论大数据背景下个人信息保护法律框架的完善

杜碧莲

（中国人民公安大学，北京100038）

一、大数据背景下对我国个人信息保护的检视

根据中国互联网协会在2020年7月发布的《中国互联网发展报告2020》，中国电子商务交易规模达34.81万亿元，已连续多年占据全球电子商务市场首位；全国数字经济增加值达35.8万亿元，数字经济总值已稳居世界第二。①从1980年“大数据”一词率先被学者阿尔温·托夫勒提出，到2014年“大数据”一词首次写入政府工作报告，再到2020年发布《关于构建更加完善的要素市场化配置体制机制的意见》提出“加快培育数据要素市场”，数据正式被认为是基础生产要素之一。数据成为经济发展新引擎已毋庸置疑。

然而，大数据开发的同时也侵蚀了公民的个人信息安全。无所不在的数据收集，在用户毫无察觉间监视个人生活的点点滴滴；个人数据的对比、分析，可能使算法比用户更了解自己，形成“信息茧房”，进而操控用户的选择和意志；数据的流转，使得个人对个人数据的去向一无所知，进一步削弱了用户对个人信息的控制等等。究其原因，在于当前法律制度的建设远远落后于数据产业的实践，法学界对数字经济缺乏系统性和跨学科的理论储备，难以为中国的数据流通提供清晰而完整的法律地图，致使数据流动面临重大的法律风险，其中最突出的就是个人信息保护的风险。

个人信息保护与数据流动的平衡是数据产业发展的核心问题。《通用数据保护条例》（General Data Protection Regulation，简称GDPR）第一条即开宗明义地指出：“本条例旨在确立个人数据处理中的自然人保护和数据自由流通的规范。”个人信息保护是数据流动的基础，数据流动是数据权利保护的目的。二者相辅相成，从长远看是正相关的关系。无视个人信息保护，数据黑市、数据泄露以及紧随其后的隐私侵犯、精准诈骗等数据滥用终究会将数据市场毁于一旦，影响国家的经济发展。面对强大的互联网企业，个人力量柔弱不堪。只有国家对公民的个人信息提供权利保障，数据主体才能获得真正的自由。

二、我国个人信息保护的立法现状及不足

个人信息保护的法律属性在我国仍具有较大争议，但其蕴含的人格价值——人的尊严与自由早已达成广泛共识。欧盟将个人信息权视为基本人权，②通过统一立法的模式，对个人信息的界定较为宽泛，对个人信息的保护较为严格，这大大增加了大数据企业的合规成本。美国则构建了开放式的隐私权，从沃伦和布兰代斯的独处权理论，③到普罗瑟的四分法理论，④再到威斯汀的隐私控制理论，⑤采取分散立法与行业自律结合的模式，对个人信息的保护较为宽松，更偏重数据自由流动的价值取向。我国个人信息保护亦采用分散立法的模式。笔者在北大法宝的法律法规库对“个人信息”进行全文检索，显示目前我国有70余部法律、60余部法规、1200余部部门规章涉及个人信息保护，以下对部分较为典型的法律文件进行介绍。

?

尽管涉及个人信息保护的法律规范数不胜数，但绝大部分文本仅作原则性规定，对个人信息的保护客体、权利属性、权利内容以及法律责任的具体规范尚显阙如。

（一）保护客体模糊

对个人信息范围的界定，是大数据交易中完善个人信息保护无法回避的核心问题。我国的法律文件主要采取识别型个人信息定义，从语义上大多采取下定义+列举的模式，但所列举的范畴不尽相同（详见下表）。

?

