大數據時代的個人信息保護探析

　　一、大數據時代個人信息保護面臨的挑戰

　　數字經濟時代，一方面，數據成為企業發展中最重要的競爭資源；另一方面在數據處理過程中，個人信息泄露或者被濫用的案例呈高發趨勢，形勢嚴峻。比如，大家每天不勝其煩地接到騷擾電話、短信、郵件，日常工作和生活受到騷擾，甚至造成財產和名譽損失，很多情況下是由于個人信息的泄露、共享和非法交易。近年來，互聯網中的個人信息泄露問題頻發出現。2017年2月4日，名為“雙旗(DoubleFlag)”的著名暗網供應商拋售從中國多家互聯網巨頭盜取的10多億條數據。2018年，我國個人信息泄露事件更是接二連三發生：6月13日，視頻網站AcFun宣稱有900萬條用戶數據外泄；6月19日，圓通快遞10億條快遞數據被售賣；7月18日，順豐快遞3億用戶數據被兜售；8月28日，5億條華住旗下酒店客戶開房數據被出售；9月10日，萬豪集團5億名客人的信息被泄露。

　　個人信息泄露事件之所以無法得到有效遏制，主要是由于個人信息保護法的缺失。當前，我國規制個人信息保護的法律較為分散，散見于憲法、民法、刑法、網絡安全法等不同規定中。其中，憲法規定的“國家尊重和保障人權”“公民的人格尊嚴不受侵犯”“公民享有通信自由和通信秘密的權利”等內容成為我國個人信息保護立法的憲法基礎。民法總則第一百一十一條對個人信息保護作出了原則性規定。刑法中也專門設立“侵犯公民個人信息罪”，用來規制網絡時代的公民個人信息犯罪。

　　綜上所述，雖然我國憲法、民法、刑法和網絡安全法等重要法律對個人信息保護都有規制作用，但是由于法律規定分散，無法實現對侵犯個人信息行為的有效打擊。因此，迫切需要制定統一的個人信息保護法，構建全面的個人信息保護法律體系。

　　二、我國個人信息保護立法的重點和難點

　　個人信息保護法的制定在我國學術界和實務界早已達成共識。2003年就出現個人信息保護法專家稿。但直到2018年個人信息保護法才被列為全國人大常委會立法規劃。立法為何一直遲滯？筆者認為，主要原因在于個人信息保護不僅涉及個人信息，還涉及產業發展、社會公共利益等諸多方面，需要加以綜合考量。因此，我國個人信息保護立法的重點也是難點在于處理好以下三方面的利益平衡問題。

　　一是人格利益與財產利益保護的平衡

　　個人信息屬于人格權益，財產權益，還是二者兼而有之？這是學術界長期以來爭論不休的重要問題。這一問題的不同認識將影響和決定個人信息保護法律體系框架的定位。如果強調人格權益，那么必然會側重于個人信息主體對其個人信息的權屬支配屬性，限制產業界對個人信息的利用空間；反之，如果強調財產權益，則會側重于產業界對個人信息利用的一面，而在一定程度上會限制信息主體的支配權。因此，如何協調人格利益和財產利益保護的平衡，是個人信息保護法制定中必須面對的重點問題。

　　二是個人信息保護和數據產業發展的平衡

　　個人信息保護關乎每個人的隱私權、被遺忘權、財產權等基本權利，極為重要。而數據產業的創新發展又離不開數據的獲取和利用。如何協調個人信息保護和數據產業發展的關系，是個人信息保護法面對的核心問題之一。如果立法過于重視個人信息保護，則可能導致產業發展受損?！稓W盟一般數據保護條例》實施一周年以來，飽受詬病的一條就是其增加了企業的成本，降低了企業創新能力。有人甚至認為其妨礙了互聯網在線廣告行業和人工智能產業的發展。反之，過于強調產業發展，放松個人信息保護，則會導致個人信息濫用，陷于無法得到有效保護的局面。

　　三是個人利益、商業利益、社會公共利益的平衡。

　　作為保護個人信息的基本法律，個人信息保護法既關系到個人人格和財產利益的保護，也關乎產業發展以及社會公共利益的保護。個人信息主體看重個人權益保護，產業界看重商業利益的獲取，而個人信息的獲取、加工和利用衍生的社會公共利益則歸屬于國家，需要通過國家治理或監管途徑實現。立法中如何平衡個人、產業和社會公共利益的關系，也是有待解決的重點問題。

　　三、我國個人信息保護的路徑選擇

　　近年來，我國加強個人信息保護、制定個人信息保護法的呼聲越來越高。筆者認為，該法的出臺，關乎利益層面極為廣泛，需要從立法模式、定位、利用機制、監管機制等多方面問題展開深入、系統的研究，為法律制定提供堅實的智力支撐。

　　1、選擇適宜的個人信息保護立法模式

　　大數據時代，個人信息保護成為時代的主旋律。據統計，已有100多個國家制訂了個人信息保護方面的法律。當前，主要的立法模式有歐盟的“數據法模式”、美國的“隱私法模式”和日本的“個人信息保護法模式”。歐盟《一般數據保護條例》已于2018年5月25日開始實施。美國自1974年制定聯邦《隱私法》。近年來各州也紛紛通過立法，規制大數據時代的個人信息保護問題。日本2005年制定《個人信息保護法》，并于2015年進行修訂、2017年5月開始實施，其目的主要是保護“高度信息通信社會”的個人信息權利和權益。

　　2、厘清個人信息保護法的邊界

　　大數據時代，“個人信息”的內涵和外延是什么？個人信息保護與產業發展、國家數據安全的關系如何協調？這些錯綜復雜的利益關系如何協調，將會影響到個人信息保護法的順利制定及其規制功能的圓滿實現。

　　3、創設合理的個人信息（數據）利用機制

　　制定個人信息保護法的目的固然在于保護大數據時代的個人權益，更在于保障企業在規則范圍內合理收集和使用數據。為此，我們應當在立法中設計合理的數據利用機制。比如“知情同意”制度、信息層級制度等?！爸橥狻敝贫仁莻€人信息保護的核心制度之一，主要是從用戶權利保護的角度出發，在取得用戶同意的基礎上開展個人信息收集、利用等所有活動。信息層級制度是指根據互聯網行業特點將個人信息分為不同層級的制度。比如分為基本信息、敏感信息和專業信息等。該制度可以讓個人信息收集和利用更具可操作性。

　　4、完善行業自律，強化行政監管

　　行業自律是指行業協會制定行為規章規范個人信息處理行為。由于不同領域和行業在處理個人信息方面有很大的差異性，因而行業自律在個人信息治理方面具有很大的優越性。當然，由于行業協會自身的公信力、覆蓋面等問題，以及利益考量問題，行業自律也帶有一定的局限性。因此，我們在完善行業自律的同時，要強化行政監管，通過構建具有威懾力的外部監管機制促進行業自律的有效實施。