淺談大數據環境下公民個人信息的法律保護

王春燕

(濟南職業學院 財經商貿學院，山東 濟南 250002)

一、引言

大數據因其數據量極大、速率較快、種類繁多、所含信息量較高等特點，在許多領域都得以應用，也往往被別有用心之人在不適合的領域濫用。此時，依賴《中華人民共和國民法通則》《中華人民共和國行政處罰法》(以下簡稱《行政處罰法》)等社會管理法規制已不足以阻卻違法犯罪行為[1]。在大數據時代，如何預防侵犯個人信息的犯罪、如何打擊該類犯罪，成為重要的研究課題。

二、大數據環境下《中華人民共和國刑法》對公民個人信息保護存在的問題

(一)個人信息權利屬性不明確

2017年3月15日通過的《中華人民共和國民法總則》(以下簡稱《民法總則》)第111條，對公民個人信息進行了說明和規定，但具體的公民個人信息保護工作中的公民權利的性質并沒有明確界定。毫無疑問，如果立法模糊，將給有關的司法活動帶來較多的不利影響。在我國的司法實踐中，存在雙重標準或標準不統一的情況，在涉及到公民個人信息保護包括公民被侵權性質的事件中，難免出現對公民個人信息侵權的性質認定困難，后期法院的判決也容易結論不一，態度不明[2]。在理論界和實務界，有人將公民個人信息界定為隱私權，有人將公民個人信息界定為名譽權，也有人將公民個人信息界定為一般人格權。

(二)個人信息類型多樣，立法針對性不強

在我國，公民個人信息的分類標準比較多，并沒有全部統一。不同的公民信息種類，根據法律法規所進行的保護方法和程度有所不同。這種情況下，如果強行根據普遍性原理對公民個人信息大而化之、廣而泛之地規范界定，就可能只達到形式上的統一，而無法保證兼顧公民個人信息中的不同分類及其不同特點和要求。而且，大數據時代，圍繞公民個人信息保護的事件和犯罪活動層出不窮，五花八門，使得立法工作往往滯后于案件的發展變化。因此，我國急需加快建設和完善關于公民個人信息保護的法律制度和體系，有針對性地開展工作，解決保護法益前置化、過度行政化等問題，從根本上杜絕公民個人信息保護方面的不足，對公民提供有效的法律保障。

(三)缺乏專門法律保護，立法有待進一步完善

《民法總則》中的部分條款，對公民個人信息保護做了增補，確實在立法方面對該領域做出了很大的完善，但是，針對公民個人信息保護，必須有專門的法律來進行保護，才能切實解決問題。因此，應積極探索路徑，創建適合新時代中國特色社會主義和大數據時代公民個人信息保護的立法體系。

第一，我國網絡大數據條件下關于公民個人信息保護的立法總體上呈現出分散狀態，立法層級不同，法律效力位階也多種多樣。如《中華人民共和國憲法》(以下簡稱《憲法》)第38條規定，公民人格權不受侵犯；《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)中部分條款也對網絡環境下的公民個人信息保護有所規制。在實務工作中，網絡環境下個人信息權的侵權一般作為網絡侵權處理，然后由《中華人民共和國侵權責任法》及其他相關法律進行規制。這些法律規范性文件，雖然對維護公民個人信息權起到一定的作用，但保護力度和范圍仍有所欠缺。

第二，每部法律規范依據的基本法律原則、法律主體、法律客體以及具體的權利內容不盡相同，存在較大差異。法條之間未建立起完整的架構體系，缺少銜接性、操作性[3]。

第三，立法過于分散，究其原因主要在于缺乏貫穿整個大數據背景下公民個人信息權保護方面的基本法律法規和法律原則。法律原則對法律的創制和對法律的適用，都具有極其重要的作用。在窮盡法律規則仍不能解決遇到的疑難案件時，法官也可以另辟蹊徑，選擇通過充分的說理論證后適用法律原則進行裁判?！睹穹倓t》第111條雖然將公民個人信息權保護以法律的形式加以確定，但是比較遺憾的是，只是具有宣示權利作用的功能，對怎樣保護大數據環境下公民個人信息尚無明確規定。就法律體系的統一性而言，如果我國已將公民個人信息權納入到《民法總則》的規劃范疇，那么同理可證，在民事法律體系中普遍適用的法律原則同樣適用于公民個人信息權的保護工作[3]。

