徐天翊

摘要：個人信息已成為推動社會發(fā)展的重要生產(chǎn)力資源，2021年11月1日起施行的《個人信息保護(hù)法》為數(shù)字生態(tài)下個人信息保護(hù)提供了制度保障。應(yīng)對個人信息的內(nèi)涵進(jìn)行界定，并與隱私概念作出區(qū)分。同時提出個人信息處理的概念，分析數(shù)字化場景下個人信息處理中存在的知情權(quán)、同意權(quán)風(fēng)險、泄露風(fēng)險及“信息繭房”風(fēng)險。面對上述風(fēng)險，應(yīng)通過加強(qiáng)網(wǎng)信等相關(guān)部門監(jiān)管職責(zé)、檢察機(jī)關(guān)實踐個人信息公益訴訟制度等辦法保護(hù)個人信息權(quán)益。

關(guān)鍵詞：個人信息;信息處理;風(fēng)險;保護(hù);數(shù)字

十四五規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要提出，我們要迎接數(shù)字時代，適應(yīng)數(shù)字技術(shù)全面融入社會交往和日常生活新趨勢。在數(shù)字生態(tài)下生活已成為常態(tài)，個人信息也成為深度參與并推動社會發(fā)展的重要生產(chǎn)力資源?！秱€人信息保護(hù)法》的實施，為數(shù)字生態(tài)下個人信息保護(hù)提供了更有力的制度保障。

一、個人信息的內(nèi)涵界定

對個人信息進(jìn)行保護(hù)，首先應(yīng)對個人信息的范疇作出準(zhǔn)確界定，同時將其與隱私作出準(zhǔn)確區(qū)分。

（一）個人信息的概念

有學(xué)者認(rèn)為，個人信息是指與特定個人相關(guān)聯(lián)的、反映個體特征的具有可識別性的符號系統(tǒng)，包括個人身份、工作、家庭、財產(chǎn)、健康等各方面的信息。民法典規(guī)定，個人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。按照《個人信息保護(hù)法》的定義，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。從上述學(xué)界觀點(diǎn)和法律條文看，個人信息僅涵蓋與識別特定自然人相關(guān)的信息，某一信息是否為個人信息，要看其能否被識別且與特定自然人相關(guān)聯(lián)。某個信息即使實際上與自然人有關(guān)聯(lián)，但因科技條件限制而無法被識別，那么該信息在當(dāng)前也不屬于個人信息。但隨著科技發(fā)展，當(dāng)前無法識別的信息在將來有可能變成可識別的、與自然人有關(guān)聯(lián)的信息。因此，從社會發(fā)展和法律實踐角度看，“個人信息”是一個動態(tài)概念?！秱€人信息保護(hù)法》中的定義采用高度概括的方式來體現(xiàn)“個人信息”這一概念的本質(zhì)特征及適用范圍，同時通過“以電子或者其他方式記錄的”這樣的表述，突顯個人信息在數(shù)字生態(tài)下主要以電子化手段進(jìn)行記錄的現(xiàn)實狀況。

（二）個人信息與隱私的區(qū)分

個人信息與隱私作為不同概念，兩者包含的范圍有所區(qū)別，但在部分內(nèi)容上又有所重疊。民法典第1032條第2款規(guī)定，“隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息”。可見私密信息作為隱私權(quán)的部分內(nèi)容被提出。民法典第1034條第3款規(guī)定，“個人信息中的私密信息，適用有關(guān)隱私權(quán)的規(guī)定;沒有規(guī)定的，適用有關(guān)個人信息保護(hù)的規(guī)定”。該條款表明私密信息也是個人信息的內(nèi)容之一，且優(yōu)先適用有關(guān)隱私權(quán)的規(guī)定?！秱€人信息保護(hù)法》還對敏感個人信息的處理作了特別規(guī)定，認(rèn)為敏感個人信息“包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息”?？梢娒舾行畔⒋蠖鄬儆谒矫苄畔?，這些信息被權(quán)利人自愿公開或交由他人處理后，已不再構(gòu)成隱私，但仍屬于敏感個人信息。上述規(guī)定還將不滿14周歲未成年人的全部個人信息作為敏感信息加以保護(hù)。

個人對自己享有安寧生活的控制程度及對待“控制”的不同態(tài)度，也是界分個人信息和隱私中的私密信息的一項依據(jù)。個人即使要對私密信息進(jìn)行公開或利用，也不得違背公序良俗。對于個人信息，權(quán)利人側(cè)重考慮的是如何提供利用的問題，意在使信息保護(hù)與使用之間達(dá)到平衡。

