我國個人信息保護的立法回應(yīng)與展望

禹 竹 蕊

(中共四川省委黨校 黨史黨建教研部，成都 610072)

在信息社會，信息成為交往互動的第一要素，信息流動是人與人、人與社會相互增進了解、建立良性互動的必要前提。信息在很大程度上不再只是一種資源，更是一種重要的生產(chǎn)力要素。“互聯(lián)網(wǎng)+”以及“大數(shù)據(jù)”的迅速崛起，強勢地改變了傳統(tǒng)的社會治理模式，也豐富了公共管理的方式與技術(shù)。(1)2015年，國務(wù)院發(fā)布的《促進大數(shù)據(jù)發(fā)展行動綱要》指出：“信息技術(shù)與經(jīng)濟社會的交匯融合引發(fā)了數(shù)據(jù)迅猛增長，數(shù)據(jù)已成為國家基礎(chǔ)性戰(zhàn)略資源，大數(shù)據(jù)正日益對全球生產(chǎn)、流通、分配、消費活動以及經(jīng)濟運行機制、社會生活方式和國家治理能力產(chǎn)生重要影響。”隨著信息共享于社會各個領(lǐng)域，社會治理的整個流程都充斥著信息的傳遞、交換和互動，信息在為人們提供服務(wù)的同時也轉(zhuǎn)化為一種規(guī)制方式，諸如強制披露、“黑名單”制度、違法信息的行政公告等，典型的信息規(guī)制開始被公權(quán)力機關(guān)廣泛應(yīng)用到社會治理中。基于此，信息的收集與利用越來越受到重視，信息的價值尤其是巨大的商業(yè)價值越來越得到彰顯。而大數(shù)據(jù)挖掘技術(shù)和算法讓信息的收集和分析變得越來越詳盡，也越來越精準(zhǔn)，很多在以往不會進入公眾視野的個人信息開始頻繁出現(xiàn)在各種公共平臺，并成為數(shù)據(jù)的一種，被運用到各種交往活動和商業(yè)往來中。

近年來，我國大數(shù)據(jù)行業(yè)相對處于一種“野蠻生長”的狀態(tài)，非法采集、非法使用問題特別嚴(yán)重，從數(shù)據(jù)的采集、流通、交換到應(yīng)用和交易，幾乎每個環(huán)節(jié)都存在數(shù)據(jù)流失和泄露的現(xiàn)象，尤其在個人信息不斷變?yōu)閿?shù)據(jù)時，個人往往對于自己的信息失去控制深感無力。而這些包含個人信息的數(shù)據(jù)一旦流失和泄露，在很大程度上使下游的違法犯罪具備了實現(xiàn)的可能[1]。由此，個人信息安全與個人信息保護成為倍受關(guān)注的領(lǐng)域。從微觀層面看，個人信息保護涉及個人信息安全，直接關(guān)系到個人的工作和生活；從宏觀層面看，個人信息保護與國家網(wǎng)絡(luò)安全相連，直接影響到國家互聯(lián)網(wǎng)經(jīng)濟的未來發(fā)展與走向。當(dāng)前，如何解決個人信息保護與大數(shù)據(jù)采集、應(yīng)用之間的矛盾和沖突，已經(jīng)成為學(xué)術(shù)界和實務(wù)界迫切需要解決的一大難題。2021年1月1日正式實施的《民法典》對此予以積極的回應(yīng)，從而加大了數(shù)據(jù)共享中對個人信息的保護力度。

一、個人信息概念的界定標(biāo)準(zhǔn)、時代價值和權(quán)利屬性

(一)個人信息概念的界定標(biāo)準(zhǔn)

檢視我國現(xiàn)有立法和司法解釋及相關(guān)制度，關(guān)于個人信息概念的界定和內(nèi)容表述存在一定的差別。《網(wǎng)絡(luò)安全法》第76條規(guī)定：“個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。”《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定：“刑法第二百五十三條之一規(guī)定的‘公民個人信息’，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯(lián)系方式、住址、賬號密碼、財產(chǎn)狀況、行蹤軌跡等。”我國首個關(guān)于個人信息保護的國家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》將個人信息定義為：“可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨或通過與其他信息結(jié)合識別該特定自然人的計算機數(shù)據(jù)。”而我國《民法典》第1034條規(guī)定：“個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。”雖然上述個人信息規(guī)定并不完全一致，但無一例外在對個人信息概念界定時都明確兩大指向：個人可識別和與身份相關(guān)聯(lián)。

