信息數據庫法律規制之個人信息保護分析

摘 要 后信息時代全民信息不可避免的擴散帶來的被無邊際使用、處分，從而導致信息詐騙等危害性乃至于更為廣泛的社會和國家層面的危險性，對立法、司法均提出了更高的新的要求。文章分析了個人信息保護法律法規不斷完善、處罰力處度不斷加大、監管水平不斷提升等現狀。

關鍵詞 數據庫 個人信息 行政監管 民事救濟 刑法規制

作者簡介：樹宏玲，北京市惠誠（深圳）律師事務所律師、合伙人，十屆深圳市律師協會民事法律專業委員會副主任，研究方向：民商事訴訟、刑事辯護。

中圖分類號：D922.7 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2017.10.111

隨著計算機及智能手機的普及、傳統互聯網及移動互聯網的全面覆蓋，社會管理、商業經營、無紙化辦公、網絡購物、電子支付等等應運而生，人們的工作生活無處不存在著各類信息的搜集，其中個人信息搜集占比最大。這樣的信息時代，雖然縮短了人與人之間的距離、方便了人們的工作生活，但是也帶來了信息數據特別是個人信息數據的安全問題。

近年來，個人信息的泄露引發的社會問題、法律問題層出不窮，2016年8月21日徐玉玉遭遇電信詐騙傷心欲絕、郁結于心導致心臟驟停離世，引發了全社會及法律界對個人信息保護的深度思考。本文信息數據庫中的信息數據特指個人信息數據，文章從信息數據庫的形成、歸屬及所有權，數據庫的運營及數據傳播方式，行政監管，民事救濟，刑法規制等角度來分析解決個人信息保護問題。

一、 信息數據庫的形成

信息數據庫是以計算機或手機終端為載體，通過機構、網站、網購支付平臺等媒介對信息進行搜集、保存。常見的有銀行客戶信息、微信實名信息、各類招考網站考生信息、各類網購平臺實名及綁定銀行信息等等。這些機構、網站或網購支付平臺在運營過程中搜集的信息通過機械式地集合、分項統計歸類等方式就形成了各種數據庫，如：儲戶信息、報考信息、各類交易支付信息等，這些信息無不包含著或多或少的個人信息，因此可以統稱為個人信息數據庫。

二、數據庫的歸屬及所有者權利

信息本身不是財產，且來源于各個個體，因此不能對信息本身確定歸屬問題。但是，有物質載體的數據庫就不同了，一般來說，機構、網站、網購支付平臺等基于自身業務經營需要，將經公民同意搜集的信息進行集合、整理、分項統計歸類而形成并保存于計算機或手機終端的數據庫，則可依據其計算機或手機終端的歸屬來確定歸屬。那么數據庫的所有者是否如物權法所規定的享有占有、使用、收益、處分的權利呢？筆者認為數據庫的所有權是一種不完全的、受限的權利，其中占有、使用兩項權利的行使沒有爭議，但收益權和處分權因涉及第三人個人隱私或利益則應當被限制甚至禁止。

三、數據庫的運營及數據傳播方式

大數據時代之所以稱其大，是因為數據集合的海量、巨量。面對海量、巨量的信息，數據庫的所有者往往不滿足于自身業務所需，而通過大數據分析對數據庫進行篩選、包裝、進行商業化運作。有的實行資源共享收取使用費，有的根據不同需求分類打包直接售賣，前者直接通過互聯網進行了信息的傳播，后者既可以互聯網傳播也可以線下實物交易，他們的共同之處在于都非因社會公共利益需要而傳播個人信息。

四、數據庫運行的行政監管

我國在計算機等網絡科技領域發展很快，除數據庫所有者外、近年來各類以盈利為目的數據分析公司也是遍地開花，層次參差不齊。而相應的監管往往鮮有法律依據。2013年的《信息安全技術公共及商用服務信息系統個人信息保護指南》對個人信息處理規定了基本原則。2016年11月7日《中華人民幣共和國網絡安全法》（2017年6月1日施行）的發布，才對網絡運營監督管理、個人信息的收集使用、法律責任等進行了更詳細的規定。

一是《網絡安全法》進一步明確了政府各部門的職責權限，完善了網絡安全監管體制。該法第八條規定，國家網信部門負責統籌協調網絡安全工作和相關監督管理工作，國務院電信主管部門、公安部門和其他有關機關依法在各自職責范圍內負責網絡安全保護和監督管理工作。這種“統籌安排、分工負責、一核心多部門聯動”的監管模式，符合當前互聯網社會碎片化、多元化、交互性的特點和我國監管需要，提高監管效率和覆蓋面。

