大数据时代个人信息的民法保护

叶渊地

【摘 要】科学技术的进步促进了时代的发展，如今我们已经步入了互联网的全新时代，在这个时代，大数据成为了人们生活中不可或缺的一部分，仔细想想，我们的衣食住行乃至生活的方方面面都离不开大数据的支撑，这让我们的生活极为便捷。如今在大数据这一特殊条件下，信息的传播使得个人信息被泄露、非法收集利用的事件层出不穷，因此个人信息的保护日趋受到重视。目前我国民法对个人信息的保护不够完善。本文主要包括四部分：首先，第一部分是个人信息概述，介绍了大数据时代下个人信息的涵义、特点、保护意义。其次，第二部分是介绍个人信息保护的现状，包括我国个人信息目前受法律保护的条款，以及外国对个人信息的保护并指明国外对我国的一些启发。再者，第三部分指出大数据时代我国个人信息民法保护方面存在的三个问题。第四部分则是针对第三部分的问题提出一些个人建议以期促进个人信息民法保护的完善，更好的保护公民的个人权益。

【关键词】个人信息;大数据;民法保护

一、绪论

（一）研究背景

科学技术的进步促进了时代的发展，如今我们已经步入了互联网的全新时代，在这个时代，大数据成为了人们生活中不可或缺的一部分，仔细想想，我们的衣食住行乃至生活的方方面面都离不开大数据的支撑，这让我们的生活极为便捷。同时，当我们使用这些软件时，我们的个人信息也被其背后的公司获取，例如在使用支付宝时，你就需要填写你的身份信息、银行卡号等，这使得个人信息存在泄露的危险。主要是因为大数据技术改变了个人信息的收集利用方式，当个人信息被收集后就储存在云端，这些数据会被不断的复制利用传播，并且用户对自己的个人信息的控制能力下降，其无法获知自己的信息正在被谁利用和处理。在这种情况下，轻则受到陌生来电的骚扰，重则个人人身财产甚至生命安全受到威胁。因此，大数据时代个人信息保护必须予以重视。目前相对于其他法律领域而言，在民法方面关于个人信息有关规定是比较少的。我国民法第一次明确规定个人信息并对其予以法律保护，是在2017年通过的《民法总则》第111条中规定的，这一条也是最直接的规定。然而该条规定只指出任何人必须合法获得他人的个人信息，对于侵权责任等并没有作详细规定，因此较为笼统。

（二）研究意义

本文旨在加强个人信息的民法保护有利于公民维护自身权益，当个人信息受到侵犯时，受害人可以通过法律手段来有效快速的解决问题，以便更好的维护大数据时代下个人的信息安全，减少侵犯个人信息的事件以及因此带来的纠纷，同时有益于社会秩序稳定、和谐发展，有益于促进司法秩序的平稳运行。

（三）国内外文献综述

1、国外文献综述

从相对意义上说，国外对个人信息的研究比我国早得多。除了讨论关于个人信息的基本概念等问题外，也有很多学者提出了个人信息的保护措施。Alessandro Mantelero（2016）指出，随着大数据时代到来，人们的思维、生活、工作以及商业等方面都在不断变化，在这种情况下，个人信息的保护面临与以往不同的挑战，应重新定义传统的信息保护制度，把重心放在个人信息的控制者身上，传统的知情同意原则已经不能够再适用了[1]。Paul de Hert（2016）介绍了云计算是怎样保护数据的以及其带来的安全挑战，对ISO和IEC发布的关于公共云计算和数据保护的标准进行了讨论，目的是个人信息在处理过程中更加透明，让信息使用者在违反标准时承担一定的责任[2]。

2、国内文献综述

关于个人信息的保护一直是学者们研究的重点，在网络信息高速发展的今天，个人信息的民法保护愈来愈成为学者们关注的焦点，目前国内学者的研究主要包括立法模式的选择、个人信息的内容、法律属性及侵权与完善方面

