論大數(shù)據(jù)時代個人信息保護困境及對策研究

陜西理工大學 左容先

一、大數(shù)據(jù)時代個人信息的保護現(xiàn)狀

隨著科技的飛速發(fā)展，個人信息已然成為這個時代不可或缺的生產(chǎn)要素。個人信息的內(nèi)涵也逐漸呈現(xiàn)擴張趨勢。2014年可被視為我國采用立法手段保護個人信息的分水嶺。在此之前，在立法層面對個人信息的保護大多僅僅觸及對隱私權(quán)的保護，而關(guān)于公民個人隱私保護的條款僅散見于各類法律之中，隱私權(quán)侵權(quán)糾紛是民事侵權(quán)糾紛訴訟的重要訴由。2014年之后發(fā)布實施的法律、規(guī)章、其他規(guī)范性文件中，有關(guān)于個人信息的保護體現(xiàn)有:《網(wǎng)絡(luò)安全法》第四十條至五十條規(guī)定了網(wǎng)絡(luò)運營者收集個人信息應(yīng)遵循的原則、使用個人信息的要求、防止個人信息泄露的措施、監(jiān)管制度與相關(guān)禁止事項；《互聯(lián)網(wǎng)用戶賬號名稱管理規(guī)定》第四條的規(guī)定較上述兩部法律而言，其差異則是條文更為精細化，其中明確互聯(lián)網(wǎng)信息服務(wù)者應(yīng)完善用戶服務(wù)協(xié)議，明示互聯(lián)網(wǎng)信息服務(wù)使用者的注冊信息中不得出現(xiàn)違法和不良信息，配備專業(yè)人員對用戶提交的信息進行審核等。筆者認為個人信息雖是隱私權(quán)的一個重要組成部分，但也并非完全重合，加大對個人信息進行直接保護的立法工作，有利于提升個人信息的法律地位和公民的重視程度。

然而現(xiàn)行的保護個人信息的立法中仍存在立法層次較低、分散且實操性不強等主要問題。2021年我國已進入民法典時代，《民法典》人格權(quán)編中對個人信息保護的條文中確立了個人信息的請求權(quán)基礎(chǔ)，幫助信息主體實施對其個人信息實施侵害的數(shù)據(jù)控制者請求公力救濟?！睹穹ǖ洹烦欣^了《侵權(quán)責任法》，在《侵權(quán)責任法》侵權(quán)責任編第一千一百九十四條到第一千一百九十八條中，細化了網(wǎng)絡(luò)用戶及網(wǎng)絡(luò)服務(wù)提供者之間的法律關(guān)系，但內(nèi)容局限于“通知”與“刪除”兩個步驟，已不能完全適應(yīng)現(xiàn)階段復雜多變的網(wǎng)絡(luò)環(huán)境中存在的侵權(quán)案件。

二、大數(shù)據(jù)時代個人信息保護的困境

（一）個人信息界定模糊

1.個人信息的復雜性

個人信息具有種類多和關(guān)聯(lián)性強的特性，這兩大特性也決定了對其保護的難度非同小可。個人信息不僅是一個單獨的個體，可對其通過計算機算法進行數(shù)據(jù)的比對分析輕易達到數(shù)據(jù)控制者的目的，這也是個人信息具有財產(chǎn)權(quán)益的宿命?，F(xiàn)階段法律所保護的個人信息大多是最初始狀態(tài)的個人信息，如:姓名、性別、年齡、住址、身份證號碼等不用再次加工處理特定主體的信息。但公民在網(wǎng)絡(luò)活動中所殘留的信息也應(yīng)受到立法者更多的重視，如網(wǎng)頁瀏覽記錄、線上交易記錄等極易產(chǎn)生巨大灰色收入的地帶。

