浅析个人数据及其立法保护

徐可　曹翟　王晓倩

摘 要 大数据时代个人数据的保护面临着巨大挑战，本文力从几个不同的角度研究个人数据。首先阐述了个人数据受到不法侵害的原因，并参考了欧盟有关个人数据立法保护的相关规定，从我国的现行法律中可以看出对个人数据的保护逐渐加强的趋势。本文还结合了部分质疑保护个人数据的学者的观点，归纳总结现行个人数据分类的标准，并以显名个人数据和隐名个人数据为例，对个人数据的人身属性和财产属性进行简单的分析，最后提出了一些在我国在个人数据保护方面的立法建议。

关键词 个人数据 立法保护 人身属性 财产属性

基金项目：本文系2017年度国家级大学生创新训练计划项目（项目编号：20171049713003）部分成果。武汉理工大学2017年度国家级大学生创新创业训练计划资助。

作者简介：徐可、曹翟、王晓倩，武汉理工大学文法学院。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.05.101

随着对个人数据权利的人身价值和财产价值的关注度不断升高，确定大数据时代对个人数据的保护和价值最大化成为重要工作。对个人数据进行分类是对其进行立法保护的前提条件。除此之外，欧美国家的立法经验也值得我们借鉴和学习。笔者根据以上理论提出立法建议。

一、个人数据被侵害现状

大数据时代下，以移动互联商业模式进行经营的网络服务提供者能通过获取个人数据来开展更精准高效的服务。在此商业背景下，“知情同意” 的个人数据保护方式存在诸多缺陷，不再是一种最佳的个人数据保护方式。现阶段，个人数据被侵害的方式主要有泄露和不法收集两种。

（一）个人信息的泄露

当前，个人信息权的被侵害状况主要体现在以下三个方面：第一，在网络实名制的广泛要求下，公民个人的身份证号码，手机号码，邮箱等具有识别个人主体身份的信息被上传到一个巨大的数据平台上，由于保密技术的不完善，这些带有人格属性的个人信息极易被泄露，致使个人信息权的侵害；第二，个人用户在上传帖子，更新位置的过程中，不经意间就会泄露个人行踪并为服务商所利用，例如共享单车会自动记录个人的骑行轨迹以及起终点；第三，个人用户的兴趣如淘宝会根据用户的搜索信息对用户进行推荐商品和个人用户的关系网络社交圈会被网络平台所搜集保存，从而制定出个性化的服务。

（二）个人信息的不法收集

现如今信息网络发展迅猛，在个人信息收集的方面，个人信息的数据化统计和管理已经覆盖到衣食住行的各个方面，例如在初次使用某些APP时，软件界面上会弹出是否允许使用当前位置、是否可以读取手机通讯录联系人信息等系列选项。但事实上，无论是否允许读取相关信息，手机中所自带的定位功能还是会自动读取相关内容。在使用公共区域的免费无线网的时候，其实用户已经在毫不知情的情况下被窃取了自己手机中的个人信息或者是利用输入手机验证码的形式套取手机号码甚至是身份证信息。还有其他网络服务提供者利用消费者贪图小便宜的心理利用低价值奖励品换取消费者的银行账号，手机号码以及位置信息。这些套取个人信息的方式屡见不鲜。对这些具体的不法收集行为，被服务者往往防不设防，难以完全杜绝。

二、欧盟立法下的个人数据保护

在总体上，欧洲立法者更看重数据的人格属性，因而注重对个人数据的保护，限制对其的利用。

早在上世纪八十年代，欧洲已就数据保护制订了有关条例 ，我国近年来颁布的民法总则和《网络安全法》也就数据进行了规定。从国内外有关数据的法律条文中可以分析出立法者们究竟将个人数据定性为一种人格属性的权利还是财产属性的权利以及他们对个人数据在立法上给予的态度。

（一）英国个人数据保护的立法体现

英国于2017年颁布了《英国新数据保护法案》（草案），希望在其实施后，进一步加强对于个人数据的保护。这一法案对于“个人数据”的概念进行了明确，它是指任一已识别或可识别的与自然人信息有关的数据。

