大數(shù)據(jù)時(shí)代個(gè)人信息法律保護(hù)的基本原則研究

關(guān)鍵詞 大數(shù)據(jù)時(shí)代 個(gè)人信息 法律保護(hù) 基本原則

基金項(xiàng)目：廣州市哲學(xué)社會(huì)科學(xué)發(fā)展“十三五”規(guī)劃2018 年度課題《大數(shù)據(jù)時(shí)代個(gè)人信息法律保護(hù)研究》（2018GZGJ140）。

作者簡(jiǎn)介：李苑，廣州商學(xué)院法學(xué)院教師，研究方向：行政法。

中圖分類(lèi)號(hào)：D920.4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.08.096

如今，我們處于大數(shù)據(jù)時(shí)代，收集、處理、利用個(gè)人信息成為一種常見(jiàn)的現(xiàn)象。作為法律的靈魂，基本原則集中地反映了個(gè)人信息法律保護(hù)的本質(zhì)和內(nèi)在規(guī)律，是個(gè)人信息的“安全閥”。域外很多國(guó)家和地區(qū)在個(gè)人信息保護(hù)法中明確了個(gè)人信息法律保護(hù)的基本原則。在大數(shù)據(jù)時(shí)代，通過(guò)對(duì)比分析國(guó)外的相關(guān)經(jīng)驗(yàn)，聯(lián)系我國(guó)的實(shí)際情況，確立個(gè)人信息法律保護(hù)的基本原則意義重大。

一、確立我國(guó)個(gè)人信息法律保護(hù)基本原則的價(jià)值

（一）對(duì)推動(dòng)相關(guān)立法工作將產(chǎn)生積極的影響

法律原則，是法在調(diào)整社會(huì)關(guān)系時(shí)堅(jiān)持的準(zhǔn)則和立場(chǎng)，其中的基本原則是法律的精髓，對(duì)于法律的立、修、廢及司法活動(dòng)起指導(dǎo)性的作用?；驹瓌t集中地反映了個(gè)人信息保護(hù)的本質(zhì)、規(guī)律。我國(guó)相關(guān)立法工作已取得較大進(jìn)步，但仍存在一定的改進(jìn)空間。大數(shù)據(jù)背景下，泄露、濫用個(gè)人信息事件時(shí)常出現(xiàn)，確立個(gè)人信息法律保護(hù)的基本原則，對(duì)推進(jìn)我國(guó)個(gè)人信息立法工作，對(duì)規(guī)制相關(guān)的個(gè)人信息行為均將發(fā)揮重大的作用。

（二）對(duì)完善我國(guó)個(gè)人信息法律保護(hù)制度有重大意義

基本原則是法的精神實(shí)質(zhì)，體現(xiàn)了法的指導(dǎo)思想。在進(jìn)行法律的立、修、廢時(shí)，必須將基本原則作為依據(jù)，絕對(duì)不能違背這些抽象的、穩(wěn)定的準(zhǔn)則。在司法適用中，當(dāng)遇到疑難案件時(shí)，基本原則能夠?yàn)樗痉ㄕ咧该鞣较?。在遵循基本原則的基礎(chǔ)上，可以確立信息主體的權(quán)利和信息處理者的權(quán)利、義務(wù)，規(guī)范信息處理者的行為，使個(gè)人信息良性流動(dòng)。

（三）對(duì)應(yīng)對(duì)大數(shù)據(jù)背景下個(gè)人信息安全問(wèn)題將起到積極的作用

個(gè)人信息安全是大數(shù)據(jù)時(shí)代我們必須面對(duì)和解決的問(wèn)題。信息收集者、處理者、利用者在進(jìn)行信息行為時(shí)，必須嚴(yán)格遵守個(gè)人信息法律保護(hù)的基本原則。如果違反基本原則，要追究行為人的法律責(zé)任。在實(shí)踐中，基本原則是個(gè)人信息法律保護(hù)的“安全閥”?；驹瓌t的確立，對(duì)規(guī)范和制約有關(guān)信息行為，對(duì)應(yīng)對(duì)大數(shù)據(jù)背景下個(gè)人信息安全問(wèn)題起舉足輕重的作用。

