申卫星 | 个人信息“裸奔”的时代将要结束了_风闻

人类社会的发展先后经历了农业时代、工业时代，如今我们正身处信息化时代。信息时代中，数字经济成为经济增长的新引擎，在给人类社会带来前所未有的历史性机遇的同时，也对个人信息权益产生了威胁和侵害，由此催生了对个人信息保护的关切，平衡个人信息保护与有序自由流动成为新制度的核心诉求。通过法规等政策工具，将个人信息侵害的负面效应降低到最小，防范信息滥用风险已经成为各国法规制定的主旋律。

2020 年10 月21 日，《个人信息保护法（草案）》（以下简称《草案》）作为我国个人信息保护领域的第一部专门性立法，公开征求意见，这部法律将给我国数字经济发展和全球互联网治理带来深远影响。《草案》第1 条明确本法的立法目的是“保护个人信息权益、规范个人信息处理、保障个人信息依法有序流动和促进个人信息合理利用”，旨在通过系统性、针对性和可操作性的完备制度构建，为大数据时代的国际个人信息保护提供中国方案和中国智慧。本文将聚焦于个人信息保护法的立法目的，探讨《草案》对我国数字经济发展的时代影响。

保护个人信息权益，构建个人信息权利体系

在《民法典》的立法过程中关于个人信息的规定一直存在着“民事权利说”与“民事利益说”两种不同的看法，虽曾存在过“个人信息权”的提法，但是最终《民法典》仅规定“自然人的个人信息受法律保护”，没有将个人信息上升为一项民事权利，而是将其定位为一种受保护的人格权益予以规范。从《草案》第四章的标题“个人在个人信息处理活动中的权利”可以看出，《草案》继续将个人信息作为一种民事权益进行保护，和《民法典》保持了相对的统一。

与《民法典》相比，《草案》扩大了个人信息的外延，将“与自然人有关的各种信息”都囊括进个人信息的范畴，进而扩充了个人信息权益的范围。随着大数据技术的不断发展，个人信息与非个人信息的界限越来越模糊，且相互转化越来越容易，这种扩展回应了因技术进步而带来的个人信息权益保护的需要，有利于为个人信息权益提供更加充分的保护基础，同时也为未来可能出现的各种信息保持了开放性和包容性。随着个人信息范围的扩大，信息类型日益多样化，应用场景也日益丰富和细化，不同信息的正当价值和安全风险不同，分级分类成为了个人信息保护的基本思路。《草案》第二章第二节专门规范敏感个人信息的处理规则，对一旦泄露或者非法使用, 可能导致个人受到歧视或者人身、财产安全受到严重危害的个人敏感信息苛以更加严格的处理规则，要求信息处理者应取得个人的单独同意，告知处理的必要性和对个人的影响，且具有特定的目的和充分的必要性才可以处理此类信息。

将个人信息进行聚合能产生较大的经济价值，个人信息的保护和利用模式直接影响数字产业经济的发展。因此，如何确定信息主体的权利边界，如何在保护个人信息的同时令其“物尽其用”，造福于社会发展，是各国个人信息保护立法的重要课题。通过赋予信息主体数据权利，从“增量”和“减量”两个方面增强信息主体对个人信息的主动性，是本次个人信息保护立法的一个重点。《草案》第四章规定个人在个人信息处理活动中的权利，不仅包括知情、决定、查阅、复制、要求对规则解释说明等加强对信息内容了解的部分，也包括限制、拒绝、更正、补充、删除等精细化个人信息内容的权利。整体而言，《草案》对个人信息保护内容的规定与欧盟《通用数据保护条例》（GDPR）有着很多相似之处，体现了我国个人信息保护法的国际视野，构建起了中国版本的个人信息权利保护体系。但是鉴于我国当前的技术发展水平和法治保障水平，有一些个人信息权并没有体现在《草案》中，例如数据可携带权，这值得在理论和实践中进一步研究和考证。

规范个人信息处理，维护网络空间

良好生态

各国个人信息保护制度产生之初，往往和传统隐私保护制度相互交织，两个概念也常常相互混用，因为隐私权的保障确实是个人信息保护的主要目的和逻辑前提。但是20 世纪60—70 年代，随着计算机技术的不断发展，传统消极被动的、主要防范信息不被非法披露的隐私制度，无法给强调社会交往功能的个人信息提供全面的保护。以美国学者艾伦· 威斯汀为代表的关于隐私控制理论与知情同意理论的提出，影响了20世纪70 年代各国的隐私政策方向。由此为应对信息日益数字化而发展形成了一套公平信息实践的原则，强调个人对信息的控制和数据处理的程序保障。各国开始了个人信息领域的相关立法，对个人信息的收集和利用加以规范，以弥补传统隐私权保护的不足，保护个人对信息的支配和自主决定以及个人对信息传播的利益。

