雷 婧

（吉首大學，湖南 吉首 416000）

一、大數據時代個人信息保護制度面臨的形勢與挑戰(zhàn)

隨著移動互聯(lián)網各項技術的發(fā)展，個人數據也逐漸成為互聯(lián)網企業(yè)發(fā)展的重要資源之一。然而正是這些龐大的數據“寶藏”，為企業(yè)的迅速發(fā)展帶來“石油先機”的同時，個人數據的濫用也變得日漸猖獗，“黑市交易”便有了生存的土壤。

在現有的法律體系下，個人數據信息的保護并不是“法律真空”，雖然我國目前還沒有正式出臺個人信息保護法，但相關的法律法規(guī)仍然存在，且相關的信息保護也已經逐漸開始完善。一方面，對于個人信息的保護意識逐漸增強，從過去對隱私保護到人格自由和人格尊嚴的全面轉變。另一方面，用戶信息權的內容也在擴大，在《網絡安全法》中增加了新的權利，如刪除權和糾錯權。然而目前個人信息保護中最突出的問題在于各項大數據產業(yè)蓬勃發(fā)展卻依舊無法滿足個人信息保護的需要［1］。

（一）現行法律保護的滯后性

首先，關于個人信息的規(guī)制一直采用“知情-同意”的保護模式，但在數據時代隱私侵權問題已經從原本的單一使用問題擴展到信息數據的“二次使用”。即侵權主體、方式和適用范圍都發(fā)生了顯著變化。侵權主體不僅僅是網絡服務提供者和其他的互聯(lián)網用戶們，還出現社會商業(yè)網站和其他平臺的數據處理公司等。侵權方法也已從直接侵犯個人信息轉變?yōu)橛脩粜畔⒌摹岸问褂谩?。此外侵犯個人隱私的“二次使用”的動機也不同于傳統(tǒng)上對個人隱私進行報復，現在還包括了通過數據分析和處理獲得的商業(yè)價值的經濟動機。因此，我國的信息保護法需要進一步完善，以適應時代的新變化。傳統(tǒng)的隱私保護策略顯然已經不能適應當今時代的需要。

其次，在大數據挖掘與多方企業(yè)利益抗衡的今天，企業(yè)間對于個人信息數據的連接日漸頻繁，保護個人信息不僅成為企業(yè)的發(fā)展優(yōu)勢更是一項社會責任。但我國卻尚未形成有關互聯(lián)網服務提供商相關的法律責任機制，這是發(fā)揮數據業(yè)者保護個人信息能動性和積極性的關鍵。

最后，有關信息保護的實體法規(guī)定因太過原則性而不夠具體明確，可操作性仍有待加強?！睹穹ǖ洹返谝磺Я闳臈l第一款規(guī)定：“自然人的個人信息受法律保護?！蓖瑫r《民法典》中還規(guī)定了關于個人信息界定的內涵和外延，適用于“可識別”作為其判斷個人信息的標準?？梢娫诂F代信息社會中，獲得個人信息的權利逐漸被立法者視為一項重要的人格權利加以保護?！睹穹ǖ洹返谝话俣邨l還對“數據”進行了概括性保護，彌補了我國法律對虛擬財產的保護的不足，但卻留下了關于個人信息數據等虛擬財產保護具體的法律空白。新《反不正當競爭法》第十二條作為“互聯(lián)網專條”，其中增加了互聯(lián)網領域的特殊規(guī)定，但或許在大數據背景下能真正發(fā)揮作用的僅有第四條款的兜底條款了。

（二）網絡監(jiān)管的缺失

政府治理在法律保護中發(fā)揮著不可或缺的作用。但是，目前的行政管理存在一定的問題。首先，監(jiān)管機構不明，沒有權責清晰的管理機構并作為專門的監(jiān)督機構。其次，監(jiān)管標準不具有強制性，相關指導性技術文件因不具有較強約束力而在信息保護監(jiān)管問題上缺乏完整標準的嚴格性保護，如《信息安全公共技術及商用服務信息系統(tǒng)個人信息保護指南》（2013）。最后，監(jiān)管措施的非嚴格化程度導致大量樣本統(tǒng)計數據偏離真實的個人信息，影響個人形象的錯誤結論。此外，資料壟斷者與個人之間缺乏對個人隱私資訊的嚴格管理，也會造成一些資料壟斷者利用個人資訊進行預測、廣告服務及個人服務，個人只能被動地接受垃圾廣告，無用信息的干擾無疑會嚴重影響生活和工作的秩序。從實踐來看，國家機關以及承擔法定職責的工作人員在履行職務的過程中也會收集到更多的個人信息，這對在法律上確保其承擔一定的保密義務具有一定的現實意義。因此，《民法典》第一千零三十九條就規(guī)定了有關國家機關及其工作人員需要注意的保密義務。但本條卻未規(guī)定違反保密義務所帶來的法律后果，若結合《國家賠償法》相關規(guī)定自然應承擔一定的責任后果。

