周 琳

（中国计量大学，浙江杭州 310018）

随着信息技术的发展，大数据时代已经到来，数据逐渐成为一种资源，而且是关系到国家经济发展的一种重要战略资源。各国在不断利用数据资源来实现经济价值时，数据挖掘所带来的弊端也在逐渐显露，最为明显的就是个人信息的保护问题。一些国家已经出台一系列政策或立法来进行数据治理，以期保护个人信息的安全。我国也逐渐重视个人信息保护问题，在数字经济时代下对个人信息保护制度的可行路径进行进一步研究。

1 数字经济下个人信息法律保护所面临的的挑战

1.1 未跳出可识别性个人信息的界定

1980年《OECD委员会关于管理隐私保护和个人数据跨疆界流动的指导原则的建议书》就把“个人数据”界定为“与确定的和可以确定的个人相关的任何信息”。[1]2018年《一般数据保护条例》（GDPR）中将“个人数据”定义为，任何已识别或可识别的自然人（数据主体）相关的信息，包括直接和间接信息。我国《网络安全法》中第七十六条规定，个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息。

通过以上各个国家关于个人信息定义的对比可以看出，个人信息最大的特征就是可识别性，能够直接或间接识别到自然人。但以可识别性来判断是否属于个人信息，无形之间将个人信息的范围扩大了，这对于个人信息的保护范围会随之扩大，而且以直接和间接的方式都可以用来界定个人信息过于僵化，因为并不是任何可识别的信息都可以定义为真正需要保护的个人信息。

1.2 传统个人信息保护架构已经无法适应大数据时代的需要

传统个人信息保护架构最先由美国卫生及公共服务部于1973年提出，宗旨是确保信息主体的信息得到公平的利用，后来拓展为八项基本原则。[2]但是在大数据时代下，个人信息的输入、输出以及流转不再是过去单方面的，而是动态的、交互往来的多方结构。互联网上的经济活动从侧重于为人类客户提供内容和服务的信息经济扩展到数据经济。[3]

但随之而来的问题是，每个人对个人的信息控制能力在减弱，其信息被滥用。这时企业一般会先设置相关的隐私声明，得到用户的授权同意之后才能够获取用户信息。而这种授权同意的方式其实对于用户和企业来说都是一项沉重的负担，往往企业要提前设置一系列复杂冗长的隐私条款，而用户一般为了使用该项服务，往往不会仔细阅读就直接找到同意授权选项。这种授权条款已演变成了形式上的需要，原来那种建立在“知情同意”架构基础上的传统个人信息保护架构已不能适应大数据时代的需要了。

1.3 个人信息立法保护较为分散

关于我国个人信息保护的法律现状，总体上仍处于一种较为分散的状态，而且过于重视刑事责任的作用。我国2012年出台了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，后来制定了《网络安全法》，同时还在《消费者权益保护法》中突出消费者的信息保护问题，在《刑法修正案（九）》中增设了侵犯公民个人信息罪和了拒不履行信息网络安全管理义务罪。

但我国对于个人信息的保护往往存在以下问题：一方面，有关个人信息保护的法律中对个人信息权益的保护过于原则化。这就导致在法条的引用和具体操作上存在一定的难度。另一方面，对于个人信息的保护存在民事救济与刑事救济不平衡的局面。而且我国对于个人信息保护问题更侧重于刑事打击和事后打击，虽然可以起到一定的惩戒作用，但不利于个人信息保护法体系的构建并且更加从源头上放任侵犯个人信息权益的行为。

2 域外个人信息保护方案的重新解读

2.1 欧美国家个人信息保护制度的发展

欧盟在个人信息保护方面颁布的较为重要的法律主要有1995年《欧盟议会与欧盟理事会关于涉及个人数据处理的个人保护以及此类数据自由流通的第95/46/EC号指令》以及2018年的《一般数据保护条例》（GDPR）。1995年的《指令》已经对个人信息保护做了较为全面的规定，而《一般数据保护条例》除了强调个人信息控制权的同时，更加注重数据的流通与利用。[4]

