大數(shù)據(jù)時代，個人信息的合理使用與保護是當前和今后的重要課題，當今各行各業(yè)、各大互聯(lián)網(wǎng)應(yīng)用都存在不合理收集、非法披露用戶個人信息的情況。如何合理利用和保護個人信息是當前亟需完善的內(nèi)容，擬從個人信息的立法現(xiàn)狀出發(fā)，結(jié)合國內(nèi)外實踐研究，探索合理有效利用和保護個人信息的創(chuàng)新路徑。

數(shù)字經(jīng)濟時代，數(shù)據(jù)已經(jīng)成為一項可利用的資產(chǎn)，是當今經(jīng)濟時代的“新石油”，在大數(shù)據(jù)與算法的推動下，數(shù)據(jù)已形成了規(guī)模效應(yīng)，有巨大的利用價值。然而，在利用海量數(shù)據(jù)的同時，個人信息也面臨著被違規(guī)使用、不當披露等風險，如何合理使用以及保護用戶個人信息，成為當前亟需解決的問題。

個人信息保護面臨的嚴峻形勢

隨著大數(shù)據(jù)、人工智能、云計算等技術(shù)的深入普及，各行各業(yè)都會利用個人信息進行決策，根據(jù)用戶的需求改進產(chǎn)品的功能及發(fā)展方向。技術(shù)的升級雖然有利于滿足客戶多方面的需求，但也可能引起對個人信息的過度收集和不當使用。眾所周知，《中華人民共和國民法典》（以下簡稱《民法典》）第一千零三十四條規(guī)定“自然人的個人信息受法律保護?！倍彰⑸矸葑C、聯(lián)系電話等均涉及個人信息。我們時常接到騷擾電話、詐騙電話，有的甚至冒充公檢法機關(guān)進行詐騙，嚴重損害了公權(quán)力機關(guān)的威信。如何懲處和規(guī)范這類非法收集和販賣公民個人信息的行為不僅有利于維護清朗的網(wǎng)絡(luò)環(huán)境，同時有利于打擊和減少違法犯罪行為。

個人信息保護的立法現(xiàn)狀

近年來，我國不斷完善和出臺保護個人信息的法律法規(guī)，2005年的《中華人民共和國刑法修正案（五）》最早規(guī)定了個人信息保護的相關(guān)立法，“將竊取、收買以及非法提供信用卡的行為”規(guī)定為犯罪。2009年通過的《中華人民共和國刑法修正案（七）》規(guī)定了國家工作人員利用職權(quán)非法收集他人信息并倒賣構(gòu)成犯罪。2012年全國人大常委會出臺規(guī)定，明確可識別的公民個人電子信息依法受到保護，規(guī)范了互聯(lián)網(wǎng)服務(wù)提供商以及其他企業(yè)和機構(gòu)在獲取或使用公民個人電子信息時必須承擔的法律義務(wù)和相應(yīng)的法律后果。2013年新修訂的《中華人民共和國消費者權(quán)益保護法》第十四條規(guī)定了消費者享有個人信息依法得到保護的權(quán)利。2021年施行的《民法典》在人格權(quán)編中明確規(guī)定了個人信息保護。其中詳細規(guī)定了個人信息保護的范圍，包括“自然人的姓名、出生日期、行蹤信息等?！痹跀?shù)字經(jīng)濟時代，自然人的個人信息一般表現(xiàn)為數(shù)據(jù)形式，但是個人信息的權(quán)屬在法律上目前還界定不明。一方面?zhèn)€人信息沒有作為一項人格權(quán)，另一方面法律規(guī)定不夠具體明確，當事人的個人信息遭受侵犯時難以得到應(yīng)有的賠償。2021年《中華人民共和國個人信息保護法》的施行，全面對個人信息進行法律保護，明確規(guī)定處理個人信息應(yīng)遵循合法、正當、必要和誠信原則，不得隨意收集個人信息的處理原則。個人信息處理者應(yīng)當采取必要保護措施保護個人信息，并對個人信息保護影響進行評估以及納入企業(yè)合規(guī)審計內(nèi)容。歷經(jīng)十余年，我國個人信息保護的法律日漸完善，可見對個人信息保護的重視程度日益提高。

