论大数据时代个人信息保护困境及对策研究

2022-01-01陕西理工大学左容先

区域治理 2021年51期

陕西理工大学左容先

一、大数据时代个人信息的保护现状

随着科技的飞速发展，个人信息已然成为这个时代不可或缺的生产要素。个人信息的内涵也逐渐呈现扩张趋势。2014年可被视为我国采用立法手段保护个人信息的分水岭。在此之前，在立法层面对个人信息的保护大多仅仅触及对隐私权的保护，而关于公民个人隐私保护的条款仅散见于各类法律之中，隐私权侵权纠纷是民事侵权纠纷诉讼的重要诉由。2014年之后发布实施的法律、规章、其他规范性文件中，有关于个人信息的保护体现有:《网络安全法》第四十条至五十条规定了网络运营者收集个人信息应遵循的原则、使用个人信息的要求、防止个人信息泄露的措施、监管制度与相关禁止事项；《互联网用户账号名称管理规定》第四条的规定较上述两部法律而言，其差异则是条文更为精细化，其中明确互联网信息服务者应完善用户服务协议，明示互联网信息服务使用者的注册信息中不得出现违法和不良信息，配备专业人员对用户提交的信息进行审核等。笔者认为个人信息虽是隐私权的一个重要组成部分，但也并非完全重合，加大对个人信息进行直接保护的立法工作，有利于提升个人信息的法律地位和公民的重视程度。

然而现行的保护个人信息的立法中仍存在立法层次较低、分散且实操性不强等主要问题。2021年我国已进入民法典时代，《民法典》人格权编中对个人信息保护的条文中确立了个人信息的请求权基础，帮助信息主体实施对其个人信息实施侵害的数据控制者请求公力救济。《民法典》承继了《侵权责任法》，在《侵权责任法》侵权责任编第一千一百九十四条到第一千一百九十八条中，细化了网络用户及网络服务提供者之间的法律关系，但内容局限于“通知”与“删除”两个步骤，已不能完全适应现阶段复杂多变的网络环境中存在的侵权案件。

二、大数据时代个人信息保护的困境

（一）个人信息界定模糊

1.个人信息的复杂性

个人信息具有种类多和关联性强的特性，这两大特性也决定了对其保护的难度非同小可。个人信息不仅是一个单独的个体，可对其通过计算机算法进行数据的比对分析轻易达到数据控制者的目的，这也是个人信息具有财产权益的宿命。现阶段法律所保护的个人信息大多是最初始状态的个人信息，如:姓名、性别、年龄、住址、身份证号码等不用再次加工处理特定主体的信息。但公民在网络活动中所残留的信息也应受到立法者更多的重视，如网页浏览记录、线上交易记录等极易产生巨大灰色收入的地带。

2.个人信息边界不清晰

个人信息的边界是非常宽泛的，法律如果不明文规定其保护的范围，将极易造成信息主体的个人信息受到保护不足的尴尬境地。《民法典》第一千零三十四条对个人信息做出了界定，通过识别性和开放式列举的方式对个人信息进行了归纳。但可识别性具有较强的主观因素，易因不同主体认识的不同而产生波动，实际操作性较弱。在司法实践中，若出现不属于列举的个人信息的范畴，则需要法官动用法理及其生活经验进行不偏离法律基本原则的自由裁量，可能会出现同案不同判的尴尬局面。而开放式列举也存在一定的弊端，极易造成个人信息的范畴过大或过小，使个人信息认定出现泛化现象，导致无法对侵害公民个人信息的实施主体进行规制也无法合法保护公民的个人信息的两难现状。我国有关的个人信息保护的法律，如《消费者权益保护法》的第二十九条和《网络安全法》第四十一条均无一例外规定了数据控制者收集使用公民个人信息应遵循合法、正当、必要的基本原则，但并未对“合法、正当与必要”加以具体说明，这为法律适用带来了难度。

（二）立法未形成体系

1.法律条文规定不具体

我国现阶段的法律中已经存在不少保护个人信息的相关规定，但大多仅流于形式，未做深入细致的规定。主要表现在法律条文简略、界定模糊和大多条文是针对个人信息遭受侵害的事后处理，这极不利于发挥法律的事前威慑功能。且对于侵犯个人信息违法行为的处罚存在失衡现象，导致信息主体的损失无法弥补，不符合民法基本的填平规则。

2.个人信息保护的立法前景不明朗

我国现阶段个人信息立法的不确定性主要体现在缺乏有关可参照的上位法。高位阶个人信息保护法的缺失使得各部门、各类型的个人信息保护立法难以系统性、全方位地进行，这也是立法前景不确定性最为重要的体现。除此之外，大数据时代下，个人信息保护领域存在复杂性，存在隐私、敏感、信息与数据等诸多概念的混用，且这些概念的外延和内涵大都存在交叉与重复，也一定程度加重了对个人信息进行立法保护的难度。况且立法探讨应具有前瞻性和预见性，还应该具备一定的弹性空间和兜底条款，而飞速发展的信息科技，使得立法的滞后性的问题更为凸显，这也无疑为个人信息保护增加了难度。

（三）行业侵权乱相频发

1.侵害主体多元化

在日常生活中，侵害个人信息的主体可能相差甚远，既可能是企业商家，也可能是政府组织。不管在什么领域，个人信息侵权现象都不少见。信息控制者、处理者对信息主体实施的侵权行为的主要类型有对信息的不当收集、不当管理与处理及对个人信息的不当利用等。

