1. 引言
随着《民法典》《数据安全法》《个人信息保护法》等法律法规的出台,我国个人信息保护领域的法律体系得到不断完善,个人信息保护已然成为大数据时代发展的一个重要命题。在数字科技高度发达的大数据时代,大型互联网平台利用超强人工智能技术关联、整合多元数据,使得个人信息全面数据化并成为社会的核心生产要素,在国家数字经济高速发展背后巨大的经济与商业价值大大降低了个人信息的安全风险。然而由于个人信息保护所处数字环境的错综复杂以及个人信息本身多元化的主体、利益、价值取向等因素的影响个人信息保护依旧面临许多现实困境。党的二十大报告指出,“高质量发展是全面建设社会主义现代化国家的首要任务” [1] 。数字经济是驱动产业高质量发展的关键力量,大数据时代“以法治手段完善数字治理、规范数字经济发展,是新时代高质量发展理念的内在要求” [2] 。由此,要想使个人信息保护的具体权利、义务等及时跟上瞬息万变数字科技,实现大数据时代个人信息的有效保护,通过立法、行政、司法三个方面对公民个人信息的合法权益进行保护就显得尤为重要。
2. 个人信息保护的现行规范依据
2.1. 个人信息保护的宪法规范
尽管我国《宪法》并未明确规定个人信息保护,但通过宪法解释可以在其中找到个人信息保护的相关宪法规范依据。此外,全国人大宪法和法律委员会在《个人信息保护法(草案)》的审议报告中同样对此予以了肯定,指出宪法规定国家尊重和保障人权,公民的人格尊严不受侵犯,公民的通信自由和通信秘密受法律保护,由此个人信息保护基本权利在宪法上的规范依据便得到了确认。实际上,在万物互联的大数据时代,公民的基本权利都有可能在信息的应用场景中与个人信息产生千丝万缕的联系,这也就使得个人信息保护的宪法规范得到了一定扩容。首先,“国家尊重和保障人权”作为宪法基本权利的一般条款,不仅是人权的实证化,更是对宪法主张但并未被列举的基本权利类型的拓展。其次,“人格尊严”是公民作为一个独立主体所具有的自尊心以及受到社会、他人最起码尊重的基本权利。大数据时代,个人数据经由个人信息识别分析打造出了个人数字人格,因此在大数据时代保护个人信息,实现个人信息的自主性和完整性准确关系着公民的人格尊严。另外,保护作为基本权利的“通信自由和通信秘”,应是个人信息处理的外部红线 [3] 。当前信息通信技术飞速发展带来了个人信息的各种泄露和滥用,保护个人信息的安全便也成为了此项基本权利的扩展。
2.2. 以《民法典》为代表的一般性法规
《民法典》作为民事领域的基础性法律,其诸多一般性法规将作为“兜底条款”对自然人的个人信息提供保护,有效保证信息主体个人信息权益的实现。首先,《民法典》总则第111条1作为个人信息民法保护的一般性法规将义务人对保护自然人个人信息所负有义务进行了规定,为个人信息的基本权利受到侵害的自然人维权提供了基本法律依据。其次,《民法典》第四编人格权编中的一些法规均可适用于个人信息保护,如第995条2人格权请求权、第997条3人格权禁令、第999条4人格权的合理使用等。就《民法典》第995条人格权请求权来说,当信息处理者行为侵害到信息主体的个人信息权益时,信息主体有权依照相关法律规定要求行为人承担民事责任。另外,在个人信息保护领域《民法典》第七编侵权责任编的诸多法规也同样适用。就过错推定原则来看,《个人信息保护法》第69条第1款5显然就是《民法典》第1165条第2款6在个人信息保护领域的具体适用。总之,由于个人信息与民事主体身份的直接关联,在大数据时代《民法典》中关于个人信息保护的相关法律对保障民事主体的个人信息权益至关重要。
2.3. 以《个人信息保护法》为基本规范