相较于传统隐私保护，个人信息保护与利用所涉及的利益主体与利益内容更加多元化，既包括了信息主体的人格尊严和人身自由利益，也包括信息处理者所代表的产业视角下对商业价值的追求，还包含了推进社会安全、管理和福利所蕴含的社会公共利益和国家数字利益。个人信息保护的对象并不局限于已存在的秘密信息，而是广泛表现为社会交往中个人信息挖掘加工过程中产生的各种信息权益。从《民法典》开始，我国就明确区分了隐私权保护与个人信息保护制度，我国语境下的隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。我国隐私在内容上无法涵盖全部个人信息，没有像美国那样通过扩张隐私权的外延来实现对个人信息的保护。制定专门的法律协调个人信息保护与利用的需求冲突，借助立法实现多元利益衡平，成为推动数字经济良性互动和维护网络空间良好生态的重要举措。

《草案》第一章规定了个人信息处理的基本原则，用以指导个人信息处理活动，身负提纲挈领之重任，为个人信息处理提供了基础。《草案》将“合法、正在、必要”原则予以具体化，明确采用合法、正当的方式，遵循诚信原则，坚持目的明确、数据最小化要求，做到公开、透明处理个人信息，并保护个人信息准确、及时更新。考虑到信息处理的多种可能场景及多元的正当利益平衡，相比于《民法典》第1036 条，《草案》第13 条扩大了个人信息处理的合法性基础，在信息主体的同意之外，还规定了五类个人信息处理的合法基础，包括订立合同所必需、履行法定职责或法定义务所必需、紧急情况下保护自然人生命健康和财产安全所必需、为公共利益实施新闻报道和舆论监督等行为等。在处理个人信息的各项合法性基础中，尽管对用户同意原则的质疑和反思从未停止，但不可否认的是，以用户的知情、同意、选择、控制为核心来建构整体个人信息保护制度，以对抗强大的商业组织和政治力量的模式，其必要性取得了大多数人的共识，且在可见的未来，其他情形都难以撼动同意原则的主流和基础地位。《草案》区分不同情形对同意作出不同要求，包括明示同意、单独同意、书面同意、重新同意等，实现了对不同个人信息种类有针对性的要求。但不能仅限于考虑私权的保护，个人信息保护还有其他维度的目标，比如安全和公共利益的诉求，从这个角度看，《草案》对公共利益、公共健康、研究目的等例外情形在个人信息处理规则的规范中还有所欠缺。我国个人信息保护立法需要在未来超越严格、机械的同意模式，秉持对数字经济时代更加友好和开放的态度，保持规则的动态和弹性，建立起符合整体价值目标的多重利益平衡制度。

保障个人信息依法有序的流动，保障网络强国和数字中国建设

仅通过赋予个人以新型信息权利的方式难以周延地保证个人信息的治理实效，因此《草案》同时规定了系统化的保护措施规范个人信息处理活动，通过发挥多元治理的协同效用确保个人信息处理活动规范化和数字经济发展秩序。为保障个人信息依法有序流动，改善当前我国个人信息保护领域“九龙治水”的局面，《草案》第六章规定了履行个人信息保护职责的部门，授权国家网信部门“统筹协调个人信息保护工作和相关监督管理工作”的职责，同时授权网信部门和履行个人信息保护职责的部门调查、处理违法活动、制定个人信息保护相关规则、对涉嫌违法个人信息处理活动进行调查和实施现场检查、查封或扣押设备物品等系列权力，做好个人信息保护和监督管理工作。《草案》还规定了履行个人信息保护职责的部门和国家网信部门对侵害众多个人权益的情形，可以提起公益诉讼。

《草案》同时注重发挥个人信息处理者自治的功能，第51 条规定，当处理个人信息数量达到一定程度时，信息处理者应当指定个人信息保护的负责人，负责监督信息保护措施，并公开负责人的姓名、联系方式等。《草案》第53 条确立了个人信息处理的审计制度，要求个人信息处理者应当定期对其个人信息处理活动、采取的保护措施等是否符合法律、行政法规的规定进行审计。第54 条还规定了风险事先评估制度，不仅明确了事先风险评估的必要，还对风险评估的核心内容作出规定，包括个人信息的处理目的、处理方式等是否合法、正当、必要；对个人影响及风险程度；所采取的安全保护措施是否合法、有效并与风险程度相适应。《草案》还进一步完善了数据泄露通知制度，要求个人信息处理者发现个人信息泄露的，应当立即采取补救措施，并通知履行个人信息保护职责的部门和个人，并对通知事项作出明确，包括泄露的原因、种类、可能造成的危害、已采取的补救措施、处理者的联系方式等。《草案》同时对个人信息处理者的数据权益进行整体考量，规定如果采取措施能够有效避免信息泄露造成损害的，可以不通知个人信息主体。