一是立法模式的选择。赵园丁（2020）认为，不仅要制定个人信息保护法，还需要建立“先告知再同意”原则作为收集和使用个人数据的基本原则，同时采取“匿名化”“来电黑名单”的技术手段来解决个人信息危机。由此可知他主张统一和分散相结合的立法模式[3]。

二是关于侵害个人信息的侵权责任及援助救济。赵丹宁（2020）认为，网络环境下的侵权责任主体，作者还认为要在传统规定的基础上补充对网络个人信息的侵权救济、制定相关的法律来保护个人信息[4]。

三是在民法立法上提出的加强个人信息保护的建议。李宽苗（2020）认为，将个人信息规定在人格权编的第六章[5]。祝阳（2020）认为，我国民法典规定保护个人信息，他认为在民法典人格权编中应进一步完善侵害个人信息的民事责任的相关规定[6]。

（四）研究方法

文献研究法，通过搜集分析各种相关的文献资料，来了解我国个人信息民法保护的现状，通过借鉴国内外学者对个人信息保护的分析及提出的保护措施来提出自己的看法

比较分析法，目前民法上我国个人信息保护存在不足，本文介绍了国外立法及保护方式，并与之进行对比，然后借鉴他们的有益经验，提出一些个人见解，希望有助于减少个人信息民法保护上的缺点，期望为司法实践提供有益价值。

二、大数据时代个人信息的概述

（一）个人信息的涵义

在界定个人信息之前，重要的是要清楚个人信息和个人隐私之间的区别。相对个人信息而言，个人隐私是与个人密切相关的一些不愿被别人知道的信息。从范围来看，个人信息的范围比个人隐私的范围更广，像一些材料中所填写的个人基本资料如姓名、出生年月等，而个人隐私包括了不愿或者不宜被别人知道的信息，如个人疾病史、个人情感状况。这些信息的保护程度高于个人信息。

综上，本文认为认定个人信息主要包括两个方面：一是其是与自然人本身相关的信息，二是其能够识别自然人的身份，意思是说只要通过对个人信息的确认就能够明确认定某人的身份。还有就是，不能把个人信息和个人隐私二者等同。再者，本文認为在大数据时代下，人们的生活与网络息息相关，像QQ、微信等社交软件上的聊天记录，淘宝、美团上的购买记录等都应该算作个人信息的范畴。

（二）大数据时代个人信息的特点

在大数据快速发展的今天，本文认为个人信息的特点主要有：

一是个人信息的范围广，不仅包括姓名、年龄、出生日期、身份证号码等信息，还包括一些聊天记录、浏览记录以及婚姻状况、学历、职业，个人财产账户、收入等信息。

二是储存更加容易，并且传输方便。目前广泛应用的云技术以及大数据存储技术的发展使得数据信息的存储更加方便，可以将大量的信息储存在云端，并且调取十分方便，只要输入关键字就可以轻松找到需要的信息。在进入互联网时代之前，大部分信息都是记录在纸质档案中，查找十分不便，并且传输分享时需要邮寄等方式，既耗时又耗力。而现在通过基本上通过各种软件像聊天软件、浏览器等只要轻轻一点就可以实现信息共享。

三是个人信息的经济财产价值更加明显。由于科学技术的快速发展，当今已经进入了互联网时代，人们进行各种活动都要通过互联网，并且需要填写个人信息，这就使得大量的个人信息被商家、企业掌握，商家通过分析个人信息，可以制定针对个人的特定服务，同时有些不良商家会向他人出售自己掌握的这些信息来获取利益，因此个人信息就具有了经济价值。

综上，个人信息在大数据时代具有的以上特点，一方面会导致个人对自己信息的掌控更难，很难知道自己的信息掌握在谁手中、正在被谁利用。另一方面在经营者掌握个人信息后，可能因为自身的安全防护系统存在缺陷而导致个人信息数据被窃取，如2018年Facebook近8000万用户的个人信息数据遭到窃取，同时经营者为获取更大的利益，可能会非法使用用户的个人信息。因此加强个人信息保护对维护公民个人权益和促进社会和谐发展至关重要。

