张新宝

（中国法学杂志社总编辑、中国人民大学法学院教授）

     个人信息保护的立法面临三大矛盾亟待解决，即 “个人信息的保护与利用”、“权利保护和行政管理法”、“国内法律与国际法律”。本文将剖析这三对重要矛盾关系，并结合我们起草的 《个人信息保护法》( 专家建议稿) 提出可行的解决之道。

       进入数字化时代，电子化的个人信息对每个人都具有重要意义。从“王菲、姜岩案”到“徐玉玉电话诈骗案”，可以看出个人信息泄露后的严重后果，也体现出个人信息保护的重要性。为此，刑法和民法均为个人信息提供了保护。但是，个人信息又具有重要的社会价值。企业将海量信息汇总成为大数据后，可以分析、改变市场，获得知识。数据已成为数字经济时代的重要生产要素。个人信息保护立法的模糊成为制约数据产业发展的首要障碍。因此，平衡好个人信息保护和利用之间的关系成为个人信息保护法的首要定位问题。

       所谓“两头强化”的思路，即是指“强化个人敏感信息的保护”和“强化个人一般信息的利用”，以协调个人信息保护与利用。

       敏感信息的不当使用可能给当事人造成难以弥补的损害，甚至影响社会安定。“强化个人敏感信息的保护”就是指对关涉个人隐私核心领域、具有高度私密性、对其公开或利用将会对个人造成重大影响的个人信息加强保护。“个人敏感信息”的界定与社会公众认知和观念密切相关，应以我国文化传统、社会普遍价值观等作为重要考量因素。具体来说，可以借鉴台湾地区的规定，以是否涉及核心隐私为标准，把敏感信息限定在“医疗、基因、性生活、健康检查、犯罪记录、宗教信仰、通讯记录”之内。

       针对“敏感信息”之外的“个人一般信息”则可以加强利用，发挥其价值。这种观点建立在公众并不太在意敏感隐私信息以外的个人信息的前提下。由于个体差异，少数人对于一般信息仍然非常“敏感”。针对这一现象，企业可以在“普遍免费服务”的基础上进行“个别收费”，以最大限度兼顾到各个人群，协调个人信息的保护与利用。

      值得注意的是个人信息的匿名化处理。根据 《网络安全法》第42条，个人信息如果经过处理无法识别特定个人且不能复原，则成为“匿名化信息”，便不再适用个人信息保护的规定。对于这些信息，企业可以自由处理、分享和转移。这种做法促进了个人信息的利用与流动。然而，随着大数据时代的来临，数据聚合使得原本匿名化的信息也可以再次“显名”。为此提出的问题则是，如何在制度设计上保证匿名数据不会被“再识别”。就此问题，目前的行业标准缺乏强制约束力，仍需经由立法补强。

       不论是在大陆法系还是在英美法系，个人信息权利均与人格利益密不可分。在我国，个人信息权利得到了民法的认可。《民法总则》第111条的“具体人格权”条款规定了个人信息权利。正在征求意见的《民法典·人格权编》将“隐私权”和“个人信息权”并列，以独立篇幅规定。从民事权利的角度界定个人信息权利具有重要意义。首先，其有助于申明个人信息保护的价值基础。其次，它有助于法律的体系化。最后，其有助于权利主体对个人信息进行自我管理。

       个人信息的保护应当立足个体。然而，因为种种原因，个人信息权利的保护被虚化。为弥补权利进路不足，个人信息保护应当借鉴欧盟的经验，采取“基于风险的进路”，对个人信息利用的各方，有的放矢的采取风险监测、风险评估、风险监督管理等风险管理措施。

      在个人信息的利用上，政府也成为了重要的一方。各种公共秩序、公共安全和公共福利的推进，都离不开以个人信息为基础的数据资源。在这个过程中，政府也可能威胁到个人信息权利。此时，民法并不能提供充分的保护。这就要求从法律保留、正当程序和比例原则出发，对公权力加以规范。个人信息保护法应当将“公权力机构”明确纳入调整范围，为政府对个人信息的收集、处理和利用设定公法架构。

       围绕着个人信息的保护与利用，信息主体、企业和国家各有诉求，人格尊严和自由、商业价值、公共管理价值在个人信息上彼此交织。迈向综合立法的个人信息保护法，意味着妥善处理个人、企业和国家三方关系，通过国家主导、行业自律和个人参与，实现个人对个人信息保护的利益、企业对个人信息利用的利益和国家管理社会的公共利益之间的三方平衡。综合立法在制度上也有助于统合现有法律，破解分散执法的窘境。

      个人信息已成为各国博弈的焦点，我国个人信息保护法也应当考虑全球背景，深入把握国际形势。

       欧盟GDPR的全球影响力有赖于域外管辖权和数据跨境流动的管制。就域外管辖权来说，欧盟引入了个人信息的保护管辖，并通过“适用主体”和“适用行为”予以细化。就个人信息的跨境管控来说，GDPR明确只有当第三方国家做出对个人数据提供充分保护的承诺时，才允许将欧盟公民个人信息转移并存储到该第三方国家。如果跨国公司从欧盟向未达到充分性标准的国家转移个人信息，则需要遵循GDPR所确立的“约束力公司规则”。至于不同公司之间的个人信息跨境流动，则需要遵守“标准合同条款”制度。

      在CLOUD法案中，美国就信息主权边界问题上，采取了“数据控制者标准”，将美国的信息主权从领土边界延伸到了技术上的“控制边界”。为避免这一边界的不确定性，CLOUD法案将主体与行为因素作为锚点。主体锚点体现为：CLOUD法案一般适用于总部在美国或者在美国注册的公司，只有在与美国发生充分联系的情况下，才适用于境外公司。至于行为锚点，则以拥有、保管或控制数据作为要件。为了消解可能的主权冲突，CLOUD法案在正反两个方面提出了补救。

       2004年亚太经济合作组织APEC签署了《APEC隐私保护框架》该框架包含了个人信息保护的九大原则。2011年，为落实此框架，APEC第19次领导人非正式会议发表《檀香山宣言》，声明实施“跨境隐私规则体系”。与之类似，跨太平洋伙伴关系协定（TPP）第14章第8条也对个人信息保护做出了规定。

       以上国际规则为我国个人信息法提供了借鉴与警示。首先，我国应参考以上个人信息保护规则，提升个人信息保护标准，以作为国际谈判和条约达成的基础。其次，我国应引入“保护管辖权”，并对“网络运营者”做广义解释，以充实我国的管辖范围。最后，我国应审慎而务实设计个人信息的出境规则，一方面坚决维护我国公民个人信息权利，另一方面积极消除国家间的数据壁垒，为个人信息的存储何处理提供适当流动原则。

（本文经张新宝教授许可，精选自张老师发表于2018年5期《吉林大学社会科学学报》的论文“我国个人信息保护法立法主要矛盾研讨”；