□文/张少峰

（安徽农业大学 安徽·合肥）

［提要］ 随着大数据时代的来临，个人信息安全问题引起社会的热议。为此，以现行法律规定为指引，提出建立健全个人信息保护法律、建立个人信息预警机制和建立严厉的追责机制等解决对策，为我国个人信息保护提供思路。

一、问题的引出

据新华网报道，2020 年2 月7 日，在新冠肺炎疫情期间，薛某某以填写个人信息，预约领取口罩为名，非法获取公民个人姓名、联系方式、身份证号码和家庭住址等个人信息，据警方查明，仅一天之内就有多达4，700 名公民上当受骗，这也成为了江苏省首例利用疫情侵犯公民个人信息案，此案报道一出，引发了社会各界对疫情期间个人信息安全的担忧。

2020 年2 月9 日，中共中央网络和信息安全办公室发布《关于做好个人信息保护利用大数据支撑联防联控工作的通知》，明确了疫情期间各相关主体对个人信息的收集保护工作，并从信息收集、收集原则、个人信息的使用、信息安全的保护、收集主体范围以及法律责任等六个方面做出了简短的规定。由此可见，我国相关部门也高度重视个人信息的保护，尤其是疫情这个特殊的背景下仍有不法分子借此“机会”，面对利益诱惑，甘愿冒着法律风险隐隐欲动。学术界中，对个人信息权的保护理论向来是学者关注的焦点。在信息高速发展的时代，个人信息已经成为企业在资本市场竞争的潜在要素，从实践来看，对个人信息的控制与防护还存在着一定的距离。个人无法按照自己的意志控制数据信息的产生、存储、转移和利用。因此，有必要对个人信息保护制定相关的规范机制。

二、个人信息的权利属性

随着信息化时代的发展，越来越多新型化的信息开始出现，个人信息的内涵和外延呈现扩张的趋势。

（一）个人信息的人身权属性。个人信息的概念或者法律属性会相应地有所不同，个人信息保护传统的基础理论也会有所撼动。明确个人信息的法律属性是解决侵犯个人信息问题的首要任务，只有先准确定位个人信息属于何种法律属性，才能制定对应的保护措施。学术界对此一直存在争议，王利明认为个人信息与隐私权在权利内容、权利边界等方面存在一定交叉；张里安将个人信息视为独立的人格权；也有学者主张隐私说，该学说借鉴了美国、日本国家的个人信息权的规定，认为个人信息权存在于隐私权中；还有一些学者认为个人信息权是潜在的肖像权。德国立法者基于《欧洲人权公约》将个人信息权归属于一般人格权，主要表现为信息自决权；美国将个人信息权纳入到其发达的隐私权范畴，认为个人信息权是个人自由的延伸；而我国《宪法》第三十八、三十九、四十条规定了公民的人格尊严权、住宅权以及通信自由和通信秘密权，这三个权利规定在公民的基本权利一章，一般被认为是我国个人信息权的宪法保护基础。

（二）个人信息的财产权属性。随着网络的广泛普及，收集、使用、出售个人信息也成为一种新兴的行业，个人信息也呈现出商品化的趋势，因此其属性也不只是传统的精神价值，还包含了财产价值，有学者将个人信息权定性为财产化的人格权，也有学者将其定性为人格化的财产权，无论怎样定性，其都无可非议的认可了个人信息的财产权属性。个人信息权的财产属性主要体现以下四个方面：第一，个人信息具有商品化的使用价值和价值，这种使用价值是间接体现出来的，通过大数据的分析、加工、处理、共享转化而来的经济价值；第二，个人信息具有稀缺性，单独的个人信息不具稀缺性，而是以庞大容量的个人信息库的处理的稀缺性，在信息爆炸的时代掌握个人信息控制权对市场需求具有重要影响；第三，个人信息的形态主要是无体物，是一种无形的财产，具有价值利益；第四，个人信息具有可控性、专属性、支配性，能够在市场买卖。通过上述分析，个人信息符合民法上一般财产权的特征，具有财产权的属性。

三、个人信息保护存在的具体问题

由于个人信息保护法尚未出台，个人信息保护只能依据零散的有关个人信息保护的部门法的规定，存在的现实问题也越来越突出，主要是个人信息收集不规范、用户个人信息保护意识薄弱以及侵害个人信息救济存在难题。

