大数据时代个人信息侵权及保护问题探索

赵正东 王乃冬

人类已进入了大数据时代。随着大数据技术的高速发展和广泛应用，人类社会进入了前所未有的高速发展的信息化时代。互联网和人工智能技术的快速发展，使大数据规模进一步以几何级数增长，广泛应用在国防、科技、金融、教育等传统行业，同时也催生出网络购物、智能支付、物联网等新生行业，给人们的生活带来令人惊异的变化和过去难以想象的便捷。但是，犹如一枚硬币拥有正反两个面一样，大数据时代给人们带来改变和便捷的同时，也产生了海量的冗余信息难以应付、虚假信息难以辨认、个人信息和隐私被随意侵害、滋生新型信息网络犯罪等信息伦理问题，使传统的法律和道德规范受到了冲击和挑战，增加了民众在个人信息和隐私方面的不安全感，发出“在大数据时代，所有人实际上都在裸奔”的感慨，每个人都需要面对在享受大数据带来的便捷的同时承受个人信息权被随意侵害的现实的伦理困境。

本文尝试对上述信息伦理困境进行分析，目的是使人在适度享受大数据带来的便捷和红利与最大程度地保护个人隐私信息不被非法利用和侵犯之间寻求平衡，在顺应大数据时代变革和鼓励合法使用大数据分享信息科技带来的巨大红利的基础上，从法律法规、政府监管、伦理道德等方面研究和探索规范收集和使用大数据、促进信息所有者和使用者的双赢、最大程度地保护个人信息权的措施。

一、个人信息概述

随着大数据技术的发展,产生了信息被侵权的副作用，其主要原因是涉及个人信息尤其是个人隐私信息的非法获取、加工和使用，因此，研究个人信息权的首要问题是明确界定个人信息的概念，它是探索如何保护个人信息权的基础。

(一)个人信息的定义

关于个人信息的定义，学术界和法律界主要是通过列举和描述的方式进行了阐述。2018年实施的国家标准《信息安全技术个人信息安全规范》将个人信息定义为：“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映认定自然人活动情况的各种信息，包括姓名、出生日期、身份证号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等”。(1)《信息安全技术 个人信息安全规范》，https://www.tc260.org.cn/upload/2018-01-24/1516799764389090333.pdf。可见，2018年的国家标准将个人信息的范围进一步拓展，增加了反映特定自然人活动情况的信息，将互联网用户在网络上的通信记录和内容、交易、征信、财产、账号密码等行踪轨迹也纳入个人信息范畴，符合大数据时代个人信息向数字化、网络化发展的趋势和要求。

从法律和国家标准的定义进行分析可以看出，个人信息的核心特征在于身份识别性。任何个人信息的定义不可能完全列举所有的具体个人信息种类，随着信息技术的发展，将会有越来越多新生的种类被纳入到个人信息范畴，但基本特征是不变的，只要能够识别出特定的自然人身份，与之关联的信息就都属于个人信息，而不论信息的具体形式和表现。

