楊浩敏

（清遠職業(yè)技術學院繼續(xù)教育學院，廣東清遠511510）

隨著科技的發(fā)展我國已逐步進入大數(shù)據(jù)時代，物聯(lián)網(wǎng)、區(qū)塊鏈等新興技術被廣泛應用，公民無論是日常網(wǎng)上購物、遠程網(wǎng)絡辦公以及人臉權限識別等都離不開個人信息的利用，尤其在發(fā)生新冠肺炎疫情等重大衛(wèi)生安全事件時，各級政府部門、醫(yī)療機構通過數(shù)字技術的運用，為精準防疫提供了有效支撐。大數(shù)據(jù)時代個人信息的利用已然成為新興產(chǎn)物，與社會發(fā)展和生活緊密相連，不僅改變了我們的生活方式，也創(chuàng)新了社會治理模式，但個人信息的利用給我們帶來便利的同時也面臨新的挑戰(zhàn)，公民對個人信息的自決和控制力卻越來越弱，個人信息泄露、人肉搜索、電信網(wǎng)絡詐騙、“黑市交易” 等現(xiàn)象愈演愈烈，信息主體的人格尊嚴、人身安全、財產(chǎn)遭到侵害，這不僅破壞了公民的生活安寧甚至危及社會、國家的秩序穩(wěn)定。

在現(xiàn)實生活中，侵犯公民個人信息的違法違規(guī)行為頻發(fā)，歸根到底還是法律制度存在著滯后性，為達到個人信息保護的目的及合理利用，需要從立法、司法、社會管理層面進行規(guī)范。

1 個人信息概念思考

個人信息，是指能夠通過文字、聲音、臉容、數(shù)據(jù)等載體識別出特定自然人的具有專屬性的信息總和?！睹穹ǖ洹返谝磺Я闳臈l、《網(wǎng)絡安全法》第七十六條第五項都對個人信息進行定義，這兩部法律都體現(xiàn)了個人信息的專屬性和識別性，隨著數(shù)據(jù)經(jīng)濟的發(fā)展，個人信息流轉形式復雜多元，突破了信息利用形式和傳播載體的局限，其內(nèi)涵和外延在實踐應用和司法適用過程中發(fā)生相應的轉變。

1.1 個人信息的法律屬性

個人信息的法律屬性，主流觀點認為有隱私權、財產(chǎn)權、人格權、個人信息權[1]。作為隱私權保護，從個人信息與隱私權的法律屬性上看，兩者各不相同。“個人信息屬于一種集人格利益與財產(chǎn)利益于一體的綜合性權益并非權利[2]” ，隱私權作為一種私密性的人格權，具有防御的、消極的、被動的特征。作為財產(chǎn)權保護，亦是把個人信息當成私有財產(chǎn)，以個人信息為內(nèi)容，以數(shù)據(jù)技術為手段，以處理帶動經(jīng)濟收益，那么通過財產(chǎn)侵權模式來保護個人信息也順理成章，執(zhí)此觀點的學者不在少數(shù)。作為人格權保護，在大數(shù)據(jù)化時代，各種各樣零碎信息足以勾勒出某個特定人的“輪廓” ，已然是本人的完整映射，“對個人信息的保護，也成為數(shù)據(jù)時代下對個體人格權保護的延伸[3]” ，予以人格權化保護雖說源自德國，如今成為歐盟有關個人信息保護的立法基礎。作為個人信息權保護，采用這種說法目前只是對國外“個人信息自決權” 的一種學術借鑒，盡管法學界對其法律屬性的剖析如火如荼，但我國立法至今尚未確立“個人信息權” 的具體闡述。

整體而言，個人信息已經(jīng)超出隱私權、財產(chǎn)權的范疇，又限縮在人格權保護之下，從個人信息的法律屬性上講，我國采取的不是隱私權說、財產(chǎn)權說、個人信息權說，而是在新頒布的民法典人格權一編中對個人信息予以明文規(guī)定，個人信息作為人格利益進行保障，屬于民事權益。

