浅谈大数据环境下公民个人信息的法律保护

王春燕

(济南职业学院 财经商贸学院，山东 济南 250002)

一、引言

大数据因其数据量极大、速率较快、种类繁多、所含信息量较高等特点，在许多领域都得以应用，也往往被别有用心之人在不适合的领域滥用。此时，依赖《中华人民共和国民法通则》《中华人民共和国行政处罚法》(以下简称《行政处罚法》)等社会管理法规制已不足以阻却违法犯罪行为[1]。在大数据时代，如何预防侵犯个人信息的犯罪、如何打击该类犯罪，成为重要的研究课题。

二、大数据环境下《中华人民共和国刑法》对公民个人信息保护存在的问题

(一)个人信息权利属性不明确

2017年3月15日通过的《中华人民共和国民法总则》(以下简称《民法总则》)第111条，对公民个人信息进行了说明和规定，但具体的公民个人信息保护工作中的公民权利的性质并没有明确界定。毫无疑问，如果立法模糊，将给有关的司法活动带来较多的不利影响。在我国的司法实践中，存在双重标准或标准不统一的情况，在涉及到公民个人信息保护包括公民被侵权性质的事件中，难免出现对公民个人信息侵权的性质认定困难，后期法院的判决也容易结论不一，态度不明[2]。在理论界和实务界，有人将公民个人信息界定为隐私权，有人将公民个人信息界定为名誉权，也有人将公民个人信息界定为一般人格权。

(二)个人信息类型多样，立法针对性不强

在我国，公民个人信息的分类标准比较多，并没有全部统一。不同的公民信息种类，根据法律法规所进行的保护方法和程度有所不同。这种情况下，如果强行根据普遍性原理对公民个人信息大而化之、广而泛之地规范界定，就可能只达到形式上的统一，而无法保证兼顾公民个人信息中的不同分类及其不同特点和要求。而且，大数据时代，围绕公民个人信息保护的事件和犯罪活动层出不穷，五花八门，使得立法工作往往滞后于案件的发展变化。因此，我国急需加快建设和完善关于公民个人信息保护的法律制度和体系，有针对性地开展工作，解决保护法益前置化、过度行政化等问题，从根本上杜绝公民个人信息保护方面的不足，对公民提供有效的法律保障。

(三)缺乏专门法律保护，立法有待进一步完善

《民法总则》中的部分条款，对公民个人信息保护做了增补，确实在立法方面对该领域做出了很大的完善，但是，针对公民个人信息保护，必须有专门的法律来进行保护，才能切实解决问题。因此，应积极探索路径，创建适合新时代中国特色社会主义和大数据时代公民个人信息保护的立法体系。

第一，我国网络大数据条件下关于公民个人信息保护的立法总体上呈现出分散状态，立法层级不同，法律效力位阶也多种多样。如《中华人民共和国宪法》(以下简称《宪法》)第38条规定，公民人格权不受侵犯；《中华人民共和国网络安全法》(以下简称《网络安全法》)中部分条款也对网络环境下的公民个人信息保护有所规制。在实务工作中，网络环境下个人信息权的侵权一般作为网络侵权处理，然后由《中华人民共和国侵权责任法》及其他相关法律进行规制。这些法律规范性文件，虽然对维护公民个人信息权起到一定的作用，但保护力度和范围仍有所欠缺。

第二，每部法律规范依据的基本法律原则、法律主体、法律客体以及具体的权利内容不尽相同，存在较大差异。法条之间未建立起完整的架构体系，缺少衔接性、操作性[3]。

第三，立法过于分散，究其原因主要在于缺乏贯穿整个大数据背景下公民个人信息权保护方面的基本法律法规和法律原则。法律原则对法律的创制和对法律的适用，都具有极其重要的作用。在穷尽法律规则仍不能解决遇到的疑难案件时，法官也可以另辟蹊径，选择通过充分的说理论证后适用法律原则进行裁判。《民法总则》第111条虽然将公民个人信息权保护以法律的形式加以确定，但是比较遗憾的是，只是具有宣示权利作用的功能，对怎样保护大数据环境下公民个人信息尚无明确规定。就法律体系的统一性而言，如果我国已将公民个人信息权纳入到《民法总则》的规划范畴，那么同理可证，在民事法律体系中普遍适用的法律原则同样适用于公民个人信息权的保护工作[3]。

