北京联合大学 康馨月

一、大数据时代下，我国对个人信息的立法保护现状

（一）我国个人信息保护的民事立法现状

数据平台迅猛发展的同时也为个人信息保护带来挑战。凭借互联网和海量数据的职称撑，数据平台、应用软件等为工作和生活带来便利的同时也暴露了个人信息易泄漏或非法利用等严峻问题。在民事立法未确立个人信息保护前，是借以个人隐私和名誉荣誉的保护来对其进行保障，如在民法通则时代依托对公民姓名权、肖像权或是名誉权等对涉及个人信息的部分予以保护，但其保护力度不够、范围过窄的问题难以解决。因此，立足于我国的现实国情，并辅以域外个人信息保护的借鉴，我国于2017年颁布施行的《民法总则》首次将自然人的个人信息在民事立法层面予以明确；于第111条确立的个人信息保护的基本规则，采用立法的方式增加了我国对个人信息的保护力度和范围。虽然仅做了粗略笼统的规定，但突出了个人信息民法保护的重要地位。而后独立成编的人格权也对个人信息保护做出相应规定，其中，第1034条明确个人信息的概念范畴；第1035条规定个人信息处理的基本原则和条件；以及第1036条、第1037条和第1038条分别对免责事由、信息主体的权利以及信息处理者的义务作出规定；第1039条则明确了国家机关应承担的行政监管职能和保密义务。对个人信息权益保护作出较为全面的规定，并对实践中暴露的个人信息泄漏、滥用等问题进行了回应。此外，《民法典侵权责任编》中网络侵权责任和医疗损害责任也有关于个人信息保护的相应规定。为个人信息权益的保护在民事立法领域构建了相应规范体系，更好地保障了公民的个人信息权益。

（二）我国个人信息保护的其他立法现状

首先，我国于2012年12月28日颁布实施了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，拉开了我国对个人信息保护的序幕，该决定主要针对网络服务提供者对公民个人信息保护的义务。此后，我国对个人信息权益的保护一直在完善，于2013年修改后的《消费者权益保护法》加强了对消费者个人信息的保护，规定经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄露、出售或者非法向他人提供；确保消费者在购物中的个人信息安全，促进市场经济良性发展。2019年1月1日《电子商务法》也强调了有关主管部门应对电商经营者们提供的个人信息履行保密职责。备受瞩目的《数据安全法》于2021年9月1日施行的，明确了数据主管部门的职责和保障义务。

其次，个人信息权益的保障刑事立法领域也存在相应规定。现行《刑法》中第253条对侵犯公民个人信息罪进行了相关的规定，明确指出对于违法情节严重者需要对违法者加以处罚，对于履职过程中侵害个人信息行为严重的工作人员从重处罚，并对单位犯罪的处罚方式也进行了相应的规定。

最后，于2021年8月，全国人民代表大会常务委员会表决通过的《中华人民共和国个人信息保护法》于2021年11月1日起正式施行。该法的出台是在借鉴了其他法律中相应的规定，并以《民法典》中个人权益保护为基础和依据，是我国第一部法律层面的个人信息保护的专项立法。其对公民在处理个人信息活动中的权利、个人信息处理者的义务等诸多方面作出了全面规定，为开展我国个人信息保护和监督管理工作提供了坚实有力的法律保障。

大数据时代，个人信息保护的重要性显而易见，我国立法领域通过不断完善发展构建个人信息保护的规范体系，使人们在大数据带来便利享受的同时也能避免自己暴露于互联网的窥探下。

二、大数据时代下，个人信息权益保护的重要性

（一）有助于保护公民的人身和财产安全

大数据技术的广泛应用和发展使人们的生活与网络数据密不可分，同时也打破了传统的消费模式。各色行业大量的应用软件或平台等都是借助大数据中的海量信息分析预测受众群体的喜好，以此改进自己的产品及服务，更精准把握信息市场的需求并更精准地投放产品。

这既凸显个人信息的独特价值，也使信息主体的个人信息权益陷入风险中。个人信息迅速化流通给信息主体的人身和财产安全带来巨大冲击，导致个人生活轨迹被动透明化。如网购热潮下诸多购物平台均利用数据分析测算精准地推送符合个人喜好的产品，使众多消费者有被“监听监视”的感觉；又如航空公司、银行等需要收集客户信息的行业，其信息泄漏事件的频发使公民对个人隐私和财产安全陷入了担忧。“徐玉玉案”的悲剧就是由于个人信息泄漏导致的。因此，个人信息的诸多价值需要立法予以确认和保护，并通过救济途径来维护公民人身和财产安全。对个人信息权益予以立法保护不仅能维持稳定的社会公共秩序，更重要的是能保障公民的合法权益。

