淺析大數據時代個人信息的法律保護

劉帆

摘要：隨著信息數據的爆發式增長，個人信息的保護愈加困難，個人信息泄露和侵權事件層出不窮，這對民法如何保護個人信息和救濟受害者權益提出了新的挑戰。有關個人信息應作為隱私權保護還是作為獨立的權利進行保護尚未達成共識，各國提供不同的立法模式如何取舍也仍未明晰，亟需在立法和司法上對該問題做出回應。為進一步完善個人信息的民法保護，規范個人信息管理和使用，應制定《個人信息保護法》，明確規定主體對個人信息享有的權利和信息管理者的義務，完善個人信息侵權訴訟制度，同時，還要加強公共監管，以公權力介入企業個人信息管理，規范行業制度，為隱私保護筑起高墻。

關鍵詞：大數據;個人信息;隱私權

中圖分類號：DF49 ? ?文獻標識碼：A

文章編號：1005-913X（2019）07-0063-03

一、問題的提出——以典型案例為視角

2014年10月11日，龐某委托魯超通過去哪兒網平臺訂購了機票1張。去哪兒網訂單詳情頁面顯示該訂單登記的乘機人信息包括原告姓名及身份證號，聯系人信息、報銷信息均為魯超及其尾號1858的手機號。13日，龐某尾號9949手機號收到號短信，提示龐某所定MU5492航班已取消，要求龐某支付改簽費20元。魯超知曉上述短信后撥打東航客服電話予以核實，客服人員確認該次航班正常，并提示龐某收到的短信應屬詐騙短信。而魯超購買本案機票時未留存龐某手機號，龐某遂以個人信息被泄露、個人隱私遭到嚴重侵犯為由起訴趣拿公司和東航公司。法院認為，姓名、電話號碼及行程安排等事項屬于個人信息。隨著對個人信息保護的重視，隱私權中已經被認為可以包括個人信息自主的內容，即個人有權自主決定是否公開及如何公開其整體的個人信息。將姓名、手機號和行程信息結合起來的信息歸入個人隱私進行一體保護，也符合信息時代個人隱私、個人信息電子化的趨勢。

從現有證據看，龐某已經證明自己是通過去哪兒網在東航官網購買機票，東航和趣拿公司以及中航信都有能力和條件將龐某的姓名、手機號和行程信息匹配在一起。第三人將這些信息匹配在一起的可能性非常低，東航和趣拿公司存在泄露龐某隱私信息的高度可能，并且存在過錯，應當承擔侵犯隱私權的相應侵權責任。

在現實生活中大量存在著類似上述案件的個人信息泄漏事件，如滴滴、攜程大數據殺熟，Facebook泄漏五千萬客戶信息，華住集團旗下酒店打包出售五億客戶數據等，個人信息買賣似乎已形成產業鏈。在利益的驅使下，對公民隱私的保護和交易引發的安全隱患被漠視，平臺和商家竭力挖掘數據背后隱藏的巨大商業價值，數據之爭甚至引發了阿里、騰訊、順豐之間的大戰。公民的隱私權被嚴重侵犯，個人信息泄漏引發的安全問題也頻繁發生，昭示著民法對于個人信息保護的不健全，這主要表現在以下幾方面。

第一，個人信息民事權利的定位不明?！睹穹倓t》第111條規定：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。但是該條并沒有明確個人信息的保護方式，究竟是作為法益進行保護，還是作為“個人信息權”進行保護，需要進一步明確。有學者認為個人信息權是隱私權的一種，應將個人信息作為隱私進行保護。有學者認為由于個人信息具有明顯的經濟價值，在定位時應當強調其財產屬性。有關個人信息法律屬性的爭鳴尚未達成共識，法院以“隱私權糾紛”對個人信息進行保護，但是個人信息權與隱私權不能完全等同，雖然個人信息與隱私具有一定的交叉，但隱私權制度的重心在于防范個人秘密不被非法披露，而對于個人信息的侵犯則在于非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態，兩者不能混同，應當將個人信息權作為獨立的人格權進行保護。

