王 婕
(集美大学诚毅学院 人文科学系,福建 厦门 361021)
大数据时代背景下,社会活动的数字化特征逐渐明显,网民的数字人格不仅只在网上实现,还具有了现实价值。如果说以往个人信息保护的对象是个人的隐私权或人格权,那么大数据时代个人信息保护的对象远不止于此。个人隐私、人格固然是个人信息范畴的一部分,但随着个人信息外延的不断拓展,其中的经济效益成分也被随之激发。且这种经济效益随着互联网技术的发展不断扩张,继而稀释了个人信息中的隐私成分和人格权成分。随之而来的个人信息侵权犯罪也呈现出与以往不同的时代特征[1]。这些时代所带来的问题都需要我们寻求更好更优的解决途径。
刑事立法保护方面,2009年刑法修正案(七)增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪[2]。2015年刑法修正案(九)正式采用侵犯公民个人信息罪这一罪名,将本罪的特殊主体修改为一般主体,特殊主体侵犯公民个人信息的,从重处罚。2013年《关于依法惩处侵害公民个人信息犯罪活动的通知》,2014年最高人民法院发布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》对侵犯个人信息犯罪的司法审判程序作出具体规定[3]。2017年6月1日发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 则对侵犯个人信息犯罪具体犯罪形式和“情节特别严重”等标准作出具体解释,以增强司法实践中的可操作性。
在民事立法和行政立法保护方面, 2011年工业和信息化部发布《规范互联网信息服务市场秩序若干规定》,用“可识别性”来界定公民个人信息,第一次将公民个人信息保护从隐私保护的框架中区分出来。2012年《信息安全技术公共及商用服务信息系统个人信息保护指南》,框架性地设置了网络服务提供者和其他参与网络的相关主体在个人信息保护方面的职责、义务、要求、注意事项。2016年《中华人民共和国网络安全法》正式出台,加重了对网络经营者处理个人信息的约束,但同时也要求保障信息的正常交流,以促进网络的健康发展。2017年《中华人民共和国民法总则》出台,在民事权利一章中,明确规定了个人信息受法律保护,肯定了个人信息独立的民事法律保护地位[4]。
2019年5月28日,国家互联网信息办公室出台的《数据安全管理办法》(征求意见稿)与之前个人信息保护采用了截然不同的解决路径,该法在总则部分即明确“国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动”[5]。在具体章节设置上,则按照完整的数据收集、使用、管理的节点设置安排。因此,与其说该法的主要目的是保护公民个人信息安全,不如说该法的宗旨在于规范个人信息收集、使用、管理的具体流程。
2019年,最高人民检察院从原有公益诉讼的监督领域予以拓宽,提出对公民个人信息进行保护,理由有二:一是公民个人信息安全事关社会公共利益乃至国家利益;二是公民个人信息目前泄露严重,已带来巨大社会危害。从检察公益诉讼的角度对个人信息予以保护,一方面能够督促掌握公民个人信息的行政部门尽责履职,另一方面可以加强公民个人信息的源头保护。虽然目前该项制度尚未得到立法的认可,但是通过全国检察机关的努力,办案效果显著,这也为公民个人信息保护提供了崭新的解决思路。
司法实践中,侵犯个人信息罪最为常见的行为集中在非法窃取、非法转卖,非法取利。2016年6月,犯罪嫌疑人陈某加入了一个名为“电购、网购”的QQ群,了解并接触到倒卖个人信息能够获利之后,以平均每条信息0.5元的价格购进,再以一元一条的价格卖给下家。个人信息购买下家多为保健品类卖家,对个人信息的需求极大。此后,陈某结识同在倒卖信息的蒋某,两人发现可以从某快递公司发货系统中盗取目标客户信息,便着手实施专门窃取信息的违法行为。2017年10月10日,该快递公司安保部门到公安机关报案,警方最终调查发现,陈某及其同犯非法获取并泄露的信息达数百万条以上,最终陈某等四人以侵犯个人信息罪被判处刑罚。
