法益與權利:大數據時代個人信息 保護立法選擇與價值表達

王 婕

(集美大學誠毅學院 人文科學系,福建 廈門 361021)

大數據時代背景下,社會活動的數字化特征逐漸明顯,網民的數字人格不僅只在網上實現,還具有了現實價值。如果說以往個人信息保護的對象是個人的隱私權或人格權,那么大數據時代個人信息保護的對象遠不止于此。個人隱私、人格固然是個人信息范疇的一部分,但隨著個人信息外延的不斷拓展,其中的經濟效益成分也被隨之激發。且這種經濟效益隨著互聯網技術的發展不斷擴張,繼而稀釋了個人信息中的隱私成分和人格權成分。隨之而來的個人信息侵權犯罪也呈現出與以往不同的時代特征[1]。這些時代所帶來的問題都需要我們尋求更好更優的解決途徑。

一、個人信息保護現有資源評析

(一)我國個人信息保護立法成果概述

刑事立法保護方面,2009年刑法修正案(七)增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪[2]。2015年刑法修正案(九)正式采用侵犯公民個人信息罪這一罪名,將本罪的特殊主體修改為一般主體,特殊主體侵犯公民個人信息的,從重處罰。2013年《關于依法懲處侵害公民個人信息犯罪活動的通知》,2014年最高人民法院發布《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》對侵犯個人信息犯罪的司法審判程序作出具體規定[3]。2017年6月1日發布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 則對侵犯個人信息犯罪具體犯罪形式和“情節特別嚴重”等標準作出具體解釋,以增強司法實踐中的可操作性。

在民事立法和行政立法保護方面, 2011年工業和信息化部發布《規范互聯網信息服務市場秩序若干規定》,用“可識別性”來界定公民個人信息,第一次將公民個人信息保護從隱私保護的框架中區分出來。2012年《信息安全技術公共及商用服務信息系統個人信息保護指南》,框架性地設置了網絡服務提供者和其他參與網絡的相關主體在個人信息保護方面的職責、義務、要求、注意事項。2016年《中華人民共和國網絡安全法》正式出臺,加重了對網絡經營者處理個人信息的約束,但同時也要求保障信息的正常交流,以促進網絡的健康發展。2017年《中華人民共和國民法總則》出臺,在民事權利一章中,明確規定了個人信息受法律保護,肯定了個人信息獨立的民事法律保護地位[4]。

2019年5月28日,國家互聯網信息辦公室出臺的《數據安全管理辦法》(征求意見稿)與之前個人信息保護采用了截然不同的解決路徑,該法在總則部分即明確“國家堅持保障數據安全與發展并重,鼓勵研發數據安全保護技術,積極推進數據資源開發利用,保障數據依法有序自由流動”[5]。在具體章節設置上,則按照完整的數據收集、使用、管理的節點設置安排。因此,與其說該法的主要目的是保護公民個人信息安全,不如說該法的宗旨在于規范個人信息收集、使用、管理的具體流程。

2019年,最高人民檢察院從原有公益訴訟的監督領域予以拓寬,提出對公民個人信息進行保護,理由有二:一是公民個人信息安全事關社會公共利益乃至國家利益;二是公民個人信息目前泄露嚴重,已帶來巨大社會危害。從檢察公益訴訟的角度對個人信息予以保護,一方面能夠督促掌握公民個人信息的行政部門盡責履職,另一方面可以加強公民個人信息的源頭保護。雖然目前該項制度尚未得到立法的認可,但是通過全國檢察機關的努力,辦案效果顯著,這也為公民個人信息保護提供了嶄新的解決思路。

(二)我國個人信息保護司法考察

司法實踐中,侵犯個人信息罪最為常見的行為集中在非法竊取、非法轉賣,非法取利。2016年6月,犯罪嫌疑人陳某加入了一個名為“電購、網購”的QQ群,了解并接觸到倒賣個人信息能夠獲利之后,以平均每條信息0.5元的價格購進,再以一元一條的價格賣給下家。個人信息購買下家多為保健品類賣家,對個人信息的需求極大。此后,陳某結識同在倒賣信息的蔣某,兩人發現可以從某快遞公司發貨系統中盜取目標客戶信息,便著手實施專門竊取信息的違法行為。2017年10月10日,該快遞公司安保部門到公安機關報案,警方最終調查發現,陳某及其同犯非法獲取并泄露的信息達數百萬條以上,最終陳某等四人以侵犯個人信息罪被判處刑罰。

