大数据背景下个人信息立法保护的多视角研究

刘雪婷

(邵阳学院 政法学院， 湖南 邵阳 422000)

随着“网络+”时代的来临，各项信息技术飞速发展，数据的收集、挖掘与应用和我们的日常生活、工作息息相关，个人数据被海量收集、处理、储存[1]。在信息化的大背景下，个人信息安全常常面临各种危机，个人信息的泄露更是屡见不鲜。我国个人信息专门立法仍然缺位，使得每个人都几乎处在“裸奔”状态，个人信息保护在实践中判决难、执行难的境况时有发生。对事实的技术界定、法律适用、利益关联等问题，都困扰着社会各界。如何在推动、保障数字经济发展的同时，完善对个人信息的法律保护，进而在数据充分赋能和个人信息保护间实现平衡，是社会各界高度关注的问题。十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》(下称《民法典》)把这一问题的解决向前推进了一大步，而我国有关个人信息保护的专门立法也呼之欲出。但基于个人信息保护领域的强综合性，其边界定位、技法相适、实践融合等诸多问题，仍值得商榷。

一、个人信息保护的国内外立法现状

目前，美国、俄罗斯、欧盟等国家或地区根据自己的实际情况，都建立起了符合本国或本地区实情的个人信息数据保护模式。美国在个人数据保护方面立法态度较为保守，未颁布专门针对个人数据保护的法律法规，主要依靠企业自身力量及行业自律维护个人数据安全，但2018年美国《加利福尼亚州消费者隐私法案》的颁布显示美国已开始走上普遍适用的数据保护法规之路[2]。欧盟则根据本地区的历史文化传统，赋予每一个人都应该享有个人数据的基本人权，持较为严格的立法态度，其2016年通过、2018年生效的《一般数据保护条例》堪称“史上最严个人数据保护条例”。俄罗斯对于个人数据保护则具有浓厚的地域性地点，规定俄罗斯公民数据信息的共享和传播以俄罗斯境内为限，试图通过封闭式立法以保护本国公民个人数据安全。

在我国，个人信息保护立法一直处在分散立法的状态。《民法典》第一百一十一条、第一百二十七条及第四编第六章(第一千零三十二至一千零三十九条)的系列规定，在强化对公民隐私权和个人信息保护的同时，也对数据权属及与数据相关行为作出了一定规定，呼应了互联网时代的发展要求，也为我国数字经济的发展起到了规范和引领作用[3]，这是一大进步。但个人信息保护立法目前仍显散乱。2012年9月8日，《光明日报》曾刊发专家文章介绍，我国目前针对个人信息的法律法规并不少，有近40部法律、30余部法规，以及近200部规章涉及个人信息保护，但相关保护条款内容不集中、阐述不清晰、适用不明确、范围受局限、处罚不具体，因而可操作性差[4]。个人信息保护仍是一个需要从多方面、多角度深入思考与探讨的问题。

在立法理念方面，主流观点强调以强制力为保障的立法保护不可取代。有学者认为应从私权利角度保护个人信息，这样有利于调动个体的积极性，促使信息主体积极主动地维护自身合法权益。也有学者认为应从公法角度考虑，把大数据时代下的个人数据看作公共物品，设立专门的行政机关来进行信息管理，从而发挥政府在保护社会公共利益方面的作用[5]。学界目前从被遗忘权、隐私权、数据流动的长臂管辖等多个角度对个人信息数据保护有过诸多探讨，这些观点都有其可取之处，但大多属于以点见面，从细处探讨其保护规则和方法，鲜涉及专门性立法需要考虑其融合性的问题。个人信息保护法已列入本届全国人大常委会立法规划之中，并出现在全国人大常委会工作报告的下一步主要工作安排中，可见在我国对于个人信息保护需要专门立法已成为主流共识。本文从多视角对个人信息数据立法保护进行探讨，思考如何从整体架构层次实现其兼容。