从该案来看,可以发现大数据背景下侵犯个人信息犯罪至少呈现以下三个方面的新型特征:一是该类犯罪的影响范围更广。大数据背景下,个人信息收集、利用、综合分析的能力达到历史巅峰水平。一旦发生个人信息泄露或者被盗事件,个人信息违法犯罪的严重程度也将达到峰值,个人信息犯罪的危害影响范围同样不可估量。以本案为例,陈某在不到两年的作案时间内,贩卖的信息高达百万条之巨,而此前提是有更多的个人信息已经或正在被非法收集。二是快递行业已然成为个人信息犯罪的重灾区。快递行业对个人信息比较倚重,各个快递公司手中掌握着大量的公民个人信息,这些信息不仅包括姓名、家庭住址、单位电话等普通信息,甚至还能反映出包括个人信仰、性取向在内的私密信息。如此海量的信息掌握在以盈利为目的的企业手中,目前除了企业内部保护之外,并没有其他特殊的、专门的保护措施,其本身隐患重重。三是大数据背景让一些本没有识别性或者不重要的个人信息变得极具辨识性和重要性。个人消费记录和消费习惯这类特殊的个人信息中往往包含着巨大商机,也是商家追逐的消费领域前景。陈某等人贩卖个人信息下家买主绝大部分是保健品商家,他们瞄准的消费群体是年龄较大或者经济条件较好的个体。因此,陈某等人对个人信息贩卖,具有较强选择性和目标性,犯罪目的实现的可能性也更大。这与传统公民个人信息贩卖的盲目性区别较大。
大数据时代之前,个人信息违法犯罪体现的共性往往表现为个人信息被隐秘收集、信息主体处于被动受侵犯状态。但是在大数据时代,信息所有人在信息违法犯罪活动中体现较为强烈的主动性,个别信息所有人明知个人信息将用于违法行为,依然主动提供。这是大数据背景下个人信息违法犯罪呈现出的一个新特点[6]。以微信账号的出租出售为例,这早已不是不可告人的秘密。用以出租的微信号一般都是微信户主正在使用的微信号,不仅注册时间较长,而且绑定手机号甚至银行卡。尽管按照《腾讯微信软件许可及服务协议》约定,微信户主只享有微信账号使用权,不得将微信号赠与他人、给他人借用,更不允许出租、出售微信账号。但是从实践来看,出于经济利益或其他目的,微信用户本人出租、出售自己微信号的行为非常普遍,从某种层面也说明个人对自己信息的处分在市场经济环境中获得了暂无实质桎梏的释放。
此外,现代社会几乎人人都能接到针对性强的装修服务、婴幼儿产品信息、股票介绍、房产服务的广告推销电话,也让大家习以为常并不认为是对个人信息的侵犯。因而在民事保护领域,因个人信息被泄露而提起民事赔偿或者侵权之诉的案例并不常见。一方面因为公民个人面对庞大的国家机器或者其他互联网技术平台,难以提供证据证明自己的信息是从哪个环节予以泄露。另一方面简单的信息泄漏,一般不会引起当事人的重视并采取诉讼或其他相关手段予以维权。一旦个人信息泄漏直接触犯刑法的,往往按照相应罪名纳入刑法体系予以调整,直接导致民事、行政保护体系的架空。即便现实如此,仍有个人信息保护行政争议案件发生。2018年7月2日上午,违反治安管理行为人B因邻里纠纷在安吉县××街道××单元××室事主A家门口处,采用辱骂方式对A进行言语攻击,后被公安机关查获,安吉县公安局于2018年8月31日出具行政处罚决定书,该行政处罚决定书在案件事实查明部分载明完整陈述该事实,并公开发布。2019年2月20日,A向安吉县公安局提出关于执法公开侵犯个人隐私及未对个人信息保护纠错申请,安吉县公安局于2019年2月27日以未对当事人合法权益造成实际影响为由,作出不予纠正答复。对此A提起行政诉讼,但是历经两审,法院判决均认为安吉县公安局的行为并未侵犯A的个人信息。从本案来看,对个人信息的行政法保护一方面是缺乏相关法律法规作为裁判依据,另一方面传统裁判思维认为具体行政应为应对个人信息权利产生实质危害才确认行政行为违法。在当前大数据背景下已经无法保障“小微损害”案件被侵权一方的合法权益。
