運用技術(shù)加強個人信息保護(hù)的路徑探究

摘 要：隨著互聯(lián)網(wǎng)和數(shù)字技術(shù)的發(fā)展，個人信息保護(hù)問題受到我國社會與學(xué)界的廣泛關(guān)注。本文通過研究發(fā)現(xiàn)，對個人信息權(quán)益法律理論的討論、網(wǎng)絡(luò)規(guī)制的特殊性以及商業(yè)競爭對個人數(shù)據(jù)的爭奪，都阻礙了網(wǎng)絡(luò)空間中個人信息的保護(hù)。對此，提出全過程加強個人信息保護(hù)、硬件安全架構(gòu)保護(hù)個人敏感信息等解決路徑，旨在為運用技術(shù)加強我國網(wǎng)絡(luò)空間個人信息保護(hù)提供思路。

關(guān)鍵詞：個人信息保護(hù)；網(wǎng)絡(luò)空間；數(shù)字技術(shù)

中圖分類號：D923；D922.16文獻(xiàn)標(biāo)識碼：A 文章編號：1672-8122（2024）08-0019-04

一、引 言

隨著互聯(lián)網(wǎng)的發(fā)展，個人信息保護(hù)問題引起了社會與學(xué)界的廣泛關(guān)注，許多國家都針對個人數(shù)據(jù)保護(hù)出臺了相關(guān)法規(guī)。2021年11月1日，我國正式施行《中華人民共和國個人信息保護(hù)法》，表明了對個人信息保護(hù)的重視。然而，網(wǎng)絡(luò)空間中個人信息保護(hù)仍存在許多待明確的問題，其面臨的困境與解決路徑有待研究。

二、我國對于個人信息的定義與相關(guān)法規(guī)

我國于2021年1月1日正式施行的《中華人民共和國民法典》，對個人信息的范圍做出了明確界定，第一千零三十四條：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。第一百一十一條：自然人的個人信息受法律保護(hù)。任何組織或者個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。該法條明確了自然人的個人信息受到法律保護(hù)。

另外，2021年11月1日起施行的《中華人民共和國個人信息保護(hù)法》，第一條明確指出，為了保護(hù)個人信息權(quán)益、規(guī)范個人信息處理活動，促進(jìn)個人信息合理利用，根據(jù)憲法制定本法。其中，對于個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為做出了明確規(guī)定。在總則中，明確了個人信息處理應(yīng)當(dāng)遵循合法、正當(dāng)、必要和誠信原則以及公開、透明原則，處理個人信息應(yīng)當(dāng)具有明確、合理的目的，不得過度收集，不得非法收集、買賣、公開個人信息，不得從事危害國家安全、公共利益的個人信息處理活動。在第六十九條中，明確侵害個人信息權(quán)益造成損害的，將承擔(dān)侵權(quán)責(zé)任。高富平等學(xué)者認(rèn)為，該法規(guī)在明確個人信息權(quán)益的同時，證明個人信息權(quán)益具備了民法上的意義[1]。

三、個人信息權(quán)益保護(hù)面臨的困境

（一）個人信息的法理之爭

互聯(lián)網(wǎng)中的所有信息都是以“Byte（字節(jié)）”為基本單位存儲、傳輸與利用的，這當(dāng)然也包括所有涉及某特定自然人的信息。因此，在互聯(lián)網(wǎng)中，數(shù)據(jù)即信息，控制了數(shù)據(jù)就代表得到了信息。數(shù)據(jù)在硬件上需要依靠存儲設(shè)備、網(wǎng)絡(luò)傳輸設(shè)備、計算機等基礎(chǔ)設(shè)施，在軟件上需要借助計算機操作系統(tǒng)以及代碼等軟件環(huán)境才能得以儲存和傳輸。因此，部分學(xué)者認(rèn)為，以數(shù)據(jù)形式展現(xiàn)的個人信息不能作為民事客體看待。學(xué)者梅夏英認(rèn)為，數(shù)據(jù)本身不具有獨立的經(jīng)濟價值，它依賴于載體、代碼和其他諸種要素才能發(fā)揮工具性作用；數(shù)據(jù)不具備民事客體的確定性、獨立性，也不構(gòu)成無形物，并且不契合實體權(quán)力表彰功能，因而數(shù)據(jù)有非客體性[2]。

