第一篇：個人信息保護法（草案）解讀

2020 年 10 月 21 日，《個人信息保護法（草案）》（以下簡稱 “ 《個信法》 草案” 或 “ 草案”）全文終于在萬眾矚目下揭開面紗。草案通過全方面深化個人信息保護制度，體現了對個人信息強保護為主、兼顧經濟社會生活的復雜性的立法思路。近八千字的草案，代表了我國首次嘗試在法律層面上系統性地定義、構建并有機整合個人信息的保護與監管規定，既濃縮了近年來以《網絡安全法》（以下簡稱“ 《網安法》”）為代表的我國數據安全立法、監管與實務成果，也借鑒了國際上以 GDPR為代表的各類數據保護立法經驗。

從內容上看，草案顯然沒有辜負業界對它的殷切期待，產研學各界都對諸多令人興奮的立法亮點做了詳細的介紹。但除了立法技術上的研討以外，值得強調的是，個人信息保護立法的意義不僅僅是進一步保護“個人信息權益”和“維護網絡空間良好生態”，同樣也是“促進數字經濟健康發展的重要舉措”。在全球數字經濟迅猛發展同時數字主權造成的數據孤立主義抬頭的背景下，《個信法》草案既是中國個人信息保護思路的重要亮相，也應當站在 數據競爭的視野高度來看待其背后指向的數字經濟發展策略。

限于篇幅，我們摘選了《個信法》草案中九個重點立法思路問題，和大家一起從比較法和經濟發展雙角度來追本溯源，探討立法背后的深意和未來的影響。

一、如何看待“ 個人信息” 范圍可能的擴展？ 個人信息概念的界定是個人信息保護立法的核心問題和邏輯起點[1]，直接關系到法律保護對象的邊界，因此個人信息的定義通常是立法者反復權衡多種法律關系后的成果。

1.識別與關聯標準的區別與變化 此前在多部法律法規中都曾基于個人信息的定義來說明其內涵和外延。比如《網安法》第七十六條規定個人信息為“電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”。《民法典》基本上沿用了《網安法》中“識別”的標準，但同時也將“行蹤軌跡”列明為個人信息的一種，一定程度上也呼應了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（“ 《雙高解釋》”）對公民個人信息的定義。考慮到刑事法律保護的法律關系特殊且有所側重，《雙高解釋》將“反映特定自然人活動”的信息納入個人信息范圍，通常被理解為在“識別”標準上兼顧“關聯”標準，擴大了個人信息的范圍。

《個信法》作為個人信息保護的專門法律，其對個人信息的定義將在民事、刑事及行政法律關系中產生無可比擬的影響。草案第四條將個人信息定義為“以電子或者其他方式記錄的與已識別或者可識別的自然人 有關的各種信息”，一定程度上結合了 “識別+關聯” 標準，客觀上存在將個人信息概念外延擴張的可能性。

2.他山之石與因地制宜

縱觀全球法律實踐，在立法上清晰、準確且恰當地界定個人信息的具體含義，并非易事。作為數據保護立法的比較法源之一，歐盟《通用數據保護條例》（“GDPR”）第四條同樣采取“識別+關聯”標準，任何已識別或者可識別的自然人相關（“relating to”）數據都是個人數據。這種定義標準也承受了一定質疑，有觀點認為這種定義方式“非常模糊甚至模棱兩可”[2]，可能造成法律適用的不確定性；還有觀點認為過于寬泛的定義可能使得 GDPR成為“萬能法律”[3]，不僅難以實現 GDPR提供最全面數據保護的美好愿景，還將導致數據保護系統過載[4]，無法平衡數據產業利益。

事實上，歐盟也認識到了問題所在，第 29條工作組對個人信息定義的意見中曾提出應適當限制定義的范疇[5]，但由于 GDPR自始尤為注重“可識別”數據的保護，并不將其與“已識別”數據加以區分保護[6]，只要數據處理的最終目的是識別數據主體，那就會被認定為屬于個人數據。這實際上將個人信息處理目的與數據本身的可識別性進行了綁定[7]，現實問題和矛盾仍懸而未決。而相較于歐盟相較激進的“擴張主義”（expansionist view），美國秉持普通法系實務導向下的“簡化主義”（reductionist view），認為當信息實際上可與特定人相連接（link）時才屬于個人信息。[8]《美國加州消費者隱私法案》（“CCPA”）主要通過詳細列舉的方式給予了具體定義。

盡管目前世界范圍內仍然將“識別性”作為個人信息定義的主要因素，但隨著識別技術的發展，個人信息可識別性的判斷事實上是動態的過程，許多原本不可被識別的信息經組合后可能被識別，直接拓寬了個人信息的范圍。因此有學者也提出通過區分已識別和可識別兩類不同層級的個人信息并設計了不同保護措施。[9]從監管者的角度出發，我們需要理解在數字技術快速發展和個人信息權益侵害事件頻發的背景之下，強化個人信息保護立法存在相當的必要性與緊迫性。與此同時，基于域外立法實踐和經驗教訓，個人信息概念的過度擴張仍可能有違個人信息保護之初衷。實踐中，對于個人信息違規收集及濫用確實廣泛存在，但值得注意的是，在中國數字經濟高速發展的當前，大量場景下比如機器學習的商業化及技術研究中并不以識別特定個人為目的，通常僅為了驗真等目的需要標識或者關聯某個對象。個人信息范圍的模糊或者擴展可能導致數據處理受限，使得數字經濟無法發揮最大潛力。

但不可否認的是，在數字經濟社會，個人信息的定義作為核心概念將是我們需要長期探討的時代難題。是否需要區分識別個人信息的目的？是否要結合場景來判斷個人信息范圍？是否需要結合主體處理分析數據的能力來判斷？去標識化個人信息的對外共享是否能達到相對匿名化效果？這些問題將伴隨技術和經濟發展，不斷地要求我們深入思考：在當前的社會發展階段，如何準確界定個人信息，同時在實踐中增加彈性，以實現多方主體利益的平衡。

二、“ 域外適用” 是暫時的反制，還是虛擬空間推動的時代潮流？

草案規定的域外適用效力，毫無疑問是最受關注、最廣為探討的立法亮點之一。根據草案第三條，該法適用于境內處理個人信息，還適用于三種境外處理境內自然人個人信息的活動：

（1）以向境內自然人提供產品或服務為目的；（2）為分析、評估境內自然人的行為；或（3）法律、行政法規規定的其他情形。

1.“ 長臂管轄”的出發點與實踐困局 隨著數據主權意識的不斷強調與深化，各國在數據權屬與域外管轄領域內存在客觀的競爭需要。面對歐盟 GDPR、美國《澄清域外合法使用數據法案》（“Cloud 法案”）等一系列域外立法中存在的 “長臂管轄” 規定，以及近段時間以來美國、印度政府對我國出海企業以國家安全、公民數據保護等為由的一系列調查與糾紛，草案有必要給予相對積極的回應。

積極順應與面對國際立法是我們的基本立場，但作為一種付諸執行的具體立法實踐，“長臂管轄”規定本身的合理性以及應用方式值得我們謹慎審視。有觀點認為，歐盟 GDPR的域外適用并非國際法上的“最佳實踐”，在尚未形成數據保護國際規則的情形下，GDPR的域外適用的規定在事實上構成了對非歐盟區公民數據權利的限制[10]和對分享全球數據產業紅利的不合理障礙。這種管轄可能將會帶來對其他主權國家執法權完整性的挑戰、增加引發貿易乃至外交沖突的可能性。[11]此外，歐盟內部執法機構也認為，要求境外企業在境內設立分支機構與指定代表的相關規定無法落地。[12] 另外，高昂的數據合規成本使得包括跨國公司在內企業“望而卻步”，有數據統計 68%的公司預計將花費 100萬到 1000萬美元的合規成本。[13]

2.有限度的回應與長遠考慮

盡管國際法共識認為長臂管轄可能不符合國際法規則，且各國深知限制或禁止離岸數據運營模式將限制跨國企業的經營動力，但時下各國數據立法賦予必要的域外效力儼然成為了一種潮流。除上述 GDPR的域外適用效力規定外，新近通過立法如新加坡的 PDPA、南非 POPIA和埃及 PDPL等國的個人數據保護法，以及印度的個人信息保護法案草案等，均涉及針對域外企業處理域內數據的規定。

但從具體條文規定的細節對比來看，相較于 GDPR、Cloud法案等積極尋求域外適用的立法態度，草案則更多地體現出保護我國境內個人信息的基本立場和回應姿態。例如，根據 GDPR以及歐盟數據保護委員會（“EDPB”）就域外適用的相關指引文件[14]，GDPR規定無論在何處設立和處理歐盟境內個人數據，凡是向歐盟境內提供貨物或服務的實體，均受到 GDPR的管轄；此外，還規定了域外監控行為的適用。

跨國公司處理關聯公司所在國用戶或者本集團內部員工的數據是企業運營的普遍及必要情況，而盡管 GDPR在各類指南及實踐中也在盡可能地糾正過于擴張的管轄，但 GDPR“以提供服務的事實”為標準的規定理論上幾乎可以涵蓋所有向歐盟區提供服務的跨國企業，因此必將帶來大量的管轄沖突問題。相比 GDPR，草案的域外適用條款則顯得更為克制，規定“以向境內自然人產品或服務為目的”而處理境內個人信息才受約束，相當于對域外適用的要求新增“數據處理的目的限制”。

另外，我國企業近年來愈發陷于各國長臂管轄的合規困境，但與之相對，如果跨國企業通過運營離岸數據中心向境內提供網絡服務，在缺乏監管的條件下，大量境內個人信息可能在數據跨境中“裸奔”而無法得到保障。唯有推進域外適用，使跨國企業的離岸模式逐漸成為過去式，境內個人的信息安全方能在當今全球形勢下獲得對等的保護。

但拋開對國際立法對等規則以及境內個人信息對等保護等考慮，我們會發現基于數據或者網絡的域外適用規則在數字經濟全球化時代幾乎無法避免。當前國際經濟的驅動力包括網絡的互聯互通以及數據的全球流通及整合，盡管我們要避免無序管轄對全球經濟發展的阻礙，同時虛擬空間全球化交互從數據安全以及數據主權等多個角度都要求國家適度地擴展域外管轄，維護市場經濟秩序和公共安全與利益。從長遠考慮，如果缺乏域外管轄的規則，從實質上將會影響個人信息權益的保護以及數據主權的行使。

