《论大数据时代个人信息的法律保护》

论大数据时代个人信息的法律保护摘要：随着现代信息的快速发展，大数据时代已经到来，个人信息作为重要的数据资源，其价值不断的被挖掘和释放，同时也容易被不法分子非法取得用来进行交易，极大的损害广大人民群众切身的利益。在全球许多国家和地区，个人信息保护是共同面临的大挑战，现今已有上百个国家颁布和实施了个人信息保护法。针对个人信息的法律保护要立足于我国的国情，不单只要求公民提高信息保护意识，更要求由国家承担主要的保护责任，加强对立法、社会、司法等层面各类措施的完善，法律的惩罚制度，增加犯罪成本，从而达到公民信息保护的目的。关键词：大数据时代；个人信息；法律保护OnthelegalprotectionofpersonalinformationintheeraofbigdataByHuangCaixiaMarch2020Abstract：Withtherapiddevelopmentofmoderninformation,theeraofbigdatahascome.Asanimportantdataresource,personalinformationisconstantlybeingminedandreleased,andisalsoeasytobeillegallyobtainedbycriminalsfortrading,greatlydamagingtheimmediateinterestsofthemasses.Inmanycountriesandregionsaroundtheworld,personalinformationprotectionisacommonchallenge.Atpresent,morethan100countrieshaveenactedandimplementedpersonalinformationprotectionlaws.ForpersonalinformationprotectionlawmustbebasedonChina'snationalconditions,notonlyrequirescitizensinformationprotectionawareness,morerequirementsshallbebornebythecountry'smainresponsibilitytoprotectandstrengthenthelegislative,theimprovementofthelevelofvariouskindsofmeasuressuchassociety,judicial,legalpunishmentsystem,increasethecostofcrime,soastoachievetheaimofcivilinformationprotection.Keywords:bigdataera;personalinformation;legalprotection目录TOC\o"1-2"\h\u一、大数据时代个人信息的概述 1（一）个人信息的概念 一、大数据时代个人信息的概述（一）个人信息的概念个人信息的保护在当今时代众多国家中日益受到重视，对于个人信息的称号每个国家（地区）都有着不一样的叫法，有的国家称为“个人隐私”、有的学者称“个人数据”或者“个人资料”，我国的学术界更倾向于将其称为“个人信息”，笔者认为每个国家都有自己文化的见解，对于任何事物的命名都有其存在的道理，我国对于“个人信息”的名称，我觉得更适合我国的国情，正如齐爱民教授说的更适合我国的法律语境的表达，更便于人民群众对于“个人信息的”的理解。虽然对个人信息的名称有所差异，但是对公民权利的法律保护内容是一致的。REF_Ref842\r\h[2]我国《网络安全法》对公民个人信息做出的定义“以电子或者其他方式记录的能够单独或者与其他信息结合识别公民个人身份的各种信息，包括但不限于公民的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。