但是，在以數(shù)據(jù)形式存儲的個人信息中，通常存在包含個人隱私的敏感信息，符合《中華人民共和國民法典》中對隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息的定義范圍。對于這部分個人信息的不當(dāng)使用，可能造成對他人隱私權(quán)的侵犯。從這個角度來看，至少數(shù)據(jù)形式存儲的個人信息中的部分內(nèi)容需要法律法規(guī)進(jìn)行保護(hù)，并且要將其作為民事權(quán)利客體來看待。

另外，學(xué)界對于個人信息權(quán)的法律屬性定義眾說紛紜。學(xué)者葉名怡將個人信息權(quán)的學(xué)理之爭總結(jié)為八種觀點，除前文提到的個人信息權(quán)否定說之外，還包括基本權(quán)利與自由說、物權(quán)或所有權(quán)說、隱私權(quán)說、一般人格權(quán)說、人格權(quán)兼財產(chǎn)權(quán)說、框架權(quán)說以及具體人格權(quán)說[3]。學(xué)者楊芳認(rèn)為，個人信息保護(hù)法的前置法和預(yù)防法定位，其目的不是為了建立一種新的個人權(quán)益，而是保護(hù)個人既有的權(quán)利不遭受損失。可見，學(xué)界對個人信息權(quán)的歸屬尚未形成共識，對于個人信息權(quán)是否權(quán)利化、如何權(quán)力化尚未形成較統(tǒng)一的認(rèn)識，有關(guān)個人信息的權(quán)益保護(hù)法律理論還需要更多研究和討論。

（二）網(wǎng)絡(luò)空間規(guī)制的技術(shù)底色

勞倫斯·萊斯格在其著作《代碼2.0：網(wǎng)絡(luò)空間中的法律》中提到：“在現(xiàn)實空間里，我們可以理解法律的規(guī)制機理———通過憲法、法律及其他規(guī)范性文件來規(guī)制。在網(wǎng)絡(luò)空間中，我們必須理解代碼的規(guī)制機理———那些造就網(wǎng)絡(luò)空間的軟件和硬件如何來規(guī)制該空間。正如威廉·米切爾所言，代碼就是網(wǎng)絡(luò)空間的‘法律’”[4]。在信息法學(xué)研究中，“代碼就是法律”這一概念最早由約耳·雷登伯格提出，他認(rèn)為在網(wǎng)絡(luò)空間中，代碼像法律一樣發(fā)揮規(guī)制互聯(lián)網(wǎng)的作用，并且與社群規(guī)范、法律、市場一起構(gòu)建了網(wǎng)民在網(wǎng)絡(luò)空間中的生存環(huán)境。

互聯(lián)網(wǎng)中的一切都是以二進(jìn)制代碼形式存在的，只有通過操作系統(tǒng)和軟件代碼才能將其轉(zhuǎn)換為人們普遍理解的信息，代碼在網(wǎng)絡(luò)世界中擁有強大的力量。這意味著在網(wǎng)絡(luò)空間中，任何規(guī)制行為都擁有較強的技術(shù)性，需要依賴技術(shù)來執(zhí)行，具體到個人信息保護(hù)也不例外，相關(guān)法條、規(guī)定以及協(xié)議最終都需要通過代碼來發(fā)揮作用。例如，歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》中明確了個人數(shù)據(jù)處理相關(guān)規(guī)定，要求企業(yè)和機構(gòu)通過修改數(shù)據(jù)管理系統(tǒng)代碼，以達(dá)到合規(guī)。互聯(lián)網(wǎng)的技術(shù)性使得現(xiàn)實世界中常用的法律監(jiān)督體制難以直接應(yīng)用于互聯(lián)網(wǎng)，如果要做到有效的個人信息保護(hù)，就需要監(jiān)管部門、公檢法系統(tǒng)和專業(yè)技術(shù)人員的協(xié)同配合。馮登國、張敏等學(xué)者認(rèn)為，在大數(shù)據(jù)時代，只能通過技術(shù)與政策法規(guī)相結(jié)合，才能實現(xiàn)對于個人數(shù)據(jù)的保護(hù)[5]。

