大数据时代个人信息流动中利益平衡保护的域外模式及启示

郑淑霞

西安工业大学马克思主义学院，陕西 西安 710032

大数据时代如何平衡各方利益主体的利益冲突，是亟待解决的问题，本文将通过对欧盟、美国、日本的个人信息保护模式进行剖析，提出其对我国个人信息流动中利益平衡的启示。

一、欧盟人格权保护模式的演进及评析

（一）欧盟人格权保护模式的演进

欧盟关于个人信息（个人数据）的研究以及立法较早，大致可以分为五个阶段：第一阶段，1950年的《欧洲人权公约》，此公约亦属于世界首次对个人数据进行保护的立法规定；第二阶段，1970年德国黑森州制定并颁布了《德国黑森州数据保护法》，该法属于世界上第一部个人数据保护法；［1］第三阶段，随着科技的发展，开始尝试从整个欧洲建立统一的个人数据保护法，先后制定了《1981年个人信息保护公约》和《1995年数据保护指令》，但该指令有一个很大的缺点，它只适用于成员国，而对于成员国的国民却不适用；第四阶段，为了对成员国及其国民的个人数据均进行有效保护，欧盟又先后通过了《保护个人信息跨国传送及隐私权指导纲领》《有关个人数据自动化处理之个人保护公约》和《关于个人数据处理保护与自由流动指令》，但这些纲领或者指令仅仅属于框架性的指导文件，仅仅起到指导成员国国内立法的作用；第五阶段，采取了统一立法模式，制定并颁布了《一般数据保护条例》（GDPR），该条例被称为“史上最严个人信息保护法”［1］，该条例在个人数据保护历史上起到了一个里程碑的作用。

（二）欧盟人格权保护模式评析

GDPR和欧盟以往的个人数据保护立法相比较，有以下优点：第一，该条例对个人数据下定义时采用了“可识别”和“可间接识别”的法律术语。［2］根据该条例的规定，所谓个人数据，是指任何能够直接识别或者间接识别自然人的数据，包括姓名、性别、年龄、身份证号、家庭住址、职位、职务、工作地址、个人收入、受教育程度等等。第二，对个人数据处理不仅进行了原则性规定，而且还对各方主体的权利和义务做出了明确规定，这就使得该条例既有原则性又有可操作性。第三，GDPR既对成员国之间个人信息流动进行保护，又对成员国境内的个人信息流动也进行保护。这就使得个人数据不仅在整个欧洲层面获得保护而且在成员国国内也得到有效保护，更有利于个人数据的有效流通和利用。［3］

二、美国个人信息财产权保护模式的演进及评析

（一）美国个人信息财产权保护模式的演进

美国关于个人信息性质的界定主要经历了两个阶段，第一阶段为消极保护阶段，1890年美国学者提出隐私权的概念；第二阶段为主动保护阶段，提出信息隐私的概念，并将其纳入隐私权的范畴，也就是在隐私权保护的体系中对个人信息进行保护。

另外为了加强既对个人信息的人身权进行保护，又对其财产权进行保护，美国的个人信息保护模式主要经历了两个阶段。

第一阶段，不同于欧盟的统一立法模式，美国刚开始对个人信息的保护采取的是分散立法、行业自律的模式。首先在宪法里确认了个人信息属于公民的一项基本人权，［1］宪法的规定为各行各业的行业规范制定提供了原则性的规定，其分散立法主要有1966年的《信息自由法》、1974年的《隐私法案》、1980年的《隐私保护法》、1994年的《驾驶员隐私保护法》、1998年的《儿童上网隐私保护法》等［4］。另外美国各行各业在宪法确定的原则的指导下，制定了本行业有关个人信息保护的行业规范。

第二阶段，为统一立法阶段，随着“Facebook数据泄露事件”，分散立法和行业自律的个人信息保护模式暴露出其严重的不足，美国开始了对个人信息的统一立法保护模式。加利福尼亚州2018年6月28日制定并颁布了《2018年加州消费者隐私法案》（CCPA），继CCPA后，美国加州又于2020年11月3日通过了《加州隐私权法案》（CPRA），该法案将于2023年1月1日正式生效。

（二）美国个人信息财产权保护模式评析

和GDPR相比较，第一，CCPA个人信息的范围界定更为广泛，不仅包括能够直接识别自然人的生物识别信息，例如性别、年龄、身高、体重、血型、星座、遗传信息等，还包括个人的家庭信息（家庭住址、家庭成员、婚姻状况等）、财务信息（个人收入、贷款情况、银行存款等）和购买信息（购买习惯、购买渠道、购买价格等）等能够间接识别的个人信息。第二，CCPA扩大了加州居民（消费者）的隐私保护范围，一方面，消费者对个人信息具有控制权，企业在使用消费者个人信息时须经消费者同意；另一方面，该法案还为消费者实现其控制权提供了有效路径。［5］第三，CCPA赋予了加州居民（消费者）更为广泛的法律救济途径和救济力度。其救济途径包括金钱方面的救济途径和非金钱方面（消费者具有申请禁令或者是宣告性法律救济权利）的救济途径，而且在金钱赔偿方面，企业承担的赔偿责任比GDPR更大。［1］第四，CCPA一方面借鉴GDPR的统一立法模式，对个人信息进行保护，另一方面又高度重视产业利益，力求消费者利益、行业利益和技术创新的平衡。［5］第五，CPRA相比较于CCPA，加州居民（消费者）的控制权更强，权利范围更广，而且当权利受到侵犯时，对企业的惩罚力度更大。［6］

