大数据时代个人信息权法律保护的路径

谢 珺（河南理工大学 河南 焦作 454000）

大数据时代个人信息权法律保护的路径

谢 珺（河南理工大学 河南 焦作 454000）

大数据时代，个人信息权发展出现了新的情况，传统的的法律保护机制已不足以应对新的问题。文章认为大数据时代个人信息权的保护面临着个人信息被广泛不当收集处理、过度分析利用、不当储存和处理的新挑战，各国纷纷制定相关的法律制度对个人信息保护进行规定，而目前我国现有的法律保护机制还很不完善。在今后的法律保护机制完善的过程中，必须尽快制定个人信息权保护的专门立法、设立专门的监管机构、加强行业自律以及完善现有的法律救济方式。

大数据 个人信息 个人信息权 法律保护

现代社会互联网技术的发展极大的改变了人们的生活方式，信息的开发利用一方面给商业主体带来巨大的商业价值，另一方面也给个人信息的安全带来了巨大的风险。一直以来，我们都非常重视个人信息权在网络环境下的发展和保护，但大数据技术又给这一老生常谈的问题注入了新的变量。新的时代背景下个人信息、个人信息权需要清晰界定甚至重新定义，新技术的发展给个人信息权的保护带来了一系列新情况和新挑战，我们要如何面对、如何解决成为不可回避的重要问题。

一、大数据及其背景下个人信息权的定位

（一）大数据的界定

“大数据”一词源于英文单词“Big Data”，最初由麦肯锡全球研究所描述为“数据体超出传统数据数据库可以承载、处理、计算能力的庞大数据集合”。[1]《国际科学技术发展报告（2013）》对大数据的定义为“需要快速采集、处理、分析并从中挖掘和提取价值的、海量的、多样化的交易数据、交互数据和传感数据”。[2]在我国，大数据尚无公认、确切之定义。

从大数据的来源与内容来看，通过互联网终端、移动设备终端即电脑、手机、导航仪、可穿戴智能设备等，我们可以获取因电商活动、社交活动、科学研究活动等产生的一系列个人身份信息、个人交易信息、个人检索信息、个人地理信息、个人环境信息等。联系到现实生活，大数据的内容可以表现为在互联网上留下的聊天记录、交易记录、浏览记录、 网络社交平台上传的图片文字等等，这些信息碎片其实都是大数据的组成部分。从而我们能够分析出大数据的基本特征有以下四点：第一，数据量巨大，海量的数据颠覆了我们对传统数据信息的理解认识；第二，数据种类多，包括文字、图片、符号、视频、音频、各种搜索浏览记录、地理位置信息等等几乎所有互联网终端所产生的全部数据类型；第三，价值特异，相较于传统数据库，单个数据价值量更低，但整体数据及其分析价值更高；第四，数据分析快，正是利用计算机飞速发展的技术优势，大数据满足了人们对信息快速处理的时效性需求。

综上，笔者认为，大数据是通过快速分析处理技术，能从中挖掘提取价值的海量化、多样化的数据聚合。

（二）个人信息与个人信息权的界定

个人信息的概念最早于联合国 1964 年“国际人权会议”中“信息保护”的描述提出。1981年，欧洲理事会通过了《保护个人信息自动化处理公约》，认为个人信息是指已识别或可识别的与个人相关的任何信息。1998 年英国制定的《数据保护法案》中将“个人信息”界定为有关自然人的数据组合。通过这些信息或者将这些信息与使用者占有的其他信息相结合，可以辨识该人。在我国，2016年11月7日通过的《网络安全法》首次在法律当中对个人信息进行了规定，“个人信息，是指以电子或者其他方式记录的，能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。从国内外现有的立法情况来看，关于个人信息主要可以从如下两个层面达成共识：第一，个人信息具有人身属性，主体只能是自然人；第二，个人信息具有识别性，通过该信息内容能特定指向某一主体。

由于个人信息对信息主体具有识别功能，经反向分析能直接追踪展示特定人的身份、生理特征、行动轨迹、工作背景、家庭生活、主观倾向等信息，且关系到信息主体的整体社会评价，工作和生活的安宁，这些都是信息主体的精神利益。随着商业社会的发展，个人信息包含的经济价值日益显著，商家可以通过对个人信息的开发与利用获得高额利润。正是基于个人信息兼具精神利用与物质利益双重属性，当前我国学界主流观点认为个人信息权是一项具体的人格权[3]，笔者同意这一观点，并认为这种权利的核心内容应在于对个人信息的控制实现上，具体来说，个人信息权应包括信息主体对信息的决定权、查询权、更正权、删除权、保密权、收益权和救济权等。

