大数据时代的个人信息保护

张佑

摘要：进入大数据的时代后，个人信息这一概念逐渐进入人们的视野。与传统隐私权不同的是，个人信息所涵盖的范围更加广泛，其受到侵犯的方式也不同于隐私被公开，而是未经有效同意的使用。“知情同意”的传统架构、过分拔高的“个人控制论”都在大数据的时代下暴露出个人信息保护的缺陷，结合欧美部分不同的制度设计揭示如今存在的问题。为了更好地保护个人信息，应当引入“场景”与“风险”导向模式，改变原有的“知情同意”架构。

关键词：大数据;个人信息;制度;社会控制

一、大数据时代的个人信息

个人信息不仅蕴含着公民所享有的人格利益，还与财产利益有一定的联系。从表面上看，个人信息只是记载着公民个人识别性和个人背景的材料，然而，这些个人信息的资料一旦被他人恶意转让及非法使用，就会给特定当事人产生极大的精神困扰，甚至造成财产损失。由于个人信息具有“能够满足人类生存和发展的客观属性，即是信息的价值性”，人们对其个人信息不仅可以占有、支配和处分，也可以通过允许他人使用信息获得一定的利益，因此，从一定程度上讲，个人信息具有私有财产的性质。这使其得到众多商家的青睐。也因此导致了许多侵权问题，大数据时代为个人信息保护提出了更大的挑战，低成本高效率的模式令数据的收集变得无处不在，却更为隐秘;先进的数据分析技术可以利用更少的数据精准地实现数据信息的可识别化，也会令信息主体难以掌控自己的数据应用方式，传统的信息储存及监控方式也需要重大的革新以避免数据泄露及被滥用的风险。获取个人信息的成本在大数据的时代变得越来越低，个人主体在享受大数据时代带来的各种便利的同时也往往成为受害者。个人数据的大规模泄露不仅严重侵害了信息主体的隐私权，也使其财产权益受到了损害。此外，由于缺乏监管，许多企业早已着手开始数据资源的开发应用并攫取巨大的经济利益，数据资源的垄断局面在慢慢形成。

二、保护现状

面对这种局面，各国均开始着力研究应对策略。欧盟对于个人信息的保护代表了全球的最高标准，民调也显示出45%以上的欧盟成员国公民对于现行的数据保护标准表示满意。但该严苛的标准却一直被各界诟病为数据应用及新技术发展的桎梏。与其相反，美国在大数据技术与隐私权保护之间更倾向于利用大数据技术促进经济社会发展，以保持美国在相关领域的领先地位。不同的政策体现出各国不同的价值选择和态度。在美国现有的趋严的隐私权的法律体系之下，个人信息被滥用的可能性已受到严格的限制，完善的事后问责机制也进一步确保了数据使用的合理范围。而欧盟及其成员国严格的个人数据保护立法，不仅是为了促进欧盟成员国之间的个人信息数据更有效、更安全的融通，也具有防止欧盟公民个人数据被美国当局“大规模、一刀切”地批量收集的作用。

个人信息的价值体现维护主体人格尊严时，法律应对其个人利益予以保护;个人信息体现其财产利益时，法律应对其财产利益予以保护;个人信息同时体现主体的人格利益和财产利益时，就应该给予主体双重利益保护。在2017年10月1日生效的《民法总则》第111条规定了个人信息的保护条款，立法将个人信息置于民事权利一章，设在第109条一般人格权和第110条具体人格权之下，第112条人身权利和第113条财产权利之上，从条文结构可以发现，个人信息首先体现的是其人格利益，与人身利益相关联，人身权利承接财产权利体现其财产权益，可见我国立法将个人信息作为一种人格利益予以保护，兼具保护财产利益，个人信息的立法与法理相得益彰。法律保护个人信息财产利益的姿态与个人信息具备的基本属性——人格利益并不相悖，只是随着信息技术的发展为个人提供更全面的保护。

三、存在问题

（一）以“知情同意”为核心的传统架构遭遇冲击

大数据时代，人们面临的不再是仅仅与服务提供商直接、单一的联系，还要同时面对与数据中间商和数据后续利用者等多重主体的关联，因而对自身信息的控制能力日益削弱。除此之外，大数据技术的创新应用在多重方面对个人隐私形成严重的冲击。无所不在的数据收集，对个人形成密集追踪，大量机器对机器的被动收集往往不为人们所知悉;个人信息的累积及分析、比对，还原出完整的人格图像，极易挖掘出个人不愿为他人所知悉的敏感信息，为个人带来不安以及困扰，乃至造成财产、人身损害，敏感信息用于求职、教育、信用评级等领域，极易导致一些不良后果。

