宋豐華

（中共福州市委黨校 福建 福州 350014）

當(dāng)前，大數(shù)據(jù)技術(shù)的發(fā)展為我們的生產(chǎn)生活提供了極大的便利，與此同時(shí)也對(duì)個(gè)人信息的保護(hù)帶來巨大挑戰(zhàn)。在充分運(yùn)用大數(shù)據(jù)技術(shù)的同時(shí)，如何保護(hù)個(gè)人信息，避免個(gè)人信息泄漏、不當(dāng)使用帶來的種種問題，成為人們廣泛關(guān)注的焦點(diǎn)。在大數(shù)據(jù)時(shí)代，我國(guó)個(gè)人信息保護(hù)制度存在哪些問題，如何加強(qiáng)個(gè)人信息保護(hù)，這些都需要進(jìn)一步研究。

一、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)的緊迫性

大數(shù)據(jù)時(shí)代，隨著大數(shù)據(jù)技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)展，個(gè)人信息保護(hù)面臨的風(fēng)險(xiǎn)也在不斷增加。近年來，個(gè)人信息不當(dāng)收集、存儲(chǔ)和使用現(xiàn)象頻發(fā)，個(gè)人信息權(quán)益受到嚴(yán)重侵害，進(jìn)而導(dǎo)致信息主體遭受各種通信騷擾、財(cái)產(chǎn)損失乃至人身傷害。比如2016年發(fā)生的徐玉玉案，以及每年層層不窮的各類電信詐騙。在信息不當(dāng)收集方面，信息收集者通常會(huì)超出合理范圍過度收集信息，或者利用自身優(yōu)勢(shì)要求信息主體在接受服務(wù)之前必須同意其格式文本的用戶協(xié)議、隱私政策等，如果不同意，則不能使用信息收集者提供的服務(wù)。在信息不當(dāng)存儲(chǔ)方面，信息收集主體對(duì)信息存儲(chǔ)的安全性評(píng)估不足，網(wǎng)絡(luò)服務(wù)系統(tǒng)存在漏洞導(dǎo)致個(gè)人信息泄漏。在信息不當(dāng)使用方面，信息收集者故意向他人提供、出售個(gè)人信息，或者通過電話、短信、郵件等方式對(duì)信息主體進(jìn)行騷擾，以及信息泄漏后被不法分子利用從事違法犯罪活動(dòng)。上述信息收集、存儲(chǔ)和使用中存在的問題暴露出個(gè)人信息保護(hù)方面的不足，而個(gè)人信息保護(hù)的不足不僅會(huì)使信息主體的人身和財(cái)產(chǎn)權(quán)益受損，還會(huì)制約數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。數(shù)據(jù)產(chǎn)業(yè)的發(fā)展離不開對(duì)數(shù)據(jù)的收集、處理和利用，如果信息主體的各類權(quán)益無法得到保障，則信息主體會(huì)更加審慎地保管和使用其信息，這勢(shì)必會(huì)對(duì)經(jīng)營(yíng)者獲取個(gè)人信息帶來一定的阻礙，不利于大數(shù)據(jù)產(chǎn)業(yè)的健康持續(xù)發(fā)展。