順帶一提，除了本草案，為應對各國域外長臂管轄帶來的消極影響，從立法層面看我國以近期出臺的《數據安全法（草案）》為代表主要做了兩方面努力：其一，做好針對個人信息保護的數據本地化和關鍵基礎設施、重要數據的安全審查等自我保護制度的建設；其二，為境內法律的境外適用留有必要的空間，以靈活根據國際法的“對等原則”，采取維護國家和公民合法利益的必要的反制措施。例如，《數據安全法（草案）》的第二十四條和草案的第四十三條對外國歧視性措施的反制措施。在數據主權化浪潮當下，各國數據立法普遍帶有域外適用效力，跨國企業經營的確需要在日常業務中謹慎經營、做好合規，以盡可能提前避免落入域外管轄的“爭執”之中。

三、個人信息主體對信息處理“ 絕對” 權利的利弊

1.個人信息處理合法性依據的擴展 草案第十三條首次明確個人信息處理多達六項的合法性依據，分別是同意、履行合同所必需、履行法定職責或法定義務所必需、應對突發公共衛生事件或緊急情況下保護自然人生命健康和財產安全所必需、為公共利益在合理范圍內處理、法律和行政法規另行規定。

盡管草案增加了個人信息處理的合法性依據，但其與歐盟 GDPR的規定仍存在一些差別。草案第四項合法性基礎是緊急情況下對自然人生命健康和財產安全保護所必需，而 GDPR則是表述為對自然人重大利益（vital interests）的保護。對比來看，草案規定得更為具體，避免“重大利益”這一概念的模糊不清。同時，草案沒有規定類似 GDPR中對保護控制者或第三方合法利益（legitimate interests）必要的情形，但是其兜底條款“法律法規規定的其他情形”可以在很大程度上涵蓋這一情況，并且法律明確規定的形式也更具有確定性和可操作性，避免濫用相關條款從而造成對信息主體權益的損害。

草案中“為履行法定職責或者法定義務所必需”與“法律、行政法規規定的其他情形”這兩項合法性基礎之間的關系也值得探討。前者的“法定” 要求需要其所適用的情形有法律法規的依據，與后者含義一致。但前者在 “法定” 的基礎上加上了 “必需” 要求，實踐中可能更多指向法律法規未對個人信息收集有明確例外規定，但法定要求必需處理個人信息的場景。此外應當肯定的是，草案還結合疫情防控經驗，加入了 “為應對突發公共衛生事件所必需” 這一合法性基礎，充分體現法律與時俱進的時代特色。

2.個人信息主體權利在不同經濟發展階段的限度 自 2012年全國人民代表大會常務委員會《關于加強網絡信息保護的決定》中首次提出收集和使用個人信息應當征得個人信息被收集者的同意以來，除法律及行政法規另有規定以外，個

人信息主體的“同意”一直是我國個人信息處理的主要合法性依據，甚至學者認為賦予了個人信息主體對于個人信息的“絕對權利”。此次草案第十三條首次從法律層面對于個人信息處理活動的合法性基礎進行擴充，其由單一到多元化的轉變是否合理？這背后又有哪些考量？ 個人信息權益的定位其人格屬性盡管在《民法典》出臺后才相對清晰，在個人信息保護的初級階段，尤其是隱私權與個人信息權利尚未完全厘清關系的時期，賦予個人信息主體較為“絕對”的控制權對于個人信息權益尤其是人格權益保護具有積極意義。但在大數據與高科技浪潮的推動下，個人信息逐漸體現出其所附著的信息主體利益、信息使用者利益與公共利益等多重利益。信息主體的利益主要體現為對個人尊嚴與自由的保護。同時，個人信息還具有社會性、工具性與功能性，因此還應保障信息使用者的利益，促進個人信息的使用與流通。此外，在遇到公共利益時，信息主體可能需要讓渡或犧牲部分個人利益以保障公共管理目的的實現。[15] 鑒于此，將知情同意作為個人信息處理的唯一合法性基礎在事實上賦予了信息主體對個人信息較為絕對的支配權利，但不同于知識產權等相對成熟的權利，考慮到個人信息“所有權”或“控制權”當前尚未有定論，較為絕對的支配權利將可能對建立個人信息的權利束制度造成不利影響，并且會對不同主體的權利分配造成阻礙。因此，這種絕對性支配權制度在多主體參與的個人信息處理中會導致較高的授權成本并可能阻礙科技和社會發展，造成經濟實踐的巨大困境。從比較法上來看，歐盟 GDPR除同意外還規定了五種合法性基礎，以實現個人數據保護與數據流通之間的平衡。美國 CCPA 則在保障數據流動方面走的更遠，甚至未嚴格將同意作為處理的前提性條件，而是以 “告知+選擇退出” 作為保障消費者權益的方式。國際社會更傾向于不將保護個人數據主體權益作為個人數據保護的唯一目的，而是盡可能地在數據保護與數據流通之間尋求平衡。

3.從個人控制向多方控制，打開數據權益大門 《民法典》已將“法律法規另有規定”作為同意的例外，留下變通空間，并將處理已合法公開的個人信息、維護公共利益或自然人合法權利作為免責情形。草案更進一步，具體規定了除同意和法律法規另有規定以外的其他四種合法性基礎，體現出個人信息保護制度正逐步從個人控制走向社會控制[16]、多方控制，既符合時代發展需要，也順應國際社會潮流。從個人控制到多方控制并不妨礙保護個人信息主體對于個人信息的人格權益，并讓參與個人信息處理不同環節的主體一定程度上脫離個人信息主體基于絕對同意的控制權，有空間來尋求對于個人信息可能主張的財產權益。當前數據立法中重點和難點問題集中在數據確權之上，通過對個人信息控制權主體的擴展，有利于從理論和實務兩個方面打破禁錮，有望實現平衡個人信息主體和其他處理主體權益的新型數據權益規則。

四、“ 同意” 的兩難 草案對于不同情形的“同意”規則做了細化。草案第十四條要求同意應當“由個人在充分知情的前提下，自愿、明確作出意思表示”，并規定法定應當取得單獨同意或書面同意的，從其規定。同時，草案第二十四條規定，在對個人信息進行共享時應取得信息主體的單獨同意。與此相關的還有草案第三十條，要求對敏感個人信息的處理應取得個人的單獨同意，并且法律法規規定處理敏感個人信息應當取得書面同意的，從其規定。草案第一次嘗試在法律層面根

據處理的不同情形對 “同意” 進行分類，如何準確的界定 “同意”、“單獨同意” 與 “書面同意” 將需要從實務角度探尋可行性。

1.同意分類的合理性和實現困難 縱觀全球數據保護立法，“同意”的概念均有所涉及但又有所差異。草案將“同意” 定義為 “由個人在充分知情的前提下，自愿、明確作出意思表示”，與 GDPR所定義的 “通過陳述或積極行為表示” 的主要區別在于意思表示實現方式的多樣性。單獨同意與一般同意相比，更強調信息主體對個人信息處理在充分知情和審慎考慮基礎上的授權，屬于對一般同意的補強措施，從理論上看具有必要性。

對于向第三方共享個人信息與處理敏感個人信息這兩種敏感度較高的情形而言，單獨同意確實可以在一定程度上征得信息主體更充分和有效的同意。由于草案中并未給出單獨同意的具體定義，實踐中多將其理解為與概括同意相對的授權同意方式，并常以單獨提示或者彈窗的形式實現。但單獨同意需要在線上實現，尤其是數據收集或共享要求實時性時，則實現方式會出現侵擾用戶同時達不到保護個人信息主體自由意志的情況。

比如根據草案第二十四條，個人信息處理者向第三方提供其處理的個人信息的，應當取得個人的單獨同意。但是實踐中以 SDK方式向第三方共享個人信息的情形已屢見不鮮，這也成為了一種常見且高效的商業合作模式。對于大型企業來說，其服務中可能包含多種來自不同第三方的、具有不同處理目的和處理方式的 SDK，并可能在其提供服務過程中不斷更新，若按照每種 SDK都分別用一個彈窗的形式來征得單獨同意，則可能成本過高且會給用戶帶來不良交互體驗。因此結合實踐合規成本與落地難度來看，如何設計同意機制，使得既達到單獨同意的要求又不造成侵擾用戶的后果，仍值得探討。

書面同意對比一般同意不僅突出信息主體的充分知情權與授權有效性，其還強調信息主體同意的可驗證性。草案中雖提及此概念，我們更期待明確其具體適用的場景，以及有效書面同意的定義。比如俄羅斯個人信息保護法（Federal Law No.152-FZ of 27 July 2006）中規定“以電子簽名簽署的電子文檔形式的同意應被視為等同于包含個人數據主體手寫簽名的書面同意書”。類似的規定有助于明確新經濟環境下，尤其是互聯網經濟中書面同意的邊界。

2.新型同意機制呼吁新業態 應當肯定立法針對不同情形區分同意的類型，但由于不同同意類型的界定將在很大程度上影響各相關主體的權益，具體對同意的界定與適用可能亟待相關法規或指南進一步明確。與此同時，如何實現不同的同意要求以匹配新型的同意機制將是企業重點關注的難題。

實踐中，必須承認隱私政策與同意提示等對于個人信息主體的提醒作用十分有限。借由同意機制發生變化的契機，企業應當進一步研究如何增加個人信息主體對同意的管理路徑，比如讓個人信息主體通過 dashboard等方式自行管理其對個人信息的同意，即增加告知及同意的強度，又降低反復提醒降低產品體感的影響。盡管上述要求可能進一步增加企業合規成本，但在尊重個人信息主體意志大原則不變的前提下，可以預見的是以適當、透明的方式使得個人信息主體享有一定的個人信息管理權限，將有助于自證合規并提高消費者體驗。與此同時，考慮到個人信息權利束理論形成后，個人信息附著的財產性權益同樣有突出的管理需求，企業對合規的投資可能轉換為類似 privacy box 等可商業化的新業態。

