大數據時代個人信息安全問題探析

張嘉鑫

[摘要]大數據時代帶來了新的個人信息安全問題和挑戰。近年來各國不斷頒布完善相關法律法規，對公民個人信息的儲存、加工、流轉、應用進行規范。歐洲以基本人權為基礎和美國以隱私權為主保護個人信息安全的制度值得為我國個人信息保護制度構建所借鑒。同時，需要考慮我國特有的制度、市場環境以及公民的觀念意識，將觀念引導、公權力介入與私法保護相結合，在效率與安全、企業利益與信息主體權益之間尋求平衡，方能有效保護和使用個人信息，從而促進大數據時代的社會進步和經濟發展。

[關鍵詞]大數據；個人信息安全；隱私權；個人信息權利化；中美歐制度

[DOI]1013939/jcnkizgsc201912010

2011年5月，麥肯錫（McKinsey）公司發布了全球第一份從經濟和商業角度研究大數據發展潛力的專題研究報告——《數據：創新、競爭和生產力的下一個前沿》，指出“數據滲透到每一個行業領域……海量數據的使用預示著新的生產力增長點和消費者剩余波的到來。”麥肯錫大數據：創新、競爭和生產力的下一個前沿領域[R].2011數字經濟時代的信息挖掘技術也使得以前的非敏感數據變成敏感性數據，將原本無價值的信息變的有價值，當個人信息受到侵害時，可能造成的損失不可估量。由于個人信息的重要性和不斷加強的財產屬性，大數據交易平臺數量逐年增長，在巨大潛力的市場以及擁有雄厚資本的企業的支持下，不斷體系化和規模化。

1我國大數據個人信息安全問題概述

11問題的提出

“法律保護隱私，因為當我們的隱私被非法地暴露在公眾面前時，我們的自尊被摧毀，我們與他人的關系被破壞。”Ruth Gavison， privacy and limitations of law， 89 Yale Law Journal 421471 （1980）.數據分析和挖掘以發現或推斷未知事實為目標，它不完全依賴于因果關系，且新發現的信息是非直觀和不可預知的，這使得整個過程變得非常不透明。From data mining to knowledge discovery， this paper summarizes six developments of knowledge discovery and data mining cited in U-M Fayed et （EDS）： Menlo Park： AAAI， 19%當某個主體在人們身上搜集數據，再描述測寫他們，就有了更多能夠加以利用的信息，就知道該如何細化樣本。然后在他們關心的事件上用他們更可能產生共鳴的語言、圖像給予信息，從而產生“用戶畫像”繼而引發個人信息安全的諸多問題。在個人信息安全問題的復雜性、個人與企業之間的博弈狀態、個人在個人信息安全問題的被動地位以及我國個人信息安全保護制度起步晚發展時間短的背景下，如何在數字經濟領域中對個人信息保護是我們急需在當下解決的難題。與此同時，還應當考慮如何在保護公民合法的個人信息安全的同時，關注數字經濟產業的經營效率，構建公平安全的營商環境，從而促進經濟發展。

12 我國私法保護個人信息安全的框架

121《侵權責任法》

數字經濟領域保護個人信息的私法典型依據可以追溯到2010年7月1日生效的《侵權責任法》第36條的規定，但該規定僅僅從三個具體行為方面進行論述，未具體規定行為和結果的聯系，法條在民事法律訴訟中并未實質上對被侵權人進行救濟。

122《消費者權益保護法》與《廣告法》

《消費者權益保護法》第29條規定經營者要履行合法、保密、侵犯信息的義務，當侵權情況發生時，應采取補救措施。《消費者權益保護法》的第29條與50條明確具體了責任，其后實施的《廣告法》中第43條，45條以及63條是對《消費者權益保護法》的補充，對侵犯個人信息的廣告行為進行了規定，并且在第63條中確定了罰金數額。盡管《消費者權益保護法》與《廣告法》的內容更加具體，但《消費者權益保護法》未對“個人信息”進行法律上的概念確定。同時僅要求侵權行為發生時采取補救措施，未說明未采取措施的責任。同時，侵權責任的承擔方式過于籠統，五種侵權責任承擔方式應如何選擇以及賠償金額沒有得到適當規定。

123《網絡安全法》

我國《網絡安全法》第22條與第37條對網絡服務運營者對個人信息的收集、使用和儲存進行了規定。第41條至第45條從收集和保密兩個主要方面進行論述。第64條對于違反本法第22條第3款、第41條至第43條規定的行為規定了侵害個人信息需承擔的法律責任，而盜竊、非法獲取、銷售個人信息的行為會被處以高額賠償。與此同時，本法第76條對個人信息的概念進行了較為清晰的規定。

124《民法總則》

本法第111條明確規定了個人信息受到法律保護，但并未對個人信息進行權利化，在條文中也未出現“權”字，旨在以行為規制模式保護法益。葉金強教授認為，在不進一步探討個人信息權的前提下，采取行為規制模式是明智、審慎的，對個人信息領域有了更清晰的認識之后，可以采用權利規制模式。筆者認為立法機關應當將個人信息作為隱私權保護對象還是單獨保護還處在討論和衡量階段，個人信息權利化的趨勢還需繼續探討，若在隱私權下可以給予個人信息足夠的保護，則不應進行單獨規制。

125《電子商務法》

將于2019年1月1日起施行的《中華人民共和國電子商務法》中有關個人信息的條款眾多。第17、18條和第25、27條要求電子商務經營者對進入平臺的消費者積極履行保護個人信息性質的義務。第59條至第63條提出，針對個人信息發生的糾紛可以先選擇平臺投訴、協商和解的方式解決爭議。同時第62條對上述行為的舉證進行了規定，對之前法律法規未對個人信息舉證問題進行規定這一漏洞的填補，有利于解決個人信息被侵犯舉證難的問題。本法第79條將其與《網絡安全法》銜接，加上第83條對侵害消費者合法權益的責任進行具體化規定，使個人信息保護保護體系日趨完善。