1.2 個人信息的法益解構

個人信息的法益解構，直接影響某種信息是否屬于公民個人信息，屬于何種信息類型的歸類，關乎定罪處刑。

從刑事領域來說，犯罪必然侵犯直接客體，具有法益侵害性。數(shù)據(jù)化時代對公民個人信息進行重新解讀，充分理解其基本含義，正確界定與個人信息相關犯罪及刑責的前提是明確其行為所侵犯的基本法益，而關于公民個人信息的屬性，存在“個人法益說” 和“超個人法益說” 兩種討論?！皞€人法益說” 是將犯罪行為所侵犯的法益限縮在單一的個人利益范圍內(nèi)進行研究討論?！俺瑐€人法益說” 認為犯罪行為所侵害的是刑法所保護的個人信息安全與財產(chǎn)安全，甚至危害公共安全、國家安全，這種超出個人法益范圍的解釋需要立足現(xiàn)有的社會現(xiàn)狀、國家信息安全戰(zhàn)略層面進行解讀重構。隨著互聯(lián)網(wǎng)數(shù)據(jù)流通主流化，任何侵犯個人信息的行為都不僅僅只體現(xiàn)為對個人合法權益的侵害，單純將其歸結為對個人信息權益侵害的做法是不全面的,“侵犯公民個人信息罪” 歸屬于刑法分則“侵犯公民人身權利、民主權利罪” 這一類別,顯而易見，侵害公民個人信息的行為本質(zhì)上兼具公民個人人格利益、財產(chǎn)利益與社會利益的綜合性[4]。這就意味著，數(shù)據(jù)化時代公民個人信息不能僅僅以個人利益保護為目標和視角，而應當從社會利用的角度出發(fā)，最終形成以人格利益保護為起點、以社會秩序利益為依歸的公民個人信息保護模式。個人信息的客體注重的是身份識別性并通過載體呈現(xiàn)出來，有別于個人隱私保護個人私密性，個人信息關乎社會、國家安全穩(wěn)定，具有公共性。

1.3 個人信息的實質(zhì)內(nèi)涵

個人信息的實質(zhì)內(nèi)涵，首先從理論上說，即使同一部門法基于不同的理解，從不同角度出發(fā)，學者之間的闡釋與解讀也存在著差異，并由此形成了不同的觀點學說，典型的觀點主要有狹義識別說、廣義識別說、個人隱私說、個人關聯(lián)說、財產(chǎn)商品說等[5]。無論是哪種觀點，均未從根源上否認個人信息可識別性這一首要屬性和實質(zhì)內(nèi)涵，單向認定公民個人信息實質(zhì)內(nèi)涵的觀點都是有失偏頗。雖然各家學說屬于學理解釋，但對“個人信息” 在數(shù)據(jù)時代擴大解釋范圍帶來更深層次的思考和借鑒。其次，相較于隱私權，個人信息權維護的是排他控制和自主處置信息的自由，以私權保護為中心，將其作為一項具體的人格權與隱私權、財產(chǎn)權等平行保護，在當前個人信息保護領域極具參考性。個人信息的認定以可識別為切入點，從而在立法上對“信息” 邊界進行如實擴充，新形勢下“信息” 與“可識別” 兩者統(tǒng)一方能構成“個人信息” 的最基本概念原理，以符合大數(shù)據(jù)發(fā)展態(tài)勢下個人信息的利用趨勢。

綜上所述，個人信息在實踐應用過程中已經(jīng)逐步發(fā)展為新型具體人格權，這種適應大數(shù)據(jù)時代的個人信息具有雙重屬性——以人格利益為起點，兼顧財產(chǎn)利益的保護。在民事領域，從概念基礎上傳統(tǒng)碎片化的概括加列舉式的法律界定并不能促成公民個人信息的外延達到周延狀態(tài),也不能完全適應數(shù)據(jù)化社會個人信息利益的保護；在刑事領域，需形成以人格利益保護為起點、以社會秩序利益為重點與依歸的公民個人信息保護模式，使其與現(xiàn)代社會的發(fā)展進度相協(xié)調(diào)，以化解重大社會問題存在立法空白的局面。個人信息的內(nèi)涵與外延必須同步于數(shù)據(jù)化時代的發(fā)展并建立相應的轉變與擴充。在討論個人信息的適用情況和立法現(xiàn)狀之前，我們需要重新審視大數(shù)據(jù)時代下的“個人信息” 。

2 個人信息利用行為的規(guī)范現(xiàn)狀

2.1 立法層面

我國已經(jīng)通過法律和法律解釋為個人信息撐起了保護傘，來彌補法律滯后性的缺陷，但至今未匯編成起指導作用的法律體系，個人信息未以權利化處理。

2.1.1 立法涵蓋面廣但相對分散

從現(xiàn)行法律制度來看，關于個人信息保護立法涵蓋面廣，跨越多個領域。首先，對公民個人權利的保護置于憲法保護的高位，我國憲法第三十三條第三款明確規(guī)定“國家尊重和保障人權” 。其次，以國家權威作為保障，完善保護個人信息的基本法律，2015年《刑法修正案(九)》對《刑法》第二百五十三條之一作了修改，確立侵犯公民個人信息罪；2013年《消費者權益保護法》第十四條確立了消費者的個人信息依法受到保護；2016年《網(wǎng)絡安全法》第二十二條之三對涉及用戶個人信息予以保護；2018年《電子商務法》第二十三條規(guī)定電子商務經(jīng)營用戶的個人信息受到法律保護；2020年5月《民法典》第一百一十一條明文規(guī)定自然人的個人信息受法律保護，至此我國在立法上對個人信息的保障進入新的階段。最后，行政法規(guī)、部門規(guī)章等為了更好地實施個人信息相關法律作了補充規(guī)定。