從該案來看,可以發現大數據背景下侵犯個人信息犯罪至少呈現以下三個方面的新型特征:一是該類犯罪的影響范圍更廣。大數據背景下,個人信息收集、利用、綜合分析的能力達到歷史巔峰水平。一旦發生個人信息泄露或者被盜事件,個人信息違法犯罪的嚴重程度也將達到峰值,個人信息犯罪的危害影響范圍同樣不可估量。以本案為例,陳某在不到兩年的作案時間內,販賣的信息高達百萬條之巨,而此前提是有更多的個人信息已經或正在被非法收集。二是快遞行業已然成為個人信息犯罪的重災區?？爝f行業對個人信息比較倚重,各個快遞公司手中掌握著大量的公民個人信息,這些信息不僅包括姓名、家庭住址、單位電話等普通信息,甚至還能反映出包括個人信仰、性取向在內的私密信息。如此海量的信息掌握在以盈利為目的的企業手中,目前除了企業內部保護之外,并沒有其他特殊的、專門的保護措施,其本身隱患重重。三是大數據背景讓一些本沒有識別性或者不重要的個人信息變得極具辨識性和重要性。個人消費記錄和消費習慣這類特殊的個人信息中往往包含著巨大商機,也是商家追逐的消費領域前景。陳某等人販賣個人信息下家買主絕大部分是保健品商家,他們瞄準的消費群體是年齡較大或者經濟條件較好的個體。因此,陳某等人對個人信息販賣,具有較強選擇性和目標性,犯罪目的實現的可能性也更大。這與傳統公民個人信息販賣的盲目性區別較大。

大數據時代之前,個人信息違法犯罪體現的共性往往表現為個人信息被隱秘收集、信息主體處于被動受侵犯狀態。但是在大數據時代,信息所有人在信息違法犯罪活動中體現較為強烈的主動性,個別信息所有人明知個人信息將用于違法行為,依然主動提供。這是大數據背景下個人信息違法犯罪呈現出的一個新特點[6]。以微信賬號的出租出售為例,這早已不是不可告人的秘密。用以出租的微信號一般都是微信戶主正在使用的微信號,不僅注冊時間較長,而且綁定手機號甚至銀行卡。盡管按照《騰訊微信軟件許可及服務協議》約定,微信戶主只享有微信賬號使用權,不得將微信號贈與他人、給他人借用,更不允許出租、出售微信賬號。但是從實踐來看,出于經濟利益或其他目的,微信用戶本人出租、出售自己微信號的行為非常普遍,從某種層面也說明個人對自己信息的處分在市場經濟環境中獲得了暫無實質桎梏的釋放。

此外,現代社會幾乎人人都能接到針對性強的裝修服務、嬰幼兒產品信息、股票介紹、房產服務的廣告推銷電話,也讓大家習以為常并不認為是對個人信息的侵犯。因而在民事保護領域,因個人信息被泄露而提起民事賠償或者侵權之訴的案例并不常見。一方面因為公民個人面對龐大的國家機器或者其他互聯網技術平臺,難以提供證據證明自己的信息是從哪個環節予以泄露。另一方面簡單的信息泄漏,一般不會引起當事人的重視并采取訴訟或其他相關手段予以維權。一旦個人信息泄漏直接觸犯刑法的,往往按照相應罪名納入刑法體系予以調整,直接導致民事、行政保護體系的架空。即便現實如此,仍有個人信息保護行政爭議案件發生。2018年7月2日上午,違反治安管理行為人B因鄰里糾紛在安吉縣××街道××單元××室事主A家門口處,采用辱罵方式對A進行言語攻擊,后被公安機關查獲,安吉縣公安局于2018年8月31日出具行政處罰決定書,該行政處罰決定書在案件事實查明部分載明完整陳述該事實,并公開發布。2019年2月20日,A向安吉縣公安局提出關于執法公開侵犯個人隱私及未對個人信息保護糾錯申請,安吉縣公安局于2019年2月27日以未對當事人合法權益造成實際影響為由,作出不予糾正答復。對此A提起行政訴訟,但是歷經兩審,法院判決均認為安吉縣公安局的行為并未侵犯A的個人信息。從本案來看,對個人信息的行政法保護一方面是缺乏相關法律法規作為裁判依據,另一方面傳統裁判思維認為具體行政應為應對個人信息權利產生實質危害才確認行政行為違法。在當前大數據背景下已經無法保障“小微損害”案件被侵權一方的合法權益。

