国内个人信息和隐私保护方面的思考

来源：数据观时间：2020-12-25 14:04:41 作者：李学良

一、引言

自党的十九大以来，党和国家愈发重视网络信息安全，习近平总书记提出了总体国家安全观，指出“没有网络安全就没有国家安全”。党和国家对网络安全的重视同我国当前的经济社会基础环境是密不可分的。自改革开放以来，尤其是最近十年，我国紧紧跟随互联网产业革命，依托国内和国际市场成为了世界上数一数二的互联网大国，孵化出了一些列具有国际影响力的互联网行业巨头，推动了云计算、大数据、人工智能等新兴技术从诞生到逐步成熟，深刻影响了人民生产和生活的方方面面。

然而，这些年粗放生长的互联网经济也显露出了一些问题，尤其是在个人信息和隐私保护方面。近期，国家监管层面的一系列动作，可以看出有关部门已经在持续关注这方面问题并着手解决。本篇文章就近期一些关于个人信息和隐私保护方面的热点事件进行分析评述，针对国家近期出台的几项个人信息和隐私保护相关法律法规的要点进行分析，提出个人信息和隐私保护方面的一些解决方案建议。

二、近期热点事件

（一）杭州野生动物世界人脸识别“第一案”

2019年4月，郭先生给自己和女友买了一张杭州野生动物世界的双人年卡，当时商家给出的条款是郭先生可以在验证年卡和指纹之后入园游览。但是没过多久之后，郭先生就被告知，该动物世界强制性地将“按指纹”的方式改成了“刷脸”的方式，甚至还私自读取了郭先生的照片信息。郭先生在调节无果的情况下直接将该动物世界告上了法庭，最后郭先生胜诉，获得了1038元的赔款。该案被称为国内人脸识别的第一案。

这里值得我们关注的是，杭州野生动物世界使用人脸信息，一是没有必要性的，此前使用指纹识别也能正常入园游览；二是人脸信息的获取是直接私自读取用户信息，而非充分告知用户后获得相关授权；三是杭州野生动物私自获取用户人脸信息后，能否对该部分数据采取有效保护措施，这点我们从新闻中是无法看出的，但从经济效益角度考虑，采取数据保护措施一定会耗费人力财力的，除非相关监管单位和上级部门作出要求，其可能不会做充分的保护。人脸信息在当今社会用于人脸识别、人工智能等场景已经十分普遍，电子商务、企业办公等很多场合都会使用用户的人脸信息作为认证手段，一旦遭到泄漏和滥用会对公民的个人身份安全产生很大影响。

判决宣布后，郭先生对这样的判决结果并不满意，因为郭先生的诉讼请求除了要求杭州野生动物世界赔偿年卡费用和删除其个人信息外，还主张杭州野生动物世界指纹识别和人脸识别相关格式条款内容无效等，即要求杭州野生动物世界停止强制游客人脸识别认证的行为。从消费者权益保护的角度看，这些主张是合理的，但是超出了双方侵权责任的范围，因此仅郭先生个人的侵权诉讼是难以主张这些请求的，需要有行政力量进行监管，以维护公众消费者的合法权益。

2020年12月1日，天津市人大常委会表决通过了《天津市社会信用条例》，《条例》规定，市场信用信息提供单位采集自然人信息的，应当经本人同意并约定用途，法律、行政法规另有规定的除外。市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。据此，企事业单位、行业协会、商会等都将被禁止采集人脸、指纹、声音等生物识别信息。在个人信息和隐私保护行政监管方面，天津市的《条例》起到了很好的引领示范作用。

（二）成都赵姓新冠肺炎病例女子个人信息泄露事件

2020年12月上旬，成都出现了5例新冠肺炎病例，其中一位20岁的赵姓女孩，是第一个病例——郫都区某71岁男子的孙女。政府防疫部门按照疫情防控要求对病例信息和活动轨迹进行了必要的公开，其活动范围比较广，先后去过春熙路美甲店、某电影院、串串店和几家酒吧。但随后不久，互联网上便传出一些所谓“曝光”和“扒皮”，对赵姓女子的身份、照片等信息进行了公开，甚至不乏有人对其私生活进行指摘。成都市公安局表示，针对“病例赵某个人隐私疑被泄露”一事，公安部门已经介入调查，据了解目前散布个人信息和相关谣言的人员已经被查处。