1.個人可識別

所謂個人可識別，是指某項信息本身帶有一定的特殊性，可以通過該項信息識別出特定的自然人。簡而言之，就是通過這一信息可以識別到信息主體。但需要明確的是，不能機械地將“可識別”理解為能夠識別出自然人的整體，只要可以識別自然人的身份或者某一身份要素，甚至能識別出用戶使用的設(shè)備標(biāo)識，也叫做“可識別”。個人信息的內(nèi)涵比較寬泛，一般認(rèn)為可識別性是法律所要保護的個人信息的核心要素，不可識別的個人信息并不落在《民法典》個人信息保護的射程之內(nèi)[2]。亦即個人可識別這一判斷標(biāo)準(zhǔn)，排除將所有與個人相關(guān)的信息都納入個人信息的范疇，旨在兼顧促進信息的流動和對個人信息的精準(zhǔn)保護。

2.與身份相關(guān)聯(lián)

大數(shù)據(jù)技術(shù)和算法日新月異，通過處理每一個網(wǎng)絡(luò)用戶在使用互聯(lián)網(wǎng)服務(wù)時產(chǎn)生的海量操作數(shù)據(jù)，便能抽離出與用戶個人相關(guān)的各種信息。這些信息中有一些信息直接與個人身份相關(guān)聯(lián)，如個人的通話記錄、出行記錄、位置信息、網(wǎng)絡(luò)ID、瀏覽記錄等，都是特定的自然人在特定的活動當(dāng)中產(chǎn)生的與其身份相關(guān)聯(lián)的信息，通過它們可以輕松識別出特定的信息主體，當(dāng)然屬于個人信息[3]。

總之，在信息社會，信息的大量和過度開發(fā)，導(dǎo)致個人信息特別是網(wǎng)絡(luò)環(huán)境中的個人信息往往不再是“個人 + 信息”的簡單組合，而是表現(xiàn)為一種集合性信息，是與大數(shù)據(jù)發(fā)生勾連的信息集合體。當(dāng)我們判斷某個信息是否屬于法律所保護的個人信息時，要以上述兩個標(biāo)準(zhǔn)進行界定，不能任意擴大個人信息保護的范疇，否則不利于信息的流動。

(二)個人信息的時代價值

在信息社會，信息技術(shù)和信息產(chǎn)業(yè)在社會發(fā)展中的比重大幅增加，并逐漸在經(jīng)濟發(fā)展中占據(jù)主導(dǎo)地位，信息的生產(chǎn)、應(yīng)用和保障不斷加強，從根本上改變了人們的價值觀念、行為模式和生活方式。基于此，個人信息凸顯出鮮明的時代價值。

1.商業(yè)價值

個人信息的挖掘和商業(yè)使用改變了傳統(tǒng)的營銷模式，大數(shù)據(jù)通過收集用戶的年齡、性別、興趣愛好、消費習(xí)慣、滿意測評等個人信息形成各種類型的個人信息庫，加以算法分析并定向廣告投放，為人們提供更好的產(chǎn)品和服務(wù)[4]。一些商家和網(wǎng)絡(luò)平臺利用大數(shù)據(jù)挖掘瀏覽記錄、網(wǎng)購記錄等個人信息，經(jīng)過算法分析后，不斷向網(wǎng)絡(luò)用戶推送其可能感興趣的商品，以增加交易機會。挖掘個人信息進行定向銷售和精準(zhǔn)服務(wù)，已經(jīng)成為一種非常普遍的現(xiàn)象。可以說，挖掘個人信息在一定程度上意味著挖掘潛在的巨大商機，以至于近年來信息業(yè)者和企業(yè)都在竭力開發(fā)和利用個人信息創(chuàng)造商業(yè)價值。