(三)域外個人信息保護效果評述

域外無論是歐盟還是美國,對個人信息保護早已從個人信息單純保護進入了個人信息商業利用規范的階段。歐盟地區已將個人信息保護的主動權交由公民個人處置,公民對個人信息的完全自主權更多地體現在信息交流和信息利用等方面[7]。2018年5月,已生效的歐盟《通用數據保護條例》對全球化布局的科技公司具有深遠影響。想要在這個貿易規則中生存并實現發展目標,這些公司對其掌握的個人信息的保護和利用必須都達到最優程度。而在美國,對個人信息保護采取了分散立法和行業自律相結合的模式,其中行業自律模式極具可借鑒性。相較傳統產業,互聯網行業在收集、利用個人信息時,保持了較高標準的行業保護規范,將個人信息收集和個人信息保護統一于行業自身,不僅有利于互聯網行業規范利用個人信息,也讓廣大公民對信息流通不再恐慌。然而就在2019年,美國國會發布的《數據保護法概況》重提數據隱私,似乎意味著美國在個人信息利用方面開始走回頭路。美國的做法啟示我們,堅持個人信息的保護,并非強調數據利用一定要大于數據保護,而是既要注重保護個人信息,尤其是隱私信息的保護,又要順應形勢,強調個人信息的規范收集、利用,在個人隱私保護與個人信息利用之間求得平衡。在這方面,日本對個人信息保護的做法或許更值得我們學習。2017年日本頒行的《個人信息保護法》將監管重心放在數據使用行為規制層面,刻意弱化數據排他權制度設計。同時要求公共管理部門保障數據順暢交易,強化數據使用安全技術標準。其提出的“匿名個人信息”的開發利用,兼顧了個人信息保護與個人信息利用的雙重目的。

(四)我國個人信息立法保護嚴重滯后

梳理公民個人信息保護的立法成果,可以發現在刑事立法方面呈現出逐漸從嚴、從重的處罰傾向。但是從司法案例來看,針對個人信息違法犯罪活動特征在大數據背景下有幾個方面的轉變:一是從非法收集、違規利用個人信息向公然倒賣個人信息轉變;二是從偶發、少發個人信息違法犯罪向頻發、高發個人信息轉變;三是從違法犯罪分子非法倒賣個人信息向信息主體主動非法出售、出借個人信息轉變。在信息犯罪類型層出不窮的網絡時代,個人信息刑法保護的滯后性更為明顯:規制手段單一、取證過程困難、查處力度打擊力度、威懾力度都遠遠落后于個人信息犯罪現狀。

行政機關因為從事公共管理,掌握著大量的公民個人信息,雖然行政部門承諾會對公民個人信息進行保護,但是從實踐情況來看,行政機關不履職甚至故意泄漏公民個人信息的情況也并不罕見。每年報考公務員的考生,總能收到相關考試機構的招攬電話?？忌洗髮W的學生,往往收到發放助學金、獎學金的詐騙電話,這都提示我們掌握巨大公民個人信息量的行政機關將成為個人信息保護的重要源頭治理區域。

而在民事領域,個人信息立法體現出逐漸放寬控制標準、從個人信息保護向個人信息利用轉變的發展趨勢。但是,這種趨勢在立法上表現得較為含糊,僅僅是一些原則性的條款,缺乏明確的、具體的支持個人信息利用,發展個人信息經濟價值的立法表達。雖然《數據安全管理辦法》(征求意見稿)對此有所改進,畢竟還未正式出臺,在法律銜接和具體適用方面,也有一定困境。從另外一個層面考慮,個人信息保護與個人信息利用的界限在哪里,個人信息保護與個人信息利用的矛盾如何協調,個人信息利用經濟價值如何保障等問題,在現行的民事法律和行政法律法規資源中,都缺乏相應的依據。

整體來說,公民個人信息保護框架尚未成型,公民個人信息保護立法管理色彩強,服務措施少?；ヂ摼W報道、政府為了公共利益使用公民個人信息以及公民個人信息的經濟價值等突出問題,回應不足,導致立法的針對性和操作性不強[8]。

