論個人信息的法律保護

第第頁共13頁論個人信息的法律保護引言近年來，伴隨數(shù)據(jù)信息時代的發(fā)展，我國互聯(lián)網(wǎng)使用主體數(shù)量位居世界首位。據(jù)統(tǒng)計，國內(nèi)現(xiàn)有網(wǎng)民數(shù)量已經(jīng)高達10.11億，網(wǎng)絡(luò)使用率高達71.6%。中國互聯(lián)網(wǎng)絡(luò)信息中心：《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，2021年8月27日?；诖?，互聯(lián)網(wǎng)主體對個人信息的收集、處理活動日益頻繁，逐漸暴露出諸如隱私泄露、個人數(shù)據(jù)的過度收集、違法獲取和不當(dāng)使用等問題，對人民群眾的人身和財產(chǎn)安全構(gòu)成威脅。截至2022年3月，以“個人信息”為關(guān)鍵詞篩選相關(guān)司法案例，共查找到13674條篩選結(jié)果，其中2018年以來的案件共有10110件，占比74%；同時在這13647件司法案例中，有刑事案件13207件，占比96.6%。參見北大法寶網(wǎng)站：/case/，2022年3月18日訪問?？梢婋S著信息技術(shù)發(fā)展由個人信息保護引發(fā)的案件數(shù)量越來越多，造成了嚴重的社會負面影響的同時，在社會生活的各個方面損害著公民和其他信息主體的人身權(quán)利和財產(chǎn)權(quán)利，同樣也不利于社會主體針對信息權(quán)利保護意識的形成和培養(yǎng)。在信息技術(shù)不斷發(fā)展完善的過程中，科學(xué)技術(shù)得進步帶給社會一定的好處和利益，但在個人信息這個權(quán)利保護的層面上，針對于個人信息的內(nèi)涵和外延以及相應(yīng)的法律和社會規(guī)制也在不斷地突破自身的局限性，以達到調(diào)整信息主體行為的良性循環(huán)。在這樣的發(fā)展趨勢過程中，中國互聯(lián)網(wǎng)絡(luò)信息中心：《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，2021年8月27日。參見北大法寶網(wǎng)站：/case/，2022年3月18日訪問。一、個人信息界定及其法律屬性（一）個人信息的界定明確個人信息的概念定義是構(gòu)建個人信息保護制度的前提性問題，其關(guān)系到個人信息的保護范圍。我國《網(wǎng)絡(luò)安全法》將個人信息定義為：以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。與之相類似的，兩高關(guān)于侵犯個人信息相關(guān)刑事案件的解釋當(dāng)中，最高人民法院，最高人民檢察院：《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，2017年5月8日。同樣以記錄性和可識別性作為個人信息的概念特征。2021年1最高人民法院，最高人民檢察院：《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，2017年5月8日。而2021年11月1日實施的《個人信息保護法》則將個人信息定義為：以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息。因此從我國立法例上看，大致可以將個人信息的定義方式分為“識別說”和“關(guān)聯(lián)說”?！白R別說”即采用傳統(tǒng)意義上對于個人信息的界定標準，也就是“是否可以識別個人身份”，這為后續(xù)的個人信息外延的研究打下了基礎(chǔ)。何波：《試論個人信息概念之界定》，載《信息通信技術(shù)與政策》2018第6期，第38-42頁?！秱€人信息保護法》以前的法律規(guī)范即采用了“識別說”的定義方式。而“關(guān)聯(lián)說”是指以關(guān)聯(lián)性作為個人信息的界定標準，所謂關(guān)聯(lián)是以特定個體為已知的前提下，再由已知信息延申至其關(guān)聯(lián)信息。何波：《試論個人信息概念之界定》，載《信息通信技術(shù)與政策》2018第6期，第38-42頁。同上注。（二）個人信息的法律屬性我國《民法典》旨在將個人信息界定為個人信息權(quán)益，即將其歸納為一種特殊人格性權(quán)利，其內(nèi)涵包括人格權(quán)利和利益，因此并不完全屬于民事法定權(quán)利。相應(yīng)地，《個人信息保護法》也同樣采取“權(quán)益”的表達。