​ 大数据时代 个人信息的法律保护

2014年第12期    作者: 刘春泉     阅读 10,240 次

        一、为何要保护网络个人的信息及隐私？

        个人信息泄露与滥用，以及侵犯个人隐私并不是互联网所特有的现象。但进入互联网时代以来，个人信息复制、散播极其便捷，滥用个人信息给公众造成骚扰甚至伤害的现象普遍存在，侵犯个人隐私的事件也层出不穷，因而对个人信息进行保护以预防和制止滥用以及保护网络隐私已逐渐成为多数人的共识。个人信息被极端滥用的典型事件以2005年在韩国发生的女子因未清理宠物粪便导致的所谓“狗屎女”事件为典型，该事件是如今被称为“人肉搜索”的第一次公共事件。因其个人信息被公布，给当事人造成了巨大的负面影响，退学、搬家直至罹患精神疾病都难以摆脱困扰，是导致韩国一度实行网络实名制的标志性事件。侵犯网络隐私也很普遍，具体表现则与个人信息有交叉也有不同。同时，大数据应用也是机遇的，必须对大数据应用的商业利益与公众的隐私保护需求做出适度的平衡。

        二、个人信息与隐私的含义、区别与联系

        个人信息是指与自然人个人或家庭密切相关数据或者资料，有些能够定位或者识别个人身份，有些虽然不能定位或者确定身份，但与个人特征、信仰、健康状况、行为习惯、联络方式等有关。隐私在我国是历史上早已有之的概念，但1949年至今，新中国法律意义上的隐私最早是于1956年《全国人大常委会关于不公开审理案件的决定》里首次在立法中使用了“阴私”的提法：“人民法院审理有关国家机密的案件，有关当事人阴私的案件和未满十八周岁少年人犯罪的案件，可以不公开进行。”此后，在1979年的《刑事诉讼法》和《人民法院组织法》，最高法院在批复中也使用的是“阴私”这个提法，并界定了阴私案件的范围。从1982年《民事诉讼法（试行）》开始，到之后1991年实行的《未成年人保护法》39条也规定了“任何组织和个人不得侵犯未成年人隐私”，从此我国法律和司法解释开始使用“隐私”而不再用“阴私”的提法。隐私的含义主要是指当事人不愿意他人知晓或者他人不便知晓的个人信息、事宜或不愿意或者不便他人介入的领域。《现代汉语词典》第五版对“阴私”的解释是不可告人之事，多指不好的事情。1998年重印的《现代汉语词典》修订本对“阴私”的解释则为“不可告人的坏事”；对“隐私”的解释为：“不愿意告人或者不愿公开的个人的事”。可见，即使从普通人的理解来看，隐私范畴大于阴私，隐私概念更为中性，没有贬义，除了阴私还有个人信息的内容可以构成隐私。

        个人信息与隐私有区别也有联系：个人信息的内涵和外延都较大，与隐私有一部分交集，也有不完全相同之处。通常个人的信息包括：姓名、性别、年龄、婚姻家庭情况、联络方式（特别是手机等通讯设备号码，或者其他用户身份识别标识，包括码号、电子邮箱、即时通讯账户ID和家庭住址，可用以判断用户地理位置的移动或者其他设备的地理位置信息等）、健康状况、病史、基因信息、生物识别信息（指纹、脚印、血型等）、行为信息包括个人活动的信息，如因使用移动计算机终端设备而产生的浏览、搜索、交易和支付等信息。个人信息的概念比较中性，原来不是法律术语，2003年实行的《居民身份证法》开始对警察泄露个人信息的行为予以法律约束；2009年在《刑法修正案（七）》中规定将非法提供、获取个人信息定为犯罪。此后，该概念成为法律用语。换言之，刑法先于民法对个人信息进行了保护。但目前还没有法律对个人信息的含义与范围作出规定或者限定，根据目前技术发展迅速的特点，个人信息的概念可能还会随着技术和商业的发展有所变化。