二、個人信息保護的時代需求

大數據背景下,信息的傳輸、收集和利用無時無刻不在進行中,個人信息是核心社會資源。個人信息外延領域也在不斷拓展,個人信息迅速擴張的現實和信息本身資源化成了個人信息保護新需求的現實土壤。

(一)大數據時代對個人信息帶來深遠影響

個人信息權并不是完全消極排除他人使用的權利,權利人除了被動防御第三人的侵害以外,還可以對其進行積極利用。得出這一論斷的根源在于,個人信息的價值化取向。關于個人信息的價值解讀,可以從兩個方面進行理解:第一,個人信息對于個體產生著積極的作用。價值問題作為一個歷史命題,隨著人類的出現就被廣泛討論[9]。馬克思將“價值”定義為人類在改造世界過程中所形成的“反映客體滿足主體需要的效用關系”,從這一角度上說個人信息對于人類進步、社會發展、經濟建設、個體交往等行為產生著積極的作用;第二,個人信息的價值化還體現為凝聚于個人信息基礎上的無差別的社會勞動。勞動是人類智力成果的展現,也是新技術革命的產物。個人信息作為個人的符號而存在,代表著人格利益、身份標識,當前個人信息商品化腳步不斷加快,人格權的財產價值也得到了提升。特別是在大數據時代背景下,個人信息具有了很強的信息價值、文化價值和商業價值,其往往代表著個人利益、個人財產利益和公共利益等,因此個人信息保護的前提也是個人信息必須具有被保護的價值。因此,必須要對個人信息進行全面客觀地解讀,不僅要認識到其多維價值,同時還應對其積極利用的方式展開探討,從而更好地實現對個人信息的有效保護。

1.個人信息所帶來的商業價值凸顯。隨著互聯網技術的進步,云計算、物聯網、共享經濟平臺等新興技術依托網絡快速發展,信息成為大數據技術的基礎要素和核心要素。大數據背景下,個人信息既是網絡技術的媒介、資源,又是信息交換的客體、對象。個人信息被形象地稱為“新石油”,在信息交換過程中具有重要的經濟價值和利用空間。從目前的發展趨勢看,互聯網對個人信息的依賴還在不斷加深,有學者預計到2020年,個人數據交易將占到歐洲GDP總量的8%。如果離開個人信息的授權利用,不僅淘寶、京東等各種類型和規模的網店平臺無法完成線下服務,依托快遞業發展起來的送餐服務、代駕服務、老年人醫療服務等網絡交易同樣無法完成。共享汽車、網絡家教、在線理財等業務,因為關涉到個人的生命財產安全,同樣以個人信息利用、收集、責任豁免為前提,否則相關市場就無法存在,服務也就無從談起?？梢哉f,時代發展到今天,盡管無法否認個人信息中包含的人格屬性,但同樣不可否認的是個人信息中包含的商業價值及個人信息中包含的商業價值轉化為經濟效益的現實可能性。因此,有學者建議立法應該從保護個人財產權而非隱私權的視角對個人信息進行保護,該類觀點在《規范互聯網信息服務市場秩序若干規定》《民法典》以及《數據安全管理辦法》(征求意見稿)中都得到了體現和落實。

2.個人信息所包含的法益進一步延伸。個人信息包含的法益從最初的隱私權到后來的人格權再到現在重點體現的財產權,其內容隨著實踐的發展一直在不斷拓展。歐盟《數據保護指令》明確規定,個人信息法益包括知情權、進入權、反對權、刪除權、不受完全自動化決定約束權等權利。但是在大數據背景下,公民個人信息權覆蓋的權能更為廣闊,正如齊愛民教授談到的那樣,信息利用決定權、保密權、查詢權、更正權、封鎖權、刪除權、報酬請求權,都應該成為個人信息權能的一部分。個人信息法益的不斷延伸,意味著個人信息保護的難度也越來越大,保護的視角更加開闊。雖然目前我國公民對個人信息保護的認識還不夠清醒,但是逐年、不斷爆發的個人信息保護維權事件,則預示著公民的權利意識終究要醒悟、發展,屆時個人信息保護的推動主體將更加復雜化、多元化。