對于個人信息的法律界定的問題，清華大學(xué)的程嘯教授認為，所謂權(quán)利和法益其實是具有同源性的，皆為法規(guī)范所確證的利益。程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，載《政治與法律》2020年第8期。另有中國政法大學(xué)夏偉副教授認為，個人信息權(quán)益可以分為：信息權(quán)自身權(quán)能所蘊含的權(quán)益和為保護信息權(quán)自身權(quán)能而衍生的權(quán)益。所謂信息權(quán)自身權(quán)能所蘊含的權(quán)益即人格尊嚴、人身財產(chǎn)安全等人身性利益，而排除財產(chǎn)性利益；而所謂為程嘯：《論我國民法典中個人信息權(quán)益的性質(zhì)》，載《政治與法律》2020年第8期。夏偉：《新型權(quán)利入民法典對刑法犯罪評價的影響》，載《法學(xué)評論》2021年第3期。在此值得強調(diào)的是，信息權(quán)主體的范圍并非局限于公民個人，因此個人信息權(quán)利與法益之歸屬也并非限于個人主體，由此可見個人信息之“個人”僅存在于概念關(guān)聯(lián)。張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。而我國《民法典》張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。探究個人信息實質(zhì)，實則為權(quán)利客體，其法益具有權(quán)利、權(quán)益和利益多重形態(tài)，并具體分成不同層次，即個人、公共和國家法益。張勇：《敏感個人信息的公私法一體化保護》，載《東方法學(xué)》2022年第1期，第66-78頁。具體來講，首先，其中個人法益包括自然人人格權(quán)利等人身性權(quán)益，以及相應(yīng)引申出來的財產(chǎn)性利益。其次，公共法益實為社會秩序與公共利益，是以信息權(quán)益角度出發(fā)關(guān)系到公序良俗的社會性利益。最后，國家法益則是以個人與公共利益為基礎(chǔ)，上升至國家安全和國家利益的權(quán)利?？偟膩碇v，個人信息法益可分為公、私兩個層面的張勇：《敏感個人信息的公私法一體化保護》，載《東方法學(xué)》2022年第1期，第66-78頁。（三）個人信息的分類首先，從《民法典》的立法來看，基于第一千零三十四條的規(guī)定，可以看到個人信息被劃分成私密信息和非私密信息，并根據(jù)這一劃分指明了隱私權(quán)與個人信息的法律規(guī)則適用。其次，從《個人信息保護法》的立法來看，個人信息分成非敏感個人信息和敏感個人信息。基于著重保障敏感個人信息的國際社會發(fā)展趨勢和我國發(fā)展現(xiàn)實的雙重考慮，我國《個人信息保護法》的起草制定雖借鑒參考了歐盟《一般數(shù)據(jù)保護條例》中有關(guān)敏感個人信息的內(nèi)容，但做出了區(qū)別于《一般數(shù)據(jù)保護條例》直接列舉的界定方式，通過歸納權(quán)益遭受侵害后可能造成的后果進行界定。此外《個人信息保護法》還規(guī)定了針對特定年齡段未成年人信息的特殊處理規(guī)則。一定程度上擴大了對于敏感個人信息內(nèi)涵的范圍，增設(shè)了對于個人信息處理者對此類處理行為的專門義務(wù)。二、個人信息保護存在的主要問題（一）立法層面中的不足1.處理敏感個人信息的“特定目的”模糊對于敏感個人信息的處理，我國《個人信息保護法》采取的立場是“原則允許”，也就是對敏感個人信息的處理只要滿足一定的要件即可，如基于特定目的等。但《個人信息保護法》在立法上對于如何界定“特定目的”的問題卻十分模糊。例如向信息主體告知必要性及影響等客觀行為要件，去判斷信息處理者是否滿足法定要求是較為容易的，通過信息處理者是否實施了相應(yīng)行為即可作出判斷，但對于“特定目的”這種具有主觀色彩的要件卻難以準確判斷。顯然是否具有“目的”并不是允許進行敏感信息處理的要件，關(guān)鍵在于“特定”，而現(xiàn)行立法卻沒有對“特定”做出界定，因此有必要對何為“特定”作出分析。通過與一般個人信息的處理規(guī)則進行比較可以發(fā)現(xiàn)，處理一般信息要求具有“明確目的”，而處理敏感信息要求具有“特定目的”。又從立法目的上能夠體會到，法律敏感信息的保護應(yīng)該高于一般信息，即“特定目的”應(yīng)該比“明確目的”更為嚴格。但這只是通過觀察立法體例和結(jié)合立法目的推知出的應(yīng)然的結(jié)論，在實然上如何劃分二者的層次在立法中并沒有做出規(guī)定，基于此明確處理敏感信息的目的的特定性具有現(xiàn)實必要。2.