五、處理者法律責任分配背后的政策考慮，如何實現個人信息權益保護與促進產業發展的矛盾統一？ 草案第二十一條規定，兩個或兩個以上的個人信息共同處理者承擔連帶責任，成為一大亮點。具體而言，受共同處理行為侵害個人信息權益的個人，有權向任何一個處理者主張全部損害賠償。從個人信息的強保護立場來看，連帶責任固然有利于保障個人求償權的實現，鼓勵共同處理者之間充分約定共同處理的安全保護義務，促使共同處理者積極就數據保護進行互相監督。但在推動數字經濟的大背景下，處理者連帶責任所代表的強保護政策導向，應如何響應 “促進企業聯動轉型、跨界合作”[17]的新業態發展需求？ 我們不妨假設一個場景：整車制造廠商（OEM）希望搭建自己的車聯網系統，而其中的地圖導航服務則作由第三方運營。第三方導航服務直接調用傳感器收集用戶個人位置信息以提供導航定位服務，屬于直接的個人信息處理者；而 OEM 將導航服務獲取并處理的位置信息用于智慧加油、智能停車、旅游信息等車聯網服務，屬于位置信息的共同個人信息處理者。根據草案，若 OEM 在車載外賣服務中泄露了個人位置信息，第三方共同處理者亦需承擔連帶責任。考慮到車聯網方案的開放性，第三方無法充分預見位置信息泄露的可能性與風險，為避免承擔連帶責任，很可能會因此減少與 OEM 的合作，或通過合同限制 OEM 的車聯網方案應用范圍，從而限制車聯網產業的發展合作。

從上述例子來看，若共同處理行為可分割且分工明確，一方處理者為另一方處理行為承擔連帶責任，可能有失公平、打擊企業參與此類產業合作的積極性。但另一方面，若用戶無法對共同處理者涉嫌侵權的處理行為的分工有合理清晰認知，則共同處理者承擔連帶責任則顯然具有保障個人權益的正當性、必要性，也在我國司法實踐中獲得認可。[18]事實上，我國立法對連帶侵權責任的規定一向采取謹慎態度，如《民法典》中對網絡服務提供者提出限制條件的連帶責任。[19] 而從國際立法實踐來看，雖然 GDPR第 26條第 3款規定“數據主體可以對每一名[共同]控制者行使權利”，但該條是否可以理解為共同控制者存在連帶責任仍有極大爭議。[20]顯然，處理者的法律責任分配應當如何權衡個人權益保障與促進產業合作發展，仍有很長的政策研討之路要走——是否應當以個人存在對處理行為的分工有合理認識為判斷標準？該判斷標準是否造成過高的司法判斷成本，以至于一刀切地規定連帶責任更具有可行性？ 類似的政策問題同樣出現在草案第六十五條：對于處理活動侵害個人信息權益的，“個人信息處理者能夠證明自己沒有過錯的,可以減輕或者免除責任”。該條似乎可以理解為采用了過錯推定的歸責原則，即將證明個人信息處理沒有過錯的舉證責任轉移至作為被告的處理者身上；但該條進一步可理解為若處理者證明自己無過錯的，可能僅減輕了其賠償責任，似乎又像是規定了某種公平責任。此外，將本條與草案第二十一條結合理解，進一步產生了歸責難題：承擔連帶責任的兩名共同處理者，且個人信息處理中雙方僅分別負責不同階段的個人信息處理時，若甲方能證明自己無過錯，而乙方無法證明，個人引述第二十一條的連帶責任條款，要求甲方承擔損害賠償責任，甲方是否可以引述草案第六十五條抗辯？如何將六十五條的特殊歸責與共同處理者的連帶責任進行統一，在有過錯的乙方、無過錯的甲方與受損害的個人之間如何實現權益平衡？無論處理者的責任如何劃定，該條毫無疑問將增加處理者的訴訟成本、降低其尋求數字經濟產業創新的積極性。如何在改善當前個人信息訴訟維權困難的現狀與保障產業發展之間取得微妙的平衡，顯然值得進一步廣泛探討。

六、如何劃定處理公開個人信息的“ 合理界限” ？

1.有限度“ 公開” 的個人信息 草案第二十八條規定了處理公開個人信息的基本行為規范，已公開的個人信息只能在被公開的用途之合理范圍內被處理，否則需向個人告知并取得同意，即“公開”不能成為無限制處理個人信息的通行證。此前《民法典》第一千零三十六條已將“合理范圍內使用公開個人信息”規定為個人信息處理的免責事由（個人信息主體明確表示拒絕或者處理侵害其重大利益除外），草案第二十八條在予以繼承與銜接的基礎之上，進一步作出規定：

（1）在使用范圍上，一般局限于“個人信息公開時的用途”，超出此用途相關合理范圍的，應當執行“告知-同意”；（2）在使用方式上，應當合理、謹慎，如果對個人有重大影響時，應當執行“告知-同意”。

考慮到已公開個人信息一定范圍內的公開性或公共性，其處理不再以“同意”為原則和必要，但從條文規定來看，“合理謹慎”、“符合用途”成為把握公開個人信息處理行為邊界的關鍵要素。對于現代企業而言，大量的個人信息處理行為都離不開已公開的個人信息，比如常見的運用“爬蟲”在互聯網平臺采集公開信息等，而如何在個人和企業之間劃定公開個人信息處理的合理邊界，包括商業化采集、識別人臉等“暴露”在公共場合的生物特征信息，成為公眾關心的問題。

2.合理隱私期待原則的參考與運用 如何在個人信息公開用途不明確的情形下“合理、謹慎”地處理公開個人信息？我們理解，“合理隱私期待”（Reasonable Expectation of Privacy）原則可以作為參考。自 1967年 Katz訴United States的判例[21]首次確立，該原則用于公民對抗公權力搜查行為而可能造成的侵犯公民隱私（“執法隱私”）。現如今，隨著互聯網數字經濟的興起，該原則被理論界移植對“信息隱私”的討論研究。根據理論觀點，應當在具體場景[22]（Context）的信息關系中確定個人對信息享有的權益邊界，其重要標準即“合理隱私期待”——個人信息的收集、處理與流轉應當符合個體的合理預期。一般認為，當個人信息的處理超出一個社會中正常理性個體的合理預期時，個人信息處理者必須對個體進行顯著告知，確保個體理解伴隨此類的風險，并且獲得個體的明確授權。[23]例如在實際場景中，某知名視頻 Up主在視頻中公開分享了一定的個人信息，由于媒介傳播特性，信息很可能被“斷章取義”“隨意剪輯”導致公開個人信息的目的、用途被削弱乃至抹滅，但至少可以合理期待 Up主不希望公開個人信息以任何不利于自己的方式被處理。

3.期待隨著行業和技術發展動態調整的合理期待標準

在實踐中，合理期待的判斷也并非沒有難度，其最大的不確定性在于結合場景和個案化的動態評估方式。作為對已公開個人信息處理的替代性原則，其應當在經濟學考量下優于“告知-同意”的實施成本，否則合理期待的制度設計便失去了實際意義。與此同時，對合理隱私期待的判斷依賴于個人信息保護領域具體的執法與司法實踐案例，企業作為個人信息處理者需要一個類似于經驗積累的過程，從而形成公開個人信息處理行業實踐中的有益互動。

合理隱私期待建立在個人存在具體可感的隱私意識之下，相對而言，公共場所采集、識別人臉等個人生物特征信息因可感性較低，清晰、明確地界定合理處理范圍就顯得尤為關鍵。此前，轟動一時的“國內人臉識別第一案”[24]正是對人臉識別技術合理使用范圍的紛爭。根據草案第二十九條，人臉信息屬于敏感個人信息，但其一般“暴露”在公共場合之下，如若法律不加以必要限制，其無感知的處理過程可能帶來嚴重后果。對該等信息的處理，草案第二十七條規定僅限于維護公共安全所必需，并且需要企業設置顯著標識。由此，立法者明確地將人臉等生物特征信息排除在公開個人信息之外，并以強制性規范嚴格約束了未經個人單獨同意情形下公共場所內人臉信息采集和識別的信息處理范圍。

但值得注意的是，除公共安全所必需的以外，人臉、虹膜、步態等生物識別信息有著當前設備識別碼、手機號碼、IP地址等個人標識信息無法比擬的準確性和真實性，可以預見其有廣闊的商業運用空間。隨著無人超市、智慧商圈、智慧社區甚至智慧城市的推廣與普及，在公開或者半公開空間，在（1）具有顯著標識，（2）能夠提供用戶超值便利的前提條件下，大家對步入類似空間后會被有限度采集“暴露”在外的生物識別信息是否可能具有合理的期待？對于類似的新型業態，是否需要動態調整合理期待標準值得我們前瞻性的思考。

七、從網絡安全到數據安全，如何構建中國數據本地化與跨境規則？

1.多種數據出境路徑與新增本地化要求 數據本地化與跨境流動規則構建一直以來是各國數據保護立法關注的重點。除了要求處理者充分告知個人并獲得單獨同意，此次草案更進一步拓展《網安法》下的數據本地化及跨境規則，將數據本地化義務主體從“關鍵信息基礎設施運營者”進一步擴展到“處理個人信息達到國家網信部門規定數量的個人信息處理者”，且要求該兩類主體必須通過網信部門的安全評估方能向境外提供個人信息。而對于其他企業，草案則提供了多種數據出境路徑，只要符合“通過國家網信部門組織的安全評估（存在例外）”、“經國家網信部門指定專業機構進行認證”或“簽訂合同并保證達到與本法一致的個人信息保護標準”三項條件的其中一項，即可向實施數據出境，體現了草案兼顧商業需求，為風險級別低的處理者提供出境便利。

草案的跨境規則與 GDPR有類似之處，如“指定機構認證”要求與 GDPR下經認可的有約束力的公司規則（Binding Corporate Rules）相似、“訂立合同”要求與 GDPR下標準合同條款（Standard Contractual Clauses）有所關聯。同時，草案第十二條規定了國家將積極參與個人信息保護國際規則的制定，推動與其他國家、地區和國際組織之間就個人信息保護規則、標準的互認。由此可以預見的是，未來將會越來越多得通過國際互認等方式建立起數據自由流動的區域性聯盟，同時也將通過私人協議的約束約定以及標準認定等方式完善數據跨境的合法性依據。

2.以網絡為中心轉向數據為中心的安全策略 草案的數據出境監管核心是數據本地化要求。從國家戰略的角度而言，數據本地化存儲是維護國家數據主權，應對跨國網絡攻擊或威脅的重要方式，例如美國很早便開始了網絡安全的戰略部署，近期特朗普政府戰略政策頻發，先后發布《國家安全戰略》《網絡安全戰略》和《國家網絡戰略》[25]，在《國家網絡戰略》中特別強調保護數據和底層基礎設施，將重點從保護網絡擴大到保護這些網絡上的數據，確保數據安全。[26]在 2010 年 10月 8日，美國國防部發布了首部《數據戰略》（“DoD Data Strategy”）[27]，被理解是以網絡為中心向以數據為中心安全模式的轉變。[28] 草案第四十條所確立的本地化規則事實上也順應了當前世界主權之爭從網絡上升到數據的變革趨勢，如果說《網安法》對于關鍵信息基礎設施運營者的本地化要求是以網絡安全為出發點，那么草案將本地化要求輻射到“處理個人信息達到一定量級的處理者”則以數據安全為立足點，體現了立法者對于本地化要求的關注點從網絡安全層面延伸到數據安全層面，以及以網絡為中心轉向數據為中心的立法思維的進步，是立法者在各國數據主權博弈態勢下所做出的積極回應。

