大数据时代个人信息的法律保护问题研究

2016-03-24邱小玲

重庆科技学院学报（社会科学版） 2016年12期

关键词：隐私权个人信息公民

邱小玲

大数据时代个人信息的法律保护问题研究

邱小玲

随着大数据时代的到来，有关个人信息泄露的案件日益增多，个人信息的专门保护问题日益突显。应将个人信息权作为基本权利进行保护，对个人信息赋予许可权能，加强重点信息行业的自律意识，促进信息法律体系的不断完善。

大数据；个人信息安全；信息保护立法

麦肯锡全球研究所将“大数据”定义为：规模大、流转速度快、类型多样、价值密度低、难以通过传统数据库软件处理的数据集合。大数据时代，人们对任何数据都可以通过精确查找、软件分析并加以利用。与以往相比，大数据时代的信息技术主要有3个方面的特征。第一，以云计算技术为基础，能够更加全面地掌握数据并分析数据的相关性，为数据使用者创造更大的价值。例如企业通过大数据分析客户信息，进行精准营销。第二，并非单纯强调数据量的巨大，更强调对海量信息的提取、整合以及获取目标信息的技术。第三，对网络技术的发展依赖性强。大数据下的信息服务使社会生产、生活更加高效与便利，也使公民的个人信息安全面临更大的挑战。一些个人信息及隐私甚至被整合打包并通过地下市场进行商业交易。

大数据时代，个人信息面临的安全问题突出表现为3个方面。

第一，信息获取权限方面。原有的个人信息保护方式已不能适应现实的发展①。以往对信息的使用权限必须经由信息所有者“同意”确认后才能取得，大数据中个人信息的利用则超出了这一限定。例如用户网上注册的过程，实际上也是“同意”个人信息被收集的过程：用户若想通过注册，除了点击“同意”往往别无选择；同时，个人信息收集的隐蔽性以及流转的复杂性往往超出了预先告知的范围以及用户能够理解的范围。这种过量收集个人信息的方式似乎已经成为大数据信息利用的常态。

第二，信息处理方式方面。大数据是一种对分散的个人信息的“二次利用或开发”。大数据并非结构性数据，它通过新的软件可以超越传统算法，从而得出信息之间的关联性。有的数据从表面上看并不是个人信息，但经由大数据处理之后，信息收集者就可以追溯到个人了［1］。

第三，信息数据管理方面。对大数据信息进行的比对累积，不仅增加了个人信息及隐私泄露的风险，还可能影响有关个人权益的决策。一旦个人信息成为非法交易的对象，将对个人生活以及社会和谐构成巨大威胁。

一、个人信息的法律保护状况

个人信息通常是指一切可以识别的本人的信息总和，它包括一个自然人的生理、心理、智力，个体、家庭、社会、经济、文化等各方面的信息［2］。个人信息权是个人对本人信息享有的权利。大数据时代，个人信息的恶意传播和利用，已经严重侵犯到个人信息权。

（一）我国的有关立法规定

《中华人民共和国宪法》（以下简称《宪法》）对个人信息权的保护主要体现为对人格权和公民通信自由的保护。《宪法》第2章第38条规定，公民的人格尊严不受侵犯，禁止以任何形式对公民侮辱、诽谤。《宪法》第2章第40条规定，公民的通信自由和通信秘密受保护，禁止任何组织和个人的侵犯，因国家安全和追查刑事犯罪除外。

《中华人民共和国刑法修正案（七）》首次将个人信息作为法律概念提出。《中华人民共和国刑法》第252条和第253条分别就侵犯通信自由和非法提供、获取公民信息罪作了责任规定。

《中华人民共和国消费者权益保护法》第14条规定，消费者在购买、使用商品和接受服务时，享有个人信息依法得到保护的权利。第29条第1款规定，经营者收集和使用消费者个人信息应当遵循合法正当的原则，明示使用目的和范围，并经消费者同意。该条第2款规定，经营者及其工作人员对消费者的个人信息应当保密，在可能泄露的情况下，积极采取补救措施。

《中华人民共和国身份证法》第19条规定，国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，以及单位有此种行为的，应当予以处罚。第20条规定，人民警察不得泄露因制作、发放、查验、扣押居民身份证而知悉的公民个人信息，侵害公民合法权益，否则加以处罚。

《中华人民共和国护照法》第20条规定，护照签发机关工作人员在办理护照过程中泄露公民个人信息的，侵害公民合法权益的，会被追究。

2012年第十一届全国人民代表大会常务委员会第十三次会议通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定，涉及公民个人隐私的电子信息以及可识别的公民个人身份信息受国家保护，任何组织和个人不得非法获取、出售公民的个人信息。2013年，中华人民共和国工业和信息化部审议通过的《电信和互联网用户个人信息保护规定》指出，电信业务经营者、互联网信息服务提供者应当对收集和使用的用户个人信息的安全负责。

