山东财经大学法学院 李鑫

在数字化飞速发展，大数据时代已经来临的背景下，信息技术广泛应用，海量的数据呈现爆炸式增长。个人信息就是这些数据中的重要组成部分。我国《民法典》在人格权编当中规定了个人信息保护。互联网时代的到来与经济的发展使人们的生活发生了翻天覆地的变化，但是也与个人信息的保护之间存在一定程度的矛盾。如何实现发展与保护之间的动态平衡，以适应社会和实践发展的需要，是我们应当深入思考的问题。

一、《民法典》对于个人信息保护的规定

我国《民法典》第一千零三十四条对于“个人信息”这个概念作出了明确的规定——“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。”个人信息所具有的这种“可识别性”使得信息收集与使用者可以精准地定位到个人，提取个人的身份与特征，它如同每个公民的“电子身份证”，明确显示个人具体数据的同时，也承载着公民的人格利益与财产利益。所以，其重要性不言而喻。个人信息与个人隐私之间也存在关联性，一部分个人不愿公开与其生活私密性相关的个人信息与个人隐私是重叠的。二者都排斥他人的非法干预与公权力的过度干涉，都需要法律来进行保护。互联网的发展与大数据的推动，更使得个人信息成为与我们每个人的生活紧密相关的存在。

我国《民法典》详细地完善了个人信息的保护规则，在总则编第一百一十一条肯定了公民的个人信息受我国法律保护，在人格权第六章中将隐私权与个人信息保护并列，增加了六条关于个人信息保护的规定。《民法典》的定义将个人行踪信息添加到个人信息的定义当中，扩大了其内涵和范围。《民法典》承认数据、网络虚拟财产能够作为财产来进行保护，禁止利用信息技术手段深度伪造，将声音作为一种新型的人格利益进行保护，设立了人体基因和胚胎研究的基本规则。种种方面都强化了对个人信息的保护。

深入研究《民法典》对个人信息保护的新规定，我们可以挖掘到其背后明显的时代色彩。在互联网迅速发展的背景下，新技术、新产业快速发展，无论是在宏观上还是微观上，我们的生活都已经离不开大量的数据和信息。而这些快速发展带来的不仅是利好，还有一些社会的矛盾和具体的问题，例如垃圾信息、真假难辨的消息、个人信息面临的威胁——信息买卖、泄露等。条文中对于个人信息范围扩大的规定，也能在社会生活实践中找到源头。《民法典》第一千零一十九条禁止使用信息技术手段侵害他人的肖像权，是基于人工智能技术发展后面部识别的广泛应用而规定的。此前，“中国人脸识别第一案”已经宣判，杭州市富阳区人民法院判决杭州野生动物世界赔偿原告郭先生相应利益损失与交通费，并删除其保存的面部信息。这个案件为人工智能与面部识别技术的规范应用提供了借鉴，有重要的参考价值。实践当中，AI换脸等技术对他人肖像权造成侵害的案件也屡见不鲜。面部识别技术给我们的生活带来了极大的便利，但是个人面部信息的安全与隐私性应当得到全面的保护。对于声音作为个人信息进行保护的依据，也是依托于新技术的发展，声音和面部特征一样，都具有“可识别性”，是每个人的特征。在社会实践中也存在着声音侵权的现象，例如通过录音机、窃听器采集他人的声音，并且进行人工合成，以假乱真或用作其他途径等。《民法典》第一千零二十三条强调了声音利益保护的重要性，非法模仿他人的声音，伪造或者篡改他人的声音，都有可能是侵权行为。这些规定体现了大背景下对于个人信息保护的新要求。