（二）个人信息的分类对个人信息的界定，在传统意义上是可以定位到具体的个人，但是个人信息的所涵盖的内容甚多，在法律上对个人信息进行保护的过程中很难面面俱到，为了更好的保护个人信息，可以将个人信息大体分为三类：直接与间接的个人信息、电子类与非电子类的个人信息、一般与特殊的个人信息。1.直接与间接的个人信息直接的个人信息是指可以直接通过一种个人的信息便能识别出信息的主体，例如通过指纹、DNA、身份证号码等这些具体的信息便能精确到某一自然人。而间接的个人信息，是指不能仅由单一的信息便能识别出信息主体，还需要其他信息辅助，再进行推演才能确定到该信息主体，例如：姓名、工作单位、人生事迹等。虽然间接的个人信息不能直接得出信息主体的详情，但间接的个人信息与直接个人信息都被法律做保护。2.电子与非电子的个人信息个人信息是一种独立的存在，被记载于一种载体中，时代的不断发展，对于个人信息记载的方式不同，可以将其分为电子个人信息与非电子个人信息，互联网时代的发展，这两种个人信息在一定的条件下也能相互转化。个人信息的记载依附于移动互联设备就称为电子个人信息，反之未依附于移动互联设备的个人信息被称为非电子个人信息，最具代表的就是纸质档案。将个人信息分为电子与非电子个人信息，主要是为了扩大在大数据时代个人信息的范围，防止在法律保护上出现漏洞，损害公民的合法权益。3.一般与特殊的个人信息根据个人信息的私密程度，可以将个人信息分为一般的个人信息和特殊的个人信息。一般的个人信息是指信息主体最基本的个人信息，该类个人信息并不涉及信息主体个人隐私的问题，不会对信息主体产生实际的影响，并可以通过合法的途径获得并合理使用，例如上网查找名人的信息。特殊的个人信息是指信息主体不愿公开，涉及个人隐私的个人信息，例如：银行密码、就医记录、酒店入住记录等。法律对于特殊个人信息的保护力度大于一般个人信息的保护，如使用特殊个人信息需要经过法律法规的规定或者通过信息主体的同意。REF_Ref904\r\h[3]个人信息的种类目前我国法律尚未有明确的规定，将其分为这三类更有利于全面的涵盖对信息主体个人信息保护的范围，扩展对于个人信息的保护维度。（三）个人信息的法律属性1.所有权说坚持个人信息所有权说的学者认为，大数据时代个人信息具有商业价值，信息主体对个人信息具有所有权，个人信息可以为信息主体带来财产性收益。首次提出个人信息的“所有权客体说”，是来自于美国波斯纳的隐私经济学理论，但是在我国这种学说不能成立，有学者认为，一方面个人信息不具有商业价值，个人信息不能当做商品，不可随意的出卖和转让，另一方面个人信息除了具有财产价值还具有人格性利益，把个人信息归属于所有权，是对于个人信息保护的限制。REF_Ref992\r\h[4]我国《个人信息的法律保护》中规定，在符合法律规定时，可以合法的搜集个人信息并加以利用。2.隐私权说在我国对于隐私权的规定分类为空间的隐私权（如：在他卧室内安装摄像头）和资讯的隐私权（如：人肉搜索）两方面，在大数据时代个人信息涵盖的范围不单只有这两方面，大数据时代个人信息的法律外延相对于隐私权来说大很多，若将个人信息的侵害都归属于隐私权的保护，那么公民的个人信息受到侵害时，法律的保护范围具有局限性，违背了法律对公民合法权利的保护目的。对于个人信息和隐私权的保护，两者在救济的方法和保护的途径上应该有所区别，对于个人信息的保护不单只要有事后的保护措施，还需要事前的防御措施，若公民个人信息受到侵害时将会给公民带来极大的后患，应从各个方面进行保护。3.财产权说个人信息被许多大陆学者认为其属于财产权的法律属性。学者认为，第一，个信息具备财产的有用性，具有其使用价值和交换价值，可以在大数据时代用于经济的交易，属于法律上个人财产的范畴；REF_Ref1051\r\h[5]第二，随着大数据时代的快速发展，个人信息在各方面得到广泛的运用，在完成信息采集和使用后，会形成一个数据库将海量信息进行存储，许多企业在发展的过程中需要花费高价进行购买客户的个人信息，为信息主体带来财产性收益，体现出个人信息具有财产权法律属性。