大数据时代个人信息权保护的法制构建

朱方彬 宋宗宇

(重庆大学 法学院，重庆 400044)

随着移动互联网技术、大数据技术的蓬勃发展，个人信息收集、利用的手段和程度不断升级，人们在享有大数据带来的用户定制化服务、市场定向精准推广等便捷服务的同时，又切身体会到个人信息被泄露、被侵害的危害。“我们需要从新的角度来审视大数据、云计算、微信、智能手机等产生的冲击。”(1)蓝江：《交往资本主义、数字资本主义、加速主义》，《贵州师范大学学报·社会科学版》2019年第4期。“在信息化社会中，个人信息保护问题亟需法律予以规制，而且互联网时代的来临使得数据、网络虚拟财产的重要性都大大增加。”(2)张鸣起：《〈中华人民共和国民法总则〉的制定》,《中国法学》2017年第2期。作为对社会现实需要的回应，我国个人信息权保护法律应运而生，特别是《民法总则》第111条规定了自然人的个人信息受法律保护，《民法典》对个人信息的保护范围、收集使用原则、安全保障义务、豁免事由等予以明确规定。然而，在大数据时代保护个人信息权，“绝不仅仅是制定个人信息保护法那么简单。真正的挑战在于，如何通过科学的立法与制度设计，理顺立法要求与信息控制者内在激励之间的关系，使个人信息保护成为信息控制者的内在需要”(3)周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》,《法学研究》2018年第2期。。大数据时代的个人信息保护依然任重道远。

一、大数据时代侵害个人信息权的基本形态

个人信息的数据价值在大数据时代越来越彰显，其安全保障也越来越受到各方关注，其中防止个人信息泄露、窃取或篡改是其重中之重。中国消费者协会发布的《App个人信息泄露情况调查报告》表明，个人信息泄露集中体现在经营者未经授权收集和故意泄漏两大方面(4)中国消费者协会：《App个人信息泄露情况调查报告》,http://www.cca.org.cn/jmxf/detail/28180.html。，个人信息的非法获取、非法提供、非法交易成为个人信息泄露的重要源头，是大数据时代个人信息权被侵害的基本形态。

(一)个人信息被非法获取

实践中，电子商务平台、公共社交平台、移动设备终端、固定设备终端以及科学研究、国家管理活动都会大量采集和获取个人信息。随着个人信息商业价值、社会价值日益凸显，基于精准营销、市场决策、政策制定等需要，商品服务提供者会尽可能对个人信息进行全面采集和分析，出现超范围收集、诱导式收集。这些被非法获取的个人信息，从其发生平台来看，集中体现为三种类型。一是商业平台上商品供应商或服务经营者的不当收集。出于个性化消费倾向分析、精确化市场决策、靶向化商品推广等动因，商品供应商或服务经营者往往有意或无意对个人信息进行不当收集，他们或以格式条款、或以赠品馈送、或以优惠促销等方式诱导客户提供不必要的个人信息。二是社交平台上网络服务提供商或运营商的不当收集。这类收集方式隐蔽性更强，他们通常利用其技术优势，在一般人未觉察情况下就诱导客户提供不必要的个人信息。三是技术应用平台上软件开发者或软件提供商的不当收集。最常见的就是提供的软件具有定位、监视以及自动反馈功能，或者以改善用户体验为幌子要求提供不必要的个人信息，还有的未经用户同意就对个人位置信息、通讯信息、消费信息等进行监测和记录。

(二)个人信息被非法提供

现实中被非法提供的个人信息类别繁多，既有证件信息、住址信息，也有征信信息、交易信息，还有行踪轨迹信息、健康生理信息等，能“识别特定自然人身份或者反映特定自然人活动情况的各种信息”(5)《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,http://courtapp.chinacourt.org/fabu-xiangqing-43942.html。都存在被非法提供风险，其中个人信息被非法提供主要有四种严重形态。一是提供行踪轨迹信息被他人用作犯罪，或者明知被用作实施犯罪而提供个人信息的情形。个人行踪轨迹信息事关个人自由意志和行动自由，一旦泄露并被用作犯罪，实质是对社会秩序的打击，危及个人安全和社会安全。二是提供作为敏感信息的行踪轨迹信息、通信内容、征信信息、财产信息达50条以上的情形。对于个人敏感信息的占有者来说，严苛的安全保障义务是其法定义务，一旦违反必然遭受法律制裁。三是提供作为重要信息的住宿信息、通信记录、健康生理信息、交易信息等可能影响人身、财产安全的个人信息达500条的情形。个人重要信息反映的是个人参与社会活动的情况，避免信息泄露是维护社会秩序的内在需要。四是提供作为普通信息的其他个人信息达5000条的情形。相较于个人敏感信息、个人重要信息，个人普通信息的泄露所造成的社会危害性最低，但大量泄露也是对社会秩序的破坏。

