(1. 中国信息通信研究院安全研究所，北京 100191；2. 中国科学院大学公共政策与管理学院，北京 100040；3. 中国政法大学，北京 100088)

0 引言

随着数字技术与人民群众生活持续深度融合，数字技术得到普遍应用，个人信息的收集、使用更为广泛，加速暴露了其潜在的安全隐患。在隐私保护方面，因个人信息不当收集、滥用、泄露，导致公民权益受到侵害的事件时有发生，对社会生活秩序产生极大负面影响。在数据安全方面，网络安全防御措施的缺乏以及互联网高聚集、高流量的特征，带来很多潜在的数据安全威胁。未来，加强个人信息保护将成为各国保护公民隐私和生命财产安全、规范网络健康有序发展的必然要求。本文通过对国内外个人信息保护议题的概念困境和理论研究进行回顾，分析了当前欧盟、美国、日本对待个人信息保护议题的立场分歧和政策举措，最后对我国关于个人信息保护的法律制定、执法规范和对外主张进行了解读。

1 个人信息保护议题的主要内容

1.1 个人信息保护的研究回顾

我国对个人信息问题的研究起始于2000年前后，以对国外个人信息保护立法与实践的研究介绍和对个人信息的基本概念与立法思路的思考为主，这与我国互联网初步发展的国内经济与法律环境相适应。其中，针对采取“人格权客体说”的德国和采取“隐私权客体说”的美国的个人信息保护制度的比较研究成为热点[1-2]。国内学者将个人信息界定义为“一切可以识别本人的信息的总和”，并提出了作为新型人格权的“个人信息权”[3]。这一定义代表了这一时期学界关于个人信息的主流观点。

在研究层次方面，从基础理论研究到法律法规比较研究，再到具体的法律实践与案例研究涌现出大量的研究成果，形成了比较完整的体系。王利明[4]在进一步分析隐私权与个人信息的立法理念和概念边界后，认为个人信息权是一种具体人格权，应当作为一种独立的私权来加以保护。齐爱民[5]在人格权理论的基础上，将个人信息保护法视为独立的部门法和公私混合的领域法。个人信息保护中所出现的“被遗忘权”等实践过程中的新问题及电子商务应用等领域[6-7]受到广泛研究，为即将进入的大数据时代提供了国内初步的案例研究。在研究领域方面，除民法学者所坚持的民法保护机制之外，经济法、刑法、行政法等领域的学者均就个人信息保护问题提出了看法。刘德良[8]从经济法的角度认为个人信息由于其所具有的商业价值，应当在个人信息权之上确定一种人格权之外的个人信息财产权的保护；赵秉志[9]则从刑法角度探究了个人信息保护相关的刑法历史和大数据时代的立法思路；基于宪法和行政法的视角，孙平[10]从个人信息保护法的立法渊源出发对政府和个人信息保护之间的平衡关系提出了建议。

随着“大数据”概念的形成和相关平台产业的爆发式增长，在继承此前理论研究的基础上，个人信息保护的研究开始与大数据发生紧密的关联，为个人信息保护研究带来了新的变化，主要包括数据的使用与共享问题，以及更深入的权利原则乃至基础性概念的再定义。王利明[11]在民法典的基础上，重新确认了在大数据时代权利人(信息被收集者)与义务人(信息收集者)之间的授权与被授权关系及义务人所应受的更加严格的保护。与此相反，高富平[12]从“信息”的使用历史出发，意图重构个人信息的私人属性，通过强调其公共性，来解决前信息时代个人主义式的个人信息保护原则与大数据时代数据广泛流动与使用之间的冲突，建立起具有中国特色的个人信息保护制度。丁晓东[13]提出基于“合理与正当的信息实践”的灵活性与保护兼具的立法思路。总之，国内的个人信息保护研究随着相关产业在中国的发展，形成了针对基础理论、管理各主体间关系的具体的制度、具体的经济与社会案例研究等多层次、多领域的研究体系，更为重要的是在研究中形成了具有中国特色、与中国发展现状相适应的立法理念与研究路径。

