法益與權(quán)利:大數(shù)據(jù)時代個人信息 保護立法選擇與價值表達

王 婕

(集美大學誠毅學院 人文科學系,福建 廈門 361021)

大數(shù)據(jù)時代背景下,社會活動的數(shù)字化特征逐漸明顯,網(wǎng)民的數(shù)字人格不僅只在網(wǎng)上實現(xiàn),還具有了現(xiàn)實價值。如果說以往個人信息保護的對象是個人的隱私權(quán)或人格權(quán),那么大數(shù)據(jù)時代個人信息保護的對象遠不止于此。個人隱私、人格固然是個人信息范疇的一部分,但隨著個人信息外延的不斷拓展,其中的經(jīng)濟效益成分也被隨之激發(fā)。且這種經(jīng)濟效益隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展不斷擴張,繼而稀釋了個人信息中的隱私成分和人格權(quán)成分。隨之而來的個人信息侵權(quán)犯罪也呈現(xiàn)出與以往不同的時代特征[1]。這些時代所帶來的問題都需要我們尋求更好更優(yōu)的解決途徑。

一、個人信息保護現(xiàn)有資源評析

(一)我國個人信息保護立法成果概述

刑事立法保護方面,2009年刑法修正案(七)增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪[2]。2015年刑法修正案(九)正式采用侵犯公民個人信息罪這一罪名,將本罪的特殊主體修改為一般主體,特殊主體侵犯公民個人信息的,從重處罰。2013年《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》,2014年最高人民法院發(fā)布《關(guān)于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》對侵犯個人信息犯罪的司法審判程序作出具體規(guī)定[3]。2017年6月1日發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 則對侵犯個人信息犯罪具體犯罪形式和“情節(jié)特別嚴重”等標準作出具體解釋,以增強司法實踐中的可操作性。

在民事立法和行政立法保護方面, 2011年工業(yè)和信息化部發(fā)布《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》,用“可識別性”來界定公民個人信息,第一次將公民個人信息保護從隱私保護的框架中區(qū)分出來。2012年《信息安全技術(shù)公共及商用服務信息系統(tǒng)個人信息保護指南》,框架性地設置了網(wǎng)絡服務提供者和其他參與網(wǎng)絡的相關(guān)主體在個人信息保護方面的職責、義務、要求、注意事項。2016年《中華人民共和國網(wǎng)絡安全法》正式出臺,加重了對網(wǎng)絡經(jīng)營者處理個人信息的約束,但同時也要求保障信息的正常交流,以促進網(wǎng)絡的健康發(fā)展。2017年《中華人民共和國民法總則》出臺,在民事權(quán)利一章中,明確規(guī)定了個人信息受法律保護,肯定了個人信息獨立的民事法律保護地位[4]。

2019年5月28日,國家互聯(lián)網(wǎng)信息辦公室出臺的《數(shù)據(jù)安全管理辦法》(征求意見稿)與之前個人信息保護采用了截然不同的解決路徑,該法在總則部分即明確“國家堅持保障數(shù)據(jù)安全與發(fā)展并重,鼓勵研發(fā)數(shù)據(jù)安全保護技術(shù),積極推進數(shù)據(jù)資源開發(fā)利用,保障數(shù)據(jù)依法有序自由流動”[5]。在具體章節(jié)設置上,則按照完整的數(shù)據(jù)收集、使用、管理的節(jié)點設置安排。因此,與其說該法的主要目的是保護公民個人信息安全,不如說該法的宗旨在于規(guī)范個人信息收集、使用、管理的具體流程。

2019年,最高人民檢察院從原有公益訴訟的監(jiān)督領(lǐng)域予以拓寬,提出對公民個人信息進行保護,理由有二:一是公民個人信息安全事關(guān)社會公共利益乃至國家利益;二是公民個人信息目前泄露嚴重,已帶來巨大社會危害。從檢察公益訴訟的角度對個人信息予以保護,一方面能夠督促掌握公民個人信息的行政部門盡責履職,另一方面可以加強公民個人信息的源頭保護。雖然目前該項制度尚未得到立法的認可,但是通過全國檢察機關(guān)的努力,辦案效果顯著,這也為公民個人信息保護提供了嶄新的解決思路。

(二)我國個人信息保護司法考察

司法實踐中,侵犯個人信息罪最為常見的行為集中在非法竊取、非法轉(zhuǎn)賣,非法取利。2016年6月,犯罪嫌疑人陳某加入了一個名為“電購、網(wǎng)購”的QQ群,了解并接觸到倒賣個人信息能夠獲利之后,以平均每條信息0.5元的價格購進,再以一元一條的價格賣給下家。個人信息購買下家多為保健品類賣家,對個人信息的需求極大。此后,陳某結(jié)識同在倒賣信息的蔣某,兩人發(fā)現(xiàn)可以從某快遞公司發(fā)貨系統(tǒng)中盜取目標客戶信息,便著手實施專門竊取信息的違法行為。2017年10月10日,該快遞公司安保部門到公安機關(guān)報案,警方最終調(diào)查發(fā)現(xiàn),陳某及其同犯非法獲取并泄露的信息達數(shù)百萬條以上,最終陳某等四人以侵犯個人信息罪被判處刑罰。