3.個人信息傳播途徑豐富。傳統社會中,信息傳播方式是單向的、線性傳播,因此,傳播速度慢、信息影響力小。從傳統傳播渠道上看,書籍、報刊是最為主要的傳播方式,其次是電視,最后是各種其他社會載體。但是在大數據背景下,個人信息傳播從單向傳播向雙向傳播轉變,尤其是像微博、微信、抖音、快手等自媒體技術的出現,讓信息進入即時傳播時代,信息傳播多中心發展、開放式發展、共享數據發展三種渠道同時打開。更加廣闊的傳播路徑和更加快捷的反饋機制,意味著兩個基本的事實,一是個人信息侵權或者犯罪的危害和影響更加深遠,且在信息傳播的過程中,因為外界因素的介入,輿論輿情發展方向更加不便控制,甚至不能控制。二是任何一個環節保護不當,都有可能導致個人信息泄露,從而讓前期的所有保護工作功虧一簣。

(二)大數據為個人信息保護帶來挑戰

傳統的個人信息保護與大數據背景下個人信息保護新需求結合在一起,構成了大數據背景下個人信息保護面臨的三組基本矛盾:

1.個人信息公開與個人信息保護的矛盾?，F代化的網絡辦公,讓政府機關、銀行金融、醫療服務、校內外教育等機構或者部門掌握大量公民個人信息。這些信息既是政府進行管理或者提供服務的依據,也是政府開展工作的對象和目標。這些信息涉及公民個人的金融消息、房產信息、健康狀況、住房情況等各個領域,具有隱私性和“可識別性”。但政府對其利用決定了這些信息不可能納入信息保護的范圍,或者說不可能被嚴格加以保護。同樣的,在訴訟領域,司法機關開展案件審理,可能要依職權調取這些信息。在繼承領域,民政部門為了分配遺產,也可能要依職權調取這些信息。大數據技術的研發,方便了某一部門收集信息、利用信息,也方便了各個部門、不同領域之間信息共享,但是這也為信息公開與個人信息保護的沖突埋下伏筆。依托現代化的辦公條件,公民的知情權得到發展,對于政府掌握的這些大量數據,常有公民以各種理由提出公開信息申請。按照政府信息公開條例等相關法規的要求,只要公民的信息公開要求符合法律規定的,政府應當依法公開這些信息。毫無疑問,信息公開也是公民個人信息保護的一個方面,但是問題在于,信息公開保護的是申請公開信息的主體的知情權,但是完全可能損害被公開信息主體的合法權益,這是信息公開與信息保護沖突的具體體現。

2.個人信息利用與個人信息保護的矛盾。個人信息作為優質的市場資源,受到社會各界廣泛關注,成為社會各商家的爭奪目標,蘊含著巨額的經濟利益。這既誘導更多的主體加入違法收集、利用個人信息的市場,也讓個人信息被侵犯者傾向于索要高額賠償。隨之而來的是個人維權訴求會加重企業開發、利用信息的成本,從而束縛個人信息交易市場的發展。從這個層面來說,要想促進大數據技術和互聯網技術的進一步發展,個人信息利用以及個人信息利用豁免成為基本前提。但是,即便是在大數據背景下,法律永遠不可能允許國家無限制公開個人信息或者允許某個個人自主收集、利用甚至非法購買個人信息,也即個人信息保護的前提是不可動搖的,只不過需要考慮的是個人信息保護的戰線后移,以便兼顧個人信息利用,或者說實現個人信息有限制地利用這一目的。

3.個人信息公法屬性與個人信息私法屬性調和的矛盾。公民個人信息表征自然人綜合信息,包括身份、職位、家庭、經濟狀況和其他信息,其私法屬性突出。因此,公民個人信息最早是以隱私權或者人格權的視角進入法律保護范圍的。這也是為什么長期以來我國公民個人信息立法一直堅持嚴格保護、禁止非法利用的根本原因。但隨著大數據技術的發展,改變了個人信息性質的基本定位,其公法屬性也日益豐滿。公民個人信息公法屬性主要體現在:作為市場活動中的基本要素,公民個人信息的利用首先要符合市場規律,實現經濟價值的同時也要服從市場管理秩序。無論是信息權利的主體還是通過合法渠道掌握公民個人信息的機關單位、商事主體,都不能濫用信息[10]。為了公共安全或者公共福利,政府或者相關管理部門需要對公民個人信息的利用設定利用底線,這就決定了公民個人信息保護絕不僅僅是個人的事,而是成為需要政府決策、立法保障的公共事務。

三、時代需求的回應——個人信息保護完善途徑

大數據時代為個人信息保護帶來全方位的挑戰和賴以生存土壤的改變,徹底扭轉了個人信息保護的格局。因此,應在認真考慮個人信息保護新需求、新形式的基礎上,對我國個人信息保護格局做出重大調整以適應時代背景下對此提出的保護新需求。