3.實操性有待考驗 當然在實際執法過程中，“處理個人信息達到一定量級的處理者”的規定可能帶來一定不確定性。一方面，如何界定個人信息的量級可能存在一定爭議，如參考《雙高解釋》，個人信息量級的計算將以個人信息主體的數量為維度計算，但考慮到現實中企業處理個人信息的數量呈動態波動的趨勢，具體數量的認定可能存在一定難度。極端情況下，如一家跨國企業由于員工數據達到了網信部門規定的數量，此時跨國企業是否需要或者有必要根據草案要求將此前在中國收集存儲在境外的員工數據全部本地化；另一方面，數量為依據的計算方式可能會出現“螞蟻搬家”的規避方式，企業可能將數據存儲在不同子公司所運營的信息系統，或者以多個關聯公司的名義來處理數據，以規避處理數量達到量級所帶來的本地化要求。如果上述情況確有可能規避本地化要求，考慮到實質上同樣數量的數據仍然會發生跨境或者境外存儲，是否需要結合跨境安全評估等規則來進一步規范？ 因此，我們理解具體規則的構建可能還有待網信主管部門出臺進一步的規章或指南予以指導，當然我們也不排除關鍵信息基礎設施運營者與如達到一定數量的個人信息處理者間在事實上存在競合。進一步確認將處理個人信息達到規定數量納入關鍵信息基礎設施運營者的認定標準，在立法上將本地化要求限定于關鍵信息基礎設施運營者或可一定程度解決上述問題。

八、個人信息可攜權是“ 烏托邦” 還是“ 救命稻草” ？

個人在個人信息處理活動中所享有的權利一直是個人信息保護立法過程中備受關注的重點話題。草案第四章在《網安法》與《民法典》的基礎上對于個人信息主體在個人信息處理活動中的權利作了進一步明確與細化，個人在個人信息處理中的知情權、決定權、限制權、拒絕權、查閱復制權、更正權、刪除權在草案中到得到了進一步確認。我國對于個人信息主體權利的設置與歐盟 GDPR，巴西 LGPD等相關規定類似，但與 GDPR相比，草案與《網安法》

及《民法典》一樣，并沒有賦予個人信息主體 GDPR第 20條中所規定的 “數據可攜權”。正如立法者在草案說明中所述，對一些尚存爭議的理論問題，應在本法中留下必要空間。但可攜權的現實難度和立法精神并不妨礙需要我們用時代的眼光來審視可攜權需要的變化和未來可能的發展空間。

在 GDPR 語境下，數據可攜權主要包括“數據主體有權下載存儲在數據控制者處的個人數據”和“條件允許時數據主體有權要求數據控制者為其將數據傳輸給其他控制者”兩方面基本內容，當然 GDPR為其設立了“行使可攜權不得妨礙執行公共利益和官方授權所需，及不得對他人權利和自由造成不利影響”的例外情形。[29]從技術可實現性和經濟成本考慮，數據可攜權自提出之日就被質疑，代表觀點認為這種權利將導致數據使用效率的犧牲而失去存在的價值。

[30] 草案并未接受 “可攜權” 作為個人信息主體的權利，其背后是什么的考量？我們目前是否做好了數據可攜落地的充分準備？這些問題還需要我們分別從數據可攜權其背后隱藏的多方主體的權益平衡談起。

1.數據主體信息自決利益范圍之考量 從數據主體的立場來看，可攜權的理論基礎來源于最初確立于德國聯邦憲法案例“人口普查法案”的信息自決權。[31]但事實上，信息自決被理解為對個人信息絕對的控制權實乃人們對該案判決的誤讀。

[32] 將個人信息作為客體排他性地歸屬于信息主體的做法，無法為他人的行為劃定清晰的禁區，因此也不可能構成私權意義上、受侵權法保護的民事權利。一般認為，在為保護個人信息的隱私利益而行使自決權時，也應受到相應的合理限制。

[33] 這里的合理限制，其中的相當大的因素考量在于數字企業在用戶數據之上享有的一定 “財產權利益”。[34]應該考慮到，數據可攜權強化個人對于個人數據的絕對控制權的同時，必將減損為維護數據資源投入高額成本的企業的利益、不合理地增加企業運營成本。此種信息自決空間是否過寬、影響社會和產業秩序有效運轉本就值得研討。

2.數據企業競爭性利益的保護 數據可攜不僅是個人數據保護法的調整對象，也是競爭法的調整范圍。[35]從數據作為戰略資源角度而言，用戶數據資源的市場占有率已成為現代數字驅動型企業的獨特競爭性優勢。目前例如“頭騰大戰”在內普遍而多發的企業間數據爭奪不正當競爭案例已足以證明這一點。但試圖利用數據可攜權來破除數據壟斷，可能只是一廂情愿的“烏托邦”。有觀點認為，賦予個人數據主體數據可攜權能夠有效制約互聯網巨頭對于數據的壟斷地位，促進數據自由流動，打破數據市場準入障礙[36]，但該種觀點只關注了頭部巨型企業，事實上，在尚未形成成熟的數字產業體系基礎之上貿然引入數據可攜權制度，更為嚴重的問題可能是急劇加重中小企業負擔。[37]根據“鎖定效應”理論，先進入市場的積累了大量用戶的企業（先發優勢企業）對數據具有絕對性的先占優勢，在占有大量數據的同時，先發優勢企業為了保護自身已形成的優勢地位，會采取各種方式提高行業準入的門檻，最典型的方式就是將數據進行封鎖，提高用戶轉換服務商的成本。[38]此外，數據可攜的落地可能還會引發和變相鼓勵企業間“搭便車”的不正當競爭，隨之而來的可能是各種繞過數據可攜的技術壓制，反而加劇圍繞數據的“分封割據”，最后形成個別巨型企業獨占山頭的局面，恰恰違背了數據可攜的制度初衷，從而埋下了違反競爭法確定基礎秩序的隱患。

但盡管數據可攜權爭議較大，實施難度極高，但其立法基于個人信息主體權益主動權利的本意，以及蘊含的技術中立性和“烏托邦”精神，仍然值得我們思考。個人信息從個體控制向多方控制發展的趨勢盡管可能無法改變，設置可攜權或者其他權利促使數據標準化和有條件的自由流動可能在數據成為生產要素的時代困難重重，但我們期待突破數據瓶頸后的智能時代，類似的權利能夠發揮更大的作用。

在當下，可攜權在特殊情況下仍有生存的空間。在某些數據流轉嚴格監管的行業，比如金融及醫療健康等，由于立法滯后禁止不具備相應資質機構處理行業數據，確實存在無法實現數據安全流轉，發揮數據價值的困局。在這種特殊時期，實際上機構或企業對于可攜權并不抵觸，企業與個人信息主體之間從數據角度不存在利益矛盾，從數據有序流轉的目標出發，甚至有動力促使個人信息主體行使可攜權來打破數據孤島。因此是否有條件的設置可攜權能夠達到多主體利益平衡并且保障個人信息安全，可能仍然是具有現實意義的討論。

九、如何看待個人信息違法的高額處罰？

秉持著我國立法體系特色，草案第七章以專章的形式規定了個人信息違法行為應負的“法律責任”。草案第六十二條用兩款規定了違反本法規定處理個人信息或者未采取必要的安全保障措施的行政監管責任，其中備受關注的是草案在《網安法》的基礎之上大幅度提高了處罰力度，并與 GDPR采取了相似的處罰方式，以最高罰金限額以及年度營業額百分比（5%）作為處罰限額。針對時下個人信息監管的嚴峻形勢，草案為監管部門實施個人信息違法處罰提供了強有力的法律支撐。

英美普通法系下經典的“效率違約”[39]理論一定程度上或可解釋提高處罰額度的合理性，個人信息處理者在考量包括罰款在內的違法成本與經濟收益對比后，如若認為放棄合規努力時仍然有利可圖乃至收益結構優化，監管處罰必然僅停留在法律文本之中。然而，監管處罰的目標不僅停留在處罰本身，評估處罰機制的指標之一便是其是否能幫助糾正個人信息違法。根據歐盟委員會此前就 GDPR實施兩周年的評估報告 [40] 來看，通過使用監管工具，在 2018年 5月 25日至 2019年 11月 30日期間，22個歐盟/歐洲經濟區的 DPA 共開出約 785張罰單。從數量上看，行政處罰并不占少數，但從效果上來說，NGO 組織 Access Now指出，與各DPA收到的投訴量相比，罰款次數仍然很少，這意味著 “大量的投訴沒有得到解決”。

[41] 草案通過立法提高處罰額度實乃應時、應勢而為，但與此同時，考慮將違法主體以是否主要依靠個人信息處理獲得經濟利潤為標準予以界分進而來評估具體監管處罰的實施；在多場景下配合運用“吊銷執照”、“停止個人信息處理”等其他處罰工具，也可能成為未來進一步細化罰則的可能方向。

總結與展望 草案作為我國個人信息保護專門立法，立足國內信息領域具體實踐、充分借鑒域外立法經驗，回應了時下的產業與法律實踐的熱點難點，一定程度上揭示了今后的立法與執法趨勢，例如嚴格規范授權同意形式、以數據本地化為視角監管數據跨境傳輸、提升違法行為的處罰力度等。這些規定在與國際個人信息保護規則標準對接、與網安法、民法典等相關法律規范做好

銜接與細化工作的同時，也為日后配套法規的頒行預留了通道，彰顯了立足國情的務實態度，為國際個人信息保護立法貢獻了中國方案。尤為可貴的是，草案站在促進數字經濟健康發展的戰略高度，以將個人信息保護思路從網絡為中心進一步豐富為以數據為中心，并兼顧經濟生活的復雜性，為我國將數據作為新生產要素的數字社會轉型夯實基礎。我們有理由期待，經充分討論、完善與打磨后的個人信息保護法，將平衡好個人信息權益保護與有序自由流動的辯證關系，規范個人信息處理活動、保障廣大人民個人信息權益、激發數字產業活力，在數據主權激烈競爭的國際環境下為我國數字經濟發展帶來新機遇。

第二篇：個人信息保護

為公眾生活筑一道“防火墻”