《个人信息保护法》是继《民法典》后我国个人信息保护领域的第一部专门法,它用体系化的方式全面规定了个人信息保护的各项制度规范,为个人信息保护实践提供了明确且可适用的基本法律依据。譬如《个人信息保护法》第四章就明确规定了自然人的各项合法权利,如第44条7知情权与决定权、第45条8查阅权与复制权、第46条9更正权与补充权等,而第五章则对个人信息处理者的义务进行了具体规定包括一般义务、合规审计、补充及通知等。除此之外《个人信息保护法》还在《民法典》的基础上新增了一些特殊的个人信息保护措施,如第50条10的多元化救济机制以及第69条11的侵害个人信息的过错推定责任等,为自然人的个人信息维权提供了一定的法律支撑,进一步提高了我国个人信息的保护力度。然而,在互联网科技迅猛发展的大数据时代,个人信息保护依旧面临着诸多困境。
3. 大数据时代个人信息保护的现实困境
3.1. 个人信息概念界定模糊
我国个人信息采用概括与列举相结合的方式,在“识别说”的基础上又加上了“关联说”的界定标准总体上覆盖了我国个人信息的应用场景。目前,《网络安全法》《民法典》《个人信息保护法》三部法律均对个人信息进行了界定,《网络安全法》中的个人信息不仅指列举出来的个人信息种类还包括未列举的其他信息,《民法典》指出个人信息的适用范围不包括个人隐私信息,《个人信息保护法》则将匿名化的信息直接排除在外。足以可见,我国个人信息的概念与保护范围并不统一,这也将直接导致在不同法律规范体系下不同法律保护方式和机理的偏差。另外,由于相关法规中模糊的措辞,在具体场景中,个人信息处理活动往往面临多主体参与、多媒介传输,多场景覆盖的影响,个人信息处理方式、技术与目的大相径庭 [4] 。然而由于个人信息的应用场景不同,个人信息的存在形式、使用方式以及其行为性质都极有可能发生变化,从而导致信息主体难以依据模糊的个人信息厘清其本应拥有的合法权益,反而助长了无良信息处理者嚣张的气焰,扩张了其可处理的信息范围,在一定程度上增加了个人信息的泄露风险。
3.2. 个人信息主体权利实现困难
大数据时代信息主体的个人信息保护存在诸多潜在风险,为保障公民切实行使其个人信息合法权益的权利,法律规定个人信息主体享有一系列法定权利,包括知情权、决定权、查阅权等,然而信息主体将其在法律上规定享有的法定权利在实践中进行正确行使的环节却出现了一些问题。譬如可携带权的实现,《个人信息保护法》第45条明确规定信息主体有权请求转移“个人信息”。然而这也将信息主体可转移的范围直接限定在了法律所规定的“个人信息”范围之内,使得可转移数据的判断核心仍然存在多种判断标准。由此,将直接导致信息主体对其可携带权能转移数据范围的模糊不清,从而导致其合法权利的实现困难。另外,删除权的实现也存在一定难度,《个人信息保护法》第47条12规定信息主体享有删除权,但信息处理者是否切实履行其相应义务,删除信息主体所要求的内容却难以得到保证,当前我国个人信息保护领域仍旧缺少一个客观的核实标准和检验程序确保部分个人信息主体权利的实现。
3.3. 个人信息侵权救济不易
尽管我国已颁布个人信息保护的专门法律,并形成了由法律、法规、规章等组成的多层次、多领域的个人信息保护法律体系,但是个人信息的侵权救济依旧不易。一方面是个人信息侵权中过错责任原则适用的有限性。鉴于《民法典》与《个人信息保护法》普通法与特别法的关系,根据相关法律规定,当《个人信息保护法》有具体规定时个人信息侵权应适用过错推定原则,反之则应适用《民法典》的一般过错责任原则。然而在适用过错推定责任原则时,由于信息主体与信息处理者之间的信息差,信息主体将难以举证。适用一般过错责任原则时,由于对信息处理主体不加区分地适用,又可能会导致部分信息主体过重的负担。总之,不管适用哪个原则,一刀切的归责原则都过于僵化。另一方面则是个人信息侵权损害认定范围的狭窄。侵权责任的首要功能就在于填补损害,从损害的判定方法看,差额说和组织说争论已久,目前以差额说为主流学说,其主张对比个人信息侵权发生前后,受害人财产状况与假设侵权尚未发生时存在的利益状态(减数)差额 [5] 。然而个人信息侵权案件中不仅存在财产损害,还存在许多如信息泄露、信息丢失、身份盗用等难以通过具象差额的方式予以认定的新型损害形式,损害判定依旧艰难。