而传统机制建立在“知情同意”的基础之上，要求各类机构在收集人们个人信息之前，告知其信息的處理状况，在网络服务的语境中通常表现为发布隐私声明，人们在阅读声明后作出同意的意思表示，作为对个人信息收集及利用的合法授权。然而，作为传统架构立足之本的“知情同意”机制在大数据时代遭遇严重冲击。首先，知情同意机制为用户与机构均带来沉重负担。个人信息流转的多元复杂性为机构在隐私声明中清晰阐述带来严峻挑战，信息创新利用的目的也往往难以在收集时所预知，为遵循法律的要求，机构往往列出冗长而又晦涩的隐私声明，也给用户的阅读带来沉重的负担，现实中用户往往越过隐私声明直接点击同意，既不阅读更难以理解其内容，隐私声明沦为一纸空文。其次，用户并无实际控制权，且权利的行使日益困难。在网络环境之下，为使用产品或服务，用户往往除了点击同意别无他法，这从实际上架空了用户的权利。不仅如此，在个人信息密集收集与多方流转的网络生态之中，用户在很多情况下对其信息的收集并不知情，难以对第一方收集者行使权利，更遑论向缺乏直接联系的第三方机构行使控制权。在大数据时代，用户对其个人信息面临全局失控的局面。总而言之，传统的知情同意框架在大数据时代面临穷途末路：一方面隐私保护效率低下，用户权利几近架空;一方面给企业造成严重负担，严重阻碍数据流通及创新应用。

（二）目的限定与场景、风险导向模式

在数据普遍流转与后续利用的现代商业模式中，个人信息的利用目的往往难以在收集之初所预期，传统目的限定原则的适用遭遇严重困境。目的限定原则要求个人信息的收集具备特定的目的，后续利用与传播不得违背此目的。欧盟《通用数据保护条例》中基本沿用了传统指令对于目的限定原则的规定，然而已有场景和风险要素的初步导向，如前言第50条指出，判断个人信息后续处理是否符合原始目的，“应评估后续目的与原始目的之符合性，尤其应考虑到与原始目的的关联、信息收集的原始场景（尤其是用户的合理预期）、个人信息的性质、后续处理行为可能引发的后果、信息的安全保障等等要素”。美国《消费者隐私权利法案》中相关规定主要体现在“尊重场景”与“收集与利用限制”两条。如前所述，该法案以场景理念取代了传统目的限定原则，以“相应场景中合理”的标准作为个人信息处理的合法性授权，以促进信息的合理利用。场景中合理标准的引入是该草案最大的亮点，其大幅扩展了个人信息处理的合法事由，有助于减轻机构合规负担，促进个人信息的流通及创新利用，同时更加侧重用户在具体场景中的隐私期待，是平衡信息价值开发及用户隐私保护的极佳模式。虽然传统框架中对于“目的”的解释也日趋宽松，然而二者的差别在于，场景理念从用户的接受度出发，强调合理性标准是个人信息处理符合用户的合理隐私期待，降低隐私风险，而并非僵化审视与原始目的的“符合性”，就此意义而言，场景理念是对目的限定原则的超越与升华。然而与此同时应当指出，该法案虽然详细列举了场景构成要素，但对于“合理”性判断标准并加以明确规定，也未加以方向性引导。如前所述，场景由多元因素构成且各因素影响力不同，需要综合考量及评估，因而是否具备合理性的判断十分复杂。

（三）保护程度矫枉过正

根据我国现行法律，收集和使用个人信息须经被收集人同意。这意味着，未经同意收集和使用个人信息即构成违法行为，应当承担相应的法律责任，其责任形态包括民事侵权责任、行政责任和刑事责任。目前，已经有一些涉及个人信息的工商行政处罚案例，以未经被收集人同意作为行政处罚的理由，如朱烨诉百度案。使用个人信息须经被使用人“同意”，这本身就暗含法律认可个人信息由个人支配或控制，个人享有个人信息的使用决定权，包括是否允许他人使用、如何使用。这种个人信息使用的“个人控制论”源自域外个人数据保护或隐私保护的理论支撑，目前只有我国在立法上明示个人信息收集、使用一律须经被使用人的同意才可继续进行，这样的个人控制并没有在世界范围内上升为法律上的权利。已经开始有学者指出这一律同意规则的弊端，建议采取或者依情况采取拒绝规则来缓和一律同意带来的弊端。

