任丹妮 吳雪樊 吳巧蓮 薛怡怡 周 璇

山東理工大學(xué)，山東 淄博 255000

目前我國對個人信息的保護(hù)非常薄弱，其原因在于缺乏系統(tǒng)明確的法律規(guī)定，相關(guān)部門也缺少法律依據(jù)打擊惡意侵犯個人信息的行為。在個人信息不斷受到侵犯的今天，由于缺乏系統(tǒng)明確的法律規(guī)定，導(dǎo)致我國的政府和司法機(jī)關(guān)很難保護(hù)公民的切身利益，所以我們應(yīng)該對個人信息權(quán)進(jìn)行明確的界定，并積極推動個人信息保護(hù)法的立法工作，讓公民的個人信息能夠得到切實(shí)有效的保護(hù)。

本文旨在從時代發(fā)展與個人信息保護(hù)之間的關(guān)系、國外對于個人信息保護(hù)的立法經(jīng)驗(yàn)以及我國目前立法成果和不足的角度尋找出一條可行、適當(dāng)?shù)慕鉀Q辦法并提出建議。

一、大數(shù)據(jù)時代下個人信息保護(hù)的背景

富蘭克林股票團(tuán)隊(duì)副總裁兼基金經(jīng)理Grant Bowers曾表示石油歷來是巨大的經(jīng)濟(jì)力量的關(guān)鍵。但在未來，數(shù)據(jù)將在數(shù)字時代擁有類似的經(jīng)濟(jì)力量。信息是經(jīng)過加工以后并對客觀世界產(chǎn)生影響的數(shù)據(jù)，是大數(shù)據(jù)技術(shù)發(fā)揮作用的基石。

自二十一世紀(jì)以來，世界各國逐步邁入大數(shù)據(jù)時代。人們方方面面都因此享受到了極大的便利：精準(zhǔn)、確切地獲取所需商品或服務(wù)的信息；“未卜先知”地了解城市路況以避免交通擁堵節(jié)省時間等。大數(shù)據(jù)技術(shù)發(fā)揮著不可或缺的作用的同時，個人信息泄露事件也層出不窮。

近年來，各大企業(yè)或機(jī)構(gòu)均曾陷入過信息泄露事件。個人信息保護(hù)面臨著新的挑戰(zhàn)與困難，信息的利用與信息的保護(hù)兩者的沖突需得法律找到一個利益平衡點(diǎn)，既做到物盡其用，又保護(hù)民眾的個人信息不為時代所犧牲。

二、個人信息的界定

探討任何數(shù)據(jù)的法律問題，都需要先理解關(guān)于數(shù)據(jù)的理論基礎(chǔ)。應(yīng)當(dāng)注意，網(wǎng)絡(luò)時代中的“個人數(shù)據(jù)”與“個人信息”的概念有所不同，前者是指附著在電子信息系統(tǒng)載體的客觀事物記錄，是未經(jīng)過處理的個人原始記錄；后者是指個人數(shù)據(jù)經(jīng)過加工處理后，形成的具有使用價值的內(nèi)容——信息。數(shù)據(jù)本身沒有意義，它只有對實(shí)體行為產(chǎn)生影響時才成為信息，數(shù)據(jù)是信息的表現(xiàn)形式和載體；信息是數(shù)據(jù)的內(nèi)涵，是加載于數(shù)據(jù)之上，對數(shù)據(jù)具有含義的解釋。

個人信息保護(hù)的目的，在于保護(hù)具有使用價值的個人信息，并不是全部個人數(shù)據(jù)。因此，我國《網(wǎng)絡(luò)安全法》和《民法總則》等法律在立法技術(shù)上均采用了“個人信息”的表述。其中，作為第一部明確界定個人信息的法律——《網(wǎng)絡(luò)安全法》采用“識別性”模式界定個人信息的概念①。

三、我國個人信息保護(hù)的立法與不足

我國目前尚沒有個人信息保護(hù)的專門法律，個人信息在民法、行政法保護(hù)也不完善的背景下，其保護(hù)的范圍一直模糊不清，并且呈現(xiàn)出分散立法的局面。據(jù)統(tǒng)計，我國目前規(guī)定個人信息的法律法規(guī)不在少數(shù)，有近40部法律、30余部法規(guī)，以及近200部規(guī)章涉及到個人信息保護(hù)，其種類涵蓋了互聯(lián)網(wǎng)信息、醫(yī)療信息、個人信用管理等多個領(lǐng)域。

