大數據時代個人信息保護的立法路徑分析

楊桐桐

（天津師范大學，天津 300350）

2019年，兩會貫徹落實“互聯網+”新經濟形態，推動移動互聯網、云計算、大數據和現代產業結合，促進電子商務與金融共同發展，引導互聯網企業迎來中國新經濟形勢的曙光，由此來開拓國際市場。可以預見，大數據儼然已經成為一項趨勢，正在重塑人們生活和思維的方式，但無疑也給個人信息的保護帶來了巨大的風險與諸多挑戰。所謂“社會數據”，是指關于公民行為方式、社交關系、興趣愛好等能夠識別個體社會屬性的數據[1]，而在生活中，大數據技術的發展將這些具有社會屬性的信息逐漸“公開透明化”，通過對公民社會信息的定義與分析研究，不難發現個人信息已經不局限于過去的僅歸屬隱私權部分的內容，所以在企業與國家極力蛻變“渴望數據的利維坦”的“大數據”時代下，應當立足分析公民個人信息的保護路徑，構建明確的法律規范框架，盡快出臺《個人信息保護法》。

一、大數據時代的個人信息之法律素描

（一）個人信息概述

個人信息是指以文字或電子等方式單獨識別特定自然人身份的全部信息，傳統的個人信息除可以外露的身份信息外，其余大多都被視作隱私進行保護，而現如今隨著互聯網、大數據技術的發展需求，個人信息不僅包括一般身份信息，還涵蓋了健康情況、婚姻狀況、宗教信仰、犯罪記錄等涉及人格權的事項和物、債等涉及財產權的事項。在學理上，公民個人信息權益的法律屬性及范疇始終界定不一，民法學界的不同學者，基于不同價值判斷，針對其私法屬性多界定為人格權、隱私權和財產權。雖然，個人信息權和隱私權之間存在相似性，但由于大數據時代發展所引起的眾多區分點的存在，它們應該屬于兩個不同的類別：在內容方面，隱私權制度重點是防止個人隱私被非法披露，而個人信息權的法益更注重信息管理者對個人信息的控制與利用是否損害信息主體的利益；在范圍方面，隱私和個人信息的內容交叉，但是不重合，大多數傳統的隱私權內容現在包括在個人信息權內容中；在救濟措施方面，隱私權多采用事后救濟，而個人信息權是以防范為主的事前救濟。[2]由此可見，個人信息權的法律屬性并不完全歸于隱私權說。大數據時代的人格權不斷延伸與發展，以至個人信息已兼具人格屬性與財產屬性，所以在現實中的司法實踐中，訴訟公平與效率的平衡觀念要求我們既要注重保障個人信息權的人格權屬性，也不能將財產權屬性遺落。然而，現在關鍵的是，當前我國的權利救濟體系尚未搭建起來，在司法實務中更多的是以侵害隱私權（各級法院一般將個人信息權視為隱私權作為訴訟審判依據）或名譽權（當案件涉及他人的社會評價時將個人信息權視為名譽權進行保護）為由請求侵權損害賠償[3]，缺乏單獨以公民個人信息權受侵害為由主張侵權損害賠償的保護機制。

（二）大數據時代個人信息的相關法律保護

在憲法層面，“國家尊重和保障人權”“公民的人格尊嚴不受侵犯”和“公民享有通信自由和通信秘密的權利”等條款雖然未涉及“個人信息保護”的字眼，但顯然可以看做個人信息保護立法的憲法依據。在民法總則層面，第一百一十一條明確提出了個人信息保護的規則性條款，但是也拋磚引玉，證明了個人信息安全問題的重要意義。在刑法層面，《刑法修正案（七）》中規定了“非法獲取公民個人信息罪”和“出售、非法提供公民個人信息罪”，這為打擊個人信息的網絡犯罪提供了堅實的法律基礎。在其他的法律方面，近年來，《網絡安全法》《未成年人保護法》《商業銀行法》《郵政法》等也紛紛規制了個人信息保護相關內容，以適應現實社會的發展進程，解決其中出現的問題與弊端。

但是綜合全面來看，個人信息保護問題并不理想，法律并不充分。近些年來，谷歌、YouTube從多個服務器中整合提取用戶信息的個人信息非法收集、社交軟件查找“可能認識的人”的個人信息過度分析、釣魚網站網絡詐騙的個人信息泄露等問題的出現[4]，說明個人信息法律的特征：1）立法碎片化，特別規則多，缺乏體系性；2）保護范圍狹隘，法律規定不全面；3）針對網絡信息違法甚至犯罪，缺乏統一的國家執行機關，以致無法建立全面的處罰機制。分析這些法律不完善之處，可以得出相應結論：國家應當盡快制定《個人信息保護法》，以解決當前問題與調整方案之間供需不平衡的個人信息保護問題。

