網絡空間中個人信息保護的法律途徑
—— 以《個人信息保護法》為視角

吳文博，唐 艷

（國家無線電監測中心哈爾濱監測站，黑龍江 哈爾濱 150010）

0 引言

隨著信息技術的不斷發展，個人電腦、智能手機已成為現代人生活中不可或缺的一部分。以社交平臺、電子商務平臺、外賣軟件、手機銀行等為代表的各類應用程序充斥著人們的工作與生活，為人們提供便捷、高效的服務，同時也在不斷地收集和使用人們的個人信息，有些信息涉及用戶的個人隱私，會對用戶的個人生活產生不良的影響。因此，需要制定和完善相關法律體系，來規范互聯網中公司或個人收集和使用用戶信息的行為，進而保護公民個人信息的安全。

1 網絡空間中個人信息安全存在的風險和問題

當前，網絡空間中個人信息保護存在的風險和問題主要來源于以下幾個方面。

首先，大數據的技術特性以及個人信息的收集和不當使用會為個人信息的保護帶來巨大的安全性風險[1]。一方面移動智能終端高度集成了攝像頭、GPS等傳感器和設備，使得智能終端中的軟件應用程序可以通過對相關設備及數據的調用來獲取所需要的個人信息，這無疑增加了用戶個人信息被非法使用的風險。另一方面，在“互聯網+”的時代背景下，以無線電通信技術和智能裝置為基礎的物聯網行業發展迅猛，大量可以獲得用戶圖像和信息的智能設備被接入到公網中，也增加了用戶個人信息被竊取和濫用的風險。

再者，用戶的個人信息可能會受到來自個人信息處理者以及網絡運營者的威脅。這里的個人信息處理者是《中華人民共和國個人信息保護法》（以下簡稱《個人信息保護法》）中的概念，該法中并未對其進行明確的定義，可以簡單的理解為處理個人信息的組織、個人；而《中華人民共和國網絡安全法》（以下簡稱為《網絡安全法》）第七十六條則將網絡運營者明確定義為網絡的所有者、管理者和網絡服務提供者。筆者認為個人信息處理者與網絡運營者兩個概念存在著一定的交叉，網絡運營者在為用戶提供網絡服務的過程中會涉及用戶個人信息的處理，而利用網絡從事相關業務的個人信息處理者也可能是網絡服務提供者。但無論是個人信息處理者，還是網絡運營者；一旦缺少相關法律的約束以及內部管理制度的規范，無法對公司或個人形成有效的約束，都會導致用戶的個人信息被非法的收集和使用，從而對用戶的個人信息安全產生威脅。

最后，相關法律和監管制度的不健全也是導致網絡空間中個人信息保護困難重重的重要因素。盡管，隨著我國法制進程的不斷推進，以《網絡安全法》《個人信息保護法》為代表的法律法規相繼出臺，但在司法實踐中不同法律之間的銜接還存在著一定程度的問題和不足。另外，我國現有的針對網絡和信息安全的行業標準與測評體系還不夠健全，具有信息安全測評的機構較少，這些因素都不利于用戶個人信息的保護。

2 《個人信息保護法》的主要內容

《個人信息保護法》的主要內容可分為以下幾個方面。

（1）總則。《個人信息保護法》第一章為總則，交待了該法相關的一些基本問題。首先，根據“屬地管轄”與“保護管轄”的原則，確定了該法的適用范圍；即無論是在中華人民共和國境內還是境外，只要是處理境內自然人個人信息的活動，就適用于本法。其次，該法在第四條中對個人信息以及個人信息處理的范圍進行定義[2]；個人信息是指除匿名化處理的信息以外，任何與已識別或可識別的自然人有關的信息，這類信息通常以電子形式為主；而個人信息的處理主要是指對個人信息的收集、存儲、使用、加工、傳輸等各類活動。最后，該法規定了個人信息處理者在處理個人信息的過程中，應遵循誠信原則、最小影響原則、最小范圍原則、公開透明原則等基本原則，以規范個人信息處理者的行為，防止對公民個人信息的過度收集，從而保護公民的個人信息安全。

