李連同

摘要：大數(shù)據(jù)的廣泛應(yīng)用使得個人信息和數(shù)據(jù)泄露風(fēng)險愈加凸顯，擅自使用或者濫用公民個人信息的狀況時有發(fā)生，論文介紹了大數(shù)據(jù)時代下個人信息安全保護現(xiàn)狀，探討通過明確個人信息范圍及權(quán)利屬性，明晰個人信息侵權(quán)的歸責(zé)原則，完善損害賠償制度等路徑完善個人信息保護制度。

關(guān)鍵詞：個人信息;立法保護;歸責(zé)原則;損害賠償

一、引言

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布報告顯示，截至2019 年6 月，我國上網(wǎng)人數(shù)已經(jīng)達到8.54 億人， 99.1% 的網(wǎng)民用戶使用手機上網(wǎng)，用戶在網(wǎng)絡(luò)上形成了大量涵蓋個人基本信息、支付記錄、信用信息、快遞信息的數(shù)據(jù)。數(shù)據(jù)的共享存儲給人們生活、學(xué)習(xí)、交際帶來了極大便利的同時，但由于個人信息立法不夠完善，個人信息保護意識薄弱，行業(yè)自律監(jiān)管有效性較低，也給個人信息的安全及合法合規(guī)利用帶來嚴(yán)峻的挑戰(zhàn)。

二、我國個人信息權(quán)法律保護現(xiàn)狀及問題

當(dāng)前，我國有部分法律法規(guī)和部門規(guī)章對個人信息安全做了規(guī)定，但零散分布在多個法案之中。2015 年11 月施行的《刑法修正案（九）》第十七條中提出了侵犯公民個人信息罪，對情節(jié)嚴(yán)重的違法行為定罪量刑。2017 年6 月施行的《網(wǎng)絡(luò)安全法》規(guī)定了“網(wǎng)絡(luò)運營者對用戶信息嚴(yán)格保密，建立健全用戶信息保護制度”。我國，個人信息保護立法一直處在分散立法的狀態(tài)。《民法典》第一百一十一條、第一百二十七條及第四編第六章（ 第一千零三十二至一千零三十九條） 的系列規(guī)定，在強化對公民隱私權(quán)和個人信息保護的同時，也對數(shù)據(jù)權(quán)屬及與數(shù)據(jù)相關(guān)行為作出了一定規(guī)定，呼應(yīng)了互聯(lián)網(wǎng)時代的發(fā)展要求，也為我國數(shù)字經(jīng)濟的發(fā)展起到了規(guī)范和引領(lǐng)作用，這是立法領(lǐng)域的一大進步。但個人信息保護立法目前仍顯散亂。其他諸如消費者權(quán)益保護法、國家情報法、測繪法、公共圖書館法等法律法規(guī)對個人信息保護、個人信息不得隨意泄露也有描述，但沒有一套系統(tǒng)的法律作出明確規(guī)定。司法實踐中，個人信息主體通常只有在其個人信息遭到泄露、被不當(dāng)使用后，才會發(fā)現(xiàn)其權(quán)利已經(jīng)遭受侵犯。同時由于現(xiàn)有法律規(guī)范的不完善，很難有效地解決法律實踐中的諸多問題。

三、個人信息權(quán)保護完善

1.明確個人信息范圍及權(quán)利屬性

雖然《民法典》確認了公民的個人信息受法律保護，但民法規(guī)定的個人信息范圍是有限的，主要針對持有個人敏感信息的部門的信息處理行為，且法律調(diào)整的是收集個人信息的內(nèi)容和手段，對信息主體是否有權(quán)在收集活動結(jié)束后進行確認或變更的規(guī)定較少，尚未形成對個人信息的全面法律保護。建議形成公民個人信息分級制度，對公民的信息進行分類，適用不同的保護尺度，對于公民生活影響較小的信息，可采用合法的方式進行綜合分析，對于私密性極高的公民信息，法律應(yīng)當(dāng)給予嚴(yán)密的保護。對權(quán)利屬性也沒有作出界定。實踐中，網(wǎng)絡(luò)服務(wù)提供者具有強烈的收集、分析用戶各類信息的利益訴求，以便通過經(jīng)營活動獲取經(jīng)濟利益。在大數(shù)據(jù)時代，網(wǎng)絡(luò)用戶的個人信息在具備人格屬性的同時兼具財產(chǎn)屬性，如同可以被估價的無形資產(chǎn)，關(guān)于確認個人信息財產(chǎn)屬性的制度設(shè)計可以借鑒國外的相關(guān)立法，即在人格權(quán)的基礎(chǔ)上確認信息主體對個人信息的使用、控制、收益等權(quán)利。同時，增強信息主體對其個人信息經(jīng)濟價值的認知和意識，不僅有助于對信息保護的事后救濟，也有助于主體的行動自覺，進而不斷改進其與企業(yè)或信息處理者的行為關(guān)系模式。

