大數據時代個人信息法律保護的基本原則研究

關鍵詞 大數據時代 個人信息 法律保護 基本原則

基金項目：廣州市哲學社會科學發展“十三五”規劃2018 年度課題《大數據時代個人信息法律保護研究》（2018GZGJ140）。

作者簡介：李苑，廣州商學院法學院教師，研究方向：行政法。

中圖分類號：D920.4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.08.096

如今，我們處于大數據時代，收集、處理、利用個人信息成為一種常見的現象。作為法律的靈魂，基本原則集中地反映了個人信息法律保護的本質和內在規律，是個人信息的“安全閥”。域外很多國家和地區在個人信息保護法中明確了個人信息法律保護的基本原則。在大數據時代，通過對比分析國外的相關經驗，聯系我國的實際情況，確立個人信息法律保護的基本原則意義重大。

一、確立我國個人信息法律保護基本原則的價值

（一）對推動相關立法工作將產生積極的影響

法律原則，是法在調整社會關系時堅持的準則和立場，其中的基本原則是法律的精髓，對于法律的立、修、廢及司法活動起指導性的作用。基本原則集中地反映了個人信息保護的本質、規律。我國相關立法工作已取得較大進步，但仍存在一定的改進空間。大數據背景下，泄露、濫用個人信息事件時常出現，確立個人信息法律保護的基本原則，對推進我國個人信息立法工作，對規制相關的個人信息行為均將發揮重大的作用。

（二）對完善我國個人信息法律保護制度有重大意義

基本原則是法的精神實質，體現了法的指導思想。在進行法律的立、修、廢時，必須將基本原則作為依據，絕對不能違背這些抽象的、穩定的準則。在司法適用中，當遇到疑難案件時，基本原則能夠為司法者指明方向。在遵循基本原則的基礎上，可以確立信息主體的權利和信息處理者的權利、義務，規范信息處理者的行為，使個人信息良性流動。

（三）對應對大數據背景下個人信息安全問題將起到積極的作用

個人信息安全是大數據時代我們必須面對和解決的問題。信息收集者、處理者、利用者在進行信息行為時，必須嚴格遵守個人信息法律保護的基本原則。如果違反基本原則，要追究行為人的法律責任。在實踐中，基本原則是個人信息法律保護的“安全閥”。基本原則的確立，對規范和制約有關信息行為，對應對大數據背景下個人信息安全問題起舉足輕重的作用。

二、域內外的探討及實踐

（一）域外的實踐

域外對個人信息法律保護基本原則的立法實踐起步較早，具有典型意義的主要有三個文件，它們規定的基本原則被很多國家所仿效。

經濟合作與發展組織出臺的《隱私保護與個人數據信息國際流通的指針建議》（以下簡稱1980年《指針建議》）規定了八項原則： 限制收集原則、完整正確原則、目的明確原則、限制利用原則、安全保護原則、公開原則、個人權利原則、責任原則。

聯合國大會通過的《關于自動資料檔案中個人數據信息的指南》（以下簡稱1990年《指南》）對此也有規定。與1980年《指針建議》比較，1990年《指南》在規定基本原則時有一個重大的變化，即不包括公開原則。這一變化是否合理值得深思。

歐盟發布的《關于涉及個人數據處理的個人保護以及此類數據自由流動的第95/46/EC號指令》（以下簡稱1995年《指令》）對此也進行了明確。與1980年《指針建議》進行比較，1995年《指令》確立的基本原則保留了公開原則，增加了非敏感數據處理的合法性原則、個人數據主體的查詢權原則、拒絕權原則、自主決定權原則、獲得救濟原則等。可見，1995年《指令》更關注對數據主體權利的細化及保護。

（二）國內的研究現狀和實踐

無論在我國理論界還是在實踐中，個人信息法律保護基本原則都是一個重要的問題。

近年來，我國學者對此有一定探討，截止目前尚未形成統一的意見，主要有“四原則說”“五原則說”“七原則說”“八原則說”等。比如：洪海林完全贊同1980年《指針建議》確立的八項基本原則[1]。齊愛民提出“五原則說”，即知情同意原則、目的明確原則、限制利用原則、完整正確原則、安全原則[2]。馮心明、戎魏魏主張“四原則說”，即確認個人信息的私有財產權性質原則、合法性原則、安全性原則、平衡原則[3]。周漢華提出“七原則說”，即合法原則、權利保護原則、利益平衡原則、信息質量原則、信息安全原則、職業義務原則、救濟原則[4]。通過對比分析，筆者認為，我國學者在一定程度上對1980年《指針建議》確立的基本原則予以認可，并以此作為藍本，聯系我國具體情況提出自己的觀點。

關于個人信息保護，我國工業和信息化部曾出臺了具有指導性意義的文件。2011年，出臺了《信息安全技術個人信息保護指南》（以下簡稱2011年《指南》）。在2011年《指南》中，明確個人信息保護應堅持目的明確、公開透明、安全保障等七項原則。在次年出臺的《信息安全技術公共及商用服務信息系統個人信息保護指南》（以下簡稱2012年《指南》）中，規定個人信息保護應堅持目的明確、最少夠用、公開告知、安全保障等八項原則。對兩個《指南》進行比較，2012年《指南》比2011年《指南》規定的基本原則的內容更多，然而有的表達顯得創新性不足，且與域外較通行的原則有一定的出入，如在2012年《指南》中，公開告知原則取代了公開透明原則[5]。

