張嘉鑫

[摘要]大數(shù)據(jù)時代帶來了新的個人信息安全問題和挑戰(zhàn)。近年來各國不斷頒布完善相關法律法規(guī)，對公民個人信息的儲存、加工、流轉(zhuǎn)、應用進行規(guī)范。歐洲以基本人權(quán)為基礎和美國以隱私權(quán)為主保護個人信息安全的制度值得為我國個人信息保護制度構(gòu)建所借鑒。同時，需要考慮我國特有的制度、市場環(huán)境以及公民的觀念意識，將觀念引導、公權(quán)力介入與私法保護相結(jié)合，在效率與安全、企業(yè)利益與信息主體權(quán)益之間尋求平衡，方能有效保護和使用個人信息，從而促進大數(shù)據(jù)時代的社會進步和經(jīng)濟發(fā)展。

[關鍵詞]大數(shù)據(jù)；個人信息安全；隱私權(quán)；個人信息權(quán)利化；中美歐制度

[DOI]1013939/jcnkizgsc201912010

2011年5月，麥肯錫（McKinsey）公司發(fā)布了全球第一份從經(jīng)濟和商業(yè)角度研究大數(shù)據(jù)發(fā)展?jié)摿Φ膶ｎ}研究報告——《數(shù)據(jù)：創(chuàng)新、競爭和生產(chǎn)力的下一個前沿》，指出“數(shù)據(jù)滲透到每一個行業(yè)領域……海量數(shù)據(jù)的使用預示著新的生產(chǎn)力增長點和消費者剩余波的到來。”麥肯錫大數(shù)據(jù)：創(chuàng)新、競爭和生產(chǎn)力的下一個前沿領域[R].2011數(shù)字經(jīng)濟時代的信息挖掘技術也使得以前的非敏感數(shù)據(jù)變成敏感性數(shù)據(jù)，將原本無價值的信息變的有價值，當個人信息受到侵害時，可能造成的損失不可估量。由于個人信息的重要性和不斷加強的財產(chǎn)屬性，大數(shù)據(jù)交易平臺數(shù)量逐年增長，在巨大潛力的市場以及擁有雄厚資本的企業(yè)的支持下，不斷體系化和規(guī)?；?。

1我國大數(shù)據(jù)個人信息安全問題概述

11問題的提出

“法律保護隱私，因為當我們的隱私被非法地暴露在公眾面前時，我們的自尊被摧毀，我們與他人的關系被破壞?！盧uth Gavison， privacy and limitations of law， 89 Yale Law Journal 421471 （1980）.數(shù)據(jù)分析和挖掘以發(fā)現(xiàn)或推斷未知事實為目標，它不完全依賴于因果關系，且新發(fā)現(xiàn)的信息是非直觀和不可預知的，這使得整個過程變得非常不透明。From data mining to knowledge discovery， this paper summarizes six developments of knowledge discovery and data mining cited in U-M Fayed et （EDS）： Menlo Park： AAAI， 19%當某個主體在人們身上搜集數(shù)據(jù)，再描述測寫他們，就有了更多能夠加以利用的信息，就知道該如何細化樣本。然后在他們關心的事件上用他們更可能產(chǎn)生共鳴的語言、圖像給予信息，從而產(chǎn)生“用戶畫像”繼而引發(fā)個人信息安全的諸多問題。在個人信息安全問題的復雜性、個人與企業(yè)之間的博弈狀態(tài)、個人在個人信息安全問題的被動地位以及我國個人信息安全保護制度起步晚發(fā)展時間短的背景下，如何在數(shù)字經(jīng)濟領域中對個人信息保護是我們急需在當下解決的難題。與此同時，還應當考慮如何在保護公民合法的個人信息安全的同時，關注數(shù)字經(jīng)濟產(chǎn)業(yè)的經(jīng)營效率，構(gòu)建公平安全的營商環(huán)境，從而促進經(jīng)濟發(fā)展。

12 我國私法保護個人信息安全的框架

121《侵權(quán)責任法》

數(shù)字經(jīng)濟領域保護個人信息的私法典型依據(jù)可以追溯到2010年7月1日生效的《侵權(quán)責任法》第36條的規(guī)定，但該規(guī)定僅僅從三個具體行為方面進行論述，未具體規(guī)定行為和結(jié)果的聯(lián)系，法條在民事法律訴訟中并未實質(zhì)上對被侵權(quán)人進行救濟。

