大数据时代我国个人信息保护法律制度研究

IV目录一绪论 41.1研究背景和意义 41.2文献综述 41.3研究思路和研究方法 41.4研究内容 4二大数据及个人信息概述 52.1大数据的定义 52.2个人信息的定义 52.3个人信息的民法属性 52.4个人信息的刑法属性 62.5大数据时代个人信息的价值属性 7三我国个人信息保护现状及面临的困境 83.1我国个人信息立法保护现状 83.2我国个人信息司法保护现状 83.3我国个人信息保护中面临的困境 9四国外个人信息保护模式及参考价值 124.1欧盟个人信息保护 124.2美国个人信息保护 124.3日本个人信息保护 134.4国外个人信息保护模式对我国的参考价值 13五我国个人信息保护的建议 145.1明确《个人信息保护法》的定位 145.2司法应运用场景化思维认定个人信息 145.3加大对信息处理者行为的管制 155.4完善个人信息保护配套措施 15结论 16参考文献 16致谢 17一绪论1.1研究背景和意义随着互联网技术的快速发展,大数据时代已经到来，如今网络广泛应用到人们生活中工作中。据统计，我国网民规模已突破9亿人次,互联网普及率已达64.5%。[[]中国互联网络信息中心第45次《中国互联网络发展状况统计报告》。]大数据技术使得个人信息可以被更高效地自动化处理，从而形成“用户画像”，使信息主体在不知不觉中中遭受区别对待，进而丧失人格自由发展的机会，错综复杂的信息收集方式让人们在没有警觉的情况下让个人信息遭到泄露，加重了个人财产损失的风险。网络平台也经常使用“[]中国互联网络信息中心第45次《中国互联网络发展状况统计报告》。大数据时代是经济和技术飞速发展的时代，个人信息的立法，无论是民事还是刑事领域，都一定程度上落后于时代，因而必须要有符合时代精神的理论来指导立法与实践。因此，研究大数据时代个人信息的保护，必须关注“大数据”这一时代背景及其独特性。唯有如此，才能对症下药。1.2文献综述个人信息的定义，综合不同的法律，主要将个人信息定义分为关联型、隐私型和识别型。本论文采用的定义模式为识别型。在民法领域，学者们重视个人信息权的法律属性问题，尤其是个人信息的人格属性和财产属性之间的对立问题。在刑法领域，学者们更重视个人信息中蕴含的个人法益和公共利益之间的矛盾。1.3研究思路和研究方法本文主要采用文献分析和比较分析两种方法进行研究。1.4研究内容论文的第一章主要介绍大数据、个人信息的定义和个人信息的法律属性，讨论在大数据时代视域下个人信息的价值属性；第二章主要介绍当前我国个人信息保护立法，研究《个人信息保护法》适用面临的困境；第三章研究欧盟、美国和日本关于个人信息的立法制度，以及对我国个人信息保护方面的参考价值；第四章对大数据时代完善个人信息保护提出相应建议。二大数据及个人信息概述2.1大数据的定义大数据，又叫巨量材料，特点是数据量大，且分析复杂。大数据的计量单位为ZB，1ZB数据的大小相当于全世界所有沙子数量的总和。英国著名数据科学家维克托.迈尔—舍恩伯格对大数据的看法是:大数据是人们获得新认知，创造新价值的源泉，同时也是改变市场、组织、机构，以及政府与公民关系的方法。[[][][英]维克托·迈尔—舍恩伯格,肯尼斯·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕，周涛译，浙江：浙江人民出版社，2013年版，第9页。2.2个人信息的定义个人信息定义主要分为关联型、隐私型和识别型。第一种，关联型。关联型定义认为，个人信息是包括所有与个人相关的信息。具体包括信息主体的个人身份、工作、社会地位和可以从其他方面能够对个人产生客观评价的信息。个人信息的定义，不应该仅局限于信息主体的个人私生活方面的信息，凡是于个人相关的，都应包含在内。第二种，隐私型。隐私型定义认为，个人信息是指信息主体根据自己的意愿选择，不想被其他人所了解或被公开的消息，认为只有与隐私相关的信息才被称为个人信息。第三种，识别型。识别型定义认为，“识别”指的是根据信息本身能“辨别”特定信息主体身份的客观可能性，即信息主体的个人信息可以被信息处理者间接或者直接识别出来。需要注意的是，在识别的过程中不会关联到其他社会主体的信息内容。综上所述，笔者认为“识别型”定义模式更具有合理性，因为较为准确的定义了个人信息的自身属性问题，即个人信息所具有的识别功能。