笔者认为，笼统地将所有个人信息全都适用同意规则会严重阻碍大数据社会的发展。大数据给人们提供的便利就是识别个体的便利性、精确性、全面性和及时性。大数据技术背景下，一切能够关联到某个人的或了解某个人个性特征的数据都可以归入个人信息的范畴，因为各种信息可以通过关联、联系、结合识别出具体的个人，并且结合的信息越多，识别的结果就越全面准确。所谓发挥大数据的红利，就是尽可能鼓励利用尽可能多的信息进行分析识别，然后用于各种社会发展的目的。个人信息与个人的联结点在于“这些信息指向或描述某个人，可以将之概括为该信息与某个人有联系”但是，单纯的有联系并不足以使个人对信息具有支配利益，因为这种关系只在于信息表达的意义、内涵，而不在于信息本身。在网络化、数据化、智能化的时代，全息化、多样化的大规模个人数据，不仅成为社会治理、企业管理创新和改善的资源，也成为科学文化艺术创新进步的资源地。处于公共领域的信息仅因为与个人存在联系或具有识别性，即赋予个人对个人信息的排他控制权，使个人信息“私有化”，有失法律正当性。如果法律上要承认个人对个人信息享有受到保护的经济利益，反而会使得一些人滥用该权利来阻碍信息技术和信息产业的发展，最终损害社会的整体福利。

因此，《决定》中反复强调的“同意”于这个时代而言有失偏颇。“从保护个人信赖或交易安全的角度，一个社会不应当赋予个人控制自己的个人信息的绝对权”，“一旦人们进入到具体的社会关系中，法律就应当保护公众的‘识别权，而不是拒绝识别或拒绝‘曝光”。而这一点，在我国隐私权和个人信息权概念尚不明晰的情况下，特别容易让立法机关混淆，导致个人信息权保护的立法更偏向于隐私权的保护。笔者认为，他人或社会使用个人信息的正当与否不应当由个人决定，而应当由社会决定，由法律决定。个人信息保护和使用规则的制定须识别个人信息保护和使用所涉及各方主体的利益，进行利益衡量，实现合理的制度安排，即实行“社会控制”。

四、我国模式的选择建议

我国目前的个人信息保护如同隐私权保护，分散在各个法典之中。考慮到同美国的情形类似（大型互联网公司比比皆是），我国更多地应参考美国《消费者隐私权利法案》中所提供的解决思路。

要使个人信息开辟出一条新的保护道路，明确站在“社会控制论”的角度来审视对个人信息权保护的立法全局，具体的权益保护，应当在事前明确权利授予的边界，在事后给予充分的保护。也就如同日本学者宇贺克也所提出的那样，对于个人信息的保护需要强调保护与利用的结合，不要简单地陷入把保护与利用相减等于零的关系思维中。此外，应当扭转单纯依赖个人息定义作为法律适用前提的思路，规定但凡造成隐私风险的大规模信息处理行为，均应适用个人信息保护相关规定，即便处理的信息被界定为传统意义上的“非个人信息”或“匿名信息”。

建议灵活适用目的限定原则，融入以场景及风险的理念，变“目的限定”为“风险限定”，规定目的的符合性应该具体评估是否带来了超出原始收集时的风险。如果数据的后续处理未超出原来的风险，并且符合用户的合理预期，即使传统意义上“不符合”原始的目的，也可以认定为“合理使用”，无需另行获取用户授权。

强化对个人信息权受到侵害的救济。这一点侧重于事后保护，对于已经造成的个人信息权的损害，应当加强处罚的力度，情节严重的可入刑，降低《刑法》中非法窃取公民信息罪的入罪标准或另添新条文，切实维护公民的个人信息权利。

参考文献：

[1]冯心明.个人信息保护立法若干问题思考[J].华南师范大学学报（社会科学版），2007（4）.

[2]范为.大数据时代个人信息保护的路径重构[J].环球法律评论，2016（5）.

[3]高富平.个人信息保护：从个人控制到社会控制[J].法学研究，2018（3）.

[4]程啸.论大数据时代的个人数据权利.中国社会科学[J].2018（3）.

[5][日]宇贺克也著，杨琴、余梦凝译.日本医疗领域的个人信息保护.贵州社会科学[J].2017（8）.