个人信息需要结构化的契约保护

徐凯

政府、商业机构采集了大量公民个人信息，由此建立了庞大的数据库，但个人信息保护尚未形成分层次、结构化的法律体系，这是个人信息权遇到的主要障碍

近日，媒体报道在百度网盘可以看到大量私人信息，百度网盘虽不自带搜索功能，但通过第三方网盘搜索引擎可查询到百度网盘用户的大量照片、通讯录，甚至政府、高校及公司内部文件等隐私内容。网友惊呼又“被裸奔”。

日光之下无新事。当互联网催生的大数据经济进一步发展时，网盘数据泄露，顺丰速递和菜鸟网络的数据接口之争，以及《花呗用户服务合同》引发的争议，有意或无意地屡屡将数据财产权问题置于公众视野。

法眼

民事权利依其本质，乃共同体对个体自治自决意思的认可。即便持有自然法观念的学者，也不得不承认，权利的范畴需经由法律界定。人类立法史的大部分情形下，法律是被动地接受新技术和新经济催生的利益集团的诉求，将原有权利结构调整以适应新技术和新经济。

中国现有人格权法已无法适应大数据经济。在新利益阶层的游说下，回应他们的诉求，分离出用户个人信息权，并以此为基礎建立数据财产权体系，是必行之事。

尚未形成分层次、结构化的法律体系

虽然我国目前尚无一部成文法，但公民个人信息受法律保护已无异议。

将于10月1日实施的《民法总则》，再度确认了我国实行大陆法系的民事权利体系。自然人的个人权利可分为人身权和财产权。其中人身权包括人格权和身份权，人格权又包括一般人格权和具体人格权，具体人格权包括隐私权。

个人信息权虽未明确列明作为一种具体人格权，但仍归于人格权之下。《民法总则》第111条规定：自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

此外，《刑法修正案（九）》、《网络安全法》、《征信业管理条例》、《电信和互联网用户个人信息保护规定》等法律法规、规章制度从各个方面也作出规定，比如责任承担的角度（见表1）。

目前仍有以下问题尚未得到解决。

首先是个人信息的涵义。《民法总则》并未定义个人信息；而其他法律中关于个人信息的内涵在不同的部门法中有不同的范围（见表2）。

分析上述定义，可以区分出三类不同性质的个人信息：

一是用户身份信息。这类信息单独或者集合能用于识别特定个体，锁定具体个人身份，包括：姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

二是个人行为信息。包括用户的行踪轨迹（比如手机定位功能搜集的信息）、用户在互联网上被cookie等技术记录的互联网浏览信息，以及用户在特定社交媒体如微博、微信朋友圈上发表的内容等。

三是身份和行为信息以外的用户隐私信息。包括用户的犯罪记录、两性关系、健康记录等。

实践中，三类信息互有交叉，各有侧重，一项侵犯个人信息的行为，很可能同时包含了上述三类信息。

对于隐私权和个人信息权之间的差别，在最高法院的规定中，似乎将个人隐私涵盖在个人信息的范围内；而实践中，如果可以将个人信息权作为独立诉由，它和隐私权的界限，很可能不明显，二者是择一而适用的竞合关系。

分析现有立法，虽各有侧重，但没有针对不同的个人信息，建立起结构化的保护体系。

《网络安全法》侧重个人身份信息；两高《关于办理侵犯公民个人信息刑事案件司法解释》包含了个人身份信息和个人行为信息；最高法院《关于利用网络侵犯人身权益的规定》，则将重点放在隐私信息上，对个人信息的保护实际上以隐私信息为主。

此外，公民个人信息虽是一项权利，但亦是一项义务，即经法律规定，必须向政府或运营主体提供。《居民身份证法》、《婚姻法》、《城市房屋管理法》、《公司法》等法律下，公民都有向有关部门或机构提供个人信息的义务。

2012年全国人大常委会《关于加强网络信息保护的决定》规定，互联网服务提供者应当要求用户提供真实信息，并应当采取技术及其他措施保护信息安全。

此后，包括《网络安全法》在内的法律法规进一步要求，网络运营者在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。

《网络安全法》还进一步确认，国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，推动不同电子身份认证之间的互认。