2.個人信息邊界不清晰

個人信息的邊界是非常寬泛的，法律如果不明文規(guī)定其保護的范圍，將極易造成信息主體的個人信息受到保護不足的尷尬境地?！睹穹ǖ洹返谝磺Я闳臈l對個人信息做出了界定，通過識別性和開放式列舉的方式對個人信息進行了歸納。但可識別性具有較強的主觀因素，易因不同主體認識的不同而產(chǎn)生波動，實際操作性較弱。在司法實踐中，若出現(xiàn)不屬于列舉的個人信息的范疇，則需要法官動用法理及其生活經(jīng)驗進行不偏離法律基本原則的自由裁量，可能會出現(xiàn)同案不同判的尷尬局面。而開放式列舉也存在一定的弊端，極易造成個人信息的范疇過大或過小，使個人信息認定出現(xiàn)泛化現(xiàn)象，導致無法對侵害公民個人信息的實施主體進行規(guī)制也無法合法保護公民的個人信息的兩難現(xiàn)狀。我國有關(guān)的個人信息保護的法律，如《消費者權(quán)益保護法》的第二十九條和《網(wǎng)絡(luò)安全法》第四十一條均無一例外規(guī)定了數(shù)據(jù)控制者收集使用公民個人信息應(yīng)遵循合法、正當、必要的基本原則，但并未對“合法、正當與必要”加以具體說明，這為法律適用帶來了難度。

（二）立法未形成體系

1.法律條文規(guī)定不具體

我國現(xiàn)階段的法律中已經(jīng)存在不少保護個人信息的相關(guān)規(guī)定，但大多僅流于形式，未做深入細致的規(guī)定。主要表現(xiàn)在法律條文簡略、界定模糊和大多條文是針對個人信息遭受侵害的事后處理，這極不利于發(fā)揮法律的事前威懾功能。且對于侵犯個人信息違法行為的處罰存在失衡現(xiàn)象，導致信息主體的損失無法彌補，不符合民法基本的填平規(guī)則。

2.個人信息保護的立法前景不明朗

我國現(xiàn)階段個人信息立法的不確定性主要體現(xiàn)在缺乏有關(guān)可參照的上位法。高位階個人信息保護法的缺失使得各部門、各類型的個人信息保護立法難以系統(tǒng)性、全方位地進行，這也是立法前景不確定性最為重要的體現(xiàn)。除此之外，大數(shù)據(jù)時代下，個人信息保護領(lǐng)域存在復雜性，存在隱私、敏感、信息與數(shù)據(jù)等諸多概念的混用，且這些概念的外延和內(nèi)涵大都存在交叉與重復，也一定程度加重了對個人信息進行立法保護的難度。況且立法探討應(yīng)具有前瞻性和預見性，還應(yīng)該具備一定的彈性空間和兜底條款，而飛速發(fā)展的信息科技，使得立法的滯后性的問題更為凸顯，這也無疑為個人信息保護增加了難度。

（三）行業(yè)侵權(quán)亂相頻發(fā)

1.侵害主體多元化

在日常生活中，侵害個人信息的主體可能相差甚遠，既可能是企業(yè)商家，也可能是政府組織。不管在什么領(lǐng)域，個人信息侵權(quán)現(xiàn)象都不少見。信息控制者、處理者對信息主體實施的侵權(quán)行為的主要類型有對信息的不當收集、不當管理與處理及對個人信息的不當利用等。

2.信息控制者規(guī)制有限

個人信息主體對其個人信息的控制是很受限的，個人信息看似被信息主體緊握卻虛無縹緲，互聯(lián)網(wǎng)等科學技術(shù)的傳播方式使其每時每刻都進行著無可估量的信息傳遞。早些年，公民對個人信息的權(quán)益了解甚少，不知道其濫用會對自己的人身財產(chǎn)造成如此大的風險，常發(fā)生個人無意泄露個人信息的情況。隨著公民個人信息保護意識的覺醒，不少想要獲取個人信息的信息控制者通常會采用神不知鬼不覺的方式盜取或騙取公民個人信息，以達成合法或非法的目的。

