郭成志

摘? 要：大數(shù)據(jù)技術(shù)發(fā)展與個人數(shù)據(jù)保護之間的沖突日益凸顯。為此應從立法、執(zhí)法、司法等方面整合現(xiàn)行個人信息數(shù)據(jù)法律法規(guī)，協(xié)調(diào)刑法、民法、行政法三者關系，建立健全事前預警、事中監(jiān)督與事后救濟機制，兼修內(nèi)部治理與外部監(jiān)管，構(gòu)建以刑、民、行政法為支柱，行業(yè)自律同外部執(zhí)法并行的個人數(shù)據(jù)保護框架。

關鍵詞： 數(shù)據(jù)安全;個人數(shù)據(jù);個人信息保護法;網(wǎng)絡安全法

中圖分類號：G203? ? ?文獻標識碼：A? ? 文章編號：2096-3769（2020）02-119-05

伴隨著技術(shù)的發(fā)展，人類步入了數(shù)字經(jīng)濟時代，大數(shù)據(jù)浪潮呼嘯而來，席卷著整個社會。在這個時代，數(shù)據(jù)是最大且最有價值的資源。構(gòu)建數(shù)字經(jīng)濟的關鍵要素是自由流通的數(shù)據(jù)，因此數(shù)據(jù)這一科技革命誕生的產(chǎn)物在當代成為具有諸多資產(chǎn)屬性的生產(chǎn)要素，與此同時，數(shù)據(jù)作為信息載體其流動與使用也引發(fā)了諸多社會關注。為了建立一個為個人信息數(shù)據(jù)（1）保護提供基礎同時又讓數(shù)據(jù)保護法反映國情的個人數(shù)據(jù)保護框架，各國政府開始了制定符合本國價值定位與制度設計的嘗試。在此背景之下，如何應對數(shù)字經(jīng)濟時代數(shù)據(jù)管理帶來的挑戰(zhàn)，處理好個人數(shù)據(jù)安全保護與數(shù)據(jù)資產(chǎn)利用的關系，成為我國亟需解決的問題。

一、我國數(shù)據(jù)保護制度的探索與反饋

我國政府十分重視數(shù)據(jù)在國家現(xiàn)代化建設的戰(zhàn)略性作用。[1]國務院印發(fā)的《促進大數(shù)據(jù)發(fā)展行動綱要》明確指出，“數(shù)據(jù)已成為國家基礎性戰(zhàn)略資源”。[2]2004年出臺的《居民身份證法》拉開了我國個人信息保護法制建設的序幕，至今我國已出臺近200部有關個人信息保護的法律文件，集中分布于刑、民、行政等部門法律之中。[3]

1.刑法數(shù)據(jù)保護的立法探索

2009年的《刑法修正案（七）》首次將出售、非法提供公民個人信息的行為列為刑法規(guī)制的對象。其第253條規(guī)定“國家機關或者金融、電信、交通、教育、醫(yī)療等單位的工作人員，違反國家規(guī)定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。竊取或者以其他方法非法獲取上述信息，情節(jié)嚴重的，依照前款的規(guī)定處罰。單位犯前兩款罪的，對單位判處罰金，并對其直接負責的主管人員和其他直接責任人員，依照各該款的規(guī)定處罰”。其后出臺的“兩高”《關于執(zhí)行<中華人民共和國刑法>確定罪名的補充規(guī)定（四）》補充、確定了“出售、非法提供公民個人信息罪與非法獲取公民個人信息罪”。2015年《刑法修正案（九）》進一步補充、修改了侵犯公民個人信息犯罪的相關規(guī)定。首先，擴大了侵犯個人信息犯罪的法律規(guī)制范圍，刪除了“特定單位的工作人員”這一表述，使法律規(guī)制的犯罪主體從特定主體變?yōu)橐话阒黧w。其次，加大了刑罰懲戒力度，增加了特定主體“從重處罰”以及“情節(jié)特別嚴重”量刑情形的規(guī)定。

2.民法數(shù)據(jù)保護的立法探索

2017年全國人大通過并予以頒布的《民法總則》，作為民法典開篇文書，其第111條規(guī)定的“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”，為公民個人信息數(shù)據(jù)保護提供了民法基礎?！肚謾?quán)責任法》第2條亦明示，侵害包括隱私權(quán)在內(nèi)的民事權(quán)益，應當承擔侵權(quán)責任。第36條則規(guī)定了網(wǎng)絡用戶、網(wǎng)絡服務提供者應當遵循的法律義務以及侵權(quán)所應承擔的法律責任，維護了網(wǎng)絡侵權(quán)中被侵權(quán)人的隱私權(quán)利。以上兩條規(guī)定使得侵權(quán)責任法成為我國個人數(shù)據(jù)保護方面最為直接有效的法律依據(jù)，為之后《民法典》有關個人數(shù)據(jù)、隱私權(quán)條款的制定奠定了堅實的基礎。

