朱佳佳

所谓大数据，是指那些大小已经超出了传统意义上的尺度，一般的软件工具难以捕捉、存储、管理和分析的数据。［1］各种电脑、手机中的智能APP、快递单据等记载着大量的个人信息，包括姓名、电话、家庭住址等，大数据技术就是通过各种渠道获取公民的个人信息，然后借助电子设备将信息数据化，再进行客观分析并借助特定算法进行计算，得到某些方面的统计信息。在这样一个离开网络就仿佛跟时代脱轨的社会环境中，衣食住行各个方面都已实现网络化，而在我们运用便利的各种网络APP进行购物、规划出行的同时，或多或少都会有个人信息的泄露。在这样的环境下，各种个人信息被非法乱用的现象数不胜数。例如贩卖公民个人信息的地下交易已形成成熟的产业链。在这个产业链中，从上游一些人员进行信息收集到中游专门人员通过网络转手到下游不法分子利用信息进行电信诈骗、敲诈勒索等违法犯罪活动。再比如在进行网络购物时，顾客在网络平台浏览商品，并在确定好自己想要买的商品后通过网络支付完成整个交易，这时购物平台就会记录下顾客的浏览记录、分析个人喜好然后有针对性地进行商品推销，甚至有些顾客的银行卡信息被复制，钱财被盗走。因此，在大数据时代下界定个人信息的范围并通过法律进行针对性的保护，加强行业组织自律，提高公民的个人信息保护意识势在必行。

个人信息被誉为21世纪最有价值的资源，它不但可以为政府决策提供依据，产生公共管理上的效率与效益，还可以产生商业利润。［2］国家政府部门通过进行信息统计了解国家公民人口信息，优化资源配置，做出具有针对性的举措、部署安排。不仅仅是国家公权力机关，各种商家、网络平台根据消费者喜好推送广告、信息，吸引消费者眼球，以赚取经济利益。甚至有机构通过打探个人信息，掌握个人行踪，进行人肉搜索来获得利益。种种现状都突出了现代社会个人信息保护的重要性。

一、个人信息的界定与概念

《民法总则》第111条明确了自然人的个人信息受法律保护，个人信息成为重要的权利客体。有学者认为，个人信息是指“与特定个人相关联的、反映个体特征的具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面的信息”［3］。因为将个人信息进行列举式的明确界定有一定的困难，因此，以信息产生源和属性为标准，大致可以将个人信息分为三类：第一类为能够直接反映个人的自然情况、日常生活状况的数据资料，比如姓名、年龄、身份证号码、家庭住址、工作经历等具有自然属性和现实社会属性的原始数据；第二类为个人在网络空间留下的活动轨迹与信息痕迹等数据资料，比如在网络购物时在网页留下的浏览记录、购买记录等网络原始数据资料；第三类为网络服务者通过对前两种数据进行统计、分析而得到的个人信息资料，比如个人消费习惯、近期购物意向等等再生数据资料。另外，根据信息的隐私程度，可以将个人信息分为两类：一类是私密性的个人信息，它指的是一些极不愿意为人知晓的资料信息；另一类是开放性的个人信息，是指除隐私之外的个人信息，比如姓名、身份证号、家庭住址等信息。

《民法总则》第111条并没有把个人信息放到隐私权范畴，而是单独放在民事权利一章加以保护，这说明制定者否认了将个人信息作为隐私权的观点。由于个人信息权与隐私权的权利主体都为自然人，都体现了个人在私人生活中的自主权，客体有交错性等特点，因此从比较法的角度来看，两大法系都没有解决好严格界分个人信息权与隐私权这一问题。但是，个人信息权与隐私权又有着如下几个方面的区别：（1）隐私权主要是一种精神性的人格权，虽然其也可以被运用到各个地方，但是财产价值方面并没有很突出，而个人信息权集人格利益与财产利益于一身，既包括精神价值也包括财产价值，甚至有时会在财产价值方面充当更重要的角色。（2）个人信息的范围比隐私范围更广。隐私主要是一种极为私密性的信息，是极不愿意为人所知晓且不愿意被公开的部分，而个人信息不仅包括隐私，还包括一切可以识别主体的信息。只要这些信息与个人人格、身份有一定的联系，就可以被认为是个人信息。（3）隐私权是一种消极的、防御性的权利，通常只有在隐私受到侵害后，才会主张权利，个人不能主动行使此权利，而个人信息权是一项积极的权利，公民不仅可以在受到侵害后主张权利，还可以对个人信息进行积极的运用。正如有的学者指出“普通的隐私权主要是一种消极的、排他的权利，但是资讯自决权则赋予了权利人一种排他的、积极的、能动的控制权和利用权”［4］。

