潘  露

随着移动互联网、物联网、云计算等技术的迅速发展，人类社会步入大数据时代，正如维克托在《大数据时代：生活、工作与思维的大变革》一书引言中指出：大数据开启了一次重大的时代转型。大数据正在改变我们的生活以及理解世界的方式，成为新发明和新服务的

源泉。”为了抢占这一新的经济资产，各国都对大数据予以足够的重视。美国政府于2012 年开启“大数据研究和发展计划”，以此来增强其综合国力。我国政府则提出信息化建设，并将其视为创新型国家建设的必要选择。大数据时代下，信息网络给社会和公众带来的极大的便捷。一个简单的例子，当你坐在家里发微博或者微信朋友圈的时候，你的个人信息（朋友圈交往信息、个人偏好、消费习惯）就会被商家的数据分析工具挖掘、利用，商家可以根据你的个人信息对你的消费需求进行准备分析，从而提供消费信息服务。个人并不需要纠结于如何获取信息，我们完全可以足不出户的享有高质量地服务，实际上我们每个人都是大数据的劳动者，也是大数据的受益者。我们唯一需要做的就是，关心大数据背景下我们的个人信息安全问题。 

在大数据时代，其潜在的不利因素也是显而易见的。大数据取决于大众的喜好，并不能很好地运用于社会关系分析，不能替代人类社会情感因素；同时，大数据使得个人总是处于数据链条中的一环，换句话说，我们无法掌控自己的个人信息；最为重要的一点，大数据给我们的个人隐私带来侵害、个人信息安全带来挑战。我们的个人信息时刻处于“数据未经授权遭收集、信息被超出范围使用、黑客攻击肆意倒卖数据”的危险境地。

一、大数据背景下我国个人信息法律保护的现状

大数据背景下，信息业者视信息数据为社会交往的核心资源。社会发展对信息数据的需求与民众对个人信息保护的呼吁形成了极大的反差，这也从现实层面上解释了个人信息权进一步法定化的迫切性。在法律层面上，我国个人信息保护呈现法律法规体系紊乱、可操作性规则不多、整体效力层次偏低的不利现状。

现今，信息资源成为社会发展的重要资源，甚至堪称社会交往中的核心资源。公权力机关、事业单位基于公共利益等政策考量，收集公民个人信息，并进行数据分析与利用。一般的公司企业基于商业目的也会大规模的收集个人信息，进行数据分析，进而提供精准化、个性化的商业服务。近年来，无论是总量上亦或是速度上，我国互联网发展都是十分可观的。从总量和发展速度上看，中国无疑是互联网发展中国家，也是互联网大国，但这并不代表我们的发展质量就很高。个人信息泄露、信息安全事件频发，给公民的个人信息保护带来前所未有的挑战，信息安全也越来越受到重视。人们一方面享受着大数据给我们生活带来的便利，对大数据下的网络服务十分依赖，另一方面又对个人信息泄露事件表现的极度无奈。

 二、个人信息法律保护存在的问题

（一）法律规范保护个人信息不足。德国在欧洲国家率先通过《基本法》与《资料保护法》共同保护个人信息权益，其后欧盟又通过《95/46 号指令》，确定了欧洲国家“指令+成员国立法”的保护模式，而美国则是通过“隐私权+行业规定”保护模式保护个人信息。反观我国个人信息的法律保护，则是十分欠缺。无论借鉴欧盟的保护模式，还是吸收美国保护模式的有益成果，都做的还不够。目前关于个人信息保护的规范分散在各个身份识别类法律中，虽然具有美国式的分散保护形式，但达不到其保护个人信息的实质效果。正如国内有学者所言：这些零零散散的“法条群”构成了我国现有的个人信息保护的法律依据，如下表所示：

