大數據時代個人信息的法律保護研究

曾奎秀

一、 概述

（一）大數據時代個人信息的危機

隨著互聯網技術的不斷進步，我們從互聯網時代進入了大數據時代。大數據是指基于海量、多樣化的數據集合，通過云計算的數據處理與應用模式，快速獲取、處理、分析等手段形成的智力資源知識服務能力。這意味著當今時代的數據規模更大、數據種類更多、處理速度更快、價值密度更低。當我們欣喜地體驗著高科技帶來的信息傳播的便利，我們也同時面臨著個人信息的危機與風險。

在大數據時代的背景下，技術的限制被打破，個人信息面臨一系列的危機。第一，尊嚴的危機。大量信息在不知不覺中被收集傳播，個人隱私被侵犯，生活安寧難以維持。第二，信息失控的危機。個人信息儲存后，可能因為系統漏洞而被不法訪問、使用甚至篡改。在此基礎上可能引起個人信息在流轉過程中產生財產與人身層面的風險。

（二） 個人信息的法律保護的價值

個人信息承載著信息主體的精神利益，也體現著主體的人格和自由。而對其他不同的主體來說，個人信息則具有不同的價值。首先，對一般自然人而言具有社會交往的價值。自然人會在社會交往中把個人信息主動傳遞給他人，也會獲取他人的個人信息，因此個人信息具有保障社會交往的功能。其次，個人信息對國家等公權力主體而言具有管理價值，國家通過收集主權范圍內的公民的個人信息，不僅可以清楚地把握社會生產的狀況，而且還可以據此制定修改相關制度，使上層建筑更加適應經濟基礎，人口普查便是國家對個人信息收集的一種重要方式。最后，對于商家等非公權利主體而言個人信息則具有商業價值。個人信息不僅是信息主體的一種精神權益，個人信息還蘊含著財產利益，具有商業價值，在特定情況下可以用于交易，參與市場流通，成為市場中的商品。當然，并不是一般的個人信息都具有商業價值，經過統計、整理、加工后的具有共同特征的個人信息往往具有較大的商業價值。

（三） 個人信息的法律保護的現狀

自上世紀六七十年代開始，隨著電子信息技術的發展，我們進入了數據化的時代。1970年德國黑森州通過了世界上第一部直接以“資料保護法”命名的《黑森州資料保護法》，雖然不是國家層面的法律，但卻具有重要歷史意義。隨后瑞典、聯邦德國、法國、奧地利、挪威、冰島、芬蘭、英國、美國等國也紛紛頒布相關法律。各國的法律都體現了相同的立法目的，即信息化數據化背景下保護公民的人身權益不受侵犯、生活安寧不被侵擾的基本價值訴求，部分國家甚至制定了專門保護個人信息的單行法。

雖然在我國的《中華人民共和國民法總則》中新增了對個人信息保護的單獨條款，但是2003年我國就開始起草的《個人信息保護法》，卻至今都尚未出臺。對于個人信息的保護主要依據民法、行政法、刑法等法律法規的相關條款進行處理，而這些法律的相關條款存在過于原則、不夠具體、操作性不強等缺陷，無法應對信息化數據化發展產生的個人信息保護的問題。

二、個人信息的界定

（一）個人信息的內涵

我國民法未對個人信息作出明確定義。法學理論界對個人信息的學說主要包括關聯型學說、隱私型學說、識別型學說。目前國際和國內立法上比較傾向于采用識別型學說，即通過利用個人信息所提供的信號是否可以直接或間接識別出信息主體的一種識別定義方法。其中具體包括信息主體的姓名、性別、年齡、民族、身高、血型、聯系方式、身份證號、家庭住址、身體健康狀況、宗教信仰以及網絡使用的I P地址和網銀支付信息等。這種以“識別”作為基本要素的個人信息定義方法在我國學術界和立法界得到了普遍認可和適用。而在《個人信息保護法》（專家建議稿）中采用概括加列舉的模式規定： 所謂個人信息，是指現實生活中“能夠識別信息主體的一切信息”，按照定義其范圍很廣，除公認的基本信息外，還包括檔案、醫療記錄、收入及消費和購買習慣、婚姻狀況、教育背景等。概括了個人信息的重要內涵，也強調了個人信息的可識別性。