2.3个人信息的民法属性个人信息法律属性，有四种观点：第一种：所有权客体说。所有权客体说认为个人信息属于财产利益，即个人信息本身就具有一定的价值，个人信息在自愿支付对价的前提下可以自由交易。信息搜集者采用技术手段收集个人信息的目的是用于商业交易，并从中获利，而不是为了了解其信息主体。放在市场经济视域下理解，应当将个人信息化为一种“物”，采用所有权原理。在遵守法律与不侵害公共利益的前提下，所有权人可以将个人信息自由处分，不受公权力的控制和约束。该学说最后还认为，不论信息处理者基于何种目的、采用何种手段，所有权归属问题都不会因获取行为发生改变。第二种：隐私权客体说。个人信息是隐私权的一种，应该在隐私权的范围内对个人信息进行保护。第三种：人格权客体说。个人信息体现的是一般人格利益，应该在人格权的范围内对个人信息进行保护。德国对个人信息保护立法初期，曾尝试借鉴美国采用的隐私权客体说，但在司法实践中发现该理论与大陆法系不能兼容的事实，故采用人格权客体说，后续颁布了《联邦数据保护法》。第四种：基本人权客体说。个人信息的流通应对个人权利和自由加大保护，个人信息属于综合性权利。综合上述论述，笔者自认为人格权客体说更具有合理性，个人信息与信息主体不能分离，具有人身专属性。我国《民法典》也将有关个人信息方面的规定编入人格权中，这也验证了该学说的合理性。2.4个人信息的刑法属性我国《刑法》第253条规定,侵犯公民个人信息罪以“违反国家有关规定”为前提。但该罪状仍是空白罪状，没有相关司法解释或者规定对“有关规定”进行阐明。[[]《\o"刑法"刑法》第二百五十三条，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。]个人信息在大数据发展的背景下，被赋予了数据化和多样化的特点。传统观点中认为个人信息属于个人隐私范围，略显滞后性。《个人信息保护法》第四条相关规定，个人信息是以电子或者其它方式记录的与已识别或者可识别的自然人有关的各种信息。[[][]《\o"刑法"刑法》第二百五十三条，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。[]《个人信息保护法》第四条规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。从刑法的视角下理解个人信息的内涵，应以法律目的进行解释，摆脱文理解释的片面化理解，把个人信息等同于个人隐私不具有合理性。以法律目的进行解释，更符合当下大数据时代信息化的时代背景。2.5大数据时代个人信息的价值属性大数据时代个人信息具有连接性和信息增量价值的特点。第一点，连接性。在大数据时代，信息具有极强的连接能力，信息处理者借助平台和不用场景，将纷繁复杂的信息通过不同的组合，形成一套完善的价值链，将个人信息的连接进行提升，可以打造更优质的产品质量和更人性化的服务。第二点，信息增量价值性。不同领域的信息处理者，可以根据自身行业的特点对个人信息分析处理，处理后的个人信息价值往往具有超过信息本身的价值，变得具有价值增量性。三我国个人信息保护现状及面临的困境3.1我国个人信息立法保护现状《民法典》个人信息的规定，是可以“单独或结合识别”的各类信息。我国《个人信息保护法》细化了《民法典》的条文，将立法重心放在保护与利用的平衡上。《个人信息保护法》第二条明确了自然人依法享有个人信息权益。[[][]《个人信息保护法》第二条规定，自然人的个人信息受法律保护，任何组织、个人不得侵害自然人的个人信息权益。3.2我国个人信息司法保护现状在司法方面，之前个人信息侵权的纠纷并没有设立独立的案由，而是通过隐私权纠纷或名誉权纠纷来保护。将个人信息侵权纠纷放在其他案由下适用，有明显的局限性。但如今最高人民法院将“个人信息保护纠纷”设成独立案由，并已经开始施行。这意味着个人信息的司法保护将不再借助其他案由名称来实现救济，更有利于节省司法资源，提高司法效率。我国在个人信息的司法保护方面进行了很多有益探索，成果显著。尤其“个人信息保护”案由的确定，为个人信息的司法保护建立了良好的开端。3.3我国个人信息保护中面临的困境1.立法思路与法律定位模糊在我国个人信息保护立法方面具有如下问题：第一点，立法思路混乱。首先应在《民法典》中确认个人信息权，接着再颁布《个人信息保护法》，个人认为,两部法律立法宗旨存在较大差异。