（三）商業(yè)競爭對個人信息的爭奪

佩德羅·多明戈斯在其著作《終極算法：機器學(xué)習(xí)和人工智能如何重塑世界》中，對數(shù)據(jù)和商業(yè)機構(gòu)之間的關(guān)系做出了解釋：“在當(dāng)今世界中，誰有最佳的算法，數(shù)據(jù)最多，誰就能贏”[6]。筆者將其擴展解釋為，一切利用數(shù)據(jù)以及算法的商業(yè)體，在面對競爭時都選擇優(yōu)化自己的算法，因為更優(yōu)秀的算法對用戶和商品更準(zhǔn)確地預(yù)測，意味著更低的成本和更高的效益。這充分體現(xiàn)商業(yè)體對于個人數(shù)據(jù)有廣泛的需求，并且隨著競爭的激烈，這種需求將會持續(xù)加強。除互聯(lián)網(wǎng)公司外，傳統(tǒng)行業(yè)也在進(jìn)行數(shù)字化轉(zhuǎn)型，各大企業(yè)已經(jīng)將數(shù)據(jù)視為一種戰(zhàn)略資源，他們的目標(biāo)是在收集更多數(shù)據(jù)的同時避免被競爭者收集自己擁有的數(shù)據(jù)。這種競爭隱蔽且激烈，例如，近年發(fā)生的華為與騰訊的個人數(shù)據(jù)爭端[7]。在類似的商業(yè)競爭中，個人數(shù)據(jù)面臨前所未有的、由商業(yè)利益與市場競爭壓力驅(qū)動的隱私危機。

在這種競爭下，用于獲取用戶個人數(shù)據(jù)的技術(shù)發(fā)展迅速，例如，在誕生之初僅僅用于搜索引擎的網(wǎng)絡(luò)爬蟲技術(shù)，近年來已經(jīng)被應(yīng)用于收集用戶個人數(shù)據(jù)。學(xué)者丁曉東在針對網(wǎng)絡(luò)爬蟲對個人數(shù)據(jù)抓取的研究中提出，網(wǎng)絡(luò)爬蟲對個人信息的抓取存在侵犯個人數(shù)據(jù)的風(fēng)險，同時，個人數(shù)據(jù)的歸屬權(quán)也存在爭議，學(xué)界尚未統(tǒng)一認(rèn)定個人數(shù)據(jù)應(yīng)該歸屬于個人、平臺還是公共所有[8]。商業(yè)競爭中，如何維持市場發(fā)展的活力與個人信息保護(hù)之間的平衡，需要我們進(jìn)一步探索。

四、運用技術(shù)加強個人信息保護(hù)的路徑

（一）全過程加強個人信息保護(hù)

數(shù)字時代，技術(shù)是保證個人信息安全的核心。要保證個人信息被安全、合理地使用，保護(hù)用戶的個人信息權(quán)益，就要在信息收集、存儲、使用、加工、傳輸、提供、公開、刪除全過程加強個人信息保護(hù)。

1.收集。個人信息收集環(huán)節(jié)，首先，要保證信息收集的公開性，數(shù)據(jù)處理平臺應(yīng)明確個人信息收集的范圍、使用渠道、留存期限、保密協(xié)議等，并在收集用戶個人信息前及時、明確地告知用戶，保證數(shù)據(jù)來源者的知情權(quán)，維護(hù)數(shù)據(jù)收集的合理性原則。其次，要在智能手機、個人電腦等設(shè)備的操作系統(tǒng)交互界面設(shè)置個人信息保護(hù)程序，在互聯(lián)網(wǎng)服務(wù)提供者獲取個人信息時給予用戶決定權(quán)，并在后續(xù)使用中實時顯示個人信息是否被采集。