（二） 個人信息概念辨析

從各國對個人信息的法律稱謂上便可看出，世界各國對該概念的認識并不一致。目前，世界各國、各地區和組織在個人信息保護法上所使用的稱謂通常有：個人信息、個人數據、個人資料和個人隱私。這些概念內涵與外延既有重疊又有差別，有必要進行辨析。

個人信息、個人資料與個人數據并無絕對差別。個人資料和個人數據均譯于“personal data”，所以二者并無本質區別，只是經由中文翻譯而產生。而我國采用個人信息是因為，“數據”一詞主要用于技術領域，法律領域適用較少。而且個人信息的概念更符合信息化和數據化時代的發展需求。

個人信息與個人隱私緊密聯系但并不能等同。如前所述，個人信息是指可以識別信息主體的一切信息，而個人隱私則是自然人不愿被他人所知悉的、尚未公開的私人信息、私人空間和私人事務。有些學者認為個人信息可以包含個人隱私，個人隱私只是個人不愿公開的私人秘密和私人信息，是個人信息的一部分，個人信息涉及的范圍更廣。此外，有的學者則從法律對個人隱私和個人信息的保護視角不同出發，認為個人信息和個人隱私雖然在形式邏輯上有交叉但并非包含關系，二者的側重點不同。

但總體上來看，根據我國的立法習慣與傳統，采用個人信息的法律稱謂更符合我國的國情。

（三） 個人信息的具體類型

個人信息種類繁多，按照不同的標準可以劃分為以下類別：

第一，將個人信息劃分為一般信息和敏感信息。其目的是為了區分對二者的保護力度。敏感信息可以包括身份證號碼、手機號碼、性生活、基因、犯罪記錄、指紋等，除了敏感信息以外的便是一般信息。這是歐盟和歐洲國家個人敏感信息比較通用的一種做法，然而卻鮮有對敏感信息的具體界定，盡管歐洲各國統一了敏感信息的范圍，但是基于敏感信息本身的特殊性在各國實際上存在差異。

第二，根據是否可以直接識別信息主體為標準可以劃分為直接個人信息和間接個人信息。直接個人信息是指可以直接識別信息主體的信息，如姓名、身份證號等；而間接個人信息則是需要借助其它信息、知識才能識別信息主體的信息，如身高體重、學歷學位等。如此劃分將不能識別信息主體的個人信息排除在法律保護范圍之外，從而減少法律保護成本。

第三，根據個人信息處理的方式不同，可以劃分為自動處理的個人信息和手動處理的個人信息。通過自動化設備進行輸入、儲存、編輯、使用、更正、刪除、傳輸等處理的個人信息就是自動處理的個人信息，手動處理的個人信息則是人工處理的未借助自動化設備和設施的個人信息。這種分類方式的意義在于自動化處理的個人信息更容易使信息主體的權利和自由受到威脅。

此外，還有多種個人信息的分類方式，但無論如何分類，對個人信息的概念進行多種劃分是為了使該法律概念進行深入分析，從而進一步探討個人信息法律保護的問題。

三、 個人信息保護的理論基礎

（一）個人信息保護人格權之維度

對人格權的法律保護是現代民法的基本任務之一。人格權可以分為一般人格權與具體人格權，一般人格權是以人格自由、人格尊嚴、人格平等為主要內容，是相對于姓名權、肖像權、健康權、自由權、名譽權、隱私權等具體人格權而言具有集合性特征的權利。個人信息是能夠識別信息主體的信息的總和，一般不與信息主體絕對分離，所以個人信息是一項人格要素，并且體現了一般人格權的內容。具體來說，個人信息主體能夠自由的保有發展其個人信息并且排除他人干擾的權利，這體現了人格權的人格自由；而保障個人信息與信息主體的一致以及信息的真實性，避免信息主體的形象被扭曲，是個人信息保護的任務之一，也是展現人格尊嚴的具體形式。

（二） 個人信息保護財產權之維度

當個人信息滿足法律意義上財產的確定性、獨立性、價值性、稀缺性和可支配性，即可成為個人信息財產。其強調個人信息的財產利益，是一種獨立存在、具有一定財產價值、以可交換的信息為客體的新型財產權。當然，個人信息財產權的客體也具有其自身的特點。由于信息本身屬性的非物質性決定了個人信息財產權的客體也具有非物質性；信息的可復制、可加工性則決定了信息是可以規模化、產業化加工生產的，這便決定了個人信息產品的可復制性；同時，個人信息的交易買賣不可能實現完全控制權的轉移，所以個人信息財產權客體具有不可絕對交割性。

