浅议大数据时代下中国的个人信息保护问题

本文作者：王挺

本文系浙江大学《互联网与法学》课程成果

导读：互联网大数据时代背景下，我国的个人信息保护问题亟需解决，需要科学技术和法律制度双管齐下。目前，在法律规范层面，我国缺少明确完善的个人信息保护法律法规。笔者认为，我国在制定实施个人信息保护法时，可以借鉴参考欧盟模式下GDPR进行较严格的个人信息保护，其中“被遗忘权”具有典型的借鉴意义。

一、热点简介

近日，工信部发布“53款不良手机软件遭下架处理”通知：今年第三季度，工信部对48家手机应用商店的应用软件进行技术检测，发现违规软件53款，涉及违规收集使用用户个人信息、恶意“吸费”、强行捆绑推广其他应用软件等问题。目前，这些不良软件已全部被责令下架。

同时，工信部对62家互联网企业的65项互联网服务进行抽查，发现12家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务的问题，已督促整改。

在11月8日举行的第五届世界互联网大会“大数据时代的个人信息保护”分论坛上，中华人民共和国首席大检察官、最高人民检察院检察长张军指出，“个人信息保护是全球共同面临的挑战。尤其在大数据时代，个人信息保护难度更大。大数据到底是网络时代的宝库，还是潘多拉的魔盒？取决于我们如何认真应对、强化法治、谋求共治。”

二、问题现状

涉及个人信息保护类案件，近年来呈高发态势，从2016年到2018年9月份，个人信息犯罪案件累计达3719件，涉案人员共8719人。根据Trustwave公司发布的2018年全球安全报告，在全球数据泄露事件中，违规事件发生率较高的行业包括：零售业（包括互联网电商）占16.7%，金融与保险业占13.1%，医疗机构占11.9%。

随着全球互联网的发展，数据爆发式增长，保护数据安全，特别是个人信息安全，成为需要全球共同重视的问题。在大数据时代，个人信息泄露情况极为复杂。大数据时代下的个人信息保护，不仅需要提升技术，也需要完善的法律规范和监管体系。法律与科技携手，才可以在大数据时代下治理维护好网络世界。

当下，我国有关个人信息保护与个人信息处理规制的整体框架总体反映在三个主干层面：     

第一，政策战略层面。自2015年国务院发布“互联网+”行动计划以来，党和国家涉及网络空间治理、个人信息治理的系列政策战略呈现明显的系统化建构的提速态势。

第二，法律规范层面。随着《网络安全法》的全面施行，有关网络空间治理的制度设计有了更为体系化的全面建构，涉及个人信息治理的法律规范也日益丰富和充盈。

第三，其他规范层面。不同部门、不同领域的涉及个人信息治理的其他规范建设工作也在近年来取得了长足的发展，既反映在国家网信部门的部门规章、规范性文件等制度安排之中，也体现在中央最高司法机关渐次通过的诸多司法解释文件之中，为相关风险防控工作的科学合理开展提供了更多的操作性依据。

基于建设网络强国的战略安排，中国不仅要在产业升级和经济发展的层面关注个人信息保护问题，而且要在民众福祉、权利保障乃至国家主权的高度考量个人信息治理的必要性与紧迫性。

三、立法进程

在法律规范层面，我国分别于2017年6月1日和2018年5月1日开始实施《中华人民共和国网络安全法》《信息安全技术个人信息安全规范》。立法从国家标准层面，明确了我国企业在收集、使用及分享个人信息方面的合规要求。

《网络安全法》

第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

目前，《个人信息保护法》已经列入立法规划，通过加快推进立法工作，制定精细严密的法条，可以进一步加强对个人信息的保护。

四、比较法借鉴

当前，全球关于个人信息保护的立法主要有两种模式：

一种是美国模式。美国信息技术全球领先，物联网、云计算和大数据等信息服务产业也颇具优势，对隐私保护、数据安全等问题并无特别担忧。虽然也有一系列保护个人信息和隐私安全的法律法规，但是，分散于若干政府机构之中。美国对于数据保护更多依赖于行业自律，最大程度地避免了对数据流动的干预，致力于追求美国经济利益和安全利益的双赢。

