大数据时代个人信息的民法保护

郭媛媛

（天津文诺律师事务所，天津 300000）

一、个人信息理论分析

（一）个人信息的内涵

为了加强对个人信息的民法保护，《民法典》于第四编设置了“隐私权和个人信息保护”专章，并在第一千零三十四条明确了“个人信息”的概念。这是我国首次在基本法律中界定个人信息的内涵，为司法实践个人信息法律保护工作提供了必要的立法指引，具有十分深远的现实意义。从法条的表述方式来看，《民法典》第一千零三十四条采用了“概述+列举+兜底”的立法模式。具体而言，首先，对个人信息一词进行原则性解释；其次，列举实践中最为常见的九类个人信息，明确这九类信息为个人信息的重要组成部分；最后，使用“等”这一兜底性措辞，为法官在具体案件中合理发挥自由裁量权提供适用空间，同时也可以最大限度地降低法律的滞后性，增加法律的灵活性，避免机械办案。

（二）个人信息的特点

本文认为，个人信息的特点主要涉及以下几个方面：

1.个人信息以自然人为主体

个人信息的主体应仅包括自然人，不涉及法人或其他组织。理由如下：一方面，《民法典》第一百一十一条指出，“自然人的个人信息受法律保护”。可见，《民法典》对个人信息主体的范围进行了严格限制；另一方面，若法人或其他组织的信息被侵犯，则根据《民法典》第一百二十三条的规定，其有权以商业秘密被侵害为由进行维权，无需再从个人信息层面上予以双重保护。

2.个人信息具有可识别性

从《民法典》第一千零三十四条的内容中不难发现，个人信息可以直接识别或间接识别特定自然人的身份。其中，直接识别是指相关信息能够直接指向一个特定自然人；间接识别是指相关信息需要与其他信息结合起来才能识别出特定自然人。［1］例如，仅掌握一个自然人的姓名，往往无法锁定具体的人，因为我国存在很多同名同姓的人，如张三。但若同时提供此人的工作单位、职业等信息，则可以很快识别出目标人物，如天津市某区人民法院书记员张三。

3.个人信息具有价值性

众所周知，在商业领域，个人信息是一种具有较高经济价值的资源。通过收集、筛选、分析、整理个人信息，能够掌握不同消费群体的消费习惯和消费水平。经营者获得这些信息后，可以及时、全面地了解市场状况，锁定目标群体，从而提高市场占有率及影响力，赚取巨额利润。司法实践中，一些不法分子通过收集、倒卖大量个人信息谋取不法利益，甚至在部分地区已经形成了“灰色产业链”，其影响十分恶劣。

（三）《民法典》视阈下个人信息的处理准则

根据《民法典》的相关规定，在处理个人信息时，信息处理者应严格遵循以下准则：

1.合法、正当、必要原则，不得过度处理

这是《民法典》第一千零三十五条对信息处理者提出的四项基本要求。进一步而言，“合法”是指在处理个人信息的过程中，应符合合法性原则，信息处理者实施的相关行为应遵守《民法典》以及其他法律性文件的规定；“正当”是指处理个人信息时应同时确保手段正当以及目的正当两个方面，最大限度地增加信息处理活动的透明性，保障当事人的合法权益；“必要”是指个人信息的处理仅限于实现正当目的所必需之部分，其他部分应被排除在可处理的范畴之外。举个例子，实践中，用户在使用手机App软件之前，绝大多数App软件会向用户发送开通访问通信录权限的请求，然而，用户的通信录信息与很多App软件所提供的服务并无关联。可见，上述行为违反了处理个人信息的必要性原则，具有一定的违法性。“不得过度处理”在理论界也被称为“最小够用原则”，即只处理满足个人信息主体授权同意的目的所需的最少个人信息类型和数量，并在处理相关信息之后及时做好删除工作。［2］