可以看到，随着大数据时代的到来，每一次点击、搜索、出行、通话、交易都有极大可能被“监视”、收集并上传至云端。无处不在的数据收集、用户画像，使得个人信息的边界一再扩张。个人信息范围的暧昧不清，导致法律适用存在极大的不确定性，信息主体难以主张自身权益，大数据企业在进行匿名化操作时也感到无所适从。如上表所示，除了姓名、出生日期、身份证号码、联系方式等直接识别信息之外，行踪轨迹、交易信息甚至浏览记录等都可能成为具有识别性的个人信息。因为对于公民而言，一般不具备数据资源和技术手段将匿名化数据复原，而对于数据控制者及数据处理者，通过大数据关联分析、聚类、分类等数据挖掘分析方法，很容易使得原本匿名的信息重新具有识别性。

当前关于个人信息的两种主流理论分类无法解决个人信息的界定问题。第一种分类是直接个人信息和间接个人信息，前者是指能单独识别自然人的信息，如姓名、身份证号、联系方式等，后者是指与其他信息结合能够识别自然人的信息，如搜索记录、行踪轨迹、交易信息等。第二种分类是敏感个人信息与一般个人信息，区分标准是信息泄露是否会对信息主体造成不良影响，前者是指一旦泄露或滥用可能危害信息主体的人身和财产安全，⑥包括性生活及性取向信息、健康医疗记录、身份证号、个人生物识别信息等。最富有争议的，无疑是对间接个人信息和一般个人信息的界定与保护。因为直接个人信息与敏感个人信息是相对有限、固定的，对其进行匿名化操作即可为信息主体披上遮蔽身份的斗篷。而间接个人信息和一般个人信息在数据时代是无限泛化、动态增长的，对其进行彻底地去关联性会降低数据价值，限制了数据在刺激市场经济、方便个人生活、改善公共管理方面的功能。因此，采用传统的静态的个人信息界定模式已经无法适应当下数据产业的需求。

（二）权利属性不明，权利内容缺失

我国法律并未明确个人信息的权利属性。《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》将个人信息纳入隐私权保护，《民法总则》与《民法典》将个人信息保护与隐私权并列。司法实践中，民事案件中的个人信息纠纷往往被纳入隐私权或名誉权的保护范畴。但是这种保护存在诸多不足，如要求将个人信息向社会公开、个人信息的财产性利益无法得到保护、已经公开或者涉及公共利益的个人信息被排除在保护范围之外等等。在民事法律与行政法规不完善的情况下，针对个人信息泄露和滥用导致的严重社会危害，只能由刑法作最后一道防线，导致了我国个人信息保护刑法先行的现状。

我国法律并未明确个人信息的权利内容。尽管我国法律法规对个人信息保护的内容分布十分广泛，但多以个人信息保密并承担法律责任的原则性规定为主，对个人信息的权利内容的建构仍需完善。笔者认为，个人信息的权利包括人格权益和财产权益。我国法律对个人信息的人格权益有部分规定，对个人信息的财产权益尚未提及。

纵观域外立法，个人信息的人格权益包括知情同意权、查询权与修改权等。知情同意权是指只有在用户知情同意的基础上，才允许从业者收集和处理有限的用户数据。《民法典》第1035条、《网络安全法》第41条均有规定。查询权是指个人有权向个人信息持有查询其个人信息的来源、类别、内容、加工状态及加工目的等；修改权是指个人因其个人信息的完整性、准确性和及时性存在谬误或疑虑，向信息持有者进行更改的权利。通过修改不准确或不正当的个人信息，确保用户个人画像不受歪曲。对知情同意权和查询权与修改权，《民法典》第1037条、《网络安全法》第43条及2012年《全国人大常委会关于加强网络信息保护的决定》第2条均有所体现。

相较于个人信息的人格价值，个人信息的财产权益是否成立，在学界尚存争议。因个人信息蕴含着巨大经济价值，在降低企业成本、指明投资方向、反映社会动态等方面发挥深刻作用，劳伦斯·莱斯格最先提出个人信息财产化的相关理论，⑦用于平衡大数据交易产业的发展和个人信息的保护，回应个人信息的利益分配问题。我国法律对个人信息的财产权益没有回应，与此同时，大数据交易市场也面临着数据定价的难题。

