大数据时代我国个人信息法律保护探析

孟朝玺 韩国柱

（中国人民警察大学，河北·廊坊 065000）

大数据时代，公民个人信息遭受泄露和非法侵害的行为时常发生，笔者通过在中国裁判文书网上限定关键词“个人信息”“基层法院”“2021年”进行检索，发现仅2021年基层人民法院做出涉及个人信息方面的判决达到了16270份，与此同时2021年公安机关侦办侵犯公民个人信息等网络犯罪案件6.2万起①孙静波,2021年公安机关侦办侵犯公民个人信息等网络犯罪案件6.2万起[EB/OL].中国新闻网,https://m.chinanews.com/wap/detail/zw/gn/2022/01-05/9644955.shtml，最后访问时间2022.1.5.。侵害个人信息的行为，不但给被侵害主体造成了人身权、财产权和人格权的损害，还严重影响了社会的安全稳定。与此同时，我国也不断加强个人信息的法律保护，特别是随着2021年11月《个人信息保护法》正式实施，我国由此构建起了以“三法”—《网络安全法》《数据安全法》《个人信息保护法》为基石的法律制度来维护国家安全。②王青斌.三法合力助力公民个人信息保护[N].湖北日报,2021.域外国家也在不断加强对个人信息的法律保护，且域外国家对个人信息法律保护各具特色。例如：美国采用针对“各行业分别立法，强调行业自律”的方式、欧美采用“统一立法”的方式、日本采用“力求寻找个人信息公开与保护之间平衡”的方式来对个人信息进行保护。

一、大数据时代个人信息法律保护的必要性

大数据时代，个人信息法律保护不仅关系到个人的人格尊严，也是捍卫个人自由价值的重要体现。大数据虽然提升了人们的生活质量，但随之对个人信息安全、社会稳定、国家安全带来了不少隐患。因此，大数据时代下，无论是个人还是国家都迫切需要加强对个人信息的法律保护。

（一）个人信息法律保护是维护公民切身利益的迫切需求

大数据时代，公民的个人信息紧紧与公民个人合法的切身利益息息相关，一旦被侵害，可能会给公民个人造成多重伤害。一是可能使公民个人的名誉权受到严重伤害，因此受到严重人格侮辱、心理伤害。轻者，影响正常的生活、工作和学习；重者，患上心理疾病。比如在疫情防控期间，公民个人信息被他人违规披露，公民个人及其亲属的行动自由不但受到影响，还可能遭受他人的歧视。二是公民个人信息被泄露可能使公民个人财产权乃至生命权受到严重伤害。轻者，给个人或其亲属造成较重的财产损失；重者，个人或其亲属的生命权或生存权受到威胁。比如网络诈骗犯罪分子根据掌握的公民个人信息引诱公民上当受骗，让受害人付出沉重的代价，有的甚至葬送了自己的性命，特别是前段时间几个年轻人被骗到缅甸从事诈骗犯罪，有的被砍去手指，有的被伤害致死引起了公众热烈的讨论。①中国普法：https://mp.weixin.qq.com/s/XXVTK9TyIF9WE3kcaa9ghg，最后访问时间：2021.12.24.可见，现实亟须对公民个人信息进行法律保护。

（三）个人信息法律保护是维护良好的社会秩序的迫切需要

信息时代大数据技术的广泛应用，不断拓展公民个人信息的内容，提高了个人信息收集、加工、运用的速度，也使存储媒介和手段发生了前所未有的变化。个人信息不再是简单的姓名、身份信息和电话号码等等，而是扩展到人脸、眼睛、指纹以及各种生物信息，一旦泄露后果不堪设想。同时，收集个人信息的手段也不再是简单的记录，而是依靠网络瞬间完成，能够在极短的时间内反复进行计算处理,且运用大数据进行收集个人信息具有隐蔽性、长期性等特点。更让人震撼的是，一个小小的存储器就可以储存大量的个人信息，如果需要瞬间就能使这些信息传到全球的任何一个角落。例如，2018年，瑞智华胜涉嫌非法窃取涉及百度、腾讯、阿里巴巴、京东等全国96家互联网产品用户个人信息30亿条，瞬间震惊了整个世界、2020年新浪微博超过5.38亿用户的个人信息被摆在暗网及其他在线网站上公开售卖、2021年广东珠海有10万余条中小学生个人信息已经被非法泄露②珠海网警：https://mp.weixin.qq.com/s/kGXDyH6pq9m_p7qs67N8OQ，最后访问时间：2021.12.24.。这不仅严重侵害了公民个人信息，也给社会秩序造成极大的负面影响。因此，维护社会秩序稳定有序，需要加强大数据时代下个人信息法律保护。