個人信息保護的現(xiàn)實困境

（一）個人信息權(quán)利的法律定位不明

通過比較中外法律，可以發(fā)現(xiàn)各國對個人信息的權(quán)利屬性存在不同觀點。美國模式?jīng)]有制定統(tǒng)一的個人信息保護法，而是由各行各業(yè)分別制定有關(guān)個人信息的法律規(guī)則、準則，[1]而歐洲則以統(tǒng)一的個人信息保護法為特征，因此又稱為統(tǒng)一模式。而且兩種模式都沒有對個人信息和隱私權(quán)的界限做區(qū)分，歐盟1995年指令在確立個人信息保護的價值時，將隱私權(quán)作為一項個人信息進行保護。①學界的觀點也各有不同，有學者認為個人信息與隱私權(quán)不能混同，因為隱私權(quán)制度的重心在于防范個人秘密不被非法披露，而對于個人信息的侵犯則在于非法搜集、非法利用、非法存儲、非法加工或非法倒賣個人信息等行為形態(tài)，[2]綜合所述認為，個人信息不能簡單歸結(jié)到隱私權(quán)當中，其中可以公開的、能夠利用的也有其利用價值，也有財產(chǎn)屬性，應(yīng)由個人自主決定。其中涉及敏感不愿為公告中知曉的信息應(yīng)作為獨立權(quán)利進行保護。

（二）個人信息侵權(quán)案件存在舉證困難

由于我國訴訟采取“誰主張誰舉證”的原則，而原告?zhèn)€人與被告公司、集團等實力相差懸殊，存在舉證難，獲得賠償難的問題，雖然規(guī)定了個人信息應(yīng)受到法律保護，但出現(xiàn)侵權(quán)問題難以有效彌補受害人的損失，存在賠償數(shù)額小、沒有規(guī)定精神損失賠償?shù)葐栴}，難以真正起到震懾作用。結(jié)合日常案例，個人信息在很多情況下都會被使用，如網(wǎng)上購物、下載應(yīng)用、報名活動信息等，一旦信息被他人使用，個人已經(jīng)失去了對其掌控權(quán)，更無法獲知被告的處理過程，大部分情況下會承擔舉證不能的后果。

（三）當前法律規(guī)定較為模糊

我國《民法典》未將個人信息進行詳細區(qū)分，如一般個人信息和敏感個人信息。對于姓名、身份證號碼在一定范圍是必要的公開信息，而個人的生物識別信息，如視網(wǎng)膜或虹膜、指紋、聲紋以及個人的健康信息和行蹤信息等則屬于涉及個人隱私或者不愿為公眾所知曉的個人信息，應(yīng)該規(guī)定嚴格的保密措施。《個人信息保護法》雖建立了個人信息保護的法律框架，但是大部分規(guī)定未回應(yīng)現(xiàn)實熱點，如公民在使用互聯(lián)網(wǎng)軟件服務(wù)時，《個人信息保護法》第十六條規(guī)定個人信息處理者在收到不同意處理個人信息或者撤回同意時，不得拒絕提供服務(wù)?？梢姺擅鞔_規(guī)定允許用戶在不提供個人信息時仍可以使用相關(guān)產(chǎn)品和服務(wù)，但在實踐中往往不是如此，且其中個人信息是否是處理者所必需則表述過于寬泛，[3]用戶無從得知相關(guān)信息是否為使用該應(yīng)用所必需。如我們在安裝手機應(yīng)用時，經(jīng)常出現(xiàn)需要授權(quán)個人定位、手機通訊錄、通話記錄等與該應(yīng)用不相關(guān)的權(quán)限，如果拒絕提供即無法下載使用。作為普通使用者更無法知曉或者無精力去探知個人信息被使用的途徑。第二十四條在信息處理者利用用戶信息進行“自動化決策”，應(yīng)當保證決策的透明度和結(jié)果公平。其中的“保證”一詞過于主觀，缺乏明確且客觀的標準，公民個人無法獲知個人信息的處理方式。

（四）監(jiān)督管理部門履行職責不力

一是監(jiān)管部門存在職責不清的問題。在我國，國家網(wǎng)信部門負責個人信息保護、監(jiān)督管理的工作，同時工信部門也負責互聯(lián)網(wǎng)行業(yè)管理、網(wǎng)絡(luò)資源共建共享、網(wǎng)絡(luò)與信息安全技術(shù)平臺的建設(shè)和使用管理等職責，與國家網(wǎng)信部門職責有一定重合，在個人信息保護方面可能存在職責不清或者職責重疊的問題。二是我國對個人信息保護的行政監(jiān)督不夠充分。監(jiān)管機構(gòu)在監(jiān)管過程中經(jīng)常面臨程序不規(guī)范、監(jiān)管方式不符合要求以及監(jiān)管技術(shù)不到位等難題。[4]監(jiān)管機構(gòu)對信息處理者收集用戶信息缺乏全過程的監(jiān)管，導(dǎo)致用戶信息被泄露以至于販賣的嚴重等問題。如廣州互聯(lián)網(wǎng)法院報道的一起販賣公民個人信息案件，涉案人員利用先進智能技術(shù)將靜態(tài)人臉照片生成人臉動態(tài)視頻，用于解封賬號、驗證APP等實名認證，從中謀取非法利益。

