郭成志

摘? 要：大數(shù)據(jù)技術(shù)發(fā)展與個(gè)人數(shù)據(jù)保護(hù)之間的沖突日益凸顯。為此應(yīng)從立法、執(zhí)法、司法等方面整合現(xiàn)行個(gè)人信息數(shù)據(jù)法律法規(guī)，協(xié)調(diào)刑法、民法、行政法三者關(guān)系，建立健全事前預(yù)警、事中監(jiān)督與事后救濟(jì)機(jī)制，兼修內(nèi)部治理與外部監(jiān)管，構(gòu)建以刑、民、行政法為支柱，行業(yè)自律同外部執(zhí)法并行的個(gè)人數(shù)據(jù)保護(hù)框架。

關(guān)鍵詞： 數(shù)據(jù)安全;個(gè)人數(shù)據(jù);個(gè)人信息保護(hù)法;網(wǎng)絡(luò)安全法

中圖分類號(hào)：G203? ? ?文獻(xiàn)標(biāo)識(shí)碼：A? ? 文章編號(hào)：2096-3769（2020）02-119-05

伴隨著技術(shù)的發(fā)展，人類步入了數(shù)字經(jīng)濟(jì)時(shí)代，大數(shù)據(jù)浪潮呼嘯而來，席卷著整個(gè)社會(huì)。在這個(gè)時(shí)代，數(shù)據(jù)是最大且最有價(jià)值的資源。構(gòu)建數(shù)字經(jīng)濟(jì)的關(guān)鍵要素是自由流通的數(shù)據(jù)，因此數(shù)據(jù)這一科技革命誕生的產(chǎn)物在當(dāng)代成為具有諸多資產(chǎn)屬性的生產(chǎn)要素，與此同時(shí)，數(shù)據(jù)作為信息載體其流動(dòng)與使用也引發(fā)了諸多社會(huì)關(guān)注。為了建立一個(gè)為個(gè)人信息數(shù)據(jù)（1）保護(hù)提供基礎(chǔ)同時(shí)又讓數(shù)據(jù)保護(hù)法反映國(guó)情的個(gè)人數(shù)據(jù)保護(hù)框架，各國(guó)政府開始了制定符合本國(guó)價(jià)值定位與制度設(shè)計(jì)的嘗試。在此背景之下，如何應(yīng)對(duì)數(shù)字經(jīng)濟(jì)時(shí)代數(shù)據(jù)管理帶來的挑戰(zhàn)，處理好個(gè)人數(shù)據(jù)安全保護(hù)與數(shù)據(jù)資產(chǎn)利用的關(guān)系，成為我國(guó)亟需解決的問題。

一、我國(guó)數(shù)據(jù)保護(hù)制度的探索與反饋

我國(guó)政府十分重視數(shù)據(jù)在國(guó)家現(xiàn)代化建設(shè)的戰(zhàn)略性作用。[1]國(guó)務(wù)院印發(fā)的《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》明確指出，“數(shù)據(jù)已成為國(guó)家基礎(chǔ)性戰(zhàn)略資源”。[2]2004年出臺(tái)的《居民身份證法》拉開了我國(guó)個(gè)人信息保護(hù)法制建設(shè)的序幕，至今我國(guó)已出臺(tái)近200部有關(guān)個(gè)人信息保護(hù)的法律文件，集中分布于刑、民、行政等部門法律之中。[3]