（二）个人信息法律保护是践行总体国家安全观的迫切需要

2014年，习近平总书记在中央网络安全和信息化委员会第一次会议上强调，“没有网络安全就没有国家安全，没有信息化就没有现代化。”③洪芳，陈英.国外个人信息保护立法对我国启示与借鉴[J]，北方金融，2021.随着大数据技术深入发展，网络安全越来越重要，人们也越来越关注个人信息安全。网络安全的基石是《网络安全法》，数据安全的基石是《数据安全法》，个人信息的保护的基石是《个人信息保护法》，维护网络安全、保护个人信息是践行总体国家安全观的体现。当下，有权力依照法定程序收集、存储、使用公民个人信息的机构很多，有国家机关，也有企事业单位以及团体组织等。在个人信息传递的过程中，任何一个环节出现问题都有可能导致公民个人信息被泄露侵犯。为此，贯彻落实总体国家安全观，必须加强个人信息法律保护。

二、大数据时代我国个人信息法律保护的现状

建立健全个人信息保护法律制度是大数据时代运用法律来对个人信息进行保护的首要前提。建立健全个人信息保护法律制度一方面为个人信息进行保护提供法治保障，另一方面也为维护社会良好的秩序、践行总体国家安全观提供重要的制度保障。在北大法宝上，进行“个人隐私”“个人信息”和“信息安全”这三个方面的关键词搜索，共发现977部现行有效的规范性文件。其中涉及“个人信息”的共有76部，涉及“个人隐私”的共有10部，涉及“信息安全”的共有891部。上述规范性文件按照位阶划分，包括法律、行政法规、司法解释、规章等。其中，《宪法》（1983）规定，公民的通信自由受宪法保护；国务院《中华人民共和国政府信息公开条例》（2007）明确，行政机关对涉及公民个人隐私的政府信息不得公开；《指南》和《决定》（2011-2012）表示，行政机关收集、使用公民信息之前，应告知公民使用目的、使用范围和使用方法，并获得授权许可；《网络安全法》（2016）对个人信息保护做了明确规定，在大数据时代网络运营商必须在“知情+同意”的情况下方可使用个人信息；《民法典》（2021）把隐私和个人信息进一步单列成篇，给受到个人信息侵害的个人进行私力救济提供了法律依据；《中华人民共和国个人信息保护法》（2021）对个人信息保护提出了更高的要求，一是把互联网和互联网企业纳入监管，使这一个人信息泄露的重灾区得到了重视；二是提升了政府监管的档次，要求政府对公民信息的使用进行严格把关经过。经过多年努力，我国建立起了由法律、法规、规章等规范性文件共同组成的个人信息法律保护体系。我国个人信息法律保护体系呈现出对个人信息保护的领域涵盖面广、涉及个人信息保护的规定“散而合一”等特点。在救济渠道上，《个人信息保护法》规定了个人信息处理者建立的救济渠道和司法救济渠道，由此我国建立起了对个人信息进行保护的多元化救济渠道。