總體來看，我國對個人信息的立法保護基本涵蓋了憲法、刑法、民法、行政法等領域，民商事領域的事后補救，行政法領域管理過程的處分和處罰，刑法領域是窮盡保護方式的最后保障。雖然立法涵蓋面廣，但相對分散，未形成具指導意義的法律匯編體系。

2.1.2 個人信息未以權利化處理

通過前述對個人信息的概念屬性、法益解構、實質(zhì)內(nèi)涵的分析學習中，深化了個人信息概念的理解，個人信息已經(jīng)逐步發(fā)展為一種新型具體人格權。從《民法典》保護的客體來看，其保護的是“個人信息” 而不是“個人信息權” ，并未予以權利制度化。個人信息權與個人信息保護上有何區(qū)別？王利明教授將個人信息權界定為收集、處理和使用在內(nèi)的整個過程中，個人信息主體所享有的知情權和決定權[6]。個人信息權可作為一項具有專屬性、排他性的自主權利，其主體擁有信息自主支配的權利。所謂個人信息，是將其當作具體民事權利客體，侵犯客體將產(chǎn)生相應的民商事責任。在民法領域，民事主體的個人信息明確予以法規(guī)限制和保障，但未如“隱私權” 一般，將其作權利化處理，而是通過立法明確民事主體享有人格權益。從刑事領域來看，作為法定一罪，侵犯公民個人信息罪的犯罪構成，特別是其法條設置屬于典型的空白罪狀制法模式[7]，該罪法益的內(nèi)涵和外延，理想狀態(tài)應當以民商法、行政法等領域在內(nèi)的前置法律作為解構基礎，以確保個人信息從立法、實施、救濟環(huán)節(jié)實現(xiàn)民法、行政法、刑法秩序的統(tǒng)一。

2.2 司法層面

個人信息保護在司法適用過程中，面臨著民事領域個人信息的處理規(guī)則與刑事領域罪名適用之間出罪與入罪銜接的問題。

2.2.1 “違反國家規(guī)定” 的認定

《刑法修正案(九)》第十七條中“違反國家規(guī)定” 的認定，是立足《民法典》關于個人信息處理規(guī)則與侵犯公民個人信息罪“違反國家規(guī)定” 這個基礎上進行討論的?！睹穹ǖ洹返谝磺Я闳鍡l、一千零三十六條等相關規(guī)定“信息處理者在征得個人同意后處理個人信息，并且不得過度處理” 。從理論上看，“征得信息主體同意” ，即所謂的告知同意規(guī)則，采用的是事實判斷，由于告知的方式不同而在程度上有輕重之分，而侵犯公民個人信息罪基本犯罪構成的客觀標準之一是“違反國家規(guī)定” ，此處采取的是客觀標準。從司法實踐上看，涉及與個人信息相關的刑事案件，對是否“違反國家有關規(guī)定” 的認定，其首要標準是現(xiàn)行法律法規(guī)關于個人信息的具體規(guī)定，將“信息主體是否明確同意” 納入綜合考量，是基于現(xiàn)實需要，防止為了執(zhí)行紙條上的法律而忽視法律的價值目的，陷入教條主義。因此，罪名適用過程中對獲取、提供公民個人信息行為性質(zhì)進行認定時，要與民法領域征得同意作出區(qū)別，防止陷入將符合規(guī)定“征得信息主體同意” 的出罪行為認定為“違反國家有關規(guī)定” 而按照刑法犯罪處理的誤區(qū)，否則，通過刑事入罪的手段重刑打擊達到保護個人信息的目的，這種過度保護將限制信息的自由流通，有礙數(shù)據(jù)社會經(jīng)濟利益的發(fā)展。

2.2.2 處理方式的銜接

民事領域關于個人信息處理的界定與侵犯公民個人信息罪的“行為方式” 存在銜接的必要性，根據(jù)《民法典》第一百一十一條，統(tǒng)一界定為“處理” ，包括“個人信息的收集、存儲、使用、加工、傳輸、提供、公開等” ；在刑事領域表現(xiàn)為“提供和獲取” 兩類行為方式。從上述規(guī)定可以認為，在司法適用中，民法上對個人信息的“收集、提供、公開” 與刑法上的“獲取、提供” 行為方式相對應，而民法上對個人信息的“存儲、使用、加工、傳輸” 在侵權行為方式上與刑法上的罪名入罪行為方式無法對應，這意味著對于實踐中業(yè)已出現(xiàn)非法存儲、使用、加工、傳輸大量公民個人信息的行為，恐難入罪。

