前沿立法问题

当前，个人信息保护法已经走向一个历史的转折点，层出不穷的新技术、新业务相互交织、共同影响，冲击着现有的个人信息保护制度甚至其存在的根基。

（一）个人信息界定变得模糊不清

1．个人信息面临的概念困境

个人信息是个人信息保护法中的核心概念。法律适用的最基本前提是所涉及的信息是否是个人信息。如果不是，则不会构成对个人权利的侵害，也无适用法律规范的必要。

传统的个人信息保护法对于个人信息一般有着明确的界定，一般以“识别”为核心标准，个人信息是指与个人相关的，能够直接或间接识别特定自然人的信息。“可识别性”是个人信息最为重要的特征，是指个人信息与信息主体存在某一客观确定的可能性。这种识别性包括直接的可识别以及间接的可识别。直接识别是指通过单个信息能够直接确认某人身份（Indentified Information），例如身份证号码、姓名、家庭住址信息；间接识别是指单个信息虽然不能直接指向某人，但是同其他信息相结合或者通过信息比对分析，可能可以被用来确定某人身份，如性别、职业、邮箱等信息。此类信息具有可能识别出身份的特质（Identible Information）。

对于个人信息定义的理解，要结合个人信息保护法形成的历史背景。个人信息保护法律制度是伴随着20世纪70年代计算机技术应用而产生的。在当时，计算机处理数据的方式对于传统的通过纸质媒体人工处理数据的方式带来的冲击，对个人信息及其附带的个人权利产生了新的侵害风险。个人信息保护法通过对个人信息的概念性界定，明确了法律的保护边界。从当时的技术环境来看，尽管这一定义是开放式的，但通过这一标准所区分出的具有“身份识别性”的信息仍然是有限的。欧盟在其《个人数据保护指令》中为进一步说明个人信息的范围，对于可能识别出身份的信息做出了必要的限制，一是强调了数据的可识别的可能性（likelihood），二是强调了数据可识别的合理性（reasonableness），一个需要付出不成比例的费用，或者需要克服很多困难才能识别的信息不构成个人信息保护法上所保护的个人信息。如此界定正是为了避免个人信息保护范围的扩大化。

但是信息通信技术近几十年的发展，特别是互联网技术的快速普及与应用，已经将个人信息保护法的适用环境彻底改造。首先，获取信息的能力大大增强，感知网络、无线感知和执行网络能够通过无线节点使得人或者电脑和其周围的环境进行信息交换和互动。这些网络已经应用在医疗护理、环境工程、交通系统、能源控制系统（例如智能电表）等。数据采集更加全面、及时。其次，数据传输能力也得到飞跃发展，互联网、卫星网络、有线和光纤网络的发达增强了数据传输的能力。云计算的普及更加使得过去偶然、临时的数据转移变为大规模、日常的全球数据流动。最后，数据的控制者和处理者的类型多样化，不只是政府和大型公司（这两类主体是个人数据保护法在当时所主要规范的对象），个人也能够对数据进行利用分析。这一切使得个人信息保护法诞生时的面目大为改观，而这些技术进步带来的直接后果是个人信息的边界变得模糊。

2．个人信息模糊化带来的冲击或挑战

作为个人信息保护法律制度的基石，个人信息概念变得模糊不清，那么整个法律体系的稳定性也将大打折扣。当前表现突出的问题有以下几类：

第一，对于个人信息的判断产生分歧。例如“IP地址”“搜索记录”等信息是否属于个人信息。一般认为，搜索记录是匿名的，不是个人信息。例如，用户仅仅是在搜索栏中搜了“狮子狗”，用该信息很难去定位个人。然而如果用户的搜索词是高度特定的词汇，或者是将该用户的搜索词复合起来，该用户将会变得可识别。2006年，AOL公布了2 000万的搜索记录，且公布这些数据时，AOL公司已经将其做了匿名化处理。然而来自纽约时报的记者很快发现这些搜索记录中至少有一部分可以很容易地被重新识别。最终AOL对其公布数据的行为表示道歉。