三、域外国家个人信息法律保护现状

1.欧美个人信息法律保护现状

美国对个人信息保护主要通过“分散立法”和“行业自律”的方式来实现的①王甜甜，大数据时代个人信息保护的法律制度研究[D]，青岛大学，2021.。美国通过“分散立法”和“行业自律”的方式来对个人信息进行保护，一方面促进信息的高效运转和运用，另一方面促进行业对个人信息进行保护。美国根据各行业特征对个人信息保护制定了符合本行业需求的规定，例如《电子通讯隐私法》《隐私法》《儿童网上隐私法》《录像带隐私保护法》《消费者隐私权方案》等涉及个人信息保护的法案。其中，《隐私法》是基础法案，是保障个人信息的基本，在个人信息保护中起着举足轻重的作用，其次是《消费者隐私权方案》。市场和行业自律规范和准则是美国个人信息保护主要依赖的依据②Schwartz PM.Property,Privacy,and Personal Data,Harvard Law Review,2003,117(7):2056-2128.，通过行业自我管理和自我约束来规范使用个人信息。此外，救济渠道上倾向于事后救济，即当个人信息受到侵害后，主要通过司法途径来解决。

欧盟采用“统一立法”的方式对个人信息进行保护，通过制定统一的规定，再由各成员国结合本国实际来推进本国关于个人信息保护的立法工作。经过多年发展，欧盟逐步形成了既“统一”又“符合各成员国实际情况”的个人信息保护法律体系。欧盟先后出台了《1995年个人信息保护指令》《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》《关于在电子通讯服务、大众传媒网络行业产生的个人信息存储和公共机构调取指令》《2016年刑事犯罪领域个人信息保护指令》等涉及个人信息保护的指令。欧盟作为一个由主权国家组成的地域性组织，其指令在实施过程中，各成员国根据本国实际情况会采取不同的解释和选择。例如，欧盟各成员国在将《1995年个人信息保护指令》转化为国内法时很容易采取不同的解释和选择，较为著名的就是欧盟与德国为《1995年个人信息保护指令》转化问题而争论不休。③刘云，欧洲个人信息保护法的发展历程及其改革创新[J]，暨南学报(哲学社会科学版），2017.此外，对个人信息保护的救济渠道上有别于美国事后救济，欧盟更强调事前预防。欧盟重视相关制度的建设，通过事前预防制度的建设来对侵害个人信息的行为进行预防或者说提前救济，值得关注的是欧盟建立了专门的信息保护官制度来加强对个人信息保护的事前预防，从而避免个人信息受到侵害。

2.德日个人信息法律保护现状

德国采用“统一立法”的形式来对个人信息保护，通过联邦和州两级立法、执法来高效地对个人信息进行保护④李琴，中国和德国对个人信息保护的法律制度比较研究[D]，湖南大学，2019.。同时，德国作为欧盟的成员国，其对个人信息保护的法律受到欧盟相关个人信息保护方面指令的影响，尤其是德国《联邦数据保护法》深受欧盟的《数据保护指令》和《通用数据保护条例》的影响。德国除了制定专门的个人信息保护法律《联邦数据保护法》，还针对各行业中涉及个人信息保护的特殊情况进行具体规定，例如《电信法》对电信领域中涉及的个人信息保护作出了具体规定、《电信媒体法》对互联网领域涉及的个人信息保护作出了具体规定等。此外，救济渠道上德国建立了专门的内部与外部救济渠道。一方面不论是公共领域还是私人领域，国家设置专门的数据保护机构或数据保护专员对个人信息进行保护，另一方面在公共机构⑤张红，大数据时代日本个人信息保护法探究[J]，财经法学，2020.、私人机构内部设置专门的监督部门对内部信息的流转进行监督和保护。

日本对个人信息保护采用的是“平衡式”的方式，也就是说在个人信息保护和保障信息自由流动之间寻找平衡来对个人信息进行保护。⑥姚岳绒：“日本:混合型个人信息立法保护”，载《法制日报》2012年第10版.日本先后出台了《个人信息保护法》《行政机关个人信息保护法》《独立行政法人等个人信息保护法》等涉及个人信息保护的法规。日本通过设置《个人信息保护法》明确了个人信息保护的基本理念和原则，还根据涉及个人信息方面的不同行业特征进行专门立法，对个人信息进行具体保护。救济渠道上日本不同于欧盟和美国模式，日本采用兼顾统一立法和民间行业自律的独特制度——个人信息委员会来平衡个人信息的公开与保护，日本单独设置了个人信息保护委员会，将各领域监督权集中到个人信息保护委员会。①秦珂，日本个人信息保护法律制度研究[D]，上海外国语大学，2020.从而有效地应对大数据时代下个人信息保护。

