网络安全法学位论文

中文摘要

网络社会的到来，信息成为重要的资源。个人作为网络社会建构的支点，却常遭致权属不明、隐私泄露等诸多权益困境。为此，如何保护个人信息主体权益，成为网络与信息法律建构的基础问题。《网络安全法》作为基础性法律，它决定了我国网络与信息领域法律的基本架构。为此，面向我国个人信息主体权益保护实践诉求，以《网络安全法》文本为对象，抽绎其建构逻辑并检视其不足，成为一个具有研究价值的议题。基于此，本文首先对个人信息主体权益保护基础理论进行了梳理，为后文研究展开建构了理论基础；第二，以个人信息主体权益保护实践诉求为参照，对《网络安全法》中个人信息主体权益保护的规定进行了检视，发现《网络安全法》在个人信息收集、数据分类保护制度等方面尚存不足，对大数据杀熟、行业组织和公民社会价值挖掘等也未充分考量；第三，基于网络社会中个人信息权益保护在国家间具有相似性，以及西方社会已走过个人信息主体权益保护的初期阶段考量，本文对欧盟、美国、日本和韩国等在个人信息主体权益保护的立法实践进行了考察并引出了对我国的启示；第四，面向信息交易市场法治的综合诉求，整合前文研究，提出我国的个人信息主体权益保护应以《网络安全法》为纲，构建一个能与传统民法体系互相契合的个人信息保护法律体系。

关键词：网络安全法，个人信息，数据权利，法律保护

目录

中文摘要 I

Abstract II

绪论 1

第一章个人信息主体权益概述 7

1.1个人信息概念及与相关概念的区别 7

1.1.1个人信息概念 7

1.1.2个人信息与相关概念区别 8

1.2个人信息权利属性 8

1.3《网络安全法》中个人信息主体权益保护的规定 11

第二章《网络安全法》下个人信息主体权益保护存在的问题及原因12

2.1《网络安全法》下个人信息主体权益保护存在的问题 12

2 1.1《网络安全法》对个人信息主体权益保护的具体规范标准还未建立12

2.1.2没有形成完善的数据分类保护制度 12

2.1.3大信息杀熟加大了《网络安全法》所规定的个人信息主体的维权成本 13

2.1.4网络运营者收集、使用个人信息的标准较为模糊 13

2.1.5《网络安全法》未充分发掘行业组织和公民社会的价值 14

2.2《网络安全法》下个人信息主体权益保护存在问题的原因 14

2.2.1《网络安全法》因立法条件不成熟等原因而进行了一般性的规定.14

2.2.2个人信息主体保护领域立法对象的复杂性和多变性 15

2.2.3还未形成与《网络安全法》配套的个人信息保护体系 15

2 2.4《网络安全法》在个人信息主体权益保护方面存在治理理念的缺陷16

第三章国外个人信息主体权益的保护及其经验 17

3.1国外对个人信息主体权益的保护 17

3.1.1欧盟个人数据保护制度概述 17

3.1.2美国个人可识别信息保护制度概述 18

3.1.3日本个人信息保护制度概述 19

3.1.4韩国个人数据保护制度概述 21

3.2国外对个人信息主体权益保护的经验 22

第四章《网络安全法》下个人信息主体的权益保护的完善 24

4.1网络信息安全时代个人信息保护应当遵循的原则 24

4.2涉及个人信息主体权益的信息授权规则的利益权衡和使用场景规则构建25

4.2.1《网络安全法》下个人信息主体的信息授权规则的利益权衡 25

4.2.2《网络安全法》下个人信息在开放平台流动的场景规则构建 25

4.2.3《网络安全法》“经被收集者同意规则”的重新审视 26

4.3涉及个人信息供需主体间的权责划分 27

4.3.1个人信息主体及其应当享有的权利 27

4.3.2信息控制者、信息处理者及其权责划分 28

4.4《网络安全法》中社会治理在网络法治化治理格局中的作为 29

4.4.1有序扩大公民社会治理参与和塑造公民公众品格 29

4.4.2网络社会组织在网络法治化治理格局中的作为 30

4.5侵犯个人信息的民事和刑事责任的衔接 30

4.6构建能与传统民法体系互相契合的个人信息主体权益保护体系 32

参考文献

一、研究背景与研究目的

（一）研究背景

我们处于信息时代，信息是宝贵的财富，可是我们的信息时刻存在被泄露的危险。《中国网民权益保护调查报告2016》显示，在2016年，我国6.88亿网民因垃圾短信、个人信息泄露等造成的社会经济损失达915亿元。不同于现实世界的实体空间，网络空间并不具有地理概念上的场所且具有流动性。1继农业革命和工业革命之后，伴随着以互联网为代表的信息科学技术革命的浪潮，信息海量集聚并爆发式增长，信息的价值被重新发现和定义。互联网正在以强有力的动力推动着人类社会的发展进程，并与公民日常生活、工作深入融合，不断地改变着人们的思维方式和生产生活方式的同时，也存在大量侵犯个人信息主体合法权益的事情，这就需要在法律层面进行制度设计以有效保障个人信息主体的合法权益，维护信息交易市场的有序健康发展，推动数字社会的建设。

我国当下涉及个人信息的法律制度，尤其涉及个人信息主体权益保护的法律制度还不完善，零零散散分布于民法、刑法等各个法律部门，而且量刑偏低。在边界没有办法划清，规则没有清晰制定前，我们一般先制定刑法，划出一条不得触碰的红线，然后根据理论研究的进展、现实情况的变化，逐步的完善相关的法律法规。

《网络安全法》是网络信息安全领域一般性、基础性的法律制度，标志着在国家立法层面，我们有了较为宏观的网络治理法律依据，但是在个人信息主体权益保护方面存在比较多的困难。比如虽然规定了网络运营者应建立健全用户信息保护制度，但是缺乏相应的具体条文落实。根据《网络安全法》第四十一条第二款的规定，网络运营者收集的个人信息必须与其所给用户提供的服务有关，但在现实中存在软件过度收集个人与提供服务无关信息的情况，以及收集的个人信息未被合理处理并保存的情况。面对现实中频发于我们身边的一件件涉及侵犯个人信息保护的事件，如“棱镜门”事件，徐玉玉遭受电信诈骗案，数亿条酒店入住信息泄露等，一次次地刺激着我们本来就很脆弱的神经，如何对个人信息主体的合法权益进行有效的保护，是一个比较严重的社会问题，需要我们从《网络安全法》的视角出发提供一个现实可行的解决方案。

（二）研究目的

针对《网络安全法》下个人信息主体权益保护领域存在的众多问题，涉及个人信息主体权益保护的法律法律零散分布于民法、行政法、刑法等相关部门法之中，缺乏系统性、过于原则性和可操作性使得相关法律面对网络信息技术日新月异的发展，多少显得有点苍白，即心有余而力不足。而个人信息保护法还处于理论研究和前期调研、论证阶段，严重影响了个人信息主体合法权益的及时、有效和全面的保护，也影响到了信息社会的建设。本文旨在通过以《网络安全法》的视角，分析在《网络安全法》规定的个人信息主体权益保护中存在的问题及其原因，以期进一步增加个人信息交易的可预测性、安全性和便捷性的同时，更多的对个人信息主体的合法权益进行保护，推动建立规范的信息交易市场秩序和个人信息主体权益保护新路径。

二、研究内容和方法

（一）研究内容

本文总共分为五部分。

绪论。本章节从本文选题的研究背景出发，介绍了本文的研究内容和研究方法，在分析国内外研究现状的基础上，探讨了本文研究的意义和创新点。

第一章，个人信息主体权益概述。本章节从个人信息概念出发，探讨了个人信息与相关概念区别，以及个人信息的权利属性，通过梳理《网络安全法》下个人信息主体权益保护的相关规定，进一步明晰了个人信息主体权益的内涵和外延。

第二章，《网络安全法》下个人信息主体权益保护存在问题及原因。本章节是论文研究的基础，主要从《网络安全法》下个人信息主体权益保护存在问题和《网络安全法》下个人信息主体权益保护存在问题的原因为主要内容进行了论述。

第三章，国外个人信息主体权益保护及其经验。本章节从个人信息主体权益保护现状出发，较为详实论述了以欧盟、美国、日本、韩国等为代表的国外个人信息保护制度，以及对我国个人信息主体权益保护的经验。

第四章，《网络安全法》下个人信息主体的权益保护的完善。本章节是全文的重点，从网络信息安全时代个人信息保护应当遵循的原则出发，通过涉及个人信息主体权益的信息授权规则的利益权衡和使用场景规则构建，以及对涉及个人信息供需主体间的权责划分，提出社会治理在网络法治化治理格局中的作为，进而构建能与传统民法体系互相契合的个人信息主体权益保护体系。

（二）研究方法

本文采用文献资料分析法。大量查阅图书馆学术资源和馆藏资源，在对个人信息主体权益保护相关成果的收集、整理、归纳和理解基础上，归纳并分析我国当下在个人信息保护领域中的现状。在归纳和研究的基础上，本论文采用比较分析法，分析欧盟、美国、韩国和日本等国外个人信息保护方面的有益经验，通过对照我国在个人信息主体权益保护的实际情况，逐步构建本论文的理论框架和内容。通过运用探索性研究方法，从《网络安全法》涉及个人信息主体合法权益保护的规定出发，探索完善个人信息主体合法权益保护的可行性，为科学构建我国个人信息保护制度提供可能性。

三、研究综述

（一）国内研究现状

我国传统文化中以集体或者团体本位的理念来构建个人、家庭、社会和国家的关系，个人的生活空间基本上处于不断被压缩的境地。基于这种文化土壤基础之上的个人信息主体权益保护的研究成果不是很丰硕，很多研究还处于基础阶段。比如个人信息权利的属性、个人信息还是个人数据等很多问题还没有完全形成共识。随着改革开放的不断深入，面对经济社会发展的实际需求，对于个人信息主体权益的保护也开始在社会层面得到人们越来越多的关注。我国学者在个人信息主体权益保护领域也有了较大的研究成果，知网上涉及个人信息主体权益保护的论文有数千条检索记录。在各类销售网站上也有很多涉及个人信息主体权益保护方面的研究文献。