2.明確個人信息侵權(quán)的歸責(zé)原則

由于目前沒有相關(guān)法律對于個人信息侵權(quán)的歸責(zé)原則進行規(guī)定，導(dǎo)致司法實踐中法官在處理個人信息侵權(quán)案件的舉證責(zé)任問題時，通常將個人信息侵權(quán)案件籠統(tǒng)地按照一般侵權(quán)責(zé)任糾紛的思路進行審理，舉證責(zé)任的一般原則是“誰主張，誰舉證”，即要求原告承擔(dān)侵權(quán)責(zé)任全部構(gòu)成要件的證明責(zé)任。但是，侵犯個人信息的方式很多，在個人信息侵權(quán)的情況中，侵權(quán)者往往是組織或機構(gòu)，它們比信息主體具備更多的技術(shù)、人員和財務(wù)優(yōu)勢，在收集、處理和利用個人信息或者訴訟過程中，雙方存在顯著的地位差異，因此過錯要件與因果關(guān)系對于原告而言證明難度無疑過大。從比較法的角度看，對于個人信息侵權(quán)所采取的歸責(zé)原則主要有以下幾種：第一種類型是采取過錯推定原則，如歐盟GDPR 中規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)就其不存在過錯承擔(dān)證明責(zé)任。第二種類型是混合歸責(zé)原則，例如在德國、冰島以及我國臺灣地區(qū)對于個人信息保護的相關(guān)立法中規(guī)定，對于包括黑客、網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)用戶實施侵權(quán)行為應(yīng)根據(jù)其過錯承擔(dān)責(zé)任，而政府機構(gòu)和其他特殊主體通常要承擔(dān)無過錯責(zé)任。筆者認為我國網(wǎng)絡(luò)用戶個人信息的侵權(quán)歸責(zé)原則采用過錯推定原則更合適，由于網(wǎng)絡(luò)服務(wù)提供者收集用戶信息的技術(shù)手段通常具備隱蔽性，基于技術(shù)水平的不對等性，將過錯要件倒置由侵權(quán)方承擔(dān)更能夠體現(xiàn)實質(zhì)正義。同時，確立過錯推定原則有利于強化網(wǎng)絡(luò)服務(wù)提供者的安全和責(zé)任意識，從而更好地保護網(wǎng)絡(luò)用戶的權(quán)益。

3.完善損害賠償機制

損害賠償屬于保護個人信息的救濟手段，也是公民實現(xiàn)其權(quán)利救濟的終極目標(biāo)。損害賠償時可根據(jù)信息主體受到的損失數(shù)額進行賠償，但僅包括直接損失，對于間接損失的賠償則要根據(jù)個案進行分析。當(dāng)難以確定信息主體具體損失數(shù)額時根據(jù)侵權(quán)人的獲利情況進行賠償。特別地，大數(shù)據(jù)、云計算等技術(shù)的應(yīng)用不僅增加了信息流轉(zhuǎn)的速度和復(fù)雜性，而且使信息收集的手段變得更加隱蔽。在大數(shù)據(jù)背景下，信息控制者與信息處理者能從侵權(quán)行為中獲得巨大的財產(chǎn)利益，而基于信息的不對等情況，作為被侵害人的信息主體往往很難發(fā)現(xiàn)該侵權(quán)行為。同時，可以細分為精神損害賠償和財產(chǎn)損害賠償。多數(shù)國家和地區(qū)的法律規(guī)定，侵犯個人信息并造成精神損害后果的，自然人有權(quán)請求精神損失賠償。此外，對于牟利性惡意侵犯個人信息的情況，從有效遏制和預(yù)防角度出發(fā)，可以借鑒國外個人信息保護的規(guī)定，引入懲罰性賠償機制。

參考文獻：

[1]大數(shù)據(jù)背景下個人信息立法保護的多視角研究，劉雪婷，邵陽學(xué)院學(xué)報社會科學(xué)版，2020年第5期.

[2]大數(shù)據(jù)時代的個人信息保護研究，劉曉穎，天津中德應(yīng)用技術(shù)大學(xué)學(xué)報，2020年第5期.

[3]淺議大數(shù)據(jù)背景下個人信息保護，王中軍 晁艷鋒，技術(shù)應(yīng)用，2020年8月.