2.2.3 “情節(jié)嚴重” 缺乏標準

從條文分析，《刑法修正案（九）》確立侵犯公民個人信息罪，沒有對“情節(jié)嚴重” 的程度、范圍等認定標準進行統(tǒng)一，給司法實踐帶來解讀、定罪困擾。《解釋》第五條列舉了十項“情節(jié)嚴重” 的情節(jié)，其前九項采取固定式標準、單一性結構進行界定，第十項“其他情節(jié)嚴重的情形” 采取綜合的標準進行認定，司法解釋的出臺彌補了關于“情節(jié)嚴重” 認定的空白，但“情節(jié)嚴重” 仍欠缺認定的統(tǒng)一標準給自由裁量留有空間。從犯罪構成要件看，此罪危害行為達到“情節(jié)嚴重” ，其犯罪客觀方面是積極作為，罪過形式是故意，把不作為（消極作為）和過失排除在外，意味著個人信息處理行為在消極作為或者過失情況下出罪。隨著個人信息流轉跨地域性、侵權軌跡無痕化，僅局限于現(xiàn)行司法解釋所規(guī)定的幾種情形很難跟得上數(shù)據(jù)化社會的犯罪手段，在司法實踐中，應當結合個人信息多方面因素，例如侵犯信息的數(shù)量、侵犯公民個人信息罪所獲得的利益等多方面因素進行綜合考量[8]。

綜上所述，個人信息在司法實踐過程中存在著民刑對標差異而在出罪與入罪定性不同，刑法作為保護公民權益最嚴厲的手段，不可能也不應當對所有行為進行事前調(diào)整，而是重在事后保護。

2.3 社會管理層面

行政管理部門為更好地履行社會公共事務的管理職能和服務法律實施，其有賴于法律的完善。在社會管理過程中，個人信息存在信息主體知情同意豁免和公權力介入缺乏公益性標準的問題。

2.3.1 信息主體知情同意豁免

與民法平權保護的出發(fā)點不同，行政管理被賦予處理不對等權利義務關系的管理職能。當個人信息化為流通領域的數(shù)據(jù)信息，知情同意是流通的前提，主體包括作為數(shù)據(jù)控制者的私人機構和公權力機構，處理行為泛化包括數(shù)據(jù)的采集、傳播、加工或其他行為方式。值得引起注意的是，作為公共義務主體的代表如國家公權力機關，享有私人權利的代表如信息持有者，兩者在適用“知情同意” 前置條件時是存在差別的。第一，在私主體保護方面，信息主體知情同意是前提條件，未經(jīng)同意，信息控制者不得隨意處理。例如《消費者權益保護法》《網(wǎng)絡安全法》都作了同類規(guī)定，處理個人信息須明示并取得同意，知情同意是處理個人信息的前提，但是也有例外?！睹穹ǖ洹返谝磺Я闳鶙l第三項規(guī)定個人信息處理者在維護公共利益或者該自然人合法權益，合理實施的其他行為，行為人不承擔民事責任。至此，這是征得授權同意的例外，即對信息控制者豁免告知，對信息主體豁免同意。第二，具體至公法保護領域，存在著不同的觀點。一種觀點認為，公權機關基于職務行為，在履行職責過程中所獲取的信息內(nèi)容屬于“執(zhí)法隱私” ，在這種情形下，知情同意不能作為阻卻事由。另一種觀點認為一旦知情同意，信息主體基于某種目的或動機提前藏匿或刪除執(zhí)法所需信息而“破壞執(zhí)法所需要的信息與證據(jù)” ，并最終“破壞國家的執(zhí)法能力” 。從這個意義上說，一方主體基于職務行為，原則上就不再受制于“知情同意” ，對信息主體豁免同意。

總體而言，基于維護公共利益或履行公共職能，信息處理者啟用“知情同意” 時，對信息處理者（控制者）豁免告知，對信息主體豁免同意。

2.3.2 公權力介入缺乏公益性標準

盡管2020年中央在重大衛(wèi)生安全工作指導中，通過《關于做好個人信息保護利用大數(shù)據(jù)支撐聯(lián)防聯(lián)控工作的通知》文件強調(diào)“為疫情防控、疾病防治收集的個人信息，不得用于其他用途” ，但在此次新冠肺炎抗疫工作中，從全國范圍的健康碼收集個人信息和社會反饋來看，都存在不同程度的超出防疫管控預設，或超越不必要的信息種類或使用不當而造成個人信息遭擴散，即便此時公共利益被視為阻斷行為違法性的事由，但仍無法掩飾公權力使用不當?shù)目陀^事實。結合我國現(xiàn)有的立法情況和司法實踐，為履行法定義務或法定職責，國家公權力的介入兼具立法上的合法正當和執(zhí)行社會管理的必要性，一方面?zhèn)€人信息的公法保護體現(xiàn)在對一國公權力機關超范圍收集和過度使用的防御，另一方面體現(xiàn)為個人信息在面臨同為私主體的其他人侵害時公權力的有效介入。公權力的介入既是自我監(jiān)督又是主動履職，有利亦有弊。公權力一旦基于公共利益的考量主動介入，其對立面必然是對私主體個人信息權益的限制，這種介入是社會管理過程中無法避免的但可以受到限制，限制公權力無限度收集和不當使用個人信息，行之有效的解決方法是界定公共利益的標準。

