大數據時代下的個人信息保護研究*

任丹妮 吳雪樊 吳巧蓮 薛怡怡 周 璇

山東理工大學，山東 淄博 255000

目前我國對個人信息的保護非常薄弱，其原因在于缺乏系統明確的法律規定，相關部門也缺少法律依據打擊惡意侵犯個人信息的行為。在個人信息不斷受到侵犯的今天，由于缺乏系統明確的法律規定，導致我國的政府和司法機關很難保護公民的切身利益，所以我們應該對個人信息權進行明確的界定，并積極推動個人信息保護法的立法工作，讓公民的個人信息能夠得到切實有效的保護。

本文旨在從時代發展與個人信息保護之間的關系、國外對于個人信息保護的立法經驗以及我國目前立法成果和不足的角度尋找出一條可行、適當的解決辦法并提出建議。

一、大數據時代下個人信息保護的背景

富蘭克林股票團隊副總裁兼基金經理Grant Bowers曾表示石油歷來是巨大的經濟力量的關鍵。但在未來，數據將在數字時代擁有類似的經濟力量。信息是經過加工以后并對客觀世界產生影響的數據，是大數據技術發揮作用的基石。

自二十一世紀以來，世界各國逐步邁入大數據時代。人們方方面面都因此享受到了極大的便利：精準、確切地獲取所需商品或服務的信息；“未卜先知”地了解城市路況以避免交通擁堵節省時間等。大數據技術發揮著不可或缺的作用的同時，個人信息泄露事件也層出不窮。

近年來，各大企業或機構均曾陷入過信息泄露事件。個人信息保護面臨著新的挑戰與困難，信息的利用與信息的保護兩者的沖突需得法律找到一個利益平衡點，既做到物盡其用，又保護民眾的個人信息不為時代所犧牲。

二、個人信息的界定

探討任何數據的法律問題，都需要先理解關于數據的理論基礎。應當注意，網絡時代中的“個人數據”與“個人信息”的概念有所不同，前者是指附著在電子信息系統載體的客觀事物記錄，是未經過處理的個人原始記錄；后者是指個人數據經過加工處理后，形成的具有使用價值的內容——信息。數據本身沒有意義，它只有對實體行為產生影響時才成為信息，數據是信息的表現形式和載體；信息是數據的內涵，是加載于數據之上，對數據具有含義的解釋。

個人信息保護的目的，在于保護具有使用價值的個人信息，并不是全部個人數據。因此，我國《網絡安全法》和《民法總則》等法律在立法技術上均采用了“個人信息”的表述。其中，作為第一部明確界定個人信息的法律——《網絡安全法》采用“識別性”模式界定個人信息的概念①。

三、我國個人信息保護的立法與不足

我國目前尚沒有個人信息保護的專門法律，個人信息在民法、行政法保護也不完善的背景下，其保護的范圍一直模糊不清，并且呈現出分散立法的局面。據統計，我國目前規定個人信息的法律法規不在少數，有近40部法律、30余部法規，以及近200部規章涉及到個人信息保護，其種類涵蓋了互聯網信息、醫療信息、個人信用管理等多個領域。

早在上世紀八十年代，我國《憲法》中就規定了關于個人信息保護的條款，其中第三十八條、三十九條中關于公民的人格尊嚴、住宅不受侵犯之規定，第四十條中公民的通信自由和通信秘密權的規定，均可理解為個人信息應受保護的合憲性基礎，也即個人信息權的基礎法律淵源。除此以外，我國《刑法》第二百五十二、二百五十三條以及《刑法修正案(七)》中也規定了關于侵犯公民通信自由權利、違反國家有關規定，向他人出售或者提供公民個人信息、將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人、竊取或者以其他方法非法獲取公民個人信息情節嚴重的具體懲罰措施。

更值得一提的是，新出臺的《民法總則》第一百一十一條的規定，一改以往民事法律對于個人信息保護界定不清，只能通過援引其他人格權相關的法律規定，對具體侵犯個人信息的行為做出法律評價的現狀，使得公民的個人信息應受保護變得更加明確，但當前我國公民個人信息保護體系中仍存在大量問題亟需解決。

