論大數據時代個人信息保護與處理的立法完善

楊長泉

（凱里學院，貴州凱里 556011）

隨著互聯網技術的與日俱進，互聯網信息在國家治理、社會管理等方面發揮了重要作用，如自2020 年起，大數據技術應用在新冠病毒疫情阻擊戰中發揮了巨大作用。依據大數據，我國能夠開展疫情的有效預防控制。但是另一方面，因為健康碼包含了個人健康狀況、行動軌跡、聯系方式、家庭住址等最為關鍵的個人信息，健康碼的推廣也導致較多的個人信息安全問題的出現。根據媒體統計，“從2010年以來，涉及個人信息安全曝光的比例為5%，涉及互聯網信息安全的比例為4%”①新浪網：我們梳理了12 年“315 晚會”，發現這些行業、企業曝光率最高！（附知名企業曝光名單），http：//finance.sina.com.cn/roll/2021-03-16/doc-ikknscsi6077875.shtml。。僅在2021年，中央電視臺“3·15”晚會曝料：科勒衛浴全國門店利用具有人臉識別功能的攝像頭在消費者不知情的情況竊取人臉數據；無錫寶馬4S 店、悠絡客電子科技股份有限公司、廣州雅量智能技術有限公司也為不少商家安裝了人臉識別系統；智聯招聘、獵聘、前程無憂招聘平臺上的大量個人簡歷流向了黑市，甚至有人硬盤存了700萬條他人簡歷。需特別指出的是，整場晚會有三分之一的時長所披露的問題與個人信息安全有關，如以往央視“3·15”曾多次炮轟竊取用戶信息行為，包括SDK插件、探針盒子等②澎湃網：2021 年央視3·15 披露最大痛點：“被盯上”的個人信息，https：//www.thepaper.cn/newsDetail_forward_11730651。。

一、個人信息權的性質

（一）個人信息權不僅是單純的公法權利或私法權利，而是二者兼具

個人信息權屬于公法權利還是私法權利抑或其他？對這個問題的不同回答，直接影響到對個人信息保護的立法體制建構。關于這個問題，學者眾說紛紜，比較有代表性的是孫平先生和張里安先生，前者認為個人信息是憲法性權利或基本權利［1］，后者認為個人信息是一種私法性權利［2］。筆者認為，鑒于《民法典》中對個人信息的保護的明確規定，個人信息屬于私法上的權利的性質已經不言而喻，但是個人信息權同時也具有的公法權利性質。下面就此重點分析。

我國憲法雖然沒有明文規定個人信息權，但是，對于個人信息權是否屬于憲法規定的公民基本權利這個問題，學界有不同的意見。筆者認為，個人信息權已經包含在我國憲法規定的基本權利之中。第一，個人信息權與人格尊嚴、個人自由等憲法的基本價值密切相連，個人信息權是否得到有效的保護，直接關聯人格尊嚴和個人自由；第二，我國憲法第33 條關于人權的規定、第37條關于人身自由的規定、第38條關于人格尊嚴的規定以及第40條關于通信自由和通信秘密的規定，都為個人信息權受憲法保護提供了不言自明的合法依據，因為對個人信息的非法收集、使用和處理，無疑都會侵犯人權和人身自由、有損人格尊嚴，妨礙權利人的通信自由和通信秘密。

此外，公法領域中的《中華人民共和國護照法》《中華人民共和國身份證法》直接規定了“個人信息”的保護問題，在全國范圍內具有規范效力的行政法規、部門規章也直接提及“個人信息”保護問題，如《2006-2020年國家信息化發展戰略》《互聯網電子公告服務管理規定》等。

綜上所述，個人信息權不僅屬于私法上的權利，也屬于公法上的權利。因此，不僅要在私法如《民法典》中對個人信息進行保護，也要在公法如憲法、刑法、行政法等對保護個人信息進行規定。

（二）個人信息與隱私權的關系

從發展的歷史來看，隱私權出現遠早于個人信息。學界公認的隱私這個概念出現的標志是1890 年路易斯·布蘭蒂斯和薩莫爾·華倫在《法學評論》發表的《隱私權》一文，第一次提出了隱私權的概念。而個人信息保護則是20世紀60年代，法學家為了緩解普通民眾對于政府大規模收集信息、擔心信息被泄露而產生的擔憂而提出來的。