13我國公法保護個人信息安全的法律框架

第十一屆全國人民代表大會常務委員會第三十次會議通過的《全國人大常委會關于加強網絡信息保護的決定》第一條明確規定了所保護的個人信息的性質。我國《刑法修正案（九）》將“情節嚴重”解釋為造成被害人人身傷害或者死亡，嚴重影響被害人的名譽，并加強對“情節嚴重”的處理，加大力度保護名譽。《刑法》第253條于2017年11月4日重新頒布且當日生效，具體規定了侵犯個人信息安全罪的構成要件。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中明確具體地規定了“公民個人信息”的含義以及違法的行為類型，并對第253條進行了全方位解析。司法實踐中，如周某某等侵犯公民個人信息案浙江省平湖市人民法院/（2016）浙0482刑初1022號/20161207和夏某某侵犯公民個人信息案浙江省紹興市柯橋區人民法院（原浙江省紹興縣人民法院）/（2017）浙0603刑初97號/20170210等最高法院發布的典型案例中，刑法第253條成為判決的重要法律依據。

2美國對個人信息保護的法律框架

21基于隱私權進行保護

美國對個人信息的保護由隱私權的相關法律完成，涵蓋了聯邦與各州層面。最初，美國隱私權保護主要針對公權力對公民隱私權的侵犯，1934年的《侵權法重述》則將無正當理由嚴重侵犯個人隱私確定為民事訴訟的訴因。在美國，隱私權是憲法中的基本權利，即每個人可以控制其身體、家庭、財產、思想、感情、秘密等各個領域的內容，選擇是否披露，如何披露并防御他人的非法侵擾、知悉、收集、利用和公開。ONN YPrivacy in the Digital Environment， Haifa Center of Law & Technology，2005：1-12顯然，在包羅萬象的美國隱私權體系中，個人信息是其中的一類保護對象。

22“隱私的合理期待”概念的提出

1964年，美國最高法院通過Katz V United States 案確立了“隱私權的合理期待”標準，至今依舊被使用。隱私權主要通過監視場所、監視侵犯程度、監視對象性質三個要素來考察。用依據普通人的常識和邏輯能夠推論出的標準來對推斷出個人信息的隱私標準，并對其加以保護。

23關于“隱私權”保護的代表性法律規范

美國通過“隱私權”這一寬泛的概念來保護個人的隱私，更強調其中的隱私風險評估，通過隱私風險評估來確定標識符是否可識別。1974年的《隱私法案》規定，聯邦機構限制可識別信息的披露，并要求機構提供對個人信息記錄的訪問。1986年通過的《電子通信隱私法》主要禁止未經授權的電子竊聽行為，對信息傳輸安全、存儲安全和監視合法性進行了規定。1998年，美國通過了《兒童在線隱私保護法》，規定網站經營者必須披露其隱私保護政策，說明尋求兒童監護人同意的時間和方式，以及侵害兒童隱私的責任。2001年HIPAA修正案的目標之一是保護患者的電子健康記錄并提出具體的保護標準，該法規定了行政保障、實物保障、技術保障及安全責任的分配。對于違反安全標準的實體，規定最高罰款25萬美元，并處以最高10年監禁的嚴重懲罰。http：//worldhuanqiucom/article/2015-07/7090361HTML

24美國關于個人信息安全的制度創新

美國現有立法規定只能在限定范圍內以市場目的從事消費者數據的收集、使用和出售，并沒有統一規制信息的收集和交易。Government Accountability Office， Information Resellers： Consumer Privacy Framework needs to reflect changes in technology and marketplace， Sep2013另外，通常準許為研究等目的收集、使用、公開個人健康信息，并處理信息使其不能聯系到個人身份信息。Information and privacy Commissioner， Ontario， Canada： Dispell the Myhts Surrounding De─identification： Anonymization Remains a Strong Tool for Protecting Privacy， June 20112012年2月，白宮最終報告《網絡環境下消費者數據的隱私保護——在全球數字經濟背景下保護隱私和促進創新的框架》The White House， Consumer Data Privacy in a Networked World： A Framework For Protecting Privacy And Promoting Innovation in The Global Digital Economy 32 n39 （Feb2012）.中確立了消費者的一些隱私類權利。并于2015年的《消費者隱私權利法案》中堅持了技術中立，以公平信息實踐法則為基礎，對“告知與同意”框架進行強化，規定了數據保存與處理的安全責任，制定了事后問責制的內容。對于《消費者隱私權利法案》，微軟首席隱私官Brendon Lynch表示，雖然有些人反對，有些人贊同，但不管怎樣這都是一個好消息，因為人們開始為之對話了。消費者將在訪問商家儲存的個人數據上擁有越來越完整的權利，這無疑是美國對于個人信息安全的一次重大制度嘗試。

25比較與借鑒

美國商業領域有著健全的營商環境，美國公民對自身權利關注度較高，通過以隱私權為基礎的法律制度來保護個人信息自然水到渠成。我國學說在研究個人信息安全問題上，多數歸納在“隱私權”這一大概念之下，研究思路與美國通過“隱私權”來保護有相似處，其中關于“隱私的合理期待”等觀點我國應當予以采納。同時，美國時刻關注著個人信息與利用之間的聯系，在其體系構建的過程中，明確了保護個人信息的準則，限制企業在各環節非法利用信息，從各個方面考慮并加以規制，也在不斷加強消費者對其個人信息的控制力，有關個人信息保護的舉措應當引起我國重視，并且在制度建設中進行學習借鑒。