關(guān)鍵詞 大數(shù)據(jù)時代 個人信息 法律保護(hù) 基本原則

基金項目：廣州市哲學(xué)社會科學(xué)發(fā)展“十三五”規(guī)劃2018 年度課題《大數(shù)據(jù)時代個人信息法律保護(hù)研究》（2018GZGJ140）。

作者簡介：李苑，廣州商學(xué)院法學(xué)院教師，研究方向：行政法。

中圖分類號：D920.4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻(xiàn)標(biāo)識碼：A? ? ? ? ? ? ?? ? ? ? ? ? DOI：10.19387/j.cnki.1009-0592.2020.08.096

如今，我們處于大數(shù)據(jù)時代，收集、處理、利用個人信息成為一種常見的現(xiàn)象。作為法律的靈魂，基本原則集中地反映了個人信息法律保護(hù)的本質(zhì)和內(nèi)在規(guī)律，是個人信息的“安全閥”。域外很多國家和地區(qū)在個人信息保護(hù)法中明確了個人信息法律保護(hù)的基本原則。在大數(shù)據(jù)時代，通過對比分析國外的相關(guān)經(jīng)驗，聯(lián)系我國的實際情況，確立個人信息法律保護(hù)的基本原則意義重大。

一、確立我國個人信息法律保護(hù)基本原則的價值

（一）對推動相關(guān)立法工作將產(chǎn)生積極的影響

法律原則，是法在調(diào)整社會關(guān)系時堅持的準(zhǔn)則和立場，其中的基本原則是法律的精髓，對于法律的立、修、廢及司法活動起指導(dǎo)性的作用?；驹瓌t集中地反映了個人信息保護(hù)的本質(zhì)、規(guī)律。我國相關(guān)立法工作已取得較大進(jìn)步，但仍存在一定的改進(jìn)空間。大數(shù)據(jù)背景下，泄露、濫用個人信息事件時常出現(xiàn)，確立個人信息法律保護(hù)的基本原則，對推進(jìn)我國個人信息立法工作，對規(guī)制相關(guān)的個人信息行為均將發(fā)揮重大的作用。

（二）對完善我國個人信息法律保護(hù)制度有重大意義

基本原則是法的精神實質(zhì)，體現(xiàn)了法的指導(dǎo)思想。在進(jìn)行法律的立、修、廢時，必須將基本原則作為依據(jù)，絕對不能違背這些抽象的、穩(wěn)定的準(zhǔn)則。在司法適用中，當(dāng)遇到疑難案件時，基本原則能夠為司法者指明方向。在遵循基本原則的基礎(chǔ)上，可以確立信息主體的權(quán)利和信息處理者的權(quán)利、義務(wù)，規(guī)范信息處理者的行為，使個人信息良性流動。

（三）對應(yīng)對大數(shù)據(jù)背景下個人信息安全問題將起到積極的作用

個人信息安全是大數(shù)據(jù)時代我們必須面對和解決的問題。信息收集者、處理者、利用者在進(jìn)行信息行為時，必須嚴(yán)格遵守個人信息法律保護(hù)的基本原則。如果違反基本原則，要追究行為人的法律責(zé)任。在實踐中，基本原則是個人信息法律保護(hù)的“安全閥”?；驹瓌t的確立，對規(guī)范和制約有關(guān)信息行為，對應(yīng)對大數(shù)據(jù)背景下個人信息安全問題起舉足輕重的作用。

二、域內(nèi)外的探討及實踐

（一）域外的實踐

域外對個人信息法律保護(hù)基本原則的立法實踐起步較早，具有典型意義的主要有三個文件，它們規(guī)定的基本原則被很多國家所仿效。

經(jīng)濟(jì)合作與發(fā)展組織出臺的《隱私保護(hù)與個人數(shù)據(jù)信息國際流通的指針建議》（以下簡稱1980年《指針建議》）規(guī)定了八項原則： 限制收集原則、完整正確原則、目的明確原則、限制利用原則、安全保護(hù)原則、公開原則、個人權(quán)利原則、責(zé)任原則。

聯(lián)合國大會通過的《關(guān)于自動資料檔案中個人數(shù)據(jù)信息的指南》（以下簡稱1990年《指南》）對此也有規(guī)定。與1980年《指針建議》比較，1990年《指南》在規(guī)定基本原則時有一個重大的變化，即不包括公開原則。這一變化是否合理值得深思。

