數(shù)字經(jīng)濟(jì)時代背景下的個人信息安全保障探析

李君妍

(青島科技大學(xué)法學(xué)院，山東 青島 266011)

0 引言

數(shù)字經(jīng)濟(jì)在國家層面被擺到了前所未有的高度，數(shù)據(jù)信息自身特性與企業(yè)、社會的逐利性，都在導(dǎo)致數(shù)據(jù)產(chǎn)權(quán)化、貨幣化，引發(fā)信息安全等現(xiàn)實問題。個人信息安全保護(hù)缺位、監(jiān)管執(zhí)行無力遲緩、平臺侵權(quán)頻發(fā)、個人敏感信息“脫敏難”等現(xiàn)實情況都在提醒著我們，數(shù)字經(jīng)濟(jì)的發(fā)展與個人信息保護(hù)本就不應(yīng)是非此即彼的選擇。

嘗試對上述公眾面臨的個人信息安全問題進(jìn)行討論分析，出發(fā)點是使公眾在享受數(shù)字經(jīng)濟(jì)時代發(fā)展紅利的同時，能最大限度地規(guī)避風(fēng)險、保護(hù)個人信息權(quán)益，警惕因個人信息不正當(dāng)使用而可能引發(fā)的糾紛；從立法、行政、司法、守法等層面探索個人信息收集、利用的合理化途徑；更好解決現(xiàn)行部門法的先天不足、后天失調(diào)問題。

1 數(shù)字經(jīng)濟(jì)時代個人信息法律屬性的認(rèn)定

個人信息風(fēng)險層級化保護(hù)的基礎(chǔ)落腳在個人信息的法律屬性界定上[1]，信息技術(shù)變革、信息資源共享，以及數(shù)據(jù)再識別再利用已使得個人身份可識別信息的范圍不斷擴(kuò)大，法律規(guī)制、保護(hù)邊界日益模糊，準(zhǔn)確界定個人信息的保護(hù)范圍面臨諸多桎梏。劃清個人信息安全“警戒線”的范圍是破解侵權(quán)難題的題中應(yīng)有之義。

歐盟《一般數(shù)據(jù)保護(hù)條例》第4 條對個人數(shù)據(jù)進(jìn)行了定義:“‘個人數(shù)據(jù)’指任何已識別或可識別的自然人相關(guān)的信息；可識別的自然人是能夠被直接或間接識別的個體，特別是通過諸如姓名、ID 號、位置數(shù)據(jù)或與該自然人的身體、生理、經(jīng)濟(jì)、文化或社會身份有關(guān)的一或多個因素?！?2018 年，我國實施的《信息安全技術(shù) 個人信息安全規(guī)范》對個人信息進(jìn)行了更加詳細(xì)的規(guī)定:“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動情況的各種信息。個人信息包括姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等[2]?！?/p>

通過上述分析可以看出，歐盟與我國關(guān)于個人信息概念的界定基本一致，在學(xué)理上同樣采取了“識別說”定義。2017 年，最高法、最高檢《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中增加了“反映特定自然人活動情況”的描述，也基本是在“識別說”的框架下。

傳統(tǒng)民法理論認(rèn)為，個人信息應(yīng)是人格權(quán)的一部分，而在數(shù)字經(jīng)濟(jì)時代中，個人信息被大規(guī)模商業(yè)使用，附加了更多財產(chǎn)屬性。個人信息究竟屬于人格權(quán)還是財產(chǎn)權(quán)，存在廣泛爭議，對其屬性的界定可以起到一定指導(dǎo)個人信息保護(hù)立法的作用。

2 數(shù)字經(jīng)濟(jì)時代個人信息安全面臨的典型風(fēng)險

數(shù)據(jù)信息中潛藏的巨大經(jīng)濟(jì)價值已使得政府、企業(yè)走在了對個人信息迫切追逐的道路上。作為一種符號系統(tǒng)的個人信息在數(shù)據(jù)收集和處理技術(shù)的發(fā)展之下，個人信息大都已經(jīng)被一定載體固化，對其的收集和處理也愈發(fā)高效。這同時也面臨著更大的泄露與濫用風(fēng)險。下文選取了其中較為直觀、主流的三種風(fēng)險來進(jìn)行說明。