122《消費者權(quán)益保護法》與《廣告法》

《消費者權(quán)益保護法》第29條規(guī)定經(jīng)營者要履行合法、保密、侵犯信息的義務，當侵權(quán)情況發(fā)生時，應采取補救措施。《消費者權(quán)益保護法》的第29條與50條明確具體了責任，其后實施的《廣告法》中第43條，45條以及63條是對《消費者權(quán)益保護法》的補充，對侵犯個人信息的廣告行為進行了規(guī)定，并且在第63條中確定了罰金數(shù)額。盡管《消費者權(quán)益保護法》與《廣告法》的內(nèi)容更加具體，但《消費者權(quán)益保護法》未對“個人信息”進行法律上的概念確定。同時僅要求侵權(quán)行為發(fā)生時采取補救措施，未說明未采取措施的責任。同時，侵權(quán)責任的承擔方式過于籠統(tǒng)，五種侵權(quán)責任承擔方式應如何選擇以及賠償金額沒有得到適當規(guī)定。

123《網(wǎng)絡安全法》

我國《網(wǎng)絡安全法》第22條與第37條對網(wǎng)絡服務運營者對個人信息的收集、使用和儲存進行了規(guī)定。第41條至第45條從收集和保密兩個主要方面進行論述。第64條對于違反本法第22條第3款、第41條至第43條規(guī)定的行為規(guī)定了侵害個人信息需承擔的法律責任，而盜竊、非法獲取、銷售個人信息的行為會被處以高額賠償。與此同時，本法第76條對個人信息的概念進行了較為清晰的規(guī)定。

124《民法總則》

本法第111條明確規(guī)定了個人信息受到法律保護，但并未對個人信息進行權(quán)利化，在條文中也未出現(xiàn)“權(quán)”字，旨在以行為規(guī)制模式保護法益。葉金強教授認為，在不進一步探討個人信息權(quán)的前提下，采取行為規(guī)制模式是明智、審慎的，對個人信息領域有了更清晰的認識之后，可以采用權(quán)利規(guī)制模式。筆者認為立法機關應當將個人信息作為隱私權(quán)保護對象還是單獨保護還處在討論和衡量階段，個人信息權(quán)利化的趨勢還需繼續(xù)探討，若在隱私權(quán)下可以給予個人信息足夠的保護，則不應進行單獨規(guī)制。

125《電子商務法》

將于2019年1月1日起施行的《中華人民共和國電子商務法》中有關個人信息的條款眾多。第17、18條和第25、27條要求電子商務經(jīng)營者對進入平臺的消費者積極履行保護個人信息性質(zhì)的義務。第59條至第63條提出，針對個人信息發(fā)生的糾紛可以先選擇平臺投訴、協(xié)商和解的方式解決爭議。同時第62條對上述行為的舉證進行了規(guī)定，對之前法律法規(guī)未對個人信息舉證問題進行規(guī)定這一漏洞的填補，有利于解決個人信息被侵犯舉證難的問題。本法第79條將其與《網(wǎng)絡安全法》銜接，加上第83條對侵害消費者合法權(quán)益的責任進行具體化規(guī)定，使個人信息保護保護體系日趨完善。

13我國公法保護個人信息安全的法律框架

第十一屆全國人民代表大會常務委員會第三十次會議通過的《全國人大常委會關于加強網(wǎng)絡信息保護的決定》第一條明確規(guī)定了所保護的個人信息的性質(zhì)。我國《刑法修正案（九）》將“情節(jié)嚴重”解釋為造成被害人人身傷害或者死亡，嚴重影響被害人的名譽，并加強對“情節(jié)嚴重”的處理，加大力度保護名譽?！缎谭ā返?53條于2017年11月4日重新頒布且當日生效，具體規(guī)定了侵犯個人信息安全罪的構(gòu)成要件。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中明確具體地規(guī)定了“公民個人信息”的含義以及違法的行為類型，并對第253條進行了全方位解析。司法實踐中，如周某某等侵犯公民個人信息案浙江省平湖市人民法院/（2016）浙0482刑初1022號/20161207和夏某某侵犯公民個人信息案浙江省紹興市柯橋區(qū)人民法院（原浙江省紹興縣人民法院）/（2017）浙0603刑初97號/20170210等最高法院發(fā)布的典型案例中，刑法第253條成為判決的重要法律依據(jù)。

2美國對個人信息保護的法律框架

21基于隱私權(quán)進行保護

美國對個人信息的保護由隱私權(quán)的相關法律完成，涵蓋了聯(lián)邦與各州層面。最初，美國隱私權(quán)保護主要針對公權(quán)力對公民隱私權(quán)的侵犯，1934年的《侵權(quán)法重述》則將無正當理由嚴重侵犯個人隱私確定為民事訴訟的訴因。在美國，隱私權(quán)是憲法中的基本權(quán)利，即每個人可以控制其身體、家庭、財產(chǎn)、思想、感情、秘密等各個領域的內(nèi)容，選擇是否披露，如何披露并防御他人的非法侵擾、知悉、收集、利用和公開。ONN YPrivacy in the Digital Environment， Haifa Center of Law & Technology，2005：1-12顯然，在包羅萬象的美國隱私權(quán)體系中，個人信息是其中的一類保護對象。

