淺析大數(shù)據(jù)時(shí)代個(gè)人信息的法律保護(hù)

劉帆

摘要：隨著信息數(shù)據(jù)的爆發(fā)式增長(zhǎng)，個(gè)人信息的保護(hù)愈加困難，個(gè)人信息泄露和侵權(quán)事件層出不窮，這對(duì)民法如何保護(hù)個(gè)人信息和救濟(jì)受害者權(quán)益提出了新的挑戰(zhàn)。有關(guān)個(gè)人信息應(yīng)作為隱私權(quán)保護(hù)還是作為獨(dú)立的權(quán)利進(jìn)行保護(hù)尚未達(dá)成共識(shí)，各國(guó)提供不同的立法模式如何取舍也仍未明晰，亟需在立法和司法上對(duì)該問題做出回應(yīng)。為進(jìn)一步完善個(gè)人信息的民法保護(hù)，規(guī)范個(gè)人信息管理和使用，應(yīng)制定《個(gè)人信息保護(hù)法》，明確規(guī)定主體對(duì)個(gè)人信息享有的權(quán)利和信息管理者的義務(wù)，完善個(gè)人信息侵權(quán)訴訟制度，同時(shí)，還要加強(qiáng)公共監(jiān)管，以公權(quán)力介入企業(yè)個(gè)人信息管理，規(guī)范行業(yè)制度，為隱私保護(hù)筑起高墻。

關(guān)鍵詞：大數(shù)據(jù);個(gè)人信息;隱私權(quán)

中圖分類號(hào)：DF49 ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1005-913X（2019）07-0063-03

一、問題的提出——以典型案例為視角

2014年10月11日，龐某委托魯超通過去哪兒網(wǎng)平臺(tái)訂購了機(jī)票1張。去哪兒網(wǎng)訂單詳情頁面顯示該訂單登記的乘機(jī)人信息包括原告姓名及身份證號(hào)，聯(lián)系人信息、報(bào)銷信息均為魯超及其尾號(hào)1858的手機(jī)號(hào)。13日，龐某尾號(hào)9949手機(jī)號(hào)收到號(hào)短信，提示龐某所定MU5492航班已取消，要求龐某支付改簽費(fèi)20元。魯超知曉上述短信后撥打東航客服電話予以核實(shí)，客服人員確認(rèn)該次航班正常，并提示龐某收到的短信應(yīng)屬詐騙短信。而魯超購買本案機(jī)票時(shí)未留存龐某手機(jī)號(hào)，龐某遂以個(gè)人信息被泄露、個(gè)人隱私遭到嚴(yán)重侵犯為由起訴趣拿公司和東航公司。法院認(rèn)為，姓名、電話號(hào)碼及行程安排等事項(xiàng)屬于個(gè)人信息。隨著對(duì)個(gè)人信息保護(hù)的重視，隱私權(quán)中已經(jīng)被認(rèn)為可以包括個(gè)人信息自主的內(nèi)容，即個(gè)人有權(quán)自主決定是否公開及如何公開其整體的個(gè)人信息。將姓名、手機(jī)號(hào)和行程信息結(jié)合起來的信息歸入個(gè)人隱私進(jìn)行一體保護(hù)，也符合信息時(shí)代個(gè)人隱私、個(gè)人信息電子化的趨勢(shì)。

從現(xiàn)有證據(jù)看，龐某已經(jīng)證明自己是通過去哪兒網(wǎng)在東航官網(wǎng)購買機(jī)票，東航和趣拿公司以及中航信都有能力和條件將龐某的姓名、手機(jī)號(hào)和行程信息匹配在一起。第三人將這些信息匹配在一起的可能性非常低，東航和趣拿公司存在泄露龐某隱私信息的高度可能，并且存在過錯(cuò)，應(yīng)當(dāng)承擔(dān)侵犯隱私權(quán)的相應(yīng)侵權(quán)責(zé)任。