(四)侵权责任难以认定

当前司法体制对大数据环境下公民个人信息保护方面的涉及侵权行为活动，普遍选择适用过错责任规则，既有可取之处，也有完善的余地。由于是过错责任规则，就需要公民个人信息保护侵权行为的主体双方，都负有一定的举证责任义务。作为受害人一方，即个人信息被侵权的公民一方主体，负有证明侵权行为、证明侵权损害结果、证明侵权行为过错、证明侵权行为之因果关系的明确责任。大数据时代，在网络背景中，责任双方既要“对簿公堂”，又要有效区分开网络信息主体和网络个人信息需求者[4]。

第一，大数据时代公民个人信息权的内涵外延需要明确。我国现行法律法规，并没有明确地界定公民个人信息权的内涵和外延，依据现有的研究和经验、学理和法理等不同视角分析，现行法律法规虽然说明了公民个人信息权具有很强的特殊性，但只是将公民个人信息权作为具体的人格权。《民法总则》第111条指出了公民个人信息权在民法体系中的位置，但是该法条只是对公民个人信息权利的宣示，并没有详细阐述公民个人信息权的内涵与外延。法律制度必须与时俱进、顺应时代，公民个人信息保护方面，必须尽快建立一个针对性强的法律体系，来指导理论和实践工作，增强法律效益和效果[5]。

第二，大数据时代公民个人信息权涉及的主体需要明晰。《民法总则》第111条指出：受约束的对象为“任何组织和个人”，也就是任何组织和个人都有可能成为侵权者。那么，法条中所说的“任何组织和个人”中，是否包括国家行政机关主体，就很容易导致歧义理解。从法律体系考虑，《民法总则》不调整涉及行政关系的法律关系，据此推断，“任何组织和个人”不包括行政主体机关。但是，大数据时代，国家行政主体电子化办公越来越普及，国家行政机关主体很容易也很可能成为公民个人信息侵权行为人。因此，公民个人信息侵权不仅容易发生在平等主体之间，也可能发生在不平等的主体之间，必须引起高度的重视。

第三，我国现行法律法规对公民个人信息方面的保护制度，尚有很多不足之处，存在着结构比较单一、法律程序不健全、权力部门和管理机构不明确、救济方式不统一等方面的缺陷[6]。同时，公民个人信息保护自律机制也亟待建立，以便更好地推进实务工作中的责任确定。仅依靠和延续过去的做法和经验，很明显是不能适应大数据时代各种问题的，应尽快完善现有立法，建立起公民个人信息保护方面的工作机制和各项配套保障措施，为国家和社会提供多元、有效的公民个人信息保护环境。

(五)个人信息保护市场监管缺失

大数据时代，涉及公民个人信息保护的风险和安全危机凸显，一方面相关安全事件频发，另一方面极易引发舆情动荡和社会风险。当前，专门的公民个人信息保护市场监管部门，在我国并没有明确设立，主管机关的普遍做法是分散监管，各自负责本单位职责范围内的监督保护工作。如：涉及金融方面信息保护，由中国人民银行负责；涉及公民个人信息保护规则制定，由工信部负责；涉及公民个人健康信息保护，由国家卫生和计划生育委员会负责等。这种模式对公民个人信息的保护效果不佳：(1)管理权限之间的模糊，造成部门分工和协作方面的困难。(2)部门之间出现权限交叉，重复执法，增加执法的成本和浪费。(3)造成监管的空白，导致出现逃避法律惩罚的漏洞。因此，在大数据时代，有关部门和社会各界必须高度重视，从技术上完善保障，与时俱进，不断开拓创新，在金融、医疗、房产等方面加大保护力度，形成跨行业、跨领域、跨部门的联合保护体系，对公民个人信息提供全方位保护[7]。