從該案來看,可以發(fā)現(xiàn)大數(shù)據(jù)背景下侵犯個人信息犯罪至少呈現(xiàn)以下三個方面的新型特征:一是該類犯罪的影響范圍更廣。大數(shù)據(jù)背景下,個人信息收集、利用、綜合分析的能力達到歷史巔峰水平。一旦發(fā)生個人信息泄露或者被盜事件,個人信息違法犯罪的嚴重程度也將達到峰值,個人信息犯罪的危害影響范圍同樣不可估量。以本案為例,陳某在不到兩年的作案時間內(nèi),販賣的信息高達百萬條之巨,而此前提是有更多的個人信息已經(jīng)或正在被非法收集。二是快遞行業(yè)已然成為個人信息犯罪的重災區(qū)。快遞行業(yè)對個人信息比較倚重,各個快遞公司手中掌握著大量的公民個人信息,這些信息不僅包括姓名、家庭住址、單位電話等普通信息,甚至還能反映出包括個人信仰、性取向在內(nèi)的私密信息。如此海量的信息掌握在以盈利為目的的企業(yè)手中,目前除了企業(yè)內(nèi)部保護之外,并沒有其他特殊的、專門的保護措施,其本身隱患重重。三是大數(shù)據(jù)背景讓一些本沒有識別性或者不重要的個人信息變得極具辨識性和重要性。個人消費記錄和消費習慣這類特殊的個人信息中往往包含著巨大商機,也是商家追逐的消費領(lǐng)域前景。陳某等人販賣個人信息下家買主絕大部分是保健品商家,他們瞄準的消費群體是年齡較大或者經(jīng)濟條件較好的個體。因此,陳某等人對個人信息販賣,具有較強選擇性和目標性,犯罪目的實現(xiàn)的可能性也更大。這與傳統(tǒng)公民個人信息販賣的盲目性區(qū)別較大。

大數(shù)據(jù)時代之前,個人信息違法犯罪體現(xiàn)的共性往往表現(xiàn)為個人信息被隱秘收集、信息主體處于被動受侵犯狀態(tài)。但是在大數(shù)據(jù)時代,信息所有人在信息違法犯罪活動中體現(xiàn)較為強烈的主動性,個別信息所有人明知個人信息將用于違法行為,依然主動提供。這是大數(shù)據(jù)背景下個人信息違法犯罪呈現(xiàn)出的一個新特點[6]。以微信賬號的出租出售為例,這早已不是不可告人的秘密。用以出租的微信號一般都是微信戶主正在使用的微信號,不僅注冊時間較長,而且綁定手機號甚至銀行卡。盡管按照《騰訊微信軟件許可及服務協(xié)議》約定,微信戶主只享有微信賬號使用權(quán),不得將微信號贈與他人、給他人借用,更不允許出租、出售微信賬號。但是從實踐來看,出于經(jīng)濟利益或其他目的,微信用戶本人出租、出售自己微信號的行為非常普遍,從某種層面也說明個人對自己信息的處分在市場經(jīng)濟環(huán)境中獲得了暫無實質(zhì)桎梏的釋放。

此外,現(xiàn)代社會幾乎人人都能接到針對性強的裝修服務、嬰幼兒產(chǎn)品信息、股票介紹、房產(chǎn)服務的廣告推銷電話,也讓大家習以為常并不認為是對個人信息的侵犯。因而在民事保護領(lǐng)域,因個人信息被泄露而提起民事賠償或者侵權(quán)之訴的案例并不常見。一方面因為公民個人面對龐大的國家機器或者其他互聯(lián)網(wǎng)技術(shù)平臺,難以提供證據(jù)證明自己的信息是從哪個環(huán)節(jié)予以泄露。另一方面簡單的信息泄漏,一般不會引起當事人的重視并采取訴訟或其他相關(guān)手段予以維權(quán)。一旦個人信息泄漏直接觸犯刑法的,往往按照相應罪名納入刑法體系予以調(diào)整,直接導致民事、行政保護體系的架空。即便現(xiàn)實如此,仍有個人信息保護行政爭議案件發(fā)生。2018年7月2日上午,違反治安管理行為人B因鄰里糾紛在安吉縣××街道××單元××室事主A家門口處,采用辱罵方式對A進行言語攻擊,后被公安機關(guān)查獲,安吉縣公安局于2018年8月31日出具行政處罰決定書,該行政處罰決定書在案件事實查明部分載明完整陳述該事實,并公開發(fā)布。2019年2月20日,A向安吉縣公安局提出關(guān)于執(zhí)法公開侵犯個人隱私及未對個人信息保護糾錯申請,安吉縣公安局于2019年2月27日以未對當事人合法權(quán)益造成實際影響為由,作出不予糾正答復。對此A提起行政訴訟,但是歷經(jīng)兩審,法院判決均認為安吉縣公安局的行為并未侵犯A的個人信息。從本案來看,對個人信息的行政法保護一方面是缺乏相關(guān)法律法規(guī)作為裁判依據(jù),另一方面?zhèn)鹘y(tǒng)裁判思維認為具體行政應為應對個人信息權(quán)利產(chǎn)生實質(zhì)危害才確認行政行為違法。在當前大數(shù)據(jù)背景下已經(jīng)無法保障“小微損害”案件被侵權(quán)一方的合法權(quán)益。