完善我國個人信息保護與利用的法律途徑

（一）確定個人信息的權(quán)屬性質(zhì)

個人信息是與自然人人身相聯(lián)系，反映個人特征，且區(qū)別于他人身份的符號。包括個人的身份信息、生物特征以及生活、健康等方面的信息。通過其概念我們認為它涉及人格，應(yīng)當作為一種人格權(quán)加以保護，雖然其與隱私權(quán)有一定交叉，但隱私權(quán)主要涉及對個人私密生活的保護，即不愿讓他人知曉的私密空間。但與我們個人生活息息相關(guān)的如姓名、出生日期、身份證號碼在很多情況下屬于必須在公開場合下使用的個人信息，不應(yīng)完全歸于個人隱私權(quán)而加以保護。要加強對個人信息的法律保護，首先要明確個人信息作為何種權(quán)利屬性。目前學術(shù)界對個人信息的法律屬性還沒有統(tǒng)一定性。王利明教授主張個人信息應(yīng)當作為一種具體人格權(quán)加以保護。[5]學者陳星認為個人信息應(yīng)當在《民法典》人格權(quán)編中專門規(guī)定。[6]學者張育銘認為在信息飛速發(fā)展的今天，個人信息已經(jīng)同時兼具人格權(quán)屬性和財產(chǎn)權(quán)屬性的復(fù)合型權(quán)利。[7]綜合所述認為，個人信息與自然人生活密切相關(guān)，包括自然人的姓名、住址、聯(lián)系方式、行蹤信息等方方面面，尤其隨著網(wǎng)絡(luò)技術(shù)、人工智能的發(fā)展，個人信息涉及的內(nèi)容將更為廣泛，當今濫用個人信息非法牟利的現(xiàn)象屢見不鮮，受害人應(yīng)當依據(jù)何種法律保護自身權(quán)利、受侵害后是否可以主張人身損害賠償?shù)仍诂F(xiàn)行法律當中均沒有明確規(guī)定，確定個人信息是自然人的一項基本人格權(quán)，如同隱私權(quán)、肖像權(quán)等基本個人人格權(quán)受到《民法典》的獨立保護，一旦個人信息受到侵犯，自然人就可以通過民事訴訟提起侵權(quán)之訴，侵權(quán)程度如果嚴重影響到自然人的身心健康，還可以提出精神損害賠償。

（二）完善《個人信息保護法》及相關(guān)司法解釋

我國作為大陸法系國家，與歐洲模式類似，已經(jīng)建立了獨立的個人信息保護法，同時也設(shè)立了專門負責監(jiān)管個人信息的國家網(wǎng)信部門，有利于個人信息的統(tǒng)一保護。目前應(yīng)當基于現(xiàn)行的《個人信息保護法》，進一步明確相關(guān)細則，促進個人信息保護落到實處。一是針對個人信息的敏感程度進行分類，可以借鑒美國的立法模式，“規(guī)定信息控制者必須以和其他敏感信息相同或更高的標準儲存、傳輸和保護生物識別信息，并通過強制性國家標準等規(guī)范，確定加密、分段等儲存和傳輸方式；并要求信息收集者、控制者在保存一定的期限后必須刪除。”[8]進一步強化個人信息收集、處理的原則，對于必要情況，明確基于當事人的同意，明確告知當事人如何處理收集的信息，以何種簡單易操作的途徑可以查看該信息，信息被處理的流程都應(yīng)當清晰可查，在當事人提出信息有誤或者需要更改時，及時予以修改。二是規(guī)范個人信息收集者收集用戶信息的范圍及用途，明確信息收集的“必要性”內(nèi)容，不得收集與該產(chǎn)品不相關(guān)的信息，公開用戶投訴渠道，確保個人信息始終在用戶自身的掌握之中。三是應(yīng)當根據(jù)司法實踐出臺相關(guān)司法解釋，對信息收集者收集用戶信息的做明確規(guī)定，嚴格區(qū)分必要收集、非必要收集和個性化收集，以及用戶可以在授權(quán)范圍內(nèi)使用相關(guān)服務(wù)，而非完全不能使用相應(yīng)服務(wù)，這對規(guī)范手機APP的開發(fā)者是十分必要的。對于收集到的信息應(yīng)當嚴格禁止信息出租、出售或者其他披露行為。四是在舉證責任中，個人信息侵權(quán)作為一種特殊侵權(quán)類型，應(yīng)當規(guī)定舉證責任倒置。鑒于信息收集者與自然人之間地位懸殊，用戶只需從普通公眾的角度承擔基本的舉證義務(wù)，其余責任由個人信息收集者承擔，在個人信息收集者無法證明自己正確收集、處理個人信息時須承擔舉證不利責任。

