大数据时代个人信息的法律保护研究

曾奎秀

一、 概述

（一）大数据时代个人信息的危机

随着互联网技术的不断进步，我们从互联网时代进入了大数据时代。大数据是指基于海量、多样化的数据集合，通过云计算的数据处理与应用模式，快速获取、处理、分析等手段形成的智力资源知识服务能力。这意味着当今时代的数据规模更大、数据种类更多、处理速度更快、价值密度更低。当我们欣喜地体验着高科技带来的信息传播的便利，我们也同时面临着个人信息的危机与风险。

在大数据时代的背景下，技术的限制被打破，个人信息面临一系列的危机。第一，尊严的危机。大量信息在不知不觉中被收集传播，个人隐私被侵犯，生活安宁难以维持。第二，信息失控的危机。个人信息储存后，可能因为系统漏洞而被不法访问、使用甚至篡改。在此基础上可能引起个人信息在流转过程中产生财产与人身层面的风险。

（二） 个人信息的法律保护的价值

个人信息承载着信息主体的精神利益，也体现着主体的人格和自由。而对其他不同的主体来说，个人信息则具有不同的价值。首先，对一般自然人而言具有社会交往的价值。自然人会在社会交往中把个人信息主动传递给他人，也会获取他人的个人信息，因此个人信息具有保障社会交往的功能。其次，个人信息对国家等公权力主体而言具有管理价值，国家通过收集主权范围内的公民的个人信息，不仅可以清楚地把握社会生产的状况，而且还可以据此制定修改相关制度，使上层建筑更加适应经济基础，人口普查便是国家对个人信息收集的一种重要方式。最后，对于商家等非公权利主体而言个人信息则具有商业价值。个人信息不仅是信息主体的一种精神权益，个人信息还蕴含着财产利益，具有商业价值，在特定情况下可以用于交易，参与市场流通，成为市场中的商品。当然，并不是一般的个人信息都具有商业价值，经过统计、整理、加工后的具有共同特征的个人信息往往具有较大的商业价值。

（三） 个人信息的法律保护的现状

自上世纪六七十年代开始，随着电子信息技术的发展，我们进入了数据化的时代。1970年德国黑森州通过了世界上第一部直接以“资料保护法”命名的《黑森州资料保护法》，虽然不是国家层面的法律，但却具有重要历史意义。随后瑞典、联邦德国、法国、奥地利、挪威、冰岛、芬兰、英国、美国等国也纷纷颁布相关法律。各国的法律都体现了相同的立法目的，即信息化数据化背景下保护公民的人身权益不受侵犯、生活安宁不被侵扰的基本价值诉求，部分国家甚至制定了专门保护个人信息的单行法。

虽然在我国的《中华人民共和国民法总则》中新增了对个人信息保护的单独条款，但是2003年我国就开始起草的《个人信息保护法》，却至今都尚未出台。对于个人信息的保护主要依据民法、行政法、刑法等法律法规的相关条款进行处理，而这些法律的相关条款存在过于原则、不够具体、操作性不强等缺陷，无法应对信息化数据化发展产生的个人信息保护的问题。

二、个人信息的界定

（一）个人信息的内涵

我国民法未对个人信息作出明确定义。法学理论界对个人信息的学说主要包括关联型学说、隐私型学说、识别型学说。目前国际和国内立法上比较倾向于采用识别型学说，即通过利用个人信息所提供的信号是否可以直接或间接识别出信息主体的一种识别定义方法。其中具体包括信息主体的姓名、性别、年龄、民族、身高、血型、联系方式、身份证号、家庭住址、身体健康状况、宗教信仰以及网络使用的I P地址和网银支付信息等。这种以“识别”作为基本要素的个人信息定义方法在我国学术界和立法界得到了普遍认可和适用。而在《个人信息保护法》（专家建议稿）中采用概括加列举的模式规定： 所谓个人信息，是指现实生活中“能够识别信息主体的一切信息”，按照定义其范围很广，除公认的基本信息外，还包括档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景等。概括了个人信息的重要内涵，也强调了个人信息的可识别性。