（三）法律责任抽象，监管机构较多

法律责任的落实是法律权利的保障，法律权利的完善是法律责任的依据。目前我国法律文件中对侵犯个人信息的法律责任的规定比较抽象，除刑法之外，多数采取宣示性规定——“造成损失的，承担民事赔偿责任”“依法给予处分或行政处罚”或“构成犯罪的承担刑事责任”等，无法具体落实。究其原因，在于当前没有权威的法律规范规定个人信息的保护范围与个人信息权利内容，以致法律责任的追究缺乏切实的依据，无法进行危害程度和危害结果的量化规范。

在对个人信息的监管上，存在多头监管、权责不明的问题。我国法律将个人信息保护的监管权分散赋予各级地方政府、公安部门、网信部门、⑧工信部门和省级通信管理部门、⑨市场监督管理部门⑩等各类政府监管机构。这种分散式执法在我国实践中问题重重，容易导致不同的监管机构各自为政，对个人信息保护标准不一；有的机构只服务于本部门传统监管任务，对个人信息保护互相推脱，导致个人信息监管难度大、执法资源浪费等。

三、我国个人信息保护立法的完善路径

（一）转变个人信息界定路径

计算机技术的日新月异导致个人信息的无限扩张，突破了传统的个人信息界定模式的保护范围。从静态的分类保护个人信息界定方法，转变为动态化、场景化的个人信息界定路径，方能切合数据时代个人信息的发展特点，释放数据活力，开发数据价值。

同一组信息，对于不特定个人而言可能不具有识别性，对信息主体的亲朋好友来说显而易见；同一个数据库，如果用来进行可关闭的个性化推荐，则用户与商家都喜闻乐见；如果用于价格歧视，则构成对信息主体的侵害。因此，“场景”是多种多样的，包括信息的内容、数量、收集方式、信息持有者的信息和技术水平、信息的使用目的与后果以及科技发展程度等等。

对信息的界定，不应当是传统的全有或全无模式，数据时代的匿名性是相对的，而全盘切断信息的关联性无异于切断数据的价值源泉，而应当是评估构成个人信息的可能性，是一种程度化判断，根据信息使用的具体场景，以及当事人可接受的风险程度，对信息的全生命周期进行动态评估。

（二）明确个人信息权利性质

受信息隐私权模式和个人信息自决权模式的影响，我国对个人信息的属性主要有一般人格权说、独立人格权说、隐私权说、财产权说以及知识产权说。

1.一般人格权说认为个人信息本身不是某一类人格要素，因此无法作为具体人格保护，应属于一般人格权保护的对象，其弊端在于，一般人格权的保护范围十分广泛，法益保护界限不清晰，不利于法律的适用。

2.隐私权说认为“隐私权包括保护私生活安宁及信息自主两个生活领域”，其弊端在于混淆了隐私和个人信息。个人信息中涉及不欲为外界知晓的部分与隐私有交叉，但隐私权无法保护已为他人所知晓的个人信息，也无法约束他人对信息的收集、处理等问题。

3.财产权说认为个人信息适用于交易，具有无体财产的属性，是一种新型的财产权，其弊端在于当前信息交易双方地位差距悬殊的情况下，财产权属性不利于个人信息的保护，否则用户终将失去对个人信息的控制权。

4.知识产权说认为个人信息经过一定处理后具有创造性价值，其弊端在于个人信息中不具有创新性的部分，如原始数据库，不在知识产权保护的射程之内。

5.笔者认同个人信息独立人格权说，指本人依法对其个人信息享有支配、控制并排除他人侵害的权利，既包括人格利益也包括财产利益。一方面，个人信息独立人格权说具有人格权消极防御的一面；另一方面，人格权也并不排斥财产利益的保护，可进行积极的商业利用，通过人格权商品化的理论实践进行保护。