（一）个人信息收集不规范。个人信息收集不规范是大数据时代下的个人信息保护突出的问题。常见的问题主要有以下几个方面：首先，强制索取用户个人信息。收集个人信息未经用户同意，强制读取用户的通讯录、个人照片以及视频等较为私密信息，收集个人浏览记录，给用户画像，向其精准推荐广告，以达到营销的目的。其次，收集信息的内容不合理是收集不规范的一个重要表现。一些信息收集者存在过度收集与自身业务无关的用户信息，例如求职招聘的平台要求获取个人的行踪信息、新闻资讯平台要求获取用户的身份证号码、婚恋相亲平台要求获取个人银行卡信息等，远远超出了个人业务所需，难免不让人怀疑其中的用途。最后，存在不同意收集就不许使用的“霸王条款”。一些用户为了方便被迫同意其获取个人信息，这本身就不是出于用户内心的真实意愿。

（二）用户个人信息保护意识薄弱。百度CEO 李彦宏曾表示：“中国用户很多时候愿意用隐私来换取便捷的服务。”可见，公民对自我个人信息保护的意识并不够。信息收集者通过一些“小恩小惠”就毫不费力地骗取用户的个人信息。个人信息作为无形的财产，一般情况下，公民对此相关的知识了解不够，个人信息收集的主体鱼龙混杂，真假难辨，往往容易受到不法分子的哄骗，由于前期未做好相关防护，只有在出现损害结果时，才引起本人的注意，比如前文所述，薛某某发布填写个人信息就可以领取口罩的诈骗信息，引起公众的恐慌。

（三）侵害个人信息救济存在难题。个人信息的防护常常处于被动状态，本人将个人信息无偿给予信息收集者，个人是否需要考虑信息收集者的保密力度？一旦个人信息脱离本人，就增加了不确定性的因素，其保护方式也由主动保护转向被动保护，从个人支配转向私人共享。在大数据时代下，面对利益的诱惑，即使个人信息完全掌握在本人自己的手中，也难以防止不被泄露的风险，因此在大数据时代的信息收集者大量收集、使用、储存的个人信息，其防护不被泄露难免让人产生不安。信息收集者的保护不利导致个人信息泄露，公民是否具有寻求救济的权利？救济方式有哪些？侵犯个人信息权的赔偿方式有哪些？我国的个人信息权的属性目前尚未明确，个人信息的救济方式法律规定也相对宽泛，个人信息泄露责任的承担也成为了目前的难题之一。

四、多管齐下，多维度遏制侵犯个人信息安全的行为

个人信息权属于公民的私人权利，收集个人信息应严格遵循合理、必要、正当原则，选择效益最高，损害最小的行为方式，既能起到服务用户的积极作用，也不会损害个人利益，最终达到收益大于成本的效果。

（一）建立健全个人信息保护法律。随着大数据和云计算的发展，个人信息权保护越发凸显重要，其诉求也更加强烈，应当加快个人信息安全保护的立法，以此衔接《民法典》《网络安全法》等相关法律的不足，尽快将个人信息管理纳入法治的轨道。

1、规范收集内容。采集个人信息应遵循最小化原则。对个人信息进行层级划分，以个人身份和隐私信息为划分标准，构建一般个人信息和特别个人信息尤为重要，将个人信息分为一般个人信息和特别个人信息，一般个人信息仅限为个人的基本信息，而特殊个人信息为能够识别个人身份，泄露将危害个人人身和财产安全的信息。对于特殊个人信息必须明示提醒用户，用户“同意+授权”的方式才能获取。另外，收集个人信息不能超过业务范围的需要。

2、规范收集目的。采集个人信息应遵循目的准则和比例原则。收集个人信息只能为了服务用户的需要，不能为个人私利，个人将个人信息提供给有关机构并不代表给其放弃对个人信息的独占权，有关机构获取的仅仅是个人信息的数据使用、处理，其权利本身还属于本人，所以个人信息如何使用、怎样使用、能否二次分享以及披露公开个人信息都应当得到本人同意，保障本人的知情权。《民法典》第一千零三十五条明确规定了收集和使用个人信息最小化原则，同时又规定了用户同意原则。《网络安全法》第四十一条也明确规定收集者要保障被收集者的知情权。上述规定，为我们保护个人信息的方向做出了指引。

