李浩博

沈阳工业大学文法学院，辽宁 沈阳 110870

互联网应用蓬勃发展以及信息技术的不断发展，给人们的生活带来很大的便利。包括社交平台、电子商务平台在内的一系列应用程序给人们提供便利服务的同时，也在不断收集和使用个人信息。［1］实践中有些应用软件未经用户的许可，不合理利用个人信息，以及有些平台的不当利用行为严重侵害用户的合法权益。因此，需要对现有的法律体系进行完善，规范平台利用行为，充分保障公民的个人信息安全。

一、个人信息保护的必要性

个人信息与自然人密切相关，天然就具有私权的属性。根据《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）相关规定，个人信息是指可以被记录和识别的与自然人相关的信息。其中，最为显著的便是可识别性，个人可以通过相关的信息来了解信息相关的主体。《中华人民共和国民法典》（以下简称《民法典》）在人格权编中对个人信息保护作了规定，对于个人信息的利用必须经过相关主体的同意，同时赋予主体删除权和更改权。［2］信息主体可以要求他人合理处分自己的个人信息，是私益自主处分的体现。个人信息除了相关主体的利用之外，网络平台可以通过对用户数据的分析来获取用户的消费习惯，根据用户的爱好等多方面需要，定点投放广告和内容，提高用户黏性，获取利益。在对信息进行利用的过程中，个人信息背后所隐含的财产价值也在不断显现。

社会是由一个个具体的人组成的，个人无法脱离整体而存在，与个人相关的个人信息亦是如此。因而，个人信息具有显著的公共属性，［3］政府需要收集大量的公民个人信息来进行管理，将公民的个人信息进行整合，将其运用在网络监管和打击违法犯罪等方面，保障社会稳定运行。从实践情况来看，个人信息在被大量整合后所形成的信息网具有重要的价值，不仅有利于信息主体自身，同时对社会的运行和发展具有重要的作用。例如：国家可以通过收集公共的家庭状况和人口结构等方面的信息，制定相关政策，保障社会良好运行。

技术发展使得个人信息获取更为便利，在大数据和“互联网+”背景下，互联网技术、人工智能等科技的发展和应用加快了数据的流通，在给人们日常生活和交流提供便利的同时，也加剧了个人信息泄露的情况，致使个人信息遭受侵犯的事件不断出现，严重损害信息主体的合法权益。在技术日新月异的当下，如何在保障公民个人信息安全的同时，合理利用公民的个人信息，是当前所急需解决的问题。

二、互联网个人信息保护现状

（一）立法层面

1．国外立法

在技术飞速发展的当下，信息已成为重要的资源。个人信息作为信息的重要组成部分，各国都采用符合自身情况的方式来对本国的个人信息进行保护。当下各国对于个人信息保护的法律如表1 所示。［4］

表1 各国针对个人信息保护的立法

2．国内立法

当前我国涉及个人信息保护方面的法律范围十分广泛，与个人信息保护相关的法律法规按照法的效力进行划分，可以分为法律、行政法规、部门规章、地方性法规等，相关法律如表2所示。

表2 国内针对个人信息保护的立法

除上述所列举的条文外，还有其他法律层级更低的规范性文件和政策文件，可见，法律也是随着技术的发展而不断完善的，但法律并非全能的，从实践来看，现有的法律制度还存在不足之处。

（二）行政监管层面

我国对于网络信息安全的保护，过去主要通过技术和法律方法进行。但近年来，我国不仅在立法方面对网络信息安全加以保护，还在政府监管方面加强了保护。［5］2021 年施行的《个人信息保护法》规定了国家网信部门负责统筹协调其他部门进行网络监督和管理工作，表明其在个人信息方面发挥重要的作用，同时也规定了由国家网信部门统筹协调的具体事项。当前，我国对个人信息保护的行政监管也越来越严格。2019 年1 月中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP 违法违规收集使用个人信息专项治理的公告》，开展专项治理行动。2023 年2 月网信办公布《个人信息出境标准合同办法》规范个人信息出境活动。