從1987 年1 月1 日施行的《中華人民共和國民法通則》開始，我國就開始了對人格權益的制度建構，但是當時沒有明確規定對隱私權的保護，其后，針對大量侵犯隱私權案件的出現，最高人民法院于1988年在《關于貫徹執行〈中華人民共和國民法通則〉若干問題的意見（試行）》中，首次明確了對隱私權的保護。在2010年7月1日起實施的《中華人民共和國侵權責任法》中以正式明確了對隱私權的保護。2012年12月28日全國人民代表大會常務委員會通過的《全國人民代表大會常務委員會關于加強網絡信息保護的決定》規定了保護個人電子信息。《中華人民共和國民法典》（以下簡稱《民法典》）在制定過程中，將隱私權和個人信息保護這兩種人格權益規定在同一章中，說明兩者存在內在聯系，無法割裂開來。尤其是自然人的出生日期、身份證件號碼、生物識別信息、住址、個人銀行存款、健康信息等，具有隱私與個人信息的高度重合性，因此，基于“權利不得減損原則和人格尊嚴高于私法自治的保護原則”，［3］《民法典》第1034條第3款對重合的隱私權和個人信息的保護分層級進行了規定。但是，立法者將其細分為兩種不同的人格權益，又說明兩者在權利性質、權利內容、權利保護方式等方面存在明顯的區別。①參見王利明《和而不同：隱私權與個人信息的規則界分和適用》一文，載《法學評論》2021年第2期。

隱私本身為個人私領域的體現，一般不會大規模處理與大范圍的共享，因此法律上主要通過民法的手段為其提供必要的保護。如《民法典》中的“人格權編”和“侵權責任編”中均對侵犯隱私權的行為及處理進行了規定。個人信息卻與此不同，可能出現大規模的處理即包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開等，法律對于個人信息的保護和處理是并重的，不能采取如對隱私權只注重保護的方式，只有在法律另有規定或者權利人明確同意外才可以處理他人隱私，即將其單一化處理。在涉及國家管理和社會治理的問題上，除了民法之外還需要有特別法進行單獨規定。

二、我國個人信息保護的立法現狀

（一）個人信息保護和利用原有規范梳理

個人信息保護與處理是世界各國高度關注的問題，我國也不例外。除了上述的《中華人民共和國護照法》《中華人民共和國身份證法》《互聯網電子公告服務管理規定》等法律行政法規對個人信息保護以外，我國從《全國人民代表大會常務委員會關于加強網絡信息保護的決定》到《中華人民共和國消費者權益保護法》，再到《中華人民共和國網絡安全法》與《中華人民共和國刑法》（以下簡稱《刑法》）《中華人民共和國民法典》，均明確規定自然人的個人信息受法律保護。

《民法典》第111條規定自然人的個人信息受法律保護。明確了個人信息收集和處理的合法性要求。此外，《民法典》專設第六章對隱私權和個人信息進行保護，其中從第1 034條到第1 039條都是對個人信息保護的相關規定，對個人信息的含義、免責事由、權利人提出異議及刪除信息的權利等內容進行了比較詳細的規定。《民法典》第127 條規定了數據、網絡虛擬財產受法律規定。

《刑法》第253 條規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪的定罪與處罰。《刑法》第285 條規定了非法侵入計算機信息系統罪，非法獲取計算機信息系統數據、非法控制計算機信息系統罪的定罪與量刑。

《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》細化規定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪量刑標準和法律適用。

《中華人民共和國網絡安全法》第37條規定了個人信息存儲的規則，第40條規定了個人信息收集的保護制度，第41 條規定了收集使用個人信息應當遵循的原則及被收集者的同意規則，第42 條規定了網絡運營者信息安全的保證義務，第43 條賦予權利人的刪除權和更正權，第44 條規制了非法獲取、非法出售和非法提供個人信息，第76條第五項明確了個人信息的范圍。

《全國人民代表大會常務委員會關于加強網絡信息保護的決定》對能夠識別公民個人身份和涉及公民個人隱私的電子信息的保護，對網絡服務提供者和其他企業事業單位在業務活動中收集和使用公民個人電子信息應當遵循的原則，禁止行為，網絡服務提供者配合有關主管部門依法履行職責的義務信息安全保障義務，禁發商業性電子信息以及罰則等做了明確規定。

此外，《中華人民共和國電子商務法》《中華人民共和國消費者權益保護法》《信息安全技術：個人信息安全規范》分別對經營者的信息保護義務，收集使用個人信息的要求，保密義務，個人信息控制者在收集、保存、使用、共享、轉讓、公開披露等信息處理環節中的相關行為等內容進行了規制。《中華人民共和國電子商務法》第69條還宣示國家對數據產業發展的鼓勵和促進。《中華人民共和國中小企業促進法》第33條也宣示了國家對中小企業發展大數據技術的鼓勵和促進。