2.1 個人信息過度收集屢禁不止

日常發(fā)生有關(guān)機(jī)構(gòu)超出所辦理業(yè)務(wù)的范圍與需要，收集非必要甚至毫無關(guān)聯(lián)的個人信息，如在辦理會員卡時，要求客戶提供家庭住址、身份證號碼、工作單位等信息。

最普遍的例子便是當(dāng)我們使用社交賬號登錄由第三方提供服務(wù)的網(wǎng)站時，第三方網(wǎng)站除了要求提供社交工具賬號，還會要求信息主體提供頭像、分享動態(tài)等與其提供的服務(wù)并不相關(guān)的個人信息；很多應(yīng)用軟件都在實時收集個人定位、通訊錄名單等信息，而很多軟件收集的個人信息與其提供的服務(wù)并無關(guān)聯(lián)性。

2.2 擅自披露個人信息現(xiàn)狀嚴(yán)峻

伴隨著個人信息的流動與社會化利用，出現(xiàn)了嚴(yán)重的濫用個人信息與隨意泄露的情況。個人信息作為個人隱私的關(guān)鍵組成部分，自然體現(xiàn)著隱私權(quán)的內(nèi)涵。

然而在生活中，我們經(jīng)常接到的各種騷擾電話，如購房后接到房屋裝修公司的電話，買車后接到車輛保險公司的電話等，且對方能準(zhǔn)確說出自己的姓名等信息。此外，部分公民曾經(jīng)在一些網(wǎng)站、媒體或其他載體上發(fā)現(xiàn)其個人信息被擅自公開，甚至出現(xiàn)個人信息被冒用的情況。信息使用應(yīng)該有邊界意識，不能無下限。由此可見，個人信息使用同樣應(yīng)當(dāng)嚴(yán)格遵守“比例性”原則。

2.3 個人信息非法買賣日益猖獗

隨著互聯(lián)網(wǎng)的飛速發(fā)展，倒賣個人信息案件趨多，整套成熟的產(chǎn)業(yè)鏈也逐漸展現(xiàn)。盡管近幾年國家相關(guān)部門意識到倒賣信息黑、灰產(chǎn)越來越嚴(yán)重，對非法倒賣個人信息的打擊力度也越來越大，但依然難擋相關(guān)犯罪。

除了商業(yè)行為，也不乏一些不法分子拿到個人信息資料后，進(jìn)行網(wǎng)絡(luò)、電信詐騙。詳細(xì)的個人信息往往會幫助犯罪分子實施更為精準(zhǔn)的詐騙犯罪。例如，2016 年的徐玉玉案，就是詐騙團(tuán)伙購買了許多高中畢業(yè)生資料，并鎖定了徐玉玉。詐騙人員在電話中能準(zhǔn)確地說出徐玉玉和其父母的名字、所在的學(xué)校，才騙得徐玉玉的信任，終而釀成慘劇。

此外，在互聯(lián)網(wǎng)的深水之下，還存在一個充斥著大量違法信息、負(fù)面信息的神秘暗網(wǎng)?！鞍稻W(wǎng)”上交易的公民個人信息非常廣泛，且極其隱蔽、缺少監(jiān)管。2020 年以來，上海、江蘇、廣東等地檢察機(jī)關(guān)連續(xù)辦理了多起利用“暗網(wǎng)”非法買賣公民個人信息的案件[3]。最高院、最高檢、公安部高度關(guān)注，個人信息非法買賣日益猖獗，預(yù)防打擊刻不容緩。

