網絡數據安全與公民個人信息保護
——以《個人信息司法解釋》為背景

劉思宏

四川大學法學院，四川 成都 610207

一、問題的提出

進入網絡時代，智能時代和數據時代之后，電子設備尤其是手機不可避免地時時刻刻記錄著個人的行蹤和狀態。比如開啟健身數據之后手機對每日步行及跑步數據的記錄，個人向外賣平臺提供聯系方式、地址和支付方式以享受送餐服務，用戶通過提供個人聯系方式、支付方式以及實時的位置共享換取共享單車的服務。網絡為個人的生活提供了更為便捷的條件，然而由此產生的海量的個人數據也不可避免的存在安全隱患，個人信息安全的威脅凸顯。

根據賽門鐵克2016年發布的《互聯網安全威脅報告》，2015年有5億條個人記錄遭竊取或泄露。賽門鐵克2017年發布的《互聯網安全威脅報告》顯示，過去8年，資料外泄導致超過71億筆身份資料遭到暴露①。中國互聯網協會發布的《中國網民權益保護調查報告2016》顯示，54%的網民認為個人信息泄露嚴重，其中21%的網民認為非常嚴重。84%的網民親身感受到了由于個人信息泄露帶來的不良影響。其中“APP獲取個人信息，用戶并不知情”的現象排在侵犯網民權益現象的第三位。截至報告發布前近一年，我國網民因為垃圾信息、詐騙信息、個人信息泄露等遭受的經濟損失為人均133元，比上一年增加9元，總體經濟損失約915億元②。2017年7月31日，我國工信部公布了2017年二季度檢測發現問題的42款應用軟件名單，其中有四款軟件存在未經用戶同意，收集、使用用戶個人信息的問題[1]。

二、我國個人信息保護規范的發展與反思

首先，由于缺乏對個人數據與信息保護的內在聯系的研究，我國法律對個人信息的定義顯然缺乏相關要素，對個人信息的保護并不充分。其次，內部非法行為的內容不完整。再次，靜態的財產權保護模式存在缺陷。最后，保護時間存在偏差。我國的相關規范對公民個人信息的保護體現出一種滯后性

(一)應動態定義“個人信息”，完善“個人信息”的概念

靜態的基礎信息列舉無法滿足數據網絡的千變萬化，也不屬于當下亟待討論的問題。大數據情景下，數據的分析并非針對特定個人，而是針對大量不同個人的數據集合，“侵犯公民個人信息犯罪的對象必須是一旦泄露即可能導致公民權利遭受侵害的信息”，因此，對個人信息的保護重點在于去特征化[2]。我國2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》將個人信息區分為個人一般信息和個人敏感信息。個人敏感信息是指一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息。個人一般信息指除個人敏感信息外的信息。但是此《指南》中的個人敏感信息囿于不良影響的范圍，無法涵括更大的數據范圍，無法對當下個人信息進行全面的保護。因此為了更為完整得保護個人信息，對特定的個人數據保護立法應分為兩個階段：第一，基礎身份信息的匿名化，第二，對“識別”非明顯身份數據(其中包括匿名化的基礎身份信息)的規范。法律保護的核心應當在于“識別”非明顯身份數據階段。其中開發商對匿名化的基礎身份信息的再識別應當完全禁止，而對開發商“識別”非明顯身份數據則必須基于公民的知情與同意，此時應賦予公民知情同意權，《個人信息司法解釋》中提供合法收集的數據給第三人的被收集者的同意權擴展到“識別”階段。該解釋也已經正式提出了“識別”的概念，我國應盡快推進《個人信息保護法》的出臺，對“識別”一詞進行更為詳細的定義。

(二)滯后性向前瞻性的轉換：從對服務商監管到賦予公民“被遺忘權”

對特定個人數據保護的第一階段應當成為立法的必備環節，也即基礎身份信息的匿名化應當成為我國公民的一項基本權利，以得到充分保護。歐盟的《一般數據保護條例》提出與此相似的“被遺忘權”賦予了個體自主權，把對個人信息的保護從事后懲罰提前到事前預防。“被遺忘權”是指公民在其個人數據不再有合法的需要時，享有的要求將其刪除或者不再使用的權利。2015年年初，中國裁判文書網公開了北京市中級人民法院二審審結的任某某與某公司名譽侵權糾紛案一審、二審判決書，法院在該案中首次支持了原告的“被遺忘權”。被遺忘權始于法國的一種被稱為“Le droit à l'oubli”的權利，此權利設置的最初目的是為了使被定罪量刑的罪犯能重新回歸社會，而拒絕公開其罪行和監禁情況。我國2012年修改的《刑事訴訟法》

第275條也規定了未成年人的犯罪記錄有限封存制度。最高人民法院《關于審理利用網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》第12條同樣規定了犯罪記錄的“被遺忘權”—除公開者是國家機關時，當犯罪記錄的公開主體是網絡用戶或者網絡服務提供者等，該犯罪記錄可以適用被遺忘權而予以刪除。“在信息權力與時間的交匯處，永久的記憶創造了空間和時間的‘圓形監獄’，在其中，每個人都可能不停地被誘使去進行自我審查”。[3]數字化時代，每個人都生活在“圓形監獄”之中，網絡載體對個人數據的記載沒有期限，全景式的觀察讓每個人無可遁形。罪犯可以享有要求犯罪記錄“被遺忘”的權利以實現重新踏入社會，這樣的權利也同樣適用于一般公民以保障其寧靜的生活[4]。“被遺忘權”從刑事法律擴展到民事法律，成為一種民事權利，成為個人可選擇行使的權利。但不可避免在個人向網絡服務商等行使“遺忘”個人數據之后，網絡服務商未滿足要求并將該個人數據用于非法活動，這樣的行為理應當受到刑法的規制。

(三)加強對內部數據犯罪的打擊

我國法律規范對內部數據犯罪的打擊除應包含已

有的“購買”、“收受”、“交換”和“竊取”手段之外，還應當增加以下情形：第一，經營者由于故意而導致的管理活動中出現的諸多的安全漏洞；第二，經營者未經許可對公民個人信息進行二次開發利用，進行定向強制推銷的相關行為；第三，經營者利用消費者個人信息進行詐騙的行為，該類詐騙行為不以非法搜集個人信息為前提，即使合法手機的個人信息也應當以詐騙行為論處。

[ 注 釋 ]

①具體參閱賽門鐵克2017<互聯網安全威脅研究報告>[EB/OL].https：//www.symantec.com/zh/tw/security-center/threat-report.

②具體參閱中國互聯網協會官方網站相關信息>[EB/OL].http：//www.isc.org.cn/zxzx/xhdt/listinfo-33759.html.

[ 參 考 文 獻 ]

[1]姚翀.工信部公布二季度電信服務質量“黑名單”[N].南方日報，2017-08-03(B01).

[2]張磊.司法實踐中侵犯公民個人信息犯罪的疑難問題及其對策[J].當代法學，2011，25(01)：72-78.

[3][英]維克托·邁爾-舍恩伯格.刪除[M].袁杰譯.浙江：浙江人民出版社，2013：117.

[4][法]米歇爾·福柯.規訓與懲罰[M].劉北成，楊遠嬰譯.北京：生活·讀書·新知三聯書店，2016：219.