(四)侵權責任難以認定

當前司法體制對大數據環境下公民個人信息保護方面的涉及侵權行為活動，普遍選擇適用過錯責任規則，既有可取之處，也有完善的余地。由于是過錯責任規則，就需要公民個人信息保護侵權行為的主體雙方，都負有一定的舉證責任義務。作為受害人一方，即個人信息被侵權的公民一方主體，負有證明侵權行為、證明侵權損害結果、證明侵權行為過錯、證明侵權行為之因果關系的明確責任。大數據時代，在網絡背景中，責任雙方既要“對簿公堂”，又要有效區分開網絡信息主體和網絡個人信息需求者[4]。

第一，大數據時代公民個人信息權的內涵外延需要明確。我國現行法律法規，并沒有明確地界定公民個人信息權的內涵和外延，依據現有的研究和經驗、學理和法理等不同視角分析，現行法律法規雖然說明了公民個人信息權具有很強的特殊性，但只是將公民個人信息權作為具體的人格權?！睹穹倓t》第111條指出了公民個人信息權在民法體系中的位置，但是該法條只是對公民個人信息權利的宣示，并沒有詳細闡述公民個人信息權的內涵與外延。法律制度必須與時俱進、順應時代，公民個人信息保護方面，必須盡快建立一個針對性強的法律體系，來指導理論和實踐工作，增強法律效益和效果[5]。

第二，大數據時代公民個人信息權涉及的主體需要明晰?！睹穹倓t》第111條指出：受約束的對象為“任何組織和個人”，也就是任何組織和個人都有可能成為侵權者。那么，法條中所說的“任何組織和個人”中，是否包括國家行政機關主體，就很容易導致歧義理解。從法律體系考慮，《民法總則》不調整涉及行政關系的法律關系，據此推斷，“任何組織和個人”不包括行政主體機關。但是，大數據時代，國家行政主體電子化辦公越來越普及，國家行政機關主體很容易也很可能成為公民個人信息侵權行為人。因此，公民個人信息侵權不僅容易發生在平等主體之間，也可能發生在不平等的主體之間，必須引起高度的重視。

第三，我國現行法律法規對公民個人信息方面的保護制度，尚有很多不足之處，存在著結構比較單一、法律程序不健全、權力部門和管理機構不明確、救濟方式不統一等方面的缺陷[6]。同時，公民個人信息保護自律機制也亟待建立，以便更好地推進實務工作中的責任確定。僅依靠和延續過去的做法和經驗，很明顯是不能適應大數據時代各種問題的，應盡快完善現有立法，建立起公民個人信息保護方面的工作機制和各項配套保障措施，為國家和社會提供多元、有效的公民個人信息保護環境。

(五)個人信息保護市場監管缺失

大數據時代，涉及公民個人信息保護的風險和安全危機凸顯，一方面相關安全事件頻發，另一方面極易引發輿情動蕩和社會風險。當前，專門的公民個人信息保護市場監管部門，在我國并沒有明確設立，主管機關的普遍做法是分散監管，各自負責本單位職責范圍內的監督保護工作。如：涉及金融方面信息保護，由中國人民銀行負責；涉及公民個人信息保護規則制定，由工信部負責；涉及公民個人健康信息保護，由國家衛生和計劃生育委員會負責等。這種模式對公民個人信息的保護效果不佳：(1)管理權限之間的模糊，造成部門分工和協作方面的困難。(2)部門之間出現權限交叉，重復執法，增加執法的成本和浪費。(3)造成監管的空白，導致出現逃避法律懲罰的漏洞。因此，在大數據時代，有關部門和社會各界必須高度重視，從技術上完善保障，與時俱進，不斷開拓創新，在金融、醫療、房產等方面加大保護力度，形成跨行業、跨領域、跨部門的聯合保護體系，對公民個人信息提供全方位保護[7]。