世界经济数字化转型是大势所趋，加快信息化发展，建设数字国家已经成为全球各国共识。随着全球数字化程度的加深，跨境信息流动规模呈指数级增长，如何通过国际合作的机制与制度创新，平衡数据跨境流动的客观需求与各国数据制度差异性之间的内在张力，成为摆在各国面前的难题。个人信息保护规则的制定，要求在不损害我国公民个人信息保护的前提下，为数据在国际范围内的流通提供便利。《草案》第三章专章对信息跨境流动规则进行明确，在坚持合作共赢的治理理念下，为信息跨境传输提供了可操作性。

《草案》吸收了欧美的有益经验并作出积极探索，与GDPR 关于“充分保护”和“恰当保障措施”的要求类似，《草案》第38 条规定在满足通过安全评估、专业机构个人信息保护认证、订立合同且达到个人信息保护标准、法律行政法规规定的其他条件之一时，可以向境外提供个人信息。同时，《草案》对关键信息基础设施、因国际私法协助或行政执法协助需要向境外提供个人信息的情形规定了其他适用条件，包括通过安全评估、申请主管部门批准等。对于境外的处理者，要求应当在境内设立专门机构或指定代表，负责处理个人信息保护相关事务，成为防范数据跨境传输中安全风险的有效手段。信息跨境流动规则的完善，有利于我国与国际通行规则接轨，提升国家与企业形象，构建“网络空间共同体”，维护网络空间主权和国家安全、社会公共利益，促进网络信息依法有序自由流动。

促进个人信息合理利用，推动

数字经济持续健康发展

数字经济进入信息资源驱动新时代，发展大数据技术、促进信息交流是经济社会创新发展的必然要求。多年来，我国虽然没有一部专门的个人信息保护法，但是经过理论和立法层面长期的探索，日益形成了一套个人信息合理利用的中国模式。充分促进个人信息的有效流动和合理利用、实现权利控制与激励机制并行的治理理念转变，已成为大家的共识。《草案》第4 条对个人信息定义时，排除了匿名化信息，允许对经过处理，无法识别特定自然人且不能复原的个人信息的利用。同时第24 条规定向第三方提供匿名化信息时，第三方也不得利用技术等手段重新识别个人身份。匿名化的初衷是为了降低数据利用过程中侵犯个人隐私的风险，利用匿名化的信息进行大数据分析时，因为没有使用可识别身份的信息，因此可以增强用户对大数据应用的信任和安全感。《草案》将匿名后不能识别至特定自然人的信息排除在个人信息之外，一方面可以促进企业匿名化的动力，减少个人信息受到危害的风险；另一方面，也能促进匿名化后数据的深度利用和利益挖掘，促进前沿技术研发、持续改进产品性能、刺激产业创新等。当然，对于匿名化应当限定在当下的技术条件和基于合理的投入产出比例情形下进行判断，否则将失去设定的意义。同时也建议规范匿名化事前、事中、事后规范体系构建，保障匿名化利用在合法合规前提下的合理利用。

随着信息技术的高度发展，用户画像和个性化推荐越来越普遍，这有利于商家更为精准地投放广告，为消费者提供有效的商品信息，形成供需方的高效匹配，从而降低产品或服务的成本和提高信息撮合的效率。《草案》规定在保证决策的透明度和处理结果的公平合理的前提下，允许利用计算机程序对个人的行为习惯、兴趣爱好或经济、健康、信用状况等进行分析。通过计算机程序自动分析、评估并进行决策的活动，包括商业营销、信息推送。但是由于算法黑箱所引发的“大数据杀熟”、社会歧视等不良后果对个人信息保护提出挑战，为平衡个人信息权益保护，《草案》赋予个人知情权和拒绝权，规定了个人有权要求个人信息处理者对其权益造成重大影响的自动化决策作出说明，对仅通过自动化决策方式作出的决定有权拒绝；个人同时有权要求信息处理者对其个人信息处理规则进行解释说明。通过多重规制保障用户画像和个性化推荐是为了提供更好的服务，符合消费者在具体场景中的合理预期与信息的合理利用。

保护个人信息权益、规范个人信息处理、保障个人信息依法有序流动、促进个人信息合理利用, 是我国《草案》的立法目的和指导思想，具有鲜明的中国特色和时代特征，体现了我国多年来个人信息治理领域的经验和实践。相信我国通过未来《个人信息保护法》的制定和完善，可以建立权责明确、保护有效、利用规范的制度规则, 在保障个人信息权益的基础上，促进信息数据依法合理有效利用，推动数字经济的持续健康发展。