大數(shù)據(jù)下我國個人信息立法保護現(xiàn)狀與建議

1、大數(shù)據(jù)下我國個人信息立法保護現(xiàn)狀與建議關(guān)鍵詞：大數(shù)據(jù)時代; 個人信息; 隱私; 法律保護;Abstract：With the advent of the era of big data and the rapid development of information technology,personal information is always at the edge of leakage. This paper analyzes the characteristics of personal information in the era of big data and the legal

2、 system of personal information protection in foreign countries. Combined with the current legislative situation of personal information protection in China,it suggests that a unified personal information protection law should be formulated as soon as possible,the principles of personal information

3、collection,the right of personal information should be clarified,and a supervision mechanism should be set up to realize the ideal state of personal information protection of citizens in the era of big data.Keyword：big data era; personal information; privacy; legal protection;0、 引言大數(shù)據(jù)時代互聯(lián)網(wǎng)經(jīng)濟的繁榮發(fā)展，在帶

4、來肉眼可見的便利的同時，也產(chǎn)生了一系列新型違法行為?；ヂ?lián)網(wǎng)企業(yè)憑借自身在行業(yè)內(nèi)的領(lǐng)軍地位，依靠先進的技術(shù)，不斷搜集用戶的個人信息和隱私，甚至為了攫取更大的商業(yè)利潤，不斷地擠壓侵犯客戶的商業(yè)利益1。在利益的驅(qū)逐下，大多數(shù)用戶的個人信息和隱私不斷地以各種形式被泄露、被侵犯，但法律的不完善使得此種現(xiàn)象沒有得到有效的遏制。為此，有必要進行反思，探索解決問題的出路。1、 大數(shù)據(jù)時代個人信息的特征1.1 、個人信息的可識別性個人信息，顧名思義，指的就是與個人有關(guān)的信息。但對于何為個人信息，不同的法律有不同的界定。自2013年9月1日起施行的中華人民共和國工業(yè)和信息化部電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定(以下

5、簡稱規(guī)定)中第四條明確提出本規(guī)定所稱用戶個人信息，是指電信業(yè)務(wù)經(jīng)營者和互聯(lián)網(wǎng)信息服務(wù)提供者在提供服務(wù)的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結(jié)合識別用戶的信息以及用戶使用服務(wù)的時間、地點等信息;。自2017年6月1日起施行的中華人民共和國網(wǎng)絡(luò)安全法將個人信息界定為是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等;。這兩部法律對用戶個人信息界定的核心之處都是能夠單獨或者與其他信息結(jié)合識別用戶的信息?？梢?，在大數(shù)據(jù)時代，可

6、識別性是鑒定個人信息的主要特征?？勺R別性是指通過對所給的信息進行較低程度的甄別，從而識別出特定的個人，諸如個人的身份證號碼、手機號碼、護照號碼等一人一證的信息資料。1.2、 個人信息的隱私性在大數(shù)據(jù)時代，傳統(tǒng)上認(rèn)為不具有特定的可識別性的個人信息，也逐漸在向可識別的個人信息方向發(fā)展。近年來，廣受關(guān)注的網(wǎng)絡(luò)大數(shù)據(jù)案件有淘寶大數(shù)據(jù)案、百度大數(shù)據(jù)案、360大數(shù)據(jù)案、房產(chǎn)大數(shù)據(jù)案等。百度大數(shù)據(jù)案一審認(rèn)為在網(wǎng)絡(luò)上搜索減肥、豐胸、人工流產(chǎn);等詞匯的行為，會在網(wǎng)絡(luò)上留下私人的痕跡，顯示個人上網(wǎng)的偏好，應(yīng)當(dāng)屬于個人隱私的范圍。但是二審判決持相反立場，認(rèn)為該信息是未能與網(wǎng)絡(luò)用戶個人身份信息相對應(yīng)的信息，不應(yīng)當(dāng)屬于

