大数据背景下个人信息保护模式的比较研究

大数据时代，个人信息的过度收集和使用给信息主体的生活、公权力机关的权威性、企业的信息安全及国家安全均带来巨大的破坏，选择最优最适的个人信息保护模式是个人信息保护的重点。对比国外个人信息保护模式，较为成熟的有美国模式和欧盟模式，通过梳理两地区的代表性成果，期望对我国个人信息保护模式的确定有所启发。

（一）美国——行业自律主导模式

美国奉行“自由放任主义”，主张让自由市场自行其道是最为适当、迅速的方法，将省去任何由政府运作所造成的效率不彰。正因如此，美国倾向于通过市场自身调节以解决社会问题而非僵化的法律规定以抑制企业的经济活动。^[29]

在美国，单纯的行业自律无法全面地保护公民个人信息，故辅之以法律规制以实现强制效果，形成“安全港”模式。所谓“安全港”模式是一种将国家立法模式和民事主体的自律模式相结合的综合保护模式，具体说，就是将行业的个人信息自律规范纳入相关法律之内，行业内的组织或者机构只要遵循了经由国家主管机关审查通过的行业自律规范，就被认为是遵守了本国相关法律的立法模式。^[30]

1.行业自律为主

美国的行业自律模式主要有以下三种方式：

第一种是建议性的行业指引。建议性的行业指引是由以网络隐私权保护为宗旨的自律组织制定的行为指导原则。^[31]其中，以美国隐私在线联盟（Online Privacy Alliances，OPA）为代表的行业自律组织，其制定的建议性的行业指引要求所属成员承诺必须遵守。1998年6月22日，由46家企业和团体组成的隐私在线联盟公布了其在线隐私指引。^[32]该在线隐私指引的客体即适用于收集的个人可识别信息，内容包括：同意采取并执行隐私政策；应全面公布和告知其隐私政策；选择与同意；信息数据的安全；信息数据的质量和接近等。^[33]建议性的行业指引为行业内提供了较为灵活的个人信息保护要求，但其缺乏强制力，无法对不遵守该指引的企业或团体进行制裁。

第二种是网络隐私认证计划。其是企业自发发起实现网络隐私保护的认证计划。该计划要求被授予“安全认证标志”的网站必须遵守在线资料收集的行为规则，并且服从成员组织的监督、管理。网络隐私认证计划同商标注册原理，对符合要求的企业许可网上隐私标志。网络隐私认证计划的安全认证标志具有商业信誉的意义，它不仅使得用户便于识别遵守该规则的网站，更激励企业更好地遵守网络隐私认证计划。目前，代表性的网络隐私认证组织有两个，一是TRUSTE，二是BBB Online。TRUSTE是美国最具权威性的第三方隐私认证机构，也是美国首家网络隐私认证民间机构，获得认证的网站设立认证标志，表明其属于遵守隐私保护规则并采用TRUSTE制定的争议解决机制的网站。TRUSTE认证并监督网站的隐私和电子邮件政策，监督施行惯例，并且每年解决上万个客户隐私问题。^[34]BBB Online隐私认证计划所指的个人信息，不仅包括个人可识别信息，还包括潜在的个人信息，即网站从第三方在线获得的可识别信息。BBB Online隐私认证计划采取主动检查方式，将对其成员执行隐私指导原则的情况进行监督检查，违规者将被取消成员资格，或被公开点名，或被移送政府有关部门。^[35]二者的区别在于监督及制裁成员的方式不同。相比TRUSTE则采取抽查监督的方式，一旦发现成员的违规行为，TRUSTE就会取消其安全认证资格，将其列入违规名单，若违规行为构成欺诈罪，则将其诉至法院。