但是不可否认的是，个人隐私权对个人信息保护是至关重要的。因为个人隐私对于个人信息来说是更加私密的内容，是人不愿意随便展现在外人面前、不愿意被外人所知的一些内容，相对于普通个人信息泄露来说，隐私泄露是更加让人难以接受的。如果连最深层次、最隐蔽的信息都保护不好，那么大范围被利用的个人信息保护怎么可能有办法实现。因此，切实维护好公民的个人隐私权，在这基础之上对公民个人信息进行立法保护才是正确的选择。

二、我国个人信息保护的现状及困境

（一）个人信息权益保护意识淡薄

在快递业、外卖行业欣欣向荣的今天，大部分人都忽略了自己正在将个人信息暴露在外界。快递单号、外卖单据上的姓名、电话、住址无一不是违法犯罪分子可以利用的信息。或许是嫌麻烦，或许是根本没有意识到信息泄露的问题，有多少人会在扔快递包装盒子的时候将个人信息单据撕掉销毁呢？恐怕是少之又少。

除此之外，社会公民在遭到信息泄露后，只有极少数人会运用法律武器来保护自己的合法权益。往往人们在遭到电信诈骗等情况时，除非受到极大的财产损失或者受到社会、媒体的广泛关注，都会抱着一种自认倒霉的心态来看待这种情况，并不会去费时费力深究信息泄露的源头、泄露人的责任问题，况且以目前法律来看，买卖个人信息这种违法犯罪行为的违法成本较低，根据《中华人民共和国刑法修正案（七）》规定，买卖、泄露个人信息最高判处3年以下有期徒刑或拘役，并处罚金。违法成本较低，使得违法者的收益大于成本，受害者费劲全力都不一定使得侵权人受到多大的惩罚，所以往往此类案件并没有很多受害人主动寻求法律保护。

（二）行业自律组织混乱

通过公安部门大量破获的案件我们可以看出，在网络社交、购物、银行、电信甚至卫生、教育等政府部门，都会出现一些为了谋取私利而利用职权，将掌握的公民个人信息对外出卖的工作人员。除了工作人员的行业道德低下，行业自律组织的混乱更是造成这一现象的重要原因。我国法律中并没有明确对个人信息保护工作进行监管的机构，也没有对相关工作的管理权限作出准确的划分，这就造成了无专人监管的困境。个人信息的保护无法得到行政权力的支持；缺乏政府指导的互联网行业协会、通信行业协会林立，加上信息不对称和地位不平等，自律规范大多由互联网巨头商定，无法有效保护广大中小互联网企业的利益；而且大多数自律规范都以宣誓性、倡导性条款为主，缺乏具体实施细则和救济途径。［5］许多网络服务提供者责任不到位，例如许多平台为了提高网络用户数量，增加广告曝光度，虽然会提供各种各样的信息注册服务，但是却很少提供信息注销服务，这样就会为以后的信息泄露埋下隐患。

（三）缺乏个人信息保护统一立法

十二届全国人大常委会第二十四次会议经表决，通过了《中华人民共和国网络安全法》。《中华人民共和国网络安全法》是我国互联网领域的一项基本法，其明确规定了要加强个人信息保护，并打击网络诈骗。针对个人信息泄露问题，网络安全法规定，具有收集用户信息功能的网络产品或服务，其提供者应当告知用户并取得用户同意；网络运营者则不得擅自泄露、篡改、毁损其通过互联网收集的用户个人信息；任何个人和组织均不得以非法方式获取互联网用户的个人信息，且不得非法出售或者免费向他人提供用户个人信息，并规定了相应法律责任。民事基本法的《民法总则》第111条把个人信息权作为一项基本民事权利进行保护，确立了保护个人信息的法律原则，是未来制定单行法或细化保护措施的基础依据，但该规定仍然比较抽象，既没有界定个人信息的保护范围，也缺乏切实有效的救济措施和配套规定。

