大数据时代个人信息法律保护制度之重构

受制于大数据时代之前（简称“前信息时代”）已经建立的个人信息保护理论的影响，我国个人信息法律保护实践在大数据时代陷入窘境，必须结合大数据时代特征进行制度重构。

大数据挑战个人信息法律保护传统理论

网络全覆盖下的大数据时代，信息主体源源不断地生产和输送的个人信息，通过大数据挖掘技术得到整合利用，实现了数据人格塑造和现代权力控制。所谓数据人格就是个人被信息化，所有的个人事务和行动都变成数据，由网络数据完整描述个人人格。借助于无处不在的采集存储设备，数据取代物理世界的行为成为人格的标识和标签。大数据时代的数据人格塑造还通过对海量碎片化数据的挖掘，形成了对个人的偏好、性格、行为的精准分析和预测，从而完成数据人格的深度塑造。数据人格塑造会带来个人信息泄露、隐私曝光、不平等和歧视待遇、扭曲和异化真实人格等风险，而当数据人格成为大数据时代的生活常态时，无处不在的监控与控制也便形成。大数据时代的权力控制并不仅限于国家公权力，还包括私营部门和社会组织的数据利用带来的新的权力控制问题。如果说，福柯描述的规训社会还依赖行为的矫正和训练，大数据时代则通过网络依附实现了福柯所描述的现代权力控制。当一站式服务成功吸附用户时，用户对互联网巨头的依赖便可以形成；而国家以公权力为后盾对网络的介入，更可以实现全面的数据获取和使用。所以，现代社会中的个人不但处于国家权力的虎视眈眈下，更处于现代权力这一“柔性极权主义”之中。

在数据人格和现代权力控制的双重挑战下，传统上以明确使用者责任为核心的个人信息法律保护理论不可避免地陷入了困境：

第一，可识别性个人信息界定的困境。通过界定什么是个人信息，从而明确个人信息法律保护的客体内容，是前信息时代个人信息法律保护制度建构的起点。通读各国已经制定的个人信息保护法，可识别性是定义个人信息（数据）的普遍做法。但是大数据技术带来了可识别性操作的困境。一方面，可识别性个人信息的范围不断扩大。大数据时代，个人日常活动的所有痕迹几乎都在网络中被记录，零散的个人信息记录看似不相关，但通过数据挖掘技术，原来被认为不能识别到个人或者匿名化不被识别的信息都能够识别到个人。另一方面，个人信息权利受侵犯不以可识别性为限。大数据时代，个人信息的价值通过量的积累体现出来，打包处理的某一类个人信息虽然不以识别个人为目的，但是类别化处理后的类型化对待也会造成对个人信息主体权利的侵害。前信息时代，个人信息是可以与个人相分离的一种客观存在，通过去除身份就可以实现防止隐私受侵害的风险；而大数据时代个人信息与动态化个人行为紧密相连，无论是否具有身份识别性都能够产生隐私侵犯风险。

第二，以控制为核心的个人信息权利异化的困境。前信息时代个人信息法律保护的核心是个人对其信息的控制，其主要从属于隐私权，其后在大数据变革中，又被纳入了财产权保护的范围。但是，在大数据时代，数据人格塑造和现代权力控制，导致无论是隐私权还是财产权角度的个人信息控制权能均出现异化。具体而言，以个人控制为核心的个人信息权利保护，经历了依赖隐私合理期待和个人财产保护的发展历程，但面对大数据技术下个人信息全方位收集和无限次利用，个人信息早已脱离了信息主体的实际控制，个人控制这种核心权能已经无法发挥作用，个人信息的控制主体已经从个人异变为社会组织和政府机构，控制权能也已经从个人实际掌控异变为组织责任承担。大数据时代，当个人信息实际上由个人不间断地生产而又脱离个人控制时，个人信息的社会资源性特征越发明显，对于个人信息权利的保护必须在时代背景下，在促进个人信息有效利用和安全、秩序维护的过程中，重新进行思考。

第三，个人信息处理原则无法适用的困境。1980年经济发展合作组织（OECD）制定的《个人信息保护指南》（OECD Guidelines）中明确规定了个人信息处理的八项原则，核心是个人信息主体知情同意（明示或默示）、个人信息使用目的限制（目的明确、最小化使用）以及个人对信息的控制（公开透明、参与、修改、删除权等），体现了以个人控制权能实现为核心的保护制度建构。这些原则的出台和使用建立在实际上个人信息有限和可控的前信息时代，数据库的使用逻辑是必须尊重提供信息的个人。但大数据技术下的个人信息主体与个人是一种几乎完全分离的状态，不仅无处不在的隐形监控使得个人无法控制个人信息，而且个人信息处理链条拉长为远离个人控制，从而使原有的个人信息处理原则根本无法适用。具体表现有三种。其一，知情同意原则形同虚设。大数据时代，网络的全覆盖导致隐私声明成为加重机构和个人负担的设置，网络平台和用户都不认真对待隐私声明，且在个人信息密集收集与多方流转的生态系统中，用户在很多情况下对其信息的收集并不知情。其二，个人控制原则失效。个人无法选择对其信息进行处理的主体，也就无法参与和控制个人信息的处理。其三，目的限制原则的空置。信息是大数据时代最重要的社会资源，在社会经济、秩序管理等方面发挥越来越大的作用和价值，并通过挖掘与再利用实现。由此，个人信息使用目的的事前列明成为不可能和无必要。