四、大数据时代我国个人信息法律保护的完善建议

（一）取长补短，借鉴域外相关立法经验

从国际范围来看，美国、欧盟、日本、德国等域外国家在个人信息法律保护制度方面取得的良好成功经验，对完善我国大数据时代个人信息法律保护制度具有非常重要的借鉴价值。首先，借鉴域外国家建立专门的个人信息监管机构。我国《个人信息保护法》第60条规定国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责，按照国家有关规定确定。可知，我国负责统筹协调个人信息保护和相关监督管理工作是国家网信部门，国务院有关部门和县级以上地方人民政府有关部门按照相关规定对个人信息进行管理、监督、保护。②王利明;丁晓东,论《个人信息保护法》的亮点、特色与适用[J].《法学家》,2021.但我国仍然没有独立存在的个人信息监管机关，我国可以参考域外经验建立专门的监管机构。构建监管体系时，一是要建立专门的监管机构，对辖区内所有的信息处理行为进行全面严格监管，并加大处罚力度，及时把危害个人信息安全的隐患消灭在萌芽状态；二是个人信息监管机关内部也要建立相关监管部门，及时发现并制止内部侵犯个人信息行为的发生。其次，根据域外经验建立健全匿名法律标准。我国《个人信息保护法》对匿名法律标准未进行详细规定，可参考域外经验建立健全匿名法律标准，[10]通过建立健全匿名法律标准，使得个人信息经过匿名技术进行处理时，处理个人信息的相关主体有着法律标准的指引，避免出现危害个人信息安全的现象出现，从而更好运用法律手段保护个人信息。最后，借鉴域外经验，完善刑事诉讼领域个人信息保护制度。我国刑事诉讼法对侦查措施的规定仍基于传统的小数据时代，且主要是对物理空间中的侦查措施进行规定。③刘玫；陈雨楠,从冲突到融入：刑事侦查中公民个人信息保护的规则建构[J],《法治研究》,2021.大数据时代，相对于公民个人、企事业单位，公安司法机关掌握着大量的个人敏感信息资源，特别是在刑事侦查领域，若被不法分子利用，则会造成严重后果。为此，一方面我国可进一步完善刑事领域中涉及个人信息方面的法律制度，使得法律之间有效衔接和协调，为公安司法机关运用大数据进行侦查的过程和结果提供法律指引和保障。另一方面，《个人信息保护法》第60条规定了负责统筹协调个人信息保护工作和相关监督管理工作是国家网信部门，④王利明；丁晓东，论《个人信息保护法》的亮点、特色与适用[J].《法学家》,2021.在刑事司法领域，一种思路是公安司法机关可在自身内部设置专门机构，对本机关运用大数据获取的个人信息在进行相关刑事活动时进行监督，及时发现并制止违法行为。另一种思路是可设置独立、专门的公共机构（如成立由网信、公安司法机关等组成的委员会）来对公安司法机关运用大数据获取的个人信息在进行相关刑事活动时进行监督、保护，从而有效保护刑事侦查领域公民个人信息的安全。