笔者认为，以上观点对于个人信息的属性界定过于狭窄，大数据时代个人信息均有人格属性和财产属性的体现，个人信息应当是一种包含财产利益的人格权。因为在大数据时代，可以通过特定的个人信息识别出信息主体的身份，例如，通过信息主体的身份证号码便能识别出信息主体的姓名、住址等，个人信息具有很强的人身依附性；个人信息的收集的过程中，会涉及信息主体的人格和尊严，符合人格权法保护的宗旨。但是将个人信息仅归为人格权进行保护是不足的，其也具有一定的财产属性，在商业化的过程中个人信息体现出巨大的经济价值，在一定情况下，特定人格权具有财产权性质，例如肖像权。所以，对于个人信息的法律属性的界定，笔者认为，个人信息不但具有人格权的法律属性，同时还具有财产权的法律属性，即认为看待个人信息的法律属性应运用人格权和财产权二元属性说。二、我国个人信息的法律保护现状和问题（一）我国目前对于个人信息权的法律保护二十一世纪，我国的高新技术在快速的发展，我们生活在网络时代中，大数据、人工智能、云计算等新一代高新技术以不同的形式发展和运用中，不断的在推进着人类社会走向大数据时代。如今的在生活随处可见大数据的存在，数据资料在科学研究、经济建设、人才的培养、社会的管理等都发挥着重要的作用。国际社会也都提高了对个人数据的重视，我国的立法也意识到对于个人信息保护的必要性，我国面对大数据时代个人信息的保护并非无法可依，在对于个人信息保护方面的立法不断的改进和完善中。1、在宪法中的保护虽然我国的宪法没有对公民个人信息保护的具体规定，但是我国《宪法》第38条规定：“中华人民共和国公民的人格尊严不受侵犯。禁止用任何方法对公民进行侮辱、诽谤和诬告陷害。”虽然该规定并没有出现“个人信息的保护”等字眼，但是个人信息的利用往往成为侵犯人格权的手段，即很多不法分子常常利用公民个人信息来损害当事人的人格权，例如许多不法分子通过人肉搜索得到公民个人信息，然后进行公开甚至添加污蔑，从而使得某位公民的名誉或精神等方面遭受重大损害。应当将该条款进行扩大解释，可以将宪法对于公民个人信息的法律保护视为对公民人格权保护的宪法保护手段，使得任何人都不能以宪法法律没有明确规定为藉口而利用个人信息去进行不法活动。2、在民法中的保护面对社会发展的需要，国家在民法上的立法逐渐在细化对于个人信息的保护，《中华人民共和国民法总则》第一百一十一条和一百二十七条都对保护公民个人信息作出详细的规定，相对于民法通则而言，增加了对隐私权的规定，隐私权也强调个人信息不可侵犯，为保护个人信息提供法律依据。2012年12月，第十一届全国人民代表大会常委会议第三十次会议通过了《关于加强网络信息保护的决定》，对于网络个人信息保护做出了详细的规定。在2017年通过了《中华人民共和国网络安全法》该法明确规定了，侵害公民的个人信息需要承担法律责任。面的大数据时代的发展需要，我国的立法也在不断的在完善，对于民法上公民个人信息的保护不断的在进步和细化，我相信当今个人信息的法律保护难的问题一定能得到很好的解决。3、在刑法上的保护大数据时代，个人信息的获取方式相对于更容易。个人信息具有越来越重要的价值，为此新型的犯罪层出不穷，不法分子通过获取公民个人信息进行诈骗的案例屡屡皆是，例如：一名准大学生因为信息诈骗，最终抑郁而死。为了惩罚网络信息侵权，刑法加强了对于信息侵权的保护。在2015年，我国对《刑法修正案（九）》中对于公民个人信息罪进行了修改完善；为了更进一提高对公民个人信息的保护，在2017年，公布了对于侵犯公民个人信息案件的法律适用问题的若干解释，该解释的出台，相对于更符合现在网络时代的需要，但是在案件的处理问题上还需提高对于理论的研究。在标新立异的大数据时代，法律的制定很难跟的上时代发展的节奏，对此我们更应该站在前延分析问题，健全立法的保护，更加精准的打击在刑法领域的互联网犯罪。（二）我国在个人信息保护中存在的法律问题分析我国对个人信息缺乏专门的立法保护我国对个人信息的保护没有进行专门的立法，缺乏一个系统的法律制度加以规制。