個人信息的“合理使用”標準難以統(tǒng)一界定我國對于個人信息的保護所采取的主要是一般性規(guī)則加例外條款的模式，如個人信息合理使用，就是在信息處理的過程中對于權(quán)利主體的知情同意權(quán)的一種例外性規(guī)定。針對于個人信息合理使用的立法框架則是先由《民法典》對人格權(quán)方面合理使用規(guī)則進行宏觀上總括性的規(guī)定，再由《個人信息保護法》進行細節(jié)性處理和延展，以明晰標準和規(guī)范規(guī)則邊界。在《民法典》中規(guī)定了人格權(quán)、肖像權(quán)、姓名和聲音的合理使用，以及處理個人信息免責(zé)事由。在此體系之下，我國《信息安全技術(shù)的個人信息安全規(guī)范》在5.6條的“征得授權(quán)同意的例外”中列舉了11項合理使用情形。而《個人信息保護法》第十三條和二十七條規(guī)定，針對已經(jīng)被合法公開的信息，只要其被公開本身是合法的，那么就無需適用告知同意規(guī)則即可處理個人信息，但信息主體明確拒絕除外。但是這一制度在操作中就會面臨一個問題：如何界定合理的范圍，即針對“合理”的客觀化判斷標準存在一定程度的空白。因為判斷一件事物是否合理往往帶有一定的主觀色彩，會受到個人思想、立場等方面的影響，信息主體判斷是否合理的標準與信息處理者認為是否合理的標準會由于二者的立場不同而不同，同時法官也可能會有異于信息主體與信息處理者的判斷標準產(chǎn)生自己的看法。這種判斷方式的靈活性很大、沒有準確概念，在司法裁判中難以把握，應(yīng)當(dāng)為“合理”尋找客觀化根據(jù)。3.我國個人信息權(quán)利主體范圍存在局限性我國目前生效的《個人信息保護法》雖然已經(jīng)相較于《民法典》等先前的法律規(guī)范有了更深層次的完善和更全面完整的架構(gòu)，但是本文認為對于受法律保護的享有信息權(quán)的主體范圍在立法當(dāng)中依然存在著一定的局限，即與我國網(wǎng)絡(luò)安全、電子商務(wù)、數(shù)據(jù)安全領(lǐng)域中的權(quán)利人范圍相比，個人信息領(lǐng)域中的權(quán)利人范圍過于狹窄。具體體現(xiàn)在，我國《民法典》中規(guī)定“自然人的個人信息受法律保護”，由此可見《民法典》側(cè)重于對自然人的保護。與之相類似的是我國《個人信息保護法》于第二條、第三條中予以明確的主體均為“自然人”主體。根據(jù)《網(wǎng)絡(luò)安全法》第二十二條的規(guī)定，可以看出其更傾向于對用戶信息的保護。與之相類似，我國《電子商務(wù)法》于第二十三條也體現(xiàn)出其保護更多針對的是用戶主體。《網(wǎng)絡(luò)安全法》、《電子商務(wù)法》對所謂“用戶主體”的范圍并未明確，用戶可以不受自然人主體范圍的限制，因此可以理解為法人或其他組織的主體，可以看作是對自然人主體一定程度上的擴張。與前者均有不同的是，我國《數(shù)據(jù)安全法》于第一條和第二條明確表示本法保護主體包括自然人、組織，可以見得《數(shù)據(jù)安全法》保護的主體范圍比較寬泛全面，可以實現(xiàn)對數(shù)據(jù)安全的多維保護。綜合以上梳理，我們不難發(fā)現(xiàn)在我國現(xiàn)存有效的法律制度中對個人信息的權(quán)利主體的規(guī)定更多針對于公民個人或者是自然人個體，而本文認為針對個人信息保護的范圍不能只局限于自然人主體。4.私密信息內(nèi)涵和外延不明確我國《民法典》以獨立的章節(jié)規(guī)定了“隱私權(quán)和個人信息保護”，采用了將二者進行分別保護的“二元立法模式”?！睹穹ǖ洹酚诘谝磺Я闳l規(guī)定了自然人享有隱私權(quán)，并隨之對“隱私”給出了定義，其內(nèi)涵包含私密信息。此外《民法典》亦明確給出了“個人信息”的定義。但深入分析以上兩對概念定義，可以發(fā)現(xiàn)“隱私”與“個人信息”這二者間存在著概念上的交集，隱私中包含著主體不想被人知悉的私密信息，而私密信息恰恰又為個人信息所指稱，也就是說私密信息這一概念共同屬于隱私和個人信息這二者的交集?；陔[私權(quán)重于個人信息的立法理念，冉克平：《論<民法典>視野下個人隱私信息的保護與利用》，載《社會科學(xué)輯刊》2021年第5期，第103頁。冉克平：《論<民法典>視野下個人隱私信息的保護與利用》，載《社會科學(xué)輯刊》2021年第5期，第103頁。5.敏感個人信息和私密信息的關(guān)系法律適用不明確對于這兩對概念之間的關(guān)系，交叉重合說是當(dāng)前學(xué)術(shù)界的主流觀點，即認為這兩對概念存在著相互交叉之可能。