淺析大數據背景下的個人信息保護

李連同

摘要：大數據的廣泛應用使得個人信息和數據泄露風險愈加凸顯，擅自使用或者濫用公民個人信息的狀況時有發生，論文介紹了大數據時代下個人信息安全保護現狀，探討通過明確個人信息范圍及權利屬性，明晰個人信息侵權的歸責原則，完善損害賠償制度等路徑完善個人信息保護制度。

關鍵詞：個人信息;立法保護;歸責原則;損害賠償

一、引言

根據中國互聯網絡信息中心發布報告顯示，截至2019 年6 月，我國上網人數已經達到8.54 億人， 99.1% 的網民用戶使用手機上網，用戶在網絡上形成了大量涵蓋個人基本信息、支付記錄、信用信息、快遞信息的數據。數據的共享存儲給人們生活、學習、交際帶來了極大便利的同時，但由于個人信息立法不夠完善，個人信息保護意識薄弱，行業自律監管有效性較低，也給個人信息的安全及合法合規利用帶來嚴峻的挑戰。

二、我國個人信息權法律保護現狀及問題

當前，我國有部分法律法規和部門規章對個人信息安全做了規定，但零散分布在多個法案之中。2015 年11 月施行的《刑法修正案（九）》第十七條中提出了侵犯公民個人信息罪，對情節嚴重的違法行為定罪量刑。2017 年6 月施行的《網絡安全法》規定了“網絡運營者對用戶信息嚴格保密，建立健全用戶信息保護制度”。我國，個人信息保護立法一直處在分散立法的狀態。《民法典》第一百一十一條、第一百二十七條及第四編第六章（ 第一千零三十二至一千零三十九條） 的系列規定，在強化對公民隱私權和個人信息保護的同時，也對數據權屬及與數據相關行為作出了一定規定，呼應了互聯網時代的發展要求，也為我國數字經濟的發展起到了規范和引領作用，這是立法領域的一大進步。但個人信息保護立法目前仍顯散亂。其他諸如消費者權益保護法、國家情報法、測繪法、公共圖書館法等法律法規對個人信息保護、個人信息不得隨意泄露也有描述，但沒有一套系統的法律作出明確規定。司法實踐中，個人信息主體通常只有在其個人信息遭到泄露、被不當使用后，才會發現其權利已經遭受侵犯。同時由于現有法律規范的不完善，很難有效地解決法律實踐中的諸多問題。

三、個人信息權保護完善

1.明確個人信息范圍及權利屬性

雖然《民法典》確認了公民的個人信息受法律保護，但民法規定的個人信息范圍是有限的，主要針對持有個人敏感信息的部門的信息處理行為，且法律調整的是收集個人信息的內容和手段，對信息主體是否有權在收集活動結束后進行確認或變更的規定較少，尚未形成對個人信息的全面法律保護。建議形成公民個人信息分級制度，對公民的信息進行分類，適用不同的保護尺度，對于公民生活影響較小的信息，可采用合法的方式進行綜合分析，對于私密性極高的公民信息，法律應當給予嚴密的保護。對權利屬性也沒有作出界定。實踐中，網絡服務提供者具有強烈的收集、分析用戶各類信息的利益訴求，以便通過經營活動獲取經濟利益。在大數據時代，網絡用戶的個人信息在具備人格屬性的同時兼具財產屬性，如同可以被估價的無形資產，關于確認個人信息財產屬性的制度設計可以借鑒國外的相關立法，即在人格權的基礎上確認信息主體對個人信息的使用、控制、收益等權利。同時，增強信息主體對其個人信息經濟價值的認知和意識，不僅有助于對信息保護的事后救濟，也有助于主體的行動自覺，進而不斷改進其與企業或信息處理者的行為關系模式。

2.明確個人信息侵權的歸責原則

由于目前沒有相關法律對于個人信息侵權的歸責原則進行規定，導致司法實踐中法官在處理個人信息侵權案件的舉證責任問題時，通常將個人信息侵權案件籠統地按照一般侵權責任糾紛的思路進行審理，舉證責任的一般原則是“誰主張，誰舉證”，即要求原告承擔侵權責任全部構成要件的證明責任。但是，侵犯個人信息的方式很多，在個人信息侵權的情況中，侵權者往往是組織或機構，它們比信息主體具備更多的技術、人員和財務優勢，在收集、處理和利用個人信息或者訴訟過程中，雙方存在顯著的地位差異，因此過錯要件與因果關系對于原告而言證明難度無疑過大。從比較法的角度看，對于個人信息侵權所采取的歸責原則主要有以下幾種：第一種類型是采取過錯推定原則，如歐盟GDPR 中規定，數據控制者、處理者應就其不存在過錯承擔證明責任。第二種類型是混合歸責原則，例如在德國、冰島以及我國臺灣地區對于個人信息保護的相關立法中規定，對于包括黑客、網絡服務提供者、網絡用戶實施侵權行為應根據其過錯承擔責任，而政府機構和其他特殊主體通常要承擔無過錯責任。筆者認為我國網絡用戶個人信息的侵權歸責原則采用過錯推定原則更合適，由于網絡服務提供者收集用戶信息的技術手段通常具備隱蔽性，基于技術水平的不對等性，將過錯要件倒置由侵權方承擔更能夠體現實質正義。同時，確立過錯推定原則有利于強化網絡服務提供者的安全和責任意識，從而更好地保護網絡用戶的權益。

3.完善損害賠償機制

損害賠償屬于保護個人信息的救濟手段，也是公民實現其權利救濟的終極目標。損害賠償時可根據信息主體受到的損失數額進行賠償，但僅包括直接損失，對于間接損失的賠償則要根據個案進行分析。當難以確定信息主體具體損失數額時根據侵權人的獲利情況進行賠償。特別地，大數據、云計算等技術的應用不僅增加了信息流轉的速度和復雜性，而且使信息收集的手段變得更加隱蔽。在大數據背景下，信息控制者與信息處理者能從侵權行為中獲得巨大的財產利益，而基于信息的不對等情況，作為被侵害人的信息主體往往很難發現該侵權行為。同時，可以細分為精神損害賠償和財產損害賠償。多數國家和地區的法律規定，侵犯個人信息并造成精神損害后果的，自然人有權請求精神損失賠償。此外，對于牟利性惡意侵犯個人信息的情況，從有效遏制和預防角度出發，可以借鑒國外個人信息保護的規定，引入懲罰性賠償機制。

參考文獻：

[1]大數據背景下個人信息立法保護的多視角研究，劉雪婷，邵陽學院學報社會科學版，2020年第5期.

[2]大數據時代的個人信息保護研究，劉曉穎，天津中德應用技術大學學報，2020年第5期.

[3]淺議大數據背景下個人信息保護，王中軍 晁艷鋒，技術應用，2020年8月.