域外无论是欧盟还是美国,对个人信息保护早已从个人信息单纯保护进入了个人信息商业利用规范的阶段。欧盟地区已将个人信息保护的主动权交由公民个人处置,公民对个人信息的完全自主权更多地体现在信息交流和信息利用等方面[7]。2018年5月,已生效的欧盟《通用数据保护条例》对全球化布局的科技公司具有深远影响。想要在这个贸易规则中生存并实现发展目标,这些公司对其掌握的个人信息的保护和利用必须都达到最优程度。而在美国,对个人信息保护采取了分散立法和行业自律相结合的模式,其中行业自律模式极具可借鉴性。相较传统产业,互联网行业在收集、利用个人信息时,保持了较高标准的行业保护规范,将个人信息收集和个人信息保护统一于行业自身,不仅有利于互联网行业规范利用个人信息,也让广大公民对信息流通不再恐慌。然而就在2019年,美国国会发布的《数据保护法概况》重提数据隐私,似乎意味着美国在个人信息利用方面开始走回头路。美国的做法启示我们,坚持个人信息的保护,并非强调数据利用一定要大于数据保护,而是既要注重保护个人信息,尤其是隐私信息的保护,又要顺应形势,强调个人信息的规范收集、利用,在个人隐私保护与个人信息利用之间求得平衡。在这方面,日本对个人信息保护的做法或许更值得我们学习。2017年日本颁行的《个人信息保护法》将监管重心放在数据使用行为规制层面,刻意弱化数据排他权制度设计。同时要求公共管理部门保障数据顺畅交易,强化数据使用安全技术标准。其提出的“匿名个人信息”的开发利用,兼顾了个人信息保护与个人信息利用的双重目的。
梳理公民个人信息保护的立法成果,可以发现在刑事立法方面呈现出逐渐从严、从重的处罚倾向。但是从司法案例来看,针对个人信息违法犯罪活动特征在大数据背景下有几个方面的转变:一是从非法收集、违规利用个人信息向公然倒卖个人信息转变;二是从偶发、少发个人信息违法犯罪向频发、高发个人信息转变;三是从违法犯罪分子非法倒卖个人信息向信息主体主动非法出售、出借个人信息转变。在信息犯罪类型层出不穷的网络时代,个人信息刑法保护的滞后性更为明显:规制手段单一、取证过程困难、查处力度打击力度、威慑力度都远远落后于个人信息犯罪现状。
行政机关因为从事公共管理,掌握着大量的公民个人信息,虽然行政部门承诺会对公民个人信息进行保护,但是从实践情况来看,行政机关不履职甚至故意泄漏公民个人信息的情况也并不罕见。每年报考公务员的考生,总能收到相关考试机构的招揽电话。考上大学的学生,往往收到发放助学金、奖学金的诈骗电话,这都提示我们掌握巨大公民个人信息量的行政机关将成为个人信息保护的重要源头治理区域。
而在民事领域,个人信息立法体现出逐渐放宽控制标准、从个人信息保护向个人信息利用转变的发展趋势。但是,这种趋势在立法上表现得较为含糊,仅仅是一些原则性的条款,缺乏明确的、具体的支持个人信息利用,发展个人信息经济价值的立法表达。虽然《数据安全管理办法》(征求意见稿)对此有所改进,毕竟还未正式出台,在法律衔接和具体适用方面,也有一定困境。从另外一个层面考虑,个人信息保护与个人信息利用的界限在哪里,个人信息保护与个人信息利用的矛盾如何协调,个人信息利用经济价值如何保障等问题,在现行的民事法律和行政法律法规资源中,都缺乏相应的依据。
整体来说,公民个人信息保护框架尚未成型,公民个人信息保护立法管理色彩强,服务措施少。互联网报道、政府为了公共利益使用公民个人信息以及公民个人信息的经济价值等突出问题,回应不足,导致立法的针对性和操作性不强[8]。
大数据背景下,信息的传输、收集和利用无时无刻不在进行中,个人信息是核心社会资源。个人信息外延领域也在不断拓展,个人信息迅速扩张的现实和信息本身资源化成了个人信息保护新需求的现实土壤。