首先体现在我国法律体系对于个人信息缺乏一个明确且科学的定义，公民的个人信息受到侵害时，很难找到适合的法律法规进行维权，有关个人信息保护的规定不明确，过于笼统，在现实操作中缺乏实践性。我国的《侵权责任法》中对隐私权做出了明确的规定，一笔带过了对于个人信息的保护，但是对于个人信息的界定模糊，很难发挥其对于个人信息的保护作用。相对于《侵权责任法》，《民法总则》第111条，对于个人信息做出了独立的立法规定，明确规定公民的个人信息受到法律的保护，但是《民法总则》没有明确规划个人信息的保护范围，个人信息的概念不明确，不能充分发挥法律的保护目的。对于个人信息的法律属性，依然存在不同的说法，具有财产属性的个人信息很难的到保护，在一定程度上缩小了我国法律对于个人信息保护的范围。其次体现在我国目前对于公民个人信息的保护并非直接的法律保护，而是间接的进行保护，主要是依靠于各个部门法的相关规定和司法解释中，对于公民的个人信息保护的规定过于零散，缺乏系统性。REF_Ref1243\r\h[6]个人信息的保护在后期更应该加强立法研究，对个人信息的规定明确化，发挥法律保护的最大价值。个人信息在司法实践中的两大问题我国的法律法规对于个人信息的规定较少，没有明确规定个人信息的法律属性，个人信息的法律属性与隐私权、人格权、财产权等没有明确的界定。因此而导致了两大问题：一是在司法实践中因为法律属性不明确而产生同案异判，引发争议。因为没有界定其统一、体系且明确的法律属性，法官在办理案件的过程中以个人的主观意识为准，不同的法官对于个人信息侵权案件的处理结果存在较大的差异。在目前的司法实践中，对于个人信息侵权的案件时，法官大多以侵害隐私权或者姓名权的行为进行保护。在司法实践中，要明确个人信息的法律属性，才能发挥法律的最大价值保护信息主体的合法权利。不同的侵权类型，使用不同的法律进行法律保护，才能精准的打击犯罪，保护信息主题的合法权益。二是导致受害方举证上存在一些困难。何为个人信息，在具体案件中容易产生争议，我国秉持着‘谁主张谁举证’原则，但是在司法实践中，若侵权一方为企业、政府，信息掌握在企业、政府手上，对于是否属于个人信息的争议过程中，掌握信息的强势一方往往可以以非个人信息进行抗辩，而信息主体往往是处于弱势地位的一方，信息主体进行抗辩举证就面临着较大的困难。在大数据时代个人信息被广泛运用在各个地方，可能存在多个责任主体，且个人信息存放在电子介质中，对于寻找责任主体的技术难度较大，许多因素的存在会导致在司法实践中信息主体的举证困难。个人信息保护在执法方面的问题首先，我国目前并未设立专门针对个人信息保护的执法机构，对于个人信息保护的执法机构仅是一般的执行机构进行法律保护。对于个人信息保护的法律规定没有进行专门立法，尚未对执法机构进行专门的职责分工，形成分散的执法保护现状，导致执法部门相互推托的现象，个人信息的法律保护在执行时不能落到实处。在大数据时代个人信息在各行各业广泛运用，加大在法律保护执行难度，各个部门间没有进行相互合作，不能充分发挥各部门的执法作用。其次，随着大数据时代的快速发展，原本的执法模式已经突显出其局限性。运用公民个人信息的犯罪类型变化多端，我国目前仍采取单一的执法方式，如罚款等。但在快速发展的数据时代，我国的执法方式明显跟不上时代的发展，面对出现的新问题出现执行难的现象，对于个人信息的执法保护尚未达到需要的执法效果，使我国对于个人信息的侵权问题不但没有减少，还出现源源不断的侵权案件。为了改变目前存在的执法问题，我国的执法方式也在不断的改善中，出现新型的执法方式，例如网络警察的出现。三、国外对于个人信息的法律保护大数据时代先在美国、德国等发达国家到来，国外对于大数据时代个人信息的研究早于我国，首次使个人信息出现在世界性话题的是，一篇名为《对隐私的权利》的发表，这篇文章的发表使个人信息的保护被给予高度的重视。发达国家在个人信息的法律保护的研究和实践经验都有一定的成果，相对成熟，对我国在个人信息的法律保护的研究的借鉴意义。