摘要：当前，我国进入全面保护个人信息的新时期，鉴于个人信息权利的复杂性，仍存在若干困境。

　　伴随人类社会逐步进入信息文明时代，信息以其强大优势支配着社会生活各领域。个人信息是个人在社会中标识自己、建立关系的工具。但是，用之不当可能侵害个人权益，危害人的尊严与自由。因此，个人信息保护已成为大数据时代的重要社会问题与法律问题。截至目前，全球共有一百多个国家和地区相继颁布了有关个人信息保护的法律法规。有观点称，2018年是个人信息保护元年，确切而言，是保护个人信息的趋势在2018年达到高峰[1]。当年，我国全国人大常委会宣布把《个人信息保护法》列入五年立法计划；欧盟《通用数据保护条例》开始生效。早在2003年，我国就提出制定专门的个人信息保护法。2018年9月，《个人信息保护法》首次被列入全国人大常委会的立法规划。2021年8月17日，个人信息保护法草案提请全国人大常委会会议第三次审议。8月20日，十三届全国人大常委会第三十次会议表决通过，并决定将于11月1日起施行。该法聚焦个人信息保护领域的突出问题和人民群众最大的关切，确立个人信息保护原则；规范处理活动保障权益；禁止大数据“杀熟”等自动化决策；规范保护人脸识别等敏感信息；赋予个人充分权利。此外，《民法典》增设专章，规范个人信息的范围和使用限制规则。至此，我国进入全面保护个人信息的新时期。尽管个人信息权利保护在法律层面得到一定保障，但鉴于个人信息权利的复杂性，个人信息权利保护仍面临诸多困境与欠缺，有待进一步充分论证与完善。

　　个人信息权利保护的若干困境

　　（一）个人信息保护范围模糊

　　目前，我国关于个人信息的概念界定主要依据《网络安全法》《民法典》《个人信息保护法》。三部法律对个人信息的界定均采用列举式作出规定，但是在保护范围上并不一致。《网络安全法》中个人信息不仅指有限列举的个人信息种类，还包括未列举的其他信息。未对隐私信息作出规范。而《民法典》中有关个人信息的范围明确指出不适用个人隐私信息。《个人信息保护法》明确提出对匿名化的信息直接予以排除，而前两部法律都未对此给以规定。

　　（二）个人信息保护的执法困境

　　行政执法是法律法规落实的路径。目前，我国没有明确规定哪个部门管理个人信息，处于“九龙治水”的执法状态，工信、网信、教育等有关管理部门都负有管理责任。这样的管理格局容易导致执法边界不明确。因此，我们可以看到，近年的规范性文件制定很多，但是具体执法情况并不理想。一般是长期不执法，偶尔是运动式执法，并在这两种状态之间摇摆。

　　个人信息保护中存在民事执法成本高，收益低；行政执法虚置；刑事执法过多的现象。刑事执法比较普遍的原因是《刑法》修正案九规定了“侵犯公民个人信息罪”。依据最高人民法院与最高人民检察院的司法解释，具体认定标准为：非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的。互联网时代，按此规定是比较容易入罪的。

　　（三）权利人维权难仍然存在

　　当前，公民个人信息保护意识不断增强，但是，主动维权实践不足，权利人维权难度较大。维权难的原因如下：首先，个人信息往往在不知情的情况下被收集使用。信息是如何被收集，通过何种渠道传播，普通用户往往难以识别、难于举证；其次，违法违规应用的识别难度较大。很多恶意应用打擦边球，监管部门的分发平台检测能力、审理力度参差不齐，难免被钻漏洞。而开发者、检测机构、分发平台和终端系统之间未形成信任系统，系统只能允许安装未知应用；再次，大量应用存在“一揽子”授权的现象，用户别无选择，不得不拿个人信息换取便利。

　　（四）未成年人个人信息保护不足

　　未成年人是社会中比较特殊的群体，需要相关立法的特殊关注。中国互联网络信息中心（CNNIC）发布的第48次《中国互联网络发展状况统计报告》显示，截至2021年6月，我国网民规模达10.11亿，其中10岁以下网民占3.3%，10～19岁者占12.3%。该报告指出，我国网民增长的主体由青年群体向未成年人和老年群体转化的趋势日趋明显。

　　目前，我国针对未成年人个人信息保护的法律法规，散见于《民法典》《刑法》《网络安全法》《未成年人保护法》《儿童个人信息网络保护规定》等。法律保护体系逐步建构，并在实践中不断改进。例如，个人信息保护法中，就对不满十四周岁未成年人的个人信息作出特殊保护。

　　但是，目前的法律保障尚不足以应对未成年人群体逐步成为互联网主体，以及其权利保护特殊的需求。大量现实问题、法律问题需要充分论证。例如，新修订的《未成年人保护法》事实上放宽了未成年人决定其个人信息的年龄。也就是说，只有不满14周岁的未成年人，才需征得监护人同意，对于14周岁以上的未成年人，则可自主决定其个人信息。上述规定充分考虑了未成年人对其个人信息的独立处分权，但也存在高年龄段未成年人信息保护不足的问题。因此，建议制定专门的个人信息保护法或未成年人个人信息保护条例，有针对性地保障未成年人的个人信息权利。

