大数据时代下我国公民个人信息法律保护问题研究

摘　要

随着大数据时代的到来，个人信息安全问题日益成为人民群众的关切。随着网络技术的不断进步和O2O乃至O2P的不断发展，个人信息安全问题日益严峻。一方面，社会进步需要大数据提供的便利服务。另一方面，当前的大数据应用环境泥沙俱下，从业者的个人素质也良莠不齐，给监管者和客户都带来了很多的困扰。在确保社会稳定发展的同时应对个人信息加以保护，以此促进二者的和谐共处，因此，在我国法律体系当中，与个人信息相关的法律完善工作成了当前法治社会建设的重中之重。本着学习的态度，从个人信息和个人隐私的异同以及个人信息权和隐私权的差异着眼，从当前的保护现状入手，明确的描述了关于我国个人信息保护所涉及的立法过程和个人信息法律保护的困境。以我国现行的个人信息保护状况为解析的对象，并对其采取批判性的分析，进而针对我国个人信息保护的法制建设有的放矢的提出自己的建议，以期有朝一日在制定个人信息保护的过程中，以强有力的观点和建议为相应的政策法规提供帮助。

　关键词：个人信息安全；个人隐私；O2O；O2P；批判性分析

一、个人信息和个人信息权概述

所谓的“个人信息”是指，能够代表某一个人并能快速反应其相关信息的符号系统，能够反映个体特征，包括个人身份、工作、家庭、财产、健康等其他方面。《民法总则》第一百一十一条维护了公民本人可按照法律规定，对其个人信息享有控制权、支配权以及维护权等，个人信息权由七部分权利组成，分为是查询、保密、更正、决定、删除、封锁以及报酬请求。可以说，行使个人信息权的基础是公民作为信息内容的主体，使其有权决定其个人信息在何时、何地及以何种方式被收集、使用、加工和传输。

（一）个人信息与个人隐私的异同点

1.个人信息可通过多种方式展现，最常用的是以表格的形式将个人的特征描述出来，且这些信息能够成为个人的标志或名片，例如报考高校时需要采集的个人姓名、电话号码、性别、身份证号码、考试成绩、家庭地址、以及就读过的院校等均属于公共信息的一部分。针对于个人隐私，它所涉及的内容比较繁杂，因此对其格式并没有做出明确的限制，例如各类账号的密码、信件往来、照片备份、医疗记录等，均属于需要法律保护的部分。

2.个人信息的拥有者多为公务机关和企事业团体，相比之下，个人隐私所涉及的部门及范围是多方面的，包括个XX相关部门、公立医院、三大行及其分支、国内三大通信公司这类大型组织。一般而言公民不会随意将个人信息告诉无关紧要的他者，哪怕在我们看来这些信息是多么的无关紧要。能够获取他人隐私的机构并非局限在正规组织机构的范围内，还涉及非正规的组织或个人。

3.个人信息具有大规模和普遍性的特征,而个人隐私则不一定具备。个人信息是信息占有者标准化采集的普遍意义上的海量个人特征信息，一旦出现疏漏，会造成相当恶劣的社会影响。个人隐私涉及的仅为某一个人，并不会涉及他人，因此，当信息泄漏时，影响的是信息对应的个人。

4.个人信息可在一定范围内转化成商业价值，而个人隐私则在这方面有严格的限制。个人信息意味着潜在的市场，这是目前许多商家明知故犯，滥用他人个人信息的根本原因。但不考虑商家本身追求利润的出发点，单就影响来看，对于我们日常生活未必是坏事。例如各大视频网站和音乐播放软件根据浏览偏好进行的推送以及购物网站根据你自己的浏览内容进行的购物推荐等。

