大数据作为当前最热门的科技术语之一,已经从一种数据处理模式演化为具有时代特征的标志性代名词。在信息化快速发展的今天,个人信息数据被广泛地开发利用,一方面推动了经济社会发展水平的提升,另一方面个人信息数据被非法采集、非法使用的现象也频繁发生,个人信息安全面临着前所未有的威胁,个人信息保护问题受到社会普遍关注。
一、个人信息的司法保护现状
个人信息安全事件频仍,折射出在司法领域,即相关案件呈现高发多发态势。以我任职的浙江省检察机关办理的侵犯公民个人信息犯罪为例,2016年1月至2018年9月,共受理移送审查起诉案件645件1973人,依法提起公诉421件1168人,且呈快速增长态势。案件数量激增有多方面原因,从犯罪原因方面讲,大数据背景下个人信息蕴含着巨大的经济利益,驱使一部分人通过侵害他人权利牟取利益。同时,信息技术发展也使得这类侵权行为具有相应的技术和应用环境。从司法惩治方面讲,中华人民共和国最高人民法院和最高人民检察院于2017年6月施行的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,界定了公民个人信息范围,明确了“情节严重”标准,破解了“计算难”问题,促使司法标准更为统一,使司法行为更有“底气”,依法办理的案件也随之增多。
二、个人信息的司法保护困境
在肯定个人信息的司法保护日趋有力的同时,实践中也存在亟待解决的难题:
一是法律适用存在争议,案件处理认识不一。实务中,“被收集者同意”往往作为侵犯公民个人信息权的违法阻却事由。但公民在网站上自行公开个人信息的行为,是否可被推定为同意他人收集使用?如果推定为同意,同意范围是否仅限于发布目的,收集使用者的行为目的、行为方式有无限定、如何限定等等,司法实务中认识还有分歧。
二是重刑轻民较为明显,民事救济相对薄弱。个人信息权属于民事权利。当民事权利受侵害时,民事救济应当是主要手段。但司法实践恰好相反,刑事保护在前,民事救济靠后。造成这一现象,既有网络时代个人信息权侵权行为隐蔽性、侵权者与被害人处境事实上不对等的客观原因,也有法律制度不完善导致司法认识不统一的主观原因,特别是对“个人信息权的民事权利属性是什么”这一问题,不同司法人员、不同司法机关有不同认识,这就决定了不同司法机关在保护范围、保护力度、证据要求等方面的不同做法,导致个人信息的民事司法保护与民众的期待还有差距。
三是公益诉讼工作有待深化,检察机关大有可为。公益诉讼是法律赋予检察机关的重要职责,在个人信息数据频受侵害的当下,检察机关应当有所作为。浙江省宁波市海曙区检察院积极探索,针对广告推销电话扰民及侵害社会公益的现象,向宁波市通信管理局发出整治“骚扰电话”的检察建议,当地整治效果显著,受到各大媒体关注、300多万网民“一边倒”的好评、点赞,为检察机关深化公益诉讼工作、加强个人信息保护提供了较好的实践样本。但从全国范围看,上述探索还只是“盆景”,尚未形成“风景”,原因在于实务中对公益诉讼法定四个领域之后的“等”的范围缺乏权威解释,大家对公益保护的拓展创新仍有疑虑。
三、个人信息保护的立法完善
解决个人信息保护的司法难题,不能仅仅依靠司法机关的努力,更需要从立法上加以完善。
一要平衡各方利益,实现共赢多赢。大数据时代,不同主体对个人信息有不同利益,同一主体也有不同需求。就个人而言,公民对自己的信息具有强烈的保护诉求,但同时又离不开对他人信息的利用,如查询数据、核查身份、咨询服务等等。就商业组织、信息从业者而言,既要求通过收集使用个人信息数据创造更多商业价值和社会价值,也要求自身掌握的信息数据能够受到法律保护,防止他人非法侵害。就国家而言,更是兼具利用者、管理者、保护者的三重身份,国家需要通过收集使用个人信息不断提升治理能力和治理水平,同时也要防止包括政府机构在内的各类组织以及个人对个人信息的肆意侵害,承担起对个人信息的保护责任。因此,如何体现各类主体利益诉求,实现共赢多赢,是个人信息立法首要解决的问题。为此,在立法价值上要注重三个平衡:平衡不同利益主体的关系,平衡有效保护与开发利用的关系,平衡个人安宁和社会发展的关系。在制度设计上要坚持三项原则:合法性原则,即收集使用必须符合法律法规规定和当事人之间的约定;正当性原则,即收集使用应当源于合理目的、限于合理范围、遵循合理方式;必要性原则,即收集使用应当秉持“最少够用”准则。
二要构建立体保护,强化他律自律。首先要健全基本法律,要在民法典各分编中明确个人信息权的法律地位、权利属性以及个人信息的收集使用原则;要尽快制定个人信息保护法,推进个人信息的专门化、系统化保护。其次要分领域制定规章制度,在金融、通信、电子商务、教育、医疗卫生、传媒等重点领域制定个人信息保护行政法规、部门规章,形成既反映实际需要又整体统一的法律保护体系。再次要积极推进行业自律建设,引导重点行业、领军企业在国家法律框架内建立个人信息开发利用从业规则,充分发挥行业自律管理机制,节省社会公共管理成本。
三要实行差异原则,突出规制重点。个人信息数据只有充分流动、共享、交易,才能最大程度地发挥价值。因此,个人信息保护要有区分,有侧重。一方面,要区分信息类型。可将个人信息分为敏感信息、重要信息与一般信息,并在保护态度、开发利用程度、侵权追责力度上有所不同。另一方面,要区分信息开发利用环节。收集和使用是个人信息开发利用的两个主要环节,与信息收集相比,信息非法使用是目前个人信息遭受侵害的高发环节。从问题导向出发,区分信息的采集和使用,应将信息使用作为重点规制环节。
四要体现域外效力,加强国际协作。网络空间是国际空间,国内的个人信息保护往往与其他国家紧密联系,这也使得这一领域的法律域外效力和国际合作发展备受关注。一方面,我国网络购物、移动支付、共享经济等新经济新业态走在世界前列,个人信息数据的产业链更长、价值性更高、系统规模也更大,个人信息保护的法律域外效力问题十分突出。而从比较法角度看,很多国家关于个人信息保护的法律中都含有域外效力内容,我国个人信息立法也应在这方面有所考虑,在保护公民个人权利的同时,保障国家战略安全。另一方面,在全球高度一体化的今天,必须将国内立法置于国际大环境当中去考量,注重法的域外效力与国际法、国际条约相协调,注意加强国际间的交流与合作,通过签订双边或多边国际协议等途径,共同应对大数据时代个人信息安全面临的新挑战。