侵害个人信息往往对信息主体的个人信息和财产产生共同损害。《民法典》中有关个人信息保护的内容被纳入人格权编中，人格权的内涵是保护民事主体的各项人身权利，具有人身属性，具有非财产性，对比发现，两者范畴并不相同。《个人信息保护法》同时包含着公法与私法的内容，既对私主体的责任义务作出了规定，同时也规定了国家机关的责任和义务。不可以将二者视为同一类型的法律，会导致司法适用的问题。第二点，法律定位不清晰。《个人信息保护法》在第二条规定自然人依法享有个人信息权益，对能否使用“权益”这种表达，还需要充分的讨论。个人信息的性质是“权利”属性还是“权益”属性，是学界一直在热议的问题。《民法典》在规定个人信息概念时，仅表述为“个人信息”，并没有加入“权益”。从法理上来看，单行法的文义应与《民法典》文义保持一致，这与《民法典》存在矛盾之处，但至今没有相应权威解释出台。2.司法适用面临“可识别性”困境可识别性，指的是信息处理者通过识别信息能否定位到具体的人。学理上，也将“可识别性”拆解成“独立识别”与“间接识别”。独立识别，信息处理者根据信息可以精准对应到一具体的人。间接识别，信息识别者需要结合其他信息共同判断，此时单一的信息不能达到精准识别人的目的。法律本身具有滞后性的特点，如今个人信息呈现的方式更加多样化，比如软件账号、IP地址等，间接识别信息的范围正在逐渐扩大。此时司法面临的问题是无法对间接信息进行一一掌握3.完善信息处理者行为规制制度应对信息处理者设置的隐私政策设定严格标准。在实践中，信息主体在隐私政策中只能选同意或者拒绝，对隐私政策里面的内容很难改变，而往往信息处理者在隐私政策中设置的条款都偏向于自身，无法保证公平性。数据本身是的价值属性是中立的，但是信息处理者往往通过算法自动化决策这一技术，对信息主体计算，导致的后果是对信息主体进行算法歧视，越来越多的人遇到过“杀熟”这一现象。《个人信息保护法》也应对算法技术进行标准评估，考量其潜在风险隐患，但目前，《个人信息保护法》对此部分内容没有做出相应规定。4.完善个人信息保护配套措施我国个人信息保护起步较晚，信息处理者受传统观念的影响，工作重心往往是放在如何如何提高自己的技术、如何保证计算机能够安全运行上。此时，应及时转变信息处理者的观念，应从安全的角度出发，对工作范围内的信息加以保护。同时，我国行业自律监管效率低下，也没有设立专门的个人信息保护机构。互联网行业要想发展，很重要的一环就是依托收集信息，但是保护个人信息安全仅靠企业本身的自觉是不够的，还需要各个行业的协同配合。我国应加速设立专门的个人信息保护机构。四国外个人信息保护模式及参考价值4.1欧盟个人信息保护欧盟在1981年颁布了《个人信息保护公约》。保护公约的立法背景结合了当时信息技术发展的背景，但是该公约是由成员国自由选择的，欧盟并没有强制实施，导致的结果只有很少的成员国选择该公约。保护公约也背离了对整个欧盟内所有国家的个人信息保护的初衷。该公约值得肯定的是，提出了将个人信息的自动化决策与传统的民事法相分离超前的理念。该也为后续颁布的《个人信息保护法》奠定了基础。而后在1995年颁布了《个人信息保护指令》。欧盟在立法技术层面，初衷是通过信息保护指令让成员国之间可以落实个人信息保护的基本权利，并实现各成员国之间的信息流通。该保护指令存在的问题同样也是是选择性过强，愿意签署该指令的成员国较少。而此时，互联网的技术得到了快速发展，各成员国在关于个人信息保护的问题上日益严峻。保护指令虽没有强制成员国实施，但成为各国制定《个人信息保护法》的指导性法律，由于各国有不同的发展背景，对保护指令的应用不尽如意。值得认可的是，该保护指令设置了专门的个人信息保护研究机构—“第29条工作组”。“第29条工作组”的主要任务是对个人信息保护进行专门研究。目前欧盟个人信息保护，是以《欧盟一般个人信息保护条例》和16年颁布的《刑事犯罪领域个人信息保护指令》这两部法律为代表。立法背景是由于欧盟各成员国制定了不同的《个人信息保护法》，而此时的互联经济正处在急速增涨的阶段，由此导致各国之间难以进行经济与信息互通，跨国业务也难以开展。通过制定统一的法律，可以解决跨国业务开展难和信息不利于流动的问题。4.2美国个人信息保护美国对个人信息保护有两种模式：第一种，美国在教育、医疗和行政等特定领域，通过制定单行法来规制。其特点是有较强的针对性，但单行法其规制的领域有限，并且不能全方位对个人信息提供保护。