二、域內(nèi)外的探討及實(shí)踐

（一）域外的實(shí)踐

域外對(duì)個(gè)人信息法律保護(hù)基本原則的立法實(shí)踐起步較早，具有典型意義的主要有三個(gè)文件，它們規(guī)定的基本原則被很多國(guó)家所仿效。

經(jīng)濟(jì)合作與發(fā)展組織出臺(tái)的《隱私保護(hù)與個(gè)人數(shù)據(jù)信息國(guó)際流通的指針建議》（以下簡(jiǎn)稱(chēng)1980年《指針建議》）規(guī)定了八項(xiàng)原則： 限制收集原則、完整正確原則、目的明確原則、限制利用原則、安全保護(hù)原則、公開(kāi)原則、個(gè)人權(quán)利原則、責(zé)任原則。

聯(lián)合國(guó)大會(huì)通過(guò)的《關(guān)于自動(dòng)資料檔案中個(gè)人數(shù)據(jù)信息的指南》（以下簡(jiǎn)稱(chēng)1990年《指南》）對(duì)此也有規(guī)定。與1980年《指針建議》比較，1990年《指南》在規(guī)定基本原則時(shí)有一個(gè)重大的變化，即不包括公開(kāi)原則。這一變化是否合理值得深思。

歐盟發(fā)布的《關(guān)于涉及個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及此類(lèi)數(shù)據(jù)自由流動(dòng)的第95/46/EC號(hào)指令》（以下簡(jiǎn)稱(chēng)1995年《指令》）對(duì)此也進(jìn)行了明確。與1980年《指針建議》進(jìn)行比較，1995年《指令》確立的基本原則保留了公開(kāi)原則，增加了非敏感數(shù)據(jù)處理的合法性原則、個(gè)人數(shù)據(jù)主體的查詢(xún)權(quán)原則、拒絕權(quán)原則、自主決定權(quán)原則、獲得救濟(jì)原則等。可見(jiàn)，1995年《指令》更關(guān)注對(duì)數(shù)據(jù)主體權(quán)利的細(xì)化及保護(hù)。

（二）國(guó)內(nèi)的研究現(xiàn)狀和實(shí)踐

無(wú)論在我國(guó)理論界還是在實(shí)踐中，個(gè)人信息法律保護(hù)基本原則都是一個(gè)重要的問(wèn)題。

近年來(lái)，我國(guó)學(xué)者對(duì)此有一定探討，截止目前尚未形成統(tǒng)一的意見(jiàn)，主要有“四原則說(shuō)”“五原則說(shuō)”“七原則說(shuō)”“八原則說(shuō)”等。比如：洪海林完全贊同1980年《指針建議》確立的八項(xiàng)基本原則[1]。齊愛(ài)民提出“五原則說(shuō)”，即知情同意原則、目的明確原則、限制利用原則、完整正確原則、安全原則[2]。馮心明、戎魏魏主張“四原則說(shuō)”，即確認(rèn)個(gè)人信息的私有財(cái)產(chǎn)權(quán)性質(zhì)原則、合法性原則、安全性原則、平衡原則[3]。周漢華提出“七原則說(shuō)”，即合法原則、權(quán)利保護(hù)原則、利益平衡原則、信息質(zhì)量原則、信息安全原則、職業(yè)義務(wù)原則、救濟(jì)原則[4]。通過(guò)對(duì)比分析，筆者認(rèn)為，我國(guó)學(xué)者在一定程度上對(duì)1980年《指針建議》確立的基本原則予以認(rèn)可，并以此作為藍(lán)本，聯(lián)系我國(guó)具體情況提出自己的觀點(diǎn)。

