大数据时代的个人信息保护研究

刘晓颖

摘  要：随着数据产业的迅速发展，网络用户的个人信息面临更多未经授权即被采集、使用的风险。《民法典（草案）》人格权编的相关条文虽然对个人信息范围有所界定，但是并未明确界定的标准。同时对个人信息的保护原则、免责事由等作出了原则性规定，但并未对个人信息侵权的归责原则、侵权责任的承担方式等作出具体规定。个人信息的保护要注重平衡其与数据流通间的关系，在此基础上对个人信息权的具体人格权地位予以明晰，明确其归责原则，完善损害赔偿机制。

关键词：个人信息;隐私权;证明责任;归责原则

中图分类号：D923;D925.1     文献标识码：A   文章编号：2096-3769（2020）05-119-04

从深度伪造技术[1]的出现到AI智能软件的广泛应用，人工智能、大数据、云计算等技术愈发深刻地影响着我们的生活，网络用户的个人信息保护也受到愈发广泛的关注。2019年12月19日工信部信息通信管理局通报了40余款经督促整改后仍存在违规收集、使用用户个人信息、不合理索取用户权限等现象的APP，其中搜狐新闻、新浪体育以及QQ阅读等APP涉及私自收集用户个人信息;闪送、人人视频以及学霸君1对1等APP涉及私自将用户信息共享给第三方。在大数据技术应用愈发普遍的今天，被“点名”通报涉及违规收集、使用用户个人信息的APP可能只是冰山一角。大量智能手机应用软件在其冗长的用户使用协议中回避用户个人信息的采集情况和具体使用情况，大量音乐、视频、教育等应用软件要求用户在使用时必须授权其手机的位置定位、访问联系人权限等非必要功能，否则将无法使用该软件。

事实上，网络用户在享受商家提供的便捷服务时，不得不贡献自己的身份、关系、行为等数据，也不得不面对各种“定制”的推送和算法决策的结果。[2]《民法典（草案）》人格权编中虽然规定“自然人的个人信息受法律保护”，但并未明确网络用户的浏览痕迹、移动终端的定位信息等是否属于个人信息的保护范围，亦未明确规定个人信息侵权的具体归责原则与损害赔偿机制。低成本的法律风险与高额的收益，无疑助长了非法买卖网络用户个人信息的黑色产业链的发展，导致非法获取、贩卖个人信息，实施针对性垃圾营销等事件层出不穷。如何有效引导网络服务提供者、网络运营者合法合规地使用网络用户的个人信息，切实保障公民的个人信息安全，成为亟待解决的问题。

一、个人信息保护现状及问题

如上文所言，在大数据、云计算时代网络用户的个人信息极易被侵害，这已成为现实生活中不可回避的问题。而目前我国民法层面对于个人信息的保护措施极度缺乏，使得一些从事非法买卖、滥用公民个人信息但并未达到刑法入罪标准的行为无法得到法律制裁。从目前司法实践的情形来看，由于相关立法中对个人信息权利属性的界定不明，导致网络用户的个人信息极易被滥用，且寻求救济时亦存在诸多问题。

1.个人信息权利属性界定不明

虽然《民法总则》第111条与《民法典（草案）》人格权编第六章均确认了公民的个人信息受法律保护，但未使用“个人信息权”的字眼，对其权利属性亦未作出界定。理论界关于个人信息的属性也有不同的探讨，如“隐私权客体说”“人格权客体说”“基本人权客体说”等。[3]事实上，网络用户通常是以个人信息作为对价来换取免费的在线服务，而网络服务提供者也具有强烈的收集、分析用户各类信息的利益诉求，以便通过经营活动获取经济利益。在大数据时代，网络用户的个人信息在具备人格属性的同时兼具财产属性，如同可以被估价的无形资产，正因如此驱使大量网络服务提供者为了牟利采用各种技术手段收集用户个人信息。关于确认个人信息财产属性的制度设计可以借鉴德国的相关立法，即在人格权的基础上确认信息主体对个人信息的使用、控制、收益等权利。同时，增强信息主体对其个人信息经济价值的认知和意识，不仅有助于对信息保护的事后救济，也有助于主体的行动自觉，进而不斷改进其与企业或信息处理者的行为关系模式。[4]