“公共利益” 一詞在法律實施過程中具有概念迷惑性，雖說在一定程度上為公權主體處置個人信息提供正當法律依據(jù)，但對“公共利益” 尚無法律標準答案，概括的、抽象的“公共利益” 并無法為社會管理過程中的使用行為是否得當進行客觀評價。萬物皆可公共利益，在實際操作過程中并無法為限制公權機關不當收集和使用個人信息劃定界限，無法改變信息保護與數(shù)據(jù)流通兩者之間的對立。

3 個人信息利用的邊界

大數(shù)據(jù)應用加快經(jīng)濟社會變革的進程，創(chuàng)新經(jīng)濟發(fā)展模式的同時也提升政府治理能力，從個人信息利用的現(xiàn)狀來看，在立法、司法、社會管理層面遇到諸多問題亟需解決，經(jīng)濟社會的發(fā)展和個人信息的多變性要求我們不能止步傳統(tǒng)權利觀，要使立法科學，保護措施行之有效，那么個人信息利用邊界的重塑、界定有著承上啟下的作用。

3.1 個人信息立法的邊界——以個人信息權為著力點，以統(tǒng)一立法模式為歸屬

保護個人信息體現(xiàn)的是個人信息的人格利益性，處理個人信息體現(xiàn)的是個人信息公共利益性[9]，正是基于個人信息的雙重屬性，厘清個人信息與個人信息權的法律屬性是有效保護個人信息的基礎，民行領域?qū)τ趥€人信息的概念及法律屬性界定決定了刑法的犯罪對象、影響侵犯公民個人信息罪所保護的法益界定。從民事立法現(xiàn)狀看，暫時沒有將現(xiàn)行法律概念規(guī)定為“個人信息權” ，直接表述為“個人信息受法律保護” ，即保護的是個人信息權益，歸屬于人格權益，并在人格權編中予以規(guī)定。從刑事立法現(xiàn)狀看，個人信息具備身份和可識別兩種特性，侵犯公民個人信息罪編入刑法分則中第四章，直接表明了本罪所保護的客體兼具人身和財產(chǎn)雙重屬性，而單一的個人信息權益不足以框住日益發(fā)展的個人數(shù)據(jù)侵權問題。個人信息的實質(zhì)內(nèi)涵隨著數(shù)據(jù)社會的發(fā)展需以個人信息權為依歸，予以權利化處理是民法的應然狀態(tài)，也是刑法保護的題中之義。

經(jīng)濟基礎決定一個國家部門法的構建，法律是隨著社會的發(fā)展需要而不斷進行調(diào)整的。從立法層面來看，《民法典》《網(wǎng)絡安全法》《消費者權益保護法》《電子商務法》與《刑法》協(xié)同運作，從而組成了個人信息保護的部門法架構。從立法的背景和進程上看，起初是從對消費者權益、網(wǎng)絡安全、電子商務等特定領域進行局部立法保護，到后來隨著社會的發(fā)展，衍生出一系列侵犯個人信息的侵權問題后，刑事、民事領域相繼立法規(guī)制，從客觀上說，法律的制定是具有滯后性的，隨著大數(shù)據(jù)的發(fā)展，個人信息處理方式實現(xiàn)跨地域流轉，侵權手段層出不窮，已經(jīng)不能滿足頭痛醫(yī)頭、腳痛醫(yī)腳的局部立法，勢必要從國家統(tǒng)一立法的大局出發(fā)，建立健全個人信息法律體系[10]。出臺專門的個人信息保護法明確何為侵犯公民個人信息的行為，將會承擔什么樣的責任，接受什么樣的刑罰處罰，真正做到罪、責、刑的統(tǒng)一。

大數(shù)據(jù)時代，個人信息保護也進入新的征程，創(chuàng)新的商業(yè)信息模式孕育著新的犯罪手段，具備復雜的法益侵害性，在立法上以個人信息權為著力點，以統(tǒng)一立法模式為統(tǒng)籌是值得借鑒的。

3.2 個人信息司法適用的邊界——完善民法前置性兼顧刑法謙抑性

從侵犯公民個人信息罪來看，基于民法上的處理規(guī)則與刑法“違反國家規(guī)定” “情節(jié)嚴重” 以及處理方式的標準不一，存在著出罪與入罪的對標問題，厘清這些問題才能解決個人信息法律適用問題。