“对个人数据的处理”是指针对个人数据或个人数据集合进行的一项或一系列操作，比如收集，记录，组织，建构或存储，改进或修改，检索，咨询或使用，通过传输、散播的方式披露或以其他方式使之可用，排列或组合，限制，删除或销毁等。通过列举的方式让数据使用者更加明晰自己的使用权限范围。

（二）欧盟个人数据保护的立法体现

欧盟的《一般数据保护法案》 尤其强调了对个人数据权利的保护而非利用，其深层原因是立法者将个人数据定性为一种人格性的权利客体，而非引导挖掘其潜在商业价值。本文作者选取法案的第四条和第五条进行分析，推测欧盟对于个人数据的理解与定位。

第四条第一款明确了个人数据的定义：一种能识别自然人身份的信息，或是身份标识，或是社会身份要素。此定义突出了个人数据的可识别主体性，可见欧洲立法观念下的个人数据是一种与主体紧密结合的信息，它在内容上具有主体的某些显著性的特征。

第五条对处理个人数据进行了一定的限制。

其中，第一款规定，处理个人数据时应当采取合法、正当、透明的方式。“透明”具体是指，数据获得方式的透明、数据处理过程的透明和数据盈利方式的透明。换言之，显名个人数据的主体有权利知晓其个人数据被利用过程。可以看出，本款重视数據所源自的自然人的人格性利益。作为产生主体，个人数据的内容与自己息息相关，所以本人有权知晓带有与自己有关的信息的数据流向了何处。

第二款对数据处理的目的进行了限制——仅能是为了公共利益，例如研究、统计。这一款中未提到将个人数据应用于商事生产或经营中，可见欧盟对于人格利益保护的重视程度远高于对数据财产性价值实现的关注度，没有引导通过利用个人数据实现商业目标的行为。

第三款规定，数据处理者在能达到预期目的的前提下，应当尽可能地控制其所使用的个人数据的条数。这一款虽未对“少”提出具体的数量标准，但传达了数据处理者应当尽可能地少获取和储存个人数据的理念，秉持着“获取”即代表着数据有被泄露的风险的思想，告知数据处理者不应当为达成目的而随意获取大量个人数据，其所持有的个人数据应当是实现目的所需要的最少的数据数量。

第四款的设立目的是确保数据的准确性。虽然数据的准确性以及与时俱进程度能提高数据的商业价值，但笔者认为这一规定对数据收集商以及数据加工平台提出的技术性和时效性的要求过高，大部分数据处理者难以达到，在具体实行过程中应当循序渐进，制定奖励措施逐步促进时效性的提高，让数据处理者逐步适应。

第五款规定储存数据的期限不得长于为达到目的所需的时间。此条款为数据权利的享有期限套上了束缚的笼子，即数据收集商和数据加工平台不享有数据权利的永久所有权（与原权利人达成协议除外）。限制需求方持有个人数据的时间，一方面是允许其在追求目标的阶段存储数据，以得出结论；另一方面是由于在目的达成后，数据需求者不再有留存原始数据的必要性，将个人数据继续继续存储在需求者处可能造成个人信息遭受被转售等问题，因此不能继续保有，而应删除。

第六款规定，数据处理者应采取技术和管理措施来保护数据的安全。本款从整体上对数据权利提出数据需求者应当采取有效措施保护个人数据，使其免遭侵害。本款位于第五条的末尾，保护方式相较于前四款也较为笼统，属于兜底条款。

不仅是作为一个国际组织的欧盟，欧盟的许多成员国家也就本国情况制订了有关个人数据保护的法律。

三、我国立法中的个人数据保护

在我国，多个立法主体均通过立法方式为个人数据或个人信息制订了法律规范，可见立法者对于个人数据、个人信息的保护日益重视。

（一）《民法总则》中的个人数据保护

在2017年，全国人大通过了《民法总则》，其中明确了对个人数据的保护。其中，第一百一十一条指出自然人的个人信息是受法律保护的。任何对个人信息采取的获取、收集、使用、加工、传输、买卖、提供、公开行为均是受制约的。 这一条款首先明确了对个人信息进行保护的必要性；进而对有可能侵害自然人个人信息权的行为方式进行了列举，并按逻辑顺序排列，使之对个人信息权的保护更为具体可行。由于个人数据的内容是个人信息，所以若以非法形式对个人数据进行上述操作同时也会造成对个人信息的危害。可见，本条款虽仅对信息进行了规定，但也从根本上促进了对个人数据的保护。

