对我国个人数据保护框架的检视与设想

郭成志

摘  要：大数据技术发展与个人数据保护之间的冲突日益凸显。为此应从立法、执法、司法等方面整合现行个人信息数据法律法规，协调刑法、民法、行政法三者关系，建立健全事前预警、事中监督与事后救济机制，兼修内部治理与外部监管，构建以刑、民、行政法为支柱，行业自律同外部执法并行的个人数据保护框架。

关键词： 数据安全;个人数据;个人信息保护法;网络安全法

中图分类号：G203     文献标识码：A    文章编号：2096-3769（2020）02-119-05

伴随着技术的发展，人类步入了数字经济时代，大数据浪潮呼啸而来，席卷着整个社会。在这个时代，数据是最大且最有价值的资源。构建数字经济的关键要素是自由流通的数据，因此数据这一科技革命诞生的产物在当代成为具有诸多资产属性的生产要素，与此同时，数据作为信息载体其流动与使用也引发了诸多社会关注。为了建立一个为个人信息数据（1）保护提供基础同时又让数据保护法反映国情的个人数据保护框架，各国政府开始了制定符合本国价值定位与制度设计的尝试。在此背景之下，如何应对数字经济时代数据管理带来的挑战，处理好个人数据安全保护与数据资产利用的关系，成为我国亟需解决的问题。

一、我国数据保护制度的探索与反馈

我国政府十分重视数据在国家现代化建设的战略性作用。[1]国务院印发的《促进大数据发展行动纲要》明确指出，“数据已成为国家基础性战略资源”。[2]2004年出台的《居民身份证法》拉开了我国个人信息保护法制建设的序幕，至今我国已出台近200部有关个人信息保护的法律文件，集中分布于刑、民、行政等部门法律之中。[3]

1.刑法数据保护的立法探索

2009年的《刑法修正案（七）》首次将出售、非法提供公民个人信息的行为列为刑法规制的对象。其第253条规定“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。窃取或者以其他方法非法获取上述信息，情节严重的，依照前款的规定处罚。单位犯前两款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚”。其后出台的“两高”《关于执行<中华人民共和国刑法>确定罪名的补充规定（四）》补充、确定了“出售、非法提供公民个人信息罪与非法获取公民个人信息罪”。2015年《刑法修正案（九）》进一步补充、修改了侵犯公民个人信息犯罪的相关规定。首先，扩大了侵犯个人信息犯罪的法律规制范围，删除了“特定单位的工作人员”这一表述，使法律规制的犯罪主体从特定主体变为一般主体。其次，加大了刑罚惩戒力度，增加了特定主体“从重处罚”以及“情节特别严重”量刑情形的规定。

2.民法数据保护的立法探索

2017年全国人大通过并予以颁布的《民法总则》，作为民法典开篇文书，其第111条规定的“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息”，为公民个人信息数据保护提供了民法基础。《侵权责任法》第2条亦明示，侵害包括隐私权在内的民事权益，应当承担侵权责任。第36条则规定了网络用户、网络服务提供者应当遵循的法律义务以及侵权所应承担的法律责任，维护了网络侵权中被侵权人的隐私权利。以上两条规定使得侵权责任法成为我国个人数据保护方面最为直接有效的法律依据，为之后《民法典》有关个人数据、隐私权条款的制定奠定了坚实的基础。

3.行政法数据保护的立法探索

2016年出台的《网络安全法》作为目前个人信息、数据保护领域的集大成之作，通过诸多条文明确了个人信息收集、使用所应遵循的“合法、正当、必要”原则，以及网络运营者应当履行的保护义务，完善了我国个人信息、数据的保护制度。该法第64条规定的侵犯个人信息权利的法律责任，较刑、民二法的规定做了进一步的细致化、特性化处理，突出其整合网络安全领域的属性。其第76条明示了“个人信息”这一用语的范围及含义，对个人信息保护制度的发展具有指导性意义。《政府信息公开条例》《居民身份证法》等行政法规，严格规范了政府对制作、获取并记录、储存在个人信息收集、储存方在个人信息收集、储存方面的服务性职能。保障公民、法人和其他组织依法获取政府信息，提高政府工作的透明度，保护了公民的合法权益。