以上是我国有关个人信息保护方面的规范汇总情况，限于篇幅原因，只罗列了目前较为重要、与个人信息保护相关度较高的规范。具有学者不完全统计，我国现行的法律法规中，涉及到个人隐私的有一千多部，然后却没有一部《个人信息保护法》。从上表中可以看出，《宪法》虽然可以作为个人信息保护的基本权利基础，但因我国宪法司法适用存在诸多困难，没有宪法判例解释制度配合，影响了《宪法》中基本权利作用的发挥。《刑法》规定了个人信息犯罪，但因刑法本身的价值功能而受限，《2012 网络信息保护决定》作为我国首个个人信息保护的立法决定，具有里程碑的意义，但因规定过于原则性，现实可操作性不强。部分省市的地方性法规规章，对于个人信息保护的探索具有很好的示范作用，但由于大数据背景下个人信息权益遭受侵害的跨地区、跨行业甚至跨境发生，其作用的发挥也有局限性。

（二）行政保护力度不够。大数据时代，公民应当对个人信息有自己的控制权，也是“个人信息自决权”的体现。现实情况是公民对个人信息的控制能力越来越弱，造成了应然和实然的差距。而政府为了履行服务政府职能需要，又不得不增强对公民个人信息的搜集、利用，同时基于国家安全考虑，政府对网络信息系统的监管也有所加强。商业公司等非公权力机构也会基于商业利益的考虑，加快对个人信息的存储、收集、交易与利用。信用卡用户信息数据泄露现象严重，姓名、身份证号码、电话、住址等个人信息隐私，传输流通于网络之间。由于政府等公权力机构对网络信息系统监管并非出于保护公民个人信息角度，非公权力机构也是对个人信息侵害轻车熟路。在公权力机构与非公权力机构“双重合力”下，公民个人信息完全暴露在了信息网络上，只是个人信息权本人不知或无法知晓而已。因此大数据背景下，在我国尚无专门法保护公民个人信息权时，要求政府管理部门利用行政手段处罚侵害公民个人信息行为，本无可厚非。然观现实，我国在行政监管方面力度不够。 

一是行政监管的“态度漏洞”。二是多头监管造成无人监管的尴尬局面。公民个人信息侵权往往涉及多个部门、多个行业，非一部门、一机构所能解决。三是监管标准效力层次较低。四是监管不严且处罚力度低。

（三）自律机制尚未形成。行业自律发展引导企业内部自律发展是个人信息保护自律机制的较高层次形态，即后者是前者的前提条件，前者是后者发展、完善的最终结果。众所周知，美国是世界上依靠行业自律保护隐私权（包括个人信息权）最为典型的国家，而我国行业自律发展只是改革开放以后，且行业协会与行政机关无法脱钩一直是阻碍行业自律发展的难题，从而造成我国行业自律的畸形发展。虽然《中国互联网行业自律公约（2001 年）》（以下简称《2001 互联网自律公约》）倡导推进行业自律，发展良好的行业环境，维护消费者的合法权益，保护消费者信息数据，但现实执行力较弱；《互联网搜索引擎服务自律公约（2012）》（以下简称《2012 搜索引擎公约》）过于原则化，对于违反公约者，处理方式只有警告、公开谴责两种；《互联网终端安全服务自律公约（2013）》（以下简称《2013网络终端公约》）在保护个人信息安全方面比《2012 搜索引擎公约》要进一步，但处理方式仍没有改变；《2014 测评标准》虽然详细，但其发布主体为学术团体，目前仅具有学术研究和理论指导作用，实践接受度不高。我国目前关于互联网行业的三个公约一个标准，在管理规范、处罚机制、现实操作上都存在或多或少的问题，无论从企业内部自律还是行业自律，我国现实情况都不理想，个人信息保护自律机制尚未形成。