第一，民法作為前置法。理想法治狀態(tài)本應民法先行，刑法作為后置保障，但從我國的立法進程上看，卻是“刑法先行” 局面。造成這種局面的原因一方面是目前民事立法上適用新型具體人格權說，而刑法仍然以過去隱私權模式對個人信息進行保護；另一方面是前置性立法缺乏有力的私力救濟途徑而以刑法為主的公力救濟被優(yōu)先適用，前者需要完善，后者具有滯后性[11]。

第二，兼顧刑法謙抑性。以信息自決權為切入點，現(xiàn)實適用中對于侵犯公民個人信息罪的法益立場面臨著困境,即忽略公民的個人信息自主、自控權。刑罰是限制或剝奪犯罪人特定權益最嚴厲的制裁手段，刑法對相關侵犯個人信息罪的打擊懲罰在一定程度上違背商業(yè)發(fā)展的追求和需要，為避免將個人信息的定義貿(mào)然擴大，陷入濫用國家刑罰權的局面，其界定仍必須回歸公民個人信息的最初涵義與規(guī)范原意進行解讀，罪名的確定以及刑法的裁量在符合刑法謙抑性原則的基礎上準確規(guī)制侵犯公民個人信息的行為。無論是個人信息還是個人信息權，為力求處理手段有法可依且合乎權益保障的目的，對公民個人信息的內(nèi)涵與外延必須同步于數(shù)據(jù)化時代的發(fā)展而進行相應的轉變與擴充，以身份識別為專屬特征，兼顧人格和財產(chǎn)雙重利益屬性，附隨動態(tài)調(diào)整?；貧w個人信息民刑適用問題上，當前侵權手段、行為層出不窮，保護信息主體不受非法侵害是刑罰重任，數(shù)據(jù)信息資源的合理開發(fā)與可持續(xù)利用，既要妥當處理好個人信息保護與信息自由流通兩者的平衡關系，也要確保刑法謙抑性原則的同時，堅持嚴厲打擊個人信息犯罪。

在司法適用過程中，完善民法前置性兼顧刑法謙抑性是應對數(shù)據(jù)化個人信息發(fā)展的現(xiàn)實要求，民法領域個人信息概念的完善和深化，才能筑起刑法保護之屏障，個人信息的刑事保護體系得以構建是對當前個人信息侵權行為系統(tǒng)治理和有力打擊。

3.3 個人信息社會管理的邊界——維護知情同意，框化公益標準

從社會管理角度來看，一方面存在信息主體知情同意豁免，另一方面公權力介入的正當性缺乏公益標準，如何權衡個人利益與公共利益，鑒于公共利益的優(yōu)位，信息主體的知情同意需要妥善保護，公益標準須統(tǒng)一。

公民知情權不能隨意限縮也不能籠統(tǒng)擴大，可以采取分類分級區(qū)別保護。公民個人信息作為數(shù)據(jù)基礎內(nèi)容無法避免被用于數(shù)據(jù)分析，根據(jù)收集信息的目的不同可以分為商業(yè)用途和非商業(yè)用途，商業(yè)用途主要指商業(yè)組織通過商業(yè)途徑收集信息的目的在于盈利；非商業(yè)用途指收集主體大部分都是非盈利機構，信息也大多用于科學研究、醫(yī)療服務、公共安全保護等公益事業(yè)，因此不同用途其保護手段也應區(qū)別開來。建立知情權分級保護具體原則：商業(yè)用途公民知情權保護可以建立知情權強制保護機制，以明確授權為原則，以默示知情、授權為例外；非商業(yè)用途的公民知情權保護以默示知情且授權為原則，以明確拒絕授權為例外，進而謀求個人利益與公共利益的平衡[12]。

法學領域內(nèi)，在個人信息之上所承擔的除了主體的私權訴求，還有社會共管、國家義務等公益屬性，個人利益與公共利益注定是此消彼長，合理平衡保護個人信息與維護公共利益是數(shù)據(jù)時代下的最大挑戰(zhàn)，平衡點在于框化公權力介入的公益標準。在個人信息流通泛化之下，概括的“公共利益” 并無法為公權機關主動收集行為或被動履職行為予以正當化、標準化評價，因為抽象性的公益評價并不能界定公權力主體的信息處理行為和手段，包括收集、利用、評價階段是否符合公益目的的追求，“公共利益” 缺乏法定界限，需要進一步框化標準。

綜上所述，個人信息保護在立法上相對分散、司法上適用民刑入罪銜接、社會管理公權力缺乏公益標準等問題亟需解決，為了推動信息產(chǎn)業(yè)的發(fā)展，維護公民個人信息利益，達到個人信息合理利用，應當避免選擇性執(zhí)法，更多地選擇民行手段進行預防規(guī)范，做到刑松民行緊。

