芦亮丛

一、大数据背景下个人信息相关理论概述

(一)网络环境下个人信息保护的重要性

个人信息作为一种极其重要但又容易被侵犯的宝贵资源，其与公民个人的人格和财产等息息相关，我们身处大数据时代，计算机技术和互联网的联动发展使我们在获得极大便利的同时，个人信息也可能被利用或者破坏，每个人都越来越重视自己的信息安全，而事实上由于缺乏明确的法律保护依据，加之个人信息保护意识不强，使得个人信息的维权无从下手，因此建立个人信息保护制度势在必行。

(二)个人信息保护的宪法学基础

为了探究个人信息保护与宪法领域之间的关系，有必要学习和回顾欧美国家的个人信息保护发展史。欧美国家关于信息保护的研究自20世纪60年代起始，通过不断发展，现已日臻完善。我们选择美国和德国作为最具代表性的示例，来论述个人信息保护的宪法基础，为个人信息保护的路径选择提供充分的法理基础。

美国个人信息保护来源于隐私权，且美国宪法对传统的隐私权的确认和保护始于20世纪60年代。众所周知，美国隐私权对个人信息宪法意义上的保护源自“沃伦诉罗伊案”，其首次确认了隐私权中的信息隐私，标志着美国对信息隐私权的加强，此后历经发展，美国形成了以拓展隐私权来确立个人信息保护的宪法基础。

个人隐私在德国被视为个人尊严实现的一部分，公民私领域的基本权利与发展以基本法中的“人格尊严”和“人格自由发展”为宪法基础并加以保护，对于个人信息保护的发展具有里程碑意义的事件是源于20世纪80年代的人口普查案，其促使了信息自决权的形成。至此，德国以信息自决权确立了个人信息的宪法保护，其实质上亦是源自人格尊严这一宪法基础。

(三)GDPR中个人信息保护的有关规定

在GDPR框架下，数据主体享有知情权、访问权、更正权、可携权、删除权、限制处理权、反对权和自动化个人决策相关权利。首先，知情权要求处理个人数据的各类组织机构必须使用清晰、简洁的语言，以简单、透明、易懂的形式提供下列信息，也可使用可视化的方法。《个人数据法》规定，数据主体有权要求确认是否正在处理与其有关的个人数据以及访问其个人数据并获得特定信息。GDPR则扩大了控制者需提供的信息范围，控制者有义务向数据主体免费提供其个人数据副本一份，变相的要求增加控制者的行政管理负担和责任。其次，GDPR新增了数据的可携性条款，当出现特定情形时，数据主体有权从控制者处接收回其提供给控制者的个人数据，进一步加强了数据主体对其个人数据的控制。最后，删除权(也称作被遗忘权)，赋予了数据主体在个人数据不正确、不完整或不相关等存在一个或多个限制性理由时，删除个人数据的权利。GDPR通过设立诸多数据主体的权利来明确个人对其信息的控制权。

GDPR对数据控制者的问责机制之一是要求其遵循从设计着手隐私保护和默认隐私保护原则。首先，从设计着手隐私保护和默认隐私保护原则要求各类组织机构在产品和服务的初始阶段以及整个过程中将数据隐私保护考虑在内；其次，GDPR要求设置数据保护官(DPO)一职，来监督组织机构是否遵守GDPR及其他相关数据保护法的规定，是否符合组织机构内部与个人数据保护相关的政策，就是否进行隐私影响评估及监督隐私影响评估执行情况提供意见。欧盟通过以严苛的问责机制和赋予数据主体较大的权利来促使GDPR的有效实施，推动了个人数据保护的发展，也为其他国家个人信息保护的路径架构提供了经验法则。

二、我国当前个人信息保护的现实困境

(一)现有法律体系，监管体制问题

我国对个人信息保护问题的研究，与欧盟、日本和美国等发达国家相比，开始的时间要晚很多。现有的法律体系不健全，没有专门的个人信息保护法案，相关法律规定分布分散，没有系统性。最近实行的《网络安全法》虽然明确加强对个人信息的保护，但公民个人信息的范围被限缩在很小的范围内，未规定包含公民隐私数据的个人信息如何保护，且现行立法原则性较强，具体可操作性较差，同样不容忽视。在数据的监管体制下，存在数据交易的监管不到位，监管职责交叉不清，缺乏有效的监管制度，管理分散，对违法行为的处罚力度不够等问题。

(二)传统“知情同意”模式有效性问题

“同意”是处理个人数据的正当理由，是数据处理的法律基础，未经同意而处理个人数据是不被允许的。在传统“知情同意”的机制中，社交软件在用户使用该App之前，通常会向用户发布隐私声明，只有点击下方的同意才拥有使用该应用的权利。表面上看是用户对其个人信息是否披露享有控制权，而实际上用户对其信息如何处理并不了解，也不清楚导致的后果，用户的力量是非常小的，并且传统的隐私声明如同列举长篇的清单，条款内容形同虚设，无关痛痒，没有实质内容，所列事项并不具体明确。面对运营商提供的条款声明，用户只能选择全盘接受，为了更快的使用其产品带来的服务。这样一来，用户对其个人信息的控制权实际上已被架空。

(三)个人信息司法救济的现实困境

目前我国个人信息司法救济主要以隐私权为主，该救济模式将“个人信息”限缩至隐私权范畴进行保护，倘若涉诉的信息不具有隐私属性，就不认为是侵权行为，这就排除了未明显侵害隐私权但侵害个人信息自决权的侵权行为。单纯依靠隐私权进行个人信息的司法救济在侵权行为及侵权责任认定等方面存在实务困境，无法实现对个人信息的充分救济。①