三、大数据背景下域外对个人信息保护的规定

（一）欧盟个人信息法律保护规定。欧盟自成立以来，就致力于共同体的构建，统一的立法模式就是典型的体现。

关于信息业者（数据控制者）的义务规范。一是合法化规范。即必须依照法律的规定、遵照法定程序收集、存储、使用个人信息，不可无规则无限制地收集信息。二是信息质量的规范。即要求信息业者在信息行为上要合法、正当。三是对信息种类的划分与保护。指令对个人信息中的敏感信息（种族、宗教信仰等）高于一般信息的保护，即非指令特殊规定，成员国法律一般不得泄露，更不得以公共利益为借口而限制。四是信息权利主体对信息业者的知情。即信息业者应当向信息权利主体披露其身份、资格情况，这一点在自动化、大数据背景下尤为重要，可以较好地解决个人信息未经授权而被收集利用问题。 

关于信息权利主体的权利保障规范。一是知情权的基本保障。即信息权利主体完全有资格去知晓个人信息如何被收集、收集范围及目的等，而且这种知情是不受时间阻隔的，或者称为时间连续上的知情。二是信息拒绝的保障，或者说是信息权利主体享有对个人信息的控制权。即个人信息的处理行为要在权利人的可控范围内，权利人有权拒绝不适当、不相关的信息行为。三是权利侵害的救济规范。即个人信息权虽然强调人格尊严与人权保障，但不限于此，当权利受侵害时可以要求相应的赔偿，包括精神赔偿与经济补偿。 

（二）美国个人信息法律保护规定。与欧盟个人信息保护的“统一立法“保护模式不同，美国法采取“隐私权+行业规定”的保护模式。这与其传统价值观有紧密联系，在美国对自由的地位强调要远高于人格尊严，而欧盟国家则更注重人格尊严的保护。在美国，很多公共事务都交由市场自由机制调节，对政府公权力的介入十分谨慎，民众一贯持有不信任政府的态度生活着。于是美国在个人信息保护政策上弱化政府主导功能，自律机制反而较为强大。关于行业自律的形式，主要有以下几点：

技术性规则指引。个人信息保护问题日益被公民、社会所关注，从根本原因上看，是计算机网络技术发展的必然结果。最初的技术规则是“OPT—OUT”指引，即网络服务者可以在互联网用户不反对情形下，实施信息收集行为，该规则最大弱点就是曲解了个人信息收集规则中的默示同意规则，网络服务者将“不反对=同意”视为信息侵害的正当抗辩。在“OPT—OUT”技术指引弊端显现后，又出现了“OPT—IN ”规则指引，该规则要求网络服务者在互联网用户明确同意情形下，可以实施信息收集行为，但并没有设定反对选择项。当前两种规则指引都难以有效保护个人信息时，美国互联网协会寻求新的标准—P3P 指引，保障信息权利主体充分行使选择权。 

行业指引与在线隐私认证。这两项自律形式主要由一些行业联盟、认证组织等 NGO制定并推广。《网上隐私自律保护规范》是行业指引中最为重要的一份文件，以保护个人信息隐私为核心，联盟成员必须执行，否则会受到规则的处理。而在线隐私认证实际上是一种标识，这种标识能够让互联网用户对网站有更高的信赖及对隐私保护规则更充分的了解。

四、大数据背景下我国个人信息法律保护的完善建议

（一）完善个人信息保护的法律规范。一是立法模式选择。选择统一立法模式，对民事基本法中的个人信息权进行细化规定。尽管有学者主张公私法整合保护模式，通过行政法设定公权力运行范围，同时为社会个体与组织的自治的权利实施具体保护，但没有民事法律框架内个人信息权作为基础的公法保护，也是无基之大厦，终有一天会坍塌。二是个人信息保护价值选择。一方面，通过宪法解释方法与证成，能够为个人信息权提供宪法上的权利基础，或者说个人信息权可以看做是人格尊严与人权的当然基本权利之一，意即人格尊严与人的自由发展是个人信息保护的价值之一；另一方面，个人信息数据共享，个人信息在社会流动中使用，从而产生个人信息保护的使用价值，这也许是《民法典·民法总则》中将信息与智力成果等设定在同一条款的缘由。从个人信息的人格权角度考虑，在个人信息保护中应当首先考虑人格尊严与人的自由发展的价值实现，进而对个人信息数据共享流通的价值兼顾。三是个人信息权的限制问题。一方面是个人信息主体要脱离政府对个人信息的掌控，另一方面政府又不得不依靠这种掌控。即当人格尊严与自由、商业价值与公共管理价值同时存在时候，当然任何情形下的限制，也要受到合法、正当、必要三原则的限制，即对个人信息权限制的限制。此外，在具体权利上要细化为个人信息知情权、使用权及控制权等，在保护上要确保刑事、民事、行政三者之间有梯度的衔接。