關(guān)于個(gè)人信息保護(hù)，我國(guó)工業(yè)和信息化部曾出臺(tái)了具有指導(dǎo)性意義的文件。2011年，出臺(tái)了《信息安全技術(shù)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱(chēng)2011年《指南》）。在2011年《指南》中，明確個(gè)人信息保護(hù)應(yīng)堅(jiān)持目的明確、公開(kāi)透明、安全保障等七項(xiàng)原則。在次年出臺(tái)的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱(chēng)2012年《指南》）中，規(guī)定個(gè)人信息保護(hù)應(yīng)堅(jiān)持目的明確、最少夠用、公開(kāi)告知、安全保障等八項(xiàng)原則。對(duì)兩個(gè)《指南》進(jìn)行比較，2012年《指南》比2011年《指南》規(guī)定的基本原則的內(nèi)容更多，然而有的表達(dá)顯得創(chuàng)新性不足，且與域外較通行的原則有一定的出入，如在2012年《指南》中，公開(kāi)告知原則取代了公開(kāi)透明原則[5]。

在我國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（2017年）中，規(guī)定了個(gè)人信息安全應(yīng)遵循目的明確、最少夠用、公開(kāi)透明、確保安全等七項(xiàng)原則。

筆者認(rèn)為，基本原則是否全面，不應(yīng)僅僅看數(shù)量多少，關(guān)鍵看其包含的內(nèi)容。從整體上來(lái)看，兩個(gè)《指南》及《信息安全技術(shù) 個(gè)人信息安全規(guī)范》借鑒了域外的實(shí)踐經(jīng)驗(yàn)，故應(yīng)對(duì)域外經(jīng)驗(yàn)進(jìn)行分析比較，聯(lián)系當(dāng)今我國(guó)的實(shí)際情況，理性地將其本土化。

三、我國(guó)個(gè)人信息法律保護(hù)基本原則的內(nèi)容

（一）目的明確原則

為確保公民個(gè)人信息安全，在收集、處理個(gè)人信息時(shí)，應(yīng)堅(jiān)持目的明確原則。所謂目的明確，是指只有基于確定且合法的目的，才能收集、處理個(gè)人信息，在信息活動(dòng)著手前已經(jīng)確定該目的，且應(yīng)一直在該目的范圍內(nèi)開(kāi)展信息活動(dòng)。如在開(kāi)展外賣(mài)送餐業(yè)務(wù)時(shí)，客戶(hù)需提供自己的姓名、電話(huà)號(hào)碼、地址，這是保證外賣(mài)送餐業(yè)務(wù)順利進(jìn)行必須收集的客戶(hù)信息。需注意，目的明確原則要求對(duì)個(gè)人信息的收集需達(dá)到能夠識(shí)別信息主體的程度，而識(shí)別標(biāo)準(zhǔn)應(yīng)根據(jù)一般人的認(rèn)識(shí)能力衡量確定，不能由信息收集者、信息處理者確定。

（二）限制收集原則

限制收集包括個(gè)人信息收集目的限制、數(shù)量限制、時(shí)間限制和使用限制等。一個(gè)信息活動(dòng)通常包括信息收集、利用、處理等階段，限制收集原則在第一個(gè)環(huán)節(jié)就應(yīng)遵循，收集目的確定之后，必須圍繞該目的收集個(gè)人信息。收集時(shí)應(yīng)堅(jiān)持信息數(shù)量最小化原則，同時(shí)應(yīng)限制信息的儲(chǔ)存時(shí)間、處理范圍等。如在外賣(mài)送餐業(yè)務(wù)中，為保證配送及時(shí)、正確，必須掌握訂餐者的姓名、電話(huà)號(hào)碼和地址，但訂餐者的職業(yè)、身份證號(hào)碼等信息則明顯超出了收集的范圍。

（三）公開(kāi)原則

公開(kāi)原則，是指信息活動(dòng)中需遵守的規(guī)則必須向信息主體公開(kāi)，促使信息主體的自決權(quán)等權(quán)利得以實(shí)現(xiàn)。需明確，公開(kāi)的是規(guī)則，而不是信息的內(nèi)容。假如這些規(guī)則不公開(kāi)透明，由于信息主體缺乏相關(guān)知識(shí)，通常也不愿消耗大量的時(shí)間、財(cái)力，他們不能在平等的基礎(chǔ)上與信息收集者、信息處理者進(jìn)行磋商，使信息主體在談判中處于明顯的劣勢(shì)地位。

