論個人信息的法律保護

摘 要：隨著大數據時代的到來，個人信息成為重要的資源，研究個人信息的法律保護成為重要課題。本文首先對個人信息的概念予以界定，介紹了大數據時代個人信息處理的特點以及國內外社會對個人信息保護的主要措施。其次，論述了個人信息法律保護的必要性和正當性。最后提出通過確定個人信息權是一種框架性權利，采用折中立法方式和司法救濟來完善我國個人信息法律保護制度的建議。

關鍵詞：個人信息；法律保護；大數據

自然人從其出生就開始產生各種信息，這些信息成為識別具體自然人的重要標志，同時也發揮著聯系他人和社會的重要作用。在人類尚未進入信息社會以前，由于受到技術水平的限制，個人信息無法進行大規模、系統化處理和利用，因此對個人信息的利用和保護并未引起重視。隨著信息技術的不斷發展，互聯網技術被廣泛應用，個人信息被大規模收集、處理和廣泛應用。個人信息被譽為二十一世紀最有價值的資源，同時也存在被任意掠奪和侵害的風險。個人信息法律保護的理論和立法研究早已在歐美國家率先開展，國內也掀起了研究個人信息法律保護的熱潮。

一、個人信息概念界定

在現代信息社會，隨著計算機、智能手機和智能穿戴設備的廣泛應用，與信息主體相關的信息顯現指數爆炸式的增長。大數據時代，信息已經成為一種巨大的生產力。個人信息的合理利用能夠促進經濟發展、社會進步和人類福祉的實現，因此個人信息的法律保護理念應該是防止濫用和努力平衡個人信息的保護與利用。在個人信息界定上，學術界一直存在爭論。目前，有代表性的理論有關聯說理論、隱私說理論和識別說理論。關聯說理論將與自然人相關的一切信息全部定義為個人信息。這種理論對個人信息的定義過于寬泛，明顯擴大個人信息范圍，不利于信息的自由流通和互聯網技術的發展。隱私說理論認為與個人隱私相關的信息才能稱之為個人信息。這一理論使個人信息范圍過于狹窄，不利于個人信息的保護。識別說理論把能夠直接確定或者通過簡單關聯分析確定信息主體身份的信息定義為個人信息。三種理論中識別說理論是主流理論，在國內外立法中被廣泛應用。

本文采用識別說理論，研究的個人信息指可以明確識別自然人的相關信息，主要包括全部直接識別和部分間接識別的個人信息。直接識別的個人信息因其與自然人自身特性聯系緊密，僅憑其就可以直接識別出特定自然人的身份，對其理應予以保護。間接識別個人信息絕大多數在信息識別過程中都只起到輔助和驗證作用，只有對那些顯著特征進行簡單信息處理就可以整體識別的信息才應予以保護。這一個人信息的概念同時考慮到了信息和信息主體之間的聯系和識別，合理的界定了個人信息的范圍，有利于保證信息的自由流通。

二、個人信息法律保護的現狀

隨著大數據時代的到來，互聯網信息技術不斷地被廣泛應用，人們不斷在互聯網上留下“足跡”，個人信息也不斷的被收集和大規模的處理。在大數據時代，個人信息已經成為一種具有極高的經濟價值和戰略意義的資源。個人信息被廣泛收集和應用過程中逐漸顯現規模化、深度化和智能化特點。

（一）大數據時代個人信息處理的特點

在“萬物互聯”的信息時代，個人信息被廣泛的應用，個人信息處理顯現以下三個特點。第一，規模化。在信息化社會，個人信息顯現指數爆炸式的增長，除了政府機構收集和處理信息之外，網絡服務提供者日益成為個人信息主要的收集和處理者。隨著智能手機、智能穿戴等移動終端的廣泛應用，個人信息處理內容也有姓名、身份證號、聯系方式等傳統信息擴展到地理位置、個人喜好等很多信息主體都可能不易察覺的一些微小信息上，信息處理規模空前擴大，顯現規模化傾向。第二，深度化。在大數據時代，人們不再僅僅局限于對個人信息收集和初步處理，而是更加注重對數據的第二次開發利用。隨著個人信息處理規模的不斷擴大，大數據整合技術和挖掘技術也應運而生，對個人信息的處理深度不斷加深。第三，智能化。大數據時代，個人信息處理在規模化、深度化的基礎上逐漸向智能化發展。

（二）國外對個人信息的法律保護

基于大數據時代的到來，世界各國都調整和加強了對個人信息的保護。在世界范圍內，國際組織、歐美國家和亞洲國家和地區都有關于個人信息保護的文件和立法。本文通過對比，主要選取有代表性德國、美國和日本做研究。

1.德國的統一式立法模式

基于二戰時期納粹統治的慘痛經歷，德國高度重視個人信息的保護。德國采用統一立法模式來主動保護個人信息，制定了《聯邦數據保護法》作為基本法來保護個人信息。統一的立法模式控制了政府機構和非政府機構對個人信息的處理，嚴格保護個人信息。然而其弊端也是顯而易見的。在大數據時代，對個人信息的嚴格保護有可能阻礙信息的自由流通，妨害了對個人信息的合理利用，不利于信息技術的發展和創新。