二、準確理解歐美個人信息保護的機制

（一）歐盟個人數據保護機制

2016 年4 月，歐洲會議批準通過的規范歐盟境內公民數據如何被公司嚴格使用的規則《一般數據保護條例》（GDPR，簡稱《條例》）已正式生效實施。相較以往，《條例》完成了四項實質性的法律突破：其一，適用范圍的擴大化，GDPR不僅適用于歐盟企業內部數據監督，也同樣適用于歐盟以外所有正在處理個人數據的供貨商和服務商；其二，對個人數據內容的擴張補充，《條例》中除了傳統意義上的常規個人信息外，還新增加了基因數據、健康數據、政治觀點以及性取向；其三，《條例》規定了六項一般原則，分別為“合法性、合理性和透明性”“目的限制”“數據最小化”“準確性”“限期儲存”“誠實與保密”，以上六項原則為歐盟立法提供了原則性指引，這提高了對數據控制者處理個人數據的要求，也可以最大限度地降低相關企業濫用個人數據的可能性；其四，數據主體權利的增強，《條例》規定了數據主體對個人數據的訪問權、更正權、控制權、被遺忘權、數據攜帶權等多項權利。以個人信息權為中心制定多項權利，尤其重點設定了被遺忘權與數據攜帶權等新型權利，全面保障數據主體的個人信息權不受侵害。

除此之外，《條例》還在第四章規定了數據控制者和處理者的義務與責任，對個人數據采取的是默認保護原理，收集、處理和刪除數據都專注于保密性的程序保障。義務的第四部分是關于數據保護官（DTO）的規定，在公共機構組織中進行大規模數據處理時，任命數據保護官有效地領導企業的數據安全保護工作，在企業中還應保持自身的獨立性。[5]在最后部分,《條例》詳細規定了嚴格的問責與處罰制度，違反GDPR法規的企業或組織將被處以全球年營業額的4%或者2000萬歐元甚至更高的罰金，數據主體有權在數據控制者、處理者侵害數據主體的個人信息權時向監管機構及司法機構提起民事訴訟并且要求賠償。歐盟的《一般數據保護條例》按照傳統民法體系的“權利—義務—責任”的模式進行立法，但特殊的地方是權利規定偏向于數據主體的權利、義務規定偏向于數據控制者、處理者的義務，這種機制是調整數據主體與數據控制者之間易失衡的性質，更能體現出歐盟對個人信息保護的立法目的。從價值屬性上看，歐盟更注重個人數據的人格權特性，已經逐漸構造起以個人信息權為中心的保護機制。

（二）美國個人數據保護機制

通過信息技術革命，美國引領了世界第二次大戰以來最長的經濟繁榮時期，在數據采集和信息處理方面具有較強的優勢，主導著全球互聯網信息技術的發展進程，是世界上最大的數據進口國與數據出口國。在私營部門，美國出于對市場調節的依賴和支持信息技術發展的考慮，依靠自律機制實現對個人信息的保護，有企業相應的監管部門保護個人信息免于非法收集、處理與利用。在信息化發展進程中，美國聯邦健康、教育與福利署于1973 年深層次研究信息資源公平利用問題，提出并發布了“公平信息實踐法則”。該法則主要包括五項基本原則，分別為“公開性原則”“限制性原則”“數據質量原則”“責任與安全原則”和“個人信息權利保護原則”，其中主要強調了數據管理者公開告知與數據主體同意框架的強化、數據安全處理的義務、數據管理者的侵權責任制。五項原則體現了信息主體有權知曉、有權糾正、有權拒絕等多項個人信息權。[6]“公平信息實踐法則”也構成了后來1974 年《隱私權法》的基礎并處于核心位置，而個人數據信息多在隱私制度下得以保護。在公共領域，美國進行了隱私權法案立法，1974 年聯邦頒布了《隱私權法》。后來，采取了相對較為寬松的分散式立法，分別針對特定行業或領域例如在消費、通信，金融，兒童上網等方面進行互聯網信息安全保護立法，解決不同行業各自產生的信息收集、使用問題，例如《消費者信息隱私權法案》《電子通訊隱私法案》《金融服務現代化法案》《兒童網上隱私保護法》等。即使是注重行業自律的美國，也逐漸倚重隱私權立法角度出發去保護個人數據信息。美國的個人信息保護更注重保障信息的機密性與完整性，從整體上可以看出，其保護機制的核心在于以隱私權平衡個人利益與公共利益，從而維護國家的信息產業地位。