政府和商业机构采集了大量的公民个人信息，由此建立了庞大的数据库，但个人信息保护目前并未形成分层次、结构化的法律体系，这也是个人信息权目前遇到的主要障碍。

个人信息产业处于授权和产权双重不稳定状态

据中国信息研究院统计，2016年中国大数据市场规模为168亿元，增速达到45%，预计未来三年仍将以每年30%的速度增长。

此统计仅是流通市场规模，但实际上，数据更多的使用是在企业内部，如阿里巴巴将自己定位为一家数据公司，马云更宣称，大数据将重新定义市场经济和计划经济，大数据“让计划和预判成为可能”。

不可否认，大数据的来源多元化，比如企业内部生产的数据，并不都是个人信息，个人信息结合的大数据，也是最有商业价值的部分。“技术既无好坏，亦非中立”，大数据AI可能“比你更了解自己”，其价值观则需要人来赋予。

网络经营者搜集用户信息，除法定情形外，均要基于其和用户的约定进行。此后经过加工（包括去身份化处理）、储存等环节，再走向应用：企业自用，如用户数据在阿里巴巴集团内部的分析与使用，或分享、销售给第三方，比如顺丰和菜鸟网络的数据接口。

这其中每个环节，都应当经过用户同意，因为用户对个人信息拥有自决权，有权利自行决定其信息可否被利用以及利用到何种程度。

但目前立法主要导向在于防止侵害，对个人如何积极行使其信息权并无进一步指引。

鉴于目前网络运营的实际状况，用户对于注册协议或使用协议都无太多了解。网络运营者取得用户同意的方式也是默示同意，即用户使用该项产品或服务，推定其接受相关注册或使用协议。因此多数用户意识不到其个人信息被收集或使用的情况。

以个人默示同意方式为基础建立起来的大数据产业，处于双重不稳定状态：

一是授权不稳定。用户几乎不看协议；对于平台使用其信息的方式和范围一无所知。假使逐项询问，用户很可能不会同意。

二是产权不稳定。制度经济学认为，产权是一束权利，由一组契约构成。而用户（被采集者）和企业间的契约关系并非基于明示同意而是默示同意，授权不稳定，使契约在本质上处于不稳定状态，数据财产权的归属必然處于长期争议中。

比如，6月30日支付宝旗下蚂蚁花呗发布了《花呗用户服务合同》（下称《合同》）条款调整公告，《合同》对用户信息搜集范围之广，却无“为提供服务所必需”的基础，也没有取得用户的明示同意的正当性条件，因此受到公众广泛讨伐。随后花呗于7月3日更新了这一服务协议，修改了其最受争议的内容。

在建立分层次结构化的个人信息权基础上，参照中国科学技术法学会制定的《互联网企业个人信息保护测评标准》，应当要求企业在下述情况下必须取得用户明示同意：

1.收集个人信息的行为超出告知的目的、方式、范围；

2.超出收集时所告知的目的和范围加工、使用个人信息；

3.分享或者销售个人信息给第三方；

4.除非作为法定义务用户必须提供的，否则涉及核心敏感个人信息的一切收集、加工、存储和流通行为。

参照欧盟经验以及国家质检总局2012年颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》，立法应该区别核心敏感信息和一般个人信息，对核心敏感信息采取特别保护制度，限制企业使用范围和交易范围。与此同时，对未成年人个人信息进行更为严格的限制采集、存储和交易管理。

我国还应借鉴欧盟经验，建立被遗忘权，在一定条件下用户有权以通知方式，要求企业删除并不再储存个人信息，这一方式与《侵权责任法》下的“通知—删除”规则精神一致，在实践中并不难以实行。并且对于极端重视个人信息的人而言，是一条重要的救济渠道。

阿里巴巴和腾讯掌握了足够多的用户数据，但现有阶段，拥有个人信息数据最多的主体仍是政府。

与阿里巴巴等商业机构不同，政府采集、存储、使用、分享公民个人信息，应主要靠法定规范，即“法有授权方可为”。

目前尚未看到，政府部门收集、存储、加工和使用个人信息，应当遵循何等条件、正当程序和安全保护措施。而这些内容，应当是一个社会关于个人数据的社会契约中优先级最高的条款。

（作者为北京律师，编辑：王敬恺）