齐爱民、周汉华、刘德良、郎庆斌、涂子沛、蒋坡、孔令杰、洪海林、郭明龙、谢永志、王忠、杨芳等学者的专著和论文在个人信息主体权益保护领域具有较大的影响力，其他学者也从不同的研究角度出发对个人信息主体权益的保护和开发进行了研究，这些研究重点在于个人信息主体权益保护的基础领域。如齐爱民教授的《拯救信息社会中的人格—个人信息保护法总论》，王利明教授的《论个人信息权在人格权法中的地位》，洪海林博士的《个人信息的民法保护研究》，刘德良教授的《论个人信息的财产权保护》，科技作家涂子沛的《信息之巅：大信息革命，历史、现实与未来》，学者杨芳的《隐私权保护与个人信息保护法》和学者刘金瑞《个人信息与权力配置——个人信息自决权的反思和出路》。以上学者的研究推动着我国个人信息保护制度的不断深入，为个人信息主体权益保护领域的立法打下了较为夯实的理论基础。同时齐爱民教授的《个人信息保护法示范草案学者建议稿》和周汉华博士的《个人信息保护法（专家建议稿）及立法研究报告》是学者基于当前研究成果而提出的比较重要的两部立法建议稿。

关于个人信息主体权益权利属性的认识，我国学者郭明龙认为是一种宪法基本权，主张通过财产权对个人信息予以保护；王利明教授认为是一种新型的具体人格权；刘德良教授认为是一种有限制的个人信息财产权。我国很多学者认为，个人信息主体对属于自己的信息享有绝对的所有权，个人信息控制者和个人信息使用者只享有有限制的使用权，一般需要经过信息主体的授权。在信息网络时代，个人信息所包含的人格利益具有独立保护的价值，对个人信息的占有、使用、收益和处分等权能都对主体的人格产生着深远的影响。人格在近代以来愈加体现的是人的伦理价值，通常无法进行商业化运作与主体不可分离。值得注意的是，个人信息保护的立法价值取向同时涉及人格尊严与信息自由流通，隐私权制度的立法价值取向通常仅涉及人格尊严。

（二）国外研究现状

由于西方社会从文艺复兴、启蒙运动，尤其是宗教改革之后，重点关注个体的自由和潜能的释放，这就使得在这种经济文化基础之上的个人信息主体权益保护有了深厚的社会基础，获得了较早的理论研究，取得了丰硕的研究成果。布兰戴斯和沃伦《论隐私权》的出版，意味着个人信息主体权益保护的概念开始被人们所关注。到二十世纪中后期，个人信息保护浪潮在西方开始盛行，以至于德国、欧盟等国家和国际组织都纷纷制定了涉及个人信息主体权益保护的立法。如欧盟在1995年制定并颁布了《欧洲议会和欧盟理事会关于在个人资料处理和个人资

料自由流通过程中对个人资料进行保护的指令》。德国在1990年制定了《联邦数据保护法》，欧美国家涉及个人信息保护的研究主要集中于某个领域之中，通过归纳的法律推理方法，从司法实践素材和案例出发进行研究，对个人信息主体权益保护提出了具体的保护方案和救济途径。

维克多·迈尔—恩伯格和肯尼斯·库克耶在《大数据时代》一文中提到了个人信息主体权益保护的相关事项。克劳斯在1953年出版的《人民的知情权》一文中指出，只有拥有信息的自由，人民才能真正拥有对公共事务的发言权。美国学术界认为，“隐私”是一个综合体的概念，包括多方面的内容，其中一项就是信息隐私，指对个人数据的控制和操纵。3众所周知，隐私权是基于一个文明社会对个人隐私空间和个人人格应该有的尊重，并不根植于财产权，是“只实施于更一般性的不受打扰的权利。”二十世纪初，没有明确的法律予以规定美国公民的知情权，部分州政府虽然有相关的规定，但是对公民知情权的保障并不充分。美国对个人信息主体权益的保护主要关注于金融、医疗、电信、未成年人等领域。5对于美国人民来说，个人隐私观念根深蒂固，人们是不情愿用个人的隐私来交换安全和便捷的。据估算，美国单就医疗领域的诈骗金额已经占到健康保障支出的10%。6在日本，通常认为个人信息保护的主要目的和逻辑前提是对隐私权的保护。7由于二战后期美国对日本的深远影响，日本在个人信息主体权益保护方面更多地向美国学习。日本的个人信息主体权益保护表面上类似于欧盟统一立法模式，而实质上更多采纳的却是美国立法的许多做法。

国外关于个人信息权利属性主要有以下几种观点，如《欧洲人权公约》中将个人信息权认定为具有人权属性的权利，美国的很多学者认为应扩大化隐私权的内涵，除了一般人格权之外，还包括具体人格权的内容，并提出了信息隐私权这一概念。美国法律经济学家波斯纳认为，隐私权可以成为一种消费品，并且可以进行投资收益。但美国部分学者认为个人信息是内在于主体的，个人信息财产化会导致主体客体化，是不可接受的，是违反人权观念的。丹尼尔·沙勒夫律师提出了控制信息论，即个人信息保护过程中需要我们处理好如何控制个人信息的使用。

四、研究意义

（一）理论意义

个人信息的收集、存储和使用在中国当下没有明确的合法边界，欠缺可预测性。《网络安全法》的颁布标志着在国家立法层面，我们有了较为宏观的网络信息安全法律依据。但是面对复杂的网络环境，快速发展变化的信息科技，个人信息保护在现实中仍然困难重重。现实生活中存在大量侵犯个人信息主体权益的情况，比如过度收集个人信息，泄露、出售他人信息，毁损、丢失他人信息等。个人信息作为一项极具开发潜力的新型资源，因权利边界不清，缺乏规范的信息增值服务交易界限，对于市场交易主体和社会秩序，充满了极大地隐私保护漏洞、信息安全风险和技术发展窘境。我国当下从宪法、行政法、民法和刑法等不同角度对个人信息的合法权益进行了规定。这也就决定了我国当下涉及个人信息权益保护的法律是零零散散的，即不成系统的。通过整理个人信息权益保护领域的法律法规，规章制度，非规范性法律文件，政策文件，结合现实中《网络安全法》下个人信息主体权益被侵害的现状，以及出现问题的原因分析，从理论上对个人信息主体权益保护进行构建，系统阐述个人信息主体权益保护在《网络安全法》框架下的新路径。

（二）实践意义

菜鸟网络和丰巢科技之争凸显出我国现行法律法规对个人信息的保护已无法满足社会的发展需求。因为具有一般性、基础性特征的《网络安全法》在实践中不具有很强的操作性，导致现实生活中仍然存在大量的侵犯个人信息主体合法权益的事情。全面研究现实生活中个人信息主体权益侵害的事实和原因，通过对实践中涉及个人信息应用而引发争议的分析，在认清我国信息安全立法现状基础上，借鉴欧美日韩等国家个人信息保护的经验以完善我国个人信息主体权益保护体系。通过对《网络安全法》下个人信息保护存在的现实问题及原因的系统解剖，以期提出一些适合中国当前经济社会大背景下的个人信息主体权益保护完善的制度构建。在提高自身实践能力的同时，进一步增加个人信息交易的可预测性和便捷性，对推动建立实践中个人信息主体权益保护多元化的司法救济路径提供有益的思考。

五、创新点

学者的研究更多的是陈述个人信息或者个人信息主体权益保护的重要性，论证个人信息的开发利用价值。在大信息、云计算和人工智能领域，以及当下对个人信息主体权益的侵害，但甚少从《网络安全法》的视角对个人信息主体的权益保护进行研究。本论文从《网络安全法》的视角研究了个人信息主体权益保护存在的相关问题及原因。通过对已有研究的系统归纳，主张有效发挥信息控制者在技术、资金方面的优势，进一步推动并建立社会共治模式，提出了具有可操作性的对策建议，为政府决策提供一定的决策参考。

第一章个人信息主体权益概述

1.1个人信息概念及与相关概念的区别

1.1.1个人信息概念

我国和日韩所说的个人信息在美国称为个人可识别信息或信息隐私，欧洲国家则多称为个人数据、个人资料。因为这些定义所涵盖的内容实际指向的具体的核心内涵和外延没有多少本质上的差异，很多情况下是因为语言差异、生活用语习惯和传统所致。因此，为了避免引起不必要的的认知差异，本文以个人信息这一定义为基准来进行研究。

国际社会上一般用数据主体和数据控制人来表述涉及信息的相关主体。较早对个人信息进行界定的是欧盟《数据保护指令》，该指令明确定义了个人信息的内涵和外延。9其中，直接识别是指通过肖像等能够直接确认信息主体身份的信息来进行身份识别；身份证号码、社会保险号码、护照号码因其唯一性和高度确定性亦应属于直接个人信息亦不会导致太大争议。10间接识别是指无法通过单一信息直接确定信息主体的身份，但通过对某些信息或资料进行关联分析，却足以最终锁定信息主体的身份。11涉及个人敏感信息的相关信息也应该划入个人信息的范畴，进而加大对个人信息的保护力度。个人信息是与信息主体有关联性的一组可识别信息，这种关联性可以从信息的内容、产生的结果和使用目的角度解析。新加坡2012年发布的《个人信息保护法》中界定的个人信息是：指无论真实与否，能够被识别的个人相关的信息；依据这些信息能够识别个人；依据这些信息以及可能获得的信息识别特定个人。

国家信息办在2003年委托社科院法学研究所周汉华研究员领衔的课题组起草《个人信息保护法》专家建议稿，12其中就对个人信息的内涵和外延进行了规定。2017年通过的《民法总则》总共有两个条文涉及个人信息保护，第111条只是声明了自然人的个人信息是受到法律保护的，还有信息控制者等他人获取个人信息的相关注意事项，第127条规定了法律对信息、网络虚拟财产的态度也是持积极保护的倾向的。但其他法律如《中华人民共和国电子商务法》、《中华人民共和国电子签名法》、《全国人大常委会关于加强网络信息保护的决定》、《全国人大常委会关于维护互联网安全的决定》目前没有关于信息权利性质和归属的个人信息是与身份可识别的个人相关的所有信息，其中包括能够直接对主体进行身份识别的直接信息，以及通过一项或多项因素而能对身份进行识别的间接身份信息。

明确规定。2013年实施的《电信和互联网用户个人信息保护规定》第四条以法律条文的形式规定了用户个人信息的定义，2017年6月1日起实施的《网络安全法》第七章规定了个人信息的定义。这就从网络安全领域基础法律层面解决了个人信息内涵和外延的基础性问题。

1.1.2个人信息与相关概念区别

个人数据在英语中为“personaldata”,其概念始于欧盟《通用数据保护条例》。信息可以是零散分布的，个人信息更加侧重于保护个体的信息自主权。数据是出于某种目的的信息的集合，通过一定的标准将一定范围内的信息汇总起来就是一般意义上的数据，通常所说的数据库就是这样形成的。数据库是信息的有序集聚，其最核心的内涵是用先进的技术手段收集有价值的信息，为大信息产业稳健发展和个人信息安全创造良好的法治环境。欧洲国家在立法中更多使用的是个人数据这一概念。个人数据主要是已识别或可用来识别信息主体身份的信息，不包括无法用来识别信息主体身份的信息，这就意味着个人信息的范围比个人数据广。