早在上世紀(jì)八十年代，我國《憲法》中就規(guī)定了關(guān)于個人信息保護(hù)的條款，其中第三十八條、三十九條中關(guān)于公民的人格尊嚴(yán)、住宅不受侵犯之規(guī)定，第四十條中公民的通信自由和通信秘密權(quán)的規(guī)定，均可理解為個人信息應(yīng)受保護(hù)的合憲性基礎(chǔ)，也即個人信息權(quán)的基礎(chǔ)法律淵源。除此以外，我國《刑法》第二百五十二、二百五十三條以及《刑法修正案(七)》中也規(guī)定了關(guān)于侵犯公民通信自由權(quán)利、違反國家有關(guān)規(guī)定，向他人出售或者提供公民個人信息、將在履行職責(zé)或者提供服務(wù)過程中獲得的公民個人信息，出售或者提供給他人、竊取或者以其他方法非法獲取公民個人信息情節(jié)嚴(yán)重的具體懲罰措施。

更值得一提的是，新出臺的《民法總則》第一百一十一條的規(guī)定，一改以往民事法律對于個人信息保護(hù)界定不清，只能通過援引其他人格權(quán)相關(guān)的法律規(guī)定，對具體侵犯個人信息的行為做出法律評價的現(xiàn)狀，使得公民的個人信息應(yīng)受保護(hù)變得更加明確，但當(dāng)前我國公民個人信息保護(hù)體系中仍存在大量問題亟需解決。

第一，個人信息基本定義零散、標(biāo)準(zhǔn)不完全統(tǒng)一。

盡管我國相關(guān)法律已對個人信息做出了相對完整的定義。但是基于“匿名”信息通過技術(shù)處理也可重新具備識別功能。因此個人信息的“識別性”定義已不能滿足時代的需求。一般來說，對于個人信息內(nèi)涵的界定問題，是判斷侵犯個人信息個案應(yīng)當(dāng)適用哪一具體法律規(guī)范的基礎(chǔ)問題。個人信息基本定義界定模糊，不僅不利于被侵權(quán)人合法權(quán)益的有效保護(hù)以及在司法實(shí)踐中法官對于具體案件性質(zhì)的定義與法律規(guī)范的援引，而且一定程度上制約了數(shù)據(jù)的流通與互聯(lián)網(wǎng)產(chǎn)業(yè)的創(chuàng)新發(fā)展。這也是我國個人信息保護(hù)法律法規(guī)不在少數(shù)，但一般無法在執(zhí)行中落實(shí)、可操作性差的癥結(jié)之一。

第二，我國目前尚沒有完整的、體系化的個人信息保護(hù)的法律機(jī)制。

與發(fā)達(dá)國家相比我國尚沒有一部例如《隱私法》或《個人信息保護(hù)法》之類的制定法能夠?qū)⒐竦膫€人信息的收集、使用、保存等系統(tǒng)地進(jìn)行法律規(guī)制，盡管我們能夠在現(xiàn)行的法律法規(guī)規(guī)章中看到關(guān)于公民個人信息類的相關(guān)條款，但是這種分散立法的個人信息保護(hù)大多是間接的，或者說是一種隱形的保護(hù)。這種“保護(hù)”無法明確個人信息的法律屬性，無法明確我國公民在個人信息保護(hù)中享有哪些具體權(quán)利，承擔(dān)哪些具體義務(wù)，以及侵權(quán)者應(yīng)承擔(dān)何種法律責(zé)任。

四、大數(shù)據(jù)時代下個人信息保護(hù)的國外立法借鑒

自科技逐漸進(jìn)入人們的生活以來，關(guān)于個人信息的法律保護(hù)問題已經(jīng)成為各個國家積極研究與討論的新興領(lǐng)域。目前，全球已經(jīng)有60多個國家制定了專門的個人信息保護(hù)法。筆者將從美國、歐盟、日本這三個不同的國家去闡述關(guān)于個人信息保護(hù)的國外經(jīng)驗(yàn)。

