个人信息保护的现状问题成因及破局路径

作者|杨烁

责编|薛应军

正文共3556个字，预计阅读需11分钟▼

10月28日，工信部通报42款App及SDK存在侵害用户权益行为，要求其按有关规定进行整改。整改落实不到位的，将依法依规组织开展相关处置工作。此次被通报的名单中，多数所涉问题是违规收集个人信息，另有11款App及SDK被指强制、频繁、过度索取权限；还有7款存在超范围收集个人信息的问题。据悉，这是工信部今年公布的第6批侵害用户权益的App及SDK。截至目前，共通报了51批。

此次通报的App及SDK违反《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等相关法律法规，收集和使用个人信息。数字时代，人们在享受科技便利的同时，时常面临个人信息被滥用风险，有的信息处理者违反“合法、正当、必要”原则和目的限制原则，过度处理个人信息的行为时有发生。对此，2022年12月印发的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》指出，要“建立健全个人信息数据确权授权机制”“创新技术手段，推动个人信息匿名化处理，保障使用个人信息数据时的信息安全和个人隐私”。数字时代，强化用户数字权利意识、保护个人信息，势在必行。

现状：违法处理个人信息的类型具有多样性

违反目的限制原则。有的信息处理者未告知收集使用个人信息的目的、方式和范围；超越目的处理个人信息；个人信息处理目的变更，并未重新取得个人同意；数据处理存在“黑箱”。

违反告知同意规则。有的信息处理者未提示用户阅读隐私政策；以默认选择同意等方式征求用户同意；隐私政策难以访问等，导致个人并非在充分知情的前提下自愿明确同意。

侵害用户信息自决权。有的信息处理者并没有向用户提供方便的撤回同意方式；更正、删除个人信息的功能欠缺，缺乏有效的注销账号功能；通过自动化决策推送信息或营销方式侵害用户信息自决权，未提供不针对其个人特征的选项，也没有提供便捷的拒绝方式。

违规向第三方提供信息。有的信息处理者违反单独同意规则，擅自向他方提供个人信息；有的App通过客户端嵌入的第三方代码、插件等方式向第三方提供个人信息，未做匿名化处理，也没有经过用户同意。

权利救济困难。有的信息处理者并未为个人信息权利主体行使权利提供便捷的申请受理机制，也没有相应的处理机制；投诉、举报未在承诺时限内受理，也没有在合理的期限内处理。

信息安全措施堪忧。有的信息处理者未采取相应的加密、去标识化等安全技术措施；敏感信息处理未获得个人单独同意，甚至有的App没有隐私政策，野蛮生长，毫无信息安全意识。

成因：个人信息的经济价值与法律保护滞后性的矛盾

个人信息的经济价值。总体而言，个人信息的价值主要包含三个层面：一是个人信息的基本用途。对信息处理者而言，使用个人信息可以降低成本、提升效率；对个人而言，可以换取更优质的服务体验。二是大数据应用带来的范围经济和规模经济价值。个人信息在多个业务领域中使用，一般不需要增加额外的成本，能够实现成本效益的最大化，呈现出范围经济价值特征。个人数据量的扩大和增加，使得单位数据产生的平均成本下降，体现其规模经济价值。三是个人信息的隐藏价值。对许多信息处理者而言，初始收集个人信息可能是出于某种经济目的，但随着数据量的扩大，大数据、人工智能、机器学习的介入，可以从中发现新的价值。基于此，信息处理者普遍存在扩大数据获取的强烈倾向，其目的在于深度挖掘数据中潜藏的价值与市场机遇。虽然大数据具有重大的社会和经济效益，但现有的个人信息保护立法尚不足以应对信息流通与利用所带来的各种经济与社会问题。

目的限制原则具体化有待加强。我国个人信息保护法第六条规定，“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”这虽然确立了个人信息保护的目的限制原则，但对该原则所涉及的目的如何“明确合理”、处理信息“直接相关”如何判断、对个人权益影响最小如何斟酌，缺少相关配套法律、法规。这使得在变更目的处理个人信息时，兼容性使用的规则欠缺；司法实践中通过目的限制原则进行裁判说理的案件较少，理论体系尚未成型。

告知同意规则流于形式。基于信息主体同意或者法定义务是个人信息处理的合法性基础。我国个人信息保护法第十三条规定了该规则，且明确了不需要取得个人同意的特殊情形。但是，在信息不对称、信息权力不均衡的数字环境下，自愿、明确作出同意表示须根据不同的场景进行判断。这使其仍须在司法实践中逐步完善。

