淺析大數(shù)據(jù)時代個人信息的法律保護(hù)

劉帆

摘要：隨著信息數(shù)據(jù)的爆發(fā)式增長，個人信息的保護(hù)愈加困難，個人信息泄露和侵權(quán)事件層出不窮，這對民法如何保護(hù)個人信息和救濟(jì)受害者權(quán)益提出了新的挑戰(zhàn)。有關(guān)個人信息應(yīng)作為隱私權(quán)保護(hù)還是作為獨立的權(quán)利進(jìn)行保護(hù)尚未達(dá)成共識，各國提供不同的立法模式如何取舍也仍未明晰，亟需在立法和司法上對該問題做出回應(yīng)。為進(jìn)一步完善個人信息的民法保護(hù)，規(guī)范個人信息管理和使用，應(yīng)制定《個人信息保護(hù)法》，明確規(guī)定主體對個人信息享有的權(quán)利和信息管理者的義務(wù)，完善個人信息侵權(quán)訴訟制度，同時，還要加強(qiáng)公共監(jiān)管，以公權(quán)力介入企業(yè)個人信息管理，規(guī)范行業(yè)制度，為隱私保護(hù)筑起高墻。

關(guān)鍵詞：大數(shù)據(jù);個人信息;隱私權(quán)

中圖分類號：DF49 ? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1005-913X（2019）07-0063-03

一、問題的提出——以典型案例為視角

2014年10月11日，龐某委托魯超通過去哪兒網(wǎng)平臺訂購了機(jī)票1張。去哪兒網(wǎng)訂單詳情頁面顯示該訂單登記的乘機(jī)人信息包括原告姓名及身份證號，聯(lián)系人信息、報銷信息均為魯超及其尾號1858的手機(jī)號。13日，龐某尾號9949手機(jī)號收到號短信，提示龐某所定MU5492航班已取消，要求龐某支付改簽費20元。魯超知曉上述短信后撥打東航客服電話予以核實，客服人員確認(rèn)該次航班正常，并提示龐某收到的短信應(yīng)屬詐騙短信。而魯超購買本案機(jī)票時未留存龐某手機(jī)號，龐某遂以個人信息被泄露、個人隱私遭到嚴(yán)重侵犯為由起訴趣拿公司和東航公司。法院認(rèn)為，姓名、電話號碼及行程安排等事項屬于個人信息。隨著對個人信息保護(hù)的重視，隱私權(quán)中已經(jīng)被認(rèn)為可以包括個人信息自主的內(nèi)容，即個人有權(quán)自主決定是否公開及如何公開其整體的個人信息。將姓名、手機(jī)號和行程信息結(jié)合起來的信息歸入個人隱私進(jìn)行一體保護(hù)，也符合信息時代個人隱私、個人信息電子化的趨勢。

從現(xiàn)有證據(jù)看，龐某已經(jīng)證明自己是通過去哪兒網(wǎng)在東航官網(wǎng)購買機(jī)票，東航和趣拿公司以及中航信都有能力和條件將龐某的姓名、手機(jī)號和行程信息匹配在一起。第三人將這些信息匹配在一起的可能性非常低，東航和趣拿公司存在泄露龐某隱私信息的高度可能，并且存在過錯，應(yīng)當(dāng)承擔(dān)侵犯隱私權(quán)的相應(yīng)侵權(quán)責(zé)任。

在現(xiàn)實生活中大量存在著類似上述案件的個人信息泄漏事件，如滴滴、攜程大數(shù)據(jù)殺熟，F(xiàn)acebook泄漏五千萬客戶信息，華住集團(tuán)旗下酒店打包出售五億客戶數(shù)據(jù)等，個人信息買賣似乎已形成產(chǎn)業(yè)鏈。在利益的驅(qū)使下，對公民隱私的保護(hù)和交易引發(fā)的安全隱患被漠視，平臺和商家竭力挖掘數(shù)據(jù)背后隱藏的巨大商業(yè)價值，數(shù)據(jù)之爭甚至引發(fā)了阿里、騰訊、順豐之間的大戰(zhàn)。公民的隱私權(quán)被嚴(yán)重侵犯，個人信息泄漏引發(fā)的安全問題也頻繁發(fā)生，昭示著民法對于個人信息保護(hù)的不健全，這主要表現(xiàn)在以下幾方面。

