岳文婷

(中北大学 人文社会科学学院， 山西 太原 030051)

大数据背景下我国个人信息法律保护的完善

岳文婷

(中北大学 人文社会科学学院， 山西 太原 030051)

随着网络技术的飞速发展， 人类社会已经进入了大数据时代。大数据技术的应用， 对公民个人信息的保护提出了更高的要求。由于我国个人信息立法存在立法层次低、 缺乏系统性等缺陷， 迫切需要进一步完善。我国应借鉴发达国家个人信息立法经验， 确立个人信息权的独立权利属性， 制定《个人信息保护法》， 设立专门的个人信息保护机构， 确立民事损害赔偿制度， 加大刑事处罚力度。

大数据时代； 个人信息权； 个人信息保护法

最近的几起热门案件再度引起全社会对公民个人信息泄露和被用于非法用途的担忧。对于对个人信息保护缺乏足够的警惕性和法律意识的中国公民来说， 这些事件确实敲响了警钟。包括以徐玉玉事件为代表的多起准大学生学费被骗去的案件报道， 甚至清华大学的一个教授竟被电信诈骗骗去了1 760万元。电信诈骗已经成为百度的热门关键词。另外有网友爆料， 有人在网上竟然公开叫卖福建地区的快递单， 以买卖客户信息来疯狂敛财。凡此种种， 可以看出公民个人信息保护的必要性和紧迫性， 而且随着大数据、 云计算等网络技术的迅猛发展， 现代社会已经强行被推入一个“大数据时代”。 由于大数据的采集、 存储和循环利用的主体不仅包括国家机关， 还包括众多营利性的合法和非法的商业主体， “大数据”在悄然侵蚀着每个人方方面面的个人信息的安全。在当今这个去中心化、 多元、 共享的大数据时代， 每个人的手机， 都成为类似报纸、 电台的传播媒介， 信息的流动呈几何增长的趋势。生活中无处不在的摄像头， 内嵌于每个人智能电子设备上的定位系统， 运用物联网射频识别技术的电子标签， 云存储上海量的数据信息等等， 这些大数据技术手段与工具时时刻刻了解着每个人的一举一动。可以说， 一个全景敞视式的利维坦已经形成。[1]129而法律作为规范人们行为的基本手段， 如何在信息化、 大数据时代发挥应有的作用， 如何进行相应的立法， 来杜绝非法采集、 利用、 泄露公民的个人信息， 保护公民的信息安全权利， 是世界各国面临的迫切的问题。 许多国家进行了有益的探索， 建构了较为完备的法律体系和内容。我国应该借鉴其他国家的立法经验， 加快完善相应的立法， 形成保护公民个人信息的较为完备的法律体系。

1 个人信息权的确立及公民个人信息范围的认定

要保护公民个人信息， 对其进行相应的法律保护和侵权救济， 同时约束和惩罚侵犯公民个人信息的各种侵权甚或违法犯罪行为， 首当其冲的是确立公民个人信息权。个人信息权没有被作为一个独立的法律概念在我国的各级各类法律中提出， 若要对其依法进行保护， 只能依赖于通过隐私权、 人格权或名誉权的维护进行间接保护。[2]54个人信息权， 是本人依法对其个人信息所享有的支配、 控制并排除他人侵害的权利， 是一项独立人格权， 具有独立的价值与内涵。[1]129个人信息权应独立于传统人格权， 具有我国现有的隐私权不能完全涵盖的内容， 将其确立为一种信息时代要求的新型人格权， 有利于进一步完善保护内容和保护方法。以王利明为代表的民法学家也认为， 个人信息权是一种独立人格权。将个人信息作为一种独立的权利， 是现代社会发展的一种趋势。[3]70个人信息权的性质被有的学者认为是“人格权和财产权”的双层权利载体。[4]王利明教授亦持相同观点。

