邵明涛

（河北冀华律师事务所，河北 石家庄 050000）

一、大数据时代个人信息法律保护问题

大数据时代，个人信息安全保护迫在眉睫，世界各国对个人信息安全的保护工作都给予高度重视，我国也将个人信息安全立法提上日程，目前已有《中国人民共和国消费者权益保护法》《中华人民共和国未成年人保护法》《中华人民共和国居民身份证法》《计算机信息网络国际联网安全保护管理办法》《电信和互联网用户个人信息保护规定》《2006-2020年国家信息化发展战略》等相关法律法规，而关于个人信息保护法，虽早有专家建议提案，但至今尚未出台［1］。由此可以看出，我国个人信息保护立法成果显著，但也有亟待解决的问题，主要概括如下：

（一）立法层次不高，系统性不强

当前，在个人信息保护方面，现有立法多为行政法规或规章，实体立法方面的个人信息保护还需要不断完善，在个人信息严重受到威胁、信息泄露案件频发的今天，现有法律规则无法有力的保护被害人利益。从立法内容的微观角度来看，现有法规多用于规范互联网行业，在个人信息主体方面的提及相对较少，特别是在个人信息的收集、利用和整理方面亟待完善。尽管当前掌握个人信息的主要主体为国家，但黑客的存在也给个人信息造成了极大的威胁。这种对于个人信息的立法层次不高、系统性不强的问题，给个人信息的全方位保护带来严峻的考验。

（二）保护个人信息立法存在缺陷，相关刑事追责有待加强

现有保护个人信息立法中还存在一些缺陷问题。主要有：第一，民事确权及侵权赔偿问题。当前，个人信息权没有明确规定，我国司法对被侵害人的隐私权和一般人格权进行了法律保护规定，但在个人隐私信息的界定方面还不够清晰，因此加大了维权难度。而在信息时代，定位技术的日益发达增加了个人信息泄露的风险，尽快确定独立的个人信息权势在必行。第二，刑事追责难。我国刑法修正案（九）对第二百五十三条中“侵犯公民个人信息罪”内容进行了重新修订，增加了商业性犯罪主体的范围，彰显了立法的进步。但在刑事追责方面仍显力度不足，现有刑法规定，最高刑罚为三年有期徒刑，并处返罚金，特别严重的处三年以上七年以下有期徒刑［2］。相比较非法利用个人信息的巨大利益诱惑，罚金的威慑力明显不足，特别是刑事追责不力必将增加利用非法手段获取个人信息的犯罪率，不利于经济发展和社会稳定。此外，第三方个人信息保护机构不健全，行业从业者自律性差等问题也十分突出。

二、大数据技术背景下个人信息的法律保护策略

（一）制定《个人信息保护法》，准确定性个人信息范畴

当前，许多国家已经出台了关于个人信息安全保护的相关法律，在我国这样一个经济高速发展的人口大国，也应重视个人信息的立法保护，尽快制定《个人信息保护法》相关法律法规。

在个人信息保护制度的制定中，个人信息的定性是关键。而在大数据技术背景下，个人信息保护的界定又相当困难，在学界研究中其边界感也不十分清晰，关联说、隐私说、识别说和识别能度标准说等理论学说也尚未获得一致性的认可标准。总之，在立法过程中，应本着合法利用、利益平衡和安全保护原则，准确定性个人信息范畴，通过立法途径保护公民个人隐私信息不被泄露，个人信息处于正常流动范围内，既可消除公民的恐惧不安，也更促进公民自愿利用互联网进行信息交流。

（二）完善民事、行政、刑事立法，同步建立行业自律制度

大数据时代的到来要求民事、行政和刑事立法必须同步跟上。具体包括：第一，将个人信息权独立出来立法。即将其与隐私权和一般人格权中分离出来，将其作为独立人格权进行立法，明确对个人信息权主体的相关法律保护，其权能既包括知情权、处分权、更正权、报酬请求权等积极权能，也囊括了要求救济权等消极权能，实现了对个人信息主体的更全面保护［3］。第二，完善侵害个人信息权的民事损害赔偿制度。大数据时代，个人信息遭侵害的事时有发生，当前的民事赔偿渠道困难重重，法律应尽快明确关于个人信息权遭侵害的救济途径，在严惩侵权人的同时，也让个人信息主体得以获得经济补偿。