2.未经公民同意使用其信息

随着信息技术与日常生活的深度融合，公民的个人信息也随之呈现出网络化、数字化的趋势。据中国电子信息产业发展研究院发布的《中国大数据产业发展评估报告（2018年）》以及《2019中国大数据产业发展白皮书（上）》显示，2018年我国大数据产业规模达4384.5亿元，同比增长23.5%，预计2021年产业规模将超过8000亿元。在大数据时代，经营者可以通过对大量网络用户的个人信息的筛选、分析，从中提取有效的商业价值;或者通过绘制用户画像等方法个性化投放广告，实现其精准营销的目的。与此同时，信息不对称问题在互联网技术快速发展的今天愈发凸显，网络用户一般无法了解自己每一条信息的走向与被使用情况。当用户使用各种购物、医疗、导航等软件时必然会产生大量的数据，而承载这些服务的浏览器、搜索引擎则会自动收集这些数据，通过整合与分析提取有商业价值的信息。日常生活中从购物软件到订餐平台，“订制推荐”“猜你喜欢”这类选项似乎早已被用户习以为常，而此类个性化推荐的来源则是浏览器或服务器通过 Cookie来记录用户的兴趣爱好、购物偏好、个人需求等。我国目前并无相关法律法规对网络用户的浏览痕迹、移动终端的定位信息等加以保护。[5]从比较法的角度看，2009年11月欧盟通过了《欧洲Cookie指令》，其中规定：用户初次使用某网站时，该网站必须关闭Cookie 插件的使用，只有用户明确同意启用Cookie插件时才能开启此项功能。[6]参考欧盟对于网络用户浏览痕迹、行为痕迹的保护措施，出台相关操作规范，监督网络服务提供者收集用户浏览痕迹时遵守知情同意原则，可切实保护网络用户对于其个人信息的控制权。

3.个人信息受到侵害时难以得到实质救济

随着大数据、云计算的发展，网络服务提供者根据浏览痕迹绘制用户画像、投放网络定向广告等行为给网络用户的个人信息带来更多威胁。如网络服务平台对于用户的个人信息、行为记录、交易信息等进行收集后，极有可能在未经用户许可的情况下将数据卖给广告商等第三方，而被侵权人往往难以得到实质的财产性救济。虽然在《App违法违规收集使用个人信息行为认定方法》中明确规定了“利用用户个人信息和算法定向推送信息，未提供非定向推送信息的选项”，可被认定为“未经用户同意收集使用个人信息”。而在司法实践中，即使法院认定被告实施了侵害公民个人信息的行为，原告方也难以获得相应的经济补偿。例如，在孙某某诉中国某通信有限公司隐私权纠纷案中，法院经审理认为电信运营企业将手机用户的信息披露给第三人时即构成对权利人隐私权的侵犯，电信运营企业应向手机用户承担侵权责任。但是，被告的行为虽侵犯了原告的隐私，但并未造成原告生活上严重的不安宁，故不予确认原告所主张的精神受到严重损害，对其所提出的精神损害抚慰金亦不予支持。（1）

二、《民法典（草案）》中个人信息权的界定与完善

1.确立个人信息权

应当明确的是，个人信息性质的界定是分析并解决上述问题关键。关于个人信息的性质有不同的学说，根据《民法典（草案）》第1034条可看出，在我国立法中对个人信息界定较为核心的概念是“可识别性”的结论，包括单独可识别以及组合可识别。个人信息与隐私权虽然在概念上相互独立，但是权利范围实际上存在交集，例如个人信息不仅包括涉及隐私内容的私密信息，还包括可公开、可利用的个人信息。从《民法典（草案）》人格权编第六章的条文来看，个人信息被认为是一种民事权益，而隐私权作为一种民事权利，具有适用的优先性。司法实践中，法院也通常是采取隐私权的保护方法处理个人信息侵权案件。例如，在方某某等诉南京市明华新村8号住宅小区业主委员会隐私权纠纷案中，法院经审理认为被告不适当地公开了原告的身份证号码和电话、家庭住址，上述内容属于公民个人的重要信息，属于个人隐私;被告侵犯了原告的个人隐私，应当向原告赔礼道歉。（2）事实上，司法实践中参照隐私权来保护公民个人信息的做法存在诸多弊端。相较于隐私权，公民的个人信息不仅蕴含人格属性，更具备财产价值，而传统的隐私权无法保护公民个人信息权中财产价值受到侵害的情形。

故此，在《民法典（草案）》人格权编中将个人信息权与隐私权的相关规定分别开来更为合理，一方面有利于厘清二者的范围与界限，另一方面也有利于司法实践中当事人提出更为明确的诉讼请求。同时，由于个人信息权无法为其他权利所涵盖，例如大量具备经济价值的个人信息很难通过隐私权进行保护，本文认为将其确认为具体人格权更为合适，可具体包括：第一，个人信息的控制权具体是指用户对个人信息的处理、保存以及处理方法与收集的范围拥有知情权与控制权。第二，个人信息的使用权是指个人有权使用自己的信息并形成利益。第三，个人信息的损害赔偿请求权是指网络服务提供者未经用户同意对其信息进行收集、使用，或者对用户个人信息的使用、收集超出了其授权的范围，被侵权人有权要求停止侵害、主张损害赔偿的权利。