個人信息財產權理論的核心則是強調個人信息財產權的權利內容。即信息主體對個人信息的控制權、使用權、收益權、處分權。該理論的目的在于增強信息主體對其個人信息的控制、從而為個人信息提供全方位的保護，同時，強調了信息主體的使用權、收益權和處分權，從而可以促進信息主體的自覺性，充分發揮個人信息的多方面價值的開發。

但是，在實際操作中個人信息財產權的行使面臨著諸多現實困境。而且財產權理論并不完善且存在許多缺陷，并不能與人格權理論絕緣。事實上，人格權與財產權早已在實踐中交互發展，立法與司法實踐也認可了某些具體的人格權兼具人格權屬性和財產權內涵的特征。

四、 我國個人信息立法保護不完善之處

我國在個人信息的立法上仍不完善，主要表現在以下三個方面：

第一，個人信息類型多樣，立法未具有針對性。如前所述個人信息按照不同標準可以進行不同的分類，每種類型的個人信息具有不同的特色，其具有的財產化的價值和所需要的保護程度也是不同的。如果是廣而泛之的設立法律進行保護往往難以將各類型的個人信息都兼顧到位。然而，隨著科技的進步，各種新型的關于個人信息的犯罪層出不窮，這使得法律對于這一方面的保障始終處于落后狀態。在我國急需構建完整的個人信息保護法體系，并進行針對性類型化的立法。

第二，現行單一的保障制度，保護與救濟難實現。目前，對個人信息的保護制度存在結構單一，程序和管理機構不明確的缺陷。行業自律機制尚待建立、責任分配尚不明確、救濟方式也處于單一狀態。僅依靠現有關于個人信息的法律法規，缺乏多種機制的配套保障難以實現個人信息的全面保護。因此一個多元的保障機制的建立是十分必要的。

第三，缺乏專門法律保護，立法有待進一步完善。2017年3月15日通過的《中華人民共和國民法總則》中新增了對個人信息保護的條款，這在我國個人信息保護的立法上是一種進步。但是，我國個人信息缺乏專門系統的法律保護，同時現有的法律對個人信息保護的可操作性不強，我國對個人信息保護尚不全面，我國則尚需探索建立適合我國的立法模式。

五、 我國個人信息立法保護的完善路徑

要實現對我國公民個人信息的全面保護，完善法律規范是必由之路，可以從以下幾點著手：

第一，建立個人信息的類型化保護機制。不同類型的個人信息對主體隱私程度或者“識別”程度不同，其所需要的保護程度也是不同的。個人敏感信息較個人一般信息對主體更加隱秘，應該強化保護；而對個人一般信息則可以加強開發利用，個人一般信息對主體的私密程度低，可以側重開發其商業價值和管理價值，從而滿足其他主體的利益需求。同時，要防止個人直接信息的泄露。個人直接信息與信息主體緊密相關，可以直接識別出信息主體。由此，應該加強防范，防止個人直接信息的泄露。

第二，完善個人信息保護的責任機制與救濟機制。一方面，要明確責任機制。個人的責任自行承擔，企業或者相關管理機構的相關責任也應明確，由此強化對個人信息保護的重視與落實。另一方面，豐富救濟機制。鼓勵信息主體維護主體的合法權利，那么救濟方式便要更加多元起來。公力救濟固然權威而具有強制力，但是社會救濟和自力救濟也同樣有其優勢，不僅成本低還能充分表達雙方意愿，從而平衡多方利益。

第三，加緊出臺系統的個人信息保護法。個人信息保護法是專門的、系統的對個人信息進行保護的法律，在個人信息保護法中可以明確個人信息的定義、個人信息的具體權利，建立完整的保護體系，以彌補現行對個人信息保護的不足。個人信息保護法在制定時要貼近我國個人信息保護亟待解決的問題，使制定的法律具有針對性；同時立法還應具體、明確，才能讓執法者更加易于操作。只有將該法嚴格施行落到實處，才能真正體現其價值。

總而言之，對于大數據時代對于個人信息的立法保護值得我們進一步去實踐探討。