數據應用中對個人信息的法律保護研究

邵明濤

（河北冀華律師事務所，河北 石家莊 050000）

一、大數據時代個人信息法律保護問題

大數據時代，個人信息安全保護迫在眉睫，世界各國對個人信息安全的保護工作都給予高度重視，我國也將個人信息安全立法提上日程，目前已有《中國人民共和國消費者權益保護法》《中華人民共和國未成年人保護法》《中華人民共和國居民身份證法》《計算機信息網絡國際聯網安全保護管理辦法》《電信和互聯網用戶個人信息保護規(guī)定》《2006-2020年國家信息化發(fā)展戰(zhàn)略》等相關法律法規(guī)，而關于個人信息保護法，雖早有專家建議提案，但至今尚未出臺［1］。由此可以看出，我國個人信息保護立法成果顯著，但也有亟待解決的問題，主要概括如下：

（一）立法層次不高，系統性不強

當前，在個人信息保護方面，現有立法多為行政法規(guī)或規(guī)章，實體立法方面的個人信息保護還需要不斷完善，在個人信息嚴重受到威脅、信息泄露案件頻發(fā)的今天，現有法律規(guī)則無法有力的保護被害人利益。從立法內容的微觀角度來看，現有法規(guī)多用于規(guī)范互聯網行業(yè)，在個人信息主體方面的提及相對較少，特別是在個人信息的收集、利用和整理方面亟待完善。盡管當前掌握個人信息的主要主體為國家，但黑客的存在也給個人信息造成了極大的威脅。這種對于個人信息的立法層次不高、系統性不強的問題，給個人信息的全方位保護帶來嚴峻的考驗。

（二）保護個人信息立法存在缺陷，相關刑事追責有待加強

現有保護個人信息立法中還存在一些缺陷問題。主要有：第一，民事確權及侵權賠償問題。當前，個人信息權沒有明確規(guī)定，我國司法對被侵害人的隱私權和一般人格權進行了法律保護規(guī)定，但在個人隱私信息的界定方面還不夠清晰，因此加大了維權難度。而在信息時代，定位技術的日益發(fā)達增加了個人信息泄露的風險，盡快確定獨立的個人信息權勢在必行。第二，刑事追責難。我國刑法修正案（九）對第二百五十三條中“侵犯公民個人信息罪”內容進行了重新修訂，增加了商業(yè)性犯罪主體的范圍，彰顯了立法的進步。但在刑事追責方面仍顯力度不足，現有刑法規(guī)定，最高刑罰為三年有期徒刑，并處返罰金，特別嚴重的處三年以上七年以下有期徒刑［2］。相比較非法利用個人信息的巨大利益誘惑，罰金的威懾力明顯不足，特別是刑事追責不力必將增加利用非法手段獲取個人信息的犯罪率，不利于經濟發(fā)展和社會穩(wěn)定。此外，第三方個人信息保護機構不健全，行業(yè)從業(yè)者自律性差等問題也十分突出。

二、大數據技術背景下個人信息的法律保護策略

（一）制定《個人信息保護法》，準確定性個人信息范疇

當前，許多國家已經出臺了關于個人信息安全保護的相關法律，在我國這樣一個經濟高速發(fā)展的人口大國，也應重視個人信息的立法保護，盡快制定《個人信息保護法》相關法律法規(guī)。

在個人信息保護制度的制定中，個人信息的定性是關鍵。而在大數據技術背景下，個人信息保護的界定又相當困難，在學界研究中其邊界感也不十分清晰，關聯說、隱私說、識別說和識別能度標準說等理論學說也尚未獲得一致性的認可標準。總之，在立法過程中，應本著合法利用、利益平衡和安全保護原則，準確定性個人信息范疇，通過立法途徑保護公民個人隱私信息不被泄露，個人信息處于正常流動范圍內，既可消除公民的恐懼不安，也更促進公民自愿利用互聯網進行信息交流。

（二）完善民事、行政、刑事立法，同步建立行業(yè)自律制度

大數據時代的到來要求民事、行政和刑事立法必須同步跟上。具體包括：第一，將個人信息權獨立出來立法。即將其與隱私權和一般人格權中分離出來，將其作為獨立人格權進行立法，明確對個人信息權主體的相關法律保護，其權能既包括知情權、處分權、更正權、報酬請求權等積極權能，也囊括了要求救濟權等消極權能，實現了對個人信息主體的更全面保護［3］。第二，完善侵害個人信息權的民事損害賠償制度。大數據時代，個人信息遭侵害的事時有發(fā)生，當前的民事賠償渠道困難重重，法律應盡快明確關于個人信息權遭侵害的救濟途徑，在嚴懲侵權人的同時，也讓個人信息主體得以獲得經濟補償。