二、个人信息立法保护的多视角思考

从20世纪90年代末开始，国内便有对个人信息保护的研究，专家学者、社会人士多次呼吁要进行专门性立法规范此领域的诸多问题。个人信息保护法已列入全国人大常委会2020年的立法规划中，但至今仍无一份正式版草案现世。

从专门性法律的角度而言，个人信息保护具有涉及时空跨度大，所涉政治、经济、科学技术等行业、专业领域广，与各学科各领域的交叉多，条文的著述和阐释呈现困难较多的特征，在满足法制刚性需求的同时，专门立法需要更加重视多视角研究。

(一)法律对个人信息及隐私权的界定

《民法典》第四编第六章隐私权和个人信息保护中对个人信息和隐私做了明确的定义，这是我国法律第一次明确界定“个人信息”和“隐私权”，具有开创性的意义。《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”第一千零三十二条规定：“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。”同时，第一千零三十四条还明确了个人信息和隐私权的适用：“个人信息中的私密信息，适用有关隐私权的规定；没有规定的，适用有关个人信息保护的规定。”

(二)个人信息保护的边界定位

探讨的关键点之一在于边界定位，即对涉及的相关领域如何做到“恰如其分”。个人信息保护法应当是一部个人信息领域的专门性法律，作为个人信息法律的整体架构而存在，不是“个人信息侵权的民商法”，也不是“侵犯个人信息罪的刑法”，更不是针对技术发展、实际应用的“信息数据国家标准”，而是个人信息保护的立法。其既不能越界成为“技术标准”或“政策指标”；也不能为一时的社会、经济发展让步而枉顾信息安全，或是一味追求信息安全，为保障安全性和隐私性而架设层层障碍，影响正常的数据流通；更不能忽略社会和科技的发展速度、发展趋势，只考虑现在的情况，解决目前的问题，使法“出台即滞后”。同时，要考虑我国个人信息保护相关的法律法条分散在各个法律法规中的实际情况，避免重复性立法。

目前我国规制个人信息保护的法律散见于宪法、民法、刑法、网络安全法等不同规定中，但这并不意味着个人信息保护的专门立法没有任何依据。宪法中的“国家尊重和保障人权”“公民的人格尊严不受侵犯”“公民享有通信自由和通信秘密的权利”等内容即为我国个人信息保护立法的宪法基础。2009年，我国《刑法修正案(七)》已将非法交易、非法获取公民个人信息的行为纳入规制范畴；2015年，我国《刑法修正案(九)》扩大了非法获取公民个人信息罪的犯罪主体和个人信息侵权行为的范围；2013年，我国《消费者权益保护法》的修订增加了“享有个人信息依法得到保护的权利”；2017年，我国《网络安全法》规定了信息主体的删除或者更正权。加上我国《民法典》第四编第六章对个人信息保护的基本规定，个人信息保护的顶层设计已经打下基础。个人信息保护领域并非一片空白，只是缺乏高层次、专门性的架构法律。本领域立法应以宪法相关条款为基础，立足于个人信息保护全领域的高度，构建其整体框架。

本文认为，个人信息保护立法的边界定位应当注重以下几个方面：

(1)立法整体架构应以保护个人人格权和财产权为基本出发点，适应时代需求和人的基本需求，从技术进步路径入手，基于现实、着眼未来，进行高适应性的高层整体规划设计，即尽可能避免立法滞后性，为技术和社会发展预留足够的框架空间，注重立法的未来适时性。

(2)具体立法应当注重界定技术进步、社会需求的自然取用数据和行业通用做法的社会属性与个人信息隐私权属的边界，即行业实用需要与个人权益保护相适的融合性。

(3)立法应当对个人事先申明的权属要求与行业应用数据法规手续的备份有明确的基本规范和相应的细则规定。

(4)对于数据使用、特别是“现实+网络”多重数据使用的事前、事后的应用和删除、存储、流转、共享等方面，应当有限制性、规范性的界定及解释性规定。

(5)在现有的诸多分散法条基础之上，对效力较低或规定较模糊、不利于实践适用的条款进行效力确定和明确规范(如对我国《民法典》第六章所涉内容从个人信息保护专门法的角度进行明确、详细的界定)，避免条款适用时的冲突性，明确法条指向性，使个人信息保护落在司法实践上。