（三）行业层面

2018 年成立的中国互联网协会个人信息保护工作委员会，是我国首个个人信息保护方面的行业自律组织。该委员会在法律法规研究、引导行业资料、接受公众监督等方面发挥着重要作用，可以通过发布《个人信息保护倡议书》，引导行业规范利用个人数据，倡导互联网各界合理利用信息主体的个人信息，构建良好的业界形态。

三、现实困境

（一）权利边界模糊

我国于2021 年施行的《个人信息保护法》中确立的个人信息权益与《民法典》中所确立的隐私权之间的边界较不明晰。第一，从《民法典》中隐私权的保护范畴来看，私密信息属于其保护内容，而《个人信息保护法》中与个人信息相关的敏感信息与私密信息从法律上来看有着相似之处，对于两者的边界目前没有一个明确的界定。第二，从《个人信息保护法》的定位上来看，其与《民法典》均致力于协调个人信息的利用和保护，都是个人信息保护法律系统中的重要组成部分。因而，《个人信息保护法》并非《民法典》的特别法，而是兼具公法和私法的综合性法律。《个人信息保护法》中所涉及的隐私利益作为个人信息权益的核心之一。对于其利益的保护可能涉及不同法律间的适用问题。在这种情况下，如果对于二者关系没有一个合理的界限，那么将对法律如何适用带来困难，势必会影响法律的良好运行。［6］

（二）行政监管措施混乱

我国《个人信息保护法》第六十条确定了网信部门的“统筹协调”地位，但该规定并未明确解决执法权归属的问题。第一，网信部门并非统一负责管理且统筹协调的边界十分模糊；第二，法条中规定的“有关法律、行政法规”也可赋予相关部门监管职责。［7］在此规定下，难免出现职责过于分散的情况，很容易导致各部门之间存在沟通以及协调问题，不利于相关工作的执行。

当前，行政执法多采用“专项治理”的方式来进行治理，这种方式短时间内能够发挥很大的作用。但从长期来看，效果并非很理想。再加之收集的个人信息数据较为庞大，对于个人信息的保护也涉及多个环节，执法力量有限，无法进行多层次的监管，因此很难从源头上来保护用户的个人信息安全。［8］

（三）权利救济困难

当前，每个人的日常生活与互联网或者信息交换媒介发生密切的交互。各式APP、小程序不断出现，这些移动软件方便人们的同时，也在不断获取用户的数据信息。相关法律要求平台在使用用户的个人信息时需要征得用户的同意，并要求将数据的用途告知用户，一般是通过隐私政策或者用户协议告知。但该政策或者协议实践中难以实现其目的。一方面，隐私政策内容繁多，具有大量的专业术语和法律用语，用户难以理解内容，同时，该内容信息量较大，用户需要花费大量的时间进行阅读，这使得用户往往怠于阅读。即使花费时间进行阅读，从中获取的有效信息也十分有限。此外，由于平台的强势地位，平台会设置相关的条款要求用户授权平台将自己的信息与第三方共享。而用户需要其服务时，很多情况下受制于平台的协议，或者不注意相关的条款。这些情况导致现有的隐私政策难于达到理想的效果。［9］另一方面，用户数据的使用范围广泛，大数据的使用者对数据的使用具有不确定性。平台通过各种技术方法对数据进行分析，获取用户的消费习惯等方面内容，从而实现内容、服务的精准投放，获取更大的经济利益。同时伴随着平台的发展壮大，信息主体授权平台使用的信息在被平台利用时可能超出原有的范围，这很容易导致信息去向不明，此时无论是信息处理者还是信息主体都难以预测之后发生的情况。这部分信息经过多次使用后看似与信息主体联系较弱，但还是能够通过技术方法重新定位到具体的个人。

平台作为优势方，对于个人信息的利用理应尽到相应保护义务。在当前，很多平台以免费和广告的形式为用户提供服务，在这个过程中，需要用户为此提供个人信息，用户即使不情愿，但限于没有其他选项，只能将个人信息提供给平台来换取服务。在这种情况下，用户难以有效维护自身的合法权益。再加之很多APP 收集用户信息的方法较为隐秘，即使用户察觉到自身利益被侵犯，却难以判断实际上遭受了何种程度的侵害。以上种种问题，导致用户在使用APP 的过程中处于弱势地位，一旦平台滥用权利，权利主体需要花费大量的时间和精力来维权，但有时消耗资源并不能取得自己理想的成果，这不利于维护用户的合法权益。