22“隱私的合理期待”概念的提出

1964年，美國最高法院通過Katz V United States 案確立了“隱私權(quán)的合理期待”標準，至今依舊被使用。隱私權(quán)主要通過監(jiān)視場所、監(jiān)視侵犯程度、監(jiān)視對象性質(zhì)三個要素來考察。用依據(jù)普通人的常識和邏輯能夠推論出的標準來對推斷出個人信息的隱私標準，并對其加以保護。

23關于“隱私權(quán)”保護的代表性法律規(guī)范

美國通過“隱私權(quán)”這一寬泛的概念來保護個人的隱私，更強調(diào)其中的隱私風險評估，通過隱私風險評估來確定標識符是否可識別。1974年的《隱私法案》規(guī)定，聯(lián)邦機構(gòu)限制可識別信息的披露，并要求機構(gòu)提供對個人信息記錄的訪問。1986年通過的《電子通信隱私法》主要禁止未經(jīng)授權(quán)的電子竊聽行為，對信息傳輸安全、存儲安全和監(jiān)視合法性進行了規(guī)定。1998年，美國通過了《兒童在線隱私保護法》，規(guī)定網(wǎng)站經(jīng)營者必須披露其隱私保護政策，說明尋求兒童監(jiān)護人同意的時間和方式，以及侵害兒童隱私的責任。2001年HIPAA修正案的目標之一是保護患者的電子健康記錄并提出具體的保護標準，該法規(guī)定了行政保障、實物保障、技術保障及安全責任的分配。對于違反安全標準的實體，規(guī)定最高罰款25萬美元，并處以最高10年監(jiān)禁的嚴重懲罰。http：//worldhuanqiucom/article/2015-07/7090361HTML

24美國關于個人信息安全的制度創(chuàng)新

美國現(xiàn)有立法規(guī)定只能在限定范圍內(nèi)以市場目的從事消費者數(shù)據(jù)的收集、使用和出售，并沒有統(tǒng)一規(guī)制信息的收集和交易。Government Accountability Office， Information Resellers： Consumer Privacy Framework needs to reflect changes in technology and marketplace， Sep2013另外，通常準許為研究等目的收集、使用、公開個人健康信息，并處理信息使其不能聯(lián)系到個人身份信息。Information and privacy Commissioner， Ontario， Canada： Dispell the Myhts Surrounding De─identification： Anonymization Remains a Strong Tool for Protecting Privacy， June 20112012年2月，白宮最終報告《網(wǎng)絡環(huán)境下消費者數(shù)據(jù)的隱私保護——在全球數(shù)字經(jīng)濟背景下保護隱私和促進創(chuàng)新的框架》The White House， Consumer Data Privacy in a Networked World： A Framework For Protecting Privacy And Promoting Innovation in The Global Digital Economy 32 n39 （Feb2012）.中確立了消費者的一些隱私類權(quán)利。并于2015年的《消費者隱私權(quán)利法案》中堅持了技術中立，以公平信息實踐法則為基礎，對“告知與同意”框架進行強化，規(guī)定了數(shù)據(jù)保存與處理的安全責任，制定了事后問責制的內(nèi)容。對于《消費者隱私權(quán)利法案》，微軟首席隱私官Brendon Lynch表示，雖然有些人反對，有些人贊同，但不管怎樣這都是一個好消息，因為人們開始為之對話了。消費者將在訪問商家儲存的個人數(shù)據(jù)上擁有越來越完整的權(quán)利，這無疑是美國對于個人信息安全的一次重大制度嘗試。

25比較與借鑒

美國商業(yè)領域有著健全的營商環(huán)境，美國公民對自身權(quán)利關注度較高，通過以隱私權(quán)為基礎的法律制度來保護個人信息自然水到渠成。我國學說在研究個人信息安全問題上，多數(shù)歸納在“隱私權(quán)”這一大概念之下，研究思路與美國通過“隱私權(quán)”來保護有相似處，其中關于“隱私的合理期待”等觀點我國應當予以采納。同時，美國時刻關注著個人信息與利用之間的聯(lián)系，在其體系構(gòu)建的過程中，明確了保護個人信息的準則，限制企業(yè)在各環(huán)節(jié)非法利用信息，從各個方面考慮并加以規(guī)制，也在不斷加強消費者對其個人信息的控制力，有關個人信息保護的舉措應當引起我國重視，并且在制度建設中進行學習借鑒。