第三种是技术保护。技术保护即通过用户装载安全软件，警示用户是否继续提供个人信息操作。其中，最有代表性的是全球资讯联盟网推出的技术标准“个人隐私安全平台（P3P）”，其能够保护在线隐私权，使Internet冲浪者可以选择在浏览网页时，是否被第三方收集并利用自己的个人信息。如果某站点不遵守P3P标准，则有关它的Cookies将被自动拒绝，并且P3P还能够自动识破多种Cookies的嵌入方式。P3P的工作方式为：得到P3P软件的用户可以将他的个人隐私偏好设定在该软件的选项中，软件默认值设定为：当任何网站收集或贩卖个人网上信息的时候，禁止进入该站点或者提醒用户。一旦设定，该软件将同用户的浏览器程序一同运行，每一个受访的站点都会发送某种形式的机器语言提议到用户的电脑中，这个提议包括网站需要用户提供的个人隐私信息以及对这些信息所做的处理。如果该站点的信息收集行为同用户P3P中设定的标准相符，则两者之间关于个人隐私信息的协定就可以自动地缔结，而用户亦可毫无阻碍地浏览该站点；若不符，P3P将会用红绿灯的简单方式提醒用户，用户必须迅速地决定是否对自己制定的个人隐私策略作出修改以进入该网站，这通常会以对话框的形式出现，目的是方便用户作出选择。^[36]

这三种方式共同建立了美国保护公民个人信息的行业自律制度。

2.分散式立法为辅

在立法方面，不同于欧盟制定统一的个人数据保护法，美国以分散立法为特点。1974年，美国制定了《隐私法》，该法是针对联邦行政机构的行为而制定的，并着力于各类信息的收集、持有、使用和传输，该法以隐私权保护为基础，通过隐私权对个人信息加以保护。^[37]1986年，美国国会颁布《联邦电子通讯隐私法案》，以延伸原先在电话有线监听的相关管制（包含透过电脑的电子数据传递）。美国《儿童在线隐私权保护法》于2000年4月21日生效，主要针对在线收集13岁以下儿童个人信息的行为。它规定网站管理者要遵守隐私规则，必须说明何时和如何以一种可以验证的方式向儿童家长索求同意，并且网站管理者必须保护儿童在线隐私和安全。2010年颁布《消费者信息隐私权法案》，该法案延续了信息主体的知情权和个人数据信息使用者的安全保障义务，确立了七大基本原则，包括透明原则、信息主体控制原则、尊重信息主体初衷原则、确保访问畅通原则、信息准确性原则、安全原则以及责任原则。^[38]

（二）欧盟——立法保护模式

与美国不同，欧盟主要采用立法保护模式。

1.个人信息保护的立法演进(www.xing528.com)

对于个人信息保护的相关法律主要包括：1980年颁布的《关于保护隐私与个人数据跨国界流动的准则》，对个人信息保护的最低标准予以明确规定，并试图缓解个人信息保护与信息通信自由之间的矛盾。1981年颁布的《有关个人数据自动化处理之个人保护公约》，明确规定缔约国在收集公民的个人信息时，必须加强对信息主体隐私权的保护。1995年颁布的《个人数据保护指令》（以下简称《95指令》），提出“在制定个人信息保护的相关法律时，应当参照共同的标准，确保法律制定的统一”。1997年颁布的《电子通讯数据保护指令》，对《95指令》进行补充，并强调电子通信部门应遵守保密和安全原则，对电子通信领域的个人数据安全加以重点保护；1998年通过的《私有数据保密法》，进一步规范了在使用个人数据时必须遵守的相关规定，强化了对成员国之间个人数据传输行为的规范。^[39]2002年出台了《电子隐私指令》，赋予隐私主体拒绝他人或组织非法收集个人隐私的权利。紧接着，2009年以来，欧盟为了在大数据时代更好地保护公民的个人信息，对获取个人信息的范围、企业商家的告知义务，侵权行为的救济等都进行了更为完善的法律规定。

2012年初，欧盟《有关“1995年个人数据保护指令”的立法建议》明确增设“被遗忘权”，自此其成为一项根本权利，其定义是“当个人信息不再为正当目的所需，个人使其被删除”。^[40]

