個人信息保護立法的域外借鑒

梅心荃

【關鍵詞】個人信息保護;通用數據保護條例;GDPR;立法啟示

當前，數字經濟、人工智能、大數據技術飛速發展與應用，每天需要對海量數據做統計性處理，個人信息在其中起著基礎性的作用。隨著個人信息成為企業提高核心競爭力的資產，公民個人信息的商用價值愈發凸顯，隨之而來的是公民個人信息的“裸奔”與形形色色的侵犯個人信息案件，公民個人信息的保護逐漸被社會所重視，成為時代必須回答之問。從APP兜售用戶個人隱私，非法買賣個人信息已成了新興行業，到企業利用大數據篩選“殺熟”，再到2021年“3·15”晚會曝光的商家違法收集顧客人臉信息，大量的侵犯公民個人信息案件層出不窮，甚至有愈演愈烈之勢，這正反映了當前，我國在個人信息保護方面相關法律的空白，也警示我們在公民個人信息保護方面的立法工作刻不容緩。

一、個人信息概述

（一）個人信息概念

《中華人民共和國民法典》第一千零三十四條規定，個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，實際上強調的是個人信息的“專屬識別性”，即通過特定的信息，從而能識別到特定的人。個人信息并不只表現為自然人的專屬信息，除了如自然人的身份證號、肖像、姓名、家庭住址、電話號碼等專屬信息，還可以通過組合分析一些看似不具有專屬性的信息，來識別特定的自然人，如某個人的興趣愛好、生活習慣等，都可以成為個人信息。

（二）個人信息法益的邏輯證成

個人信息概念中，最難厘定的莫過于個人信息究竟屬于法益還是權利，我國學者也經常在個人信息的保護模式上，為是選擇法益保護模式還是權利保護模式有著不同的主張。歐盟、日本、韓國等對個人信息都采取了權利保護模式，而從現有法律來看，我國對個人信息采取是法益保護模式，實際上也意味著我國法律將個人信息視為一種法益所進行保護。

我國民法典中的用詞為“自然人的個人信息受法律保護”，而不是“自然人的個人信息權受法律保護”，且在最新的《中華人民共和國個人信息保護法（草案第二次審議稿）》的第一條中規定：“為了保護個人信息權益，規范個人信息處理活動……制定本法”，可以得出結論，我國對個人信息保護采取的是法益保護模式，即認為個人信息是一種“法益”而不是一種“權利”。

（三）個人信息與隱私的界分

個人信息與隱私存在諸多共性，容易被混同，如個人信息與隱私都是一種人格權益，兩者在外觀上十分相似，受侵犯的方式也大多相同，如非法收集、泄露、轉讓等。美國法律將個人信息納入隱私權內容中進行保護，日本的《個人信息保護法》也將個人信息歸納到隱私當中，但其實二者是兩個概念。我國民法典人格權編第六章為隱私權和個人信息保護，可以得知我國是將個人信息與隱私區分開進行保護。

個人信息與隱私有著較大的區別，在內容上，隱私權屬于人格權所保護的一種，是一種自然人精神上的權利，且在財產利益方面并不十分突出。而個人信息則是一種綜合性的法益，對其的保護不僅要體現精神方面，還要兼顧財產利益方面。

在表現形式上，個人信息多是以數字、文字等載體表達出來的信息，而隱私并不一定需要文字、數字等載體表現出來，如私密的空間，私密的活動。隱私與個人信息的區別要落到“隱”和“私”上，即不愿為他人知曉的主觀要件。

二、我國個人信息保護立法

（一）我國個人信息保護現狀

相較于國外，我國在個人信息保護方面的立法起步較晚，但是發展較快。2016年8月的“徐玉玉案”為保護公民個人信息敲響警鐘，同年11月公布的《中華人民共和國民法總則（草案）》第二次審議稿也增加了公民個人信息保護的條款，即109條——自然人的個人信息受法律保護。任何組織和個人不得非法收集、利用、加工、傳輸個人信息不得非法提供、公開或者出售個人信息。

2020年10月13日，十三屆全國人大常委會委員長會議提出了關于提請審議個人信息保護法草案的議案，這表明我國將在個人信息保護方面單獨立法，且保護的主要力量將從公法轉為私法，未來將出臺施行《中華人民共和國個人信息保護法》，表明了我國對保護公民個人信息的決心，也極大地保障了公民個人信息不受不法侵犯。

以上可以得出結論，相較于歐美等發達國家，我國在個人信息保護方面的立法稍顯落后，發展卻較為迅速，通過多年的不懈努力，已初步形成了對公民個人信息保護的體系。但法律具有一定的滯后性，互聯網的發展日新月異，侵犯公民個人信息的方式與方法也在不斷變化，現行法律對個人信息保護的力度還稍有不足。為了適應新形勢下的新內容，我國仍需要繼續深入研究保護個人信息的方法與制度，相關立法工作仍然不能停止。

