大数据时代个人信息权的保护路径探析

董翰霖

【摘 要】在大数据与互联网+的时代，随着个人信息获取难度的下降，其公开程度越来越高，直接导致了个人信息权的滥用，甚至出现了诈骗并致使被诈骗人死亡的恶性案件。在这样的时代背景下，《民法总则》的出台显得恰逢其时，其中第111条首次将个人信息上升为一种民事权利予以保护，但是对其客体、权能范围、法律责任仍模糊不清。本文以大数据时代为背景，分析个人信息权在我国立法特别是《民法总则》中存在的问题，以期完善个人信息权的保护路径。

【关键词】个人信息；民法总则；大数据及互联网+

一、大数据时代个人信息权概述

（一）個人信息的概念

个人信息指自然人的姓名、性别、年龄、民族、婚姻、家庭、教育、职业、住址、健康、病历、个人经历、社会活动、个人信用等足以识别该人的信息。2012年全国人大常务会《关于加强网络信息保护的决定》明确国家保护公民电子信息。2013年工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息的概念予以界定。2016年《电信和互联网用户个人信息保护规定》明确规定用户姓名、出生日期、身份证件号码、住址等属于个人信息。《个人信息保护法》草案规定了个人信息是指“能够识别特定个人的一切信息”2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以依法惩治侵犯公民个人信息犯罪活动、保护公民个人信息安全和合法权益为立法宗旨，对保护个人信息进行了刑事法律方面的规定。

（二）大数据时代个人信息保护的影响

在互联网+时代，由于大数据具有的数据规模大、种类多、处理速度快、价值密度低[1]等特征，导致数据多次转移，而任何一次转移中都可能受到侵犯。中国互联网协会公布的《中国网民权益保护调查报告2016》中显示：“2016年我国6.88亿网民因个人信息泄露、垃圾短信等造成经济损失达915亿，人均133元。”这一庞大数字揭示的个人信息泄露现状也令人恐慌。

在大数据时代，侵害个人信息权成为易事。一是个人信息的收集渠道更多样化。比如个人信息以网页浏览、购物、社交关系等形式在互联网中展现，其经过加工会对正当权利造成侵害；二是个人信息的收集者复杂化。传统收集模式下，信息收集者与被收集者之间往往是存在直接联系的；而在大数据时代，基于 “攻守同盟”或“利益共享”理念，收集者将获取的个人信息与同行共享。徐玉玉案、清华教授被骗案表明大数据时代个人信息保护受到极大的威胁，也折射出我国立法方面对个人信息进行保护迫在眉睫。

二、《民法总则》关于个人信息权的规定

近年来，我国制定了包含个人信息保护的多项法律、法规及行业规范，对其界定采取了概括加列举的模式。2017年10月1日正式施行的《民法总则》第111条首次将个人信息权作为一项重要民事基本权利确定下来，同时也是对个人信息权规定的最为规范的一项立法，对保护我国公民合法权益具有现实意义。

《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人应当依法取得并确保信息安全，不得非法收集、使用、加工、传输个人信息，不得非法买卖、提供或者公开个人信息。”第109条规定了一般人格权、第110条规定了具体人格权、111——114分别对个人信息权、身份权、财产权、物权进行规定、第115——132对其他权利进行规定。在法条编排上，将个人信息权放于人格权之后，身份权与财产权之前。因此，笔者认为个人信息权既具有人格权属性有具有财产权属性。同时第111条将该项权利的客体确定为个人信息，主体是自然人，将法人排除在外。

尽管《民法总则》的彰显了我国对个人信息保护的重视，但是应当认识到其存在的弊端：第一，《民法总则》第111条没有具体对该项权利客体的内涵予以规定，在实践中，难以对个人信息的类型以及保护的程度予以判断。第二，条文列举的不得以非法收集、使用、买卖等7中方式来公开个人信息，属于否定式列举，但是我们应当意识到随着时代的发展，极有可能出现其他的对个人信息的侵犯的方式，采用概括列举的方式或许能够更好的适应时代需求。第三，条文未规定该项权利受到侵害时的法律责任，只是在第九章民事责任中的第179条规定了一般意义上的侵权行为发生时侵权人所需承担的责任。这无疑使得法律不能达到约束行为人的效果。