2.美國的分散立式法模式

由于美國有防范和限制政府權利的傳統，認為政府機構對個人信息的處理可能比非政府機構存在更大的威脅。美國基于隱私權理論采取了分散式立法模式來保護個人信息，區分政府機構和非政府機構。政府機構處理個人信息注重處理過程的規范性，嚴格按照法律授權進行處理，而對于非政府機構則主要采取行業自律方式來規范和引導。對于比較重要的事項，如金融、電信和未成年人領域采用單獨立法模式。美國擁有發達的互聯網產業和完善的行業自律組織，因此也更加注重個人信息保護和合理利用之間的平衡。

3.日本的混合型立法模式

日本保護個人信息的基本法是《行政機關個人信息保護法》。日本采用混型立法模式，既考慮到公民可能受到的來自政府機構的權力侵犯，同時兼顧本國行業組織的發展情況。可以說日本混合立法模式就是對美國和德國立法模式的結合，試圖在保護個人信息和促進信息流通之間需找平衡。

（三）國內對個人信息的法律保護

到目前為止，我國尚沒有專門的法律保護個人信息。對于個人信息保護的規定主要散見于不同的法律法規之中，主要包括兩個方面：“個人信息”名義的法律法規和“隱私權”名義的法律法規。“個人信息”名義的法律法規保護力度明顯不夠，僅包括在《刑法》《社會保險法》《統計法》《護照法》以及《居民身份證法》五部法律之中。“隱私權”名義的法律法規主要從人格權、隱私權、名譽權等方面入手，散見于法律法規和各種司法解釋之中。雖然以“隱私權”名義的法律法規數量上比“個人信息”名義的法律法規多，但是由于過于分散，在適用時并不是很方便。

三、個人信息法律保護的必要性和正當性

“數據已經成為石油與黃金，成為社會管理的殺手锏。”在大數據時代，對個人信息的大規模收集和處理確實是一把雙刃劍。對個人信息的保護有其必要性和正當性。

（一）個人信息法律保護的必要性

“個人信息已經成為現代商業和政府運行的基礎動力，”[1]大數據時代的個人信息已經是一種重要的資源，加強對個人信息的法律保護對于保護數據安全，提高數據質量至關重要。

1.保障數據安全

在大數據時代，對個人信息的大規模處理在給人們提供諸多便利的同時也引發了一些危機。由于信息社會實現了“萬物互聯”，人們每天都要在互聯網上留下“數據足印”。加之現在實名制泛化，在使用一些重要軟件之前都要求提供真實姓名、身份證號碼、電話號碼等極為隱秘的個人信息，即使是普通軟件也都要求提供郵箱或者是手機號碼注冊，否則便不能使用。但是頻頻曝光的個人信息被濫用或者泄露的新聞也不斷地提醒我們個人信息的保護需要不斷加強。“棱鏡門”事件告訴我們，政府作為龐大的數據帝國，存在作惡的能力和動機。在徐某某電信詐騙案中，一個年輕的生命因為個人信息的泄露而過早的逝去。大數據時代，人們信息被廣泛的收集，很多個人隱私也無處遁形。近年來由于網絡支付的盛行，一旦個人信息被泄露或者竊取，極易使得人們遭受財產損失。因此，保護個人信息，保障數據安全在很大程度上就是保護公民的人格權、隱私權和財產權。

2.提高數據質量

人類正在進入大數據時代，這是一個不可逆轉的趨勢。大數據時代的基礎就是海量數據和信息的自由流通，大數據的不斷發展需要不斷提高數據質量和信息自由流通度。在大數據時代，個人信息的商業價值與日俱增，已經逐漸成為一種新的創造財富的資源。數據質量是個人信息的價值之所在，錯誤的和缺乏價值的信息都是沒有意義的。只有保障了數據的安全，才敢于提供真實有效的數據信息，才能實現信息提供者和數據處理者的雙贏。

因此，亟待加大對個人信息的保護力度，保障數據安全，提高數據質量，促進經濟發展和社會進步，增加人類福祉。

（二）個人信息法律保護的正當性

1.保護人格尊嚴

人格尊嚴起源于自然法傳統，是一個抽象的概念。“做一個人，并尊敬他人為人。”[2]自然法學派都認為人格尊嚴是神圣不可侵犯的，在任何時候都不能夠損害。“不論是誰，在任何時候都不應把自己和他人僅僅作為工具，而應該永遠視為自身就是目的”。[3]人格尊嚴體現為每個人都是平等、獨立、自主的個體。在大數據時代，隨著數據的信息化和商品化，人正在被動的成為信息的生產工具，人的主體地位正在逐漸喪失。保護人格尊嚴要求人應該是獨立、自由的，不受他人控制。在大數據時代，通過對個人信息的處理來實現對個人的控制已經成為可能。個人信息作為能夠識別自然人身份之存在，關乎基本人權，承載著信息主體的人格利益，應受到保護。

