大数据时代个人信息保护的执法困境与选择

梁成意，齐彩文

（华东交通大学人文学院，江西 南昌 330000）

引言

2017年6月，《网络安全法》正式实施，标志着我国关于互联网方面的基础性法律首次介入到公众网络生活领域，其对人们的权利义务以及应当遵守的纲领性原则做出了明确规定。这同时也意味着互联网的迅速发展已成为不可小觑的社会问题。中国互联网络信息中心最新发布的数据显示，截至2018年6月30日，我国网络用户数量突破8.02亿，互联网在国民间的普及应用率为57.5%，人们普遍利用网络进行医疗、金融、社交、娱乐、交通、政务等各方面活动。在这个过程中，互联网公司通过运营持续生成、累积关于用户的行为数据，这些规模庞大的数据即是大数据信息的资料来源。从我国大数据发展的现状来看，网络在带来方便快捷、高收益的同时，也逐渐显现出背后的管理纰漏和高风险性，许多社交网站和购物软件都需要用户提供精准的能够识别的个人信息（个人数据），然而信息最终流向何方却难以掌控；从全球大数据主权竞争来看，各国对于数据占有、使用和保护的争夺愈加激烈，欧盟在2016年通过了《欧盟一般个人信息保护条例》，美国近年来也在鼓励自律自治的前提下，采取了政府适当介入的模式，以更好地保障个人信息数据主权不受侵犯。如何对呈指数级增长的数据提供保护，是大数据时代的一个重要挑战[1]，必须采取更加强有力的执行措施对其进行规制和监控。

一、个人信息保护的执法挑战

（一）大数据背景下的个人信息内涵

当前关于个人信息的概念界定，大多是从学术方面予以论述，或在法律条文的规定中剖玄析微，归纳总结各种定义的特征与异同。在学术上，一般认为个人信息是指与特定自然人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息[2]。在法律规定上，首个个人信息保护国家标准的文件是2013年国家质检总局与国家标准委员会发布的《信息安全技术公共及商用服务信息系统个人信息保护指南》，其科学界定了个人信息的概念，即可为信息系统所处理、与特定自然人相关、能够单独或通过其他信息结合识别该特定自然人的计算机数据。近期《个人信息保护法》（草案）也划定了个人信息的范围：包括姓名、体重、年龄、身高、档案、医疗记录、收入及消费和购买习惯、教育背景、婚姻状况、家庭住址与电话号码等在内的能够识别特定个人的一切信息。以上定义基本采取概括加列举的模式，通过对个人信息的特征描述界定其内涵。然而信息的性质是动态的，无法脱离相应场景做抽象判断[3]。只有将其内涵置入特定情境下，方能判断该个人信息是否属于法律干涉与保护的范围。大数据背景下，互联网技术迅速发展，人们每分每秒都在对海量数据进行挖掘和运用，因此，将关注重点从刻板信息定义转移到具体信息利用阶段，评估具体场景中使用个人信息所造成的隐私风险，更加符合大数据时代信息数据的爆炸性生成、累积与变更的特性。当隐私风险较低或在相应场景中可以视作合理存在时，即使属于以上个人信息定义中所列举的某项信息，法律或执法机关也仅需给予一般程度的保护和关注。从这个角度对其内涵进行理解，不仅可以减轻执法机关负担、提高工作效率和个人信息保护水平，更能够合理利用个人信息，充分发挥信息的潜在价值。

（二）个人信息保护的执法困境

随着《网络安全法》的正式实施，个人信息保护得到部分回应，同时，在我国大数据行业蓬勃发展的过程中，政府构建了各级各类数据库并已投入使用。但是，关于数据的保护方式及法律定位仍然没有做出全面说明，行政机关在履行相关职责、维护公共安全中存在的个人数据利用程序不当、信息整合无序、数据库安全保障措施不到位等问题也未得到解答。由于缺乏一部完备的个人信息保护法，目前关于个人信息数据保护还未形成明晰的执法体系和执行程序。