第一，個人信息民事權(quán)利的定位不明?！睹穹倓t》第111條規(guī)定：自然人的個人信息受法律保護(hù)。任何組織和個人需要獲取他人個人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。但是該條并沒有明確個人信息的保護(hù)方式，究竟是作為法益進(jìn)行保護(hù)，還是作為“個人信息權(quán)”進(jìn)行保護(hù)，需要進(jìn)一步明確。有學(xué)者認(rèn)為個人信息權(quán)是隱私權(quán)的一種，應(yīng)將個人信息作為隱私進(jìn)行保護(hù)。有學(xué)者認(rèn)為由于個人信息具有明顯的經(jīng)濟(jì)價值，在定位時應(yīng)當(dāng)強(qiáng)調(diào)其財產(chǎn)屬性。有關(guān)個人信息法律屬性的爭鳴尚未達(dá)成共識，法院以“隱私權(quán)糾紛”對個人信息進(jìn)行保護(hù)，但是個人信息權(quán)與隱私權(quán)不能完全等同，雖然個人信息與隱私具有一定的交叉，但隱私權(quán)制度的重心在于防范個人秘密不被非法披露，而對于個人信息的侵犯則在于非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態(tài)，兩者不能混同，應(yīng)當(dāng)將個人信息權(quán)作為獨立的人格權(quán)進(jìn)行保護(hù)。

第二，個人信息侵權(quán)責(zé)任不明確。個人信息侵權(quán)糾紛的責(zé)任不明確，尤其是未明確是否可以獲得精神損害。個人信息具有較高的經(jīng)濟(jì)價值，而個人信息的泄漏、出賣會為受害人帶來極大的損害，這種損害往往是潛在的難以計算和證明的。在目前的案件個人信息侵權(quán)案件中，即使勝訴，受害人也僅僅受到象征性的賠償，難以填平損失。這將嚴(yán)重打擊當(dāng)事人起訴的積極性，尤其是在勝訴幾率本就不大的情況下。更重要的是，較低的賠償無法對掌握信息的平臺、商家形成威懾，有可能放縱他們繼續(xù)侵犯個人信息權(quán)。

第三，個人信息侵權(quán)訴訟舉證困難。個人信息侵權(quán)訴訟案件中，原告是一般公民，被告是網(wǎng)絡(luò)平臺或大型企業(yè)，兩者具有明顯的信息不對稱，而且原告在資金技術(shù)、人力資源方面都明顯弱于被告，兩者的訴訟實力不平衡。在目前的舉證制度下，根據(jù)“誰主張，誰舉證”，原告需證明被告泄漏或出售原告?zhèn)€人信息的事實，而在原告對個人信息已失去掌控的情況下，這根本是無法完成的任務(wù)。由于個人信息侵權(quán)行為較為隱蔽，即使存在證據(jù)一般也掌握在被告的手中，原告無從知曉被告儲存利用原告信息的過程，更加無法證明，只能承擔(dān)舉證責(zé)任的不利后果，即駁回訴訟請求。大數(shù)據(jù)時代信息保護(hù)的障礙：只要使用軟件，個人數(shù)據(jù)就會悄然無聲的轉(zhuǎn)移到網(wǎng)絡(luò)服務(wù)商，傳統(tǒng)信息保護(hù)的方式已失去作用，需要建立新的個人信息保護(hù)路徑，喚醒公民信息權(quán)利意識，規(guī)范信息管理者對信息的采集和使用。

二、個人信息基礎(chǔ)理論

（一）個人信息的概念

學(xué)界關(guān)于個人信息定義有多種學(xué)說，有的學(xué)者認(rèn)為：“個人信息是現(xiàn)實當(dāng)中不希望被他人知道的或是個人對這部分信息很看重而不希望別人知曉的信息?！庇械膶W(xué)者認(rèn)為：“個人信息包括自己的私人生活有關(guān)的信息和所參與的社會活動和組織性的個體活動信息?！薄稓W洲數(shù)據(jù)保護(hù)公約》的理解是：凡是與一個人有關(guān)并且根據(jù)該信息能夠被他人識別的信息就是個人信息，這種信息可以是直接的或者間接的，也可以是物質(zhì)的或精神的。法律保護(hù)個人信息一方面是出于對隱私的尊重，另一方面，個人信息具有一定的價值，并且存在被不當(dāng)使用而造成威脅的可能。因此，個人信息應(yīng)當(dāng)突出其價值，并且能夠與其他信息相區(qū)分，筆者認(rèn)為，應(yīng)當(dāng)采用以下定義：個人信息是指與個人相關(guān)的、不希望被他人知曉的且能夠與個人相匹配的一切信息。