(三)域外個人信息保護效果評述

域外無論是歐盟還是美國,對個人信息保護早已從個人信息單純保護進入了個人信息商業(yè)利用規(guī)范的階段。歐盟地區(qū)已將個人信息保護的主動權(quán)交由公民個人處置,公民對個人信息的完全自主權(quán)更多地體現(xiàn)在信息交流和信息利用等方面[7]。2018年5月,已生效的歐盟《通用數(shù)據(jù)保護條例》對全球化布局的科技公司具有深遠影響。想要在這個貿(mào)易規(guī)則中生存并實現(xiàn)發(fā)展目標,這些公司對其掌握的個人信息的保護和利用必須都達到最優(yōu)程度。而在美國,對個人信息保護采取了分散立法和行業(yè)自律相結(jié)合的模式,其中行業(yè)自律模式極具可借鑒性。相較傳統(tǒng)產(chǎn)業(yè),互聯(lián)網(wǎng)行業(yè)在收集、利用個人信息時,保持了較高標準的行業(yè)保護規(guī)范,將個人信息收集和個人信息保護統(tǒng)一于行業(yè)自身,不僅有利于互聯(lián)網(wǎng)行業(yè)規(guī)范利用個人信息,也讓廣大公民對信息流通不再恐慌。然而就在2019年,美國國會發(fā)布的《數(shù)據(jù)保護法概況》重提數(shù)據(jù)隱私,似乎意味著美國在個人信息利用方面開始走回頭路。美國的做法啟示我們,堅持個人信息的保護,并非強調(diào)數(shù)據(jù)利用一定要大于數(shù)據(jù)保護,而是既要注重保護個人信息,尤其是隱私信息的保護,又要順應形勢,強調(diào)個人信息的規(guī)范收集、利用,在個人隱私保護與個人信息利用之間求得平衡。在這方面,日本對個人信息保護的做法或許更值得我們學習。2017年日本頒行的《個人信息保護法》將監(jiān)管重心放在數(shù)據(jù)使用行為規(guī)制層面,刻意弱化數(shù)據(jù)排他權(quán)制度設計。同時要求公共管理部門保障數(shù)據(jù)順暢交易,強化數(shù)據(jù)使用安全技術(shù)標準。其提出的“匿名個人信息”的開發(fā)利用,兼顧了個人信息保護與個人信息利用的雙重目的。

(四)我國個人信息立法保護嚴重滯后

梳理公民個人信息保護的立法成果,可以發(fā)現(xiàn)在刑事立法方面呈現(xiàn)出逐漸從嚴、從重的處罰傾向。但是從司法案例來看,針對個人信息違法犯罪活動特征在大數(shù)據(jù)背景下有幾個方面的轉(zhuǎn)變:一是從非法收集、違規(guī)利用個人信息向公然倒賣個人信息轉(zhuǎn)變;二是從偶發(fā)、少發(fā)個人信息違法犯罪向頻發(fā)、高發(fā)個人信息轉(zhuǎn)變;三是從違法犯罪分子非法倒賣個人信息向信息主體主動非法出售、出借個人信息轉(zhuǎn)變。在信息犯罪類型層出不窮的網(wǎng)絡時代,個人信息刑法保護的滯后性更為明顯:規(guī)制手段單一、取證過程困難、查處力度打擊力度、威懾力度都遠遠落后于個人信息犯罪現(xiàn)狀。

行政機關(guān)因為從事公共管理,掌握著大量的公民個人信息,雖然行政部門承諾會對公民個人信息進行保護,但是從實踐情況來看,行政機關(guān)不履職甚至故意泄漏公民個人信息的情況也并不罕見。每年報考公務員的考生,總能收到相關(guān)考試機構(gòu)的招攬電話。考上大學的學生,往往收到發(fā)放助學金、獎學金的詐騙電話,這都提示我們掌握巨大公民個人信息量的行政機關(guān)將成為個人信息保護的重要源頭治理區(qū)域。

而在民事領(lǐng)域,個人信息立法體現(xiàn)出逐漸放寬控制標準、從個人信息保護向個人信息利用轉(zhuǎn)變的發(fā)展趨勢。但是,這種趨勢在立法上表現(xiàn)得較為含糊,僅僅是一些原則性的條款,缺乏明確的、具體的支持個人信息利用,發(fā)展個人信息經(jīng)濟價值的立法表達。雖然《數(shù)據(jù)安全管理辦法》(征求意見稿)對此有所改進,畢竟還未正式出臺,在法律銜接和具體適用方面,也有一定困境。從另外一個層面考慮,個人信息保護與個人信息利用的界限在哪里,個人信息保護與個人信息利用的矛盾如何協(xié)調(diào),個人信息利用經(jīng)濟價值如何保障等問題,在現(xiàn)行的民事法律和行政法律法規(guī)資源中,都缺乏相應的依據(jù)。

整體來說,公民個人信息保護框架尚未成型,公民個人信息保護立法管理色彩強,服務措施少。互聯(lián)網(wǎng)報道、政府為了公共利益使用公民個人信息以及公民個人信息的經(jīng)濟價值等突出問題,回應不足,導致立法的針對性和操作性不強[8]。

二、個人信息保護的時代需求

大數(shù)據(jù)背景下,信息的傳輸、收集和利用無時無刻不在進行中,個人信息是核心社會資源。個人信息外延領(lǐng)域也在不斷拓展,個人信息迅速擴張的現(xiàn)實和信息本身資源化成了個人信息保護新需求的現(xiàn)實土壤。