另外一个非常关键的内容是对个人信息的范围的认定， 对此许多学者进行了充分的探讨。欧盟及其成员国使用“个人数据”的称谓， 美国使用“隐私”概念。通说认为与我国使用的“个人信息”的内涵一致， 只是由于法律传统和使用习惯出现表面用词上的差异。虽然美国使用了“隐私”的概念， 但“隐私权”作为一种宪法权利， 随着信息时代的到来， 通过许多判例， 已经突破了传统的“单独而不受干扰的权利”及“保护个人安静或者安宁”的目的， 而接近于我们的个人信息权的内涵， 在美国法意义上， 隐私就是我们对自己所有的信息的控制。[1]124比较完备的观点认为： 个人信息是指以任何形式存在的可以识别本人、 表征个人特征和个人核心活动的基本信息。具体包括个人基本情况、 肖像、 声音、 过去经历(尤其犯罪记录)、 医疗记录、 财务资料、 一般人事资料等个人识别信息和日常生活、 婚姻恋爱、 夫妻生活、 家庭生活、 社会交往等私人活动信息。[5]这个观点突破了以往个人信息局限在可识别性特征上， 还包括大数据时代通过技术可以定位搜集的活动信息； 除了敏感隐私信息外， 还包括了大数据时代的种种生活琐碎信息。

2 国外个人信息法律保护的经验借鉴

国外许多国家对于个人信息的法律保护进行了立法。例如： 日本于2003年5月制定了《个人信息保护法》； 欧盟于1995年通过了《个人数据保护指令》； 德国于1970年出台了《联邦数据保护法》。比较晚的是新加坡， 也于2012年颁布了《个人信息保护法》。除了这些保护个人信息的基本法律之外， 随着实践的发展， 国际学界还不断完善个人信息保护的法律体系。

国外立法可以被我国进行借鉴的经验包括： 第一， 必须制定基本法， 然后适应实际情况， 不断完善， 形成保护个人信息的法律法规群。比如欧盟除《个人数据保护指令》外， 又颁布了《电子通讯数据保护指令》《私有数据保密法》《互联网上个人隐私权保护的一般原则》等配套法律。德国也在《联邦数据保护法》外， 随后颁布了《信息通讯服务法》《州内媒体服务协定》和《电信法》。第二， 不断加强对违法违规行为的打击力度。2000 年美国第一部关于网络隐私的联邦法律生效， 规定在网上搜集 13 岁以下儿童个人信息的行为将被视为违法， 可处以上万美元的罚款。[6]第三， 通过立法设立专门机构负责个人信息的保护。许多国家都设立了专门的个人信息保护机构， 日本早在1988年即设立了个人信息保护审查会， 2005年进一步更名为信息公开与个人信息保护委员会； 新加坡设置了新加坡个人信息保护委员会； 澳大利亚设有信息委员会。这些机构在受理投诉、 违法处理及保护公民个人信息方面起了很大的作用。第四， 注意行业自律组织的作用。许多国家政府倡议指导涉及个人信息收集和利用的行业， 设立个人信息保护的行业自律组织， 通过行业自律组织制定章程及行业规范， 从微观层面树立个人信息保护的理念。政府加以引导并定期对其进行评价， 从而和公权力形成合力， 而且收效明显。

3 我国个人信息法律保护存在的问题分析

随着大数据时代对个人信息安全保护的迫切需要， 在世界各国加强立法保护个人信息安全的大背景下， 我国也高度重视个人信息安全立法， 除了散见于诸如《中华人民共和国消费者权益保护法》 《中华人民共和国未成年人保护法》 《中华人民共和国居民身份证法》 《中华人民共和国社会保险法》 《中华人民共和国邮政法》等实体法及《中华人民共和国刑法》及《中华人民共和国刑法修正案七》的规定外， 我国也出台了一系列专门保护个人信息安全的法规、 条例等， 主要包括， 全国人大常委会《关于加强网络信息保护的决定》 《互联网电子公告服务管理规定》 《互联网信息服务管理办法》 《计算机信息网络国际联网安全保护管理办法》 《互联网安全保护技术措施规定》 《电信和互联网用户个人信息保护规定》 《2006～2020年国家信息化发展战略》等。另外， 早在2003年我国就将个人信息保护问题列入国家立法计划， 并由周汉华教授出台了《个人信息保护法》专家建议稿。但时至今日， 该法案仍迟迟没有正式面世。