1.刑法數(shù)據(jù)保護(hù)的立法探索

2009年的《刑法修正案（七）》首次將出售、非法提供公民個(gè)人信息的行為列為刑法規(guī)制的對(duì)象。其第253條規(guī)定“國(guó)家機(jī)關(guān)或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國(guó)家規(guī)定，將本單位在履行職責(zé)或者提供服務(wù)過程中獲得的公民個(gè)人信息，出售或者非法提供給他人，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴(yán)重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對(duì)單位判處罰金，并對(duì)其直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員，依照各該款的規(guī)定處罰”。其后出臺(tái)的“兩高”《關(guān)于執(zhí)行<中華人民共和國(guó)刑法>確定罪名的補(bǔ)充規(guī)定（四）》補(bǔ)充、確定了“出售、非法提供公民個(gè)人信息罪與非法獲取公民個(gè)人信息罪”。2015年《刑法修正案（九）》進(jìn)一步補(bǔ)充、修改了侵犯公民個(gè)人信息犯罪的相關(guān)規(guī)定。首先，擴(kuò)大了侵犯?jìng)€(gè)人信息犯罪的法律規(guī)制范圍，刪除了“特定單位的工作人員”這一表述，使法律規(guī)制的犯罪主體從特定主體變?yōu)橐话阒黧w。其次，加大了刑罰懲戒力度，增加了特定主體“從重處罰”以及“情節(jié)特別嚴(yán)重”量刑情形的規(guī)定。

2.民法數(shù)據(jù)保護(hù)的立法探索

2017年全國(guó)人大通過并予以頒布的《民法總則》，作為民法典開篇文書，其第111條規(guī)定的“自然人的個(gè)人信息受法律保護(hù)。任何組織和個(gè)人需要獲取他人個(gè)人信息的，應(yīng)當(dāng)依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個(gè)人信息，不得非法買賣、提供或者公開他人個(gè)人信息”，為公民個(gè)人信息數(shù)據(jù)保護(hù)提供了民法基礎(chǔ)?！肚謾?quán)責(zé)任法》第2條亦明示，侵害包括隱私權(quán)在內(nèi)的民事權(quán)益，應(yīng)當(dāng)承擔(dān)侵權(quán)責(zé)任。第36條則規(guī)定了網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)服務(wù)提供者應(yīng)當(dāng)遵循的法律義務(wù)以及侵權(quán)所應(yīng)承擔(dān)的法律責(zé)任，維護(hù)了網(wǎng)絡(luò)侵權(quán)中被侵權(quán)人的隱私權(quán)利。以上兩條規(guī)定使得侵權(quán)責(zé)任法成為我國(guó)個(gè)人數(shù)據(jù)保護(hù)方面最為直接有效的法律依據(jù)，為之后《民法典》有關(guān)個(gè)人數(shù)據(jù)、隱私權(quán)條款的制定奠定了堅(jiān)實(shí)的基礎(chǔ)。

3.行政法數(shù)據(jù)保護(hù)的立法探索

2016年出臺(tái)的《網(wǎng)絡(luò)安全法》作為目前個(gè)人信息、數(shù)據(jù)保護(hù)領(lǐng)域的集大成之作，通過諸多條文明確了個(gè)人信息收集、使用所應(yīng)遵循的“合法、正當(dāng)、必要”原則，以及網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)履行的保護(hù)義務(wù)，完善了我國(guó)個(gè)人信息、數(shù)據(jù)的保護(hù)制度。該法第64條規(guī)定的侵犯?jìng)€(gè)人信息權(quán)利的法律責(zé)任，較刑、民二法的規(guī)定做了進(jìn)一步的細(xì)致化、特性化處理，突出其整合網(wǎng)絡(luò)安全領(lǐng)域的屬性。其第76條明示了“個(gè)人信息”這一用語的范圍及含義，對(duì)個(gè)人信息保護(hù)制度的發(fā)展具有指導(dǎo)性意義?！墩畔⒐_條例》《居民身份證法》等行政法規(guī)，嚴(yán)格規(guī)范了政府對(duì)制作、獲取并記錄、儲(chǔ)存在個(gè)人信息收集、儲(chǔ)存方在個(gè)人信息收集、儲(chǔ)存方面的服務(wù)性職能。保障公民、法人和其他組織依法獲取政府信息，提高政府工作的透明度，保護(hù)了公民的合法權(quán)益。

