大数据时代个人信息法律保护的基本原则研究

2020-09-26 13:18李苑

法制与社会 2020年23期

关键词大数据时代个人信息法律保护基本原则

基金项目：广州市哲学社会科学发展“十三五”规划2018 年度课题《大数据时代个人信息法律保护研究》（2018GZGJ140）。

作者简介：李苑，广州商学院法学院教师，研究方向：行政法。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2020.08.096

如今，我们处于大数据时代，收集、处理、利用个人信息成为一种常见的现象。作为法律的灵魂，基本原则集中地反映了个人信息法律保护的本质和内在规律，是個人信息的“安全阀”。域外很多国家和地区在个人信息保护法中明确了个人信息法律保护的基本原则。在大数据时代，通过对比分析国外的相关经验，联系我国的实际情况，确立个人信息法律保护的基本原则意义重大。

一、确立我国个人信息法律保护基本原则的价值

（一）对推动相关立法工作将产生积极的影响

法律原则，是法在调整社会关系时坚持的准则和立场，其中的基本原则是法律的精髓，对于法律的立、修、废及司法活动起指导性的作用。基本原则集中地反映了个人信息保护的本质、规律。我国相关立法工作已取得较大进步，但仍存在一定的改进空间。大数据背景下，泄露、滥用个人信息事件时常出现，确立个人信息法律保护的基本原则，对推进我国个人信息立法工作，对规制相关的个人信息行为均将发挥重大的作用。

（二）对完善我国个人信息法律保护制度有重大意义

基本原则是法的精神实质，体现了法的指导思想。在进行法律的立、修、废时，必须将基本原则作为依据，绝对不能违背这些抽象的、稳定的准则。在司法适用中，当遇到疑难案件时，基本原则能够为司法者指明方向。在遵循基本原则的基础上，可以确立信息主体的权利和信息处理者的权利、义务，规范信息处理者的行为，使个人信息良性流动。

（三）对应对大数据背景下个人信息安全问题将起到积极的作用

个人信息安全是大数据时代我们必须面对和解决的问题。信息收集者、处理者、利用者在进行信息行为时，必须严格遵守个人信息法律保护的基本原则。如果违反基本原则，要追究行为人的法律责任。在实践中，基本原则是个人信息法律保护的“安全阀”。基本原则的确立，对规范和制约有关信息行为，对应对大数据背景下个人信息安全问题起举足轻重的作用。

二、域内外的探讨及实践

（一）域外的实践

域外对个人信息法律保护基本原则的立法实践起步较早，具有典型意义的主要有三个文件，它们规定的基本原则被很多国家所仿效。

经济合作与发展组织出台的《隐私保护与个人数据信息国际流通的指针建议》（以下简称1980年《指针建议》）规定了八项原则：限制收集原则、完整正确原则、目的明确原则、限制利用原则、安全保护原则、公开原则、个人权利原则、责任原则。

联合国大会通过的《关于自动资料档案中个人数据信息的指南》（以下简称1990年《指南》）对此也有规定。与1980年《指针建议》比较，1990年《指南》在规定基本原则时有一个重大的变化，即不包括公开原则。这一变化是否合理值得深思。

欧盟发布的《关于涉及个人数据处理的个人保护以及此类数据自由流动的第95/46/EC号指令》（以下简称1995年《指令》）对此也进行了明确。与1980年《指针建议》进行比较，1995年《指令》确立的基本原则保留了公开原则，增加了非敏感数据处理的合法性原则、个人数据主体的查询权原则、拒绝权原则、自主决定权原则、获得救济原则等。可见，1995年《指令》更关注对数据主体权利的细化及保护。

（二）国内的研究现状和实践

无论在我国理论界还是在实践中，个人信息法律保护基本原则都是一个重要的问题。

近年来，我国学者对此有一定探讨，截止目前尚未形成统一的意见，主要有“四原则说”“五原则说”“七原则说”“八原则说”等。比如：洪海林完全赞同1980年《指针建议》确立的八项基本原则[1]。齐爱民提出“五原则说”，即知情同意原则、目的明确原则、限制利用原则、完整正确原则、安全原则[2]。冯心明、戎魏魏主张“四原则说”，即确认个人信息的私有财产权性质原则、合法性原则、安全性原则、平衡原则[3]。周汉华提出“七原则说”，即合法原则、权利保护原则、利益平衡原则、信息质量原则、信息安全原则、职业义务原则、救济原则[4]。通过对比分析，笔者认为，我国学者在一定程度上对1980年《指针建议》确立的基本原则予以认可，并以此作为蓝本，联系我国具体情况提出自己的观点。

关于个人信息保护，我国工业和信息化部曾出台了具有指导性意义的文件。2011年，出台了《信息安全技术个人信息保护指南》（以下简称2011年《指南》）。在2011年《指南》中，明确个人信息保护应坚持目的明确、公开透明、安全保障等七项原则。在次年出台的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称2012年《指南》）中，规定个人信息保护应坚持目的明确、最少够用、公开告知、安全保障等八项原则。对两个《指南》进行比较，2012年《指南》比2011年《指南》规定的基本原则的内容更多，然而有的表达显得创新性不足，且与域外较通行的原则有一定的出入，如在2012年《指南》中，公开告知原则取代了公开透明原则[5]。