(一)美國在個人信息保護(hù)上的立法

美國主要采取分散立法與行業(yè)自律雙面機(jī)制對公民的個人信息進(jìn)行保護(hù)。在分散立法下美國沒有一部專門的個人信息保護(hù)法律進(jìn)行統(tǒng)一規(guī)制，其最早出臺的關(guān)于個人信息保護(hù)的法律是1967年《信息自由法》，隨后在1974年，美國又頒布了《美國隱私法》，這部法律是保障個人信息安全的基礎(chǔ)法律，它將公民的個人信息歸屬于隱私權(quán)價值范疇中。迄今為止，美國已經(jīng)相繼出臺130多部法律對個人信息保護(hù)進(jìn)行規(guī)制，并且在個人信息保護(hù)的立法上分為防止政府部門侵害的公共領(lǐng)域的立法保護(hù)和具體法案具體救濟(jì)的非公共領(lǐng)域的立法保護(hù)。

然而美國并不單單依靠這種分散立法形式對公民的個人信息進(jìn)行保護(hù)?；趯κ袌鲎杂苫闹匾暎绹鴮τ趥€人信息的保護(hù)在行業(yè)自律層面非常成熟，其分為兩種機(jī)制：一種是非強(qiáng)制性的，建議性的行業(yè)指引，這種方式旨在在同行業(yè)內(nèi)提供一個關(guān)于個人信息保護(hù)的政策，如在線隱私聯(lián)盟。另一種是網(wǎng)絡(luò)隱私認(rèn)證，這種方式強(qiáng)調(diào)通過制定個人信息保護(hù)準(zhǔn)則等方式約束加入的成員，公民則可以通過此種隱私認(rèn)證標(biāo)志來識別某項(xiàng)產(chǎn)品是否有隱私保護(hù)機(jī)制。這種雙軌保護(hù)機(jī)制促進(jìn)了美國個人信息保護(hù)的發(fā)展，這種做法獲得了世界上許多國家和地區(qū)的好評。

(二)歐盟的個人信息保護(hù)立法

歐盟對于個人信息的保護(hù)方式與美國截然不同，歐盟將個人信息保護(hù)上升到基本人權(quán)的高度，將個人信息示以人格尊嚴(yán)，采用統(tǒng)一立法方式對其進(jìn)行保護(hù)。因此，個人自信息保護(hù)在立法上采取極高的標(biāo)準(zhǔn)。歐盟于1995年出臺的《個人數(shù)據(jù)指令》是最重要的法律，其在個人信息的收集、處理、使用等方面建立了六大原則：合法目的原則、透明原則、適當(dāng)原則、保密和安全原則、監(jiān)控原則。歐盟在個人信息保護(hù)方面的立法非常全面，有2001年出臺的《歐共體公共機(jī)構(gòu)組織在個人數(shù)據(jù)處理中保護(hù)個人權(quán)利的法規(guī)》、2002年頒布的《隱私與電子通訊指令》、2006年出臺的《數(shù)據(jù)保存指令》。在此需要說明的是，歐盟對個人信息保護(hù)的立法分為兩個層面：一是歐盟統(tǒng)一立法。通過建立統(tǒng)一的系統(tǒng)化的個人信息保護(hù)法律體系來規(guī)定成員國的最低保護(hù)標(biāo)準(zhǔn)，降低各成員國的個人數(shù)據(jù)信息流通成本。二是歐盟成員國在歐盟最低保護(hù)標(biāo)準(zhǔn)的基礎(chǔ)上根據(jù)各國具體情況分別立法。

