對我國個人數據保護框架的檢視與設想

郭成志

摘? 要：大數據技術發展與個人數據保護之間的沖突日益凸顯。為此應從立法、執法、司法等方面整合現行個人信息數據法律法規，協調刑法、民法、行政法三者關系，建立健全事前預警、事中監督與事后救濟機制，兼修內部治理與外部監管，構建以刑、民、行政法為支柱，行業自律同外部執法并行的個人數據保護框架。

關鍵詞： 數據安全;個人數據;個人信息保護法;網絡安全法

中圖分類號：G203? ? ?文獻標識碼：A? ? 文章編號：2096-3769（2020）02-119-05

伴隨著技術的發展，人類步入了數字經濟時代，大數據浪潮呼嘯而來，席卷著整個社會。在這個時代，數據是最大且最有價值的資源。構建數字經濟的關鍵要素是自由流通的數據，因此數據這一科技革命誕生的產物在當代成為具有諸多資產屬性的生產要素，與此同時，數據作為信息載體其流動與使用也引發了諸多社會關注。為了建立一個為個人信息數據（1）保護提供基礎同時又讓數據保護法反映國情的個人數據保護框架，各國政府開始了制定符合本國價值定位與制度設計的嘗試。在此背景之下，如何應對數字經濟時代數據管理帶來的挑戰，處理好個人數據安全保護與數據資產利用的關系，成為我國亟需解決的問題。

一、我國數據保護制度的探索與反饋

我國政府十分重視數據在國家現代化建設的戰略性作用。[1]國務院印發的《促進大數據發展行動綱要》明確指出，“數據已成為國家基礎性戰略資源”。[2]2004年出臺的《居民身份證法》拉開了我國個人信息保護法制建設的序幕，至今我國已出臺近200部有關個人信息保護的法律文件，集中分布于刑、民、行政等部門法律之中。[3]

1.刑法數據保護的立法探索

2009年的《刑法修正案（七）》首次將出售、非法提供公民個人信息的行為列為刑法規制的對象。其第253條規定“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節嚴重的，依照前款的規定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規定處罰”。其后出臺的“兩高”《關于執行<中華人民共和國刑法>確定罪名的補充規定（四）》補充、確定了“出售、非法提供公民個人信息罪與非法獲取公民個人信息罪”。2015年《刑法修正案（九）》進一步補充、修改了侵犯公民個人信息犯罪的相關規定。首先，擴大了侵犯個人信息犯罪的法律規制范圍，刪除了“特定單位的工作人員”這一表述，使法律規制的犯罪主體從特定主體變為一般主體。其次，加大了刑罰懲戒力度，增加了特定主體“從重處罰”以及“情節特別嚴重”量刑情形的規定。

2.民法數據保護的立法探索

2017年全國人大通過并予以頒布的《民法總則》，作為民法典開篇文書，其第111條規定的“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”，為公民個人信息數據保護提供了民法基礎?！肚謾嘭熑畏ā返?條亦明示，侵害包括隱私權在內的民事權益，應當承擔侵權責任。第36條則規定了網絡用戶、網絡服務提供者應當遵循的法律義務以及侵權所應承擔的法律責任，維護了網絡侵權中被侵權人的隱私權利。以上兩條規定使得侵權責任法成為我國個人數據保護方面最為直接有效的法律依據，為之后《民法典》有關個人數據、隱私權條款的制定奠定了堅實的基礎。

3.行政法數據保護的立法探索

2016年出臺的《網絡安全法》作為目前個人信息、數據保護領域的集大成之作，通過諸多條文明確了個人信息收集、使用所應遵循的“合法、正當、必要”原則，以及網絡運營者應當履行的保護義務，完善了我國個人信息、數據的保護制度。該法第64條規定的侵犯個人信息權利的法律責任，較刑、民二法的規定做了進一步的細致化、特性化處理，突出其整合網絡安全領域的屬性。其第76條明示了“個人信息”這一用語的范圍及含義，對個人信息保護制度的發展具有指導性意義?！墩畔⒐_條例》《居民身份證法》等行政法規，嚴格規范了政府對制作、獲取并記錄、儲存在個人信息收集、儲存方在個人信息收集、儲存方面的服務性職能。保障公民、法人和其他組織依法獲取政府信息，提高政府工作的透明度，保護了公民的合法權益。