(一)大數(shù)據(jù)時代對個人信息帶來深遠影響

個人信息權(quán)并不是完全消極排除他人使用的權(quán)利,權(quán)利人除了被動防御第三人的侵害以外,還可以對其進行積極利用。得出這一論斷的根源在于,個人信息的價值化取向。關(guān)于個人信息的價值解讀,可以從兩個方面進行理解:第一,個人信息對于個體產(chǎn)生著積極的作用。價值問題作為一個歷史命題,隨著人類的出現(xiàn)就被廣泛討論[9]。馬克思將“價值”定義為人類在改造世界過程中所形成的“反映客體滿足主體需要的效用關(guān)系”,從這一角度上說個人信息對于人類進步、社會發(fā)展、經(jīng)濟建設、個體交往等行為產(chǎn)生著積極的作用;第二,個人信息的價值化還體現(xiàn)為凝聚于個人信息基礎(chǔ)上的無差別的社會勞動。勞動是人類智力成果的展現(xiàn),也是新技術(shù)革命的產(chǎn)物。個人信息作為個人的符號而存在,代表著人格利益、身份標識,當前個人信息商品化腳步不斷加快,人格權(quán)的財產(chǎn)價值也得到了提升。特別是在大數(shù)據(jù)時代背景下,個人信息具有了很強的信息價值、文化價值和商業(yè)價值,其往往代表著個人利益、個人財產(chǎn)利益和公共利益等,因此個人信息保護的前提也是個人信息必須具有被保護的價值。因此,必須要對個人信息進行全面客觀地解讀,不僅要認識到其多維價值,同時還應對其積極利用的方式展開探討,從而更好地實現(xiàn)對個人信息的有效保護。

1.個人信息所帶來的商業(yè)價值凸顯。隨著互聯(lián)網(wǎng)技術(shù)的進步,云計算、物聯(lián)網(wǎng)、共享經(jīng)濟平臺等新興技術(shù)依托網(wǎng)絡快速發(fā)展,信息成為大數(shù)據(jù)技術(shù)的基礎(chǔ)要素和核心要素。大數(shù)據(jù)背景下,個人信息既是網(wǎng)絡技術(shù)的媒介、資源,又是信息交換的客體、對象。個人信息被形象地稱為“新石油”,在信息交換過程中具有重要的經(jīng)濟價值和利用空間。從目前的發(fā)展趨勢看,互聯(lián)網(wǎng)對個人信息的依賴還在不斷加深,有學者預計到2020年,個人數(shù)據(jù)交易將占到歐洲GDP總量的8%。如果離開個人信息的授權(quán)利用,不僅淘寶、京東等各種類型和規(guī)模的網(wǎng)店平臺無法完成線下服務,依托快遞業(yè)發(fā)展起來的送餐服務、代駕服務、老年人醫(yī)療服務等網(wǎng)絡交易同樣無法完成。共享汽車、網(wǎng)絡家教、在線理財?shù)葮I(yè)務,因為關(guān)涉到個人的生命財產(chǎn)安全,同樣以個人信息利用、收集、責任豁免為前提,否則相關(guān)市場就無法存在,服務也就無從談起。可以說,時代發(fā)展到今天,盡管無法否認個人信息中包含的人格屬性,但同樣不可否認的是個人信息中包含的商業(yè)價值及個人信息中包含的商業(yè)價值轉(zhuǎn)化為經(jīng)濟效益的現(xiàn)實可能性。因此,有學者建議立法應該從保護個人財產(chǎn)權(quán)而非隱私權(quán)的視角對個人信息進行保護,該類觀點在《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》《民法典》以及《數(shù)據(jù)安全管理辦法》(征求意見稿)中都得到了體現(xiàn)和落實。

2.個人信息所包含的法益進一步延伸。個人信息包含的法益從最初的隱私權(quán)到后來的人格權(quán)再到現(xiàn)在重點體現(xiàn)的財產(chǎn)權(quán),其內(nèi)容隨著實踐的發(fā)展一直在不斷拓展。歐盟《數(shù)據(jù)保護指令》明確規(guī)定,個人信息法益包括知情權(quán)、進入權(quán)、反對權(quán)、刪除權(quán)、不受完全自動化決定約束權(quán)等權(quán)利。但是在大數(shù)據(jù)背景下,公民個人信息權(quán)覆蓋的權(quán)能更為廣闊,正如齊愛民教授談到的那樣,信息利用決定權(quán)、保密權(quán)、查詢權(quán)、更正權(quán)、封鎖權(quán)、刪除權(quán)、報酬請求權(quán),都應該成為個人信息權(quán)能的一部分。個人信息法益的不斷延伸,意味著個人信息保護的難度也越來越大,保護的視角更加開闊。雖然目前我國公民對個人信息保護的認識還不夠清醒,但是逐年、不斷爆發(fā)的個人信息保護維權(quán)事件,則預示著公民的權(quán)利意識終究要醒悟、發(fā)展,屆時個人信息保護的推動主體將更加復雜化、多元化。

3.個人信息傳播途徑豐富。傳統(tǒng)社會中,信息傳播方式是單向的、線性傳播,因此,傳播速度慢、信息影響力小。從傳統(tǒng)傳播渠道上看,書籍、報刊是最為主要的傳播方式,其次是電視,最后是各種其他社會載體。但是在大數(shù)據(jù)背景下,個人信息傳播從單向傳播向雙向傳播轉(zhuǎn)變,尤其是像微博、微信、抖音、快手等自媒體技術(shù)的出現(xiàn),讓信息進入即時傳播時代,信息傳播多中心發(fā)展、開放式發(fā)展、共享數(shù)據(jù)發(fā)展三種渠道同時打開。更加廣闊的傳播路徑和更加快捷的反饋機制,意味著兩個基本的事實,一是個人信息侵權(quán)或者犯罪的危害和影響更加深遠,且在信息傳播的過程中,因為外界因素的介入,輿論輿情發(fā)展方向更加不便控制,甚至不能控制。二是任何一個環(huán)節(jié)保護不當,都有可能導致個人信息泄露,從而讓前期的所有保護工作功虧一簣。