        目前，正在从个人计算机为主的互联网时代走向移动互联网时代，因此隐私主要表现为：与性有关的行为或者其他信息，不宜公开的照片及音视频资料、财产，个人金融信息、生理情况、个人卫生和排泄等行为，以及不便公开的健康和疾病信息等，在互联网时代比较突出的网络隐私主要还有：个人计算机终端设备产生、访问的敏感信息，用户通讯内容和用户的各类账户密码信息等。

        目前开始崭露头角的可穿戴设备，以及具备检测人体各项指标的手环、手表等各种设备，其对人体各种数据的采集即使是个人信息也属于隐私。因而，如何确定个人信息的使用将平衡个人隐私保护与新技术给人类带来的福音。

        三、中外个人信息与隐私的案例比较与分析

        我国已经发生的个人信息泄露与滥用的案件很多都与隐私受到侵犯密切相关，比较典型的案例有“海运女”案件、“微博开房门”事件、“郭美美”事件和王菲诉张乐奕“北飞的候鸟”侵犯隐私案等。美国发生过的有较大影响的个人信息案例包括2012年FTC调查谷歌隐私案，因safari浏览器隐私问题而对谷歌处以2250万美元的罚款。

        在“海运女”的案件中，法院判决搜索引擎因未履行《互联网信息服务管理办法》规定的监管责任，即“百度公司在知道或应当知道网络用户利用其服务传播侵权内容的情况下，未采取合理的必要措施，应当承担责任。”本案判赔金额仅仅为2.2万元人民币。在另外一个影响甚广的王菲诉张乐奕“北飞的候鸟”的案件中，法院公开召开了研讨会，之后判决侵权成立，赔偿原告人民币5000元。如果说后案因为存在道德上的争议，法院判决赔偿较低可以理解的话，那么前者的赔偿金额较低就是我国目前常见的“赢了官司输了钱”现象的反映了。相比较而言，早在2001年Double Click公司就设立了首席隐私官职位，2007年该公司并入谷歌，2012年谷歌还是发生了因safari浏览器的隐私问题而被罚款了2250万美元。可见网络个人信息和隐私保护必须从长计议，不是简单采取某个措施就可以解决了的。

        四、个人信息保护的法律途径

        《刑法修正案（七）》规定了非法获取个人信息罪，这是刑法对于新兴网络现象又一次走在了民事立法之前，刑法率先对个人信息的贩卖等行为采取了严厉的刑事制裁措施。

        2011年修订的《居民身份证法》第6条规定：“公安机关及其人民警察对因制作、发放、查验、扣押居民身份证而知悉的公民的个人信息，应当予以保密。”第13条规定：“有关单位及其工作人员对履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，应当予以保密。”第19条规定：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员泄露在履行职责或者提供服务过程中获得的居民身份证记载的公民个人信息，构成犯罪的，依法追究刑事责任；尚不构成犯罪的，由公安机关处十日以上十五日以下拘留，并处五千元罚款，有违法所得的，没收违法所得。”

        2012年底通过的《全国人大常委会关于加强网络信息保护的决定》，明确提出了保护能够识别个人身份和涉及隐私的电子信息。2014年3月15日实施的《消费者权益保护法（修正案）》规定了个人信息依法得到保护，确立了工商行政机关可以对侵犯个人信息进行行政处罚的职能，确认了公民可以向法院起诉。但这两部法律都没有解决如何赔偿的问题。因而，在法律实施到现在，还没有发生过有影响力的个人信息被滥用方面的民事案件。日常生活经验表明，个人信息广泛被贩卖和滥用的情况并没有取得明显的好转，仍需要思考如何从制度上确立预防和制止个人信息泄露与滥用的有效机制。