个人信息权并不是完全消极排除他人使用的权利,权利人除了被动防御第三人的侵害以外,还可以对其进行积极利用。得出这一论断的根源在于,个人信息的价值化取向。关于个人信息的价值解读,可以从两个方面进行理解:第一,个人信息对于个体产生着积极的作用。价值问题作为一个历史命题,随着人类的出现就被广泛讨论[9]。马克思将“价值”定义为人类在改造世界过程中所形成的“反映客体满足主体需要的效用关系”,从这一角度上说个人信息对于人类进步、社会发展、经济建设、个体交往等行为产生着积极的作用;第二,个人信息的价值化还体现为凝聚于个人信息基础上的无差别的社会劳动。劳动是人类智力成果的展现,也是新技术革命的产物。个人信息作为个人的符号而存在,代表着人格利益、身份标识,当前个人信息商品化脚步不断加快,人格权的财产价值也得到了提升。特别是在大数据时代背景下,个人信息具有了很强的信息价值、文化价值和商业价值,其往往代表着个人利益、个人财产利益和公共利益等,因此个人信息保护的前提也是个人信息必须具有被保护的价值。因此,必须要对个人信息进行全面客观地解读,不仅要认识到其多维价值,同时还应对其积极利用的方式展开探讨,从而更好地实现对个人信息的有效保护。
1.个人信息所带来的商业价值凸显。随着互联网技术的进步,云计算、物联网、共享经济平台等新兴技术依托网络快速发展,信息成为大数据技术的基础要素和核心要素。大数据背景下,个人信息既是网络技术的媒介、资源,又是信息交换的客体、对象。个人信息被形象地称为“新石油”,在信息交换过程中具有重要的经济价值和利用空间。从目前的发展趋势看,互联网对个人信息的依赖还在不断加深,有学者预计到2020年,个人数据交易将占到欧洲GDP总量的8%。如果离开个人信息的授权利用,不仅淘宝、京东等各种类型和规模的网店平台无法完成线下服务,依托快递业发展起来的送餐服务、代驾服务、老年人医疗服务等网络交易同样无法完成。共享汽车、网络家教、在线理财等业务,因为关涉到个人的生命财产安全,同样以个人信息利用、收集、责任豁免为前提,否则相关市场就无法存在,服务也就无从谈起。可以说,时代发展到今天,尽管无法否认个人信息中包含的人格属性,但同样不可否认的是个人信息中包含的商业价值及个人信息中包含的商业价值转化为经济效益的现实可能性。因此,有学者建议立法应该从保护个人财产权而非隐私权的视角对个人信息进行保护,该类观点在《规范互联网信息服务市场秩序若干规定》《民法典》以及《数据安全管理办法》(征求意见稿)中都得到了体现和落实。
2.个人信息所包含的法益进一步延伸。个人信息包含的法益从最初的隐私权到后来的人格权再到现在重点体现的财产权,其内容随着实践的发展一直在不断拓展。欧盟《数据保护指令》明确规定,个人信息法益包括知情权、进入权、反对权、删除权、不受完全自动化决定约束权等权利。但是在大数据背景下,公民个人信息权覆盖的权能更为广阔,正如齐爱民教授谈到的那样,信息利用决定权、保密权、查询权、更正权、封锁权、删除权、报酬请求权,都应该成为个人信息权能的一部分。个人信息法益的不断延伸,意味着个人信息保护的难度也越来越大,保护的视角更加开阔。虽然目前我国公民对个人信息保护的认识还不够清醒,但是逐年、不断爆发的个人信息保护维权事件,则预示着公民的权利意识终究要醒悟、发展,届时个人信息保护的推动主体将更加复杂化、多元化。
3.个人信息传播途径丰富。传统社会中,信息传播方式是单向的、线性传播,因此,传播速度慢、信息影响力小。从传统传播渠道上看,书籍、报刊是最为主要的传播方式,其次是电视,最后是各种其他社会载体。但是在大数据背景下,个人信息传播从单向传播向双向传播转变,尤其是像微博、微信、抖音、快手等自媒体技术的出现,让信息进入即时传播时代,信息传播多中心发展、开放式发展、共享数据发展三种渠道同时打开。更加广阔的传播路径和更加快捷的反馈机制,意味着两个基本的事实,一是个人信息侵权或者犯罪的危害和影响更加深远,且在信息传播的过程中,因为外界因素的介入,舆论舆情发展方向更加不便控制,甚至不能控制。二是任何一个环节保护不当,都有可能导致个人信息泄露,从而让前期的所有保护工作功亏一篑。