(二)大數(shù)據(jù)為個人信息保護帶來挑戰(zhàn)

傳統(tǒng)的個人信息保護與大數(shù)據(jù)背景下個人信息保護新需求結(jié)合在一起,構(gòu)成了大數(shù)據(jù)背景下個人信息保護面臨的三組基本矛盾:

1.個人信息公開與個人信息保護的矛盾。現(xiàn)代化的網(wǎng)絡辦公,讓政府機關(guān)、銀行金融、醫(yī)療服務、校內(nèi)外教育等機構(gòu)或者部門掌握大量公民個人信息。這些信息既是政府進行管理或者提供服務的依據(jù),也是政府開展工作的對象和目標。這些信息涉及公民個人的金融消息、房產(chǎn)信息、健康狀況、住房情況等各個領(lǐng)域,具有隱私性和“可識別性”。但政府對其利用決定了這些信息不可能納入信息保護的范圍,或者說不可能被嚴格加以保護。同樣的,在訴訟領(lǐng)域,司法機關(guān)開展案件審理,可能要依職權(quán)調(diào)取這些信息。在繼承領(lǐng)域,民政部門為了分配遺產(chǎn),也可能要依職權(quán)調(diào)取這些信息。大數(shù)據(jù)技術(shù)的研發(fā),方便了某一部門收集信息、利用信息,也方便了各個部門、不同領(lǐng)域之間信息共享,但是這也為信息公開與個人信息保護的沖突埋下伏筆。依托現(xiàn)代化的辦公條件,公民的知情權(quán)得到發(fā)展,對于政府掌握的這些大量數(shù)據(jù),常有公民以各種理由提出公開信息申請。按照政府信息公開條例等相關(guān)法規(guī)的要求,只要公民的信息公開要求符合法律規(guī)定的,政府應當依法公開這些信息。毫無疑問,信息公開也是公民個人信息保護的一個方面,但是問題在于,信息公開保護的是申請公開信息的主體的知情權(quán),但是完全可能損害被公開信息主體的合法權(quán)益,這是信息公開與信息保護沖突的具體體現(xiàn)。

2.個人信息利用與個人信息保護的矛盾。個人信息作為優(yōu)質(zhì)的市場資源,受到社會各界廣泛關(guān)注,成為社會各商家的爭奪目標,蘊含著巨額的經(jīng)濟利益。這既誘導更多的主體加入違法收集、利用個人信息的市場,也讓個人信息被侵犯者傾向于索要高額賠償。隨之而來的是個人維權(quán)訴求會加重企業(yè)開發(fā)、利用信息的成本,從而束縛個人信息交易市場的發(fā)展。從這個層面來說,要想促進大數(shù)據(jù)技術(shù)和互聯(lián)網(wǎng)技術(shù)的進一步發(fā)展,個人信息利用以及個人信息利用豁免成為基本前提。但是,即便是在大數(shù)據(jù)背景下,法律永遠不可能允許國家無限制公開個人信息或者允許某個個人自主收集、利用甚至非法購買個人信息,也即個人信息保護的前提是不可動搖的,只不過需要考慮的是個人信息保護的戰(zhàn)線后移,以便兼顧個人信息利用,或者說實現(xiàn)個人信息有限制地利用這一目的。

3.個人信息公法屬性與個人信息私法屬性調(diào)和的矛盾。公民個人信息表征自然人綜合信息,包括身份、職位、家庭、經(jīng)濟狀況和其他信息,其私法屬性突出。因此,公民個人信息最早是以隱私權(quán)或者人格權(quán)的視角進入法律保護范圍的。這也是為什么長期以來我國公民個人信息立法一直堅持嚴格保護、禁止非法利用的根本原因。但隨著大數(shù)據(jù)技術(shù)的發(fā)展,改變了個人信息性質(zhì)的基本定位,其公法屬性也日益豐滿。公民個人信息公法屬性主要體現(xiàn)在:作為市場活動中的基本要素,公民個人信息的利用首先要符合市場規(guī)律,實現(xiàn)經(jīng)濟價值的同時也要服從市場管理秩序。無論是信息權(quán)利的主體還是通過合法渠道掌握公民個人信息的機關(guān)單位、商事主體,都不能濫用信息[10]。為了公共安全或者公共福利,政府或者相關(guān)管理部門需要對公民個人信息的利用設定利用底線,這就決定了公民個人信息保護絕不僅僅是個人的事,而是成為需要政府決策、立法保障的公共事務。

三、時代需求的回應——個人信息保護完善途徑

大數(shù)據(jù)時代為個人信息保護帶來全方位的挑戰(zhàn)和賴以生存土壤的改變,徹底扭轉(zhuǎn)了個人信息保護的格局。因此,應在認真考慮個人信息保護新需求、新形式的基礎(chǔ)上,對我國個人信息保護格局做出重大調(diào)整以適應時代背景下對此提出的保護新需求。

