大數據時代個人信息法律保護探析

李凡迪

大數據與個人信息

大數據時代特點。大數據是一個相對而言較抽象的概念，最早是由享譽全球的咨詢公司麥肯錫提出。大數據是作為生產工具的數據挖掘技術和作為生產資料的數據累積發展到一定階段的產物。面對這些海量數據，借助強大的計算能力和相關算法，通過一定運算規則進行全面分析并探尋數據之間的聯系，從而發現事物之間的某種相關性。大數據全面分析海量數據，可以提供研究對象之間的相關關系而非因果關系。

個人信息權。個人信息與個人數據緊密相連，但也有所差別，個人數據比個人信息包含的數據范圍更廣泛。網絡環境中的個人信息以網絡為主要傳輸渠道，以數據流為載體。

2017年3月通過的《民法總則》在民事權利內容中明確規定了自然人的個人信息權。個人信息是人格利益與財產利益或經濟利益的雙重載體，而個人信息權作為民事權利中的一種，兼具人格權和財產權的雙重屬性。個人信息權的主體是個人信息所指向的本人，即能夠支配、控制自身信息的自然人。個人信息權的客體是與本人有關的各類信。個人信息權的內容包括個人信息本人享有的知情權、自決權、刪除權、獲得救濟權等權利。

國內外立法對比

歐盟和美國立法。歐盟將個人信息作為公民的一項基本權利，給予其全面并且有效的保護。相較于歐盟采取統一和集中的立法模式，美國采取的是較為零散的部門性立法。本文主要介紹美國、歐盟的立法模式。

歐盟采取了統—和集中的立法模式，于1995年頒布《個人數據保護指令》，除此之外，還有《隱私與電子通訊指令》、《歐洲Cookie指令》，又于2015年頒布《一般數據保護條例》。美國采取的是較為零散的部門性立法。1966年《信息自由法案》明確了政府數據的開放原則，分別于1974年、2012年、2014年頒布《隱私法案》、《消費者隱私權法案》、《數字問責和透明法案》，要求聯邦將有關非鏈接文件轉換成開放的、標準化的數據。

國內個人信息保護現狀。目前，我國對于個人信息直接保護的立法主要包括《刑法》、《侵權責任法》、《互聯網信息服務管理辦法》、《關于加強網絡信息保護的決定》等。《民法總則》第一百一十一條指明了自然人的個人信息權。

然而，相較于其他國家，我國個人信息的保護處于比較落后的地位，存在很多問題：第一，概念劃分不清，立法上未對個人信息、個人數據、個人信息權等下明確的定義。第二，現有立法調整范圍有限，個人信息直接保護的有關規定中只針對“加害行為”，并沒有針對大數據處理生命周期中的收集行為、分析行為、處理行為。第三，執法不嚴，缺乏有關部門對數據處理的監管，個人信息泄露的事件頻發。第四，行業自律程度較低，基本停留在倡導階段，在內容上缺乏實質性和實用性。

大數據時代個人信息法律保護

明確數據控制者義務和責任，制定以私權為中心有關個人信息保護法律。

數據的兩端一方是數據主體，另一方為數據控制者，互聯網各類主體中的數據控制者應該作為數據保護的核心義務主體。數據控制者根據其控制數據的用途主要可分為商業機構、政府機關、公共機構。作為數據的控制者，處理的數據范圍廣泛，應作為民事法律主體承擔相應的義務，受到數據保護立法同等的規制。個人信息具有一定的公共屬性，但究其根本，個人信息權的主體是本人，只有從根本上保護了個人信息的權利，才有可能更好地保護公共利益。

完善“通知一同意”法律規則。歐盟在2015年通過的《一般數據保護條例》中對“通知一同意”法律規則做出了明確的規定。歐盟所確定的“通知一同意”規則實際上是進一步縮小為“通知一積極同意”規則。這雖然有利于個人信息的保護，但也導致了交易過程中商業成本增加。因此，總體上“積極”與“消極”應結合使用，對于某些特殊領域，例如刑事偵查、醫療等，應采用“積極同意”。

確立專門機構對信息泄露問題進行監督。針對網絡的使用形成信息存量造成信息泄露的問題，應確立專門機構對網絡信息進行監督，對高危信息進行提醒。現代社會中，個人信息已經在不經意間由各個渠道泄露，并且信息主體對泄露結果并不知情，也沒有相關機制進行預防、相關機構對其進行提醒。確立專門機構對信息泄露問題進行技術監管，及時提醒用戶修改密碼或設置安全保障。

細化行業自律規范。工信部作為我國專門機構應該對有關行業自律情況進行監督，發揮其作用。激發行業自律積極性，細化行業自律規范，促進行業發展和個人信息保護向良性方向發展。我國行業自律規范應跳出倡導階段，進一步制定各類實施細則和相應的救濟措施，在內容上增加其實質性和實用性。

（作者單位：北京科技大學文法學院）endprint