誠然，就算信息控制者以合法的方式獲悉公民個人信息，造成公民個人信息泄露、越權(quán)處理等情形也時常發(fā)生，這些現(xiàn)象大多歸因于信息控制者、處理者收集個人信息后未使用技術(shù)手段禁止溯源、必要的匿名化處理等必要防護措施。對個人信息的處理不夠規(guī)范為信息泄露事件的發(fā)生提供了違法犯罪的溫床。當然，現(xiàn)實中也存在部分信息泄露的原因是信息控制者管理公民個人信息不到位，致使黑客入侵網(wǎng)站后非法盜取公民個人信息。

三、大數(shù)據(jù)時代個人信息的保護對策

（一）明確個人信息保護的具體界限

1.確定個人信息保護的基本原則

無論是何種個人信息，如果不能進行全面有效的保護就無法保證其安全，筆者認為因個人信息的泄露會對社會和個人造成巨大的影響，故應(yīng)該采取較為嚴格的限制措施，限制對個人信息的使用與處理，具體包括明確收集原則、收集限制原則、一次授權(quán)原則等。對于個人信息的法律規(guī)定，應(yīng)多使用強制性規(guī)定，少做出任意性規(guī)定，防止信息控制者權(quán)利過大而監(jiān)管太少。信息主體要掌握個人信息的主動權(quán)，悉知數(shù)據(jù)控制者因何收集個人信息、為何種手段使用個人信息。應(yīng)限制公民對自身個人信息的“一次授權(quán)多次使用”局面的發(fā)生，同時也限制數(shù)據(jù)控制者采取強制簽訂格式條款授權(quán)使用其無權(quán)獲取的涉及人身財產(chǎn)等重要的信息數(shù)據(jù)。

2.《民法典》的相關(guān)規(guī)定

值得慶幸的是，《民法典》獨立成編的人格權(quán)編將隱私權(quán)和個人信息分開描述，這意味著立法者加大了對公民個人信息的專門保護，而不是將其一概與隱私權(quán)共同加以論述。雖然從內(nèi)涵方面看，隱私權(quán)和個人信息依然有部分的交叉重合，但是分開描述無疑更利于個人信息的保護?！睹穹ǖ洹返谝磺Я闳臈l至一千零三十九條從個人信息的內(nèi)涵、處理信息的原則、免責條款、更正等方面進行了規(guī)定。特別是第一千零三十五條不僅規(guī)定了處理個人信息的原則和個人信息的處理的界限，還規(guī)定了其應(yīng)同時符合四個條件，這能有效規(guī)制信息控制者對公民個人信息的使用空間。但《民法典》作為我國的基本大法，無法做出非常具體的規(guī)定，這些都寄希望于即將出臺的《個人信息保護法》去完善。

（二）加快個人信息保護的系統(tǒng)化立法建設(shè)

1.更新立法技術(shù)

從立法的全面性和體系化角度看，現(xiàn)有的法律體系不能有效保護網(wǎng)絡(luò)環(huán)境下的個人信息，而是需要從廣度和深度方面都加以著手，將個人信息與數(shù)據(jù)保護結(jié)合起來，兼顧一般與特殊。為了便于立法與建立清晰的法律體系，個人信息可劃分為個人基本信息、個人敏感信息及個人重要數(shù)據(jù)。應(yīng)對不同類型的個人信息實行差異化的保護。這三類保護措施的嚴密性呈現(xiàn)逐漸遞增的狀態(tài)，個人基本信息可視作個人愿意公開的信息，對這部分信息設(shè)置一般保護標準即可。個人敏感信息涉及到公民極為重要的個人隱私部分，如公民的商業(yè)金融交通旅游活動基本數(shù)據(jù)等，對這部分信息需要設(shè)置極高的保護標準。對個人重要數(shù)據(jù)的保護牽涉到多方主體利益，如未披露的科研數(shù)據(jù)等，因此需要采取更為嚴格的信息保護手段，進而有針對性地對個人重要數(shù)據(jù)提供技術(shù)保護。只有構(gòu)建完備而立體的個人信息及數(shù)據(jù)分級分類保護機制，才能有效應(yīng)對當前錯綜復雜的個人信息保護需求。