（三）技術手段的落后

良好的技術手段能夠有效保護信息安全，防止信息泄露的經常性非法破壞。但一方面，我國目前的技術手段對保護個人信息還十分有限，不能完全適應保護個人信息安全權的技術需要。企業(yè)在保護個人信息提供的管理上、技術上或物理上的安保措施也十分有限，未能對個人信息安全威脅的可預見性以及技術措施的有效性提供高效的監(jiān)測運行。另一方面，企業(yè)在技術保護方面的自主創(chuàng)新仍然停滯不前，再加上缺少資金的投入也難以讓技術的發(fā)展超前。要想讓企業(yè)在技術的支持下進行新一輪發(fā)展，獲取更多的外在優(yōu)勢，更應該利用先進技術首先保護用戶的利益。

（四）行業(yè)內部自約力欠缺

行業(yè)自律是信息保護的關鍵。許多個人信息的搜集挖掘等都需要網絡中介來完成，信息挖掘和商業(yè)智能讓收集的數據還原并預測個人生活狀態(tài)，這樣形成的個人隱私會曝光在網絡之下，例如不道德的“人肉搜索”。某些企業(yè)還為了獲取較大的經濟利益專門通過泄露、交易買賣等行為獲取企業(yè)發(fā)展先機。加之行業(yè)內部并沒有嚴格的管理機制與處罰規(guī)定，在沒有嚴格約束力的情況下，企業(yè)違法行為悵然而生［2］。

（五）個人信息保護意識的缺乏

個人信息被泄露以及濫用的情況很重要一個原因還是自身對于網絡信息安全意識不夠警惕。網絡用戶在平時生活中會不加防范地隨便輸入個人信息后也沒有安全保護和刪除相關信息，無意識地便將信息泄露出去。用戶們在處理個人信息的社會事務時，也沒有約定相關的保密義務。即使日后發(fā)現個人信息泄露，也會因為取證困難或者維權成本太大等原因不愿維權甚至無法維權。在個人信息的性質上，我國立法部門對此權利性質也在不斷深化，明確了個人信息保護對維護人格尊嚴具有重要現實意義，其作為一項重要的人格權利，不容忽視。［3］

二、我國個人信息保護制度的完善

當今世界，數據安全問題已經受到了各國的極大關注，我國也相繼出臺和頒布了《電信和互聯(lián)網用戶個人信息保護規(guī)定》以及《網絡安全法》，但專門性的《個人信息安全保護法》卻尚未出臺。在大數據發(fā)展的背景下，個人信息的保護問題還有待在實踐中得到進一步檢驗。

（一）立法的價值取向應充分考慮價值平衡

我國的保護價值取向應在不同主體之間尋求平衡，即保護個人權益和行業(yè)發(fā)展之間的平衡，公共和私人權利之間的平衡以及法律和技術之間的平衡。首先我們應該對個人數據的認識保持理性的態(tài)度。它不僅具有人格權，它也是一種社會經濟資源，作為數據挖掘技術與數據分析上被商業(yè)利用。其次，我們需要正確對待權利保護與權利限制間的關系。保護個人信息立法的核心就是權利的保護，但倘若過分強調權利保護一定程度上會抑制數據流動的機會，以此加大商業(yè)成本，抑制了商業(yè)的發(fā)展。因此對于權利的限制應作為對權利保護的補充，并應根據“案件平衡”原則加以減損［4］。

（二）確立個人信息保護的單獨立法模式

迄今為止，世界上大多數國家都對個人信息進行單獨立法，但是，我國沒有關于個人信息的專門立法，且在數據時代國際上普遍對個人信息保護問題專門立法趨勢的背景下，以及面對人工智能的變動性與不確定性，我國也應該盡快制定符合我國國情的一套立法模式。

筆者在此建議我國應傾向于歐盟的統(tǒng)一模式立法，在此基礎上結合美國的以行業(yè)自律的方式分散式立法。原因在于：第一，歐盟和我國同屬于大陸法系國家，在法律制度上與我國有一定的兼容性，很大程度上可以為我國提供借鑒。第二，對比美國而言，它的行業(yè)組織較為發(fā)達，這種較為發(fā)達的行業(yè)組織之間的頻繁互動也能衍生出更多行業(yè)自律。與之相反我國的行業(yè)體系不具備這樣強大的影響力與行業(yè)類別，可見在各個領域分散立法與我國國情并不相融。當然為鼓勵創(chuàng)新與引導行業(yè)自律，也應適當給予行業(yè)自我約束的效力，使其成為立法的有益補充。第三，我國對個人信息的保護受一系列法律的分散制約，包括民法、刑法、行政法和相關程序法中都有關于保護個人信息的特殊規(guī)則，但這只是問題的一個方面。如何在法律上保護這種數據信息的新型資產，如何界定其權利的歸屬等相關問題都是值得關注并盡快解決的一系列重要問題。因此，就很難通過各種分散法律進行調整，在實踐中也容易出現法律保護的漏洞，所以理應出臺一部專門的《個人信息保護法》。