對于私密的敏感個人信息來說，其既是《民法典》中隱私權(quán)的調(diào)整對象，又是《個人信息保護法》中敏感信息的調(diào)整對象，這就意味著私密的敏感信息存在著既被《民法典》規(guī)范調(diào)整，又要被《個人信息保護法》規(guī)范調(diào)整的可能?！睹穹ǖ洹返谝磺Я闳臈l明確規(guī)定了私密信息的法律適用規(guī)則，這意味著對于私密的敏感個人信息，《民法典》規(guī)范將得到優(yōu)先被適用。然而從另一角度分析，盡管《個人信息保護法》是一部領(lǐng)域立法，其具有公法與私法的雙重性質(zhì)，是一部綜合性立法，在私法層面上《個人信息保護法》中的制度規(guī)則是對《民法典》制度規(guī)則的細化，其與《民法典》是特別法與一般法的關(guān)系，則特別法應(yīng)當(dāng)優(yōu)于一般法得到適用。這就出現(xiàn)了在兩對概念交叉重合時兩部法律規(guī)范是否相矛盾，王洪亮:《民法典與信息社會——以個人信息為例》，載《政法論壇》2020年第4期，第王洪亮:《民法典與信息社會——以個人信息為例》，載《政法論壇》2020年第4期，第7頁。石佳友:《個人信息保護法與民法典如何銜接協(xié)調(diào)》，載《人民司法》2021年1月中，第93頁。（二）實踐中存在的問題1.侵犯公民個人信息與不合理使用個人信息在刑事犯罪領(lǐng)域中，當(dāng)下侵犯公民個人信息的行為屢見不鮮，個人信息受侵犯已經(jīng)成為了一個社會性問題。我國2021年生效實施的《刑法》于第二百五十三條之一規(guī)定了侵犯公民個人信息的犯罪行為。以發(fā)生在上海市的一個案件為例，2016年起柯某以房產(chǎn)交易網(wǎng)站為掩飾，非法獲取房產(chǎn)業(yè)主信息30余萬條，并通過非法售賣的方式獲取違法所得150多萬元?？履城址腹駛€人信息案，最高人民檢察院檢例第140號。本案于2019年審結(jié)，柯某侵犯公民個人信息案，最高人民檢察院檢例第140號。在民商事領(lǐng)域中，存在對用戶個人信息不合理使用的灰色地帶，這是更為社會所關(guān)注的，例如目前交易實踐中存在大量的“大數(shù)據(jù)殺熟”區(qū)別對待的問題?！按髷?shù)據(jù)殺熟”通常是針對社會不特定主體利用程序算法和大數(shù)據(jù)分析對其用戶進行一種類似于“用戶畫像”的分析，獲取用戶特征后而產(chǎn)生差異性價格交易等行為的一種概括。鑒于當(dāng)下數(shù)據(jù)化經(jīng)濟發(fā)展形勢，用戶個人信息往往均以數(shù)據(jù)形式出現(xiàn)在交易、社交等網(wǎng)絡(luò)生活之中，因此呈現(xiàn)出來的不再是個體而是數(shù)據(jù)庫?；ヂ?lián)網(wǎng)平臺憑借其其強勢地位大量收集信息、進行加工處理，而后通過數(shù)據(jù)分析還原個體喜好進行所謂的畫像分析，目的在于提升用戶活躍度和用戶粘性，甚至出現(xiàn)了在對用戶點擊次數(shù)、交易情況以及偏好進行統(tǒng)計后針對不同用戶收費差異的情況，嚴重侵害消費者的知情權(quán)和公平交易權(quán)、嚴重擾亂正常的市場秩序。在《個人信息保護法》公布實施前，我國針對信息侵權(quán)行為和通過信息侵權(quán)謀取競爭優(yōu)勢的行為的規(guī)制仍不完整，一遇到“大數(shù)據(jù)殺熟”的現(xiàn)實問題，僅僅通過《消費者保護法》難以保障信息主體的基礎(chǔ)性利益。2.個人信息泄露案件“舉證難”信息主體與信息處理者在地位上存在差別，信息處理者在互聯(lián)網(wǎng)領(lǐng)域主要表現(xiàn)為大型互聯(lián)網(wǎng)平臺或電商平臺，而此類機構(gòu)組織與相關(guān)用戶之間具有顯著的信息不對稱。主要體現(xiàn)在：當(dāng)事主體在網(wǎng)絡(luò)活動中所掌握的信息量明顯不對等，在電子數(shù)據(jù)化合約簽訂或履行過程中，相關(guān)網(wǎng)絡(luò)平臺擁有著用戶主體無法擁有的信息，由此造成了信息偏差。由于互聯(lián)網(wǎng)平臺企業(yè)的自身行業(yè)特點，其在邊際成本很低甚至為零的情況下，很容易經(jīng)過兩極分化作用形成較大的經(jīng)濟規(guī)模，以致具有強大的信息控制權(quán)，加之伴隨著互聯(lián)網(wǎng)信息技術(shù)的快速發(fā)展，數(shù)據(jù)算法技術(shù)被廣泛運用，互聯(lián)網(wǎng)服務(wù)企業(yè)便將其掌握的大量信息數(shù)據(jù)作為提供精準服務(wù)的基礎(chǔ)，以期降低企業(yè)成本。