3.行政法數(shù)據(jù)保護的立法探索

2016年出臺的《網(wǎng)絡安全法》作為目前個人信息、數(shù)據(jù)保護領域的集大成之作，通過諸多條文明確了個人信息收集、使用所應遵循的“合法、正當、必要”原則，以及網(wǎng)絡運營者應當履行的保護義務，完善了我國個人信息、數(shù)據(jù)的保護制度。該法第64條規(guī)定的侵犯個人信息權(quán)利的法律責任，較刑、民二法的規(guī)定做了進一步的細致化、特性化處理，突出其整合網(wǎng)絡安全領域的屬性。其第76條明示了“個人信息”這一用語的范圍及含義，對個人信息保護制度的發(fā)展具有指導性意義。《政府信息公開條例》《居民身份證法》等行政法規(guī)，嚴格規(guī)范了政府對制作、獲取并記錄、儲存在個人信息收集、儲存方在個人信息收集、儲存方面的服務性職能。保障公民、法人和其他組織依法獲取政府信息，提高政府工作的透明度，保護了公民的合法權(quán)益。

4.我國司法實踐的現(xiàn)狀

我國在構(gòu)筑公民個人信息保護制度的司法實踐過程中，積極應對當前問題，力圖制定具有中國特色的高效的數(shù)據(jù)安全框架。一方面通過刑法、民法、行政法等法律法規(guī)為個人信息保護提供堅實的后盾，另一方面通過公安部門、國務院電信主管部門等聯(lián)合凈化網(wǎng)絡環(huán)境，開展網(wǎng)絡空間治理，加大有關侵犯個人信息犯罪的執(zhí)法力度。[4]但體量巨大，類型繁多的大數(shù)據(jù)，日趨復雜的黑客攻擊、頻繁卻又難以檢測的系統(tǒng)漏洞等各種數(shù)據(jù)安全問題，使得公民個人信息泄露、個人數(shù)據(jù)遭濫用情況時有發(fā)生。

二、我國個人數(shù)據(jù)保護框架的檢視

1.尚未構(gòu)筑統(tǒng)一的個人信息法律保護體系

目前，我國缺乏具備綜合性、專門的個人信息保護法?！毒W(wǎng)絡安全法》主要作用于網(wǎng)絡安全領域，對個人信息的保護有限。有關個人信息保護的規(guī)定星散于主旨有別、內(nèi)容差異較大的行政法規(guī)或單行法之中。[5]現(xiàn)行的數(shù)據(jù)保護法律規(guī)范雖已在數(shù)量上形成一定的規(guī)模，但總體上仍較為零散，未整合成完整的體系。相關法律缺乏操作性，當信息主體受到不法侵害時，經(jīng)常面臨無法可依、無據(jù)可循的困境，缺乏完整維護公民個人信息權(quán)的法律基礎，亟需保護個人信息的專門性法律予以規(guī)范調(diào)整?！皞€人信息”這一用語在法律語境中仍未有明確的、統(tǒng)一的內(nèi)涵和外延，作為網(wǎng)絡安全領域基礎性法律的《網(wǎng)絡安全法》，其所規(guī)定的有關個人信息的概念太過宏觀，雖具有指導意義，但難以在復雜的司法實踐中得到普遍適用?，F(xiàn)行的單行法律和法規(guī)。相關法律缺權(quán)益保護法》《電信條例》《政府信息公開條例》等，立法觀念過于保守，規(guī)定過于原則化。有關信息控制者、管理者使用、收集、儲存信息的方式、方法、保密義務都太過籠統(tǒng)，多以間接保護為主，提供的保護范圍較狹窄，未提供充足、合理的救濟途徑。因此被侵權(quán)人不得不面對維權(quán)成本過高、侵權(quán)主體難以確定、舉證責任不平衡等問題，致使受害者維權(quán)動力不足。另一方面，我國個人信息保護領域尚未確立符合個人信息保護領域的安全標準，執(zhí)法中所適用的標準仍是偏向網(wǎng)絡安全領域的《網(wǎng)絡安全法》所規(guī)定的國家網(wǎng)絡安全標準。實踐中我國國家信息保護與個人信息保護錯位現(xiàn)象十分嚴重，法律關系混亂，難以適應日趨嚴峻的司法現(xiàn)狀。各法律和規(guī)章適用的范圍、立法所調(diào)整的對象差異較大，且層次不一、規(guī)則籠統(tǒng)，部分內(nèi)容甚至重復或沖突，相應配套法規(guī)不完善，更遑論取得優(yōu)異的社會治理業(yè)績。