3.4. 个人信息存在监管漏洞
目前,我国个人信息的保护依旧存在监管缺位的问题,这是当前亟待解决的现实问题。我国并未将个人信息的保护和监管工作明确规定给某一部门,而是处于多头分散的监管模式,中共中央网络安全和信息化委员会办公室、公安部门、工信部门等多个有关行业主管部门共同协调。虽然在一定程度上这种跨领域、跨部门、跨职能的监管模式能使不同行业的部门各尽所长加大个人信息的监督力度,但也极易使得各部门由于难以沟通协调而对个人信息保护问题的认知、对法律规范的理解和适用产生偏差,导致我国个人信息保护工作难以平稳运行。在大数据时代,个人信息保护的问题不仅纵横交错还带有极强的技术性,需要各部门之间有效的沟通来协调整体的监管工作。同时,由于不同行业不同的场景特点个人信息的保护工作还可能导致管理规范难以兼容具体场景的情况。另外,由于大数据时代数据采集、运算等技术的提升个人信息的收集、储存和利用变得愈加方便,原本不具备数据处理能力的人也可以进行数据采集行为,个人信息泄露形式、途径愈加丰富,各个监管部门难免无法监管到位。
4. 大数据时代深化个人信息保护的对策建议
4.1. 立法:完善个人信息保护法律法规
结合当前我国个人信息保护面临的突出问题,根据实际情况及时制定个人信息保护法律法规有利于提升我国个人信息保护执行力,具体可以从以下几方面思考:一是分场景界定个人信息,充分考虑到具体的场景特点以及处理者对个人信息采取的不同技术手段与处理方式并在法律法规中予以规定,以形成既能体现场景特点又能促进个人信息准确判定、保障个人信息权益的个人信息概念。二是细化国家机关处理个人信息活动的专门法条,统一规定国家机关在处理个人信息活动时的权力基础、行为目的、归责机制等多方具体内容,同时进一步明确信息主体、信息处理者、信息监管部门各方的权利边界,以防止各方对权利模糊边界责任的推诿及权利的滥用。三是加大对个人信息侵权行为的处罚力度,为适应大数据时代大数据挖掘等新兴技术对个人信息安全的影响,在现有法律规范的基础上重新梳理关于个人信息安全的强制标准以及推荐性标准内容作为信息行业明确的监管要求,并重新修订个人信息侵权违法行为的惩处规定,提高违法者的违法成本,从法律层面更好地起到威慑违法者的作用,从而引导信息行业稳健发展。
4.2. 行政:加强个人信息保护综合监管
针对当前个人信息保护工作多头监管与监管不足的问题,我国有必要从多个方面进一步完善行政监管。第一,设立统一的独立监管机构。鉴于我国个人信息保护“九龙治水”的局面,为更好地发挥政府监管在个人信息保护中的作用,有必要在条件成熟时设立独立的监管机构来统一负责《个人信息保护法》及相关法律法规的实施和执行来解决多头监管的种种弊端。这既是国家通过组织运作保障个人信息权的重要体现也有利于促进统一监管和部门协调的实现 [6] 。第二,强化监管科技。针对当前个人信息监管不足的问题,必须着眼于监管机构自身监管技术的提升,通过升级大数据与人工智能算法技术将传统监管方式与科技监管进行深度融合,准确识别、捕捉信息处理者处理活动的违规操作,提升其监管水平与能力。第三,建立个人信息保护的第三方认证机制。面对日新月异的新兴技术带来的挑战单纯依靠国家行政机关的监管显然并不能有效保障个人信息的安全流通,因此可以建立一个独立于互联网各企业、政府并具有高度专业性的第三方认证机制,依据客观公正的核实标准和程序检验信息处理者是否履行其相应的义务,并通过第三方机构客观评定互联网企业数据处理行为的安全性 [7] ,与政府、互联网企业、网络用户等多方主体协同合作共同保障个人信息安全,帮助信息主体切实实现自身主体权利,实现个人信息保护工作的全覆盖监管。
4.3. 司法:健全个人信息保护司法救济