第一百二十七条指出，数据是受法律保护的 ，具体规定和实施办法依照其他更为详尽的法律规范。本条文虽然未详细列举本法保护数据的具体措施、数据使用者的行为规范、违反的后果，但作为民法典总则部分的条文之一，其对于数据应当受到法律保护的状态的描述为数据保护立法打通脉络，利于立法者再制定后续产生的法律规范。

（二）《关于加强网络信息保护的决定》中的个人数据保护

在2012年，全国人大常委作出了《关于加强网络信息保护的决定》，其中第二条规定商事组织在业务活动中收集和使用公民个人电子信息，应当遵守合法、正当、必要的原则，并明示收集、使用信息的目的、方式和范围，而且需要经过被收集者同意。不得违反法律、法规的规定和双方的约定收集、使用信息。 这一条文所传达的精神与前文所述欧盟《一般数据保护法案》的第五条十分相似。

由此可见，在大数据时代，虽然许多网络服务提供者和其他类型的数据需求者希望大量获取个人数据以达成其目的，但针对他们获取和使用个人数据的行为，国家需要加以限制和规定，这一点已在多国法律中得到体现。收集个人数据以及收集的内容和方式应当首先获得被收集者的同意；收集和使用数据的系列行为应当在约定和法定范围的范围内进行，不得超越；使用过程应当透明，使被收集者能够获知自己的數据的状态；收集数据的范围以及储存数据的时间均应在达到目的的必要范围内，不得过量或超时使用个人数据，以上四点为前述国家立法的共同点。

（三）《网络安全法》中对个人数据保护的体现

在2016年，人大常委通过了《网络安全法》，其中的第二十二条第三款、第四十一至四十四条对用户个人信息数据的收集、存储、使用都给出了非常严格的规定。谓其严格，不仅仅是因为设定的义务多而全，也是因为设定了较高的法律责任，在常规的行政罚款之余，还规定有“责令暂停相关业务、停业整顿、关闭网站，吊销相关业务许可证或者吊销营业执照 ”的措施。

（四）行政机关对数据发展的重视

在2015年，国务院颁布了《国务院关于印发促进大数据发展行动纲要的通知》。该通知指出，大数据是以容量庞大、类型广泛、提取存取速度快、人生价值和财产价值高为主要特点的数据集合体。我们要提升从中发现创新点、创造新物质财富、提高数据整合能力。可见，我国政府正在积极推进发掘数据的潜在价值。通知中也提出要大力推动政府数据共享，推动公共数据资源共享，对大数据基础设施的建设也应该持续跟进。此通知的主要目的在于推动大数据和政府工作的连接，实现政府工作的公开透明化。可见政府也在重视数据的作用，将数据用于政府工作和民生建设中去。

总而言之，我国的立法机构在民法总则以及其他与个人信息权和数据权利有关的规定中多次直接或间接的提及对个人数据的保护并且已经出台相应的惩罚措施以应对日益纷繁复杂的民事侵权行为。

四、个人数据的保护争议

学者的观点主要分为两类。一部分学者用“数据化形式的个人信息”来表述“个人数据”的概念，在论文中直接用“个人信息”的词来表达，他们认为个人信息有隐私性，所以对其施加的保护应参照对人格权的保护手段和程度。另一部分学者认为，个人数据被大数据时代赋予了深厚的潜在商业利用价值的个人信息。现阶段立法应当注重对个人数据利用价值开发的引导而非对其给予封闭性的保护，他们认为采取人格权保护方式或是财产权保护方式，两种途径本质上均是对个人数据进行“保护”，而非开发利用，因此对上述两种方式都给予否定态度。