(一)基本前提—個人信息本質(zhì)的厘清

對公民個人信息保護到底應該持有怎樣的態(tài)度,取決于對公民個人信息的本質(zhì)界定。因從民法原理的角度來說,對公民個人信息采用權(quán)利保護還是法益保護的最大區(qū)別在于保護的標準和界限的差距。權(quán)利保護觀點堅守“征得權(quán)利人同意”這一基本原則,在未征得權(quán)利人同意不得收集、使用公民個人信息。法益保護在保護程度方面沒有權(quán)利保護要求如此嚴格。在現(xiàn)有保護方式上,對公民個人信息保護采用的是隱私權(quán)絕對保護標準,但是法益保護則采用財產(chǎn)權(quán)相對保護標準。我國對公民個人信息保護到底采用了怎樣的標準,一直沒有定論。2017年出臺的《中華人民共和國民法總則》將公民個人信息放在民事權(quán)利中進行保護,似乎認定公民個人信息的本質(zhì)屬于民事權(quán)利。但是理論界對此論斷的爭議似乎并未隨著民法總則的出臺而平息。王利明教授認為,《中華人民共和國民法總則》第一百一十一條采用了公民個人信息,但是并未采用公民個人信息權(quán)這一提法,這說明民法總則并沒有將個人信息作為一項具體的人格權(quán)利來保護[11]。

如果說以往我國對公民個人信息保護采用了民事權(quán)利的標準的話,在大數(shù)據(jù)背景下,也應該轉(zhuǎn)而采用法益保護標準。事實上,我國公民個人信息保護的確也是沿著這一軌道發(fā)展的。網(wǎng)絡背景下,個人信息犯罪突然爆發(fā),令監(jiān)管部門措手不及,因此,刑法修正案(七)針對司法實踐中普遍存在的非法倒賣個人信息、非法出售個人信息現(xiàn)象,增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,規(guī)定特定主體對于其獲取的個人信息,不得向他人出售或者提供。至刑法修正案(九)則將個人信息犯罪主體擴展到所有主體,保護面更廣,但限制非法侵犯個人信息犯罪的方法依然停留在非法出售、非法提供、非法獲取這三種方式上。2013年出臺的《關(guān)于依法懲處侵害公民個人信息犯罪活動的通知》和2014年最高人民法院發(fā)布的《關(guān)于審理利用信息網(wǎng)絡侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》,是進一步明確對侵犯個人信息犯罪的認定、處罰、判決標準[12]。從民事維權(quán)角度來看,公民信息主體個人在信息保護過程中的主動性加強,被保護主體傾向于通過民事賠償救濟、經(jīng)濟救濟等方式來維護自身信息權(quán)利,這是大數(shù)據(jù)背景下公民個人信息保護必須面對的又一社會現(xiàn)實。正如本文前面所指出的那樣,網(wǎng)絡時代,信息傳輸空前繁榮普遍、信息傳播速度驚人加快,個人信息中蘊含的經(jīng)濟價值也日益凸顯,并且具有了兌現(xiàn)空間,尤其是信息主體對信息保護的意識逐漸清醒,信息交易的欲望日漸強烈。在此背景下,對于所有領(lǐng)域內(nèi)正在發(fā)生和即將發(fā)生的公民個人信息交易套上 “征得權(quán)利人同意”以后才能使用的枷鎖,不僅會限制信息交易市場的發(fā)展,而且事實上也與個人信息保護的宗旨相悖離,難以起到預期的規(guī)制效果。

(二)具體措施—個人信息保護的原則和標準的調(diào)整

1.個人信息保護應堅持的原則。個人信息保護原則是個人信息保護領(lǐng)域必須堅持的發(fā)展方向。大數(shù)據(jù)背景下,要實現(xiàn)個人信息保護與個人信息利用的均衡發(fā)展,至少需要堅持以下四項原則:第一,目的限制原則,指收集、儲存、利用公民個人信息的主體必須具有正當目的。一方面,收集、利用個人信息的目的必須具體明確,有合法的授權(quán)和正當?shù)耐緩健Ａ硪环矫?為某一特定目的而收集的個人信息不得直接用于該目的外的其他目的。第二,信息安全原則,指收集個人信息的機關(guān)、單位應當采取必要的安全措施來防止信息泄漏,因信息收集主體的故意或者過失造成的信息泄漏事件,應該追究相應法律責任。第三,信息公開原則。對于行政機關(guān)來說,信息安全原則與信息公開原則都在兼顧之列。信息公開原則是公民知情權(quán)的要求,不能簡單地以信息安全原則否定信息公開原則。第四,信息利用原則。毋庸置疑,在大數(shù)據(jù)背景下,信息作為基礎(chǔ)資源,每個階段每個行業(yè)都以信息的傳輸和利用為基礎(chǔ),離開了信息傳輸,大數(shù)據(jù)技術(shù)也就無從依靠和發(fā)展。因此,大數(shù)據(jù)背景下的信息保護,必然包括信息利用。信息利用原則包括信息利用豁免和信息利用同意兩個方面。信息利用知情同意固然應該作為基本準則,但是信息利用豁免,尤其是對于為了公共利益以及信息傳媒的發(fā)展,必須打開信息利用豁免的空間,否則信息產(chǎn)業(yè)的發(fā)展將停滯不前。