2.存儲與傳輸。網(wǎng)絡(luò)傳輸階段，尤其在傳輸涉及醫(yī)療、生物特征等敏感信息時，數(shù)據(jù)處理方應(yīng)具備必要的加密措施，以應(yīng)對可能發(fā)生的數(shù)據(jù)包竊取問題。數(shù)據(jù)存儲則需要建立完善的網(wǎng)絡(luò)防火墻，以保證數(shù)據(jù)安全。但是，近年來發(fā)生的多起數(shù)據(jù)庫泄露事件中，不僅有外部黑客攻擊，還有內(nèi)部員工泄密。因此，在完善數(shù)據(jù)庫軟件防護(hù)體系的同時，還要建立完善的管理制度。《中華人民共和國個人信息保護(hù)法》第五十一條明確規(guī)定，個人信息處理者有采用相應(yīng)的加密、去標(biāo)識化等安全措施的義務(wù)。根據(jù)GoUpSec發(fā)布的《2023年數(shù)據(jù)泄露事件盤點》，2023年，數(shù)據(jù)泄露事件廣泛發(fā)生于科技公司、數(shù)碼產(chǎn)品生產(chǎn)商、汽車制造商、手機制造商、門戶網(wǎng)站和航空服務(wù)商等行業(yè)[9]。數(shù)據(jù)竊取已經(jīng)形成非法產(chǎn)業(yè)鏈，各個行業(yè)和機構(gòu)要進(jìn)一步加強數(shù)據(jù)安全工作。

3.使用與加工。數(shù)據(jù)處理方應(yīng)嚴(yán)格執(zhí)行必要的去標(biāo)識化和去匿名化程序，并在數(shù)據(jù)使用環(huán)節(jié)嚴(yán)格遵守合理性原則，采用對個人權(quán)益影響最小的方式，包括但不限于年齡驗證時只提取需要的年齡信息、電子支付時只調(diào)用支付信息等。

4.提供、公開與刪除。信息處理方應(yīng)保證信息來源者擁有查閱個人信息的權(quán)力，并履行更改不實信息的義務(wù)；允許用戶決定個人信息的公開范圍與時間，并保證用戶擁有刪除自己已存儲的個人信息的權(quán)力，即“被遺忘權(quán)”。何培育將“被遺忘權(quán)”定義為：“數(shù)據(jù)主體享有的數(shù)據(jù)被遺忘的權(quán)力，不僅是為數(shù)據(jù)主體所遺忘，也是為他人甚至整個社會而遺忘。”[10]

綜上所述，實現(xiàn)個人信息保護(hù)，要以法律保護(hù)為基礎(chǔ)，以代碼為規(guī)制手段，使個人信息處理的全過程符合《中華人民共和國個人信息保護(hù)法》中提及的基本原則，在保證被采集者知情權(quán)的基礎(chǔ)上，將對被采集者的影響控制到最小，并以數(shù)字協(xié)議的方式保證個人信息權(quán)益。

（二）硬件安全架構(gòu)保護(hù)個人敏感信息

《中華人民共和國個人信息保護(hù)法》中，將個人信息分為一般個人信息與敏感個人信息，第二十八條明確指出：敏感個人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息，只有在具有特定的目的和充分必要性，并在采取嚴(yán)格措施保護(hù)的情形下，個人信息處理者方可處理敏感個人信息。

學(xué)者黃子芮綜合國內(nèi)外學(xué)者對于個人敏感信息的研究，采用量化統(tǒng)計的方式得出我國個人敏感信息的主要類型為：1.個人健康信息、個人財產(chǎn)信息、個人信用評級、犯罪記錄、受害人記錄；2.個人生物識別信息；3.個人身份識別信息；4.私人文件、個人通訊資料；5.精確地理位置[11]。

針對個人健康信息、個人財產(chǎn)信息、個人信用評級、犯罪記錄以及受害人記錄，即前文中提及的第一類敏感信息，由于涉及醫(yī)療系統(tǒng)、銀行金融系統(tǒng)、公檢法系統(tǒng)，并且不同區(qū)域不同單位之間需要查詢共享，所以適合建立不接入互聯(lián)網(wǎng)的局域網(wǎng)數(shù)據(jù)庫，以內(nèi)部網(wǎng)絡(luò)系統(tǒng)的方式抵御信息泄露，以物理隔絕的方式保護(hù)個人敏感數(shù)據(jù)。對于以上信息的查詢、修改等操作，應(yīng)以內(nèi)部日志的方式記錄，以建立權(quán)責(zé)對應(yīng)的管理制度。

