论大数据时代个人信息的法律保护

尹佳星

摘 要：21世纪以来，互联网取得了飞速发展，随着技术手段的革新和对互联网应用能力的提高，数据量呈爆发式增长，数据种类多样，处理速度加快，处理能力增强，大数据时代已经到来。大数据时代的到来，使得人们的生活方式发生了改变，很多事情变得简单快捷，但同时也给人们的生活带来了新的困扰。这其中，对个人信息的侵犯已经愈演愈烈并且日益成为一个棘手的难题，围绕这个问题，学界和实务界展开了诸多讨论和探索，力求在大数据时代最大化的保护公民个人信息。

我国《个人信息保护法》正在制订中，尚未出台，当个人信息受到侵犯时，主要适用最新《民法总则》、全国人大常委会《关于加强网络信息保护的决定》和法律保护隐私权的规定，配合《刑法》及《消费者权益保护法》等相关法律规定保护个人信息。但随着大数据时代数据整合能力的增强，侵犯公民个人信息相关权益的行为越来越多样化，单纯适用以上法律规定已不足以对个人信息进行较好的保护，需要我国完善立法，加强监管，加强政府的政策引导和信息采集机构的行业自律，同时，公民个人也要增强权利意识，积极维护自身的合法权益。

关键词：大数据时代；个人信息；法律保护

一、个人信息的界定

目前，学界主流观点认为对个人信息的判别主要以该信息是否能够识别个人的身份为标准，只要信息能够直接识别或间接识别个人身份，即可构成受法律保护的个人信息。按照这种观点，个人信息是指个人的姓名、性别、年龄、血型、健康状况、身高、人种、地址、头衔、职业、学位、生日、特征等可以直接或间接识别该个人的信息。[1]

有学者将个人信息的概念等同于个人隐私，笔者不赞同这种观点。笔者认为，个人隐私主要是指公民个人不愿公开、如果公开可能会影响公民私人生活安宁的信息，而个人信息则是指一切可以识别个人身份的信息，既包括公民愿意公开和不愿公开的信息，也包括会对公民私人生活产生影响和不会对公民私人生活产生影响的信息，其概念范围比个人隐私大了许多。

二、我国法律对个人信息保护的现状

2017年10月1日起施行的最新《民法总则》第111条明确将个人信息纳入法律保护范畴，是我国法律在保护个人信息方面取得的重大进步和重要里程碑。2017年6月1日起施行的《网络安全法》第40条至45条的规定对网络经营者、网络安全监管部门及其人员收集、使用、保管个人信息的行为进行了限制，对于从网络安全角度保护个人信息具有积极意义。此外，全国人大常委会《关于加强网络信息保护的决定》《宪法》《刑法》《侵权责任法》《消费者权益保护法》《电子签名法》《居民身份证法》等法律法规中也有保护个人信息的相关规定。2017年3月两会期间有全国人大代表提交《关于制定〈中华人民共和国个人信息保护法〉的议案》，同时将《中华人民共和国个人信息保护法（草案）》作为附件提交，对于我国《个人信息保护法》的制定和法学界研究个人信息保护，具有相当大的参考价值和借鉴意义。

三、我国法律在个人信息保护方面存在的不足及完善建议

受立法的不完善、信息收集者的“逐利”思想、信息侵权者的法律观念淡薄、信息主体对个人信息的重视程度不够以及监管的缺乏等因素综合作用，我国个人信息面临着来自收集、使用、管理等各个层面的侵害，信息泄露、被非法获取、被过度使用、被交易等事件时有发生，极大的损害了信息主体的权益。针对个人信息屡遭侵害的现实，笔者建议加快制定出台《个人信息保护法》的步伐，对公民个人信息进行全面保护。

第一，在《个人信息保护法》中，明确信息主体为自然人，其拥有个人信息权。采取列举与概括性规定相结合的方式来界定个人信息的范围。信息主体享有对个人合法信息自由支配、使用并排除他人侵害的权利；信息主体享有对个人信息的知情权、修改权和删除权。

第二，加强信息收集者责任。明确信息收集者可以收集的信息范围或不能收集的信息范围；在收集信息时应当经过信息主体同意，应当在具有告知性质的告知书或声明中以显眼的方式告知涉及信息主体权益、加重信息主体责任及减轻信息收集者责任的重要条款，可以采用标注亮眼颜色、字体加粗等形式；收集信息后，应当采取设立专门信息库或加密等方式妥善保管，如收集的信息遭遇遗失、非法获取、非法使用、非法转让、篡改、非法公开等情形时应当及时通知信息主体；对信息收集者收集的信息设定使用期限，当其收集信息的合法目的达到或经过设定的期限后，应当删除信息或再次征得信息主体同意可以保留；限制信息的二次使用，除无法识别个人身份的信息外，信息收集者对所收集的信息进行二次开发利用、转售或提供给第三方时，应当经过信息主体同意。

第三，确立侵犯个人信息权的归责原则、责任承担及救济方式。鉴于信息主体相对于信息收集者往往处于弱势地位，可以采用过错推定的归责原则；在责任承担方面，明确惩罚的主体、惩罚方式及情形；在救济方面，可以采用民法、刑法、行政法并行的方式，对信息主体进行全方位保护。

第四，鼓励行业自律。考虑到我国目前社会及网络安全状况，建议以立法保护为主，同时鼓励涉及个人信息收集和使用的行业建立自律性规范，并由国家专门的机构对行业的自律规范进行审查，经审查通过的自律性规范可以在全行业施行。

第五，加强监管。目前，我国个人信息保护处于多部门监管状态，公安部、工信部、全国工商局、商务部、中国人民银行、银监会、保监会、证监会等都负有个人信息监管职责，[2]如此多机构的监管，彼此之间沟通不畅，信息共享不及时，不利于对个人信息进行保护。建议设立一个机构或在上述部门中选取一个或少数几个部门专门负责个人信息监管事宜。

第六，作为信息主体的个人应当提高自我保护意识，主动学习了解与个人信息相关的法律知识；加强对个人信息的保护，不随意注册软件，不轻易进入不安全链接，注册账号时要仔细查看告知書或声明；要随时、主动了解个人信息被使用的情况，在个人信息权被侵犯后，要及时寻求法律救济途径；等等。

参考文献：

[1]颉翔.大数据时代个人信息安全法律问题研究.北京交通大学，2014年硕士论文.

[2]喻名峰.大数据时代个人信息的法律保护.光明日报，2014年10月18日.