3 數(shù)字經(jīng)濟(jì)時代個人信息安全風(fēng)險頻發(fā)的原因

在數(shù)據(jù)儼然進(jìn)化為一種生產(chǎn)要素的時代，其自身的特性與企業(yè)、社會的逐利性，都在導(dǎo)致數(shù)據(jù)產(chǎn)權(quán)化、貨幣化，法制不健全、救濟(jì)和監(jiān)督機(jī)制不完善已經(jīng)成為個人信息安全風(fēng)險頻發(fā)不能得到有效遏制的主因。

3.1 個人信息商品化衍生資本逐利性等負(fù)面影響

信息時代，由于人們管理和分析數(shù)據(jù)的容量和精度需求不斷擴(kuò)大，大數(shù)據(jù)技術(shù)也應(yīng)運而生。在大數(shù)據(jù)環(huán)境下，個人信息也有了信息量大、信息多樣化、信息整體價值量高等特點。個人信息的變現(xiàn)形式逐漸多樣，根據(jù)個人信息這一要素產(chǎn)生了“黑、灰、白”產(chǎn)業(yè)鏈。黑色產(chǎn)業(yè)竊取用戶賬戶密碼、網(wǎng)銀等信息，或利用手機(jī)App 病毒植入手段來獲利，危害最大、更復(fù)雜?；疑a(chǎn)業(yè)危害較之略小，通過用戶不知情或信息不對稱來獲得非短期直接盈利。個人信息商品化意味著存在簡單粗暴的盈利方式。

3.2 個人信息相關(guān)法律體系亟待健全

當(dāng)前個人信息保護(hù)尚未存在專項立法，盡管數(shù)量上看似形成可觀的規(guī)模，但浮現(xiàn)出的是法律體系不完善、制度不健全；法律法規(guī)分布碎片化、分散化；法律條文內(nèi)容抽象，實操性差等特點。在一定程度上既浪費司法資源，又增加執(zhí)法難度。

目前來看，在個人信息的法律保護(hù)方面:缺乏完整統(tǒng)一、更為適配的法律應(yīng)用體系；具體法條內(nèi)容缺乏力度，涉及責(zé)任、懲戒措施不痛不癢；操作起來易產(chǎn)生分歧、爭議；法律條文多體現(xiàn)為間接保護(hù)，缺少直接保護(hù)。

綜上所述，個人信息安全立法現(xiàn)狀不利于新型社會治理與維穩(wěn)。隨著手機(jī)、互聯(lián)網(wǎng)的普及，需要更健全更具有可操作性且與時俱進(jìn)的個人信息保護(hù)法。

3.3 政府行政部門監(jiān)管缺位與行業(yè)自律失衡

我國目前尚未設(shè)立一個專門且獨立的機(jī)構(gòu)負(fù)責(zé)個人信息監(jiān)督與管理，職能劃分籠統(tǒng)模糊，產(chǎn)生問題時容易出現(xiàn)權(quán)責(zé)不清、效率低下的現(xiàn)象。

3.3.1 政府行政信息公開制度不足

個人信息在與政府的關(guān)聯(lián)性方面最直接體現(xiàn)在行政信息公開制度上?，F(xiàn)行行政立法缺乏對個人信息的保護(hù)，個人信息存在被過度收集且隨便使用、披露的現(xiàn)象。當(dāng)政府行政權(quán)力濫用侵害公民合法權(quán)益時，公權(quán)力往往處于較為強(qiáng)勢的地位，此時暴露出公民在救濟(jì)方面的弱勢。

3.3.2 個人信息保護(hù)行業(yè)自律機(jī)制亟待完善

一個行業(yè)要實現(xiàn)良性發(fā)展，就必須建立自己的行業(yè)規(guī)則，在一個語境下自律共治是企業(yè)、行業(yè)發(fā)展壯大的有效途徑。然而行業(yè)自律有其天然的脆弱性，商業(yè)的趨利性會加速暴露自律機(jī)制的弱點。立法與司法無法實現(xiàn)全方位監(jiān)管行業(yè)行為，利用行業(yè)自律機(jī)制的靈活性，從而發(fā)揮多元治理功效。