（2）個人信息處理規則。《個人信息保護法》第二章為個人信息處理規則，該部分由一般規定、敏感個人信息的處理規則、國家機關處理個人信息的特別規定三部分組成，而“個人信息處理者的告知義務、個人的知情與同意”始終是個人信息處理的核心[3]。一般規定中，首先明確了個人信息處理者處理個人信息的條件，即需要個人的同意，但在履行合同、應對突發事件、為公共利益實施等特殊條件下，也可以無須個人同意；其次，個人信息處理者需嚴格履行告知義務，需以顯著、易懂、準確、完整的方式向個人告知——自身名稱及聯系方式、個人信息處理的目的、方式以及保存期限，乃至個人行使自身權利的方式和程序；再者，該法嚴格限制了個人信息的流轉，不僅共同處理個人信息的個人信息處理者需承擔連帶責任，個人信息處理者在委托他人處理個人信息、受托人的轉委托以及自身的合并、分立、解散等條件下都有嚴格的法律程序予以限制；最后，對于“大數據殺熟”以及“公共場所個人信息安全”等社會公眾關心的熱點問題，該法在第二十四條、二十六條也有明確的規定以保護個人信息的安全。敏感個人信息的處理規則中，首先對敏感個人信息進行定義，即可能導致人格尊嚴以及人身、財產安全受到危害的個人信息——如生物信息、宗教信仰、身份信息、健康信息、金融賬戶信息等以及不滿十四周歲未成年人的個人信息等；考慮到敏感信息的特殊性，該法對于敏感個人信息的處理更為謹慎，不僅需要個人信息處理者履行更為嚴格的告知義務，也需要在處理個人信息時得到個人更高的授予權限，因此需要個人的單獨同意甚至是書面同意；出于對未成年人權益的特殊保護，個人信息處理者在處理不滿十四周歲未成年人信息時需取得其監護人的同意，并制定專門的處理規則。對于處理個人信息的國家機關，也應嚴格履行相應的告知義務，依法、依規開展個人信息處理活動，不能超越法定職責的范圍與限度，對于向境外提供的個人信息還應進行必要的安全評估。

（3）個人信息跨境提供的規則。《個人信息保護法》第三章為個人信息跨境提供的規則，該法對于個人信息的跨境提供行為有著嚴格的法律規定，不僅體現了大數據時代下的國家數據主權，也切實維護了公民個人信息安全乃至國家安全。個人信息處理者若向境外提供個人信息需滿足國家網信部門的安全評估、專業機構的個人信息保護認證、按照國家網信部門制定的標準合同與境外接收方簽訂合同等條件之一；個人信息處理者向境外提供個人信息需履行更為嚴格的告知義務并取得個人的單獨同意；關鍵信息基礎設施運營者以及處理個人信息達到規定數量的個人信息處理者，其在境內收集和產生的個人信息均應存儲在境內；對于侵害我國公民個人信息權益、危害國家安全和公共利益的組織和個人，可列入限制或禁止提供個人信息清單，而對于其他國家或地區歧視性的限制或禁止措施，我國也可根據實際情況采取相應的反制措施。

3 網絡空間中《個人信息保護法》的實現途徑

不同于《網絡安全法》以及《數據安全法》中針對網絡空間中個人數據及信息安全的保護規定較為籠統、零散，《個人信息保護法》作為專門保護公民個人信息安全的國家法律，對于網絡空間中個人信息的保護具有重要意義。

首先，在當今“互聯網+”的時代背景下，信息技術高速發展，現如今公民的個人信息主要是以電子形式存在的，而基于電子形式的個人信息更易于在網絡空間中進行流轉。人們在使用互聯網并獲得各類便捷的互聯網服務的同時，也可能成為個人信息收集和使用的對象；而所有處理人們個人信息的公司及個人都可以被稱作個人信息處理者，無論其處于境內還是境外，均受《個人信息保護法》所約束；這也充分體現了國家對于網絡空間中公民信息安全的保護。而最小影響原則、最小范圍原則等法律原則的規定，更是嚴格限制了個人信息處理者處理個人信息的范圍，從源頭上減少可能對公民個人造成不良影響的風險，而網信辦等部門聯合發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》就是這類原則在網絡空間中個人信息保護的具體體現。