(三)个人信息被非法使用

个人信息被非法使用，实际上是超过了“法律要求信息权人必须容忍来自他人使用个人信息轻微危害”(6)陈俊秀：《大数据时代个人信息“合理使用”制度研究——以2011-2017年公布的773份刑事判决书为研究样本》,《大连理工大学学报(社会科学版)》2019年第2期。的合理使用限度，其表现形式多样，常见情形包括购买个人信息用于业务推销，利用个人信息注册淘宝账号来进行“淘宝刷单”，将获取的个人信息制作成假身份证扫描件用于支付宝实名认证，利用个人信息及其银行信用卡信息以挂失冒领方式盗取他人名下信用卡，购买个人信息并冒充公安机关或银行工作人员骗取钱财等。此外，征信业、银行业、电信业以及教育、医疗、快递、电商等行业或领域也存在较大个人信息泄漏风险；大数据公司利用技术优势将用户痕迹信息还原出信息主体图像，也极易引发信息主体的隐私泄露或对其金融账户等的攻击。

二、大数据时代侵害个人信息权的重要诱因

进入大数据时代，个人信息的数据价值以量变产生质变的方式体现出来，“打包处理的某一类个人信息虽然不以识别个人为目的，但是类别化处理后的类型化对待也会造成对个人信息主体权利的侵害”(7)王秀哲：《大数据时代个人信息法律保护制度之重构》,《法学论坛》2018年第6期。。然而，现有法律和司法的保护力度、制裁能力、打击半径皆力有不逮，高技术特性忽视、知情同意机制虚化、立法保护滞后、行政监管乏力成为大数据时代个人信息权保护不足的重要诱因。

(一)忽视高技术特性的保护手段

在“前信息时代”，物理空间是个人信息存储的基本形态，其信息总量不大，信息泄露风险也较低，即使出现泄露，所造成的影响也有限。进入大数据时代，用户身份信息、属性信息、行为信息交织在各类数据之中，“各渠道数据存在交叉检验的可能，极易造成隐私泄露威胁”(8)张尼、张云勇、胡坤：《大数据安全：技术与应用》,人民邮电出版社2014年版，第62-63页。，尤其是云存储技术的发展应用，海量的个人信息已不再单纯依靠物理空间存储，网络虚拟空间存储已成大势所趋。忽视高技术条件下存储方式变动的安全风险，让违法分子利用技术漏洞或技术攻击手段非法获取大量个人信息成为可能。此外，个人信息收集主体往往会更多考虑经济成本，容易忽视或降低加密技术等技术防护手段的投入，在一定程度上增加了泄露的风险。

(二)知情同意机制面临理论和现实悖论

知情同意机制的基本前提是，“存在一个知情的和理性的个人，能够对各种不同形式的个人数据的收集、存储、使用和披露做出适当的决定”(9)刘金瑞：《个人信息与权利配置——个人信息自决权的反思和出路》,法律出版社2017年版，第57页。，个人应该并能够控制个人所有信息。然而，大数据分析技术、人工智能技术等现代科学技术的应用，“使得‘个人身份可识别信息’与‘非个人身份可识别信息’的两分法没有实际意义”(10)刘迎霜：《大数据时代个人信息保护再思考——以大数据产业发展之公共福利为视角》,《社会科学》2019年第3期。，多重匿名化的信息通过数据融合和交叉验证，依然能够识别出相应信息主体。同时，“在个人信息密集收集与多方流转的生态系统中，用户在很多情况下对其信息的收集并不知情，难以对第一方收集者行使权利，更遑论向缺乏直接联系的第三方机构行使控制权”(11)范为：《大数据时代个人信息保护的路径重构》,《环球法律评论》2016年第5期。，于是，人们似乎很珍视个人信息，似乎也对它们并不在乎。以电子商务平台应用为例，如果获得服务的前提是用户的知情同意，现实中用户为了获取相应商品和服务，他们的唯一选择就是同意，在此种状态下知情同意机制基本虚化。实际上大多数人对于商家或平台的隐私条款或政策都囫囵吞枣，甚至直接忽视；商家或平台基于经济成本往往也采用格式化合同来获得用户对所有可能使用的同意和授权，知情同意机制在现实中形同虚设。