（二）個人信息的法律特征

個人信息在大數(shù)據(jù)時代成為了一種被爭奪的商業(yè)資源，從法律特征上說，它具有人格屬性和財產(chǎn)屬性。首先，個人信息的主題必須是自然人。當(dāng)然，也有部分國家認(rèn)為個人信息的主體不限于自然人，也包括法人等主體。但是法人沒有完整的人格權(quán)，并且其信息更側(cè)重于商業(yè)價值，應(yīng)該以商業(yè)秘密的形式進(jìn)行保護(hù)，不應(yīng)該列入個人信息的范疇。其次，個人信息應(yīng)與主體有密切的聯(lián)系，能夠與其他信息相區(qū)別，并通過能夠信息第一時間確認(rèn)信息主體，既具有可識別性。再次，個人信息應(yīng)具有一定的價值，可以被利用或者轉(zhuǎn)化成一定的利益。這一價值對于網(wǎng)絡(luò)公司來說尤為明顯，利用信息數(shù)據(jù)分割市場，掌握消費習(xí)慣和偏好，奪取更多消費者剩余，創(chuàng)造更多的經(jīng)濟(jì)利益。

（三）個人信息保護(hù)理論

1.個人信息控制權(quán)學(xué)說。個人信息控制權(quán)學(xué)說認(rèn)為，個人信息的主體有權(quán)決定個人信息何時何地被使用，任何人要使用主體的個人信息都必須經(jīng)過許可。個人信息控制學(xué)說強(qiáng)調(diào)主體對信息積極的控制，但這種控制可能會造成信息流通的障礙。

2.個人信息財產(chǎn)權(quán)保護(hù)理論。個人信息財產(chǎn)權(quán)保護(hù)理論認(rèn)為，個人信息是一種財產(chǎn)權(quán)利，主體對個人信息享有所有權(quán)，對信息財產(chǎn)的處分、利用是個人信息所有者的權(quán)利，他人不得干涉和侵犯。經(jīng)濟(jì)學(xué)家認(rèn)為這種理論能夠提高個人信息的使用效率，呼應(yīng)大數(shù)據(jù)對信息保護(hù)的現(xiàn)實需求，更能夠有效應(yīng)對信息數(shù)據(jù)倒賣和泄漏的問題。

三、域外個人信息保護(hù)模式

（一）美國

美國將個人信息作為隱私權(quán)進(jìn)行保護(hù)，主要有決定權(quán)、知情權(quán)、更正權(quán)三項權(quán)力。在信息采集過程中規(guī)定：未經(jīng)信息主體個人許可，不得采用不合理入侵的方式方法獲取其私人信息。在信息披露過程中，美國法律規(guī)定：必須取得主體許可，否則只有在公共領(lǐng)域的日常信息和本人自愿公開的公共領(lǐng)域非常規(guī)信息;只可在明確許可范圍內(nèi)披露。值得注意的是，美國對兒童信息保護(hù)設(shè)定了較為嚴(yán)苛的標(biāo)準(zhǔn)，要求收集13歲以下兒童信息時取得家長同意，收集13歲到16歲未成年信息時應(yīng)當(dāng)讓家長有機(jī)會監(jiān)督，希望監(jiān)護(hù)人承擔(dān)保護(hù)兒童信息的責(zé)任。

（二）德國

德國是典型的將個人信息作為一般人格權(quán)進(jìn)行保護(hù)的國家，規(guī)定了“信息自決權(quán)”。信息自決權(quán)的主要含義是，個人對于自己的個人信息有決定何時何地采用何種方式公開的權(quán)利，并且其他公司或機(jī)構(gòu)公開個人信息必須取得明確的授權(quán)，使用所收集的數(shù)據(jù)必須具有嚴(yán)格且明確的目的，對于個人信息權(quán)利的限制只能由法律規(guī)定。

（三）歐盟

歐盟關(guān)于個人信息保護(hù)的規(guī)定主要有《歐盟數(shù)據(jù)保護(hù)基本條例》《個人數(shù)據(jù)保護(hù)指令》等。歐盟法律規(guī)定，在一定期限內(nèi)，信息主體可以免費獲得個人信息并可以校對;主體可以對他人收集自己個人信息的行為提出異議，并通過法律手段追究其自認(rèn);對違法使用個人信息的行為可以通過民事訴訟要求賠償;個人信息有權(quán)要求被遺忘，即要求他人刪除或者停止傳播。歐盟還建立了專門的監(jiān)督機(jī)關(guān)以保護(hù)個人信息，通過行政處罰的方式加強(qiáng)對濫用個人信息行為的威懾。