在我国国家标准化管理委员会发布的《信息安全技术个人信息安全规范》（2017年）中，规定了个人信息安全应遵循目的明确、最少够用、公开透明、确保安全等七项原则。

笔者认为，基本原则是否全面，不应仅仅看数量多少，关键看其包含的内容。从整体上来看，两个《指南》及《信息安全技术个人信息安全规范》借鉴了域外的实践经验，故应对域外经验进行分析比较，联系当今我国的实际情况，理性地将其本土化。

三、我国个人信息法律保护基本原则的内容

（一）目的明确原则

为确保公民个人信息安全，在收集、处理个人信息时，应坚持目的明确原则。所谓目的明确，是指只有基于确定且合法的目的，才能收集、处理个人信息，在信息活动着手前已经确定该目的，且应一直在该目的范围内开展信息活动。如在开展外卖送餐业务时，客户需提供自己的姓名、电话号码、地址，这是保证外卖送餐业务顺利进行必须收集的客户信息。需注意，目的明确原则要求对个人信息的收集需达到能够识别信息主體的程度，而识别标准应根据一般人的认识能力衡量确定，不能由信息收集者、信息处理者确定。

（二）限制收集原则

限制收集包括个人信息收集目的限制、数量限制、时间限制和使用限制等。一个信息活动通常包括信息收集、利用、处理等阶段，限制收集原则在第一个环节就应遵循，收集目的确定之后，必须围绕该目的收集个人信息。收集时应坚持信息数量最小化原则，同时应限制信息的储存时间、处理范围等。如在外卖送餐业务中，为保证配送及时、正确，必须掌握订餐者的姓名、电话号码和地址，但订餐者的职业、身份证号码等信息则明显超出了收集的范围。

（三）公开原则

公开原则，是指信息活动中需遵守的规则必须向信息主体公开，促使信息主体的自决权等权利得以实现。需明确，公开的是规则，而不是信息的内容。假如这些规则不公开透明，由于信息主体缺乏相关知识，通常也不愿消耗大量的时间、财力，他们不能在平等的基础上与信息收集者、信息处理者进行磋商，使信息主体在谈判中处于明显的劣势地位。

公开的内容包括：信息控制者、收集目的、收集范围、使用方式、使用期限、信息加工处理的方式、法律责任等。信息主体在了解规则之后，才能理智地选择是否向信息控制者提供自己的个人信息。

在收集个人信息时，信息控制者应当在合理的期限内采用注册协议等方式通知信息主体，确保其知情权得以实现。

（四）限制利用原则

大数据背景下，产业主体基于正当的目的，可以收集、处理公民的个人信息，而实施这些行为的前提是基于特定正当的目的，若超出目的范围实施其他无关的信息行为即为非法，这体现了限制利用原则。限制利用原则要求信息控制者在处理个人信息时，应在符合特定目的的前提下，使用、披露他人的个人信息、进行数据库的转移、处置。在特殊情况下，如取得信息主体的同意，可以超出目的范围。例如，目前，在毕业生就业信息系统中，可以采集到姓名、工作单位、联系电话、联系地址、工作年限等有关学生就业情况的信息。达到预先设定的目的后，除为公共利益而做的必要保留之外，收集者应及时清除获取的个人信息，避免这些信息落入不法分子手中造成安全隐患。

（五）安全保护原则

安全保护是域外立法一致采用的一项原则。例如，在《德国联邦数据保护法》的附件中，要求对不同类型的数据，采用相应的保护措施，包括入口管制、出口管制、取用管制、传递管制、委托管制、运送管制等。《德国联邦数据保护法》为数据提供了非常周全的保护措施，且贯穿数据活动的不同阶段，具有一定的借鉴意义。

大数据背景下，安全保护原则确实给个人信息安全注射了一剂镇定药。安全保护原则对信息控制者提出了要求：必须制定严格的保密规则、具备相应的软硬件设施。安全保护实际上是信息控制者的一项法定义务，信息控制者对收集、控制的公民个人信息，负有采取措施保障信息安全与信息流通平衡的义务。

参考文献：

[1]洪海林.个人信息的民法保护研究[J].中国社会科学院，2007：186.

[2]齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿[J].河北法学，2005（6）：2-5.

[3]冯心明，戎魏魏.个人信息保护立法若干问题思考[J].华南师范大学学报（社会科学版），2007（8）：20-24+35+157.

[4]周汉华.中华人民共和国个人信息保护法（专家建议稿）及立法研究报告[R].北京：法律出版社，2006：1-2.

[5]石佳友.网络环境下的个人信息保护立法[J].苏州大学学报（哲学社会科学版），2012（6）：85-96.