［提要］ 5G技术、物联网、人工智能等新技术的快速发展，直接推动大数据产业在生活中的广泛使用，大数据时代带给我们便捷的同时也唤醒人们对隐私和个人信息保护的思考，我们的个人信息随时面临着泄露的风险。近年来，我国一直在推进个人信息保护工作，民法典中写入个人信息保护相关条款可以视作其里程碑，但是个人信息保护仍面临着立法尚不完善、技术滞后、缺乏监管等问题。本文通过制度研究，给出相应的完善建议。

关键词：大数据时代；个人信息保护；困境；完善建议

中图分类号：D9 文献标识码：A

收录日期：2023年3月22日

一、问题引入

在当今这一数据频繁流动的年代，个人信息的采集与使用并不少见。仅以笔者所见为例，疫情期间，各个社区的社区群里都要线上填表登记个人基本信息，表格的抬头显示，需要人们填写的内容包括姓名、家庭住址、身份证号以及当日体温、去过什么地方等。除此之外，外出时所有的餐厅、商场等商业主体也要求顾客填写以上个人信息。随着这次疫情爆火的“健康码”，更是悄无声息地融入了我们的生活。如果说个人可能还会因书店、餐厅这样的商业主体索取包括身份证号码、家庭住址在内的个人敏感信息而感到不安的话，政府主导下的“健康码”等某些收集个人信息的行为却几乎没有受到什么质疑与反感。在一定程度上来讲，这是正常的，因为相对而言民众更加信任政府，而政府在个人信息保护上似乎也比一般商家更有能力。但是并不意味着这些收集来的个人信息就是绝对安全的。根据报道，某市一街道网格人员曾将居民登记表发在小区的微信群中，登记表上包含居民的姓名、身份证号、家庭住址等信息。虽然并未导致严重后果，但一旦这些信息被居心叵测者获取，其后果不堪设想。除此之外，在日常生活中我们也能发现，很多地方都出现了公民个人信息大规模泄露的情况，我们大可以说这些信息处理不当是负责人的失职或是个人行为，但是在大数据时代下，没有人是一座孤岛，当今的时代是一个互联互通的时代，随着计算机技术、云计算以及各种算法的不断进步，抖音、快手、微信、微博等社交软件在人们生活中占据了重要地位，我们在这些社交平台中购物、娱乐、分享自己的生活、为自己感兴趣的内容点赞，殊不知，我们的个人信息也被大数据严密监控着。大数据时代数据的获取非常便捷且成本低廉，我们在互联网中留下了大量的信息，各个平台的客户端通过对互联网中的海量数据进行筛选，选出其中有用的信息，并通过监测和数字化处理，将有联系的数据按照一定算法进行排列组合，进而可以轻易得出信息主体的喜好、兴趣、爱好等个人信息，最后形成有价值的信息。信息主体在享受更加便捷、个性化服务的同时，大量信息主体的个人信息正在被不良商家或机构滥用，因身份信息泄漏导致公民个人权益被侵犯的情况屡见不鲜。

大数据时代下，无论是主动还是被动地提供个人信息，个人信息泄露的风险都非常大。近年来，非法获取、贩卖公民个人信息、网络诈骗、网络推销等危及公民个人信息安全的现象层出不穷、屡禁不止，严重扰乱了公民的安宁生活。因此，在大数据时代下，更应该多措并举保护公民的个人信息安全，维护好公民人身和财产方面的权益。

二、个人信息概述

（一）个人信息的概念。什么是个人信息？按照《民法典》第1034条第2款的规定，“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”从上述规定来看，相对于隐私，个人信息的关键在于“可识别性”，也就是根据某些数据可以判定出特定的自然人。与此同时，立法者在对个人信息保护进行考量时的确已经考虑到当前信息技术发展、信息流通加速、社会日益联系紧密的实际情况。清华大学法学院教授程啸在《民法典编纂视野下的个人信息保护》一文中指出，个人信息的范围和种类是随社会发展而不断增长的。个人信息并不单单指附属于人身上的具体、详细、数据（如前文提到的身份证号码、联系方式、家庭住址等），也包括相对抽象的，本身不足以识别自然人，但可以通过与其他信息结合来识别自然人的信息，例如健康状况、动作习惯等。而随着技术的发展，个人信息的外延又在不断扩大，比如说公民的网络交易信息等。这里强调自然人的个人信息保护，主要是强调个人信息的权利主体限于自然人。无论是姓名、性别、家庭状况，还是健康情况、成长经历、行踪信息，都可以直接或间接地指向某个具体的自然人。而在实际情况中，同样掌握这些信息的可能是法人，但并不意味着法人就是所谓的个人信息的权利主体。