（二）我国有关立法存在的不足

第一，我国的有关立法对于个人信息权的保护缺乏系统性，解决实际侵权问题时，操作性不强。有关法律法规对侵权主体和责任主体的认定、举证责任分配以及对个人信息的利用限度等，缺乏明确规定。公民个人信息遭泄露和非法利用，在成本收益权衡之下，他们有可能放弃其权利，默认违法行为②。这会使得大数据时代个人信息泄露现象更加严重。《中华人民共和国刑法修正案（九）》第17条已将出售或者非法提供公民个人信息作为犯罪规定，但仍存在犯罪认定难的问题。

第二，宪法没有赋予个人信息权的专门保护，而是通过对隐私权和一般人格尊严权的保护来体现。虽然个人信息可能涉及个人隐私，但是个人信息权不能等同于隐私权或者一般人格尊严权。隐私权是指自然人享有的私人生活安宁与私人生活信息依法受到保护，不受他人侵扰、知悉、使用、披露和公开的权利［3］。隐私权的特点是隐秘性和私人性。个人信息包含的内容大于隐私权所涵盖的范围。当隐私权保护范畴之外的个人信息被整合利用，甚至有不法分子通过读取和加工这些信息进行犯罪时，信息所有者很难从隐私权方面寻求救济。有观点认为，将个人信息权确立为具体的人格权，有利于对其提供有效的法律保护［4］。但是，人格权体现的更多是个人精神性权利。大数据时代，使用个人信息可以在市场中获得经济利益，所体现的不仅是个人的精神性权利，还有财产权。

第三，行政法规主要针对某些特定领域的个人信息权的保护，而对于其他领域则不能规制。为适应电信及网络的发展，国家专门出台了《电信和互联网用户个人信息保护规定》，对电信和网络经营者在收集和使用公民个人信息时进行了一定规制。但是，在大数据时代，泄露个人信息的现象不仅仅出现在这些领域。例如政府单位在提供服务时会收集公民的一些个人信息，这也会增加个人信息被泄露的风险。特定领域的法规过于狭窄，不能全方位保护个人信息安全。

第四，对信息主体的保护不充分。法律应该以人为本，保障人的更好生存和发展。现代法律所应体现的人文关怀应当与我国社会主义的人文精神相呼应。这种人文关怀是一种意识层面的追求，它的核心在于以人为本，保障人的自由，维护人的尊严，以人的幸福为目标。目前，相关法律法规关于个人信息保护更多是从互联网安全的角度考虑，对个人的保护更像是手段，而非保护的最终目标。

二、国外的相关立法

美国采用的是隐私权保护的立法模式，认为个人信息是广义的隐私权的客体之一。美国的隐私权法是1974年通过的，它主要针对公权力机关在收集、处理公民个人信息时的法律问题。为保护隐私不受来自公权力的侵害，美国联邦最高法院认定隐私权是宪法上未列明的基本权利，并且明确提出隐私权为联邦宪法所保障的基本人权［5］。同时，美国倡导行业自律，在个人信息充分流动和安全利用的基础上，保护行业利益和个人信息安全。1995年，美国正式提出个人信息保护原则，但此提法未进入美国立法程序并获得法律效力。然而，美国政府采用的分散立法和个人信息敏感区域特别立法的做法值得借鉴③。日本就是借鉴的美国保护模式，通过行业自律和政府立法两方面实现个人信息安全［6］。

欧盟对个人信息的保护采取了统一立法模式。出于维护共同利益的需要，欧盟各国在个人信息立法的价值取向、框架设计以及基本制度构建等方面达成了高度的一致［7］。欧盟的立法包括欧盟统一立法和各成员国内立法。各成员国在保障个人信息安全的同时，不能阻碍欧盟各国之间的信息流通。欧盟将个人信息权作为基本权利加以规定，并正面阐述。1995年欧盟的个人数据保护指令，对个人信息保护进行了较为全面的规定，对义务主体的法定义务进行了明确。2012年，欧盟还针对个人敏感信息开启了新一轮的立法改革，对敏感信息实行差别化保护，分为基本保护和增强保护［8］。

美国关于个人信息立法的优点是：第一，它以行业自律的方式保护个人信息，从信息源头限制信息的滥用；第二，采取分散立法，对敏感区域进行特别保护，体现了法律的人文关怀。但是，美国的立法主要针对与隐私相关的个人信息的保护，涉及隐私以外的个人信息的保护不明确。欧盟的立法优点是将个人信息权作为公民的基本权利而非普通的民事权利加以保护，但欧盟立法保护个人信息的同时，对个人信息所具有的经济价值估计不足。

三、对个人信息权立法保护的建议

法律的基本功能之一是使人类为数众多、种类纷繁、各不相同的行为与关系形成某种合理程度的秩序，并颁布一些适用于某些应予限制的行动或行为的规则或标准［9］。大数据时代，个人信息被赋予了更多的经济价值，有必要进一步加强个人信息权的立法保护。

