大数据时代个人信息保护制度探究

宋丰华

（中共福州市委党校 福建 福州 350014）

当前，大数据技术的发展为我们的生产生活提供了极大的便利，与此同时也对个人信息的保护带来巨大挑战。在充分运用大数据技术的同时，如何保护个人信息，避免个人信息泄漏、不当使用带来的种种问题，成为人们广泛关注的焦点。在大数据时代，我国个人信息保护制度存在哪些问题，如何加强个人信息保护，这些都需要进一步研究。

一、大数据时代个人信息保护的紧迫性

大数据时代，随着大数据技术应用领域的不断扩展，个人信息保护面临的风险也在不断增加。近年来，个人信息不当收集、存储和使用现象频发，个人信息权益受到严重侵害，进而导致信息主体遭受各种通信骚扰、财产损失乃至人身伤害。比如2016年发生的徐玉玉案，以及每年层层不穷的各类电信诈骗。在信息不当收集方面，信息收集者通常会超出合理范围过度收集信息，或者利用自身优势要求信息主体在接受服务之前必须同意其格式文本的用户协议、隐私政策等，如果不同意，则不能使用信息收集者提供的服务。在信息不当存储方面，信息收集主体对信息存储的安全性评估不足，网络服务系统存在漏洞导致个人信息泄漏。在信息不当使用方面，信息收集者故意向他人提供、出售个人信息，或者通过电话、短信、邮件等方式对信息主体进行骚扰，以及信息泄漏后被不法分子利用从事违法犯罪活动。上述信息收集、存储和使用中存在的问题暴露出个人信息保护方面的不足，而个人信息保护的不足不仅会使信息主体的人身和财产权益受损，还会制约数据产业的健康发展。数据产业的发展离不开对数据的收集、处理和利用，如果信息主体的各类权益无法得到保障，则信息主体会更加审慎地保管和使用其信息，这势必会对经营者获取个人信息带来一定的阻碍，不利于大数据产业的健康持续发展。

二、我国个人信息保护制度存在的问题

尽管我国在个人信息保护方面制定了一系列制度，但由于制度本身存在不足，影响了个人信息保护的效果。

1.个人信息的界定不明确

清晰界定个人信息的内涵，是个人信息保护的前提和基础。考察我国相关制度，2017年6月1日实施的《中华人民共和国网络安全法》和全国人大2020年5月28日通过的《中华人民共和国民法典》都把个人信息界定为单独或与其他信息结合能识别特定自然人的信息，同时列举了自然人的姓名、出生日期、身份证号码、住址、电话号码等具体个人信息。从上述规定可以看出，我国法律实践中“可识别性”是界定个人信息的关键。但随着大数据技术的发展，可识别性在界定个人信息方面面临巨大挑战。一方面，可识别个人身份信息的范围在不断扩大。在大数据时代，个人生活、工作、活动中的不少行为都能被网络所记录，比如网络浏览记录、购物记录、个人活动轨迹等。这些零散看似毫无关联和不可识别的信息，运用大数据技术进行处理之后，原本看似不能识别个人身份的信息都能够成功识别到个人。比如网络运营者可结合购物者的购物记录、IP地址和邮寄地址等将匿名购物者识别出来。另一方面，一些信息即使不具有识别个人身份的可能，但是如果被泄露、不当使用，也会对信息主体的权益造成侵害。通过大数据技术处理之后，一些信息已经不具备识别个人身份的可能或不以识别个人身份为目的，但却可能造成信息主体的权益受损。比如网络运营者根据个人网络浏览记录、购物记录而向其精准推送广告、新闻，或者运用大数据“杀熟”，这些行为都给信息主体的生活安宁和财产安全带来极大隐患。

2.控制理论下的法律保护模式有待完善

当前，以“知情—同意”为核心的控制理论是个人信息法律保护的基本理论。在控制理论下，信息主体被认定为是理性人，基于理性选择，能够有效控制其个人信息的收集、使用。网络运营者在对个人信息进行收集及后续处理、使用之前，必须告知信息主体，在征得信息主体的同意后，方可从事上述行为。在“知情—同意”的机制下，使得网络运营者对信息主体信息的收集、处理和使用合法化。目前，世界很多国家都是基于这一理论进行立法，对个人信息加以保护。我国的相关法律，如《中华人民共和国网络安全法》《中华人民共和国消费者权益保护法》《中华人民共和国民法典》，都规定了行为人在收集、使用个人信息时，应当明示其收集、使用信息的目的、方式和范围，同时要取得信息主体的同意。由此可见，我国的立法也是基于控制理论，以“知情—同意”原则构建起个人信息保护的制度。但随着大数据技术的发展，基于控制理论下的个人信息法律保护模式的不足日益凸显。一是信息主体在复杂的客观环境中不能保持足够的理性。控制理论强调个人的理性选择，假定个人能够理性做出是否同意网络运营者收集、使用个人信息的决定。但在具体的场景中，尤其是面对网络运营者提供的冗长枯燥、晦涩难懂的服务协议或隐私政策时，个人往往没有足够的能力和耐心理解其中的内容，难以评估同意个人信息被收集后将带来的后果，难以做出理性的决策。并且一些网络运营者还要求只有在信息主体同意其收集、使用个人信息的前提下，才向信息主体提供服务。此种霸王条款之下，信息主体的“同意”并非基于其真实意思表示，此时信息主体也难以实现其对个人信息的有效控制。二是网络运营者在运营的前期往往也不确定收集的信息将用于何种用途，自然也无法在服务协议或隐私政策中明确告知个人信息的所有用途。基于自身利益的考量，为更好地发挥个人信息的潜在价值，网络运营者通常会把尽可能多的个人信息纳入隐私政策中，而这也偏离了个人“同意”制度设计的初衷[1]。