（二）个人信息权和隐私权的异同点

权利主体都是个体私人信息的承载主体。但又有不同。

1.对象不同。个人信息权涉及的是以规范化形式构建的个人信息。隐私权保护的内容被强调为个人隐私,其可以以标准化形式记录,也可以是分散的。

2.内容不同。隐私权属于绝对权利,是消极的。个人信息权更为积极,例如决定权，保密权，更正权等。个人信息权利人可以参与到利用环节中，从而能够有效防止占有者在事前及事后侵犯自己的合法权益，事后确认遭受损害时也可要求赔偿。

3.主体不同。隐私权的主体没有专门限制，与之相比，个人信息的局限性涉及很多，如只有专门负责收集、使用、加工、传播个人信息的主体才负有责任。

4.价值不同。个人信息权当下被作为独立于隐私权的人格权看待。隐私权主要是精神人格权，主要体现在精神价值，而个人信息权除了体现精神价值之外，还要体现其财产价值。

二、我国个人信息法律保护的现状

（一）我国个人信息法律保护的进程

自21世纪初我国制定并通过的《关于维护互联网安全的规定》是个人信息受法律保护的开端，将其纳入《刑法》的范畴内并受其保护。为进一步加强个人信息保护的实施，2009年由我国人民代表大会常务委员会决议并通过的《侵权责任法》将这一保护措施落实。同年，关于《刑法》的第七次修订当中，重点强调了针对侵犯公民个人信息罪的处罚措施，对于侵犯行为着重处罚，在原定的基础上加大处罚的力度。《新消法》（2014）在原有条款的基础上，新增多项关于侵犯消费者个人信息条款，以及后来《刑法》（2015）第九次修订案中将其主体范围进一步扩大，同年正式实施的《民法总则》正式将个人信息权剥离出隐私权，将其作为独立人格权看待，这些都是国家为保护公民合法权益，以法律的手段对侵犯公民个人信息行为做出判定及处罚。

（二）我国个人信息法律保护的困境

1.保护体系不完善

首先，在我国法律体系当中，针对个人信息保护方面并没有形成完善的正规的法律体系，仅在其他法律法规中鲜少的介绍，内容上相对独立，与上下文并未实现较好的衔接，并不能满足公民的需求，所以，我国法律针对个人信息保护方面存在一定的缺陷。

其次，相关法律保护的局限性。虽然民法总则已经提到，但并没有将民个人信息权的释义纳入在我国的宪法当中，同时对侵犯公民个人信息的行为也并未规定相应的处罚措施。再次，受法律规范模糊不清的影响，针对侵权行为明没有针对犯罪的情节划定范围及处罚措施，缺乏可操作性。处罚力度不够，其责任主要体现在刑事和行政两方面，还必须得是在被害人已遭受损失为基础条件，缺乏有效的防范意识。且由于大数据时代信息的高速流动性，导致单一的个体无论是举证还是自证都十分困难、计算损失更是难上加难。

最后，又由于当前网络暴力的存在且将长期持续的特性，尤其是人肉搜索等不当行为导致的负面影响，对于大多时候处于相对弱势地位的被害人而言，与当前个人信息侵犯的主体争夺话语权时往往落于下风，在侵害证据的搜集能力上更是相差甚远。诉讼代价太大，获胜的赔偿太少。直接导致被害不愿维权，不敢维权。《中华人民共和国XX信息公开条例》（2007）推动的XX信息公开这一举措，固然是我国政务公开路上的伟大进步，但由于自身属于行政法规，其效力等级较低，且关于隐私权保护的相关规定较为空洞，缺乏明确性。以致在XX信息公开的实践中，信息公开时往往存在着较大的随意性。更是在官方层面上加重了个人信息法律保护的负担和实施难度。如何界定何谓适宜公开的个人信息，如何平衡对知情权和隐私权的保护，成了个人信息保护法律体系立法者们头疼的问题。

2.监督体系缺失

监督机构不明，以公安部和商务部为主的相关公共管理部门，在制定与之对应的规章制度的同时，拥有行使监督的权利，且该权利的范围仅局限在职权范围内，但由于部门的差异，使得各部门间缺乏有效的沟通，各机构职责界限的划分不甚明确，导致谁都能管然而谁都不管，踢皮球的情况屡见不鲜。虽然常有所谓联合执法，飓风行动等多部门联合行动，但总是雷声大雨点小，形式大于实际。多种因素的集合导致了监管上的混乱。