(二)个人信息权的法律属性

个人信息权是一项重要的民事权利，在界定了个人信息的概念后，有必要进一步探讨个人信息权的法律属性，即明确个人信息权属于何种民事权利。

目前，学术界和法律界普遍认同的个人信息权的法律属性主要有以下五种观点：一是“宪法人权说”。该学说以美国和欧洲宪法将个人信息保护作为基本权利为依据，认为个人信息是一种宪法基本权。(2)齐爱民：《个人资料保护法原理及其跨国流通法律问题研究》，武汉：武汉大学出版社，2004年，第1页。二是“人格权说”。该学说认为个人信息是一种人格权，又具体分为“一般人格权说”和“具体人格权说”。“一般人格权说”认为个人信息权属于一般人格权范畴，个人信息权体现了《民法总则》第一百零九条规定的人身自由、人格尊严保护的要求，应当作为一般人格权进行保护。(3)张平：《大数据时代个人信息保护的立法选择》，《北京大学学报》2017年第3期，第148页。“具体人格权说”认为个人信息权体现了独立的人格利益和民事权利，应当单独作为一项具体的人格权利进行保护。(4)张平：《大数据时代个人信息保护的立法选择》，《北京大学学报》2017年第3期，第148页。三是“隐私权说”。该学说认为个人信息权等同于隐私权，符合个人信息保护的发展和立法规律，应当将个人信息按照隐私权进行保护，此学说为世界大多数国家的通行做法。(5)郭瑜：《个人数据保护法研究》，北京：北京大学出版社，2012年，第214页。四是“财产说”。该学说认为个人信息具有显著的财产属性，是个体拥有的一项财产权利，应当被纳入财产权保护范畴。(6)孔令杰：《个人资料隐私的法律保护》，武汉：武汉大学出版社，2009年，第75-76页。五是“复合权利说”。该学说认为个人信息权是一种新型的复合型权利，同时具有人身和财产的双重属性，应当作为一项新型民事权利单独立法保护。(7)张素华：《个人信息商业运用的法律保护》，《苏州大学学报》2005年第2期，第36-39页。

笔者赞同第五种观点。理由如下：第一种“宪法人权说”将个人信息权过于拔高，不符合我国国情。我国宪法保护公民基本的权利，个人信息权属于一项具体的民事权利，应当被纳入部门法，而没有必要上升到宪法保护的层面；第二种“人格权说”过于强调个人信息权的人身属性，由于部分个人信息具有明显的财产价值，可以有偿转让，该学说没有体现个人信息权的财产属性；第三种“隐私权说”实际上将个人信息的定义进行了限缩解释，缩小了个人信息的范围，隐私权保护的是个人隐私信息，是不希望被其他人了解和知晓，公开后会引起个人名誉受到损害，但并不是所有的个人信息都属于个人隐私，例如姓名、年龄、身份证号码等基础信息是可以公开的；第四种“财产说”仅强调个人信息权的财产属性，未体现其人身属性；第五种“复合权利说”相对全面地体现了个人信息的人身和财产的双重属性，而且认为个人信息权应作为一种新型的民事权利单独进行立法保护，这更有利于保护公民权益，有利于防范他人实施的信息侵害。

公民的个人信息目前已经受到法律保护。2020年通过的《民法典》将个人信息权作为重要的民事权利纳入法律保护，这是本次《民法典》编纂的一大亮点。《民法典》总则编第111条明确规定：任何组织或个人不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或公开他人信息。(8)《中华人民共和国民法典》，http://www.gov.cn/xinwen/2020-06/01/content_5516649.htm。虽然法律将个人信息作为自然人的民事权利进行保护，但对于个人信息的属性、保护的范围和程度都较为笼统，没有明确规定，尚未明确个人信息权的概念。目前正在制定的《个人信息保护法》中预计会将个人信息权进行进一步明确。

二、个人信息侵权的表现

在大数据时代，每个人都不仅是信息的收集者，同时也是信息的发布者。随着数据处理技术的发展，大量的个人信息经过分析和处理，就能够成为各类信息控制者作出各类决策的依据，信息分析结果产生了新的可观的经济效益。如果大数据的价值被合理利用，用于科学研究、国防建设、改善民生等用途则无可厚非，但现实中大量的个人信息被非法收集和买卖，被用于各类商家发布广告、精准推销，甚至被用于“人肉搜索”、通过个人信息盗窃财物等违法犯罪行为中。笔者查阅了近年来发生的个人信息侵权案件及相关研究成果，总结出大数据时代个人信息侵权主要有以下几种表现：