第二种，采取行业内部自律，这也是美国对个人信息保护的主要方式。由于单行法局限性较强，在没有实施单行法的领域内，可以通过制定隐私政策来对个人信息进行保护。行业内部的自律方式主要体现在以下三个方面私密信息认证方案、行业指南方针和网络技术隐私保护。私密信息认证方案类似于我国的驰名商标，针对符合行业规范的企业提供相应认证。私密信息认证方案的意义在于，其代表的是良好企业的形象和较高的信誉等级。通过制定认证方案，也可以倒逼企业提升个人信息保护能力。我国可以借鉴美国的行业自律模式，对我国个人信息保护有重要意义。4.3日本个人信息保护日本个人信息保护的立法技术与欧盟类似，在此基础上又借鉴了美国行业自律模式。日本在1988年颁布了《行政机关保有利用处理的个人资料保护关系法》，为后续颁布的《个人信息保护法》奠定了基础。2003年在互联网经济快速发展的背景下，先后出台了五部与个人信息相关的法律，合并称为《个人信息保护法》。2017年修订后的《个人信息保护法》正式实施，这期间经过了多次的修改与摸索。日本学习了欧盟的立法经验，设立专门的个人信息保护机构，《个人信息保护法》中设立了个人信息保护委员。在对《个人信息保护法》的实施过程中，出现了“过剩效应”。“过剩效应”是指民众对个人信息的合理流通过于谨慎，对个人信息的保护意识过于强烈，以致于难以实现流通与保护之间的平衡。[[][]谢青.日本的个人信息保护法制及启示[J].政治与法律,2006:154-159.日本对国家机关也制定相应法律进行规制。如《行政机关保有利用处理的个人资料保护关系法》规定国家机关不可以滥用公权力；《个人信息保护法》中也对机关人员滥用职能的行为设定相应刑事责任。日本对个人信息保护方面也借鉴了美国行业自律模式，在行业中设置了隐私标志认证制度。4.4国外个人信息保护模式对我国的参考价值第一，设立专门的个人信息保护机构。通过设置专门的个人信息保护机构，用来研究个人信息保护问题，更便于快速了解个人信息保护的发展状况，并对现有的规定及时作出调整，以促进其发展。这方面可以向欧盟学习。第二，促进行业自律。内部治理很重要的一项内容就是行业自律，行业自律可以促进行业自身内部的良性循环，并改善行业发展环境。我国可以结合自身发展情况，出台相关政策，加大支持行业自律组织的构建。第三，加强对民众的普法教育和宣传。我国对个人信息保护发展起步晚，民众对个人信息保护意识较弱，而日本在处理“过剩效应”时的应对方案对我国有重要借鉴意义。我国《个人信息保护法》已经出台，但一部新的法律从开始制定到具体施行，从法条文字层面到再被民众普遍理解与接受，都需要对民众进行普法教育与宣传。五对我国个人信息保护的建议5.1明确《个人信息保护法》的定位《民法典》与《个人信息保护法》两部法律都含有个人信息保护方面的内容，通过比对，能发现两部法有相通的部分，但二者所调整的范围、保护的内容和义务主体都有所差异。若将《个人信息保护法》视为《民法典》的特别法缺少合理性。所以把握两部法律的关系至关重要，只有明确《个人信息保护法》的法律地位才能让其更加科学合理地实施，发挥效应。我国个人信息保护体系构建应以《个人信息保护法》为基础，当民事主体的权利因行为人违反了《个人信息保护法》规定时，《民法典》才可发挥作用，对民事责任追究、民事赔偿问题上进行衔接。应认为，《个人信息保护法》是个人信息保护体系的基础性法律。《民法典》现已出台实施，在法律适用上，笔者想从学理层面进行初步探索。当法律关系认定成信息处理关系时，一方当事人利益受损害时，可以将引至《民法典》侵权责任编中进行维权保护，行为是否违法依据是否违反《个人信息保护法》来判定。除此之外，还应将个人信息赋予权利化属性。《民法典》将个人信息与其他权利并列在一起，赋予其权利属性具有合理性。如今对《民法典》予以大范围调整难度较大，可将个人信息“权力化”，使其具有独立性。其意义在于，个人信息权既可以保证与《民法典》人格权部分协调一致，也可以使个人信息具备更加确定的权利利内容，以此来保证个人信息保护拥有更坚实的权利基础。5.2司法应运用场景化思维认定个人信息“场景”一词，源自美国尼森鲍姆教授的“情境脉络完整性”理论，是指首次收集个人信息时应尊重具体的语境，并且后续的传播和利用不得超过原本的情境脉络。[[]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(05):92-115.]