三、对公民个人信息的刑事立法保护

(一)我国的刑事立法现状

刑事立法方面，我国也做出过很多完善。2009年2月28日出台的《刑法修正案(七)》增加了侵犯公民个人信息罪，使我国在侵犯公民个人信息方面的法律规制不再是空白。但是其本身也存在着一些不足之处，比如设置的保护范围过小、确定的犯罪主体的范围狭窄等[8]。

2015年8月29日，我国立法机构通过的《刑法修正案(九)》进一步填补了公民个人信息保护方面的依据，完善了《刑法修正案(七)》中公民个人信息保护规定中存在的不足。总的来说，《刑法修正案(九)》针对公民个人信息保护的加强体现在：扩大了公民个人信息犯罪对象来源的范围，扩大了公民个人信息犯罪主体的范围，将“违反国家规定”修改为“违反国家有关规定”；加大了公民个人信息犯罪方面的处罚力度，将自由刑由处三年以下有期徒刑或者拘役，变为处三年以上七年以下有期徒刑，将并处或者单处罚金调整为并处罚金。2016年《网络安全法》施行，其中第40至44条也对公民个人信息保护制度进行了规定。

(二)域外部分国家个人信息保护立法现状

据统计，目前世界上已经有50多个国家或地区制订和施行了本国或本地区关于公民个人信息保护的法律法规，并越来越重视相关研究，可供我国有关部门借鉴。

1．德国

1977年，德国制定施行了《联邦个人信息保护法》，该法是大陆法系国家中对公民个人信息保护规定得最具有代表性的法律，其中的核心部分是将信息自决权作为信息主体的主要内容，鉴于欧洲国家随着信息技术的进步而不断出现的公民个人信息及隐私被侵犯，明确了公民个人数据信息自决权的保护价值、功能、性质和内容，并对公民个人信息以一般人格权来保护。

2．英国

1984年，英国制定施行了《信息保护法》，该法的一个主要优点就在于将敏感信息和琐碎信息区别对待，分门别类地对这些不同信息进行差异化的保护。时至今日，英国《信息保护法》仍然是对公民个人信息保护方面制定得最全面、最完善的法律之一，其成功经验值得认真研究和学习。当前社会已经进入大数据时代，不能囿于过去的条条框框，必须在坚持对公民个人信息保护高度重视的基础上，加强立法合作，重新认识公民个人信息保护在新时代的新变化、新特点、新要求、新举措，与时俱进，匡正立法，拓展公民个人信息保护法律法规的内涵和外延，更好地服务于国家和社会。

四、大数据环境下加强公民个人信息保护的建议

(一)明确相关概念

在设立侵害公民个人信息的罪名时，应当对相关概念进行明确的界定。

1．违反国家有关规定

《刑法修正案(九)》将“违反国家规定”改为“违反国家有关规定”。这一改变扩大了犯罪适用的法律范围，扩大了适用对象，更有利于打击犯罪。但是，“国家有关规定”中的“有关规定”包含的法律可以包括部门规章，而不能出现地方性法律法规，否则将可能会出现同案不同判的结果。

2．情节严重

《刑法修正案(九)》删除了“情节严重”表述，有学者认为是为了避免立法上的重复，也有学者认为是有关部门降低了犯罪门槛，体现打击犯罪的决心。此外，认定情节严重还应该考虑侵犯公民信息所造成的损失。个人信息的价值越大，对公民的人身、财产安全威胁越大，但这种考虑目前缺乏上位法的依据。