（二）有助于抑制个人信息泄露

当今社会中，电话诈骗、网络平台诈骗现象高发，究其背后原因大多是由于个人信息泄漏导致，所以个人信息保护保护问题亟待解决。例如，申某因在某购票平台帮朋友购票，后被冒充航空公司发送的取消航班短信通知等一系列要求而被骗12万余元。个人信息泄漏导致的社会问题使人们对个人信息的安全越来越重视。但由于对个人信息非法收集、处理、使用等侵权手段越来越多样化，一些公司或企业充分借助先进科技和数据应用，将公众的个人信息通过非法渠道进行买卖、交换，导致个人信息的泄露情况不断恶化，给信息主体合法权益造成无法估量的后果，使得个人信息安全无法获得有效保障，也使受害者们陷入一定程度上的恐慌。因此，一方面需对公民个人信息提供全面法律保障，完善个人信息法律保护体系；另一方面要强化公众对个人信息保护的安全意识，有效遏制个人信息的泄露，更有力地防范伴随互联网信息的发展所充斥的信息安全隐患。

（三）有助于打击个人信息犯罪

随着信息数量的激增和应用技术的迅猛发展，有些人获取个体更重要、更敏感信息的方式变得越来越容易。受到经济利益和商业价值驱使，一组人利用黑客技术非法盗取个人信息导致犯罪。在我国刑法方面，受罪刑法定原则的约束和刑法发挥的补充性的功能，只有当某主体的行为严重侵害了公民的个人信息并触犯刑法时，刑法才会发挥作用，而传统的刑法保护范围有限，一般侵害行为无法受到刑罚处罚。行政法领域内，由于行政机关的执法主动性、程序复杂性、涉及的行政主体的范围受限，使得侵权问题很难获得及时的制止和救济。因此通过民法加以保护上更为适宜，民法针对的是平等主体之间的人身和财产利益的调整，而个人信息权益的保护具备人身和财产的双重属性，以民事立法保障是符合时宜的。在个人信息民法保护范围之内，应拓宽调解、协商等多元的纠纷解决方式，提高解决纠纷的效率，降低维权成本，弥补受害方的损失，遏制由于个人信息泄漏引起的侵犯公民个人信息的犯罪行为。

三、大数据时代下，个人信息保护存在的问题

（一）个人信息传统“告知同意”保护模式的失效

大数据时代下，公民信息的大量流动和迅速传播，使利用数据技术收集个人信息的主体范围扩大，如若不法分子利用系统漏洞或是职务便利非法收集使用公民的个人信息，我国公民的个人信息权益将会遭受难以弥补的损失。因此在互联网发展的背景下，依托传统的“告知即同意”规则的保护无法满足现代化进程下个人信息保护的需要。如果无法对“告知即同意”的范围加以明确，可能会造成因条款涉及的过分详细而牵扯挖掘个人信息的情形；又或是过于笼统无法实现对个人信息权益保护的情形。例如，大多数网站在注册使用前都会有“隐私协议、隐私声明”等表述，但无论是哪种表述其条款内容总是过于繁杂而不易被用户所理解，其设置也是为了能够满足行业标准的规定，实际可操作性不强。

其次，网络经营商承担的义务和消费者的知情权权利不对等。根据告知即同意的规则，使用者应是在清楚知晓内容的情况下自愿对隐私条款做出合法有效的同意。但就目前情况来看，尽管网络运营者自觉履行了告知义务，但对使用者知情权的说明却十分匮乏，使用者的合法权益是否已经获得保障并不是运营者考虑的范围。因此应明确其履行告知义务并非免除其对个人信息保护的责任。最后，在信息数据时代下，用户获得更优质的服务和更好性能的产品，是建立在同意网络经营商规定的隐私保护协议之上的。更有甚者表明如若用户不同意协议则无法继续享有或使用相应的服务，这些情形均使得告知及同意条款无法发挥对个人信息权益保护的作用。

（二）个人信息的侵权归责原则不合理

数据时代下，个人信息的泄漏使得侵害个人信息的案件频发，但在司法实践中，个人信息主体被侵权后，却往往由于维权费用较多、难度较大，而不愿拿起“法律武器”或者不相信使用“法律武器”能有效地保障自己的合法权益。

因此，尽管我国不断完善建立对于个人信息保护的规范体系，但是在侵权行为发生时却无法利用法律途径维护自己的合法权益。现行《民法典侵权责任编》并没有对于个人信息保护做特殊规定，对公民个人信息权益的侵权纠纷适用一般侵权责任的规定，即过错责任归责原则。过错责任原则下，被侵害的信息主体承担了主要的举证证明责任。但由于应用软件、数据平台等对个人信息的收集、处理和使用呈现出隐蔽化趋势，侵权手段、地点以及侵权主体的模糊性使被侵权人无法及时察觉合法权益受到侵害。被侵害方只能在侵害结果产生后才能主张司法救济。而事后救济又受限于举证责任的分配，能被侵权人证明对方严重侵害自己的合法权益造成很大的困难，同时相关证据更是无法获得，从而增加了司法救助的成本。