有学者认为，个人数据是一种数据化的信息，本质仍然是个人资料。由于其与特定主体相联系且内容的隐私性较强，所以在性质上，以人格属性为主。它显然是个人隐私的组成部分。将同一主体的个人资料进行汇集后形成的数据库，也具有一定的财产属性，具有商业利用价值。但人不能认为个人资料是财产权，人格性仍是占主导地位的。

持第二种观点的学者认为若对个人数据信息采取保护措施，不论是以隐私权保护方式还是财产权保护方式，都是建立在私权竞争的观念上。当前大数据相关技术发展水平已能够高效和合理地分析数据，开发其利用价值，能够形成合作共享的有机社会形式。 所谓“合作共享”也就是否定个人数据权利为一种归属于自然人的权利而认为它是一种通过公开，在社会中实现共享的社会资源。这种资源的使用价值主要是引导生产和经营的商业价值。更有学者直接表示，对个人数据予以保护会制约数据的利用。 可见持此种观点的学者对于个人数据保护的质疑。

五、个人数据的分类

个人数据是被数据化处理后的个人信息，具体是指为个人信息添加载体，使之成为可以被计算机直接识别、提取和可分析的量化形式的数据，我们称此时被数据化的个人信息为个人数据。对数据的分类有许多标准，依据不同标准可得出不同结论。

（一）三种数据分类

分类一，静态数据与动态数据。在电子商务中，根据商业数据的存在形态，将商业数据分为静态数据和动态数据。 前者是指在一定时间内处于静态不变的数据，如姓名、性别等信息；后者则是指在一定时间内处于动态变化的数据，例如交易额等。

分类二，个人数据与敏感数据。欧盟主要根据个人数据的信息内容和法律保护的严格程度，将个人数据分为“个人琐碎数据”和“个人敏感数据”。个人敏感数据如基因数据和生物识别数据等对个人具有重要意义的数据。个人敏感数据以外的数据即为个人琐碎数据。敏感数据一般禁止处理，例外情况下需要获得数据主体的明示同意才能进行处理，这里的明示同意是指应当是自由作出的，特定的，知情的且明确的。

分类三，原生数据和衍生数据。以数据的产生是否依赖现有数据为标准，将数据分为原生数据和衍生数据。前者是不依赖已有数据而产生的数据，也就是未经过处理的原始数据；衍生数据是指原生数据被记录、存储后，经过算法加工、计算、聚合而成的系统的、可读取、有使用价值的数据，例如购物偏好数据、信用记录数据等。

分类四，显名个人数据、隐名个人数据。以是否可以识别主体身份为标准划分，将个人数据分为显名个人数据和隐名个人数据。显名个人数据直接将记录在载体上生为数据，没有经过特殊处理，如姓名、身份证号码等。隐名个人数据是指经过限制识别能力技术如限制访问、匿名处理、化名处理等手段处理过的，能够限制他人通过数据识别个人信息，难以或不可识别身份主体的数据。如此分类，能突出两类数据的不同特点，显名个人数据是和个人紧密结合，具有隐私性的数据；隐名个人数据是一种隐去个人识别性信息的具有分析处理价值的数据。

对个人数据的分类还有许多其他标准，不同的学者有不同的见解，由于本文着重研究个人数据的人身性和财产性的属性分析，我们在第四种观点将个人数据分为显名个人数据和隐名个人数据的基础之上，而且本文将数据的研究范围缩小至个人数据，具体分析个人数据的人身性和财产性的属性分析，所以下文采取将个人数据分为显名个人数据和隐名个人数据的分类具体分析。

（二）显名个人数据

最典型的显名个人数据是个人数据。个人数据是指以个人信息为内容，以数据为载体的数据集合。第二种是通过个体行为产生的具有商业价值的数据。第三种是其他数据。

显名个人数据之一：个人数据。个人数据以个人信息为主要内容，所涉及的个人信息主体的可识别性。該个人数据传达出的信息能识别主体身份。能识别主体身份，说明该信息有分辨度，能区别于其他人的信息，即有个人鲜明特征或往往涉及个人隐私。所以，对个人数据的保护也就是对个人隐私的保护。

