論大數據時代下個人信息的民法保護

北京聯合大學 康馨月

一、大數據時代下，我國對個人信息的立法保護現狀

（一）我國個人信息保護的民事立法現狀

數據平臺迅猛發展的同時也為個人信息保護帶來挑戰。憑借互聯網和海量數據的職稱撐，數據平臺、應用軟件等為工作和生活帶來便利的同時也暴露了個人信息易泄漏或非法利用等嚴峻問題。在民事立法未確立個人信息保護前，是借以個人隱私和名譽榮譽的保護來對其進行保障，如在民法通則時代依托對公民姓名權、肖像權或是名譽權等對涉及個人信息的部分予以保護，但其保護力度不夠、范圍過窄的問題難以解決。因此，立足于我國的現實國情，并輔以域外個人信息保護的借鑒，我國于2017年頒布施行的《民法總則》首次將自然人的個人信息在民事立法層面予以明確；于第111條確立的個人信息保護的基本規則，采用立法的方式增加了我國對個人信息的保護力度和范圍。雖然僅做了粗略籠統的規定，但突出了個人信息民法保護的重要地位。而后獨立成編的人格權也對個人信息保護做出相應規定，其中，第1034條明確個人信息的概念范疇；第1035條規定個人信息處理的基本原則和條件；以及第1036條、第1037條和第1038條分別對免責事由、信息主體的權利以及信息處理者的義務作出規定；第1039條則明確了國家機關應承擔的行政監管職能和保密義務。對個人信息權益保護作出較為全面的規定，并對實踐中暴露的個人信息泄漏、濫用等問題進行了回應。此外，《民法典侵權責任編》中網絡侵權責任和醫療損害責任也有關于個人信息保護的相應規定。為個人信息權益的保護在民事立法領域構建了相應規范體系，更好地保障了公民的個人信息權益。

（二）我國個人信息保護的其他立法現狀

首先，我國于2012年12月28日頒布實施了《全國人民代表大會常務委員會關于加強網絡信息保護的決定》，拉開了我國對個人信息保護的序幕，該決定主要針對網絡服務提供者對公民個人信息保護的義務。此后，我國對個人信息權益的保護一直在完善，于2013年修改后的《消費者權益保護法》加強了對消費者個人信息的保護，規定經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供；確保消費者在購物中的個人信息安全，促進市場經濟良性發展。2019年1月1日《電子商務法》也強調了有關主管部門應對電商經營者們提供的個人信息履行保密職責。備受矚目的《數據安全法》于2021年9月1日施行的，明確了數據主管部門的職責和保障義務。

其次，個人信息權益的保障刑事立法領域也存在相應規定。現行《刑法》中第253條對侵犯公民個人信息罪進行了相關的規定，明確指出對于違法情節嚴重者需要對違法者加以處罰，對于履職過程中侵害個人信息行為嚴重的工作人員從重處罰，并對單位犯罪的處罰方式也進行了相應的規定。

最后，于2021年8月，全國人民代表大會常務委員會表決通過的《中華人民共和國個人信息保護法》于2021年11月1日起正式施行。該法的出臺是在借鑒了其他法律中相應的規定，并以《民法典》中個人權益保護為基礎和依據，是我國第一部法律層面的個人信息保護的專項立法。其對公民在處理個人信息活動中的權利、個人信息處理者的義務等諸多方面作出了全面規定，為開展我國個人信息保護和監督管理工作提供了堅實有力的法律保障。

大數據時代，個人信息保護的重要性顯而易見，我國立法領域通過不斷完善發展構建個人信息保護的規范體系，使人們在大數據帶來便利享受的同時也能避免自己暴露于互聯網的窺探下。

二、大數據時代下，個人信息權益保護的重要性

（一）有助于保護公民的人身和財產安全

大數據技術的廣泛應用和發展使人們的生活與網絡數據密不可分，同時也打破了傳統的消費模式。各色行業大量的應用軟件或平臺等都是借助大數據中的海量信息分析預測受眾群體的喜好，以此改進自己的產品及服務，更精準把握信息市場的需求并更精準地投放產品。

這既凸顯個人信息的獨特價值，也使信息主體的個人信息權益陷入風險中。個人信息迅速化流通給信息主體的人身和財產安全帶來巨大沖擊，導致個人生活軌跡被動透明化。如網購熱潮下諸多購物平臺均利用數據分析測算精準地推送符合個人喜好的產品，使眾多消費者有被“監聽監視”的感覺；又如航空公司、銀行等需要收集客戶信息的行業，其信息泄漏事件的頻發使公民對個人隱私和財產安全陷入了擔憂?！靶煊裼癜浮钡谋瘎【褪怯捎趥€人信息泄漏導致的。因此，個人信息的諸多價值需要立法予以確認和保護，并通過救濟途徑來維護公民人身和財產安全。對個人信息權益予以立法保護不僅能維持穩定的社會公共秩序，更重要的是能保障公民的合法權益。