由此可见，个人信息法律保护虽然在世界范围内已有成熟的制度建构，但是如果不能及时适应大数据时代的要求，已有的法律保护将阻碍信息资源的有效利用，无法完成个人信息权利保护的重任。我国个人信息的法律保护尚未建立，大数据技术变革已经扑面而来，学习已有的个人信息法律保护制度经验固然重要，但是如果不能跳出前信息时代的制度藩篱，个人信息的法律保护就会始终面临实践困境。

我国个人信息法律保护面临实践困境

我国并没有经历前信息时代个人信息法律保护的充分发展，受国外已有的成熟理论的影响，基本上还是用前信息时代的个人信息法律保护思维应对实践问题，这必然导致大数据时代个人信息法律保护面临立法和司法实践的困境。

我国个人信息立法保护一直滞后。我国个人信息保护专门立法尚未制定，实践中确立了个人信息分散立法保护的模式，并基本上涵盖了前信息时代个人信息法律保护的核心问题，包括可识别性个人信息界定、个人控制权的保护以及知情同意为核心的原则设定。但我国个人信息分散立法保护的缺陷十分明显，主要体现为保护对象不明确、信息主体权利不完整、权利义务不完善和法律责任不到位等。学者们一直倡导通过制定专门的个人信息保护法解决以上分散立法保护的弊端，通过专门立法实现完整的个人信息法律保护。但是，值得注意的是，在大数据技术挑战面前，如果不能跳出前信息时代的旧有思维，依然围绕可识别性界定个人信息和个人控制权能进行立法，根本无法应对大数据时代个人信息保护范围、权利内涵、保护原则等方面的变化。其实，立法追求严整与内容明确的特点并不适应大数据技术之下个人信息利用的变动性，通过立法保护个人信息通常会滞后于大数据技术要求，这也正是欧美国家近年来不断修改已有的个人信息保护法的原因。大数据时代，个人信息法律保护不是单纯的权利实现，而是要在个人信息有效利用与权利行使之间寻找平衡，由此决定了个人信息立法保护必须转换思路并重构内容。

我国个人信息刑法保护相对被动。在法律不完善的前提下，针对个人信息滥用导致严重社会危害，只能由刑法出面进行灭火。我国《刑法修正案（七）》及至《刑法修正案（九）》中侵犯公民个人信息罪的规定，是从维护社会秩序出发，对于侵犯个人信息导致的公民人身财产权损害进行的刑法救济，在打击利用个人信息犯罪方面作用巨大。但由于个人信息保护的前置法律贫乏，刑法的个人信息犯罪规定必须解决许多不属于刑法规定的内容，由此导致刑法救济的被动性。目前，侵犯公民个人信息罪的具体适用还必须依靠最高人民法院和最高人民检察院于2017年6月1日发布的《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（简称《解释》），而《解释》在实践应用中并不能起到应有的作用，反倒因为《解释》而引发关于个人信息定义、法律适用以及定罪量刑方面的更多争议。

大数据背景下，以刑法一己之力并不能完成个人信息法律保护的任务，我国《刑法》中的“侵犯公民个人信息罪”不过是面对危害后果的应急反应，虽然刑法的社会危害防治会暂时发挥作用，但也会引发更多实践中的问题。所以，只有把个人信息的刑法保护放置到个人信息法律制度建构的整体框架下，才能对《刑法》及其《解释》的局限性进行突破。

我国个人信息民事救济非常贫弱。我国个人信息民法保护相当贫乏，民事侵权的司法救济也几乎无所作为。2017年10月1日起实施的《民法总则》虽然在第111条规定了“自然人的个人信息受法律保护”，但这一条文规定的“个人信息”，究竟是个人信息法益，抑或个人信息权，学者有不同的解读。另外，《民法总则》第110条对隐私保护的单独规定，也引发了隐私与个人信息保护如何协调的问题。民事领域的侵犯公民个人信息的纠纷解决主要还是依靠2014年6月23日最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》。在个人信息、隐私权民法保护均不完善的前提下，我国司法机关采取了将个人信息附属于隐私权进行保护的方式。司法实践中直接侵犯个人信息的民事纠纷案件并不多，一方面表明我国个人信息民法保护先天不足，另一方面也不能忽视大数据时代单个个人信息的民事侵权已被量化的数据库侵权所吞没的现实。由于大数据时代个人信息权利的异化，个人信息的资源性利用远大于其保密价值，所以，着眼于个体性权利的民事侵权救济并不能有效发挥作用，必须针对平台企业和国家机构的数据库开发利用重新设定民事责任。而从司法裁决多强调隐私权保护来看，个人信息的隐私权属性有重要价值，尤其是在数字化人格大发展的今天，注重个体性地位的最好体现仍然是隐私权保护。