在現(xiàn)實(shí)生活中大量存在著類似上述案件的個(gè)人信息泄漏事件，如滴滴、攜程大數(shù)據(jù)殺熟，F(xiàn)acebook泄漏五千萬客戶信息，華住集團(tuán)旗下酒店打包出售五億客戶數(shù)據(jù)等，個(gè)人信息買賣似乎已形成產(chǎn)業(yè)鏈。在利益的驅(qū)使下，對(duì)公民隱私的保護(hù)和交易引發(fā)的安全隱患被漠視，平臺(tái)和商家竭力挖掘數(shù)據(jù)背后隱藏的巨大商業(yè)價(jià)值，數(shù)據(jù)之爭(zhēng)甚至引發(fā)了阿里、騰訊、順豐之間的大戰(zhàn)。公民的隱私權(quán)被嚴(yán)重侵犯，個(gè)人信息泄漏引發(fā)的安全問題也頻繁發(fā)生，昭示著民法對(duì)于個(gè)人信息保護(hù)的不健全，這主要表現(xiàn)在以下幾方面。

第一，個(gè)人信息民事權(quán)利的定位不明?！睹穹倓t》第111條規(guī)定：自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息。但是該條并沒有明確個(gè)人信息的保護(hù)方式，究竟是作為法益進(jìn)行保護(hù)，還是作為“個(gè)人信息權(quán)”進(jìn)行保護(hù)，需要進(jìn)一步明確。有學(xué)者認(rèn)為個(gè)人信息權(quán)是隱私權(quán)的一種，應(yīng)將個(gè)人信息作為隱私進(jìn)行保護(hù)。有學(xué)者認(rèn)為由于個(gè)人信息具有明顯的經(jīng)濟(jì)價(jià)值，在定位時(shí)應(yīng)當(dāng)強(qiáng)調(diào)其財(cái)產(chǎn)屬性。有關(guān)個(gè)人信息法律屬性的爭(zhēng)鳴尚未達(dá)成共識(shí)，法院以“隱私權(quán)糾紛”對(duì)個(gè)人信息進(jìn)行保護(hù)，但是個(gè)人信息權(quán)與隱私權(quán)不能完全等同，雖然個(gè)人信息與隱私具有一定的交叉，但隱私權(quán)制度的重心在于防范個(gè)人秘密不被非法披露，而對(duì)于個(gè)人信息的侵犯則在于非法搜集、非法利用、非法存儲(chǔ)、非法加工或非法倒賣個(gè)人信息等行為形態(tài)，兩者不能混同，應(yīng)當(dāng)將個(gè)人信息權(quán)作為獨(dú)立的人格權(quán)進(jìn)行保護(hù)。

第二，個(gè)人信息侵權(quán)責(zé)任不明確。個(gè)人信息侵權(quán)糾紛的責(zé)任不明確，尤其是未明確是否可以獲得精神損害。個(gè)人信息具有較高的經(jīng)濟(jì)價(jià)值，而個(gè)人信息的泄漏、出賣會(huì)為受害人帶來極大的損害，這種損害往往是潛在的難以計(jì)算和證明的。在目前的案件個(gè)人信息侵權(quán)案件中，即使勝訴，受害人也僅僅受到象征性的賠償，難以填平損失。這將嚴(yán)重打擊當(dāng)事人起訴的積極性，尤其是在勝訴幾率本就不大的情況下。更重要的是，較低的賠償無法對(duì)掌握信息的平臺(tái)、商家形成威懾，有可能放縱他們繼續(xù)侵犯?jìng)€(gè)人信息權(quán)。

第三，個(gè)人信息侵權(quán)訴訟舉證困難。個(gè)人信息侵權(quán)訴訟案件中，原告是一般公民，被告是網(wǎng)絡(luò)平臺(tái)或大型企業(yè)，兩者具有明顯的信息不對(duì)稱，而且原告在資金技術(shù)、人力資源方面都明顯弱于被告，兩者的訴訟實(shí)力不平衡。在目前的舉證制度下，根據(jù)“誰主張，誰舉證”，原告需證明被告泄漏或出售原告?zhèn)€人信息的事實(shí)，而在原告對(duì)個(gè)人信息已失去掌控的情況下，這根本是無法完成的任務(wù)。由于個(gè)人信息侵權(quán)行為較為隱蔽，即使存在證據(jù)一般也掌握在被告的手中，原告無從知曉被告儲(chǔ)存利用原告信息的過程，更加無法證明，只能承擔(dān)舉證責(zé)任的不利后果，即駁回訴訟請(qǐng)求。大數(shù)據(jù)時(shí)代信息保護(hù)的障礙：只要使用軟件，個(gè)人數(shù)據(jù)就會(huì)悄然無聲的轉(zhuǎn)移到網(wǎng)絡(luò)服務(wù)商，傳統(tǒng)信息保護(hù)的方式已失去作用，需要建立新的個(gè)人信息保護(hù)路徑，喚醒公民信息權(quán)利意識(shí)，規(guī)范信息管理者對(duì)信息的采集和使用。