　　（五）新技术业态下，个人信息保护的新挑战不断形成

　　1.数字经济领域已成为个人信息侵权的“重灾区”。2002年，疫情之下，以共享经济为代表的新业态释放出巨大发展潜力。共享性服务和消费新业态成为重要经济力量。同时，共享平台积累了庞大的用户规模，汇聚了大量的个人数据，包含用户的身份证、手机号码、银行卡账号、住址等个人隐私信息，以及大量的动态交易数据。因此，在个人信息保护方面存在亟待解决的问题，一是超范围收集数据，平台没有向用户告知其要收集的个人数据类型、收集规则和使用规则；二是过度索取，平台履行了告知义务，但数据的索取大大超出其合理需要；三是强制授权，平台以默认、捆绑、停止安装等手段变相迫使用户同意信息收集；四是数据泄露，由于平台掌握用户数据的海量性、多样性、敏感性，一旦发生信息泄露，用户的人身、财产安全存在威胁。

　　移动互联网时代，移动App是个人信息处理者处理个人信息最常见的技术和商业模式。规范移动App运营者的个人信息处理行为应当成为个人信息保护的主战场。近年来，相关部门对移动App处理个人信息进行了持续治理，取得一定效果。但是总体成效不明显，源于移动App数量庞大，逐一治理的现实可行性弱；其发展快速，行政执法跟不上发展变化。目前，个人信息法草案第五章对提供互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者规定了其需要履行的义务，如建立健全个人信息保护合规制度体系，定期发布个人信息保护社会责任报告，接受社会监督等。但是，未对控制特定网络空间个人信息收集和处理行为的大型在线企业提出更高要求的个人信息保护义务，从而从源头把关。

　　2.人脸识别的个人信息保护问题。近年来，人脸识别技术广泛应用引发了信息泄露问题。千龙智库舆情系统监测数据显示，2020年9月1日至12月21日，涉及人脸识别技术被滥用的现象、问题以及隐患、风险等方面的内容，共计53.2万条。“‘杭州野生动物园人脸识别’一审公开审判”“广西南宁业主刷脸房子被过户”“戴头盔到售楼处看房”“东莞取厕纸要人脸识别”等事件引发广泛关注。由全国信息安全标准化技术委员会等机构成立的App专项治理工作组发布的《人脸识别应用公众调查报告（2020）》指出，9成受访者称“使用过人脸识别技术”；6成受访者认为该技术“有滥用趋势”；3成表示个人隐私或财产安全已因此受到损失。

　　人脸识别技术存在诸多争议。一方面是人脸具有唯一性、不可更改性，一旦泄露后果严重，该技术的使用应该谨慎。另一方面，信息使用、收集规则不透明，存储环境不安全，数据泄露、倒卖及不当使用事件频发。被称为国内“人脸识别第一案”的杭州市民郭兵诉杭州野生动物世界有限公司一案，可以视为公众对个人生物识别信息自我保护的觉醒。该诉讼中尚有一些法律问题急需明确：如何客观认识个人生物识别信息的法理特征？应当以何种民事诉讼程序实现个人生物识别信息的保护？[2]

　　3.已公开的个人信息的再利用问题。日常生活中，人们大量地公开自己的个人信息，主动向一定范围内的网络用户进行披露。大量存在的在某种场景下积极使用的公开个人信息再利用行为应如何界定？例如，2020年的“校友录”头像被爬案、“启信宝”案均是已公开的信息再使用的争议。法院认为，原告在通知被告删除相关信息之前，涉案信息已是合法公开，使用者基于公开渠道收集属于合法使用。但是，原告通知对方删除之后，仍然使用则构成对个人信息权益的侵犯。因此，对于公开的个人信息的再利用应该尊重个人信息主体的选择权。但是，个人私密信息和公共信息之间的界限实际上模糊不清，如何对个人信息进行有效公共利用是需要注意的问题。[3]

　　我国个人信息保护的路径

　　随着信息技术的迭代更新，个人信息保护进入深水区。个人信息既关乎个人的隐私与尊严，又天然具有社会公共属性，需要各方合力应对挑战，共同处理好维护个人权益与合理使用信息的现实课题。