四、应对措施

（一）合理界定权利的界限

对于法律中存在的权利界限冲突，需要对相关权利进行合理的划分。当下存在权利交叉的现象，需要厘清权利适用的范围和边界。当务之急是需要对《个人信息保护法》中的核心概念进行进一步的明确，可通过相关的司法解释，对其进行进一步的说明。此外，部分学者提出的将隐私权保护和个人信息保护平行适用是一种较为合适的解决方式。因而可以考虑在《个人信息保护法》独立法律地位的基础上，坚持二者平行适用，使不同法律发挥各自的作用，形成公法私法合力，事前、事中机制与事后机制结合，充分发挥法律的保障作用。

（二）规范行政执法

当下分散的执法体制不利于执法机关的协调配合，可能出现执法责任边界不明的情况，不利于提升执法的效率。因此需要先明确各个政法部门的权限，划定各个部门的监管范围。

第一，对于执法交叉部分，明确监管部门的权力所在。明确履行保护职责的行政主体，发挥法律的规范作用，避免个人信息泄露事件出现时，相关监管部门扯皮推诿。在时机成熟之时可以考虑建立独立的个人信息保护机构，强化信息数据保护的法外监督，拓宽救济渠道，完善监管机制。

第二，由于个人信息侵害行为涉及面较广，仅靠政府监管难以满足实践需要。因此，可以考虑以市场手段来帮助政府进行监管。例如：引入第三方认证等市场化的规制机制。借助第三方的相关活动，可以充分利用私人组织的资源，提高行政效率。［10］

（三）综合治理行业

数字经济下，个人信息价值在不断提升。在涉及个人信息方面，考虑到被使用者在市场中的弱势地位，应该给予个人更多的选择。当前，考虑到很多网络服务的提供模式是“免费”的，但网络服务者基于利益的考量，在免费的基础上，获取个人信息后，利用现有的个人信息数据进行获益。在市场主体下，人们是逐利的。如果能使得平台获得利益，减少利用个人信息获利情况。因此，可以考虑网络服务提供者在提供服务上进行收费，个人为了获取服务，需要承担一定的费用；同时也允许忍受个人信息收集和处理，而享受付费折扣。另外，在涉及隐私的政策方面，平台需要进一步明确相关内容，使部分内容简洁化，减轻用户的阅读负担，增加个性化选项，了解用户的真实意愿，对内容进行适度调整，明确用户信息的授权范围和平台使用范围。

除了法律外，行业规则在行业治理和整顿行业方面也有着重要的作用。在早期互联网巨头某讯与某卫士之争中，中国互联网协会2011 年8 月发布的《互联网终端软件服务行业自律公约》对案件的审理发挥了重要的作用。［11］行业行规在经相关机构审查或者批准后，能为个人信息保护提供依据。对于未来的个人信息保护，不仅仅要靠法律进行规制，行业间的习惯或者规则也能发挥出重要的作用。因此，我国在行业自律方面应当予以鼓励。给企业探索不同保护模式的空间，好的方案经相关机构评估后，予以通过并进行推广。等到条件成熟后，鼓励其形成行业间的自律规范，并制定包括诸如“安全锁”“防火墙”的技术规范和诸如限制流量、安全操作的社会规范。［12］从多个角度来保护个人信息安全，更好保障人民的合法权益。

五、结语

从我国对于个人信息保护的现状来看，个人信息保护力度还有待提高。笔者根据实践中存在的权利边界模糊、行政监管措施混乱、平台保护力度不足等方面问题，给出相应的建议，即合理界定权利的界限、规范行政执法、综合治理行业等应对措施。对于个人信息的保护需要多方协力，共同去完成。个人信息保护是一个长期的工程，需要花费很长时间以及精力。本文主要是从法律方面来谈个人信息保护的现状，法律作为个人信息保护的一种方法，可以考虑与其他方法结合以更好地保护个人信息安全，维护个人信息权益。