三、日本折衷保护模式演进及其特点

（一）日本折衷保护模式演进

日本的《个人信息保护法》于2003年制定，并于2005年4月1日施行，2013年开始了该法的修订工作，并于2015年正式通过［7］，于2017年5月30日正式施行。此次修法对《个人信息保护法》作了较大幅度的调整，2020年又做了局部修改。

（二）日本折衷保护模式特点

现行日本《个人信息保护法》具有如下特点：

1.该法明确了个人信息的概念界定，并明确区分个人数据和个人信息的概念区别，同时引入了“个人信息数据库”的概念。根据日本《个人信息保护法》，所谓个人信息主要指的是能够直接或者间接识别某个特定个人的一切信息，范围较广。而个人数据的范围较窄，“个人数据”就是指构成个人数据库的个人信息。“个人信息数据库”是指含有个人信息的信息集合物。［8］综上可以看出，和欧盟和美国的立法不同，日本立法里的个人信息和个人数据属于不同的概念。

2.在个人信息处理时使用“匿名化加工”制度。在保留个人数据有效性的基础上，对部分可识别内容和符号进行匿名化处理和加工。

3.设立专门机构来保护个人信息。个人信息保护委员会作为独立的第三方监管机构，享有对个人信息的使用者进行监督和管理的权限，当个人信息遭受侵权时，有权对侵权者采取调查、建议、指导、命令和劝告等监督管理措施。［7］

4.借鉴“时间银行”的社区养老模式，日本政府在“数据流通环境整备检讨会”提出“信息银行”的设想。“信息银行”是指“基于PDS（Personal Data Store）等个人数据存储系统，对签订数据使用协议后的个人数据进行管理，并遵照本人的数据使用意愿与第三方开展数据交易活动（数据交易获得的收益由信息银行直接或间接交付给本人）”［9］

5.在知情同意原则上，兼顾企业利益和用户利益，采取“自愿加入（opt-in）”和“自愿退出（opt-out）”两种模式。“opt-in”模式，使用个人信息，须取得个人同意，此模式一般针对的是“需注意的个人信息”，即指含有政令规定的、为避免发生针对本人的人种、社会身份、病历以及其他不利益而需要在处理上予以特别注意的记述等之个人信息；“opt-out”模式，使用个人信息，默认用户同意，针对的是其他个人信息。

四、大数据时代个人信息流动中利益平衡保护的域外模式对我国的启示

（一）制定统一的个人信息保护法

顺应个人信息统一立法保护模式的世界趋势。目前我国关于个人信息的保护也采取的是统一立法模式，除了在《民法典》中明确规定自然人的个人信息受法律保护外，2021年通过的《个人信息保护法》，该法系统地对个人信息进行保护。该法包括八章，其中第一章总则明确规定了个人信息的权利性质属于个人信息权益，并明确规定了个人信息的保护范围以及处理个人信息应当遵循的原则；第二章明确规定了个人信息处理规则，并明确规定了敏感个人信息的处理规则和国家机关处理个人信息的特别规定；第三章规定了个人信息跨境提供的规则；第四章规定了个人在个人信息处理活动中的权利；第五章规定了个人信息处理者的义务；第六章规定了履行个人信息保护职责的部门；第七章规定了各方的法律责任；第八章为附则。

（二）加强行业自律和外部监督相结合

为了加强对个人信息的保护，我国可以借鉴美国的行业自律模式，并加强对各行业外部监督。

（三）加强对特殊群体的重点关注

未成年人作为弱势群体，其个人信息容易遭受侵犯，美国加州专门制定了《数字世界加利福尼亚未成年人隐私权法》，另外还专门就学生群体制定了专门的教育法典。这些对我国立法均有借鉴意义，我国在立法时可以专门就未成年人和学生群体的个人信息保护作出规定。［10］

（四）设立独立的第三方机构来对个人信息的使用进行监管

日本个人信息的保护采取的是统一立法和行业自律相结合的“共同规制”模式［7］。我国可以借鉴日本，设立独立的监管机构来对个人信息的使用进行监管。2021年通过的《个人信息保护法》明确规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。

（五）在知情同意原则上，兼顾企业利益和用户利益，采取“opt-in”和“opt-out”两种模式

我国2021年通过的《个人信息保护法》，亦采取这两种模式，该法第十三条规定的七种个人信息处理者可处理个人信息的情形中，其中有六种情形处理个人信息采取的是“opt-out”模式①我国《个人信息保护法》第十三条。，除此之外，使用个人信息采取“opt-in”模式，须取得个人同意。

综上所述，在大数据时代个人信息流动频繁的背景下，对于个人信息的保护显得尤为重要，本文通过分析欧盟、美国和日本等国家对于个人信息保护方面的立法以及相关政策，发现了其中的优点与不足，希望我国立法机关可以予以借鉴，完善信息保护相关立法，更好的保护公民的个人信息合法权益。