二、數(shù)字生態(tài)下的個人信息處理

（一）個人信息處理的概念與界定

《民法典》與《個人信息保護(hù)法》對“個人信息處理”的定義基本相同，《個人信息保護(hù)法》第4條第2款規(guī)定，“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等”。民法典中的相關(guān)規(guī)定沒有“刪除”二字，其他內(nèi)容一致。法條沒有就具體場景對個人信息處理進(jìn)行定義，但目前的處理手段幾乎都是在數(shù)字化場景下進(jìn)行的大規(guī)模運(yùn)用。

《個人信息保護(hù)法》的定位之一為“規(guī)范個人信息處理活動”。隨著大數(shù)據(jù)、人工智能在個人信息處理中的應(yīng)用，具有危害性的信息處理也迭代升級，利用泛在網(wǎng)絡(luò)產(chǎn)生的數(shù)據(jù)關(guān)聯(lián)性（大數(shù)據(jù)根本特征）對潛在個體進(jìn)行分析成為對個人權(quán)益最大的威脅，應(yīng)當(dāng)以有規(guī)范價值的識別分析為核心來定義個人信息處理。個人信息處理應(yīng)被界定為與識別個人相關(guān)聯(lián)的信息處理活動，而不論信息處理者是否具有識別的主觀故意。一方面，處理者往往會稱其對信息只是單純地進(jìn)行收集、儲存而非為了對用戶“識別”“畫像”而進(jìn)行分析、使用;另一方面，數(shù)字化環(huán)境下個人信息在極短時間內(nèi)被自動化處理，各個處理環(huán)節(jié)與“識別”之間不存在明顯區(qū)分，海量信息被反復(fù)處理后就很可能形成可識別的個人信息。

（二）個人信息數(shù)字化處理帶來的風(fēng)險

個人信息受侵害風(fēng)險在數(shù)字化生態(tài)下呈指數(shù)級放大，識別個人信息數(shù)字化處理過程中的風(fēng)險類型，有助于科學(xué)規(guī)范個人信息處理行為。

1.個人信息收集的知情權(quán)、同意權(quán)風(fēng)險

傳統(tǒng)模式下個人信息收集者與被收集者之間呈現(xiàn)相對平等的互動關(guān)系，收集者通過當(dāng)面詢問記錄、讓被收集者填寫表格等方式進(jìn)行收集，被收集者能直觀感受到“誰在收集、收集什么、怎么收集”，知情權(quán)得到較大程度保障，可通過拒絕提供或部分提供的方式行使同意權(quán)。數(shù)字化處理模式卻給個人信息知情權(quán)、同意權(quán)行使帶來極大風(fēng)險。

個人用戶在終端設(shè)備上下載安裝APP后，從打開使用那一刻起，個人信息便已處于被收集的過程中。例如，應(yīng)用市場中的APP普遍需要用戶授權(quán)讀取使用位置信息、通話記錄、媒介內(nèi)容等權(quán)限才能正常運(yùn)行使用，事實上我們所使用的主要APP均已達(dá)到“掌控市場”的支配地位，個人用戶在實際上喪失了對某個APP的使用選擇權(quán)及相關(guān)聯(lián)的個人信息處理同意權(quán)。數(shù)字化場景下用戶同意權(quán)變成了一種程序性權(quán)利，大部分用戶為了操作便捷都會習(xí)慣性選擇同意授權(quán)，個人用戶的同意權(quán)被架空了。

有些流氓軟件會在后臺直接收集使用個人信息，還有未經(jīng)用戶操作便偷偷安裝運(yùn)行的詐騙軟件、木馬程序，大肆對個人信息進(jìn)行非法收集使用，這些都嚴(yán)重侵犯了個人知情權(quán)和同意權(quán)。

2.個人信息的泄露風(fēng)險

個人信息即使被合法收集、存儲，其仍面臨著泄露風(fēng)險。首先是來自處理者內(nèi)部的風(fēng)險，工作人員可能出于某種動機(jī)將個人信息散布到互聯(lián)網(wǎng)上或是提供給其他人，也可能因疏忽或操作不當(dāng)將信息設(shè)置為公開狀態(tài)或擴(kuò)大知悉范圍。然而更大的風(fēng)險來自外部環(huán)境中的不可控因素——黑客，他們能夠通過后門程序、信息炸彈、網(wǎng)絡(luò)炸彈、D.O.S攻擊以及密碼破解等方式發(fā)動攻擊，通過登上目標(biāo)主機(jī)或是使用網(wǎng)絡(luò)監(jiān)聽進(jìn)行攻擊。