二、個(gè)人信息基礎(chǔ)理論

（一）個(gè)人信息的概念

學(xué)界關(guān)于個(gè)人信息定義有多種學(xué)說，有的學(xué)者認(rèn)為：“個(gè)人信息是現(xiàn)實(shí)當(dāng)中不希望被他人知道的或是個(gè)人對(duì)這部分信息很看重而不希望別人知曉的信息。”有的學(xué)者認(rèn)為：“個(gè)人信息包括自己的私人生活有關(guān)的信息和所參與的社會(huì)活動(dòng)和組織性的個(gè)體活動(dòng)信息。”《歐洲數(shù)據(jù)保護(hù)公約》的理解是：凡是與一個(gè)人有關(guān)并且根據(jù)該信息能夠被他人識(shí)別的信息就是個(gè)人信息，這種信息可以是直接的或者間接的，也可以是物質(zhì)的或精神的。法律保護(hù)個(gè)人信息一方面是出于對(duì)隱私的尊重，另一方面，個(gè)人信息具有一定的價(jià)值，并且存在被不當(dāng)使用而造成威脅的可能。因此，個(gè)人信息應(yīng)當(dāng)突出其價(jià)值，并且能夠與其他信息相區(qū)分，筆者認(rèn)為，應(yīng)當(dāng)采用以下定義：個(gè)人信息是指與個(gè)人相關(guān)的、不希望被他人知曉的且能夠與個(gè)人相匹配的一切信息。

（二）個(gè)人信息的法律特征

個(gè)人信息在大數(shù)據(jù)時(shí)代成為了一種被爭(zhēng)奪的商業(yè)資源，從法律特征上說，它具有人格屬性和財(cái)產(chǎn)屬性。首先，個(gè)人信息的主題必須是自然人。當(dāng)然，也有部分國(guó)家認(rèn)為個(gè)人信息的主體不限于自然人，也包括法人等主體。但是法人沒有完整的人格權(quán)，并且其信息更側(cè)重于商業(yè)價(jià)值，應(yīng)該以商業(yè)秘密的形式進(jìn)行保護(hù)，不應(yīng)該列入個(gè)人信息的范疇。其次，個(gè)人信息應(yīng)與主體有密切的聯(lián)系，能夠與其他信息相區(qū)別，并通過能夠信息第一時(shí)間確認(rèn)信息主體，既具有可識(shí)別性。再次，個(gè)人信息應(yīng)具有一定的價(jià)值，可以被利用或者轉(zhuǎn)化成一定的利益。這一價(jià)值對(duì)于網(wǎng)絡(luò)公司來說尤為明顯，利用信息數(shù)據(jù)分割市場(chǎng)，掌握消費(fèi)習(xí)慣和偏好，奪取更多消費(fèi)者剩余，創(chuàng)造更多的經(jīng)濟(jì)利益。

（三）個(gè)人信息保護(hù)理論

1.個(gè)人信息控制權(quán)學(xué)說。個(gè)人信息控制權(quán)學(xué)說認(rèn)為，個(gè)人信息的主體有權(quán)決定個(gè)人信息何時(shí)何地被使用，任何人要使用主體的個(gè)人信息都必須經(jīng)過許可。個(gè)人信息控制學(xué)說強(qiáng)調(diào)主體對(duì)信息積極的控制，但這種控制可能會(huì)造成信息流通的障礙。