公開(kāi)的內(nèi)容包括：信息控制者、收集目的、收集范圍、使用方式、使用期限、信息加工處理的方式、法律責(zé)任等。信息主體在了解規(guī)則之后，才能理智地選擇是否向信息控制者提供自己的個(gè)人信息。

在收集個(gè)人信息時(shí)，信息控制者應(yīng)當(dāng)在合理的期限內(nèi)采用注冊(cè)協(xié)議等方式通知信息主體，確保其知情權(quán)得以實(shí)現(xiàn)。

（四）限制利用原則

大數(shù)據(jù)背景下，產(chǎn)業(yè)主體基于正當(dāng)?shù)哪康?，可以收集、處理公民的個(gè)人信息，而實(shí)施這些行為的前提是基于特定正當(dāng)?shù)哪康?，若超出目的范圍?shí)施其他無(wú)關(guān)的信息行為即為非法，這體現(xiàn)了限制利用原則。限制利用原則要求信息控制者在處理個(gè)人信息時(shí)，應(yīng)在符合特定目的的前提下，使用、披露他人的個(gè)人信息、進(jìn)行數(shù)據(jù)庫(kù)的轉(zhuǎn)移、處置。在特殊情況下，如取得信息主體的同意，可以超出目的范圍。例如，目前，在畢業(yè)生就業(yè)信息系統(tǒng)中，可以采集到姓名、工作單位、聯(lián)系電話(huà)、聯(lián)系地址、工作年限等有關(guān)學(xué)生就業(yè)情況的信息。達(dá)到預(yù)先設(shè)定的目的后，除為公共利益而做的必要保留之外，收集者應(yīng)及時(shí)清除獲取的個(gè)人信息，避免這些信息落入不法分子手中造成安全隱患。

（五）安全保護(hù)原則

安全保護(hù)是域外立法一致采用的一項(xiàng)原則。例如，在《德國(guó)聯(lián)邦數(shù)據(jù)保護(hù)法》的附件中，要求對(duì)不同類(lèi)型的數(shù)據(jù)，采用相應(yīng)的保護(hù)措施，包括入口管制、出口管制、取用管制、傳遞管制、委托管制、運(yùn)送管制等?！兜聡?guó)聯(lián)邦數(shù)據(jù)保護(hù)法》為數(shù)據(jù)提供了非常周全的保護(hù)措施，且貫穿數(shù)據(jù)活動(dòng)的不同階段，具有一定的借鑒意義。

大數(shù)據(jù)背景下，安全保護(hù)原則確實(shí)給個(gè)人信息安全注射了一劑鎮(zhèn)定藥。安全保護(hù)原則對(duì)信息控制者提出了要求：必須制定嚴(yán)格的保密規(guī)則、具備相應(yīng)的軟硬件設(shè)施。安全保護(hù)實(shí)際上是信息控制者的一項(xiàng)法定義務(wù)，信息控制者對(duì)收集、控制的公民個(gè)人信息，負(fù)有采取措施保障信息安全與信息流通平衡的義務(wù)。

參考文獻(xiàn)：

[1]洪海林.個(gè)人信息的民法保護(hù)研究[J].中國(guó)社會(huì)科學(xué)院，2007：186.

[2]齊愛(ài)民.中華人民共和國(guó)個(gè)人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué)，2005（6）：2-5.

[3]馮心明，戎魏魏.個(gè)人信息保護(hù)立法若干問(wèn)題思考[J].華南師范大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2007（8）：20-24+35+157.

[4]周漢華.中華人民共和國(guó)個(gè)人信息保護(hù)法（專(zhuān)家建議稿）及立法研究報(bào)告[R].北京：法律出版社，2006：1-2.

[5]石佳友.網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2012（6）：85-96.