国际上，1980年，经济合作与发展组织(Organization for Economic Co-operation and Development，OECD)首次发布《隐私保护和个人数据跨境流动指南》，尽管该指南本身未有法律强制性要求，但仍成为各国探索国内个人信息保护立法的重要依据。该指南规定了隐私保护和个人数据在各国间自由流动的8个基本原则：限制收集原则、资料完整正确原则、特定目的原则、限制利用原则、安全保护原则、公开原则、个人参与原则和责任原则。1990年，联合国聚焦于信息通信领域发布了《关于计算机处理的个人数据文件指南》，旨在呼吁联合国成员国尽快在本国制定个人信息保护立法，同时鼓励政府间和非政府间国际组织以负责任的、公平的和友好的方式处理个人信息。该指南确立了个人信息保护的十大原则：合法、合理原则；准确性原则；特定目的原则；本人参与原则；不得歧视原则；例外规定；安全原则；监督与处罚原则；个人数据只在对其提供相似保护的国家间传输原则；政府和私人的电脑和手工处理文件均适用指南原则。2004年，亚太经济合作组织(Asia-Pacific Economic Cooperation，APEC)发布了《亚太经合组织隐私保护框架》，该框架是基于OECD框架的改良和延伸，侧重于寻找信息隐私保护和信息自由流动的平衡点。APEC框架包括9个隐私保护原则：预防损害原则；通知原则；收集限制原则；个人信息的合理使用原则；个人信息主体的选择权原则；个人信息的完整性原则；安全防护原则；个人信息主体的获取权和要求改正权原则；责任原则。

1.2 个人信息概念的界定

大数据的快速发展造成了“个人信息”的界定困境。个人信息是个人信息保护法中的核心概念。法律适用的最基本前提是所涉及的信息是否为个人信息，否则不构成对个人权利的侵害，也无适用法律规范的必要。传统的个人信息保护法对个人信息的界定，一般以“识别”为核心标准，个人信息是指与个人相关的，能够直接或间接识别特定自然人的信息。“可识别性”是个人信息最为重要的特征，包括直接的可识别以及间接的可识别。尽管这是一个开放式的法律界定，但从个人信息保护法诞生的20世纪70年代看，具有“身份识别性”的信息是较为有限的，比如个人的姓名、家庭住址、电话号码等。

当前，各国对个人信息的定义有略微差别。欧盟的《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》(95/46/EC)以及《欧盟数据保护条例》将“个人信息”定义为与一个身份已识别或可识别的自然人(数据主体)相关的任何信息。但为了避免概念不恰当延伸，欧盟也对“个人信息”的界定作出解释，包括数据识别的可能性和合理性。一个需要付出不成比例的费用，或者需要克服诸多困难才能识别的信息不属于其界定的个人信息范畴。美国的《加州消费者隐私法案》作为美国第一个应对在线隐私危机的法律，将“个人信息”定义为能够识别、涉及、描述，能够与特定消费者或者家庭直接或间接地合理关联的信息。我国《网络安全法》第七十六条第五款作出定义，个人信息指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。《个人信息保护法(草案)》扩大了个人信息概念的外延，将“与自然人有关的各种信息”都囊括进个人信息的范畴，扩充了个人信息权益的范围。

随着大数据技术的不断发展，个人信息与非个人信息的界限越来越模糊，且相互转化越来越容易，这种扩展回应了因技术进步而带来的个人信息权益保护的需要，有利于为个人信息权益提供更加充分的保护基础，同时也为未来可能出现的各种信息保持了开放性和包容性。随着个人信息范围的扩大，信息类型日益多样化，应用场景也日益丰富和细化，不同信息的正当价值和安全风险不同，分级分类成为个人信息保护的基本思路。

2 国际立场分歧与焦点

自20世纪70年代起，个人信息保护立法逐渐发展成全球行动，目前已有140多个国家和地区制定了相关法律。欧盟、美国、日本在数据安全与个人信息保护规制上各有特色与代表性。其中，欧盟通过发布指令与成员国立法相结合的模式推进，而美国则通过补充已有法律和行业自律的形式推进。

2.1 欧盟

自2018年起，数据保护与个人隐私始终是欧盟数字经济发展战略的主线。2020年2月，欧盟发布了由政策文件组成的“数字新政”，分别是《塑造欧洲数字未来》《欧洲数据战略》《卓越与信任的人工智能》《数据治理法案》，再次体现了新一届欧盟委员会对这两大主线的高度关注。