（二）优化相关配套措施。全面保护个人信息，促进公民信息权利的健康发展，需要个人信息权的法定化，也需要行政监管、良好的自律机制及数据研究、技术防范等配套措施的合力。

1、加强行政监管力度。

加强行政监管，应当包含建立个人信息泄露行政问责制度、成立个人信息保护专门监管机构、明确监管职责等方面。一是建立个人信息泄露行政问责制度。从事件处理结果上倒逼相关部门注重个人信息的维护，而不能仅停留着“重建设、轻维护”的病态中。制定《个人信息保护管理条例》，规定“若发生个人信息泄露等严重事件，相关部门及监管部门主要负责人应当引咎辞职”，以儆效尤。二是成立专门监管机构，明确监管职责。明确“中国个人信息保护管理监督委员会”的职责范围与执法权问题。直属事业单位设置能够避免因部门利益而产生的执法不公，而且面对大数据给个人信息保护带来的挑战，专门监管部门会更显得得心应手。三是强调内部监督机制作用。这一点主要是针对政府事业单位等部门，和前述企业内部自律原理相似。强调内部监督机制作用，应设立多层次系统权限、多密级保护制度，有效隔绝内部人员任意获取、非法买卖个人信息数据。四是完善监管标准，提高其效力层次。

2.引导自律机制良性发展。

吴嘉生先生提出的自律规范、社会规范与法律规范三个层次架构，其实在个人信息保护自律机制发展过程中还可以做出另一解释，即企业内部自律（自律规范）、行业自律、（社会规范）与法律保护三个层面构成我国个人信息保护的一体，三者相互促进、相互影响。在强调个人信息权法定化、加强刑法威慑与行政监管，同时促成我国个人信息保护良性机制形成也是必要的。

行业自律机制包含行业组织、行业自律规则等方面。一是成立个人信息保护行业协会。从个人信息保护与促进互联网行业健康发展。二是制定行业自律规则。该规则中应包含收集、存储、收集个人信息的原则、行业自律制度、独立的自律监管机构、成员的权利、义务与责任、统一的网站用户个人信息（隐私）保护内容标准、制定协议范本以区分和规范互联网用户协议、客户自动检索个人信心系统等。三是制定统一的个人信息保护相关方面的行业标准，比如《个人信息保护概念、范围界定标准》、《个人信息保护技术、测评标准》等，四是搭建第三方测评平台。搭建第三方测评平台有四个好处，即充分发挥第三方组织的独立性，增强测评结果的客观性。

 3.加强数据研究与技术防范。

个人信息保护的配套措施中，除了加强行政监管、自律规则的作用，加强大数据的研究及提供对 Cookie 技术、云计算技术等的防范措施也是必须的。加强数据研究。一是个人信息安全体系建设。二是对个人信息安全技术的研究。大数据、云计算等给个人信息带来信息价值有效利用之时，也给个人信息的收集、存储与使用带来风险。因此要加大对个人信息安全保障技术研发的资金投入，积极鼓励个人信息安全保障方面的研究。加强对个人敏感信息的保护与监管。三是要积极应对大数据技术对个人信息的连续多次攻击。要对大数据攻击事件的模式、时间、空间等特征进行分析，构建个人信息保护的数据模型，从而最大限度降低个人信息遭受攻击的次数与可能性。                                      

潘  露    辽宁省盘锦市大洼区人民法院研究室干事