“场景导向[]范为.大数据时代个人信息保护的路径重构[J].环球法律评论,2016,38(05):92-115.大数据时代背景下，个人信息的定义更加多样，不能仅靠“识别性”来判断的思维模式，通过引入具体场景中加以判断更具合理性。具体来看，在判断某类信息是否属于个人信息时需要进行场景化讨论，尤其针对“信息主体”进行特别考量。近几年电话诈骗的对象往往是“空巢老人”，诈骗团伙在不知道接听电话人是谁的情况下，但可以通过骗术就可以将老人的财物骗走。在这种情况下，对个人信息的判断仅把握“可识别性”有明显的局限性。对个人信息的判断上，应运用场景思维模式，重点研究信息主体者受到何种侵害上，而不是单纯的研究信息能否识别特定的主体。笔者认为，场景化思维是未来个人信息保护司法实践的必然趋势。在司法实践中，在处理个人信息保护案件时，应保持个案分析的精神，不可固化传统理论“识别性”的思维模式。通过具体问题具体分析的方法，更有利于个人信息保护和信息合理利用二者之间的平衡关系。5.3加大对信息处理者行为的管制第一点，合理读取个人信息。信息收集者在设置条款时，应保证收集信息的范围仅是功能需要，不能超过其范围，不应额外收集信息主体的信息。第二点，双方责任义务的“平等性”。隐私政策可以理解信息收集者与信息主体签署的的合同，双方的法律关系应当是平等的。信息处理者在隐私政策中不应设置有明显倾斜性的条款，这对信息主体极不公平。在《个人信息保护法》第六条规定信息处者在处理信息时应限于实现处理的最小范围，采取对个人权益影响最小的方式。[[]《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。]笔者认为，在《个人信息保护法》规定的基础上，还应考虑将隐私政策问题纳入考量范围，并制定相应的处罚政策。[]《个人信息保护法》第六条规定，处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。5.4完善个人信息保护配套措施设立专门的个人信息保护机构。设立专门的个人信息保护机构不仅能够监督《个人信息保护法》的实施与运行，还可以在全球大数据运行的背景下更好的参与各国之间的合作。根据《个人信息保护法》的相关规定，目前我国履行个人信息保护职能部门是国家网信部门和国务院的有关部门。因此，笔者就目前机构设置的情况来看，避免出现监管权利重叠的现象，应设置专门的个人信息保护机构，由其负责监督《个人信息保护法》的实施与推进。同时还可以赋予该机构进行个人信息数据的保护与利用研究的权利，并根据其调查和掌握的研究数据向相关部门提出意见和建议等，更有利于推动个人信息保护的进程。设立专门的机构，很重要的一点是一定要确保该部门履行职责的独立性与公正性。促进行业内部自律。我国可以学习美国与日本的经验。特别是在《个人信息保护法》刚刚发布的背景下，相关配套性措施还不完善，行业自律组织的重要性尤为突出。结论本文对我国当前个人信息保护法律制度进行研究，对大数据、个人信息等概念进行分析，并从不同法律角度下分析其内涵及价值属性，并在大数据背景下对个人信息进行研究。我国《民法典》与《个人信息保护法》已正式实施，在对个人信息保护问题的处理时，首先应明确《个人信息保护法》的定位，把握好两者法律关系至关重要。在大数据的背景下，个人信息保护法律制度的构建应以《个人信息保护法》为基石。在司法层面，司法也进行了很多有益探索与尝试，将“个人信息保护纠纷”设立成独立的案由。对个人信息的司法保护建立的良好的模式。当然我国在个人信息保护方面也面临着困境，《个人信息保护法》的法律地位模糊；司法实践中“可识别性”使用难；信息处理者行为缺乏相应规制和缺乏配套措施不完善等一系列问题。对此笔者认为，我国应积极学习国外优秀个人信息保护模式与经验，取长补短，对我具有重要意义。值得借鉴的，如欧盟建立了专门的个人信息保护研究机构；美国采用的行业内部自律模式；以及日本对民众的法制宣传教育，都很值得我国参考。针对我国当下面临的问题，笔者结合我国基本国情，以及对域外优秀的个人信息保护研究，提出以下几点建议：1.应明确《个人信息保护法》的定位。确定《个人信息保护法》的法律地位才能让其更加科学合理地实施，发挥效应。除此之外，笔者还认为，将个人信息赋予权利化属性。其意义在于，个人信息权既可以保证与《民法典》人格权部分协调一致，也可以使个人信息