三、對公民個人信息的刑事立法保護

(一)我國的刑事立法現狀

刑事立法方面，我國也做出過很多完善。2009年2月28日出臺的《刑法修正案(七)》增加了侵犯公民個人信息罪，使我國在侵犯公民個人信息方面的法律規制不再是空白。但是其本身也存在著一些不足之處，比如設置的保護范圍過小、確定的犯罪主體的范圍狹窄等[8]。

2015年8月29日，我國立法機構通過的《刑法修正案(九)》進一步填補了公民個人信息保護方面的依據，完善了《刑法修正案(七)》中公民個人信息保護規定中存在的不足?？偟膩碚f，《刑法修正案(九)》針對公民個人信息保護的加強體現在：擴大了公民個人信息犯罪對象來源的范圍，擴大了公民個人信息犯罪主體的范圍，將“違反國家規定”修改為“違反國家有關規定”；加大了公民個人信息犯罪方面的處罰力度，將自由刑由處三年以下有期徒刑或者拘役，變為處三年以上七年以下有期徒刑，將并處或者單處罰金調整為并處罰金。2016年《網絡安全法》施行，其中第40至44條也對公民個人信息保護制度進行了規定。

(二)域外部分國家個人信息保護立法現狀

據統計，目前世界上已經有50多個國家或地區制訂和施行了本國或本地區關于公民個人信息保護的法律法規，并越來越重視相關研究，可供我國有關部門借鑒。

1．德國

1977年，德國制定施行了《聯邦個人信息保護法》，該法是大陸法系國家中對公民個人信息保護規定得最具有代表性的法律，其中的核心部分是將信息自決權作為信息主體的主要內容，鑒于歐洲國家隨著信息技術的進步而不斷出現的公民個人信息及隱私被侵犯，明確了公民個人數據信息自決權的保護價值、功能、性質和內容，并對公民個人信息以一般人格權來保護。

2．英國

1984年，英國制定施行了《信息保護法》，該法的一個主要優點就在于將敏感信息和瑣碎信息區別對待，分門別類地對這些不同信息進行差異化的保護。時至今日，英國《信息保護法》仍然是對公民個人信息保護方面制定得最全面、最完善的法律之一，其成功經驗值得認真研究和學習。當前社會已經進入大數據時代，不能囿于過去的條條框框，必須在堅持對公民個人信息保護高度重視的基礎上，加強立法合作，重新認識公民個人信息保護在新時代的新變化、新特點、新要求、新舉措，與時俱進，匡正立法，拓展公民個人信息保護法律法規的內涵和外延，更好地服務于國家和社會。

四、大數據環境下加強公民個人信息保護的建議

(一)明確相關概念

在設立侵害公民個人信息的罪名時，應當對相關概念進行明確的界定。

1．違反國家有關規定

《刑法修正案(九)》將“違反國家規定”改為“違反國家有關規定”。這一改變擴大了犯罪適用的法律范圍，擴大了適用對象，更有利于打擊犯罪。但是，“國家有關規定”中的“有關規定”包含的法律可以包括部門規章，而不能出現地方性法律法規，否則將可能會出現同案不同判的結果。

2．情節嚴重

《刑法修正案(九)》刪除了“情節嚴重”表述，有學者認為是為了避免立法上的重復，也有學者認為是有關部門降低了犯罪門檻，體現打擊犯罪的決心。此外，認定情節嚴重還應該考慮侵犯公民信息所造成的損失。個人信息的價值越大，對公民的人身、財產安全威脅越大，但這種考慮目前缺乏上位法的依據。

