试论大数据时代个人信息的法律保护

张红燕

摘  要：互联网经济和信息社会的蓬勃发展，开启了大数据时代，给我们带来了许多便捷，但同时也存在着风险和隐患。在大数据时代下个人信息容易遭到滥用，个人隐私易遭到侵犯，个人信息保护问题日益凸显，个人资料被泄露问题发生率大幅度上升，同时还存在着个人信息过度收集与应用的不良现象，再加上精准度不断提高的个性化推荐引起了广大用户的忧虑，强化大数据时代下的个人信息保护工作刻不容缓。

关键词：大数据时代;个人信息;法律保护

中图分类号：D922.1                                                 文献标识码：A                                                 DOI：10.12296/j.2096-3475.2021.07.303

随着经济社会快速发展，我国进入了智能化、便捷化的大数据时代。在大数据时代下数据是社会活动的重要元素，数据掌握在谁手里，谁就占据了发展的关键条件。个人信息就是其中非常重要的数据之一。然而，每个人不仅要接受智能化服务给我们带来的一系列便利，也要看到由于技术、法律等方面的不完善，个人信息面临着许多安全风险。

一、个人信息的基本概念

在《民法典颁布前》个人信息在《网络安全法》中有完整的表述，具体来说就是用电子方法或是其他方法记载下来的，可以单独或是和另外信息整合起来，用来识别自然人身份的各类信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。个人信息指的是能够体现出自然人有关特点的各类数据资料的总和，是与生俱来或后天获取的他人可知或不可知的所有信息总括，是个人的生物识别信息及其在社会生活中各种社会关系形成的具有可识别性的基础信息。

个人信息的法律特征包括：

1.可识别性。是指个人信息的独特属性，具有鲜明的个人特征和可识别标志，可以借助多元形式的资料识别出主体身份情况的信息，比方说文字形式、图片形式等等。每个人都有自己独特的个人特征，比如DNA、指纹，通过一种或与其他信息结合均能识别出所对应的特定人。个人信息可以说是每个人的一张隐形名片，具有相對广泛性与隐秘性。

2.权益保护性。该特征主要是指除了国家安全或者公共利益方面需要，未经本人同意不得擅自收集、使用他人信息。任何人、任何机关未经法律的明文规定不得侵害个人信息，权益保护性不仅为个人信息的保护提供了法律基础，也为对侵害个人信息行为的处罚提供了法律依据。

3.客观性。社会个体的个人信息，在查找、储存、管理等各方面，具有一定的独立性和识别属性。同时，也表明信息主体对自身信息不具有主观的创造性，只能作为一项个人标志及身份特征应用。

二、我国个人信息保护的法律政策

1.民法典实施前的法律规制

（1）多层次法律框架。民法典实施前我国个人信息保护的相关法律属于分散模式，并未出台专门的个人信息保护法。只是出台制度政策，对收集使用个人信息行为进行规范，法律通过“人格尊严”“个人隐私”“保障信息安全”等范畴对个人信息进行直接或者间接的保护。例如《民法通则》《消费者权益保护法》 《侵权责任法》等法律、行政法规中都涉及个人信息保护的相关条款。2012年通过的《关于加强网络信息保护的决定》强调了对个人信息的法律保护，首次以法律的形式明确规定保护公民个人及法人信息安全。

2016年11月7日，《网络安全法》正式出台，在保护个人信息安全防范信息泄露健全个人信息保护方面的法律法规系统有着不可忽视的价值。首先规范了个人信息的定义即用电子方法或是其他方法记载下来的，可以单独或是和另外信息整合起来，用来识别自然人身份的各类信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。其次明确了网络安全监管部门的责权范围。《网络安全法》第八条规定，我国的网线部门主要承担着协调以及统筹网络安全与监管等方面的工作。国务院电信主管部门、公安部门和其他相关部门严格依照本法和有关法规，规定基于各自的职能范围，承担网络安全维护与监管方面的工作。第三《网络安全法》确立了个人信息收集使用的基本原则，即合法正当原则;知情同意原则;目的限制原则;安全保密原则;删除改正原则。这些规定，进一步规范了网络运营商、关键信息基础设施运营者、网络产品、服务的提供者等相关信息采集主体必须履行的法律责任，有助于从源头上遏制非法使用个人信息的行为。四是规定了侵犯个人信息权益的惩处措施。《网络安全法》第六十四条规定，主管部门根据违法情节采取责令改正、警告、没收违法所得、罚款、责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照等层次分明的行政处罚的措施。同时，第七十四条也规定了违反本法规定应当依法承担民事责任、治安处罚和刑事责任，客观上增加了相关运营单位发生信息安全事件的成本。《网络安全法》为公民个人信息保护提供了强有力的法律保障，也为主管部门在个人信息数据管理执法提供了执法依据和措施。