三、大数据时代个人信息权的法律保护路径构建

（一）完善个人信息保护权相关立法

对于上述《民法总则》中关于个人信息保护方面的立法缺陷，建议在民法分则中予以完善，第一，明确个人信息权客体的内涵，将其确定为具有独特特征的可以与其他具体人格权区分开来的属性。第二，对否定性规定予以更加明确的适用于大数据时代的情形予以规定，制定一个属于侵权的兜底条款，充分保护个人信息权益。第三，对法律后果予以规定，明确不同程度的侵权应付的法律责任，真正达到约束效果。

此外，推动我国《个人信息保护法》颁布。根据2018年9月10日公布的《十三届全国人大常委会立法规划》，个人信息保护法项目被列入其中。我国可以间接欧盟、日本等统一立法模式，在该法中对权利义务主体、适用范围、实施细则等进行规定，形成一部完善、健全的个人信息保护法，从而保护广大人民群众的个人隐私。

（二）政府加强监管力度

互联网技术通常带有社会属性，市场自律难以保障经营者遵守规则。我国对于个人信息收集的管理缺乏量化标准，例如：谁有资格收集、收集那些信息，如何收集以及收集用途问题。同时相关规定很多都停留在禁止性规定层面，这就为基于不良目的的企业钻空子提供了可能。

在我国，国企因其垄断地位肆无忌惮的“消费”其掌握的个人信息，如果政府能够对国企进行有效监管，无疑缓解个人信息泄露问题。我国需要立足于自身国情进行调整，制定适合我国的规范。特别是对于政府收集这种师出有名的方式，我们更加要通过规范、制度对其进行监管，以防止公权力的滥用。同时加强网络监管，防范于未然。

（三）成立专门公益诉讼组织

个人信息权难以得到保护的原因在于维权难，表现为：第一，被侵权者受到的损害往往很小，单独的侵权损害赔偿难以得到重视；第二，通常被侵权者得知的侵权行为人信息往往只是一个电话号码或邮箱，仅凭这些难以将其找到；第三，損害与维权成本不成比例，很少有人愿意为维护小利益而进行复杂的诉讼。

因此，建议我国成立专门的针对个人信息权保护的公益诉讼组织，通过该组织进行集体诉讼，将小损害集中为大损害、大利益，以便提起损害赔偿之诉，同时可以通过每个人的授权委托行为实现维权，降低成本。此外，可以将调查权赋予公益组织，若调查不清再交由法院进行调查，适当减轻起诉一方的调查责任，也可以外包给第三方调查公司。

（四）培养行业者自律、公民维权意识

很多时候个人信息的泄露并不是企业决策者做出的集体行为，而是企业员工出于自身利益目的而盗取企业的信息。因此企业应当加强自身监管。第一，加强对信息管理人员的监管和教育，在一定程度上减少个人信息权受损。第二，可以参考个人信用档案和个人行业黑名单，建立企业信用档案与企业黑名单。第三，形成互相监督的新的行业状态。设立奖惩制度，对不良企业进行惩罚，对举报企业进行嘉奖，形成行业中各企业主动自觉互相监督的模式。达到既减少政府的监管成本，又增加了整体监管力度的效果。

同时，作为个人也应当加强自我保护意识，尽量减少不必要的信息外漏，特别是在网络中不要轻易相信一些虚假宣传，提高网络知识，加强安全意识。总体而言，个人信息权的保护需要全社会多方面多维度共同推动，保障个人信息权这一具体人格权不受侵害，营造和谐有序的社会环境。

互联网时代给我们带来便利的同时，使得个人信息遭受着巨大威胁，《民法总则》对个人信息权的确立体现个人信息保护规章的具有重要的法律地位。面对目前我国的立法现状与实践中遇到的种种个人信息受到侵害导致了严重后果，我国应当多方位共同努力，加大对个人信息的保护力度，真正发挥法律的作用，保障公民的合法权益，营造安全、和谐、有序的网络环境与社会秩序。

【参考文献】

[1]金新强、卢瑾.大数据背景下个人信息权的研究——兼评《民法总则》第111条[J].西部金融，2017（4）

[2] 米新丽，徐磊.《个人信息权的法律保护与合理使用》.人民法院报，2017年11月30日第002版《美国联邦选举法》.

[3]贺晏丹.民法总则中个人信息权保护法律问题分析[J].法制博览，2018（04）

[4]赵腾宇.《民法总则》背景下的个人信息保护刍议[J]. 北京政法职业学院学报，2018（2）