IP地址也面临同样的问题。虽然单独依据IP地址无法直接与特定人相联系，但是IP地址与其他信息结合，很容易指向特定人。并且随着固定IP地址使用的增多以及其他技术发展，人们在网络空间的活动不再保持匿名性。

第二，非个人信息转化为个人信息。如果缺乏其他的数据源，很多信息将保持匿名的状态。但是，在今天的世界，有无数可以利用的数据源。人们能够越来越容易地获得有关个人的大量信息。而这种有关数据的聚合能力，增强了人们将非个人信息转化为个人信息的能力。美国一项研究显示：依据出生日期和出生地，可以判断出个人的社会保障号码。

第三，个人信息的属性动态变化。个人信息的属性越来越取决于其收集和使用的场景。个人信息与非个人信息之间并没有清晰的界限，一个信息在此时可能是被视作非个人信息，在另外一个时间或场合可能又被转化为了PII。在不同的场合下，信息的属性会发生变化。例如在婚恋网站上，对于用户个人信息的完整及真实程度的要求都比较高，如用户的房车信息，会被作为必要的和一般的信息。

3．学术界观点及政策应对

从目前围绕个人信息概念的讨论来看，学术界主要有以下观点。

观点一：认为在当前的网络环境下，隐私已经逐渐消亡，从法律制度体系中应当放弃个人信息这一概念。这是一种较为激进的观点。

观点二：认为当前的个人信息概念受到了技术发展带来的冲击，但是目前以及未来，个人信息的保护制度仍有存在的价值。仍应当保留个人信息概念，但需要对其进行定义的完善，并在此基础上提出了PII2．0。这一观点目前得到了更多的认同。2013年世界经济论坛发布的题为《发现个人数据的价值：从收集到使用》的报告基本上也持类似观点。具体而言：

第一，个人信息的界定应当是“动态”的，而不是“静止”的，应当是基于一套判断规则来确定，而不是非黑即白的简单判断标准。个人信息的判断应当依据其收集和使用的场景，如数据的类型、数据涉及的实体、服务提供商的信任水平、收集方法、设备环境、应用和使用以及各方之间的价值交换，而不是对信息的性质预先做出判断。

第二，个人信息包括两类：“已识别身份”的信息（Indentified Information）和“可能识别身份”的信息（Identifiable Information）两类，并依据此分类，给予不同的法律保护。对于已识别身份的信息，应当完全适用个人信息保护立法中所确立的制度要求；对于可能识别身份的信息，则应当选择适用部分法律要求。要求其适用全部制度规定是不适当的，因为此类数据还并没有指向特定的个人，而只是具备这种可能性。并不能满足征得同意、允许访问和修改等法定要求。如果此类权利真的被要求实施，这反而降低而不是增加了隐私保护水平，因为要完成此类义务，必须将这些数据与特定的个人相联系起来。只有如此，数据主体才能去行使访问、修改个人数据的权利，法律在这里建立了一个充满问题的循环，将可能识别的个人信息变为了已经可以确定身份的信息。此外，对于信息使用的知情同意原则、数据最小化原则以及信息披露限制原则也不能完全适用于可能识别身份的信息。这些限制与数据使用的风险是不相匹配的，从而会降低数据分析带来的效率提升，而这些效率提升并不会对个人的隐私造成特别的风险。比较之下，个人数据保护法中的其他的一些原则则可以适用可能识别身份的数据，例如美国数据保护基本原则（公平信息实践原则）中的某些原则可以适用到可能识别身份的数据，包括安全原则、透明原则、数据质量原则。

美国主要负责消费者个人信息保护的联邦机构——美国联邦贸易委员会（FTC），也注意到个人信息这一定义面临的新问题。在其《在一个充满快速变化的时代，保护消费者隐私——2012年关于隐私权的建议》^[9]（以下简称《建议》）中指出：个人信息与非个人信息之间的界限越来越模糊。在信息化社会，极端一点说：如果有足够的时间与资源，任何信息都可以认为是与特定个人相联系的信息。尽管面临上述问题，FTC仍然坚持了个人信息保护法的基本原则，其采取了以下几个方面的对策：

