梅心荃

【关键词】个人信息保护;通用数据保护条例;GDPR;立法启示

当前，数字经济、人工智能、大数据技术飞速发展与应用，每天需要对海量数据做统计性处理，个人信息在其中起着基础性的作用。随着个人信息成为企业提高核心竞争力的资产，公民个人信息的商用价值愈发凸显，随之而来的是公民个人信息的“裸奔”与形形色色的侵犯个人信息案件，公民个人信息的保护逐渐被社会所重视，成为时代必须回答之问。从APP兜售用户个人隐私，非法买卖个人信息已成了新兴行业，到企业利用大数据筛选“杀熟”，再到2021年“3·15”晚会曝光的商家违法收集顾客人脸信息，大量的侵犯公民个人信息案件层出不穷，甚至有愈演愈烈之势，这正反映了当前，我国在个人信息保护方面相关法律的空白，也警示我们在公民个人信息保护方面的立法工作刻不容缓。

一、个人信息概述

（一）个人信息概念

《中华人民共和国民法典》第一千零三十四条规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，实际上强调的是个人信息的“专属识别性”，即通过特定的信息，从而能识别到特定的人。个人信息并不只表现为自然人的专属信息，除了如自然人的身份证号、肖像、姓名、家庭住址、电话号码等专属信息，还可以通过组合分析一些看似不具有专属性的信息，来识别特定的自然人，如某个人的兴趣爱好、生活习惯等，都可以成为个人信息。

（二）个人信息法益的逻辑证成

个人信息概念中，最难厘定的莫过于个人信息究竟属于法益还是权利，我国学者也经常在个人信息的保护模式上，为是选择法益保护模式还是权利保护模式有着不同的主张。欧盟、日本、韩国等对个人信息都采取了权利保护模式，而从现有法律来看，我国对个人信息采取是法益保护模式，实际上也意味着我国法律将个人信息视为一种法益所进行保护。

我国民法典中的用词为“自然人的个人信息受法律保护”，而不是“自然人的个人信息权受法律保护”，且在最新的《中华人民共和国个人信息保护法（草案第二次审议稿）》的第一条中规定：“为了保护个人信息权益，规范个人信息处理活动……制定本法”，可以得出结论，我国对个人信息保护采取的是法益保护模式，即认为个人信息是一种“法益”而不是一种“权利”。

（三）个人信息与隐私的界分

个人信息与隐私存在诸多共性，容易被混同，如個人信息与隐私都是一种人格权益，两者在外观上十分相似，受侵犯的方式也大多相同，如非法收集、泄露、转让等。美国法律将个人信息纳入隐私权内容中进行保护，日本的《个人信息保护法》也将个人信息归纳到隐私当中，但其实二者是两个概念。我国民法典人格权编第六章为隐私权和个人信息保护，可以得知我国是将个人信息与隐私区分开进行保护。

个人信息与隐私有着较大的区别，在内容上，隐私权属于人格权所保护的一种，是一种自然人精神上的权利，且在财产利益方面并不十分突出。而个人信息则是一种综合性的法益，对其的保护不仅要体现精神方面，还要兼顾财产利益方面。

在表现形式上，个人信息多是以数字、文字等载体表达出来的信息，而隐私并不一定需要文字、数字等载体表现出来，如私密的空间，私密的活动。隐私与个人信息的区别要落到“隐”和“私”上，即不愿为他人知晓的主观要件。

二、我国个人信息保护立法

（一）我国个人信息保护现状

相较于国外，我国在个人信息保护方面的立法起步较晚，但是发展较快。2016年8月的“徐玉玉案”为保护公民个人信息敲响警钟，同年11月公布的《中华人民共和国民法总则（草案）》第二次审议稿也增加了公民个人信息保护的条款，即109条——自然人的个人信息受法律保护。任何组织和个人不得非法收集、利用、加工、传输个人信息不得非法提供、公开或者出售个人信息。

2020年10月13日，十三届全国人大常委会委员长会议提出了关于提请审议个人信息保护法草案的议案，这表明我国将在个人信息保护方面单独立法，且保护的主要力量将从公法转为私法，未来将出台施行《中华人民共和国个人信息保护法》，表明了我国对保护公民个人信息的决心，也极大地保障了公民个人信息不受不法侵犯。

以上可以得出结论，相较于欧美等发达国家，我国在个人信息保护方面的立法稍显落后，发展却较为迅速，通过多年的不懈努力，已初步形成了对公民个人信息保护的体系。但法律具有一定的滞后性，互联网的发展日新月异，侵犯公民个人信息的方式与方法也在不断变化，现行法律对个人信息保护的力度还稍有不足。为了适应新形势下的新内容，我国仍需要继续深入研究保护个人信息的方法与制度，相关立法工作仍然不能停止。