2.對相關(guān)法律進行完善

目前尚在制定的《個人信息保護法》作為一部專門保護個人信息的法律，其出臺后對個人及行業(yè)產(chǎn)生積極的指引作用。沒有一部法律是完美無瑕的，不能僅依靠《個人信息保護法》一部法律就試圖解決所有信息保護的問題。我國要建立健全系統(tǒng)化的立法建設(shè)，須以《民法典》和《個人信息保護法》為重心，同時進一步完善其他相關(guān)法律，才能實現(xiàn)一套完善的信息保護的法律體系的建成。舉例來說，在《網(wǎng)絡(luò)安全法》中，要進一步完善對網(wǎng)絡(luò)運營者使用用戶個人信息的具體程序及明確采取何種手段防止用戶個人信息泄露等。與此類似，在《消費者權(quán)益保護法》也需要完善對消費信息的保護措施。對消費者信息的界定也隨著大數(shù)據(jù)時代科技的發(fā)展存在相應(yīng)的延展，及時地規(guī)定經(jīng)營者通過網(wǎng)絡(luò)等渠道獲取的消費者信息的適用程序，利于良好的交易環(huán)境的建成。眾多領(lǐng)域都有相關(guān)個人信息保護的法律規(guī)章，其應(yīng)相互協(xié)調(diào)、配合與完善，形成科學統(tǒng)一的立法體系，全面保護公民的個人信息。

（三）加強行業(yè)監(jiān)管與行業(yè)自律

1.加強行業(yè)監(jiān)督

為了保障公民的個人信息能得到更好的保護，我國應(yīng)堅持以行業(yè)自律為主，行業(yè)監(jiān)管為輔的治理機制，以確保信息控制者、處理者達成對公民個人信息保護的最大化與信息利用的最優(yōu)化。為了建立專門的監(jiān)督部門，我國可參考德國為代表的雙重監(jiān)管機制，即建立內(nèi)部與外部雙重監(jiān)督機制，設(shè)立獨立于行政機關(guān)的保護監(jiān)督管理機構(gòu)，配置專員確保權(quán)力獨立行使，以達成更好地保護信息權(quán)利主體權(quán)益的目的。

2.強化行業(yè)自律

同時對企業(yè)行業(yè)等進行預判并采取適當?shù)念A防措施，對公私領(lǐng)域進行動態(tài)監(jiān)督和管理，一旦發(fā)現(xiàn)違法行為便及時進行制止并懲處。針對信息處理領(lǐng)域進行行業(yè)自律，以尋求信息保護與利用達到平衡狀態(tài)。為保證信息處理領(lǐng)域的行業(yè)守則和規(guī)范具有實用價值且能夠?qū)崿F(xiàn)具體應(yīng)用，其起草和修訂由應(yīng)當考慮不同行業(yè)信息收集和使用者的特性。各行業(yè)協(xié)會可結(jié)合自己行業(yè)的專業(yè)性、獨特性與市場性，在不違背法律基本要求的情形下定制行為守則的草案，再提交監(jiān)督機構(gòu)審核，審查其是否符合相關(guān)法律法規(guī)的要求，若無異常，應(yīng)當批準并向社會進行公告。

四、結(jié)語

為了便于早日使對個人信息的保護達到理想的狀態(tài)，建立健全保護個人信息的立法體系、明確對個人信息保護的邊界、增強信息主體的保護意識、加強行業(yè)監(jiān)管與完善行業(yè)自律等措施都迫切需要。只有充分發(fā)揮與合理利用國家的強制力，公民的個人信息才能夠得到更好的維護與保障，才能達到最終切實保障的目的。