俗話說“道高一尺，魔高一丈”，對外部機構和研究人員而言，他們的大數據知識相比較大數據企業(yè)和互聯網企業(yè)而言不值一提，即便自認為制定出了無懈可擊的法律保護體系，對于個人信息的使用者而言還是會難以經受住利益誘惑而打法律擦邊球，因此，在相關法律不斷完善的過程中，建立行業(yè)自律制度也非常重要。具體措施包括：第一，探索性地建立行業(yè)自律組織，成立“個人信息保護委員會”，并進一步明確該組織的權威性，通過制定統一標準和互相監(jiān)督等方式來監(jiān)管行業(yè)成員，齊心協力共建良好的行業(yè)秩序，打造可持續(xù)發(fā)展的健康行業(yè)環(huán)境。在具體的監(jiān)管執(zhí)行過程中，行業(yè)組織可通過定期或不定期開展督查的方式來發(fā)現成員的違規(guī)問題，起到警示作用，并通過內部機制的不斷完善配合有關部門對其進行依法懲處。與此同時，行業(yè)組織還應加強與外部的交流互動，及時吸納外部公眾和管理機構的建議，同步制定行業(yè)自律公約，制定個人信息安全認證制度，并積極呼吁各行業(yè)建立自律組織，通過外管內治的方法提升行業(yè)對個人信息保護和使用的規(guī)范性，在良性互動中維護大數據應用的純凈度，最終形成政府主導、行業(yè)自律組織協作的保護公民個人信息制度。

（三）健全“告知-同意”規(guī)則，提高“同意”門檻

在傳統的互聯網時代，個人信息的保護主要通過“告知-同意”規(guī)則來實現，即提前告知并由信息主體自由決定是否同意個人信息被收集、處理、利用和傳輸，這是處于法律之外的行業(yè)自治，經多年的應用實踐，該規(guī)則中的隱私政策艱澀難懂、冗長繁雜、所設機制過于理想化等問題也較為嚴重［4］。隨著大數據時代的到來，“告知-同意”規(guī)則已明顯落后于時代發(fā)展，不法分子也逐漸突破行為紅線。因此，為更好地保護個人信息，基于法律視角，應做好如下工作：第一，進一步規(guī)范“告知”規(guī)則，隱私政策條款應簡潔明了、用語確切，特別對信息的使用和授權等一概不能含糊，在個人信息獲取中應合法，對主體敏感信息等必須征得信息主體同意。第二，提高“同意”門檻。當信息主體同意后，信息獲得者也應明確可供使用的個人信息只包括這一信息主體的個人信息，而不應包括其他關聯信息主體，以避免Facebook“泄密門”事件的再次發(fā)生。當信息主體為非獨立民事行為能力人時，需由其法定監(jiān)護人簽署“同意書”，并確保監(jiān)護人享有信息用途的知情權，本著自愿簽署的原則完成合作。

（四）廣筑高墻，打好安全加密技術攻關防御戰(zhàn)

通過法律途徑來對大數據技術背景下個人信息保護之外，還必須加快個人信息加密技術的研發(fā)，將加強個人信息保護作為全民、全行業(yè)的一項重要任務去抓。然而時代在發(fā)展，信息技術的應用也日益進步，盡管諸如支付寶背后的阿里巴巴等一些大型企業(yè)也在加密技術的研發(fā)應用中投入了大量的時間和財力，但犯罪分子的破解能力也在提高。例如，Facebook早在2019年時就出現過用戶賬號密碼丟失的問題，給公司造成了極其不好的影響。由此也在警醒著我們，在個人信息保護方面的努力千萬不能停下腳步，個人信息保護工作將是一場曠日持久的戰(zhàn)斗，除了法律的約束外，更離不開大數據及互聯網企業(yè)的自律，特別對大數據的應用企業(yè)而言，更要廣筑高強，打好安全加密技術攻關的防御戰(zhàn)。

綜上所述，個人信息作為大數據技術的支撐，大數據技術的快速發(fā)展也給個人信息的保護帶來了嚴峻考驗。只有充分認識到個人信息安全立法中的不足，積極采取有效措施加以應對，才能確保公民個人信息安全不被侵害。