(一)基本前提—個人信息本質的厘清

對公民個人信息保護到底應該持有怎樣的態度,取決于對公民個人信息的本質界定。因從民法原理的角度來說,對公民個人信息采用權利保護還是法益保護的最大區別在于保護的標準和界限的差距。權利保護觀點堅守“征得權利人同意”這一基本原則,在未征得權利人同意不得收集、使用公民個人信息。法益保護在保護程度方面沒有權利保護要求如此嚴格。在現有保護方式上,對公民個人信息保護采用的是隱私權絕對保護標準,但是法益保護則采用財產權相對保護標準。我國對公民個人信息保護到底采用了怎樣的標準,一直沒有定論。2017年出臺的《中華人民共和國民法總則》將公民個人信息放在民事權利中進行保護,似乎認定公民個人信息的本質屬于民事權利。但是理論界對此論斷的爭議似乎并未隨著民法總則的出臺而平息。王利明教授認為,《中華人民共和國民法總則》第一百一十一條采用了公民個人信息,但是并未采用公民個人信息權這一提法,這說明民法總則并沒有將個人信息作為一項具體的人格權利來保護[11]。

如果說以往我國對公民個人信息保護采用了民事權利的標準的話,在大數據背景下,也應該轉而采用法益保護標準。事實上,我國公民個人信息保護的確也是沿著這一軌道發展的。網絡背景下,個人信息犯罪突然爆發,令監管部門措手不及,因此,刑法修正案(七)針對司法實踐中普遍存在的非法倒賣個人信息、非法出售個人信息現象,增設了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪,規定特定主體對于其獲取的個人信息,不得向他人出售或者提供。至刑法修正案(九)則將個人信息犯罪主體擴展到所有主體,保護面更廣,但限制非法侵犯個人信息犯罪的方法依然停留在非法出售、非法提供、非法獲取這三種方式上。2013年出臺的《關于依法懲處侵害公民個人信息犯罪活動的通知》和2014年最高人民法院發布的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》,是進一步明確對侵犯個人信息犯罪的認定、處罰、判決標準[12]。從民事維權角度來看,公民信息主體個人在信息保護過程中的主動性加強,被保護主體傾向于通過民事賠償救濟、經濟救濟等方式來維護自身信息權利,這是大數據背景下公民個人信息保護必須面對的又一社會現實。正如本文前面所指出的那樣,網絡時代,信息傳輸空前繁榮普遍、信息傳播速度驚人加快,個人信息中蘊含的經濟價值也日益凸顯,并且具有了兌現空間,尤其是信息主體對信息保護的意識逐漸清醒,信息交易的欲望日漸強烈。在此背景下,對于所有領域內正在發生和即將發生的公民個人信息交易套上 “征得權利人同意”以后才能使用的枷鎖,不僅會限制信息交易市場的發展,而且事實上也與個人信息保護的宗旨相悖離,難以起到預期的規制效果。

(二)具體措施—個人信息保護的原則和標準的調整

1.個人信息保護應堅持的原則。個人信息保護原則是個人信息保護領域必須堅持的發展方向。大數據背景下,要實現個人信息保護與個人信息利用的均衡發展,至少需要堅持以下四項原則:第一,目的限制原則,指收集、儲存、利用公民個人信息的主體必須具有正當目的。一方面,收集、利用個人信息的目的必須具體明確,有合法的授權和正當的途徑。另一方面,為某一特定目的而收集的個人信息不得直接用于該目的外的其他目的。第二,信息安全原則,指收集個人信息的機關、單位應當采取必要的安全措施來防止信息泄漏,因信息收集主體的故意或者過失造成的信息泄漏事件,應該追究相應法律責任。第三,信息公開原則。對于行政機關來說,信息安全原則與信息公開原則都在兼顧之列。信息公開原則是公民知情權的要求,不能簡單地以信息安全原則否定信息公開原則。第四,信息利用原則。毋庸置疑,在大數據背景下,信息作為基礎資源,每個階段每個行業都以信息的傳輸和利用為基礎,離開了信息傳輸,大數據技術也就無從依靠和發展。因此,大數據背景下的信息保護,必然包括信息利用。信息利用原則包括信息利用豁免和信息利用同意兩個方面。信息利用知情同意固然應該作為基本準則,但是信息利用豁免,尤其是對于為了公共利益以及信息傳媒的發展,必須打開信息利用豁免的空間,否則信息產業的發展將停滯不前。