4.我國(guó)司法實(shí)踐的現(xiàn)狀

我國(guó)在構(gòu)筑公民個(gè)人信息保護(hù)制度的司法實(shí)踐過程中，積極應(yīng)對(duì)當(dāng)前問題，力圖制定具有中國(guó)特色的高效的數(shù)據(jù)安全框架。一方面通過刑法、民法、行政法等法律法規(guī)為個(gè)人信息保護(hù)提供堅(jiān)實(shí)的后盾，另一方面通過公安部門、國(guó)務(wù)院電信主管部門等聯(lián)合凈化網(wǎng)絡(luò)環(huán)境，開展網(wǎng)絡(luò)空間治理，加大有關(guān)侵犯?jìng)€(gè)人信息犯罪的執(zhí)法力度。[4]但體量巨大，類型繁多的大數(shù)據(jù)，日趨復(fù)雜的黑客攻擊、頻繁卻又難以檢測(cè)的系統(tǒng)漏洞等各種數(shù)據(jù)安全問題，使得公民個(gè)人信息泄露、個(gè)人數(shù)據(jù)遭濫用情況時(shí)有發(fā)生。

二、我國(guó)個(gè)人數(shù)據(jù)保護(hù)框架的檢視

1.尚未構(gòu)筑統(tǒng)一的個(gè)人信息法律保護(hù)體系

目前，我國(guó)缺乏具備綜合性、專門的個(gè)人信息保護(hù)法。《網(wǎng)絡(luò)安全法》主要作用于網(wǎng)絡(luò)安全領(lǐng)域，對(duì)個(gè)人信息的保護(hù)有限。有關(guān)個(gè)人信息保護(hù)的規(guī)定星散于主旨有別、內(nèi)容差異較大的行政法規(guī)或單行法之中。[5]現(xiàn)行的數(shù)據(jù)保護(hù)法律規(guī)范雖已在數(shù)量上形成一定的規(guī)模，但總體上仍較為零散，未整合成完整的體系。相關(guān)法律缺乏操作性，當(dāng)信息主體受到不法侵害時(shí)，經(jīng)常面臨無法可依、無據(jù)可循的困境，缺乏完整維護(hù)公民個(gè)人信息權(quán)的法律基礎(chǔ)，亟需保護(hù)個(gè)人信息的專門性法律予以規(guī)范調(diào)整?！皞€(gè)人信息”這一用語在法律語境中仍未有明確的、統(tǒng)一的內(nèi)涵和外延，作為網(wǎng)絡(luò)安全領(lǐng)域基礎(chǔ)性法律的《網(wǎng)絡(luò)安全法》，其所規(guī)定的有關(guān)個(gè)人信息的概念太過宏觀，雖具有指導(dǎo)意義，但難以在復(fù)雜的司法實(shí)踐中得到普遍適用?，F(xiàn)行的單行法律和法規(guī)。相關(guān)法律缺權(quán)益保護(hù)法》《電信條例》《政府信息公開條例》等，立法觀念過于保守，規(guī)定過于原則化。有關(guān)信息控制者、管理者使用、收集、儲(chǔ)存信息的方式、方法、保密義務(wù)都太過籠統(tǒng)，多以間接保護(hù)為主，提供的保護(hù)范圍較狹窄，未提供充足、合理的救濟(jì)途徑。因此被侵權(quán)人不得不面對(duì)維權(quán)成本過高、侵權(quán)主體難以確定、舉證責(zé)任不平衡等問題，致使受害者維權(quán)動(dòng)力不足。另一方面，我國(guó)個(gè)人信息保護(hù)領(lǐng)域尚未確立符合個(gè)人信息保護(hù)領(lǐng)域的安全標(biāo)準(zhǔn)，執(zhí)法中所適用的標(biāo)準(zhǔn)仍是偏向網(wǎng)絡(luò)安全領(lǐng)域的《網(wǎng)絡(luò)安全法》所規(guī)定的國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。實(shí)踐中我國(guó)國(guó)家信息保護(hù)與個(gè)人信息保護(hù)錯(cuò)位現(xiàn)象十分嚴(yán)重，法律關(guān)系混亂，難以適應(yīng)日趨嚴(yán)峻的司法現(xiàn)狀。各法律和規(guī)章適用的范圍、立法所調(diào)整的對(duì)象差異較大，且層次不一、規(guī)則籠統(tǒng)，部分內(nèi)容甚至重復(fù)或沖突，相應(yīng)配套法規(guī)不完善，更遑論取得優(yōu)異的社會(huì)治理業(yè)績(jī)。