（二）我国当前个人信息保护分析

1、法律法规保护

我国现有关于个人信息保护的法律及具有法律性质的文件有《中华人民共和国民法典》（第一百一十一条、第一千零三十四条、第一千零三十五条）、《中华人民共和国网络安全法》（第四十四条、四十五条、七十六条）以及《全国人大常委会关于加强网络信息保护的决定》（第一条）等。

针对各种APP擅自收集用户个人信息，售卖用户个人信息，侵犯用户隐私的乱象，工业与信息化部发布了《APP收集使用个人信息最小必要评估规范》，并正在起草《移动互联网应用程序个人信息保护管理暂行规定》，结合已经公布施行了的《中华人民共和国电信条例》、《电信和互联网用户个人信息保护规定》、《寄递服务用户个人信息安全管理规定》、《中国人民银行金融消费者权益保护实施办法》等法律法规，形成了较为体系化的个人信息保护措施，有力保障了个人信息安全。

2、我国个人信息保护的困境

缺乏协调引发法律适用的困难性。我国在个人信息保护立法上呈现出多层次，多元化的特征，有法律、法律效力的决定、行政法规与部门规章，互相之间难以做到统摄，缺乏协调性与混乱性。以对“个人信息”的定义为例，《网络安全法》、《侵害消费者权益行为处罚办法》、《民法典》都有着不同的定义，在司法实践中将造成一些制度的不周延，对法律适用产生一定的困难，导致对个人信息很难起到全面、有效地保护。

缺乏专门立法，引发法律适用的混乱性。虽然我国有多部法律法规对个人信息保护有所规定，但多是附带性的规定，缺乏统一、专门的立法，个人信息保护方面特定的立法如《中华人民共和国个人信息保护法》仍处于草案阶段。以《中华人民共和国网络安全法》为例，对于个人信息保护的规定也只存在于四十四条、四十五条等极少数条文中，显然无法应对当前保护个人信息的各种情形。

公、私法保护力度不一导致救济的失调性。我国现有的个人信息保护体系，可以看出组成部分大多数是公法与行政法规，虽然以公法的形式保护个人信息有其优点，如在监管与处罚上有着较好的执行力，但个人信息也离不开私法的保护，尤其是在保障个人信息受到侵犯时的救济途径方面，补强在信息处理者、政府、自然人之间利益关系最弱的一方。当前私法保护中仍存在一定的问题，信息处理者利用信息、处理信息的过程，都被信息处理这绝对掌握，在此背景下继续适用民事诉讼中“谁主张谁举证”的原则，则被侵犯个人信息者很难举证，从而维护自身的合法权益。

三、《通用数据保护条例》（GDPR）分析

（一）《通用数据保护条例》的时代背景

欧盟《通用数据保护法案》（GDPR）于2018年5月25日出台，其前身，是欧盟于1995年制定的《计算机数据保护法》，一经发布，就引起了全世界的关注。大数据时代，个人的数据、信息等隐私安全尤其重要，从国内某卫生系统内部，泄露数十万条母婴信息，到国外的Facebook泄露2.67亿用户数据，《通用数据保护条例》的公布，正是欧盟在新时代背景下，保护信息安全呼声中的一次大胆探索。当前，国内个人信息、数据保护方面存在相当大的法律空白，对侵犯公民个人信息、数据的行为缺乏有力的打击，基于此，欧盟此次通过的《通用数据保护条例》，很大程度上对我国今后在相关方面的立法，有着重要的借鉴意义。

（二）《通用数据保护条例》特点

《通用数据保护条例》由包括序言在内的十一个部分，九十九个条款组成，其主要内容包含地域适用范围、数据主体的权利、数据处理者与数据保护官等内容。在适用主体方面，《通用数据保护条例》明确表示，保护的是自然人的权利，第一章第一条：“本法保护自然人的基本权利和自由，尤其是自然人的个人数据保护权”。由此可见，法人与其他非自然人组织，是不受《通用数据条例》的保护的。

在适用范围方面，《通用数据条例》管辖范围是极大的，对于设立在欧盟境内的数据处理主体，GDPR具有管辖权。对于设立在欧盟境外的数据处理主体，如果处理的数据主体涉及欧盟，GDPR也是具有管辖权的。假设一家在中国注册的公司，收集的用户信息中，包括欧盟成员国公民的信息，GDPR对其也是存在管辖权的。