三、国内外个人信息保护的现状

（一）我国个人信息保护立法现状

1、民法保护立法现状

在《民法总则》实施前，有关个人信息保护的规定多是间接性的，《侵权责任法》中第2条规定保护隐私权、姓名权，但本条没有包含任何其他个人信息。第36条规定利用网络侵害他人权益者要对其行为负法律责任。

2017年通过的《民法总则》第111条直接规定个人信息受法律保护，这直接改变了个人信息最初受到民法间接保护的方式，同时也说明我国个人信息保护在民法方面取得重大进展，但值得注意的是这一条规定并没有很详细，其只说明了个人信息受法律保护、收集利用个人信息者必须合法，像“依法取得”、“非法收集”等词语还有待进一步解释说明。现在，已经出台的《民法典人格权编》相对于《民法总则》来说，其对个人信息保护有了更加详细的规定，它在第六章规定要对个人信息进行保护，其中包括了个人信息内容、收集处理个人信息者的条件以及其保护信息安全的义务这些内容。

2、其他法律保护立法现状

与民法领域相比较，其他法律领域对个人信息保护有详细而明确的规定。首先是在刑法方面，侵犯公民个人隐私的行为纳入刑法是在《刑法修正案（七）》中，这弥补了刑法中保护个人信息的漏洞。后来《刑法修正案（九）》对《刑法修正案（七）》的相应内容进行了修改，主要是降低入罪门槛和量刑修正。《刑法》253条之一规定了侵犯公民个人信息的罪行，其规定不能出售或者提供公民个人信息给他人，也不得偷窃或以其它方式非法获取个人信息。

其次《网络安全法》定义了个人信息，同时一些条款也规定网络运营商必须遵守个人信息使用时应遵循的原则以及必须履行的义务、责任等。

（二）国外个人信息民法保护及立法模式

因为发达国家的信息技术发展速度快，所以对个人信息的保护的研究比较早，相对来说也较完善。目前世界上有两种主要的个人信息保护立法模式：一种是统一的立法模式，即制定单独的个人信息保护法以保护个人信息;另一种是分散的立法模式，旨在不同的领域分别制定适合的保护个人信息的规则。本文主要基于这两种模式说明了国外对个人信息的民法保护。

采取统一立法模式的有德国、欧盟。1977年德国实施的《联邦数据保护法》通常被称为《个人资料保护法》，因为在德国习惯于个人信息通常被称为个人资料，所以该法律的颁布使德国正式明确要保护个人信息。后来1983年的人口普查案影响极大，由此德国在实践中引入了信息自决权，即公民个人有权利决定自己的信息的交付与使用。而且受这一案件的影响，德国在1990年重新修订了《联邦数据保护法》，其第一条就明确提出个人信息受法律保护，并且受侵害者的合法权益也依法受到保护。德国是欧盟的成员国之一，其立法也受欧盟立法的影响。1995年欧盟实施《个人数据保护指令》，要求成员国将其视为保护个人信息的最低标准。在进入大数据时代后，欧盟在2018年颁布实施《通用数据保护条例》，其一经出台就被称“史上最严的数据保护条例”。其创新点在于明确了个人信息的范围、使用更严格的知情同意原则、并首次将信息的擦除权作为一项独立权利进行规定，并且扩大了与个人信息相关的单位的责任。综上欧盟采用的是统一立法模式。

采取分散立法模式的主要是美国。1974年美国颁布的《隐私法案》规定将个人信息纳入了隐私权保护领域，随后美国又陆续通过了《在线通讯隐私法》、《儿童网络隐私保护法》、《电子通讯隐私法》等法律，在各个领域保护个人信息。随着互联网经济的蓬勃发展，2015年美国出台了《消费者隐私权法案》，这部法案为消费者的个人信息权利提供了更有力的保障，它规定了消费者的个人信息控制权、更改权及知情权，同时对企业收集利用个人信息提供了更严格的要求。美国总体上遵循分散立法加行业自律的保护模式，其在某些重要领域制定各自的法律进行保护，同时通过行业自律组来监管和保护个人信息。

