我国个人信息民法保护分析

摘要:大数据在便利人们生活的同时也对个人信息安全提出了重大挑战。本文主张，在大数据时代，个人信息已发展成为一种独立的民事权利，应区分个人信息权与隐私权进行保护，进而提出加紧立法、更新理念、动态保护的建议。

关键词:大数据;个人信息;隐私权;区分

科技的发展使得人类社会进入了大数据时代，大数据会使我们的生活更加便利。大数据正在改变我们的生活、工作和思维，它撼动了从商业科技到政府、教育、经济、人文等社会的各个领域，甚至能预测人们的行为。［1］大数据如同一把双刃剑，它在有益于社会的同时也对个人信息保护提出了挑战。国外因大数据收集利用而严重侵害个人信息的重大事件时有发生，根据中国消费者协会《APP个人信息泄露情况调查报告》调查，个人信息遭到泄露的人数占比竟高达85．2%［2］。这些严重侵犯个人合法权益事件的发生表明，在大数据时代如何平衡个人信息保护与大数据利用之间的利益冲突是亟待解决的问题。

一、个人信息权与隐私权的区分

(一)个人信息权保护模式。关于个人信息的保护各国立法主要采取两种模式:一种是单独制定统一的个人信息保护法的统一模式或称欧洲法模式;另一种是不制定统一的个人信息保护法律的分别立法模式或称美国法模式。［3］但无论采取何种立法模式，他们大多都采取不区分个人信息与隐私的“一元制”保护模式［4］。在“一元制”保护模式下，两种立法模式的不同在于欧洲国家主要通过统一的个人信息保护法来保护个人隐私权，而美国法采取了相当于大陆法系国家人格权范畴的隐私权来保护个人信息。本文认为，两大法系之所以采取“一元制”保护模式，而不是采取明确区分个人信息权与隐私权的“二元制”立法模式，其主要原因在于其立法时的社会背景与科技水平尚处于前大数据时代，当时的个人信息的商业价值、动态可识别性等特征尚未彰显，其与个人隐私之间还存在高度关联性，而随着大数据、云计算等高新信息技术的发展，个人信息发展出了一些传统个人隐私无法涵盖内容与特征，这无疑对现代社会提出了新的挑战，而法律对此还未做好充足的应对。(二)法学界关于个人信息和隐私权的区分。关于个人信息和隐私权的关系问题，我国法学学者也经历过较为充分的思考与讨论，讨论初期通常观点并未将个人信息与隐私权作非常明确的区分，而是将其当成一种特殊的隐私权(通常称为网络隐私权)加以特别保护。现在，我国主流观点主张应当明确区分个人信息与个人隐私，进而分别加以规范与保护。例如，王利明教授认为，个人信息权和隐私权作为自然人共同享有的人格权，尽管二者紧密关联，甚至存在着交错，但两者还是存在较明确的区别的，他认为二者在在权利属性、权利客体、权利内容、保护方式等方面都存在明显区别，两者并非浑然一体，而是两个独立的权利［5］张新宝教授也主张，在信息社会，个人信息成为和物质、能量同样重要的资源，具有人格尊严、自由价值、商业价值和公共管理价值，个人信息相较于传统隐私权涉及更多的利益主体和利益内容，社会信息化进程使得信息业者作为新的独立利益主体出现，国家也同时具有了个人信息管理者和利用者的双重身份，他们对于个人信息的利用提出了新的诉求，而个人对其个人信息的保护需求依然存在。他主张通过“两头强化，三方平衡”对个人信息进行保护与利用，即对个人敏感隐私信息要强化保护，而对个人一般信息则要强化利用，从而达到对个人信息的保护利益、信息业者的利用利益和国家管理社会的公共利益三方之间的平衡。［6］(三)经济学界关于个人信息和隐私权的区分。本文赞同这些主流观点，因为在大数据时代，个人信息已经发展出自己独特的价值、特征与内涵，已突破传统隐私权保护范畴而发展成一种独立的权利。对这一论断，一些经济学者的观点也许更具有说服力:大数据时代，数据的存储技术与数据分析工具的发展进步使得各种信息皆被“数据化”。这些被“数据化”的信息具有巨大的商业价值。［7］大数据使得个人信息的财产价值越来越凸显，大数据的这一特征将一些不属于隐私权内容的个人信息在经过被分析、重组、再利用后，因能够对个人进行识别或进入他人私人空间而使其具有了一定人格利益，突破了传统的隐私权保护的范围。正如一些学者所主张的，大数据打破了社会权力的既有结构，通过数据监控造就了全景监狱机制。［8］波斯特也认为信息社会促使了全景监狱的诞生，人们的隐私不断被数据库逾越而消失了。［9］现有的隐私保护技术是基于静态的，而大数据环境下的数据模式和数据内容则是动态的［10］。通过大数据进行分析和挖掘，甚至可以掌握人们的行为。巴拉巴西提出，在大数据时代，人们的生活被数字化、公式化和模型化，大数据技术通过海量数据的收集、挖掘和分析可以追踪人们的生活甚至预测人们的行为［11］。