2.公共管理價值

在信息社會，隨著數(shù)據(jù)共享的日漸廣泛化，個人信息表現(xiàn)出一定的 “公共性”，政府本著公共福利默認(rèn)和允許對個人信息進行充分收集、分析和使用[5]。致力于公共管理、提升公共安全、提高公共福祉，是政府必須承擔(dān)的職責(zé)，而這一切都離不開對公民個人信息的掌握。尤其是治安防控、風(fēng)險評估與預(yù)防、違法調(diào)查和犯罪偵查、反恐防暴、應(yīng)急處突等公共管理活動的順利進行，都需要海量的個人信息作為支撐。借助現(xiàn)代信息技術(shù)，政府可以更加充分地發(fā)掘個人信息的公共管理價值，通過統(tǒng)計學(xué)、數(shù)據(jù)分析，更為及時和準(zhǔn)確地了解社情民意，提高科學(xué)決策的水平，提高行政效率，更好地推進公共管理和公共服務(wù)[6]。因此，個人信息的公共管理價值日漸顯著。

(三)個人信息的權(quán)利屬性

1.個人信息與經(jīng)濟利益掛鉤

在信息社會，信息是一種資源，也是一種新的生產(chǎn)要素，可以創(chuàng)造巨大的利潤。個人信息也蘊含著巨大的商業(yè)價值，因而被信息業(yè)者和相關(guān)企業(yè)爭先收集和利用。即便個人信息沒有直接表現(xiàn)為一項財產(chǎn)，也在很大程度上與經(jīng)濟利益掛鉤，呈現(xiàn)出財產(chǎn)的屬性，這與信息主體是否意識到或者是否真正將其當(dāng)作財產(chǎn)無關(guān)。

2.個人信息體現(xiàn)一定的意志支配力量

個人信息內(nèi)涵豐富，與個人的財產(chǎn)、健康、名譽等相連。嚴(yán)格意義上說，個人信息并不具備排他性和獨占性，信息主體在一定條件下可以與他人共享個人信息，即便是隱私，信息主體也可以自由決定是否告訴他人。但根據(jù)《民法典》規(guī)定，對個人信息的處理需要征得信息主體或者其監(jiān)護人(如果信息主體不是完全民事行為能力人)的同意；(2)參見《民法典》第1035條、第1038條。而信息主體除了可以查閱、復(fù)制自己的信息外，也可以要求信息處理者及時刪除其個人信息，還可以提出異議并要求更正錯誤信息。(3)參見《民法典》第1037條。這充分說明信息主體對于自己的個人信息具有意志支配的力量。

綜上所述，個人信息具有權(quán)利屬性，此權(quán)利的核心在于信息主體對其個人信息的意志支配，包括決定個人信息的占有和使用，進而使個人信息呈現(xiàn)出一定的自主價值和使用價值[7]。而《民法典》之所以采用個人信息保護而非個人信息權(quán)的表述，是為了避免對個人信息形成絕對權(quán)利的誤解。如果將個人信息作為一種人格權(quán)，這種保護顯得過于嚴(yán)格，不符合信息社會對信息合理流通與交換共享的要求。(4)2020年10月，黨的十九屆五中全會通過的《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》明確提出：“擴大基礎(chǔ)公共信息數(shù)據(jù)有序開放，建設(shè)國家數(shù)據(jù)統(tǒng)一共享開放平臺。”只有涉及隱私的個人信息被侵犯，才涉嫌侵犯人格權(quán)。信息社會的發(fā)展要求信息主體的利益與信息共享利用之間的關(guān)系平衡，單純只考慮個人信息保護而忽視大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展不僅有違社會現(xiàn)實，而且也不利于社會進步。

二、信息社會個人信息保護的難題

在信息社會，個人信息的價值愈發(fā)凸顯，其應(yīng)用領(lǐng)域越來越廣泛，大數(shù)據(jù)分析、算法也越來越精準(zhǔn)，以往建立在“事先同意、目的明確、有限使用”原則上的個人信息保護制度，在實踐中不斷遭遇困境，從而使個人信息的安全與保護變得越來越重要。可以說，在信息社會，各國個人信息保護普遍存在“現(xiàn)象級”難題。

首先，現(xiàn)代社會社會交往的廣泛性和便利性以及交往空間的不斷轉(zhuǎn)換，使得個人信息復(fù)雜多元和變化難測，呈現(xiàn)出多維度的特點。加之大數(shù)據(jù)技術(shù)的采集和處理，使得個人信息從原始態(tài)到再加工態(tài)，其信息形態(tài)更加模糊、數(shù)據(jù)控制者可追溯性難度加大[8]。而且個人信息作為一種權(quán)利，不但折射出財產(chǎn)屬性，也與個人意志支配相連，其中涉及隱私的那部分個人信息還牽扯到人格權(quán)的問題，所以厘清權(quán)利保護問題絕非易事。其次，信息社會需要信息流動交換，整合大量信息作為大數(shù)據(jù)推動信息產(chǎn)業(yè)發(fā)展，個人信息在社會發(fā)展的趨勢下，勢必在權(quán)利領(lǐng)域有一定的縮限。其中，不能忽視的是個人信息與數(shù)據(jù)、政府信息的耦合疊加難題。