传统的个人信息保护与大数据背景下个人信息保护新需求结合在一起,构成了大数据背景下个人信息保护面临的三组基本矛盾:
1.个人信息公开与个人信息保护的矛盾。现代化的网络办公,让政府机关、银行金融、医疗服务、校内外教育等机构或者部门掌握大量公民个人信息。这些信息既是政府进行管理或者提供服务的依据,也是政府开展工作的对象和目标。这些信息涉及公民个人的金融消息、房产信息、健康状况、住房情况等各个领域,具有隐私性和“可识别性”。但政府对其利用决定了这些信息不可能纳入信息保护的范围,或者说不可能被严格加以保护。同样的,在诉讼领域,司法机关开展案件审理,可能要依职权调取这些信息。在继承领域,民政部门为了分配遗产,也可能要依职权调取这些信息。大数据技术的研发,方便了某一部门收集信息、利用信息,也方便了各个部门、不同领域之间信息共享,但是这也为信息公开与个人信息保护的冲突埋下伏笔。依托现代化的办公条件,公民的知情权得到发展,对于政府掌握的这些大量数据,常有公民以各种理由提出公开信息申请。按照政府信息公开条例等相关法规的要求,只要公民的信息公开要求符合法律规定的,政府应当依法公开这些信息。毫无疑问,信息公开也是公民个人信息保护的一个方面,但是问题在于,信息公开保护的是申请公开信息的主体的知情权,但是完全可能损害被公开信息主体的合法权益,这是信息公开与信息保护冲突的具体体现。
2.个人信息利用与个人信息保护的矛盾。个人信息作为优质的市场资源,受到社会各界广泛关注,成为社会各商家的争夺目标,蕴含着巨额的经济利益。这既诱导更多的主体加入违法收集、利用个人信息的市场,也让个人信息被侵犯者倾向于索要高额赔偿。随之而来的是个人维权诉求会加重企业开发、利用信息的成本,从而束缚个人信息交易市场的发展。从这个层面来说,要想促进大数据技术和互联网技术的进一步发展,个人信息利用以及个人信息利用豁免成为基本前提。但是,即便是在大数据背景下,法律永远不可能允许国家无限制公开个人信息或者允许某个个人自主收集、利用甚至非法购买个人信息,也即个人信息保护的前提是不可动摇的,只不过需要考虑的是个人信息保护的战线后移,以便兼顾个人信息利用,或者说实现个人信息有限制地利用这一目的。
3.个人信息公法属性与个人信息私法属性调和的矛盾。公民个人信息表征自然人综合信息,包括身份、职位、家庭、经济状况和其他信息,其私法属性突出。因此,公民个人信息最早是以隐私权或者人格权的视角进入法律保护范围的。这也是为什么长期以来我国公民个人信息立法一直坚持严格保护、禁止非法利用的根本原因。但随着大数据技术的发展,改变了个人信息性质的基本定位,其公法属性也日益丰满。公民个人信息公法属性主要体现在:作为市场活动中的基本要素,公民个人信息的利用首先要符合市场规律,实现经济价值的同时也要服从市场管理秩序。无论是信息权利的主体还是通过合法渠道掌握公民个人信息的机关单位、商事主体,都不能滥用信息[10]。为了公共安全或者公共福利,政府或者相关管理部门需要对公民个人信息的利用设定利用底线,这就决定了公民个人信息保护绝不仅仅是个人的事,而是成为需要政府决策、立法保障的公共事务。
大数据时代为个人信息保护带来全方位的挑战和赖以生存土壤的改变,彻底扭转了个人信息保护的格局。因此,应在认真考虑个人信息保护新需求、新形式的基础上,对我国个人信息保护格局做出重大调整以适应时代背景下对此提出的保护新需求。