（一）美国对个人信息的法律保护美国是一个非常重视隐私权的国家，公民个人信息的保护受到高度的重视，在19世纪末美国便出台了对于个人信息保护的相关规定，在1890年两名美国律师萨穆埃尔·瓦伦和路易斯联合发表了《论隐私权》，隐私权首次在美国被提出，REF_Ref1563\r\h[7]隐私权的概念逐渐被世界各地的人们知晓；在1974出台了《隐私法案》，即使距离现今有几十年历史，但是依然对美国的法律运行具有重要的影响。美国对于个人信息权的法律规定出现在《隐私权》法中，当公民个人信息被侵权时，可以根据该部法律进行维权。虽然美国并没有将个人信息权做出独立的规定，但在《隐私权法》中明确了个人信息的范围，美国将只要能识别出信息主体的特定个人标识的‘个人记录’作为个人信息的保护范围，一切的‘个人记录’都是法律所保护的范围。虽然美国对于隐私权的研究日趋成熟，但是并未对个人信息做出明确的规定，未形成系统的法律保护体系，而是将个人信息的保护纳入隐私权中。美国设立了联邦贸易委员会是针对个人信息保护的专门机构，该机构对于个人信息的保护并无强制力，主要是以监管企业是否有履行不侵害公民个人信息的承诺，国家和政府对于个人信息的处理方法以行业的自律为准，国家不进行强制性的法律规范，要求各行各业自觉遵守不侵犯他人的隐私权REF_Ref1665\r\h[8]。美国为了使立法与经济发展的平衡，采取这种分散的保护模式。（二）欧盟对个人信息的法律保护欧洲对于个人信息的保护有较长的历史，由于欧洲各个国家的经济发展存在的差异，各国对于个人信息的保护力度也不一致，欧洲各个国家之间的交往密切，对此欧盟成为一个联盟组织，便制定了统一保护制度。欧盟在1995年欧盟颁布了《个人数据保护指令》，将个人信息的使用权确定为“基本权利”，规定在收集个人数据时要通知数据主体，经过其同意并且采取合理的方式使用。该《指令》明确信息主体具有四项基本权利：一查询权，即数据主体可查询与其个人相关的个人信息；二拒绝权，即可合法的拒绝与数据主体的数据有关联的行为；三惩罚权，即数据主体可决定是否对侵权主体进行惩罚；四自主决定权，即数据主体可决定个人数据是否赋予他人使用。REF_Ref1749\r\h[9]这部法律对于欧盟的个人信息保护具有重要作用，对世界各地的个人信息保护起到重大的影响，也是世界上最严格和标准最高的关于个人信息保护的法律规定。欧盟在大数据时代对于个人数据的保护不断在完善中，在2018年欧盟颁布了可以说是史上最严格的个人信息保护法--《一般数据保护法案》，分别规定了遗忘权、访问权、数据便携性，其采取了统一的立法模式，对数据主体的数据使用作出详细严格的使用要求，对欧盟的个人信息保护具有跨越性的进步。虽然欧盟对于个人信息的法律规定与隐私权进行区分，但是这种统一的立法模式也存在一定的弊端，大数据时代的发展不是人为控制不了的，新的数据因素的出现，个人信息的范围也会随之延伸，统一的立法模式容易导致法律的滞后性，法律会跟不上时代的发展。（三）日本对个人信息的法律保护日本步入大数据时代也出现严重的信息侵权问题，据统计得出日本泄露的个人信息数量超过1000万件，对此日本出台了对于个人信息保护的相关规定。REF_Ref1798\r\h[10]在2003年之前，日本的个人信息保护采用的是美国模式的立法模式，即将个人信息保护分散到各个部门法中与行业自律管理模式。但在2003年5月根据本国的实际需要出台了五部关于个人信息保护的法律，其中将《个人信息保护法》作为个人信息保护根本法，制定专门的立法保护，其他部门法辅助的模式。《个人信息保护法》根据不同的对象进行特别的规定，不单只涵盖了民间范围还包括了公共范围，例如：针对政府机构的个人信息保护适用《行政机关个人信息保护法》，面对特许的群体则适用《个人信息保护条例》等。为了适应大数据时代的发展速度，在2016年日本设定专门的个人信息委员会，该机构的主要职责是监督政府、企业对于个人信息的使用是否符合法律的规定，对个人信息进行认证，接受信息主体的投诉等，为个人信息的安全保驾护航。