大数据时代个人信息法律保护制度重构

当个人信息法律保护制度面临变革时，我们应主动适应大数据的时代要求，不简单照搬或受制于国外制度，并立基于解决实践困境，从大数据信息有效利用的视角出发，重新思考和定位我国个人信息法律保护制度建构。

首先，个人信息标准的立法替代。面对大数据技术的飞速发展，个人信息的法律保护并不只有立法一途，与技术相连的个人信息保护标准起到了部分立法替代作用。2018年1月，国家标准《个人信息安全规范》（GB/T 35273-2017）（简称《规范》）正式发布。在网络安全法治框架下，《规范》立足信息安全的维度，厘定、阐明了个人信息安全保护领域的诸多重要问题，如“个人信息”的基本定义、个人信息安全的基本要求等，并突出了个人信息全生命周期动态调节的机制特色，为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。

技术标准因其没有直接的立法效力，其效用往往被忽视，但是，其可因企业自愿遵守而产生约束力；行政机关可参照做出行政决定，采取非正式监管措施，法院也可以援引作为裁判说理依据；而规范一旦被法律、法规、规章、强制性标准援引，便可在相应规范中产生与之同等的法律效力。大数据技术的特征，决定了对个人信息的利用是一种可以用技术标准框定的规范性操作，个人信息保护标准不仅更能灵活应对大数据技术不断发展的要求，解决立法的滞后性，而且标准本身的灵活性更有利于大数据时代的个人信息安全、利用以及保护的需要。在标准替代立法的局面下，并不是用标准完全取代立法，而是把能够技术规范、标准化的内容拿到标准中来，或者明确已经被标准确定的内容，以技术解决技术带来的变动性问题，在此基础上，放弃制定大而全的个人信息保护专门法律的做法，重点制定适应大数据时代要求的特别保护法。

其次，多方互动的隐私风险评估机制建构。“隐私风险评估”是衡量隐私风险的有效工具，实践中已发展为标准化操作流程，成为国际上日益认同的理念与最佳实务。场景与风险导向的新思路认识到，在大数据时代纷繁复杂的个人信息处理场景中，前端的、静态的遵循知情同意的框架已经不足以应对严峻的隐私挑战，必须及时扭转思路，在个人信息处理所处的具体场景中进行动态的风险控制，即变僵化的合规遵循为灵活的风险管理，促进个人信息的“合理使用”，重点规制个人信息的“不合理使用”行为。

隐私风险评估的理论基础是承认个人信息法律保护的隐私权价值，即，个体独立与尊严保护的人格利益必须借助于信息性隐私权保护实现。而隐私风险评估作为动态的机制，能够在法律不完善时借助多元社会力量实现，通过行业自律可以引导隐私声明与隐私风险评估衔接，促成个人信息隐私保护的实现。此外，第三方平台的介入也能够起到更为客观的监控效果。政府的监管应该关注这一方向，通过引导和介入完善多方互动的隐私风险评估机制建构。

最后，信任关系下的个人信息民法保护完善。大数据时代，个人信息的产生和利用无处不在，个人信息并不只是标明个人身份的简单代码，而是人们传递感情、进行社会交往和商业活动的基础资源和活动记录。所以需要在具体环境中认识个人信息的保护需求，这取决于维系社会交往存在的伦理基础，即信任责任关系。在信任关系下，个人信息主体对于超出该情景的个人信息流通具有要求接受者不予扩散的保密义务。在大数据时代，由于个人信息的广泛利用性，个人的知情同意已经退位给使用者承担责任，在个人信息的有效利用中，使用者与个人信息主体之间的信任关系的建立非常重要，也即可以通过信任关系建立良好的个人信息利用秩序。在我国，民法中的诚实信用原则一直面临现实挑战，社会信用制度尚没有建立，信任责任法极其缺乏，如能在个人信息责任制度方面进行突破，不仅有利于个人信息利用秩序的建立，也无疑会为大数据时代社会信用制度的建立奠定基础。而借助于大数据技术，信息责任法的建立并不困难，在各种网络平台推出个人信用评估的当下，利用大数据技术对个人信息控制者即网络平台本身的信用进行评估更为重要，当然，这一任务需要借助于媒体、第三方平台以及政府的推介共同完成。

综上所述，个人信息的法律保护是随着大数据技术的发展而变动最为剧烈的领域。鉴于大数据带来的个人信息利用特征的变化，我们应在做好补课的同时，适应大数据时代要求，从多元、变动的视角做好个人信息法律保护的整体制度建构。