(一)个人信息被非法收集

正规且合理合法的个人信息收集途径经过国家有关部门严格管理且具有严密程序保证个人信息不被泄露和非法收集。传统的个人信息收集途径需要当事人填写个人信息表，必须具有官方合理的理由，个人信息搜集范围窄、速度慢。大数据时代，信息技术的发展使得系统通过“云端”实现不同客户终端之间的个人信息传输成为现实。一些网络运营商采取创建账号等形式要求用户填写详细的个人信息，不完整填写则无法登陆和使用，用户没有选择权，网络运营商可以轻松收集海量的客户信息,甚至有一些网络运营商利用一些噱头或包装成合法合理的理由骗取客户填写个人信息，或者利用钓鱼程序或木马链接盗取个人信息，个人信息采集途径愈发轻松和隐秘，且在为用户提供网络服务前就收集了客户个人信息，收集成本做到了最低。收集个人信息后，通过大数据处理技术进行分析处理，通过部分个人信息甚至可以收集客户的行为偏好、行踪轨迹、性格特征等信息，然后再根据分析结果对客户进行精准推送信息，采取定向营销的方式收集利润,甚至在网络上出现大量的公开打包售卖个人信息的非法组织和个人，将收集的个人信息销售给有需求的商家甚至犯罪组织。(9)丁西冷：《大数据时代个人信息法律保护的路径思考》，《征信与法》2019年第11期，第50-55页。

(二)个人信息被非法披露

信息保密权是指非经本人同意不得擅自披露其个人信息。一些运营商或掌握客户个人信息资源的机构和个人在利益驱使之下，在未获得法律授权及客户本人同意的情况下，擅自对外提供或披露个人信息，使诸如姓名、身份证号码、手机号码、家庭住址、工作单位、购房情况、购车情况、子女教育、健康情况等个人信息通过各种非法途径被泄露，使得客户在不知情的情况下接到大量的电话或短信受到骚扰。更严重的是，近年来频发的“人肉搜索”等恶意披露特定对象的个人信息事件，导致该特定对象的名誉甚至人身安全受到极大损害，导致了大量悲剧的产生。(10)杨帆、马卓元、田国敏、杨向东：《探究互联网时代下的个人信息安全保护》，《网络安全综述与趋势》2019年第6期，第14-15页。

(三)个人信息被非法利用

云计算技术的快速发展已经被渗透到日常工作、生活和学习中，人们在日常生活的人际交往、查询信息、沟通传递等过程中，任何一个随意的行为都有可能泄露个人信息。信息控制者获取个人信息后，利用信息技术进行分析处理，将处理后的信息出售给有需求的商家。商家利用分析结果实现精准广告推送，人们不得不被各种垃圾电话、短信及其他形式的信息“狂轰滥炸”，占用和浪费了大量的私人时间。一些网络运营商通过用户浏览网页的时间和种类、购物习惯、付款信息等数据进行分析，可以实现向用户精准推送商品推荐，诱导甚至欺骗用户购买等行为时有发生，不同程度地侵犯了公民个人信息权利，甚至通过个人信息严重损害了公民名誉权及人身安全。(11)崔梦雪：《人工智能时代隐私权保护问题研究》，《科技创新与应用》2019年第17期，第71-73页。

(四)个人信息被非故意泄露

个人信息的非故意泄露是指主观上没有泄露个人信息的故意，客观上没有利益交换行为，个人信息的泄露是由于个人信息本人或他人疏忽或无意间造成的。例如，掌握个人信息的政府机构、企业或商户由于缺乏信息保护意识、设备不完善、技术不成熟、管理不规范等原因，造成个人信息缺乏保护而被泄露。日常生活中的快递单据、证件复印件遗失、电脑及手机不设置密码、银行单据或体检报告等未经处理随意丢弃等，均造成了大量的个人信息非故意泄露。(12)王晓锦：《人工智能对个人信息侵权法保护的挑战与应对》，《海南大学学报》(人文社会科学版)2019年第9期，第126-133页。

三、个人信息侵权的原因

大数据时代的个人信息保护是当前信息安全保护工作的重点和难点，产生原因较为复杂，既有技术层面的原因，也有法律、监管和道德规范层面的原因。笔者认为，大数据时代造成个人信息侵权现象的本质在于信息技术的快速发展已远远超过了人们的想象和承受能力，传统的个人信息保护规则已无法适应大数据时代信息安全形势的新变化，相关法律、监管和道德规范没有及时跟上，产生了较大的脱节和漏洞。笔者尝试从法律规定、监管管理、道德伦理、个人意识等方面阐述大数据时代个人信息侵权现象产生的原因。