第二，個人信息侵權責任不明確。個人信息侵權糾紛的責任不明確，尤其是未明確是否可以獲得精神損害。個人信息具有較高的經濟價值，而個人信息的泄漏、出賣會為受害人帶來極大的損害，這種損害往往是潛在的難以計算和證明的。在目前的案件個人信息侵權案件中，即使勝訴，受害人也僅僅受到象征性的賠償，難以填平損失。這將嚴重打擊當事人起訴的積極性，尤其是在勝訴幾率本就不大的情況下。更重要的是，較低的賠償無法對掌握信息的平臺、商家形成威懾，有可能放縱他們繼續侵犯個人信息權。

第三，個人信息侵權訴訟舉證困難。個人信息侵權訴訟案件中，原告是一般公民，被告是網絡平臺或大型企業，兩者具有明顯的信息不對稱，而且原告在資金技術、人力資源方面都明顯弱于被告，兩者的訴訟實力不平衡。在目前的舉證制度下，根據“誰主張，誰舉證”，原告需證明被告泄漏或出售原告個人信息的事實，而在原告對個人信息已失去掌控的情況下，這根本是無法完成的任務。由于個人信息侵權行為較為隱蔽，即使存在證據一般也掌握在被告的手中，原告無從知曉被告儲存利用原告信息的過程，更加無法證明，只能承擔舉證責任的不利后果，即駁回訴訟請求。大數據時代信息保護的障礙：只要使用軟件，個人數據就會悄然無聲的轉移到網絡服務商，傳統信息保護的方式已失去作用，需要建立新的個人信息保護路徑，喚醒公民信息權利意識，規范信息管理者對信息的采集和使用。

二、個人信息基礎理論

（一）個人信息的概念

學界關于個人信息定義有多種學說，有的學者認為：“個人信息是現實當中不希望被他人知道的或是個人對這部分信息很看重而不希望別人知曉的信息?！庇械膶W者認為：“個人信息包括自己的私人生活有關的信息和所參與的社會活動和組織性的個體活動信息?！薄稓W洲數據保護公約》的理解是：凡是與一個人有關并且根據該信息能夠被他人識別的信息就是個人信息，這種信息可以是直接的或者間接的，也可以是物質的或精神的。法律保護個人信息一方面是出于對隱私的尊重，另一方面，個人信息具有一定的價值，并且存在被不當使用而造成威脅的可能。因此，個人信息應當突出其價值，并且能夠與其他信息相區分，筆者認為，應當采用以下定義：個人信息是指與個人相關的、不希望被他人知曉的且能夠與個人相匹配的一切信息。

（二）個人信息的法律特征

個人信息在大數據時代成為了一種被爭奪的商業資源，從法律特征上說，它具有人格屬性和財產屬性。首先，個人信息的主題必須是自然人。當然，也有部分國家認為個人信息的主體不限于自然人，也包括法人等主體。但是法人沒有完整的人格權，并且其信息更側重于商業價值，應該以商業秘密的形式進行保護，不應該列入個人信息的范疇。其次，個人信息應與主體有密切的聯系，能夠與其他信息相區別，并通過能夠信息第一時間確認信息主體，既具有可識別性。再次，個人信息應具有一定的價值，可以被利用或者轉化成一定的利益。這一價值對于網絡公司來說尤為明顯，利用信息數據分割市場，掌握消費習慣和偏好，奪取更多消費者剩余，創造更多的經濟利益。

（三）個人信息保護理論

1.個人信息控制權學說。個人信息控制權學說認為，個人信息的主體有權決定個人信息何時何地被使用，任何人要使用主體的個人信息都必須經過許可。個人信息控制學說強調主體對信息積極的控制，但這種控制可能會造成信息流通的障礙。

2.個人信息財產權保護理論。個人信息財產權保護理論認為，個人信息是一種財產權利，主體對個人信息享有所有權，對信息財產的處分、利用是個人信息所有者的權利，他人不得干涉和侵犯。經濟學家認為這種理論能夠提高個人信息的使用效率，呼應大數據對信息保護的現實需求，更能夠有效應對信息數據倒賣和泄漏的問題。

三、域外個人信息保護模式

（一）美國

美國將個人信息作為隱私權進行保護，主要有決定權、知情權、更正權三項權力。在信息采集過程中規定：未經信息主體個人許可，不得采用不合理入侵的方式方法獲取其私人信息。在信息披露過程中，美國法律規定：必須取得主體許可，否則只有在公共領域的日常信息和本人自愿公開的公共領域非常規信息;只可在明確許可范圍內披露。值得注意的是，美國對兒童信息保護設定了較為嚴苛的標準，要求收集13歲以下兒童信息時取得家長同意，收集13歲到16歲未成年信息時應當讓家長有機會監督，希望監護人承擔保護兒童信息的責任。