2.治理整顿违规收集个人信息的行为

2019年1月，中央网信办、工业和信息化部、公安部和国家市场监管总局等四部委联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，自 2019 年 1 月至 12 月，在全国范围组织开展 App 违法违规收集使用个人信息专项治理，强调有关主管部门要加强对违法违规收集使用个人信息行为的监管和处罚。同时，四部门指导成立了 App专项治理工作组，研究制定了《App违法违规收集使用个人信息行为认定办法》等一系列个人信息保护相关技术指导文件和政策文件。

2019 年 11 月，工业和信息化部发布《关于开展 APP 侵害用户权益专项整治工作的通知》，就 APP 违规收集个人信息、过度索权、频繁骚扰用户等侵害用户权益问题，开展信息通信领域 APP 侵害用户权益专项整治。工信部专项整治工作坚持问题导向，重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8 类突出问题。如果确认APP有问题，不符合相关规定，就要依法依规予以处理。在处理过程当中，除了给予行政方面的处罚之外，还会将相应的违规主体纳入失信或不良名单，使其在未来的电信业务运营当中受到诸多限制。

围绕侵犯公民个人信息的犯罪行为，公安部、工信部、中央网信办等部门加大与最高人民法院、最高人民检察院协作配合力度。2018年以来，公安部等部门持续开展打击整治网络侵犯公民个人信息安全的“净网”专项行动， 2019年，公安部网络安全保卫局指挥全国网安部门开展了为期1年的“净网2019”专项行动，侦破侵犯公民个人信息类案件5000余起。2020年公安部网络安全保卫局开展“净网2020”专项行动，行动的重要内容是加大对网络违法违规以及犯罪活动进行严厉打击，力度对应网络秩序进行规范，通过一系列的整顿措施，打造更加安全清零以及井然有序的环境，保障网络安全。

三、民法典对个人信息的保护

《民法典》人格权编加大了对公民隐私权的保护力度，特别是构筑了个人信息保护的防火墙，首先完善个人信息的法律定义。《民法典》将个人信息定义为“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”，强调“识别特定自然人的各种信息”，这与《网络安全法》个人信息定义中的“识别自然人个人身份的各种信息”相比较其定义更为宽泛。

其次，明晰处理个人信息内涵、原则和条件。《民法典》明确了个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等，并在处理个人信息应当“遵循合法、正当、必要原则”的基础上，强制性要求“不得过度处理”个人信息，同时还附加了处理个人信息的四个条件：（1）获得了自然人或者是监护人的许可，不过这里要排除法律法规当中给出另外规定的情况。（2）运用公开方法处理信息的规则。（3）明确给出所处理信息的范围、方法、目的等情况。（4）不违背法律法规要求，也不违反双方确立的约定。

第三，对个人信息问题处理过程当中的免责事由进行严肃限定。《民法典》对于个人信息处理过程当中的免责事项进行了明确规定，主要限定和说明了下面几种情形：（1）在自然人或者是自然人监护人许可范畴之内所采取的一系列行为。（2）运用科学方法处理自然人自主公开的信息，或者是处理已经进行合法公开的信息资料，不过自然人明确给出拒绝或者是会严重危害到自然人重要利益的情况除外。（3）为保障公共利益不受損害，或者是为了维护自然人权益不受损害，运用科学方法所开展的其他行为。

第四，信息主体的删除以及更正权利得到保障。《民法典》充分保障了信息主体的三大权利，一是自然人可以依法向信息处理者查阅或者复制其个人信息的权利;二是如果发现信息有错误的，有权提出异议并请求及时采取更正的权利;三是自然人发现信息处理者违反法律、行政法规的规定或者双方的约定处理其个人信息的，有权请求信息处理者及时删除。

第五，强化处理者的信息安全保障义务。《民法典》为个人信息处理者设定了四项强制性规范：（1）信息处理人员不能够泄露个人信息，也不能够任意修改个人信息。（2）在没有获得自然人许可的情况之下，不能够向他人以非法方式提供个人信息。不过这一过程当中排除完成了加工处理已经不能够识别出信息属于特定的某个人并且不能够复原。（3）信息处理者需要运用科学化的技术处理方法和其他有效方法确保其收集、存储的个人信息安全，防止信息泄露、篡改、丢失。（4）发生或者可能发生个人信息泄露、篡改、丢失的，应当及时采取补救措施，按照规定告知自然人并向有关主管部门报告。

第六，明确机关、机构及人员的保密义务。《民法典》明确要求，国家机关、承担行政职能的法定机构及其工作人员针对也职责落实环节所获得的针对自然人的隐私资料以及个人信息有保密义务，严禁出现泄露他人秘密，或者是非法提供有关信息的情况。实践中，国家机关及其工作人员，以及承担行政职能的法定机构及其工作人员在履行职务过程中会接触和知晓大量的个人信息，特别是个人隐私信息，法律要求其必须予以严格地保密，严禁泄露或者向他人非法提供。

（焦作大学远程教育学院  河南焦作  454010）