大数据背景下个人信息民法保护研究

摘要2017年《民法总则》的实施，为个人信息的保护提供了直接的民事法律条文。到2021年《民法典》的实施，进一步对个人信息的民法保护有了较为系统的规定，但对个人信息保护在传统民法保护模式方面仍然存在不足、技术致使举证难以及赔偿责任有限的问题。剖析问题的产生原因，对个人信息的保护既不能单纯依靠私法自治的手段，也要对传统私法进行必要的革新。为更好保护个人信息在保护模式上应采取公法与私法相结合的方式：公法保护方面，应加强数据监管;私法保护方面，应优化举证责任，采取巨额惩罚赔偿制度，加大违法成本。

关键词个人信息数据技术技术监管民法保护

一、民法对个人信息保护的发展进程分析

2017年《民法总则》公布并实施，直接笼统的规定个人信息受法律保护，且个人信息权益属于民事权益。自然人个人信息首次在民事立法层面得以确立，其中重点明确了禁止进行违法的收集行为。[1]虽然民法总则，规定了独立的个人信息权益，但是《民法总则》的粗疏规定不够细化，无法为数据经济发展背景下的个人信息提供全面保护，个人信息保护制度函待健全完善。

在面对强大的企业数据技术的背景下，个人信息保护和利用的矛盾越发突出，为顺应时代的发展，2021年《民法典》实施,较为系统的规定了个人信息保护制度。具体来讲可从两方面：一方面是在总则编中笼统的规定个人信息受法律的保护;另一方面则是在人格权编中，在结构上与隐私权并列规定，具体用六个法律条文对个人信息保护进行了更详细的规定。[2]真正的通过法律层面确立了个人信息保护制度，同时还明确了自然人对其享有人格权益，对于加强个人信息保护具有重大的意义，也为相关法律法规的制定打下了扎实的基础。

二、个人信息受民法保护的必要性

第一，有利于保护信息主体的人身和财产安全。在大数据技术深度应用的背景下，大数据技术使每个人对个人信息的控制力量被削弱，导致信息主体的人格利益和财产利益都处于极大的风险之中。大数据技术主要是对于个体的信息加以总结，并基本描画出某个个体的具体画像。这种情况下即不再存在隐私的概念，同时和个人信息密切相关的交易信息等均被暴露，这样也会导致之后产生的财产损失。有违法者将个人信息用于不正当的用途，对个人隐私和财产都产生了非常严重的威肋。[3]因此，为了保障信息主体的合法权益，民法需对自然人的个人信息的多种价值予以确认和保护，并保障民法救济程序完善。

第二，有利于抑制个人信息泄露。企业强数据技术背景之下，企业采集个人信息之后，对个人信息的存储也是必不可少的一门技术，近年来，各种非法收集、利用、分享等以及合法获取非法滥用的行为给信息主体合法权益带来极为不利的后果，个人信息泄露事件频繁发生，在一定程度上影响自然人的日常生活。个人信息安全系数的降低，造成信息主体一定程度的恐慌，不利于社会的稳定。为了提高个人信息保护的安全意识，遏制个人信息泄露行为也防止信息安全隐患的潜在危险，民法对个人信息的保护亦是大势所趋。

第三，有助于打击个人信息犯罪。在利益的驱使下，企业对信息主体的个人信息合法收集非法滥用以及不合法采集的行为，使用假的个人身份进行诈骗、违法犯罪的，市场主体之间恶意竞争，计算机非法入侵获取个人账户信息，致使自然人财产损失的，网络软件APP之间的数据爬取的不合法行为等。虽然我国刑法规定了个人信息犯罪以及侵犯计算机系统犯罪，但基于刑法的谦抑性，只有少数严重行为才能得到刑法的规制。作为灵活的民法在保护自然人的个人信息上起着不可或缺的作用，提高纠纷解决的效率，弥补损失，增加侵权违法成本，打击个人信息违法犯罪。

三、个人信息民法保护存在的问题

(一)传统的个人信息保护模式失效

对个人信息的保护在传统意义上更加强调信息主体的自我控制，但是在大数据技术深度应用的背景下，信息主体实际上并无真正意义上的控制。由于我国目前对自然人的个人信息的保护缺乏系统性、全面性、专门性，因此，对于个人信息侵权案件，在司法实践中总是通过隐私权来保护。实际上，自然人的个人信息虽与隐私信息有重叠但却不重合，个人信息的范围远远大于隐私信息范围，对二者进行区分有着重要的法律意义。[4]我国《民法典》在结构上对个人信息与隐私进行了并列规定，并规定对自然人的个人信息进行处理需获得其授权，在大数据时代，这种授权缺乏必要性和真实性，已然不足以应对大数据技术的深度应用的环境，在法院审判个人信息侵权案件中，隐私权保护路径不足，也不能依靠信息主体的自我保护，应有相应的法律规定对自然人的个人信息进行系统的规定，以预防个人信息侵权事件的发生。

(二)技术发展致使举证难

举证难首先体现为取证难。在大数据时代，当自然人的个人信息遭受侵害时，所要面对的是强势的企业、公司或者组织，往往以专业技术化的手段来侵犯自然人的个人信息。

很多侵犯个人信息的相关证据，很难取得，只有寄希望于公权力的力量。此外，在自然人丧失其个人信息控制后，一旦发生侵权情况，由于立法上的不足，《民法典》并未对个人信息侵权的归责原则进行特别规定，因此在法院审判时，总是按照谁主张谁举证的一般举证原则来处理。即信息主体不仅要证明是该侵权行为导致的损害后果，还要证明是由于企业数据技术存在安全风险，即证明过错与损害结果之间存在因果关系，举证不能的，就要承担败诉结果。由于原被告极大的信息不对称以及认知能力不对称，侵权手段隐蔽化、侵权地点虚拟化、侵权主体泛化，在这样的情况下被侵害的一方往往很难对相关证据进行获取，相关质证便无从谈起。