三、我國個人信息保護的立法路徑

對歐美個人保護機制詳細地分析后，我國應該盡快制定與社會主義市場經濟相適應的法律制度。首先要進行的是一定程度上的法律移植，與所謂國際社會“接軌”，但同時不能放棄法律繼承，成為一部“本土化”的法律。中國國情適應現代社會的市場經濟，并且協同飛速發展的大數據技術，簡單說市場經濟更多的是法制經濟[7]，所以在這種體制下對個人信息的保護也是對市場的保護。

（一）明確個人信息保護的基本理念與原則

可以借鑒歐盟《條例》，我國首先應當明確立法目的是加強個人信息安全保護，在此基礎上促進個人信息的充分利用。在立法目的確定后，公民的個人信息權應處于該法的核心地位，受到國家與企業等數據管理者的尊重和保障，確定公民個人信息權與國家、企業的開發利用權并重的價值理念，并以此為指導思想分析立法路徑，繼而制定《個人信息保護法》。基本原則如下：

第一，目的特定與限期儲存原則。個人信息的收集目的在收集前就應明確，并在其后的使用僅限于實現這些目的。對于能夠識別信息主體的個人信息，其保存應當不長于為了實現個人信息處理目的所必要的期限。

第二，公開原則。參照歐盟《條例》的透明性原則和美國“公平信息實踐法則”中的告知與有權知曉內容，應當設立便于確定個人信息的存在和屬性、使用目的及信息管理者身份等內容的公開性原則。對此，政府可以建設公益性質的公證機構、設立相關網站或創建同步APP，信息管理者登記相關信息，以供信息主體可隨時查詢，全網由政府個人信息保護部門全權掌控，也可以委托相應公司進行及時管理、更新與維護。

第三，個人參與原則。信息主體享有個人信息權的多項權能，分別為信息知悉與更正權、信息決定與反對權、信息攜帶權、信息刪除權、收益權。這是將歐盟《條例》與美國“公平信息實踐原則”合理結合后適用于我國的給予信息主體多項權利原則，也是保障公民個人信息權的關鍵。

第四，安全保護與誠信保密原則。個人信息的處理應當通過合理的技術或組織手段，保障公民個人信息的安全。雙方秉持誠實、恪守承諾，尤其是信息管理者，應當對所控制的公民信息實行嚴格的保密機制，不得泄露，否則將對泄露之后的損害后果承擔相應責任，并交納泄露信息的處罰金。

（二）確立信息主體的權利與義務

信息主體在《個人信息保護法》中應確立如下權利：

第一，信息知悉權與更正權。信息主體有權通過公共查詢服務知道其個人信息被收集與利用的情況。[8]此項權利能夠保證商業“透明化”，達到望眼欲穿的效果，極大程度的保證信息主體的個人信息安全，深刻落實個人信息保護法的公開原則。再次，信息主體有權在信息管理者提供的更正錯誤信息的程序中對不準確、不全面的自我信息進行完善，保證信息的合理性。

第二，信息決定權與反對權。信息主體在涉及較為私密的信息時可以自主確定信息管理者收集、利用的權限和范圍，以及信息主體有權在任何時候拒絕被收集、利用信息，法律有特殊規定的除外。這深刻體現了信息主體的支配權即個人信息權的財產權屬性，其中借鑒了美國“公平信息實踐原則”的內容，將信息決定權與拒絕權賦予公民。

第三，信息攜帶權。參照歐盟《條例》，信息主體有從現有的控制器管理范圍內的個人信息部分或全部傳輸到另一個控制器的權利，程序簡單且不需支付操作費用。在競爭法的角度思考，大數據技術的逐步提升和廣泛使用使得占數據優勢的經營者越來越強，導致獨寡占市場結構的加速形成，一旦平臺經營者的數據壟斷地位形成，其很可能妨礙信息主體在同等條件下選擇更優質的隱私安全服務權利的實現。[9]所以信息攜帶權將有效保障信息主體的自由選擇權，選擇更安全的個人信息保護服務。

第四，信息刪除權。目的在于使信息主體的相關信息在一定時間后不可搜索，在特定領域中對信息主體過往的負面信息進行披露與使用的限制。信息主體選擇限期儲存，在期限內信息管理者可以控制與利用信息，期限屆滿時個人信息將被自動清除，然而時間的不確定性到現在對于信息主體和信息管理者仍然皆是未知謎題，需要研究者們更進一步探討；信息主體也可在提出一定理由后向信息管理者主張刪除特定信息，但這是否會影響企業的大數據發展仍待驗證，建議信息主體采用事前、事后相結合的方式。勞動、消費者以及預防犯罪等領域應該聯合限制負面信息的披露，個人信息公開的文化與網絡無法遺忘之間的矛盾強烈要求確立信息刪除權，將“被遺忘權”進行本土化法律適用。