第一，個人信息基本定義零散、標準不完全統一。

盡管我國相關法律已對個人信息做出了相對完整的定義。但是基于“匿名”信息通過技術處理也可重新具備識別功能。因此個人信息的“識別性”定義已不能滿足時代的需求。一般來說，對于個人信息內涵的界定問題，是判斷侵犯個人信息個案應當適用哪一具體法律規范的基礎問題。個人信息基本定義界定模糊，不僅不利于被侵權人合法權益的有效保護以及在司法實踐中法官對于具體案件性質的定義與法律規范的援引，而且一定程度上制約了數據的流通與互聯網產業的創新發展。這也是我國個人信息保護法律法規不在少數，但一般無法在執行中落實、可操作性差的癥結之一。

第二，我國目前尚沒有完整的、體系化的個人信息保護的法律機制。

與發達國家相比我國尚沒有一部例如《隱私法》或《個人信息保護法》之類的制定法能夠將公民的個人信息的收集、使用、保存等系統地進行法律規制，盡管我們能夠在現行的法律法規規章中看到關于公民個人信息類的相關條款，但是這種分散立法的個人信息保護大多是間接的，或者說是一種隱形的保護。這種“保護”無法明確個人信息的法律屬性，無法明確我國公民在個人信息保護中享有哪些具體權利，承擔哪些具體義務，以及侵權者應承擔何種法律責任。

四、大數據時代下個人信息保護的國外立法借鑒

自科技逐漸進入人們的生活以來，關于個人信息的法律保護問題已經成為各個國家積極研究與討論的新興領域。目前，全球已經有60多個國家制定了專門的個人信息保護法。筆者將從美國、歐盟、日本這三個不同的國家去闡述關于個人信息保護的國外經驗。

(一)美國在個人信息保護上的立法

美國主要采取分散立法與行業自律雙面機制對公民的個人信息進行保護。在分散立法下美國沒有一部專門的個人信息保護法律進行統一規制，其最早出臺的關于個人信息保護的法律是1967年《信息自由法》，隨后在1974年，美國又頒布了《美國隱私法》，這部法律是保障個人信息安全的基礎法律，它將公民的個人信息歸屬于隱私權價值范疇中。迄今為止，美國已經相繼出臺130多部法律對個人信息保護進行規制，并且在個人信息保護的立法上分為防止政府部門侵害的公共領域的立法保護和具體法案具體救濟的非公共領域的立法保護。

然而美國并不單單依靠這種分散立法形式對公民的個人信息進行保護。基于對市場自由化的重視，美國對于個人信息的保護在行業自律層面非常成熟，其分為兩種機制：一種是非強制性的，建議性的行業指引，這種方式旨在在同行業內提供一個關于個人信息保護的政策，如在線隱私聯盟。另一種是網絡隱私認證，這種方式強調通過制定個人信息保護準則等方式約束加入的成員，公民則可以通過此種隱私認證標志來識別某項產品是否有隱私保護機制。這種雙軌保護機制促進了美國個人信息保護的發展，這種做法獲得了世界上許多國家和地區的好評。

(二)歐盟的個人信息保護立法

歐盟對于個人信息的保護方式與美國截然不同，歐盟將個人信息保護上升到基本人權的高度，將個人信息示以人格尊嚴，采用統一立法方式對其進行保護。因此，個人自信息保護在立法上采取極高的標準。歐盟于1995年出臺的《個人數據指令》是最重要的法律，其在個人信息的收集、處理、使用等方面建立了六大原則：合法目的原則、透明原則、適當原則、保密和安全原則、監控原則。歐盟在個人信息保護方面的立法非常全面，有2001年出臺的《歐共體公共機構組織在個人數據處理中保護個人權利的法規》、2002年頒布的《隱私與電子通訊指令》、2006年出臺的《數據保存指令》。在此需要說明的是，歐盟對個人信息保護的立法分為兩個層面：一是歐盟統一立法。通過建立統一的系統化的個人信息保護法律體系來規定成員國的最低保護標準，降低各成員國的個人數據信息流通成本。二是歐盟成員國在歐盟最低保護標準的基礎上根據各國具體情況分別立法。