　　（一）司法：完善、细化个人信息保护法律法规

　　1.厘清相关监管部门的职责。我国关于个人信息保护的法律法规逐步完善。新的立法如何落地实施，尤其是厘清相关监管部门的职责、明确平台的责任问题有待逐步解决。

　　各行各业都在使用大数据，但是，哪些单位才有获取相关信息的资质？经营者在收集大数据时，从哪里获取是合法的？目前都存在法律空白。目前，数据经济处于“野蛮增长”阶段，随意收集、不当使用、违规披露和窃取个人数据的事件频发。明确数据权属问题是大数据立法的一项重要内容。深圳的大数据立法为国家大数据立法提供了经验。2020年12月28日，《深圳经济特区数据暂行条例（草案）》提请深圳市人大常委会会议审议，如果获得通过，将是我国首部数据领域的综合性专门立法。该草案规定自然人、法人和非法人组织享有对特定数据的自主决定、控制、处理、收益和利益损害受偿等数据权益，这是国内首次提出“数据权益”保护。

　　2.进一步厘清履行个人信息保护机构的职责。《个人信息保护法》明确了履行个人信息保护职责的具体部门，在中央层面，确立了网信部门负责统筹协调个人信息保护工作和相关监督管理工作。地方方面，明确了由县级以上地方人民政府有关部门履行职责。但是，实践中，如何进一步理清各个部门之间的职责界限需要进一步探索，从而最大限度体现制度禀赋，增强管理执法力度，提高权威性，落实个人信息保护执法实效。[4]

　　3.平衡个人信息的公共价值与个人价值。用户是个人信息或用户数据的主体，是数据的原始来源方，对自己的数据拥有一定的利益。而平台在平台服务的建设和维护、数据的收集与转化方面有不可忽视的投入。二者的利益如何均衡是法律的难题之一，目前，司法的态度是根据不同的数据信息类型进行利益分配。总体而言，在于个人信息紧密相关的争议冲突中，更加倾向尊重个人信息主体的选择权。但是，也因此，平台与用户之间数据利益的平衡和尊重个人信息主体的选择权之间的冲突更加剧烈。[5]

　　（二）平台：探索个人信息保护问责制

　　1.加强平台个人信息保护的技术。身处大数据、智能化时代，企业平台方的个人信息安全保护原则是：“三分管理，七分技术”。当今大数据技术、智能技术、AI带来的各类新挑战需要企业积累技术和人才应对，需要大量的技术安全人员、安全研究者、信息保护工作者等协同应对。

　　2.借鉴国外经验，可建立我国个人信息保护的问责制度。问责制，是指通过主动性合规，免于违法并承担责任的激励性目标，或者达到减轻责任、从轻处罚、适用简易程序等的相对激励性目标。

　　上世纪70年代开始，国外进入个人信息保护法时代。始于欧美等发达国家，各国不断制定个人信息保护法，并逐步形成体系，细化规则。但是，随着技术不断发展，业态越来越丰富，监管无法不断细化及预测风险。因此，近年来，西方国家个人信息保护的特征是从监管制转向问责制，激励企业更好地完善内部机制。欧盟《通用数据保护条例》的规定最具代表性：个人信息控制方应负责落实并能够证明遵循了个人信息处理的法定原则要求。新加坡的《2020年个人数据保护法（修订）》也将问责制作为一项关键原则。我国的个人信息保护可结合实际，借鉴此做法。2019年8月发布的《国务院办公厅关于促进平台经济规范健康发展的指导意见》明确提出了“加快研究出台平台尽职免责的具体办法，依法合理确定平台承担的责任”，其中的尽职尽责理念与问责制的理念接近，即通过激励企业尽职而免责。因此，建议在法律中引入尽职免责制。

　　（三）社会：开放个人信息保护讨论，提升个人信息保护认识

　　个人信息保护问题是一个公众话题，浸润全体公民的个人利益、日常生活、生产活动等。广大用户既是自身信息的产生者、使用者，又与他人信息接触、交叉，每个个体无不数字化生存于数字化社会中。数字化生存之下，社会对个人信息保护的广泛讨论具有重要意义。展示典型性案例，传播专家媒体的解读，可提升公众的个人信息保护意识，获取相关的法律法规知识，同时又可借社会关注推动个人信息问题的解决。例如，新冠肺炎疫情期间，数次个人信息泄露事件引发社会广泛讨论，政府的及时回应、司法处理的公示均有助于提升公众个人信息保护认知。

　　【本文为国家社科基金重大项目“我国青少年网络舆情的大数据预警体系与引导机制研究”（编号：20&ZD013）阶段性成果】

　　参考文献：

　　[1]高富平.个人信息保护：从个人控制到社会控制[J]，法学研究，2018(03):84-101.

　　[2]魏永征.我国“个人信息保护法”的现状与走向[J]，新闻前哨，2018（12）:10-11.

　　[3]周汉华.个人信息保护法（草案）：立足国情与借鉴国际经验的有益探索[J]，探索与争鸣，2020(11):9-11.

　　[4]罗斌，李卓雄.个人生物识别信息民事法律保护比较研究——我国“人脸识别第一案”的启示[J]，当代传播，2021(01):77-81.

　　[5]胡凌.个人信息私密信息如何转化为公共信息[J]，探索与争鸣，2020(11):27-29.

　　（作者为中国社会科学院新闻与传播研究所助理研究员）

　　【文章刊于《青年记者》2021年第21期】