在定义个人数据方面，GDPR将个人数据定义为：“任何指向一个已识别或者可识别的自然人（数据主体）的信息，该可识别的自然人能够被直接或者间接地识别”。在法案中，这种信息包括姓名、身份证号码等能直接体现自然人的信息，也包括自然人的生理、心理、基因等“间接信息“，可以说，GDPR对个人数据的定义较为宽泛，有很大的解读空间。

《通用数据保护条例》加大了对数据主体权利的保护力度，一方面，GDPR明确规定了数据主体所享有的权利，包括知情权、擦除权（被遗忘权）、拒绝权和数据可携带权等。其中值得一提的是擦除权也称为被遗忘权，其实质是，数据主体可以根据其主观意愿，或者在必要时要求数据控制者删除其数据。某种意义上，此项权利有力地保障了數据主体的权利，但同时也极大增加了数据控制者的运作难度，对数据控制者也是一次新的挑战。另一方面，处理个人数据需要有合法理由，GDPR也将数据主体的同意，作为数据控制者处理数据的唯一合法依据，强调数据主体的同意，必须是清楚、明确的，任何企业通过“模糊的条款”取得用户的同意，都将被认为是违法的，用户可以随时撤回自己的同意。

在处罚力度上，欧盟延续了一贯极度重视个人隐私的传统，面对违反《通用数据保护条例》的企业，最高可处以2000万欧元或者企业上一财年全球营业总额4%的处罚。任何企业都无法淡然面对如此沉重的处罚，在GDPR出台后不久，世界各国的企业都有所行动，美国的苹果公司对隐私政策进行了修改，即首次允许用户彻彻底底注销自己的苹果ID。在国内，腾讯公司的QQ国际版与微信国际版被停用，用户必须升级到最新版本才可继续使用，而新版本相较于老版本也进行了改动，如一个账号连续180天未登陆，那么这个账号将被注销，一个账号的聊天记录也只能保存72小时，之后将会被永久删除。

《通用数据保护条例》有着其亮眼之处，明确设立了“数据保护官”的职位，这也是GPDR的一大亮点。数据保护官并非GDPR的首创，早在20世纪的德国，就曾提出过数据保护官的概念，并在当时的企业中任职，但GDPR对此职位的规定，其相关的权利义务规定地更为明确。GDPR规定，数据保护官的工作内容包括，对企业提出意见和建议，需要负责监控所在企业处理数据活动的合规合法性，通过一系列方式提高员工的数据保护意识等。根据GDPR第三十八条的规定，数据保护官应当独立行使其职权，履行其义务，不能受所雇公司意志的影响。

对于各成员国之间管理、协调可能会出现的问题，《通用数据保护条例》确定了“一站式”原则，建立了“一致性”的体系。GDPR规定欧盟一个以上成员国经营的公司只与其主要机构所在地国家的数据保护主管机构合作，这就避免了适用法律混乱的局面，保证了决策的法律确定性，极大地提高了效率。为此GDPR设立了欧盟数据保护理事会与欧盟数据保护监督局，负责落实GDPR的实施与处理用户的投诉与意见，两个机构与“数据保护官”形成了一套从内到外的监督管理体系。如此“一站式”监管体系，在保障了用户个人数据安全的同时，也方便了企业的运作，一定程度上减少了企业决策的不确定性因素。

（三）《通用数据保护条例》不足

1、新概念较多，解读难以统一

《通用数据保护条例》中存在许多新确定的权利和新设立的制度，如在第三章中提出了较多的新概念，如擦除权、数据可携带权、限制处理权等，但是纵观GDPR的全文，只规定清楚了数据主体所享有的权利，并未对相关的权利概念进行详细阐述，这就可能造成适用条件或者适用尺度的不同，进而导致法律的不确定性变大。如上文所述，即使欧盟专门设立欧盟数据保护理事会这个部门，去处理有关数据保护的工作，一些权利概念的不明确，也可能导致其部门内部对此解读不一，若真出现此类情况，这对该部门乃至GDPR的公信力是不小的打击。

2、权利义务的失衡，后果难料

《通用数据保护条例》实施后，其最终的实施效果如何还有待观察，但就GDPR的内容来看，整个法案中规定的权利大多数都是数据主体的权利，法案中规定的义务大多数都是数据控制者的义务，数据控制者稍有违反GPDR，面临的就将会是巨额的罚金。在GDPR的规定中，数据主体与数据控制者双方的权利义务完全失衡，GDPR确实有力保障了数据主体的权利，但数据控制者是否有能力承担如此多的义务呢？是否存在该种可能，一些中小企业，在GDPR实施后极大加重了运行的成本和负担，导致破产倒闭？其结果我们不得而知，只能经由时间给出一个答案。