4.我国司法实践的现状

我国在构筑公民个人信息保护制度的司法实践过程中，积极应对当前问题，力图制定具有中国特色的高效的数据安全框架。一方面通过刑法、民法、行政法等法律法规为个人信息保护提供坚实的后盾，另一方面通过公安部门、国务院电信主管部门等联合净化网络环境，开展网络空间治理，加大有关侵犯个人信息犯罪的执法力度。[4]但体量巨大，类型繁多的大数据，日趋复杂的黑客攻擊、频繁却又难以检测的系统漏洞等各种数据安全问题，使得公民个人信息泄露、个人数据遭滥用情况时有发生。

二、我国个人数据保护框架的检视

1.尚未构筑统一的个人信息法律保护体系

目前，我国缺乏具备综合性、专门的个人信息保护法。《网络安全法》主要作用于网络安全领域，对个人信息的保护有限。有关个人信息保护的规定星散于主旨有别、内容差异较大的行政法规或单行法之中。[5]现行的数据保护法律规范虽已在数量上形成一定的规模，但总体上仍较为零散，未整合成完整的体系。相关法律缺乏操作性，当信息主体受到不法侵害时，经常面临无法可依、无据可循的困境，缺乏完整维护公民个人信息权的法律基础，亟需保护个人信息的专门性法律予以规范调整。“个人信息”这一用语在法律语境中仍未有明确的、统一的内涵和外延，作为网络安全领域基础性法律的《网络安全法》，其所规定的有关个人信息的概念太过宏观，虽具有指导意义，但难以在复杂的司法实践中得到普遍适用。现行的单行法律和法规。相关法律缺权益保护法》《电信条例》《政府信息公开条例》等，立法观念过于保守，规定过于原则化。有关信息控制者、管理者使用、收集、储存信息的方式、方法、保密义务都太过笼统，多以间接保护为主，提供的保护范围较狭窄，未提供充足、合理的救济途径。因此被侵权人不得不面对维权成本过高、侵权主体难以确定、举证责任不平衡等问题，致使受害者维权动力不足。另一方面，我国个人信息保护领域尚未确立符合个人信息保护领域的安全标准，执法中所适用的标准仍是偏向网络安全领域的《网络安全法》所规定的国家网络安全标准。实践中我国国家信息保护与个人信息保护错位现象十分严重，法律关系混乱，难以适应日趋严峻的司法现状。各法律和规章适用的范围、立法所调整的对象差异较大，且层次不一、规则笼统，部分内容甚至重复或冲突，相应配套法规不完善，更遑论取得优异的社会治理业绩。

2.数据保护法律框架内部不协调

作为个人信息保护领域中发挥支柱性作用的法律部门，刑法、民法、行政法三者的立法目的、价值理念、原则迥然不同。导致三者所调整的法律关系大相径庭，适用法律的范围判若鸿沟，难以有效衔接形成合力相互配合、为公民提供行使个人信息请求权的完整基础，司法实践中被侵权人难以找到直接、合理的法律依据维权的情况频繁发生。司法实践中重刑法、轻民法和行政法的问题十分突出。有关数据保护的法律文本其显著特征便是令行禁止，多设禁止性与义务性规定，不能因势利导，遏制了信息控制者的积极性与市场主体的创新力。在侵犯个人信息行为惩戒追责方面，动辄以刑法规范作为追责方式，刑法规范替代其他执法机制，仅“两高”《关于办理侵犯公民个人信息刑事案件的解释》第5条这一条司法解释便规定了十种“情节严重”的判定标准。刑罚的目的在于预防犯罪的发生，这般强化刑罚工具主义，加重社会治理刑罚化的方式，使得刑事责任规定虽然看似严格，实际效果却非常有限。刑法的错位与民法、行政法的缺位，使得个人信息治理机制失衡，执行状况难以回应法律要求，进一步加剧我国数据安全保护框架的紊乱和失灵。目前，我国刑法所涵盖的个人信息犯罪行为仅有“违法出售、提供、获得”“窃取”四种，然而现实中损害公民个人信息权的行为如“非法储存、利用”等并未被列入规制对象当中，此外“民法、行政法”也未发挥对刑法规制缺陷的补充作用。

3.个人数据保护预警监测及监督制度尚不完善

面对不同的个人信息数据，预测、监督机制并未采取不同的标准进行有效的区分，提高了规制成本，不利于回应公民日益强烈的个人信息保护需求。伴随大数据的进步，公民的个人信息权力种类、范围等也在不断地扩张，网络安全法确立的包括遗忘权等新型权利不足以顺应社会、大数据发展的潮流，包括公民的同意权、删除权、遗忘权等各项权利，法律都未予以明确回应。大数据时代公民需要更多且更明确的权力话语。个人信息保护类法规需要确立公民维护自身信息安全的制度[6]，赋予公民更多的权利，明确信息主体的同意权、删除权保护范围。

