个人信息流动中的利益平衡原则

郑淑霞

西安工业大学马克思主义学院，陕西 西安 710032

与个人信息有关的利益主体主要有三类，第一类是公民个人，第二类是政府，第三类是相关企业，那么在数据化时代如何兼顾三方利益，既保证对公民个人信息的私权利保护，又兼顾政府基于公共利益和社会利益的目的对个人信息的使用，以及企业基于自身利益的目的对个人信息的使用，如何平衡个人、政府和企业在个人信息流动中的利益平衡关系，此问题的解决将会促进个人信息有效流通和利用。习近平总书记在中共中央政治局第三十四次集体学习时强调，把握数字经济发展趋势和规律，推动我国数字经济健康发展①中共中央政治局2021年10月18日下午就推动我国数字经济健康发展进行第三十四次集体学习。，此问题的解决也将会促进我国数字经济的健康良性发展，加快推进产业数字化和数字产业化，加快推进数字中国和智慧社会的建设。

一、构建“三权合理分隔且一体保护”的制度

我国应实行个人信息高效保护与合理利用并重的价值选择，实现个人信息流动中个人信息权利、企业数据权利与政府数据权利“三权合理分隔且一体保护”的制度模式，并提出利益相对均衡保护的基本原则。

法律制定目的之一，就是解决利益冲突问题，在这里也就是指个人信息主体——自然人和信息处理者——政府和企业之间在个人信息流动中的利益冲突问题。我国近年来制定或者修改的《民法典》《个人信息保护法》《数据安全法》《信息安全技术个人信息安全规范》等相关法律法规，不仅明确规定了自然人和信息处理者（政府和企业）之间在个人信息流动过程中的权利义务关系，而且《民法典》第一千零三十六条还特别规定了信息处理者在处理个人信息时不承担民事责任的情形，平衡了个人信息权利保护和公共利益、社会利益、商业利益之间的利益关系，另外《民法典》第九百九十八条和第九百九十九条亦有类似规定。［1］

二、建立个人信息分类分级保护制度

根据2021年6月通过的《数据安全法》第二十一条的规定，我们可以按照数据在国家经济社会发展中的重要性不同，并结合如果其遭受到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度不同，对数据实行分类分级保护；②《中华人民共和国数据安全法》第二十一条。另外《网络安全法》第二十一条也有类似的规定，国家实行网络安全等级保护制度，采取数据分类、重要数据备份和加密等措施来保障数据安全③《中华人民共和国网络安全法》第二十一条。；2021年8月20日全国人大常委会制定并通过的《个人信息保护法》第五十一条规定，要求个人信息处理者对个人信息实行分类管理和采取相应的加密、去标识化等安全技术措施①《中华人民共和国个人信息保护法》第五十一条。；再结合2020版《信息安全技术个人信息安全规范》《民法典》，我们可以根据个人信息可识别度不同将个人信息分为四类：第一种为不需要借助其他信息即可单独识别自然人的信息，例如身份证号码、姓名、车牌号码、社会保险号码等等；第二种为需要借助其他信息而不能单独识别自然人的个人信息，例如政治面貌、籍贯、工作地址、家庭地址、性别、婚姻状况、受教育程度、宗教信仰等等；第三种为个人敏感信息，根据2020版《信息安全技术个人信息安全规范》，个人敏感信息是指，一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账户、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等等；②2020版《信息安全技术个人信息安全规范》。第四种为通用个人信息，例如民族、国籍、证件类型等等。［2］

结合2020版《信息安全技术个人信息安全规范》《民法典》《个人信息保护法》，我们可以根据个人信息敏感程度不同将个人信息分为五级：主要包括极敏感个人信息（例如诊疗信息、银行账户等，一旦泄露将会给信息主体身心健康、财产带来重大损失）、敏感个人信息、较敏感个人信息、低敏感个人信息、非敏感个人信息。

综上所述，我们可以将个人信息分为四类五级，对于不同类别不同级别的个人信息采取不同级别的保护措施，例如对于不需要借助其他信息即可单独识别自然人的极敏感个人信息，采取最高级别的保护措施，而对于无敏感性的个人通用信息则采取最低级别的保护措施。

三、合理界定个人信息流动中的个人、政府和企业之间的权利（权力）边界

（一）明确个人信息权利的内容

1.明确界定个人信息的概念

我国2021年通过的《个人信息保护法》第四条，明确对个人信息进行了概念界定，根据该法条，所谓个人信息是指以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。③《中华人民共和国民法典》第一千零三十四条。2020版《信息安全技术个人信息安全规范》也有类似的概念界定。

根据上述法律法规可见，个人信息具有三个特征：第一，个人信息的主体只能是自然人；第二，个人信息必须以一定方式记录在一定的载体上，包括电子方式或者其他方式；第三，个人信息具有可识别性。另外，个人信息如果经过脱敏处理或者匿名化处理后，则基本丧失可识别性，无法识别特定自然人，那么这样的个人信息则不属于法律规定的个人信息。