2.個人信息保護的標準應予調(diào)整。大數(shù)據(jù)背景下,個人信息保護的標準應該與個人信息保護原則相協(xié)調(diào)。針對目前的司法現(xiàn)狀,保護標準方面應該實現(xiàn)四個轉(zhuǎn)變。第一,實現(xiàn)從公民個人信息權(quán)保護到公民個人信息法益保護的轉(zhuǎn)變。采用權(quán)利保護的方式,與大數(shù)據(jù)背景下個人信息利用的巨大需求并不相符,且在自媒體背景下,個人信息利用已經(jīng)處于無法阻擋的大趨勢之下,立法不能逆潮流而為之。我國個人信息法出臺困難重重,正是因為立法理念的不及時調(diào)整,導致立法傾向與司法實踐需求之間的落差過大。第二,實現(xiàn)保護方式的轉(zhuǎn)變。我國刑法對公民個人信息保護采取了逐漸擴大規(guī)制主體的立法路徑。但是民法領(lǐng)域和行政法領(lǐng)域的個人信息保護目前還停留在特殊主體領(lǐng)域內(nèi),特別是隨著網(wǎng)絡“去匿名化”和“再識別”技術(shù)的發(fā)展,公民個人信息違法違規(guī)的主體將更為普遍,因此,從行政法和民法的角度來說,也要采用一般主體保護的方式,將自媒體終端、互聯(lián)網(wǎng)共享平臺以及網(wǎng)絡領(lǐng)袖、政府機關(guān)、社會組織等一并納入民法、行政法規(guī)制范疇。此外,公民個人信息保護從事后追責轉(zhuǎn)型為事前規(guī)范更為合適。第三,保護范圍的轉(zhuǎn)變。當前我國公民個人信息保護往往側(cè)重于隱私保護或者信息秩序維護某一個方面。但是對于個人信息知情權(quán)、修改權(quán)、刪除權(quán)、經(jīng)濟請求權(quán)等其他正當請求回應不足。事實上 ,借用耶林“權(quán)利束”概念,一項權(quán)利上包含的法益往往不是單純的,權(quán)利也罷,法益也好,往往是涵蓋多個方面的。因此,對公民個人信息保護也應該沿用“法益綜合體”的思路,而不是只保護某一項法益。第四,保護程度的轉(zhuǎn)變。保護程度的等級設置,其實是為個人信息利用和流通預設條件。目前,我國對公民個人信息分等級設定保護標準的趨勢已然顯現(xiàn)。如將公民個人信息分為隱私信息與非隱私信息,對公民隱私信息保護與公民隱私權(quán)保護重疊,采用“征得權(quán)利人同意”的隱私保護標準,對于非隱私信息,則采用“不違反社會公德”的保護標準。又將公民個人信息分為實體性個人信息與程序性個人信息。對于實體性信息,自然強化保護理念,而對于程序性信息,則更側(cè)重于信息保護豁免。

(三)實現(xiàn)路徑—三種責任類型的完善

當前我國個人信息保護立法成果主要集中在刑法和民法領(lǐng)域,在憲法和行政法領(lǐng)域涉及較少,這一立法弊端應該在大數(shù)據(jù)背景下的個人信息保護體系構(gòu)建中予以完善。公民個人信息保護的刑事責任,依據(jù)《刑法修正案(九)》和《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 足以認定,且盡管《刑法修正案(九)》對公民個人信息保護標準略顯苛刻,但隨著《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的出臺,在危害后果和侵犯的個人信息數(shù)量方面進行限制,一般的、偶爾的個人信息收集、使用,則不在刑法規(guī)制范圍內(nèi),這也符合信息社會個人信息高速交流的特質(zhì)。因此,個人信息保護刑事責任比較完善具體[13]。相較而言,其立法技術(shù)和立法效果都領(lǐng)先于其他領(lǐng)域的責任。

個人信息保護體系的重要前提是增設個人信息保護憲法責任。隱私權(quán)作為憲法的一項基本權(quán)利,在我國憲法第三十八條從人格保護的角度有所涉及,但從人格尊嚴權(quán)到隱私權(quán),再從隱私權(quán)到公民個人信息保護,并不能形成理所當然的結(jié)論。有不少學者指出隱私保護尚未入憲,從隱私權(quán)過渡到公民個人信息保護,更是缺乏先決依據(jù)。當然,由于相關(guān)法律依據(jù)的缺失,我國個人信息保護在援引法律法規(guī)支持時,免不了從隱私權(quán)和人格權(quán)保護的角度來尋找立法依據(jù),而正是因為憲法對公民人格權(quán)和隱私權(quán)的嚴格保護標準,導致個人信息保護一直陷入隱私保護與人格保護的爭議之中,難以獲得獨立的法律地位,從而影響了個人信息的責任體系的基礎(chǔ)性構(gòu)建。因此,如果目前憲法對公民個人信息的保護還達不到直接規(guī)定個人信息權(quán),則可以先從隱私保護入手,將隱私保護直接寫入憲法,繼而通過對隱私保護的闡述,來間接實現(xiàn)對公民個人信息的保護。從法理上來說,隱私權(quán)理論內(nèi)涵包括獨處權(quán)理論、親密關(guān)系理論、信息控制理論、限制接觸理論等多個方面。2011年工業(yè)和信息化部發(fā)布《規(guī)范互聯(lián)網(wǎng)信息服務市場秩序若干規(guī)定》中對個人信息的判斷標準為“可識別性”,只有進一步正視個人信息保護中的三對基本矛盾,才能為個人信息保護設定合適的底線。另一方面要從保障公民基本權(quán)利的角度,對個人信息的利用和處分設定標準。在要求公權(quán)力機關(guān)采取安全措施防止信息泄漏,限制公權(quán)力對個人信息非法干涉的前提下,進一步從保障公共利益的角度,對限制個人信息的事項做出明確,以確立個人信息保護與利用并重的格局。同時需要從憲法的高度授權(quán)國家機關(guān)或者其他機構(gòu)強制收集和使用個人信息的職能,為政府機關(guān)履行公務提供法律保障。