針對個人生物識別信息，我國學(xué)者褚婧一提出，以“只識別+直接識別”的標(biāo)準(zhǔn)來規(guī)定個人生物識別信息的類別，包括個人基因、聲紋、掌紋、指紋、面部識別特征等[12]。指紋、面部識別特征以及虹膜等個人生物識別信息，常作為設(shè)備解鎖、支付和敏感信息查看等功能的驗證手段，對于這些信息，要通過硬件安全模塊和本地加密的方式進(jìn)行存儲和保護(hù)。以智能手機行業(yè)為例，華為利用TEE智能微內(nèi)核，通過形式化方法，從硬件層次管控允許訪問個人敏感信息的設(shè)備以及允許訪問的數(shù)據(jù)量。

針對個人身份識別信息、個人文件以及通訊記錄、精確地理位置信息，則要在收集時給予個人數(shù)據(jù)提供者實時提醒，在獲得權(quán)限許可的情況下，明確使用的時間和范圍。

五、結(jié) 語

《中華人民共和國民法典》以及《中華人民共和國個人信息保護(hù)法》中對自然人的個人信息權(quán)益及保護(hù)做出了完善的闡述，并明確了法律層面對于公民個人信息權(quán)益的保護(hù)。但是，由于網(wǎng)絡(luò)規(guī)制中以代碼作為執(zhí)行手段的特殊性質(zhì)，以及市場競爭驅(qū)使商業(yè)爭奪用戶數(shù)據(jù)等原因，網(wǎng)絡(luò)空間中的個人信息權(quán)益保護(hù)仍然存在一些問題。為了平衡個人信息保護(hù)與信息流通便利性，還要依靠政府機關(guān)、商業(yè)平臺、用戶社群等相關(guān)方的共同努力。

參考文獻(xiàn)：

[1] 高富平，李群濤.“個人信息權(quán)益”的民法新定位[J].東岳論叢，2023，44（6）：166-176.

[2] 梅夏英.數(shù)據(jù)的法律屬性及其民法定位[J].中國社會科學(xué)，2016（9）：164-183+209.

[3] 葉名怡.論個人信息權(quán)的基本范疇[J].清華法學(xué)，2018，12（5）：143-158.

[4] 勞倫斯·萊斯格.代碼2.0：網(wǎng)絡(luò)空間中的法律[M].李旭，沈偉偉，譯.北京：清華大學(xué)出版社，2018.

[5] 馮登國，張敏，李昊.大數(shù)據(jù)安全與隱私保護(hù)[J].計算機學(xué)報，2014，37（1）：246-258.

[6] 佩德羅·多明戈斯.終極算法：機器學(xué)習(xí)和人工智能如何重塑世界[M].黃芳萍，譯.北京：中信出版集團股份有限公司，2017.

[7] 周源.華為騰訊沖突再次凸顯中國個人數(shù)據(jù)保護(hù)立法空白[EB/OL].http：//finance.sina.com.cn/review/jcgc/2017-08-06/doc-ifyitamv5938604. shtml，2017-08-06.

[8] 丁曉東.數(shù)據(jù)到底屬于誰？———從網(wǎng)絡(luò)爬蟲看平臺數(shù)據(jù)權(quán)屬與數(shù)據(jù)保護(hù)[J].華東政法大學(xué)學(xué)報，2019，22（5）：69-83.

[9] GoUpSec.2023年數(shù)據(jù)泄露事件盤點[EB/OL].https：//www.goupsec.com/news/15200.html，2023-12-22.

[10] 何培育，林穎.論數(shù)字時代個人信息的“被遺忘權(quán)”[J].現(xiàn)代情報，2016，36（12）：24-29.

[11] 黃子芮.個人敏感信息的界定及處理規(guī)則[D].北京：中國人民公安大學(xué)，2022.

[12] 褚婧一.論生物識別信息界定中的識別標(biāo)準(zhǔn)及我國的建構(gòu)[J].華中科技大學(xué)學(xué)報（社會科學(xué)版），2023，37（4）：85-97.

[責(zé)任編輯：喻靖雯]