此外日本比较特别采取了统一立法和分散立法相结合的模式。2005年日本施行了《个人信息保护法》，该法律在2015年进行了大幅修改并于2017年正式实施，愿意是为了适应大数据信息技术的发展。同时日本也在电子通讯、医疗等重要领域制定了保护个人信息的相应方针，如《电子通讯业务中关于个人信息保护的指导方针》、《从事医疗、护理相关行业的经营者正確处理个人信息的指导方针》。日本还借鉴了美国的行业自律机制，这将加强对不同行业的监管，通过在不同的行业设置自律公约，采取严格的惩罚措施来保护个人信息。

四、大数据时代个人信息民法保护存在的问题

（一）现有立法零散，缺乏体系性

目前，在民法领域关于保护个人信息规定很少。首先，一些间接保护个人信息的法律条款主要有《侵权责任法》、《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》等，这些法律条文中的个人信息保护也仅限于某个方面或特定领域，同时各法律之间在体系上并没有相互呼应，缺乏体系性。其次，对个人信息的直接保护的相关规定很少，主要见于《民法总则》第111条的规定，然而《民法总则》并没有在法条中阐明个人信息的含义，第111条的规定过于概括、粗疏，同时《民法总则》对111条中规定的“依法取得”、“非法收集、使用”并没有进行详细解读;更重要的是，第111条该条款并未规定行为人违反该禁止性条款后应该承担什么样的法律后果。最后，现在我国没有一部专门的个人信息保护法，而且现有法律也未指出保护个人信息的基本原则，这就导致现有的法律之间缺乏关联性，当选择适当是法律在司法实践中适用时难免存在冲突，以至于不能建立一个完整的个人信息民法保护体系。

（二）传统的知情同意制度在大数据时代受限

在进入大数据时代之前，信息的储存采用的是传统的纸质储存模式，在这种情况下要想获取个人信息必须要经过当事人的同意才能得到。而进入大数据时代后则有了很大不同，储存、收集个人信息和信息流动更加便捷。针对大数据这一特点，我国出台了《关于加强网络信息保护的决定》、《网络安全法》，虽然其中规定了网络运营者收集、使用个人信息时必须与个人信息持有者协商。但是在这种情况下，公民的知情同意权还是受到了侵害。公民在使用企业开发的一些软件或产品是必须注册、签署《隐私协议》或《用户协议》，否则就无法进行下一步，因此用户想要使用某个产品就不得不同意，此时用户的知情同意权就没有发挥其应有的作用。此外有些软件将《用户协议》设置得很小，放在界面很容易让人忽略的地方，并且将其设为默认同意选项，在用户不注意的情况下就将自己的信息授权给对方使用。再者，很多企业出于对法律的敬畏，将《用户协议》的内容写得很长并且生硬难懂使得用户难以理解，也不愿花很长的时间去阅读，这就导致用户在不了解《用户协议》内容的情况轻易同意。不仅如此，在信息化时代个人信息有很大的经济价值，个人信息被收集以后会被频繁使用，在被使用的过程中，用户也仅有一次授权行为，企业将其收集的个人信息进行的第二次、第三次传播用户是很难知晓的。由此可知，在大数据时代，传统的知情同意权有很大的局限性，也受到了很大的挑战。

（三）侵权救济制度不够完善

在侵犯个人信息的案件中主要考虑的是精神损害赔偿，很少考虑到被侵权人因财产损失而带来的利益损失，并且因为精神损害赔偿的标准不是很高，这就很难弥补受侵害人因此而遭受的所有相关损失。因为信息技术的发展使得个人信息的财产价值日趋凸显，比如购买或出售个人信息，显然是把个人信息当作了财产。因此，当个人信息受到侵害后，受害人不仅会遭受精神上的损失，甚至其经济利益也会因此收到损害。这种情况下如果不考虑财产损害赔偿而只考虑精神损害赔偿的话，不仅对受害人来说是不公平的，同时也会助长侵权人的气焰，导致更多侵害个人信息行为的发生。