（二）有助于抑制個人信息泄露

當今社會中，電話詐騙、網絡平臺詐騙現象高發，究其背后原因大多是由于個人信息泄漏導致，所以個人信息保護保護問題亟待解決。例如，申某因在某購票平臺幫朋友購票，后被冒充航空公司發送的取消航班短信通知等一系列要求而被騙12萬余元。個人信息泄漏導致的社會問題使人們對個人信息的安全越來越重視。但由于對個人信息非法收集、處理、使用等侵權手段越來越多樣化，一些公司或企業充分借助先進科技和數據應用，將公眾的個人信息通過非法渠道進行買賣、交換，導致個人信息的泄露情況不斷惡化，給信息主體合法權益造成無法估量的后果，使得個人信息安全無法獲得有效保障，也使受害者們陷入一定程度上的恐慌。因此，一方面需對公民個人信息提供全面法律保障，完善個人信息法律保護體系；另一方面要強化公眾對個人信息保護的安全意識，有效遏制個人信息的泄露，更有力地防范伴隨互聯網信息的發展所充斥的信息安全隱患。

（三）有助于打擊個人信息犯罪

隨著信息數量的激增和應用技術的迅猛發展，有些人獲取個體更重要、更敏感信息的方式變得越來越容易。受到經濟利益和商業價值驅使，一組人利用黑客技術非法盜取個人信息導致犯罪。在我國刑法方面，受罪刑法定原則的約束和刑法發揮的補充性的功能，只有當某主體的行為嚴重侵害了公民的個人信息并觸犯刑法時，刑法才會發揮作用，而傳統的刑法保護范圍有限，一般侵害行為無法受到刑罰處罰。行政法領域內，由于行政機關的執法主動性、程序復雜性、涉及的行政主體的范圍受限，使得侵權問題很難獲得及時的制止和救濟。因此通過民法加以保護上更為適宜，民法針對的是平等主體之間的人身和財產利益的調整，而個人信息權益的保護具備人身和財產的雙重屬性，以民事立法保障是符合時宜的。在個人信息民法保護范圍之內，應拓寬調解、協商等多元的糾紛解決方式，提高解決糾紛的效率，降低維權成本，彌補受害方的損失，遏制由于個人信息泄漏引起的侵犯公民個人信息的犯罪行為。

三、大數據時代下，個人信息保護存在的問題

（一）個人信息傳統“告知同意”保護模式的失效

大數據時代下，公民信息的大量流動和迅速傳播，使利用數據技術收集個人信息的主體范圍擴大，如若不法分子利用系統漏洞或是職務便利非法收集使用公民的個人信息，我國公民的個人信息權益將會遭受難以彌補的損失。因此在互聯網發展的背景下，依托傳統的“告知即同意”規則的保護無法滿足現代化進程下個人信息保護的需要。如果無法對“告知即同意”的范圍加以明確，可能會造成因條款涉及的過分詳細而牽扯挖掘個人信息的情形；又或是過于籠統無法實現對個人信息權益保護的情形。例如，大多數網站在注冊使用前都會有“隱私協議、隱私聲明”等表述，但無論是哪種表述其條款內容總是過于繁雜而不易被用戶所理解，其設置也是為了能夠滿足行業標準的規定，實際可操作性不強。

其次，網絡經營商承擔的義務和消費者的知情權權利不對等。根據告知即同意的規則，使用者應是在清楚知曉內容的情況下自愿對隱私條款做出合法有效的同意。但就目前情況來看，盡管網絡運營者自覺履行了告知義務，但對使用者知情權的說明卻十分匱乏，使用者的合法權益是否已經獲得保障并不是運營者考慮的范圍。因此應明確其履行告知義務并非免除其對個人信息保護的責任。最后，在信息數據時代下，用戶獲得更優質的服務和更好性能的產品，是建立在同意網絡經營商規定的隱私保護協議之上的。更有甚者表明如若用戶不同意協議則無法繼續享有或使用相應的服務，這些情形均使得告知及同意條款無法發揮對個人信息權益保護的作用。

（二）個人信息的侵權歸責原則不合理

數據時代下，個人信息的泄漏使得侵害個人信息的案件頻發，但在司法實踐中，個人信息主體被侵權后，卻往往由于維權費用較多、難度較大，而不愿拿起“法律武器”或者不相信使用“法律武器”能有效地保障自己的合法權益。

因此，盡管我國不斷完善建立對于個人信息保護的規范體系，但是在侵權行為發生時卻無法利用法律途徑維護自己的合法權益?，F行《民法典侵權責任編》并沒有對于個人信息保護做特殊規定，對公民個人信息權益的侵權糾紛適用一般侵權責任的規定，即過錯責任歸責原則。過錯責任原則下，被侵害的信息主體承擔了主要的舉證證明責任。但由于應用軟件、數據平臺等對個人信息的收集、處理和使用呈現出隱蔽化趨勢，侵權手段、地點以及侵權主體的模糊性使被侵權人無法及時察覺合法權益受到侵害。被侵害方只能在侵害結果產生后才能主張司法救濟。而事后救濟又受限于舉證責任的分配，能被侵權人證明對方嚴重侵害自己的合法權益造成很大的困難，同時相關證據更是無法獲得，從而增加了司法救助的成本。