3.个人信息保护自律机制尚未形成

目前保护用户信息不受侵害和泄露的方法主要还是依靠相关机构以及网络服务的平台，双方在达成共识后共同制定的用于保护用户信息，该机制为自律机制，是目前行业指南，也充当着行为规范的作用，在行业内有一定约束能力，可用于保护个人信息安全。在改革开放以后，自律机制在我国才开始逐渐形成，互联网初创时期无序生长的野蛮环境并没有自律机制存在的土壤，前期资本家各立山头忙着圈地称王，无暇估计所谓的行业自律。格局初定之后便是各大资本之间短兵相接的疯狂烧钱时期，得民众者得天下的现实又让所谓的行业自律成为了一个笑话，更有一位互联网大佬说过这样一句话，中国人只要能图个方便，没人会在乎自己的个人信息被倒卖过多少次。而相关部门与互联网江湖之间的紧张关系也是阻碍行业自律发展的一个重要原因。就行政部门自身而言，受到以来的“官本位”思想的影响，公民在管理的需要时，一方面有义务提供个人信息，另一方面也存在着选择性忽略公民个人在此间应享有的配套权利。在2018年出台的第一个具有国家标准的规范，《信息安全技术个人信息安全规范》，该规范明确规定了在以下几个环节，如：公开纰漏、收集使用、保存分享、转让等，涉及到个人信息安全领域，规范中有了明确的规定，在一定程度上弥补了原先个人信息安全标准上缺失部分。而以控制个人信息非法利用为目的，尽可能保障个人合法权益和社会公共利益的这一规范，由立场、背景均不同的成员组成的起草小组，在起草过程中学术界和企业的专家之间相互妥协，使得这个规范虽未难产，但也是先天不足，后天畸形。该起草规范在个人信息流程转让部分并没有做到应尽的责任，并且忽视了很多流程上被约束者的个人意愿，如：管理规范、处罚措施和现实操作，就其制订本身的目的来看，产生的效果并不明显，我国个人信息安全领域，其需要的自律机制待完善空间还有很大。

三、完善我国个人信息法律保护的建议

首先，需要认清在我国对于个人信息的保护上，法律保护的道路复杂而曲折的现实。个人信息不仅事关个人利益，还可能涉及公共利益和公共安全，正因如此，在保护个人信息上，很可能超越仅针对个人权益的保护，从而涉及公共利益的范畴。要想防范个人信息被侵犯于未然，就必须平衡信息占有者和信息主体间的地位，赋予信息主体足以制衡信息占有者的权利。其次，可以采用两种方法来赔偿个人信息损害情况，一财产救济，二精神损害赔偿。由于个人信息的商业化的庞大利润空间和滥用的现况，在个人信息受到损害的同时，很可能伴有财产损失情况，所以受害者有权提出财产赔偿方法来减少损害。考虑到取证的困难和当前信息流通的速度，一般使用逆向证明方法来鉴定受害人损失情况，因为受害者很难证明自己受损情况，但是嫌疑人获利情况较好观察，使用逆向推定，从而确定赔偿金额。最后，通过行政手段，对于公民个人信息进行有力保护，对于明确界定为非法的信息，XX相关部门应拥有直接删除的权力。另外，个人信息遭受侵犯的结果可能会形成规模性的损失，对于此种情况，单个受害人处于绝对弱势的地位，无力要求加害人承担侵权责任。此时就需要国家公诉机关提起公诉，帮公民讨回公道，保护公民个人的合法权益。