(三)日本在個人信息保護(hù)上的立法

日本的個人信息保護(hù)立法不同程度上受到了美國和歐盟的影響，最終則選擇了折衷主義。一方面日本建立了全面的行業(yè)自律體系來實(shí)現(xiàn)自我管理與約束，著名的有JIPDEC(日本個人信息保護(hù)標(biāo)識機(jī)制)；另一方面，日本又相繼出臺多部法律來規(guī)范公民個人信息的使用、處理、傳播等行為。例如日本國會于2003年頒布的“五聯(lián)法”，分別包括《個人信息保護(hù)法》、《行政機(jī)關(guān)個人信息保護(hù)法》、《獨(dú)立行政法個人信息保護(hù)法》、《信息公開與個人信息保護(hù)審查會設(shè)置法》以及《對<行政機(jī)關(guān)所持有之個人信息的法律>等的實(shí)施所涉及的相關(guān)法律進(jìn)行完善的法律》。這種折衷式的立法模式很大程度上來自于日本的國情，其試圖做到既保障信息自由流通又兼顧公民個人信息權(quán)益的保護(hù)。

五、大數(shù)據(jù)時代我國個人信息保護(hù)的立法建議

承前所述，我國在個人信息保護(hù)領(lǐng)域依舊存在較多待解決的問題，通過借鑒外國先進(jìn)經(jīng)驗(yàn)并結(jié)合大數(shù)據(jù)產(chǎn)業(yè)快速發(fā)展這一基本國情，為此筆者將從立法保護(hù)、行業(yè)自律以及如何提高公民個人意識三個維度全面提高對公民的個人信息保護(hù)。

(一)采取單獨(dú)立法模式，制定《個人信息保護(hù)法》

通過上文研究表明，我國對個人信息的保護(hù)呈現(xiàn)分散、救濟(jì)難、實(shí)踐難等現(xiàn)實(shí)問題，因此該部法律應(yīng)當(dāng)著重界定個人信息權(quán)、細(xì)化個人信息保護(hù)的規(guī)則和原則以及權(quán)利救濟(jì)這三個方面做出規(guī)定。

1.界定個人信息權(quán)的法律屬性。關(guān)于個人信息的保護(hù)，現(xiàn)行法律規(guī)范中并沒有直接賦予公民個人信息權(quán)，而2017年出臺的《民法總則》一百一十一條也只是從消極的角度確立了個人信息使用的禁止性規(guī)范，可想而知法律也沒有直接規(guī)定個人信息權(quán)的法律屬性。對此問題，學(xué)者們對于個人信息具有“可識別性”這一本質(zhì)特征達(dá)成較為統(tǒng)一的觀點(diǎn)，但是就個人信息法律屬性而言存在多種觀點(diǎn)，例如否定權(quán)說、一般人格權(quán)說、隱私權(quán)說以及具體人格權(quán)說等。其中隱私權(quán)說和具體人格權(quán)說這兩個對立的理論受到學(xué)界的廣泛熱議。其中隱私權(quán)說認(rèn)為人格權(quán)應(yīng)當(dāng)納入隱私權(quán)的范疇之內(nèi)，將公民的個人信息等同于隱私。而具體人格權(quán)說認(rèn)為個人信息權(quán)應(yīng)當(dāng)是一項(xiàng)具體人格權(quán)，其本質(zhì)內(nèi)容與隱私權(quán)并不相同，隱私權(quán)的內(nèi)容無法真正包含個人信息權(quán)，因而是一種獨(dú)立的具體人格權(quán)。筆者贊同具體人格權(quán)說，而且從《民法總則》中也不難看出立法者并沒有將個人信息納入隱私權(quán)中而是將個人信息單獨(dú)規(guī)定，對個人信息采取單獨(dú)保護(hù)的方式，這也為我們制定《個人信息保護(hù)法》提供了上位法的法律淵源。