（三）加強個人信息的監(jiān)督管理

個人信息關(guān)系到自然人的人身安全、財產(chǎn)安全等，如果沒有妥善管理，公民很可能遭受嚴重損失，因此對侵犯個人信息的行為應(yīng)當規(guī)定嚴格的處罰。首先，需要加強對個人信息收集者以及第三方信息處理機構(gòu)的監(jiān)管，信息處理的渠道應(yīng)當公開透明，實時接受國家網(wǎng)信部門的監(jiān)管，國家網(wǎng)信部門可采取突擊檢查、抽查等方式，加強對信息處理者的監(jiān)督，一旦發(fā)現(xiàn)違反規(guī)定收集和處理甚至販賣公民個人信息的行為應(yīng)當按照法律嚴厲處罰。其次，要增強對從業(yè)人員的專業(yè)培訓(xùn)，隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，規(guī)避監(jiān)管的手段層出不窮，加強對從業(yè)人員的培訓(xùn)，適應(yīng)當前和今后技術(shù)的發(fā)展，及時查處違規(guī)處理者。針對數(shù)據(jù)溯源和匿名化問題，通過技術(shù)創(chuàng)新防止隱私安全問題的發(fā)生。[9]同時，我們也應(yīng)當積極利用并善于開發(fā)數(shù)據(jù)的價值，研發(fā)新的適應(yīng)時代發(fā)展的數(shù)字產(chǎn)品，鼓勵運用數(shù)據(jù)開發(fā)新技術(shù)，進行產(chǎn)品創(chuàng)新和流程創(chuàng)新，平衡好個人信息保護和利用之間矛盾，鼓勵數(shù)據(jù)創(chuàng)造新的價值。

結(jié)語

數(shù)字經(jīng)濟背景下，個人信息面臨著機遇和挑戰(zhàn)。一方面?zhèn)€人信息產(chǎn)生的數(shù)據(jù)會產(chǎn)生經(jīng)濟價值，另一方面，個人信息的不當披露會侵擾個人生活，嚴重者可能帶來經(jīng)濟損失和精神損害。因此，明確個人信息作為自然人的一項基本人格權(quán)，細化《個人信息保護法》及相關(guān)司法解釋，規(guī)定個人信息披露的范圍、渠道，個人信息如何處理，如何使用，自然人可以采取何種手段保護自身權(quán)益十分必要。

注釋

①歐洲議會和歐盟理事會1995年10月24日關(guān)于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令（95/4B/EC）。

參考文獻

[1]周漢華：《中華人民共和國個人信息保護法（專家建議稿）及立法研究報告》，法律出版社，2006：79-80頁。

[2]劉帆：《淺析大數(shù)據(jù)時代個人信息的法律保護——以龐某訴北京趣拿公司、東航公司侵犯隱私權(quán)案為例》，《北方經(jīng)貿(mào)》，2019（7）：63-65頁。

[3][4]劉志、董翌：《數(shù)字經(jīng)濟時代個人信息法律保護的困境與思考》，《大連大學學報》，2024（1）：74-81頁。

[5]王利明：《論個人信息權(quán)的法律保護——以個人信息權(quán)與隱私權(quán)的界分為中心》，《現(xiàn)代法學》，2013（4）：62-72頁。

[6]陳星：《大數(shù)據(jù)時代個人信息權(quán)在我國民法典中的確立及其地位》，《北京行政學院學報》，2016（6）：1-9頁。

[7]張育銘：《淺探個人信息的財產(chǎn)權(quán)屬性》，《法制與經(jīng)濟》，2022（2）：68-78頁。

[8]陸海娜、趙賡：《個人生物識別信息商業(yè)利用的法律規(guī)制：美國州立法經(jīng)驗的比較與反思》，《人權(quán)研究》，2021（2）：86-105頁。

[9]賈文山、趙立敏：《數(shù)字經(jīng)濟時代的個人數(shù)據(jù)保護：歐美立法經(jīng)驗與中國方案》，《首都師范大學學報（社會科學版）》，2022（5）：58-65頁。

作者簡介

柴悅陜西財經(jīng)職業(yè)技術(shù)學院助教，研究方向為法律實務(wù)