4.我國司法實踐的現狀

我國在構筑公民個人信息保護制度的司法實踐過程中，積極應對當前問題，力圖制定具有中國特色的高效的數據安全框架。一方面通過刑法、民法、行政法等法律法規為個人信息保護提供堅實的后盾，另一方面通過公安部門、國務院電信主管部門等聯合凈化網絡環境，開展網絡空間治理，加大有關侵犯個人信息犯罪的執法力度。[4]但體量巨大，類型繁多的大數據，日趨復雜的黑客攻擊、頻繁卻又難以檢測的系統漏洞等各種數據安全問題，使得公民個人信息泄露、個人數據遭濫用情況時有發生。

二、我國個人數據保護框架的檢視

1.尚未構筑統一的個人信息法律保護體系

目前，我國缺乏具備綜合性、專門的個人信息保護法?！毒W絡安全法》主要作用于網絡安全領域，對個人信息的保護有限。有關個人信息保護的規定星散于主旨有別、內容差異較大的行政法規或單行法之中。[5]現行的數據保護法律規范雖已在數量上形成一定的規模，但總體上仍較為零散，未整合成完整的體系。相關法律缺乏操作性，當信息主體受到不法侵害時，經常面臨無法可依、無據可循的困境，缺乏完整維護公民個人信息權的法律基礎，亟需保護個人信息的專門性法律予以規范調整?！皞€人信息”這一用語在法律語境中仍未有明確的、統一的內涵和外延，作為網絡安全領域基礎性法律的《網絡安全法》，其所規定的有關個人信息的概念太過宏觀，雖具有指導意義，但難以在復雜的司法實踐中得到普遍適用?，F行的單行法律和法規。相關法律缺權益保護法》《電信條例》《政府信息公開條例》等，立法觀念過于保守，規定過于原則化。有關信息控制者、管理者使用、收集、儲存信息的方式、方法、保密義務都太過籠統，多以間接保護為主，提供的保護范圍較狹窄，未提供充足、合理的救濟途徑。因此被侵權人不得不面對維權成本過高、侵權主體難以確定、舉證責任不平衡等問題，致使受害者維權動力不足。另一方面，我國個人信息保護領域尚未確立符合個人信息保護領域的安全標準，執法中所適用的標準仍是偏向網絡安全領域的《網絡安全法》所規定的國家網絡安全標準。實踐中我國國家信息保護與個人信息保護錯位現象十分嚴重，法律關系混亂，難以適應日趨嚴峻的司法現狀。各法律和規章適用的范圍、立法所調整的對象差異較大，且層次不一、規則籠統，部分內容甚至重復或沖突，相應配套法規不完善，更遑論取得優異的社會治理業績。

2.數據保護法律框架內部不協調

作為個人信息保護領域中發揮支柱性作用的法律部門，刑法、民法、行政法三者的立法目的、價值理念、原則迥然不同。導致三者所調整的法律關系大相徑庭，適用法律的范圍判若鴻溝，難以有效銜接形成合力相互配合、為公民提供行使個人信息請求權的完整基礎，司法實踐中被侵權人難以找到直接、合理的法律依據維權的情況頻繁發生。司法實踐中重刑法、輕民法和行政法的問題十分突出。有關數據保護的法律文本其顯著特征便是令行禁止，多設禁止性與義務性規定，不能因勢利導，遏制了信息控制者的積極性與市場主體的創新力。在侵犯個人信息行為懲戒追責方面，動輒以刑法規范作為追責方式，刑法規范替代其他執法機制，僅“兩高”《關于辦理侵犯公民個人信息刑事案件的解釋》第5條這一條司法解釋便規定了十種“情節嚴重”的判定標準。刑罰的目的在于預防犯罪的發生，這般強化刑罰工具主義，加重社會治理刑罰化的方式，使得刑事責任規定雖然看似嚴格，實際效果卻非常有限。刑法的錯位與民法、行政法的缺位，使得個人信息治理機制失衡，執行狀況難以回應法律要求，進一步加劇我國數據安全保護框架的紊亂和失靈。目前，我國刑法所涵蓋的個人信息犯罪行為僅有“違法出售、提供、獲得”“竊取”四種，然而現實中損害公民個人信息權的行為如“非法儲存、利用”等并未被列入規制對象當中，此外“民法、行政法”也未發揮對刑法規制缺陷的補充作用。

3.個人數據保護預警監測及監督制度尚不完善

面對不同的個人信息數據，預測、監督機制并未采取不同的標準進行有效的區分，提高了規制成本，不利于回應公民日益強烈的個人信息保護需求。伴隨大數據的進步，公民的個人信息權力種類、范圍等也在不斷地擴張，網絡安全法確立的包括遺忘權等新型權利不足以順應社會、大數據發展的潮流，包括公民的同意權、刪除權、遺忘權等各項權利，法律都未予以明確回應。大數據時代公民需要更多且更明確的權力話語。個人信息保護類法規需要確立公民維護自身信息安全的制度[6]，賦予公民更多的權利，明確信息主體的同意權、刪除權保護范圍。