2.個人信息保護的標準應予調整。大數據背景下,個人信息保護的標準應該與個人信息保護原則相協調。針對目前的司法現狀,保護標準方面應該實現四個轉變。第一,實現從公民個人信息權保護到公民個人信息法益保護的轉變。采用權利保護的方式,與大數據背景下個人信息利用的巨大需求并不相符,且在自媒體背景下,個人信息利用已經處于無法阻擋的大趨勢之下,立法不能逆潮流而為之。我國個人信息法出臺困難重重,正是因為立法理念的不及時調整,導致立法傾向與司法實踐需求之間的落差過大。第二,實現保護方式的轉變。我國刑法對公民個人信息保護采取了逐漸擴大規制主體的立法路徑。但是民法領域和行政法領域的個人信息保護目前還停留在特殊主體領域內,特別是隨著網絡“去匿名化”和“再識別”技術的發展,公民個人信息違法違規的主體將更為普遍,因此,從行政法和民法的角度來說,也要采用一般主體保護的方式,將自媒體終端、互聯網共享平臺以及網絡領袖、政府機關、社會組織等一并納入民法、行政法規制范疇。此外,公民個人信息保護從事后追責轉型為事前規范更為合適。第三,保護范圍的轉變。當前我國公民個人信息保護往往側重于隱私保護或者信息秩序維護某一個方面。但是對于個人信息知情權、修改權、刪除權、經濟請求權等其他正當請求回應不足。事實上 ,借用耶林“權利束”概念,一項權利上包含的法益往往不是單純的,權利也罷,法益也好,往往是涵蓋多個方面的。因此,對公民個人信息保護也應該沿用“法益綜合體”的思路,而不是只保護某一項法益。第四,保護程度的轉變。保護程度的等級設置,其實是為個人信息利用和流通預設條件。目前,我國對公民個人信息分等級設定保護標準的趨勢已然顯現。如將公民個人信息分為隱私信息與非隱私信息,對公民隱私信息保護與公民隱私權保護重疊,采用“征得權利人同意”的隱私保護標準,對于非隱私信息,則采用“不違反社會公德”的保護標準。又將公民個人信息分為實體性個人信息與程序性個人信息。對于實體性信息,自然強化保護理念,而對于程序性信息,則更側重于信息保護豁免。

(三)實現路徑—三種責任類型的完善

當前我國個人信息保護立法成果主要集中在刑法和民法領域,在憲法和行政法領域涉及較少,這一立法弊端應該在大數據背景下的個人信息保護體系構建中予以完善。公民個人信息保護的刑事責任,依據《刑法修正案(九)》和《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》 足以認定,且盡管《刑法修正案(九)》對公民個人信息保護標準略顯苛刻,但隨著《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》的出臺,在危害后果和侵犯的個人信息數量方面進行限制,一般的、偶爾的個人信息收集、使用,則不在刑法規制范圍內,這也符合信息社會個人信息高速交流的特質。因此,個人信息保護刑事責任比較完善具體[13]。相較而言,其立法技術和立法效果都領先于其他領域的責任。

個人信息保護體系的重要前提是增設個人信息保護憲法責任。隱私權作為憲法的一項基本權利,在我國憲法第三十八條從人格保護的角度有所涉及,但從人格尊嚴權到隱私權,再從隱私權到公民個人信息保護,并不能形成理所當然的結論。有不少學者指出隱私保護尚未入憲,從隱私權過渡到公民個人信息保護,更是缺乏先決依據。當然,由于相關法律依據的缺失,我國個人信息保護在援引法律法規支持時,免不了從隱私權和人格權保護的角度來尋找立法依據,而正是因為憲法對公民人格權和隱私權的嚴格保護標準,導致個人信息保護一直陷入隱私保護與人格保護的爭議之中,難以獲得獨立的法律地位,從而影響了個人信息的責任體系的基礎性構建。因此,如果目前憲法對公民個人信息的保護還達不到直接規定個人信息權,則可以先從隱私保護入手,將隱私保護直接寫入憲法,繼而通過對隱私保護的闡述,來間接實現對公民個人信息的保護。從法理上來說,隱私權理論內涵包括獨處權理論、親密關系理論、信息控制理論、限制接觸理論等多個方面。2011年工業和信息化部發布《規范互聯網信息服務市場秩序若干規定》中對個人信息的判斷標準為“可識別性”,只有進一步正視個人信息保護中的三對基本矛盾,才能為個人信息保護設定合適的底線。另一方面要從保障公民基本權利的角度,對個人信息的利用和處分設定標準。在要求公權力機關采取安全措施防止信息泄漏,限制公權力對個人信息非法干涉的前提下,進一步從保障公共利益的角度,對限制個人信息的事項做出明確,以確立個人信息保護與利用并重的格局。同時需要從憲法的高度授權國家機關或者其他機構強制收集和使用個人信息的職能,為政府機關履行公務提供法律保障。

