大数据时代下个人信息权的法律保护

姜大勇

大数据时代下个人信息权的法律保护

姜大勇

伴随着信息技术的高速发展和大数据时代的到来，个人信息具有了新的价值，成为了机构和商家攫取的目标。个人信息权理应成为法律保护的客体，而由于我国法律方面存在一定的不足，导致社会中产生了大量过度分析个人信息、非法搜集个人信息、非法买卖个人信息等一系列侵犯个人信息权的行为。这在种情形下，我们急需探索能够有效保护个人信息权的途径。

大数据 隐私权 个人信息权 法律保护

个人信息是指特定人独有且能有区别于其他人的信息资料。2016年11月7日通过的《网络安全法》将个人信息定义为：“个人信息，是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。它具有识别性，能够与特定人产生联系从而通过这些特征识别到本人。

个人信息权，是指信息所有人对其持有的个人信息进行支配、控制和排除他人妨害的权利。

一、个人信息权的保护

（一）个人信息的保护现状

随着信息技术的高速发展，信息的开发利用带来了巨大的经济价值，同时也给个人信息的保护带来了挑战。政府部门可以通过分析大量的个人信息资料，做出精准高效的决策，更好的实现社会管理职能。企业商家可以通过分析数据，做出合理的经营策略，获取不菲的收益。个人信息变成了一种有价值的可利用资源，成为了被挖掘的对象。这引起了对个人信息安全的担忧。个人信息权的保护显得尤为重要。

从当前国内的立法现状来看，对个人信息保护的力度是远远不够的。我国法律并没有针对保护个人信息进行专门的立法。现行法律也没有明确区分个人信息权与隐私权的界限，在司法实务中，个人信息权的保护主要适用有关隐私权保护的规定。但在大数据背景下，个人信息权的权利范围要比隐私权大得多，这种情况下，再使用保护隐私权的方式去保护个人信息权显得捉襟见肘。

在大数据时代，采集信息是一种普遍的行为，但我国目前的保护机制无法防范非法采集和使用个人信息的行为。在传统数据时代，只有政府机关才有收集这些信息的能力和必要性。但是在大数据时代，几乎所有的经营主体都变成了收集数据的强大主体。通过获取占有大量数据进行精确分析，向特定目标全体，提供特性的服务项目，以此来获取高额利润。在各个商家之间，这些收集的资料往往进行共享、交易，由于网络的隐蔽性，这些都难以被发现。因此，衍生了一大批非法采集、交易信息的行为。

（二）个人信息权与隐私权的区别

首先，隐私权是一种精神性的人格权，虽然在一些情况下可以进行商业利用，但是归根结底，其财产价值并非十分突出。在侵犯他人隐私时，多是以精神损害赔偿的方式为主。个人信息权在大数据时代下，越来越显示出了财产权的属性，是一种集精神利益和财产利益于一体的综合性权利。[1]

第二，隐私权是一种消极性、防御性的权利，在遭受侵害之前，权利人无法主动的行使，只有在遭受侵害的情况下请求他人停止侵害、排除妨害、赔偿损失等。个人信息权则是一种主动的权利，权利人除了被动防御以外，还可以积极地行使自己的权利。

第三，从权利客体开看，隐私权的客体为隐私，是一种私密性的信息或私人活动，是个人不愿意披露且不涉及公共利益的部分。个人信息权的客体则是个人信息，它注重“识别性”，主要是能够直接指向或者经过分析处理后能够指向具体的人的各种信息。个人信息与公共利益和国家安全密切相关，当大量的个人信息汇总起来，就会成为涉及到国家安全的事项。因为为了保护国家安全，必须严格限制对收集，利用，加工，交易个人信息等行为进行规范和限制。

最后，从权利范围上来看，个人信息权的权利范围比隐私权更广。在很多情况下，这两种权利有所交叉，侵犯一种权力的同时也妨害了另一种权利。但是个人信息权所覆盖的范围显然要大很多。

二、大数据与个人信息权

（一）大数据与个人信息

大数据通常是指，通过快速分析处理技术，从中挖掘提取价值的海量化、多样化的数据聚合。与之前的互联网时代相比，它具有4V的重要特征，即大量（Volume）、多样（Variety）、价值（Value）、速度（Velocity）。[2]数据的分析处理速度飞快，其价值性也体现得越来越明显，成为了新型的原材料，具有巨大的潜在价值，将会带来巨大商机。

随着传输技术和存储技能的高速发展，越来越多的信息数据存留在了网络之中，这其中有各种系统、应用软件自动生成的任务日志，也有人工专门采集的信息。

所采集到的这些规模庞大的信息，并不是简单的作为一个整体来进行分析和研究，而是经过专门的软件进行分类汇总，筛选，整合，分析，最终生成一个个可利用的、倾向性明显的资料包。这种经过处理后的信息，更多的会具体到个人或者某个具有相同特征的群体，针对不同群体进行不同的服务，体现出“私人订制”的特色。

（二）大数据与侵犯个人信息权

大数据虽然可以为政府部门的决策提供有力的指导，使之做出的决策更加完善可行，也能使商家的宣传目标更加精确，为商家攫取更大的经济利益，但是也对个人信息权带来了侵害。

第一，日常生活更加透明化。由于计算机发达的信息采集和信息存储功能，人们的任何生活和消费行为都可能被记录在案，例如身份信息，购物信息，资产信息等。[3]这些零散分布的信息看似没有意义，但是大数据具有强大的碎片信息整理能力，经过时间、空间数据的多重锁定和重叠，多个信息指向相同的一个人时，这个人就会被体无完肤的暴露出来，将没有任何隐私可言。