1.执法机构不明。

我国个人信息数据保护，在法律文本层面处于碎片化、动态化、零散化状态[4]。这些法律条文散布在《中华人民共和国电子签名法》、《全国人大常委会关于加强网络信息保护的决定》、《网络安全法》、《电信和互联网用户个人信息保护规定》等270部文件中。然而这些法律却未明确规定当个人信息受到侵害时，该由何种机关采取何种程序与措施及时止损。由此造成执法机构不明的局面。从形式上来说，法律条文的分散性意味着在监督管理体制内，网络空间主体治理模式是由多个执法部门参与的“分段监管”，网信部门、电信部门以及公安部门各自履行其独立职责。这种执法方式极易导致监督及执行主体的责任不够明确，彼此职责间存在重合或空白区域，网络空间瞬息万变，一旦出现个人信息权被侵害的情况，当事人难以在短时间获得高效的帮助，由于各机关间缺乏协调统一机制，最终极易演变成“多头混治”，不利于高效维护个人信息安全。

2.执法标准无强制性。

我国已经正式实施的个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》在效力层面上属于指导性技术文件，不直接产生法律效果，没有强制约束力[5]，行业主体根据自身发展状况自主决定是否配合遵守该规定，因此难以在个人信息保护的具体执行方面起到实质性作用。目前我国尚缺乏独立、专门、权威的执行标准，导致执法力度在一定程度上未能适应大数据时代个人信息保护的需要。

3.执法措施未完善。

现有法律规定对个人信息的保护多从原则性与框架性的基点出发，缺乏顶层设计与基本制度的建构。在行政法领域，一般的监管规则只涉及信息的收集、占有、处理、使用、利用、保密及利益分享等方面[6]。然而在大数据时代背景下，即使是看似毫无关联的数据，经过网络的二次利用和开放，也能够还原出大量的敏感个人信息。这些来自不同渠道的信息数据聚集汇总，当达到一定数量时，便可轻易刻画出个人形象及生活习惯。因此，传统的信息监管执法模式基于告知与许可原则对个人信息进行保护显然不能够适应大数据技术的发展需要。如何规定细致的执法措施，使数据资源得到充分利用的情况下对个人信息进行有效保护，是目前执法的最大难点。

二、执法机构设置模式的域外借鉴

（一）欧盟执法模式：层级式的监管机构

欧盟实现对个人信息的保护主要通过建立专门的行政监管机构，每个成员国都建立一个或多个公共机构，负责个人信息保护协调和行政管理、执法工作[7]，每个监管机构成员在执行任务、行使监督权力时不受任何其他机关干涉或他人影响。2018年5月欧盟出台的《一般数据保护条例》特别设立欧洲数据保护委员会，将其作为欧盟的一个机构，并赋予其法人身份。欧洲数据保护委员会的成员包括各成员国内每个行政监管机构的首长、欧盟数据保护监督局首长，或者他们的代表；它的秘书处由欧洲数据保护局担任。欧洲数据保护委员会的责任是统筹全局，发布个人信息的保护意见或指南，并具体协调一站式管理机制等工作。欧洲数据保护委员会的设立，同时也提高了欧洲信息保护局的地位和权力，它是欧盟开启大数据时代个人信息保护的跨越式改革，意味着欧盟对个人信息保护及监管达到了前所未有的高度，欧洲信息保护局通过向委员会报告《条例》的实施情况，确保成员国统一执行适用该规定，同时顺利完成保护局与委员会机构间的协调联络与衔接。

（二）日本执法模式：委员会咨询制度

日本针对个人信息保护采取的模式是较为中立的咨询评判制度，其1988年设置的个人信息保护审查会即是作为咨询机关开展相关工作，并尽可能减少对信息使用企业自主权利的限制。2005年，日本《个人信息保护法》生效，该审查会更名为信息公开与个人信息保护审查会[8]。审查会成员由内阁总理大臣任命，一般任期为3年，可以连任。随着2015年《个人信息保护法》修正案的颁布，日本在2016年1月正式设立了个人信息保护委员会，由内阁总理大臣直属管辖，独立行使职权；委员在任期内不得参加政治运动及从事盈利性活动，以树立中立、客观的公正形象。该委员会是在考虑个人信息有用性的同时，确保妥善处理个人信息而设立的具有高度独立性的机关。其主要业务包括：1.监督特定个人信息，对行政机关或其他个人信息处理者进行必要的指导、建议，在违反法令的情况下进行命令或劝告。2.处理投诉等相关事项，设立投诉处理咨询窗口，对特定个人信息处理相关申请事项进行解答，对《个人信息保护法》进行解释和说明。3.评价特定个人信息保护等相关事项，根据行政机关对自身利用个人号码风险的综合性评价，制定其内容或程序的指导性方针。4.进一步制定《关于个人信息保护的基本方针》等规范性文件，推进官方及民间个人信息保护政策与章程的建立和实施。5.国际合作。6.宣传和启发。7.其他事项[9]。