歐盟發(fā)布的《關(guān)于涉及個人數(shù)據(jù)處理的個人保護(hù)以及此類數(shù)據(jù)自由流動的第95/46/EC號指令》（以下簡稱1995年《指令》）對此也進(jìn)行了明確。與1980年《指針建議》進(jìn)行比較，1995年《指令》確立的基本原則保留了公開原則，增加了非敏感數(shù)據(jù)處理的合法性原則、個人數(shù)據(jù)主體的查詢權(quán)原則、拒絕權(quán)原則、自主決定權(quán)原則、獲得救濟(jì)原則等?？梢?，1995年《指令》更關(guān)注對數(shù)據(jù)主體權(quán)利的細(xì)化及保護(hù)。

（二）國內(nèi)的研究現(xiàn)狀和實踐

無論在我國理論界還是在實踐中，個人信息法律保護(hù)基本原則都是一個重要的問題。

近年來，我國學(xué)者對此有一定探討，截止目前尚未形成統(tǒng)一的意見，主要有“四原則說”“五原則說”“七原則說”“八原則說”等。比如：洪海林完全贊同1980年《指針建議》確立的八項基本原則[1]。齊愛民提出“五原則說”，即知情同意原則、目的明確原則、限制利用原則、完整正確原則、安全原則[2]。馮心明、戎魏魏主張“四原則說”，即確認(rèn)個人信息的私有財產(chǎn)權(quán)性質(zhì)原則、合法性原則、安全性原則、平衡原則[3]。周漢華提出“七原則說”，即合法原則、權(quán)利保護(hù)原則、利益平衡原則、信息質(zhì)量原則、信息安全原則、職業(yè)義務(wù)原則、救濟(jì)原則[4]。通過對比分析，筆者認(rèn)為，我國學(xué)者在一定程度上對1980年《指針建議》確立的基本原則予以認(rèn)可，并以此作為藍(lán)本，聯(lián)系我國具體情況提出自己的觀點。

關(guān)于個人信息保護(hù)，我國工業(yè)和信息化部曾出臺了具有指導(dǎo)性意義的文件。2011年，出臺了《信息安全技術(shù)個人信息保護(hù)指南》（以下簡稱2011年《指南》）。在2011年《指南》中，明確個人信息保護(hù)應(yīng)堅持目的明確、公開透明、安全保障等七項原則。在次年出臺的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》（以下簡稱2012年《指南》）中，規(guī)定個人信息保護(hù)應(yīng)堅持目的明確、最少夠用、公開告知、安全保障等八項原則。對兩個《指南》進(jìn)行比較，2012年《指南》比2011年《指南》規(guī)定的基本原則的內(nèi)容更多，然而有的表達(dá)顯得創(chuàng)新性不足，且與域外較通行的原則有一定的出入，如在2012年《指南》中，公開告知原則取代了公開透明原則[5]。

在我國國家標(biāo)準(zhǔn)化管理委員會發(fā)布的《信息安全技術(shù) 個人信息安全規(guī)范》（2017年）中，規(guī)定了個人信息安全應(yīng)遵循目的明確、最少夠用、公開透明、確保安全等七項原則。

筆者認(rèn)為，基本原則是否全面，不應(yīng)僅僅看數(shù)量多少，關(guān)鍵看其包含的內(nèi)容。從整體上來看，兩個《指南》及《信息安全技術(shù) 個人信息安全規(guī)范》借鑒了域外的實踐經(jīng)驗，故應(yīng)對域外經(jīng)驗進(jìn)行分析比較，聯(lián)系當(dāng)今我國的實際情況，理性地將其本土化。

三、我國個人信息法律保護(hù)基本原則的內(nèi)容

（一）目的明確原則

為確保公民個人信息安全，在收集、處理個人信息時，應(yīng)堅持目的明確原則。所謂目的明確，是指只有基于確定且合法的目的，才能收集、處理個人信息，在信息活動著手前已經(jīng)確定該目的，且應(yīng)一直在該目的范圍內(nèi)開展信息活動。如在開展外賣送餐業(yè)務(wù)時，客戶需提供自己的姓名、電話號碼、地址，這是保證外賣送餐業(yè)務(wù)順利進(jìn)行必須收集的客戶信息。需注意，目的明確原則要求對個人信息的收集需達(dá)到能夠識別信息主體的程度，而識別標(biāo)準(zhǔn)應(yīng)根據(jù)一般人的認(rèn)識能力衡量確定，不能由信息收集者、信息處理者確定。