二、我国信息保护发展现状

（一）与个人信息保护相关的法律法规

我国将个人信息作为权利进行保护的体系是近年来不断构建的。我国关于个人信息保护的法律法规有《民法典》人格权编、《网络安全法》《征信业管理条例》《个人信息和重要数据出境安全评估办法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等。我国目前约有40部法律、30部行政法规、地方性法规及近200部来自工信部、保监会、银监会等部门的规章对于个人信息保护做出了规定。2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》为个人信息的保护拉开了序幕，明确表示国家保护能够识别公民个人身份和个人隐私的电子信息，以及网络服务提供者与有关主管部门的责任。2013年公布并施行的《电信和互联网用户个人信息保护规定》确定电信业务经营者、互联网信息服务提供者收集用户个人信息应当遵循的规范。其后的《消费者权益保护法》和《网络安全法》也对此进行了相应的规定。《信息安全技术：个人信息安全规范》贯彻了《网络安全法》的个人信息安全要求，在一定程度上促进了信息保护制度的进步，也提升了大数据时代产业发展的水平。2020年印发的《法治社会建设实施纲要（2020—2025）》第二十二到二十四条在依法对网络空间进行治理方面做出了明确的部署。网络空间并非法外之地。《纲要》指出，应当完善网络信息服务方面的法规，完善网络安全法的配套规定和标准体系，加强对于大数据、云计算和人工智能等新技术的规范引导，研究制定个人信息保护法。依法打击有害信息在网络空间的传播，加强对于网络空间通信秘密、商业秘密及个人隐私、名誉权等合法权益的保护。要严格规范收集、使用用户身份、通信内容等个人信息的行为，加大对于非法获取、泄露、出售、提供公民个人信息的违法犯罪行为的处罚力度。2020年10月，《中华人民共和国个人信息保护法（草案）》进行了审议，这意味着在我国，对于个人信息的保护将迎来一个新的、里程碑式的发展。

（二）大数据时代个人信息保护的困境

与个人信息相关的主体包括三个方面：国家、互联网服务提供者以及公民个人。这三方主体在个人信息层面应当承担的责任上，都存在一定程度的缺失。

首先，当前我国对于公民个人信息保护的法律机制不够健全。在法律层面上来说，关于个人信息保护的相关内容，分散在不同的法律法规当中，没有集中统一的法律来作出具体规定。

其次，实践中乱象众多，侵权事件频频发生。填有个人姓名、联系方式、住址的单页被多方流通买卖以至于骚扰电话、推销短信源源不断；完全不需要获取个人位置的App在使用之前必须同意位置请求；社交平台用户的个人隐私被泄露；等等。这些事件时常会发生，甚至屡屡出现在我们的身边。大量信息的输送加上网络平台虚拟本质的遮盖，导致全方面地查处、惩戒这些行为是不可能的，这也给有关部门的工作带来了很大的困难。对于侵犯个人信息的行为处罚力度不够，也远远达不到威慑违法犯罪行为的效果。这是现实中较难突破的一个困境。

个人信息作为一种公民应当享有的权利，包括精神性的利益和财产性的利益。作为精神性的人格利益来说，它是人格尊严的代表，是人格权的体现。作为一种财产性利益，它背后是潜在的消费与服务需求，大有利用价值，因此让网络运营商们趋之若鹜。网络运营者在收集、使用用户个人信息之前必须通过用户的“知情同意”授权，要求个人明确表示对于运营商收集、处理其个人信息行为做法的肯定。在互联网领域，许多企业漠视个人信息，只将其作为获利的工具，完全忽略了其后的人格利益特征。而由于互联网虚拟空间的隐蔽性特征，侵权行为也具有一定的隐蔽性。

互联网信息众多，同时真假难辨，海量的无用信息或者虚假消息可能会将真实有用的内容淹没。而作为信息的接受者，网络用户就面临着使用上的困难。同时，鱼龙混杂的内容也使用户难以辨别自己的个人信息与隐私是否被泄露。信息侵权主体可能是网络平台，也有可能是获取了信息的个人，所以难以确定，受害者很难获得救济。

