大數(shù)據(jù)時(shí)代個人信息保護(hù)的法律思考

◆何培瑞 唐煒鈞 雷歆怡

（四川警察學(xué)院 四川 646000）

互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代的到來使得信息高速發(fā)展和穩(wěn)步提升，個人信息作為大數(shù)據(jù)洪流中的重要組成部分，隨時(shí)都面臨著被侵害的風(fēng)險(xiǎn)。從超市購物到國家政治方針都與我們的個人信息密切關(guān)聯(lián)，大數(shù)據(jù)時(shí)代各種信息數(shù)據(jù)讓人應(yīng)接不暇。中國消費(fèi)者協(xié)會于2018年對5000多份APP個人信息進(jìn)行問卷調(diào)查，結(jié)果指出遇到個人信息泄露人數(shù)約是未遇到過個人信息泄露情況的人數(shù)的6倍，說明個人信息泄露相當(dāng)嚴(yán)重[1]。此外根據(jù)互聯(lián)網(wǎng)絡(luò)新聞報(bào)道，2016年以來全國各級公安機(jī)關(guān)依法偵破侵犯公民個人信息案件約1.7萬起，抓獲各行業(yè)內(nèi)部人員約3000名，同時(shí)通報(bào)一大批涉及銀行、保險(xiǎn)、證券、工商、教育、電信、交通、物流、車輛、出入境、醫(yī)療、母嬰等重點(diǎn)行業(yè)信息系統(tǒng)及安全監(jiān)管漏洞，打掉了一批非竊取、販賣公民個人信息的公司、網(wǎng)站[2]。因此，保護(hù)個人信息成為這幾年全國兩會代表熱情關(guān)注并要求解決的問題。

1 個人信息的含義

在學(xué)界目前對公民個人信息的認(rèn)定主要持可識別性和關(guān)聯(lián)性兩種不同的觀點(diǎn)，對于可識別性，主要是指能夠通過一定的表現(xiàn)形式具體定位到公民個人并識別到個人身份的信息，如通信住址、身份證號碼、銀行卡賬號及密碼、住院病歷、個人生物識別信息、指紋等類似信息[3]。正是因?yàn)檫@些信息可識別性強(qiáng)，與公民個人密切相關(guān)，因此，其具有十分顯著的人格屬性。而關(guān)聯(lián)性觀點(diǎn)則較可識別性更加廣泛，無論是有形還是無形，無論是物質(zhì)還是精神，只要是能與公民個人相關(guān)聯(lián)的信息均可理解為關(guān)聯(lián)性。通過兩種觀點(diǎn)的對比可以看出，可識別性主要是由信息到個人，信息本身的特有性能對識別出個人身份產(chǎn)生真實(shí)貢獻(xiàn)；而關(guān)聯(lián)性則更多的是由人到信息，假設(shè)已知個人由其生產(chǎn)活動中產(chǎn)生的信息均為個人信息。我國剛頒布與實(shí)施的《中華人民共和國個人信息保護(hù)法》（下簡稱《個人信息保護(hù)法》）采用識別性的觀點(diǎn)，能夠更加精確的由信息追溯到公民個人身份，能確保個人信息在法律規(guī)范上更為合理、有效。