（二） 个人信息概念辨析

从各国对个人信息的法律称谓上便可看出，世界各国对该概念的认识并不一致。目前，世界各国、各地区和组织在个人信息保护法上所使用的称谓通常有：个人信息、个人数据、个人资料和个人隐私。这些概念内涵与外延既有重叠又有差别，有必要进行辨析。

个人信息、个人资料与个人数据并无绝对差别。个人资料和个人数据均译于“personal data”，所以二者并无本质区别，只是经由中文翻译而产生。而我国采用个人信息是因为，“数据”一词主要用于技术领域，法律领域适用较少。而且个人信息的概念更符合信息化和数据化时代的发展需求。

个人信息与个人隐私紧密联系但并不能等同。如前所述，个人信息是指可以识别信息主体的一切信息，而个人隐私则是自然人不愿被他人所知悉的、尚未公开的私人信息、私人空间和私人事务。有些学者认为个人信息可以包含个人隐私，个人隐私只是个人不愿公开的私人秘密和私人信息，是個人信息的一部分，个人信息涉及的范围更广。此外，有的学者则从法律对个人隐私和个人信息的保护视角不同出发，认为个人信息和个人隐私虽然在形式逻辑上有交叉但并非包含关系，二者的侧重点不同。

但总体上来看，根据我国的立法习惯与传统，采用个人信息的法律称谓更符合我国的国情。

（三） 个人信息的具体类型

个人信息种类繁多，按照不同的标准可以划分为以下类别：

第一，将个人信息划分为一般信息和敏感信息。其目的是为了区分对二者的保护力度。敏感信息可以包括身份证号码、手机号码、性生活、基因、犯罪记录、指纹等，除了敏感信息以外的便是一般信息。这是欧盟和欧洲国家个人敏感信息比较通用的一种做法，然而却鲜有对敏感信息的具体界定，尽管欧洲各国统一了敏感信息的范围，但是基于敏感信息本身的特殊性在各国实际上存在差异。

第二，根据是否可以直接识别信息主体为标准可以划分为直接个人信息和间接个人信息。直接个人信息是指可以直接识别信息主体的信息，如姓名、身份证号等；而间接个人信息则是需要借助其它信息、知识才能识别信息主体的信息，如身高体重、学历学位等。如此划分将不能识别信息主体的个人信息排除在法律保护范围之外，从而减少法律保护成本。

第三，根据个人信息处理的方式不同，可以划分为自动处理的个人信息和手动处理的个人信息。通过自动化设备进行输入、储存、编辑、使用、更正、删除、传输等处理的个人信息就是自动处理的个人信息，手动处理的个人信息则是人工处理的未借助自动化设备和设施的个人信息。这种分类方式的意义在于自动化处理的个人信息更容易使信息主体的权利和自由受到威胁。

此外，还有多种个人信息的分类方式，但无论如何分类，对个人信息的概念进行多种划分是为了使该法律概念进行深入分析，从而进一步探讨个人信息法律保护的问题。

三、 个人信息保护的理论基础

（一）个人信息保护人格权之维度

对人格权的法律保护是现代民法的基本任务之一。人格权可以分为一般人格权与具体人格权，一般人格权是以人格自由、人格尊严、人格平等为主要内容，是相对于姓名权、肖像权、健康权、自由权、名誉权、隐私权等具体人格权而言具有集合性特征的权利。个人信息是能够识别信息主体的信息的总和，一般不与信息主体绝对分离，所以个人信息是一项人格要素，并且体现了一般人格权的内容。具体来说，个人信息主体能够自由的保有发展其个人信息并且排除他人干扰的权利，这体现了人格权的人格自由；而保障个人信息与信息主体的一致以及信息的真实性，避免信息主体的形象被扭曲，是个人信息保护的任务之一，也是展现人格尊严的具体形式。

（二） 个人信息保护财产权之维度

当个人信息满足法律意义上财产的确定性、独立性、价值性、稀缺性和可支配性，即可成为个人信息财产。其强调个人信息的财产利益，是一种独立存在、具有一定财产价值、以可交换的信息为客体的新型财产权。当然，个人信息财产权的客体也具有其自身的特点。由于信息本身属性的非物质性决定了个人信息财产权的客体也具有非物质性；信息的可复制、可加工性则决定了信息是可以规模化、产业化加工生产的，这便决定了个人信息产品的可复制性；同时，个人信息的交易买卖不可能实现完全控制权的转移，所以个人信息财产权客体具有不可绝对交割性。