2.保障公共秩序

隨著大數據時代的到來，個人信息經濟價值不斷凸顯，個人信息存在被掠奪和泄露等風險。缺乏個人信息的保護必然會引發人們的恐慌和不安全感，引發公共秩序混亂。秩序“意指在自然發展和社會發展中均具有的某種程度的一致性、連續性和確定性”。[4]在大數據時代，大量數據被政府機構和非政府機構處理，缺乏對個人信息的保護容易引發數據的濫用和泄露，危害公共秩序。加強對個人信息的保護才能減少信息被濫用和泄露的可能性，消除恐慌心理，保障公共秩序。

四、個人信息法律保護的制度建構

由于目前我國尚沒有專門的法律保護個人信息，對個人信息保護的規定主要“個人信息”和“隱私權”名義散見于不同的法律法規之中，對個人信息的保護力度明顯不夠。筆者認為需要通過明確個人信息權，采用適當的立法模式，提供司法救濟來完善個人信息保護制度。

（一）確定個人信息權是一種框架性權利

在大數據時代，個人信息的經濟價值凸顯。個人信息不僅體現人格利益，同時體現財產價值。目前理論界對個人信息權的相關的理論主要有隱私權理論、個人信息自決權理論、財產權理論、框架性權利理論。個人信息和隱私聯系密切，兩者都與自然人的人格尊嚴相關聯，體現著自然人對自己私人空間所享有的自主決定和控制。[5]然而隱私并不等同于個人信息，個人信息概念的外延要比隱私的更為寬泛，對隱私權的保護不能涵蓋所有個人信息。個人信息自決權主張自然人有權自由決定外界在何時何種程度上獲得與自身主體聯系密切的信息。框架性權利具有內容不確定和邊界模糊的特點，其實質上是一種兜底性權利。在大數據時代，個人信息的外延不斷擴展，由原來單一的人格利益發展到包括財產利益。隨著互聯網信息處理技術的不斷發展，個人信息的外延有可能還會不斷擴張，所以適合將個人信息確定為框架性權利。確立個人信息為框架性權利有利于保護自然人的人格權，促進信息資源的開發利用，推進我國信息化法律體系的建設。

（二）采用折中立法保護模式

通過上文對德國統一式立法模式和美國分散式立法模式的介紹，我們可以發現德國的立法模式更加注重對個人信息的保護，而美國的立法模式更加有利于信息的自由流通。目前，我國互聯網企業蓬勃發展，很多技術創新都處在世界前列。但是與此同時眾多互聯網也存在野蠻生長和行業組織發展不完善的問題。結合大陸法系的立法傳統和互聯網企業發展情況，我們適宜采用折中的立法方式，即是借鑒德國統一立法模式，制定一部保護個人信息的基本法，同時兼采美國行業自律模式，嚴格區分政府機構和非政府機構對信息的處理，既保護個人信息，同時也不妨礙信息的自由流通。

（三）完善司法救濟途徑

所謂無救濟無權利。任何法律制度的設計都不可能窮盡所有情況，救濟機制是對法律滯后和不周延性的彌補。對個人信息的保護可以采用重要信息的事前同意，造成損害的事后賠償，明確責任承擔。第一，行政責任。行政責任是指政府機構在處理個人信息時違反法律規定，侵害個人利益所應承擔的責任。在公民個人信息被侵害時可以通過申請行政復議或者提起行政訴訟來維護自身權利。第二，民事責任。隨著個人信息商業價值的不斷凸顯，非政府機構逐漸超越政府機構成為主要的信息處理機構。在非政府機構處理個人信息過程中對個人造成的損害達不到承擔刑事責任的程度，應當承擔民事責任。雖然我國目前沒有統一的個人信息保護法，但是可以根據民法通則的一般性規定實行。三，刑事責任。刑事責任是針對嚴重侵犯個人信息，情節惡劣，社會影響較大時承擔的責任。關于承擔刑事責任的承擔較多的領域一般是金融、電信領域。在徐某某電信詐騙案中，陳某某等人通過非法途徑獲取徐某某個人信息進行詐騙，騙走其全部學費，導致其悲傷離世，在這種情況下程某某等人就應該承擔刑事責任。

參考文獻：

[1]Perri，TheFutureofPrivacy（volume1）：PrivateLifeandPublicPolicy23，（1998）.

[2]【德】格奧爾格·威廉·弗里德里希·黑格爾著.《黑格爾哲學講演集》.賀麟譯.上海人民出版社2011：46.

[3]【德】伊曼努爾·康德著.《道德形而上學原理》.苗力田譯.上海人民出版社，2005（4）：53.

[4]【美】博登·海默著.《法理學——法律哲學與法律方法》.鄧正來譯.中國政法大學出版，2004（1）：219.

[5]王利明.論個人信息的法律保護——以個人信息權與隱私權的界分為中心.現代法學，2013（4）：7.

作者簡介：

鄭維和（1990～ ），男，遼寧遼陽人，就職于無錫市新吳區人民法院。研究方向：民商法。