2 個人信息和隱私權(quán)的區(qū)別

對于大多數(shù)人理解而言，個人信息保護(hù)可能會被歸為隱私權(quán)保護(hù)的一種表現(xiàn)形式。而在司法實(shí)踐上，不少法院在審理有關(guān)侵犯公民個人信息類案件時(shí)所涉及的具體權(quán)益也常被認(rèn)定為隱私權(quán)或者名譽(yù)權(quán)等人格性權(quán)益。盡管個人信息和隱私權(quán)的關(guān)系相當(dāng)緊密，但是實(shí)際上兩者無論是從權(quán)利的內(nèi)核還是外延來看，都有很明確的界限和區(qū)別。首先，單就字面含義分析來說。隱私權(quán)更強(qiáng)調(diào)的是“隱”和“私”兩個方面，即不被人知的個人私密活動，主要是對公民個人而言不想被別人知道，未公開并且不會主動公開的個人生活情況等。雖然兩者在外延是有一定重合，但是其內(nèi)核卻仍有很大區(qū)別。個人信息主要是指能識別自然人個人身份的各種信息，但卻不一定具有私密性的特征，可以是已經(jīng)公開或者未被公開的信息，并且這些信息的公開不一定涉及很多的私人生活問題，因此這些信息的泄露也通常不會造成公民個人心理上的壓抑或者不適。但對于某些企業(yè)、機(jī)關(guān)而言，可能有更具大的數(shù)據(jù)分析和市場調(diào)研等公共價(jià)值。就兩者的權(quán)利性質(zhì)和救濟(jì)方式而言，也有較大區(qū)別。雖然兩者都可以歸為人格權(quán)的范疇。但是隱私權(quán)相對而言，更加消極、更具防衛(wèi)性，并且有更加突出的人格特性，相關(guān)案件的處理以及司法保護(hù)的傾向主要是對于個人空間被侵犯后再進(jìn)行救濟(jì)。當(dāng)個人信息遭受侵害時(shí)，權(quán)利人可以采取主動方式對權(quán)力進(jìn)行保護(hù)，比如要求刪除或者更改個人信息[4]，簡而言之，自然人對其個人信息享有支配和自主決定的權(quán)利，排除他人的非法侵害。甚至，對于某些名人而言表現(xiàn)更多的是其財(cái)產(chǎn)性。對于國家安全而言也有舉足輕重的作用，當(dāng)每個人的個人信息匯聚到一起，便形成了我們常說的大數(shù)據(jù)，與每位公民的生活息息相關(guān)。

3 民法視野下的公民個人信息保護(hù)

數(shù)字經(jīng)濟(jì)互聯(lián)網(wǎng)快速發(fā)展，與保護(hù)個人信息相關(guān)的民事立法相繼到來，不斷發(fā)展革新。如《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《消費(fèi)者權(quán)益保護(hù)法》、《民法總則》以及2021年1月1日正式實(shí)施的《民法典》等都有個人信息保護(hù)相關(guān)規(guī)定。特別指明網(wǎng)絡(luò)服務(wù)提供人員應(yīng)承擔(dān)的法律責(zé)任，同時(shí)也規(guī)定了追究責(zé)任的理由和處理的方向等，保證網(wǎng)絡(luò)公民安全使用個人信息。但哪些部門或人員可以收集個人信息?收集個人信息如何合法使用?違規(guī)收集個人信息該受什么懲罰?以上多部法律法規(guī)因?yàn)槿狈ο到y(tǒng)性、不健全，針對侵犯個人信息造成的后果行為，處罰力度太低，而且對于個人信息沒有明確規(guī)定相應(yīng)的使用制度、處罰辦法、賠償處理、監(jiān)督機(jī)制等等。

4 個人信息保護(hù)立法的必要性

當(dāng)前中國已涌現(xiàn)一大批市值居全球前列的互聯(lián)網(wǎng)巨頭企業(yè)，人臉識別、人工智能、大數(shù)據(jù)等高科技手段被大量運(yùn)用。5G時(shí)代萬物互聯(lián)，強(qiáng)大的互聯(lián)網(wǎng)平臺容易造成更多的個人信息在網(wǎng)絡(luò)上泄露，使個人信息權(quán)益與互聯(lián)網(wǎng)數(shù)字經(jīng)濟(jì)發(fā)展非常不協(xié)調(diào)。

首先，中國社會科學(xué)院曾發(fā)布了"法治藍(lán)皮書"。藍(lán)皮書指出，信息處理和存儲技術(shù)的不斷發(fā)展，我國個人信息濫用問題日趨嚴(yán)重，社會對個人信息保護(hù)立法的需求越來越迫切[5]。