3.“信息繭房”風(fēng)險

信息繭房（information cocoons）這一概念由桑斯坦在其所著的《信息烏托邦》中提出，指人們關(guān)注的信息領(lǐng)域會習(xí)慣性地被自己的興趣所引導(dǎo)，從而將自己的生活桎梏于像蠶繭一般的“繭房”中的現(xiàn)象。在純技術(shù)層面，個人信息在數(shù)字化場景下幾乎處于“裸泳”狀態(tài)，用戶的個人信息都已被互聯(lián)網(wǎng)平臺精準(zhǔn)掌握或可通過“畫像”分析描述出來，某種程度上“他們比你更了解自己”。憑借這樣的優(yōu)勢，各個平臺將各種“量身定制”的信息內(nèi)容以多種形式向個人用戶精準(zhǔn)投放，每個用戶各自的興趣和關(guān)注點(diǎn)均得到了“投喂”，需求得到了滿足，而從信息處理者角度看，平臺以個人信息為“原材料”提煉創(chuàng)造出“需求”，通過精準(zhǔn)投放來滿足這種“需求”并不斷強(qiáng)化。個人用戶越來越關(guān)注特定類別的信息并產(chǎn)生某種依賴，最終陷入信息處理者編制的“信息繭房”之中。

三、數(shù)字生態(tài)下個人信息的保護(hù)路徑

（一）加強(qiáng)職能部門監(jiān)管職責(zé)

各大互聯(lián)網(wǎng)平臺均以占有市場及盈利為首要目標(biāo)，個人信息保護(hù)與公司營收利潤發(fā)生沖突時，不能僅寄希望于通過這些公司的自律來實現(xiàn)保護(hù)。應(yīng)通過網(wǎng)信等有關(guān)部門的有效監(jiān)管，使互聯(lián)網(wǎng)公司切實承擔(dān)起應(yīng)有責(zé)任。一是可以向互聯(lián)網(wǎng)頭部企業(yè)派駐監(jiān)督指導(dǎo)專員或工作組進(jìn)行常態(tài)化監(jiān)管。頭部互聯(lián)網(wǎng)企業(yè)集中分布在北上廣深、杭州等城市，監(jiān)管部門在這些城市均設(shè)有對應(yīng)監(jiān)管機(jī)構(gòu)，客觀上具備派專員或工作組進(jìn)駐企業(yè)實施常態(tài)化監(jiān)管的條件。專員（工作組）應(yīng)有權(quán)參加與個人信息相關(guān)的各種會議，有權(quán)調(diào)閱、復(fù)印、拷貝各類相關(guān)數(shù)據(jù)資料，有權(quán)就個人信息保護(hù)工作提出意見，并對明顯違法的或可能導(dǎo)致個人信息處理發(fā)生重大風(fēng)險的行為采取措施。二是不定期對平臺、網(wǎng)站進(jìn)行技術(shù)檢測，核查其是否在運(yùn)行過程中有非法或過度收集使用個人信息的行為。

（二）推進(jìn)檢察機(jī)關(guān)個人信息保護(hù)工作

近年來檢察機(jī)關(guān)通過推進(jìn)公益訴訟制度來維護(hù)社會公共利益及不特定群體利益，檢察機(jī)關(guān)也可以對侵害眾多個人信息權(quán)益的行為依法提起訴訟。個人用戶面對互聯(lián)網(wǎng)大公司天然處于弱勢地位，往往選擇“知難而退”，檢察機(jī)關(guān)行使著公權(quán)力，具有為維護(hù)群眾共同利益而提起公益訴訟的法定職權(quán)，以數(shù)字化處理手段侵害不特定個人信息權(quán)益的行為，應(yīng)成為檢察機(jī)關(guān)履行公益訴訟職責(zé)的“戰(zhàn)場”。同時還可以結(jié)合檢察機(jī)關(guān)正在推進(jìn)的“企業(yè)合規(guī)”工作，對刑、民、行檢察案件中涉及個人信息處理問題的涉案企業(yè)和平臺，通過指導(dǎo)幫助其建立個人信息處理內(nèi)部合規(guī)制度，減少因員工違規(guī)違法操作而給企業(yè)帶來涉案涉罪風(fēng)險，從而達(dá)到保護(hù)個人信息與護(hù)航企業(yè)長遠(yuǎn)健康發(fā)展的雙贏效果。

基金項目：同濟(jì)大學(xué)浙江學(xué)院2020年嘉興市高校學(xué)生工作精品項目（項目編號：20JXGZS001）。