一旦發(fā)生了信息侵權(quán)則會引發(fā)用戶主體在舉證層面上的以下困境：首先，用戶主體無法及時知曉被處理或使用的個人信息范圍，就更不可能明晰自己的個人信息權(quán)利是被否被劃分到合理使用范圍，無法保證其訴權(quán)。其次，用戶主體針對其侵犯主體無法明確，在大量用戶信息買賣或互換的情況下可能涉及多方主體共同侵權(quán)，在舉證過程中很難窮盡，就會必然造成個人信息權(quán)利保護的不周延性。最后，用戶主體很難在發(fā)現(xiàn)其個人信息遭受侵害的第一時間取證，因為大多數(shù)情況下信息侵權(quán)發(fā)生在電話通訊領(lǐng)域或者是網(wǎng)絡(luò)后臺程序。例如由于電話信息來源難以追蹤、網(wǎng)絡(luò)服務(wù)器用戶特定身份信息易被非法篡改、非法截獲等原因，出現(xiàn)了社會備受關(guān)注的電信詐騙事件和網(wǎng)絡(luò)服務(wù)器Cookie安全威脅事件。在如此專業(yè)化復(fù)雜化的情況下，公民個人信息主體難以有效的針對其進行數(shù)據(jù)追蹤或是后臺分析，往往只能在涉及交易的情況下才能通過《消費者權(quán)利保護法》對財產(chǎn)損失進行維權(quán)，而忽視了最為基礎(chǔ)的信息權(quán)利。3.對信息處理主體規(guī)制不足（1）互聯(lián)網(wǎng)平臺缺乏“使用者責(zé)任制度”若要在全社會范圍內(nèi)全面地筑起個人信息保護的圍墻，只靠個人信息主體維權(quán)和外部行政監(jiān)管是不夠的，更重要的是建立一種主體責(zé)任制，讓信息處理主體自覺履行處理者義務(wù)。以往的個人信息保護制度是通過立法賦予個人信息主體相應(yīng)的權(quán)利的方式，意在通過私權(quán)利保護的方法來保護個人信息權(quán)益的，個人信息主體主要的維權(quán)方式就是訴訟。但是隨著互聯(lián)網(wǎng)時代的不斷發(fā)展進步，通過這種方式保護個人信息權(quán)益已不再滿足實際需要。原因在于：一方面，是基于互聯(lián)網(wǎng)發(fā)展導(dǎo)致的技術(shù)性增強，互聯(lián)網(wǎng)主體處理的個人信息的方式多樣、環(huán)節(jié)復(fù)雜，個人信息主體的維權(quán)難度也越來越大。另一方面，互聯(lián)網(wǎng)主體作為信息處理者處于一種優(yōu)勢地位，往往采用格式條款、“強制授權(quán)”等方式來處理個人信息，使得公眾不能自主地作出選擇與授權(quán)。而基于行政“控權(quán)”的理念，通過行政手段運用公權(quán)力進行規(guī)制與不斷發(fā)展變化社會現(xiàn)狀相比略顯滯后，與高速發(fā)展的互聯(lián)網(wǎng)現(xiàn)狀之間便存在著“真空地帶”。因此在個人維權(quán)與行政監(jiān)管都不能很好發(fā)揮規(guī)制作用的情況下，就需要為互聯(lián)網(wǎng)信息處理主體本身制定相應(yīng)的規(guī)范，強化個人信息的“使用者責(zé)任”，夯實信息權(quán)益保護的社會屏障。（2）互聯(lián)網(wǎng)行業(yè)缺乏監(jiān)管體制盡管當(dāng)前《個人信息保護法》中確立了“統(tǒng)籌協(xié)調(diào)”加“各自監(jiān)管”的個人信息處理監(jiān)管機制，但尚未形成一個較為健全的行業(yè)監(jiān)管制度體系?！秱€人信息保護法》要求網(wǎng)信部門總體規(guī)劃、國務(wù)院各部分別監(jiān)管，但是這一機制剛剛確立不久，明確各部門監(jiān)管職責(zé)的有關(guān)法律、行政法規(guī)還沒有配套出臺，各部門之間的統(tǒng)籌協(xié)調(diào)還未成熟。個人信息的處理行為存在多個環(huán)節(jié)，相應(yīng)的對處理行為的監(jiān)管也應(yīng)針對不同環(huán)節(jié)進行職責(zé)劃分，但當(dāng)前的行政監(jiān)管大多是圍繞個人信息的收集環(huán)節(jié)，而針對其它處理環(huán)節(jié)的監(jiān)管就顯得尤為薄弱，各個環(huán)節(jié)之間沒有形成監(jiān)管的全覆蓋。三、完善個人信息保護的相關(guān)建議（一）域外立法的相關(guān)經(jīng)驗1.明確敏感個人信息的處理原則通過比較域外立法，可以看出域外較為成熟的相關(guān)立法對待“敏感個人信息”的態(tài)度大多是比較嚴格的“原則禁止”。如《一般數(shù)據(jù)保護條例》第九條就規(guī)定了，對敏感個人信息的處理行為采取“原則禁止”的態(tài)度，除非是出于保護信息主體利益的需要、出于維護重大公共利益的需要等。