可以看出，该事件中赵姓女子的隐私权受到了网络暴力的无情践踏，一个成都年轻人的普通生活，因为个人信息的泄露和网络暴力被搅得不得安宁。目前国内互联网环境中的网络暴力现象对公民的个人信息和隐私侵害是非常严重的，侵权行为的主体有普通的网民，有企业单位，也不乏某些粉丝团、应援会等社会团体。基于现在的网络身份溯源及调查取证的技术条件和经济条件限制，被侵权人在这种网络暴力和隐私侵权行为中是处于绝对弱势的。公安机关的介入调查，可以看出国家有关部门对此类现象的关注，这种现象也需要国家立法和司法力量的介入，为被侵权人提供更大程度的救济手段。

三、个人信息和隐私保护的法律角度分析

（一）个人信息和隐私保护的权利义务关系

我们讨论个人信息和隐私保护的问题，本质上是在讨论公民人格权中隐私权的问题，所以需要首要讨论的是数据采集方和被采集方间（或者说在发生个人信息和隐私侵权行为时，侵害人和受害人之间）的权利义务关系。在双方权益关系中，一般情况下被采集方属于社会力量较弱的一方，所以我们专注讨论采集方的义务和被采集方的权利。

1、个人信息和隐私保护相关方

为了便于讨论和理解，我们将个人信息和隐私保护相关方大致分为数据采集方和被采集方。

采集方指采集和获取他人个人信息和隐私数据的一方，包括政府、企业单位、事业单位、社会组织等。

被采集方指被他人采集和获取与其相关的个人信息和隐私数据的一方，一般是个人，也可能是集体。

2、数据的所有权

党的十九届四中全会将数据作为生产要素写入了文件，作为生产要素是一定具有其物权属性的，这也符合我们社会生产实践中对数据的认知。物权中最核心的便是所有权，讨论数据采集和被采集双方的权利义务关系，首先要明确的一定是数据的所有权。我国目前的法律体系内没有对数据的所有权做出明确的规定，但是从具体的个人信息保护相关规定中可以推理出，数据并不是“获得即所有”的，其所有权本质上是归被采集方所有的（包括国家所有、集体所有和私人所有），采集方仅在被采集方充分授权时可能获得数据的用益物权甚至担保物权，而且用益物权和担保物权的行使不能损害所有权方的利益。

对个人信息和隐私权的保护，都是建立在“数据所有权归数据被采集方”这一前提基础上的，否则采集方获取、占有、使用、收益和处置数据就不用征得被采集方的任何授权了，也就谈不上保护了。

当然，这种个人信息和隐私数据的所有权是不同于一般动产和不动产的所有权的，它是描述某一个人或某一群人的属性的，是同人格权中的隐私权强相关的，是无法继承的，不是一种纯粹的物权。

3、数据采集方应有的义务

我们以社会生产实践和国外相关的数据隐私保护法规实践为参考，从有利于保护数据被采集方的个人信息和隐私权的角度，提出数据采集方应有的如下方面义务：

（1）数据相关行为得到了被采集方的充分授权

数据所有权归数据被采集方，因此数据采集方对数据的采集、使用、收益和处置等所有数据行为都是要征求被采集方充分授权的，即有被采集方明确同意的意思表示（一般为签订授权协议）。

这里的数据使用也包括将采集的数据用于生产、人工智能和大数据分析、制作用户画像等行为。例如，电商平台在获取了用户的购物交易信息后，不得随意将该数据用于大数据分析并制作该用户的画像，相关行为须得到用户的授权。

授权应该是细粒度的，而非一张协议一个勾选对所有数据行为一并授权，被采集方对于某项数据行为有意拒绝授权的，采集方应停止该项数据行为。

对于具有市场支配地位的平台型经济主体而言，如果其利用市场地位通过类似格式条款的形式强制被采集方对数据行为授权的话，将可能违反反垄断方面的相关规定（如市场监管总局近期征求意见的《关于平台经济领域的反垄断指南》）。