个人信息自决权有待完善。我国个人信息保护法第四十四条规定了个人的知情权和决定权，个人有权限制或者拒绝他人的个人信息处理行为。但该规定属于一般条款，需要相关法律、法规或者司法实践进行价值补充。自然人有权自主决定个人事务的公开与否及范围，这是人格尊严的要求，也是个人信息权利展开的理论基础。自动化推送、算法偏见可能导致歧视或者侵犯人格尊严。个人信息的知情权和决定权是平衡信息权力不对称、解决个人信息被滥用的重要工具之一。因此，应当在知情权和决定权的基础上，构建我国个人信息权利的内在价值和权利体系。

透明度原则难以有效贯彻。信息处理者大规模地收集、使用和分析个人信息，但是大数据的运作方式、操作过程难以真正透明化。数据收集与分析的算法常受商业秘密保护，导致用户无法明了其个人信息的具体应用方式、目的和范围，从而引发个人隐私与权益保护的潜在风险。在有效利用个人信息的经济价值、促进企业创新和保护隐私、人格尊严之间如何达到一种合理的均衡，这给法学理论和司法实践提出了新的挑战。

破局：个人信息权利的理论基础和逻辑体系

数字时代，如何让人们在既享受大数据应用带来的经济效益、促进社会进步红利的同时，保护好个人在信息处理中的各种权利、维护人格尊严？笔者认为，除依照个人信息保护法保护个人信息权益外，还要进一步规范个人信息处理活动，促进个人信息合理利用，构建科学、合理的个人信息权利理论、逻辑体系。要明确个人对其个人信息的处理享有知情权、决定权，这是个人信息权利的逻辑起点。

依法保障个人对其个人信息处理的知情权。保障个人对其个人信息处理的知情权目的在于纠正信息处理者和个人之间的信息不对称及权利不平衡问题，可主要通过查阅权、复制权、可携带权、删除权、解释说明权予以实现。查阅、复制个人信息及个人信息的处理情况，可以提高个人信息处理的透明度；可携带权是查阅、复制权的延伸。个人信息处理的目的实现或者无法实现时，信息处理者可以删除个人信息，是目的限制原则的必然要求。解释说明权是应对算法“黑箱”的手段之一，也是保障个人信息决定权的前提。

决定权是信息自决的要求，目的在于控制风险。它包括更正权、补充权、限制处理权、拒绝处理权、反对自动化决策的权利。个人发现其个人信息不准确或者不完整的，有权请求个人信息处理者更正、补充。更正权、补充权，是数据质量原则的要求。在查阅权的基础上，通过更正权和补充权，可以有效控制信息质量，这是个人对其个人信息作出正确决定的前提。限制处理权是在特定情况（如数据准确性争议、处理合法性存疑等情形）下，数据主体可以要求暂时停止处理其数据。拒绝处理权，主要是拒绝直接营销的权利，要求不再为直接营销目的处理其个人数据。限制处理权和拒绝处理权共同形成了对数据处理过程的动态调控，使数据主体能够在风险出现时及时干预。我国个人信息保护法第二十四条规定，个人信息处理者利用个人信息进行自动化决策，应当保证决策的透明度和结果公平、公正，不得对个人在交易价格等交易条件上实行不合理的差别待遇。反对自动化决策的权利，允许数据主体反对仅靠自动化方式作出对其有重大影响的决策，这是公开透明原则的体现，也是个人应对算法过度决策风险的具体措施之一。

当一个市场由于信息的不对等、外部性、公共品特征以及高度集中的市场结构而无法实现帕累托最优（指在资源分配中，无法在不使任何人境况变坏的前提下，使至少一个人变得更好的一种理想状态）时，政府的监管干预就有其正当性。实践中，在个人和信息处理者之间存在的信息和权利不对称，可能使信息处理者为了谋取更多的商业利益，利用各种技术手段，包括暗箱操作违法处理个人信息。要扭转这一失衡局面，在个人和信息处理者之间找到一个平衡点，必须引入国家监管作为外部制衡力量。首先，确立监管标准。监管部门监管的前提是明确数据技术标准（如加密、匿名化标准），确保法律原则和规则能够落地。其次，建立监测机制。监管部门须对信息收集的目的、方式与范围进行严格审查，并建立长效监测机制。工信部定期通报相关App侵害用户个人信息权益的行为，便是有效措施之一。最后，保障责任到位。监管部门通过对违规行为实施严厉惩戒，方能在激发数据价值与保障个人权利之间构建动态平衡。

（作者单位：广州商学院）