由此可见， 我国个人信息保护立法虽然取得了一定的成就， 但是其问题也显而易见， 笔者将其归纳为以下两点。

3.1立法层次低，内容缺乏系统性，缺乏上位法的规定

上述针对个人信息保护的专门立法大部分是行政法规或规章， 其他实体法的规定只是对个人信息保护的零星规定。法律层面的专门立法只有专家建议稿。面对大数据时代个人信息保护的紧迫性以及个人信息泄露案件的日益增加， 这些法规根本无法对其进行有效的规范。 从内容上看， 大部分法规是针对互联网行业的规定， 并没有涵盖所有掌握个人信息的主体。关于国家机关对个人信息的如何收集、 利用， 这些法规规定的内容并不全面。由于国家机关间存在信息共享的需求， 因此国家有可能建立中央化的庞大个人信息数据库。[7]事实上， 国家确实是拥有和掌握个人信息的重要主体， 最近发生的徐玉玉案， 就是黑客攻陷教育部门的网站， 从而导致考生信息的泄露。 我国各级政府网站上几乎看不到和一些大型商业网站所公布的“隐私政策”的文本。[8]6当然我国在《刑法》第二百五十三条对出售、 非法提供个人信息的规定按犯罪处罚， 但刑事责任的追究只是事后救济手段， 应该规定国家机关信息收集、 利用等的具体规范。综上所述， 我国需要规定一部统领上述部门立法的上位法， 对所有的个人信息提供全方位的保护。

3.2已有立法存在的缺陷

3.2.1 缺乏民事确权及侵权赔偿的相关规定

由于缺乏对个人信息权的权利确认， 我国司法实践中对侵害个人信息的侵权行为适用侵害隐私权和一般人格权来适用法律。但是对被害人进行隐私权保护， 其个人信息必须属于个人信息中的敏感个人信息， 即隐私， 而隐私是指个人生活安宁和生活秘密不受他人披露和干涉的状态， 是一种抽象的存在， 而个人信息是具体的。[9]还有的司法判例将侵害隐私同时涉及到对被侵害人社会评价降低时又视为侵害名誉权。另外在侵害不属于隐私的个人信息时， 我国司法判例又另辟蹊径， 适用一般人格权进行保护。这种保护方式在法律没有确立个人信息权时， 又不属于侵害他人隐私造成他人生活的严重不安宁时适用。我国的一般人格权是一个框架性权利， 哪些属于一般人格权， 要靠司法机关在审理具体案件时进行认定， 由于司法认定的主观差异， 可能会造成个人信息权益保护的偏差。在实际生活中， 个人信息遭受侵犯后， 由于没有明确的个人信息权的规定， 造成民事损害诉求的抑制， 许多人选择息事宁人。 然而， 由于信息时代数据收集的无时不在， 定位技术也日益发达， 使个人信息处在种种危险之中， 赋予单独的个人信息权是社会发展的大势所趋。

3.2.2 缺乏专门个人信息保护机构， 行业自律机制也不健全

我国目前还未建立专门统一的个人信息保护机构， 各部分是在传统的监管职责中延伸管理各行业各部门的个人信息保护问题。[8]7成立专门的个人信息保护机构是许多国家的共同选择。 建立统一的保护机构有利于统一监管职责， 有利于实现对个人信息主体的信息权利的保护。

我国行业自律机制也不健全。除了互联网行业和一些大型商业网站对客户的个人信息保护制定了行业自律公约， 其他小型的商业网站以及其他行业如银行、 证券公司等都鲜有保护隐私的自律公约和相应的机制。