四、GDPR对我国个人信息保护启示

（一）我国个人信息保护立法缺失

随着社会的飞速发展，社会信息化程度不断提高，出现了大数据、人脸识别技术等时代进步产物.在方便人们日常生活的同时，也拓宽了侵犯公民个人信息的途径。这些都是社会进步的结果，我们不能阻止社会的进一步信息化，但是可以通过立法，保护公民的隐私不受侵犯。

就当前我国现状，缺乏系统、较为全面地对公民个人信息进行保护，以《中华人民共和国民法典》为例，也只是在第一百一十一条、第一千零三十四条、第一千零三十五条规定了个人信息受法律保护，以及个人信息的定义与处理的原则和条件。显然，这并不能满足当前形势下对公民个人信息保护的需要，我国急需一部全面、具体、能够普遍使用，对公民个人信息有着强有力保护的法律。若不抓紧立法，容易造成在个人信息保护方面成为“规则洼地”，这不利于我国维护信息安全与科技、经济的发展。

（二）“长臂管辖”条款缺失

在《APP收集使用个人信息最小必要评估规范总则》中，只是制定了行业标准，但未对适用地域范围、主体作出明确规定。在《中华人民共和国网络安全法》第二条中虽然有所规定，但较为笼统，对经营、建设、使用网络缺乏明确的定义。

而GDPR有着较为详细的规定与定义，在第3条地域范围内规定到：“本条例适用于如下相关活动中的个人数据处理，即使数据控制者或者处理者不在欧盟设立”，这意味着企业即使不在欧盟境内，但只要涉及处理欧盟成员国公民的个人信息，都必须受到GDPR的约束。而中国目前现有的法律，在这方面仍存在空白，这不仅不利于保护我国公民的个人信息，还容易遭到企业的“双重标准”。以微信国际版为例，其在隐私条款中对于中国大陆居民规定如下：“您将受微信服务条款和微信隐私政策的约束，而不受本隐私政策的约束”，而对于欧盟境内的居民则规定：“您对我们所持有的关于您的个人信息拥有某些权利，详见下文。”显而易见，在GDPR约束下制定出来的微信国际版隐私条款，对用户个人信息的保护力度比微信服务条款、微信隐私政策要大得多。

（三）基础概念定义缺失

《民法典》、《网络安全法》、草案状态中的《中华人民共和国个人信息保护法（二审稿）》等，都缺乏对基本概念的定义。如《个人信息保护法（二审稿）》只在第四条对个人信息进行了定义，且描述十分简洁，对处理行为、信息处理者、信息控制者等重要概念更是只字未提。

GDPR在第4条定义中，对个人数据、处理、用户画像、处理者、控制者等基础概念，进行了详细的定义与规定，而对比我国现有相关的法律，都对相关的概念缺少详细的定义，相关条文简洁明了，实际上给适用法律留下了太多不确定性因素，在司法实践中将造成法律适用的困难。

（四）法律冲突中适用法律规定缺失

我国民法典中有保护个人信息的条款，仍处于草案状态中的个人信息保护法也有保护个人信息的条款，二者究竟是何关系？个人信息保护法是不是民法典的特别法？法律相冲突中如何适用法律？若个人信息保护法属于特别法，这将冲击民法典体系化立法的意义，从而影响民法典的权威。

GDPR在第二条中的第三第四款、第九十四条、第九十五条等，将与GDPR相冲突的法律法规已经列明并规定了冲突中的法律适用问题。对于与GDPR有冲突的法律条文或规则，都进行了详细说明，或废除相关指令，或规定某些指令不受GDPR影响。

五、个人信息侵权责任

民法典与尚未出台的个人信息保护法，都对侵犯个人信息的行为有较为详尽的规定，民法典第一千零三十四条规定：“个人信息中的私密信息，适用有关隐私权的规定;没有规定的，适用有关个人信息保护的规定”，对于侵犯自然人个人信息对自然人造成的损失，可以参照侵权责任编处理。《中华人民共和国个人信息保护法（二审稿）》第六十五条更是对处罚就行了细化，处罚手段包括：责令改正、给予警告、没收违法所得和罚款等等。

需要探讨的是，侵犯个人信息是否可以适用民法典第九百九十五条的规定，笔者认为，个人信息受到侵犯是可以适用第九百九十五条的规定，即除了请求侵害人承擔民事责任外，还享有停止侵害、排除妨碍、消除危险、恢复名誉、赔礼道歉等一系列请求权。原因是民法典将隐私权与个人信息保护一起规定在人格权编中，实际上是将个人信息视作了一种人格权利益，当个人信息受到侵犯时，自然可以适用有关人格权的相关规定。