其次，近年來侵犯公民個人信息違法犯罪活動十分猖獗，不但使公民的人身權(quán)益受到嚴(yán)重侵害，而且還促進(jìn)各種電信網(wǎng)絡(luò)詐騙、盜刷銀行卡等犯罪分子行為的發(fā)生。如2015年以來很多P2P網(wǎng)貸平臺非法集資放貸，欺騙公民貸款，竊取公民家人個人信息，致使一些大學(xué)生因欠貸被逼死，造成裸貸風(fēng)波等現(xiàn)象，為此公安部于 2019年2月對國內(nèi)380多個網(wǎng)貸平臺實(shí)施立案偵查，查封相關(guān)企業(yè)平臺，扣押涉案人員，凍結(jié)涉案資產(chǎn)數(shù)額高達(dá)約百億元；2018年公安機(jī)關(guān)破獲遼寧鐵嶺黃某等40名犯罪嫌疑涉嫌竊取公民個人信息并實(shí)施網(wǎng)絡(luò)盜竊、信用卡詐騙等犯罪活動，涉案金額3.4億余元；2020年江蘇公安機(jī)關(guān)在公安部的統(tǒng)一指揮下，成功偵破通過非法網(wǎng)絡(luò)推廣團(tuán)伙購買40萬條貸款申請人的個人信息的一起代號為3.26的特大貸款類電信網(wǎng)絡(luò)詐騙案，成功抓獲違法犯罪嫌疑人四十四名，摧毀非法網(wǎng)絡(luò)推廣團(tuán)伙十個，受害人達(dá)4000多人，扣押、凍結(jié)涉案資金約兩億多元等等。以上案例說明信息泄露不僅可能會給自己造成很多的麻煩，而且有可能出現(xiàn)強(qiáng)買強(qiáng)賣、陌生電話困擾、引誘、敲詐、詐騙、官司、勒索等各種不良惡果。面對我國復(fù)雜的國情以及極其不容樂觀的個人信息泄露情況，如何高效處理個人信息相關(guān)案件？如何降低保護(hù)個人信息安全的成本？如何界定幾種不同的個人信息的類型以及對不同保護(hù)級別的個人信息進(jìn)行具體規(guī)范？雖然幾年來我國也有法律加強(qiáng)個人信息保護(hù)力度，但法律規(guī)定的條款過于分散、針對性不夠強(qiáng)，與社會實(shí)際需求有差距，因此應(yīng)對這些迫在眉睫、急需解決的問題，單獨(dú)的個人信息保護(hù)立法也顯得極其重要。

5 《個人信息保護(hù)法》重點(diǎn)內(nèi)容剖析

千呼萬喚始出來，直備受關(guān)注的個人信息保護(hù)的法律自2018年籌備，2020年10月公布草案，2021年8月20日十三屆全國人大常委會第三十次會議表決通過，于2021年11月1日正式頒布和實(shí)施，表明我國終于形成了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》《個人信息保護(hù)法》（共八章七十四條）為核心的三大網(wǎng)絡(luò)法律體系。該法律較民法典中的一般性個人信息保護(hù)規(guī)定有了更合理、更完善的內(nèi)容。該法律的實(shí)施將對凈化網(wǎng)絡(luò)環(huán)境，加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)安全，保護(hù)公民個人信息權(quán)益，促進(jìn)大數(shù)據(jù)健康發(fā)展提供重要的法律保證，同時(shí)不僅能對出售個人信息、非法利用信息者等進(jìn)行從嚴(yán)從重懲戒，提高違法成本；還能對掌握海量用戶數(shù)據(jù)的超大型互聯(lián)網(wǎng)平臺和相關(guān)部門等進(jìn)行嚴(yán)格監(jiān)督依法依規(guī)審查。