2018年5月，欧盟发布的《通用数据保护条例》正式生效，取代了欧盟各成员国相关法律，成为欧盟内部统一的数据保护条例，对个人信息的保护达到了新的高度，被称为“史上最严格的数据保护法”，必将对全球数字经济产生深远影响。在个人隐私权利上，进行了一系列的创新，增设了两项新的个人隐私权，即“删除权”和“移植权”：一方面，“删除权”即“个人数据的被遗忘权”，要求企业在系统或组织内通过技术手段实现对个人信息的“遗忘”，如对数据进行匿名化、去标识化，保护个人信息不受暴露；另一方面，移植权即“数据的可携带性”，要求企业必须将平台上个人信息相关的所有数据打包，按照可读的方式提供给用户，以此方式告知用户企业在平台上搜集和存储的个人信息。此外，欧盟公民有权要求将其数据从一个数据服务供应商转移到其他供应商的存储空间。从隐私保护手段上，规定了用户知情意书的使用条件，对互联网企业利用算法和数据“个性化推荐”加以限制。不仅要求企业在处理个人数据时必须经用户授权同意，且要求同意书具有可理解性，避免使用冗长、复杂的专业术语。针对互联网企业利用算法来进行自动决策的情况，《欧盟数据保护条例》赋予了欧洲公民拒绝企业利用搜集到的个人信息来进行自动判断和决策的权利。这种拒绝权利可能会导致企业不能利用个性化的个人信息和行为来进行客户画像和自动推荐等，避免“大数据杀熟”。

自2020年起，欧盟对个人隐私保护和数据治理的态度有了微妙的转变。2020年2月，欧盟委员会发布《欧洲数据战略》，概述了欧盟未来5年实现数据经济所需的政策措施和投资策略。战略提出将在尊重欧洲“以人为本”的核心价值观基础上，通过建立跨部门治理框架、加强数据基础设施投资、提升个体数据权利和技能、打造公共欧洲数据空间等措施，将欧洲打造成全球最具吸引力、最安全和最具活力的数据敏捷经济体(Data-agile Economy)。战略明确为了促进数据的共享和使用，将在战略部门和公共利益领域建立9个共同欧洲数据空间，包括共同的欧洲工业数据空间、共同的欧洲绿色协议数据空间、共同的欧洲移动数据空间、共同的欧洲卫生数据空间、共同的欧洲金融数据空间、共同的欧洲能源数据空间、共同的欧洲农业数据空间、共同的欧洲公共行政数据空间、共同的欧洲技能数据空间。此战略意味着欧盟的焦点将从建立严苛的个人隐私和数据安全监管制度转变为促进数据共享的发展策略。

2020年11月，欧盟委员会提出《数据治理法案》，通过对公共机构的数据、数据中介机构、数据利他主义三个要素的规制形成了整个立法框架的体系。一是支持促进开发公共机构共享其持有的由于敏感暂时尚未得到共享使用的数据，如出于保护个人权利、企业商业秘密和知识产权的需要而还没有进行共享的数据。但这些数据能够在欧盟产生巨大的价值，如通过健康数据的重用可以推进研究和发现罕见或慢性疾病的治疗方法。法案为这些公共机构数据的重复使用建立了相关的机制，提供了一系列允许重复使用这类数据的统一的基本条件。例如，公共机构数据的重用必须遵守非排他性的要求。二是创立数据中介机构，允许数据共享服务提供者以非营利的性质促进个人、企业间的数据交换。法案以数据中介机构为中立第三方平台明确了促进数据共享的一系列原则，如要求数据中介应当在成员国主管公共当局处登记，同时对敏感和机密的数据要提供足够的保护措施。三是促进数据利他主义的发展，即为个人或企业自愿提供数据创建有利条件和安全环境，以官方的名义将从事数据利他活动的组织注册为“欧盟认可的数据利他主义组织”，以提高整个社会对该组织的信任度，为其开展相关活动提供便利。法案建立了以数据保护为前提，最大程度实现数据共享流通的法律框架体系。欧盟一直将个人数据保护权利作为基本人权对待，在个人数据保护方面，欧盟的《通用数据保护条例》是不可逾越的底线。法案虽然规定了公共机构掌握的有关涉及个人信息、企业商业秘密和知识产权等数据的重用，但同时也明确规定在公共机构数据重用中涉及到个人数据保护、知识产权、商业秘密或其他商业敏感信息问题时，必须首先要遵守相关的法律法规，同时规定公共部门应当通过匿名化等技术处理手段，或要求重用数据者签署具有法律约束力的机密协议达到法律要求。从另一个角度讲，法案在一定程度上是对GDPR限制过严的一种修正，对于公共机构掌握的数据，除在《开放数据指令》框架下向社会公开外，还可以通过更加强化的数据保护措施来实现涉及个人信息、企业机密等敏感数据的重用。