（三）印度执法模式：强权信息监督

印度在2005年颁布的《信息权利法案》中建立了信息委员会，并设立了公共信息官员。信息委员会官员由总理、下议院反对党领导人以及内阁大臣推荐，总理负责任命；为了确保信息专员独立行使指导、管理和监督的权力，保证公共利益不受其他权力机关与个人的干涉，议会成员、立法机关成员或政党相关人员不得担任该职务[10]。中央及州信息委员会每年需向中央及州政府提交年度报告，汇报关于实施《法案》条款的具体情况；同时公共机构也需将其在信息处理、使用环节所采取的行动以及委员会对其相关指示与请求加以汇总形成文案。报告与文案最终都需提交至议会，并由信息委员会根据具体政策执行情况对此进行反馈和评估，以改进工作任务和工作目标。信息委员会所做决定具有一定的强制性，具有和法律机关同等的效力，在执行相关任务时可以将其作为民事法庭看待。当公共机构违反法律规定，做出侵害公民个人信息的行为时，委员会可以对该机构进行约束，并要求其做出赔偿；当各级信息官员无正当理由拒绝配合工作时，则可以处以罚金并进行训导。

（四）德国执法模式：双重监管检查

德国联邦政府依据《联邦数据保护法》设立了联邦数据保护与信息自由保护委员会，其成员为联邦数据保护专员，由内务部为专员提供人力、物力组建办事机构[11]。当选的数据保护专员年龄应在35周岁以上，经联邦政府提议，联邦议会法定人数过半数通过选举，总统对当选专员进行任命，任期5年，可连任两届。联邦数据专员负责监督联邦公共机构对相关数据保护法律的执行。专员独立于公共部门及私营机构，不可在职务之外参加有偿或盈利性活动，也不可在联邦各州政府或立法机关担任职务，只服从于法律，具有公法官员的地位，这意味着监督的有效性和公正性得到了一定的保证。此外，凡是能够自动收集、处理和使用个人数据的公共机关和私法机构必须书面任命一名具备相关专业知识的数据保护官。数据保护官负责监督个人数据的处理和使用，在机构内部保障法律的遵守和执行。由于该职位是基于机构委托而形成[12]，因此，官员须对其所在公共机关或私法机构的领导负责。虽然数据保护官不是独立的监督主体，但在数据保护领域运用专业知识履行职责时，法律确保其不受任何干涉。

三、我国执法机构模式的现实选择

大数据背景下信息管理和个人信息保护已成为迫切的时代需要，多数国家及我国的香港、澳门地区都建立了专门的信息保护执法机构，以保障国家和公民权利不受来自各个方面风险的侵害。由于各个地区和国家的社会背景、人文因素存在差异，所设置的信息保护机构也各具特色。从执法机构权力强弱的层面来看，可以将其分为三种模式：

第一种模式是具有独立行政强制权力的信息保护机构。如印度、澳大利亚以及我国的香港、澳门地区等。属于这类模式的信息保护机构一般负责行政管理及执法工作；自身具有较高的独立性，能够制订某些行动方针或计划来执行法律的规定；日常负责加强各界对相关法律的理解和认识，并随时监督检查是否存在违背法律规定的情况；如果存在违反规定的现象或有信息资料当事人进行投诉，则负责对具体事项进行调查，并对可能影响个人信息安全的规定与不完善的工作机制进行审核及研究，保障行政执法的顺利进行。

第二种模式是无强制力的中立咨询机构。如日本、加拿大、法国等。这种模式下的信息保护机构执法力度较弱，尽管同样负责受理并调查个人信息侵权投诉、审查政府机关或私营机构的个人信息保护措施，但是当出现侵犯个人信息的不当行为时，信息或隐私专员仅能进行投诉、披露以及提出建议，不能对其实施具有法律约束力的强制性措施。中立咨询机构更多致力于向政府机构及私营主体解答个人信息保护过程中出现的问题，对个人信息保护政策进行研究，并向议会及时报告个人信息保护的具体情况。