（二）德國

德國是典型的將個人信息作為一般人格權進行保護的國家，規定了“信息自決權”。信息自決權的主要含義是，個人對于自己的個人信息有決定何時何地采用何種方式公開的權利，并且其他公司或機構公開個人信息必須取得明確的授權，使用所收集的數據必須具有嚴格且明確的目的，對于個人信息權利的限制只能由法律規定。

（三）歐盟

歐盟關于個人信息保護的規定主要有《歐盟數據保護基本條例》《個人數據保護指令》等。歐盟法律規定，在一定期限內，信息主體可以免費獲得個人信息并可以校對;主體可以對他人收集自己個人信息的行為提出異議，并通過法律手段追究其自認;對違法使用個人信息的行為可以通過民事訴訟要求賠償;個人信息有權要求被遺忘，即要求他人刪除或者停止傳播。歐盟還建立了專門的監督機關以保護個人信息，通過行政處罰的方式加強對濫用個人信息行為的威懾。

（四）小結

美國、德國、歐盟對個人信息采用了不同形式的保護，有各自的優勢所在：美國注重信息的流通，享受該模式帶來的效率和便利，德國和歐盟給予了個人信息更嚴格和平等的保護，更注重私人權利和人格尊嚴。我國從法律體系和發展趨勢上看，宜采用德國模式，將個人信息權作為獨立的人格權進行保護。并且借鑒歐盟，以嚴格的立法規制，建立完備的個人信息法律保護體系，以應對我國個人信息侵權泛濫、數據泄漏事件頻發等問題。

四、改善個人信息保護的建議

（一）制定《個人信息保護法》

信息數據被公司泄漏和出售的事件層出不窮，個人信息販賣已經形成產業鏈，信息的不當使用埋下了諸多安全隱患，威脅著網絡安全和社會穩定。急需制定《個人信息保護法》，明確個人信息的法律定位，建立系統、科學的個人信息保護體系，完善個人信息保護和救濟途徑?！秱€人信息保護法》應界定個人信息權的內涵和外延，明確規定知情權、決定權、選擇權、刪除權等內容;明確信息管理者的義務和法律責任，確定個人信息權保護的原則等。制定《個人信息保護法》，既能夠回應社會對個人信息數據保護的強烈需求，又能夠順應國際趨勢，與發達經濟體保持一致，避免對我國貿易產生不良影響。

（二）完善個人信息訴訟制度

個人信息侵權事件頻發，引發的訴訟也越來越多。但是訴訟效果并不理想，表現在舉證困難、難以獲得賠償等方面。應該考慮個人信息侵權案件原被告實力相差懸殊、證據親被告遠原告、被告易于證明等因素，并結合保護公共利益、傾斜保護弱者原則，弱化個人信息侵權的證明標準，即原告只需證明被告掌握原告個人信息、被告存在不當使用的可能性即可，由被告舉證說明其儲存、利用的過程以證實其不存在濫用的行為并盡到了妥善保管的義務。在損害賠償方面，應確定個人信息侵權可獲得精神賠償，賠償數額根據侵權人的過錯程度獲利情況合理確定。

（三）加強公共監管

個人信息數據具有經濟價值，僅靠市場和行業自律難以規范個人信息的采集和使用。為進一步保護個人信息安全和公共利益，應運用公權力監管信息控制者，構建完善的監督體系和監督制度。具體而言，應建立個人信息保護部門，行使監管權和執法權，以刑事手段和行政手段相結合的方式，規范信息獲取和利用，處罰不當使用個人信息的行為，加強個人信息的事前保護和事后救濟。

參考文獻：

[1] 梁慧星.民商法論叢（第 43 卷）[M].北京：法律出版社，2009 .

[2] 崔聰聰.個人信息保護法研究[M].北京：北京郵電大學出版社，2015.

[3] 刁勝先.個人信息網絡侵權問題研究[M].上海：上海三聯書店，2013.

[4] 王利明.隱私權的新發展[J].人大法學評論，2009（1）.

[責任編輯：方 曉]