(二)改革立法模式，完善刑法体系

当前，我国法律体系关于侵犯公民个人信息的定罪量刑，基本仍然沿用《中华人民共和国刑法》中的相关法条为主，内容比较单一，涉及的法条比较散乱，所以制定一部“公民个人信息保护法”具有很大的必要性。在立法之前，我们首先应该考虑以下几个主要方面。第一，“公民个人信息保护法”应立足中国现实和大数据时代背景，制定完整、灵活的立法计划。制定 “公民个人信息保护法”不应急于求成，毕其功于一役，立法计划要符合中国国情，可以参考《网络安全法》正式施行之前连续三次发布征求意见稿的做法，广泛听取社会各界和各级主管部门、行政机关的意见，力争做到有的放矢。第二，在“公民个人信息保护法”制定过程中，应该与时俱进，准确把握大数据时代的背景和特征，始终以习近平新时代中国特色社会主义法治思想作为方针纲领和行动指南，解放思想，实事求是，从宏观、微观上把握理论和实际之间的联系，准确把握时代特征，始终站在时代前列和实践前沿。

(三)采取差异化的救济赔偿模式

损害赔偿制度是“公民个人信息保护法”权利保护的救济措施，也是个人信息主体权利救济的最终途径。随着互联网的快速发展和大数据时代到来，个人信息商业化，独立的人格利益逐渐兼具财产利益特征。在宏观方面，我国个人信息立法可借鉴德国的经验，对行政侵权行为和民事侵权行为采取差别化损害赔偿方式。在微观方面，我国对公民个人信息的保护可以首先立足于将一般类信息和敏感类信息区别开来。涉及到公民的一般个人信息时，如果只涉及到财产，那么仅提供物质利益一元救济模式即可；涉及到公民的个人敏感信息时，如果牵扯到隐私，侵害了精神利益，就采取物质利益和精神利益二元救济模式。

(四)设立个人信息保护的基本原则

公民个人信息保护的基本原则，是指个人信息在收集、利用和处理的过程中，各方主体所应遵循的基本行为规范和指导原则。立法实践和司法实践工作也是依据这些基本原则来指导实践的。大数据时代，公民个人信息保护基本原则的设立，有助于明确法律边界，避免含混不清。笔者建议公民个人信息保护设立公开透明原则、限制处理原则、数据质量原则、安全责任原则、主体权益原则。

(五)明确公民个人信息的保护范围

明确保护范围，也是加强对公民个人信息保护工作的前提之一。大数据时代背景下，信息大爆炸，信息、知识、情报等混合交织，错综复杂，导致传统意义上的公民个人信息安全和非公民个人信息安全之间的界限变得异常模糊，难以分辨，增加了司法认定过程中的难度，如果处理不当，就会增加行政工作和法律工作的成本，很大程度上对公民个人信息保护造成不利影响，对国家和社会其他信息安全保护工作造成影响[9]。欧盟很早就采用了“识别性”作为公民个人信息保护界定的标准，同时也附加了“合理性”和“可能性”这两个关键因素，目的就是方便对公民个人信息的保护范围进行限定。据此，我国部分学者和研究人员提出了公民个人信息界定的新标准，除了“识别性”这一核心要素外，也推动了将公民个人信息的类别、数据处理者的识别能力、收集个人信息的目的、信息主体的身份这四个要素作为界定公民个人信息的要素。笔者认为，大数据时代，鉴于公民个人信息保护的复杂性、长期性、多变性，不能一概而论、以偏概全，虽然要将“识别性”作为界定公民个人信息的核心内容，但也要加强对保护内涵和外延的拓展，增强工作的广泛性、普遍性、通用性、可行性，提高工作效益和效率。

(六)积极开展国际合作

事物都是相对的，大数据技术给社会带来便利的同时，也产生了很多弊端，给公民的个人信息安全带来了极大的威胁。我国在公民个人信息保护方面虽然取得了很大的成绩，但也要正视存在的不足，应积极开展国际间、国家间、地区间、组织间的各种合作，通过借鉴其他国家或地区的先进经验，使我国的公民个人信息保护制度在与世界接轨的同时又能适应新时代中国特色社会主义基本国情，进而提高我国大数据背景下公民个人信息的保护水平[10]。