個人信息不但是一個公民的身份證明，還包含了其生活中最重要的方方面面，它的泄露不僅會給人們帶來生活上的困擾，更有甚者，還會造成財產的損失和情感的欺騙。隨著信息流通渠道的多樣化，泄露個人信息的行為呈愈演愈烈的態勢，對于個人信息的保護必須引起重視。

近年來，公民個人信息被泄露的問題頻繁發生。從絡繹不絕的廣告短信和郵件到隔三差五的業務推銷電話；從虛假的銀行卡消費通知到企圖詐騙的短信和電話，泄露他人信息就像是一個大眾課題，不論是在被泄露的內容和泄露途徑上，或是在泄露后信息的去向和用途上，都在不斷推敲中衍生出越來越多的不法用途。

大到“棱鏡門”丑聞，小到手機上的小廣告，人們對于個人信息的保護意識正在不斷形成，但仍難以避免其不脛而走。究其緣由主要在于當下信息傳播的平臺多，轉手速度快，為信息的泄露增添了更多可能性，加之掌握個人信息的企業單位缺少行業自律，民眾對自身信息的保護意識不強，同時缺少相關的法律法規保障，對不法分子層出不窮的欺騙手段難免心有余而力不足。為了保護民眾的隱私，我們需要變被動為主動，分別從個人信息泄露前、泄漏中、泄露后三方面一起努力。

保護個人信息，應在信息泄露前增強自我保護意識。雖然近些年命眾對于自身信息的保護意識有所增強，但日益增多的欺騙手段往往讓人們防不慎防。所以，可以通過街道、居委會分發《居民個人信息保護小貼士》和開展防范信息泄露講座等形式，普及個人信息泄露的案例和信息自我保護的方法，在人們心中筑起攔阻“大壩”，從源頭防止個人信息被利用。

保護個人信息，應加大信息泄露過程中的監察力度。目前，社會上倒賣各種身份信息的現象猖獗，信息傳播途徑的多樣化更讓不法分子有恃無恐。鑒于此，應當提高相關部門人員在如網絡通信等技術上的專業素養，加大對各個渠道個人信息泄露的監察力度，對于易發生信息泄露的關鍵點和關鍵途徑要嚴格管控，嚴厲查處，防止個人信息的進一步傳播和倒賣。

保護個人信息，還應該在信息泄露后加大懲處力度。建立并完善相關的法律法規，對于泄露他人信息和利用他人信息進行不法操作的行為作出嚴肅處理，提高不法分子的犯罪成本。

還值得注意的是，在竊取個人信息的渠道中，也不乏對正規渠道的利用。如銀行、保險公司、醫療機構、物流公司等，這些深受民眾信任的場所也成了個人信息泄露的重災區。所以，應加強相關企業負責人及員工的職業道德教育，提高行業自律和信息倫理意識，減少不法分子的可乘之機。

個人信息是屬于個人的，但對個人信息的保護是屬于全社會的。只有形成涵蓋全社會的個人信息保護體系，為公眾的生活筑起一道“防火墻”，才能讓個人有隱私，讓信息有保障。

第三篇：個人信息保護

保護個人客戶信息 有效防范金融詐騙

近年來，關于銀行客戶個人信息屢屢外泄的新聞不斷出現在各大媒體報道中，這類重要信息管理缺失行為不僅給客戶帶來經濟和人身危害，也極大的影響到商業銀行社會公信力的塑造。應該看到，各類商業銀行都建立了完善的客戶信息保密制度，通過技術和政策支持也規避了部分泄密問題，但客戶信息失密事件屢見不鮮且利用常規管理方式即可避免風險。如何解決當前存在的客戶信息泄密問題，需要銀行監管部門和商業銀行高管層、各層級管理者認真思考。本文拋開利用計算機技術竊密犯罪因素，僅根據“銀行――社會中介――客戶信息需求方”的泄密通道，通過問題描述和現狀反思，圍繞強化銀行員工思想政治教育、建立聲譽約束的外部監管機制，以及建立同業聯盟的信息公開平臺來防范泄密和詐騙事件的發生。

一、履職過程中存在的泄密行為

假設銀行的客戶信息保密制度設計是沒有瑕疵的，在此基礎上所存在的問題可歸納為以下三個方面。

（一）銀行部分人員的風險意識淡薄

金融機構向社會大眾提供負債、資產、中間業務和其他新興業務，在提供服務的過程中掌握了大量的個人客戶信息，個人金融信息和個人客戶信息必然成為不法之徒追逐利用的目標，其中，最有可能成為失密信息大量使用重災區的是資產類業務。如個人住房貸款、個人消費貸款，尋求該信貸業務的客戶會被社會中介重點關注，他們的個人信息也成為市場其他產品（如家居類產品、裝修、保險等）供應者的商業資源。部分銀行員工在風險意識、保密意識淡薄的情況下，將客戶信息發布出去。發布方式可能是口述、紙質方式、電子郵件、不當處理的垃圾等。

（二）銀行部分人員的利益偏好使然

在現代商業社會客戶信息已成為重要的經濟資源，對該信息的壟斷性獲取將為賣方提供商機。由此，客戶信息需求方為了獲得這種商機，便有意愿通過商品交換形式來求助于社會中介，而社會中介在人際關系處理和商品交易原則下，便可能獲得目標客戶的銀行信息。不難看出，這表現為銀行部分人員與社會中介之間的利益交換關系。

（三）銀行部分人員與中介勾結

金融業競爭日趨激烈，大部分銀行將業務指標與員工收入緊密掛鉤，為完成或超額完成分配的業務指標，獲取薪金收入或業務獎勵，部分員工有意無意地放寬保密規定，為協助中介達成交易，不惜提供客戶信息、為中介補充客戶信息。

二、泄密行為反思

上述泄密行為，為我們進行對策研究提供了方向。然而，商業銀行管理層只能規范銀行內部的信息管理活動，卻無法約束社會中介、客戶信息需求方。這就意味著，要使得對策更具有實效性還要依賴于全社會的參與，共同遵守和保護客戶隱私。

（一）針對銀行內部的現狀反思

客戶信息泄密現象發端于銀行。因此，首先需要從規范銀行涉密人員的行為操守開始。由于存在著信息不對稱現象，商業銀行管理者難以及時、準確把握關鍵人員行為的合規性，因而解決監管缺位成為對策構建的出發點之一。事實證明，依靠監管人員的跟蹤監督是不現實的，需要從組織文化和外部壓力的構建著手。

（二）針對銀行外部的現狀反思

盡管社會中介和客戶信息需求方的行為難以被銀行約束，但在商業社會中銀行應充分發揮自身的網絡資源，通過限制和懲戒他們的銀行業務來給予威懾。所謂銀行業務可理解為，中介組織和客戶信息需求方與商業銀行間的業務往來。

三、反泄密行為的對策

為防止泄密行為引發的欺詐事件，可從三個方面著手。

（一）強化銀行員工的思想政治教育

無論是國有控股商業銀行還是其他股份制銀行，都應強化組織內部的思想政治教育。在開展該項工作時應改變傳統的“空對空”模式，通過案例教學促使銀行員工能夠清楚地知道泄露客戶信息對社會的危害、對銀行本身的危害，以及對自身職業生涯的影響。只有這樣，才能建立起與員工切身利益相聯系的自覺行為。

（二）樹立銀行員工安全保密意識

網絡信息時代，發生客戶個人信息泄露事件，不僅會給客戶造成較大損失，也會給銀行帶來非常嚴重的法律風險和聲譽風險。樹立銀行員工安全保密意識刻不容緩。通過開展安全保密教育活動，教育員工在公眾場合嚴守商業機密，嚴格遵守“為客戶保密”的原則，并落實安全保密責任制。抓好重點崗位的保密工作，強化崗位責任制，將每一項業務操作置于合規框架下，把信息泄密事件消滅在萌芽狀態。

（三）建立聲譽約束的外部監管機制

對于部分風險意識較弱或具有強烈利益偏好的員工，應在優化跟蹤監管機制的同時，建立起聲譽約束機制，借助銀行員工強調自己在單位內部的口碑和聲譽度的心態，將其本單位在履行職責或者提供服務過程中獲得的公民個人信息，存在信息泄露，如情節嚴重的，移送司法機關處理，如情節較為輕微的，進行經濟處罰，并在職務晉升、職稱聘任上實行一票否決制，進而在他們的心理上構建起一道防線。

（四）建立同業聯盟的信息公開平臺

根據社會中介和客戶信息需求方流動性強、與銀行交易較多的特點，針對他們必然與商業銀行發生正常業務往來的性質，金融機構可以在主管部門的協調下建立起各類商業銀行間的信息共享平臺，利用該平臺及時發布已查獲的社會中介組織、客戶信息需求方關鍵人物的信息，在同行業共享的基礎上對他們進行經濟懲戒。這樣一來，就能對潛在的社會中介組織、客戶信息需求方產生威懾作用，增加他們的犯罪成本，進而從信息需求源頭上中止泄密行為。

為維護客戶合法權益不受侵害，避免客戶個人金融信息泄露對客戶自身財產安全造成不利影響，棗莊滕州支行采取五項措施落實客戶個人金融信息保護工作。一是結合各種詐騙案例對員工進行防客戶信息泄露警示教育。要求員工在辦理業務及在八小時以外，高度重視個人金融信息保護工作，禁止故意或過失泄露客戶金融信息行為發生。二是強化個人信息使用管理。在客戶信息使用上，必須經客戶本人書面授權才可查詢及使用。三是對員工辦公用電腦進行清理，對涉及客戶敏感信息的相關文件進行清理，對確需留存的客戶信息進行加密處理；四是加強對第三方機構巡點人員的管理，嚴禁第三方機構人員接觸我行客戶信息。

一、嚴格落實責任。全行員工均簽訂了《保密承諾書》，嚴格落實保密責任，嚴守職業道德。同時，嚴格執行《中國人民銀行關于銀行業金融機構做好個人金融保護工作的通知》、《中國工商銀行青海省分行個人客戶信息管理實施細則(試行)》等制度要求，對客戶個人金融信息的建立、存儲、維護、應用和管理做到依法合規、安全保密。

二、健全客戶個人信息保護制度。一是制定了個人客戶信息保護措施和個人客戶信息管理的原則，落實了各部門、各崗位管理責任，完善內部監督和責任追究機制。二是加強個人客戶信息管理的權限管理，形成相互監督，相互制約的管理機制。三是嚴格按照《中國工商銀行會計檔案管理辦法》、《中國工商銀行商業秘密保護辦法》等文件規定，切實防止信息泄露或濫用事件的發生。