一是为了给予对消费者隐私更好的保护，FTC将《建议》适用的范围扩大，其规定：本《建议》适用于商业实体对于能够被合理地与特定的消费者、电脑以及其他设备相对应联系的消费者数据的收集和使用行为，但是每年收集非敏感数据少于5 000个以及并不向第三方进行共享的除外。

从其上述对个人信息的界定来看，FTC所保护的消费者个人信息范围已经超过了传统的个人信息的范围，即信息所能关联和识别的主体不仅包括自然人，而且也包括电脑、手机等设备，因为从当前的网络环境下，只要能够关联的设备，设备背后的使用人也基本能够被对应联系。

同时，为了给予企业收集和使用数据的合理空间，FTC规定，如果企业采取合理措施降低这种关联性，该企业所掌握的数据将不会被看作是与特定个人或设备相关的信息。这些合理措施包括去除身份识别信息（de－identified），例如可以对数据字段进行删除或修改，或者在数据中添加“噪音”干扰数据，或者采取统计抽样，或者采用聚合或合成数据。对于去身份信息的数据，公司必须公开承诺，不再试图再次识别数据。如果公司将去识别性的数据提供给第三方，它应当在合同中禁止第三方试图再次对数据进行识别（re－identify），并采取相应的监督措施保证第三方符合合同规定。

（二）个人信息权利不断衍生

在个人信息保护立法方面，欧盟致力于在欧盟建立保护水平较高的法律框架。在对《个人数据保护指令》的改革建议中，欧盟委员会基于原有的数据保护法确立的基本保护原则，提出了两种新型的权利：个人信息遗忘权和个人信息可携权。欧盟认为，遗忘权或者数据可携权将会是应对Web2．0时代挑战（例如社交网络或其他在线服务）的有效办法，但包括欧盟成员国在内，以及美国等外界对这两项新型权利都提出了诸多质疑。

1．信息遗忘权

（1）界定

遗忘权有狭义和广义两种理解。狭义的“遗忘权”是指：用户不再需要使用互联网业务时，有权要求互联网企业删除其全部数据。而广义的“遗忘权”不仅包括上述权利，用户还可以要求互联网企业删除不属实的，或者不利于个人名誉、利益的个人信息

欧盟委员会以及法国、意大利、西班牙等国都支持遗忘权。但各国对于遗忘权的理解和法理基础认识不一。

法国：遗忘权的法理基础是个人数据应当被公平以及合法地处理，出于特定、明确和合法的目的进行收集。数据应当准确，在需要的情形下，应当更新到最新状态，这种最新状态包括用户要求删除的部分。

意大利：遗忘权的法理基础是数据质量原则，在数据处理的目的不存在时，个人有权删除其数据。

西班牙：遗忘权的法理基础是数据质量原则，收集限制原则、目的特定原则。在此基础上，又进一步扩大了遗忘权的含义，即使公民不具有公共身份或者也不是新闻事件中的主体也有权更正在互联网上有关个人的不正确或不合法的信息。

西班牙数据保护机构甚至认为，个人一方面可以未经数据所有者的同意便删除已经公布的个人信息，另一方面对搜索引擎所处理的数据也有权利提出反对。甚至是这种数据是公共或者是合法的信息，例如在政府官方公告中的信息。

德国联邦政府提出，应当在遗忘权和删除权之间有明确的区分，并且遗忘权的内涵要大于删除权。

尽管遗忘权还没有被欧盟立法所正式承认，但在实践中执法机关已开始运用遗忘权理论。例如西班牙隐私保护机构依据“隐私权”理论，要求Google删除对西班牙公民隐私有伤害的新闻。意大利数据保护机构要求互联网服务提供商将已经被证明错误的视频删除。在德国出现的一例诉讼案件中，两名已经服刑完毕的犯人要求在互联网上删除其有关案例信息。