日本设立专门的保护委员会这种方式，提高对于个人信息保护的重视，顺应大数据时代的发展速度。四、探讨大数据时代中国个人信息保护的完善以上内容分析了我国现行对于个人信息法律保护的现状和存在的问题，通过对国外对个人信息的法律保护的规定的研究，中国目前对于个人信息的保护存在滞后性，大数据时代我国需要加强对于个人信息的法律保护的建设，在经过大学四年的专业学习后，我想发表一些建议，主要从立法、司法、执法三方面着手，希望对于中国的法制建设奉献我的一份力量。（一）制定《个人信息保护法》要从根源解决对于个人信息的侵权问题，要从立法的根源出发，通过国家强制力对个人信息进行保护，当公民个人信息受到侵害时有法可依。首先要改变目前我国对于公民的个人信息的范围界定模糊，法律依据散落于各个部门法中的现状，必须制定统一的立法。借鉴国际上许多地区和发达国家对于个人信息的法律保护的先进的制度，推陈出新，革故鼎新，顺应大数据时代的发展，制定独立的《个人信息保护法》，形成具有权威性、系统性和强制性的法律规范。其次目前我国尚未关于个人信息保护的成文法典，对于制定专门的法律保护体系没有寄存的成文法的阻碍。在制定专门的立法保护的同时，还要将部分专业领域分散立法保护、借鉴美国鼓励各行各业的行业自律保护的方法相结合，设定符合中国国情的保护体系。顺应大数据时代对个人信息的保护，引导大数据时代向正确的方向发展，使我国成为数据大国，走在世界数据时代的前端。（二）明确个人信息的法律属性及侵权举证责任首先，要明确个人信息的法律属性，法官只有认清个人信息权的法律属性才能正确的解决纠纷，进而保护信息主体的合法权益。对于个人信息的法律属性，学术界有以下不同的观点：所有权说、财产权说、人格权说、隐私权说等，也就意味着目前我国对于个人信息权没有明确的法律属性，在这样的情况下，法官在处理案件时需要认清个人信息的法律属性，且区别于以上几个法律属性。在司法实践中要具有清析认识，个人信息不但具有经济价值，还体现信息主体的精神利益，信息主体对其个人信息具有主动权，个人信息可以为信息主体带来经济的受益，这主要区别于人格权属性。信息主体以外的人在通过合法的途径使用信息主体的个人信息，也是被法律允许的，并不是传统意义上的物，故不能将个人信息等同于所有权的属性。在司法实践中，个人信息与隐私权最容易被混淆，但我国对于公民的隐私权的内容做出了详细的规划，而个人信息在大数据时代明显大于隐私权的保护范围。在司法实践中，只有明确个人信息的属性才能最大发挥法律的保护价值。其次，对于个人信息的侵权问题的举证责任需要进行重新的分配，这样更有利于在司法实践中对于个人信息的保护。举证责任的分配分为两种：一是责任主体为政府部门时，政府部门承担无过错责任，因为政府部门对于公民个人信息的保护具有重大的责任，若是政府部门作为侵权主体，则其需要承担更重的举证责任；二是责任主体为企业或者为个人时，企业或者个人承担过错责任，企业和个人面对个人信息的侵权案件时需要证明在利用他人个人信息时尽到合理的保护责任，若不能证明则确定其存在侵权行为。对个人信息的侵权案件进行举证责任倒置，更有利于在司法实践中受到侵权的信息主体的合法权益得到有效的司法救济。（三）加强对侵权的执法力度目前我国的法制建设不断在的完善中，对于法律权威的树立不但要依靠立法的实施，还需要将法院的判决结果落实到实处。目前我国不断的加强在执行方面的改革，例如：网上拍卖标的物等。但是对于执行的现状来说依然存在执行难的问题，在我国设立专门的个人信息保护的执行机构，更有利于在大数据时代对个人信息的法律保护。对此，我国可以借鉴外国对个人信息保护执行机构设立的先进经验，例如美国设立联邦贸易委员会、德国的数据保护专员制度。REF_Ref1919\r\h[11]大数据时代，个人信息的关联性使个人信息的侵权现象日趋严重，且都是通过虚拟的网络进行侵权操作，故在执行方面的难度偏高，设置专门的执法机构执法，更具有针对性，提高个人信息权法律保护的效率，同时改善目