(三)分散保护式立法规范力有不逮

我国虽已出台近百部有关个人信息保护的规范制度，形成法律法规直接规定、间接规定、国家标准、行业自律标准及司法解释五大类别，如《民法典》第111条、第127条对自然人个人信息、数据网络虚拟财产的保护，《〈刑法〉修正案(九)》第286条对网络服务提供者侵害个人信息的刑事处罚，《网络安全法》《邮政法》《商业银行法》《妇女儿童权益保护法》《儿童个人信息网络保护规定》以及《信息安全技术公共及商用服务信息系统个人信息保护指南》的相关保护等。上述法律法规与指南标准，虽然数量不少，涵盖电信、银行、医疗、保险、证券、征信等各行业、各领域，但整体来看，我国个人信息保护存在碎片化现象突出、保护利益不清晰、效力层级低、执法部门定位和权限不明确等问题(12)张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》,《中国法学》2015年第3期。，由此出现对个人信息权保护力有不逮。

(四)行政监管在个人信息保护中的作用有待强化和细化

进入大数据时代，“多元信息处理主体的存在及与用户直接联系的缺失，使得对个人信息后续利用的第三方主体尤其是数据中间商的监管几乎真空”(13)刘迎霜：《大数据时代个人信息保护再思考——以大数据产业发展之公共福利为视角》,《社会科学》2019年第3期。。在监管主体层面，目前还没有统一的专门监管责任部门，工业和信息化部的监管职能也限定在互联网行业和电信行业范围内。业务监管涉及多个部门的行业，如网络金融业，其业务开展仰赖于个人信息的获取数量和质量(14)蒋先玲、王炳楠、程健：《自愿性信息披露有效性研究——基于“拍拍贷”经验证据》，《经济与管理评论》2018年第6期。，对其个人信息权利的保护就会出现跨部门监管难题。在惩戒层面，行政管理部门对个人信息泄露的处罚力度过小。以《电信和互联网用户个人信息保护规定》第23条、《电话用户真实身份信息登记规定》第17条为例，电信管理机构对相关违法违规行为仅处以警告和1万元以上3万元以下的罚款，这相对于泄露个人信息的收益而言，“违法成本过低，根本不足以遏制收集贩卖个人信息的违法行为”(15)史卫民：《大数据时代个人信息保护的现实困境与路径选择》,《情报杂志》2013年第12期。。

三、大数据时代个人信息权保护的系统构建

积极应对大数据时代个人信息权保护的现实需要，衡平多方利益关系，“构建一个既能有效地保护个人权益，又能充分维护数据活动自由的民事权利格局”(16)程啸：《论大数据时代的个人数据权利》,《中国社会科学》2018年第3期。是大数据时代个人信息权保护的主旨所在，其系统构建既要在理论上分析其学理基础，也要在实务上加强其制度构建。

(一)大数据时代个人信息权保护的学理基础

公平信息实践分析源自1973年美国发布的《公平信息实践准则》，该准则的发布是美国政府回应其采用计算机数据库处理个人信息带来隐私权保护隐忧的重要举措。按此准则，个人数据自动系统处理个人信息遵循五项基本原则(17)Reports.Computer and the Rights of Citizens Report of the Secretary’s Advisory Committee on Automated Personal Systems， http://epic.org/privacy/hew1973report/Summary.htm.：一是必须禁止所有秘密的个人数据档案保存系统；二是必须确保个人了解其被收集的档案信息是什么以及如何被使用；三是必须确保个人能够阻止将其信息用于授权之外的目的；四是必须确保个人能够修正和修改可识别其个人信息的档案；五是必须确保任何组织使用其数据的可靠性、安全性，有防止数据被滥用的预防措施。随后，美国、欧盟及重要国际组织的相关个人信息保护法案纷纷予以采纳。