（三）個人信息保護的監管力度不夠

《民法典》以及其他法律法規并未對個人信息保護的監管機構作出明確規定。對于個人信息權益保護的監管機構的職責規定分散在各個法律法規中。例如，《消費者權益保護法》規定了國家市場監督管理部門與相關行政部門有權懲治對消費者個人信息的侵犯行為，同時第56條又增加了補充性條款，即其他法律法規有相關懲處規定的由其他法律法規所規定的部門對其進行監管，這表明不同行業應當要求該行業的監管部門落實對其行業內消費者個人信息保護工作，如《郵政法》第76條、《網絡安全法》第64條的規定。

然而在司法實踐中，由于對個人信息權益侵害的隱蔽性和侵害手段的專業性，使得監管部門無法及時發現侵犯個人信息權益的行為，對違法行為不能及時懲治。近年來，我國立法領域不斷側重完善對個人信息的保護，而忽視了對個人信息收集行業的監管力度，主要是強調事后的救濟，忽視了事前的監管，導致行業買賣個人信息亂象叢生、個人信息泄漏問題嚴峻。所以要進一步強化對個人信息保護的監管力度，從根本上杜絕個人信息泄漏的問題。

四、大數據時代下，對個人信息權益保護的完善建議

（一）完善“告知同意”規則

告知同意規則是個人信息法律保障體系的核心之一，是處理者實施個人信息處理行為所必須遵循的準則，是保障信息處理合法性的必要前提。首先，要確保信息主體所表達的同意是建立在處理者合理有效的告知，并對信息處理的場景等條件清楚明了的基礎之上。對于同意的判斷標準也不是一成不變的，應根據個人信息的內容，對信息處理的場景等進行動態的調整。在具體實踐中，還可以采用目的限制原則，除法律明確列出的特殊情況之外，凡與處理者事先告知的處理目的存在沖突的行為均可視為侵權。如果確有必要實施與實現告知目的不符的處理行為，則需處理者向信息主體重新進行告知，待信息主體表示同意后方可實施。其次，賦予信息主體及處理者對其主張的撤銷權。即當實踐情況發生變動時，信息主體有權撤銷同意，并通知處理者即時終止信息處理，并對其所提供的信息進行銷毀，而信息處理者也有權撤銷其告知，但如果已經進行信息處理，則無法對告知進行單方面的撤銷，以此來避免告知同意規則的保護功能“失效”。

（二）健全個人信息侵權歸責原則的認定

司法實踐中個人信息侵權糾紛舉證責任的難度較大，使個人信息權益侵害無法獲得有效救濟。因此，在舉證責任分配方面可以確立舉證責任倒置的規定。當信息主體同意經營處理者加工使用自身信息時，其對個人信息的控制權消散，對個人信息的事前保護失效。大數據時代，個人信息的侵權主體大多為信息收集企業抑或是數據應用平臺，受害方受到專業技術和成本的制約，很難界定侵權主體，更不要說承擔繁重的舉證證明責任。因此可以嘗試確立舉證責任倒置的制度防止受害方承擔較重的舉證證明責任。受害方僅需要證明自身權益依然遭受嚴重損害，而由侵權方承擔證明損害不是由其導致的責任，以此來降低受害方的舉證難度，同時節約維權成本。

（三）強化對個人信息保護的監管

《民法典》對個人信息權益保護的監管并未提及，而在《個人信息保護法》中對于承擔個人信息保護職責的監管機構做了更詳細的規定。信息爆炸的社會背景下，對個人信息權益的保護不能僅依靠私法領域，而是嘗試構建公法和私法的相結合的雙重保護體系?！睹穹ǖ洹窞榇淼乃椒I域和《個人信息保護法》代表的公法領域相結合，更能對個人信息權益保駕護航。在《個人信息保護法》中，監管機構和職責的規定為個人信息保護的監管提供了法律依據。明確個人信息保護的監管部門是實施監管職能的前提。發揮公法領域監管機構對個人信息保護的執法監管，可以通過設立對侵權主體的懲罰性賠償機制，加大懲罰力度。事前的監管監督與事后的嚴厲懲戒相結合，能保障個人信息權益。

五、結語

大數據時代下，個人信息糾紛在民事訴訟中的比重不斷上升。而相繼出臺的《民法典》和《個人信息保護法》為個人信息保護提供了堅實的法律支撐。隨著科技智能的蓬勃發展和數據應用技術的進步，個人信息權益的保護仍面臨挑戰，發揮私法的調整保護作用的同時，強化公法領域對個人信息權益的保護，使我國公民享受互聯網和數據應用帶來便利的同時個人信息安全也能得到有效保障。