3.2.3 刑事责任追究的力度和比例不大

我国刑法修正案(九)已经对原来的二百五十三条之一进行了完善， 规定了侵犯公民个人信息罪， 犯罪主体也不再限定在国家机关或金融、 电信、 教育、 医疗等单位的工作人员， 而是扩及到非国家机关的商业性主体。这是我国立法上一个很大的进步。因为这些商业性主体同样掌握着大量的个人信息， 而且由于利益驱使， 他们更容易做出侵害个人信息权的违法行为， 如对个人信息的恶意使用和私自转卖。相关调查显示， “我国互联网个人信息安全的灰色产业链已达近百亿”。但是我国在刑事责任的追究方面仍然坚持最高刑为三年有期徒刑， 并处或单处罚金的规定。刑罚处罚力度低， 只是对情节特别严重的， 才可以处以三年以上七年以下有期徒刑。例如：“全国首例侵犯公民个人信息案”的周建平案， 周建平等人通过兜售“广东省政府官员”通讯录， 非法获取利益1.6万元， 最终被法院判处1年6个月的有期徒刑， 并处罚金2 000元。再如： 2010年湖北省某水利设计院代某非法倒卖个人信息7万多条， 涉案金额达数百万元[2]55， 而判处的罚金仅仅为1-3万元。最近我国最高人民法院公布的典型案例， 判决的徒刑和罚金也是比较低的。 “浙江省平湖市人民法院判决认为： 被告人周滨城、 陈利青、 刘亚、 陈俊、 周红云违反国家有关规定， 向他人出售或者以购买的方法非法获取公民个人信息， 数量分别为193万余条、 100万余条、 7万余条、 7万余条、 7万余条， 其行为均已构成侵犯公民个人信息罪。综合考虑被告人自首、 坦白等情节， 以侵犯公民个人信息罪判处被告人周滨城有期徒刑一年十一个月， 并处罚金人民币四万元； 被告人陈利青有期徒刑十一个月， 并处罚金人民币十万元； 被告人刘亚、 陈俊、 周红云有期徒刑九个月至七个月不等、 缓刑一年， 并处罚金人民币五千元至四千元不等。该判决已发生法律效力。”[10]由此可见， 由于处罚力度低， 与可以获得的巨大利益相比， 这些罚金往往起不到应有的震慑效果。而且在实践中侵犯公民个人信息的情形非常普遍， 然而真正被判处刑罚追究刑事责任的所占比例太低， 起不到确实有效的保护效果。

4 借鉴国外经验完善大数据背景下我国个人信息法律保护

4.1制定《个人信息保护法》，起到统领部门立法的作用

许多国家都制定有基本的保护个人信息安全的法律。我国也应该正视个人信息保护立法方面的重大缺陷， 尽快出台统领部门分散立法的上位法， 即出台《个人信息保护法》， 这对于加强个人信息保护将起到非常重要的作用。我国《个人信息保护法》应规定立法原则， 可以包括合法收集和利用原则、 利益平衡原则、 安全保护原则等； 立法内容应包括个人信息的范围， 确立个人信息权的权利属性、 个人信息权的具体内容、 个人信息收集和利用的合法判断标准、 保护个人信息的机构及法律责任等内容。

4.2民事、行政、刑事立法缺陷的完善

4.2.1 立法要明确确认个人信息权是一项独立人格权

我国立法要将个人信息权从隐私权、 一般人格权的保护中独立出来。将其确立为独立人格权， 是应对大数据时代保护个人信息的必然要求。个人信息权享有主体的权利包括信息决定权、 信息知悉权、 信息更正权、 信息删除权、 获得救济权这几项权利。[11]齐爱民教授认为， 应包括决定权、 保密权、 查询权、 更正权、 封锁权、 删除权、 报酬请求权。[12]王利明教授认为， 至少包括处分权、 要求更正权、 更新权、 了解信息用途的权利。[13]7个人信息权的这些权能是其独有的， 既包括积极权能， 如知情权、 处分权、 更正权、 报酬请求权等， 也包括传统人格权的消极权能， 排除侵害和要求救济权。个人信息权权能的特殊性和丰富性也必然要求其作为一项独立人格权加以保护。