第二，现代的日常生活已经无法离开网络，当我们在网络上进行了一系列行为后，我们仅仅能知道这些信息会存放在网络服务器中，但无法知晓这些数据是否在被利用，被何种方式利用，被何人所利用。更为严重的事，在数据处理的过程中，由于计算机操作系统的特性，网络服务商提供的服务器可能会出现安全漏洞，我们的个人信息可能会遭到劫持、盗窃，造成个人信息的泄漏。

第三，用户的信息被过度分析和利用。当机关或网络平台获取用户个人信息后，通常会用较为隐秘的方式来分析处理数据。当数据被处理完后，用户已经无法删除或删除已无意义，只能被动地接受该结果。

第四，非法买卖个人信息已经产业化。大量个人信息的泄漏都是通过这种途径。在未经权利人授权和同意的情况下，一些机构擅自将自己所掌握的个人信息出售给其他机构。比如，学校，银行、校外教育培训机构等机构之间未经客户授权或者超出授权范围共享客户信息。还有一些机构，专门将个人信息拿来做二次分析研究，例如，对于同一时间内在不同交易平台上购买相同产品的个人进行汇总，之后将整合汇总后的信息卖给生产该种产品的商家，便于商家进行精准的广告投放。

三、探究大数据时代下个人信息权的保护途径

个人信息权的保护在大数据时代下具有重要性和急迫性，全世界已经有许多国家通过多种途径对个人信息进行保护。德国在1976年就通过了《联邦数据保护法》，该法律将个人信息权视为一种民事权利，并给予了系统性，集中性的保护。欧盟于1995年通过了《欧盟个人数据保护指令》，协调各国国内法以确保个人信息在欧盟范围内自由流动。美国没有统一制订个人信息保护法律，而是通过“行业自律模式”，即在各个行业分别制订有关个人信息保护的条例、准则。我国关于个人信息保护的起步较晚，人大常委会于2012年12月18日颁布了《关于加强网络信息保护的决定》，该决定第1条规定：“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息”。我们可以从中看出，立法机关对于个人信息权和隐私权有所届分。同时规范了网络服务商及其他机关的义务，规定了侵权应当承担的法律责任。但是该决定的内容较为原则性和概括性，如果要切实起到保护作用，还需要进行细化。在大数据时代下寻求有效保护个人信息权的途径，具体应当做到：

第一，通过立法方式对个人信息权予以保护。浏览我国的法律文件，现行关于个人信息保护的法律主要有：民法中有关人格隐私权的规定、《刑法》中关于计算机网络犯罪的规定、《关于加强网络信息保护的决定》以及其他有关部门的规章。保护个人信息的法律条款数量较少、适用范围相对狭窄，没有统一的个人信息保护法。在这种情形下，一步专门性立法的出台势在必行。首先要在法律中明确规定“个人信息权”，而并非规定于隐私权之下，成为其下位概念。只有将个人信息权与隐私权从概念上区分出来，才能使两种权利直接相互协调，相互配合，共同发挥作用。其次，要赋予个人信息权利人充分的知情权，权力人有权了解谁在持有其信息资料，持有怎样的信息资料，这些信息资料将从事何种用途，信息的持有人采用何种方式获取的权利人资料，权利人是否有权拒绝信息持有人对其信息加以利用。[4]最后，要对个人信息遭受侵害设立救济途径，权利人在个人信息权遭受侵害时候，应当有权向监管部门反映，由监管部门予以触发。同时，权利人也有权自行提起诉讼，要求侵权人承担法律责任。

第二，对于收集个人信息单位和组织进行严格监管。此处所谓的收集个人信息的单位和组织，应当包括政府部门和一些大型的商业平台。政府部门需要收集个人信息备案，以达到便于社会管理，维持社会稳定的作用，这自然无可厚非。大型的商业平台和电商平台方面，主要是个人需要将个人信息存于其中，如在网上购物时需要将个人的家庭住址、联系电话等信息留在平台处；网上医疗时，需要将个人的基本健康情况留在平台处。对于这些信息，企业或商业平台应当采用合理的技术手段来防止个人信息的泄漏。而对于保护的情况，应当定期进行审核和监管。

第三，建立有效的行业自律机制。行业自律是指各个行业，根据其行业的工作特性、工作方式和行业内信息利用的方式，制订本行业内的行业自律规范来保护个人信息。在制订行业规范时，要尽量减少口号性、原则性的规定，尽可能制订具有现实可操作性的条款。同时，自律规范的价值指向应当与我国的立法态度相一致，这样才能使行业自律规范与法律相互协调配合。美国的行业自律保护方式值得我们借鉴和学习。加强对个人信息权的保护，需要通过行业内部自觉保护机制和政府机构保护机制的共同作用，相互协调，相互配合。

[1]王利明.论个人信息权的法律保护——以个人信息权与隐私权的届分为中心[J].现代法学,2013(7):66.

[2]格林斯潘.动荡的世界、风险、人性与未来的前景[M].北京:中信出版社,2014.

[3]范晓峰,王浩.大数据时代个人资料隐私权的法律保护[J].河北广播电视大学学报,2014(6):75.

[4]Daniel J Solove,Paul M. Schwartz. Information Privacy Law[M].Wolters Kluwer,2009

（作者单位：山东科技大学文法学院）

姜大勇（1991-），男，汉族，山东潍坊昌邑人，硕士研究生，研究方向：民商法学。