4 個人信息保護與利用

法律具有滯后性，而個人信息的保護與利用是一個社會共治的過程。雖然我國法律從各個領域?qū)€人信息進行立法保護，但隨著社會的發(fā)展對個人信息的利用提出了新的要求，無論在立法層面、司法層面、社會管理層面都必須與時俱進以適應社會發(fā)展的需求，使個人信息的利用愈加規(guī)范合理。

4.1 個人信息保護與利用的原則

4.1.1 合法原則

合法原則，是指個人信息處理者在處理個人信息時要以現(xiàn)行法律法規(guī)為依據(jù)，不得跨越權限，一切違法行為都必須承擔與其侵權行為相應的法律責任。

個人信息控制者在處理個人信息時應當采用合法、正當?shù)姆绞?，處理的行為、手段合乎法律目的，遵循誠信原則；信息主體包括信息者或信息擁有者的正當權益遭受不法侵害時提供必要的救濟措施，使其合法權益得到有力的保障，做到有法可依違法必究是個人信息保護與利用原則的前提。公權機關基于維護公共利益的需求和考量而進行個人信息的合法利用，此時合法作為個人信息保護的原則性條款，具有法律優(yōu)位性，是限制“公共利益” 和“知情同意” 不二法則。

4.1.2 目的明確與目的限制原則

目的明確與目的限制，是個人信息保護與利用的核心法則。目的明確這一原則要求處理個人信息時理當具有明確、合理的目的，并按照相關規(guī)定向信息主體告知。目的限制原則要求處理行為應當限制在合理范圍，超出預設范圍的其他行為除非另行告知并征得同意，否則不得進行處理。

在個人信息利用領域，這一原則首先要求基于現(xiàn)階段立項事由明確收集、使用的目的，不得基于未來贏利、研究、公益等不確定目的提前收集、使用；其次是約束信息處理者的行為應受明示的目的限制，超出法定之外的目的需要重新立項或者征得知情同意。無論是公權力機關還是私人主體在這一原則適用上并無主體區(qū)別。

4.1.3 比例原則

比例原則，是指信息處理者基于公共利益處理個人信息時，對個人信息權益限制在最小范圍。比例原則要求目的、手段、損失之間應該保持適當?shù)谋壤?，限于實現(xiàn)處理目的的最小范圍。

在社會實踐過程中，個人信息獨占與流通兩者的平衡需要衡量多方利益，關乎民商事領域的私人、企業(yè)、市場利益，又涉及公共領域安全、流通問題，為了優(yōu)先保障公共利益，個人不得不讓渡其部分乃至全部的信息權益。雖說公益需求先行，但個人權利的克減并不是毫無計量的讓渡，應當遵守必要限度、適當比例，否則就會造成對個人信息權益的忽視和排除。無論是私主體讓渡個人利益，還是在約束公權機關無限度收集個人信息，比例原則是重要的衡量標尺。

4.1.4 知情同意原則

知情同意原則要求信息主體在充分了解信息使用目的、用途的情況下,如實作出肯定的意思表示后，信息處理者方可進入處理環(huán)節(jié)；處理環(huán)節(jié)如若形勢變更，超出預期同意范圍，應當重新獲得個人授權同意。知情同意作為信息收集和處理的首要法則，既尊重了信息主體在實體上的知情權，也保障了信息主體在程序上的授權，無論公私主體事后欲變更目的要求，重新授權是必經(jīng)程序。

4.2 個人信息保護與利用的措施

4.2.1 完善法律體系，推進專門立法

我國目前對個人信息的立法保護涉及民法、刑法、行政法等不同部門法，并未制定出系統(tǒng)、集中的公民個人信息保護法律進行專門規(guī)范，從法律的適用情況來看，保護公民個人信息的效果并不明顯，大多數(shù)情況下是事后補救和懲處，與侵犯個人信息結合的下游詐騙犯罪猖狂。

在個人信息保護單行法出臺前，細化現(xiàn)行法律條款，將散落于各個領域的保護法匯編成體系。盡管《個人信息保護法（草案）》已經(jīng)提請人大審議并公開征求社會意見，但推進專門立法迫在眉睫。《個人信息保護法》的出臺，可以明文規(guī)定個人信息為獨立的民事權利，賦權于個人信息權利保護，又可以統(tǒng)一刑法侵犯公民個人信息罪犯罪構成標準，通過國家強制力予以刑事保障，此外以立法為監(jiān)管依據(jù)，明確職責范圍及拓寬救濟途徑，消除部門法之間的沖突。通過頂層設計，將個人信息的收集、處理、使用、存儲等環(huán)節(jié)納入法律保護中來，進行整體規(guī)劃、預防、保護、懲治，轉變以往“頭痛醫(yī)頭，腳痛醫(yī)腳” 的事后保護模式，形成事前預防、事中監(jiān)控、事后懲治的全方位、多環(huán)節(jié)保護體制，公法與私法相輔相成實現(xiàn)個人信息的綜合性保護[13]。