对公民个人信息保护到底应该持有怎样的态度,取决于对公民个人信息的本质界定。因从民法原理的角度来说,对公民个人信息采用权利保护还是法益保护的最大区别在于保护的标准和界限的差距。权利保护观点坚守“征得权利人同意”这一基本原则,在未征得权利人同意不得收集、使用公民个人信息。法益保护在保护程度方面没有权利保护要求如此严格。在现有保护方式上,对公民个人信息保护采用的是隐私权绝对保护标准,但是法益保护则采用财产权相对保护标准。我国对公民个人信息保护到底采用了怎样的标准,一直没有定论。2017年出台的《中华人民共和国民法总则》将公民个人信息放在民事权利中进行保护,似乎认定公民个人信息的本质属于民事权利。但是理论界对此论断的争议似乎并未随着民法总则的出台而平息。王利明教授认为,《中华人民共和国民法总则》第一百一十一条采用了公民个人信息,但是并未采用公民个人信息权这一提法,这说明民法总则并没有将个人信息作为一项具体的人格权利来保护[11]。
如果说以往我国对公民个人信息保护采用了民事权利的标准的话,在大数据背景下,也应该转而采用法益保护标准。事实上,我国公民个人信息保护的确也是沿着这一轨道发展的。网络背景下,个人信息犯罪突然爆发,令监管部门措手不及,因此,刑法修正案(七)针对司法实践中普遍存在的非法倒卖个人信息、非法出售个人信息现象,增设了出售、非法提供公民个人信息罪和非法获取公民个人信息罪,规定特定主体对于其获取的个人信息,不得向他人出售或者提供。至刑法修正案(九)则将个人信息犯罪主体扩展到所有主体,保护面更广,但限制非法侵犯个人信息犯罪的方法依然停留在非法出售、非法提供、非法获取这三种方式上。2013年出台的《关于依法惩处侵害公民个人信息犯罪活动的通知》和2014年最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》,是进一步明确对侵犯个人信息犯罪的认定、处罚、判决标准[12]。从民事维权角度来看,公民信息主体个人在信息保护过程中的主动性加强,被保护主体倾向于通过民事赔偿救济、经济救济等方式来维护自身信息权利,这是大数据背景下公民个人信息保护必须面对的又一社会现实。正如本文前面所指出的那样,网络时代,信息传输空前繁荣普遍、信息传播速度惊人加快,个人信息中蕴含的经济价值也日益凸显,并且具有了兑现空间,尤其是信息主体对信息保护的意识逐渐清醒,信息交易的欲望日渐强烈。在此背景下,对于所有领域内正在发生和即将发生的公民个人信息交易套上 “征得权利人同意”以后才能使用的枷锁,不仅会限制信息交易市场的发展,而且事实上也与个人信息保护的宗旨相悖离,难以起到预期的规制效果。
1.个人信息保护应坚持的原则。个人信息保护原则是个人信息保护领域必须坚持的发展方向。大数据背景下,要实现个人信息保护与个人信息利用的均衡发展,至少需要坚持以下四项原则:第一,目的限制原则,指收集、储存、利用公民个人信息的主体必须具有正当目的。一方面,收集、利用个人信息的目的必须具体明确,有合法的授权和正当的途径。另一方面,为某一特定目的而收集的个人信息不得直接用于该目的外的其他目的。第二,信息安全原则,指收集个人信息的机关、单位应当采取必要的安全措施来防止信息泄漏,因信息收集主体的故意或者过失造成的信息泄漏事件,应该追究相应法律责任。第三,信息公开原则。对于行政机关来说,信息安全原则与信息公开原则都在兼顾之列。信息公开原则是公民知情权的要求,不能简单地以信息安全原则否定信息公开原则。第四,信息利用原则。毋庸置疑,在大数据背景下,信息作为基础资源,每个阶段每个行业都以信息的传输和利用为基础,离开了信息传输,大数据技术也就无从依靠和发展。因此,大数据背景下的信息保护,必然包括信息利用。信息利用原则包括信息利用豁免和信息利用同意两个方面。信息利用知情同意固然应该作为基本准则,但是信息利用豁免,尤其是对于为了公共利益以及信息传媒的发展,必须打开信息利用豁免的空间,否则信息产业的发展将停滞不前。
