摘要:大数据时代的快速发展在给人们提供个性化服务的同时,也对公民的个人信息安全带来风险,进而损害公民的民事权利。目前法律法规的可操作性不强、科技保护的技术手段不高、监督措施的缺乏、救济方式不完善等都是个人信息立法过程中急需解决的问题。因此,有必要健全专门的个人信息保护制,加强个人信息保护的技术手段,完善个人信息保护监督措施,明确个人信息保护的救济方式,借鉴日本、欧盟国家的相关做法,从而全面、系统地保护个人信息安全。
关键词:大数据;个人信息保护;侵权责任;监督措施
大数据时代便利了我国公民生活的同时,对公民隐私造成的威胁也日益突出。信息时代下,对个人信息的保护逐渐被社会所重视,但在现实生活中出现了大量关于个人信息泄露的问题,泄露的个人信息会被不当利用,甚至成为牟利的工具,严重侵害了公民的民事权利。
一、大数据时代个人信息保护的现状
我国对个人信息保护的法律措施起步较晚,各行业个人信息保护规范近些年才制定出台。当前,虽然我国关于个人信息保护的专门立法即《个人信息保护法》还在制定当中,但可以在其他的法律规定中找到关于个人信息的规定。2012年通过的《关于加强网络信息保护的决定》,由全国人大常委会于当年的12月份颁布,该决定第一次以成文的形式,将个人信息的安全纳入保护范围;2013年6月颁布并于同年9月1号实施的《电信和互联网用户个人信息保护规定》,不仅规范了电信行业对个人信息的使用,还对互联网企业的相关行为进行规范;2016年《网络安全法》从网络安全的角度出发,对个人信息进行网络范畴的保护;2017年《中华人民共和国网络安全法》从立法的角度出发,明确了个人信息的概念,这一规定具有重要意义;2020年我国新出台的《民法典》完善了对个人隐私的保护规则,扩大了个人信息的范围,还理清了个人信息与隐私的关系;2020年5月25日,全国人大常委会工作报告中指出,围绕国家和社会治理,制定个人信息保护法、数据安全法。可以看出,大数据时代背景下,我国对个人信息进行法律保护的意识逐渐增强。大数据时代使个人信息的安全问题日益突出,为了对个人信息进行有效保护,我国对此作出了不懈努力。但纵观整个法律体系,因为我国的个人信息保护起步较晚,且存在法律的滞后性与信息技术的快速发展之间的矛盾,所以对个人信息的保护仍需继续努力。
二、大数据时代个人信息保护制度存在的问题
1.现有法律法规的可操作性不强。我国现有法律法规的可操作性不强主要体现在以下几点:首先,我国对个人信息概念的界定规定在《网络安全法》中,无论是之前的《民法总则》,还是如今的《民法典》,都仅以条文的形式表明保护个人信息,均未将个人信息权利化。结合近两年的司法实践,由于对个人信息保护的内容规定模糊,致使法官在法律文书中的说理部分含糊其辞。对此,欧盟国家的做法对我国的法律实践具有借鉴意义,欧盟主要是通过立法的方式对个人信息进行保护,在1995年通过的《欧盟指令》中,确定了保护个人信息的基本原则,细化了个人信息管理者以及个人数据主体的义务以及权利,多方面保护公民个人信息,通过法律保障个人信息的安全。其次,各法律之间对个人信息的规定无法进行有效衔接。我国法律虽然已经有很多涉及公民个人信息保护的法律法规,但这些法律法规大多都不是直接对个人信息安全进行保护,而是间接地通过隐私权或者人格权进行保护,总体上呈现出不成体系的现象。最后,法律应当与时俱进,与社会的发展保持同步。但是在大数据时代的背景下,法律的滞后性更加明显。
2.科技保护的技术手段不高。大数据时代的运作使得个人信息侵权行为的模式不断出现新的变化,当前网络技术发展十分迅速,但对个人信息进行保护的网络技术还不完善。个人信息的侵权行为也随着科学技术的发展而更科技化,如GPS中的定位系统,只要会运用相关的技术,就能够顺利获得使用GPS用户的相关信息,还有2016年9月雅虎用户信息被窃取一案,2016年10月,网易163过亿用户数据泄露一案等等。此种运用高科技手段实施的个人信息侵权行为,充分表明我国目前企业所采取的保护个人信息安全的措施并没有起到保护作用,急需加强安全防护。
3.缺乏有效的监督措施。大数据时代下,我们每天都不可避免的与网络打交道,网络上个人信息的应用范围更加广泛,伴随着广泛的应用个人信息,信息泄露现象也日益增多,缺乏有效的监督措施使得个人信息侵权行为日益猖獗。一方面,目前我国的网络安全现状不容乐观,个人信息遭受侵害的方式多种多样,缺乏统一的专门监督机构对网络安全进行监管。在司法实践中,侵害个人信息的行为,也较多表现在企业和个人之间。浏览网页、网购等活动都会留下个人信息的痕迹或者数据,对这些数据缺乏监管,从而导致个人信息不合法的使用,许多企业为了利益将其获得的用户个人信息进行非法交易,情节恶劣,不仅影响公民的生活,还会损害公民权利。另一方面,我国目前不仅缺乏统一的专门监督机构,还缺乏行业自律监管机制。互联网信息服务业迅速发展,企业内部人员不仅掌握大量的个人信息,还更了解个人信息保护的制度缺陷,所以从企业泄露出去大量个人信息的现象屡见不鲜。