以美國隱私保護(hù)行業(yè)自律機(jī)制為例，行業(yè)自律機(jī)制的發(fā)展在客觀上能夠彌補(bǔ)政府監(jiān)管能力的不足，對我國建設(shè)個人信息行業(yè)自律機(jī)制提供了諸多經(jīng)驗。

3.4 個人信息安全存在實踐性救濟(jì)障礙

個人信息犯罪成本低、維權(quán)成本高，行政法、刑法打擊力度不足，民事救濟(jì)欠缺有效手段，難以起到震懾作用，促使犯罪分子鋌而走險。我國目前在出現(xiàn)個人信息安全事件時，被侵權(quán)人無法得到應(yīng)得的實質(zhì)損害賠償，甚至連停止侵害、排除妨害這樣基礎(chǔ)的權(quán)利也無法有效保障。

個人信息案件常常出現(xiàn)證明困難、調(diào)查取證受阻、追責(zé)機(jī)制不完善、因果關(guān)系不明等“伸冤”難題，阻礙被侵權(quán)人尋求救濟(jì)。隱私政策存在應(yīng)用困境，相關(guān)法律法規(guī)實踐性執(zhí)行障礙需要解決，更需打造高效的個人信息安全救濟(jì)手段。

4 數(shù)字經(jīng)濟(jì)時代個人信息安全基礎(chǔ)制度建設(shè)的完善與突破

通過《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》《中華人民共和國網(wǎng)絡(luò)安全法》以及金融、醫(yī)療、交通等領(lǐng)域的行業(yè)性規(guī)定，逐步確立了個人信息保護(hù)的原則、一般規(guī)則等要素，《中華人民共和國個人信息保護(hù)法》系統(tǒng)性地融合了過去的制度經(jīng)驗，也借鑒了國外的先進(jìn)做法，基本完成了我國個人信息保護(hù)的基礎(chǔ)制度建設(shè)。即便如此，我國個人信息保護(hù)體系仍有諸多亟須完善與突破之處。

4.1 應(yīng)當(dāng)發(fā)揮刑法兜底保護(hù)的必要性

信息犯罪逐年遞增，侵害程度從一般民事侵權(quán)上升至嚴(yán)重刑事犯罪，立法應(yīng)將嚴(yán)重侵害個人信息、危害社會公共秩序的行為犯罪化，發(fā)揮《刑法》在保護(hù)個人信息安全中的規(guī)制、保護(hù)、保障機(jī)能。

信息侵權(quán)行為隱秘，導(dǎo)致取證調(diào)查與刑事偵查困難，難以判斷侵害發(fā)生的具體時間，甚至被侵權(quán)人既不知道犯罪人，也不知曉犯罪源頭?；ヂ?lián)網(wǎng)的介入會增加司法取證、偵查難度。筆者思考通過以下途徑來突破完善。

4.1.1 設(shè)立個人信息犯罪罪名體系，增加刑事罪名數(shù)目

《刑法修正案七》首次將特征主體的個人信息保護(hù)寫入刑法，規(guī)定了“非法獲取公民個人信息罪”，2015 年《刑法修正案九》將其變更為“侵犯公民個人信息罪”，并把犯罪主體由特殊主體擴(kuò)展至普通主體，最高法定刑由3 年升至7 年，明顯加大打擊力度。但僅出臺兩條刑法修正案是遠(yuǎn)遠(yuǎn)不夠的，建議單列一章來規(guī)定侵害公民個人信息的罪名，實現(xiàn)信息犯罪全方位有法可依。

4.1.2 擴(kuò)大犯罪主體范圍

公民個人信息保護(hù)的客體、主體規(guī)定存在局限性，應(yīng)適度擴(kuò)大其范圍。時代發(fā)展，各種行業(yè)種類層出，除了法條規(guī)定的常見國家機(jī)關(guān)、金融、教育、醫(yī)療、交通領(lǐng)域，還有諸多難以窮盡列舉的信息侵權(quán)主體，如酒店、互聯(lián)網(wǎng)公司、物業(yè)、房地產(chǎn)公司等工作人員在履行職責(zé)或者提供服務(wù)過程中極易獲得公民個人信息，因此有對之加以處罰的必要[4]。