二、大数据时代个人信息权保护的新挑战

个人信息权，这种对个人信息所享有的支配、控制并排除他人侵害的权利，在大数据背景下法律保护的难度加大，使该项权利在新的时代面临新的挑战。

（一）个人信息不当收集情况普遍，侵犯信息主体对信息的决定权、保密权

在传统数据时代，一般只有公务机关才有收集大量数据的能力，而在大数据时代，非公务机关成为数据收集的强大主体。网络环境下，商业主体的盈利模式发生很大改变，通过收集占有大量数据进行精确分析，定向化投放广告，提供个性化服务达到精准化营销来获得高额利润。而商业公司在收集这些基础数据时，往往是将网络服务和客户信息的提供强制捆绑，在这种“爱给不给，慢走不送”的真实环境下，信息主体的决定权处于尴尬窘境。

网络技术的发展使信息的收集方式相对于传统数据时代具有很大差异。既往的商业活动中，一些商家也需要采集客户信息，但通常都是在客户知情的前提下获取，而现在网络环境下的商家，多通过个人在网页上、电商交易平台、社交平台等形成的浏览信息、交易信息等，在用户不知情的情况下取得利用。碎片化信息、非结构化信息在大数据时代变得简单易取、价值放大，但其获取过程隐蔽性更强，被收集主体往往没有察觉，更谈不上主观意志的体现。

由于个人信息权的法律界定模糊，互联网商家尽可能诱使用户提供详细的个人信息，很多已经超出了实际商业经营所需。[4]哪些数据可以采集，哪些数据不能采集，在法无明文规定的情况下，运营商明知其行为未必正当，但为了追求更高的商业利润，对用户于个人信息的决定和保密需求视而不见。

（二）个人信息的过度分析、利用，侵犯信息主体对信息的查询、更正、删除权

用户个人信息转移给运营商后，其分析处理过程通常是在不透明的情况下完成的。当运营商以用户意想不到的方式处理个人信息数据后，用户除了被动接受却无法消除。例如，在网络购物的时候，用户的浏览信息被商家获得，商家会分析用户对某些特定商品的兴趣并向其精准投放广告，这种所谓“个性化定制服务”其实对用户来说是“被定制”、“被服务”。

在大数据时代，个人信息的巨大价值不再单纯源于其首次分析利用的结果，更多的源于它的二次开发利用甚至再次利用。在信息被深度分析和多次利用过程中，任何使用个人信息的主体，都要重新获得信息主体的许可，这是一个成本极高的行为，运营商常常借口其不可实现而拒绝用户的知情要求和信息的更正、删除要求。[5]

（三）个人信息的不当储存和处理，侵犯信息主体对信息的保密权、收益权

个人信息被秘密采集的同时，还有一项更严峻的事实：大量个人信息被秘密共享甚至交易。运营商采集的个人信息在网络上被当成资源共享或商品交易成为一种广泛现象，但现行法律对这些行为没有明确规定，个人信息主体在这其中未被给予表达意见和做出决定的权利，运营商也鲜有将个人信息主体视为利益共同体进行利润分配的做法。[6]

大数据时代下的个人信息储存安全形势严峻，数据库的外部入侵风险大，黑客攻击等行为，使个人信息数据泄露的事件频发，更加值得注意的是，当发生数据泄露风险时，运营商常常拒绝向用户通报相关情况，使个人信息主体无法在第一时间采取措施来减少损失、降低影响程度。

三、完善大数据时代我国个人信息权法律保护的路径

（一）制订系统的专门立法

大数据时代个人信息权保护的专门性立法问题一直是理论界实践界关注的热点问题，关于《个人信息保护法》的专家稿多年前已有讨论，[7]近年来多次全国人大的会议上都有代表进行提案，专门立法急切进入实质性制定阶段。虽然专门性立法并不是个人信息权保护的唯一路径，但结合我国属大陆法系的传统国家背景和行业自律尚不发达的现实情况，一部专门性立法的制定出台势在必行，该法的重点应在于科学统一的规定个人信息权保护过程中的基本问题。这些问题将通过统一立法的方式得到解决。