7、個人信息。其中關(guān)鍵之處在于二審法院秉持了個人信息=可直接識別出個人的信息;，將大數(shù)據(jù)時代的除姓名、身份以外的使用習(xí)慣、搜索記錄以及各種網(wǎng)絡(luò)瀏覽器中收集的Cookie數(shù)據(jù)等信息排除在個人信息之外2。依據(jù)傳統(tǒng)偵查學(xué)理論，從痕跡中可以追查到犯罪嫌疑人，通過在網(wǎng)絡(luò)上留下的搜索記錄、網(wǎng)頁瀏覽器記錄的Cookie等信息均可以關(guān)聯(lián)到特定的個人。大數(shù)據(jù)時代正從誰也不知道坐在電腦前上網(wǎng)的是狗;向不僅知道是狗坐在電腦面前，還知道什么品種的狗以及狗的外貌;轉(zhuǎn)變。根據(jù)美國財政部的統(tǒng)計，通過性別+郵政編碼+出生日期;可以識別出87%的美國人。通過Cookie數(shù)據(jù)也能識別出特定個人，詐騙犯甚至還能通過Cookie數(shù)據(jù)制造

8、完美的詐騙犯罪。2 、國外個人信息保護的法律體系2.1、 美國的個人信息保護法在時代的發(fā)展過程中，美國采取了一種較為寬松、放任的政策。美國1974年通過的隱私法被看作是美國保護個人信息的核心法律。隱私法對公法領(lǐng)域和私法領(lǐng)域進行了區(qū)分，但規(guī)定的主要是聯(lián)邦政府執(zhí)行職務(wù)所必須遵循的標(biāo)準(zhǔn)，主要目的是防止公權(quán)力的濫用以致侵害了公民個人的信息權(quán)和隱私權(quán)。隱私法對政府收集、使用和保密的行為提出了較為詳細的規(guī)定。政府機構(gòu)在對公民信息進行收集時，要將信息的用途告知他人，并在得到他人允許的前提下才能將信息予以保存。美國公民也享有是否決定公開自己的信息以及是否允許別人訪問的權(quán)利。除隱私法外，美國還頒布了家庭教育權(quán)利

9、和隱私法財務(wù)隱私法電子通信隱私法等法律。其中電子通信隱私法禁止政府沒有得到授權(quán)的電子監(jiān)聽行為。美國隱私保護法案針對的主體均為聯(lián)邦政府，并沒有對各州以及各企業(yè)制定相對應(yīng)的權(quán)利保護法案。在美國，個人信息的保護并不是一種絕對的無條件的保護，而是個人利益和公共利益之間所需要維持的一種平衡。2015年以來，美國又陸續(xù)推出了消費者隱私法案數(shù)據(jù)隱私歐洲和美國隱私保護協(xié)議等相關(guān)法律3。美國公眾希望存在一部全面保護個人信息的權(quán)利法案，美國政府正朝該方向逐步加強對個人信息的保護。2.2、 歐盟的個人信息保護法若說美國的政策是寬松、放任型政策，歐盟則選擇另外一種模式。不同于美國的立法與市場并行，歐盟采取的是立法先行

10、。1981年簽署的個人數(shù)據(jù)自動化處理的個人保護公約(以下簡稱公約)較為全面地保護了個人信息。它分別從信息使用者、信息主體雙方的權(quán)利和義務(wù)兩方面來表述對個人信息的保護。公約中的信息主體不僅包括公民個人，也包括法人、社會團體和政府。1995年的個人數(shù)據(jù)保護指令(以下簡稱95指令;)是歐盟出臺的首部針對個人數(shù)據(jù)保護的法律4。該指令以信息自決權(quán)(即公民對個人信息享有決定權(quán))作為制定該指令的依據(jù)，遵循數(shù)據(jù)管理者的義務(wù)、個人信息主體的權(quán)利和數(shù)據(jù)傳遞至第三國的原則，明確將個人信息定義為任何已識別或可識別的自然人(數(shù)據(jù)主體)的信息。在95指令的基礎(chǔ)上，歐盟頒布了通用數(shù)據(jù)保護條例，并且于2018年5月25日開始