2.明確個人信息權(quán)的內(nèi)容、規(guī)則及原則。一部法律體系得以完善與這三部分密不可分。一方面我們要對個人信息權(quán)就內(nèi)容和具體規(guī)則做出創(chuàng)設(shè)性的規(guī)定，例如歐盟GDPR第三章規(guī)定了數(shù)據(jù)主體的各項(xiàng)權(quán)利，如知情權(quán)(第13條)、同意權(quán)(第14條)、訪問權(quán)(第15條)、更正權(quán)(第16條)、刪除權(quán)(第17條)、限制處理權(quán)(第18條)、可攜帶權(quán)(第20條)、反對權(quán)(第21條)。我國臺灣地區(qū)“個人資料法”第3條、第8條、第15條規(guī)定，信息主體享有如下權(quán)利：知情權(quán)、同意權(quán)、查詢或請求閱覽、請求制給復(fù)制本、請求補(bǔ)充或更正、請求停止搜集、處理或利用以及請求刪除。由上可知這些內(nèi)容都存在相同之處，其大多采取列舉式。因此我國《個人信息保護(hù)法》也可以借鑒這樣的方式，將個人信息權(quán)所包含的內(nèi)容一一列舉，采用這樣的方式公民可以更好的理解法律、運(yùn)用法律，同時司法者裁判時可直接援引規(guī)則做出公正裁判。另一方面我們要將分散于各部門法或者其他規(guī)章以及司法解釋中的法律進(jìn)行整合，例如將分散于《民法總則》、《中華人民共和國網(wǎng)絡(luò)安全法》中有關(guān)個人信息保護(hù)的條文進(jìn)行抽離，將其系統(tǒng)納入《個人信息保護(hù)法》中，解決個人信息保護(hù)分散、不成體系、難以及運(yùn)用這一難題。在上述內(nèi)容中將個人信息權(quán)內(nèi)容采用列舉式，會不可避免的降低司法實(shí)踐中的靈活性，從而可能導(dǎo)致可操作性差、保護(hù)范圍狹窄等問題。為此可以制定全面的原則，例如合理使用原則、合法性原則、透明原則等。這些原則要盡可能的權(quán)衡多方的利益，在堅持保護(hù)公民個人信息權(quán)的同時，也要保護(hù)數(shù)據(jù)產(chǎn)業(yè)對數(shù)據(jù)信息的合理使用。

3.應(yīng)制定詳盡的救濟(jì)手段。眾多周知沒有救濟(jì)就沒有權(quán)利，在探討創(chuàng)設(shè)權(quán)利的同時，解決權(quán)利如何救濟(jì)也是一個不容忽視的問題。目前在大數(shù)據(jù)時代下，公民的個人信息沒有得到良好的管理，數(shù)據(jù)產(chǎn)業(yè)的信息收集者肆意共享、買賣公民個人信息以至于公民的個人信息在互聯(lián)網(wǎng)上出現(xiàn)“裸奔”的局面，面對公民個人信息被泄露，而法律并沒有規(guī)定有效的救濟(jì)措施，公民明知個人信息被泄露卻找不到侵權(quán)人或者即使公民明知誰是侵權(quán)人，可是對于個人信息的侵權(quán)人沒有任何的制裁措施，導(dǎo)致公民的個人信息權(quán)沒有得到根本的維護(hù)。公民在個人信息保護(hù)領(lǐng)域內(nèi)往往處于弱勢地位，不言而諭大數(shù)據(jù)產(chǎn)業(yè)往往處于強(qiáng)勢地位，例如當(dāng)我們在適用某APP時對公民的個人信息的保護(hù)一般只提供格式條款，存在“強(qiáng)迫”公民同意的情況。因此我們應(yīng)當(dāng)在這些方面制定詳盡的救濟(jì)手段，筆者認(rèn)為對個人信息權(quán)的保護(hù)應(yīng)當(dāng)采取舉證責(zé)任倒置的方式，在個人信息侵權(quán)案件中舉證難是維權(quán)者普遍的難題，因?yàn)樵谇謾?quán)案件中需要原告來證明因果關(guān)系，這一證明標(biāo)準(zhǔn)使得本來處于弱勢地位的維權(quán)者更不敢隨意的提起個人信息保護(hù)權(quán)的訴訟。而采用舉證責(zé)任倒置這一方式將主要的證明責(zé)任由強(qiáng)勢一方的數(shù)據(jù)產(chǎn)業(yè)承擔(dān)，若其無法證明其對公民的數(shù)據(jù)信息盡到妥善的管理責(zé)任，即其需要承擔(dān)侵權(quán)責(zé)任。通過舉證責(zé)任的改變，方便了公民提起保護(hù)個人信息的訴訟，同時有利于數(shù)據(jù)信息管理者完善管理機(jī)制更加重視對公民個人信息的保護(hù)。