一旦陷入信息泄露的泥沼，受害者会不堪其扰，个人的安全难以得到保障。尤为重要的一点是，随着网络的普及与媒介手段的进步，越来越多的青少年、中小学生成了网络上的“中坚力量”。在没有足够的文化知识熏陶，也未能接受相应的思想教育之前，他们缺乏对于网络信息的判断和辨认能力，在大量鱼龙混杂的信息出现时，他们淹没在其中，非常容易成为侵犯个人信息安全事件的推手。

三、公民个人信息保护路径

如何在大数据时代，互联网新技术迅猛发展、信息海量传输的背景下实现个人信息的保护是一个难题。二者要实现一种动态的、稳定的平衡才能够产生双赢的局面。国家相关部门、网络服务提供者和其他社会组织、公民个人这三个重要的主体之间各自应当遵循什么样的规范，要如何进行实践，这需要我们结合当前个人信息保护中存在的问题进行发展路径的探讨。

作为个人信息保护领域的专门性法律，《中华人民共和国个人信息保护法》草案已经提出并经过初次审议，相信在不久的将来就能够发挥其作用，真正以法律手段对于侵犯公民个人信息的行为做出规制。

国家的政府机关以及相关部门应当加强对于互联网企业的监管，建立政府监管下的多元共治个人信息保护机制，避免信息泄露与买卖等行为。在刑法领域，加强侵犯公民个人信息行为的惩罚力度，完善刑罚体系，使侵权行为在民法的规制之外，受到刑事手段的打击，从而全面预防相关的违法犯罪行为。

网络运营商不能够随意收集、使用个人信息，对信息的采集与使用应当采取合法、正当、必要的方式。《民法典》也规定了个人的信息不能够过度处理。互联网运营企业应当承担起网络用户信息保护的义务与社会责任，保护社会公共利益。网络运营者在采集人脸信息时，应当遵循“最少够用”原则，坚守住使用的底线，还应当充分征求被采集人的意见。人工智能技术的发展应当在遵守法律法规的要求，避免技术滥用对个人权利造成不应有的损害，网络运营商应当遵守法律，严格执行行业的规范，为公民信息权的保护提供保障。

在当前个人信息保护机制不够健全，公民个人的信息安全意识仍然较为薄弱的今天，公民个人信息安全和隐私保护这一常识必须普及。必须牢固树立网络安全观，增强公民对于个人信息和个人隐私的保护意识，保护自己和他人的个人信息不被泄露、买卖和滥用。

在智能手机完全改变了我们生活的同时，要保持理智和清醒，对于各种网络运营商超出合理范围之外的、不必要的收集信息的行为，坚决说不，保护好自己的个人信息和个人隐私，从根源上断绝信息安全受到威胁的可能性。

公民应当做合法的传播者，不为未辨明真相的网络谣言和传言所洗脑，不在网络风暴中推波助澜，拒绝成为侵犯他人信息权利的帮凶。个人的言论与行为应当在法律的框架之内享有自由，不能借自由的名义侵犯他人的个人信息权利，给他人的个人信息安全造成威胁，更不能成为人肉搜索、网络暴力等行为的实施者和帮助者。对于青少年，应当加强网络安全教育，引导他们理性上网、文明发言。此外，要使公民清楚地知道在个人信息权利被侵犯时的救助渠道，拿起法律的武器来保护自己，维护个人信息的安全。

四、结语

我国个人信息的保护应当结合时代发展的要求，加快推动《中华人民共和国个人信息保护法》的制定和实行。法律应当将个人信息作为一项权利，保护的对象应当包括个人信息以及信息被收集后相关联的产品和服务。三方主体应当各自承担责任，明确公民个人信息保护的边界，共同构建起健全的个人信息保护机制。公民个人应当树立网络安全意识与信息安全意识，在实践中维护自己的合法权利。

注释

①参见《民法典》第一千零三十四条。

②参见《中国将出台个人信息保护国家标准》。

③参见中共中央印发的《法治社会建设实施纲要（2020-2025年）》。