建立個人信息保護體系的重要支撐是完善行政責任。從政府和管理部門的職責來說,需要建立個人信息利用豁免制度,但是同時必須建構以個人信息保護為核心的行政責任,這是為了避免政府或者其他部門以公權力干涉、侵犯公民個人信息法益。同時,建立個人信息保護行政責任是完善個人信息保護行政責任、刑事處罰、民事責任相配合、相銜接的救濟責任體系的必然要求。尤其是要加強刑事責任與行政責任的銜接,從行政授權的角度,對政府進行管理和提供服務中獲得的個人信息的保護做出嚴格限制,但是同時又要從法律上保障政府機關收集和使用個人信息行為的正常進行。對于刑事責任無法規范,又不符合民事起訴標準的個人信息泄露事件,規定具體明確的行政處罰措施。在行政法領域,還要對公民知情權與信息保護權的矛盾進行回應,在個人信息保護與公民知情權的實現方面,爭取實現信息保護與知情權實現兼顧之目的。對于行政機關履職不到位導致的公民個人信息泄露,從公益訴訟的角度進行保護,也不失為一種新的更為有效的途徑。其最大優勢在于,檢察機關的介入有助于改變公民與相關行政機關的力量不均衡、信息不對稱的局面,從而讓公民在公民個人信息保護中有了更大的主動權。

完善個人信息保護民事責任。依據《民法典》創設的個人信息權保護框架,《消費者權益保護法》《商業銀行法》《執業醫師法》《居民身份證法》等法律法規、規章從不同層面對個人信息保護進行了回應。但是從目前個人信息保護民事司法現狀來看,公民通過民事渠道維護個人信息安全的積極性并不高。歸根結底,還是通過民事渠道維護個人信息的難度依然較大,代價較高,尤其是時間成本與經濟成本不匹配。因此,完善個人信息保護民事責任應該堅持兩個基本方向,一是繼續完善民事領域相關立法,從《民法典》等角度對個人信息保護內容進行創設、吸收、完善、修訂,以構建以《民法典》為主體,其他法律、法規為主干,相關規章、制度為枝葉的民事責任保護體系。

四、結論

網絡的發展,讓公民個人信息保護成為一個常變常新的課題。我國的公民個人信息保護雖然只有短短的二十余年的歷史,但是這期間個人信息保護所體現出的傾向性和側重點是不同的。這種變化不僅僅是立法技術完善和改進的反應,更是網絡技術的進步以及技術對公民生活影響的反射。

大數據時代的到來,讓當前的個人信息保護格局面臨新的挑戰。從技術的角度來講,大數據指的是一種數據處理方式,其以容量大、類型多、存取速度快、應用價值高為主要特征。但是從法學的視角來看,在大數據背景下,數據處理外延不斷擴大,數據收集速度不斷提升,數據應用深度不斷挖掘,數據的經濟效益不斷顯現,數據經濟成為時代主流。大數據已經實現了對公民個人生活的全覆蓋、全變革。個人信息保護成為一個多方面、多需求的綜合命題,公民個人信息保護從一開始的隱私保護定位到后來的人格權保護立場再到現在的財產權保護初衷,其背后的助推力是網絡技術的進步和信息社會的發展。說到底,大數據背景下的生產力發展了,所以生產關系也發生了變化,法律圍繞著生產關系變革而面臨的任務也發生了變化。至此,公民個人信息保護不僅要求實現對隱私信息和核心個人信息的嚴格保護之目的,同時還要實現個人信息經濟價值和公益價值之目的,故需協調完善憲法、刑法、民法、行政法多個渠道來保護,以確保個人信息保護、利用、公開之目的得以有效實現。