（二）个人信息与隐私的概念厘定。对于“隐私”一词的概念，不同国家的界定不同，隐私的含义主要是由公众的感知和法律形成的，故而较难有统一的定义。《民法典》第1032条第2款规定，“隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动和私密信息。”因此，“隐私”更加强调个人信息的空间私密性，即权利人不愿让外界知悉的空间和信息，如不愿他人知晓的性取向、私人日记以及微信聊天记录等。

根据隐私的“私密性”以及个人信息的“可识别性”，我们大致可以做出以下判断：在兼具“私密性”和“可识别性”时，该信息既是隐私也是个人信息，例如基因数据；而不具有“私密性”仅具有“可识别性”的信息则属于个人信息，例如我们所使用的手机号码；除此之外，也存在仅有“私密性”但无“可识别性”的信息，例如不愿为他人知晓的病史。因此，我们可以得出，个人信息与隐私属于包含关系，个人信息中包含了个人隐私，个人隐私属于个人信息的一部分。关于个人的一切信息，无论是生理方面、心理方面、个体方面、家庭方面、社会方面等，都可以称之为个人信息。

三、大数据时代个人信息保护现实困境

（一）个人信息保护法尚不完善。2021年11月1日，我国《中华人民共和国个人信息保护法》（以下简称“个人信息保护法”）开始实施，这是我国首部个人信息保护法，顺应了注重保护人权、保护公民个人信息的历史潮流，是我国在法律层面注重个人信息保护发展的一大进步。并不是说在这一专门立法实施前我国法律不注重保护公民的个人信息，在个人信息保护法颁布实施前，我国已经有多部涉及个人信息保护内容的法律，例如在民法典第1037条、《网络安全法》第43条等，但这些法律分散零散、效力等级不同，适用起来难度较大。在个人信息保护法颁布实施之后，这一现象得到了很大缓解，但仍存在着相关法律规定不具体、实践中适用困难等问题。

大数据时代下，公民的个人数据堂而皇之地被各个客户端主体分享在互联网之中，然而互联网却拥有永久记忆，一旦发生侵权事件，公民的个人信息很难在网络中被彻底删除。因此，完善个人信息删除权的适用尤为重要。与我国相比，一些西方国家对于个人信息删除权的研究开始较早，已经形成了相对完善的体系，但我国目前对个人信息删除权的研究尚处于理论阶段。在我国《个人信息保护法》第47条中，虽然规定了个人信息删除权，但该权利的权利结构仍不够完善，例如我国个人信息保护法中只规定了可以适用个人信息删除权的情形，并没有对不得删除的情况加以明确规定。与此同时，我国个人信息保护法中的权利结构较为单一，对于不同工作、不同年龄的公民，应该对其个人信息保护的权利范围加以限定，信息的公开程度也应该有所不同。

（二）技术发展滞后。大数据时代下，随着云计算、互联网的发展加速，我们已经进入一个万物互联互通的时代，个人信息的共享性随之加强，更容易发生个人信息泄露等侵权行为，此时良好的技术手段可以有效防止这一侵权行为。然而，我国相应的安全保障技术发展滞后，信息产业的自主创新性不足。

（三）缺乏强有力的政府监管部门。在大数据时代下，政府完善网络安全管理、加强社会治理能力、保障人民群众的个人信息安全是时代的必要课题。首先，对于大数据时代下庞大的网络数据库，政府没有设立一个专门的监管部门，虽然我国早已设立了工信部，但是工信部的主要职责是对电信及互联网行业的管理，缺乏专门管理个人信息的部门机构。其次，对于现实生活中的个人信息侵权行为，缺乏强有力的监管措施，导致这些客户端有恃无恐，非法获取用户信息并用来牟利。即便是发生了公民个人信息权受到侵害的现象，由于侵权主体和信息主体的不对等性，权利受到侵害的信息主体很难确定侵权主体，更难以将网络上的个人信息全部删除，仅能通过提起诉讼的方式来维护个人权益，维权成本高昂。就算确定了侵权主体，并且在诉讼中胜诉，但又很难确定具体赔偿金额、赔偿标准，处罚标准低。

四、大数据时代公民个人信息保护体系完善建议

数据安全已经不仅仅是个人隐私问题，更是网络安全甚至是国家安全的重要组成部分，我国的个人信息保护体系仍然亟待进一步完善。一系列法律法规的快速出台，为构建我国数据安全保护体系提供了法律依据和适用的具体标准，但这还不够，应该多措并举，政府、企业、公民共同发力，促进我国个人信息保护体系的完善。

（一）完善个人信息及隐私立法保护体系。梳理有关个人信息保护和隐私保护方面的立法，充分尊重公众的隐私观念以及文化，综合公民、集体和国家之间的关系问题，促进良好社会风尚的建立，维护征信市场健康发展，充分落实隐私保护。对现有的法律法规进行整理，对于不同工作、不同年龄的公民信息公开的范围应做出更为详细的规定。相较于普通公民，对于公众人物、明星这类群体的信息公开范围应相应扩大，但也要注重不影响其正常工作生活，不影响其合法权益，从而平衡好其个人信息权与公众知情权之间的关系。而对于未成年人，我们应该给予其更大的信息保护力度。