(三)技术与法条的相适性

在大数据这一时代背景下，个人信息保护与技术息息相关。脱离数据技术谈立法只会是一纸空谈，不管法律规范只管技术亦不可行。在技术飞速发展而法律仍有空缺的情况下，对个人信息数据的侵犯、滥用时有发生。互联网企业越界索取用户授权行为与违规收集、使用、私自共享用户个人信息的事情比比皆是，网络用户的个人信息仍不断地从网络平台等多种渠道(尤其是各行各业的应用程序App)泄露，致使网络用户产生无可预估的重大潜在危害风险或有可能造成不同程度的严重后果[6]。这都是由技术未被限制、权利被滥用所导致的。

当前，2017年出台的《信息安全技术个人信息安全规范》、2016年出台的《网络安全法》、2013年出台的《电信和互联网用户个人信息保护规定》、2012年出台的《关于加强网络信息保护的决定》，以及已纳入第十三届全国人大常委会公布立法规划的《中华人民共和国数据安全(草案)》等诸多相关法律法规都或多或少对相关技术有所规范，但都只是涉及领域的某一部分或整个个人信息数据流转中的一部分技术，一些法律法规在实际应用中也时有冲突，难以应用自如。我国新出台的《民法典》虽然有专门一章涉及个人信息，但也只是完成了顶层架构的尖顶勾勒部分，对某几个基本点有了一个较明确的规范，离整体架构的完成还很远。

在思考对个人信息保护的立法时，我们要重点考虑技术与法条的相适性，避免涉及技术问题的法律法规成为无法应用到实践层面的“空文”。本文认为，个人信息保护法的条文应当有明确软件设计、应用、存储、流转等数据使用的事前、事后所涉及技术的禁止性规范，使保护个人信息安全使用的技术设置成为技术开发、设计的常态，达到以法律规范引导技术良性发展，以技术规范实现安全保护的目的。

(四)安全与发展的兼容性

随着国务院《促进大数据发展行动纲要》、工信部《大数据产业发展规划(2016—2019)》等一批文件的出台，大数据智能化的发展已然被提升为国家战略。李克强总理在《2019年政府工作报告中》着重强调了人工智能技术的发展以及数字经济的壮大，可见我国大数据智能化产业已成为经济社会发展的一大助力[7]。在注重发展需要的同时，也不能忽视个人信息的安全性。

目前国内对加强个人信息的保护呼声很高，这是个人信息保护的必然要求，是大数据时代的必然趋势，也是个人信息保护专门立法的时机所在。个人信息的安全性既是技术上的要求，也是法律上的要求。因而不少学者认为，安全性才是立法的首要考虑，为此可以舍弃大数据的一部分便捷性。而互联网企业存在追求商业利益最大化倾向，试图加强数据使用的便捷性，为此，哪怕牺牲用户的一部分数据安全也在所不惜。如百度创始人李彦宏2018年3月参加中国发展高峰论坛时对用户个人数据授权的态度：“中国人更加开放，或者说对于隐私问题没有那么敏感，很多情况下他们愿意用隐私交换便捷性或效率。”[8]

数据安全与企业发展的矛盾冲突已被社会各界注意到。过分保护个人信息会提高数据产品成本，影响相关企业的生存和发展，对社会发展的进程亦会产生影响；而一味鼓励相关产业发展则容易忽略保障个人基本权利，造成本末倒置的局面[9]。为解决上述困境，有学者提出两头强化，即“强化个人敏感信息的保护”和“强化个人一般信息的利用”，以期最大限度调和个人信息保护与企业利用的矛盾[10]。而数据从业者则寻求通过技术途径解决问题，即通过对个人信息匿名化保护公民隐私[9]。这似乎是一种解决方法，可以解决一部分个人信息数据不被随意、过分泄露的问题。但这一技术容易成为违法犯罪者的规避手段，在应用中如何把握好这个尺度，又成了新的问题。