2.信息控制者规制有限

个人信息主体对其个人信息的控制是很受限的，个人信息看似被信息主体紧握却虚无缥缈，互联网等科学技术的传播方式使其每时每刻都进行着无可估量的信息传递。早些年，公民对个人信息的权益了解甚少，不知道其滥用会对自己的人身财产造成如此大的风险，常发生个人无意泄露个人信息的情况。随着公民个人信息保护意识的觉醒，不少想要获取个人信息的信息控制者通常会采用神不知鬼不觉的方式盗取或骗取公民个人信息，以达成合法或非法的目的。

诚然，就算信息控制者以合法的方式获悉公民个人信息，造成公民个人信息泄露、越权处理等情形也时常发生，这些现象大多归因于信息控制者、处理者收集个人信息后未使用技术手段禁止溯源、必要的匿名化处理等必要防护措施。对个人信息的处理不够规范为信息泄露事件的发生提供了违法犯罪的温床。当然，现实中也存在部分信息泄露的原因是信息控制者管理公民个人信息不到位，致使黑客入侵网站后非法盗取公民个人信息。

三、大数据时代个人信息的保护对策

（一）明确个人信息保护的具体界限

1.确定个人信息保护的基本原则

无论是何种个人信息，如果不能进行全面有效的保护就无法保证其安全，笔者认为因个人信息的泄露会对社会和个人造成巨大的影响，故应该采取较为严格的限制措施，限制对个人信息的使用与处理，具体包括明确收集原则、收集限制原则、一次授权原则等。对于个人信息的法律规定，应多使用强制性规定，少做出任意性规定，防止信息控制者权利过大而监管太少。信息主体要掌握个人信息的主动权，悉知数据控制者因何收集个人信息、为何种手段使用个人信息。应限制公民对自身个人信息的“一次授权多次使用”局面的发生，同时也限制数据控制者采取强制签订格式条款授权使用其无权获取的涉及人身财产等重要的信息数据。

2.《民法典》的相关规定

值得庆幸的是，《民法典》独立成编的人格权编将隐私权和个人信息分开描述，这意味着立法者加大了对公民个人信息的专门保护，而不是将其一概与隐私权共同加以论述。虽然从内涵方面看，隐私权和个人信息依然有部分的交叉重合，但是分开描述无疑更利于个人信息的保护。《民法典》第一千零三十四条至一千零三十九条从个人信息的内涵、处理信息的原则、免责条款、更正等方面进行了规定。特别是第一千零三十五条不仅规定了处理个人信息的原则和个人信息的处理的界限，还规定了其应同时符合四个条件，这能有效规制信息控制者对公民个人信息的使用空间。但《民法典》作为我国的基本大法，无法做出非常具体的规定，这些都寄希望于即将出台的《个人信息保护法》去完善。

（二）加快个人信息保护的系统化立法建设

1.更新立法技术

从立法的全面性和体系化角度看，现有的法律体系不能有效保护网络环境下的个人信息，而是需要从广度和深度方面都加以着手，将个人信息与数据保护结合起来，兼顾一般与特殊。为了便于立法与建立清晰的法律体系，个人信息可划分为个人基本信息、个人敏感信息及个人重要数据。应对不同类型的个人信息实行差异化的保护。这三类保护措施的严密性呈现逐渐递增的状态，个人基本信息可视作个人愿意公开的信息，对这部分信息设置一般保护标准即可。个人敏感信息涉及到公民极为重要的个人隐私部分，如公民的商业金融交通旅游活动基本数据等，对这部分信息需要设置极高的保护标准。对个人重要数据的保护牵涉到多方主体利益，如未披露的科研数据等，因此需要采取更为严格的信息保护手段，进而有针对性地对个人重要数据提供技术保护。只有构建完备而立体的个人信息及数据分级分类保护机制，才能有效应对当前错综复杂的个人信息保护需求。

2.对相关法律进行完善

目前尚在制定的《个人信息保护法》作为一部专门保护个人信息的法律，其出台后对个人及行业产生积极的指引作用。没有一部法律是完美无瑕的，不能仅依靠《个人信息保护法》一部法律就试图解决所有信息保护的问题。我国要建立健全系统化的立法建设，须以《民法典》和《个人信息保护法》为重心，同时进一步完善其他相关法律，才能实现一套完善的信息保护的法律体系的建成。举例来说，在《网络安全法》中，要进一步完善对网络运营者使用用户个人信息的具体程序及明确采取何种手段防止用户个人信息泄露等。与此类似，在《消费者权益保护法》也需要完善对消费信息的保护措施。对消费者信息的界定也随着大数据时代科技的发展存在相应的延展，及时地规定经营者通过网络等渠道获取的消费者信息的适用程序，利于良好的交易环境的建成。众多领域都有相关个人信息保护的法律规章，其应相互协调、配合与完善，形成科学统一的立法体系，全面保护公民的个人信息。

（三）加强行业监管与行业自律

1.加强行业监督

为了保障公民的个人信息能得到更好的保护，我国应坚持以行业自律为主，行业监管为辅的治理机制，以确保信息控制者、处理者达成对公民个人信息保护的最大化与信息利用的最优化。为了建立专门的监督部门，我国可参考德国为代表的双重监管机制，即建立内部与外部双重监督机制，设立独立于行政机关的保护监督管理机构，配置专员确保权力独立行使，以达成更好地保护信息权利主体权益的目的。

2.强化行业自律

同时对企业行业等进行预判并采取适当的预防措施，对公私领域进行动态监督和管理，一旦发现违法行为便及时进行制止并惩处。针对信息处理领域进行行业自律，以寻求信息保护与利用达到平衡状态。为保证信息处理领域的行业守则和规范具有实用价值且能够实现具体应用，其起草和修订由应当考虑不同行业信息收集和使用者的特性。各行业协会可结合自己行业的专业性、独特性与市场性，在不违背法律基本要求的情形下定制行为守则的草案，再提交监督机构审核，审查其是否符合相关法律法规的要求，若无异常，应当批准并向社会进行公告。