4.对个人信息侵权行为的救济方式不完善。由于网络技术发展迅速,互联网时代下个人信息的财产属性愈发明显。对个人信息的侵权行为也更加常见,有损害就会有救济,但我国关于个人信息侵权行为的救济方式并不完善。一方面,虽然我国新出台的《民法典》侵权责任编中规定了侵害个人信息要依法承担法律后果,但是该法律后果倾向于对精神损害的赔偿,而对财产方面的损失赔偿却几乎没有体现。司法实践中,个人信息受到侵害时,受害人不仅精神上会遭受侵害,后续还会带来一系列的财产损失。若此时法律仅规定赔偿精神损害,对物质损失不进行赔偿,则受害人不仅得不到应有的保护,还会降低侵犯个人信息的违法成本。因此,如果对财产方面的损失赔偿不加以细致规定,则是对个人信息侵权行为的变相纵容。另一方面,救济方式中对举证责任以及归责原则的规定也不够完善。大数据时代网络发展迅速,通过网络实施个人信息侵权行为留下的证据不仅难以收集,还难以固定,受害人通常不具备互联网方面的专业知识,更是加大了其举证难度。
三、大数据时代个人信息保护制度的完善建议
1.增强法律法规的可操作性。我国关于个人信息的保护措施起步较晚,再加上网络发展迅速,法律具有滞后性等原因,所以我国关于个人信息保护的法律规定较为混乱、不明确。可以通过以下几点来增强法律法规的可操作性:首先,应当以法律的形式明确个人信息权。因为大数据时代下,个人信息的财产属性愈发明显,不仅与人格利益相挂钩,与财产利益也息息相关,所以不能用任何一项具体人格权进行替代,有必要对个人信息进行单独保护,为个人信息侵权行为提供权利基础。其次,要理清《个人信息保护法》与《民法典》之间的关系,有效进行法律之间的衔接。要明确的是,二者并不是一般法与特别法的关系。个人信息保护法的性质和任务与民法典存在区别,前者是保护新型权利的公法,而民法典是确立民事基本制度的私法,只有违反个人信息保护法的行为并且构成权利人民事权益损害的,民法典才能从民事责任方面追究其责任。最后,我国的个人信息保护法正在草案阶段,在其出台后,应当构建以其为基础,全方位保护个人信息的法律体系。
2.加强个人信息保护的技术手段。大数据时代背景下,掌握新技术使得个人信息触手可得。伴随着个人信息的触手可得,泄露以及不当使用个人信息的现象也显现出来,其中通过高科技手段不当使用个人信息的现象尤为突出,高科技的侵权方式使得传统的应对手段已经过时,难以有效惩罚和预防个人信息侵权行为。为了弥补传统法律保护的漏洞,需要强化技术手段,完善安全系统,避免黑客盗取个人信息行为的发生。为达到对个人信息的进一步保护,可以加大科研投入力度,采取第三方技术,通过对信息进行加密,尽可能的减少意外泄露信息现象的发生。但是为了应对科技不断发展带来的更严峻的挑战,长远来看还应进行技术创新,以国家的资金投入为基础,鼓励企业研发出更具安全性的新产品。
3.完善个人信息保护监督措施。完善对个人信息安全的保护,应建立个人信息监督机制。日本针对公共部门设立了专门的监督机构,监督公共部门对个人信息的处理行为,对非公共部门则采取行业自律的模式进行自我监督,对于我国具有借鉴意义。一方面,我国应当建立对个人信息保护的专门监督机构,以解决与个人信息相关的法律难以实施、不能有效救济等问题,对个人信息保护进行规范统一领导,如对金融领域进行监管,可以在银保监会里设置一个专门监管金融领域的机构等。另一方面,数字经济导致大量个人信息从企业内部泄露,有必要建立行业自律监管机制,加强行业自律、明确企业社会责任。在实践中进行共享信息时,首先要对第三方信息使用者的多种能力进行综合评估,主要包括是否存在泄露信息的风险、是否具有信息保护的能力等。除此之外,还应对制定行业自律条款的全过程进行公开,增强透明度,使个人信息受到更全面的保护。
4.明确个人信息保护的救济方式。为了更好地对侵犯个人信息中的受害人进行救济,一方面,针对个人信息侵权行为的赔偿方面,应当增加侵犯个人信息安全行为的违法成本,将侵害个人信息行为损害赔偿细化为救济性、惩罚性损害赔偿。因为大数据时代下,个人信息的财产性日益凸显,所以救济性损害赔偿还应细化为精神损害赔偿和财产赔偿。比如,如果信息使用者是基于商业目的使用他人信息,并为其带来收益的情形,在此种情况中出现侵犯个人信息问题时,信息使用者就必须对受害人支付财产损失赔偿。此外,为了有效遏制信息侵权行为,有必要采取惩罚性赔偿措施来加大违法成本。另一方面,在对个人信息侵权责任认定方面,应确立多元归责原则,采用举证责任倒置制度。绝大部分国家对侵害公民个人信息的行为采取无过错责任原则,但是,仅适用无过错责任原则不利于平衡保护与合理使用个人信息之间的关系。与此同时,仅适用过错责任原则需要受害人证明侵权人的过错,加大了受害人的举证难度,比如当数据泄露时,受害人很难证明数据存储者主观上有过错,所以“一刀切”的归责原则不符合现实需求。举证责任倒置是出于保护弱势受害人的角度出发,由于个人信息侵权行为具有隐蔽性,受害人举证困难,所以采取举证责任倒置可以使互联网公司为了避免诉累,督促其对个人信息保护采取更为严密的保护措施。
作者:彭雨婷 单位:安徽大学法学院