(一)個人信息與數(shù)據(jù)的耦合

在大數(shù)據(jù)模式下，信息產(chǎn)業(yè)主要依靠數(shù)據(jù)挖掘創(chuàng)造價值，個人信息在信息主體與各種信息收集系統(tǒng)的互動之間逐步被開發(fā)、挖掘。個人信息經(jīng)由大數(shù)據(jù)技術(shù)被采集處理后往往會與數(shù)據(jù)耦合，其聚合效應(yīng)遠(yuǎn)遠(yuǎn)高于單純的個人信息的價值。當(dāng)數(shù)據(jù)成為個人信息的重要載體且兩者之間的耦合呈現(xiàn)動態(tài)變化時，個人信息保護便增添了很多不確定性。無法否認(rèn)，數(shù)字經(jīng)濟有著完全異于傳統(tǒng)經(jīng)濟的發(fā)展路徑和邏輯，大數(shù)據(jù)模式的迅猛發(fā)展并不以明晰的產(chǎn)權(quán)界定和權(quán)利確認(rèn)為前提，而是以法律關(guān)系的模糊性和法律措施的權(quán)宜性為代價。數(shù)據(jù)歸屬這個最基本的權(quán)利問題沒有得到解決，建立其上的其他權(quán)利問題就更難厘清。現(xiàn)實是全世界都在規(guī)避這個難題[9]，各國關(guān)于個人信息保護的理論也難以統(tǒng)一。目前，人格權(quán)說、基本權(quán)利說、私人生活權(quán)說、數(shù)據(jù)保護說、信息自決權(quán)說、信息保密性和系統(tǒng)完整性權(quán)利說等理論爭鳴層出不窮，盡管這些理論都贊同對個人信息進行保護，但它們的保護目的顯然并不一致，保護的強度和廣度也有差別。鑒于個人信息保護的基礎(chǔ)理論尚未完全明晰，各國都傾向采取簡單的“全面預(yù)防”態(tài)度[10]。正是因為個人信息與數(shù)據(jù)的耦合，使得個人信息的傳播途徑和傳播過程愈加紛繁駁雜，很多傳統(tǒng)的規(guī)制方式在網(wǎng)絡(luò)虛擬空間或電商環(huán)境中難以真正落地貫徹，其結(jié)果就是立法很難作出及時回應(yīng)，要么凌亂不成體系，要么大而全過于籠統(tǒng)不夠精細(xì)，我國“個人信息保護法”也因此遲遲不能出臺。

(二)個人信息與政府信息的耦合

政府及其職能部門在行政管理過程中，因為履職需要會大量采集個人信息并制作、記錄或保存，進入這一管理流程的個人信息也就同時轉(zhuǎn)化為了政府信息。(5)《政府信息公開條例》第2條規(guī)定：“本條例所稱政府信息，是指行政機關(guān)在履行行政管理職能過程中制作或者獲取的，以一定形式記錄、保存的信息。”質(zhì)言之，某些成為政府信息的信息對于自然人而言依舊是個人信息，不可避免具有雙重屬性，且存在矛盾與沖突。首先，很多時候政府及其職能部門收集個人信息并不需要遵循所謂“知情同意”的前提，無須向個人公開其收集和使用規(guī)則，也無須明示收集、使用個人信息的目的、方式和范圍，這與個人信息的“信息自決權(quán)”沖突，與個人信息保護的邏輯相悖[11]。其次，政府信息公開旨在發(fā)揮政府信息的服務(wù)功能，遵循“公開是常態(tài)，不公開是例外”的原則，除非個人信息涉及隱私，否則都要公開。但自然人的個人信息內(nèi)涵相當(dāng)豐富，隱私只是其中很小的一部分，沒有誰希望自己的個人信息被公諸于眾，這又形成一對悖論。必須承認(rèn)，個人信息不僅應(yīng)該得到其他民事主體的尊重，也應(yīng)該得到國家公權(quán)力機構(gòu)的尊重[12]。當(dāng)同一個信息既是政府信息又是個人信息時，如何在公共管理與私權(quán)保障之間尋求平衡，如何合理地實施個人信息保護，絕非易事。

