深度學習等人工智能技術為個人信息保護帶來了挑戰。一方面是技術的“黑箱子”特點使得人們難以、也不可能完全了解個人信息的處理詳情，未知帶來隱形風險，人們呼吁個人信息真正為己所掌控；另一方面，信息傳播環境翻天覆地的變化，權力讓渡于算法和機器，數據控制者成為了體量龐大的數據壟斷者，帶來監管救濟的困難。歐盟保護個人信息傳統悠久、對人工智能時代反應最靈敏，GDPR具有很高的借鑒價值。借鑒歐盟，結合我國國情有所揚棄，應從兩方面入手：一是數據收集的源頭，加強個人對于個人信息的掌控能力；二是數據泄露的問責，建立完善的問責監管、賠償救濟體系，統一監管部門，提高賠償救濟金額。在人工智能時代下，探尋我國個人信息保護的現實路徑。