（二）限制收集原則

限制收集包括個人信息收集目的限制、數(shù)量限制、時間限制和使用限制等。一個信息活動通常包括信息收集、利用、處理等階段，限制收集原則在第一個環(huán)節(jié)就應(yīng)遵循，收集目的確定之后，必須圍繞該目的收集個人信息。收集時應(yīng)堅持信息數(shù)量最小化原則，同時應(yīng)限制信息的儲存時間、處理范圍等。如在外賣送餐業(yè)務(wù)中，為保證配送及時、正確，必須掌握訂餐者的姓名、電話號碼和地址，但訂餐者的職業(yè)、身份證號碼等信息則明顯超出了收集的范圍。

（三）公開原則

公開原則，是指信息活動中需遵守的規(guī)則必須向信息主體公開，促使信息主體的自決權(quán)等權(quán)利得以實現(xiàn)。需明確，公開的是規(guī)則，而不是信息的內(nèi)容。假如這些規(guī)則不公開透明，由于信息主體缺乏相關(guān)知識，通常也不愿消耗大量的時間、財力，他們不能在平等的基礎(chǔ)上與信息收集者、信息處理者進(jìn)行磋商，使信息主體在談判中處于明顯的劣勢地位。

公開的內(nèi)容包括：信息控制者、收集目的、收集范圍、使用方式、使用期限、信息加工處理的方式、法律責(zé)任等。信息主體在了解規(guī)則之后，才能理智地選擇是否向信息控制者提供自己的個人信息。

在收集個人信息時，信息控制者應(yīng)當(dāng)在合理的期限內(nèi)采用注冊協(xié)議等方式通知信息主體，確保其知情權(quán)得以實現(xiàn)。

（四）限制利用原則

大數(shù)據(jù)背景下，產(chǎn)業(yè)主體基于正當(dāng)?shù)哪康模梢允占?、處理公民的個人信息，而實施這些行為的前提是基于特定正當(dāng)?shù)哪康?，若超出目的范圍實施其他無關(guān)的信息行為即為非法，這體現(xiàn)了限制利用原則。限制利用原則要求信息控制者在處理個人信息時，應(yīng)在符合特定目的的前提下，使用、披露他人的個人信息、進(jìn)行數(shù)據(jù)庫的轉(zhuǎn)移、處置。在特殊情況下，如取得信息主體的同意，可以超出目的范圍。例如，目前，在畢業(yè)生就業(yè)信息系統(tǒng)中，可以采集到姓名、工作單位、聯(lián)系電話、聯(lián)系地址、工作年限等有關(guān)學(xué)生就業(yè)情況的信息。達(dá)到預(yù)先設(shè)定的目的后，除為公共利益而做的必要保留之外，收集者應(yīng)及時清除獲取的個人信息，避免這些信息落入不法分子手中造成安全隱患。

（五）安全保護(hù)原則

安全保護(hù)是域外立法一致采用的一項原則。例如，在《德國聯(lián)邦數(shù)據(jù)保護(hù)法》的附件中，要求對不同類型的數(shù)據(jù)，采用相應(yīng)的保護(hù)措施，包括入口管制、出口管制、取用管制、傳遞管制、委托管制、運(yùn)送管制等?！兜聡?lián)邦數(shù)據(jù)保護(hù)法》為數(shù)據(jù)提供了非常周全的保護(hù)措施，且貫穿數(shù)據(jù)活動的不同階段，具有一定的借鑒意義。

大數(shù)據(jù)背景下，安全保護(hù)原則確實給個人信息安全注射了一劑鎮(zhèn)定藥。安全保護(hù)原則對信息控制者提出了要求：必須制定嚴(yán)格的保密規(guī)則、具備相應(yīng)的軟硬件設(shè)施。安全保護(hù)實際上是信息控制者的一項法定義務(wù)，信息控制者對收集、控制的公民個人信息，負(fù)有采取措施保障信息安全與信息流通平衡的義務(wù)。

參考文獻(xiàn)：

[1]洪海林.個人信息的民法保護(hù)研究[J].中國社會科學(xué)院，2007：186.

[2]齊愛民.中華人民共和國個人信息保護(hù)法示范法草案學(xué)者建議稿[J].河北法學(xué)，2005（6）：2-5.

[3]馮心明，戎魏魏.個人信息保護(hù)立法若干問題思考[J].華南師范大學(xué)學(xué)報（社會科學(xué)版），2007（8）：20-24+35+157.

[4]周漢華.中華人民共和國個人信息保護(hù)法（專家建議稿）及立法研究報告[R].北京：法律出版社，2006：1-2.

[5]石佳友.網(wǎng)絡(luò)環(huán)境下的個人信息保護(hù)立法[J].蘇州大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2012（6）：85-96.