（三）完善个人信息权利束

以《网络安全法》等法律为基础，我国法律已初步构建了个人信息的具体权利，主要包括知情同意权、查询权和修改权，但在实践中诟病颇多。在知情同意机制中，隐私条文的艰涩与冗长，使得普通用户望而生畏，此外，其格式化的条款，使用户没有机会进行变更和磋商。在查询和修改机制中，企业基本没有为用户提供畅通的查询渠道，甚至设置许多障碍，致使用户进行查询和修改的时间成本往往过高。

因此，需要在目前的基础上完善个人信息的具体权利，形成个人信息权利束。细化规定知情同意权，如通俗易懂地解释隐私条款、隐私设置的选项应当易于操作等，保障用户对其个人信息的控制。落实查询权与修改权，切实提高信息持有者操作便捷度。关于数据的财产权，则需要在数据确权的基础上，完善个人信息的交易模式。有学者提出将个人信息分为基本个人信息、伴生个人信息和预测个人信息，个人基本信息的财产权属于个人，伴生个人信息的财产权为个人与信息企业所共有，预测个人信息的财产权虽然也为个人与信息企业所共有，但财产份额上信息企业要多于个人。匿名信息已经失去了人身属性，仅剩下财产权，属于信息企业的无形财产，为信息企业所独享。然而，伴生个人信息与匿名信息的区分存在前文所述的难题。

（四）明确法律责任，统一管理机构

在民事责任方面，根据个人信息权利属性，围绕各项具体权利，即将出台的个人信息保护法应当落实停止侵害、排除妨碍、消除危险、赔偿损失等法律责任。在行政责任方面，需建立从中央到地方一以贯之的个人信息监管机构，改变当下多头管理、权责不明的现状，要负责全生命周期的个人信息评估，执行市场准入机制，加强对个人信息处理的监督，落实对侵害个人信息案件的处罚等，从而多层次、全方位地保障个人信息主体的合法权益。

四、结语

在大数据时代，对处于动态发展中的个人信息提供保护，要求我们转变思维，从静态分类保护的个人信息界定方法，转变为动态化、场景化的个人信息界定路径。在明确个人信息权利的独立人格权性质的基础上，完善个人信息权利，明确侵害个人信息权益的民事责任与行政法律责任，统一管理与执法，才能在保护个人信息安全的前提下，促进数据流通，释放数据活力。

注释

①《中国互联网发展报告2020》在京发布[EB/OL].https://www.isc.org.cn/zxzx/xhdt/listinfo-37989.html，2020-07-30.

②《欧盟基本权利宪章》第8条。

③Warren S D. Brandies L D,The Right to Privacy, Harvard Law Review.vol.4,No.5,1890。

④Prosser W L.“Privacy,”California Law Review,vol.48,No.3,1960。

⑤Alan F.Westin,Privary and Freedom,New York:Athenum,1967。

⑥GB/T 35273-2020《信息安全技术个人信息安全规范》3.2。

⑦[美]劳伦斯·莱斯格.代码2.0：网络空间中的法律[M].李旭，沈伟伟译.清华大学出版社，2009：20。

⑧《儿童个人信息网络保护规定》第二十四条：任何组织和个人发现有违反本规定行为的，可以向网信部门和其他有关部门举报。网信部门和其他有关部门收到相关举报的，应当依据职责及时进行处理。

⑨《电信和互联网用户个人信息保护规定》第三条：工业和信息化部和各省、自治区、直辖市通信管理局（以下统称电信管理机构）依法对电信和互联网用户个人信息保护工作实施监督管理。

⑩《电子商务法》第七十六条：电子商务经营者违反本法规定，有下列行为之一的，由市场监督管理部门责令限期改正……（三）未明示用户信息查询、更正、删除以及用户注销的方式、程序，或者对用户信息查询、更正、删除以及用户注销设置不合理条件的。