(二)改革立法模式，完善刑法體系

當前，我國法律體系關于侵犯公民個人信息的定罪量刑，基本仍然沿用《中華人民共和國刑法》中的相關法條為主，內容比較單一，涉及的法條比較散亂，所以制定一部“公民個人信息保護法”具有很大的必要性。在立法之前，我們首先應該考慮以下幾個主要方面。第一，“公民個人信息保護法”應立足中國現實和大數據時代背景，制定完整、靈活的立法計劃。制定 “公民個人信息保護法”不應急于求成，畢其功于一役，立法計劃要符合中國國情，可以參考《網絡安全法》正式施行之前連續三次發布征求意見稿的做法，廣泛聽取社會各界和各級主管部門、行政機關的意見，力爭做到有的放矢。第二，在“公民個人信息保護法”制定過程中，應該與時俱進，準確把握大數據時代的背景和特征，始終以習近平新時代中國特色社會主義法治思想作為方針綱領和行動指南，解放思想，實事求是，從宏觀、微觀上把握理論和實際之間的聯系，準確把握時代特征，始終站在時代前列和實踐前沿。

(三)采取差異化的救濟賠償模式

損害賠償制度是“公民個人信息保護法”權利保護的救濟措施，也是個人信息主體權利救濟的最終途徑。隨著互聯網的快速發展和大數據時代到來，個人信息商業化，獨立的人格利益逐漸兼具財產利益特征。在宏觀方面，我國個人信息立法可借鑒德國的經驗，對行政侵權行為和民事侵權行為采取差別化損害賠償方式。在微觀方面，我國對公民個人信息的保護可以首先立足于將一般類信息和敏感類信息區別開來。涉及到公民的一般個人信息時，如果只涉及到財產，那么僅提供物質利益一元救濟模式即可；涉及到公民的個人敏感信息時，如果牽扯到隱私，侵害了精神利益，就采取物質利益和精神利益二元救濟模式。

(四)設立個人信息保護的基本原則

公民個人信息保護的基本原則，是指個人信息在收集、利用和處理的過程中，各方主體所應遵循的基本行為規范和指導原則。立法實踐和司法實踐工作也是依據這些基本原則來指導實踐的。大數據時代，公民個人信息保護基本原則的設立，有助于明確法律邊界，避免含混不清。筆者建議公民個人信息保護設立公開透明原則、限制處理原則、數據質量原則、安全責任原則、主體權益原則。

(五)明確公民個人信息的保護范圍

明確保護范圍，也是加強對公民個人信息保護工作的前提之一。大數據時代背景下，信息大爆炸，信息、知識、情報等混合交織，錯綜復雜，導致傳統意義上的公民個人信息安全和非公民個人信息安全之間的界限變得異常模糊，難以分辨，增加了司法認定過程中的難度，如果處理不當，就會增加行政工作和法律工作的成本，很大程度上對公民個人信息保護造成不利影響，對國家和社會其他信息安全保護工作造成影響[9]。歐盟很早就采用了“識別性”作為公民個人信息保護界定的標準，同時也附加了“合理性”和“可能性”這兩個關鍵因素，目的就是方便對公民個人信息的保護范圍進行限定。據此，我國部分學者和研究人員提出了公民個人信息界定的新標準，除了“識別性”這一核心要素外，也推動了將公民個人信息的類別、數據處理者的識別能力、收集個人信息的目的、信息主體的身份這四個要素作為界定公民個人信息的要素。筆者認為，大數據時代，鑒于公民個人信息保護的復雜性、長期性、多變性，不能一概而論、以偏概全，雖然要將“識別性”作為界定公民個人信息的核心內容，但也要加強對保護內涵和外延的拓展，增強工作的廣泛性、普遍性、通用性、可行性，提高工作效益和效率。

(六)積極開展國際合作

事物都是相對的，大數據技術給社會帶來便利的同時，也產生了很多弊端，給公民的個人信息安全帶來了極大的威脅。我國在公民個人信息保護方面雖然取得了很大的成績，但也要正視存在的不足，應積極開展國際間、國家間、地區間、組織間的各種合作，通過借鑒其他國家或地區的先進經驗，使我國的公民個人信息保護制度在與世界接軌的同時又能適應新時代中國特色社會主義基本國情，進而提高我國大數據背景下公民個人信息的保護水平[10]。