4.2.2 設立監(jiān)管機構，創(chuàng)新監(jiān)管方式

大數(shù)據(jù)時代個人信息糾紛的源頭在于缺乏后期個人信息監(jiān)管體系，目前我國未成立專門的個人信息監(jiān)管機構，個人信息大數(shù)據(jù)的保護大部分散落在工業(yè)和信息化部、國家市場監(jiān)督管理總局及地方各級監(jiān)管部門，由于缺乏數(shù)據(jù)庫關聯(lián)共享和聯(lián)合執(zhí)法意識，無法在統(tǒng)一強度上進行行政監(jiān)管，行政救濟途徑由于缺乏可操作性，行政復議和行政訴訟收效甚微，對受害者而言利用法律維權又是一項新的挑戰(zhàn)。設立專門的個人信息監(jiān)管部門，履行個人信息保護和監(jiān)督管理職責；執(zhí)行侵權懲罰性賠償機制、制定相關部門關于個人信息保護工作的績效考核標準；完善監(jiān)管體系支撐信息主體尋求公權力救濟的途徑。

在專門監(jiān)管體系設立之前，需要創(chuàng)新監(jiān)管方式，多種保護模式齊驅(qū)并進。第一，引入第三方服務機構參與共建監(jiān)管平臺，通過第三方檢測評估與認證檢測機制，使政府的監(jiān)管能夠最大限度地保障公民個人信息的安全。第二，拓寬公民個人投訴渠道，公民是個人信息受侵害最直接也是最新發(fā)現(xiàn)侵權的當事人，從所在企事業(yè)單位、政府信訪部門等基層單位采取合理的預防、受理投訴，調(diào)查后提交監(jiān)管部門處置，開通網(wǎng)絡渠道接受有關的投訴、舉報。第三，推進行業(yè)監(jiān)督，將行業(yè)自律監(jiān)管和行業(yè)間互相監(jiān)督作為多元化監(jiān)管機制的補充[14]，從數(shù)據(jù)運營、征信企業(yè)中挑選相應的人才作為行業(yè)監(jiān)管的人才，甚至共同研究行之有效的行業(yè)監(jiān)管規(guī)則和章程。第四，投入專項資金，加強大數(shù)據(jù)安全技術研發(fā)運用，提升政府在數(shù)據(jù)庫管理和運用方面的技術安全，進行反盜取技術的開發(fā)研究。

4.2.3 提高法律意識，加大普法力度

物聯(lián)網(wǎng)、區(qū)塊鏈的廣泛應用，獲取個人信息的方式層出不窮，公民缺乏自我保護的意識和未能把握合理使用的限度，造成侵權或被侵權，而提高大眾個人信息保護法律意識是預防犯罪之良策。

作為監(jiān)管者的政府要加大普法力度，利用網(wǎng)絡、電視、手機客戶端、新聞報紙、現(xiàn)場宣傳等多種形式進行普法活動，推動法律進入千家萬戶。公民應該主動學習有關個人信息保護的法律知識，熟悉相關法律法規(guī)，知法而用法，善用法律武器維護個人合法權益。只有全民法律意識提高了，違法犯罪數(shù)量才會相應降低。此外，大數(shù)據(jù)商業(yè)化發(fā)展過程中，技術發(fā)展帶來的負面效應很大程度上是由于相關主體缺乏責任承擔的結果，企業(yè)具有逐利性，往往忽視經(jīng)營過程的合法性，侵犯用戶的權益。因此，加大企業(yè)普法力度，對高管和員工進行法律培訓，提高全員法律意識之余，更重要的是強化法人責任倫理、道德倫理，謀求發(fā)展與責任協(xié)調(diào)兼顧的倫理準則，“知法” 才能“守法” ，才會“用法”[15]。

5 結束語

大數(shù)據(jù)時代信息資源開發(fā)和使用的同時也伴隨著個人信息侵權行為，國家立法、特別是刑法并非缺乏有效回應，但法律是時代的產(chǎn)物，它不會止步過去，隨著新的犯罪類型、新的個人信息類別、新的行業(yè)實踐需求、新的調(diào)控制度相繼出現(xiàn)，在法治視野下重新審視我國個人信息利用行為的規(guī)范現(xiàn)狀，發(fā)現(xiàn)并解除個人信息利用在立法、司法、社會管理方面的邊界的障礙，有賴于通過設立專門的監(jiān)管機構和提高公民個人信息保護法律意識，更重要的是依賴國家權力機關頂層設計、盡快推進《個人信息保護法》立法步伐，最終達到個人信息的合理利用和促進數(shù)據(jù)信息產(chǎn)業(yè)發(fā)展的雙贏局面。