2.2 美国

尽管美国对隐私保护的重视在一些法案中有所体现，如1974年的《隐私法》、1986年的《电子通信隐私法》、1998年的《儿童网上隐私保护法》等，但这些法案相对于数字经济的发展速度而言十分滞后。为应对此危机，对美国政府建立更完善的隐私保护和数据安全法律体系的呼声不断。2020年1月1日，《加利福尼亚州消费者隐私法》(California Consumer Privacy Act，CCPA)正式生效。法案赋予了消费者对其个人信息更多的控制权，并且对企业收集、处理数据的方式作出了明确要求。法案规定，针对凡是用户数量超过5万名的企业，消费者有权要求该企业披露其收集的数据类别和内容，以及使用这些数据的目的。此外，法案还增加了访问权、删除权、知情权等一系列消费者隐私权利。在CCPA的影响下，美国联邦与地方政府开始着手搭建隐私保护与数据安全法律框架。

联邦层面上，美国政府正在寻求制定一项全面的数据隐私保护政策，由商务部与白宫磋商。2019年1月，美国国家标准与技术研究院(National Institute of Standards and Technology，NIST)发布了《NIST隐私框架1.0版：一个通过企业风险管理来改善隐私的工具》，作为识别、评估、管理和沟通隐私风险的工具。此外，美国国家电信与信息管理局(National Telecommunications and Information Administration，NTIA)也在牵头制定一套隐私原则，并与国际贸易署(International Trade Administration，ITA)配合，以确保符合美国的国际政策目标。2019年7月，美国联邦贸易委员会(Federal Trade Commission，FTC)以侵犯消费者隐私为由对Facebook处以50 亿美元的罚款，并提出一系列合规要求，包括企业内部建立独立的隐私保护委员会、设立第三方评估员进行外部监督、剥夺首席执行官对隐私问题上的决策控制权等，这可能成为未来美国政府处理隐私保护和数据安全事件的参考案例。此外，参议院动作频发，相继提出了《数据隐私法案》《2019年商业人脸识别隐私法案》《2019年遗传信息隐私法案》《2019算法问责法案》等。

地方层面上，2019年，华盛顿、纽约、新泽西、伊利诺伊等州也相继提出了法案。华盛顿州提出了《华盛顿隐私法案》，该法案对适用人群、涉及实体进行了界定，赋予了消费者对个人数据的访问权、纠正权、删除权、转移权、退出权等，并首次对人脸识别技术做出规定。值得一提的是，旧金山市表决通过了对《停止秘密监视条例》所作的修订，成为美国第一个禁止使用人脸识别技术的城市。

2.3 日本

日本经济产业省发布的《新产业构造视野》提出，对于个人数据的基本方针是，在保护数据与流通中寻找平衡点，逐步修正个人信息保护法，促进全球数据更好地被利用。此外，日本通过建立个人信息保护委员会，积极参与国际协议规则的制定，已经被全球隐私执法网络、亚太隐私机构正式认定为会员。

2005年制定《个人信息保护法》，并于2015年进行修订，2017年5月开始实施。2020年，日本国会通过《个人信息保护法》修订提案，并正式对外公布，计划于颁布后的两年内施行。2017年修订目的主要在于确保信息流通的可追溯性，加强国家监管部门对个人信息一元化的管理。一是增加“敏感信息”概念，即政治观点、宗教、工会、种族和民族以及出生地和住所、医疗保健、性生活、犯罪记录信息等信息。二是新增加“个人信息保护委员会”，即第59～74条。该章主要规定个人信息保护委员会的设置、任务、职权行使的独立性、委员长、专门委员、任期、身份保障、罢免、事务局、会议、保密义务、规则制定等事项。三是增加“非法提供信息数据库罪”。所谓“非法提供信息数据库罪”是指从事个人信息处理业者或从事与其相关数据库业务的法人(包括高管人员、管理人员在内的非法人团体)，为自己或第三人谋求不正当利益，而提供或盗用其业务处理过的个人信息数据库(包括对其部分或全部信息的复制、加工)的，处一年以下有期徒刑或50 万日元以下罚款。该修正案为迎合大数据时代技术创新的要求，防范和化解未来个人信息保护中潜在的各类风险，扩充了很多内容，如保障个人权利、信息使用推广、扩大企业责任、强化法律处罚、增加域外适用等。其中，保障个人权利涉及权利范围、个人信息范围、第三方限制等；信息使用推广如引入“假名化信息”，但仅限于经营者内部使用，并禁止向第三方提供假名化信息；扩大企业责任如信息泄露报告、限制不正当使用；强化法律责任如增加罚款；域外适用如赋予个人信息保护委员会更多权力、加强国际传输监管。