1．对“个人信息”和“个人信息权”进行科学全面的界定

传统的个人信息定义，无论从中外现行的法律规范还是理论研究，大家多把“可识别性”信息作为主要定义基础和认定标准。但在大数据时代，技术的发展模糊了个人信息识别的边界，大数据通过对海量多样化的信息进行快速分析处理后，即可达到识别效果，大数据技术正在把所有信息都变为可识别性信息。[8]将来的《个人信息保护法》的首要任务就是科学界定“个人信息”的范围。定义过窄不能体现大数据时代的要求，定义过宽又会与他人自由形成冲突。笔者认为在现行“识别性”概括标准和“列举性”法律规则相结合的基础上，从信息识别的后果作为考虑因素对《网络安全法》中的定义进行补充规定，即“个人信息，是指以电子或者其他方式记录的，能够单独或者结合其他信息识别自然人的个人身份，以及自然人因该识别而导致权利受到侵害的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”。在此定义的基础上，司法实践中要准确界定个人信息的边界，还需充分发挥法律解释和法官自由裁量权的作用。

个人信息权的权利内涵也亟待《个人信息保护法》予以明确。个人信息权的人格权属性要在专门立法中予以体现；个人信息权的权利客体的规定应将对信息及信息处理的知情、同意、删除、获得报酬等核心利益予以体现，具体化为信息的决定权、查询权、更正权、删除权、保密权、收益权和救济权；个人信息权的权利主体在大数据时代背景下产生出新的特点，基于对源个人信息的深度分析会产生出新的信息，那么这些新信息作为加工处理的结果，它们的权利主体是否等同于源个人信息的主体是有待商榷的，《个人信息保护法》必须界定一个恰当的权利主体范围。

2．规定个人信息保护的具体方法和制度，着重体现大数据时代下特殊保护的要求

传统的个人信息保护手段，例如告知与同意、信息的限制性采集、信息的匿名化分析处理，信息风险的预防与告知、信息价值的共享等，应在《个人信息保护法》中系统规定，除此之外，结合大数据时代信息的二次化传播与利用，新型的个人信息保护机制也需建立。

笔者认为要对二次传播与利用的信息保护进行有效的规制，防止对个人信息权的破坏，应该设立一种以使用者为核心的民事责任制度。首先，关于责任主体的界定。责任主体应为信息的实际使用者。因为信息的首次同意使用并不能默示为第二次使用的许可。二次传播通常是在隐蔽甚至失控的环境下发生的，对实际使用者课以这样的责任可以促使他们尽到相应的审查义务。当然，有时信息恶意传播利用的过错在于首次使用方，此时要求他们承担不真正的连带责任即可，以此促使他们完善个人信息使用程序，预防损害的发生。其次，关于具体的构成要件。结合大数据时代信息二次传播利用隐蔽性、专业性强的特点，笔者认为应作如下设定：第一，主观方面，采取过错推定的归责原则；第二，客观行为方面，采用海量多样化信息数据快速分析的方法；第三、损害方面，只要造成信息主体人格权受到侵害即可；第四，因果关系方面，实行举证责任倒置。最后，在具体责任的承担形式上，笔者认为可以适当增加损害赔偿的数额，甚至在一定情况下，如信息使用者主观恶意极大时，可引入惩罚性赔偿机制。

（二）成立专门的个人信息监管机构

鉴于多头监管所带来的诸多问题，我们有必要建立一个专门的个人信息监管机构。个人信息监管机构可以分中央和地方两级，中央机构负责领导、规划、监督全国的个人信息保护工作并负责与其他相关执法部门进行协调。地方个人信息监管机构负责其行政区划内的个人信息保护工作实施、审批与监管，接收中央机构的领导并向其负责。[9]在监管过程中，建立事前、事中和事后监管机制。事前监管机制重点在于构建个人信息登记许可制度，要求信息使用主体在收集利用个人信息之前必须取得相关资质，明确个人信息收集的使用范围、方法和期限以及安全保障措施等；事中监督的重点在于强化技术手段，通过实时监控、信息屏蔽、拦截、过滤和临时管制等方法及时制止侵犯个人信息权的行为；事后监管机制重点在于规范个人信息的使用，加大对泄露或滥用个人信息行为的处罚力度，以《网络安全法》的规定为基础，完善侵害个人信息权的行政处罚制度，结合惩罚性赔偿和相关刑事责任追究的制度，使信息使用者不断提高风险意识，实现对个人信息权的双重保障。