基于以上种种，个人信息保护法需要更加注重对安全与发展的兼容性，以整体眼光看个人信息保护问题，避免激化矛盾，产生促使企业为求发展而想方设法进行规避的反作用。本文认为，个人信息保护法应当以条文明确行业通用数据、个人特用数据、为社会公共利益特定用途(如教学用途)数据的区别及法律权属，使不同区域、不同行业、不同用途的信息数据得以明确规范，使信息数据的属性需求与技术相适。

(五)路径融合的可操作性

法律条文、规章制度要能落到实处，适用于实践当中，才是真正的“规则”，否则只是一纸空文。个人信息保护立法在整体架构的框架上，必须考虑与技术的相适性，避免被技术所架空；也必须考虑安全与发展的兼容性，防止被发展的需求所规避；同时还必须考虑与现有法律法规、行政政策的相融性，尤其是与司法、执法、守法的相融。综合而论，是要使其具有可操作性。

目前我国并不存在明确的个人信息保护机构。以个人收支信息为例，个人的收入支出信息分散在不同的部门、不同的平台、不同的系统当中，涉税信息的保护机构是税务机关，公共交通信息的保护机构是交通部门及网购交通的电子交易平台，而消费信息的保护机构又是工商行政部门。在数据大流通和大融合的当下，很难确保被泄露或不正当使用的信息仅为某种单一类型的，此时便出现了执法重叠和执法空白，而执法标准也很难统一。执法若无法进行，保护也只是一个口号。在个人信息保护法律制度构建中，这是必须考虑和解决的一个重要问题。

个人信息涉及信息主体和信息使用、流转、留存相关方。信息主体即个人，其享有对其自我信息处置的权利，且有权反对他方对本人信息实施的自动化处理及所附带的营销、推广等[11]。这一点在2018年欧盟的《一般数据保护条例》中即有明确规定：信息主体享有以合理理由拒绝信息使用者处理其信息的权利；享有反对数据控制者为销售等目的向其他任何第三方披露数据的权利。可见信息主体应当是个人信息数据的主要方、主导者和主要权利者，应当占据主要地位。但在我国，信息主体在个人信息保护方面却因大数据的迅猛发展、互联网企业的庞大、法律的缺位而处在一个较为弱势的地位。而个人信息的使用、流转、留存相关方往往较信息主体更强势，且各方互有关联，更需要有所约束。在立法或者司法实践中，对信息主体信息权利的尊重和保护应当是可通过法律制度的建设实现的。

本文认为，实现的路径可以从以下几方面考虑：

(1)对涉及个人信息数据使用、流转、留存的相关方，应当进行综合性规范，同时将行业规范与软件设计相结合，使数据使用的整体安全性从技术性上得以保证。

(2)对于流转过程中涉及的个人信息数据，相关方在应用界面的事前承诺与被收集数据的事后处置应当具有一致性，从静态风险控制方面降低数据事后泄露的危险。

(3)对相关方以高位法、具体条款的形式作出要求，应当使数据提交与存储、流转、删除等过程的技术设计在整体架构上相融，减少个人信息数据应用中的个人信息安全问题。

(4)在个人信息保护的司法、执法、守法方面，以条文明确信息主体的信息权利，增强信息主体在信息授权之后保有的拒绝或撤销权利。

三、结语

综上所述，本文认为对个人信息的立法保护需要进行多视角的思考研究，既要充分考虑本土文化、国情，更要适应时代发展，从整体架构的高层设计到条文著述、司法阐释都应有明确的边界定位和技术规范要求。同时，要将个人人格权与财产权的权益保障融入技术进步的设置中，对数据信息进行规范使用，促进行业发展与社会发展，提升人们的生活品质。