（二）個人信息保護和利用原有規范分析

通過對上述關于個人信息保護的法律法規的梳理，可以看出來，我國法律對個人信息保護的法律體系已經初步形成，既有普通法，又有行政規范，還有技術規范。但是，在對上述規定進行梳理時，也不難發現，我國關于個人信息保護的法律制度還存在一些問題。

1.相關規定大多獨立制定和設定適用范圍，彼此之間沒有形成一個完整的系統，出現相互不一致的地方。如對個人信息的收集的稱謂是一致的，但是對于個人信息的利用及處理，稱謂不一致。另外，對個人信息的界定也不完全一致。

2.缺乏一部統領所有法律法規的法律，存在各自為“法”的現象。上述規范既有普通法如民法、刑法，又有行政法如護照法、身份證法等，還有司法解釋、全國人民代表大會常務委員會頒布的決定等等，不一而足。這些法律之間存在有上位法與下位法、同位階的法律等關系，彼此之間沒有一部效力最高的法律作為統領，相互之間關系混亂，不僅普通民眾無法知曉這些法律彼此之間的關系和內容，讓人無所適從，即使是法官在處理類似案件時，也必須翻遍法律文本才能確定具體適用的法律。

3.當下的個人信息保護的制度構建難點在于如何統合現有個人信息保護的分散規范，從有到優確立一條個人信息保護的科學路徑。有學者運用利益衡量理論方法，分析了立法在個人信息保護和利用中的缺失，提出了在個人信息保護立法中以去識別化為核心重新理解個人信息界定、企業收集利用行為及用戶知情同意權，形成了在個人信息利用立法中重視并逐步實現對企業數據財產利益的階段性保護的建議對策。［4］

三、個人信息保護與處理立法完善的思考

（一）強化習近平法治思想中“以人民為中心”的豐富內涵對個人信息保護與處理立法的指導

習近平總書記指出：“全面依法治國最廣泛、最深厚的基礎是人民，必須堅持為了人民、依靠人民。要把體現人民利益、反映人民愿望、維護人民權益、增進人民福祉落實到全面依法治國各領域全過程，保證人民在黨的領導下通過各種途徑和形式管理國家事務、管理經濟文化事業、管理社會事務，保證人民依法享有廣泛的權利和自由、承擔應盡的義務。推進全面依法治國，根本目的是依法保障人民權益。隨著我國經濟社會持續發展和人民生活水平不斷提高，人民群眾對民主、法治、公平、正義、安全、環境等方面的要求日益增長，要積極回應人民群眾新要求新期待，堅持問題導向、目標導向，樹立辯證思維和全局觀念，系統研究謀劃和解決法治領域人民群眾反映強烈的突出問題，不斷增強人民群眾獲得感、幸福感、安全感，用法治保障人民安居樂業。”［5］這一段話充分體現了習近平法治思想中“以人民為中心”的理念。“‘以人民為中心’是習近平新時代中國特色社會主義法治思想的核心價值理念，是貫穿新時代中國特色社會主義立法、執法、司法活動始終的紅線，是新時代中國特色社會主義立法、執法、司法活動的靈魂。”［6］1在制定事關人民切實利益的個人信息保護的相關法律時，務必要堅持“以人民為中心”的價值理念。

“法治建設堅持‘以人民為中心’的立場，……堅持做到民主立法合民心、嚴格執法服民心、公正司法暖民心和全民守法得民心。”［7］22“必須堅持民主立法合民心。一是立法要體現民意。……二是立法要反映民情。……三是立法要集中民智。……”［7］23在立法中要體現人民立法、立法為民，使每一項立法都反映人民意志，得到人民擁護。［6］9

《民法典》始終貫穿著以人民為中心的發展思想。在精神需求方面，廣大人民群眾對人格尊嚴等方面的保護要求日益強烈。《民法典》繼《中華人民共和國民法總則》后，再次將民法的調整對象表述為“調整平等主體的自然人、法人和非法人組織之間的人身關系和財產關系”，宣示了民法對人身權利的重點保護，也積極回應了人民群眾加強對人身權利保護的呼聲。

孫憲忠先生總結道：“民法典貫徹以人民為中心的指導思想，將其演化為民法典中的法思想，簡要歸納起來有如下方面：一是中國共產黨在堅持和推進依法治國原則時將民法典作為基本遵循的思想，依據民法典的基本法律地位確立人民權利保障的堅實基礎的思想；二是對于民事主體的自決權利予以充分承認和保障的思想；三是對于民事活動予以積極規范引導的思想。”［8］