5.1 確立“告知——同意”為核心的個人信息一般規(guī)定

首先，《個人信息保護(hù)法》第二章個人信息處理規(guī)則中對一般性處理公民個人信息的規(guī)定，確立了“告知——同意”為基本的前提，如果處理的內(nèi)容和范圍發(fā)生變化，個人不再同意已授權(quán)的信息處理活動，還享有其同意的撤回權(quán)。這一核心規(guī)則的確立，非常有效地?cái)U(kuò)大了個人信息自治權(quán)，更契合意思自治的民法精神。特別是其同意撤回權(quán)的確定，給了公民更多合理行使自己個人信息權(quán)的空間，讓公民在大數(shù)據(jù)時(shí)代中能夠真正實(shí)現(xiàn)個人信息的控制權(quán)、主動權(quán)不受侵害。如在個人信息保護(hù)法實(shí)施前，公民在大數(shù)據(jù)互聯(lián)網(wǎng)購買產(chǎn)品和服務(wù)時(shí)，只享有登錄權(quán)、注冊權(quán)，大多數(shù)人都未嘗試過“注銷權(quán)”。個人信息保護(hù)法出臺實(shí)施后，公民一旦停止使用某網(wǎng)絡(luò)服務(wù)，在刪除應(yīng)用程序的同時(shí)，網(wǎng)絡(luò)服務(wù)后臺需依法對用戶已儲存的數(shù)據(jù)信息進(jìn)行刪除，保證用戶個人信息不再泄露成為非法分子利用的工具。

其次，該法的施行將對催收產(chǎn)生很大影響，特別是軟暴力催收和打擦邊球的催收。按照法律規(guī)定，網(wǎng)貸平臺和銀行信用卡，在進(jìn)行委外第三方催收時(shí)，必須在征得借款人同意的情況下，并把委外第三方催收機(jī)構(gòu)及相關(guān)主要負(fù)責(zé)人的信息及聯(lián)系方式告知借款人。近幾年來經(jīng)常出現(xiàn)網(wǎng)貸平臺和銀行信用卡催收公司爆出通訊錄和聯(lián)系第三人上門催收，不僅違反了《個人信息保護(hù)法》的相關(guān)規(guī)定的告知同意原則及其具體規(guī)定，還觸犯了法律。若催收人員不接受法律監(jiān)管還是采用打擦邊球的方式催收或借款人員逾期拒絕還款都會給自己造成非常嚴(yán)重的后果和損失。

再次，如果是特殊情形可不需告知個人同意。如為訂立合同、履行法定責(zé)任或義務(wù)、應(yīng)對公共突發(fā)衛(wèi)生事件或緊急情況為保護(hù)公民生命安全和健康財(cái)產(chǎn)安全、公共利益實(shí)施各種報(bào)道等等。

5.2 嚴(yán)格限制處理敏感個人信息

《個人信息保護(hù)法》將個人信息保護(hù)規(guī)定分為一般個人信息和敏感類個人信息進(jìn)行分類保護(hù)，將敏感個人信息定義為“一旦泄露或者非法使用，可能導(dǎo)致個人受到歧視或者人身、財(cái)產(chǎn)安全受到嚴(yán)重危害的個人信息[6]?！毕鄬σ话銈€人信息，敏感個人信息更加兼顧隱私性和財(cái)產(chǎn)性，對于公民個人的影響較大，其重要性也有所不同。嚴(yán)格遵循“從嚴(yán)使用”、“從嚴(yán)處理”的原則，對敏感個人信息的規(guī)定，更好保障了公民的重要個人信息。如金融、保險(xiǎn)等屬于敏感個人信息行業(yè)將會引起重視和加強(qiáng)，防止有人犯法。

5.3 明確個人信息處理活動中個人權(quán)利和處理者義務(wù)

《個人信息保護(hù)法》中對個人信息保護(hù)相關(guān)權(quán)利與義務(wù)的規(guī)定，讓個人信息處理活動的責(zé)任和權(quán)限更加明確也更加規(guī)范。為建立個人信息保障制度提供了重要的法律依據(jù)。為了防止權(quán)力的泛濫（利用個人信息進(jìn)行自動化決策造成的信息騷擾、“大數(shù)據(jù)殺熟”等），要求國家機(jī)關(guān)依法辦事，依程序規(guī)定辦事，不得超過明確的范圍和界限。對需要對境外提供的個人信息則應(yīng)盡到風(fēng)險(xiǎn)評估的義務(wù)，保證國民個人信息不被國外不法勢力牟利濫用。