二、我國(guó)個(gè)人信息保護(hù)制度存在的問題

盡管我國(guó)在個(gè)人信息保護(hù)方面制定了一系列制度，但由于制度本身存在不足，影響了個(gè)人信息保護(hù)的效果。

1.個(gè)人信息的界定不明確

清晰界定個(gè)人信息的內(nèi)涵，是個(gè)人信息保護(hù)的前提和基礎(chǔ)?？疾煳覈?guó)相關(guān)制度，2017年6月1日實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和全國(guó)人大2020年5月28日通過的《中華人民共和國(guó)民法典》都把個(gè)人信息界定為單獨(dú)或與其他信息結(jié)合能識(shí)別特定自然人的信息，同時(shí)列舉了自然人的姓名、出生日期、身份證號(hào)碼、住址、電話號(hào)碼等具體個(gè)人信息。從上述規(guī)定可以看出，我國(guó)法律實(shí)踐中“可識(shí)別性”是界定個(gè)人信息的關(guān)鍵。但隨著大數(shù)據(jù)技術(shù)的發(fā)展，可識(shí)別性在界定個(gè)人信息方面面臨巨大挑戰(zhàn)。一方面，可識(shí)別個(gè)人身份信息的范圍在不斷擴(kuò)大。在大數(shù)據(jù)時(shí)代，個(gè)人生活、工作、活動(dòng)中的不少行為都能被網(wǎng)絡(luò)所記錄，比如網(wǎng)絡(luò)瀏覽記錄、購(gòu)物記錄、個(gè)人活動(dòng)軌跡等。這些零散看似毫無關(guān)聯(lián)和不可識(shí)別的信息，運(yùn)用大數(shù)據(jù)技術(shù)進(jìn)行處理之后，原本看似不能識(shí)別個(gè)人身份的信息都能夠成功識(shí)別到個(gè)人。比如網(wǎng)絡(luò)運(yùn)營(yíng)者可結(jié)合購(gòu)物者的購(gòu)物記錄、IP地址和郵寄地址等將匿名購(gòu)物者識(shí)別出來。另一方面，一些信息即使不具有識(shí)別個(gè)人身份的可能，但是如果被泄露、不當(dāng)使用，也會(huì)對(duì)信息主體的權(quán)益造成侵害。通過大數(shù)據(jù)技術(shù)處理之后，一些信息已經(jīng)不具備識(shí)別個(gè)人身份的可能或不以識(shí)別個(gè)人身份為目的，但卻可能造成信息主體的權(quán)益受損。比如網(wǎng)絡(luò)運(yùn)營(yíng)者根據(jù)個(gè)人網(wǎng)絡(luò)瀏覽記錄、購(gòu)物記錄而向其精準(zhǔn)推送廣告、新聞，或者運(yùn)用大數(shù)據(jù)“殺熟”，這些行為都給信息主體的生活安寧和財(cái)產(chǎn)安全帶來極大隱患。

2.控制理論下的法律保護(hù)模式有待完善

當(dāng)前，以“知情—同意”為核心的控制理論是個(gè)人信息法律保護(hù)的基本理論。在控制理論下，信息主體被認(rèn)定為是理性人，基于理性選擇，能夠有效控制其個(gè)人信息的收集、使用。網(wǎng)絡(luò)運(yùn)營(yíng)者在對(duì)個(gè)人信息進(jìn)行收集及后續(xù)處理、使用之前，必須告知信息主體，在征得信息主體的同意后，方可從事上述行為。在“知情—同意”的機(jī)制下，使得網(wǎng)絡(luò)運(yùn)營(yíng)者對(duì)信息主體信息的收集、處理和使用合法化。目前，世界很多國(guó)家都是基于這一理論進(jìn)行立法，對(duì)個(gè)人信息加以保護(hù)。我國(guó)的相關(guān)法律，如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》《中華人民共和國(guó)民法典》，都規(guī)定了行為人在收集、使用個(gè)人信息時(shí)，應(yīng)當(dāng)明示其收集、使用信息的目的、方式和范圍，同時(shí)要取得信息主體的同意。由此可見，我國(guó)的立法也是基于控制理論，以“知情—同意”原則構(gòu)建起個(gè)人信息保護(hù)的制度。但隨著大數(shù)據(jù)技術(shù)的發(fā)展，基于控制理論下的個(gè)人信息法律保護(hù)模式的不足日益凸顯。一是信息主體在復(fù)雜的客觀環(huán)境中不能保持足夠的理性。控制理論強(qiáng)調(diào)個(gè)人的理性選擇，假定個(gè)人能夠理性做出是否同意網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息的決定。但在具體的場(chǎng)景中，尤其是面對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者提供的冗長(zhǎng)枯燥、晦澀難懂的服務(wù)協(xié)議或隱私政策時(shí)，個(gè)人往往沒有足夠的能力和耐心理解其中的內(nèi)容，難以評(píng)估同意個(gè)人信息被收集后將帶來的后果，難以做出理性的決策。并且一些網(wǎng)絡(luò)運(yùn)營(yíng)者還要求只有在信息主體同意其收集、使用個(gè)人信息的前提下，才向信息主體提供服務(wù)。此種霸王條款之下，信息主體的“同意”并非基于其真實(shí)意思表示，此時(shí)信息主體也難以實(shí)現(xiàn)其對(duì)個(gè)人信息的有效控制。二是網(wǎng)絡(luò)運(yùn)營(yíng)者在運(yùn)營(yíng)的前期往往也不確定收集的信息將用于何種用途，自然也無法在服務(wù)協(xié)議或隱私政策中明確告知個(gè)人信息的所有用途?；谧陨砝娴目剂?，為更好地發(fā)揮個(gè)人信息的潛在價(jià)值，網(wǎng)絡(luò)運(yùn)營(yíng)者通常會(huì)把盡可能多的個(gè)人信息納入隱私政策中，而這也偏離了個(gè)人“同意”制度設(shè)計(jì)的初衷[1]。