4.2.2 规定侵害个人信息权的民事损害赔偿制度， 增加惩罚性赔偿

个人信息权益遭受侵害， 是许多人遇到的问题。 然而， 面对这种侵害的民事求偿的救济渠道并不畅通， 原因在于没有法律的明确规定。在将个人信息权确立为独立人格权后， 法律上应对侵害其权益规定具体的救济途径， 才能弥补公民个人信息权益遭受的经济损失。许多学者认为个人信息权作为一种新型人格权， 具有人格权和财产权的双层属性。承认个人信息权的财产权属性是回应大数据时代个人信息商业利用价值的必然要求。在大数据时代， 个人信息被称之为“新石油”。甚至有学者称“法律应该对一切个人信息都予以财产权保护”[14]。个人信息对某些市场主体来说， 具有重大的商业价值， 而这些价值本应该属于信息权主体所有。所以， 侵害个人信息权必然会造成信息权主体的经济损失。在赔偿数额上可以规定惩罚性赔偿， 增加侵权人的侵权成本， 遏制其继续侵权的经济能力， 也能有效地对信息权主体的损失进行弥补。

4.2.3 设立专门的个人信息保护机构， 健全行业自律组织

我国应借鉴世界各国的先进经验， 设立专门的个人信息保护机构， 可以叫做“个人信息保护委员会”， 并详细规定委员会的人员构成与任命、 附属部门、 基本职能、 救济职能以及日常管理工作等方面的内容， 从而使得个人信息法律保护链条得以完整化。[15]“ 个人信息保护委员会”可设置在工业和信息化部。“个人信息保护委员会”的职责主要是执法检查及处罚权， 受理公民个人信息权利侵害的申诉和投诉， 提供有关信息保护的咨询性和技术性服务。 “个人信息保护委员会”还有一项重要的职责， 行使复议权， 也就是对于被处罚人不服行政处罚的， 可以行使复议权， 对复议决定不服的， 才可向法院提起行政诉讼。

除上述职责外， “个人信息保护委员会”还应该倡导各个行业建立健全自律组织， 并辅助行业自律组织制定章程， 支持行业自律组织开展活动， 定期对行业自律组织的活动进行评价， 形成政府主导、 行业自律组织协作共同保护公民个人信息的机制。

4.2.4 刑事立法方面应加大处罚力度和比例

据统计， 侵犯公民个人信息的商业主体包括许多房产、 职业和婚姻介绍中介机构、 快递公司、 猎头公司、 招聘网站等。甚至有些不良快递企业将公开出售快递单据作为“副业”， 快递行业也成了泄露公民个人信息的重灾区。[16]所以我国立法应该进一步修订二百五十三条之一， 在已将犯罪主体扩大到所有可能侵犯公民个人信息的单位和个人的同时， 鉴于这些商业性主体受经济利益的驱动， 出售、 非法提供公民个人信息的行为有增无减的现实， 必须加大对犯罪分子刑事处罚， 包括提高三年的起刑期限， 加大罚金数额的规定， 才能起到刑罚的震慑犯罪的作用。另外在刑事立案、 侦查方面， 我国要开展专项行动， 加大对此类犯罪的责任追究比例。