1974年美国隐私权法案直接采用了知情同意、目的明确等若干准则(18)参见5U.S.C.§552a， http://www.revisor.mn.gov/statutes/?id=13.01.，《家庭教育权利与隐私法》《联邦有限通信政策方案》《视频隐私保护法》《司机隐私保护法案》《明尼苏达州政府数据实践方案》等具象化了公平信息实践准则的适用。1980年经济合作与发展组织公布的《隐私保护与个人数据跨境流通指南》和后来公布的《OECD隐私框架》，进一步发展公平信息实践准则，形成收集限定、目的限定、利用限制、信息质量、安全维护、公开透明、个人参与、责任明确的八项基本原则，成为现行个人信息保护的重要准则。 欧盟《一般数据保护条例》的透明性原则、目的限定原则、安全性原则等都是公平信息实践准则的具体体现。“公平信息实践是现代信息隐私法的基石”(19)Paul M. Schwartz，“Privacy and Democracy in Cyberspace”, Vanderbilt Law Review, vol. 52(1999)，pp.1607-1614.已然成为共识，“从思想渊源与制度架构来说，公平信息实践提供了个人信息保护法或信息隐私法的思想渊源，奠定了现代信息隐私法的框架”(20)丁晓东：《论个人信息法律保护的思想渊源与基本原理——基于“公平信息实践”的分析》,《现代法学》2019年第3期。。事实上，我国《网络安全法》第41条、《民法典》都遵循了合法必要、目的说明、安全保障等公平信息实践准则；《儿童个人信息网络保护规定》第9条更是明确了正当必要、目的明确、安全保障等公平信息实践准则的本土化适用。由此，基于公平信息实践分析，赋权于能识别个人信息的信息主体、赋责于个人信息的控制主体，在动态风险防范中形成个人信息权保护的系统构建，成为大数据时代个人信息保护与利用的有益尝试。

(二)大数据时代个人信息权保护的制度构建

大数据时代个人信息权保护的动态风险防范，关键是抓住谁来保护、如何保护的核心问题，进而围绕信息主体赋权和控制主体赋责，在责任主体规制上从可识别性转向风险可控制性，形成数据收集处理者责任制度；在立法规范上由碎片化向体系化迈进，形成个人信息统一立法制度；在多元保护上从监管、自律、管理并行推进，形成个人信息管理制度、个人信息安全制度、行政监管制度、行业自律制度；在诉讼管辖上跨越网络空间与现实社会，形成个人信息诉讼制度，由此实现国家统一立法并加强实施监督，企业完善数据使用安全管理，行业加强自律建设，个人进行侵权救济，“不仅有利于制裁违法行为人，而且能够对社会进行一般的警示，预防侵权行为的发生，更好地维护社会和谐稳定”(21)杨立新：《个人信息：法益亦或民事权利——对《民法总则》第111条规定的“个人信息”之解读》,《法学论坛》2018年第1期。。

1.责任主体构建：从可识别性转向风险可控制性

长期以来，基于个人信息的可识别性，各国个人信息保护立法基本上采纳知情同意原则，数据收集者对于个人信息的收集、处理，既要事前征得个人信息所有者同意，又要明确告知其收集数据的范围、用途等。该立法模式在“前信息时代”对个人信息权保护有着明显作用，然而，进入大数据时代，个人信息的数据价值更多体现首次收集后的二次利用上，“而收集数据时并未作这种考虑，所以‘告知与许可’就不能再起到好的作用了”(22)[英] 维克托·迈尔-舍恩伯格、肯尼思·库克耶：《大数据时代：生活、工作与思维的大变革》，盛杨燕、周涛译，浙江人民出版社2013年版，第220页。。面对大数据时代的严峻挑战，个人信息权保护不应拘囿于传统的知情同意分析框架，而应从可识别性转向风险控制性，将责任主体规制从个人信息所有者转向个人信息收集处理者，由数据收集处理者承担个人信息权保护义务，进而“确立场景化的风险评估机制，促进多元化主体共同维护个人信息权利”(23)张林鸿、周小扬：《大数据时代个人信息保护的法律路径》,《贵州大学学报(社会科学版)》2019年第2期。，真正将个人信息权有效保护与合理利用落到实处。毕竟数据收集处理者更加懂得数据价值的二次利用，他们评测个人信息使用风险更具操作可行性，他们采取个人信息避险措施更具社会经济性，能够有效实现个人信息权被侵害的事先预防。