三、強化安全觀念教育。及時組織員工認真學習《個人存款賬戶實名制規定》、《中國人民銀行關于金融機構進一步做好客戶個人信息保護工作的通知》等文件的學習，使廣大員工充分認識個人客戶信息保護的重要性，進一步認識個人客戶信息泄露和濫用帶來的法律后果，對篡改、違法使用、出售個人客戶信息要承擔相應的法律責任，形成了維護客戶個人客戶信息安全的自覺性，增強了發現和防范信息系統漏洞和缺陷的敏銳度。

第四篇：個人信息保護知識

? ? 時刻警惕，自己和家人的信息不要隨便泄露。網絡上泄露信息可能會很危險。

各種推銷電話的騷擾，各種莫名其妙的廣告信息通過四面八方傳播過來，甚至有人用我們的個人信息進行經濟犯罪，到底如何最大限度的保護個人信息？

1、不填寫各種所謂的市場調研里面的個人信息，即使有獎品發放，也絕不把手機號碼、姓名、家庭住址、身份證號碼泄露出去。

2、不隨便把身份證復印件交出去，需要辦理信用卡、收入證明之類的，必須在身份證復印件注明：只用于此用途；用身份證的時候，最好不要讓別人拿著身份證離開你的視線。

3、收快遞的時候，盡量把帶著名字和電話、地址的封面銷毀；發快遞的時候，事先和對方溝通好，發件方的信息盡量少透露。

4、朋友圈投票盡量不投；不明來源的文章鏈接和二維碼不點擊也不掃碼；qq、微信、網站等盡量少的填寫信息。

5、不隨便下載APP和各種網站資源；網上設置各種用戶名盡量不實名制；不可信的wifi不要連接。

6、如參加必須登記姓名和電話的活動或會議，一定告知對方，不許泄露信息，否則追究責任；在網絡上發各種信息時不發家人的圖片、電話、姓名、住址等，盡量少炫耀。

.如何保護個人信息

信息泄露有可能會產生嚴重的后果，進而導致財產受損失。因此，保護個人信息，防范個人信息泄露至關重要，這里給大家提供幾條防止信息泄露的小妙招：

1、保護身份證號碼、銀行卡號、密碼或其他隱私信息，千萬不要把這些信息通過郵件、短信或電話告訴別人，無論這個人表現得多么可靠。任何時候請牢記：合法的組織不會問你這些細節，因為他們已經獲得必要的信息，或可以其他的方式來獲取。

2、忽略網上你不認識的“朋友”，因為他們可能是騙子偽裝而來。因此，務必要小心在社交網絡和與就業相關網站發布履歷和聯系地址等信息，因為一旦這些信息落入不法分子手中，可能會引起相關損害。

3、保護私人電腦安全。如通過安裝防火墻等方式，阻止入侵者遠程訪問個人計算機；使用復雜密碼，提高黑客破解密碼難度。同時，不用電腦時記得關機。

4、及時清理“金融垃圾”。丟掉有私人信息的文件前先將其銷毀。在銷售、捐贈、拍賣或丟棄私人電腦前，用專業軟件清除電腦里所有金融信息。

5、留意那些看起來極其誘惑的獎勵。騙子往往冒充慈善機構或商務旅客，提供就業機會、獎賞其他“機會”。如果他給的條件不合常理，則是非常可疑的。

6、仔細檢查銀行對賬單、賬單及信用卡報告，確認沒有可疑交易。每月關注銀行賬戶，如果覺得有可疑（例如發現某項非本人操作的取款），及時聯系銀行。如果發現銀行對賬單未按時到達，應盡快聯系銀行工作人員。如果沒有收到銀行郵件，則有可能郵箱被盜用。即使沒有任何貸款或透支信用卡消費，仍需每年檢查信用報告，查證盜刷情況是否發生。如果懷疑自己個人信息被盜，應馬上聯系銀行。

7、網上購物需要注意的提醒：第一：在輸入信用卡和個人信息之前確認網站是否安全。大多數網站會有防偽安全標志（如網址旁邊的掛鎖）；第二：網上購物時，盡量選擇商譽好的商家。

第五篇：個人信息權利保護

本科畢業論文

題 目 信息時代背景下公民數據權利保護個案研

究

學 院 法 學 院

專 業 法 學

年 級 2013級

學 號 2220*** 姓 名 黃

瑞 指導教師 馬

濤

成 績

2017年 3月11日

目錄

目錄...........................................................................................................................................................2

一、案例引出問題...................................................................................................................................3

（一）案情簡介...................................................................................................................................3

（二）案例法律分析...........................................................................................................................4

二、個人數據概述...................................................................................................................................4

（一）個人數據...................................................................................................................................4 1.概念界定、特征...........................................................................................................................4 2.信息時代特征（信息時代現狀、特征、帶來的機遇與挑戰等）...........................................5 3.信息時代下個人數據有什么新特征...........................................................................................6

（二）個人數據權...............................................................................................................................7 1.個人數據權概念界定...................................................................................................................7 2.權利內容.......................................................................................................................................7 3.個人信息權同個人隱私權、人格權的的區別...........................................................................7

三、我國對公民個人數據權利保護現狀及完善建議...........................................................................9

（一）案例+分析.................................................................................................................................9

（二）總結現狀...................................................................................................................................9

1、法制不健全...............................................................................................................................10

2、缺乏良性行業自律...................................................................................................................10

（三）完善建議.................................................................................................................................11

1、加強輿論宣傳，強化網絡用戶個人數據信息保護意識.......................................................11

2、完善個人數據信息安全保護的法律法規...............................................................................11

3、加強網絡道德建設和行業自律，建立健全個人信息安全保護與防范機制.......................11 參考文獻：.............................................................................................................................................12

信息時代背景下公民數據權利保護個案研究

黃瑞

（西南大學法學院，重慶，400715）

摘 要：互聯網大數據時代，人們每天都會利用網絡這個媒介傳輸各種個人數據。但是受制于公民數據安全意識、網絡服務提供者職業道德、社會法制建設等諸多因素，導致我國公民個人數據安全面臨嚴重風險。立足于案例，進一步分析我國公民個人數據的概念、個人數據權的定義、現狀、最終有針對性的提出解決公民數據安全的對策措施。

關鍵詞：信息時代；個人數據權；保護措施

一、案例引出問題

（一）案情簡介

2010 年年初，珠海市香洲區法院以被告周建平向詐騙團伙非法出售個人信息資料為由，以非法獲取公民個人信息罪判處周建平有期徒刑一年六個月，并處罰金 2000 元。周建平由此成為我國被法院以侵犯個人信息安全的新罪名追究刑事責任的第一人。案中，周建平于 2008 年 11 月在廣州市成立廣州市華探調查有限公司，違反規定非法獲取他人電話清單、手機清單和人員資料。同年12月，周建平以每份 1200 元或 1500 元不等的價格先后向詐騙團伙出售了14 份電話清單，從中獲利 1.6 萬元。根據周建平提供的電話清單，詐騙團伙在 2008 年 10 月至 2009 年 2 月 19 日期間，分別冒充珠海市霍副市長、恩平市委書記、深圳市寶安區消防中隊隊長、佛山市紀委書記等人以急需用錢為由對其親友進行電話詐騙，共非法斂財近九十萬元。法院的判決可以說走出了對個人信息進行刑事保護的第一步，其積極意義自不言而喻。

2008 年北京市朝陽區人民法院對“人肉搜索第一案”。該案案情為，原告發生“婚外情”，妻子痛不欲生，在互聯網絡上公布了原告和第三者的照片，并且自殺。死者的同學將相關信息整理之后，陸續刊登在互聯網上，并以知情者身份，繼續披露原告的有關信息。原將知情人、互聯網站和轉載有關信息的天涯網站告上法庭，要求承擔民事賠償責任。法院審理后認為，原告確實發生了婚外情，被告作為知情人，在原告的妻子公開有關信息之后，不斷補充有關信息，并且在互聯網絡刊登。互聯網絡管公司沒有盡到審查的義務，并且及時刪除有關信息，承擔侵犯名譽和隱私權的責任，轉載這些信息的天涯網站及時刪除了有關信息，不承擔賠償責任。

（二）案例法律分析

雖然我國在各方面都更加重視法律對公民個人數據的保護，但是保護的效果依舊是差強人意的。例如，2015年通過的《刑法修正案九》將第二百五十三條之一修改為：“違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金;情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。“違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。“竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。“單位犯前三款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰。”刑事制裁手段固然是最為嚴厲和最有效果的，但是其使用往往受制于各種相關因素，例如相關配套法律規范的不完善，信息泄露的渠道不顯著、信息泄露追查較為困難、信息泄露針對單獨個體危害性嬌小的特點，大多數輕微的侵害公民個人數據的案件難以被追究刑事責任。民法保護的是公民最基本的法律權利，但就侵犯公民個人數據這一類案件的民事追責而言，主要是立足于侵權責任法的視角，耗費周期長、個人取證困難，訴訟成本較高等諸多因素也導致了利用民事法律規范保護公民自身數據的困難。

二、個人數據概述

（一）個人數據

1.概念界定、特征

眾所周知，對于公民個人而言，其數據是由多元化的結構組成的，包括個人信息、個人隱私等，但是又與之有所不同。為了準確清晰的界定個人數據的概念，我們必須先厘清其相關概念的定義。就個人隱私而言，其有著多元化的定義，但我比較贊同美國 1974 年《隱私權法》中關于個人隱私（personal privacy）的定義，其認為個人隱私就是指不愿公開或讓他人知悉的事情，亦即與公共利益無關的個人和生活秘密方面的事宜。那么個人信息又是指什么呢？個人信息國內外也有這各種不同的定義方法，但我比較傾向于《歐盟 1995年關于涉及個人數據處理的個人保護以及此類數據自由流動的指令（95/46/EC）》中的概念界定，“個人信息是指與一個身份已被識別或者身份可識別的自然人（數據主體）相關的任何信息；身份可識別的人是指其身份可以直接或間接特別是通過身份證號或一個或多個與其身體、生理、精神、經濟、文化或社會身份有關的特殊因素來確定的人。”通過分析上述概念，我們可以得出，將“個人數據”定義為個人提供的信息（比如搜索關 鍵字、注冊信息等）、或個人原創內容（比如社交關系資料、評價和曬單、旅游 攻略、原創小說、原創視頻等）、或個人（瀏覽、購物、閱讀、觀看）行為產生的 數據、或被政府、企業、醫院和研究機構收集的與個人直接相關（比如GPS位置、IP地址、基因測序、醫療記錄、信用卡記錄、通話記錄等）的數據。