2.个人信息保护的标准应予调整。大数据背景下,个人信息保护的标准应该与个人信息保护原则相协调。针对目前的司法现状,保护标准方面应该实现四个转变。第一,实现从公民个人信息权保护到公民个人信息法益保护的转变。采用权利保护的方式,与大数据背景下个人信息利用的巨大需求并不相符,且在自媒体背景下,个人信息利用已经处于无法阻挡的大趋势之下,立法不能逆潮流而为之。我国个人信息法出台困难重重,正是因为立法理念的不及时调整,导致立法倾向与司法实践需求之间的落差过大。第二,实现保护方式的转变。我国刑法对公民个人信息保护采取了逐渐扩大规制主体的立法路径。但是民法领域和行政法领域的个人信息保护目前还停留在特殊主体领域内,特别是随着网络“去匿名化”和“再识别”技术的发展,公民个人信息违法违规的主体将更为普遍,因此,从行政法和民法的角度来说,也要采用一般主体保护的方式,将自媒体终端、互联网共享平台以及网络领袖、政府机关、社会组织等一并纳入民法、行政法规制范畴。此外,公民个人信息保护从事后追责转型为事前规范更为合适。第三,保护范围的转变。当前我国公民个人信息保护往往侧重于隐私保护或者信息秩序维护某一个方面。但是对于个人信息知情权、修改权、删除权、经济请求权等其他正当请求回应不足。事实上 ,借用耶林“权利束”概念,一项权利上包含的法益往往不是单纯的,权利也罢,法益也好,往往是涵盖多个方面的。因此,对公民个人信息保护也应该沿用“法益综合体”的思路,而不是只保护某一项法益。第四,保护程度的转变。保护程度的等级设置,其实是为个人信息利用和流通预设条件。目前,我国对公民个人信息分等级设定保护标准的趋势已然显现。如将公民个人信息分为隐私信息与非隐私信息,对公民隐私信息保护与公民隐私权保护重叠,采用“征得权利人同意”的隐私保护标准,对于非隐私信息,则采用“不违反社会公德”的保护标准。又将公民个人信息分为实体性个人信息与程序性个人信息。对于实体性信息,自然强化保护理念,而对于程序性信息,则更侧重于信息保护豁免。
当前我国个人信息保护立法成果主要集中在刑法和民法领域,在宪法和行政法领域涉及较少,这一立法弊端应该在大数据背景下的个人信息保护体系构建中予以完善。公民个人信息保护的刑事责任,依据《刑法修正案(九)》和《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》 足以认定,且尽管《刑法修正案(九)》对公民个人信息保护标准略显苛刻,但随着《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》的出台,在危害后果和侵犯的个人信息数量方面进行限制,一般的、偶尔的个人信息收集、使用,则不在刑法规制范围内,这也符合信息社会个人信息高速交流的特质。因此,个人信息保护刑事责任比较完善具体[13]。相较而言,其立法技术和立法效果都领先于其他领域的责任。
个人信息保护体系的重要前提是增设个人信息保护宪法责任。隐私权作为宪法的一项基本权利,在我国宪法第三十八条从人格保护的角度有所涉及,但从人格尊严权到隐私权,再从隐私权到公民个人信息保护,并不能形成理所当然的结论。有不少学者指出隐私保护尚未入宪,从隐私权过渡到公民个人信息保护,更是缺乏先决依据。当然,由于相关法律依据的缺失,我国个人信息保护在援引法律法规支持时,免不了从隐私权和人格权保护的角度来寻找立法依据,而正是因为宪法对公民人格权和隐私权的严格保护标准,导致个人信息保护一直陷入隐私保护与人格保护的争议之中,难以获得独立的法律地位,从而影响了个人信息的责任体系的基础性构建。因此,如果目前宪法对公民个人信息的保护还达不到直接规定个人信息权,则可以先从隐私保护入手,将隐私保护直接写入宪法,继而通过对隐私保护的阐述,来间接实现对公民个人信息的保护。从法理上来说,隐私权理论内涵包括独处权理论、亲密关系理论、信息控制理论、限制接触理论等多个方面。