其次，《個人信息保護法》強化了個人信息處理者的告知義務以及公民對個人信息處理的決定權，而“個人信息處理者的告知義務、個人的知情與同意”作為個人信息處理的核心，尤其是對移動互聯網應用程序中個人信息的保護具有重要意義。通常人們在開始使用各類移動互聯網應用程序時，都需要與應用程序提供者簽署《用戶服務協議》以及《隱私政策》等文件后方可進行使用；而對用戶不利的規定很可能就隱藏在眾多復雜、晦澀的格式條款中，個人用戶很難識別其中存在的陷阱和漏洞；這也使得用戶更傾向于同意相關的協議要求，以獲得自身對于應用程序的使用及相關便利。該法通過對個人信息處理者告知義務的強化，使得個人用戶能夠清楚地了解相關個人信息的收集范圍以及可能產生的不良影響，進而做出是否接受相關個人信息處理的決定，這也體現了該法對網絡空間中用戶知情權和決定權的保護作用。

其三，《個人信息保護法》針對網絡空間中基于個人信息的自動化決策以及“大數據殺熟”行為進行嚴格的規范與約束。該法第二十四條中不僅明確禁止個人信息處理者在自動化決策中，對于個人交易價格等交易條件實行不合理的差別待遇；而且要求個人信息處理者在利用自動化決策方式進行商業營銷及信息推送的同時，提供不針對個人特征的選項以及便捷的拒絕方式；這些規定不僅有利于保護電子商務中個人用戶的公平交易權，更有利于實現對個人用戶隱私權等人格尊嚴權的保護，避免用戶受到各類營銷短信、電話以及郵件信息的騷擾。

其四，《個人信息保護法》在第五十八條重點強調了提供重要互聯網服務、用戶量巨大、業務類型復雜的規模個人信息處理者的責任和義務。不僅要求該類個人信息處理者建立和完善個人信息保護的內部管理制度和流程，還需要引入第三方獨立機構進行個人信息保護情況的監督，并強化了互聯網平臺提供者對于平臺內產品或服務提供者的監督與管理責任。以電子商務平臺和互聯網金融平臺為例，這類平臺有義務對其平臺內產品或服務的提供者如非自營店鋪、保險公司等處理個人信息的行為進行監督和管理；用戶個人也可以針對平臺內產品或服務提供者違規處理個人信息的行為向互聯網平臺提供者進行投訴、舉報，互聯網平臺應及時進行處理，從而保護用戶個人信息的安全。

最后，《個人信息保護法》明確了相關監管部門保護個人信息的責任與義務；通過組織開展應用程序對個人信息保護的測評工作，建立針對小型個人信息處理者、敏感個人信息以及人臉識別、人工智能等新技術的個人信息保護規則、標準，進行電子身份認證技術等新技術的研究、應用和推廣；從技術層面上，降低網絡空間中個人信息受到不法侵害的風險，從而保護用戶個人的合法權益。

4 結束語

信息技術的不斷發展、物聯網技術和設備的廣泛應用，急劇增加了網絡空間中威脅個人信息安全的外部風險；而網絡空間中某些不法個人信息處理者，甚至將收集和處理的個人信息作為自身謀取非法利益的工具，更加劇了個人信息被竊取和濫用的風險。《中華人民共和國個人信息保護法》作為一部專門針對公民個人信息保護的國家法律；強化了個人信息處理者的告知義務以及公民對個人信息處理的決定權；嚴格規范和約束基于個人信息的自動化決策以及“大數據殺熟”行為；加強互聯網平臺提供者對其平臺內產品或服務的提供者的監督與管理職責；明確相關監管部門在應用程序的測評，敏感信息以及新技術等規則、標準的制定等多方面的責任和義務；通過多種途徑，實現對網絡空間中公民個人信息安全的保護，對于保護公民對其個人信息處理的知情權、決定權以及隱私權等人格尊嚴權具有重要意義。