与此同时，当公民的个人信息权受到侵害时，我们也应该完善其救济途径，对于个人信息删除权，应该做出进一步的完善，明确个人信息删除权的性质与内涵，完善该权利的内容，从而构建其更加系统的规定，使个人信息删除权更加具备可操作性，从而更加高效地保护公民个人信息。

（二）建设个人信息采集与利用技术规则体系。在大数据时代下，提高技术手段是保障公民个人信息安全的重要手段。首先，政府和有关组织机构可制定统一的信息采集与利用标准，制定强制性标准，保证信息采集的规范化与科学化。规范信息市场交易，在此过程中发挥政府的主导作用，明确程序与规则，从源头上进行规范，规范信息流出渠道，加强个人信息的保护。其次，政府要加大资金投入，任何一项技术的研究，前期都要投入大量的金钱和精力。国家可以加大对于信息安全保障专项技术的资金投入、设立专项资金来支持信息安全保障技术的开发，建立起信息“防火墙”。

（三）强化行政监管，专设监管机构。对于大数据时代下客户端堂而皇之侵犯公民个人信息权的行为，政府机关应该设立专门的部门机构来进行信息监管工作，依法加强监管。可以将工信部作为保护个人信息的行政监管机构，内设专门的部门负责日常网络中的数据信息监控工作，打击非法数据交易，加强数据机关的治理与管控，充分保护公民的个人信息安全。与此同时，监管部门要加强配套设施的建设，建立起严格的监管制度，厘清信息收集者和信息主体的权利义务，对于网络中共享的用户个人信息，支配权仍在信息主体手中，信息收集者倘若使用，应先争得信息主体的同意。此外，要加大对侵犯公民个人信息权现象的惩处力度，对于违法违规收集公民个人信息用以牟利的客户端企业，可加大惩处力度，将其纳入黑名单，计入征信系统。

五、大数据时代个人信息保护再反思：隐忧与展望

跳出数据流动的繁荣背后，我们需要再一次思考，为什么个人信息保护需要我们严肃对待？实际上，这是任何国家都会存在的一对矛盾，即公共管理与私人自治的矛盾。随着生产力的不断发展，个人空间与公共空间越来越紧密地相互贴合，而新技术又为对权利的侵害提供了新的可能。权利受到侵害时，人们就能立刻感受到权利的存在。大数据为我们带来了便捷，也为我们带来了隐忧。

政府、企业对个人信息的掌握，大可以说是为了提供更好的服务，例如犯罪分子的抓捕、突发危机的防控，网上精品内容的推送等，但这些只是技术应用的一面。从另一面看，个人信息不受保护，既可能导致资本从中作梗，通过窃取甚至是光明正大地获取公民个人信息来牟利，从而对公民权益造成损害；又有可能导致政府过度干涉公民的私生活，无孔不入地利用公民的个人信息，违反私法自治的原则。民法的核心原则就在于私法自治，民法典加强对个人信息保护的规范，也在重申这一原则。在公共利益的驱动下，个人权利在一定程度上要做出让渡，但这并不意味着公权力可以无休止地侵犯公民的私法自治生活。何况这样的让渡本身就有原则性要求，如比例原则、合法性原则、必要性原则等。而这些原则多是对政府部门的规制。至于对于私人的保护，则仍然需要民法来完成。对个人信息的保护，是保护个人不受侵犯的要求，也是保护人的尊严的要求，更是社会主义本质的要求。马克思在《德意志意识形态》中强调：“只有在现实的世界中并使用现实的手段才能实现人的解放。”我国个人信息保护的道路，仍然任重而道远。

（作者单位：1.大连理工大学人文与社会科学学部；2.甘肃政法大学法学院）

主要参考文献：

［1］王利民，杨立新，王轶，程啸.民法学［M］.北京：法律出版社，2015.

［2］周汉华.个人信息保护前沿问题研究［M］.北京：法律出版社，2006.

［3］齐爱民，崔聪聪.电子金融法研究［M］.北京：北京大学出版社，2007.

［4］刘梦瑀.浅论消费者个人信息的保护［J］.法制与经济，2017（02）.

［5］张俊明.信息社会个人信息保护的困境缘由与路径选择［J］.图书馆，2016（01）.

［6］李莉莎.第三方电子支付法律问题研究［M］.北京：法律出版社，2014.

［7］刁胜先.个人信息网络侵权问题研究［M］.上海：上海三联书店，2013.

［8］王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心［J］.现代法学，2013（04）.