俗话说“道高一尺，魔高一丈”，对外部机构和研究人员而言，他们的大数据知识相比较大数据企业和互联网企业而言不值一提，即便自认为制定出了无懈可击的法律保护体系，对于个人信息的使用者而言还是会难以经受住利益诱惑而打法律擦边球，因此，在相关法律不断完善的过程中，建立行业自律制度也非常重要。具体措施包括：第一，探索性地建立行业自律组织，成立“个人信息保护委员会”，并进一步明确该组织的权威性，通过制定统一标准和互相监督等方式来监管行业成员，齐心协力共建良好的行业秩序，打造可持续发展的健康行业环境。在具体的监管执行过程中，行业组织可通过定期或不定期开展督查的方式来发现成员的违规问题，起到警示作用，并通过内部机制的不断完善配合有关部门对其进行依法惩处。与此同时，行业组织还应加强与外部的交流互动，及时吸纳外部公众和管理机构的建议，同步制定行业自律公约，制定个人信息安全认证制度，并积极呼吁各行业建立自律组织，通过外管内治的方法提升行业对个人信息保护和使用的规范性，在良性互动中维护大数据应用的纯净度，最终形成政府主导、行业自律组织协作的保护公民个人信息制度。

（三）健全“告知-同意”规则，提高“同意”门槛

在传统的互联网时代，个人信息的保护主要通过“告知-同意”规则来实现，即提前告知并由信息主体自由决定是否同意个人信息被收集、处理、利用和传输，这是处于法律之外的行业自治，经多年的应用实践，该规则中的隐私政策艰涩难懂、冗长繁杂、所设机制过于理想化等问题也较为严重［4］。随着大数据时代的到来，“告知-同意”规则已明显落后于时代发展，不法分子也逐渐突破行为红线。因此，为更好地保护个人信息，基于法律视角，应做好如下工作：第一，进一步规范“告知”规则，隐私政策条款应简洁明了、用语确切，特别对信息的使用和授权等一概不能含糊，在个人信息获取中应合法，对主体敏感信息等必须征得信息主体同意。第二，提高“同意”门槛。当信息主体同意后，信息获得者也应明确可供使用的个人信息只包括这一信息主体的个人信息，而不应包括其他关联信息主体，以避免Facebook“泄密门”事件的再次发生。当信息主体为非独立民事行为能力人时，需由其法定监护人签署“同意书”，并确保监护人享有信息用途的知情权，本着自愿签署的原则完成合作。

（四）广筑高墙，打好安全加密技术攻关防御战

通过法律途径来对大数据技术背景下个人信息保护之外，还必须加快个人信息加密技术的研发，将加强个人信息保护作为全民、全行业的一项重要任务去抓。然而时代在发展，信息技术的应用也日益进步，尽管诸如支付宝背后的阿里巴巴等一些大型企业也在加密技术的研发应用中投入了大量的时间和财力，但犯罪分子的破解能力也在提高。例如，Facebook早在2019年时就出现过用户账号密码丢失的问题，给公司造成了极其不好的影响。由此也在警醒着我们，在个人信息保护方面的努力千万不能停下脚步，个人信息保护工作将是一场旷日持久的战斗，除了法律的约束外，更离不开大数据及互联网企业的自律，特别对大数据的应用企业而言，更要广筑高强，打好安全加密技术攻关的防御战。

综上所述，个人信息作为大数据技术的支撑，大数据技术的快速发展也给个人信息的保护带来了严峻考验。只有充分认识到个人信息安全立法中的不足，积极采取有效措施加以应对，才能确保公民个人信息安全不被侵害。