（2）仅采集必要的数据

采集方应仅采集满足其提供基本服务需求的必要数据。数据是可以作为资产和生产要素的，所有数据获得的越多越全，对采集方来说便会产生越大的经济效益，这一点是也我国互联网经济环境的普遍认识和做法，但这对于被采集方的个人信息和隐私保护是有害的。比如某些企业依靠其电商平台获取用户的购物数据，再以此数据进行挖掘分析，向用户推送有相关性的商品，美其名曰为用户提供便利，实质上是为企业赚钱提供便利；再如某些手机移动App，提供的仅是拍照、地图定位此类基础的功能，却需要用户注册，提供用户姓名、电话，甚至身份证信息等。笔者认为这类信息采集是完全没有必要的。

仅采集必要的数据还要求，采集方不得因被采集方拒绝被采集非必要数据而拒绝提供服务，这一点同第（1）点中提到的反垄断规定也是相关的。

对于提供应用服务所必要的数据，采集方有其利益诉求，被采集方由于群体基数大、认知程度不一致等原因又难以统一意见，需要由具有国家公信力的权威机构来定义和解释。国家互联网信息办公室近日发布了《常见类型移动互联网应用程序（App）必要个人信息范围（征求意见稿）》，规定了地图导航、网络约车、即时通信等38类常见类型App必要个人信息范围，该文件便起到了很好的带头效应。国家有关部门应继续深化该方向工作，出台必要的国家标准和行业规范。

（3）对数据提供必要且尽可能充分的保护

必要保护采集方指依照国家相关法律法规和有关部门的监管规定，对数据采取的保护措施。

充分保护指采集方出于社会责任、商业秘密保护、组织机构名誉和其自身对数据的重视程度等原因，根据行业标准规范和最佳实践，对数据采取的额外的保护措施。

对于必要保护，若未达到要求则会面临相关处罚；对于充分保护，在无相关法律法规和监管明确要求时，做得越多便能够更大程度地降低数据安全风险，需要采集方权衡其数据安全目标和成本。必要保护必须做，充分保护我们鼓励采集方尽可能做。

（4）确保数据的准确性

采集方要确保采集的数据是准确的，尤其对于提供公共服务的应用。在被采集方认为数据有错误和偏差需要修改时，采集方需能提供相关界面或接口给被采集方用于修改数据。

4、数据被采集方应有的权利

在数据所有权基础上，我们强调数据被采集方应有如下方面权利：

（1）对其被采集数据拥有充分的知情权和处置权

被采集方有权获知其被采集了哪些数据，采集到哪里，用于何处，被何人获得等；有权对针对被采集的每一项个人信息数据行为选择同意或拒绝；有权要求采集方对与被采集方相关的不准确数据进行修改和更正；有权要求采集方彻底销毁与被采集方有关的数据。

这要求采集方在相关信息系统规划设计之初就要考虑被采集方的相关数据权利，为被采集方设计相关授权、查询、修改操作和销毁的界面、接口和相关能力。

（2）不完全行为能力人的权利

对于无行为能力和限制行为能力的被采集方，其监护人有权代其充分行使相关个人信息和隐私权利（当然也要符合国家相关法律对监护人的规定，不能损害被监护人的相关利益）。

5、豁免情况

对于一般社会生活中家人、朋友、师生、同事等熟人之间了解到相关个人信息和隐私数据的，不应完全按照采集方和被采集方的权利义务关系去理解。但是熟人之间是有相互保护个人信息和隐私的义务的，对于泄露他人个人信息和隐私构成侵权行为，应当支持受害人维护自己的正当权益。