（二）強化《民法典》對《個人信息保護法》的指導

我國個人信息保護法的制定，經過了漫長的歷程。最早在2006 年3 月10 日，全國人大代表張學東建議制定個人信息保護法；2006 年5 月9 日，中共中央辦公廳、國務院辦公廳印發《2006—2020 年國家信息化發展戰略》，將個人信息保護納入發展戰略；2018 年9 月10 日，全國人民代表大會常務委員會將個人信息保護法（第一類項目：條件比較成熟、任期內擬提請審議的法律草案﹤69 件﹥61.法律名稱：個人信息保護法，提請審議機關：委員長會議），納入“十三屆全國人大常委會立法規劃”；2020 年6 月22 日，全國人大常委會調整2020 年度立法工作計劃，個人信息保護法等多部法律草案被明確提出將進行提請審議。2021 年4 月26 日，第十三屆全國人大常委會第二十八次會議對《中華人民共和國個人信息保護法（草案二次審議稿）》進行了審議。2021年4月29日，中國人大網公布《中華人民共和國個人信息保護法（草案二次審議稿）》全文，并對其公開征求意見。2021 年8 月20 日，十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個人信息保護法》（以下簡稱個人信息保護法），已于2021年11 月1日起正式施行。

我國的個人信息保護規定經歷了散見于刑法、民法、消費者權益保護法、電子商務法的階段，在社會各界的關注與努力下，終于迎來了《個人信息保護法》。相信在正式實施后，《個人信息保護法》將為我國培育良好數字生態貢獻法治力量。

《個人信息保護法》是《民法典》配套實施的法律，十分重要。正如習近平總書記指出：“加強民事立法相關工作。民法典頒布實施，并不意味著一勞永逸解決了民事法治建設的所有問題，仍然有許多問題需要在實踐中檢驗、探索，還需要不斷配套、補充、細化。”［9］《個人信息保護法》由此應運而生。《民法典》和《個人信息保護法》之間的關系就是基礎法與特別法（或者普通法）的關系。“《民法典》確定了個人信息保護的基本框架、原則和理念、價值，界分了個人信息與隱私權等其他人格權的關系，進一步為《個人信息保護法》確立了最基礎的規則。《民法典》所確立的保護人格尊嚴、保障民事權利等價值，也是解釋《個人信息保護法》的基礎。”［10］應該以《民法典》的原則、精神及內容為基礎，統領《個人信息保護法》。例如，關于個人信息的概念，《民法典》第1 034 條第2 款①《民法典》第一千零三十四條第二款規定：個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。和《個人信息保護法》第4 條②《個人信息保護法》第四條規定：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。字面上好像不一致，但通過《個人信息保護法》第73 條的解釋③第《個人信息保護法》七十三條規定：匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。以及法律理論分析，便可知《個人信息保護法》在采用《民法典》個人信息識別自然人說的基礎上，增加了“關聯說”的標準，與《民法典》的規定具有實質上的一致性。可以說，《個人信息保護法》進一步擴大了個人信息保護的范圍，在個人信息保護的領域更加專業、更加科學。

（三）制定出臺司法解釋

司法解釋是司法機關對法律、法規的具體應用問題所做的說明，屬于有權解釋。司法解釋具有填補漏洞的作用。司法解釋對任何法律的適用都是不可或缺的，尤其是在司法過程中更需要對法律規范作出明確的解釋，從而真正達到“以法律為準繩”的適用要求。

網絡技術日新月異，侵犯個人信息的侵權手段也在不斷花樣翻新，即使出臺了《個人信息保護法》，也不可能對所有的侵權手段進行規制。隨著《個人信息保護法》實施中發現的問題，后續會不斷進行完善，其中就包括出臺新的司法解釋，以便及時回應和處理新出現的問題。

2021年7月28日，最高人民法院出臺了于2021年8月1日起施行的《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》，該規定明確了信息處理者侵害自然人人格權益的行為及其法律責任。這個司法解釋專門針對《民法典》第1 034 條規定的“生物識別信息”條目，是《民法典》的具體化，進一步明確了界限，予以補充說明，便于各級人民法院正確地適用法律和公正地裁判案件。最高人民法院的這個司法解釋，為今后出臺審理個人信息處理相關案件的司法解釋開了一個好頭，為司法機關處理類似案件提供了一個好的解決方案。