5.4 加強(qiáng)了對個人信息違法的懲治力度

《個人信息保護(hù)法》明確規(guī)定因處理個人信息未按規(guī)定采取必要安全保護(hù)措施的，由相關(guān)部門責(zé)令改正，沒收違法所得，給予警告。拒不整改的，最高可處罰金一百萬元以下；并且實(shí)行“雙罰制”，除相關(guān)部門面臨整改外，部門主管人員也將單獨(dú)承擔(dān)相應(yīng)法律后果。其違法行為，還將會被記入到信用檔案，并予以公示。較之前的個人信息安全相關(guān)法律法規(guī)，大大加強(qiáng)了懲治力度，更加明確了法律責(zé)任。

5.5 《個人信息保護(hù)法》對各行業(yè)的影響

首先，個人信息與中國14多億公民的利益非常密切，作為一部“人權(quán)法”的《個人信息保護(hù)法》的實(shí)施將全方位影響各行業(yè)領(lǐng)域。特別是通過互聯(lián)網(wǎng)開展業(yè)務(wù)或作為“個人信息處理者”的企業(yè)和單位，必須全方位的創(chuàng)建出一套最新的、最完整的、高智能化的個人信息防護(hù)體系，防止“內(nèi)鬼”造成的數(shù)據(jù)“安全漏洞”，加強(qiáng)內(nèi)部職員工網(wǎng)絡(luò)安全意識培訓(xùn)和網(wǎng)絡(luò)風(fēng)險(xiǎn)管理模式，保障的公民的個人信息的安全。

其次，屬于敏感個人信息行業(yè)的金融保險(xiǎn)行業(yè)在處理大數(shù)據(jù)時(shí)，更加應(yīng)該把握好《個人信息保護(hù)法》所規(guī)定的紅線、底線，認(rèn)知自己遵循的原則和承擔(dān)的責(zé)任和義務(wù)，包括“最小必要原則、知情同意原則”等；在對大數(shù)據(jù)個人信息進(jìn)行處理時(shí)須把握好數(shù)據(jù)的“度”和“量”，要做到“夠用就好，可用不擁；不求所有，但知所在，保證能用；數(shù)據(jù)不動，價(jià)值動”等原則；不斷加強(qiáng)數(shù)字技術(shù)的轉(zhuǎn)型，增強(qiáng)數(shù)據(jù)利用的合法性和安全性，嚴(yán)防行業(yè)機(jī)構(gòu)人員因業(yè)務(wù)指標(biāo)與員工收入緊密掛鉤，甚至為完成或超額分配的業(yè)務(wù)指標(biāo)，與中介機(jī)構(gòu)達(dá)成交易，提供或出賣客戶個人信息尋求商機(jī)。

5.6 公民保護(hù)好個人信息安全的有效方法

中南財(cái)經(jīng)政法大學(xué)數(shù)字經(jīng)濟(jì)研究院執(zhí)行院長盤和林曾指出，《個人信息保護(hù)法》明確了個人信息的權(quán)屬權(quán)益，未來互聯(lián)網(wǎng)平臺利用個人信息需要從用戶獲取授權(quán)，也將在使用、存儲過程中承擔(dān)更多信息保護(hù)的責(zé)任。