（二）国内个人信息和隐私保护方面主要相关法律

我国与个人信息和隐私保护相关的法律有如下方面：

1、中华人民共和国宪法（2018修正）

宪法第三十八条规定中华人民共和国公民的人格尊严不受侵犯。个人信息和隐私权也是公民人格权的一部分。

2、中华人民共和国刑法（2015修正）

刑法第二百五十三条规定了侵犯公民个人信息罪，对于非法向他人出售或者提供公民个人信息、窃取或者以其他方法非法获取公民个人信息的行为最高处以七年有期徒刑。

3、中华人民共和国民法典

民法典在第四编人格权编第六章中对自然人隐私权和个人信息方面的权利做了较为详细的规定，明确了自然人的隐私权和个人信息受法律保护，提出了个人信息的基本定义，提出了“处理个人信息的，应当遵循合法、正当、必要原则，不得过度处理”的原则，规定了自然人对其个人信息查询、复制、修正的权利，规定了信息处理者的数据安全保护义务等，对于现阶段我国特色社会主义市场经济环境下的个人信息保护具有重要意义，对于个人信息和隐私保护方面特别法和相关行政法规的建立也具有积极的指导作用。

4、中华人民共和国网络安全法

网络安全法是国家为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的网络安全方面的特别法。

网络安全法中对网络运营者收集个人信息的相关行为也作出了明确规定，包括应取得授权，应遵循合法、正当、必要原则和其他相对具体的个人信息保护义务，整体上对民法典中规定的个人信息保护要求做了补充。此外，网络安全法对网络运营者的网络信息安全管理要求也从侧面保障了自然人的个人信息和隐私权。

5、中华人民共和国数据安全法（草案）

2020年7月3日，《中华人民共和国数据安全法（草案）》全文在中国人大网公开征求意见。草案内容共7章51条，提出了国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。值得关注的是，数据安全法草案除了规定数据采集方的数据保护义务外，还对公安、国安等机关调查数据交易行为赋予了权力，而且对跨境数据行为进行了约束，这里面有国家安全方面的考虑。

6、中华人民共和国个人信息保护法（草案）

2020年10月21日，全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见。个人信息保护法是我国第一部针对个人信息保护的特别法，其立法思想除了遵循民法典、网络安全法等法律中关于个人信息保护的原则和相关规定之外，还能看到很多欧盟GDPR相关规定的影子，比如第六十二条的违法处罚规定，其采取的固定处罚金额或年度营业额百分比的形式，便是参考的欧盟GDPR的处罚规则，而且个人信息保护法的处罚数额上限更大。

个人信息保护法草案对于个人信息和隐私保护方面的详细规定和处罚力度，如能立法通过并在司法实践中得以严格落实，那将会使我国个人信息和隐私保护方面工作迈上一个新的台阶。

五、个人信息和隐私保护解决方案

（一）建立完善个人信息和隐私标准

加快建立和完善个人信息和隐私保护方面的标准文件，明确个人信息和隐私的定义、种类、数据属性、合法用途、基本保护方法等元素，为社会各界提供个人信息和隐私保护的权威参考依据。

（二）建立完善个人信息、隐私保护行政监管和处罚机制

依照相关法律规定建立完善个人信息和隐私保护的行政监管和处罚机制，对于侵犯公民个人信息和隐私的严重和典型案例依法从重处罚，敦促相关单位建立健全数据生命周期安全保护措施，加强数据安全管控。

（三）加强数据安全管控

数据采集方通过建立数据安全分类分级机制和数据生命周期安全管控机制，对个人信息和隐私等敏感数据进行识别保护，根据数据的安全属性进行保密性保护和完整性保护，如数据加密、敏感数据脱敏、数据完整校验和备份等。针对作为生产要素的数据还要考虑数据交换、流通和产生数据新产品时的敏感数据安全问题。

（四）加强社会宣传和群众监督

加强个人信息和隐私保护的公众宣传力度，普及相关法律法规知识，提高公民保护个人信息和隐私权益的意识。不断优化完善社会群众监督机制，开通社会各界群众对违反个人信息和隐私保护相关规定的监督举报渠道。

六、结论和倡议

国内个人信息和隐私保护面临的挑战十分严峻，近年来国家在此方面制定的相关法律法规和行政规范是非常有必要的，还需要做得更深入、更细分、更严格。包括政府机关、企业、事业单位、社会团体等在内的任何组织，尤其是平台经济型互联网企业，要更加重视个人信息和隐私保护方面的合规要求。