（2）遗忘权引发的争议

遗忘权的提出引发了广泛的争议。即使在欧盟内部，意见也并不统一。法国、西班牙等国对遗忘权表示了支持。但英国则提出了批评意见，英国信息大臣办公室提出：对于委员会尤为重要的是需要界定清楚遗忘权在实践中究竟会发挥多大效用。美国的回应也并不一致。反对者认为：欧盟提出的“遗忘权”，显示其思维是混乱的，与美国的基本价值观相违背，例如媒体的自由表达权。Facebook提出，欧盟的这一立法建议实质上是在封杀信息的自由传播，欧盟的立法是在创建信息的财产权，行政干预过多。但也有持赞同者。部分美国评论者接受有所限定的“遗忘权”，例如对于儿童来说，其应享有该项权利，使其能够删除鲁莽公布的信息。有观点认为：遗忘权在一定程度上也体现了信息最小化原则，该原则实际已经被涵盖在美国公平信息规则中了，美国可以将该原则向遗忘权的方向进行扩展。还有观点认为，遗忘权包含了美国的一些法律中所确立的基本人权——“原谅和忘记”的权利，如破产、信用报告，刑法中都涉及类似的权利。

欧盟和美国对于包括遗忘权以及其他个人信息保护方面的分歧的根本原因是：欧盟更倾向于对用户个人数据给予严格的保护，是基于对基本人权的考虑，而美国在个人信息保护方面还会考虑到表达自由权利。如果对遗忘权进行保护，则会对言论自由权利进行了限制，特别是对新闻媒体的自由表达权利有所限制。

2．信息可携权

（1）界定

个人信息可携权（the Right of Data Portability），是指用户可以无障碍地将其个人数据以及其他数据资料从一个信息服务提供者处转移到另外一个信息服务提供者处。例如Facebook的用户可以将其账号中的照片、评论以及其他资料转移到其他社交网络服务提供商。

欧盟新的立法草案第18条规定：个人数据可以通过自动处理系统，即以通用的电子格式，无障碍地将个人信息从一个操作实体系统直接转向另外一个实体，即输出输入模式。该规定要求不仅限于社交网络服务，还包括云计算、网络服务、智能手机应用以及其他的自动的数据处理系统。

（2）信息可携权引发的争议

这一新的权利，简单来看，能够为用户提供便利，减少用户转换服务提供者的成本，从而能够更有效地促进业务竞争。但事实上，有关锁定用户的成本以及用户转换服务时所遇到的阻碍问题完全可以通过竞争法来解决。竞争法历经百年发展历史，已经形成了较为严密和成熟的基础理论，它不仅考虑到了用户的锁定成本，也考虑到了锁定带来的消费者福利。一定的转换成本可以鼓励对新技术、新业务的投资，在长期来看是具有效率的，而竞争法的适用是以企业在市场上具有显著市场地位，并滥用该地位损害正当的市场竞争为前提的，其规则适用具有复杂而严密的程序前提。

在数据保护指令中，信息可携权作为用户的权利，可以被要求适用于任何一个互联网公司，包括新兴企业。此外，数据可携权也与欧盟数据保护法的另外一项基本权利——数据安全权相冲突。在数据可携权的要求下，如果发生了身份诈骗及盗窃事件，则会导致对个人数据的严重侵害，任何个人都可以无障碍地将个人的全部生命周期的数据进行出口和转移。最后，可携权要求企业提供一种通用的数据输出输入模式的接口。在实践中实现可互操作目标是非常困难的一项任务，需要针对不同的接口编制不同的程序。在一定意义上可以说数据可携权提出了一个如此之高的法定义务。

（三）个人信息保护法引入新型制度

1．数据泄露通知制度

数据泄露通知制度（Data Breach Notification）是指在数据丢失、被窃，或者遭遇未经授权的接入，致使敏感的、可识别个人身份的数据信息的机密状态、完整状态存在受损可能，一旦发生上述情形，相关责任主体需在一定时限内向受损主体或有关执法主体进行通告。