二、我国个人信息保护的立法现状

(一)在行政法方面。我国在个人信息保护方面的立法起步较晚，2000年才首次有涉及个人信息的立法，即全国人大常委会的《关于维护互联网安全的决定》。随后，《网络安全法》涉及个人信息，但其立法目的是网络安全，因而内容上侧重于管理网络个人信息的收集和保管，适用于个人信息保护方面的规定有限，《关于加强网络信息保护的决定》明确了个人信息处理原则、信息主体的权利，《居民身份证法》对个人信息规定了保密义务、违法责任及司法救济等内容。此外，《政府信息公开条例》、《电信条例》、《计算机信息安全保护条例》、《银行管理暂行条例》、《互联网电子邮件服务管理办法》、《互联网信息服务管理办法》、《电信和互联网用户个人信息保护规定》、《医疗机构病例管理规定》等法规都从不同层面对个人信息保护予以规定。(二)刑法方面。《刑法修正案七》和《刑法修正案九》分别规定了出售、非法提供公民个人信息罪、非法获取公民个人信息罪和侵犯公民个人信息罪。为解决个人信息保护的前置法律贫乏的窘境，最高人民法院与最高人民检察院两院少见地在刑事案件司法解释中对个人信息的范围这一不属于刑法规定的内容予以解释。(三)民商法方面。《消费者权益保护法》对经营者收集、使用消费者个人信息的行为进行了规范，《妇女权益保障法》和《未成年人保护法》对于未成年人、妇女等特殊群体的个人信息分别做了规定。《民法总则》第110条规定了包括隐私权在内的具体人格权，第111条从基本法的角度宣示了个人信息受法律保护，这表明民法总则采取明确区分隐私权和个人信息的二元制保护模式。十多年来，经过学界与立法部门的努力，个人信息的保护立法取得了一定的成果，据统计，当前中国有近70部法律、行政法规以及200余部规章的规定直接涉及对个人信息的保护［12］，间接涉及对个人信息的保护的法律、行政法规、地方性法规、部门规章及司法解释则更是多达数千部［13］。从总体上看，上述立法基本上涵盖了个人信息法律保护的核心内容，为保护个人信息提供了一定的法律依据，但实际上却难以产生令人满意的效果。一方面，这些法律法规多是末端治理的制裁性规范，而不是从源头保护的引导性规范，难以对个人信息进行全面保护;另一方面，由于立法过于分散，缺乏系统性与内在逻辑性，导致多头立法，在体系上容易造成行政执法机构缺失、缺少对行政主体行为的监督和限制等冲突与混乱。此外，立法层次低，法律效力低，导致保护手段弱，执法力度弱等现象，当个人信息受侵害时却处于一种有法难依的尴尬境地。

