個人信息保護路徑的探析

曾輝

摘要：隨著移動互聯(lián)網(wǎng)、云計算的不斷發(fā)展，大數(shù)據(jù)技術也愈發(fā)成熟。大數(shù)據(jù)時代的到來給人們帶來了許多便利，各行各業(yè)的人需要運用互聯(lián)網(wǎng)娛樂、消費、工作和交流。但同時也出現(xiàn)了電信詐騙，用戶畫像個性化營銷推薦，大數(shù)據(jù)殺熟，等一系列怪象。通過對國外相關優(yōu)秀制度的學習，同時結(jié)合我國的實際情況。分析目前個人信息保護過程中出現(xiàn)的問題，從完善立法保護、行政監(jiān)管和行業(yè)自律等角度進行探析，構(gòu)建個人信息的保護路徑。

關鍵詞：個人信息;立法保護;行政監(jiān)管

2016年8月16日下午山東省臨沂市的一位高考考生徐玉玉的電話接到了一個稱自己是教育部門助學工作的人員要給她2600元的助學金，要求徐玉玉往一個賬戶里先存9900元學費。這名考生按要求操作之后長時間沒有下文，一家人感覺不對就去報警了，在回來的路上徐玉玉暈倒了最終搶救無效身亡了。案件發(fā)生之后公安部門高度重視，在千里之外將這起電信詐騙案的嫌疑人鄭憲康和陳文輝抓獲。通過這個案件人們反思，嫌疑人是如何知道徐玉玉的姓名、電話、高考情況和其他個人信息的？我們每個人的信息數(shù)據(jù)應該由誰保護，怎樣保護？

個人信息概念的界定

張新寶教授認為：“個人信息這一概念是我們對一個人身份的認識，或者通過這些特征可以識別出這個人，通常表現(xiàn)為姓名、性別、出生年月、家庭住址、身份證、看病記錄、教育背景等能夠識別出自然人的信息?！?sup>[1]個人信息應該具有以下特征：（1）主體特定性。（2）內(nèi)容廣泛性。（3）包含人格權和財產(chǎn)權的相關內(nèi)容。（4）具有私人屬性與公共屬性。個人輸入完成后經(jīng)過企業(yè)后續(xù)加工和處理成為一種有特定目的特定用途公共屬性的數(shù)據(jù)資產(chǎn)。過于限制會影響企業(yè)的發(fā)展，過度放松個人的信息同樣得不到有效保護。

界定個人信息的概念邊界是個人信息保護的前提。在明確屬于個人信息的權利受到侵犯的時候，可以請求侵權主體承擔相應的侵權責任，構(gòu)成犯罪的可以追究刑事責任。同時相關的行政機關可以提前介入，進行行政干預。邊界清晰同時也是對企業(yè)使用個人基礎信息權利的一種保護。也避免打擊范圍過大而損害企業(yè)對數(shù)據(jù)正常使用的需求。

個人信息保護中存在的問題

個人信息的過度披露、非法采集與泄露

數(shù)據(jù)時代的來臨，讓人們的溝通變得更自由，生活交流方式也發(fā)生了變化。個人信息的獲渠道也越來越豐富。^[2]大數(shù)據(jù)殺熟就是常見一種不平等對待的操作，利用個人信息數(shù)據(jù)分析個人習慣喜好和生活水平，因人畫像，通過精準推送使得本來同樣的商品同樣的服務在不同的客戶端卻不同定價，如果不與其他人客戶端比較自己很難發(fā)現(xiàn)被區(qū)別對待，商家因此實現(xiàn)利益最大化，消費者在價格上遭遇了不平等對待。^[3]

《最高人民法院關于審理涉及計算機網(wǎng)絡著作權糾紛案件適用法律若干問題的解釋》在很早就確立了網(wǎng)絡信息服務者信息披露制度，但只有內(nèi)容并不完善只有寥寥幾句，從2017年頒布的《民法總則》到最新的《民法典人格編草案》立法機關通過完善相關法律來改善個人信息保護中存在的問題，從整體來說，由于缺乏系統(tǒng)的個人信息保護法，個人信息披露過度的現(xiàn)象依然存在。同時征信機構(gòu)掌握大量公民基本信息，一般的信貸公司因業(yè)務需要就能查到個人相關信息。^[4]

