顺应网络时代发展 确保个人信息保护实效

    科学技术的进步烙印于当下时代的同时，亦改变着人们的生活方式、认知观念与思维模式。移动互联网智能终端便捷了人们的沟通交流方式，与此同时，人们在互联网空间也留下了大量关涉个人的信息，这些信息因技术因素而被赋予了新的价值内涵，也因此成为了信息产业争先抢夺的资源。

    2018年，浙江省杭州市中级人民法院审结了“淘宝（中国）软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案—数据产品的权益归属及司法保护”一案，该案所引发的核心争议点在于，何种信息属于应受法律保护的个人信息，公司对于何种信息能够加工处理继而对其享有权利。经过两审，最终二审法院认为淘宝公司履行告知义务之后获取并使用用户的浏览、搜索等痕迹信息的行为是合理合法的。值得肯定的是，杭州中院对于该案所秉持的裁判立场，不仅在司法层面合理界分了个人信息的法律边界，适度抑制了个人信息边界持续扩张的理论趋势，也给信息产业留有适度发展的空间。这对于目前个人信息的保护立法不无重要启示意义。

    之前的消费者权益保护法、网络安全法、刑法第二百五十三条之一规定以及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》已经从规范层面为个人信息保护提供了具体指引。2019年8月，第十三届全国人大常委会第十二次会议审议并发布了《民法典人格权编（草案第三次审议稿）征求意见》（以下简称“第三次征求意见稿”），第三次征求意见稿保留了“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”的个人信息界定方式，但在“姓名”“出生日期”“身份证号码”“个人生物识别信息”“住址”“电话号码”等之外，作为对“宾馆酒店偷拍”“个人行踪信息泄露”等社会热点的回应，将“电子邮箱地址”与“行踪信息”纳入了个人信息范畴。

    值得肯定的是，第三次征求意见稿将个人信息纳入民法典人格权编的保护范畴，一是说明了我国立法机关立基于现实，对于人们反映比较强烈的个人信息保护问题的一次最直接、最有效回应；二是体现了我国立法机关能够体察时代发展脉搏，紧随互联网时代发展潮流，确保民法典编撰的时代性与先进性。不过，考虑到此次关涉个人信息立法的位阶层级之高，势必将对关联个人信息的各行各业产生深远影响。并且，科学技术的发展速度之快、力度之大超乎了想象，与此同时，个人的个人信息权益与信息产业发展之间的矛盾始终在加持不减。这些都对个人信息立法提出了非常之要求。由此，接下来，在第三次征求意见稿基础之上的个人信息保护立法极有必要在立法技术上更加精进，立足于个人信息权益保护与中国信息产业发展需求，以更加超远的眼光与广阔的格局将科技发展的规律与理念创造性地与立法规范深度融合。

    一方面，个人信息立法对于个人信息的界定在技术规范上应该更加符合网络、大数据时代实际，规避识别个人信息的主观标准，原则性地建构相对客观的个人信息区分标准。具体言之，个人信息的价值在于其能够识别出特定个人，这不仅是信息产业者收集个人信息的原因，也是立法者保护个人信息的原因之所在。因此，第三次征求意见稿在对个人信息界定时坚持了可识别出特定个人的标准。然而，周知的是，不同禀赋的个人面对相同的信息能推演出不同的价值信息。很显然，依循“能够单独或者与其他信息结合识别特定自然人的各种信息”的个人信息界定标准，除了能够单独识别出特定个人的信息是个人信息之外，对于不同脑力与拥有不同技术水平的个人或者群体而言，个人信息的边界会表现出差异性。

    另外，尽管人与人之间的禀赋存在差异，但只要信息足够多，技术水平足够强，就肯定能够识别出特定个人。由此，在充分考虑技术现状及其演进前景的情况下，为了寻求个人信息界定标准的相对确定，有必要以社会一般大众的普遍认知为准。原则性地将个人信息分类为“可识别个人身份的信息”与“具有识别个人身份可能性的信息”。如此，在相对确定“可识别个人身份的信息”判断标准、葆有“具有识别个人身份可能性的信息”解释空间的同时，也较为妥当地区分保护了“可识别个人身份的信息”与“具有识别个人身份可能性的信息”。

    另一方面，法律界定个人信息的目的在于更好地保护个人信息。目前，既有的关涉个人信息保护规范均是以个人“同意”作为处理个人信息前置条件的个人信息保护模式。从互联网、大数据、人工智能等技术发展及信息产业现实需求来看，个人信息保护的思维需要获得转变，个人“同意”模式则亟须调整。一方面，网络技术水平的发展已经使个人对其信息的控制不易实现。在网络空间，个人信息一旦被个人公布，随后的断链、删除行为也很难阻却个人信息被收集、被传播、被分析、被二次利用甚至多次利用等行为的发生。即便个人能够以“同意”实现对其个人信息的初次控制，人的有限理性是很难确保个人“同意”之时的预期与个人信息的后续实际处理结果相一致，并且，个人信息的处理结果往往是不可逆的。另一方面，从信息产业发展来看，作为新型生产要素的个人信息对于信息产业至关重要，个人“同意”保护模式会使企业疲于“一企业对多客户”的意思交互，以致额外增加企业生产成本的负担。

    因此，个人信息保护立法应以一般民众的普遍认知为客观认定标准，在合理区分“可识别个人身份的信息”与“具有识别个人身份可能性的信息”基础上，相对确定地划定“可识别个人身份的信息”的责任边界，为判断行为人行为时的主观心理、行为的可归责性提供合理依据。利用好“具有识别个人身份可能性的信息”具有较大的弹性解释空间的优势，以“滥用防治”的“事后”个人信息保护理念取代个人信息的“同意”保护模式。以可控、可预测、可避免的行为结果作为归责依据，动态考察个人信息处理行为，对个人信息的“事前”处理行为形成实质威慑，有效避免个人信息处理行为的事前合法，而事中事后违法的情况发生，确保个人信息保护的实效。

    总之，个人信息保护的立法应适时转变个人信息的保护思路以更加顺应时代发展，平衡好个人权益的保护与信息产业的发展。如此才能更好为司法审判提供科学合理的法律依据，更好为信息产业预留法内发展空间，更好为个人权益提供切实保护。