通過上述關于個人數據的概念界定，我們不難看出，這些個人數據詳細而又準確的描述了我們是誰，在哪兒，做了什么，認識哪些人，有什么樣的健康狀態和生活形態，展示了我們的數字化存在。這表現出了個人數據具有隱私性、密切刑、相關性、重要性、核心性、安全性等諸多特征。

2.信息時代特征（信息時代現狀、特征、帶來的機遇與挑戰等）

信息化時代在給社會帶來巨大便利和商業價值并逐漸成為一項國家重要的戰略資源，但因其引發的各類風險也在不斷增加，其中對于個人信息數據帶來的威脅尤為引人關注“ 國外有研究表明，與用戶相關的數據信息正在被逐步集中于少數幾個機構，這些機構能夠通過幾乎所有廣受歡迎的網站追蹤用戶的“網絡足跡”，而幾乎所有的防護技術都在突出問題的嚴重性和尋求替代性解決方法方面存在重大缺陷”，這些缺陷可能導致其對公民個人信息數據的強烈威脅“一般認為，個人信息包括三類: 第一類是個人的基本信息，包括個人的姓名、性別、年齡、住址、職業等信息；第二類信息是消費者網絡活動信息，包括消費者所瀏覽的網站，所搜索的商品信息以及購買記錄等等，這些信息可以準確地判斷出網民的消費傾向#購買習慣、個人喜好等信息，從而成為商家下一步實施精準營銷的基礎數據；第三類信息是消費者存儲的個人信息，比如存在個人 電腦硬盤中的私人照片等”在現代網絡社會幾乎所有的個人信息都被記錄和存儲于網絡之中，國家機關和一些企業都有意識地通過收集和分析個人信息數據以促進管理的便利性或營銷的精準化“大數據時代通過收集和利用個人信息數據能夠給整個社會帶來巨大便利，也為向個體提供精細化的服務打下堅實基礎”但是就像一個硬幣必然存在正反兩面一樣，大數據也必然會對個人信息數據帶來威脅，從一定意義上說，大數據對于個人信息的收集和利用是必然的，而由此引發的對個人信息數據的侵害也是不避免的，這就好比一種新近開發和效力極強的新藥，這種新藥本身是醫藥科學發展一定階段的產物，而且藥效顯著，對于促進現代醫藥水平的發展具有重要作用“但是“是藥三分毒”，這種新藥也是與生俱來的帶有毒性，且毒性和藥性是一對始終相伴相隨的“連體嬰兒”，消滅其中之一也就消滅了整體。信息化大數據本身就是一個將個人信息數據加以收集和整合的過程，數據不夠大或者整合不夠具體細致就無法發揮大數據的優勢和價值，甚至根本就不是大數據本身了。但這并不意味著我們就只能放任藥物的毒副作用發展，就像醫生為了降低某些藥品的副作用常常會采用一些其他措施緩解藥品的毒性一樣，我們對于大數據 可能帶來的一系列侵犯個人權益的威脅也要引起足夠的重視，對于由此引發的個人信息數據危機，也有必要清楚認識并加以有效應對。這一問題已經引發學界的關注，但是對于如何防范和應對信息化時代大數據中的個人信息風險，學界有不同的意見，主流觀點主張通過援引民法中 “隱私權”的規定保護個人數據，根據不同的保護對象和內容，對大數據的隱私保護還可以進一步細分為位置隱私保護#標識符匿名保護連接關系匿名保護等。但是單純通過隱私權的角度保護個人信息數據也存在一些問題，問題實際上不在于大數據是否增加了隱私被侵犯的危險，因為這已經是事實，而是它是否已經改變了風險的性質(the Character of the Ｒisk)。因為如果只是簡單的增加了風險，現有的保護隱私的法律規范還能夠在大數據時代繼續發揮作用，但是如果問題已 經發生了質的改變，則我們必須尋求新的解決辦法。大數據時代的個人信息數據的保護顯然已經逐步超越了 “隱私權”的范圍。首先，網絡時代大數據的特性決定了其不是簡單的隱私權侵犯的問題”在大數據時代，對個人 信息數據的收集和利用行為除了涉及隱私權問題外，還涉及其他一些問題，比如基于大數據對人們的行為進行預測，并依據有關結果采取相應行動，這就可能已經超出隱私權的保護范圍。在美國有家名為 “［x + 1］”的公司利用追蹤技術來收集用戶的網站瀏覽記錄，形成一個記錄人們上網行為的龐大數據庫“雖然它不記錄人們的姓名，但會將收集到的個人標識與其住房擁有情況、家庭收入、婚姻狀況和常去的餐廳等眾多信息進行交叉比對和匯集，然后通過統計分析，推測上網者的個人喜好。其次，在信息化時代的大數據即使確知個人數據的隱私風險，也常常無法簡單通過傳統的隱私權保護手段解決”在現代網絡社會，微博、微信、Facebook 等互聯網服務商既生產數據，又存儲、管理和使用數據，其服務的內容和性質決定了它們必然會接觸到用戶信息數據，所以無法簡單通過技術手段限制其接近用戶信息，也無法通過立法禁止其獲得用戶信息 數據“再者，對于一些涉及個人數據信息交易的行為，也 常無法認定為侵犯隱私權的行為，因為網絡追蹤技術這 種手段本身并沒有問題，數據中間商分析整理獲得的個人信息數據本身也不符合侵權行為的構成要件，難以認定為違法行為” 3.信息時代下個人數據有什么新特征 在這個數據大爆發的信息化時代，網絡這種高速傳播媒介快速發展，公民的個人數據也呈現了信息泄露的隱蔽性、信息安全保障的困難性、信息接受的被動性、信息處分的隨意性等特征突出而又顯著。

（二）個人數據權

1.個人數據權概念界定

個人信息權是信息主體依法對能識別個人的信息所具有的支配、控制并排除他人侵害的權利。個人信息并不是有體物，不能對其進行物理上的占有和支配，賦予信息主體個人信息權體現了法律對個人信息的控制力，是民法對個人信息進行保護的最有利的方式，充分體現了對人格尊嚴和意思自治的尊重，這種尊重主要體現在“個人有權決定何人在何時何地收集、處理和利用其個人信息”。個人信息權作為一種人格權是一種對世權，即信息主體對個人信息享有絕對的支配、控制和排除他人干涉的權利，并在權利受到侵害時能訴諸于法律，請求侵權損害賠償。

2.權利內容

個人信息權本質上就是對個人信息的控制。德國《聯邦資料保護法》將個人信息的使用分為收集、處理和利用三個階段，并在此階段賦予信息主體個人信息的告知權、封鎖刪除權和更正權。這四種權利共同構成德國法律保護個人信息權利的基本內容。齊愛民教授也將個人信息權的具體內容分為信息決定權、信息保密權、信息查詢權、信息更正權、信息封鎖權、信息刪除權和信息報酬請求權。個人信息權代表的是信息主體對個人信息的控制，是一種積極主動的權利，它所包含的內容在信息社會是具有獨特性的，與其他具體人格權有著本質的區別。

3.個人信息權同個人隱私權、人格權的的區別

（1）同個人隱私權的區別

個人信息權具有獨特的權利客體和內容，它里然與隱私權有較為緊密的聯系，但是個人倍息權并不是隱私權，二者處于一種平行共存的關系。一方面，個人信息權與隱私權內涵和外延存在巨大差異；另一方面，鑒于我國現有人格權體系，我國隱私權遠沒有美國隱私權所特有的獨立性和包容性。這就注定了在我國現有民法體系內需要個人信息權和隱私權的共同存在來保障民事主體的私人利益。鑒于當前無論是隱私權還是個人信息權在我國均有較大爭議，以下將對隱私權進行梳理，并進一步探討個人信息權和隱私權之間存在的差異，以及我國不適合將個人信息權納入隱私權范疇的原因。

盡管個人信息權和隱私權有著緊密的聯系，但足個人信息權和隱私權應該是兩個并存的具體人格權，二者有著本質的區別，并不能混為體。具體而言，個人信息權與隱私權主要有以下差異：

第一，從權利性質上來看，雖然個人信息權和隱私權均是人格權，但是隱私權是一種較為純粹的精神性的人格權，而個人信息權則是一項綜合性的權利，除了蘊含人格利益之外，尚存在財產利益。較為明顯的案例則是名人的個人信息具有極大的交易價值。此外，隱私權是一種消極防御權，只有在受到侵害的吋候方可主張救濟，而個人信息權則體現的是信息主體對個人信息的支配和控制，是一種積極防御權。

第二，從權利客體來看，隱私權的客體主要“是自然人不愿為他人知曉或不宜公開的秘密，是一種事實”，其保護的僅是“秘密的、未公開的、可能引起人難堪或不安的信息”。然而，個人信息的客體則是能直接或間接識別個人的信息，不論隱私權的客體擴展得多么寬泛，幾乎沒有娜個國家將已經完全公開的個人信息納入隱私范疇。如便于公共管理的需要將個人的家庭住址和電話號碼等個人信息公開，則這些信息就難以歸于隱私。此外，隱私不一定都以信息的形態出現，如未記載的私人活動。

第三，從內容來看，隱私權注重的是維護個人獨處的權利，私生活的安寧和個人秘密不被公開，而個人信息權關注的則是信息主體對個人信息的支配和控制，信息主體對個人信息的收集、處理和利用享有知情權和控制權等。

第四，從個人信息權和隱私權保護的立法價值上看，個人信息權的立法價值傾向于人格尊嚴和信息流通；而隱私權立法價值則僅僅涉及到人格尊嚴。此外，個人信息權和隱私權的保護重點和補救措施等也存在較大的差異，如個人信息權保護的不僅是個人對信息的控制權，而且還關注信息流轉過程中收集、處理和利用各方主體之間利益平衡。（2）同人格權的區別

《民法通則》將姓名權、肖像權以及名譽權均確定為具體的獨立人格權。一般情形下，姓名、肖像等就是屬于與信息主體人格尊嚴密切相關的個人信息，姓名權、肖像權以及名譽權的規定在一定程度上能保護個人信息。如，當冒用他人姓名時可以援引姓名權尋求救濟；又比如在利用他人肖像信息謀取個人利益時可以運用肖像權予以保護。但是，總的來說，盡管他們與個人信息權存在一定的交集，但是他們對個人信息的保護僅僅限于某一小方面，保護的作用極其有限。如，對個人姓名進行收集和利用并不能以姓名權進行相應的救濟。同樣，若將個人照片傳到互聯網上并不能依據肖像權予以保護。可見，個人信息權與姓名權、肖像權和名譽權有著巨大差異，現有這三類具體人格權不能為個人信息提供有力的保障。