三、《民法典》對個人信息保護的進路

快捷的生活節(jié)奏、便利的交往方式，是個人“心甘情愿”讓渡信息使用權(quán)的重要原因。一方面，我們期待更便捷、性價比更高的服務(wù)；另一方面，在大數(shù)據(jù)技術(shù)和算法面前，我們變得越來越透明，有時候甚至毫無隱私可言。不論是公共部門還是私營部門，一旦掌握大量的個人信息，就都存在濫用或侵犯個人權(quán)利的可能[13]。切實保護個人信息，不僅是自然人在信息社會的現(xiàn)實需求，也是國家信息產(chǎn)業(yè)良性發(fā)展的必然要求。《民法典》對此予以回應(yīng)。

(一)《民法典》的立法思路

盡管數(shù)據(jù)與個人信息之間不能劃等號，但個人信息轉(zhuǎn)化為數(shù)據(jù)繼而實現(xiàn)共享已經(jīng)成為一種常態(tài)。如何在互聯(lián)網(wǎng)經(jīng)濟和信息產(chǎn)業(yè)飛速發(fā)展及數(shù)據(jù)共享從區(qū)域走向全球化的今天加強個人信息的法律保護，是當(dāng)今世界各國高度關(guān)注的問題。畢竟，個人、信息業(yè)者、網(wǎng)絡(luò)營運商和政府針對個人信息各有訴求，商業(yè)價值和公共管理價值在個人信息上交織雜糅。個人信息保護的立法應(yīng)該是認(rèn)識利益、表達(dá)利益的過程，以及妥善處理個人、信息業(yè)者、網(wǎng)絡(luò)營運商和政府的關(guān)系，其核心是既保障個人自由全面的發(fā)展，又順應(yīng)信息社會對大數(shù)據(jù)、信息技術(shù)發(fā)展的需求，從而實現(xiàn)個人信息商業(yè)價值與公共管理價值之間的平衡。簡言之，個人信息保護制度本質(zhì)上要建立起一套有關(guān)個人信息正當(dāng)利用的規(guī)則，既保護個人信息主體權(quán)利，又保護信息主體的信息自決權(quán)，同時承認(rèn)信息控制者合法利用個人信息的權(quán)利，通過協(xié)調(diào)和解決利益沖突促進合作。

黨的十九屆四中全會、十九屆五中全會對大數(shù)據(jù)、信息產(chǎn)業(yè)發(fā)展以及個人信息保護提出明確要求。(6)黨的十九屆四中全會明確要求：“建立健全運用互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等技術(shù)手段進行行政管理的制度規(guī)則。推進數(shù)字政府建設(shè)，加強數(shù)據(jù)有序共享，依法保護個人信息。”黨的十九屆五中全會通過《中共中央關(guān)于制定國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和二〇三五年遠(yuǎn)景目標(biāo)的建議》，一方面強調(diào)“推動互聯(lián)網(wǎng)、大數(shù)據(jù)、人工智能等同各產(chǎn)業(yè)深度融合”，另一方面也強調(diào)“保障國家數(shù)據(jù)安全，加強個人信息保護”。可見，我國正積極探索通過制度創(chuàng)設(shè)，為個人信息在當(dāng)前信息技術(shù)和經(jīng)濟社會發(fā)展大背景下找準(zhǔn)落腳點，認(rèn)清個人在信息社會的位置，讓個人有效參與到發(fā)展中，形成良性互動，從而避免淪為各種營運商攫取利潤的工具。正是從“立足個人信息保護與數(shù)據(jù)流動之間的平衡”這一思路出發(fā)，《民法典》首先將個人信息保護與隱私權(quán)進行劃分，兩者雖然同屬“人格權(quán)”編，但個人信息保護具有獨立性，并未附屬在隱私權(quán)下。《民法典》承認(rèn)個人信息與隱私之間的勾連甚至一定程度的競合，但基于兩者權(quán)利屬性、權(quán)利客體、權(quán)利內(nèi)容、保護方式等的差異，采取不同的制度安排，以期更好地對兩者分別予以保護。(7)負(fù)責(zé)主持《民法典》編纂工作的王利明教授曾在起草期間撰文專門論述這個問題，參見王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學(xué)》2013年第4期。