公民个人信息保护侧重事前干预，应参考的原则应有：

一、合理合法原则。很多时候公民个人信息的采集工作是由XX相关部门来确立流程和具体执行的，颇有些既当裁判员又当运动员的意思。社会生活实际和公共事业需求存在的客观差异，公民的个人信息在很多时候被收集、处理和利用，在这期间个人信息很容易被泄露，极有可能对公民的日常生活造成严重影响，而处于弱势地位的公民一方往往只能在毫不知情地情况下被动接受。在这样的情况下，相关部门在采集个人信息时手段是否合理、合法，如何确保在一定限度内合乎要求的使用，对公民对其个人信息的撤销或修改请求的处理是否及时，成了当前个人信息法律保护工作的重难点。

二、知情同意原则。保护个人信息，就是在保护公民的隐私权等合法权益不受他人侵害，在知情权得到保障的同时，充分尊重和顾及公民的隐私权和相关合法权益。使用和收集个人信息都应该做到公平合法，不是以公共利益为目的或者并不满足权利人知晓且同意这一前提条件，相关单位或个人不得随意对个人信息进行收集或者占有。

三、限制使用原则。由于公民个人信息具有社会价值，因而当XX和公共管理部门收集和利用这些信息时，或权利人同意他者出于商业目的使用时，适用范围应该在许可范围内，使用者不得随意更改使用目的，不得随意扩大使用范围，也不可以随意延长使用时间。

四、权责统一原则。对于需要收集和使用公民信息的相关部门，有必要实现权力和责任的统一。应该切实高效的利用所收集的个人信息,同时做好相关的保护工作，在非必要的时候就应及时清除掌握的个人信息，避免出现泄露公民信息等额外损失。对于故意泄露公民个人信息的，应对照《刑法修正案（七）》和《刑法修正案（九）》的相关条款进行相应处置。

五、过错责任原则。对于信息收集负责人收集的个人信息由于其主观过错导致泄露并造成事实侵害的，遵循过错责任原则。责任的大小取决于工作人员的疏忽程度、过错的大小、社会影响以及对当事人造成的损害程度。如果公民因为泄露他人的个人信息而对他人的正常生活产生不良影响的，也应该按照这一原则来承担相应的责任。

六、诚实守信原则。诚实守信原则是民事活动的基本准则，同样适用于公民信息安全保护的情况。

（一）建立健全个人信息法律保护体系

1.提高有关保护个人信息安全的法律地位，做到与宪法同级

保护个人信息安全应在《宪法》中就明文规定，从原则性出发解决问题。《民法总则》也仅止步于其视为独立的人格权。仅通过现有的零星的法律和个别条款，很难有效地保护个人信息权。如果能够以《宪法》规定为前提，各部门切合实际来将相关的法律法规制定完善。想必可以在我国个人信息的法律保护之路上走的更加坚实有力。

2.完善现有的个人信息保护的法律法规

在《个人信息保护法》这一千呼万唤却始终出不来的法律真正落地之前，完善现有的有关个人信息安全的法律条令。扩大侵害个人信息安全行为的处罚程度和范围，并重新制定个人信息损害标准，规定“情节严重”的判定标准。进一步在现有条件下做好保护个人信息的法治工作。

3.《个人信息保护法》需尽快面世

在当前网络社会高速发展的情况下，《个人信息保护法》在受万众瞩目的同时也说明其需尽快面世。以XX角度来看，禁止滥用公权力，严格约束对个人信息的收集和使用。虽然目前相关法律条款中，对于该方面的刑事和行政处罚，以及责任判定都有明确规定，但对民事责任的强调却远远不够。目前中国对于个人信息安全的保护条令缺失，也是造成目前困境的主要原因。如果个人信息一旦泄漏，只会从刑事或行政角度，处理犯罪行为，追究犯罪分子责任，而对受害者最基本的经济补偿则很难实现。