（二）我國當前個人信息保護分析

1、法律法規保護

我國現有關于個人信息保護的法律及具有法律性質的文件有《中華人民共和國民法典》（第一百一十一條、第一千零三十四條、第一千零三十五條）、《中華人民共和國網絡安全法》（第四十四條、四十五條、七十六條）以及《全國人大常委會關于加強網絡信息保護的決定》（第一條）等。

針對各種APP擅自收集用戶個人信息，售賣用戶個人信息，侵犯用戶隱私的亂象，工業與信息化部發布了《APP收集使用個人信息最小必要評估規范》，并正在起草《移動互聯網應用程序個人信息保護管理暫行規定》，結合已經公布施行了的《中華人民共和國電信條例》、《電信和互聯網用戶個人信息保護規定》、《寄遞服務用戶個人信息安全管理規定》、《中國人民銀行金融消費者權益保護實施辦法》等法律法規，形成了較為體系化的個人信息保護措施，有力保障了個人信息安全。

2、我國個人信息保護的困境

缺乏協調引發法律適用的困難性。我國在個人信息保護立法上呈現出多層次，多元化的特征，有法律、法律效力的決定、行政法規與部門規章，互相之間難以做到統攝，缺乏協調性與混亂性。以對“個人信息”的定義為例，《網絡安全法》、《侵害消費者權益行為處罰辦法》、《民法典》都有著不同的定義，在司法實踐中將造成一些制度的不周延，對法律適用產生一定的困難，導致對個人信息很難起到全面、有效地保護。

缺乏專門立法，引發法律適用的混亂性。雖然我國有多部法律法規對個人信息保護有所規定，但多是附帶性的規定，缺乏統一、專門的立法，個人信息保護方面特定的立法如《中華人民共和國個人信息保護法》仍處于草案階段。以《中華人民共和國網絡安全法》為例，對于個人信息保護的規定也只存在于四十四條、四十五條等極少數條文中，顯然無法應對當前保護個人信息的各種情形。

公、私法保護力度不一導致救濟的失調性。我國現有的個人信息保護體系，可以看出組成部分大多數是公法與行政法規，雖然以公法的形式保護個人信息有其優點，如在監管與處罰上有著較好的執行力，但個人信息也離不開私法的保護，尤其是在保障個人信息受到侵犯時的救濟途徑方面，補強在信息處理者、政府、自然人之間利益關系最弱的一方。當前私法保護中仍存在一定的問題，信息處理者利用信息、處理信息的過程，都被信息處理這絕對掌握，在此背景下繼續適用民事訴訟中“誰主張誰舉證”的原則，則被侵犯個人信息者很難舉證，從而維護自身的合法權益。

三、《通用數據保護條例》（GDPR）分析

（一）《通用數據保護條例》的時代背景

歐盟《通用數據保護法案》（GDPR）于2018年5月25日出臺，其前身，是歐盟于1995年制定的《計算機數據保護法》，一經發布，就引起了全世界的關注。大數據時代，個人的數據、信息等隱私安全尤其重要，從國內某衛生系統內部，泄露數十萬條母嬰信息，到國外的Facebook泄露2.67億用戶數據，《通用數據保護條例》的公布，正是歐盟在新時代背景下，保護信息安全呼聲中的一次大膽探索。當前，國內個人信息、數據保護方面存在相當大的法律空白，對侵犯公民個人信息、數據的行為缺乏有力的打擊，基于此，歐盟此次通過的《通用數據保護條例》，很大程度上對我國今后在相關方面的立法，有著重要的借鑒意義。

（二）《通用數據保護條例》特點

《通用數據保護條例》由包括序言在內的十一個部分，九十九個條款組成，其主要內容包含地域適用范圍、數據主體的權利、數據處理者與數據保護官等內容。在適用主體方面，《通用數據保護條例》明確表示，保護的是自然人的權利，第一章第一條：“本法保護自然人的基本權利和自由，尤其是自然人的個人數據保護權”。由此可見，法人與其他非自然人組織，是不受《通用數據條例》的保護的。

在適用范圍方面，《通用數據條例》管轄范圍是極大的，對于設立在歐盟境內的數據處理主體，GDPR具有管轄權。對于設立在歐盟境外的數據處理主體，如果處理的數據主體涉及歐盟，GDPR也是具有管轄權的。假設一家在中國注冊的公司，收集的用戶信息中，包括歐盟成員國公民的信息，GDPR對其也是存在管轄權的。