（三）建立有效的行业自律机制

美国良好的行业自律运行机制值得我们学习。首先，我们要完善我国行业自律规范。行业自律性规范应从本行业的实际情况出发制订，减少原则性、概括性甚至的宣誓性的规范方式，尽可能制订可操作的、可实施的具体条款，注意与立法部门所立法律法规的协调一致，在一定情况下可以有条件的将部分行业自律条款作为裁判的依据。[10]其次，我们要加强行业自律的管理和监督。可以设立行业专门的监管机构和第三方评测机构，通过专门机构推行个人信息保护认证、定期进行行业检查，对违反行业规范、破坏行业整体利益的企业坚决予以制裁。通过自律能力的提高、自律效果的增强，我国的行业自律机制的立法保护得到了有力补充，与国家专门的监管机构双管齐下，加强了对个人信息权的全面保护。

（四）优化相关的法律救济措施

在大数据时代背景下个人信息权的侵害发生之后，现有的民事法律和民事诉讼法律的规定可能不足以充分应对，必须经行合理优化。首先，要扩大被告的主体。大数据技术使信息在多次传播和利用之后有时难以确定侵权主体，我们可以将实际使用者列为被告的同时，把信息采集者、分析者均列为共同被告。其次，对采用大数据技术方式引发的侵权纠纷实行证明责任倒置，一般组织机构作为被告的，采用过错推定原则，政府为被告的甚至可以实行无过错原则。再次，可以设立专门的行业证据保全机构。针对个人信息主体和个人信息使用的管理者对于信息不对称、技术差距大的情况，我们可以通过行业的力量例如个人信息通报平台、评测平台，来改善个人取证能力不足的现状。最后，完善现有的群体性诉讼机制。大数据时代个人信息侵害往往涉及群体巨大，所处地域广泛分散，此时参加诉讼的效益、效率成本考虑较以往时期更为重要，在我国现有的代理人诉讼基础上，我们可以借鉴国外的集团诉讼、示范性诉讼、团体诉讼的并行方式方法，最大程度的将被侵害的信息主体从诉讼中解放出来，将诉讼交给专业的机构和人士代行，降低个人的维权成本，提高权利救济的能力。

【责任编辑：刘晓远】

[1] 格林斯潘.动荡的世界、风险、人性与未来的前景[M].北京:中信出版社,2014:98.

[2] 中华人民共和国科学技术部.国际科学技术发展报告[M].北京:科学技术文献出版社,2013:67.

[3] 王利明.论个人信息权在人格权法中的地位[J].苏州大学学报(哲学社会科学版),2012(33)6:68-75.

[4] 赵刚著.大数据:技术与应用实践指南[M].北京:电子工业出版社,2013:143.

[5] 维克托·迈尔·舍恩伯格,肯尼思·库克耶.大数据时代:生活、工作与思维的大变革[M].杭州：浙江人民出版社,2013:18.

[6] 艾里克·桑多萨姆.大数据时代:隐私保护靠立法[J].中国经济周刊,2013(31):21.

[7] 齐爱民.拯救信息社会中的人格:个人信息保护法总论[M].北京:北京大学出版社,2009:35.

[8] 侯富强.大数据时代个人信息保护问题与法律对策[J].西南民族大学学报 (人文社会科学版),2015(6):106-110.

[9] 史卫民.大数据时代个人信息保护的现实困境与路径选择[J].情报杂志,2012(12):31.

[10] 齐爱民.私法视野下的信息[M].重庆:重庆大学出版社,2012:214.

DF5

A

1008-8784(2016)04-129-5

2016-05-07

河南省哲学社会科学规划项目“网络环境下人格权保护立法问题研究”（项目编号：2013cfx014）的研究成果。作者简介：谢 珺（1977—），男，河南焦作人，汉族，硕士，河南理工大学文法学院副教授，研究方向：民商法。