个人信息财产权理论的核心则是强调个人信息财产权的权利内容。即信息主体对个人信息的控制权、使用权、收益权、处分权。该理论的目的在于增强信息主体对其个人信息的控制、从而为个人信息提供全方位的保护，同时，强调了信息主体的使用权、收益权和处分权，从而可以促进信息主体的自觉性，充分发挥个人信息的多方面价值的开发。

但是，在实际操作中个人信息财产权的行使面临着诸多现实困境。而且财产权理论并不完善且存在许多缺陷，并不能与人格权理论绝缘。事实上，人格权与财产权早已在实践中交互发展，立法与司法实践也认可了某些具体的人格权兼具人格权属性和财产权内涵的特征。

四、 我国个人信息立法保护不完善之处

我国在个人信息的立法上仍不完善，主要表现在以下三个方面：

第一，个人信息类型多样，立法未具有针对性。如前所述个人信息按照不同标准可以进行不同的分类，每种类型的个人信息具有不同的特色，其具有的财产化的价值和所需要的保护程度也是不同的。如果是广而泛之的设立法律进行保护往往难以将各类型的个人信息都兼顾到位。然而，随着科技的进步，各种新型的关于个人信息的犯罪层出不穷，这使得法律对于这一方面的保障始终处于落后状态。在我国急需构建完整的个人信息保护法体系，并进行针对性类型化的立法。

第二，现行单一的保障制度，保护与救济难实现。目前，对个人信息的保护制度存在结构单一，程序和管理机构不明确的缺陷。行业自律机制尚待建立、责任分配尚不明确、救济方式也处于单一状态。仅依靠现有关于个人信息的法律法规，缺乏多种机制的配套保障难以实现个人信息的全面保護。因此一个多元的保障机制的建立是十分必要的。

第三，缺乏专门法律保护，立法有待进一步完善。2017年3月15日通过的《中华人民共和国民法总则》中新增了对个人信息保护的条款，这在我国个人信息保护的立法上是一种进步。但是，我国个人信息缺乏专门系统的法律保护，同时现有的法律对个人信息保护的可操作性不强，我国对个人信息保护尚不全面，我国则尚需探索建立适合我国的立法模式。

五、 我国个人信息立法保护的完善路径

要实现对我国公民个人信息的全面保护，完善法律规范是必由之路，可以从以下几点着手：

第一，建立个人信息的类型化保护机制。不同类型的个人信息对主体隐私程度或者“识别”程度不同，其所需要的保护程度也是不同的。个人敏感信息较个人一般信息对主体更加隐秘，应该强化保护；而对个人一般信息则可以加强开发利用，个人一般信息对主体的私密程度低，可以侧重开发其商业价值和管理价值，从而满足其他主体的利益需求。同时，要防止个人直接信息的泄露。个人直接信息与信息主体紧密相关，可以直接识别出信息主体。由此，应该加强防范，防止个人直接信息的泄露。

第二，完善个人信息保护的责任机制与救济机制。一方面，要明确责任机制。个人的责任自行承担，企业或者相关管理机构的相关责任也应明确，由此强化对个人信息保护的重视与落实。另一方面，丰富救济机制。鼓励信息主体维护主体的合法权利，那么救济方式便要更加多元起来。公力救济固然权威而具有强制力，但是社会救济和自力救济也同样有其优势，不仅成本低还能充分表达双方意愿，从而平衡多方利益。

第三，加紧出台系统的个人信息保护法。个人信息保护法是专门的、系统的对个人信息进行保护的法律，在个人信息保护法中可以明确个人信息的定义、个人信息的具体权利，建立完整的保护体系，以弥补现行对个人信息保护的不足。个人信息保护法在制定时要贴近我国个人信息保护亟待解决的问题，使制定的法律具有针对性；同时立法还应具体、明确，才能让执法者更加易于操作。只有将该法严格施行落到实处，才能真正体现其价值。

总而言之，对于大数据时代对于个人信息的立法保护值得我们进一步去实践探讨。