另一种则是欧盟模式。2018年5月25日，史上最严的《欧盟通用数据保护条例》（General Data Protection Regulation，简称GDPR）（以下简称《条例》）正式施行，其目的在于保护消费者个人信息，防止被滥用，该《条例》对个人信息的保护和使用有着严格的限制。

美国规则优先关注发展经济利益，而欧盟的GDPR则将个人信息保护纳入基本的人权范畴，以人权至上为原则，强调对个人信息的严格保护。出于对数据安全的现实担忧，许多国家都将GDPR看作数据保护领域的国际新规范，其立法思路和体系化的保护措施对各国数据保护立法都将产生重要影响。GDPR在加强个人信息保护、完善数据跨境流动管理等方面树立了国际新标杆。

五、立法思考

美国模式与欧盟模式难以直接比较孰优孰劣，其各自模式的确定都与其国情、利益诉求、保障目标的不同密切相关。我国作为世界最大的数字经济体国家之一，制定、实施较为严格的个人信息保护监管法律，首先，有利于推动形成世界保护个人信息的新潮流；同时，可以防患于未然，避免在宽松监管体制下孕育出新的“定时炸弹”；此外，还可以增强国民对个人信息保护的信心与安全感。

笔者认为，对我国《个人信息保护法》的制定可以从欧盟模式下出台的号称史上最严格的GDPR中借鉴经验，为我国相关法律的制定提供可选择思路。

尽管，我国《网络安全法》也对个人信息保护、数据安全问题应对等进行了框架性规定，但是，尚需出台一系列配套的下位法及更为详细的制度规定、行业规范等。关于此，GDPR立法和实施的经验也值得我们参考和借鉴。

比如，“被遗忘权”被视为GDPR加强个人信息保护的一个亮点。“被遗忘权”，实质上是传统个人信息保护法中“删除权”的升级版，是数据主体抵抗互联网领域隐私侵害的最直接法律工具，也是最能体现GDPR加强个人信息保护思想的规定之一。

GDPR第十七条“被遗忘权”共有三款规定，第一款的核心，仍然是传统个人信息保护法中已经确立的删除权，即当数据主体依法撤回同意或者数据控制者不再有合法理由继续处理数据等情形时，数据主体有权要求删除数据。

GDPR关于“被遗忘权”的创新主要集中体现在第二款中。如果数据控制者将符合第一款条件的个人信息进行了公开传播，那么控制者不仅要删除自己所控制的数据，还要求控制者对其公开传播的数据负责，要通知其他第三方停止利用、删除。这是对传统“删除权”的极大扩展，在开放的互联网空间，这几乎是不可能完成的。

第十七条第三款规定了不适用“被遗忘权”的例外情形，如基于公共利益和履行法律职责需要、基于表达自由和信息自由等。

由于数据一旦被上传网络，将难以根本消除，即使原始链接被删除，网络上仍将充斥着大量转载和重新发布的信息。因此，相关企业将不得不花费大量人力、物力，并持续不断地关注、删除新出现的相同信息，甚至可能不得不面对循环诉讼。由此可知，一旦违反该《条例》，数据控制者将面临高昂的成本支出，同时，数据控制者必须加强事前监管、完善合规工作。

总而言之，“被遗忘权”体现了法律的指引作用，提高违法的成本预期，有利于提升个人信息控制者的合规能力，从而促进个人信息保护目的的实现，该法可供我国信息保护法的制定借鉴参考。

六、结论

十八大以来，党中央高度重视网络安全工作，明确指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。同时强调，要依法严厉打击网络黑客、电信网络诈骗、侵犯公民个人隐私等违法犯罪行为，切断网络犯罪利益链条，持续形成高压态势，维护人民群众合法权益。

目前，我国出台的有关法律法规对个人信息的收集、使用、保护规则以及侵害个人信息的处罚已作了规定，为完善我国个人信息保护的法律法规体系奠定了坚实基础，为依法保护个人信息安全提供了有力支撑。

相信在不久的将来，《个人信息保护法》的出台将完善我国网络安全立法，有利于进一步推动大数据时代互联网行业的良性健康发展，进一步加强对个人信息的保护，增强国民信心与安全感，增强国家综合实力，推动我国建设成为富强民主文明和谐美丽的社会主义现代化强国。

（图片来源于网络）

声明：本文来自互联网法律大会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。