11、實施。此法令被稱作是史上最嚴(yán)的歐盟條令5，它是關(guān)于數(shù)據(jù)隱私的重要新規(guī)，整合了歐盟之前各個關(guān)于隱私保護的條例。該條例創(chuàng)新性地規(guī)定了在企業(yè)內(nèi)部設(shè)立數(shù)據(jù)保護官一職，承擔(dān)數(shù)據(jù)保護合規(guī)等相關(guān)職責(zé)。除此之外，該條令還為信息主體提供了多種保護自身權(quán)益的方案。2.3、 亞洲國家的個人信息保護法在20世紀(jì)70年代，日本少數(shù)地方的公共政府便開始著手制定個人信息保護的法規(guī)。2005年，日本頒布了個人信息保護法，這意味著日本已經(jīng)制定了相對完整的個人信息保護法。該法律適用于行政機關(guān)和私營企業(yè)在內(nèi)的公法領(lǐng)域和私法領(lǐng)域，不過，也有相當(dāng)一些機構(gòu)諸如宗教媒體等不受自愿性法規(guī)約束。韓國的個人信息保護遵循著二重立法的原則，即公共部

12、門和民間部門遵循著不同的律法。隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)時代的不斷演進，侵害個人隱私的行為不斷增加以及此類事件的影響性不斷加強，韓國政府不得不開始重視個人信息保護的重要性。2011年，韓國頒布了個人信息保護法，一改之前二重立法的原則，改為政府統(tǒng)一立法保護隱私的立法體系。2014年，韓國政府又頒布了大數(shù)據(jù)下個人信息保護指引，以此來加強公民對數(shù)據(jù)隱私保護的信心6。3、 我國個人信息保護的立法現(xiàn)狀3.1 、個人信息保護的難度在個人信息未能通過法律得到明確保護時，可以通過隱私權(quán)來對部分個人信息予以保護。但中華人民共和國憲法(以下簡稱憲法)中沒有明確規(guī)定隱私權(quán)，僅在1988年修改的憲法中規(guī)定了通信自由和通

13、信秘密等基本權(quán)利。理論上可以參照此權(quán)利來保護隱私，但這并不是法院作出判決的依據(jù)，因此隱私權(quán)在一定程度上得不到基本的保護。自2010年7月1日起施行的中華人民共和國侵權(quán)責(zé)任法(以下簡稱侵權(quán)責(zé)任法)對包括隱私權(quán)在內(nèi)的一系列公民的人身、財產(chǎn)權(quán)利提供全方位保護，隱私權(quán)開始成為一項獨立的具體人格權(quán)。隱私權(quán)和個人信息權(quán)雖有交叉，但并不能等同。在網(wǎng)絡(luò)時代發(fā)展之初，個人信息并沒得到充足的發(fā)展，隱私權(quán)占據(jù)主流地位7。隨著大數(shù)據(jù)時代的來臨，隱私權(quán)本身的局限性以及頻發(fā)的個人信息侵權(quán)事件，使得個人信息保護的重要性開始凸顯。因此，加強對個人信息的保護，請求在法律上賦予個人信息權(quán)的呼聲開始出現(xiàn)。3.2、 個人信息保護立法

14、的不足相對于國外已制定統(tǒng)一完整的法律，我國保護個人信息的法律則比較零散，缺乏完整的法律體系。在我國法律法規(guī)檢索系統(tǒng)上傳的法律法規(guī)中，截至2019年12月，以個人信息保護;為關(guān)鍵詞的法律有憲法和法律45部、行政法規(guī)24部、地方性法律法規(guī)2587部、部門規(guī)章有45部、司法解釋35部。地方性法律法規(guī)雖然占絕大多數(shù)，但效力層級低，規(guī)定不明確。自改革開放以來，我國的個人信息保護一直處于可有可無的狀態(tài)。個人信息保護的缺失除了民眾的從眾心理以外，也與國家對個人信息保護意識的重視程度不夠有關(guān)。截至目前，我國的民主法治程度還不完善，與憲法有關(guān)的私權(quán)利尚未得到充分落實。2015年刑法修正案(九)將出售、非法提供公