除此之外，不合理规定在举证责任分配方面也有体现。在我国，一般情况下采取“谁主张，谁举证”原则除非有特别规定，所以在涉及侵害个人信息的案件中举证责任在于受害者。然而，在司法实践中，大多数侵权案件都发生在企业和自然人之间，会发生因企业的保护系统存在漏洞或者其故意泄露用户的个人信息的现象。在这一过程中受害人是处于弱势的一方，一方面因为其对大数据技术不甚了解，很难知道自己的信息是在哪一环节被泄露或传播出去的;另一方面，其很难找到有效的途径去寻找证据，甚至会耗费大量财力。因此他们的举证能力十分有限，在这种情况下，受害人不能有效利用法律保护自身利益，很容易出现受害人不揭露、不上诉的情况，这实际上是对侵犯个人信息行为的放纵，也不利于推动个人信息民法保护的发展。

五、大数据时代个人信息民法保护的完善

（一）确立“《个人信息保护法》+《民法典分则》的保护模式”

2019年，在人大常委会公布的立法规划中宣布将制定统一的《个人信息保护法》，本文也认为出台一部《个人信息保护法》来加强对个人信息的保护是十分必要的，一方面与国际相接轨，另一方面制定单独的个人信息保护法能更详细的对各个主体进行规范，这也使得保护个人信息更加体系。之前周汉华和齐爱民分别提出了较有影响力的专家意见稿，近来张新宝和葛鑫也提出了一部个人信息保护法专家意见稿，我国在订立《个人信息保护法》时可以借鉴这些学者的建议，同时还应该充分考虑大数据时代的特点。在当今时代下，云计算、云储存等信息技术的高速发展使得各个领域的企业对个人信息的收集利用加强，个人对其个人信息的控制能力减弱，并且一些软件默认或者强制用户同意用户协议才能使用该软件，這让用户不得不填写自己的个人信息。因此，在制定《个人信息保护法》时，不仅要指明个人对其自身信息的知情权、决定权等相关权利，更重要的是必须明确个人信息收集利用者应遵循的义务、法律责任和违反法律而接受的惩罚措施。同时，即将颁布的《民法典分则》，已经将个人信息作为人格权编的专门一章进行规定。综上所述，根据我国国情，再借鉴国外发达国家的立法模式，本文认为民法保护个人信息的立法模式应该是制定一部《个人信息保护法》，同时《民法典分则人格权编》对其进行补充。这种保护模式也有利于改变立法零散、缺乏系统性的状况。

此外，本文认为还应该借鉴国外的行业自律机制以对个人信息进行更完善、更全面的保护。现在我们已经进入了互联网时代，几乎各行各业都离不开大数据，这就使得大量的个人信息被有关企业掌握，如果不加强对企业的要求，会造成企业对其收集的用户的个人信息不重视，警惕性下降，进而使用户的个人信息泄露出去，甚至会有些不良企业在未经用户同意的情况下非法向他人出售其所收集的个人信息以谋取利益。所以应该设立行业自律组织通过制定行业指引、规定信息技术标准来加强对有关行业的监管，为保护个人信息加上一道保护锁。

（二）采用更严格的知情同意原则

由上文分析可知，企业一般都会通过《隐私条款》或者是《用户协议》征得用户同意来获取使用其个人信息，然而存在着默认同意、条款冗长难懂等问题，这使得用户的知情同意权无法得到有效保护。面对这一问题可以借鉴欧盟的经验。欧盟于2018年实施的《通用数据保护条例》施行更严格的知情同意原则，其进一步严格了企业的责任，要求其制定的隐私条款更加简洁、明确、让用户易懂，并且取消了企业对条款的默认设置。

