大數據時代個人信息保護問題研究

杜祥

摘要：以信息主體控制權為核心的保護架構面臨個人信息保護范圍不確定、權利異化以及個人信息保護原則無法發揮作用的缺陷，目前我國大戶據個人信息保護表現為立法保護滯后、刑法保護被動和民事司法救濟無力。大數據時代，個人信息的利用面臨數據人格塑造和現代權力控制的新挑戰，必須從多元、動態的角度做好大數據時代個人信息法律保護的整體制度建構。

關鍵詞：大數據時代;公益訴訟;個人信息法律保護

一、大數據時代個人信息保護現狀

最早的立法是2000年的《關于維護互聯網安全的決定》，規定禁止非法截獲、篡改、刪除他人電子郵件或者其他數據資料。中國人民銀行2005年制定《個人信用信息基礎數據庫管理暫行辦法》是首部行業領域的個人信息保護立法。2012年制定通過《關于加強網絡信息保護的決定》，明確國家保護公民個人身份和涉及公民個人隱私的電子信息。2017年實施的《網絡安全法》首次對個人信息進行界定。2020年制定的《民法典》對隱私和個人信息保護做出專章規定，2020年《個人信息保護法（草案）》規定個人信息處理規則、信息主體權利義務和法律責任等條款。總的來說，我國法律對個人信息的保護框架已經初步建成，隨之《個人信息保護法（草案）》審議通過實施，個人信息保護將正式進入法治軌道。

二、個人信息保護制度存在的問題

1.立法分散，缺少綱領性法律

立法分散是目前個人信息保護的一大困境，我國通過法律法規、部門規章、司法解釋等規范性文件對個人信息加以規定，從人格權、隱私權等各個角度，對侵犯公民信息行為作出詳細規定。《刑法修正案（九）》設立侵犯公民個人信息罪，《民法典》人格權編采用專章的方式對個人信息與隱私權予以保護。《快遞暫行條例》和《電信和互聯網用戶個人信息保護規定》等都規定公民個人信息保護的相關條款。但是這些對個人信息保護的規定十分分散，沒有統一的標準，缺乏系統性、嚴謹性和邏輯性，缺乏綱領性的個人信息保護法。

2.監管部門缺少聯動性

目前對個人信息的監管沒有統一的監管機構，監管的權力過于分散，沒有集中在某個機構行使，導致出現侵權案件時，會出現推諉扯皮的現象。由于處在大數據時代，各行各業之間信息交流越來越頻繁，數據流通和信息泄露往往不僅出現在某個領域，而是牽扯到多個領域。這就需要多個部門協同監管，或者由某個部門集中監管，這樣有利于高效運行監管體系，也可以避免權力沖突和一人不管、大家都管的局面。

3.搜集使用個人信息主體和原則不明確

生活中需要收集并使用個人信息的情形并不少見，政府部門、學校、銀行、電信部門、郵遞企業和互聯網軟件等組織機構均是密切接觸個人信息的主體，但是哪些主體有權搜集使用，哪些主體沒有權利，法律都沒有明確規定，被搜集使用者也沒有查詢途徑。同樣各行各業在搜集使用過程中遵循的原則和標準是什么，是否滿足最小化要求和最小比例原則，這些主體在什么情況下搜集的范圍和用途等都沒有公示。

三、個人信息保護制度的完善建議

1.構建個人信息公益訴訟制度

確定訴訟主體。從公益訴訟的目的和性質看，似乎不應該施加過嚴格的限制，根據規定，在民事訴訟法的規定中有權提起公益訴訟的主體除了人民檢察院，還包括法律規定的其他機關和有關組織。所以可以擴大有權提起公益訴訟的主體，比如行業自律組織和符合一定條件的個人信息民間公益組織保護協會等，都可以考慮賦予其提起公益訴訟的權利。

舉證責任倒置。侵權責任法規定侵害消費者合法權益和環境公益訴訟適用舉證責任倒置，對比侵害個人信息的行為，發現他們都具有受侵害的主體范圍廣和影響面大等共同特點。同時由于信息數據網絡傳播速度和易獲取等原因，導致信息侵權具有廣泛性、持續性和取證難的特點，所以舉證責任倒置制度也可以用于個人信息侵權。當然，舉證責任倒置不是說不用負擔任何舉證義務，提起訴訟的主體應當首先證明侵權與損害結果之間存在因果聯系。

2.完善個人信息保護行業自律制度

采取行業自律的方式，由行業協會組織根據社會發展要求和個人信息保護的規則，兼顧行業特點，制定行業信息保護規范。參照美國隱私保護行業自律模式，行業自律組織制定出臺完善的個人信息保護原則、規則、標準和自律監管公約，建立健全成員企業準入門檻、年審機制和獎罰機制，要求行業內各組織機構嚴格遵守自律公約。促進行業龍頭企業注重個人信息的保護，形成社會引導和示范效應，促進信息保護技術提高，依托行業自律聯盟，開展行業自律動態監測，實施個人信息保護發展水平評估，定期發布行業個人信息評估報告，接受政府部門和社會監督。

3.《個人信息保護法（草案）》的完善建議

完善個人信息的定義。《民法典》規定個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，《網絡安全法》規定個人信息是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，二者都列舉自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。對比可知，《草案》對個人信息的規定較為模糊且不夠細致，建議《草案》采用《民法典》或者《網絡安全保護法》“個人信息”定義的表述。

完善知情同意原則。《草案》規定個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理，可以看出《草案》將知情同意原則確立為個人信息處理規則的核心，但是該條規定的決定權沒有進一步闡述，可以借鑒德國信息自決權的構建，進一步完善決定權的內容，如詳細規定個人信息主體決定其在什么時間、什么地點，哪些信息可以被收集和利用，以及事后被使用信息的處理方式等。

參考文獻

[1]個人信息保護的法律定位[J].周漢華.法商研究.2020（03）

[2]大數據背景下的個人信息法律保護研究綜述[J].朱悅.圖書館論壇.2020（07）

[3]基于利益平衡視角的個人信息法律保護探析[J].范小華，周琳.行政管理改革. 2020（03）

[4]數據治理法律路徑的反思與轉進[J].金耀.法律科學（西北政法大學學報）.2020（02）

[5]數據時代個人信息保護的路徑重構[J]. 范為.環球法律評論.2016（05）

（華北理工大學?河北?唐山?063200）