(二)《民法典》的具體設(shè)置

《民法典》關(guān)于個人信息保護規(guī)定主要集中在三個部分：(1)在總則編第五章“民事權(quán)利”部分，規(guī)定民事主體對數(shù)據(jù)(8)由于個人信息與數(shù)據(jù)有一定的交叉，這里的數(shù)據(jù)包括轉(zhuǎn)化為數(shù)據(jù)的個人信息。和虛擬財產(chǎn)享有合法權(quán)益；(9)參見《民法典》第127條。(2)在人格權(quán)編第六章“隱私權(quán)和個人信息保護”部分，規(guī)定個人信息與隱私受法律保護，并對個人信息的定義、內(nèi)涵、收集、更改和刪除等作出規(guī)定；(10)參見《民法典》第1034～1039條。(3)在侵權(quán)責(zé)任編第三章“責(zé)任主體的特殊規(guī)定”部分，規(guī)定網(wǎng)絡(luò)侵權(quán)責(zé)任，包括刪除有關(guān)信息。(11)參見《民法典》第1194～1197條。上述規(guī)定明確個人信息的定義和內(nèi)涵、處理個人信息的原則、信息主體的信息自決權(quán)，也明確信息控制者(12)信息控制者是指實際獲取信息、控制信息、處理信息的主體，包括信息業(yè)者、網(wǎng)絡(luò)營運商和政府。的責(zé)任，對個人信息形成了比較體系化的保護。

1.個人信息的定義和內(nèi)涵

如上文所述，《民法典》第 1034 條明確個人信息的定義和內(nèi)涵，與隱私有所區(qū)分。

2.處理個人信息的原則

《民法典》第 1035 條明確處理個人信息的基本原則：個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等。(1)合法正當(dāng)。這一原則要求信息控制者對個人信息處理無論是目的還是行為都要遵守法律政策、尊重社會公德、遵守商業(yè)道德，符合服務(wù)經(jīng)營的正當(dāng)性。(2)明確用途。對于待處理的個人信息，除非法律法規(guī)另有規(guī)定，信息控制者原則上應(yīng)該明確告知信息主體處理目的、方式和范圍以及處理的規(guī)則，以便信息主體作出同意與否的選擇。即便得到信息主體的同意，信息控制者也不得違反法律規(guī)定或約定，擅自對個人信息進行其他方面處理。

3.信息主體的信息自決權(quán)

實際上，大部分自然人不了解大數(shù)據(jù)挖掘技術(shù)和算法，面對信息控制者給出的選擇，并不能作出專業(yè)的判斷，以至于讓渡個人信息使用權(quán)后，也不知道個人信息在流轉(zhuǎn)過程中是否得到有效保護。為避免信息主體合法權(quán)益遭受不必要的損害，《民法典》第1035 條、第1037條規(guī)定了信息主體的信息自決權(quán)。(1)知情權(quán)。知情同意是信息主體的核心利益，不可讓渡。知情權(quán)是確認(rèn)自然人對個人信息享有意志支配權(quán)(信息自決權(quán))，即誰收集我的個人信息、這些個人信息儲存在哪里、未來因何目的用在何處或與誰分享，信息主體應(yīng)當(dāng)有權(quán)知道。這要求信息控制者事先必須以清晰、準(zhǔn)確、易懂的用語，及時、全面、明確地告知信息主體處理其個人信息的目的、方式、范圍和處理規(guī)則，確保信息主體知情權(quán)得以實現(xiàn)。(2)同意權(quán)。信息主體享有的信息自決權(quán)實質(zhì)上是個人信息自主價值的體現(xiàn)，但這種自主價值的實現(xiàn)本身存在悖論。一方面，個人為自身發(fā)展和生活便捷渴望得到更多信息；另一方面，卻又不愿意自己的個人信息被別人輕易獲取。要解決這對矛盾，關(guān)鍵是賦予信息主體同意權(quán)，即明確告知信息控制者，信息主體有權(quán)選擇同意或者不同意。只有信息主體通過明確的意思表示或行為選擇“同意”，信息控制者才能處理其個人信息。如果沒有經(jīng)過信息主體同意，不得以欺騙、誤導(dǎo)或者脅迫等方式處理其個人信息，也不得以違法或者違約的方式處理其個人信息。(3)要求更正權(quán)。信息主體有權(quán)查閱自己的個人信息，發(fā)現(xiàn)錯誤可以要求信息控制者修改，發(fā)現(xiàn)缺失可以要求其補充。(4)被遺忘權(quán)。被遺忘權(quán)發(fā)肇于歐盟的 《數(shù)據(jù)保護指令》(DPR)，(13)2012年11月歐盟出臺《數(shù)據(jù)保護指令》(DPR) 修正案，首次確立“被遺忘權(quán)”，規(guī)定“信息主體有權(quán)要求數(shù)據(jù)控制者刪除與其個人相關(guān)的資料信息，數(shù)據(jù)控制者除有合理正當(dāng)理由外，必須進行刪除”。是指信息主體在特定條件下有權(quán)要求信息控制者刪除其個人信息，從而避免這些信息被進一步傳播[14]。被遺忘權(quán)充分體現(xiàn)信息主體對信息的自決權(quán)，信息主體在特定情況下可以要求刪除一切能夠識別其身份的個人信息(包括隱性數(shù)據(jù)和顯性數(shù)據(jù))，確保自主收回個人信息或終止享有便捷服務(wù)的機會[15]。