2.數(shù)據(jù)保護法律框架內(nèi)部不協(xié)調(diào)

作為個人信息保護領域中發(fā)揮支柱性作用的法律部門，刑法、民法、行政法三者的立法目的、價值理念、原則迥然不同。導致三者所調(diào)整的法律關系大相徑庭，適用法律的范圍判若鴻溝，難以有效銜接形成合力相互配合、為公民提供行使個人信息請求權(quán)的完整基礎，司法實踐中被侵權(quán)人難以找到直接、合理的法律依據(jù)維權(quán)的情況頻繁發(fā)生。司法實踐中重刑法、輕民法和行政法的問題十分突出。有關數(shù)據(jù)保護的法律文本其顯著特征便是令行禁止，多設禁止性與義務性規(guī)定，不能因勢利導，遏制了信息控制者的積極性與市場主體的創(chuàng)新力。在侵犯個人信息行為懲戒追責方面，動輒以刑法規(guī)范作為追責方式，刑法規(guī)范替代其他執(zhí)法機制，僅“兩高”《關于辦理侵犯公民個人信息刑事案件的解釋》第5條這一條司法解釋便規(guī)定了十種“情節(jié)嚴重”的判定標準。刑罰的目的在于預防犯罪的發(fā)生，這般強化刑罰工具主義，加重社會治理刑罰化的方式，使得刑事責任規(guī)定雖然看似嚴格，實際效果卻非常有限。刑法的錯位與民法、行政法的缺位，使得個人信息治理機制失衡，執(zhí)行狀況難以回應法律要求，進一步加劇我國數(shù)據(jù)安全保護框架的紊亂和失靈。目前，我國刑法所涵蓋的個人信息犯罪行為僅有“違法出售、提供、獲得”“竊取”四種，然而現(xiàn)實中損害公民個人信息權(quán)的行為如“非法儲存、利用”等并未被列入規(guī)制對象當中，此外“民法、行政法”也未發(fā)揮對刑法規(guī)制缺陷的補充作用。

3.個人數(shù)據(jù)保護預警監(jiān)測及監(jiān)督制度尚不完善

面對不同的個人信息數(shù)據(jù)，預測、監(jiān)督機制并未采取不同的標準進行有效的區(qū)分，提高了規(guī)制成本，不利于回應公民日益強烈的個人信息保護需求。伴隨大數(shù)據(jù)的進步，公民的個人信息權(quán)力種類、范圍等也在不斷地擴張，網(wǎng)絡安全法確立的包括遺忘權(quán)等新型權(quán)利不足以順應社會、大數(shù)據(jù)發(fā)展的潮流，包括公民的同意權(quán)、刪除權(quán)、遺忘權(quán)等各項權(quán)利，法律都未予以明確回應。大數(shù)據(jù)時代公民需要更多且更明確的權(quán)力話語。個人信息保護類法規(guī)需要確立公民維護自身信息安全的制度[6]，賦予公民更多的權(quán)利，明確信息主體的同意權(quán)、刪除權(quán)保護范圍。