第三种是强制性行政权机构与服务咨询机构并存的模式。典型的代表国家是德国。欧盟层级式管理的欧洲信息保护委员会及欧洲信息保护监督局的设置也有异曲同工之处。一方面，国家拥有独立运作的具备行政职能的个人信息保护机构。该机构享有执法权力，能够监察、协调和管理对相关信息保护法的遵守和执行，接受并调查个人信息处理的申请、投诉或举报，对具体事项进行审批和登记等。另一方面，在具备统筹协调机关的同时，还需要具备负责监督、指导具体规则实施的机构或个人。对于收集、处理和使用个人数据的公共机构或私营主体给予法律上的指导和帮助，使数据处理人员熟悉信息法律、相关条款以及特殊要求。

近年来，我国也已在个人信息保护的立法中迈出了步伐，由于我国目前还没有出台独立的个人信息保护法，面对信息科技高速发展、地域交流愈加便捷频繁、全球网络一体化趋势凸显的社会环境，进一步提高政府行政执行水平、合理创设执行条件尤为重要。结合中国行政管理发展的现实情况，笔者认为，第三种模式更加符合国情和社会需求，可以为行政执法提供有益参照。

其一，执法机构更加健全。从中央机构建设的角度来说，设立具有统筹管理职能的个人信息保护机关，能够科学配置各部门及内设机构的权力，明确相关职责。一个具备协调、监管职能的执法机关，不仅能防止部门间相互“打架”、权责分离严重的情况，更能集中力量，实现部门间协作办公，便于公民权利的保障和实现。从地方机构具体实施的角度来说，我国地方执法机关或具体收集、使用、处理个人信息的公共机构及私营主体，人力资源缺乏、信息沟通互动不及时，层叠繁多的政府部门使信息使用者缺乏压力和动力，难以及时高效地执行相关法律和政策。因此，有必要在公共机构及相关信息行业的企事业单位设置专业信息保护人员，宣传和解释信息制度与规定，通过定期对具体执行情况进行测评，促进企事业单位及公共机构自觉遵守法律，妥善使用、保管个人信息，避免出现泄露和滥用个人信息的情况。

其二，目前，许多国家诸如德国、欧盟、美国、日本、加拿大、印度、澳大利亚都具备相关的信息保护法。同样，完善法律规定、设置强制性执法标准有利于提升我国个人信息保护管理效能。强制性是法律得到遵守和执行的前提，在一定程度上约束相关主体的行为，不仅能够弥补行业自律自身存在的缺陷，更能够建立稳定的信息保护秩序，有利于平衡社会生活中各方主体的不同需求。可以将现有《信息安全技术公共及商用服务信息系统个人信息保护指南》升级为具备法律强制力的管理标准，进一步规范侵害个人信息的不法行为。

其三，第三种模式机构划分较为细致，相对应的具体执法措施与程序也较为详细。德国《联邦数据保护法》规定了信息保护专员及机构的职责、数据主体的权利及救济和赔偿手段。详实的执行、管理及保护方案能够填补原则性规定的空白，规范信息收集者和使用者的权利范围，保障被使用者的合法权利不受侵犯。我国应进一步规定处罚规则和救济程序，从各具体信息使用机构入手，加强监管力度、设立违法行为公示制度，将违规违法单位列入黑名单，从源头遏止个人信息侵犯行为。

四、结语

随着网络技术的迅速发展，数据的收集、分析、整合、处理已逐步产业化。2015年国家出台的《促进大数据发展行动纲要》更是将大数据产业化提升到了战略层面[13]。我国能否在个人信息数据保护方面形成具备社会主义特色、符合国情、高效合理的规范性机制，关乎公民的国家信任、社会和谐稳定及数据产业的长足发展。当前世界各国共同处于大数据发展、信息保护改革转型的重要时期，欧美国家已然开始为摆脱传统信息保护的发展困境提出了应对措施，在这种情况下，我国更应该清醒地认识到目前执法乃至立法方面存在的不足之处，抓住大数据时代的宝贵机遇，吸取其他地区的优势和经验，积极发展与新技术、新环境相适应的个人信息保护模式，建设适合我国国情和社会发展的执法机构，以严格的执行力保障个人信息数据的安全与自由。●