（一）将个人信息权视为公民的一项基本权利

将个人信息权作为隐私权的保护［10］存在位阶低、零散化等问题。对个人信息的恶意传播和使用，可能使公民的隐私权和人格尊严权同时遭到侵犯。将个人信息权作为公民的一项基本权利进行保护，在个人信息权被侵犯时，能够降低公民其他基本权利随之遭到侵犯的可能性，从而体现法律的人文精神。首先，立法要从以互联网安全为中心转变为以个人信息权为中心。个人信息权的保护不是手段而是目的。其次，无论是私法还是公法都应对个人信息权进行保护，规范对个人信息的使用和管理。减少因公安系统个人信息出错导致的“抓错人，乱抓人”等现象的发生。目前，《宪法》未将个人信息权作为公民的基本权利，应尽快制定个人信息保护法参照美国的分散立法模式，对个人信息尤其是涉及隐私的信息进行特别保护。

（二）明确信息收集的主体责任

实践中，收集个人信息的主体包括公权力机关、企业、自然人3类。由于个人信息与财产利益关系日益密切，收集和分析个人信息对企业决策和经营目标定位的影响越来越大，成为不少企业经营的重要环节之一。因而存在个人信息的恶意披露甚至非法买卖个人信息等不良现象，“快递单号买卖”就是典型例子。公权力机关在履行职能过程中也必然会涉及到对个人信息的收集，公权力机关收集的个人信息遭到泄露，对公民个人权利的危害程度以及救济难度更大。因此，应建立专门的信息使用登记备案制度，明确信息收集的主体责任。对于公民的个人信息，不论其是否具有财产利益，都应做到“专收专用”，防止信息收集主体对信息的过量收集和滥用。

（三）对个人信息赋予许可权能

智能终端的普及以及手机软件（APP）的发展和应用，使个人信息的收集更加频繁和广泛。用户在安装或使用手机软件时，通常会被要求进行关于权限许可的选择。该权限是关于手机软件方（如手机开发者等）获取手机内置的个人信息（如通讯录、相册、地理位置等）的访问权限。其中存在的问题是：一方面，信息收集带有一定的强制性，用户对访问权限选择很可能影响到软件的正常安装和使用；另一方面，信息收集存在过量的嫌疑，手机软件方实际使用的个人信息可能超出访问权限许可中所列的内容范围，而通常用户对此很难意识到。实践中通行的“同意”做法并不能成为处理个人信息的正当性基础［11］。首先，立法应赋予个人信息许可权能［12］。手机软件方获取用户信息必须保证手机用户授权的自由，不能以此作为安装或正常使用手机软件的前置条件。其次，对获取、使用和传递个人信息的权限予以限制。若没有明确告知收集的信息的具体内容、范围等，没有得到信息所有方的明确同意，收集、处理的信息不得向第3方披露、交易和传输［13］。对于个人敏感信息的获取权限，必须经过明确授权；对于必要信息的获取权限，在该软件投入市场之前要进行严格审查。

（四）加强行业自律

对于企业来说，没有信息，就没有市场。建立健全信息行业的自律机制，有利于优化信息行业发展环境，促进信息技术与企业的良性互动与共同发展。应加强重点行业的自律意识，加强对个人信息的行业性保护力度。首先，通过关于个人信息保护的统一性规章条约，在行业内部达成共识，共同遵守。其次，加强行业内主要责任人的个人信息权利意识，强化自律示范作用。最后，配套完善相关信用机制，对自律机制不能履行的重点企业，给予信用减等处罚，将个人信息的保护落实到企业经营的各个环节。

注释：

①在传统保护方式里，只要信息所有者有形式上的“同意”表示，就认为相对方取得了使用处理个人信息的权限。

②2007年9月至2008年12月，中国社会科学院法学研究所的课题组的调查结果显示，仅4%左右的人在个人信息被侵犯时进行过投诉或提起过诉讼。即使采取了投诉或者诉讼等救济手段，也只有8.1%的人获得了救济。

③美国出台了《消费者隐私法案》（Consumer Privacy Bill of Rights），《儿童网上隐私保护法》（Children’s Online Privacy Protection Act）等关于隐私保护的法律。

[1]维克托·迈尔舍恩伯格，肯尼斯·库克耶.大数据时代[M].盛杨燕，周涛，译．杭州：浙江人民出版社，2013：195-200.

[2]张振亮.个人信息权及其民法[J].南京邮电大学学报（社会科学版），2007（1）.

[3]王利明.民法[M].第5版.北京：中国人民大学出版社，2012. [4]王利明.论个人信息权在人格法中的地位[J].苏州大学学报，2012（6）.

[5]张新宝.从隐私到个人信息：利益再衡量的理论与制度安排[J].中国法学，2015（3）.

[6]谢青.日本的个人信息保护法制及启示[J].政治与法律，2006（6）.

[7]齐爱民，李仪.论利益平衡视野下的个人信息权制度：在人格利益与信息自由之间[J].法学评论，2011（3）.

[8]鞠晔，王平．云计算背景下欧盟消费者个人敏感数据的法律保护[J].法学杂志，2014，（8）．

[9]E博登海默.法理学：法律哲学与法律方法[M].邓正来，译.北京：中国政法大学出版社，1999.