五、大数据背景下我国个人信息保护的完善与建议

纵观国外优秀经验，结合我国的实际情况，我国应采用立法保护、政府监管及行业自律协同发展，形成政府、社会、个人三位一体的“分工负责，通力合作”的保护模式。

我国的行业协会在组织体系中的地位有限，因此仅靠行业自律保护公民个人信息的方法是行不通的。且行业自律同我国立法现状、公民意识等因素密不可分。同西方国家相比，我国长期以来对隐私权保护研究不甚重视，至今仍未有隐私权保护专项立法。而作为隐私的衍生物——个人信息，我国对其研究尚处于起步阶段。不论政府、社会、个人，其个人信息保护意识均较为薄弱，这是时代遗留的产物，非一日即能解决。所以，只有完善的立法、政府的有效监管、企业的成熟自律规则三者齐力奋进，才能使我国加快形成完备的个人信息保护法律体系。

（一）构建个人信息保护制度

在具体的立法工作中，主要内容即是对个人信息主体权利的保护及对个人信息义务主体使用界限的明确。

1.信息主体权利的保护

个人信息主体指的是可通过信息识别的特定自然人。现有立法对信息主体的权利规定不明，结合对美国、欧盟的相关规定，笔者认为信息主体应有以下权利：

（1）知情同意权。知情即指信息主体有权了解信息收集者的名称、收集目的、收集信息的范围、信息被使用的时间地点及方式、信息的保护手段及储存方式、信息主体的权益和权利行使方式、救济途径等。告知内容应尽可能详尽且简洁。同意即指信息主体有权以明示或默示的方式授权信息收集者收集、使用信息。用户有权部分或全部授权信息收集者收集、使用信息，不得以禁止使用平台功能强制信息主体授权提交个人信息。

（2）信息访问权。个人信息权人得以查询、访问、复制其个人信息及其有关的处理情况，并要求有关负责人答复。可以在技术可行时直接要求信息控制者将这些个人信息传输给另一控制者。

（3）修改、删除、停止使用权。在法定或约定的事由出现时，信息主体有权就信息收集者掌握的个人信息进行修改、删除或停止使用的权利。

2.信息义务主体权利的限制

同信息主体相对的即为信息义务主体，其主要包括获取、储存、传输、使用公民个人信息的公权力机关、私主体。信息义务主体在实际使用过程中应遵守一定的规则，即利益协调机制。笔者认为利益协调机制确立的核心既要保证信息的共享性，又要保护信息主体的权利。

利益协调机制在欧盟也有所体现，《一般数据保护条例》中所述：“保护个人数据的权利不是一项绝对权利，应考虑其在社会的作用并应当根据比例原则与其他基本权利保持平衡。”欧盟对于个人信息利益协调机制采用比例原则模式。

北美则采用个案平衡模式，即根据具体情形并依照社会一般观念以及公理等尺度加以衡量，决定是否为实现信息自由而限制个人信息本人的人格利益。^[44]其中，法官在具体裁量个案中，应符合以下标准：第一，依是否具有人格尊严属性或敏感程度划分个人信息类别。处理与隐私相关个人信息的行为则受到更大程度的限制。第二，依个人信息主体的不同。一般而言，北美地区法院对处理公众人物个人信息的行为所附加的限制条件较非公众人物少。第三，依目的的不同。处理个人信息的目的是否基于公共利益。公共利益包括维护国家安全与防卫，公共安全，刑事案件的预防、调查、侦查及起诉和执行，对抗和预防公共安全的威胁，对违反职业道德的预防、调查、侦查和起诉以及经济、财产利益等。^[45]该权利得以确立的理论依据之一是霍布斯与黑格尔等学者主张的信息契约论。根据该理论，包括国家与社会赖以维系的纽带在于它对各个领域的信息（包括个人信息）的收集与传输。社会成员应当将专属于其自身信息的部分权利让渡给国家，从而促进公共福祉的实现；而国家为达到这一目的，有义务在管理这些信息的同时允许公众获得，从而满足后者参与社会事务以及自我发展等需求。^[46]

个人信息基于自身的价值多元性，面对多元化主体需求，通过利益衡量机制实现对不同利益上下位阶的合理选择。我国的利益衡量机制具体应从以下几个方面体现：

（1）个人信息的分类保护

依个人信息敏感程度的不同，分为敏感信息和一般信息，此种分类标准是各国立法主要运用的依据。正因一般信息较之敏感信息对特定主体影响力较小，笔者认为应采取不同程度的保护措施。

欧盟《一般数据保护条例》中规定，原则性禁止个人敏感信息的收集和处理。美国也存在类似的限制性规定，表现为不得以敏感信息作为作出某些决定的依据，否则将被视为歧视性决定。