(二)鼓勵健全行業(yè)自律體系，實(shí)現(xiàn)自我管理與約束

應(yīng)當(dāng)注意，在國家強(qiáng)制力保障層次上制定相關(guān)單獨(dú)立法來規(guī)制個人信息的侵權(quán)與保護(hù)問題顯然不是萬全之計。我國人口眾多，數(shù)據(jù)收集廣，個人信息流通性強(qiáng)的國情特點(diǎn)決定了行業(yè)協(xié)會自律式規(guī)制的必要性?；诖朔N觀點(diǎn)，我們提出以下建議：

1.增加行業(yè)自律主體，擴(kuò)大監(jiān)督范圍。目前我國行業(yè)自律機(jī)制主體主要在互聯(lián)網(wǎng)行業(yè)，然而大數(shù)據(jù)對個人信息的保護(hù)不僅在采集、分析層面，還存在于傳播、使用等多個層面，涉及多種行業(yè)主體，因而我們認(rèn)為其他行業(yè)也應(yīng)積極地在自己的行業(yè)內(nèi)針對大數(shù)據(jù)與個人信息的關(guān)系特征不同程度的進(jìn)行行業(yè)內(nèi)部規(guī)制，同時行業(yè)內(nèi)部也應(yīng)集中力量發(fā)展信息保護(hù)技術(shù)，防止不法侵害人采用非法手段惡意入侵?jǐn)?shù)據(jù)庫對公民的個人信息隨意散播。

2.對于濫用或者非法傳播個人信息的行業(yè)主體，行業(yè)內(nèi)部加大懲罰力度。對行業(yè)主體進(jìn)行信用等級評估，對于信用等級較低的主體可聯(lián)合相關(guān)行政主體對其進(jìn)行監(jiān)督與管理。

3.我們認(rèn)為在行業(yè)自律層面可以參照美國的認(rèn)證標(biāo)志經(jīng)驗(yàn)，建立個人信息保護(hù)認(rèn)證標(biāo)志體系。在所有涉及利用大數(shù)據(jù)技術(shù)合法采集、分析、傳播以及使用個人信息等層面“貼上”個人信息保護(hù)標(biāo)志，增加公民的安全感。

(三)提高公民對個人信息的保護(hù)意識以及維權(quán)意識

在大數(shù)據(jù)時代下，如何更好的使個人信息免受非法行為侵犯，具體到個人層面，其應(yīng)當(dāng)做到信息泄露的事前預(yù)防行為和權(quán)益被侵犯后的補(bǔ)救行為。對于信息泄露的事前預(yù)防，由于現(xiàn)實(shí)生活中大多數(shù)民眾個人信息權(quán)保護(hù)意識淡薄，用自身信息換取免費(fèi)產(chǎn)品導(dǎo)致個人信息被竊取、傳播而不自知的情況不在少數(shù)，在這種意義上，公民自主進(jìn)行、接受個人信息保護(hù)意識培訓(xùn)就顯得十分重要。個人信息被侵犯后的補(bǔ)救行為，要求權(quán)利主體熟悉法律規(guī)范對個人信息被侵犯后的救濟(jì)方式、程序等多方面規(guī)定，從而保證其能夠獨(dú)立運(yùn)用法律來維護(hù)其合法權(quán)益。

六、結(jié)語

隨著科技的不斷進(jìn)步，利用大數(shù)據(jù)收集并整合個人信息是必然的結(jié)果，但是人們時常因?yàn)閭€人信息的泄漏而感到憂慮，因?yàn)榇朔N泄漏也不同程度的對公民的權(quán)益造成了損害?，F(xiàn)階段，我國對個人信息權(quán)益的保護(hù)在個人信息侵權(quán)問題面前仍顯不足，如果我們不加快建立合理的個人信息法律保護(hù)機(jī)制的步伐，公民的個人信息權(quán)益將會受到越來越嚴(yán)重的侵犯，甚至影響社會公共利益，威脅社會安全與穩(wěn)定。筆者認(rèn)為每個時代都會有它要面臨的新型法律問題，個人信息的保護(hù)問題作為大數(shù)據(jù)時代下的重要問題應(yīng)該受到國家的重視。

[注釋]

①《中華人民共和國網(wǎng)絡(luò)安全法》第七十六條第五款規(guī)定：個人信息，是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等.