显名个人数据之二：行为数据。行为数据是指通过个体行为产生的具有价值的数据。例如用户的评论数据、用户的购买数据、用户的位移信息数据等。其特征有：其产生需要自然人为一定的行为；该行为不是一种排他性行为；能以数字电子的形式被感知、记录。主体的思维、意思表示、行为是行为数据产生的关键要件，故其权利主体应是用户本人。

例如用户的购买数据，如果该主体不做出肯定的意思表示，则不会产生这一条购买数据。但它和传统的购买行为也不相同，产生行为数据的行为需要辅以特殊记录方式，并应产生出相应的数据。虽然记录此数据也需用到特定设备，但其权属不归机器，原因同“个人数据”。

显名个人数据之三：其他数据。这是一项兜底分类。笔者认为个人数据权利和行为数据权利是显名个人数据权利最显著的两类，故将它们在前面单列。

（三）隐名个人数据

隐名个人数据是依赖于其他数据而产生的数据。即在基础数据被记录下和储存后，进行加工、计算、分析、聚合、再储存等步骤 而产生的。

加工、计算、分析、聚合等步骤的处理者即是权利的主体。主体因目的不同，往往会选择不同的加工、计算、分析方式。目前广泛认为，利用具有独创性处理方式生成的隐名个人数据，即受知识产权保护。

隐名个人数据具有以下特征：隐名个人数据具有智力创造性。隐名个人数据是基于显名个人数据所产生，例如一家酒店通过录入客户的入住信息即姓名，性别，入住时间，购买服务的需求，退房时间以及对酒店服务所提出的建议等，这些属于显名个人数据，再经过专业地整合分析了解客户的偏好，对日后的酒店整体的季度年度规划，以及在网页上推送的吸引客户的信息，形成具有购买偏好的数据。此时该数据为具有商业价值的隐名个人数据，它不再仅仅是简单的显名个人数据，而是融合了人为思考，人工智能的具有创造性的智力成果，一定程度上可以考虑成为知识产权的权利客体。

隐名个人数据具有产品性。产品是提供给市场，供消费者消费，满足消费者需要的物品，服务，组织或观念，是经过整理加工的具有价值的物品。显名个人数据具有产品的外在载体，但其实质并不满足产品的性质，隐名个人数据则满足创造的劳动产品这一特点。

六、个人数据属性分析

分析个人数据的人身属性和财产属性，首先要了解“人身权”和“财产权”的内涵。

（一）个人数据具有人身属性

1933年，胡长青教授指出：人身权分为人格权及身份权。人格权者，存于权利人自身上之权利也，举凡生命权、身体权、自由权、姓名权及名誉权者属之。

1949年，龙显铭教授提出人身权可分为人格权与身份权两类，前者乃谓与人之人格相始终而不能分离之权利，亦即以人格的利益为内容之权利，如生命权、身体权、自由权、名誉权等。

杨立新教授认为，人格权是人身权的组成部分，包括生命权、身体权、健康权、人身自由权、姓名权、名誉权、荣誉权、隐私权、个人信息权以及人格尊严即一般人格权等基本类型。 因此，法律意义上的人身权，包括人格权和身份权两部分，人格权是指与个人的人格利益不可分离的，如生命权、名誉权等权利；身份权是指与社会生活中个人的身份有关的，如婚姻、继承等。本文所论及的人身权亦采此观点，即与个人的人格利益或身份有关的权利。

（二）个人数据具有财产属性

英国学者麦克劳德认为：“财产这个名词的真正的和原来的意义不是指物质的东西，而是指使用和处理一件东西的绝对权利。财产的真正含义完全是指一种一种权利、利益或所有权。”经过不断的发展和深入，今天的财产的概念应为“财产是一组权利，这些权利描述一个人对其所有的资源的占有、使用、改变、馈赠、转让或阻止他人侵犯。”