3、保障个人信息权：删除权、自决权、更正权。采集个人信息应遵循权利保障原则。前文已经论述个人信息权属于权利人本人，不属于信息收集者，因此个人信息权的分化要素也必须得到保障，个人信息的删除权是指在大数据时代公民个人有删除登记的个人信息的权利，从而减少个人信息在疫情结束后的泄露风险；自决权是指个人对个人信息的绝对支配权，控制个人信息的主体，将个人信息做任何处理都要经过个人的许可；更正权，又叫修改权，顾名思义，就是指保障个人有修正或补充已收集到的本人信息的权利。有必要将个人信息泄露责任分担到数据使用者，通过对控制者、处理者的惩罚来实现个人信息安全。

（二）建立个人信息预警机制

1、对个人信息加密保护。信息收集者必须设计合理的预警机制，对个人信息安全事件做出合理的应急预案，做到事前防范，避免个人信息泄露的危险。有关机构一旦收取个人信息，就产生了保护收集的个人信息不被泄露的法律责任，个人信息经过收集、利用过程，接下来是对个人信息存储过程，根据媒体报道，个人信息泄露原因，一方面是信息收集者对个人信息储存的过程中失控；另一方面是本人自我信息保护意识不足，对于后面的行为有待公民自我学习以及社会教育，前述行为是疫情期间个人信息泄露的最主要的原因。个人信息的加密保护系统就运营而生，对疫情下收集的个人信息经过脱敏技术的处理，修筑高墙，分类处理，做到事前防范，事后预警，更好地保护个人信息安全，维护社会和公民个人利益。

2、提高用户个人信息保护意识。首先，加强公民的网络安全教育，利用网络安全日，普及网络安全知识，提升公民的个人信息保护技能；其次，利用社交媒体大力宣传个人信息保护教育，利用大量的侵犯公民的个人信息案例进行警示教育，让公民知道泄露个人信息的后果的严重性；再次，各级政府网络信息安全监管部门要切实承担起责任，制定细化的、可操作性的个人信息安全保护措施，把提高用户个人信息保护意识纳入年度工作的考核内容，引起自身的高度重视；最后，相关技术人员开发软件要具备较高的职业道德，充分尊重用户的个人信息权。

（三）建立严厉的追责机制

1、我国目前法律规定的侵犯个人信息法律救济体系。民法保护上，我国《民法典》第一百一十一条和第一千一百九十四条规定了侵害个人信息权利法律责任；行政法保护上，《网络安全法》第44、45 条，规定了网络侵犯个人信息的法律责任，《治安管理处罚法》第42 条规定侵犯个人隐私情节严重可处五日以上十日以下拘留，《传染病防治法》第58 条规定了卫生行政部门履责不力的追究法律责任；刑法保护上，我国《刑法》第253 条规定了侵犯公民个人信息罪，后又在《刑法》修正案九中加入单位和主管人员的法律责任。相关部门要严格执法，对于侵犯个人信息的行为严厉惩处。

2、事后追责制度的构建。个人信息安全的保护最重要的是建立公开透明的事后追责机制，并严格按照这个机制实施，切断违法的意图，没有这个作为前提，所有的措施都将成为空架。第一，建立事后追责的首要任务，就是保障群众的监督权，畅通举报渠道，让全民共同参与进来，做到及早发现，迅速防治；第二，建立终身追责机制，收集个人信息的主体承担个人信息的保护，其用途必须合乎规范，若是信息收集者保护不利，将承担终身法律责任。

五、结语

过度的收集个人信息，可能对个人信息安全产生危害，而过度的强调保护个人信息，将对用户服务产生不利的影响，因此合理平衡二者之间关系尤为重要。充分发挥民法、行政法、刑法多元保护的基础上，规范保护个人信息的措施，从收集、储存、保管、利用环节入手，做到事前预防，事中控制，事后追责，弥补个人信息法律的缺失，为个人信息保护提供保障。