        国外关于个人信息的保护，主要立法经验有：美国颁布了《隐私权法》、《电子通讯隐私法》等多部法律，主要是隐私保护。在美国隐私观念深入人心，用户有较强的隐私保护意识。欧盟以《个人数据保护指令》确立了个人数据保护模式，德国于1976年颁布了《联邦资料保护法》，法国于1978年通过了《法国自由、档案、信息法》，1984年英国制订了《数据保护法》等。根据笔者与来华的这些国家的朋友交流的情况看，这些国家个人信息滥用远不如中国严重，笔者分析认为主要原因还在于这些国家有较强的隐私意识文化传统及其成熟的法治，一旦侵犯个人隐私会承担较为严重的法律后果。

        笔者认为，根据目前已经能看到的个人信息在移动互联网时代的广泛采集和应用，原有隐私权已不能满足对个人信息应用和保护的需要，因此有必要在民法上创设个人信息权的概念，其是一种具有人身权（人格权）兼具财产权性质的权利，类似于知识产权的一种复合型民事权利。具体权能为：知情权（对采集、应用、存储、管理和销毁个人信息有知情了解的权利）、处分权（允许采集、应用、存储、销毁个人信息）、受益权（对个人信息的商业性使用获得收益的权利）和不作为请求权（对不符合个人意愿的个人信息采集使用行为有拒绝、请求停止、消除的权利，此权可以包含美欧目前已经被广泛讨论的“被遗忘权”）。隐私权中的生活安宁权虽能涵盖一部分前述的权能内容，但个人信息可以许可被他人使用，并从中获取经济收益，这些行为与传统意义上的隐私权、人格权的特征有着较大的出入，因而单独确立个人信息权可以成立。

        五、个人信息民事立法的基本制度构建

        虽然我国已经在个人信息保护上进行了若干立法，但仍然存在明显的缺陷，即没有惩罚性的民事制裁措施，无法从制度上预防个人信息被滥采滥用，也无法斩断由于个人信息的被滥采滥用而产生的灰色利益链条。由于行政处罚需要证据，而刑事处罚需要一定的门槛，因而法律规定的行政惩罚措施和刑事打击在日常生活中罕见使用，因此在经济利益的驱动下，几乎每个人在生活中都仍然难免经常性地遭遇个人信息被泄露与滥用的危害。借鉴博弈论的经济学理论，笔者建议在个人信息的保护立法中应建立以下基本的民事制度，以引导企业遵守保护个人信息的法律规范。

         首先，个人信息使用者和收益者对个人信息的来源应承担合法性审查的合理谨慎义务。即要求使用个人信息进行商业宣传或者其他推广的机构和个人应当对信息来源的合法性进行合理谨慎的注意，为避免企业通过子公司或者第三方规避此义务，因而有必要加上受益人也负有此责任，包括广告主和实际受益人，不限于广告经营者或者直接发布者。只有建立了此制度，才能杜绝正规企业采购营销服务时不审查个人信息的合法性，从而在客观上助长个人信息被泄露与滥用的现象。同时，如果能够较好地执行本制度，等于打击和消灭了非法采集和滥用个人信息的销售、变现渠道，使其失去违法的经济驱动力。

        其次，建立递进式的惩罚性赔偿制度。我国立法已经确立了企业对个人信息和隐私的保护义务，可以在此基础上扩展为企业承担对个人信息的安全保障义务。对于违反企业信息安全保障义务的，可以对其进行递进式的惩罚性赔偿。我国《侵权责任法》已经有惩罚性赔偿制度的规定，但由于法院在确定赔偿时过于审慎，迄今为止没有看到有影响力的适用《侵权责任法》关于惩罚性赔偿的民事判决案件。《消费者权益保护法》自立法之初即确立了对欺诈的惩罚性赔偿制度，二十年来，通过典型案例的媒体报道，在社会上产生了广泛的影响，这是我国民事法律中发挥了较好引导作用的法律规范。而且，我国的惩罚性赔偿仅限于欺诈或者主观恶意，《消费者权益保护法》修改后，欺诈的惩罚性赔偿额限于实际损失的三倍以下，也规避了美国司法制度中赔偿过于庞大的负面作用。因而，在个人信息侵权行为的民事赔偿方面，有必要继承前述法律已经有的成果。鉴于个人信息侵权的行为往往难以证明其损害后果，如果法律不具体规定法定赔偿的标准或者计算方法，那么由于我国法院坚持填平式的赔偿原则，在实际诉讼中的赔偿费用将延续目前较低的局面而不会具有威慑力，将仍然无法改变在利益驱使下泄露滥用个人信息的局面。因而，比较现实可行的是建立递进式的惩罚性赔偿制度，即对于三次以上侵犯个人信息权的以及经行政处罚或者诉讼判决侵权成立的，但仍然拒不改正的，法律应设定较大的法定赔偿责任，或者是按照普通民事侵权三倍以下予以赔偿。对于经由消费者保护组织起诉的，可以设定较大的额赔偿，由消费者组织在受害者中予以分配。只有在违法行为人了解了一旦实施了违法行为后其法律责任将超过其获得的收益时，才可能从根本上扭转个人信息被过度收集、随意泄露和普遍滥用的混乱局面。