(一)个人信息权保护相关法律法规不健全

目前，我国法律对于个人信息保护的规定和条款大多较为笼统，并没有明确个人信息权的概念，也没有单独立法对个人信息权进行专门保护，不能与名誉权、人格权等人身权利并列。之前我国在个人信息立法方面，个人信息保护一直与隐私权相混同，2009年施行的《侵权责任法》中确立了隐私权的概念和法律地位，明确了侵犯隐私权的法律后果；2012年发布的《关于加强网络信息保护的决定》中第一次界定了个人信息的含义和内容；2013年修订后的《消费者权益保护法》增加了消费者个人信息保护的权利，但没有明确侵害消费者个人信息的法律后果；2015年《刑法》第八修正案将侵犯公民个人信息上升为刑事犯罪，增设了侵犯公民个人信息罪；2016年《网络安全法》进一步制定了对网络运营商及使用者对个人信息保护的一般性规定；2017年颁布的《民法总则》规定了自然人的个人信息受法律保护，将个人信息保护作为一项公民权利进行保护。(13)朱玉文：《大数据时代个人信息权的法律保护机制》，《山西青年职业学院学报》2019年第6期，第51-54页。从目前国家对个人信息保护的立法现状来看，法律法规和规范性文件涉及个人信息保护的内容较为零散，现有的法律法规体系具有设计不完整、内容构造不健全、条款数目不充足、适用范围不明确等问题，尤其是对于侵害公民个人信息权后的法律后果和法律救济途径规定不明确，近年来对于侵害公民个人信息的民事判例也相对缺乏，相关判例基本都是触犯刑法关于侵犯公民个人信息罪的情况。

(二)个人信息保护缺乏明确的行政监管部门

我国目前没有设立独立的个人信息保护管理机构和行政监管部门，保护个人信息安全的相关部门职责分工不明确。我国行政部门和机关对于信息安全保护的主要出发点是保障国家网络信息安全、防范网络犯罪和信息诈骗、保障金融行业信息安全等方面，对于个人信息安全保护较为忽视。行政部门也主要是各管各摊，多部门出于不同的监管目的进行共同监管导致监管标准不统一、监管方式不明确、监管效果不显著、监管责任不到位等问题，导致个人信息受到侵害时难以维权，不知道应该到哪个部门投诉，部门之间推诿扯皮也导致个人信息侵权案件难以得到有效的处理。

(三)个人信息侵权违法成本低，追责难度大

大数据时代催生“万物互联”，在互联网与物联网并存的背景下，大量的端口和渠道都可以造成个人信息泄露，被侵权人往往难以确定是哪个端口或哪个渠道通过何种方式使自己的个人信息受到了侵犯，甚至被侵权人本人在使用互联网时未经深思熟虑就在网络运营商或其他商家诱导或隐藏下点击了同意提供个人信息的按钮或链接，使得网络运营商或其他商家能够举证看似合法合理获取被侵权人个人信息的证据。另外，在大数据背景下，个人与网络运营商或其他各类组织相比显得过于渺小，侵权人与被侵权人并非在一个公平且显而易见的平台上进行交易，设置的陷阱和漏洞往往防不胜防。更为复杂的是，按照《侵权责任法》规定，如侵权人有意识地使用信息技术对个人信息进行侵犯以实现其不法目的，可以直接追究侵权人的责任；如由于人工智能技术本身存在瑕疵或漏洞造成侵害了用户个人信息，应适用产品责任侵权相关规定进行追责。(14)陈盼盼：《大数据时代个人隐私的伦理问题研究》，《计算机时代》2019年第8期，第106-109页。而被侵权人往往难以确认侵权主体，即使可以确认，成本往往也让人难以承受。因此，造成个人信息侵权违法成本低、难以被追责的后果。

(四)利益驱使促使利益相关者道德失范

单独的个人信息本身是没有价值的，而一旦海量的个人信息形成大数据，经过对数据的分析和挖掘，就会产生新的经济效益和商业价值，而这种经济效益和商业价值的获取成本与收益相比简直不值一提。在利益的驱动下，催生出不同的利益相关者，导致信息伦理的失衡。原本的信息控制者为了追求利益，不惜冒着违法犯罪的风险出卖手中的信息资源，获取非法收益。信息使用者为了实现精准营销，以最小的广告成本获取最大的销售收益，使用购买的经分析处理的个人信息进行精准广告推送和营销。政府部门或科研机构主导的大数据收集和开发主要关注国家整体安全和利益，但由于部分工作人员的过失或疏忽而导致个人信息的泄露。总之，巨大的利益驱动是个人信息侵权行为频繁发生的内在动力。