2.數(shù)據(jù)保護(hù)法律框架內(nèi)部不協(xié)調(diào)

作為個(gè)人信息保護(hù)領(lǐng)域中發(fā)揮支柱性作用的法律部門，刑法、民法、行政法三者的立法目的、價(jià)值理念、原則迥然不同。導(dǎo)致三者所調(diào)整的法律關(guān)系大相徑庭，適用法律的范圍判若鴻溝，難以有效銜接形成合力相互配合、為公民提供行使個(gè)人信息請(qǐng)求權(quán)的完整基礎(chǔ)，司法實(shí)踐中被侵權(quán)人難以找到直接、合理的法律依據(jù)維權(quán)的情況頻繁發(fā)生。司法實(shí)踐中重刑法、輕民法和行政法的問題十分突出。有關(guān)數(shù)據(jù)保護(hù)的法律文本其顯著特征便是令行禁止，多設(shè)禁止性與義務(wù)性規(guī)定，不能因勢(shì)利導(dǎo)，遏制了信息控制者的積極性與市場(chǎng)主體的創(chuàng)新力。在侵犯?jìng)€(gè)人信息行為懲戒追責(zé)方面，動(dòng)輒以刑法規(guī)范作為追責(zé)方式，刑法規(guī)范替代其他執(zhí)法機(jī)制，僅“兩高”《關(guān)于辦理侵犯公民個(gè)人信息刑事案件的解釋》第5條這一條司法解釋便規(guī)定了十種“情節(jié)嚴(yán)重”的判定標(biāo)準(zhǔn)。刑罰的目的在于預(yù)防犯罪的發(fā)生，這般強(qiáng)化刑罰工具主義，加重社會(huì)治理刑罰化的方式，使得刑事責(zé)任規(guī)定雖然看似嚴(yán)格，實(shí)際效果卻非常有限。刑法的錯(cuò)位與民法、行政法的缺位，使得個(gè)人信息治理機(jī)制失衡，執(zhí)行狀況難以回應(yīng)法律要求，進(jìn)一步加劇我國(guó)數(shù)據(jù)安全保護(hù)框架的紊亂和失靈。目前，我國(guó)刑法所涵蓋的個(gè)人信息犯罪行為僅有“違法出售、提供、獲得”“竊取”四種，然而現(xiàn)實(shí)中損害公民個(gè)人信息權(quán)的行為如“非法儲(chǔ)存、利用”等并未被列入規(guī)制對(duì)象當(dāng)中，此外“民法、行政法”也未發(fā)揮對(duì)刑法規(guī)制缺陷的補(bǔ)充作用。

3.個(gè)人數(shù)據(jù)保護(hù)預(yù)警監(jiān)測(cè)及監(jiān)督制度尚不完善

面對(duì)不同的個(gè)人信息數(shù)據(jù)，預(yù)測(cè)、監(jiān)督機(jī)制并未采取不同的標(biāo)準(zhǔn)進(jìn)行有效的區(qū)分，提高了規(guī)制成本，不利于回應(yīng)公民日益強(qiáng)烈的個(gè)人信息保護(hù)需求。伴隨大數(shù)據(jù)的進(jìn)步，公民的個(gè)人信息權(quán)力種類、范圍等也在不斷地?cái)U(kuò)張，網(wǎng)絡(luò)安全法確立的包括遺忘權(quán)等新型權(quán)利不足以順應(yīng)社會(huì)、大數(shù)據(jù)發(fā)展的潮流，包括公民的同意權(quán)、刪除權(quán)、遺忘權(quán)等各項(xiàng)權(quán)利，法律都未予以明確回應(yīng)。大數(shù)據(jù)時(shí)代公民需要更多且更明確的權(quán)力話語。個(gè)人信息保護(hù)類法規(guī)需要確立公民維護(hù)自身信息安全的制度[6]，賦予公民更多的權(quán)利，明確信息主體的同意權(quán)、刪除權(quán)保護(hù)范圍。