2011年工业和信息化部发布《规范互联网信息服务市场秩序若干规定》中对个人信息的判断标准为“可识别性”,只有进一步正视个人信息保护中的三对基本矛盾,才能为个人信息保护设定合适的底线。另一方面要从保障公民基本权利的角度,对个人信息的利用和处分设定标准。在要求公权力机关采取安全措施防止信息泄漏,限制公权力对个人信息非法干涉的前提下,进一步从保障公共利益的角度,对限制个人信息的事项做出明确,以确立个人信息保护与利用并重的格局。同时需要从宪法的高度授权国家机关或者其他机构强制收集和使用个人信息的职能,为政府机关履行公务提供法律保障。
建立个人信息保护体系的重要支撑是完善行政责任。从政府和管理部门的职责来说,需要建立个人信息利用豁免制度,但是同时必须建构以个人信息保护为核心的行政责任,这是为了避免政府或者其他部门以公权力干涉、侵犯公民个人信息法益。同时,建立个人信息保护行政责任是完善个人信息保护行政责任、刑事处罚、民事责任相配合、相衔接的救济责任体系的必然要求。尤其是要加强刑事责任与行政责任的衔接,从行政授权的角度,对政府进行管理和提供服务中获得的个人信息的保护做出严格限制,但是同时又要从法律上保障政府机关收集和使用个人信息行为的正常进行。对于刑事责任无法规范,又不符合民事起诉标准的个人信息泄露事件,规定具体明确的行政处罚措施。在行政法领域,还要对公民知情权与信息保护权的矛盾进行回应,在个人信息保护与公民知情权的实现方面,争取实现信息保护与知情权实现兼顾之目的。对于行政机关履职不到位导致的公民个人信息泄露,从公益诉讼的角度进行保护,也不失为一种新的更为有效的途径。其最大优势在于,检察机关的介入有助于改变公民与相关行政机关的力量不均衡、信息不对称的局面,从而让公民在公民个人信息保护中有了更大的主动权。
完善个人信息保护民事责任。依据《民法典》创设的个人信息权保护框架,《消费者权益保护法》《商业银行法》《执业医师法》《居民身份证法》等法律法规、规章从不同层面对个人信息保护进行了回应。但是从目前个人信息保护民事司法现状来看,公民通过民事渠道维护个人信息安全的积极性并不高。归根结底,还是通过民事渠道维护个人信息的难度依然较大,代价较高,尤其是时间成本与经济成本不匹配。因此,完善个人信息保护民事责任应该坚持两个基本方向,一是继续完善民事领域相关立法,从《民法典》等角度对个人信息保护内容进行创设、吸收、完善、修订,以构建以《民法典》为主体,其他法律、法规为主干,相关规章、制度为枝叶的民事责任保护体系。
网络的发展,让公民个人信息保护成为一个常变常新的课题。我国的公民个人信息保护虽然只有短短的二十余年的历史,但是这期间个人信息保护所体现出的倾向性和侧重点是不同的。这种变化不仅仅是立法技术完善和改进的反应,更是网络技术的进步以及技术对公民生活影响的反射。
大数据时代的到来,让当前的个人信息保护格局面临新的挑战。从技术的角度来讲,大数据指的是一种数据处理方式,其以容量大、类型多、存取速度快、应用价值高为主要特征。但是从法学的视角来看,在大数据背景下,数据处理外延不断扩大,数据收集速度不断提升,数据应用深度不断挖掘,数据的经济效益不断显现,数据经济成为时代主流。大数据已经实现了对公民个人生活的全覆盖、全变革。个人信息保护成为一个多方面、多需求的综合命题,公民个人信息保护从一开始的隐私保护定位到后来的人格权保护立场再到现在的财产权保护初衷,其背后的助推力是网络技术的进步和信息社会的发展。说到底,大数据背景下的生产力发展了,所以生产关系也发生了变化,法律围绕着生产关系变革而面临的任务也发生了变化。至此,公民个人信息保护不仅要求实现对隐私信息和核心个人信息的严格保护之目的,同时还要实现个人信息经济价值和公益价值之目的,故需协调完善宪法、刑法、民法、行政法多个渠道来保护,以确保个人信息保护、利用、公开之目的得以有效实现。