4.内部治理机制与外部执法机制存在缺陷

当前企业内部缺乏自律机制。近年来我国个人数据泄露事件高发，如2013年支付宝账单中20G用户个人信息被泄露，2016年京东内部员工倒卖用户个人信息至50亿条信息遭非法泄露，2016年某省银行内部职员泄露257万条征信信息。这类事件社会影响极其恶劣，但究其根源是信息控制者内部治理机制的问题。受固有的信息安全观念影响，信息控制者的注意力更集中在计算机系统安全上，却忽视了对个人信息的保护。行业自律效果不佳，企业内部缺乏自律组织，行业自治无法响应信息主体对个人信息充分保护的要求，主张通过信息控制者的自律实现信息安全难以破解个人信息保护的症结。此外，目前我国尚未组建统一、专门的执法机构。我国数据保护的职责星罗分散，由公安部、国家网信部、国家统计局等部门承担，因此，个人信息保护实践中存在工作人员冗余、职责界限不清、职能互相冲突的尴尬局面。这种局面使得我国个人信息数据保护的执法现状难以应对严峻的个人数据保护形势和回应大数据治理专业化、分工化的要求。在数字经济时代，设立专门的数据保护机构和安全管理负责人，已然成为世界范围内的必然趋势，的注意力的缺乏将使我国处于被动的地位。[7]互联网时代，个人信息保护的方式与阶段都在发生改变，构筑强有力的执法机制，形成外部执法威慑迫在眉睫。

三、我国个人数据保护框架之设想

首先，针对我国立法分散、滞后的症结，整合现行有关个人信息保护的法律、法规，对相关法规进行修订与完善，搭建一个统一、完整的具有整体性和先见性的个人信息法律保护框架，实现从“碎片化”向“体系化”的转变，[8]使各法律法规取长补短、相互配合形成合力。同时加速制定个人信息保护法，设立统一的立法理念与法律规则。确立符合个人信息保护领域的安全标准，分离国家网络安全与个人信息保护标准，规避国家数据安全保护与公民个人数据保护的错位。针对个人信息内涵、外延不明确这一问题，通过司法解释文件与部门规章等明确个人信息概念，厘清个人信息的法律属性与内涵、外延，将其概念由宏观转至微观，服务于具体司法实践。动态的看待个人信息的属性，区别个人信息保护状态下的私益屬性，与个人信息利用状态下的公益属性。[9]创新个人信息侵权的法律救济途径，修订、完善民法与行政法，扩大法律对个人信息的保护范围，加大对个人信息侵权行为的保护力度。创新司法机制，将个人信息侵权保护通过司法审判机制直接加入到民法和行政法保护的范围当中，在各级人民法院理念与法律规则。确立符合个人信息保护领域的安全专业服务机构，如取证机构、证据保全机构、司法援助机构等，降低被侵权人的维权成本与取证难度，为受害者提供充足、合理的救济途径。

其次，协调个人信息数据保护法律框架内部各要素之间的关系，科学厘清不同制度的边界。在制定、完善个人信息保护法律法规的基础上，解决刑法规范越俎代庖、其他执法机制实行效果差的问题，规避法律规范机制内部的缺位、错位、越位。[10]以强化行政监管、拓宽民事法律救济途径等方式推动个人信息治理多元化，推进个人信息合作保护和治理，改善我国现阶段法律体系中刑法追责过强，行政法、民法边缘化的现状，推动刑事、民事责任与行政处罚的有效衔接，实现三者在个人信息侵权保护方面的缺益互补、齐头并进，以此激励信息控制者与市场主体，让他们在个人信息数据治理中发挥积极性与创新力。扩张对个人信息犯罪方式的规定以及相关司法解释，将社会中存在的非法侵害个人信息的行为列入刑法的规制范围当中，解决垃圾电话短信、不良网络运营商扰民等问题，并通过发布典型案例、提出检察建议等方式，发挥刑法在教育、警醒、预防、指导等方面的功能，对公民的个人信息安全进行事前保护，防患于未然。构建一个刑法、民法、行政法相互补充的系统化、多元化的法律框架。