現(xiàn)有法律在保護個人信息上存在局限性

大數(shù)據(jù)區(qū)塊鏈云計算技術的不斷更新使得可操作門檻變低，個人信息數(shù)據(jù)被侵害也經(jīng)常發(fā)生，目前的立法狀況是在《刑法》《民法總則》《網(wǎng)絡安全法》等法律中初步形成一定的保障體系，但沒有《個人信息保護法》這樣的專門系統(tǒng)的法律，個人信息始終難以被完整保護?，F(xiàn)有的法律沒有明確個人信息權屬，法律的基本職能是界定權利義務關系，確定個人信息權利才能更好保護個人信息。

當前個人信息受到侵犯只能通過私力救濟。2015年的《刑法修正案（九）》，擴大了非法獲取公民個人信息罪的犯罪主體和個人信息侵權行為的范圍。司法救濟能為當事人提供保護，但存在效力效率低下的問題，作為守護公平正義的最后一道防線，通常只調(diào)整已經(jīng)發(fā)生了的侵權行為，無法對事先潛在的威脅預防，當事人通過訴訟的方式請求司法救濟還要面臨復雜的程序和花費大量的時間精力費用等訴訟成本。無法對惡意侵害事件作出快速反應和相關制裁。^[5]

（三）企業(yè)更注重商業(yè)價值而忽略對個人信息的保護

現(xiàn)有的一些單位如銀行業(yè)貸款保險等業(yè)務沒有統(tǒng)一的個人信息保護的法律規(guī)定。一些零散的規(guī)定也只是涉及保密內(nèi)容條款，對信息主體的數(shù)據(jù)權利的保護很少規(guī)定。網(wǎng)絡運營商對個人信息保護也不夠重視，大數(shù)據(jù)的發(fā)展使網(wǎng)絡運營商看到了新的商機，不同的企業(yè)和網(wǎng)站對個人信息的使用收集處理方式也不同，一般大型領軍企業(yè)會對個人信息加以保護，而有些小的網(wǎng)站為了利益會收集訪問者的個人信息甚至出售。

我國信息產(chǎn)業(yè)繁榮發(fā)展與之相關的行業(yè)自律機制還沒有形成。個人信息被過度的商業(yè)化利用，“徐玉玉案”就是信息泄露引發(fā)的惡性電信詐騙案件。類似的案件不斷出現(xiàn)，呼吁企業(yè)承擔責任的呼聲也越來越高。其原因還是企業(yè)天然追逐利益的屬性，只注重商業(yè)利用而不注重個人信息保護。

具體保護路徑的探析

（一）建立個人信息保護法

我國是以成文法為立法模式的大陸法系國家，在立法時要全面考慮全球技術發(fā)展的情況以及我國的國情，歐盟的立法對個人的信息保護具有強制性，可以有力的保障個人的權益，但也存在滯后性。美國的立法較為分散主要是依靠行業(yè)自律來保護個人信息數(shù)據(jù)，這樣不會制約經(jīng)濟和技術發(fā)展，但缺乏強有力的保障。日本是采取立法和行業(yè)自律相結(jié)合的折中方式結(jié)合了歐盟和美國的優(yōu)點。

我國的《個人信息保護法》至今仍未出臺，民法典第一千零三十四條至一千零三十九條對個人信息的概念和信息處理者的信息保障義務以及國家機關、承擔行政職能的法定機構(gòu)及其工作人員的保密義務等做出了規(guī)定。民法典于2021年1月1日起實施。當前保護個人信息最重要的還是2016年通過的《網(wǎng)絡安全法》。但是，該法的立法目的包括“ 保障網(wǎng)絡安全工作和國家主權安全、信息安全、保護社會的公共利益和人民以及社會組織在信息安全領域的合法權益，使得經(jīng)濟社會平穩(wěn)健康的發(fā)展”等多重目標（《網(wǎng)絡安全法》第1條）。^[6]