(五)主体个人信息保护意识淡薄

人工智能和大数据在一定程度上改变了人们的思维方式和行为习惯，使人们在享受大数据带来的便捷的同时，被五花八门的链接、狂轰滥炸的信息冲昏了头脑，甚至被“投其所好”的精准推送的信息所迷惑，逐渐放松了对个人信息保护的意识。例如，很多人在使用网络平台时，遇到必须注册才能使用的情况，对于网络运营商的授权申请不加怀疑甚至不加思索地选择同意，积极配合网络运营商填写各种个人信息，其中不乏一些敏感的个人信息，根本没有意识到自己的信息已被运营商获取并已经在网络上被共享。只有当个人信息被恶意披露、出卖或使用而侵害了自身利益时,才发现自己的信息和隐私已经被暴露无遗。由于网络虚拟环境带来的视觉、听觉、感觉等多重冲击，容易使人产生从众效应，容易轻信他人而成为被他人侵害的对象。因此，个体缺乏个人信息保护意识也是个人信息侵权案件频发的重要因素。

四、个人信息保护建议措施

针对上述个人信息侵权形成的原因，笔者对大数据时代如何实现个人信息的保护，减少个人信息侵权提出如下建议和思考：

(一)加快推进个人信息保护的立法进程

应加快个人信息保护的立法进程，在整合、修改和补充原有法律规范的基础上，进一步明确个人信息权的法律属性，将个人信息权作为一项复合的新型民事权利，与人格权、财产权等基本权利并列，正式纳入公民基本权利范畴。为满足大数据时代复杂多变、快速发展的需要，制定出台独立、完整、权威的个人信息保护法，进一步明确个人信息的定义、特征、分类等基本性质，尤其是对个人信息与隐私权的界限进行区分，明确个人信息的敏感程度，进一步完善个人信息保护的基本原则、基本制度、基本行为规范、法律责任、侵害个人信息权的法律后果、法律救济等重要条款。通过编纂制定《民法典》，处理好民法范畴内多项法律法规对于个人信息保护制度安排的统一，建立个人信息保护的民事、刑事、行政法律多重保护机制和综合架构，统筹兼顾大数据技术发展进步与保护民众利益。

(二)加强个人信息保护的行政监管，鼓励合理开发利用个人信息，严厉打击非法获取和使用个人信息行为

应整合政府及相关机构关于个人信息保护的相关职能，建立职责明确、流程清晰的专门负责规范和保护个人信息的监管机构，加强对企业、政府、个人等掌握个人信息数据的主体在获取、分析和利用个人信息数据中的违法违规行为的监管力度。制定明确的监管目标，出台完善的监管政策,采取合理的监管模式，制定清晰明确的个人信息保护国家标准和规范性文件，建立个人信息收集、分析和使用核准与备案制度，采取网络及人工智能监控途径，监测网络运营商、各类企业和个人，尤其是掌握个人信息的重点行业如金融业、快递业、IT业等收集获取个人信息的行为，鼓励合理开发利用个人信息。采取前后端监管相结合的方式，建立个人信息侵害案件投诉渠道，受理各类个人信息被非法侵害的举报，通过举报的线索开展调查，配合相关部门严厉打击非法获取和使用个人信息行为，斩断非法买卖和使用个人信息的利益链条。