建立個人信息保護體系的重要支撐是完善行政責任。從政府和管理部門的職責來說,需要建立個人信息利用豁免制度,但是同時必須建構(gòu)以個人信息保護為核心的行政責任,這是為了避免政府或者其他部門以公權(quán)力干涉、侵犯公民個人信息法益。同時,建立個人信息保護行政責任是完善個人信息保護行政責任、刑事處罰、民事責任相配合、相銜接的救濟責任體系的必然要求。尤其是要加強刑事責任與行政責任的銜接,從行政授權(quán)的角度,對政府進行管理和提供服務中獲得的個人信息的保護做出嚴格限制,但是同時又要從法律上保障政府機關(guān)收集和使用個人信息行為的正常進行。對于刑事責任無法規(guī)范,又不符合民事起訴標準的個人信息泄露事件,規(guī)定具體明確的行政處罰措施。在行政法領(lǐng)域,還要對公民知情權(quán)與信息保護權(quán)的矛盾進行回應,在個人信息保護與公民知情權(quán)的實現(xiàn)方面,爭取實現(xiàn)信息保護與知情權(quán)實現(xiàn)兼顧之目的。對于行政機關(guān)履職不到位導致的公民個人信息泄露,從公益訴訟的角度進行保護,也不失為一種新的更為有效的途徑。其最大優(yōu)勢在于,檢察機關(guān)的介入有助于改變公民與相關(guān)行政機關(guān)的力量不均衡、信息不對稱的局面,從而讓公民在公民個人信息保護中有了更大的主動權(quán)。

完善個人信息保護民事責任。依據(jù)《民法典》創(chuàng)設的個人信息權(quán)保護框架,《消費者權(quán)益保護法》《商業(yè)銀行法》《執(zhí)業(yè)醫(yī)師法》《居民身份證法》等法律法規(guī)、規(guī)章從不同層面對個人信息保護進行了回應。但是從目前個人信息保護民事司法現(xiàn)狀來看,公民通過民事渠道維護個人信息安全的積極性并不高。歸根結(jié)底,還是通過民事渠道維護個人信息的難度依然較大,代價較高,尤其是時間成本與經(jīng)濟成本不匹配。因此,完善個人信息保護民事責任應該堅持兩個基本方向,一是繼續(xù)完善民事領(lǐng)域相關(guān)立法,從《民法典》等角度對個人信息保護內(nèi)容進行創(chuàng)設、吸收、完善、修訂,以構(gòu)建以《民法典》為主體,其他法律、法規(guī)為主干,相關(guān)規(guī)章、制度為枝葉的民事責任保護體系。

四、結(jié)論

網(wǎng)絡的發(fā)展,讓公民個人信息保護成為一個常變常新的課題。我國的公民個人信息保護雖然只有短短的二十余年的歷史,但是這期間個人信息保護所體現(xiàn)出的傾向性和側(cè)重點是不同的。這種變化不僅僅是立法技術(shù)完善和改進的反應,更是網(wǎng)絡技術(shù)的進步以及技術(shù)對公民生活影響的反射。

大數(shù)據(jù)時代的到來,讓當前的個人信息保護格局面臨新的挑戰(zhàn)。從技術(shù)的角度來講,大數(shù)據(jù)指的是一種數(shù)據(jù)處理方式,其以容量大、類型多、存取速度快、應用價值高為主要特征。但是從法學的視角來看,在大數(shù)據(jù)背景下,數(shù)據(jù)處理外延不斷擴大,數(shù)據(jù)收集速度不斷提升,數(shù)據(jù)應用深度不斷挖掘,數(shù)據(jù)的經(jīng)濟效益不斷顯現(xiàn),數(shù)據(jù)經(jīng)濟成為時代主流。大數(shù)據(jù)已經(jīng)實現(xiàn)了對公民個人生活的全覆蓋、全變革。個人信息保護成為一個多方面、多需求的綜合命題,公民個人信息保護從一開始的隱私保護定位到后來的人格權(quán)保護立場再到現(xiàn)在的財產(chǎn)權(quán)保護初衷,其背后的助推力是網(wǎng)絡技術(shù)的進步和信息社會的發(fā)展。說到底,大數(shù)據(jù)背景下的生產(chǎn)力發(fā)展了,所以生產(chǎn)關(guān)系也發(fā)生了變化,法律圍繞著生產(chǎn)關(guān)系變革而面臨的任務也發(fā)生了變化。至此,公民個人信息保護不僅要求實現(xiàn)對隱私信息和核心個人信息的嚴格保護之目的,同時還要實現(xiàn)個人信息經(jīng)濟價值和公益價值之目的,故需協(xié)調(diào)完善憲法、刑法、民法、行政法多個渠道來保護,以確保個人信息保護、利用、公開之目的得以有效實現(xiàn)。