5 结 语

在大数据时代， 个人信息安全受到前所未有的挑战， 各国为应对这个问题， 都出台了以“个人信息保护法”为基本法的一系列法律法规； 同时设立专门的信息保护机构， 加大对泄露、 非法利用个人信息的行政和刑事处罚力度。我国政府也高度重视个人信息安全， 因为个人信息安全与国家安全是紧密相连的， 个人信息安全是国家信息安全的重要组成部分， 通过大数据工具对海量个人信息进行分析、 整合， 可以得出几乎一个国家所有的经济和社会数据。我国个人信息安全立法存在许多问题， 迫切需要完善。在完善法律体系和法律内容的同时， 我国还要继续推行网络实名制、 电话实名制、 银行卡实名制等实名制制度， 加强行业自律组织的建设和行业规则的建立， 加强宣传力度提高公民个人信息保护意识， 才能在信息化时代， 确实最大限度地保护好公民个人信息安全， 使我国从网络大国变成网络强国。

[1] 张里安， 韩旭至. 大数据时代下个人信息权的私法属性[J]. 法学论坛， 2016， 31(3)： 119-129

[2] 郑毅. 信息消费时代个人信息安全的法律保护[J]. 郑州大学学报(哲学社会科学版)， 2014， 47(4): 54-57.

[3] 王利明. 论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J]. 现代法学， 2013， 35(4): 62-72.

[4] 杨干生. 要素视角下的个人信息： 双重权利虚拟载体的保护和立法[J]. 武汉大学学报(哲学社会科学版)， 2010， 63(2): 296-300.

[5] 马蓉， 胡忠惠. 大数据时代个人信息刑事法律保护问题研究[J]. 宁夏党校学报， 2015， 17(1): 65-69.

[6] 赵磊. 发达国家个人信息保护经验及对我国的启示[J]. 大庆社会科学， 2013， 178(3)： 87-88.

[7] 蒋舸. 个人信息保护法立法模式的选择——以德国经验为视角[J]. 法律科学， 2011(2)： 113-120.

[8] 杨震， 徐雷. 大数据时代我国个人信息保护立法研究[J]. 南京邮电大学学报， 2016， 36(2)： 1-9.

[9] 谢远扬. 信息论视角下个人信息的价值[J]. 清华法学， 2015， 9(3)： 94-110.

[10] 最高人民法院. 侵犯公民个人信息犯罪典型案例[EB/OL]. 2017-05-09[2017-09-05]. http:∥www. court. gov. cn/zixun-xiangqing-43952. html.

[11] 侯富强. 大数据时代个人信息保护问题与法律对策[J]. 西南民族大学学报(人文社会科学版)， 2015(6)： 106-110.

[12] 齐爱民. 个人资料保护法原理及其跨国流通法律问题研究[M]. 武汉： 武汉大学出版社， 2004.

[13] 王利明. 人格权法制定中的几个问题[J]. 暨南大学(哲学社会科学版)， 2012(3)： 2-8.

[14] 刘德良. 网络时代的民商法理论与实践[M]. 北京： 人民法院出版社， 2008.

[15] 马治国， 张磊. 新加坡个人信息保护的立法模式及其对中国的启示[J]. 上海交通大学学报(哲学社会科学版)， 2015， 23(5)： 89-97.

[16] 李丹丹. 日本个人信息保护举措及启示[J]. 人民论坛， 2015(4)： 238-240.

OntheLegalProtectionofPersonalInformationUndertheBackgroundoftheBigData

YUEWenting

(School of Humanities and Social Sciences, North University of China, Taiyuan 030051, China)

With the rapid development of internet technologies, human society has stepped into the big data era, in which demands a higher protection of personal information. Due to the low level of legislation, the lack of systematic consideration and so on, personal information legislation is urgently necessary to improve. Against the above background, China should study the legislative experiences of developed countries, establish the unique and independent status of personal information rights, make the personal information protection law, and build specialized organizations to protect personal information, establish the civil compensation system, and increase the punishment of the violation of personal information rights.

the big data era; personal information rights; personal information protection law

1673-1646(2017)05-0060-05

2017-06-17

2016年度中北大学哲学社会科学研究经费资助项目： 大数据背景下我国个人信息法律保护的完善

岳文婷(1971-)， 女， 副教授， 从事专业： 经济法。

D631

A

10．3969/j．issn．1673-1646．2017．05．011