隐私权是指私人生活安宁不受他人非法干扰，私人信息保密不受他人非法搜集、刺探和公开的权利。涉及个人信息中不公开和隐秘的内容，比如收入、爱好、健康水平、宗教信仰、性取向等都属于隐私的范畴，而个人信息中依据法律可以公开的住所、姓名、性别和出生年月则不属于隐私的范畴。美国在涉及个人信息有关的立法中更多使用的是信息隐私或者个人可识别信息这一概念。相对于具有更多社会功能和经济价值的个人信息，隐私则显得更加的消极和保守。

1.2个人信息权利属性

个人信息权利属性的界定是确定个人信息归属的前提。根据国内相关学术研究现状，关于个人信息权利属性主要有以下五种观点：

第一，人权属性。持有此种观点的学者认为其是一种基本的人权，应纳入人权的范畴予以规定并进行相应的保护。如我国学者郭明龙认为个人信息权利应该被视为“一种宪法基本权”；在国外，《欧洲人权公约》中将个人信息权认定为具有人权属性的权利。

第二，一般人格权。持此种观点的学者认为其具有一般人格权的属性。在传统的学术理论研究中，将个人信息作为人身权中人格权的重要内容，并不具有财产权属性，不直接表现为财产利益。16王利明教授将个人信息权视为一种新型的具体人格权。17我们所研究的个人信息，它所体现的人格利益的内涵已经多于具体人格利益的范畴，这使得对个人信息的法律保护更为复杂，现有的法律制度难以进行充分切实的保护。人格独立、自由和尊严是一般人格权的主要内容，个人信息权利就包含于这些内容之中。但是，“仅从纯粹的人格权保护角度出发批判个人信息财产化发展趋势将会陷入人格保护与人格自由发展存在矛盾的逻辑怪圈。”

第三，隐私权。隐私主要包含与公众利益无关和是个人的私事两个方面。隐私权内涵尤其外延的确定，民众对隐私的正常的、合理的期待起着很大层面上的作用。早期关于隐私权的理论，学者们基本上对于隐私权的内涵和外延有一定的共识，那就是具有独处性且不受外界干扰的完全可以自由支配的权利。建立在自由主义理论之上的隐私权都应进行全面的、系统的保护。通常认为，隐私权就是指个人对其私生活安宁、私生活秘密等享有的权利。19在保护的客体上，关于隐私权定义想要保护的客体，美国的很多学者认为应扩大化隐私权的内涵，除了一般人格权之外，还包括具体人格权的内容。当下我国对于隐私权的保护通常纳入一般具体人权保护的范畴。

第四，财产权。到了20世纪中叶，随着科技和经济社会的快速发展，隐私权具有财产属性的现实状况和需求使得学者在研究中不断地进行着理论创新。比如美国法律经济学家波斯纳认为，隐私权可以成为一种消费品，并且可以进行投资。财产权说有一个基本的视角，那就是想以财产为切入点作为分析的基础，构建一个具有个人信息保护体系的理论框架进而来分析和指导实践，尤其对传统意义上的财产权的概念和内涵进行理论探究，使其在理论层面对个人信息财产化的保护成为可能，也为大规模市场化的手段实现个人隐私财产化进而能进行盈利成为可能。财产权重要的属性在于可流通性，人们可以将其交易而获益。20出于法律经济学的视角，不断探索个人信息在经济社会价值中的最大化，需要我们衡量涉及个人信息的多方主体之间权利义务的公平划分。但是，美国部分学者认为个人信息是内在于主体的，个人信息财产化会导致主体客体化，是不可接受的，是违反人权观念的。

第五，独立人格权。持有此种观点的学者认为个人信息权具有独立的人格权属性。众所周知，存在于个人信息之上的人格利益在一定程度上具有独立进行保护的价值，这在很大程度上有利于有效的维护信息主体基本的人格尊严，如果能够通过人格权法有关的法律进行系统的保护是现行有效的方式。个人信息权的权利内容主要包括信息决定权、信息保密权、信息查询权、信息封锁权、信息删除权及信息报酬请求权。因此，对具有独立人格权属性且有人格利益属性的个人信息权进行保护的过程中，需要我们侧重采取有效的措施保护个人信息主体的财产性合法利益。

随着先进的信息通信技术的进步，个人信息的使用显著增加。因社会经济活动的扩大，科技的发展，特定人格权既已进入市场而商业化，具有一定的利益的内涵，应肯定其兼具有财产权的属性。综上，通过对学术界个人信息权利的以上五种主要观点的分析，笔者认为个人信息权利属性认定时必须坚持国家安全原则，个人权利保护原则和有利经济社会发展原则。个人信息权利应认定为具有财产属性的独立人格权。

首先，信息主体对属于自己的信息享有绝对的所有权，其他存储、使用该信息的主体只享有不完全的使用权，而该使用权的使用一般需要经过信息主体的授权。“人权属性说”、“一般人格权说”和“独立人格权说”虽然肯定了个人信息宪法所保护的人格利益属性，但是忽视了个人信息的隐私权属性、人格权利的财产价值属性和财产权属性。

其次，随着信息技术的发展，针对个人信息进行搜集分析并依靠大信息规模化处理来进行盈利的行为十分普遍，围绕个人信息而形成的黑色产业链愈加庞大，严重侵犯个人信息主体的合法权益。通过货币化的方式寻求个人信息主体权益保护与社会价值最大化之间的平衡点，形成个人信息的合理开发利用模式，已成为社会的普遍共识。比如明星可以主动通过发布个人的隐私信息满足一部分社会主体的需求并获得一定的商业利益。“隐私权说”和“财产权说”虽然肯定了个人信息的私生活安宁、私人信息，以及利益属性，但是忽略了个人信息的人格权属性。

再者，个人信息所包含的人格利益具有独立保护的价值，尤其在互联网+时代，对个人信息的占有、使用、收益和处分等权能都对主体的人格产生着越来越大的影响。人格在近代以来愈加体现的是人的伦理价值，通常无法进行商业化运作与主体分离。但是，当姓名和肖像等人格性要素只有在一定条件下与主体相分离、单独没办法识别某信息主体才能给其赋予一定的财产性。基于以上的分析，认定个人信息为具有财产属性的独立人格权比较恰当。

1.3《网络安全法》中个人信息主体权益保护的规定

随着信息网络技术的快速发展，信息安全风险也与日俱增，给公民人身和财产带来了极大的挑战。比如孕妇还没出院，月子中心就打来了电话；购买的新车还没开上路，推销房产车位的电话就打来了。高额的利润回报率衍生出了复杂的利益链条，日益严重侵害着社会的健康、良性和可持续发展。作为网络安全领域具有全面性、基础性特征的《网络安全法》，不但意味着我们有了较为宏观的网络治理法律依据，而且改变了网络安全领域个人信息主体权益保护方面的法律缺失现状，进一步提升个人在网络信息社会中的安全感和便捷性，尤其在网络安全领域涉及个人信息主体权益的保护提供了切实有效的法律制度保障。

《网络安全法》第四章规定了网络信息安全的相关内容，这里面就涉及了个人信息主体权益保护方面的规定，比如要求网络运营者要严格保密用户的信息，建立健全涉及用户个人的信息保护制度；在收集信息的时候，要将收集信息的范围、目的以明示的、简单易懂的方式告知被收集者，并要取得其明示的同意；赋予信息主体有权要求网络运营者更正错误的信息、删除违法收集的信息，要求网络运营者强化个人信息的管理，当发现违法违规的信息时，要立即停止其传播、采取消除措施以减轻侵害个人信息主体的合法权益。通过加大涉及个人信息主体权益犯罪的惩罚力度和处罚标准，进一步将网络监测预警制度化，逐步实现了全天候全方位感知网络安全态势。

第二章《网络安全法》下个人信息主体权益保护存在的问题及原因

2.1《网络安全法》下个人信息主体权益保护存在的问题

2.1.1《网络安全法》对个人信息主体权益保护的具体规范标准还未建立

《网络安全法》规定了网络实名制的相关法律条文，即当用户不提供真实身份信息时，拒绝向有关的用户办理相关网络服务是网络运营者有权采取的一项措施。虽然此项规定对方便办案机关及时掌握网络空间行为主体的信息，遏制网络诈骗等网络犯罪活动有积极地作用。但是对于网络运营者获取用户信息的范围规定的较为模糊，存在过度收集与服务无关的用户信息的情况，以及获取后的信息在未经本人同意而“失控”于本人的商业化适用的情况。

在个人信息收集、使用、存储和共享规范标准还未建立之前，存在严重的侵犯个人合法权益而又难以救济或救济成本过高的困境。这在现实中突出表现为当个人信息安全受到侵害后，个人起诉、索赔等维权方面的具体规范标准还未建立。现有法律规定的惩罚措施主要是罚款，且罚款金额偏低。这对于企业规模大、盈利能力突出和寡头效应明显的电子商务行业、互联网行业企业来说，相比违法而获得的巨大收益，违法犯罪的成本偏低，以至于这些企业没有更大的动力采取更严等级、更高成本的个人信息保护措施，就连立即采取补救措施和及时告知用户和有关部门的动力也甚少存在。

2.1.2没有形成完善的数据分类保护制度

《网络安全法》第二十一条是网络安全等级保护制度的一般性、基础性法律条文，该条第四款明确规定了数据分类措施，但并没有形成科学合理的、便于执行的数据分类保护制度，这就使得对个人信息的保护力度和对因侵犯个人信息对国家安全、社会秩序和个人合法权益危害程度达不到较为理想的匹配程度。某调查指出，如果觉得自己的个人信息能够得到更好地保护，78%的网络使用者的上网次数会更多。这些数据清晰地表明网络使用者对个人信息保护非常重视。24之所以还未形成完善的数据分类保护制度，主要原因在于数据分类的标准还未达成共识，某个网络安全事件的危害程度、影响范围等因素都处于不确定状态，以及现实网络信息社会的复杂性、多变性，进而影响了数据分类保护制度的形成。级的个人信息侵权对应相关的安全管理措施，以便于及时、高效、低成本的分类化思维保护个人信息。这是对当下处于空白的个人信息安全等级保护的重要尝试和填补，有利于分类分标准等级进行精准保护。