4.內(nèi)部治理機(jī)制與外部執(zhí)法機(jī)制存在缺陷

當(dāng)前企業(yè)內(nèi)部缺乏自律機(jī)制。近年來我國(guó)個(gè)人數(shù)據(jù)泄露事件高發(fā)，如2013年支付寶賬單中20G用戶個(gè)人信息被泄露，2016年京東內(nèi)部員工倒賣用戶個(gè)人信息至50億條信息遭非法泄露，2016年某省銀行內(nèi)部職員泄露257萬條征信信息。這類事件社會(huì)影響極其惡劣，但究其根源是信息控制者內(nèi)部治理機(jī)制的問題。受固有的信息安全觀念影響，信息控制者的注意力更集中在計(jì)算機(jī)系統(tǒng)安全上，卻忽視了對(duì)個(gè)人信息的保護(hù)。行業(yè)自律效果不佳，企業(yè)內(nèi)部缺乏自律組織，行業(yè)自治無法響應(yīng)信息主體對(duì)個(gè)人信息充分保護(hù)的要求，主張通過信息控制者的自律實(shí)現(xiàn)信息安全難以破解個(gè)人信息保護(hù)的癥結(jié)。此外，目前我國(guó)尚未組建統(tǒng)一、專門的執(zhí)法機(jī)構(gòu)。我國(guó)數(shù)據(jù)保護(hù)的職責(zé)星羅分散，由公安部、國(guó)家網(wǎng)信部、國(guó)家統(tǒng)計(jì)局等部門承擔(dān)，因此，個(gè)人信息保護(hù)實(shí)踐中存在工作人員冗余、職責(zé)界限不清、職能互相沖突的尷尬局面。這種局面使得我國(guó)個(gè)人信息數(shù)據(jù)保護(hù)的執(zhí)法現(xiàn)狀難以應(yīng)對(duì)嚴(yán)峻的個(gè)人數(shù)據(jù)保護(hù)形勢(shì)和回應(yīng)大數(shù)據(jù)治理專業(yè)化、分工化的要求。在數(shù)字經(jīng)濟(jì)時(shí)代，設(shè)立專門的數(shù)據(jù)保護(hù)機(jī)構(gòu)和安全管理負(fù)責(zé)人，已然成為世界范圍內(nèi)的必然趨勢(shì)，的注意力的缺乏將使我國(guó)處于被動(dòng)的地位。[7]互聯(lián)網(wǎng)時(shí)代，個(gè)人信息保護(hù)的方式與階段都在發(fā)生改變，構(gòu)筑強(qiáng)有力的執(zhí)法機(jī)制，形成外部執(zhí)法威懾迫在眉睫。