再如我國臺灣地區(qū)有關(guān)領(lǐng)域立法也體現(xiàn)了，對個人的生物識別信息、醫(yī)療狀況、性狀況等敏感個人信息禁止信息處理者進行處理，除非是基于法律另外規(guī)定、基于公法上的原因且有安全維護等。2.“合理使用”的域外立法經(jīng)驗針對其表述用語國際社會不同法律表達也不同，與我國《民法典》具有“合理使用”“免責(zé)事由”、“合理實施”的三種表達方式不同，《一般數(shù)據(jù)保護條例》采用了“處理的合法性”的用詞方式，而日本則采取了“例外情形”此類多樣性的表達。從具體內(nèi)容上來講，《一般數(shù)據(jù)保護條例》中第六條、第九條、第二十三條，規(guī)定了合理使用規(guī)則的有關(guān)內(nèi)容，同時關(guān)于處理個人數(shù)據(jù)的七大原則中的“目的限制原則”、“數(shù)據(jù)最小化原則”，可以看到在法律規(guī)制層面上對“合理性”適用采的合理性標準取了極為謹慎地數(shù)據(jù)處理方式，即在目的限制內(nèi)要求在充分且適度的范圍內(nèi)進行。日本《個人信息保護法》第十六至十八條規(guī)定了可以在未取得信息主體同意的情況下而收集、處理信息的情形。我國臺灣地區(qū)《個人資料保護法》第九條規(guī)定了，收集行為可以不經(jīng)告知的情形。從相關(guān)域外法的經(jīng)驗可以看出，個人信息保護中規(guī)定的合理使用條件存在著許多共同的情況。3.規(guī)定嚴格法律責(zé)任我國針對于信息侵權(quán)行為的規(guī)制在《個人信息保護法》制定前一直處于缺位狀態(tài)，缺乏社會實踐經(jīng)驗，以至于諸多企業(yè)以此獲取大量不正當(dāng)利益，以《網(wǎng)絡(luò)安全法》為例，其中處罰額度的上限僅為100萬元。但在國際社會之中，歐盟的《一般數(shù)據(jù)保護條例》屬于目前國際領(lǐng)域中在保護個人數(shù)據(jù)方面，規(guī)定最為嚴格、處罰最為嚴厲的法規(guī)之一，并且全球多個國家或地區(qū)也以《一般數(shù)據(jù)保護條例》為參考，制定或補充了不同的數(shù)據(jù)保護細則，比如美國加州的《消費者隱私法》。據(jù)統(tǒng)計，自《一般數(shù)據(jù)保護條例》生效后，至2021年10月，以此為依據(jù)的處罰案件超過800起，累計罰款金額總值超過12.9億歐元。中國信息通信研究院：《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息保護治理白皮書》2021。其中針對《一般數(shù)據(jù)保護條例》實施兩年的300起罰款進行個案數(shù)據(jù)統(tǒng)計，最高數(shù)額高達2.04億歐元，即2019年英國航空公司由于泄露50中國信息通信研究院：《移動互聯(lián)網(wǎng)應(yīng)用程序（APP）個人信息保護治理白皮書》2021。（二）對我國個人信息保護的建議1.彌補立法規(guī)范不足（1）以公開時用途作為個人信息“合理使用”主要標準本文認為對“合理”的客觀化判斷標準可以參考《個人信息保護法草案（一審稿）》第二十八條中規(guī)定。全國人大常委會法制工作委員會：《中華人民共和國個人信息保護法(草案)》，2020年10月13日。該條文認為，針對已公開信息處理的合理性判斷標準，應(yīng)以信息公開時使用用途的目的為主要界限，即“合理”的判斷標準應(yīng)分為兩個層面：一是信息處理者應(yīng)遵照信息主體公開個人信息時表明全國人大常委會法制工作委員會：《中華人民共和國個人信息保護法(草案)》，2020年10月13日。（2）適當(dāng)擴張信息主體范圍我國所保護的個人信息權(quán)利主體，更多針對的是公民個人或者是自然人個體，此種現(xiàn)象脫離不開與個人信息界定問題的關(guān)系。從理論角度出發(fā)，結(jié)合上文論述筆者認同有關(guān)于針對“個人”的理解，即所謂“個人信息”與簡單字面意義上的“個人”僅僅是概念關(guān)聯(lián)，張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。不應(yīng)當(dāng)局限地理解為自然人或公民之個人。從社會現(xiàn)實價值角度出發(fā)，當(dāng)下信息運用的模式呈分散多點式，自然人個體信息是大數(shù)據(jù)信息時代最基本的表現(xiàn)形式，其保護價值主要在于可識別信息能夠關(guān)聯(lián)到個人隱私，因而與基本人權(quán)、隱私權(quán)、人格權(quán)相掛鉤，但自然人信息同時也是信息分類當(dāng)中一部分，而除此之外的其他信息依然有保護價值，比如在信息集中去標識化處理后的大數(shù)據(jù)分析等屬于其它主體的信息仍有顯著價值意義。