2.1.3大信息杀熟加大了《网络安全法》所规定的个人信息主体的维权成本

社会成员应当将专属于其自身信息的部分权利让渡给国家，从而促进公共福祉的实现。25随着信息化的不断深入，人们很大程度上是没有选择权，个体的反对意味着相关产品服务的不能使用，以及生活便利程度的降低。一旦人们把隐私作为通货交换自己生活的便利时，就无形中默认了对自己隐私的部分或者全部放弃，虽然个体内心拒绝或者不清楚。一次次地隐私让渡意味着隐私的不断贬值，随着时间的发展，个体自主性的丧失程度将愈加严重，个体行为和思想被操纵的可能性也将成为大概率事件。

“大信息杀熟”已经到来，只是我们还未发觉。而知道真相的人们也只能寄希望于个人的信息不被滥用的脆弱假设之上。大数据云计算技术的快速发展使得重塑自然人人格成为可能。虚拟人格所代表的个人形象可能与真实的自然人大相径庭，辅之以大数据之翼，便可能与真实人格相对立，并由此对原本的真我造成伤害。26而作为信息来源者和大信息杀熟的受害者，单独的个体很难通过自身努力来保护合法权益。无意识中不断地让渡着个人隐私权利、压缩着个人隐私空间，以致出现了很多人不知道自己合法权益正在遭受侵害的客观事实。外加个体维权意识淡薄，举证难度加大，导致个体自主性丧失加剧的同时，进一步加剧了个体维权成本。如《网络安全法》虽然规定了网络运营者如果未经个人同意或者错误收集、使用个人信息，个人有权要求其删除或者更正。但是面对强大的网络运营者，个体的渺小和无助使得这样的规定很难在现实中有效的发挥作用，且要求个人信息主体要付出较大的时间、精力和金钱成本，这在无形中加大了个人信息主体的维权成本。

2.1.4网络运营者收集、使用个人信息的标准较为模糊

根据《网络安全法》第四十二条规定，经过必要技术措施处理而无法识别特定的某个主体是向他人提供相关信息的重要前提，同时要求信息控制者要不断提升技术措施以确保相关信息不被泄露、毁损和丢失。面对个人愈加弱势、无力的现状，《网络安全法》对网络运营者收集、使用个人信息的标准比较模糊。比如收集、使用信息的目的、方式和范围在不同的应用场景下有不同要求，以何种方式取得被收集者的同意也没有明确的法律规定。而涉及防止个人信息泄露、篡改和毁损的安全技术措施和必要技术措施，立即采取的补救措施，和及时告知用户并向有关主管部门报告的具体可操作性的制度还没有出台，进而导致《网络安全法》在第四章网络信息安全中规定的一般性、指导性法律条文没有办法具体落实下去，严重影响着个人信息主体合法权益的有效保护。监管的滞后、不严和多头执法也使得网络运营者很少有动力主动规范个人信息的收集、使用，因为主动规范意味着自己收集、存储的个人信息会变少，这对于争夺竞争激烈的云存储市场话语权反而有不利影响。这也是行业组织在涉及个人信息主体权益保护方面发挥不了太大作用的原因。

2.1.5《网络安全法》未充分发掘行业组织和公民社会的价值

从个人信息保护行业发展的层面来看，我国行业组织的自律能力较低，芝麻信用、花道征信等大信息企业都有自己的规范，公认的行业标准和技术规范缺失，这也使得国家法律法规的制定存在不成熟之处，即行业标准和技术的发展没有为国家层面的立法提供有效支撑。而《网络安全法》未充分赋权行业组织和公民社会，使其在个人信息保护领域发挥其应有的作用。若通过系统的思维方式，让公民在参与过程中获得社会治理的直接体验并塑造公民的公众品格，无疑是粘合社会裂缝、避免社会断裂的强力粘合剂。比如，举报奖励制度的建立和完善是切实提高公民社会治理参与度的有效途径，这不仅是弥补监管部门监管能力不足，监管成本过高的可行方案，也是塑造公民公众品格的有效方式。这就需要我们建立举报奖励基金、建立灵活有效的举报激励机制。若以明晰易懂的方式向社会公布举报受理机构、受理程序和受理奖励办法，不断优化受理流程，可最大限度降低举报的成本，增加举报的收益。移动安全技术升级的迫切性比以往任何时候都更强烈，需要我们构建多主体、全链接的安全防护共同治理体系。而此时的多主体除了政府主管机构之外，还应重点包括手机厂商，网络建设者，安全厂商，网络运营者，科研机构，网络服务提供者，网络行业社会组织和高等院校等。通过最大限度发挥其应有的价值，进而形成个人信息主体权益保护的合力。

2.2《网络安全法》下个人信息主体权益保护存在问题的原因

2.2.1《网络安全法》因立法条件不成熟等原因而进行了一般性的规定

信息科技时代的个人信息几乎长期处于暴露的危险中，面临信息违法成本偏低而信息维权成本过高、维权收益偏低的困境。现行的涉及个人信息保护方面的法律零散分布，没有形成统一的立法制度。由于信息科技革命迭代更新的频率加快，以及新情况新变化不断涌现，涉及个人信息保护方面的要求更加的专业和技术。现有法律法规对网络运营者获取用户信息的范围规定的较为模糊抽象，存在过度收集与服务无关的用户信息的情况，以及获取后的信息在未经本人同意而“失控”于本人的商业化适用的情况异常突出。

网络化的信息架构已经使得收集、存储、转移和处理信息的成本几乎为零，传统的个人信息保护方法与当前实际环境不匹配。层出不穷的新技术与新业务相互交织、共同影响，冲击着现有的个人信息保护制度甚至其存在的根基。这就使得在理论层面的研究缺少相应的法律支撑，以及研究对象存在众多不可确定性因素。我国现行的涉及个人信息保护方面的法律零散分布、没有形成统一的立法制度。作为个人信息主体权益保护领域基础性法律的《网络安全法》，由于个人信息保护方面的情况异常复杂，很多社会关系还处于不断地变化之中，在法律层面作出统一的规定有一定困难。因此，《网络安全法》的出台，是在面对信息科技革命迭代更新的高频率和新变化，避免立法对象急剧变化而导致法律“滞后”，以及因涉及这一新领域立法经验不够丰富、前期的理论研究不够成熟的一种探索性办法。

2.2.2个人信息主体保护领域立法对象的复杂性和多变性

从立法对象的复杂性、多变性层面来看，涉及的个人信息主体的侵权一般存在碎片化、随机性和偶然性的特征，让安全部门对互联网信息的有效监控陷入了极大地困境，严重影响了个人信息主体合法权益的及时、全面和有效保护。很多时候的信息泄露和侵权对个人来说，所产生的侵害结果并不立即显现而让人察觉到，而当自己察觉到个人信息遭到侵犯的时候，后果都已经非常严重了。这也使得对涉及个人信息主体权益保护领域的立法，尤其是《网络安全法》，民众具有更高的期待和要求。由于个人信息保护层面专业性强、技术要求高，以及新情况、新变化不断涌现，尤其涉及个人信息主体合法权益保护的领域还在不断扩展中，但民众对个人信息主体保护领域的立法更具有期待性，期待其具有更强的预测性，以便于指导自身行为。这就导致社会对民事领域、行政领域和刑事领域的立法提出了更高的要求，期待其更加具体、可行和有效。但这种期待与涉及个人信息主体保护领域立法对象的复杂性、多变性存在一定的对立性，以至于这一领域的相关立法很难做到面面俱到、适应现实的全部要求。

2.2.3还未形成与《网络安全法》配套的个人信息保护体系

从立法惯性思维层面来看，先发展后规范或者立法宜粗不宜细的立法惯性思维长期存在，虽然其存在在急剧变革和发展的时代具有一定的合理性，但这容易导致很多打着“创新”旗号的行为在“无法规制”的市场中犹如脱缰野马追求着自己利益的最大化。众多的商家获得了经济利益，而我们个人则在不得已或不知情的情况下付出着惨重的个人信息安全成本。权利和义务的不匹配在个人信息主体权益保护领域显得更为明显。比如个人信息非法变现通道上资本的疯狂追逐，面对政府合法、合理的管理却打出“遏制创新”的制高点，严重影响了正常的市场行为，反而不断地侵蚀着正常的市场秩序。长期以来，我们存在一个思维误区，即想通过单纯的立法一劳永逸地解决所有问题。经过长期“头痛医头，脚痛医脚”的立法应急惯例，我们逐渐明白单纯的立法解决不了根源问题。因为很多问题的出现，尤其涉及个人信息主体合法权益保护领域问题的出现，不仅仅是单纯的法律问题，更是一个社会问题，具有复杂性、系统性特征。而执法、司法和守法等环节没有和立法形成一个良性的配套体系，也是当下个人信息保护领域存在众多问题的重要原因。

2.2.4《网络安全法》在个人信息主体权益保护方面存在治理理念的缺陷

从个人信息保护的历史发展层面来看，在个人信息保护的法治化进程中，各国都存在治理理念上的缺陷，只不过中国在个人信息主体权益保护的治理理念上更突出一些。十八届四中全会决定重大法律必须有法可据，这就对我们长期以来“摸着石头过河”发展过程中，边法律规范边发展的治理理念提出了新的更高的要求。因为这种治理理念在快速发展变革的时代具有一定的合理性和可行性，但长期来看，很容易出现“打擦边球”的市场主体利用这一立法空白，在谋取自身利益最大化的同时，很容易不断无底线地侵蚀个人信息主体的合法权益。外加官员个人信息保护意识淡薄或者“有利益交易的主动公开”，还有那些信息能够公开，那些信息不能公开的边界标准不清。公开事项的标准不明确，使得公开太细被质疑泄露隐私，公开太粗被质疑不利于监督，进而严重制约着个人信息主体合法权益的保护和信息社会的建设。直到2018年5月份，两高关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释的发布，这对于正确使用涉及公民个人信息刑事犯罪的法律，规范统一司法有积极的参考价值，也有利于客观化、具体化侵犯个人信息罪的定罪量刑标准，对于实务操作具有积极指引作用。

第三章国外个人信息主体权益的保护及其经验

3.1国外对个人信息主体权益的保护

随着信息科技的井喷式发展，个人信息已经成为现代商业和政府运行的基础动力。27欧盟1995年出台了《数据保护指令》已经不能完全满足公民对个人信息的保护需求。经过漫长的立法倡议、修订、审批和公布，欧盟《通用数据保护法案》开始实施，这是个人信息保护领域发展过程中的重要探索和成果。从保护模式分析，统一立法模式成为欧盟的在数据保护层面采取的主要立法模式，以部门为单位的分别立法模式是美国在信息保护层面采取的主要立法模式。不管采取什么样的立法模式，最大限度的维护信息社会的基本秩序、推动信息社会的良性发展是各国的共同立法目标。从深层次角度来看，个人信息保护制度的建立是为了规范信息的收集、存储和利用，在保障个人信息主体合法权益、维护其基本人格的前提下，实现经济利益的最大化。对于信息采集者来说，获取个人信息不是目的，而是一种手段，是建立和扩展财源的一种途径。28通过为个人信息的开发利用设定合法、合理的制度架构，可以为其产业化进程铺平道路，进而推动其健康有序的发展。