所以仅仅依靠隐私权来对个人信息进行救济是不够完善的，对个人信息保护范畴亟待加强，我国《民法总则》第111条虽确立了自然人的个人信息权，但对其保护相对模糊且原则性较强，在司法实践中不具有较强的实用性，依然走不出隐私权保护的惯性。个人信息保护的范围边界也是模糊不定的，司法审判中很难判定此类案件属于信息保护的范畴，并且信息数据主体相较于数据控制者和数据处理者来说，举证能力较弱，实际诉讼中胜诉率很低。

三、基于GDPR重构个人信息保护路径

(一)优化“有效同意”的法律框架

GDPR第4条第11款原文将“同意”定义为:“数据主体的同意是指，数据主体依照其意愿自由做出的、特定的、知情的、明确的指示。通过以声明或清晰肯定的行为做出的该等指示，数据主体表明其同意处理与其相关的个人数据”。“自由做出的同意”意味着信息控制者不得对信息主体进行欺诈、胁迫等行为，数据主体做出的同意是其意思自治的结果。“特定”表明有效的同意必须具体清楚，同意要容易理解，应该清晰指出信息处理的范围和后果，不能含糊其词，长篇大论。“知情”则强调信息控制者要向信息主体提供相应的资讯，让当事人真正实施其信息自决权。

传统“知情同意”模式，将所有信息数据视为一体，没有进行分级处理，所以很大程度上该模式形同虚设。在新型的“有效同意”的法律框架内，可以适当提高敏感信息的同意要求，实施分级处理。相关产品如果涉及敏感信息的处理，此时单一的隐私声明就不能再适用了，数据控制者必须用特殊文字或符号指明数据处理可能涉及敏感信息，由数据主体自行决定是否同意。数据控制者还要委派数据保护官(DPO)对敏感数据进行保护，防止泄露。

对于儿童这一特殊主体，应当适用特殊的同意规则。因其缺乏对风险与处理个人数据相关权利的了解。只有儿童在年满16周岁时，基于同意的数据处理才是合法的，倘若儿童未满该年龄，则只有在有监护权的父母同意或授权的情况下，数据处理才是合法的。此外还要加强数据控制者对儿童的告知义务，设置合理的同意程序来确保儿童能够理解，有效地参与到同意的决策，实现自己的信息自决权。

(二)设立新型的风险评估体系

基于目前我国个人信息保护的实际情况，应当在行政机关内部设立专属的信息保护风险规制机构，吸纳信息安全领域的人才对具体的信息风险进行甄别，沟通交流，出具甄别报告，方便查阅。

风险评估是风险规制路径中最为重要的一环，也是风险规制的基础性工作。个人信息保护不像传统食品安全卫生、环境保护等领域存在的风险那般的具象化，信息保护的风险评估是建立在虚拟数据的分析上。个人信息的风险评估，可以从信息的价值、数据控制者和处理者的处理频率、威胁程度进行衡量。首先，风险规制部门需要对这三项基本要素进行分析定性；其次，根据数据处理者的处理频率和成因进行量化，得出个人信息爆发安全事故的可能性；最后，根据爆发安全事故的可能性推导出信息所受损失，以损失大小为基础计算出个人信息保护的风险阈值。

(三)重申第三方信息处理者的民事责任

GDPR新增了信息控制者和第三方信息处理者民事责任的分担形式，对外就信息主体的全部损失承担连带责任，归责原则适用过错推定原则。在参考欧盟GDPR第三方信息处理者民事责任承担模式的同时，对我国涉第三方信息处理者的民事责任的架构可以这样考虑:

首先，对于信息保护纠纷，可以设置举证责任倒置，由信息控制者和第三方信息处理者承担举证责任，证明自己不存在过错。因为现实中，原告即数据主体处于弱势地位，举证能力较弱，通过举证责任倒置将举证责任分配给在证据层面占据优势的信息控制者和信息处理者，是比较合理的。当然不能对信息处理者处以过于严苛的举证责任，否则可能会制约产业发展的平衡，因此将其举证责任限定在其没有过错的范围内。

其次，可以学习GDPR相关规定，明确信息控制者与信息处理者的连带责任，直接给予信息主体向信息控制者或者信息处理者任何一方追索的权利，极大地提高其维权效率。当然要注意，信息处理者承担的是有限连带责任，其只需证明自己对信息控制者的施令已经尽到了注意义务即可。

(四)完善现有法律体系和监管

首先，近年来对于个人信息保护的呼声越来越高，我国也做出了不懈的努力，最新的《电子商务法》和《网络安全法》重申了对个人信息的保护力度，但我国个人信息保护体系依然不健全，具体实操性较差，新增法案虽然对个人信息保护部分做出了多项规定，但依然是以传统的知情同意模式为架构，难以实现公民的信息自决权，因此建立统一的《个人信息保护法》势在必行。其次，相关信息保护法案要相互衔接，对于个人信息的范围和法律适用要有良好的界定。最后，建议监管部门成立专门的信息保护署，当个人数据被非法利用时，要加大对数据控制者的处罚力度，追究相关责任人员的刑事责任。

四、结语

身处大数据时代，个人信息保护问题亟待解决。GDPR被称为“史上最严厉的信息保护法案”，它的相关规定对全世界的信息保护问题研究产生了深刻的影响，不管是GDPR中数据主体的权利，数据控制者和处理者的义务，还是风险评估和问责机制的相关规定都值得我们深入探究。基于我国目前个人信息保护的现状，希望通过优化同意机制，建立风险评估和对举证责任的重申，构架出一条个人信息保护的新型路径。