如今，我们不能将财产限定在有体物的范围，也不能将财产区分为有体物和无体物。现如今的法律意义上的财产应为一种法律概念，因为法律赋予了主体一种财产权利，所以才说主体享有财产，对财产有支配权等权利。而且某种权利如果反映了主体一定的物质利益，我们就说这种权利具备财产属性。

（三）从显名个人数据和隐名个人数据的角度分析个人数据的人身属性和财产属性

由于显名个人数据是直接将个人信息记录收集在载体上的，它所含的内容与个人信息相差无几，因此它的人身属性非常强。一方面，显名个人数据具备可识别性的特点，其中包含的个人信息如姓名、性别、身份证号码、电话号码、肖像等能够准确地对应到相应的个体，这些信息反映了显名个人数据与个人的人格利益不可分离，具备人格权的特征；另一方面，显名个人数据的个人信息又能反映出对应个体的身份信息，如该个体的家庭情况如何、婚姻状况如何。当然，这是建立在显名个人数据可识别主体的基础之上反映出来的特征，体现了显名个人数据具备身份权的属性。虽然显名个人数据的身份权特征不如人格權特征那么明显，但是身份权和人格权特征的强弱并不能否认显名个人数据的人身属性，反而是因为显名个人数据兼具人格权和身份权的属性，其人身权的属性才愈加明显。

隐名个人数据具有强烈的财产属性的特征，原因有三：一是因为隐名个人数据能够独立存在，具备可控制性。隐名个人数据虽然来源于个人信息，但在经过重重加工处理之后，其完全可以独立存在，成为一种商业数据。二是因为具有商业价值，能够产生经济利益。隐名个人数据利用大量不同个体的个人数据，通过一定的计算方法得出某一群体的特征。由于这种特征来源于实践，但是又不针对特定的个体，可以为以后的选择提供数据支撑。隐名个人数据的这种作用类似于数学中的标本，例如共享单车的运营商可以利用大量用户的骑行数据，统计出哪些时间段、地点的使用量较大，从而有针对性的投放共享单车的数量。这时隐名个人数据的商业利用就体现出它的财产价值。三是市场的可流转性。隐名个人数据具有的财产价值，使得多个市场主体都可利用隐名个人数据达到自己的目的，这时隐名个人数据作为一种标的物出现在市场上，成为可交易流转的对象，而隐名个人数据的主体可从市场交换中获取收益。

上面只是分析了显名个人数据的人身属性和隐名个人数据的财产属性，并不是认为显名个人数据不具备财产价值或者隐名个人数据不具备人身属性，而是显名个人数据的人身属性远远明显于其财产属性，隐名个人数据的财产属性远远超过其人身属性。如电信诈骗就是显名个人数据财产属性的体现，隐名个人数据上述所举的例子中，某一群体的特征仍与人身性相关。

因此无论是显名个人数据还是隐名个人数据，兼具人身属性和财产属性的特征，只是强弱不同。这也体现出个人数据的人身属性和财产属性在不同的情况下会出现强弱不同的属性特点。

七、立法建议

基于前文分析，笔者对个人数据的立法提出了以下建议：

（一）统一法规中个人数据的概念

虽然《民法总则》第111条和127条首次对个人信息和数据进行了明确保护，但是法条只有一条且客体模糊不清，内容抽象。单行法中虽然有更加具体的保护内容，但是各个单行法规定参差不齐，互有冲突时该如何处理，上位法没有明确规定，在实践中面对此类情形较为棘手。

例如在《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第一条规定个人信息的概念，“刑法第二百五十三条之一规定的‘公民个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通信通讯联系方式、住址、账号密码、财产状况、行踪轨迹等。”无论是现行的成文法规定还是实践操控参考性较强的司法解释均对个人信息的定义在不同层面做出了解释，目的就是为了能够对个人信息做出更好的保护。在2016年11月7日由全国人大常委会通过并颁布的《网络安全法》（2017年6月1号起施行），第76条明确规定了个人信息的基本概念：“个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”《民法总则》也有这一概念：自然人的姓名、出生日期、身份证件号码、个人生物识别信息（如基因、指纹等）、住址、电话号码等个人信息受法律保护。虽然各个单行法中均对个人信息的法律概念做出了阐释，体现了立法机构对个人信息的关注度，但是这几种单行法中对个人信息法律概念均不相同，这种概念没有统一的标准导致权利主体不够明确，有必要在日后的立法工作中提上日程。

