大數據時代個人信息的民法保護

郭媛媛

（天津文諾律師事務所，天津 300000）

一、個人信息理論分析

（一）個人信息的內涵

為了加強對個人信息的民法保護，《民法典》于第四編設置了“隱私權和個人信息保護”專章，并在第一千零三十四條明確了“個人信息”的概念。這是我國首次在基本法律中界定個人信息的內涵，為司法實踐個人信息法律保護工作提供了必要的立法指引，具有十分深遠的現實意義。從法條的表述方式來看，《民法典》第一千零三十四條采用了“概述+列舉+兜底”的立法模式。具體而言，首先，對個人信息一詞進行原則性解釋；其次，列舉實踐中最為常見的九類個人信息，明確這九類信息為個人信息的重要組成部分；最后，使用“等”這一兜底性措辭，為法官在具體案件中合理發揮自由裁量權提供適用空間，同時也可以最大限度地降低法律的滯后性，增加法律的靈活性，避免機械辦案。

（二）個人信息的特點

本文認為，個人信息的特點主要涉及以下幾個方面：

1.個人信息以自然人為主體

個人信息的主體應僅包括自然人，不涉及法人或其他組織。理由如下：一方面，《民法典》第一百一十一條指出，“自然人的個人信息受法律保護”。可見，《民法典》對個人信息主體的范圍進行了嚴格限制；另一方面，若法人或其他組織的信息被侵犯，則根據《民法典》第一百二十三條的規定，其有權以商業秘密被侵害為由進行維權，無需再從個人信息層面上予以雙重保護。

2.個人信息具有可識別性

從《民法典》第一千零三十四條的內容中不難發現，個人信息可以直接識別或間接識別特定自然人的身份。其中，直接識別是指相關信息能夠直接指向一個特定自然人；間接識別是指相關信息需要與其他信息結合起來才能識別出特定自然人。［1］例如，僅掌握一個自然人的姓名，往往無法鎖定具體的人，因為我國存在很多同名同姓的人，如張三。但若同時提供此人的工作單位、職業等信息，則可以很快識別出目標人物，如天津市某區人民法院書記員張三。

3.個人信息具有價值性

眾所周知，在商業領域，個人信息是一種具有較高經濟價值的資源。通過收集、篩選、分析、整理個人信息，能夠掌握不同消費群體的消費習慣和消費水平。經營者獲得這些信息后，可以及時、全面地了解市場狀況，鎖定目標群體，從而提高市場占有率及影響力，賺取巨額利潤。司法實踐中，一些不法分子通過收集、倒賣大量個人信息謀取不法利益，甚至在部分地區已經形成了“灰色產業鏈”，其影響十分惡劣。

（三）《民法典》視閾下個人信息的處理準則

根據《民法典》的相關規定，在處理個人信息時，信息處理者應嚴格遵循以下準則：

1.合法、正當、必要原則，不得過度處理

這是《民法典》第一千零三十五條對信息處理者提出的四項基本要求。進一步而言，“合法”是指在處理個人信息的過程中，應符合合法性原則，信息處理者實施的相關行為應遵守《民法典》以及其他法律性文件的規定；“正當”是指處理個人信息時應同時確保手段正當以及目的正當兩個方面，最大限度地增加信息處理活動的透明性，保障當事人的合法權益；“必要”是指個人信息的處理僅限于實現正當目的所必需之部分，其他部分應被排除在可處理的范疇之外。舉個例子，實踐中，用戶在使用手機App軟件之前，絕大多數App軟件會向用戶發送開通訪問通信錄權限的請求，然而，用戶的通信錄信息與很多App軟件所提供的服務并無關聯。可見，上述行為違反了處理個人信息的必要性原則，具有一定的違法性。“不得過度處理”在理論界也被稱為“最小夠用原則”，即只處理滿足個人信息主體授權同意的目的所需的最少個人信息類型和數量，并在處理相關信息之后及時做好刪除工作。［2］

