数字社会必须处理好个人隐私保护的问题，这也是数字治理本身的内容。有学者从信息隐私权角度分析隐私的益处和坏处，在数据成为生产要素的今天，过度限制信息使用会影响人们通过信息分享造福社会，这不符合互联网精神，而个人信息被滥用、个人隐私被侵犯也会使得社会环境恶化，保持数字社会良性运行就要找到个人信息使用和隐私的边界。无论面对的问题简单还是复杂，围绕着个人信息的数字治理不外乎这么几个过程，一是信息的收集，二是信息的储存，三是信息的加工和处理，四是信息的使用，每一个过程都可能涉及信息的隐私化和隐私的信息化，关系到是否侵犯个人隐私。隐私信息化的过程相对简单，容易引起人们的注意，但信息隐私化因其过程复杂，信息处在动态过程不容易把握而经常被忽视，因此更应该重视。

数字社会下的个人信息保护是一个难题，全世界都在试图解决这一问题。2018年欧盟的《通用数据保护法案》开始实施，2019年11月，欧盟基本权利局又发布了《面部识别技术：执法中的基本权利考虑》报告，提出人脸识别技术应用前必须有清晰、详细的法律框架来监管人脸识别技术的部署和使用。但是，由于人脸识别技术应用场景的多样性和复杂性，清晰、详细法律的制订是一件非常困难的事情，这一过程需要多学科、多领域学术性和应用性的深入研究和探索。多年来欧盟以及一些发达国家一直在探索这个问题，欧盟2018年推出《通用数据保护法案》之前，早在1995年就出台了《数据保护指南》，2020年1月1日《加利福尼亚州消费者隐私法案》也开始生效了，因此，国内的相关法律也应该尽快出台。但可以预料，无论国外还是国内，即使出台全面的数据保护法律，也不一定能够应对所有的现实问题，信息社会和智能社会下新的问题还会不断涌现，数据治理与隐私保护的矛盾将会长期存在，但不管面对的问题如何改变，都应该遵循一些基本原则。

第一个原则是最低限度原则。任何组织和个人在面对个人信息时都要遵守这一原则，能不收集的信息就不收集，能少收集就少收集。第二个原则是高门槛准入原则。对于涉及个人信息收集的业务开展必须有严格的准入制度，对于个人信息的储存、数据安全和业务必要性进行严格审核。第三个原则是相关利益者知情原则。当事者要把收集个人信息的目的，信息收集的方法，信息储存、信息加工、信息使用的权限和边界，信息使用的时间，信息销毁等做明确的公示，确保利益相关者的知情权。第四个原则是社会许可原则。涉及公共服务的项目要在社会成员广泛参与和讨论下，在民众充分知情和多数成员同意下才能实行。第五个原则是事后补救原则。在信息收集、储存、处理和应用过程中对于可能的风险是否有补救措施，无补救措施则不可实行。第六个原则是目的和结果一致性原则。个人信息的收集、使用的目的和结果必须一致，不能随意改变。第七个原则是明确的责任承担原则。信息收集方要明确收集信息的储存、保护和使用的风险，明确这一过程要承担的全部责任，无法承担责任则不可以实施。第八个原则是时限原则。对于所收集的信息严格设定使用和保存时限，在收集信息之前就要有信息销毁的约定。

当然，仅有这些原则是不够的，应该根据数据治理和隐私保护实践做必要的调整，应该通过法治化途径使一些原则程序化，形成可操作的严格的规程。只有在重新认识数字社会隐私概念的基础上，通过建立产权清晰的制度框架，企业才能合法收集、利用数据，个人的信息保护诉求才具备治理基础。当下要杜绝个人信息被滥用和个人信息的无界限收集，严格厘清信息使用和加工的边界，严禁针对个人信息的过度整合，营造良好的信息使用环境，提高民众隐私安全感，让社会大众可以放心使用信息资源，融入数字社会。（作者为中国社科院社会学所研究员）

(责任编辑：柯晓霁)

（王俊秀）