三、我國(guó)個(gè)人數(shù)據(jù)保護(hù)框架之設(shè)想

首先，針對(duì)我國(guó)立法分散、滯后的癥結(jié)，整合現(xiàn)行有關(guān)個(gè)人信息保護(hù)的法律、法規(guī)，對(duì)相關(guān)法規(guī)進(jìn)行修訂與完善，搭建一個(gè)統(tǒng)一、完整的具有整體性和先見性的個(gè)人信息法律保護(hù)框架，實(shí)現(xiàn)從“碎片化”向“體系化”的轉(zhuǎn)變，[8]使各法律法規(guī)取長(zhǎng)補(bǔ)短、相互配合形成合力。同時(shí)加速制定個(gè)人信息保護(hù)法，設(shè)立統(tǒng)一的立法理念與法律規(guī)則。確立符合個(gè)人信息保護(hù)領(lǐng)域的安全標(biāo)準(zhǔn)，分離國(guó)家網(wǎng)絡(luò)安全與個(gè)人信息保護(hù)標(biāo)準(zhǔn)，規(guī)避國(guó)家數(shù)據(jù)安全保護(hù)與公民個(gè)人數(shù)據(jù)保護(hù)的錯(cuò)位。針對(duì)個(gè)人信息內(nèi)涵、外延不明確這一問題，通過司法解釋文件與部門規(guī)章等明確個(gè)人信息概念，厘清個(gè)人信息的法律屬性與內(nèi)涵、外延，將其概念由宏觀轉(zhuǎn)至微觀，服務(wù)于具體司法實(shí)踐。動(dòng)態(tài)的看待個(gè)人信息的屬性，區(qū)別個(gè)人信息保護(hù)狀態(tài)下的私益屬性，與個(gè)人信息利用狀態(tài)下的公益屬性。[9]創(chuàng)新個(gè)人信息侵權(quán)的法律救濟(jì)途徑，修訂、完善民法與行政法，擴(kuò)大法律對(duì)個(gè)人信息的保護(hù)范圍，加大對(duì)個(gè)人信息侵權(quán)行為的保護(hù)力度。創(chuàng)新司法機(jī)制，將個(gè)人信息侵權(quán)保護(hù)通過司法審判機(jī)制直接加入到民法和行政法保護(hù)的范圍當(dāng)中，在各級(jí)人民法院理念與法律規(guī)則。確立符合個(gè)人信息保護(hù)領(lǐng)域的安全專業(yè)服務(wù)機(jī)構(gòu)，如取證機(jī)構(gòu)、證據(jù)保全機(jī)構(gòu)、司法援助機(jī)構(gòu)等，降低被侵權(quán)人的維權(quán)成本與取證難度，為受害者提供充足、合理的救濟(jì)途徑。

其次，協(xié)調(diào)個(gè)人信息數(shù)據(jù)保護(hù)法律框架內(nèi)部各要素之間的關(guān)系，科學(xué)厘清不同制度的邊界。在制定、完善個(gè)人信息保護(hù)法律法規(guī)的基礎(chǔ)上，解決刑法規(guī)范越俎代庖、其他執(zhí)法機(jī)制實(shí)行效果差的問題，規(guī)避法律規(guī)范機(jī)制內(nèi)部的缺位、錯(cuò)位、越位。[10]以強(qiáng)化行政監(jiān)管、拓寬民事法律救濟(jì)途徑等方式推動(dòng)個(gè)人信息治理多元化，推進(jìn)個(gè)人信息合作保護(hù)和治理，改善我國(guó)現(xiàn)階段法律體系中刑法追責(zé)過強(qiáng)，行政法、民法邊緣化的現(xiàn)狀，推動(dòng)刑事、民事責(zé)任與行政處罰的有效銜接，實(shí)現(xiàn)三者在個(gè)人信息侵權(quán)保護(hù)方面的缺益互補(bǔ)、齊頭并進(jìn)，以此激勵(lì)信息控制者與市場(chǎng)主體，讓他們?cè)趥€(gè)人信息數(shù)據(jù)治理中發(fā)揮積極性與創(chuàng)新力。擴(kuò)張對(duì)個(gè)人信息犯罪方式的規(guī)定以及相關(guān)司法解釋，將社會(huì)中存在的非法侵害個(gè)人信息的行為列入刑法的規(guī)制范圍當(dāng)中，解決垃圾電話短信、不良網(wǎng)絡(luò)運(yùn)營(yíng)商擾民等問題，并通過發(fā)布典型案例、提出檢察建議等方式，發(fā)揮刑法在教育、警醒、預(yù)防、指導(dǎo)等方面的功能，對(duì)公民的個(gè)人信息安全進(jìn)行事前保護(hù)，防患于未然。構(gòu)建一個(gè)刑法、民法、行政法相互補(bǔ)充的系統(tǒng)化、多元化的法律框架。