（四）小結(jié)

美國、德國、歐盟對個人信息采用了不同形式的保護(hù)，有各自的優(yōu)勢所在：美國注重信息的流通，享受該模式帶來的效率和便利，德國和歐盟給予了個人信息更嚴(yán)格和平等的保護(hù)，更注重私人權(quán)利和人格尊嚴(yán)。我國從法律體系和發(fā)展趨勢上看，宜采用德國模式，將個人信息權(quán)作為獨立的人格權(quán)進(jìn)行保護(hù)。并且借鑒歐盟，以嚴(yán)格的立法規(guī)制，建立完備的個人信息法律保護(hù)體系，以應(yīng)對我國個人信息侵權(quán)泛濫、數(shù)據(jù)泄漏事件頻發(fā)等問題。

四、改善個人信息保護(hù)的建議

（一）制定《個人信息保護(hù)法》

信息數(shù)據(jù)被公司泄漏和出售的事件層出不窮，個人信息販賣已經(jīng)形成產(chǎn)業(yè)鏈，信息的不當(dāng)使用埋下了諸多安全隱患，威脅著網(wǎng)絡(luò)安全和社會穩(wěn)定。急需制定《個人信息保護(hù)法》，明確個人信息的法律定位，建立系統(tǒng)、科學(xué)的個人信息保護(hù)體系，完善個人信息保護(hù)和救濟(jì)途徑?！秱€人信息保護(hù)法》應(yīng)界定個人信息權(quán)的內(nèi)涵和外延，明確規(guī)定知情權(quán)、決定權(quán)、選擇權(quán)、刪除權(quán)等內(nèi)容;明確信息管理者的義務(wù)和法律責(zé)任，確定個人信息權(quán)保護(hù)的原則等。制定《個人信息保護(hù)法》，既能夠回應(yīng)社會對個人信息數(shù)據(jù)保護(hù)的強(qiáng)烈需求，又能夠順應(yīng)國際趨勢，與發(fā)達(dá)經(jīng)濟(jì)體保持一致，避免對我國貿(mào)易產(chǎn)生不良影響。

（二）完善個人信息訴訟制度

個人信息侵權(quán)事件頻發(fā)，引發(fā)的訴訟也越來越多。但是訴訟效果并不理想，表現(xiàn)在舉證困難、難以獲得賠償?shù)确矫?。?yīng)該考慮個人信息侵權(quán)案件原被告實力相差懸殊、證據(jù)親被告遠(yuǎn)原告、被告易于證明等因素，并結(jié)合保護(hù)公共利益、傾斜保護(hù)弱者原則，弱化個人信息侵權(quán)的證明標(biāo)準(zhǔn)，即原告只需證明被告掌握原告?zhèn)€人信息、被告存在不當(dāng)使用的可能性即可，由被告舉證說明其儲存、利用的過程以證實其不存在濫用的行為并盡到了妥善保管的義務(wù)。在損害賠償方面，應(yīng)確定個人信息侵權(quán)可獲得精神賠償，賠償數(shù)額根據(jù)侵權(quán)人的過錯程度獲利情況合理確定。

（三）加強(qiáng)公共監(jiān)管

個人信息數(shù)據(jù)具有經(jīng)濟(jì)價值，僅靠市場和行業(yè)自律難以規(guī)范個人信息的采集和使用。為進(jìn)一步保護(hù)個人信息安全和公共利益，應(yīng)運(yùn)用公權(quán)力監(jiān)管信息控制者，構(gòu)建完善的監(jiān)督體系和監(jiān)督制度。具體而言，應(yīng)建立個人信息保護(hù)部門，行使監(jiān)管權(quán)和執(zhí)法權(quán)，以刑事手段和行政手段相結(jié)合的方式，規(guī)范信息獲取和利用，處罰不當(dāng)使用個人信息的行為，加強(qiáng)個人信息的事前保護(hù)和事后救濟(jì)。

參考文獻(xiàn)：

[1] 梁慧星.民商法論叢（第 43 卷）[M].北京：法律出版社，2009 .

[2] 崔聰聰.個人信息保護(hù)法研究[M].北京：北京郵電大學(xué)出版社，2015.

[3] 刁勝先.個人信息網(wǎng)絡(luò)侵權(quán)問題研究[M].上海：上海三聯(lián)書店，2013.

[4] 王利明.隱私權(quán)的新發(fā)展[J].人大法學(xué)評論，2009（1）.

[責(zé)任編輯：方 曉]