在定義個人數據方面，GDPR將個人數據定義為：“任何指向一個已識別或者可識別的自然人（數據主體）的信息，該可識別的自然人能夠被直接或者間接地識別”。在法案中，這種信息包括姓名、身份證號碼等能直接體現自然人的信息，也包括自然人的生理、心理、基因等“間接信息“，可以說，GDPR對個人數據的定義較為寬泛，有很大的解讀空間。

《通用數據保護條例》加大了對數據主體權利的保護力度，一方面，GDPR明確規定了數據主體所享有的權利，包括知情權、擦除權（被遺忘權）、拒絕權和數據可攜帶權等。其中值得一提的是擦除權也稱為被遺忘權，其實質是，數據主體可以根據其主觀意愿，或者在必要時要求數據控制者刪除其數據。某種意義上，此項權利有力地保障了數據主體的權利，但同時也極大增加了數據控制者的運作難度，對數據控制者也是一次新的挑戰。另一方面，處理個人數據需要有合法理由，GDPR也將數據主體的同意，作為數據控制者處理數據的唯一合法依據，強調數據主體的同意，必須是清楚、明確的，任何企業通過“模糊的條款”取得用戶的同意，都將被認為是違法的，用戶可以隨時撤回自己的同意。

在處罰力度上，歐盟延續了一貫極度重視個人隱私的傳統，面對違反《通用數據保護條例》的企業，最高可處以2000萬歐元或者企業上一財年全球營業總額4%的處罰。任何企業都無法淡然面對如此沉重的處罰，在GDPR出臺后不久，世界各國的企業都有所行動，美國的蘋果公司對隱私政策進行了修改，即首次允許用戶徹徹底底注銷自己的蘋果ID。在國內，騰訊公司的QQ國際版與微信國際版被停用，用戶必須升級到最新版本才可繼續使用，而新版本相較于老版本也進行了改動，如一個賬號連續180天未登陸，那么這個賬號將被注銷，一個賬號的聊天記錄也只能保存72小時，之后將會被永久刪除。

《通用數據保護條例》有著其亮眼之處，明確設立了“數據保護官”的職位，這也是GPDR的一大亮點。數據保護官并非GDPR的首創，早在20世紀的德國，就曾提出過數據保護官的概念，并在當時的企業中任職，但GDPR對此職位的規定，其相關的權利義務規定地更為明確。GDPR規定，數據保護官的工作內容包括，對企業提出意見和建議，需要負責監控所在企業處理數據活動的合規合法性，通過一系列方式提高員工的數據保護意識等。根據GDPR第三十八條的規定，數據保護官應當獨立行使其職權，履行其義務，不能受所雇公司意志的影響。

對于各成員國之間管理、協調可能會出現的問題，《通用數據保護條例》確定了“一站式”原則，建立了“一致性”的體系。GDPR規定歐盟一個以上成員國經營的公司只與其主要機構所在地國家的數據保護主管機構合作，這就避免了適用法律混亂的局面，保證了決策的法律確定性，極大地提高了效率。為此GDPR設立了歐盟數據保護理事會與歐盟數據保護監督局，負責落實GDPR的實施與處理用戶的投訴與意見，兩個機構與“數據保護官”形成了一套從內到外的監督管理體系。如此“一站式”監管體系，在保障了用戶個人數據安全的同時，也方便了企業的運作，一定程度上減少了企業決策的不確定性因素。

（三）《通用數據保護條例》不足

1、新概念較多，解讀難以統一

《通用數據保護條例》中存在許多新確定的權利和新設立的制度，如在第三章中提出了較多的新概念，如擦除權、數據可攜帶權、限制處理權等，但是縱觀GDPR的全文，只規定清楚了數據主體所享有的權利，并未對相關的權利概念進行詳細闡述，這就可能造成適用條件或者適用尺度的不同，進而導致法律的不確定性變大。如上文所述，即使歐盟專門設立歐盟數據保護理事會這個部門，去處理有關數據保護的工作，一些權利概念的不明確，也可能導致其部門內部對此解讀不一，若真出現此類情況，這對該部門乃至GDPR的公信力是不小的打擊。

2、權利義務的失衡，后果難料

《通用數據保護條例》實施后，其最終的實施效果如何還有待觀察，但就GDPR的內容來看，整個法案中規定的權利大多數都是數據主體的權利，法案中規定的義務大多數都是數據控制者的義務，數據控制者稍有違反GPDR，面臨的就將會是巨額的罰金。在GDPR的規定中，數據主體與數據控制者雙方的權利義務完全失衡，GDPR確實有力保障了數據主體的權利，但數據控制者是否有能力承擔如此多的義務呢？是否存在該種可能，一些中小企業，在GDPR實施后極大加重了運行的成本和負擔，導致破產倒閉？其結果我們不得而知，只能經由時間給出一個答案。