（二）立足国情，完善个人信息保护立法

每一个国家社情都不尽相同，我国在完善个人信息保护立法工作时，需立足本国国情。一是要树立保护与利用相平衡的立法理念来对个人信息进行保护。一方面我国是社会主义国家，需要在做到在个人利益与企业利益、公共利益平衡（统一）的情况下，来对个人信息进行法律保护。另一方面《个人信息保护法》第一条：为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定本法。传递出个人信息保护和利用平衡导向的理念。因此，在完善个人信息保护法律制度的过程中，需要继续树立个人信息保护与利用相平衡的理念，为大数据时代下个人信息合理运用提供保障，避免出现过度强调个人信息权益的保护，而忽略企业乃至国家利益的情况；二是要进一步规范并明确个人信息的界限。值得注意的是，我国在界定个人信息方面借鉴了欧盟经验，《个人信息保护法》进一步扩大了对个人信息法律保护的范围。但仍有需要努力的地方，例如：需要进一步界清《个人信息保护法》中的个人信息与《民法典》中的隐私的范围，才能更好做到《个人信息保护法》与《民法典》的衔接与协调，①石巍；王雪，个人信息新型保护框架之构建：路径、界限与匿名法律标准[J].学术交流，2021.对于解决这一问题，一种思路是对相关条文进行修订，另一种思路是出台相关的司法解释进行释明。三是具体问题具体分析，因地制宜地处理好《个人信息保护法》与其他法律的关系。我国《个人信息保护法》刚实施不久，需要处理好与其他法律之间衔接和协调的关系。例如我国《个人信息保护法》《网络安全法》《数据安全法》各有侧重，《网络安全法》重点规范了网络运营者及其行为，《数据安全法》重点规范了数据处理行为，《个人信息保护法》重点规范和保护了个人信息处理行为。在涉及个人信息保护方面的“三法”交叉地带，如何促进个人信息的有效运用和保护，这就需要有关部门结合实际在适用“三法”时，在遇到涉及个人信息保护方面的“三法”交叉地带要做好衔接和协调工作。

（三）多元保护，完善个人信息保护的救济渠道

我国已经建立起了涉及个人信息保护方面的多元化救济渠道，《个人信息保护法》第50条规定，个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。拒绝个人行使权利的请求的，应当说明理由。个人信息处理者拒绝个人行使权利的请求的，个人可以依法向人民法院提起诉讼。由此可知，我国对于个人信息受到损害的救济渠道，不仅包括个人信息处理者自己建立的救济渠道，还包括司法救济渠道。随着数据社会持续发展，个人信息保护的救济渠道仍需要继续完善。首先，建立健全行业个人信息保护救济制度。医疗、教育等行业有其特殊性，有关部门或者各行业可在有关部门的指导下根据《个人信息保护法》以及本行业特殊性制定有关个人信息保护的具体规定。其次，国家机关可根据自身实际情况，根据《个人信息保护法》制定本部门在运用大数据收集、使用、储存等过程中涉及个人信息保护方面的具体规定，特别是明确侵犯个人信息的救济程序性规定。最后，强化公民对信息收集主体的监督，增强公民个人信息保护的救济意识。个人信息保护不仅是相关部门、社会组织的努力，还需要公众的参与，政府相关部门和相关组织需要不断加强社会宣传教育，使广大民众在提高个人信息保护能力的基础上对信息收集主体进行有效监督，进而增强公民个人信息保护的救济意识。要通过宣传提高公民在大数据时代下对个人信息的保护意识和救济意识；要通过宣传教育提高公民在大数据时代下对个人信息的保护能力；要通过宣传和教育，使公民能够明白在大数据时代下对信息收集主体监督的重要性，并自觉对信息收集主体进行监督。为此，一方面相关部门需加强对个人信息法律保护的宣传和引导，通过集中时间段宣传与平时宣传相结合的方式引导公众增强对自身个人信息保护的意识。另一方面需要注重完善对弱势群体的个人信息保护的救济渠道，可尝试建立健全有关弱势群体个人信息保护救助制度。

五、结束语

大数据时代下，随着数据广泛而深入的应用于人类社会各种场景，世界各国个人信息法律保护也未曾止步,正如黑格尔在《法哲学原理》中所说的“法律并非是一成不变的，相反地，正如天空和海洋因风浪而起变化，法律也因情况和时运而变化。②黑格尔（德）著,范杨,张企泰译，法哲学原理[M].商务印书馆,1961.”为此，进一步完善大数据时代下我国个人信息法律保护体系，需要我们取长补短，借鉴域外相关立法经验；需要我们立足国情，完善个人信息法律保护立法；需要我们多元保护，完善个人信息法律保护救济渠道。