二是《網絡安全法》第三章著重對網絡運行安全作了詳細規定，對關鍵信息基礎設施的運營者在采購、保密、個人信息和重要數據的儲存及境外使用等方面作出了詳細的嚴格規定，這些制度或措施進一步預防了數據泄露，也確認了責任主體，避免了數據泄露造成侵權，責任主體不清晰的情況發生。筆者認為，將來若有該法的實施細則，則可以在細則中對相關責任主體進行細化和列明。而第四章網絡信息安全，幾乎整章對用戶信息保護制度，個人信息的收集使用原則、規則、目的、方式和范圍，禁止任何個人和組織竊取或者以其他非法方式獲取個人信息，禁止非法出售或者非法向他人提供個人信息等作了詳細的規定，賦予公民“舉報、投訴網絡運營者”、“要求網絡運營者刪除違法或違約使用的個人信息及更正錯誤的個人信息”等權利使得公民獲得了加強個人信息保護的有力武器。

三是《網絡安全法》在法律責任中規定了侵害個人信息的一些具體處罰措施，如警告、沒收違法所得、罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等等，提高了處罰標準，加強了處罰力度，增加了違法成本，進一步威懾違法的個人或機構，有利于保障《網絡安全法》的實施，從而保護個人信息的安全。

五、個人信息侵權的民事救濟

2017年3月15日發布的《民法總則》（2017年10月1日起施行）第111條規定，“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。”第一次將個人信息作為民事權利寫入法律，為權利保護筑起高墻。endprint

一是確定了自然人的個人信息（指與特定個人相關聯的、反映個體特征的、具有可識別性的特殊系統，包括個人身份、工作、家庭、財產、健康等各方面的信息）受法律保護。值得一提的是本條只規定了個人信息應當受法律保護，并沒有使用“個人信息權”這一表述，表明《民法總則》并沒有將個人信息作為一項具體的人格權利，但為個人信息保護提供了法律依據。

二是保護的內容。

第一，要求信息依法取得，包括：

1.收集信息的主體合法，收集機構主要是有法律授權的主體（如國家機關）及獲得信息主體同意的信息收集機構。

2.信息收集手段必須合法，遵循合法、自愿和必要原則、目的合法。

第二，要求確保信息安全，包括了儲存安全、傳遞安全、使用安全等。

第三，禁止非法利用，規定了必須再法律規定的范圍內喝信息主體同意的范圍內利用（包括使用、加工、傳輸、買賣、提供和公開等）。

三是保護的方式。當權利人個人信息被侵害時，可以要求停止侵害、排除妨礙、更新更正、提出精神損害賠償或者財產損害賠償加以救濟。當受害人難以證明自己損失數額時，可以將侵權者所獲利益視為受害人損失來確定損害賠償的數額。

六、侵犯公民個人信息犯罪的刑法規制

刑法是權利保障的最后手段，當其他的制裁方式不足以抑止某種行為，不足以保護合法權益時，就將這種危害社會的行為納入刑法適用范圍。也就是說，當前述的行政處罰、民事救濟都不足以保護個人信息不受侵犯時，就用刑法對侵犯個人信息的嚴重行為作出制裁。

《刑法修正案七》出臺之前，針對個人信息泄露致使受害人合法權益遭受嚴重損害的行為，我國《刑法》通常將其作為實施其他犯罪的手段或犯罪的預備階段處理，以相應的罪名定罪量刑。《刑法修正案七》第七條填補了公民個人信息保護的刑法空白。《刑法修正案九》第十七條在《刑法修正案七》的基礎上在犯罪主體、犯罪行為、量刑處罰方面作了更詳細的規定，罪名確定為侵犯公民個人信息罪，該罪的犯罪主體為一般主體（任何年滿16周歲的人），也包括特殊主體（國家機關或者金融、電信、交通、教育、醫療等單位本身以及單位的工作人員）。客觀方面根據主體不同表現為違反國家有關規定，向他人出售或非法提供公民個人信息的行為、將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人，情節嚴重的行為、竊取或者以其他方法非法獲取公民個人信息的行為。客體是公民的個人信息權。主觀方面是故意。該罪最高可以處七年以下有期徒刑，并處罰金。

2017年2月28日，廣東警方集中開展“颶風1號”專案收網行動，成功摧毀侵犯公民個人信息犯罪團伙6個，加強了打擊此類犯罪的力度。各級部門都認識到個人信息保護的重要性及侵犯個人信息的危害性。

2017年5月9日兩高發布《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》及相關典型案例。對“公民個人信息”的范圍、“非法提供、獲取公民個人信息”的認定標準、“侵犯公民個人信息罪的定罪量刑標準”等九項標準進行了規定。《解釋》將公民個人信息根據涉及內容不同作了相應分級，包括敏感信息、重要信息和普通信息，并對侵犯公民個人信息按照信息類型的不同規定了“50條、500條、5000條”，明確了侵犯公民個人信息罪的入罪標準，對于“內部人”犯罪則規定“減半計算”，從源頭上從重打擊。

綜上，個人信息泄露的主要源頭來源于各類信息數據庫的不良運營管理，以及直接掌控信息數據庫的不善之人，我們應當行政、民事及刑事手段相結合，多元化、多層次、全方面治理、打擊侵害公民個人信息的違法行為或犯罪，還網絡和社會一個清靜和安寧。endprint