数据泄露通知制度最早在美国立法中提出。第一个对此做出规定的是加利福尼亚州，2002年加州制定了《州数据安全泄露法案》。截至2012年1月，美国46个州的相关立法中都引入了数据泄露通知制度。联邦政府部门层面，主要是要求特殊行业、敏感领域实施数据泄露通知制度，例如在健康医疗部门、金融部门、联邦公共部门、退伍军人（老兵）事务部等实施。相关政策及法律有：联邦预算管理办公室（OMB）的“泄露通知政策”、《健康保险责任法案》（HIPPA）、《经济与临床医疗信息技术法案》（HITECH）和《金融服务法现代化法案》（GLBA）等。

2011年之前，数据泄露通知制度主要适用于线下。近几年该制度被重新提上日程，受到广泛关注，主要是源于云计算的发展所带来的安全威胁，尤其是突发事件／案例的刺激，诸如2011年Sony、Amazon和Epsilon的云计算数据泄露事件。Epsilon是从事电子邮件服务的公司。2011年4月，该公司宣布其数据库被黑客入侵，导致该公司客户的姓名／名称、地址、银行账号等一系列信息被泄露，牵涉到许多自然人、公司的商业秘密和隐私，公司客户方面，包括花旗银行、第一波士顿咨询集团公司、好乐买、亚马逊、家乐福等企业。紧接着，黑客又凭借从Epsilon获得的信息陆续侵入了这些公司的数据库，这些公司再度不同程度地受害。为应对网络环境下的数据泄露安全隐患，数据泄露通知制度逐渐被引入线上。

美国数据泄露通知制度主要包含以下要素：制度适用的主体范围；定义“个人信息”；触发“通知”的受害要素；“通知”程序；例外；安全港；罚则；实施机构。

第一，制度适用的主体范围。数据泄露通知制度的适用主体包括：数据中间商；各类服务提供者（直接面向消费者的服务提供者）；教育机构；政府机构；军事机构；健康医疗服务提供者；金融机构；公益机构；公共事业服务提供单位；互联网服务提供商。一旦数据泄露，要求第一时间通知受侵害的主体。

第二，“个人信息”。其一，包含的内容。46个州立法和部分联邦部门之间对此的定义各有不同，但大致包括：构成社会安全号码SSN的姓、名、中间名；驾照号码；部分州的公民身份证号码；银行账号；以及其他信息，通过结合能够识别个人身份的信息。其二，“个人信息”和“能够识别的个人信息”（PII）在各州立法中，意思相同。

第三，触发“通知”的受害要素。主要有：发现未经授权的侵入；信息泄露，尤其是那些机密信息、敏感信息；信息泄露导致被存放于同一机构／主体的某信息的完整性被破坏。

第四，通知／评估程序。加入了损失评估程序，目的是确定损害程度，以决定是否有必要进行通知。损失评估主要是服务提供商／第三方进行评估。通知的方式主要有手写的书面文件、电子邮件、大众媒体刊登三种。有些州规定的较为粗放，没有上述评估和通知程序。

第五，例外。46个州、哥伦比亚特区、维京群岛、波多尼哥都对加密信息进行了例外规定，加密信息泄露不适用通知制度。

第六，安全港。医疗健康信息、金融信息、电子医疗信息，被联邦相关法律所约束，不适用数据泄露通知制度，相关信息持有主体可适用安全港，遵守联邦法律、规则、政策、指南的具体规定。

第七，求偿及具体实施机构。未实施通知造成损害的，部分州规定可以由个人提起诉讼赔偿，或者直接依据该州的消费者保护相关法律向泄露方提出损害赔偿。涉及人数众多的，由州检察总长出面交涉，开具罚单。

第八，罚则。各州规定有所不同，有的按人头计算，民事处罚从500美元到5万美元不等；有些州规定按天计算，每天最高1 000美元，连续的另行计算，但延续30天的最高5万美元，延续180天的最高50万美元；按次计算的，泄露一次处罚2 500美元。

