李连同

摘要：大数据的广泛应用使得个人信息和数据泄露风险愈加凸显，擅自使用或者滥用公民个人信息的状况时有发生，论文介绍了大数据时代下个人信息安全保护现状，探讨通过明确个人信息范围及权利属性，明晰个人信息侵权的归责原则，完善损害赔偿制度等路径完善个人信息保护制度。

关键词：个人信息;立法保护;归责原则;损害赔偿

一、引言

根据中国互联网络信息中心发布报告显示，截至2019 年6 月，我国上网人数已经达到8.54 亿人， 99.1% 的网民用户使用手机上网，用户在网络上形成了大量涵盖个人基本信息、支付记录、信用信息、快递信息的数据。数据的共享存储给人们生活、学习、交际带来了极大便利的同时，但由于个人信息立法不够完善，个人信息保护意识薄弱，行业自律监管有效性较低，也给个人信息的安全及合法合规利用带来严峻的挑战。

二、我国个人信息权法律保护现状及问题

当前，我国有部分法律法规和部门规章对个人信息安全做了规定，但零散分布在多个法案之中。2015 年11 月施行的《刑法修正案（九）》第十七条中提出了侵犯公民个人信息罪，对情节严重的违法行为定罪量刑。2017 年6 月施行的《网络安全法》规定了“网络运营者对用户信息严格保密，建立健全用户信息保护制度”。我国，个人信息保护立法一直处在分散立法的状态。《民法典》第一百一十一条、第一百二十七条及第四编第六章（ 第一千零三十二至一千零三十九条） 的系列规定，在强化对公民隐私权和个人信息保护的同时，也对数据权属及与数据相关行为作出了一定规定，呼应了互联网时代的发展要求，也为我国数字经济的发展起到了规范和引领作用，这是立法领域的一大进步。但个人信息保护立法目前仍显散乱。其他诸如消费者权益保护法、国家情报法、测绘法、公共图书馆法等法律法规对个人信息保护、个人信息不得随意泄露也有描述，但没有一套系统的法律作出明确规定。司法实践中，个人信息主体通常只有在其个人信息遭到泄露、被不当使用后，才会发现其权利已经遭受侵犯。同时由于现有法律规范的不完善，很难有效地解决法律实践中的诸多问题。

三、個人信息权保护完善

1.明确个人信息范围及权利属性

虽然《民法典》确认了公民的个人信息受法律保护，但民法规定的个人信息范围是有限的，主要针对持有个人敏感信息的部门的信息处理行为，且法律调整的是收集个人信息的内容和手段，对信息主体是否有权在收集活动结束后进行确认或变更的规定较少，尚未形成对个人信息的全面法律保护。建议形成公民个人信息分级制度，对公民的信息进行分类，适用不同的保护尺度，对于公民生活影响较小的信息，可采用合法的方式进行综合分析，对于私密性极高的公民信息，法律应当给予严密的保护。对权利属性也没有作出界定。实践中，网络服务提供者具有强烈的收集、分析用户各类信息的利益诉求，以便通过经营活动获取经济利益。在大数据时代，网络用户的个人信息在具备人格属性的同时兼具财产属性，如同可以被估价的无形资产，关于确认个人信息财产属性的制度设计可以借鉴国外的相关立法，即在人格权的基础上确认信息主体对个人信息的使用、控制、收益等权利。同时，增强信息主体对其个人信息经济价值的认知和意识，不仅有助于对信息保护的事后救济，也有助于主体的行动自觉，进而不断改进其与企业或信息处理者的行为关系模式。

2.明确个人信息侵权的归责原则

由于目前没有相关法律对于个人信息侵权的归责原则进行规定，导致司法实践中法官在处理个人信息侵权案件的举证责任问题时，通常将个人信息侵权案件笼统地按照一般侵权责任纠纷的思路进行审理，举证责任的一般原则是“谁主张，谁举证”，即要求原告承担侵权责任全部构成要件的证明责任。但是，侵犯个人信息的方式很多，在个人信息侵权的情况中，侵权者往往是组织或机构，它们比信息主体具备更多的技术、人员和财务优势，在收集、处理和利用个人信息或者诉讼过程中，双方存在显著的地位差异，因此过错要件与因果关系对于原告而言证明难度无疑过大。从比较法的角度看，对于个人信息侵权所采取的归责原则主要有以下几种：第一种类型是采取过错推定原则，如欧盟GDPR 中规定，数据控制者、处理者应就其不存在过错承担证明责任。第二种类型是混合归责原则，例如在德国、冰岛以及我国台湾地区对于个人信息保护的相关立法中规定，对于包括黑客、网络服务提供者、网络用户实施侵权行为应根据其过错承担责任，而政府机构和其他特殊主体通常要承担无过错责任。笔者认为我国网络用户个人信息的侵权归责原则采用过错推定原则更合适，由于网络服务提供者收集用户信息的技术手段通常具备隐蔽性，基于技术水平的不对等性，将过错要件倒置由侵权方承担更能够体现实质正义。同时，确立过错推定原则有利于强化网络服务提供者的安全和责任意识，从而更好地保护网络用户的权益。

3.完善损害赔偿机制

损害赔偿属于保护个人信息的救济手段，也是公民实现其权利救济的终极目标。损害赔偿时可根据信息主体受到的损失数额进行赔偿，但仅包括直接损失，对于间接损失的赔偿则要根据个案进行分析。当难以确定信息主体具体损失数额时根据侵权人的获利情况进行赔偿。特别地，大数据、云计算等技术的应用不仅增加了信息流转的速度和复杂性，而且使信息收集的手段变得更加隐蔽。在大数据背景下，信息控制者与信息处理者能从侵权行为中获得巨大的财产利益，而基于信息的不对等情况，作为被侵害人的信息主体往往很难发现该侵权行为。同时，可以细分为精神损害赔偿和财产损害赔偿。多数国家和地区的法律规定，侵犯个人信息并造成精神损害后果的，自然人有权请求精神损失赔偿。此外，对于牟利性恶意侵犯个人信息的情况，从有效遏制和预防角度出发，可以借鉴国外个人信息保护的规定，引入惩罚性赔偿机制。

参考文献：

[1]大数据背景下个人信息立法保护的多视角研究，刘雪婷，邵阳学院学报社会科学版，2020年第5期.

[2]大数据时代的个人信息保护研究，刘晓颖，天津中德应用技术大学学报，2020年第5期.

[3]浅议大数据背景下个人信息保护，王中军 晁艳锋，技术应用，2020年8月.