        第三，建立个人信息规范、合理使用的制度。在大数据应用前景极为广阔的今天，应该为企业大数据的应用留下空间，引导企业规范使用，而不能因噎废食，导致因限制过严使企业无法开展大数据的应用，公众也无法享受网络技术发展带来的便捷与进步。因而，建议在确立满足下面三个条件的前提下，允许企业采集、应用、存储、管理并销毁个人信息：1、经公示或者告知信息收集的目的和收集、应用、存储、销毁的规则，并且采取合理措施履行保护个人信息避免泄露和滥用；2、不披露具体个人的信息，也不能根据数据应用的结果反向联系或者确定到具体的个人；3、不违反隐私保护的强制性规定。个人信息的合理使用，是指为履行与用户所订立合同的目的，或者为保护用户之合法权益，按照最低必要限度的原则收集个人信息，并诚实信用使用个人信用，包括身份验证、通知联络、履行合同订立的先合同义务以及履行合同后的附随义务等。合理使用应当是具有非商业目的的，并且不得违反法律的强制性规定。

        第四、建立个人信息举证责任倒置的制度。网络时代的信息由企业收集，存储于企业的服务器，用户往往难以举证，因而在个人信息收集、存储、管理、应用和销毁等相关事实发生争议时，应由服务器所有人的企业进行举证，否则维权人将因为举证不能而无法获得保护。有必要说明的是，鉴于可能泄露信息的环节很多，为避免企业承担过重的举证责任以及被滥用，因而举证责任倒置应该是指企业提供存储的个人信息，以及举证证明自己按照法律和相关行业标准履行了对个人信息保护的软件、硬件和管理等相关标准及要求，即履行了信息安全保障的法定合理谨慎义务。

        六、立法要考虑国情和实际情况，应当参考国际立法经验，但不能照抄照搬

        根据我国目前个人信息普遍存在随意收集、过度使用和普遍滥用的现状，我国的个人信息立法应当遵循“规范收集，约束使用，预防、制裁滥用”的原则。刑事打击虽然对个人信息被非法采集和滥用等违法行为有一定的遏制作用，但只要不铲除因个人信息获得利益的土壤和个人信息被买卖滥用的黑色产业链条，就会永远有人由于受利益驱动而甘愿受行政处罚甚至冒刑罚制裁的风险。客观来说，非法获取或者非法提供个人信息罪的法定刑期在三年以下，这在我国刑法体系中并不算重，按照我国司法机关较为重视有形财产损失的观念，这种对受害人造成骚扰而没有明显物质损害的犯罪，也难以提升处罚的力度，因而刑事和行政处罚制裁的实效是有限的。就像刑法可以制裁犯罪，但社会治理却不能仅仅依照刑法，还是应该注重研究人性的客观规律，引导市场主体谨慎收集信息、规范使用，如果正规企业都约束了自己的采购信息服务的行为，这样个人信息被采集和滥用失控的局面才会因为失去利益来源而逐步好转。●