2.《一般数据保护条例》的个人信息保护现状

2018年5月25日生效的《一般数据保护条例》被称为最严“数据保护条例”，欧盟负责司法、消费者保护和性别平等事务委员尧罗娃（Vera Jourová）表示：“欧盟消费者得以重拾处理个人信息的控制权，而所有涉及欧盟公民隐私的企业都将被置于严格监管之下。”2016年4月，欧盟就数据保护法律框架作出重大改革，以新颁布的《通用数据保护条例》取代已经沿用20多年的《95指令》，从原来34个条款扩展到99条。《一般数据保护条例》详细制定了欧盟企业和非政府组织等机构收集、储存、处理和转移个人数据的相关规则。《一般数据保护条例》不仅涉及欧盟全境，而且针对与欧盟相关的第三国企业和机构同样具有法律效力，被视为欧盟强化数据保护立法的重要里程碑。^[41]

该条例对比《95指令》，其适用范围大幅扩展，主要表现在：（1）管辖权范围的扩大。《95指令》依据传统的属地管辖权，即设立在欧盟或使用在欧盟境内的设备进行处理活动的控制者，现《一般数据保护条例》采用“影响主义”，即“属地+属人”等综合性原则。根据属地原则，GDPR规制任何发生在欧盟境内的数据处理行为；按照属人原则，GDPR适用于数据控制者和处理者的营业地在欧盟境内，不区分该数据处理行为发生在欧盟境内或是欧盟境外。^[42]（2）扩充原则性规定。进一步明确提出合法公平透明原则、目的限制原则、数据最小必要原则、准确性原则、存储限制原则、完整性和保密性原则、特殊数据处理原则等，并从处理的合法性、同意的要件、儿童同意等方面诠释了“知情同意原则”。（3）信息主体权利的扩大。增设“被遗忘权”“数据可携带权”，在“免受自动化决策权”基础上提出“数据画像”、延展“知情权”与“访问权”，加重数据控制者和处理者的责任义务。（4）加大个人信息保护措施。完善跨境数据传输机制、设立数据保护官、规定欧盟监管机构一致性机制、建立欧洲数据保护委员会、规定巨额行政罚款。^[43]

综上可见，欧盟以完善的立法对个人信息予以充分的保护。

（三）我国个人信息保护的立法现状

在大数据时代，技术的发展使个人信息保护受到严重威胁，而现有的法律框架无法有效应对该问题。从我国现有的法律体系看，我国有关个人信息保护的相关规定散落于各部门法中，多以间接保护方式规定。

1.宪法

我国宪法第33条、第38条、第39条和第40条关于国家尊重和保障人权、公民的人格尊严不受侵犯、公民的住宅不受侵犯以及公民享有通信自由和通信秘密的权利之规定，对个人信息予以了间接保护。

2.部门法规范

我国目前针对个人信息保护的相关立法不乏少数，如2004年1月1日实施的《中华人民共和国护照法》第12条第3款规定：“护照签发机关及其工作人员对因制作、签发护照而知悉的公民个人信息，应当予以保密。”《中华人民共和国消费者权益保护法》第29条第1款规定：“经营者收集、使用消费者个人信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经消费者同意。经营者收集、使用消费者个人信息，应当公开其收集、使用规则，不得违反法律、法规的规定和双方的约定收集、使用信息。”2015年11月1日施行的《中华人民共和国刑法修正案（九）》设非法获取公民个人信息罪。2017年6月1日施行的《中华人民共和国网络安全法》第四章专章规定网络信息安全。2019年1月1日施行的《中华人民共和国电子商务法》第5条、第23条、第25条、第32条、第79条、第87条等规定电子商务经营者收集、使用公民个人信息应遵守的基本原则及承担的义务、责任。相关法规、规章及规范性文件保护公民个人信息的条款亦不在少数。

（四）小结

通过对比美国与欧盟个人信息保护模式，基于政治、经济、文化背景的不同，个人信息保护也采用不同态度。美国主要以行业自律为主，分散式立法为辅，其采用开放的个人信息保护模式，注重信息流通；欧盟采用保守的个人信息保护模式，其通过统一立法形式，注重公民个人权利的保护。而我国宜采用折中态度，既注重信息流通亦注重个人权利的保护。