2.告知同意规则

《民法典》第一千零三十五条第一款确立了告知同意规则，根据该规则，信息处理者在处理个人信息时，需要征得个人信息主体或其监护人同意。然而，在大数据时代，这种告知同意规则往往缺乏可行性。司法实践中，信息处理者通常以向个人信息主体发送格式合同的方式履行告知义务，在设置格式合同时，合同的内容较难把握。若设置得过于抽象、简单，则无法实现对个人信息的充分保护；若设置得过于详细、具体，则会严重限制对个人信息价值的挖掘。另外，信息处理者设置的格式合同不可避免地存在一定的机械性和滞后性，告知条款通常只涉及已知的个人信息的基本用途，对于未知的、在未来才可能会产生的新用途，告知条款的内容在客观上根本无法完全涵盖。在这种情况下，若信息处理者在未来发现个人信息的新用途并以此开展信息收集工作，则需要针对这一新用途再次取得个人信息主体的同意，这无形中增加了大量的授权成本，不利于信息收集工作的顺利开展。对此，有一些信息处理者在告知条款中表明一旦个人信息主体接受此条款，那么将视为其同意向信息处理者提供其个人信息中已知和未知用途。这种做法虽然有效控制了授权成本，但极易造成信息处理者滥用权利，甚至侵害信息主体个人信息的情形，使告知同意规则有名无实，无法达到预期的立法目的。

二、大数据时代个人信息民法保护的完善对策

为了进一步保障我国公民个人信息权，有必要在立法层面上完善我国个人信息保护法律制度，具体包括以下几个方面：

（一）尽快出台《个人信息保护法》

在全世界范围内，绝大多数发达国家均制定了统一的个人信息保护法律，如德国、日本等。［3］本文建议，我国也应借鉴这些发达国家的立法经验，尽快出台《个人信息保护法》，从而对个人信息提供系统、全面的法律保护。在《个人信息保护法》的法律设置方面，在总则部分明确立法目的、保护个人信息应当遵循的基本原则、相关法律术语的概念等，在分则部分具体规定各主体应当履行的义务以及相应的法律责任，最大限度地增强法律的可行性和可操作性。同时，从整体角度分析，未成年人存在判断能力差、模仿能力强等特点，一旦未成年人的个人信息被不法分子掌握，其人身安全和合法权益极有可能处于极大的风险之中。基于此，本文认为，《个人信息保护法》还应设置“未成年人个人信息保护”专章，从而对未成年人的个人信息予以特殊保护。

（二）建立多层次的合同法律保护规则

在开展个人信息处理工作的过程中，相比于信息处理者，个人信息主体处于劣势地位，其合法权益极易遭到侵害。本文建议，可以由工商行政管理部门统一制定个人信息处理使用许可合同，在该合同中设置若干必备条款，如处理目的、信息处理者的身份、对个人信息主体可能造成的影响等，以颁布行政法规的方式要求信息处理者必须在该合同的基础上设置格式合同，并需将格式合同的内容交由工商行政管理部门审查、备案。同时，监督管理部门应做好相应的监管工作，一旦发现信息处理者存在超出处理目的之外的个人信息处理行为，则依法对信息处理者处以行政处罚。另外，为了进一步规范相关行为，还应在《个人信息保护法》中规定，禁止信息处理者在未经过个人信息主体同意的情况下将相关信息转让给第三方，否则应承担相应的民事、行政责任，若该行为具有严重社会危害性，还应承担刑事责任，按《刑法》第二百五十三条之一的规定定罪量刑。［4］此外，即使信息处理者取得了个人信息主体的二次授权，以合法的途径将相关信息转让给第三方，也应做好相应的匿名化处理。

三、结语

进入大数据时代后，互联网络发展迅猛，数据的处理变得十分容易、快捷。在这种情况下，自然人的个人信息极易遭到来自各方主体的不法侵害，导致其合法权益严重受损，带来诸多消极影响。对此，有必要采取一系列科学的措施，在《民法典》的基础上从立法层面进一步完善我国个人信息法律保护体系，以期充分保障我国公民的个人信息权，实现个人信息保护与利用之间的平衡，并有效推动我国数据产业的可持续发展。