15、民個人信息罪修訂為侵犯公民個人信息罪。但是該法條僅僅適用于向他人出售或者提供個人信息的行為，對于不當(dāng)泄露、毀壞、收集以及使用的行為卻不適用。更有甚者，數(shù)據(jù)管理公司可以通過大數(shù)據(jù)的計算進一步推衍出新的甚至是敏感的個人信息。不難看出，實施到今日的中華人民共和國刑法對網(wǎng)絡(luò)時代新型的侵權(quán)手段難以起到規(guī)制作用。自2017年10月1日起實施的中華人民共和國民法總則(以下簡稱民法總則)第111條雖然規(guī)定自然人的個人信息受法律保護;8，但是概括式的語言表示，使得在缺乏明確的個人信息保護法的前提下，如何正確使用民法總則的規(guī)定去保護個人信息，仍然是一個亟待解決的問題。不難看出，我國對個人信息的保護正處于基礎(chǔ)階段，

16、所制定的法律尚不能適應(yīng)大數(shù)據(jù)時代。3.3、 個人信息保護立法的必要性放眼國際，無論是歐盟還是美國甚至其他一些獨立的經(jīng)濟體，都相繼出臺了個人信息保護的法案，特別是歐盟，更是出臺了被稱為史上最嚴(yán)的條令，使得個人信息保護在公民權(quán)利的地位中顯得更加突出、更加重要。因此統(tǒng)一完整的個人信息保護法將會是未來國際經(jīng)濟合作中一項必不可少的考慮指標(biāo)。但是，我國至今仍未制定統(tǒng)一完整的個人信息保護法。沒有統(tǒng)一的法律使得個人信息保護如同空中樓閣;。在大數(shù)據(jù)時代，信息泄露事件數(shù)量逐漸增多，其造成的后果也愈發(fā)嚴(yán)重，現(xiàn)行零散的法律法規(guī)難以切實有效地遏制此類行為。若是企圖進一步制止此類行為，統(tǒng)一的個人信息保護法不可或缺。因此，

17、有必要將各個零散的法律法規(guī)甚至規(guī)章加以整合9。個人信息保護在我國的立法條件是成熟的。我國目前的經(jīng)濟實力已經(jīng)處于世界前列，經(jīng)濟發(fā)展速度也逐漸從高速轉(zhuǎn)向中高速，政治體制改革逐漸深化，文化也愈發(fā)重要。政治、經(jīng)濟、文化三方面也對公民個人信息的保護提出了一系列的要求10。更何況，個人信息保護并不是要求無中生有;，而是將已有的法律法規(guī)加以整合，以一部統(tǒng)一的形式表示出來以滿足人們的需求。4、 我國個人信息保護的立法建議4.1、 明確個人信息收集的原則在大數(shù)據(jù)時代的背景下，信息收集是不可避免的。應(yīng)當(dāng)在個人信息保護法中對信息收集權(quán)限加以規(guī)制，明確信息收集的基本原則。(1)合法性原則。信息的收集、使用、保存都應(yīng)該

18、符合合法性原則。不論是信息收集目的、手段，還是最終信息保存和刪除的途徑都應(yīng)該是符合法律規(guī)定的。(2)知情同意原則。收集者在收集個人信息的時候，應(yīng)當(dāng)征求信息主體的同意，并且告知收集目的以及處理方式，讓用戶自己決定是否提供以及是否允許網(wǎng)絡(luò)企業(yè)保存信息。(3)明確目的原則。信息收集者并非無限制收集信息主體的信息。信息收集者不能毫無顧忌，必須具有確定的合法目的，并且收集行為應(yīng)當(dāng)具備必要性。(4)妥善保存原則。信息收集者在征求信息主體的同意后，將收集到的個人信息予以保存，必須保證信息保存的安全性。信息收集者應(yīng)當(dāng)采取必要的手段，保障個人信息在收集、保存、傳輸和使用過程中，不會遭受到非法的篡改、使用和丟失。