2．隐私保护设计制度

从设计着眼隐私保护（简称隐私保护设计，Privacy by Design，PbD）最早由加拿大安大略省隐私专员Ann Cavoukian于20世纪90年代提出。隐私保护设计是指在产品或服务的整个生命周期都贯穿隐私和数据保护，包括从最早的设计阶段，到产品或服务的投放市场、使用以及最终停止使用。隐私保护设计制度的具体内容，将在本书第六章详述。

当前，互联网新技术、新业务正前所未有地改变着个人信息的收集和使用方式，对现有的个人信息保护制度带来巨大挑战。激进的观点认为：当前的网络环境下，隐私已经消亡，个人信息保护政策已到了退出历史舞台的时刻。然而从各国政策实践来看，个人信息保护政策非但没有消亡，其重要性反而得到提升。2012年1月25日，欧盟委员会发布了对《数据保护指令》的改革建议，意图在欧盟范围内建立更为统一和严格的立法。美国“棱镜计划”曝光后，立法进程大大加快。在欧盟发布改革建议不到一个月，美国白宫也公布了隐私保护框架蓝图，呼吁国会制定消费者隐私权利保护法，这是美国政府第一次在联邦层面提出制定综合性的隐私保护立法建议。该立法建议进一步明确了个人对于其信息的控制权利，同时，美国政府也强调隐私立法将依然保持与商界和消费者团体的密切对话，更多地鼓励应用自律机制保护隐私。

正如2013年世界经济论坛所指出：当前的个人信息保护政策受到了技术发展的极大冲击，但其存在的必要性和重要性丝毫没有减弱，当务之急是应对挑战，对现有政策加以完善。在此形势下，欧美等发达国家个人信息保护立法持续升温，推动着个人信息保护政策的不断完善。个人信息保护立法在新的历史背景下，需要完成相应的政策调整，在继续维护公民隐私及个人尊严等基本权利的前提下，也需要考虑互联网技术与业务发展的规律和内在需要，在权利保护与促进业务创新之间做好平衡。

【注释】

[1]信息主体（Data Subject），是欧盟个人数据保护法提出的概念，指个人信息指向的特定自然人。国外个人信息保护立法保护的主体一般限定在自然人范围内。我国台湾地区“个人信息保护法”中以“当事人”表述。

[2]信息遗忘权最早由法国提出，是指信息主体可以向信息控制者要求删除其个人信息的权利。

[3]信息控制者和信息处理者是欧盟个人信息保护法提出的概念。信息控制者是指决定个人信息处理的目的和方法，控制个人信息的主体；信息处理者是指代表控制者处理个人信息的主体。

[4]Directive 95／46／EC of the European Parliament and of the Council of 24October 1995on the protection of individuals with regard to the processing of personal data and on the free movement of such data，OJ L 281，23．11．1995，p．31．

[5]Council Framework Decision 2008／977／JHA of 27November 2008on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters，OJ L 350，30．12．2008，p．60（Framework Decision）．

[6]美国对于个人信息保护负有主要职责的部门有商务部和联邦贸易委员会，并且随着跨境贸易中的数据流动问题日益凸显，商务部对于个人信息保护政策的介入正在逐步加深。

[7]经规划的隐私（Privacy by Design，PbD）是指运用系统的方法，将有助于隐私保护的技术、设计、流程、管理植入产品功能或者服务架构中去，实现全生命周期的数据保护。

[8]Unlocking the Value of Personal Data：From Collection to Usage［EB／OL］．［2013－06－17］http：／／www3．weforum．org／docs／WEF＿IT＿UnlockingValuePersonalData＿CollectionUsage＿Report＿2013．pdf．

[9]尽管该建议并不是法律性文件，但鉴于FTC在隐私保护方面的法定职责和影响力，该建议将被作为企业的行为指南，企业如违反建议中的相关行为，在诉讼时可能会处于不利位置。