3.侵害個(gè)人信息的民事責(zé)任追究存在不足

我國(guó)現(xiàn)有的制度在個(gè)人信息受到侵害的民事責(zé)任追究方面較為薄弱。盡管《中華人民共和國(guó)民法總則》及尚未生效的《中華人民共和國(guó)民法典》規(guī)定了自然人的個(gè)人信息受法律保護(hù)，但當(dāng)個(gè)人信息受到侵害時(shí)，如何進(jìn)行保護(hù)，《中華人民共和國(guó)民法總則》及《中華人民共和國(guó)民法典》并沒有明確的規(guī)定。司法實(shí)踐中，侵害個(gè)人信息的民事糾紛主要是依靠最高人民法院2014年制定的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》來解決。該司法解釋第十二條規(guī)定了相關(guān)主體利用網(wǎng)絡(luò)公開他人個(gè)人隱私和其他個(gè)人資料，并且給他人造成損害的，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。實(shí)踐中，侵害個(gè)人信息的民事糾紛尚無單獨(dú)的案由，現(xiàn)有的案例較少，并且基本都是基于隱私權(quán)糾紛進(jìn)行審理。而當(dāng)前我國(guó)隱私權(quán)的法律保護(hù)制度本身并不完善，這也給侵害個(gè)人信息的民事糾紛的解決帶來不利影響。個(gè)人信息保護(hù)有其特殊性，在要求侵權(quán)人承擔(dān)侵權(quán)責(zé)任時(shí)，應(yīng)該適用過錯(cuò)責(zé)任原則，還是無過錯(cuò)責(zé)任原則，也需要進(jìn)一步探討。

三、大數(shù)據(jù)時(shí)代個(gè)人信息保護(hù)制度的完善

大數(shù)據(jù)時(shí)代的到來給個(gè)人信息保護(hù)帶來新的挑戰(zhàn)，針對(duì)個(gè)人信息保護(hù)制度存在的上述問題，需要立足實(shí)際，結(jié)合我國(guó)的具體情況，進(jìn)一步完善相關(guān)制度。