19、信息收集者在內(nèi)部應(yīng)當(dāng)建立信息事故應(yīng)急機制。(5)信息公開、信息主體查詢原則。信息收集者對于收集到的信息，應(yīng)當(dāng)公開信息收集目的、使用方式和使用期限，并且允許信息主體享有參與查詢、修改甚至在經(jīng)過相關(guān)管理層的同意后刪除自己個人信息的權(quán)利。在信息保存期屆滿前，應(yīng)該及時通知信息主體刪除該信息的時間與方式，并作出不對該信息留存副本的承諾。4.2 、明確個人信息權(quán)民法總則只規(guī)定了法律保護公民的個人信息，卻并沒有將個人信息權(quán)加以描述。模糊的術(shù)語雖然是法律的立法技術(shù)，但是給公民保護個人信息權(quán)造成了一定的困擾。因此，有必要賦予公民具體的個人信息權(quán)。(1)知情權(quán)?？v觀世界各國信息保護的法律，無不將公民的知情權(quán)作為信

20、息保護的首要前提11。知情權(quán)是憲法賦予公民個人的權(quán)利，也是公民能夠行使其他權(quán)利的前提。個人信息的知情權(quán)應(yīng)當(dāng)始于政府、企業(yè)收集個人信息，終于其將收集的數(shù)據(jù)予以刪除。知情權(quán)不限于信息收集者的名稱、職能、收集目的以及信息可能被用于的范圍，還應(yīng)當(dāng)包括信息主體對信息的保護手段和救濟手段。其中最關(guān)鍵的，應(yīng)當(dāng)是信息主體對信息收集者保存數(shù)據(jù)的知情權(quán)。(2)查詢、修改和刪除權(quán)。信息收集者在征得信息主體的同意后，將所收集的信息予以保存。與此同時，也應(yīng)當(dāng)賦予信息主體查詢、修改和刪除權(quán)。信息主體有權(quán)查詢自己的記錄信息，關(guān)注是否有誤，并且在發(fā)現(xiàn)錯誤的前提下，有權(quán)更正錯誤的信息。刪除權(quán)是指有權(quán)將之前同意保存、現(xiàn)在反對的信

21、息予以刪除的權(quán)利。(3)反對權(quán)。信息主體不僅擁有對個人信息的同意權(quán)，更應(yīng)該擁有反對權(quán)。在信息主體同意時，收集者可以收集信息。但在信息主體明確表示反對時，信息收集者應(yīng)當(dāng)及時停止，并將之前收集的信息予以刪除。(4)救濟權(quán)。信息主體有權(quán)向侵害個人信息權(quán)者請求賠償。與此同時，法律應(yīng)當(dāng)盡早明確將個人信息權(quán)作為民事權(quán)利的其中一種，方便信息主體向法院起訴。賠償方式應(yīng)當(dāng)包括支付賠償金、賠禮道歉等行為。4.3 、設(shè)立監(jiān)督機構(gòu)有法可依;是有法必依;的前提條件，有法必依;是有法可依;的必經(jīng)之路。在統(tǒng)一個人信息保護法之后，必須要加強法律的實施，并且為公民進行個人信息保護維權(quán)增加必要的途徑。由于個人信息保護案件集中發(fā)生于經(jīng)濟發(fā)達的地區(qū)，因此在法律適用前期，可以在這些區(qū)域加大監(jiān)管力度，設(shè)立必要的監(jiān)督機構(gòu)。總結(jié)出經(jīng)驗，由小及大，逐步推廣到全國，建立一個全國統(tǒng)一，高效管理;的專門監(jiān)督機構(gòu)，對個人信息保護法的實施進行監(jiān)督。5、 結(jié)語大數(shù)據(jù)時代對個人信息的保護提出了更高的要求。一部完善統(tǒng)一的個人信息保護法是對現(xiàn)