因此個人信息包含了人格價值、經(jīng)濟價值和張新寶：《論個人信息權(quán)益的構(gòu)造》，載《中外法學(xué)》2021年第5期。張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015第3期，第38-59頁。（3）綜合把握私密信息的雙重屬性通過上述對“私密信息”的探討，可知其是隱私和個人信息交叉重合后的產(chǎn)物，也就是說“私密信息”同時具有著隱私與個人信息二者的雙重屬性，那么在把握“私密信息”內(nèi)涵和外延的時候，應(yīng)當(dāng)對“私密性”和“識別性”進行綜合考量。因此本文不贊同“私密信息”的核心在于“不愿為他人知曉”這一觀點，這顯然是忽略了“私密性”特征。此外本文認為也不能片面地在信息主體不想被他人知悉的主觀標準上增加“私密狀態(tài)”的客觀標準，這雖然看到了“私密信息”所具有的隱私的屬性——私密性，但是卻沒能很好地把握個人信息所具有的“識別性”，即應(yīng)當(dāng)結(jié)合特定的場景進行判斷。例如在“龐理鵬與趣拿公司等隱私權(quán)糾紛案”北京市第一中級人民法院民事判決書，〔2017〕京01民終509號。中，二審法院將北京市第一中級人民法院民事判決書，〔2017〕京01民終509號。同時，考慮到已經(jīng)被合法公開的信息，雖然在通常情況下不受隱私保護，但在特定情形中仍存在被作為隱私加以保護的可能，應(yīng)當(dāng)認為已經(jīng)被合法公開的信息通常情況下不成為“私密信息”。綜合以上闡述，本文認為，“私密信息”的內(nèi)涵應(yīng)為不愿為他人知曉且能夠識別到特定個人的信息。同時在對“私密信息”的判斷中，應(yīng)當(dāng)首先把握其所具備的“識別性”，然后再根據(jù)是否具有隱私權(quán)的“私密性”，并同“隱私”的認定一樣需結(jié)合特定的場景進行綜合判斷。（4）個案分析敏感信息和私密信息的適用關(guān)系本文認為，此種情況并非是立法上的沖突，應(yīng)當(dāng)針對不同的案件情況、案件要解決的不同問題來分別判斷案涉?zhèn)€人信息屬于哪一對概念范疇，進而分別適用這兩部法律。主要原因有一下兩個方面：其一，二者各自的規(guī)范目的與意義各有不同，因此在法律適用上并行不悖。敏感與非敏感的劃分是著眼于規(guī)范信息處理者的行為的：一方面，對于敏感個人信息而言，由于其關(guān)涉到自然人的人身、財產(chǎn)安全，因此《個人信息保護法》對敏感信息處理者施加了更重的法律義務(wù)，如需要取得單獨同意、需基于特定目的、需告知必要性及影響等。另一方面，對于非敏感信息而言，處理者的義務(wù)則相對減輕，可以看出該分類是為了規(guī)范信息處理者的處理行為，是用以判斷處理主體是否盡到了相應(yīng)的義務(wù)。而私密信息與非私密信息的劃分意在對兩種信息賦予不同程度的保護方法，強調(diào)私密信息的私密性。由此可見，這兩對概念的規(guī)范目的雖然不盡相同，但各自的規(guī)范層面上都具有重要意義，并非相互排斥。其二，二者在個人信息侵權(quán)案件中發(fā)揮作用不同，因此法律適用并不沖突。由于《個人信息保護法》對此兩種信息處理者的行為苛加的法律義務(wù)和責(zé)任不同，因此在法律適用中可以將敏感與非敏感個人信息分別適用，進而判斷侵權(quán)行為違法性：一方面，若侵權(quán)行為指向的對象是敏感個人信息，那么在判斷侵權(quán)行為是否具有違法性時，人民法院就可以根據(jù)《個人信息保護法》的敏感個人信息處理規(guī)則認定信息處理者是否盡到相應(yīng)的法定義務(wù)，進而判斷侵權(quán)行為的違法性；另一方面，若侵權(quán)行為指向的對象是非敏感個人信息，那么法院則需綜合《個人信息保護法》處理個人信息的一般規(guī)定和《民法典》有關(guān)個人信息保護的規(guī)則，認定信息處理者是否盡到相應(yīng)的法定義務(wù)。在私密與非私密的這對概念范疇中，私密信息可以直接適用《民法典》中對隱私權(quán)的特殊保護規(guī)定進行認定，而非私密信息則需適用《民法典》的一般保護規(guī)范和《個人信息保護法》的處理規(guī)則進行綜合認定，進而判斷行為的違法性由此可見，從這兩對概念在侵權(quán)案件的審理中各自發(fā)揮著不同的作用，對侵害行為（或行為違法性）的類型化判斷均具有重要意義。2.