1.科學(xué)界定個(gè)人信息

從個(gè)人信息的分類來看，個(gè)人信息可分為可識(shí)別信息和關(guān)聯(lián)信息。可識(shí)別信息即能夠識(shí)別個(gè)人身份的信息，如姓名、身份證號(hào)碼、手機(jī)號(hào)碼等，關(guān)聯(lián)信息是指與信息主體相關(guān)聯(lián)的其他信息，如信息主體的工作信息、教育背景等。如上文所述，我國(guó)目前以可識(shí)別性作為個(gè)人信息保護(hù)的范疇。僅保護(hù)可識(shí)別信息并不全面，還應(yīng)當(dāng)對(duì)關(guān)聯(lián)信息加以保護(hù)。關(guān)聯(lián)信息客觀上能夠反映信息主體的相關(guān)特征，同樣具有受到法律保護(hù)的人格利益[2]。而科學(xué)界定可識(shí)別信息和關(guān)聯(lián)信息，有利于加強(qiáng)對(duì)個(gè)人信息的保護(hù)。在可識(shí)別信息的界定上，包括了直接識(shí)別和間接識(shí)別。直接識(shí)別即單個(gè)信息即可直接識(shí)別出信息主體，而間接識(shí)別指相關(guān)信息需結(jié)合起來才能識(shí)別出信息主體。早期的觀點(diǎn)更傾向于保護(hù)直接識(shí)別的信息，隨著大數(shù)據(jù)時(shí)代的到來，間接識(shí)別標(biāo)準(zhǔn)也為世界眾多國(guó)家所認(rèn)可和采用。在識(shí)別標(biāo)準(zhǔn)的認(rèn)定上，存在絕對(duì)標(biāo)準(zhǔn)和相對(duì)標(biāo)準(zhǔn)。絕對(duì)標(biāo)準(zhǔn)強(qiáng)調(diào)只要特定信息能夠被世界上的某一機(jī)構(gòu)所識(shí)別，則該信息即為可識(shí)別信息。相對(duì)標(biāo)準(zhǔn)強(qiáng)調(diào)獲得信息的一方能否識(shí)別作為判斷標(biāo)準(zhǔn)。顯然，絕對(duì)標(biāo)準(zhǔn)較為合理。如果采用相對(duì)標(biāo)準(zhǔn)，信息收集主體很有可能將一些信息主體的信息認(rèn)定為非個(gè)人信息，從而排除了法律對(duì)其的保護(hù)。在關(guān)聯(lián)標(biāo)準(zhǔn)的認(rèn)定上，有觀點(diǎn)認(rèn)為個(gè)人信息是與特定個(gè)人相關(guān)聯(lián)的、反映個(gè)體特征的信息[3]。隨著大數(shù)據(jù)技術(shù)的發(fā)展，原來不能反映個(gè)人特征的信息在大數(shù)據(jù)技術(shù)的處理下也能夠清晰地呈現(xiàn)出個(gè)體特征。在關(guān)聯(lián)性的認(rèn)定上，只要通過一定技術(shù)手段分析處理后，能夠反映個(gè)人特征，即應(yīng)當(dāng)認(rèn)定為關(guān)聯(lián)信息。