個人信息的權利屬性是爭論的焦點，大多數(shù)的觀點認為個人信息是一種具體的人格權，但現(xiàn)在更多的是被用來交易，這樣就有了財產(chǎn)權的屬性。^[7]“可識別性”是網(wǎng)絡安全法中對個人信息的界定的標準。但隨著互聯(lián)網(wǎng)公司的蓬勃發(fā)展這樣的“標準”也在被不斷的挑戰(zhàn)。典型案例是朱燁訴百度cookie侵權糾紛。這起案件中兩級法院爭論的焦點“上網(wǎng)軌跡”最終也并未給出明確的法律界定。這種碎片化的信息應該屬于個人范疇，在遭到侵害時應該被保護。^?[8]互聯(lián)網(wǎng)企業(yè)收集個人信息然后利用大數(shù)據(jù)分析出個人的興起愛好精準推送商業(yè)廣告這種侵權最為常見，在之后制定《個人信息保護法》的過程中應該擴大對個人信息的認定范圍。

（二）通過行業(yè)自律進行管理

《2017社交電商網(wǎng)絡白皮書》中顯示，我國在電子商務領域的發(fā)展已經(jīng)發(fā)生變化，由平臺建設，支付方式，物流送貨等基礎設施建設轉(zhuǎn)向消費升級更加注重高質(zhì)量?！拔⑸獭币沧兊帽戎叭菀捉邮?，互聯(lián)網(wǎng)與商業(yè)更加深入融合，這時我們就更需要行業(yè)自律。

構(gòu)建完善的行業(yè)自律體系需要從以下幾個方面展開。第一，相關的企業(yè)與企業(yè)之間相互溝通協(xié)調(diào)以形成行業(yè)內(nèi)的行為規(guī)范，相互督促共同成長。同時將行業(yè)規(guī)范與政府立法保持一致，例如《中國互聯(lián)網(wǎng)定向廣告用戶信息保護行業(yè)框架標準》是根據(jù)《消費者權益保護法》和《廣告法》制定的行業(yè)規(guī)范。^[9]第二，企業(yè)之間聯(lián)合形成一個認證組織，比如信息行業(yè)協(xié)會，通過行業(yè)協(xié)會制定個人信息保護的標準和行業(yè)規(guī)則來進行信息自律組織，自律審查。行業(yè)內(nèi)的企業(yè)通過認定獲得相應的標識，消費者用戶可以根據(jù)此認證來自行選擇，這樣可以更好地保護個人信息安全。第三，行業(yè)自律組織與政府對接，通過政府對自律組織資格的審核和監(jiān)管提升自律組織的公信力。第四，通過設置獎勵機制和懲罰措施來保障自律行業(yè)規(guī)范有效實施，對違犯行業(yè)規(guī)定的機構(gòu)可以采取警告、罰款、公示和黑名單等具體懲罰措施來約束相關機構(gòu)重視保護個人信息和行業(yè)自律。^[10]

（三）政府牽頭設立行政機構(gòu)、個人信息數(shù)據(jù)保護委員會

我國目前的現(xiàn)狀是相關法律分散，市場監(jiān)督管理部門在一般消費領域通過《消費者權益保護法》保護消費領域消費者的個人信息。在互聯(lián)網(wǎng)領域和電信領域由工業(yè)和信息化部、網(wǎng)絡安全部門和公安機關依據(jù)《網(wǎng)絡安全法》《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》等相關法律對個人信息進行保護。中國人民銀行在征信領域保護個人信息數(shù)據(jù)。國家郵政管理局負責管理快遞行業(yè)個人信息數(shù)據(jù)保護。

由于缺少統(tǒng)一的監(jiān)管機構(gòu)，在實踐中個人信息被侵犯的事情也經(jīng)常發(fā)生。如在醫(yī)療或者旅游領域雖然有《旅游法》《執(zhí)業(yè)醫(yī)師法》但由于缺少監(jiān)管主體，當發(fā)生侵權行為時也沒有相關的監(jiān)管機構(gòu)來執(zhí)行。^[11]這種分散的多部門監(jiān)管有時會出現(xiàn)盲區(qū)，當個人信息被侵犯時無人管理，同時也會出現(xiàn)重疊監(jiān)管的情況增加行政相對人的負擔。缺少頂層設計的相互獨立監(jiān)管，在監(jiān)管機關之間發(fā)生沖突也時有發(fā)生。^[12]