三、完善我国个人信息保护的建议

(一)加紧立法，标准补位。基于我国个人信息保护的立法现状，制定一部统一的、兼顾个人信息利用与保护的个人信息保护法是法学界的共识。在民事基本法方面，全国人大现在正在征求意见的《民法典人格权编草案二次审议稿》明确区分隐私权与个人信息进行保护，该草案第六章“隐私权和个人信息保护”共7条，其中有5条规定是关于个人信息保护的，内容涉及个人信息的定义、权利内容与收集、使用个人信息的基本原则、规则等。［14］在制定统一的个人信息保护法方面，十三届全国人大常委会已将其列入立法规划，这标志着我国个人信息保护将结束立法分散、缺乏统一操作标准的状况，迎来对个人信息利用与保护并重、平衡多方利益的系统保护时代。鉴于《民法典人格权编草案二次审议稿》与《个人信息保护法》毕竟只是处于审议与规划阶段，尚不能规范当前的行为。在个人信息保护立法缺位的当下，本文认为应当强化个人信息保护的国家标准与行业标准的作用，使其起到补充法律的功能。全国信息安全标准化技术委员会组织制定的《信息安全技术个人信息安全规范》(GB/T35273－2017)已于2018年5月1日实施。该标准虽仅是国家推荐性标准，不具有强制力，但是该规范填补了我国个人信息保护制度的多项技术细节与规范空白，这部国家标准厘定了个人信息的定义、阐明了个人信息安全的基本要求、规定了信息处理方式及应急处理机制等内容，为平衡对个人信息的保护、利用和监管等多方利益提供了参照和指引。在法律法规尚处于立法空白或有法难依的情况下，法院可以将这些国家标准与行业标准作为裁判说理依据而加以援引，从而补充现行法律、法规、规章在维护个人信息利用秩序和安全方面的不足。大数据时代，个人信息保护立法的滞后性在各国都不同程度存在，而国家标准与行业标准本身的灵活性，更能灵活应对大数据技术不断发展的要求，更有利于个人信息利用、保护及安全的需要。(二)完善理念，动态规制。关于个人信息保护的立法，各国目前都以知情同意为原则。也就是说，信息业者收集个人信息时需要通过声明等方式，充分告知用户其收集利用个人信息的目的、范围等以满足用户的知情权。用户以同意声明方式授权信息业者对其个人信息进行收集和利用，且用户的同意必须是自由作出的。在大数据时代，知情同意原则难以实现。一方面，信息业者的充分告知信息义务和用户知情权沦为形式。虽然信息业者通常会提供形式上较为完备的用户声明、协议等以示其履行了充分的告知义务，但这些用户声明、协议通常十分冗长，其内充斥着大量普通用户难以理解的专业术语，以及琐碎却并非很重要而又含糊其辞的规定，真正重要的个人信息处理条款反而并不明显。且这些用户声明、协议通常并不直接明显的显示，而是以折叠方式出现，而“我已阅读并同意”按钮则通过字体加大、加粗并置于明显位置方式设置。这种告知方式并不能引起用户的重视，用户通常只会形式主义地点击同意。另一方面，用户的同意并不一定自由。用户在使用网络服务时，若不同意服务商收集利用其个人信息，就无法享受服务商提供的服务和产品。在面临服务商“同意方能享受服务，拒绝无法享受服务”的“威胁”时，用户基本难以坚持自己并不强大的自由，通常连上文述及的用户声明、协议都不阅读就会点击同意，因为阅读也没有任何实质意义。在知情同意难以有效保护个人信息保的情况下，我们应更新立法理念，寻求能动态衡平个人信息保护与个人信息合理收集利用的方法。本文认为构建个人信息风险评估机制是一种有效办法，通过开展个人信息风险评估，编制评估报告，既有利于个人了解其个人信息的风险程度和建议，又有利于信息业者发现安全风险并落实预防措施。

作者:邱玉成 单位:广西财经学院法学院