4.內部治理機制與外部執法機制存在缺陷

當前企業內部缺乏自律機制。近年來我國個人數據泄露事件高發，如2013年支付寶賬單中20G用戶個人信息被泄露，2016年京東內部員工倒賣用戶個人信息至50億條信息遭非法泄露，2016年某省銀行內部職員泄露257萬條征信信息。這類事件社會影響極其惡劣，但究其根源是信息控制者內部治理機制的問題。受固有的信息安全觀念影響，信息控制者的注意力更集中在計算機系統安全上，卻忽視了對個人信息的保護。行業自律效果不佳，企業內部缺乏自律組織，行業自治無法響應信息主體對個人信息充分保護的要求，主張通過信息控制者的自律實現信息安全難以破解個人信息保護的癥結。此外，目前我國尚未組建統一、專門的執法機構。我國數據保護的職責星羅分散，由公安部、國家網信部、國家統計局等部門承擔，因此，個人信息保護實踐中存在工作人員冗余、職責界限不清、職能互相沖突的尷尬局面。這種局面使得我國個人信息數據保護的執法現狀難以應對嚴峻的個人數據保護形勢和回應大數據治理專業化、分工化的要求。在數字經濟時代，設立專門的數據保護機構和安全管理負責人，已然成為世界范圍內的必然趨勢，的注意力的缺乏將使我國處于被動的地位。[7]互聯網時代，個人信息保護的方式與階段都在發生改變，構筑強有力的執法機制，形成外部執法威懾迫在眉睫。

三、我國個人數據保護框架之設想

首先，針對我國立法分散、滯后的癥結，整合現行有關個人信息保護的法律、法規，對相關法規進行修訂與完善，搭建一個統一、完整的具有整體性和先見性的個人信息法律保護框架，實現從“碎片化”向“體系化”的轉變，[8]使各法律法規取長補短、相互配合形成合力。同時加速制定個人信息保護法，設立統一的立法理念與法律規則。確立符合個人信息保護領域的安全標準，分離國家網絡安全與個人信息保護標準，規避國家數據安全保護與公民個人數據保護的錯位。針對個人信息內涵、外延不明確這一問題，通過司法解釋文件與部門規章等明確個人信息概念，厘清個人信息的法律屬性與內涵、外延，將其概念由宏觀轉至微觀，服務于具體司法實踐。動態的看待個人信息的屬性，區別個人信息保護狀態下的私益屬性，與個人信息利用狀態下的公益屬性。[9]創新個人信息侵權的法律救濟途徑，修訂、完善民法與行政法，擴大法律對個人信息的保護范圍，加大對個人信息侵權行為的保護力度。創新司法機制，將個人信息侵權保護通過司法審判機制直接加入到民法和行政法保護的范圍當中，在各級人民法院理念與法律規則。確立符合個人信息保護領域的安全專業服務機構，如取證機構、證據保全機構、司法援助機構等，降低被侵權人的維權成本與取證難度，為受害者提供充足、合理的救濟途徑。

其次，協調個人信息數據保護法律框架內部各要素之間的關系，科學厘清不同制度的邊界。在制定、完善個人信息保護法律法規的基礎上，解決刑法規范越俎代庖、其他執法機制實行效果差的問題，規避法律規范機制內部的缺位、錯位、越位。[10]以強化行政監管、拓寬民事法律救濟途徑等方式推動個人信息治理多元化，推進個人信息合作保護和治理，改善我國現階段法律體系中刑法追責過強，行政法、民法邊緣化的現狀，推動刑事、民事責任與行政處罰的有效銜接，實現三者在個人信息侵權保護方面的缺益互補、齊頭并進，以此激勵信息控制者與市場主體，讓他們在個人信息數據治理中發揮積極性與創新力。擴張對個人信息犯罪方式的規定以及相關司法解釋，將社會中存在的非法侵害個人信息的行為列入刑法的規制范圍當中，解決垃圾電話短信、不良網絡運營商擾民等問題，并通過發布典型案例、提出檢察建議等方式，發揮刑法在教育、警醒、預防、指導等方面的功能，對公民的個人信息安全進行事前保護，防患于未然。構建一個刑法、民法、行政法相互補充的系統化、多元化的法律框架。