(三)日本在個人信息保護上的立法

日本的個人信息保護立法不同程度上受到了美國和歐盟的影響，最終則選擇了折衷主義。一方面日本建立了全面的行業自律體系來實現自我管理與約束，著名的有JIPDEC(日本個人信息保護標識機制)；另一方面，日本又相繼出臺多部法律來規范公民個人信息的使用、處理、傳播等行為。例如日本國會于2003年頒布的“五聯法”，分別包括《個人信息保護法》、《行政機關個人信息保護法》、《獨立行政法個人信息保護法》、《信息公開與個人信息保護審查會設置法》以及《對<行政機關所持有之個人信息的法律>等的實施所涉及的相關法律進行完善的法律》。這種折衷式的立法模式很大程度上來自于日本的國情，其試圖做到既保障信息自由流通又兼顧公民個人信息權益的保護。

五、大數據時代我國個人信息保護的立法建議

承前所述，我國在個人信息保護領域依舊存在較多待解決的問題，通過借鑒外國先進經驗并結合大數據產業快速發展這一基本國情，為此筆者將從立法保護、行業自律以及如何提高公民個人意識三個維度全面提高對公民的個人信息保護。

(一)采取單獨立法模式，制定《個人信息保護法》

通過上文研究表明，我國對個人信息的保護呈現分散、救濟難、實踐難等現實問題，因此該部法律應當著重界定個人信息權、細化個人信息保護的規則和原則以及權利救濟這三個方面做出規定。

1.界定個人信息權的法律屬性。關于個人信息的保護，現行法律規范中并沒有直接賦予公民個人信息權，而2017年出臺的《民法總則》一百一十一條也只是從消極的角度確立了個人信息使用的禁止性規范，可想而知法律也沒有直接規定個人信息權的法律屬性。對此問題，學者們對于個人信息具有“可識別性”這一本質特征達成較為統一的觀點，但是就個人信息法律屬性而言存在多種觀點，例如否定權說、一般人格權說、隱私權說以及具體人格權說等。其中隱私權說和具體人格權說這兩個對立的理論受到學界的廣泛熱議。其中隱私權說認為人格權應當納入隱私權的范疇之內，將公民的個人信息等同于隱私。而具體人格權說認為個人信息權應當是一項具體人格權，其本質內容與隱私權并不相同，隱私權的內容無法真正包含個人信息權，因而是一種獨立的具體人格權。筆者贊同具體人格權說，而且從《民法總則》中也不難看出立法者并沒有將個人信息納入隱私權中而是將個人信息單獨規定，對個人信息采取單獨保護的方式，這也為我們制定《個人信息保護法》提供了上位法的法律淵源。

2.明確個人信息權的內容、規則及原則。一部法律體系得以完善與這三部分密不可分。一方面我們要對個人信息權就內容和具體規則做出創設性的規定，例如歐盟GDPR第三章規定了數據主體的各項權利，如知情權(第13條)、同意權(第14條)、訪問權(第15條)、更正權(第16條)、刪除權(第17條)、限制處理權(第18條)、可攜帶權(第20條)、反對權(第21條)。我國臺灣地區“個人資料法”第3條、第8條、第15條規定，信息主體享有如下權利：知情權、同意權、查詢或請求閱覽、請求制給復制本、請求補充或更正、請求停止搜集、處理或利用以及請求刪除。由上可知這些內容都存在相同之處，其大多采取列舉式。因此我國《個人信息保護法》也可以借鑒這樣的方式，將個人信息權所包含的內容一一列舉，采用這樣的方式公民可以更好的理解法律、運用法律，同時司法者裁判時可直接援引規則做出公正裁判。另一方面我們要將分散于各部門法或者其他規章以及司法解釋中的法律進行整合，例如將分散于《民法總則》、《中華人民共和國網絡安全法》中有關個人信息保護的條文進行抽離，將其系統納入《個人信息保護法》中，解決個人信息保護分散、不成體系、難以及運用這一難題。在上述內容中將個人信息權內容采用列舉式，會不可避免的降低司法實踐中的靈活性，從而可能導致可操作性差、保護范圍狹窄等問題。為此可以制定全面的原則，例如合理使用原則、合法性原則、透明原則等。這些原則要盡可能的權衡多方的利益，在堅持保護公民個人信息權的同時，也要保護數據產業對數據信息的合理使用。