我們需要建立個人信息保護的全局性和頂層設計的機構(gòu)，個人信息數(shù)據(jù)保護委員會，排除其他個人和組織的妨害，保證其獨立性，完成保護個人信息安全的使命。這種獨立性不僅體現(xiàn)在業(yè)務上，還要在“人、財、物”等方面獨立，保證其執(zhí)法不受干擾。委員會應該直接是政府的組成部門，而不是隸屬哪個部門或直屬機構(gòu)。人員編制應該是公務員序列，不能從事其他生產(chǎn)經(jīng)營活動，使用國家財政預算。最大程度保證委員會履行法定的監(jiān)管職能。^[]

（四）加強公民個人信息保護的意識

公民是個人信息保護的直接利害關系人，必須提高自我信息的保護意識。在喪失主觀能動性的基礎上完全依靠外力的保護，是不可取的，就像懶人吃餅一樣。增強公民的個人信息保護意識可以從兩點進行。第一，政府主導宣傳具有先天優(yōu)勢，例如各地司法局開展法制宣傳教育時將個人信息保護內(nèi)容加入其中，還可以通過廣播電視公益廣告進行宣傳。第二，公民從個人層面提升信息保護意識，學習相關法律內(nèi)容和一些典型案例，公民也可以自發(fā)的拍攝小視頻，通過朋友圈等新媒體進行學習交流保護個人信息和防止隱私泄露。

互聯(lián)網(wǎng)和大數(shù)據(jù)的發(fā)展使得個人信息得到前所未有的應用，個人信息保護也成為我們關注的重點。行政監(jiān)管是高效可行的辦法，垂直的監(jiān)管設置與水平的權利義務關系都是保護個人信息重要的方式。

完善頂層設計，將原來的低層級分散式的執(zhí)法方式整合起來，在國家層面設立個人信息數(shù)據(jù)保護委員會，明確其監(jiān)管目標、職權范圍。同時企業(yè)要加強行業(yè)自律，積極承擔保護個人信息的責任，遵守相關法律規(guī)定和網(wǎng)絡秩序。作為公民也要提升個人信息保護意識和防止隱私泄露。從完善立法保護、加強行業(yè)自律和行政監(jiān)管等多維度進行個人信息保護路徑的構(gòu)建。

參考文獻

^{[1] 張新寶.從隱私到個人信息：利益再衡量的理論與制度安排[J].中國法學，2015（03）：38-59.}

^{[2] 張雅婷.互聯(lián)網(wǎng)背景下征信體系建設中的信息主體權益保護問題研究[J].征信，2016（02）：24-27.}

^{[3] 趙超.大數(shù)據(jù)“殺熟”的現(xiàn)實困境與規(guī)制策略[M].山東政法管理干部學院學報，2020：34}

^{[4] 田豐、夏遠航.我國征信市場信息披露制度的完善-基于金融行業(yè)監(jiān)管比較視角[J].征信，2019（03）：12-19}

^{[5] 張平.大數(shù)據(jù)時代個人信息保護的立法選擇[J].北京大學學報（哲學社會科學版），2017（03）：150.}

^{[6] 楊合慶.中華人民共和國網(wǎng)絡安全法釋義[J].中國法制出版社，2017：37-40.}

^{[7] 劉權、應亮亮.比例原則適用的跨學科與反思[J].財經(jīng)法學，2017（05）：42-43}

^{[8] 姜博朧.個人信息法律保護的路徑探析[J].沈陽干部學刊，2020：40-41}

^{[9] 姜盼盼.大數(shù)據(jù)時代個人信息保護的理論困境與保護路徑研究[J].現(xiàn)代情報，2019（06）：154}

^{[10] 鄧輝.我國個人信息保護行政監(jiān)管的立法選擇[J].交大法學，2020（02）：143-144}

^{[11] 陳甦.中國社會科學院民法典分則草案建議稿[J].法律出版社，2019：493}

^{[12] 周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[J].法律出版社，2006：83-84}