(三)规范个人信息利用方式，减少个人信息的可识别性

个人信息的汇集形成大数据进行总体分析的目的是通过统计学的原理分析和预测群体特征，其过程本身并不会侵害到特定的个体，由于个人信息具有识别个人身份特征和行踪轨迹的特点，真正对具体个人信息的侵害是在利用中仍然保留了数据的可识别性，披露的信息仍然能够识别出具体的身份信息。因此，在合法收集个人信息并分析处理的基础上，规范个人信息的利用方式，采取“去个体化”的方式，即通过隐藏该信息代表的个人身份和敏感数据达到保护隐私的目的，在大数据的利用过程中，仅利用大数据体现出的群体特征，而无法获取具体某一数据的个体特征，切断具体数据与某一具体个体之间的辨识可能性，使“去个体化”以后的数据不再具备私密性，不会再侵害到具体个体，科学地发挥大数据的利用价值和预测价值，最大程度地减少对个人信息的侵害。(15)施国强：《人工智能时代对隐私问题的新思考》，《法制与社会》2018年第8期，第213-214页。

(四)建立和强化行业自律和监督机制，约束个人信息获取及使用行为

仅仅依托法律制裁和政府监管的成本过于庞大，而且往往难以发挥良好效果。因此，建立和强化行业自律和监督机制，对个人信息的获取和使用行为进行监督和约束，既可以有效补充法律和监管法规无法覆盖到的“死角”，而且还可以通过行业自律和监督机制，进一步提高违法成本，降低非法获取和使用个人信息的利益。一是建立信息伦理协会。负责信息行业伦理评价、全程监督信息获取使用过程、制定信息伦理标准、约束信息使用行为等。二是建立从业者自律机制。重点对涉及信息行业例如互联网企业等从业人员进行监管和教育，规范信息应用的流程、标准和技术。三是建立惩罚机制。对于那些自律能力较弱、缺乏社会责任感的企业或从业人员，明确有效的奖惩机制是信息行为由他律走向自律的有效措施。对自律约束良好、行为规范的企业及从业人员给予物质奖励等正向激励；相反，对于自律能力弱、屡犯不改的企业及从业人员，客观上达到使其为了自我利益最大化而履行信息伦理规范的效果，这样做久而久之会强化其道德习惯和道德情感，进而最终形成一种主体的道德自觉。

(五)加强对民众个人信息安全保护的宣传教育，增强个人信息保护意识

政府及个人信息监管部门作为个人信息安全保护的监管主体，应当承担起使民众增强个人信息安全保护意识教育培训的责任，通过各种途径积极宣传和培养民众关注个人信息安全、规范自身行为方式、提高个人信息安全防范技能以及个人信息受到侵害时如何寻求正规合法的救济途径等知识技能，提醒民众在涉及个人信息填写、使用时要保持警惕，不要随意泄露个人信息，一旦发现有可疑情况时，采取积极应对措施并及时举报，防止个人信息被非法收集、处理和使用。通过增强民众个人信息保护意识，同时强化个人信息侵权的监管和执法力度，双管齐下，这样才有可能逐步减少直至杜绝个人信息侵权案件的发生。

五、结语

通过以上分析,可以得出结论：大数据时代，我们要保护的是合理合法获取、分析和使用个人信息行为，坚决反对和制裁非法的侵害个人信息权的行为，在此基础上应积极开展制定个人信息保护法律法规、加强监管等各项工作。为达到保护个人信息权的目的，在法律和制度层面，建立和完善个人信息权的法律地位，制定独立、完整、明确的个人信息保护法，建立确定的法律规范、法律责任、法律后果、法律救济。通过国家行政干预，完善大数据背景下个人信息收集、分析、处理、利用等环节的国家标准，鼓励合理合法利用大数据，坚决打击非法获取、买卖和使用个人信息、侵害公民合法权益的违法犯罪行为。在操作层面上，采取“去个人化”信息处理方式，减少身份识别的可能性，使大数据利用回归本源。同时，双管齐下，做好民众个人信息保护的宣传教育，提高个人信息保护意识，规范个人信息披露行为，减少个人信息被泄露和非法获取的几率。大数据带给人类积极的改变，推动人类社会发展变革是科技发展的主流，个人信息侵权只是发展中存在的插曲和支流，只要完善法制建设，加强监管，提高认识，共同应对大数据时代发展带给人类的挑战，消除大数据带来的不利影响，就可以使其更好地为人类社会的发展提供更为强劲的动力。