根据英国1998年《资料保护条例》的规定，敏感个人信息是“由资料客体的种族或者道德起源、政治观点、宗教信仰或与此类似的其他信仰，公会下属关系、生理或心理状况、性生活、代理或宣称的代理关系，或与此有关的诉讼等诸如此类的信息组成的个人资料”。^[47]欧盟《一般数据保护条例》第9条规定敏感数据包括：种族或民族出身；政治观点；宗教／哲学信仰；工会成员身份；涉及健康、性生活或性取向的数据；基因数据；经处理可识别特定个人的生物识别数据。^[48](www.xing528.com)

综合以上规定，笔者认为敏感个人信息应兼采欧盟《一般数据保护条例》的列举规定及兜底条款：种族或民族出身；政治观点；宗教／哲学信仰；工会成员身份；涉及健康、性生活或性取向的数据；基因数据；经处理可识别特定个人的生物识别数据；可能引起社会歧视的其他信息。敏感信息之外的即为一般信息。

因个人信息具有时代特征，随着社会的变迁其内涵也随之变动，则敏感信息亦如此，故应附有兜底条款以应对现实的需要。

（2）基于目的的分类保护

基于目的的分类保护即从“公共利益”与“营利性目的”出发，对敏感信息及一般信息予以分类保护。

判断公权力机关是否为了国家安全、医疗诊断、科学研究或统计目的之需要等，如符合“公共利益”目的，对于敏感信息，可未经个人信息主体同意使用个人信息，但应提供适当、具体的措施保障信息主体的基本权益；对于一般信息，基于公共利益及合法公益性的个人利益，未经个人信息主体即可使用该信息，应提供适当、具体的措施保障信息主体的基本权益，但该措施较敏感信息保护手段相对简便。

且公权力机关基于公共利益未经信息主体同意使用公民个人信息时，要遵循比例原则。^[49]当其不得已使用个人信息时，也要保证该种损害是必须且适当的，使这种影响尽可能限制在小范围，尽量减少对个人利益的侵害。

私主体使用个人信息时，应坚持知情同意原则。对于敏感信息：一是基于合法公益性目的的个人利益。如为了个人科学研究或基金会等非营利性机构在适当安全保障的活动中，经信息主体同意，获取仅与该机构有联系的成员信息，并且相关信息未经信息主体同意不得向机构外披露；二是基于合法营利性目的的个人利益。以营利性为目的获取个人信息的行为，未经信息主体同意，不得使用其信息。对于一般信息：一是基于合法公益性目的的个人利益，如为了个人科学研究或基金会等非营利性机构在适当安全保障的活动中，获取仅与该机构有联系的成员信息，并且相关信息未经信息主体同意不得向机构外披露；二是基于合法营利性目的的个人利益，亦须经信息主体同意使用个人信息；均应提供适当、具体的措施保障信息主体的基本权益，但该措施较敏感信息保护手段相对简便。

不管是公权力机关抑或是私主体在使用公民个人信息时，应使用匿名化等处理技术作为最低保障措施，控制个人信息的再使用范围。

在义务主体使用个人信息时，应在促进经济发展和保护个人权益之间取得平衡，既要对敏感信息予以无条件保护，亦要对一般信息予以一定利用，促进大数据时代的发展。

（二）加强个人信息的监管

1.加强政府监管

欧盟的《一般数据保护条例》第六章专章规定独立监管机构，以监督数据控制者和数据使用者，强调用公权力保障个人信息主体和其他公众的合法权益。

网络安全法第8条第1款规定：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”笔者认为，国家网信部门应作为领导部门，负责统筹协调网络安全工作和相关监督管理工作。各政府职能部门应单独设立信息监管办公室，负责信息共享和使用的技术支持、监督、问责和协调工作。具体职责包括：（1）对个人信息保护相关法律的执行情况进行监督；（2）进行部门获取的个人信息日常管理工作；（3）政府数据开放平台的技术支持；（4）向信息主体提供行政救济、对有关负责人进行问责；（5）作为有关个人信息保护行业自律组织的业务主管单位，对其进行相应的协助、指导。

2.加强行业自律建设

行政部门的过度干预会限制产业发展的自身活力，因此行业自律是解决执法成本较高、公务繁重，达到个人信息保护最优效果的有效方式。

我国在行业自律方面早有尝试，2001年5月25日，以互联网从业者为主体发起、成立了中国互联网协会，并于2002年3月26日发布了《中国互联网行业自律公约》。协会自成立起就积极吸纳互联网行业优秀从业者加入协会共同自律管理，2011年陆续发布了《中国互联网协会关于抵制非法网络公关行为的自律公约》《互联网终端安全服务自律公约》等自律性条款，在规范互联网行业工作上有一定的积极影响。对于信息行业自律组织，可借鉴中国互联网协会的经验，进行个性化调整予以建立。

行业自律组织可借鉴美国网络隐私认证计划，建立行业内信息安全认证制度。即对符合遵守个人信息保护相关行业自律公约的企业许可网上信息认证标志，其作为商业信誉的象征，若通过数次年检仍具有该标志，有关政府主管部门应对其予以奖励，以激励行业自律组织长期、高质量地进行个人信息保护工作。