4.信息控制者的責(zé)任

有人認(rèn)為技術(shù)本身沒有對錯，網(wǎng)站只是傳播介質(zhì)，因而主張“技術(shù)中立、平臺無責(zé)”。然而，不論是信息業(yè)者還是網(wǎng)絡(luò)營運商，相當(dāng)一部分人利用大數(shù)據(jù)挖掘技術(shù)和算法獲取和處理個人信息是為謀取利益。《民法典》肯定《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》的相關(guān)要求，(14)2016 年6月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》明確指出，要明示收集使用信息的目的、方式和范圍，并經(jīng)用戶同意；依法保障用戶在安裝或使用過程中的知情權(quán)和選擇權(quán)；未向用戶明示并經(jīng)用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務(wù)無關(guān)的功能，不得捆綁安裝無關(guān)應(yīng)用程序等。通過第1038條、第1039條、第1194～1197條對信息控制者的責(zé)任予以明確，排除他們用“技術(shù)中立”“傳播介質(zhì)”“算法無錯”作為拒絕承擔(dān)責(zé)任的借口。(1)告知義務(wù)。信息控制者承擔(dān)的告知義務(wù)對應(yīng)的是信息主體的知情權(quán)，信息控制者必須如實告知收集原因、收集方式、儲存方式、使用目的、使用范圍、使用期限、分享對象等，從而確保信息主體知情權(quán)的實現(xiàn)。即便已經(jīng)得到信息主體明確同意，信息控制者因故要改變使用目的、使用范圍、分享對象等，也需要及時告知信息主體，重新征得其同意。此外，當(dāng)網(wǎng)絡(luò)侵權(quán)發(fā)生時，信息控制者還承擔(dān)“雙向通知”義務(wù)，即將權(quán)利人提交的遭受侵權(quán)的通知轉(zhuǎn)送網(wǎng)絡(luò)用戶，同時也將網(wǎng)絡(luò)用戶提交的不存在侵權(quán)行為的聲明轉(zhuǎn)送發(fā)出通知的權(quán)利人，以便權(quán)利人進一步采取維權(quán)措施。(2)安全保密義務(wù)。對依法收集的個人信息，信息控制者必須嚴(yán)格保密，防止泄露、毀損、丟失，確保信息安全。信息控制者不得隨意篡改收集的個人信息，未經(jīng)信息主體同意，也不得向他人非法提供個人信息。政府機構(gòu)及其工作人員對于履職中知悉的個人信息應(yīng)當(dāng)予以保密，不得泄露或非法向他人提供。(3)侵權(quán)責(zé)任。如果信息控制者沒有依法履行安全保密義務(wù)，或者已知信息主體的個人信息受到安全威脅(包括信息主體以通知的方式主動告知)卻沒有及時采取法定措施阻止侵權(quán)行為的，信息控制者要承擔(dān)相應(yīng)的侵權(quán)責(zé)任。