2.告知同意規則

《民法典》第一千零三十五條第一款確立了告知同意規則，根據該規則，信息處理者在處理個人信息時，需要征得個人信息主體或其監護人同意。然而，在大數據時代，這種告知同意規則往往缺乏可行性。司法實踐中，信息處理者通常以向個人信息主體發送格式合同的方式履行告知義務，在設置格式合同時，合同的內容較難把握。若設置得過于抽象、簡單，則無法實現對個人信息的充分保護；若設置得過于詳細、具體，則會嚴重限制對個人信息價值的挖掘。另外，信息處理者設置的格式合同不可避免地存在一定的機械性和滯后性，告知條款通常只涉及已知的個人信息的基本用途，對于未知的、在未來才可能會產生的新用途，告知條款的內容在客觀上根本無法完全涵蓋。在這種情況下，若信息處理者在未來發現個人信息的新用途并以此開展信息收集工作，則需要針對這一新用途再次取得個人信息主體的同意，這無形中增加了大量的授權成本，不利于信息收集工作的順利開展。對此，有一些信息處理者在告知條款中表明一旦個人信息主體接受此條款，那么將視為其同意向信息處理者提供其個人信息中已知和未知用途。這種做法雖然有效控制了授權成本，但極易造成信息處理者濫用權利，甚至侵害信息主體個人信息的情形，使告知同意規則有名無實，無法達到預期的立法目的。

二、大數據時代個人信息民法保護的完善對策

為了進一步保障我國公民個人信息權，有必要在立法層面上完善我國個人信息保護法律制度，具體包括以下幾個方面：

（一）盡快出臺《個人信息保護法》

在全世界范圍內，絕大多數發達國家均制定了統一的個人信息保護法律，如德國、日本等。［3］本文建議，我國也應借鑒這些發達國家的立法經驗，盡快出臺《個人信息保護法》，從而對個人信息提供系統、全面的法律保護。在《個人信息保護法》的法律設置方面，在總則部分明確立法目的、保護個人信息應當遵循的基本原則、相關法律術語的概念等，在分則部分具體規定各主體應當履行的義務以及相應的法律責任，最大限度地增強法律的可行性和可操作性。同時，從整體角度分析，未成年人存在判斷能力差、模仿能力強等特點，一旦未成年人的個人信息被不法分子掌握，其人身安全和合法權益極有可能處于極大的風險之中。基于此，本文認為，《個人信息保護法》還應設置“未成年人個人信息保護”專章，從而對未成年人的個人信息予以特殊保護。

（二）建立多層次的合同法律保護規則

在開展個人信息處理工作的過程中，相比于信息處理者，個人信息主體處于劣勢地位，其合法權益極易遭到侵害。本文建議，可以由工商行政管理部門統一制定個人信息處理使用許可合同，在該合同中設置若干必備條款，如處理目的、信息處理者的身份、對個人信息主體可能造成的影響等，以頒布行政法規的方式要求信息處理者必須在該合同的基礎上設置格式合同，并需將格式合同的內容交由工商行政管理部門審查、備案。同時，監督管理部門應做好相應的監管工作，一旦發現信息處理者存在超出處理目的之外的個人信息處理行為，則依法對信息處理者處以行政處罰。另外，為了進一步規范相關行為，還應在《個人信息保護法》中規定，禁止信息處理者在未經過個人信息主體同意的情況下將相關信息轉讓給第三方，否則應承擔相應的民事、行政責任，若該行為具有嚴重社會危害性，還應承擔刑事責任，按《刑法》第二百五十三條之一的規定定罪量刑。［4］此外，即使信息處理者取得了個人信息主體的二次授權，以合法的途徑將相關信息轉讓給第三方，也應做好相應的匿名化處理。

三、結語

進入大數據時代后，互聯網絡發展迅猛，數據的處理變得十分容易、快捷。在這種情況下，自然人的個人信息極易遭到來自各方主體的不法侵害，導致其合法權益嚴重受損，帶來諸多消極影響。對此，有必要采取一系列科學的措施，在《民法典》的基礎上從立法層面進一步完善我國個人信息法律保護體系，以期充分保障我國公民的個人信息權，實現個人信息保護與利用之間的平衡，并有效推動我國數據產業的可持續發展。