要想切实摆脱个人信息保护所面临的权利救济困境还需在司法上下功夫。首先采用以过错推定原则为主要原则,无过错责任原则为补充适用的二元归责原则。在适用过错推定原则最大程度降低受害人对个人信息受侵害举证难度的同时,利用无过错责任原则尽量消除“过错要件”证明证据困境,矫正自动化技术信息处理者的绝对优势地位,消除弥补举证双方的信息差和诉讼优劣地位。其次,鉴于当前传统的损害认定方式已难以识别大数据时代下个人信息损害形式的各种变形,还需采用更弹性的动态损害认定方式,在认定行为人承担侵权责任时将个人信息的私密程度作为损害评价要素之一考虑在内,并牢牢把握要素间的顺位及联动关系,推进损害评价要素的多元化与层次性。另外,在司法实践中充分发挥司法案例在同类案件的指导作用。在信息技术快速更新迭代的大数据时代,立法与监管的更新速度难免无法针对纷繁复杂的个人信息侵权行为做出及时的应对。由此,当个人信息保护司法救济的一些场景出现法律法规不完善或者适用困难的问题时,法官可以在类比推理的基础上参考同类型“指导性”案例中法律所赋予的规则来维护受害人个人信息保护的合法权益,从而使个人信息保护领域“指导性”案例的指导作用得到充分发挥。
5. 结语
“法与时转则治,治与世宜则有功”,在数字科技不断发展的大数据时代,深化个人信息保护工作有效保护公民的个人信息合法权益是实现我国高质量发展的重要手段。面对当前我国个人信息保护领域的种种现实困境,我国应当坚持立法、行政、司法三管齐下,通过完善个人信息保护法律规范体系,加强个人信息保护的综合监管,健全个人信息保护的司法救济等实践科学合理地保障公民个人信息合法权益。唯其如此,才能为个人信息保护提供更强有力的法律支撑,维护好每个公民在大数据时代的尊严与自由。
NOTES
1《民法典》第111条:自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。
2《民法典》第995条:人格权受到侵害的,受害人有权依照本法和其他法律的规定请求行为人承担民事责任。受害人的停止侵害、排除妨碍、消除危险、消除影响、恢复名誉、赔礼道歉请求权,不适用诉讼时效的规定。
3《民法典》第997条:民事主体有证据证明行为人正在实施或者即将实施侵害其人格权的违法行为,不及时制止将使其合法权益受到难以弥补的损害的,有权依法向人民法院申请采取责令行为人停止有关行为的措施。
4《民法典》第999条:为公共利益实施新闻报道、舆论监督等行为的,可以合理使用民事主体的姓名、名称、肖像、个人信息等;使用不合理侵害民事主体人格权的,应当依法承担民事责任。
5《个人信息保护法》第69条第1款:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
6《民法典》第1165条第2款:依照法律规定推定行为人有过错,其不能证明自己没有过错的,应当承担侵权责任。
7《个人信息保护法》第44条:个人对其个人信息的处理享有知情权、决定权,有权限制或者拒绝他人对其个人信息进行处理;法律、行政法规另有规定的除外。
8《个人信息保护法》第45条:个人有权向个人信息处理者查阅、复制其个人信息;有本法第十八条第一款、第三十五条规定情形的除外。
9《个人信息保护法》第46条:个人发现其个人信息不准确或者不完整的,有权请求个人信息处理者更正、补充。
10《个人信息保护法》第50条:个人信息处理者应当建立便捷的个人行使权利的申请受理和处理机制。
11《个人信息保护法》第69条:处理个人信息侵害个人信息权益造成损害,个人信息处理者不能证明自己没有过错的,应当承担损害赔偿等侵权责任。
12《个人信息保护法》第47条:有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一) 处理目的已实现、无法实现或者为实现处理目的不再必要;(二) 个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三) 个人撤回同意;(四) 个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五) 法律、行政法规规定的其他情形。