（三）完善個人信息保護的相關立法

建立我國個人信息保護的立法價值取向和立法模式后為了更加完善我國的信息保護問題，還應該從實踐中發(fā)現問題并不斷進行完善。因為我國的個人信息保護立法不僅要以“靜態(tài)”來進行規(guī)制，還要加強“動態(tài)”監(jiān)管明確其義務。

1.明確用戶協(xié)議在信息保護中的法律地位

在互聯(lián)網環(huán)境下，用戶們和供應商之間法律關系的基礎便是用戶協(xié)議。但長期以來用戶協(xié)議的重要性一直被網絡用戶們忽視，面對協(xié)議的冗長性和不可修改的文本對用戶來說幾乎都是不利的。用戶直接會點擊“同意”，這種草率的態(tài)度給爭議的解決留下了巨大的隱患。與此同時隨意變更用戶協(xié)議的文本已經成為行業(yè)常態(tài)，在協(xié)議中甚至會將這種隨意變更的權利明確規(guī)定，對于要接受這份協(xié)議的用戶來說這顯然是有失公平的，會讓整份協(xié)議的效力大打折扣。因此用戶協(xié)議作為互聯(lián)網時代企業(yè)合作的法律基礎，就要足夠重視起其作用。

2.創(chuàng)新“知情同意”原則的隱私保護模式

為了滿足企業(yè)發(fā)展的實際需要，用戶的知情同意規(guī)則應向數據處理者或數據收集者對不當使用行為承擔責任的方向延伸。

首先，面對陌生和冗長的隱私協(xié)議，專業(yè)人士需要就私人和公共利益提供標準化建議。具體來說，立法者及產業(yè)界應發(fā)揮自身專業(yè)優(yōu)勢，將數據處理過程中的適用問題進行歸納總結，再提出明確的具體化要求，以規(guī)范企業(yè)故意或惡意不履行或不完全履行告知義務的行為。

其次，要加強對知情同意原則的使用范圍，授權必須是明確且科學的，授權條款寫得不清楚，即便消費者同意，也不能認為是獲得了授權。在世界范圍來看，美國模式采用“未反對即視為同意”的做法，歐盟的一般數據保護條例中采取“未明確授權即視為拒絕共享”的授權模式。我國在此并沒有明確規(guī)定，所以建議授權也必須是明確的才能視為同意。

3.加強網絡服務商對個人信息的保護

首先給予網絡服務者們收集權利的同時也應該加強限制收集的對象范圍。不同的數據收集行為和數據收集的不同對象范圍都要做出相應限制。同時對收集數據信息的方式和方法也應遵循最小化利益。

其次實施好個人信息的安全保護措施，可提前對個人信息進行風險評估，之后根據評估顯示的風險等級采取適當級別的保護措施。同時可建立起個人信息的披露報告制度，要求網絡運營商們在個人信息泄露時及時履行好對監(jiān)管機構的報告義務，泄露情況可能對信息主體造成一定損害。

（四）加強對個人信息的外部保護

首先，行政機關可通過規(guī)范運營商收集、保存、使用和傳輸用戶個人信息的行為進行監(jiān)督整改，還可通過評估和宣傳形成一定的社會示范效應，以此推動整個行業(yè)的個人信息保護水平。面對數據商業(yè)化的違法行為，可加大行政處罰力度，建立宣傳制度，對列入“違法行為黑名單”的違法企業(yè)進行通報并處罰。

其次，在民事訴訟上規(guī)范建立被告的舉證規(guī)則，在運用新技術的合理商業(yè)競爭行為中首先應推定具有正當性，反之運用技術的不正當競爭行為則需要證據加以證明。另外不能確定侵權標的，應當由控制人和處理人對侵權行為承擔連帶責任。

總之，未來的數據信息治理仍然需在“摸著石頭過河”中循序漸進，只有等到時機成熟與經驗豐富之后，我國的立法才會完善。未來我國數據信息保護也應強調多元平衡。在大數據發(fā)展的浪潮中，應積極學習國外的成功經驗模式，勇于探索出符合本國國情的治理模式。只有重視個人數據信息的保護，加快立法進程，才有利于個人信息安全，也會更有利于國家的安定與團結。