2.明确个人信息的权利范围

我国《个人信息保护法》第四章专门规定了个人在个人信息处理活动中的权利，其权利主要包括：知情权、决定权、查阅权、复制权、更正权、补充权、删除权、要求解释权等权利。

3.个人信息权利可以分为三种

第一种为私密信息，私密信息属于个人信息和自然人隐私权相重合的部分，对于私密信息，按照我国《民法典》第一千零三十四条的规定，适用于隐私权的相关规定。④《中华人民共和国民法典》第一千零三十二条。根据我国《民法典》第一千零三十二条，对于自然人的个人信息中的私密信息，任何组织或者个人都不得采取刺探、侵扰、泄露、公开等等方式。⑤《中华人民共和国个人信息保护法》第四条。

第二种为其他经过授权政府和企业可以使用的个人信息，此部分的个人信息，经过自然人授权，政府基于公共利益或者社会利益的目的（例如人口普查、疫情防控、缉拿逃犯、公布失信人员信息等等）、企业基于商业利益的目的可以采集、使用、流转、公开。［3］

第三种为无需经过授权政府或者企业即可使用的个人信息，对于此种个人信息，信息主体的知情权、决定权、查阅权和复制权将受到限制。⑥《中华人民共和国个人信息保护法》第四十四条、第四十五条。

（二）明确政府在个人信息流转中的权力清单和职责

1.明确政府在个人信息流转中的权力清单

根据我国《个人信息保护法》第十八条和第三十五条的相关规定，政府或者企业在处理个人信息时，如果根据法律或者行政法规的规定，应当保密或告知将会妨碍国家机关履行法定职责、或在无需告知信息主体的情况下，那么以上几种情况下使用自然人的个人信息，则既不需要征求自然人的同意，也无需告知其使用情况。①《中华人民共和国个人信息保护法》第十八条和第三十五条。

政府此种使用个人信息的情形，其主要目的是公共利益、社会利益或者社会秩序，例如为了调查犯罪、为了国家安全而调取有关监控，为了疫情防控而要求自然人在出入公共场所时出示健康码和行程码，为了人口普查而收集的个人的出生信息、家庭成员信息等信息。

2.明确政府在个人信息流转中的职责

根据我国《个人信息保护法》第五章的规定，政府在个人信息流转中的职责主要包括：第一，采取有效措施，例如加强个人信息使用的管理流程，采取信息加密、去标识化处理、实行个人信息的分级分类保护等措施确保个人信息使用的合法合规，并防范未经授权的访问和个人信息的泄露、丢失、篡改；第二，专人专责，专门指定保护个人信息的负责人；第三，政府应定期对其使用个人信息的合法合规情况进行合规审计；第四，建立事前个人信息保护影响评估制度；第五，建立个人信息遭受泄露、丢失、篡改的应急预案制度。②《中华人民共和国个人信息保护法》第五章。

（三）明确数据企业在个人信息流转中的权利清单和义务

1.明确数据企业在个人信息流转中的权利清单

企业对个人信息的使用主要权利包括两种：第一种是基于对大量个人信息的去标识化处理而产生的具有商业价值的数据财产权利。这是一种新的数据权利，就像自然人对其个人信息享有权利一样，企业对这种产生于个人信息但又做过去标识化处理的数据，同样拥有数据权利；第二种是经过自然人授权而对个人信息拥有的使用权。

2.明确数据企业在个人信息流转中的义务

企业除履行如同上述政府在个人信息流转中的职责外，对于类似BAT提供重要互联网平台服务、用户数量巨大、业务类型复杂的企业还应当履行下列义务：第一，成立第三方监管机构，负责对个人信息合法合规使用情况进行监督；第二，明确平台内产品或者服务提供者处理个人信息的规范和保护个人信息的义务；第三，对平台内违法违规的产品或者服务提供者，停止提供服务；第四，定期发布个人信息保护社会责任报告，接受社会监督。③《中华人民共和国个人信息保护法》第五十八条。

四、设立专门监管机构，建立行政监管、行业自律监管和社会监管相结合的一体化执法监管体制

（一）设立独立的第三方机构来对个人信息的使用进行监管

《日本个人信息保护法》针对个人信息的保护，采取的是统一立法，并结合行业自律的模式［4］。我们可以借鉴日本的关于个人信息保护的做法，专门成立一个独立的监管部门来对政府和企业有关个人信息的使用行为进行监督。我国刚刚通过的《个人信息保护法》就明确规定，由国家网信部门承担相关个人信息使用情况的监管工作，从而加大对个人信息保护的力度。

（二）加强行业自律和外部监督相结合

我们可以借鉴美国的行业自律模式，并加强对各行业个人信息使用的外部监督。

五、结语

数字化时代，合理平衡个人、政府和企业在个人信息流动中的利益关系，构建“三权合理分隔且一体保护”的制度，建立个人信息分类分级保护制度，合理界定个人信息流动中的个人、政府和企业之间的权利（权力）边界，设立专门监管机构，建立行政监管、行业自律监管和社会监管相结合的一体化执法监管体制等等，将会促进个人信息有效流通和利用，促进我国数字经济的健康良性发展，加快推进产业数字化和数字产业化，加快推进数字中国和智慧社会的建设。