立法上对保护客体的限制应当具有系统性，可以在同一门类下针对各个单行法所倾向的方面不同进行细分，但是不应该存在法理上的矛盾，以至于在基层法院进行案件审理的同时不清楚应该适用哪一种相同位阶的法律。

（二）对数据使用主体分别进行规定

基于显名个人数据所具有的记录性，直观性，以及可采集性，对其保护可以从以下几个主体角度来考虑。

显名个人数据产生者。顾名思义，显名个人数据产生者就是产生数据的自然人或者单位主体。比如说产生共享单车的骑行轨迹，骑行的出发地和到达地，使用淘宝所产生的原始搜索痕迹等主体。其在享受网络服务商提供的服务时，也为服务商提供了具有商业价值的显名个人数据。而该产生者对其享受的服务已经付出了相应的经济代价，所以显名个人数据产生者应当享受个人数据权中的权益。

显名个人数据加工者。显名个人数据在未收集之前具有分散性，对数据进行收处理的数据加工者对经过其加工的数据享有使用，处分和收益的权利。

网络服务商：在对经过处理后的数据进行收购之后，网络服务商可以将数据放在统一的销售平台面向消费者进行出售，从而获取收益。但是在网络服务商使用大数据时应当为其设置权限，不能过度使用个人信息，突破底线达到经济效益。

八、总结

综上所述，笔者根据当今社会中存在个人信息数据权的侵害事例分析出个人信息数据权的人身性和财产性的保护必要性。其次，具有创造性地提出了显名数据和隐名数据的分类方法，即对个人数据的个人识别性作为划分的重要条件。再次，对欧洲部分国家的立法草案进行了逐条分析，找出在我国这样不同的社会环境中可行的措施。最后，根据权利主体的分类性提出切实可行的立法保护建议。

注释：

范为.大数据时代个人信息保护的路径重构//网络信息法学研究（第1版）.中国社会科学出版社.2017.248.

欧洲1981年《数据保护纲领》。

欧盟GDPR《一般数据保护法案》（2016）。

例如英国：《英国新数据保护法案》（1998年通过，2017年提出新草案）；德国：《联邦数据保护法》（2003年通过，2015年修订）。

《中华人民共和国民法总则》第一百一十一条 自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

《中华人民共和国民法总则》第一百二十七条 法律对数据、网络虚拟财产的保护有规定的，依照其规定。

《全国人民代表大会常务委员会关于加强网络信息保护的决定》二、网络服务提供者和其他企业事业单位在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定收集、使用信息。

《中华人民共和国网络安全法》第二十二条第三款 网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意；涉及用户个人信息的，还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

王利明.隐私权的新发展.人大法律评论.2009（1）.10-12.

吳伟光.大数据技术下个人数据信息私权保护论批判.政治与法律.2016（7）.117-120.

朱新力、周许阳.大数据时代个人数据利用与保护的均衡——“资源准入模式”之提出.浙江大学学报（人文社会科学版）.2018，48（1）.18.

阿拉木斯，易小珍.个人数据、商业数据保护与利用中的法律问题简析.第九届全国高校电子商务教育与学术研讨会暨第三届网商及电子商务生态学术研讨会.2010.

中国社会科学网：衍生数据是数据专有权的客体.http：//wwwcssncn/sf/bwsf_fx/201607/t20160713_3120938shtml（最新访问时间，2018年3月10日）.

整体简称为“处理方式”。

胡长清.中国民法总论.商务印书馆.1933.41.

龙显銘.私法上人格权之保护.中华书局.1949.1.

杨立新.人格权是民法的确定性概念.http：//www360doccom/content/18/0126/15/1170 8174_725280233shtml（最新访问时间，2018年3月9日）.

[美]罗伯特·考特、托马斯·尤伦著.张军，等译.法和经济学.上海三联书店.1996.125.