第五，收益權，指信息主體要求管理者支付相應對價的權利。此處所謂的對價，并非一定表現為金錢，還可以表現為獲得服務、獲得具有金錢價值的物等。[10]因為個人信息已經由人格權逐漸商業化，基于個人信息權的財產權屬性，信息管理者應當支付對價。

權利與義務普遍存在對應性與制約性，信息主體最應履行的義務就是配合大數據時代發展的需要，提供準確的個人信息并及時更新。這個時代的數據資源可謂“黃金”資源，與國家的經濟發展有著密切聯系，公民應該在注重自我個人信息安全的同時，理解社會前進的方向，盡力滿足實現公共利益的需要。

（三）確立信息管理者的權利與義務

國家將大數據產業作為新經濟，企業將大數據作為重要的商業資源。信息管理者作為利用大數據推進社會發展的助力器，享有一定的權利。其一，信息管理者可以合法收集、處理和利用個人信息；其二，信息管理者有權要求用戶為獲取相應服務而支付數據對價，例如當用戶注冊使用互聯網應用時需要同意《使用條款和隱私政策條款》，其中就包括應用開發商可以收集使用相關用戶的隱私數據，此種授權可以視為用戶獲取免費服務所提供的對價。

在個人信息收集處理的過程中，信息主體始終處于弱勢地位，信息管理者處于控制地位。為恢復雙方地位之間的平衡，應當突出強調信息管理者的義務及對信息主體的責任。信息管理者的義務應當包括[11]：1）預先告知義務；2）向信息主體公開義務；3）尊重信息主體自主決定權和反對權的義務；4）收集、利用信息時支付信息主體相應對價的義務；5）方便信息主體參與管理個人信息的義務；6）保障個人信息安全的義務。

（四）完善個人信息保護的監管及救濟制度

個人信息保護的監管機制應分為兩個層面，一個層面為國家公權力監管，另一層面為企業監管。大數據時代的信息多具有商業價值，往往很容易在管理過程中造成信息泄露和侵害，所以僅靠企業自律性并不能監管方方面面的環節，國家應該設立統一的監管機關——個人信息保護委員會。此委員會主要設立嚴格的監管制度來監督《個人信息保護法》以及其他關于個人信息的使用和處理的法規執行，定期審查企業的信息處理工作，保證市場有序的進行。個人信息保護委員會不僅要進行事前、事中的嚴格監管，還應當加大事后的處罰力度。設置不同等級額度的處罰金，建立違法行為“公示”制度，將違法企業列入“黑名單”等方式都可以有效遏制侵犯公民個人信息權的行為發生。[12]個人信息保護企業中應當設置個人信息監管部門，其職責為：對信息登記核實、對信息主體公開數據、維護查詢系統、監督數據處理活動等，并且與國家個人信息保護委員會進行對接，形成一個完整的體系網來保護信息主體的利益不受損害。

信息主體遭到侵害后有權獲得司法救濟，若信息管理者的加害行為給信息主體造成財產損失或嚴重的精神損害，管理者將承擔賠償責任并接受國家監管部門處罰。解決私法糾紛包括正式的訴訟機制和其他非訴訟機制，以實際獲得或享受權利救濟，信息主體和信息管理者發生個人信息保護權益爭議的，可以通過下列途徑解決：1）與企業個人信息監管部門協商和解；2）向國家個人信息保護委員會投訴；3）提請仲裁機構仲裁；4）向人民法院提起訴訟。

四、結語

由于全球大數據技術的成熟與資源的增長，利用數據信息很大可能使得公民個人信息受到侵害，然而我國并沒有可以依據的實效性法律依據，所以需出臺《個人信息保護法》對個人信息安全加以規范。透過對歐美個人信息保護機制的分析可以發現，歐盟《一般數據保護條例》采取了逐步確立個人信息權保護機制而美國則采取行業自律模式和隱私制度進行規制。我國需要一部適應我國國情的本土化個人信息保護法，從保護原則、信息主體的權利與義務、信息管理者的權利與義務和監管與救濟模式進行分析，其中重點強調了信息主體的權利。故此，借助這些立法指南的描述不僅能夠幫助立法者樹立大體方向，更重要的是喚起對個人信息保護重要性的認識。