2.立法规范构建：由碎片化向体系化迈进

基于大数据时代发展的外在需要和个人信息权保护的内在需要，世界各国都对个人信息权保护与监管极为关注，有关个人信息专门立法已呈大势所趋。我国个人信息立法还是属于法律法规分散立法和征信业、互联网行业有限专门立法保护的状态，仍然存在“保护对象不明确、信息主体权利缺失、权利义务不完善和法律责任不到位等”(24)王秀哲：《我国个人信息立法保护实证研究》,《东方法学》2016年第3期。诸多弊端。《民法典》第四编第六章在现行法律规定基础上进一步强化对个人信息的保护，为下一步专门个人信息保护立法留下空间。大数据时代个人信息专门立法，首要明确个人信息权“具有独立的价值与内涵”(25)张里安、韩旭志：《大数据时代下个人信息权的私法属性》,《法学论坛》2016年第3期。，通过尽快制定专门的《个人信息保护法》，由过去碎片化的立法规范转向体系化的规范框架，构建完善的个人信息保护法律体系，既出台普遍适用的个人信息保护法，又针对不同行业领域出台相应的立法规范，还鼓励行业自律准则的适用，实现立法价值追求上个人信息有效保护与合理利用的衡平。

3.多元保护构建：行政监管、行业自律、安全管理并行推进

进入大数据时代，个人信息权不仅彰显着人格尊严与人格自由的人格利益，更是凸显着商业价值与流通价值的财产利益。对个人信息权多元保护，就应当加强行政监管、增强行业自律、强化安全管理。在行政监管上，首要明确统一的专门监管责任部门，由工业和信息化部“对个人信息保护法的执行进行一般性监督，进行个人信息保护的研究和咨询，定期提交工作报告”(26)刘巍：《论个人信息的行政法保护》,《行政法学研究》2007年第2期。；同时，通过组建专门评测机构、健全行政惩处机制、规范国家技术标准等方式，多措并举推进专门监管部门履职尽责，切实有效推进个人信息权保护。在行业自律上，既要建强行业自律组织，又要完善行业自律规范，还要健全行业自律惩罚机制，保证行业规范的有效遵守，避免个人信息权侵害行为的发生。在安全管理上，既要采取匿名保护技术、数据溯源技术、数据水印技术(27)冯登国、张敏、李昊：《大数据安全与隐私保护》,《计算机学报》2014年第1期。等技防关键技术，也要形成内部数据保护、数据安全传输、数据信息风险防控等物防措施，还要按照数据接触不同层级开展针对性法律培训等人防措施，增强其法律意识，降低人为泄露风险。

4.诉讼管辖构建：跨越网络空间与现实社会

进入大数据时代，“一个犯罪行为既可以是全部犯罪过程都发生于网络空间，也可以同时跨越网络空间和现实社会两个平台”(28)于志刚：《 “双层社会”中传统刑法的适用空间——以“两高”〈网络诽谤解释〉的发布为背景》,《法学》2013年第10期。，传统以地域为基础的管辖权制度正面临时代冲击。大数据时代个人信息保护的诉讼救济构建，关键要以互联网、大数据背景下个人信息诉讼管辖为突破口，在个人信息诉讼制度建设上探索“新型涉网案件审判模式，构建网络审判流程，健全制度规范，建立高效、便捷、低成本的网络审判机制”(29)周强：《大力加强杭州互联网法院建设，探索互联网司法新模式，服务保障网络强国战略》,《中国应用法学》2017年第5期。。具体来说，在诉讼管辖上，以约定管辖突破跨时空、跨国界、跨区域的现实桎梏，由专门互联网法院集中管辖受理，形成网上立案、网上审理的新型审判模式。同时，在审判机制上，以技术运用再造互联网审判流程，通过综合运用电子证据保全技术、电子文书送达技术等，形成符合互联网法院审判规律的身份认证、证据采信、电子送达等诉讼规则，提升法院审判效率，节省诉讼成本。