当下，专门制定了保障个人信息法律的国家和地区已有九十多个。西方发达经济体对个人信息的保护给予了更早、更高关注，这源自于宗教改革之后对个体自由的尊重和个体潜能的全面开发。而作为地理位置在东亚、东北亚的日本和韩国，历史上深受中华文化的影响，与中国在经济、文化和社会层面有较多相似性。这也使得本文在借鉴国外经验的时候，重点选取了欧盟、美国、韩国和日本在个人信息保护方面的经验。

3.1.1欧盟个人数据保护制度概述

欧盟先后制定以及签署了众多涉及个人信息保护领域的法律文件，具体包括1995年《数据保护指令》，2002年《隐私和电子通信指令》和2009年《隐私与电子通信条例》，提出了个人信息保护领域立法工作的改革计划。其中，《隐私和电子通信条例》很大程度上解决了涉及电子通讯部门中包括无线电通信、传真等类似服务且对于其未能涵盖的领域的数据保护问题，《数据保护指令》仍然适用。但是，随着“棱镜门”事件爆发性的被公之于众，客观上加快了欧盟个人信息保护立法的步伐，严格程度和处罚力度进一步加重。为建设单一市场目标，推动信息保护与利用之间的平衡，2018年5月25日生效的《通用数据保护条例》（简称GDPR），基本上改变了互联网巨头与用户之间的权力失衡问题，以及信息网络市场上“劣币驱逐良币”的恶性循环现状，明确提升了企业数据保护责任。

从信息主体、信息控制者和处理者、信息监管者等三个方面来规范个人数据保护。对于用户而言，有权访问、改正、移植和删除相关信息，其中删除相关信息就是指信息的“被遗忘权”，即用户可以要求信息控制者从网络搜索结果中移除个人信息。最早基于数字技术和网络全球化的背景，提出被遗忘权概念的是被誉为“大数据时代预言家”的英国牛津大学互联网学院教授维克托·迈—舍恩伯格先生，并得到来自各方的支持29；对于信息控制者和处理者来说，明确规定信息不应该以非法或不正当手段获取，信息收集也需限于必要的最低程度，且信息收集和使用目的必须具体和准确，不得用于其他目的。同时要求企业在获得用户同意后，还需要设置便捷途径，以便于用户无条件撤回所同意事项。数据保护范围在本次立法中进一步扩大，政治倾向、性别及性取向也被视为敏感数据予以了保护。30这次明确规定了数据控制者在发生高危信息安全泄露时，应当在三天之内，即72小时之内通知受影响个人和相关机构。这就要求信息控制者或者处理者做好评估，设置信息保护官职位，系统清理所有的应有程序，构建企业内部信息处理机制，提前做好应对预案；对于监管者来说，不但拥有了对严重违法企业处以高达全球营收4%或者2000万欧元（两者择其重）的巨额罚款，而且拥有了在欧盟范围内统一行动的权力，即允许各成员国对违法者统一执法的权利。同时为了降低用户保护个人信息不受侵犯的成本，通过“一站式服务”，不管用户信息的侵犯涉及多少国家，都只需要与一个国家的数据监管机构进行交涉就可以。这使得在欧盟范围内所有获取、存储、处理或共享个人信息的企业，包括设立地在欧盟之外但获取过欧盟公民信息、向欧盟提供商品或服务的企业，也要遵守欧盟的法律。

3.1.2美国个人可识别信息保护制度概述

个人信息即是社会中多数不愿向外透露者，或是个人极其敏感而不愿为他人知道者。31更为重要的是，当时所有行政部门的档案和记录，实际上都处于准机密的状态。因为是否属于机密，完全取决于当权领导一时的态度。在美国一时兴起的信息自由运动受到了这本书的深远影响、确立了信息保护的基础和框架，被转引自陈起行.资讯隐私权法理探讨——以美国法为中心[J].台湾政大法学评论，2000（64）.297—341后世奉为信息自由运动的圣经，深刻影响了后来信息保护领域立法制度，如《信息自由法》。后来，美国采取依靠联邦和州政府分散法律的模式保护个人信息，联邦政府层面于1974年通过了《隐私法案》。

从“棱镜门”和“脸书事件”来看，监控关系中信息的收集、存储、处理和共享过程中，不管是以国家安全为由的政治监控，还是掺杂众多利益诉求的商业监控，都能够达到对他人思想和行为的控制。尤其后者对个体思想和行为的改变上，是在个人毫无意识情况下发生的，此时的个体在“隐私终结”的“监控社会”中犹如丧失了知觉和抵抗力，通过大数据、智能分析、云计算和其他监控信息的关联组合，一个人在不知情的情况下完整的数字人格就此诞生。

社交媒体一般分为交友，微博，视频，聊天和购物五种类型。随着竞争的日趋激烈，社交媒体之间在相关功能的设置上相互吸收和借鉴，导致众多不同的社交媒体出现了跨界性和趋同性。美国社交媒体具有全球领先的用户数量，社交网站具有很大的开放性，外加英语作为全球通行语言，进一步推动了美国社交媒体的全球性进程。“9·11”事件的阴影还未在人们心头散去，它意味着一个监控时代的开始，而“脸书事件”意味着第三方可能利用社交媒体对公民个人可识别信息的侵犯和隐私终结时代的到来。“棱镜事件”意味着美国安全机构长期以来对公民个人的网络监控。对隐私保护的公力救济并没有改变个人信息的侵犯者，也没有能够有效阻止身份盗窃。

美国社交媒体监控模式包括元数据模式，共生模式，监控网模式，以及代理模式。元数据模式即《外国情报监控法》（FISC）授权国家安全局收集个人邮件、互联网搜索记录等个人详细档案资料建立数据库。在此需要重点说明的一点是，一旦信息被数字化建立档案，几乎不可能被删除或更改。共生模式即美国执法机构和网络服务商之间建立以数据为核心的合作模式，除了常规的数据收集、存储和共享外，还可以对数据进行标记、挖掘、分析和塑造。代理模式即为了绕开美国法律规定的政府原则上不能监控美国人的规定，而以五眼国家合作的方式进行目标监控。监控网模式即将脸书等社交媒体作为一个巨大的监控网，用以发现违法犯罪活动，预防恐怖主义犯罪。根据美国法律规定，美国政府是不能干预社交媒体和网民言行的，所以根据实际情况，只能通过多元化的一系列监控模式，监控社交媒体中的行动者，并建立详尽个人数据库和行动者之间的关系网络，为信息社会的风险预警和防范提供了夯实基础。

3.1.3日本个人信息保护制度概述

关于个人信息的基本概述方面，为了充分保护个人的合法权益，日本在2003年进行了大幅修订，修订后的个人信息保护法于2017年5月30日生效。与《关于保护行政机关所持有之个人信息的法律》、《关于保护独立行政法人等所持有之个人信息的法律》、《信息公开与个人信息保护审查会设置法》、《对<关于保护行政机关所持有之个人信息的法律>等的实施所涉及的相关法律进行完善等的法律》统称为“个人信息保护五联法”。对于个人信息的术语，根据日本经济产业省“经济产业领域关于个人信息保护法的指导方针”，个人信息是指关于生存的个人信息，可以通过姓名，出生日期或信息中包含的其他描述来识别特定个人，包括那些可以很容易与其他信息进行比较，从而确定一个特定个人。但是个人信息不限于个人身份信息，如姓名，性别和出生日期等。表示事实的所有信息也包括：判断和评估，评估信息，出版物等公开的信息，视频和音频信息。还需要明确的是，日本个人信息只是活着的个人的信息，而不是死者的信息。此外，“活人”并不限于日本公民，也包括外国人。由于公司和其他组织不是“个人”，因此它们不包括公司集团本身的信息，但是有关公司董事、员工等的信息是个人信息。日本学界认为个人信息保护法的出发点在于限制公权力，而不是干预私人自由：即使非公务机关个人信息处理中可能发生滥用现象，也能通过市场竞争淘汰以及自律机制来解决。

在关于个人信息的利用方面，日本制定的《个人信息保护法》规定在获取和使用个人信息的时侯，必须注意指定使用目的，在该范围内使用，以及通知或公布使用目的。尤其涉及犯罪史、种族、信仰、病史、身体残疾等信息的收集和利用，必须通过去可识别化的技术处理，避免因以上个人信息的泄露而产生不公正、影响信息主体的后果，尤其涉及对信息主体的歧视和偏见。

关于个人信息的存储规则方面，日本《个人信息保护法》规定保存个人信息存储应该注意的事项包括安全管理以避免泄露，尤其针对员工、承包商全面的、彻底的、有效的安全措施的采取。例如可以考虑对纸张信息的抽屉上锁保存和计算机等的文件的密码设置，同时可以使用安全对策软件等。

关于向第三方提供的方面，日本《个人信息保护法》规定应当事先征得信息主体的有效同意，在对涉及信息主体的信息提供给他人的过程中，都应保留相关的提供、收取依据。例如记录的事项一般包括何时，提供主体，提供那些人的那些信息，接受主体等相关信息。保存期限一般规定为三年。如果涉及向外国的第三方提供相关信息时，应该注意外国的第三方是否是日本个人信息保护批准的国家，即是否符合跨境数据迁移纪律或其他充足认证，以及外国的第三方是否正在适当的改进相关的法律制度。

在刑罚制度方面，日本《个人信息保护法》此处的刑罚规定主要针对经营者的遵守情况。如果需要的话，就进行现场检查或要求报告，按照实际情况提出建议和指导。如果违反国家的命令，存在处以监禁或罚款的风险，其中监禁的期限在六个月左右，罚款的金额和虚伪报告的一样，在三十万元以下。为通过不合法的途径获利的员工提供各种数据库的信息时，可以对员工的罚款提升至五十万日元或者在一年有期徒刑范围内进行处罚。

在监督制度方面，日本《个人信息保护法》设立了个人信息保护委员会，由一名委员长和八名委员组成，委员长和委员独立行使权力。个人信息保护委员会的主要任务是根据《个人信息保护法》，适当而有效地利用个人信息有助于创造新的产业和实现蓬勃的经济社会和人民生活。也要充分考虑到其他个人信息的有用性，确保妥善处理个人信息，保护个人的合法权益。同时，个人信息保护委员会可以评估、指导地方政府和行政机关，授权并监督个人信息保护组织。