4.2 立法應(yīng)公私并重、綜合立體，著力解決個人信息保護(hù)立法需求的迫切性

我國目前個人信息保護(hù)立法體系存在兩項突出問題，一方面是缺乏獨立、完備、條理清晰的個人信息保護(hù)專項立法，另一方面是現(xiàn)行立法理論與法律實踐帶有顯著的私法傾向。

加速個人信息立法，黨的十九屆四中全會強(qiáng)調(diào)，要推進(jìn)數(shù)字政府建設(shè)，增強(qiáng)數(shù)據(jù)有序共享，依法保護(hù)個人信息[5]。為適應(yīng)數(shù)字經(jīng)濟(jì)快速發(fā)展，應(yīng)盡快出臺完備、符合國情的專項個人信息法。

現(xiàn)行立法規(guī)范顯示，“過度保護(hù)”與“保護(hù)不足”是個人信息權(quán)益化面臨的兩難境地。個人信息內(nèi)涵的復(fù)雜性將保護(hù)路徑區(qū)分為“法益”與“權(quán)利”?！胺ㄒ妗狈懂爟?nèi)的個人信息定義包含著涉及面更廣的社會公共利益，個人信息保護(hù)性規(guī)定中引入公法領(lǐng)域相關(guān)規(guī)定，可以加強(qiáng)法律適用的適配度。而“權(quán)利”本質(zhì)是具體人格權(quán)利益，即自然人自主支配的絕對“自治權(quán)”，突出體現(xiàn)對信息的控制權(quán)[3]。鑒于隱私權(quán)由“私域溢出”到“公域延伸”的發(fā)展態(tài)勢，立法應(yīng)努力實現(xiàn)公私法在個人信息保護(hù)領(lǐng)域的有效銜接[6]。

4.3 個人信息保護(hù)專門機(jī)構(gòu)與行政信息公開制度的關(guān)系之厘定

僅寄托于私力救濟(jì)來解決個人信息保護(hù)問題成本太高，違法行為并不會得到合理規(guī)制。因此我國應(yīng)進(jìn)一步細(xì)化相關(guān)行政法律制度、建立嚴(yán)格的個人信息行政保障機(jī)制和完善相關(guān)的行政監(jiān)督與救濟(jì)[7]。首先，在現(xiàn)有保護(hù)個人信息行政體系基礎(chǔ)上，統(tǒng)籌規(guī)劃成立一個權(quán)責(zé)明確、程序規(guī)范的專門行政機(jī)構(gòu)來做監(jiān)管。加強(qiáng)對行政主體收集、處理、利用個人信息這一行政事實行為的監(jiān)管力度，建立健全個人信息行政保護(hù)相關(guān)配套制度[8]。

其次，著力彌補(bǔ)我國行政公開在個人信息保護(hù)方面存在的諸多不足。“僅就政府機(jī)關(guān)而言，個人信息保護(hù)與政府信息公開在許多情況下實際上是同一個問題的兩個方面[9]?！蓖晟瓶蚣苄詢?nèi)容下的制度細(xì)節(jié)，遵循比例原則，全面衡量公益與私益，通過統(tǒng)一行政監(jiān)管部門與個人信息保護(hù)制度革新，使得未來的個人信息保護(hù)法與行政信息公開制度有更好的銜接。

5 結(jié)語

維護(hù)個人信息安全是數(shù)字經(jīng)濟(jì)時代的新課題，更是重要命題?！凹訌?qiáng)隱私權(quán)保護(hù)是人類進(jìn)步文明的表現(xiàn)，標(biāo)志著社會文明的提高”[10]，希望通過個案的審理和裁判，引導(dǎo)全社會關(guān)注個人信息安全。立法、執(zhí)法、司法不能停滯不前，要敢于破解新難題，共同織就網(wǎng)絡(luò)信息保護(hù)的恢恢法網(wǎng)。