（三）个人信息保护的监管力度不够

《民法典》以及其他法律法规并未对个人信息保护的监管机构作出明确规定。对于个人信息权益保护的监管机构的职责规定分散在各个法律法规中。例如，《消费者权益保护法》规定了国家市场监督管理部门与相关行政部门有权惩治对消费者个人信息的侵犯行为，同时第56条又增加了补充性条款，即其他法律法规有相关惩处规定的由其他法律法规所规定的部门对其进行监管，这表明不同行业应当要求该行业的监管部门落实对其行业内消费者个人信息保护工作，如《邮政法》第76条、《网络安全法》第64条的规定。

然而在司法实践中，由于对个人信息权益侵害的隐蔽性和侵害手段的专业性，使得监管部门无法及时发现侵犯个人信息权益的行为，对违法行为不能及时惩治。近年来，我国立法领域不断侧重完善对个人信息的保护，而忽视了对个人信息收集行业的监管力度，主要是强调事后的救济，忽视了事前的监管，导致行业买卖个人信息乱象丛生、个人信息泄漏问题严峻。所以要进一步强化对个人信息保护的监管力度，从根本上杜绝个人信息泄漏的问题。

四、大数据时代下，对个人信息权益保护的完善建议

（一）完善“告知同意”规则

告知同意规则是个人信息法律保障体系的核心之一，是处理者实施个人信息处理行为所必须遵循的准则，是保障信息处理合法性的必要前提。首先，要确保信息主体所表达的同意是建立在处理者合理有效的告知，并对信息处理的场景等条件清楚明了的基础之上。对于同意的判断标准也不是一成不变的，应根据个人信息的内容，对信息处理的场景等进行动态的调整。在具体实践中，还可以采用目的限制原则，除法律明确列出的特殊情况之外，凡与处理者事先告知的处理目的存在冲突的行为均可视为侵权。如果确有必要实施与实现告知目的不符的处理行为，则需处理者向信息主体重新进行告知，待信息主体表示同意后方可实施。其次，赋予信息主体及处理者对其主张的撤销权。即当实践情况发生变动时，信息主体有权撤销同意，并通知处理者即时终止信息处理，并对其所提供的信息进行销毁，而信息处理者也有权撤销其告知，但如果已经进行信息处理，则无法对告知进行单方面的撤销，以此来避免告知同意规则的保护功能“失效”。

（二）健全个人信息侵权归责原则的认定

司法实践中个人信息侵权纠纷举证责任的难度较大，使个人信息权益侵害无法获得有效救济。因此，在举证责任分配方面可以确立举证责任倒置的规定。当信息主体同意经营处理者加工使用自身信息时，其对个人信息的控制权消散，对个人信息的事前保护失效。大数据时代，个人信息的侵权主体大多为信息收集企业抑或是数据应用平台，受害方受到专业技术和成本的制约，很难界定侵权主体，更不要说承担繁重的举证证明责任。因此可以尝试确立举证责任倒置的制度防止受害方承担较重的举证证明责任。受害方仅需要证明自身权益依然遭受严重损害，而由侵权方承担证明损害不是由其导致的责任，以此来降低受害方的举证难度，同时节约维权成本。

（三）强化对个人信息保护的监管

《民法典》对个人信息权益保护的监管并未提及，而在《个人信息保护法》中对于承担个人信息保护职责的监管机构做了更详细的规定。信息爆炸的社会背景下，对个人信息权益的保护不能仅依靠私法领域，而是尝试构建公法和私法的相结合的双重保护体系。《民法典》为代表的私法领域和《个人信息保护法》代表的公法领域相结合，更能对个人信息权益保驾护航。在《个人信息保护法》中，监管机构和职责的规定为个人信息保护的监管提供了法律依据。明确个人信息保护的监管部门是实施监管职能的前提。发挥公法领域监管机构对个人信息保护的执法监管，可以通过设立对侵权主体的惩罚性赔偿机制，加大惩罚力度。事前的监管监督与事后的严厉惩戒相结合，能保障个人信息权益。

五、结语

大数据时代下，个人信息纠纷在民事诉讼中的比重不断上升。而相继出台的《民法典》和《个人信息保护法》为个人信息保护提供了坚实的法律支撑。随着科技智能的蓬勃发展和数据应用技术的进步，个人信息权益的保护仍面临挑战，发挥私法的调整保护作用的同时，强化公法领域对个人信息权益的保护，使我国公民享受互联网和数据应用带来便利的同时个人信息安全也能得到有效保障。