大数据时代个人信息保护问题研究

杜祥

摘要：以信息主体控制权为核心的保护架构面临个人信息保护范围不确定、权利异化以及个人信息保护原则无法发挥作用的缺陷，目前我国大户据个人信息保护表现为立法保护滞后、刑法保护被动和民事司法救济无力。大数据时代，个人信息的利用面临数据人格塑造和现代权力控制的新挑战，必须从多元、动态的角度做好大数据时代个人信息法律保护的整体制度建构。

关键词：大数据时代;公益诉讼;个人信息法律保护

一、大数据时代个人信息保护现状

最早的立法是2000年的《关于维护互联网安全的决定》，规定禁止非法截获、篡改、删除他人电子邮件或者其他数据资料。中国人民银行2005年制定《个人信用信息基础数据库管理暂行办法》是首部行业领域的个人信息保护立法。2012年制定通过《关于加强网络信息保护的决定》，明确国家保护公民个人身份和涉及公民个人隐私的电子信息。2017年实施的《网络安全法》首次对个人信息进行界定。2020年制定的《民法典》对隐私和个人信息保护做出专章规定，2020年《个人信息保护法（草案）》规定个人信息处理规则、信息主体权利义务和法律责任等条款。总的来说，我国法律对个人信息的保护框架已经初步建成，随之《个人信息保护法（草案）》审议通过实施，个人信息保护将正式进入法治轨道。

二、个人信息保护制度存在的问题

1.立法分散，缺少纲领性法律

立法分散是目前个人信息保护的一大困境，我国通过法律法规、部门规章、司法解释等规范性文件对个人信息加以规定，从人格权、隐私权等各个角度，对侵犯公民信息行为作出详细规定。《刑法修正案（九）》设立侵犯公民个人信息罪，《民法典》人格权编采用专章的方式对个人信息与隐私权予以保护。《快递暂行条例》和《电信和互联网用户个人信息保护规定》等都规定公民个人信息保护的相关条款。但是这些对个人信息保护的规定十分分散，没有统一的标准，缺乏系统性、严谨性和逻辑性，缺乏纲领性的个人信息保护法。

2.监管部门缺少联动性

目前对个人信息的监管没有统一的监管机构，监管的权力过于分散，没有集中在某个机构行使，导致出现侵权案件时，会出现推诿扯皮的现象。由于处在大数据时代，各行各业之间信息交流越来越频繁，数据流通和信息泄露往往不仅出现在某个领域，而是牵扯到多个领域。这就需要多个部门协同监管，或者由某个部门集中监管，这样有利于高效运行监管体系，也可以避免权力冲突和一人不管、大家都管的局面。

3.搜集使用个人信息主体和原则不明确

生活中需要收集并使用个人信息的情形并不少见，政府部门、学校、银行、电信部门、邮递企业和互联网软件等组织机构均是密切接触个人信息的主体，但是哪些主体有权搜集使用，哪些主体没有权利，法律都没有明确规定，被搜集使用者也没有查询途径。同样各行各业在搜集使用过程中遵循的原则和标准是什么，是否满足最小化要求和最小比例原则，这些主体在什么情况下搜集的范围和用途等都没有公示。

三、个人信息保护制度的完善建议

1.构建个人信息公益诉讼制度

确定诉讼主体。从公益诉讼的目的和性质看，似乎不应该施加过严格的限制，根据规定，在民事诉讼法的规定中有权提起公益诉讼的主体除了人民检察院，还包括法律规定的其他机关和有关组织。所以可以扩大有权提起公益诉讼的主体，比如行业自律组织和符合一定条件的个人信息民间公益组织保护协会等，都可以考虑赋予其提起公益诉讼的权利。

举证责任倒置。侵权责任法规定侵害消费者合法权益和环境公益诉讼适用举证责任倒置，对比侵害个人信息的行为，发现他们都具有受侵害的主体范围广和影响面大等共同特点。同时由于信息数据网络传播速度和易获取等原因，导致信息侵权具有广泛性、持续性和取证难的特点，所以举证责任倒置制度也可以用于个人信息侵权。当然，举证责任倒置不是说不用负担任何举证义务，提起诉讼的主体应当首先证明侵权与损害结果之间存在因果联系。

2.完善个人信息保护行业自律制度

采取行业自律的方式，由行业协会组织根据社会发展要求和个人信息保护的规则，兼顾行业特点，制定行业信息保护规范。参照美国隐私保护行业自律模式，行业自律组织制定出台完善的个人信息保护原则、规则、标准和自律监管公约，建立健全成员企业准入门槛、年审机制和奖罚机制，要求行业内各组织机构严格遵守自律公约。促进行业龙头企业注重个人信息的保护，形成社会引导和示范效应，促进信息保护技术提高，依托行业自律联盟，开展行业自律动态监测，实施个人信息保护发展水平评估，定期发布行业个人信息评估报告，接受政府部门和社会监督。

3.《个人信息保护法（草案）》的完善建议

完善个人信息的定义。《民法典》规定个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，《网络安全法》规定个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，二者都列举自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。对比可知，《草案》对个人信息的规定较为模糊且不够细致，建议《草案》采用《民法典》或者《网络安全保护法》“个人信息”定义的表述。

完善知情同意原则。《草案》规定个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理，可以看出《草案》将知情同意原则确立为个人信息处理规则的核心，但是该条规定的决定权没有进一步阐述，可以借鉴德国信息自决权的构建，进一步完善决定权的内容，如详细规定个人信息主体决定其在什么时间、什么地点，哪些信息可以被收集和利用，以及事后被使用信息的处理方式等。

参考文献

[1]个人信息保护的法律定位[J].周汉华.法商研究.2020（03）

[2]大数据背景下的个人信息法律保护研究综述[J].朱悅.图书馆论坛.2020（07）

[3]基于利益平衡视角的个人信息法律保护探析[J].范小华，周琳.行政管理改革. 2020（03）

[4]数据治理法律路径的反思与转进[J].金耀.法律科学（西北政法大学学报）.2020（02）

[5]数据时代个人信息保护的路径重构[J]. 范为.环球法律评论.2016（05）

（华北理工大学 河北 唐山 063200）