3.侵害个人信息的民事责任追究存在不足

我国现有的制度在个人信息受到侵害的民事责任追究方面较为薄弱。尽管《中华人民共和国民法总则》及尚未生效的《中华人民共和国民法典》规定了自然人的个人信息受法律保护，但当个人信息受到侵害时，如何进行保护，《中华人民共和国民法总则》及《中华人民共和国民法典》并没有明确的规定。司法实践中，侵害个人信息的民事纠纷主要是依靠最高人民法院2014年制定的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》来解决。该司法解释第十二条规定了相关主体利用网络公开他人个人隐私和其他个人资料，并且给他人造成损害的，应当承担侵权责任。实践中，侵害个人信息的民事纠纷尚无单独的案由，现有的案例较少，并且基本都是基于隐私权纠纷进行审理。而当前我国隐私权的法律保护制度本身并不完善，这也给侵害个人信息的民事纠纷的解决带来不利影响。个人信息保护有其特殊性，在要求侵权人承担侵权责任时，应该适用过错责任原则，还是无过错责任原则，也需要进一步探讨。

三、大数据时代个人信息保护制度的完善

大数据时代的到来给个人信息保护带来新的挑战，针对个人信息保护制度存在的上述问题，需要立足实际，结合我国的具体情况，进一步完善相关制度。

1.科学界定个人信息

从个人信息的分类来看，个人信息可分为可识别信息和关联信息。可识别信息即能够识别个人身份的信息，如姓名、身份证号码、手机号码等，关联信息是指与信息主体相关联的其他信息，如信息主体的工作信息、教育背景等。如上文所述，我国目前以可识别性作为个人信息保护的范畴。仅保护可识别信息并不全面，还应当对关联信息加以保护。关联信息客观上能够反映信息主体的相关特征，同样具有受到法律保护的人格利益[2]。而科学界定可识别信息和关联信息，有利于加强对个人信息的保护。在可识别信息的界定上，包括了直接识别和间接识别。直接识别即单个信息即可直接识别出信息主体，而间接识别指相关信息需结合起来才能识别出信息主体。早期的观点更倾向于保护直接识别的信息，随着大数据时代的到来，间接识别标准也为世界众多国家所认可和采用。在识别标准的认定上，存在绝对标准和相对标准。绝对标准强调只要特定信息能够被世界上的某一机构所识别，则该信息即为可识别信息。相对标准强调获得信息的一方能否识别作为判断标准。显然，绝对标准较为合理。如果采用相对标准，信息收集主体很有可能将一些信息主体的信息认定为非个人信息，从而排除了法律对其的保护。在关联标准的认定上，有观点认为个人信息是与特定个人相关联的、反映个体特征的信息[3]。随着大数据技术的发展，原来不能反映个人特征的信息在大数据技术的处理下也能够清晰地呈现出个体特征。在关联性的认定上，只要通过一定技术手段分析处理后，能够反映个人特征，即应当认定为关联信息。

2.建立健全网络运营者个人信息保护机制

控制理论下的个人信息保护围绕信息主体的权利设计“知情—同意”为核心的制度，但如前文所述，这一理论下的制度设计在大数据时代面临巨大挑战，亟须改进制度设计。在大数据时代，尽管信息主体是个人信息的权利人，但网络运营者的行为却直接影响着个人信息的收集、使用是否合规，是否能够发挥数据的效用，因此，在个人信息保护方面，我们可以将制度设计的重点放在对网络运营者行为的规制上。通过相关的制度设计，强化网络运营者的责任，防止个人信息的泄露、滥用，保护信息主体的合法权益。具体而言，需建立健全风险评估机制。网络运营者在对数据进行处理之前，对信息处理可能给信息主体的权利带来的影响进行风险评估，根据评估结果的不同，划分高、中、低的风险等级。当风险等级为高风险时，网路运营者应及时主动向信息主体履行风险披露义务，并针对该风险采取降低风险的措施，在必要时还应向监管部门报告，由监管部门对其采取的应对措施进行审核；当风险等级为中风险时，网络运营者需向信息主体披露其中风险较高的因素并让其选择是否将其纳入处理范围；当风险等级为低风险时，网络运营者无须主动对信息主体进行披露，以及采取防控措施。

3.完善侵害个人信息的民事责任追究制度

侵害个人信息的民事责任追究应当适用何种归责原则，是侵害个人信息民事责任制度中需要考量的重要问题。《中华人民共和国侵权责任法》及尚未生效的《中华人民共和国民法典》侵权责任编中过错责任原则是侵权损害赔偿最基本的归责原则，如果要适用过错推定责任原则或者无过错责任原则，应当以法律的明文规定为前提。我国现有的法律并未对侵害个人信息的归责原则规定为过错推定责任或无过错责任，因此现有制度中侵害个人信息的归责原则为过错责任原则。在未来的个人信息保护法或相关法律制定中，可以考量将这一类型的归责原则设计为无过错责任原则。在无过错责任原则下，当被侵权人对侵权人提起个人信息侵权之诉时，无须证明侵权人存在过错，侵权人只有存在法定的免责事由时才能免除侵权责任[4]。原因在于，适用无过错责任原则能够更好地保护个人的合法权益。在大数据时代，如果适用过程责任原则，要求个人证明侵权人在信息收集、处理或使用过程中存在过错并非易事，这很可能造成个人因举证不能而承担不利的法律后果。同时，在规定无过错责任原则时，可以进一步规定网络运营者的免责事由，比如以合法途径获取的个人信息、个人已在网络上公开的信息、为公共利益的目的而使用信息的行为等。