美国对于个人信息的控制权来说更加宽松，但这并不是说美国对于个人信息保护不到位，引入场景为主导的个人信息保护新机制。简单而言，就是在利用个人信息时应当在具体环境或场景中做合理判断，若不合理，则机构需要告知，并以合理的方式为用户提供是否要承担风险以及是否希望降低风险的选择机制。而非抽象的认定利用是否合理，跳出了传统的“知情同意”架构。

2.2 域外经验对我国的启示

通过对欧盟和美国在数据治理和个人信息保护上不同路径的选择可以看出，欧盟和美国的治理方案都在个人信息的控制上达到了一种均衡的状态，不会过松也不会过紧。这对于我国来说具有一定的参考意义，因为目前来说，我国对于个人信息的保护还没有跳出传统“知情同意”的框架，不能将个人对于个人信息的控制上升到一种排他的绝对权的性质。

3 数字经济时代个人信息法律保护的实施路径

3.1 对个人信息概念重新解读

大多数国家对于个人信息的定义仍局限于可识别性这一特征，而美国更强调个人信息的连结性或关联性，这对于我国来说是有借鉴意义的。但我国还应对个人信息的定义在此基础之上做重新解读，跳出对个人信息定义二分法的局限，将其视为一个动态的概念，将关注点转为信息利用阶段，因为个人信息从本质上来说就是数据，但是其流转或利用的过程中所包含或者可关联的内容就越来越具体，可以连接或指向个人，所以我国对于个人信息的把握要有一个动态的、关联的认识。

3.2 跳出传统的个人信息保护框架，优化升级场景与风险管理理念

之所以不能将所有与个人有关的信息理所当然的纳入个人信息中，是因为不利于数据的自由流动，也不利于个人信息的保护。我们应该适当采取场景与风险管理理念并结合我国的现状对其进行重新架构。

场景与风险管理理念是指将场景导向路径和风险评估路径结合在一起，将个人数据和隐私保护的边界视为是动态的、可变的。场景与风险导向的理念秉持个案分析的精神，认识到个人信息合理使用的判断标准取决于是否符合用户的合理隐私期待，以及是否造成了不合理的隐私风险，而并非僵化审视是否取得了当事人的同意。[5]

可以说场景与风险管理理念相对于原来传统的“知情同意”原则来说是一个重大的突破，其将个人信息的合理使用放在具体的情境中分析判断，同时对于不符合个人信息合理使用的进行风险评估并采取相应管理措施。但该理念也有其不足之处，一方面，对于个人信息合理使用的判断标准难以确定，过于主观；另一方面，场景与风险管理理念的应用还是以个案分析为主，在具体适用上可能会存在障碍。所以我国应当以个人信息和数据保护的动态发展为主旨，适当吸收场景与风险管理理念，对个人信息保护制度进行重构。

3.3 多元主体参与配合

除了要对传统的个人信息保护框架进行重构之外，还应当在具体实施的手段和方式上做调整。这就不仅需要国家在制度构架方面做引导，也需要企业、第三方平台等相关责任主体进行多方互动和参与。企业在其能够承担的限度之内，可以适当修改各自的隐私声明或隐私政策，主动承担保护个人信息或隐私的责任，这不仅有助于个人信息的多方保护，而且还可以为企业赢得良好声誉。此外，还可以引入第三方监管平台，对企业不规范行为进行监管和披露，这样内部和外部措施共举，可以更好的保护数字经济时代下的个人信息。

4 结论

数字经济背景下，数据开发利用与个人信息保护之间的平衡发展是关键。对个人信息不能一味的过度强调保护和控制，还应注意个人信息在社会中的流通和利用，使个人信息的保护由个人控制向社会控制方向发展。同时，要注意到对个人信息的保护其实是对个人信息的法益保护而非是对个人信息控制权的保护。大数据时代对于个人信息的保护提出了更大的挑战，我国虽然在个人信息保护方面还没有完整的法律体系，但是数字经济的快速发展以及他国有益经验的借鉴对我国的个人信息保护制度的路径选择有重要的影响。我国应结合具体国情以及经济体制改革的背景下，重新界定个人信息的内涵和外延，优化升级场景与风险管理理念，实现多方主体的参与和互动，加强政府引导和企业自律，适当引入第三方平台监测，实现数据开发利用与个人信息保护之间的平衡。