（1）妥善保護(hù)好個人信息安全

①公民要認(rèn)真學(xué)習(xí)相關(guān)法律法規(guī)，弄清楚個人信息泄露有哪些情況及信息泄露的危害性，堅(jiān)持“先核再用，非必要不提供”的良好習(xí)慣。不在陌生電子設(shè)備上登錄個人賬號或信息；連接陌生網(wǎng)站、軟件、手機(jī)APP和Wi-Fi等網(wǎng)絡(luò)時(shí)要做到先核屬實(shí)再使用；不輕易點(diǎn)擊各種轉(zhuǎn)發(fā)鏈接，不輕易掃描來源不明的二維碼；對“個人敏感信息”除了仔細(xì)閱讀隱私協(xié)議等條款外，在提供個人信息或者進(jìn)行授權(quán)時(shí)還要準(zhǔn)確把握好處理個人信息的理由和提供個人信息的必要性。盡量不在接入互聯(lián)網(wǎng)的電子設(shè)備上填寫或存儲個人信息；對于必須在互聯(lián)網(wǎng)上提交的信息，盡量采取最小化原則填寫；在使用不同網(wǎng)站時(shí)盡量設(shè)置不同的高強(qiáng)度密碼，并不定期更換；網(wǎng)上支付時(shí)要檢查支付網(wǎng)站的正規(guī)性、屬實(shí)性和合法性，確實(shí)需要網(wǎng)上交易的，交易完成后要保存完整憑證和清單等信息。

②重視網(wǎng)絡(luò)信息系統(tǒng)安全性能更新，時(shí)常關(guān)注公安機(jī)關(guān)和網(wǎng)絡(luò)部門對網(wǎng)絡(luò)維護(hù)的最新知識要求，持續(xù)保證信息系統(tǒng)和防護(hù)軟件處于最新版本狀態(tài)。持續(xù)對已使用計(jì)算機(jī)和移動設(shè)備自己進(jìn)行授權(quán)或者提供的個人信息進(jìn)行跟蹤，不同意繼續(xù)處理自己的個人信息時(shí)，要及時(shí)行使“撤回同意”權(quán)利，要求對方停止處理或及時(shí)刪除其個人信息。

③及時(shí)銷毀帶有個人信息的憑證和資料，避免隨意丟棄而造成個人信息泄露。如使用完后的憑證和資料，可涂抹掉關(guān)鍵信息后再丟棄；向別人提供重要證件的復(fù)印件時(shí)標(biāo)識此復(fù)印件的用途；一些帶有個人敏感信息的電子數(shù)據(jù)，如證件照片等，盡量用完即刪或者采用加密方式進(jìn)行儲存。

（2）使用法律手段維護(hù)自己合法權(quán)益

當(dāng)自身個人信息權(quán)益受到網(wǎng)絡(luò)違法犯罪行為侵害或者發(fā)現(xiàn)存在違法處理消費(fèi)者個人信息行為時(shí)，要沉著冷靜，妥善收集好違法線索和相關(guān)憑證，依照法律第一時(shí)間主動向相關(guān)部門（如公安部門、工商行政管理部門、消費(fèi)者協(xié)會等）舉報(bào)、投訴，并配合相關(guān)部門做好調(diào)查取證工作；同時(shí)及時(shí)聯(lián)系相關(guān)互聯(lián)網(wǎng)企業(yè)單位采取補(bǔ)救措施，防止造成更大損失；對使用個人信息或販賣個人信息的單位或個人進(jìn)行追責(zé)，并要求對方立即停止使用個人信息，恢復(fù)名譽(yù)、賠禮道歉等等。

6 結(jié)語

隨著時(shí)代的發(fā)展，信息技術(shù)的普及，我們都潛移默化的習(xí)慣了在數(shù)據(jù)里生活。除了所生活的真實(shí)世界以外，我們還活在表格里、活在“云端”里、活在數(shù)據(jù)庫里。網(wǎng)絡(luò)已經(jīng)完成了對“另一個我們”的重構(gòu)，他無處不在。互聯(lián)網(wǎng)為社會經(jīng)濟(jì)發(fā)展插上了翅膀，相關(guān)法律也由籠統(tǒng)到具體、由碎片化的規(guī)定向?qū)ｉT立法，相信《個人信息保護(hù)法》實(shí)施后會更加充分保障網(wǎng)民的合法權(quán)益，助力大數(shù)據(jù)數(shù)字經(jīng)濟(jì)健康發(fā)展。