像《中华人民共和国宪法》《中华人民共和国民法总则》《中华人民共和国合同法》等法律法规、规章在个人信息保护方面规定了不少，但是我国个人信息保护尚未出台专门立法，对个人信息泄露的处罚也缺乏统一性和系统性，尚未形成统一的关于个人信息保护方面的基本法。这些法律法规条文和部门规章内容有限，并且缺乏统一的各行业关于个人信息保护相关法律，终会导致信息保护监管不力。

三、大数据时代下个人信息保护完善对策

（一）建立大数据时代下的个人信息法律保护体系

由于在大数据时代下个人信息涉及范围相当广泛，采用单一的基本法立法模式并不能完整地概括方方面面遇到的信息泄露情况，而仅仅采用特殊法的立法模式又对信息泄露行为的处罚缺乏统一性与系统性，因此我国适宜采用“基本法+特殊法”的立法模式，建立大数据时代下的个人信息法律保护体系。我国台湾地区制定了《个人信息保护法》单行法，明确了个人信息的法律性质、立法宗旨、基本原则以及侵犯个人信息权利的救济等重要问题，这就值得我国其他省份进行借鉴。在此基础上可以再根据各个行业领域的特征制定不同领域的特殊法以此来全面保护公民的个人信息。在网络领域，已制定了《中华人民共和国网络安全法》，明确规定加强保护公民个人信息，打击网络诈骗。像这样，可以在金融领域，以《消费者权益保护法》为基础，制定专门的法律，如此一来就可以全方面对违法犯罪分子形成有力威慑。

通过专项立法保护个人信息可以为打击泄漏个人信息的行为提供直接的法律责任追究依据；通过法律体系的完善，采用“基础法+特殊法”的立法模式进行保护；通过结合大数据的特点，完善诉讼程序中对案件的管辖、举证责任等方面的规定，比如规定举证责任倒置等，减轻被害人的举证责任和成本负担，可以有效维护公民个人的合法权益。

（二）加强行业自律，增强行业道德观念

个别行业中的工作人员以权谋私，利用职位的便利将客户的个人信息贩卖，这似乎成了个人信息泄露的源头。为此，加强行业自律迫在眉睫。首先，掌握公民信息的行业要把保护用户的个人信息作为行业的生命线，在利用时要事先取得用户的同意，并且用于合法目的，诚信实用；其次，要建立问责机制。这些掌握大量信息的行业要定期向社会公布行业信用等级评定结果，对于出现的信息泄露问题及时追究，核实到具体的单位和人员，并追究其责任，这样在行业内部建立起一个典范，让工作人员意识到非法泄露客户信息将受到法律和行业内部的多重处罚，这样将大大降低信息泄露事件的发生；最后，在行业内部也要建立专门的监督部门，为了有效防止信息泄露事件的发生，监督部门要切实做好监督工作，督促约束工作人员坚守职业道德。比如在网络领域，有必要提高网络服务提供者的责任意识，建立网络信息注销制度，同时加强网络个人信息权媒体素养教育，在没有征求信息权人同意的前提下，公民个人信息的内容不得被整理、收集和传播。

（三）提升用户个人信息保护的法律意识

大数据时代风起云涌，个人信息的保护受到严峻的挑战。人们已经习惯于利用网络进行社交活动、购物、浏览新闻，个人信息保护意识比较弱，在不经意间就有可能把个人信息泄露出去，由于信息泄露而引发的诈骗等案件时有发生。因此，加强个人信息权益保护宣传十分重要。政府应该设立一个平台开展个人信息保护的宣传活动，引导社会公众树立信息权益保护意识，提高自我维权能力，通过投诉、司法救济等途径，减少个人信息泄露给个人经济活动带来的不良影响。

要想真正将个人信息保护落到实处，除了需要国家制定专门的法律来规制，还需要各行各业的共同努力，加强行业自律、增强工作人员职业道德，更需要公民提升自身的信息保护意识，只有多方位、全方面的共同努力，在大数据时代下才能更好地保护公民自身的权益。