2.建立健全網(wǎng)絡(luò)運(yùn)營(yíng)者個(gè)人信息保護(hù)機(jī)制

控制理論下的個(gè)人信息保護(hù)圍繞信息主體的權(quán)利設(shè)計(jì)“知情—同意”為核心的制度，但如前文所述，這一理論下的制度設(shè)計(jì)在大數(shù)據(jù)時(shí)代面臨巨大挑戰(zhàn)，亟須改進(jìn)制度設(shè)計(jì)。在大數(shù)據(jù)時(shí)代，盡管信息主體是個(gè)人信息的權(quán)利人，但網(wǎng)絡(luò)運(yùn)營(yíng)者的行為卻直接影響著個(gè)人信息的收集、使用是否合規(guī)，是否能夠發(fā)揮數(shù)據(jù)的效用，因此，在個(gè)人信息保護(hù)方面，我們可以將制度設(shè)計(jì)的重點(diǎn)放在對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者行為的規(guī)制上。通過相關(guān)的制度設(shè)計(jì)，強(qiáng)化網(wǎng)絡(luò)運(yùn)營(yíng)者的責(zé)任，防止個(gè)人信息的泄露、濫用，保護(hù)信息主體的合法權(quán)益。具體而言，需建立健全風(fēng)險(xiǎn)評(píng)估機(jī)制。網(wǎng)絡(luò)運(yùn)營(yíng)者在對(duì)數(shù)據(jù)進(jìn)行處理之前，對(duì)信息處理可能給信息主體的權(quán)利帶來的影響進(jìn)行風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果的不同，劃分高、中、低的風(fēng)險(xiǎn)等級(jí)。當(dāng)風(fēng)險(xiǎn)等級(jí)為高風(fēng)險(xiǎn)時(shí)，網(wǎng)路運(yùn)營(yíng)者應(yīng)及時(shí)主動(dòng)向信息主體履行風(fēng)險(xiǎn)披露義務(wù)，并針對(duì)該風(fēng)險(xiǎn)采取降低風(fēng)險(xiǎn)的措施，在必要時(shí)還應(yīng)向監(jiān)管部門報(bào)告，由監(jiān)管部門對(duì)其采取的應(yīng)對(duì)措施進(jìn)行審核；當(dāng)風(fēng)險(xiǎn)等級(jí)為中風(fēng)險(xiǎn)時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者需向信息主體披露其中風(fēng)險(xiǎn)較高的因素并讓其選擇是否將其納入處理范圍；當(dāng)風(fēng)險(xiǎn)等級(jí)為低風(fēng)險(xiǎn)時(shí)，網(wǎng)絡(luò)運(yùn)營(yíng)者無須主動(dòng)對(duì)信息主體進(jìn)行披露，以及采取防控措施。

3.完善侵害個(gè)人信息的民事責(zé)任追究制度

侵害個(gè)人信息的民事責(zé)任追究應(yīng)當(dāng)適用何種歸責(zé)原則，是侵害個(gè)人信息民事責(zé)任制度中需要考量的重要問題。《中華人民共和國(guó)侵權(quán)責(zé)任法》及尚未生效的《中華人民共和國(guó)民法典》侵權(quán)責(zé)任編中過錯(cuò)責(zé)任原則是侵權(quán)損害賠償最基本的歸責(zé)原則，如果要適用過錯(cuò)推定責(zé)任原則或者無過錯(cuò)責(zé)任原則，應(yīng)當(dāng)以法律的明文規(guī)定為前提。我國(guó)現(xiàn)有的法律并未對(duì)侵害個(gè)人信息的歸責(zé)原則規(guī)定為過錯(cuò)推定責(zé)任或無過錯(cuò)責(zé)任，因此現(xiàn)有制度中侵害個(gè)人信息的歸責(zé)原則為過錯(cuò)責(zé)任原則。在未來的個(gè)人信息保護(hù)法或相關(guān)法律制定中，可以考量將這一類型的歸責(zé)原則設(shè)計(jì)為無過錯(cuò)責(zé)任原則。在無過錯(cuò)責(zé)任原則下，當(dāng)被侵權(quán)人對(duì)侵權(quán)人提起個(gè)人信息侵權(quán)之訴時(shí)，無須證明侵權(quán)人存在過錯(cuò)，侵權(quán)人只有存在法定的免責(zé)事由時(shí)才能免除侵權(quán)責(zé)任[4]。原因在于，適用無過錯(cuò)責(zé)任原則能夠更好地保護(hù)個(gè)人的合法權(quán)益。在大數(shù)據(jù)時(shí)代，如果適用過程責(zé)任原則，要求個(gè)人證明侵權(quán)人在信息收集、處理或使用過程中存在過錯(cuò)并非易事，這很可能造成個(gè)人因舉證不能而承擔(dān)不利的法律后果。同時(shí)，在規(guī)定無過錯(cuò)責(zé)任原則時(shí)，可以進(jìn)一步規(guī)定網(wǎng)絡(luò)運(yùn)營(yíng)者的免責(zé)事由，比如以合法途徑獲取的個(gè)人信息、個(gè)人已在網(wǎng)絡(luò)上公開的信息、為公共利益的目的而使用信息的行為等。