2.個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)理論。個(gè)人信息財(cái)產(chǎn)權(quán)保護(hù)理論認(rèn)為，個(gè)人信息是一種財(cái)產(chǎn)權(quán)利，主體對(duì)個(gè)人信息享有所有權(quán)，對(duì)信息財(cái)產(chǎn)的處分、利用是個(gè)人信息所有者的權(quán)利，他人不得干涉和侵犯。經(jīng)濟(jì)學(xué)家認(rèn)為這種理論能夠提高個(gè)人信息的使用效率，呼應(yīng)大數(shù)據(jù)對(duì)信息保護(hù)的現(xiàn)實(shí)需求，更能夠有效應(yīng)對(duì)信息數(shù)據(jù)倒賣和泄漏的問題。

三、域外個(gè)人信息保護(hù)模式

（一）美國(guó)

美國(guó)將個(gè)人信息作為隱私權(quán)進(jìn)行保護(hù)，主要有決定權(quán)、知情權(quán)、更正權(quán)三項(xiàng)權(quán)力。在信息采集過程中規(guī)定：未經(jīng)信息主體個(gè)人許可，不得采用不合理入侵的方式方法獲取其私人信息。在信息披露過程中，美國(guó)法律規(guī)定：必須取得主體許可，否則只有在公共領(lǐng)域的日常信息和本人自愿公開的公共領(lǐng)域非常規(guī)信息;只可在明確許可范圍內(nèi)披露。值得注意的是，美國(guó)對(duì)兒童信息保護(hù)設(shè)定了較為嚴(yán)苛的標(biāo)準(zhǔn)，要求收集13歲以下兒童信息時(shí)取得家長(zhǎng)同意，收集13歲到16歲未成年信息時(shí)應(yīng)當(dāng)讓家長(zhǎng)有機(jī)會(huì)監(jiān)督，希望監(jiān)護(hù)人承擔(dān)保護(hù)兒童信息的責(zé)任。

（二）德國(guó)

德國(guó)是典型的將個(gè)人信息作為一般人格權(quán)進(jìn)行保護(hù)的國(guó)家，規(guī)定了“信息自決權(quán)”。信息自決權(quán)的主要含義是，個(gè)人對(duì)于自己的個(gè)人信息有決定何時(shí)何地采用何種方式公開的權(quán)利，并且其他公司或機(jī)構(gòu)公開個(gè)人信息必須取得明確的授權(quán)，使用所收集的數(shù)據(jù)必須具有嚴(yán)格且明確的目的，對(duì)于個(gè)人信息權(quán)利的限制只能由法律規(guī)定。

（三）歐盟

歐盟關(guān)于個(gè)人信息保護(hù)的規(guī)定主要有《歐盟數(shù)據(jù)保護(hù)基本條例》《個(gè)人數(shù)據(jù)保護(hù)指令》等。歐盟法律規(guī)定，在一定期限內(nèi)，信息主體可以免費(fèi)獲得個(gè)人信息并可以校對(duì);主體可以對(duì)他人收集自己個(gè)人信息的行為提出異議，并通過法律手段追究其自認(rèn);對(duì)違法使用個(gè)人信息的行為可以通過民事訴訟要求賠償;個(gè)人信息有權(quán)要求被遺忘，即要求他人刪除或者停止傳播。歐盟還建立了專門的監(jiān)督機(jī)關(guān)以保護(hù)個(gè)人信息，通過行政處罰的方式加強(qiáng)對(duì)濫用個(gè)人信息行為的威懾。

（四）小結(jié)

美國(guó)、德國(guó)、歐盟對(duì)個(gè)人信息采用了不同形式的保護(hù)，有各自的優(yōu)勢(shì)所在：美國(guó)注重信息的流通，享受該模式帶來的效率和便利，德國(guó)和歐盟給予了個(gè)人信息更嚴(yán)格和平等的保護(hù)，更注重私人權(quán)利和人格尊嚴(yán)。我國(guó)從法律體系和發(fā)展趨勢(shì)上看，宜采用德國(guó)模式，將個(gè)人信息權(quán)作為獨(dú)立的人格權(quán)進(jìn)行保護(hù)。并且借鑒歐盟，以嚴(yán)格的立法規(guī)制，建立完備的個(gè)人信息法律保護(hù)體系，以應(yīng)對(duì)我國(guó)個(gè)人信息侵權(quán)泛濫、數(shù)據(jù)泄漏事件頻發(fā)等問題。