3.應制定詳盡的救濟手段。眾多周知沒有救濟就沒有權利，在探討創設權利的同時，解決權利如何救濟也是一個不容忽視的問題。目前在大數據時代下，公民的個人信息沒有得到良好的管理，數據產業的信息收集者肆意共享、買賣公民個人信息以至于公民的個人信息在互聯網上出現“裸奔”的局面，面對公民個人信息被泄露，而法律并沒有規定有效的救濟措施，公民明知個人信息被泄露卻找不到侵權人或者即使公民明知誰是侵權人，可是對于個人信息的侵權人沒有任何的制裁措施，導致公民的個人信息權沒有得到根本的維護。公民在個人信息保護領域內往往處于弱勢地位，不言而諭大數據產業往往處于強勢地位，例如當我們在適用某APP時對公民的個人信息的保護一般只提供格式條款，存在“強迫”公民同意的情況。因此我們應當在這些方面制定詳盡的救濟手段，筆者認為對個人信息權的保護應當采取舉證責任倒置的方式，在個人信息侵權案件中舉證難是維權者普遍的難題，因為在侵權案件中需要原告來證明因果關系，這一證明標準使得本來處于弱勢地位的維權者更不敢隨意的提起個人信息保護權的訴訟。而采用舉證責任倒置這一方式將主要的證明責任由強勢一方的數據產業承擔，若其無法證明其對公民的數據信息盡到妥善的管理責任，即其需要承擔侵權責任。通過舉證責任的改變，方便了公民提起保護個人信息的訴訟，同時有利于數據信息管理者完善管理機制更加重視對公民個人信息的保護。

(二)鼓勵健全行業自律體系，實現自我管理與約束

應當注意，在國家強制力保障層次上制定相關單獨立法來規制個人信息的侵權與保護問題顯然不是萬全之計。我國人口眾多，數據收集廣，個人信息流通性強的國情特點決定了行業協會自律式規制的必要性。基于此種觀點，我們提出以下建議：

1.增加行業自律主體，擴大監督范圍。目前我國行業自律機制主體主要在互聯網行業，然而大數據對個人信息的保護不僅在采集、分析層面，還存在于傳播、使用等多個層面，涉及多種行業主體，因而我們認為其他行業也應積極地在自己的行業內針對大數據與個人信息的關系特征不同程度的進行行業內部規制，同時行業內部也應集中力量發展信息保護技術，防止不法侵害人采用非法手段惡意入侵數據庫對公民的個人信息隨意散播。

2.對于濫用或者非法傳播個人信息的行業主體，行業內部加大懲罰力度。對行業主體進行信用等級評估，對于信用等級較低的主體可聯合相關行政主體對其進行監督與管理。

3.我們認為在行業自律層面可以參照美國的認證標志經驗，建立個人信息保護認證標志體系。在所有涉及利用大數據技術合法采集、分析、傳播以及使用個人信息等層面“貼上”個人信息保護標志，增加公民的安全感。

(三)提高公民對個人信息的保護意識以及維權意識

在大數據時代下，如何更好的使個人信息免受非法行為侵犯，具體到個人層面，其應當做到信息泄露的事前預防行為和權益被侵犯后的補救行為。對于信息泄露的事前預防，由于現實生活中大多數民眾個人信息權保護意識淡薄，用自身信息換取免費產品導致個人信息被竊取、傳播而不自知的情況不在少數，在這種意義上，公民自主進行、接受個人信息保護意識培訓就顯得十分重要。個人信息被侵犯后的補救行為，要求權利主體熟悉法律規范對個人信息被侵犯后的救濟方式、程序等多方面規定，從而保證其能夠獨立運用法律來維護其合法權益。

六、結語

隨著科技的不斷進步，利用大數據收集并整合個人信息是必然的結果，但是人們時常因為個人信息的泄漏而感到憂慮，因為此種泄漏也不同程度的對公民的權益造成了損害。現階段，我國對個人信息權益的保護在個人信息侵權問題面前仍顯不足，如果我們不加快建立合理的個人信息法律保護機制的步伐，公民的個人信息權益將會受到越來越嚴重的侵犯，甚至影響社會公共利益，威脅社會安全與穩定。筆者認為每個時代都會有它要面臨的新型法律問題，個人信息的保護問題作為大數據時代下的重要問題應該受到國家的重視。

[注釋]

①《中華人民共和國網絡安全法》第七十六條第五款規定：個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.