四、GDPR對我國個人信息保護啟示

（一）我國個人信息保護立法缺失

隨著社會的飛速發展，社會信息化程度不斷提高，出現了大數據、人臉識別技術等時代進步產物.在方便人們日常生活的同時，也拓寬了侵犯公民個人信息的途徑。這些都是社會進步的結果，我們不能阻止社會的進一步信息化，但是可以通過立法，保護公民的隱私不受侵犯。

就當前我國現狀，缺乏系統、較為全面地對公民個人信息進行保護，以《中華人民共和國民法典》為例，也只是在第一百一十一條、第一千零三十四條、第一千零三十五條規定了個人信息受法律保護，以及個人信息的定義與處理的原則和條件。顯然，這并不能滿足當前形勢下對公民個人信息保護的需要，我國急需一部全面、具體、能夠普遍使用，對公民個人信息有著強有力保護的法律。若不抓緊立法，容易造成在個人信息保護方面成為“規則洼地”，這不利于我國維護信息安全與科技、經濟的發展。

（二）“長臂管轄”條款缺失

在《APP收集使用個人信息最小必要評估規范總則》中，只是制定了行業標準，但未對適用地域范圍、主體作出明確規定。在《中華人民共和國網絡安全法》第二條中雖然有所規定，但較為籠統，對經營、建設、使用網絡缺乏明確的定義。

而GDPR有著較為詳細的規定與定義，在第3條地域范圍內規定到：“本條例適用于如下相關活動中的個人數據處理，即使數據控制者或者處理者不在歐盟設立”，這意味著企業即使不在歐盟境內，但只要涉及處理歐盟成員國公民的個人信息，都必須受到GDPR的約束。而中國目前現有的法律，在這方面仍存在空白，這不僅不利于保護我國公民的個人信息，還容易遭到企業的“雙重標準”。以微信國際版為例，其在隱私條款中對于中國大陸居民規定如下：“您將受微信服務條款和微信隱私政策的約束，而不受本隱私政策的約束”，而對于歐盟境內的居民則規定：“您對我們所持有的關于您的個人信息擁有某些權利，詳見下文。”顯而易見，在GDPR約束下制定出來的微信國際版隱私條款，對用戶個人信息的保護力度比微信服務條款、微信隱私政策要大得多。

（三）基礎概念定義缺失

《民法典》、《網絡安全法》、草案狀態中的《中華人民共和國個人信息保護法（二審稿）》等，都缺乏對基本概念的定義。如《個人信息保護法（二審稿）》只在第四條對個人信息進行了定義，且描述十分簡潔，對處理行為、信息處理者、信息控制者等重要概念更是只字未提。

GDPR在第4條定義中，對個人數據、處理、用戶畫像、處理者、控制者等基礎概念，進行了詳細的定義與規定，而對比我國現有相關的法律，都對相關的概念缺少詳細的定義，相關條文簡潔明了，實際上給適用法律留下了太多不確定性因素，在司法實踐中將造成法律適用的困難。

（四）法律沖突中適用法律規定缺失

我國民法典中有保護個人信息的條款，仍處于草案狀態中的個人信息保護法也有保護個人信息的條款，二者究竟是何關系？個人信息保護法是不是民法典的特別法？法律相沖突中如何適用法律？若個人信息保護法屬于特別法，這將沖擊民法典體系化立法的意義，從而影響民法典的權威。

GDPR在第二條中的第三第四款、第九十四條、第九十五條等，將與GDPR相沖突的法律法規已經列明并規定了沖突中的法律適用問題。對于與GDPR有沖突的法律條文或規則，都進行了詳細說明，或廢除相關指令，或規定某些指令不受GDPR影響。

五、個人信息侵權責任

民法典與尚未出臺的個人信息保護法，都對侵犯個人信息的行為有較為詳盡的規定，民法典第一千零三十四條規定：“個人信息中的私密信息，適用有關隱私權的規定;沒有規定的，適用有關個人信息保護的規定”，對于侵犯自然人個人信息對自然人造成的損失，可以參照侵權責任編處理。《中華人民共和國個人信息保護法（二審稿）》第六十五條更是對處罰就行了細化，處罰手段包括：責令改正、給予警告、沒收違法所得和罰款等等。

需要探討的是，侵犯個人信息是否可以適用民法典第九百九十五條的規定，筆者認為，個人信息受到侵犯是可以適用第九百九十五條的規定，即除了請求侵害人承擔民事責任外，還享有停止侵害、排除妨礙、消除危險、恢復名譽、賠禮道歉等一系列請求權。原因是民法典將隱私權與個人信息保護一起規定在人格權編中，實際上是將個人信息視作了一種人格權利益，當個人信息受到侵犯時，自然可以適用有關人格權的相關規定。