四、改善個(gè)人信息保護(hù)的建議

（一）制定《個(gè)人信息保護(hù)法》

信息數(shù)據(jù)被公司泄漏和出售的事件層出不窮，個(gè)人信息販賣已經(jīng)形成產(chǎn)業(yè)鏈，信息的不當(dāng)使用埋下了諸多安全隱患，威脅著網(wǎng)絡(luò)安全和社會(huì)穩(wěn)定。急需制定《個(gè)人信息保護(hù)法》，明確個(gè)人信息的法律定位，建立系統(tǒng)、科學(xué)的個(gè)人信息保護(hù)體系，完善個(gè)人信息保護(hù)和救濟(jì)途徑?！秱€(gè)人信息保護(hù)法》應(yīng)界定個(gè)人信息權(quán)的內(nèi)涵和外延，明確規(guī)定知情權(quán)、決定權(quán)、選擇權(quán)、刪除權(quán)等內(nèi)容;明確信息管理者的義務(wù)和法律責(zé)任，確定個(gè)人信息權(quán)保護(hù)的原則等。制定《個(gè)人信息保護(hù)法》，既能夠回應(yīng)社會(huì)對(duì)個(gè)人信息數(shù)據(jù)保護(hù)的強(qiáng)烈需求，又能夠順應(yīng)國(guó)際趨勢(shì)，與發(fā)達(dá)經(jīng)濟(jì)體保持一致，避免對(duì)我國(guó)貿(mào)易產(chǎn)生不良影響。

（二）完善個(gè)人信息訴訟制度

個(gè)人信息侵權(quán)事件頻發(fā)，引發(fā)的訴訟也越來越多。但是訴訟效果并不理想，表現(xiàn)在舉證困難、難以獲得賠償?shù)确矫妗?yīng)該考慮個(gè)人信息侵權(quán)案件原被告實(shí)力相差懸殊、證據(jù)親被告遠(yuǎn)原告、被告易于證明等因素，并結(jié)合保護(hù)公共利益、傾斜保護(hù)弱者原則，弱化個(gè)人信息侵權(quán)的證明標(biāo)準(zhǔn)，即原告只需證明被告掌握原告?zhèn)€人信息、被告存在不當(dāng)使用的可能性即可，由被告舉證說明其儲(chǔ)存、利用的過程以證實(shí)其不存在濫用的行為并盡到了妥善保管的義務(wù)。在損害賠償方面，應(yīng)確定個(gè)人信息侵權(quán)可獲得精神賠償，賠償數(shù)額根據(jù)侵權(quán)人的過錯(cuò)程度獲利情況合理確定。

（三）加強(qiáng)公共監(jiān)管

個(gè)人信息數(shù)據(jù)具有經(jīng)濟(jì)價(jià)值，僅靠市場(chǎng)和行業(yè)自律難以規(guī)范個(gè)人信息的采集和使用。為進(jìn)一步保護(hù)個(gè)人信息安全和公共利益，應(yīng)運(yùn)用公權(quán)力監(jiān)管信息控制者，構(gòu)建完善的監(jiān)督體系和監(jiān)督制度。具體而言，應(yīng)建立個(gè)人信息保護(hù)部門，行使監(jiān)管權(quán)和執(zhí)法權(quán)，以刑事手段和行政手段相結(jié)合的方式，規(guī)范信息獲取和利用，處罰不當(dāng)使用個(gè)人信息的行為，加強(qiáng)個(gè)人信息的事前保護(hù)和事后救濟(jì)。

參考文獻(xiàn)：

[1] 梁慧星.民商法論叢（第 43 卷）[M].北京：法律出版社，2009 .

[2] 崔聰聰.個(gè)人信息保護(hù)法研究[M].北京：北京郵電大學(xué)出版社，2015.

[3] 刁勝先.個(gè)人信息網(wǎng)絡(luò)侵權(quán)問題研究[M].上海：上海三聯(lián)書店，2013.

[4] 王利明.隱私權(quán)的新發(fā)展[J].人大法學(xué)評(píng)論，2009（1）.

[責(zé)任編輯：方 曉]