三、我國對公民個人數據權利保護現狀及完善建議

（一）案例+分析 案例一

近年參加國家司司考分數的騙局信息。作為考生一員的筆者深感騷擾之苦，于是，自己的個人信息如何被泄露？很多人質疑自己沒有參加社會考生培訓，也沒有除考生報名留下個人信息之外再留下的個人信息的可能，自然，考生報名收集的個人信息被泄露成為大家最大的猜疑。如此大規模的個人信息泄露，如果司法部的考試中心不能給出解釋，全國的司法考試的考生很難再排除心中猜疑。司法部作為行政機關以手中的絕對權利能收集海量考生信息，假如沒有具體有效的法律監管，很有可能因為某種經濟利益將司法考試考生信息泄露的可能。案例二

2008年廣東省深圳市知名媒體欄目《第一現場》曝光發生一起困擾整個深圳市孕產婦的廣告騷擾電話問題。從懷孕孕檢幵始，各種各樣的商業推銷短信就晝夜不息的發送短信和撥打電話，有推銷嬰兒產品的、奶粉的、孕產婦的用品的、做胎毛筆的，令人十分氣憤的，還有嬰兒死亡處理的推銷服務電話。一天的騷擾短信多時多達多條，有的半夜都在發送短信。本來家中有嬰兒新作父母的年輕人就沒有足夠時間休息而這些不停不休商業騷擾信息讓人苦不言堪，在深圳市對此類因為個人信息泄露引發的許多的人的惶恐和煩惱，百般無奈下只得投訴求助于新聞媒體。在記者現實調查中，從網上很輕松就能找到很多販賣深圳市所有孕產婦的個人信息的買賣，經過記者的一番討價還價，120塊錢就能得到一張光盤，光盤的內容確實為深圳市當年所有的孕產婦信息。販賣信息的小販見記者懷疑信息的可信度，表示這些信息是從衛生局買出來，如有信息不實、不全的情況可以退款。該視頻播出后，盡管沒有直接證據證明深圳市的當年平產婦的所有個人信息是衛生局的管理不善而泄露，但是如此大規模、精準的、全面的個人信息是哪里泄露的？新聞追蹤后的第二年，該市的孕產婦再沒有受到此類的個人信息泄露的困擾。

由此可見，在我國公民個人數據權利保護方面依舊存在很大的不足及短板，嚴重制約了我國公民個人信息安全的保障，給社會埋下巨大的不穩定因素。

（二）總結現狀

人類社會從農耕社會、工業社會再到信息社會的發展，數據收集的手段也從單純的手工收集，發展到電腦收集、分類與識別，再到現如今的大數據分析處理，技術革新帶來的方便快捷讓人們在享受其利好的同時，也經歷其帶來的“痛楚”。大數據時代，資訊革命迅速充斥著生活的每個角落。“在此階段，社會對信息的依賴越來越強。個人數據信息成為社會信息的一種重要資源。”并且，信息社會中的信息已改變了存在方式，從附屬于物質和能源中剝離出來，成為獨立的資源。“信息在信息社會獲得了獨立，其經濟屬性得到了充分發揮，信息具有價值和交換價值，還可帶來附加值，已進入流通領域自由買賣，對信息的占有量是衡量一個企業市場力量的標準之一。”個人數據權利作為公民權利的重要組成部分，其在社會交往中以及經濟生活中的經濟屬性越來越明顯。現如今，智能通信設備尤其是智能手機的普及使得電商等網絡手段的應用越來越廣泛。這使得個人信息也更容易被收集。而個人信息所具有的商業價值與商業利益，促生個人信息被頻繁濫用，且規模巨大、范圍甚廣。針對個人信息濫用，“中國個人信息保護的現狀與意識”課題組在《個人信息保護現狀調研報告》中，將個人信息濫用歸納為過度收集個人信息、擅自披露個人信息、擅自提供個人信息、非法買賣個人信息、超目的使用個人信息、保管不善、掌握的信息不準確、個人信息被冒用八個方面。可見，個人信息安全已成為人們必須面對的一個社會問題。

1、法制不健全

雖然目前，我國現有的法律對公民個人數據信息的保護的確做出了一些規定，但是這些規定多是零星分散于部門法中的。對于什么是公民個人數據、公民個人數據信息中哪些信息可以合法使用以及不當使用公民的個人信息如何問責等一系列問題均未作出明確的規定，那么就需要出臺一部特殊的法律制度來加以規定、加以規范和約束。可是到目前為止，我國公民的個人信息保護法尚未出臺，在如何保護公民個人信息方面仍然存在著較大的法律空白。此外，相關制度的缺位明顯，我國對公民個人信息保護的主要范圍僅限于個人隱私，而對于隱私信息，也僅僅是提供了間接的，一般的原則性規定，而且主要體現為侵犯后的一種救濟機制。最后，相關配套的機制尚未建立從現有的法律規定來看，我國重刑事處罰和行政管理，輕民事權利和民事責任。對公民個人信息侵權責任作出的規定僅限于行政責任和刑事責任，忽略或淡化了其民事責任，從而使得民事主體得不到相應的財產或非財產補償。

2、缺乏良性行業自律

由于政府對企事業單位的監管不到位或監管乏力，對企事業單位泄露公民個人數據的懲罰力度也相對偏輕，使得其內部制訂的規章制度、技術防范措施、保密手段等形同虛設。這樣行業就缺乏自律的意愿，不愿意自設囚籠、自設規范來約束自己。甚至有些企業無視國家法律和社會的公序良俗，沆瀣一氣，實現資源的共享。而對被發散出去的公民個人數據信息對公民自身的侵害或損害微小，達不到相關法律法規的執行門限，那么公民對于自己的維權也就無從談起。

（三）完善建議

1、加強輿論宣傳，強化網絡用戶個人數據信息保護意識

首先，網絡主管部門和網絡運營商要通過各種輿論宣傳工具，對網絡用戶進行個人信息保護知識的宣傳，提高公民對個人信息安全的認識和重視，樹立公民保護個人信息、尊重他人個人信息的理念。同時加強網絡規范的制度建設，建立網絡用戶的道德準則和行為準則，要求信息使 用者不能非法干擾他人信息系統的正常運行；不能利用信息技術竊取他人信息并且在未經允許的情況下使用或出售他人的信息等。其次，個人在信息保護上是第一責任人，負有維護個人信息安全的當然義務。網絡是虛擬的，所以在網絡中要 學會保護個人信息，自我保護意識顯得尤為重要。個人在 進行網絡行為時，如非必要不要將自己的個人信息放到網 絡中去。同時，應加強對個人電腦的安全防護，安裝并及 時升級殺毒軟件與防火墻，提高個人上網設備的安全性能； 此外，還應及時刪除過時不用的個人信息或加密有關個人的信息資料；再有就是在網上瀏覽網頁和注冊賬戶時，盡 量不要把自己的個人信息在網絡中透露給他人。

2、完善個人數據信息安全保護的法律法規

雖然我國目前已有的這些法律法規對個人信息進行了保護，但是卻仍然沒有一部明確保護個人信息的專門法律。立法保護個人信息，不僅突出了公民的信息自由權，彰顯出以人為本的理念，回應了和諧社會權利有序化的訴求。而且立法保護個人信息還能為已受害的公民提供完全充分的幫助。同時還可保護網上消費者的個人信息安全，促使網絡運營有序化，推動全國電子商務和電子政務的健康發展。因此建議國家最高權力機關應該加快立法，盡快出臺 《個人數據安全保護法》。

3、加強網絡道德建設和行業自律，建立健全個人信息安全保護與防范機制

個人數據安全的保護不僅要依靠法律，更需要網絡主體從業人員的道德意識以及自律意識。所有未經本人允許或授權而在網絡上竊取、傳播、出售他人個人信息的行為，是違法的也是不道德的。因此，要加強網絡道德建設，用道德標準約束人們在網絡上的行為，要讓網絡道德成為人們在網絡中實施行為時的一個標準。對網絡運營商而言，除了要對網絡從業人員進行道德教育并提高行業自律意識外，具體還應該做到：在未經網絡用戶同意之前，不得將用戶的個人信息用于其他目的，更不得將其出售給任何人 或提供給任何的第三方機構使用，從而更好地保護個人信息。許多網絡運營企業掌握著客戶大量的個人信息，如果沒有很好的防范機制就很容易造成信息的丟失。無論是電信運營商、電子商務企業，還是信息安全企業都需要對外 來的技術攻擊加以防范。對此，企業必須加強自我約束力，提高保護客戶信息的意識，同時提高技術手段，完善相關信息管理系統，并對用戶個人信息安全管理制度和流程進行梳理和完善，建立健全侵犯用戶個人信息的各項管理制 度與規范，其中主要應包括：用戶個人信息安全管理和保 護機制、問題處理機制、監督機制和獎懲機制等。對侵犯用戶個人信息的情況，要做到 “快、準、齊”進行處理。“快”，即要求相關負責人在第一時間了解具體情況，形成初步處理方案并付諸實施。“準”，即要求決策、處置問題 要追本溯源，抓住問題本質，采取切實有力的行動。“齊”，即要求企業內部人員要齊心協力，共同解決問題。其核心就是要在網絡運營企業領導人的統一領導下，堅持綜合協 調、分類管理、分級負責的原則。對于因泄露用戶個人信息而觸犯刑律的，政法機關應堅決依法查處。

總之，現代網絡在人們的學習、工作和生活中占有重要的一席之地，而網絡環境下的個人信息安全關系到個人的生命財產安全乃至社會的和諧穩定。因此，無論是個人還是全社會，都應該重視個人信息安全的保護。

參考文獻：

[1] 田中梅.網絡環境下我國個人信息的安全問題與保護[J].經營管理者.2013(24)[2]吳佼玲.個人信息安全的思考——解讀中華人民共和國刑法修正案七[J].湘潮(下半月).2010(12)[3]朱羽佳.個人信息安全的刑法保護[J].法制博覽.2016(10)[4]賈經緯.網絡個人信息安全現狀及處理辦法[J].數字技術與應用.2012(03)[5]李皓.網絡環境下個人信息泄露的理論分析及防范探討[J].情報探索.2011(01)[6]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學.2005(06）[7]肖登輝,張文杰.我國個人信息保護立法探究[J].科技創業月刊.2016(16)[8]劉育培.對我國個人信息保護模式的探究[J].法制與經濟.2015(09)[9]劉幾任.淺談大數據時代個人信息保護問題[J].法制與社會.2014(31)