在我國國家標準化管理委員會發布的《信息安全技術 個人信息安全規范》（2017年）中，規定了個人信息安全應遵循目的明確、最少夠用、公開透明、確保安全等七項原則。

筆者認為，基本原則是否全面，不應僅僅看數量多少，關鍵看其包含的內容。從整體上來看，兩個《指南》及《信息安全技術 個人信息安全規范》借鑒了域外的實踐經驗，故應對域外經驗進行分析比較，聯系當今我國的實際情況，理性地將其本土化。

三、我國個人信息法律保護基本原則的內容

（一）目的明確原則

為確保公民個人信息安全，在收集、處理個人信息時，應堅持目的明確原則。所謂目的明確，是指只有基于確定且合法的目的，才能收集、處理個人信息，在信息活動著手前已經確定該目的，且應一直在該目的范圍內開展信息活動。如在開展外賣送餐業務時，客戶需提供自己的姓名、電話號碼、地址，這是保證外賣送餐業務順利進行必須收集的客戶信息。需注意，目的明確原則要求對個人信息的收集需達到能夠識別信息主體的程度，而識別標準應根據一般人的認識能力衡量確定，不能由信息收集者、信息處理者確定。

（二）限制收集原則

限制收集包括個人信息收集目的限制、數量限制、時間限制和使用限制等。一個信息活動通常包括信息收集、利用、處理等階段，限制收集原則在第一個環節就應遵循，收集目的確定之后，必須圍繞該目的收集個人信息。收集時應堅持信息數量最小化原則，同時應限制信息的儲存時間、處理范圍等。如在外賣送餐業務中，為保證配送及時、正確，必須掌握訂餐者的姓名、電話號碼和地址，但訂餐者的職業、身份證號碼等信息則明顯超出了收集的范圍。

（三）公開原則

公開原則，是指信息活動中需遵守的規則必須向信息主體公開，促使信息主體的自決權等權利得以實現。需明確，公開的是規則，而不是信息的內容。假如這些規則不公開透明，由于信息主體缺乏相關知識，通常也不愿消耗大量的時間、財力，他們不能在平等的基礎上與信息收集者、信息處理者進行磋商，使信息主體在談判中處于明顯的劣勢地位。

公開的內容包括：信息控制者、收集目的、收集范圍、使用方式、使用期限、信息加工處理的方式、法律責任等。信息主體在了解規則之后，才能理智地選擇是否向信息控制者提供自己的個人信息。

在收集個人信息時，信息控制者應當在合理的期限內采用注冊協議等方式通知信息主體，確保其知情權得以實現。

（四）限制利用原則

大數據背景下，產業主體基于正當的目的，可以收集、處理公民的個人信息，而實施這些行為的前提是基于特定正當的目的，若超出目的范圍實施其他無關的信息行為即為非法，這體現了限制利用原則。限制利用原則要求信息控制者在處理個人信息時，應在符合特定目的的前提下，使用、披露他人的個人信息、進行數據庫的轉移、處置。在特殊情況下，如取得信息主體的同意，可以超出目的范圍。例如，目前，在畢業生就業信息系統中，可以采集到姓名、工作單位、聯系電話、聯系地址、工作年限等有關學生就業情況的信息。達到預先設定的目的后，除為公共利益而做的必要保留之外，收集者應及時清除獲取的個人信息，避免這些信息落入不法分子手中造成安全隱患。

（五）安全保護原則

安全保護是域外立法一致采用的一項原則。例如，在《德國聯邦數據保護法》的附件中，要求對不同類型的數據，采用相應的保護措施，包括入口管制、出口管制、取用管制、傳遞管制、委托管制、運送管制等。《德國聯邦數據保護法》為數據提供了非常周全的保護措施，且貫穿數據活動的不同階段，具有一定的借鑒意義。

大數據背景下，安全保護原則確實給個人信息安全注射了一劑鎮定藥。安全保護原則對信息控制者提出了要求：必須制定嚴格的保密規則、具備相應的軟硬件設施。安全保護實際上是信息控制者的一項法定義務，信息控制者對收集、控制的公民個人信息，負有采取措施保障信息安全與信息流通平衡的義務。

參考文獻：

[1]洪海林.個人信息的民法保護研究[J].中國社會科學院，2007：186.

[2]齊愛民.中華人民共和國個人信息保護法示范法草案學者建議稿[J].河北法學，2005（6）：2-5.

[3]馮心明，戎魏魏.個人信息保護立法若干問題思考[J].華南師范大學學報（社會科學版），2007（8）：20-24+35+157.

[4]周漢華.中華人民共和國個人信息保護法（專家建議稿）及立法研究報告[R].北京：法律出版社，2006：1-2.

[5]石佳友.網絡環境下的個人信息保護立法[J].蘇州大學學報（哲學社會科學版），2012（6）：85-96.