司法實踐中的建議（1）建立自動化決策規(guī)范解決社會實際問題針對“大數(shù)據(jù)殺熟”這類公眾普遍關(guān)注問題，我們應(yīng)該揭開蒙在侵權(quán)之上的“差異化營銷”的面紗?！秱€人信息保護法》在原有法律規(guī)制體系的基礎(chǔ)上，在綜合考慮到各種復(fù)雜情況后，進一步確立自動化決策規(guī)范，與上述相關(guān)法律法規(guī)協(xié)同調(diào)整，在其基礎(chǔ)上共從三個角度進行全方面保障：嚴令禁止殺熟行為，明確規(guī)定在基于已掌握的個人信息進行數(shù)據(jù)化決策過程中，應(yīng)當(dāng)遵循透明、公平、公正的原則，禁止以數(shù)據(jù)化決策的結(jié)果對消費者采取歧視性差別對待。賦予個人信息處理者為用戶提供合理選擇方式之義務(wù)，明確規(guī)定企業(yè)通過數(shù)據(jù)化決策的方式向用戶進行大數(shù)據(jù)推送、營銷時，應(yīng)給出不對用戶進行“畫像分析”的選項或給出合理可行的拒絕選項。明確信息主體所享有的權(quán)利，明確規(guī)定以數(shù)據(jù)化決策結(jié)果為依據(jù)，作出影響用戶主體重大權(quán)益的行為時，用戶有權(quán)要求企業(yè)進行明示。隨著法律共同實施，信息主體的自主選擇權(quán)得到進一步保障、信息化交易秩序得到了更加全面的改善。（2）司法實踐中完善個人信息泄露案件的舉證制度從全過程保障信息主體權(quán)利的角度上來說，明確信息主體權(quán)利的同時也應(yīng)當(dāng)重視權(quán)力的具體行使途徑，在立法、執(zhí)法、司法的各個環(huán)節(jié)對信息主體個人信息權(quán)利給予可訴性保障，有序維護市場經(jīng)濟秩序，更全面、切實的保障公民權(quán)利。在具體實踐當(dāng)中，體現(xiàn)在完善個人信息侵權(quán)之訴中相關(guān)舉證責(zé)任制度?；谇拔乃龇N種困境，我國《個人信息保護法》根據(jù)過錯推定原則規(guī)定了侵權(quán)責(zé)任舉證規(guī)則。本文認為，在實體法律規(guī)范上推定過錯的基礎(chǔ)上，還應(yīng)當(dāng)將此種侵權(quán)糾紛劃分到訴訟層面中的舉證責(zé)任倒置的框架內(nèi)，要求提供數(shù)據(jù)控制者將其所有必要的信息明示，以證明數(shù)據(jù)處理者符合數(shù)據(jù)保護規(guī)定。（3）嚴格規(guī)制信息處理主體第一，建立互聯(lián)網(wǎng)平臺“使用者責(zé)任”制度。針對網(wǎng)絡(luò)平臺非法出售、非法抓取、監(jiān)聽、不合理使用的問題，應(yīng)當(dāng)建立健全信息使用者、處理者的責(zé)任制度。在此維度上，則是要求除刑事制裁、民事制裁、行政制裁以外，應(yīng)當(dāng)構(gòu)建起網(wǎng)絡(luò)服務(wù)平臺的責(zé)任機制，通過法律、政府、以及相關(guān)行業(yè)進行綜合性的監(jiān)督管理，形成一套切實有效的規(guī)則制度和責(zé)任體系。可以通過設(shè)立行業(yè)指標，并定期進行審計、審查，在未達到刑事處罰和行政處罰的情況下，對侵權(quán)主體進行民事和行業(yè)雙重規(guī)制。在以互聯(lián)網(wǎng)平臺為主的信息處理主體的肩膀上增添責(zé)任的重量。第二，政府部門加大監(jiān)管和處罰力度。從公法性質(zhì)的角度上來看，應(yīng)當(dāng)明確有關(guān)部門的監(jiān)管職責(zé)，并且強化規(guī)范相關(guān)企業(yè)、信息處理者的法定責(zé)任。具體來說，即要求國家網(wǎng)信部門、縣級以上人民政府、國務(wù)院有關(guān)部門依據(jù)法律規(guī)定在行政職責(zé)層面上對于個人信息有效起到監(jiān)督和管理的作用，才能夠有效切實地保護權(quán)利主體之權(quán)益。首先，相關(guān)部門可以根據(jù)合同約定，責(zé)令審計部門或者行業(yè)協(xié)會對數(shù)據(jù)處理者進行審計，驗證信息處理者針對規(guī)定的達成情況。其次，還要加大行政處罰力度，以前文所述的歐盟《一般數(shù)據(jù)保護條例》處罰為例，其中具體規(guī)定：違反一般條款：處以1000萬歐元至企業(yè)年收入的2%的罰款；違反關(guān)鍵條款：處以2000萬歐元至企業(yè)年收入4%的罰款，并規(guī)定取兩者中的較高數(shù)額進行處罰。以騰訊為例，按照2017年經(jīng)營收入計算，最高可能被罰款95億元人民幣。盡管我國