3.1.4韩国个人数据保护制度概述

相比日本关于个人信息保护方面的法律制度，韩国在个人信息保护方面的法律制度更加严格。以保护个人的自由和权利，实现个人尊严和价值为立法宗旨，以《个人信息保护法》为核心，与《信息通信网的利用促进利用与信息保护法》、

《信用信息使用与保护法》和《位置信息使用及保护法》等法律法规一起，构建了规范政府部门和私营部门对个人信息保护法律框架，建立了比较完整的法律体系。关于《个人信息保护法》的内容方面，作为个人信息保护的核心法律，总共九章，主要内容如下：第一章是总则部分，规定了个人信息保护法的目的，定义，保护原则，信息主体的权利，国家义务，与其他法律的关系等；第二章是个人信息保护政策的建立等，规定了个人信息保护委员会，个人信息保护基本计划，实施计划的建立，个人信息保护指引，自律规制的促进以及支援等；第三章是个人信息的处理，规定了个人信息的收集，利用，提供等处理标准，对敏感信息，唯一可识别信息的限制，影响信息处理的限制等；第四章是个人信息的安全管理，规定了安全措施义务，个人信息保护负责人，个人信息档案的登记及公开，个人信息影响评估，个人信息泄露通知等；第五章是信息主体的权利保障，规定了个人信息的查阅、更正、删除，处理的停止，权利行使方法及程序，损害赔偿责任等；第六章是个人信息争议调停委员会，规定了争议调停委员会的设立及组成，争议调停的申请方式及程序，集体争议调停制度等；第七章是个人信息集体诉讼，规定了集体诉讼的对象，诉讼受理申请及要件，最终判决的效力等；第八章是附则，规定了使用例外，禁止行为，保密，侵害事实的申报，提出资料的要求及核实，纠正措施，举报及惩戒劝告，授权，委托等；第九章是罚则，规定了罚则，量刑，罚款等。

关于个人信息保护原则方面，韩国《个人信息保护法》主要以处理目的明确化、合法化为准则，在最小限度内收集，禁止使用于其处理目的之外的行为，以“最小化”侵害信息主体隐私的方式处理个人信息，保障个人信息的准确性、完整性和最新性。最新性是指主要时指个人对个人信息的更正修改权。而更正修改权的上位概念就是信息自决权利。在德国，学者认为信息自决权利是指“原则上可以自我决定何时及在何种界限范围内公开个人的生活事实的权能。”同时要求安全管理所收集的个人信息，尽可能匿名处理和努力获得信息主体的信赖为主。

关于对个人信息的范围界定方面，韩国《个人信息保护法》主要通过两个标准进行。第一，易于识别的自然人信息，即通过姓名、居民登记号等能够识别个人的信息。第二，不易于识别的自然人信息，但如与其他个人信息结合起来可识别个人的信息。

关于对个人信息的分类方面，韩国《个人信息保护法》将个人信息划分为唯一可识别信息，敏感信息，认证信息，金融信息，医疗信息，个人识别信息，个人相关信息，自动生成信息，加工信息，限制性本人识别信息。具体分类如下：居民登记号，驾照号和护照号等是唯一可识别信息；个人的意识形态，政治见解，病历，性取向，犯罪经历以及其他可能严重侵害其私生活的信息为敏感信息；密码，脚印、面部、虹膜、血管等生物信息为认证信息；信用信息，信用卡号，银行账号等为金融信息；健康状况，诊疗记录等为医疗信息；姓名，出生日期，住址，电邮，电话为个人识别信息；学历，职业，身长，体重，婚姻状况，家庭情况，兴趣等为个人相关信息；IP地址，网站访问记录，MAC地址（mediaaccesscontroladdress）等为自动生成信息；统计信息、加入人员趋势等为加工信息；会员号，公司对外电话号码，公司内部用电话号码等为限制性本人识别信息。

3.2国外对个人信息主体权益保护的经验

通过上边对欧盟个人信息保护制度的概述，我们可以得知，数据控制者在发生高危信息安全泄漏时的职责，即应急处置流程。这为我国在个人信息主体权益保护的制度设计上提供了很多经验，比如设置信息保护官职位并明确其职责，比如对严重违法企业处以高达全球营收4%或者2000万欧元（两者择其重）的巨额罚款，比如通过“一站式服务”，解决了欧盟各国间对违法者的统一执法权问题，最大限度实现了受侵害个人信息主体合法权益的低成本保护和侵害个人信息主体违法成本的高昂化。

参见韩国个人信息保护法。

通过上边对美国个人信息保护制度的概述，我们可以得知，美国社交媒体监控体系很完备，监控主体集中于情报和警察机构。美国国家安全局作为核心机构，从社交媒体、私人信息库公司和五眼国家情报机构获取并共享信息，美国联邦部门都成立了自己的情报机构，情报总监下辖的情报协会有十多个会员单位，而各州的警察局作为下一级的监控机构。私人信息库公司利用自身技术或资金优势，也在获取、存储、使用和共享着大量信息。网民可以根据自身情况，有十分畅通的投诉渠道举报相关违法行为，而这种对违法行为的举报也在不同程度上提供着信息。这为我国在个人信息主体权益保护制度设计上提供了很多经验。比如如何实现最大限度的信息获取和共享，如何充分发挥社会组织的独特作用实现在信息获取、存储和使用方面的技术或资本优势，如何设计制度实现网民投诉渠道的畅通和便捷。在美国，司法裁判会在个案中，根据具体情形并依照社会一般观念以及公理等尺度寻找“一个折衷，摈弃严格的信息保守而允许个人信息的最大化价值利用，同时也要建立异于传统缺乏效率的隐私权的个人信息权保护制度。”通过上边对日本个人信息保护制度的概述，我们可以得知，日本对个人信息保护非常全面且具体，这为我国在个人信息主体权益保护的制度设计上提供了很多经验。比如日本在《个人信息保护法》规定的刑罚主要针对经营者的遵守情况，规定了现场检查、要求报告、提出建议和指导、监禁和罚款等众多具体制度。在《个人信息保护法》设立了个人信息保护委员会制度，个人信息保护委员会可以评估、指导地方政府和行政机关，授权并监督个人信息保护组织。

通过上边对韩国个人信息保护制度的概述，我们可以得知，韩国逐步构建了规范政府部门和私营部门对个人信息保护的法律框架，建立了比较完整的法律体系。这为我国在个人信息主体权益保护制度设计上提供了很多经验。比如韩国在《个人信息保护法》中主要以处理目的的明确化、合法化为准则，以“最小化”侵害信息主体隐私的方式处理个人信息。比如赋予个人对个人信息的更正修改权。比如对个人信息的范围界定主要通过易于识别的自然人信息和不易于识别的自然人信息，但如与其他个人信息结合起来可识别个人的信息两个标准进行。

第四章《网络安全法》下个人信息主体的权益保护的完善

4.1网络信息安全时代个人信息保护应当遵循的原则

企业的经营活动越来越与信息科技产生密切的关系，专职的“信息保护官”和“隐私顾问”在企业职位中不断涌现，逐步成为企业的法定标配。传统企业在信息化、智能化推动下也逐步开始收集并存储信息，信息处理活动已经成为公司运营的核心。随着个人信息保护法在全球领域的制定步入尾声，信息合规问题在公司层面的解决就不可避免。涉及个人信息采集，存储，使用和共享的合规风险犹如达摩克利斯之剑，阻碍着公司作为市场主体在技术创新、推动数字经济增长方面的贡献。

《消费者权益保护法》第二十九条和《网络安全法》第四十一、四十四条明确规定了在收集、使用个人信息时，应当遵循合法原则，正当原则和必要原则。收集和使用个人信息时应以通俗易懂的话语进行规则的公示、目的的明示和范围的界定，不得收集和使用与目的不相关的信息。而且当个人信息遭到侵犯时，要履行及时告知信息本人和相关部门的义务，并采取及时补救措施。要设置足迹功能选项，明确告知用户是否需要“清空所有足迹”的提示。通过切实有效的可操作性的法律制度明确信息主体的删除权和更正权，健全运营者受理投诉的渠道，并要求这类渠道便民化、高效化和低成本化。对于个人敏感隐私信息，必须要做到匿名化脱敏处理。对达不到匿名化脱敏技术的信息收集、存储和处理者，要取消其收集、存储和处理个人信息的资格，如果产生严重后果就要承担相应的法律责任。

做好个人信息保护的合法性工作，重点需要提高信息采集、存储、使用和共享的透明度，在用户授权界面对影响用户隐私保护方面要做到特别明确、具体的提示，充分满足用户对个人隐私的合理期待，不能存在欺诈行为。因此，做好个人信息保护的核心工作是切实提高用户对个人信息的控制力，在产品服务功能设置中为用户访问、删除、修改、撤回等接口以及信息可见范围、传播范围等功能进行设置，在提升用户消费体验的同时，让用户对个人信息的占有、使用、收益和处分享有充分的所有权能。

4.2涉及个人信息主体权益的信息授权规则的利益权衡和使用场景规则构建

4.2.1《网络安全法》下个人信息主体的信息授权规则的利益权衡

《网络安全法》下个人信息主体的信息授权规则的利益权衡，除了考虑产业发展之外，还需要考量商业道德、竞争秩序、消费者权益、经济创新、公共创新和公共利益等多重因素。在新浪微博诉脉脉案判决中，法院认为对互联网中利用新技术手段或新商业模式的竞争行为，应首先推定具有正当性，不正当性需要证据加以证明。这就在司法实践层面落实了国家“鼓励创新”的号召，有利于网络信息技术的良性发展。隐私条款是用户了解企业收集个人信息种类和范围的重要窗口，也是一个格式合同。但现实中存在不同意就不能使用服务的情况，这在本质上是一种对用户合法权利的侵犯，没有给信息主体充分的撤回、关闭权限或注销账户的选项。这种“覆水难收”式的应用权限、用户协议或隐私条款，存在极高的危害用户个人信息安全的可能。这就给信息源企业合法权益的保护提出了新的要求。《网络安全法》虽然没有具体明确的规定如何进行隐私条款的设计，但是在第四十一条规定了网络运营者不得收集与其提供的服务无关的个人信息，并赋予了信息主体有权要求网络运营者删除和更正相关个人信息的权利。此时可以通过信息使用协议进行风险规避，以防止不正当获取、滥用信息，侵犯用户隐私。还可以通过反不正当竞争法的规定，保护个人信息流通的公共利益，鼓励个人信息开发和商业模式的创新，在言论自由与公共信息获取权、反垄断与商业竞争秩序之间找到利益权衡的范式。