（三）完善个人信息保护的救济措施

在侵权责任承担方面，被侵权人所遭受损失的赔偿范围应该被明确指出。个人信息受到侵害时，可以采取《侵权责任法》中的责任承担方式;但是在大数据时代下个人信息的经济价值的日益突出，当个人信息的财产权方面受到侵害时，可以要求其停止侵害并赔偿损失，本文认为应支持受害人同时主张精神损害赔偿和财产损害赔偿，以便最大程度上弥补受害人的损失，因为在大数据时代，个人信息传播速度快并且难以控制，很容易被多次传播，给受害人造成财产损失的同时也难以避免造成精神损害。此外在承担责任时，本文认为国家、企业等应该采取无过错责任原则，因为其是收集利用个人信息一方，并且负有保护个人信息安全的义务;自然人用户一方适用过错责任原则，因为个人是提供信息的一方，一般是不会随随便便将自己的个人信息泄露给他人的。

关于举证责任，本文认为，举证责任倒置原则有利于实现个人信息保护。在大数据时代下，相对于企业、国家来说，作为受害人的自然人处于弱势一方，其举证能力十分有限，采取举证责任倒置可以很大程度上减轻受害人举证的压力，有效的保障其个人信息，同时有利于加快案件审理速度，节约司法资源。

同时，受害方可以通过公益诉讼机制来保护个人信息免受侵害，在诉讼过程中，受害人可能因为其认为自己一个人所泄露的个人信息不涉及其重要利益不值得提起诉讼，却忽略了与之相似的大量案件时，或者因为举证困难等客观原因而放弃诉讼时，这就使得侵害者存在侥幸心理，钻法律空子，而肆无忌惮的继续实施侵害个人信息的行为，以至于引发更多侵害个人信息的案件发生。在这种情况下通过公益诉讼，一方面可以提升公民保护个人信息的意识;另一方面在维权过程中，受害人不会因为维权需要付出高昂的代价而退缩，有利于保护公民的权益，同时给予侵害者以警告，完善对公民个人信息的保护。

另外除了要在法律上要加强公民个人信息的民法保护，公民个人也应增强个人信息的保护意识，增强警惕性，不要轻易或因为疏忽而导致个人信息泄露，例如及时处理快递单、外卖单上的个人电话及家庭住址等信息，以免被他人获取利用而导致自身利益受损。

六、结语

在大数据时代保护个人信息已经成为不可忽视的问题，随着人们维权意识的不断增强，采用法律手段保护个人信息的呼声越来越高。本文主要基于国内外个人信息保护现状以及我国关于个人信息民法保护的问题分析，在此基础上提出了一些个人建议，希望在个人信息的民法保护进程中，可以提供一定的参考，弥补法律缺陷。

参考文献：

[1]禹会会.大数据时代的个人信息保护[J].法制与社会，2020（30）：15-16.

[2]武煜熹，安小米.大数据时代APP用户个人信息保护的困境和解决对策[J].网络空间安全，2020，11（10）：22-25.

[3]赵园丁.大数据时代背景下的个人隐私信息安全[J].办公自动化，2020，25（23）：57-58.

[4]赵丹宁.个人信息的行政法保护研究[J].法制与社会，2020（33）：113-114.

[5]李宽苗，李超，赵胜，胡厚磊，隋冬楠，张毅君.大数据时代个人信息安全问题现状研究[J].牡丹江师范学院学报（自然科学版），2020（04）：5-9.

[6]祝阳，李欣恬.大数据时代个人数据隐私安全保护的一个分析框架[J/OL].情報杂志：1-6[2020-12-19].http：//kns.cnki.net/kcms/detail/61.1167.G3.20201125.0848.002.html.

[7]何娜，张孟宇.大数据背景下信息通信网络安全管理策略研究[J].中国信息化，2020（11）：73-74.

[8]王怀勇，常宇豪.个人信息保护的理念嬗变与制度变革[J].法制与社会发展，2020，26（06）：140-159.

[9]史旻玥，马佳昕，朱小静.大数据时代下个人信息保护面临的挑战及其法律应对[J].中国林业经济，2020（06）：22-24+28.

[10]刘雪婷.大数据背景下个人信息立法保护的多视角研究[J].邵阳学院学报（社会科学版），2020，19（05）：65-69.

（作者单位：厦门纵横集团科技股份有限公司）