2.明晰个人信息侵权的归责原则

由于目前没有相关法律对于个人信息侵权的归责原则进行规定，导致司法实践中法官在处理个人信息侵权案件的举证责任问题时，通常将个人信息侵权案件笼统地按照一般侵权责任纠纷的思路进行审理，即要求原告承担侵权责任全部构成要件的证明责任，而过错要件与因果关系对于原告而言证明难度无疑过大。从比较法的角度看，不同国家、地区及国际组织对于个人信息侵权所采取的归责原则存在着一定的差异。第一种类型是采取过错推定原则，如欧盟GDPR中规定，数据控制者、处理者应就其不存在过错承担证明责任。第二种类型是混合归责原则，例如在德国、冰岛以及我国台湾地区对于个人信息保护的相关立法中规定，对于包括黑客、网络服务提供者、网络用户实施侵权行为应根据其过错承担责任，而政府机构和其他特殊主体通常要承担无过错责任。本文认为我国网络用户个人信息的侵权归责原则采用过错推定原则更合适，由于网络服务提供者收集用户的个人信息往往是为了获取商业利益，且收集用户信息的技术手段具备隐蔽性，在个人信息被侵权的案件中，要求信息主体证明网络服务提供者存在过错这一要件无疑是过于苛责的，且网络服务提供者收集用户信息的技术手段通常具备隐蔽性，基于技术水平的不对等性，将过错要件倒置由侵权方承担更可体现实质正义。同时，确立过错推定原则有利于强化网络服务提供者的安全和责任意识，从而更好地保护网络用户的权益。

3.完善损害赔偿机制

在立法层面应明确非法窃取公民个人信息进行牟利的损害赔偿标准，如根据侵权方获利数额或被侵权方损失数额进行补偿，可以更好地保护公民的个人信息。有学者指出“维权成本高、赔偿数额低”是民事侵权案件中推进个人信息保护的主要障碍。[7]由于缺少明確的法律依据，导致司法实践中法院更多的是要求侵权方进行口头或者书面赔礼道歉，而鲜有要求其进行损害赔偿的情况。出现该现象的原因一方面是现有法律并未对个人信息所附的财产属性予以确认，另一方面是缺少可参考的损害赔偿确定标准。本文认为关于个人信息侵权造成的损害赔偿的确定标准主要有以下两种方式：一是根据信息主体受到的损失数额进行赔偿，但仅包括直接损失，对于间接损失的赔偿则要根据个案进行分析。二是当难以确定信息主体具体损失数额时根据侵权人的获利情况进行赔偿。特别地，大数据、云计算等技术的应用不仅增加了信息流转的速度和复杂性，而且使信息收集的手段变得更加隐蔽。在大数据背景下，信息控制者与信息处理者能从侵权行为中获得巨大的财产利益，而基于信息的不对等情况，作为被侵害人的信息主体往往很难发现该侵权行为。因此，对于牟利性恶意侵犯个人信息的情况，从有效遏制和预防角度出发，可以借鉴国外个人信息保护中对惩戒功能的重视，[8]引入惩罚性赔偿机制（3），以保护处于弱势地位的信息主体的权益。

注释：

（1）参见上海市浦东新区人民法院（2009）浦民一初字第9737号民事判决书。

（2）参见江苏省南京市鼓楼区人民法院（2017）苏0106民初3250号民事判决书。

（3）欧盟《一般数据保护条例》（简称：GDPR）第83条规定企业在泄露个人信息后可能面临着前一年全球总营业额4%或 2000 万欧元（两者取其高）的罚款;美国《加州消费者隐私法案》第1798.155节规定任何企业、服务提供商或其他违反本法案的人应受到禁令的约束，并应承担每次违规不超过2500美元、每次故意违规不超过7500美元的民事罚款。

参考文献：

[1]王禄东.论“深度伪造”智能技术的一体化规制[J].东方法学，2019.

[2]马长山.智慧社会背景下的“第四代人权”及其保障[J].中国法学，2019（5）：10-18.

[3]齐爱民.个人信息保护法研究[J].河北法学，2008（4）：16-18.

[4]蔡培如，王锡锌.论个人信息保护中的人格保护与经济激励机制[J].比较法研究，2020（1）：110-112.

[5]邓佑文，王文文.从身份识别到行为识别：个人信息侵权认定的路径选择[J].浙江师范大学学报（社会科学版），2019（4）：40-43.

[6]张静.个人信息保护立法模式选择[J].法治社会，2019（3）：75-78.

[7]张新宝.《民法总则》个人信息保护条文研究[J].中外法学，2019（1）：72-73.

[8]叶名怡.个人信息的侵权法保护[J].法学研究，2018（4）：90-95.