4.2.2《网络安全法》下个人信息在开放平台流动的场景规则构建

在个人信息的流通领域，应坚持公平原则、非歧视原则、安全保障原则和信息流通合法正当利用原则。这对于科学构建公平有序的商业竞争秩序，促进产业发展创新具有极其重要的意义。通过区分公开个人信息与非公开个人信息，根据具体的场景设置授权手段，将“三重授权”简化为“告知即授权”，即“用户授权+平台授权”的模式，可以在充分保护个人信息主体合法权益的同时，实现个人信息的社会化、产业化，进而推动信息社会的建设。通过信息源、第三方采集者和用户等的划分，区分不同的权利主体以便于明确各类主体的权责和区分不同的信息类型以便于实际的操作。还可以通过产业发展与公共利益、企业利益、个人权益与隐私保护等的划分，区分不同的权益保护位阶以便于当各类主体权利产生冲突时如何进行利益的裁决，进而使各类主体预测到自己的权益位阶，以指导其具体的行为。

4.2.3《网络安全法》“经被收集者同意规则”的重新审视

在新浪微博和脉脉案中提出了“用户授权01”+“平台授权”+“用户授权02”的三重授权原则。但是“三重授权”原则如果严格执行，就会面临限制信息共享流通的矛盾，在互联网科学技术急剧发展变革的今天，时间不只是金钱，而且还可能决定公司的生死，繁琐的程序设置在长远而言对于产业的快速发展是不利的。

现行法律对信息收集合法的规定主要是用户的同意或者脱敏处理后无法识别个人，用户的同意一般在隐私条款、用户协议或应用权限中进行了规定，但是用户同意不是信息收集、存储和使用者的尚方宝剑，以前在用户协议、隐私条款或应用权限中规定更多的同意条款，即涵盖个人信息所有的情形来规避风险的做法已经不是免责的避风港了。由于不得不点击同意的应用权限、用户协议或则隐私条款，不但没有效保护信息主体的合法权益，而且成为信息控制人滥用个人信息的保护伞，因为同意不能解决信息保护的问题。所以，国际规则中一般不再规定同意条款，而是遵循过程管理的思维，即判断你的收集、使用、共享是不是合法，是不是侵犯了相关主体的合法利益。

根据中国消费者协议发布的《APP个人信息泄露情况调查报告》，应用权限、个人隐私条款或用户协议“从不阅读”和“偶尔阅读”的比例高达57.3%，晦涩冗长、雷同和看不懂成了主要的原因。这使得告知义务的实质作用大大减弱，应用权限、个人隐私条款或用户协议流于形式化，进一步强化了其成了“霸王条款”可能性。2018年，阿里巴巴等十多家大数据公司达成共识性的倡议书，共同签署了《个人信息保护倡议书》，主要内容是承诺不使用“一揽子协议”的方式强迫用户打包授权对个人信息的收集，鼓励大家加强技术创新和网络安全产品的研发应用。使用通俗易懂的语言，简单直观的方式规定应用权限、用户协议或隐私条款。建立可访问、更正、删除其个人信息的处理机制。

OpenAPI即开放API，也称开放平台。授权规则一般有三个重要维度，具体如下：

第一个维度，控制授权有效期。以在网站注册账户为例，当我们使用微信、微博或QQ等第三方帐号登陆时，就需要进一步授权这个网站获得我在微信、微博或QQ等第三方帐号上的信息，此类信息内容一般是昵称、头像等。假设我过了一段时间（授权有效期）后再想用第三方账号登陆时，系统将重新申请获得你的授权，即系统重新计算授权期，如果你的登录在授权期内，系统会提示“您最近已经授权过该网站，无须再次授权”等类似提示。授权期越短账户一般越安全，但用户体验越差，授权期越长账户一般越不安全，但用户体验会好，这就需要在用户安全和体验之间找到一种平衡。

第二个维度，设置具体的接口权限。开放API一般会将系统上用户积累的信息根据预设标准进行分类存档，以便提高信息的使用效率。开放API可以根据他人的业务需要决定哪些接口可以调用，而每个接口都有不同的信息访问权限，对权限要求较高的接口都需要申请重新授权调取用户的信息。例如脉脉要调用微博用户的昵称和头像是普通的权限，但调用用户的手机号码和家庭住址等则属于高级权限，需要另行重新授权。

第三个维度，控制接口调用的频次。即通过对开放接口每段时间请求次数的设置来达到信息调用的限制，此时就涉及对单位时间的合理规划，如一分钟、一个小时、还是二十四个小时？这种信息接口调用频次的限制和在登录账号时需要手动输入各种类型的验证码是一个道理，即可以有效规避机器人访问调用，进而从技术层面排除机器在抓取用户信息。

4.3涉及个人信息供需主体间的权责划分

不特定主体之间信息供需的匹配交易就是社会化程度最高的信息流通，而从撞库、洗库、拖库的黑色产业链在高额投资回报率的吸引下愈加清晰、成熟，严重制约着信息的合法、有效流通，而信息的合法、有效流通是信息产业健康发展的基础。个人信息作为社会的润滑剂，具有公共性和社会性。个人信息持有者必须承认和尊重信息上的利益相关方，才能享有信息控制和使用的权利，这是信息流通的法律基础，也是《网络安全法》对个人信息主体、个人信息控制着、个人信息处理者、以及第三方主体等多方主体在法律层面的基本要求。

4.3.1个人信息主体及其应当享有的权利

普通的信息主体通常不清楚是谁收集、处理和利用了他们的信息，以何种手段收集、处理和利用他们的信息。36涉及与个人有关、可识别的个人信息主要包括你是谁，即身份识别性的信息，还有就是你是什么样的人，即有关爱好、特征性的信息。身处信息时代的我们，没办法绝对控制个人信息，我们能做的就是控制他们在使用我们信息的时候，征得我们同意，不得侵害我们利益，更不得妨碍或控制我们自主决定的自由。

买卖合同的交付不同于个人信息的转让，应其遵循动产转移占有和不动产过户登记的基本公示方式，由此获得对抗第三人的效力。37信息科学技术的快速发展为云计算技术的兴起奠定了基础，其中，作为远程存储为特征的云计算技术，对个人信息的控制也伴随着信息控制者的多方面“干扰”而变得越来越弱。欧盟在《信息保护指令》中进一步加强了信息主体的权利，以明文规定的方式来促使信息控制者来保证信息主体拥有的权利得到有效的落实。改正和删除未经信息主体同意或者未经合法途径收集的信息，阻止信息被不正当处理也是规定在指令第十二条之中的重要内容。

通过对欧盟、美国涉及信息主体规定的探讨，个人信息主体应当享有以下四项权利：（1）知情权。即了解信息控制者和处理者的处理目的、所涉信息的类型和内容等信息的权力。（2）自主决定权。即当非信息主体想要获取信息主体的相关个人信息时，需要以明确列举式的方式阐明所要获取信息的具体种类和内容，只有当信息主体同意授权使用时，方能合理使用。如需转让，需要再次授权。

（3）更正异议权。当信息使用违反了授权中的规定时，信息主体可要求信息控制者改正、删除、阻止信息处理活动的权利。此处的删除权应做广义的理解，我们可引入“被遗忘权”并将其本土化，规定公民尤其未成年人享有要求信息控制着删除“不好的、不相关的、过分的”信息链接的权利。（4）寻求赔偿权。当信息主体的合法权益因非信息主体的不合法、不合理使用造成损害的，信息主体可要求损害赔偿，以确保信息主体的合法权益。

4.3.2信息控制者、信息处理者及其权责划分

个人信息的二次开发利用，是指个人信息处理者将其获得的信息主体的个人信息，通过大数据技术尤其是新兴数据挖掘技术进行整合，乃至基于此建立个人信息库，从而实现价值发掘和发现的过程。38网络服务商则通过提供各类信息服务获得了巨大利润，因此应当有责任对其域内发布与传输的信息进行审查，而不能以网络信息的海量性与网络用户行为的不确定性以及难以控制为免责理由。39当然，对于网络中的各类行为主体不能课以过重的注意义务，否则将不利于互联网这一新兴产业的发展。40信息的不断使用和处理都会产生增值利益，而这种资源的投入就在无形中赋予了与原始信息不一样的价值，这种价值的实现也需要法律的保护。

信息控制者决定个人信息处理目的和方法，是个人信息保护中主要的义务承担者。根据欧盟《数据保护指令》的规定，信息处理者必须依照信息控制者的指令进行相关的收集和存储。因为信息处理者是代表信息主体进行信息处理的代表人，即当信息主体的合法权益因信息控制者和处理者而遭受侵犯的，责任的最终承担者应是信息控制者。而信息处理者也必须采取适当的安全措施，履行谨慎义务，遵守诚实信用原则。

信息挖掘是对信息进行挖山凿矿式的开采。每个信息的控制者和处理者都应该分类分级管理各种信息，把好员工和系统安全关，使得个人信息流通的每个环节都能够按照法律的规定收集。可控制、可追溯、可有效救济的渠道应该成熟，做好定期的安全风险预测、评估。当“信息库”合法安全的保障到位后，再去依法收集相关信息，才符合事物正常发展的一般规律。

将责任从个人转移到信息使用者存在充分的理由和法理依据。因为信息使用者比任何人都明白他们想要如何利用信息并实现自身利益最大化。他们更具有能力进行评估以避免了商业机密的泄露。更重要的是，信息使用者是信息二级应用的最大受益者，既然是最大受益者、而且能以更低的社会成本对个人信息进行保护，所以理所当然应该对自己使用个人信息的行为负责。快递公司应建立并不断完善个人信息保护的内控制度，比如不得向用户索取法律规定之外的其他信息，尤其与自身服务无关的个人信息。在快递面单上面用笑脸符号或者“*”来代替寄件人的个人可识别信息，并定期销毁快递单信息。

4.4《网络安全法》中社会治理在网络法治化治理格局中的作为

4.4.1有序扩大公民社会治理参与和塑造公民公众品格

公民社会的价值就在于自由、诚信、平等、敬业、责任和参与，这也是社会主义核心价值观的实质内涵。一个国家在多大程度上解放了每一个国民，决定了他在人类进程中的位置和高度。惟有更具原创力的文化基因，才能长久地支撑起经济奇迹。在一个缺乏参与精神的社会，首要的工作是大众启蒙，也就是需要一些人来做表率、做开路先锋。中国共产党在十七大和十八大报告明确提出“从各层次、各个领域扩大公民有序政治参与，最广泛地动员和组织人民依法管理国家事务和社会事务、管理经济和文化事业。”这些论断无疑是以公众参与为核心的具有中国特色的参与式民主理论和制度的创新，同时也是公民政治参与有序扩大的政治依据和法律评价参照。通过系统的思维方式，让公民在参与过程中获得社会治理的直接体验并塑造公民的公众品格，无疑是粘合社会裂缝、避免社会断裂的强力粘合剂。