（二）有关法律需加大对于个人信息安全的保护和处罚力度

效仿纪检监察工作的模式和组织架构，领导负责个人信息安全的机构应为中央一级机构，从全国范围内，建立基层监督机构，实现逐级逐层次的个人信息保护监督。行政机关应加大监管和监督力度。改善个人信息保护机制，完善监督体系是关键。一，加强事前监督。根据维护个人信息权的目的，建立能够对企业信息收集、处理进行监督的机构。二，事中监督应谨慎。在其职权范围内，允许监督机构采用各种合法手段阻止犯罪行为扩大。三，事后监督需落实。严厉打击违法犯罪份子，用严苛的惩罚措施威慑潜在的妄图染指并滥用个人信息的那些人，阻止类似行为复发。治乱世，用重典，在当前的时代背景下，在公民对个人信息的被侵犯由愤怒变得彻底麻木之前，国家加大对于损害个人信息处罚力度，阻止这类行为和风气蔓延。

（三）保护个人信息自律机制应尽快完善

以大数据时代的科技发展为背景，我们应寄希望于能最终建立一个能有效解决个人信息损坏的自律机制，它包括了三个互相补充的层面，即自我约束、社会规范和法律规范。

自我约束来源于世俗道德影响下的自我管理，对当前人民群众的公民意识和个人素质提出了一定的要求，法无禁止即可为,法无授权即禁止,如此自由的环境下，建立该自律机制的过程中，个人自律是关键。

社会规范则来自于商品社会自发形成的以公平竞争和促进市场活力为目的的自我需求。公平竞争，自愿交易，诚实守信，等价有偿等市场经济的合理规则理应被继承和发扬光大。在XX从管理型向服务型过渡的当下，简政放权，鼓励、扶持行业协会,允许其在一定程度上发挥市场经济的主动性，XX再通过法律途径阐明行业协会所拥有的权利、责任和义务，认可其制订行业规范的权力，在法律层面上承认其所制订的规范的法律效力。企业应自觉遵守行业自律规范。在个人信息的收集使用上，《信息安全技术个人信息安全规范》是必须遵循的法律规定。

法律规范的核心在于落实，充分发挥法律规范的强制性和义务性特征。建设以宪法为核心，保护个人信息安全的法律体系中，《个人信息保护法》是各项法律基础。最后可以借鉴外国成熟经验，评估国内的个人信息保障情况时，还可引入第三方专业机构进行鉴定评估，也可作为参考资料，对国家建设该方面法律机制有辅助作用。

参考文献

[1]齐爱民.拯救信息社会中的人格—个人信息保护法总论[M].北京:北京大学出版社2009，P137.

[2]王春晖.个人信息权是公民的基本民事权利[J].北京：中国电信业, 2017，（4）.

[3]张鹏.个人信息（权）与隐私（权）的区分[J].北京:中国社会科学报,2017,（12）.

[4]宋娟.大数据时代公民个人信息权的民法保护[D].宁夏：宁夏大学,2015， P35-P37.

[5]高志明.个人信息保护中的自律与监督[J].青岛：青岛科技大学学报：社会科学版,2016，（3），P83-P94.

[6]王永红.论大数据时代公民个人网络隐私权的民法保护[D].太原：山西财经大学，2015，P14-P16.

[7]侯林.大数据时代我国公民个人安全的现状及保护对策[D].郑州：河南警察学院.

[8]周蕾.论我国公民个人信息法律保护[D].沈阳：沈阳师范大学，2012，P9-P12.

[9]杨勇.我国公民个人信息安全法律保护研究[D].乌鲁木齐：新疆师范大学，2011，P8，P11-P12.

[10]刘灿.XX信息公开语境下公民个人信息的法律保护[D]湘潭：湖南湘潭大学，2009，P6-P7.

[11]王丁.论公民个人信息权的刑事法律保护[D]大连：大连海事大学，2014，P20-P25.

[12]颉翔.大数据时代个人信息安全法律问题研究[D]北京：北京交通大学，2014，P30-P31.

[13]吴铮.大数据时代我国个人信息法律保护现状及对策[J]. 淮南职业技术学院学报, 2018.

[14]大数据时代我国个人信息法律保护现状及对策 – 道客巴巴http://www.doc88.com/p-7962597723298.html