四、個人信息保護立法的展望

大數(shù)據(jù)發(fā)展關(guān)系到個人權(quán)益的保障，深刻影響數(shù)字產(chǎn)業(yè)、信息產(chǎn)業(yè)的發(fā)展模式與方向，涉及國家產(chǎn)業(yè)政策的調(diào)整和法律制度的架構(gòu)。遺憾的是，迄今為止我國針對個人信息保護尚未建構(gòu)起完整、系統(tǒng)、條理清晰的法制體系。在個人信息保護立法長期缺位的情況下，《民法典》努力根據(jù)信息社會的發(fā)展和要求作出回應(yīng)，積極填補立法空白，為立法的發(fā)展留下空間，具有一定的進步意義。然而，盡管《民法典》搭建起一定的制度框架，使得個人信息保護的指向性明確，但在法律制度設(shè)計上卻有明顯的缺陷：操作性不強，在實踐運用中甚至?xí)萑胍欢ǖ闹贫壤Ь场?/p>

首先，相對自然人，信息業(yè)者和網(wǎng)絡(luò)營運商享有天然的技術(shù)資源優(yōu)勢，他們在信息交換互動過程中往往會選擇對自己最有利的技術(shù)手段，并且將“take it or leave it contracts”(要么接受服務(wù)，要么離開)作為網(wǎng)絡(luò)合同的模式。很多時候，為享有所謂的便捷服務(wù)，信息主體不得不違心地讓渡個人信息使用權(quán)，知情同意顯得格外蒼白。其次，即便信息控制者告知信息采集的目的、用途等，自然人卻往往囿于各種因素，無法對其個人信息的具體處理情況進行核實，對于那些隱藏在暗處的侵權(quán)活動幾乎一無所知。最后，盡管《民法典》對網(wǎng)絡(luò)侵權(quán)責(zé)任予以規(guī)定，但對于信息主體而言，要舉證證明侵權(quán)事實的存在以及證明網(wǎng)絡(luò)服務(wù)提供者應(yīng)該承擔(dān)連帶責(zé)任，顯然并非易事。(15)根據(jù)《民法典》第1097條，網(wǎng)絡(luò)服務(wù)提供者知道或者應(yīng)當(dāng)知道網(wǎng)絡(luò)用戶利用其網(wǎng)絡(luò)服務(wù)侵害他人民事權(quán)益，未采取必要措施的，與該網(wǎng)絡(luò)用戶承擔(dān)連帶責(zé)任。但實際上，信息主體很難證明網(wǎng)絡(luò)服務(wù)提供者知道或者應(yīng)當(dāng)知道。倘若侵權(quán)人并非利用網(wǎng)絡(luò)侵犯自然人的個人信息，信息主體很可能會被一直蒙在鼓里，更遑論主張權(quán)利。當(dāng)然，從全球?qū)嵺`看，還沒有任何一個國家將民事法律作為個人信息保護的主導(dǎo)規(guī)范，我國的《民法典》也不可能完全承擔(dān)起這樣的重任。畢竟，個人信息保護涉及科技、金融、政治、國家安全等不同領(lǐng)域，涵蓋民法、行政法、刑法、國際法等諸多法律部門，《民法典》無法也不能僭越，只能作出一些比較基礎(chǔ)和原則的規(guī)定，要想真正走出制度的困境，還需要完善配套制度，需要科技、民事、行政、刑事等多種手段綜合發(fā)力。

個人信息保護的緊迫性呼吁加強相關(guān)立法，僅靠一部單一的部門法難以實現(xiàn)有效保護，需要民法、行政法甚至是刑法形成合力[16]。未來，我國學(xué)術(shù)界和實務(wù)界應(yīng)該攜手共同研究“個人信息保護法”，促進個人信息保護研究更為深入和精細(xì)化，力爭早日出臺“個人信息保護法”，體現(xiàn)對公民權(quán)利的尊重和保障，對公共利益的強化和推進，以及對新興產(chǎn)業(yè)發(fā)展的重視和引領(lǐng)[17]。同時，加大對政府利用個人信息的管控，要意識到個人信息法律保護制度的發(fā)展始終伴隨著對政府權(quán)力的限制，政府不能肆意收集和利用個人信息；即便在應(yīng)急處突中依據(jù)比例原則可以適度放寬，政府對個人信息的利用也要符合比例原則，不能侵犯公民的人格尊嚴(yán)；還要建立嚴(yán)格的內(nèi)控制度，防止政府內(nèi)部人員泄露和違法使用公民的個人信息，一經(jīng)發(fā)現(xiàn)必須嚴(yán)懲[18]。