《网络安全法》第十四条和第四十九条规定了网络运营者应当建立举报制度、信息安全投诉制度，并通过保密的方式保护举报人的合法权益。举报奖励制度的建立和完善是切实提高公民社会治理参与度的有效途径。这不仅是弥补监管部门监管能力不足，监管成本过高的可行方案，也是塑造公民公众品格的有效方式。这就需要我们建立举报奖励基金、建立灵活有效的举报激励机制。应以明晰易懂的方式向社会公布举报受理机构、受理程序和受理奖励办法，不断优化受理流程，最大限度降低举报的成本，增加举报的收益。

4.4.2网络社会组织在网络法治化治理格局中的作为

《网络安全法》第六条主张形成全社会参与的网络安全治理格局。虽然行业自律作用的发挥需要许多外部条件的支持，但这并不能否定其在网络隐私保护中补课或缺的地位。相比“拥有普遍的自律机制或者说是自律传统的美国”，目前涉及互联网行业自律的规定主要为2002年被130多单位共同签署的《中国互联网行业自律公约》，2004年，刚刚成立的中国电子商务诚信联盟制定了《中国电子商务诚信公约》，2018年，阿里巴巴等十多家大数据公司形成了个人信息保护的初步共识，签署了《个人信息保护倡议书》。但是从现实层面来看，单个网站主要是通过用户协议或隐私条款来进行个人信息的保护，但由于不规范、标准的操作，导致很多的用户协议或隐私条款反而成了网站规避法律风险的避风港。

中国网络社会组织联合会会长任贤良指出：“将发挥中网联桥梁纽带作用，统筹协调网络社会组织等社会力量积极参与网络安全领域立法，配合政府部门早日出台《个人信息保护法》。”如何在新时代创新社会治理，作为联系网民、网联网行业和政府机构的重要纽带，中网联应在网络培训、网络主体行业自律领域有所作为，并积极动员社会组织和互联网企业参与到网络法治化治理格局中。如在当地网信部门统筹协调下，组织行业内部检查。可以采用随机抽取检查对象、随机选派检查队伍的“双随机”方式进行，检查人员应签订保密承诺书并明确各自的安全责任。对发现的重大网络安全风险和隐患，书面通报并督促其进行先期整改。有效提升广大网民的网络安全意识和防护技能，营造人人有责、人人参与的良好氛围。

2018年1月，个人信息保护工作委员会的成立是中国互联网协会面对当下社会日益严重的个人信息侵权而做出的重要机构改革。这是我国在个人信息保护工作中的重要一环，这也使得事前引导预警，事中监督检测和事后治理处置等多环节在逐步形成一套完善的管理机制。这将推进行业自律，反映行业生意，促进行业协作和预警机制建设，组织制定行业规范和标准，促进产业健康发展，发挥各自优势，开展相关课题研究和为政府执法提供支撑方面，共享整合安全能力，发挥各自独特的积极价值，推动探索社会共治的全新模式。

4.5侵犯个人信息的民事和刑事责任的衔接

侵犯个人信息犯罪从早先的针对公务员、医生等稳定收入群体到现在的普通民众，涉案信息种类繁多，常与电信网络诈骗、敲诈勒索等犯罪合流，产生的社会危害日益严重。因此而形成的黑色产业链众多且分工专业、跨地域、隐蔽性强。高发的犯罪率与犯罪手法简单、成本低，监管力量薄弱、漏洞大和公民对个人信息保护意识薄弱、维权成本高、维权收益低有莫大的关系。而内部人员因获取信息更加便利，相比外部人员来说几乎没有制度阻力，公职人员泄露的信息具有类型化的状态，一般处于信息泄露系列链条的上游，这也容易诱发电信网络诈骗、绑架等下游犯罪。比如浙江绍兴侦破的涉及30亿条个人信息的史上最大规模信息窃取案，暴露出电信运营商管理上的严重缺失，个人信息从源头就被窃取，成为了个人信息泄露的重灾区，进一步加重了公众对信息产业诚信度的怀疑，极大地撼动了平台生存和发展的基础。

《网络安全法》第四十条规定了网络运营者应建立健全用户信息保护制度。为了对现实中广泛存在的内部人犯罪加大惩罚力度，2017年5月9日两高发布的关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释，明确了侵犯公民个人信息罪的定罪量刑标准，将公民个人信息分为敏感信息、重要信息和普通信息。检察机关可以制发系统账号密码的专人专用制度、使用留痕技术、签订保密协议和事后备查制度等监察建议，通过一系列整改措施，不断延伸办案效果，以防止此类事件再次发生。

对于举报揭发违反犯罪和保护个人隐私之间的利益平衡问题，我们应充分理解刑法关于犯罪构成要件的规定，尤其对主观层面的客观分析。否则单纯通过客观层面对举报揭发行为认定为违法犯罪，那么根据非法证据排除规则，其所举报揭发的证据材料将如何定性。面对我国日益严峻的反腐败形势，举报揭发就具有积极意义，也有法律法规依据和政策支持。而对于举报揭发的不良动机或诬告陷害行为，则是另外一件事，让其承担相应的民事或者刑事责任即可。民事责任方面，如果一般救济性损害赔偿不能完全填补侵权行为造成的损害，那必须由惩罚性赔偿使得行为人承担侵权行为所造成的全部社会成本。

涉及互联网安全监督检查包括现场检查和远程监测，做好检查记录，每次的检测记录都应有两名以上的检查人员和被检查对象签名。在每逢重大网络安全保卫任务期间，可以组织专项检查。构建多元化主体参与的网络社会群防群治新格局，合力铲除个人信息产业链滋生的土壤和生存空间。《互联网用户账号名称管理规定》确立了“后台实名、前台自愿”的网络实名制原则。个人信息转让授权书是一种民法上的民事行为，但并不妨碍刑法站在整体法秩序的立场上进行实质评价，因为从法理上来分析，民事行为有效与否与刑事违法之间并不必然存在对应关联关系。与此同时，涉及个人识别的信息因具有人身属性不能随意买卖，而且当侵犯社会秩序、公共利益的私权处分也将受到行政行为的规制。

法律除了社会作用外，还具有规范作用。而预测性就是规范作用中重要的一个方面。凭借法律的存在，可以预先估计到人们相互之间会如何行为，预测作用的对象不是个人，而是人和人之间的相互关系和相互行动。而具有预测性的法律更符合良法的特性，才不会使人们感觉头上悬着“达摩克里斯之剑”。刑法也要遵循谦抑性的要求，在个人信息保护方面，必须要有明确的范围界限，而不能将所有的涉及个人信息的社会化利用行为都划到刑法领地。

4.6构建能与传统民法体系互相契合的个人信息主体权益保护体系

作为大信息时代具有特殊意义的事物，其自身在蕴含着大量信息的同时也具有极大的经济价值，可以说信息量和价值量之间具有正比的关系。但信息作为一个传统民法中常常界定为个人隐私或者不被知识产权所保护的事物，在大信息时代信息经济价值凸显的情况下，传统民法的界定对于信息的利用显然造成一定的阻碍，不利于信息交易的批量和快速进行。根据《网络安全法》对网络信息安全的相关规定，我们不能局限于既有民法概念对信息的界定，需要构架一个与信息市场发展需求互相配合，又不会完全脱离传统民法体系的信息归属制度。

首先，为了科学合理的构建个人信息保护体系，避免因涉及个人信息保护犯罪的专业性、针对性较强的问题，导致司法机关依法全面收集和固定证据存在较大的难度。此时，建立检察机关提前介入侦查机制，有利于有效的解决这一在个人信息保护方面的困境。其次，参照医疗损害鉴定的思维模式和方法，通过申请有专业知识的人参与司法过程，也就是建立由网络技术人员和互联网信息技术专家等专家辅助办案机制，为司法机关办案提供专业咨询，避免因懂法律的法官不懂网络信息技术中的专业知识而产生的弊端，最大限度为司法机关提供专业咨询，以便取得良好的法律效果、社会效果，进而实现两者的统一。再者，探索个人信息主体权益保护领域的公益诉讼监察工作，对涉及个人信息主体权益保护领域裁判确有错误的民事、行政判决和裁定，依法提出抗诉或检察建议。最后，探索对侵害众多公民个人信息主体权益的行为，提起公益诉讼。

我们的个人信息无时无刻不在被分散于各行各业的组织和个人所收集，而众多的环节、复杂的关系，各职能部门之间原有权限的划分没有完全适应执法对象、环境的变化，导致现实生活中“谁都能管，谁都不管”的局面依然广泛存在。虽然我国没有制定个人信息保护法，但是涉及个人信息保护的零散式、碎片化法律法规很多。《网络安全法》出台之后，我们在构建能与传统民法体系互相契合的个人信息权益保护体系的同时，更需要认清个人信息保护不只是中国出现的问题，需要尊重中国现有的社会习俗和民情，彻底根除是不可能的，但是我们可以不断营造良好的法治环境，将侵犯个人信息挤压到最小的空间，通过科学合理的运用市场的资源和技术的力量，切实提升犯罪成本，加大对侵犯个人信息违法行为的发现力和制约力，使个人信息安全的法律保护形成闭环。

参考文献

一、著作与译著

[1](美)L·亨金.权利的时代[M].信春鹰等译.北京：知识出版社，1997.

[2](英)戴恩·罗兰德，伊丽莎白·麦克唐纳.信息技术法第二版[M].宋连斌等译.武汉：武汉大学出版社，2004.

[3]司汉华.个人信息保护前言问题研究[M].北京：法律出版社，2006.

[4](德)京特·雅科布斯.规范·人格体·社会——法哲学前思[M].冯军译.北京：法律出版社，2001.

[5](美)马克·波斯特.信息方式——后结构主义与社会语境[M].范静晔译.北京：商务印书馆，2014.

[6](美)TomaszTunguz.FrankBien.大信息浪潮：企业文化、高效团队和商业奇迹[M].宫鑫,谢金秀,刘婷婷译.北京：人民邮件出版社，2017.

[7](美)曼纽尔·卡斯特.网络社会的崛起[M].夏铸九,王志宏等译.北京：社会科学文献出版社，2006.

[8]齐爱民.拯救信息社会中的人格——个人信息保护法总论[M].北京：北京大学出版社，2009.

齐爱民.大数据时代个人信息保护法国际比较研究[M].北京：法律出版社，

2015.[10]刘心稳.中国民法学研究述评[M].北京：中国政法大学出版社，1996.