4.內(nèi)部治理機制與外部執(zhí)法機制存在缺陷

當前企業(yè)內(nèi)部缺乏自律機制。近年來我國個人數(shù)據(jù)泄露事件高發(fā)，如2013年支付寶賬單中20G用戶個人信息被泄露，2016年京東內(nèi)部員工倒賣用戶個人信息至50億條信息遭非法泄露，2016年某省銀行內(nèi)部職員泄露257萬條征信信息。這類事件社會影響極其惡劣，但究其根源是信息控制者內(nèi)部治理機制的問題。受固有的信息安全觀念影響，信息控制者的注意力更集中在計算機系統(tǒng)安全上，卻忽視了對個人信息的保護。行業(yè)自律效果不佳，企業(yè)內(nèi)部缺乏自律組織，行業(yè)自治無法響應信息主體對個人信息充分保護的要求，主張通過信息控制者的自律實現(xiàn)信息安全難以破解個人信息保護的癥結(jié)。此外，目前我國尚未組建統(tǒng)一、專門的執(zhí)法機構(gòu)。我國數(shù)據(jù)保護的職責星羅分散，由公安部、國家網(wǎng)信部、國家統(tǒng)計局等部門承擔，因此，個人信息保護實踐中存在工作人員冗余、職責界限不清、職能互相沖突的尷尬局面。這種局面使得我國個人信息數(shù)據(jù)保護的執(zhí)法現(xiàn)狀難以應對嚴峻的個人數(shù)據(jù)保護形勢和回應大數(shù)據(jù)治理專業(yè)化、分工化的要求。在數(shù)字經(jīng)濟時代，設立專門的數(shù)據(jù)保護機構(gòu)和安全管理負責人，已然成為世界范圍內(nèi)的必然趨勢，的注意力的缺乏將使我國處于被動的地位。[7]互聯(lián)網(wǎng)時代，個人信息保護的方式與階段都在發(fā)生改變，構(gòu)筑強有力的執(zhí)法機制，形成外部執(zhí)法威懾迫在眉睫。

三、我國個人數(shù)據(jù)保護框架之設想

首先，針對我國立法分散、滯后的癥結(jié)，整合現(xiàn)行有關個人信息保護的法律、法規(guī)，對相關法規(guī)進行修訂與完善，搭建一個統(tǒng)一、完整的具有整體性和先見性的個人信息法律保護框架，實現(xiàn)從“碎片化”向“體系化”的轉(zhuǎn)變，[8]使各法律法規(guī)取長補短、相互配合形成合力。同時加速制定個人信息保護法，設立統(tǒng)一的立法理念與法律規(guī)則。確立符合個人信息保護領域的安全標準，分離國家網(wǎng)絡安全與個人信息保護標準，規(guī)避國家數(shù)據(jù)安全保護與公民個人數(shù)據(jù)保護的錯位。針對個人信息內(nèi)涵、外延不明確這一問題，通過司法解釋文件與部門規(guī)章等明確個人信息概念，厘清個人信息的法律屬性與內(nèi)涵、外延，將其概念由宏觀轉(zhuǎn)至微觀，服務于具體司法實踐。動態(tài)的看待個人信息的屬性，區(qū)別個人信息保護狀態(tài)下的私益屬性，與個人信息利用狀態(tài)下的公益屬性。[9]創(chuàng)新個人信息侵權(quán)的法律救濟途徑，修訂、完善民法與行政法，擴大法律對個人信息的保護范圍，加大對個人信息侵權(quán)行為的保護力度。創(chuàng)新司法機制，將個人信息侵權(quán)保護通過司法審判機制直接加入到民法和行政法保護的范圍當中，在各級人民法院理念與法律規(guī)則。確立符合個人信息保護領域的安全專業(yè)服務機構(gòu)，如取證機構(gòu)、證據(jù)保全機構(gòu)、司法援助機構(gòu)等，降低被侵權(quán)人的維權(quán)成本與取證難度，為受害者提供充足、合理的救濟途徑。

其次，協(xié)調(diào)個人信息數(shù)據(jù)保護法律框架內(nèi)部各要素之間的關系，科學厘清不同制度的邊界。在制定、完善個人信息保護法律法規(guī)的基礎上，解決刑法規(guī)范越俎代庖、其他執(zhí)法機制實行效果差的問題，規(guī)避法律規(guī)范機制內(nèi)部的缺位、錯位、越位。[10]以強化行政監(jiān)管、拓寬民事法律救濟途徑等方式推動個人信息治理多元化，推進個人信息合作保護和治理，改善我國現(xiàn)階段法律體系中刑法追責過強，行政法、民法邊緣化的現(xiàn)狀，推動刑事、民事責任與行政處罰的有效銜接，實現(xiàn)三者在個人信息侵權(quán)保護方面的缺益互補、齊頭并進，以此激勵信息控制者與市場主體，讓他們在個人信息數(shù)據(jù)治理中發(fā)揮積極性與創(chuàng)新力。擴張對個人信息犯罪方式的規(guī)定以及相關司法解釋，將社會中存在的非法侵害個人信息的行為列入刑法的規(guī)制范圍當中，解決垃圾電話短信、不良網(wǎng)絡運營商擾民等問題，并通過發(fā)布典型案例、提出檢察建議等方式，發(fā)揮刑法在教育、警醒、預防、指導等方面的功能，對公民的個人信息安全進行事前保護，防患于未然。構(gòu)建一個刑法、民法、行政法相互補充的系統(tǒng)化、多元化的法律框架。