总体而言，欧盟采取统一立法保护模式，且对个人信息的保护涵盖收集、利用、储存、披露的所有环节，采取“严进严出”的保护模式。而美国对个人信息保护以行业自律为主，在特定行业信息隐私保护法较为零散，难以涵盖个人信息保护的所有环节。日本选择了中间道路，一方面积极与欧盟的个人信息保护法律相接轨，努力与欧盟建立数据流动白名单；另一方面迎合数字经济时代技术创新的要求，力求建立安全有序的数据跨境流动机制。

3 我国在该议题上的立场及政策主张

当前，我国数据和个人隐私保护体系日益完善。在法律制定上，国家互联网信息办公室出台《数据安全管理办法(征求意见稿)》，旨在维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全。另外，国家互联网信息办公室发布《个人信息出境安全评估办法(征求意见稿)》，明确网络运营者向境外提供在中国境内运营中收集的个人信息，需要进行安全评估，推进保障数据跨境流动中的个人信息安全。同时，国家互联网信息办公室发布《儿童个人信息网络保护规定》，为各界关注的儿童个人信息安全保护问题定章立制。2020年10月，作为我国个人信息保护领域的第一部专门性立法，公开征求意见。2021年4月，《中华人民共和国个人信息保护法(草案)》提请全国人大常委会二次审议。该草案重点关注提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，提出成立独立的监督机构，对个人信息处理活动进行监督，并要求其定期发布个人信息保护社会责任报告等。2021年6月，十三届全国人大常委会第二十九次会议通过了数据安全法，对数据的分类分级、风险评估、应急处置、安全审查和出口管制等方面提出制度安排。该法律于2021年9月1日起施行。这些法律法规共同构筑起我国个人信息保护的法律基石，为我国未来在国际谈判中的议题立场和规则诉求提供重要的法律依据。

在执法规范上，工业和信息化部发布了《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等规范要求，并连续两年组织开展了APP侵害用户权益专项整治行动。同时，有针对性地制定了《APP用户权益保护测评规范》10项标准。对于“最小必要”等收集使用用户个人信息的原则，制定了《APP收集使用用户个人信息最小必要评估规范》8项系列标准。规范要求在如何保护用户权益方面制定了非常清晰的操作规范。未来工业和信息化部将研究制定《APP个人信息保护暂行规定》，继续推动行业标准制定，完善APP检测技术平台系统功能，持续开展APP侵害用户权益专项整治，坚决做好保障国家数据安全、加强个人信息保护工作。

在对外主张上，我国发起《全球数据安全倡议》。该倡议是数字安全领域首个由国家发起的全球性倡议，聚焦全球数字安全治理领域核心问题，旨在通过明确政府行为规范、推动企业共担责任、合作应对安全风险等务实举措，为加强全球数字安全治理、促进数字经济可持续发展提出中国方案，贡献中国智慧。

4 结束语

未来可通过构建更具系统性、针对性和可操作性的完备制度体系，为大数据时代的个人信息保护提供中国方案和中国智慧。一是应更加明确个人信息处理不同环节、不同主体的法律责任，建立权责明确的个人信息保护秩序。立足我国国情和数字化转型实际，科学借鉴欧盟、美国、日本等国家和地区的立法经验，合理吸收最小必要、目的限定、隐私安全、权益保护等国际通行原则，探索实现信息可携带权等新型权利形式的可行路径，适时出台《个人信息保护法》《网络安全法》的相关配套标准。二是加强国际数据与个人信息保护的规则和立法对接。针对目前各国个人信息保护立法、理念、立场的差异，在我国现有法律法规的基础上，结合本国发展实情，加快与重点国别和地区开展个人信息保护和数字经济领域的规则沟通和标准共制，警惕为其他国家的标准联盟所排斥脱钩，推动我国的个人信息保护法案与国际立法相接轨，增强兼容性与互可操作性。三是构建更具系统性、针对性和接受度强的话语体系。如依托《全球数据安全倡议》建设性参与联合国、G20、APEC、金砖国家、东盟地区论坛等多边平台的数据安全和个人信息保护讨论，为大数据时代的个人信息保护提供中国方案和中国智慧。