(三)侵害个人信息赔偿责任有限

司法实务中，对于个人信息侵权案件，法官通常以隐私权等具体人格权的保护路径来处理，通常情况下，停止侵害、赔礼道歉的要求通常能够被执行;但是当出现财产性赔偿问题以及精神损害赔偿时，往往不能够被执行。纵观个人信息侵权案件，从司法审判结果来看，对受害人的精神损害赔偿的判断标准大部分都很低，其所能得到的其他赔偿也很低，很明显，这种补偿力度对于受害人来说是远远不够的，针对自然人的个人信息不但具有人身性，其财产性更是我们无法否认的，正是由于这种财产价值的客观性，在信息技术飞速发展的当下更是如此，个人信息本身具备的财产属性已经被更多的人所认识，当个人信息被利用时，除了造成受害者的经济损失，也会给受害者的精神带来打击。缺乏物质损害赔偿，不足以对侵权人产生重要影响，不作为一种有效的惩罚措施，无法对受害人形成有效的保护，若是无法完善有关法律，会导致此类行为的层出不穷，不利于形成良好的社会风气。

四、个人信息民法保护的完善措施

第一，设立统一的信息监管机构。应针对这一用户弱势群体设立统一的信息监管机构，以更好的保护自然人的个人信息和企业更好的履行其义务。该个人信息保护的监管机构，还应该对企业的数据利用进行合规性监管。机构负责监管、审批还有协调个人信息保护工作和其他部门之间的关系，通过法律层面确认其执法地位。机构包括中央级和地方两种级别，针对全国范围内的个人信息保护工作和区域内的个人信息保护工作进行严格落实，地方级要按期向中央级汇报工作完成情况，积极配合和接受业务方面的领导，对数据技术进行统一监管。作为数据利用企业，应该由专职部门或员工完成个人信息监管机构的对接，将企业信息保护方案和风险事故的发生情况等定期加以汇报;数据专员主要负责针对个人信息业务向企业提供专业性的方案，积极参与所有有关个人信息采集、使用和保存的企业事务;严格审查所有和企业个人信息有关的活动，定期组织企业风险自查，定期组织员工接受培训等。

第二，优化举证责任。在司法实践中，在举证责任上可通过过错推定的方式予以认定。亦即，在民法典侵权编之中，当原告合法权益被损害时，有证据能够证明确为被告行为所导致时，如果被告不能提出证据证明其对此不存在过错，此时可推定其应该承担相应的民事责任。[5]适用过错推定原则，主要原因就在于：首先，自然人是无法掌握企业的具体经营情况的，使得自然人根本无法接近且获得该证据，因此，处于弱势地位的用户在收集证据的过程中就非常不利，很明显自然人要承担企业在处理个人信息时存在过错这一侵权行为，是具有一定的难度。

过错推定原则的适用，极大程度上避免了由于原告无法提出证据而败诉的情形。针对企业经营者，损害事实的发生便意味着其已然违反了法律所规定的需要注意的义务，此时可以直接推定企业侵犯用户权益，具有过错，也能极大推动案件解决的效率，保障司法便捷。总之，根据过错推定来判断企业经营者的整个经营过程，有利于在实践中对个人信息侵权案件中的行为进行准确的认定与及时的法律救济。

第三，采用惩罚性赔偿制度，以加大违法成本。这一制度在对个人信息侵权案件上发挥着至关重要的作用，不管是域外法还是国内都应增加惩罚性赔偿制度，以更好保护个人信息。在企业发生侵害用户信息时，对其处以相应严格的惩罚赔偿手段，虽然可能会影响企业资金链条，但必然能对其发挥出有效的警示作用，提高企业管理者信息安全以及合法利用个人信息的意识，并赔偿信息主体的损害，遏制侵权行为的发生。此外，进行惩罚赔偿时，也应充分考虑案件情况以及侵权人的主观恶意性，具体案件具体分析，避免出现对企业不合理的苛责，影响企业正常运行，以及不利数据技术产业的飞速发展。

五、结语

在大数据时代，对个人信息的民法保护，应完善相应立法，强调对数据技术的监管。在强化权利人私权救济方面，应重新分配举证责任以及巨额惩罚性赔偿制度等。一方面，有利于提高信息主体维权积极性，在信息主体个人信息受侵害时，不会因为维权成本高，赔偿少而主动放弃维权;另一方面，对企业适用巨额赔偿制度，有利于打击非法，提高违法成本，增强企业的信息安全意识，起到警示作用，强化企业数据信息管理者的妥善保存、合理有效利用的义务。

参考文献：

[1]张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019(01):68.

[2]程啸.我国《民法典》个人信息保护制度的创新与发展[J].财经法学，2020(04):33.

[3]王叶刚.个人信息收集、利用行为合法性的判断[J].甘肃社会学，2018(01):49.

[4]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013(04):64-69.

[5]程啸，阮神裕.论侵害个人信息权益的民事责任[J].人民司法，2020(04):62-64.