大數據時代個人信息保護與利用的平衡路徑研究

摘 要 大數據時代的到來讓我們的工作和生活逐漸變得便捷和高效的同時，大數據技術的使用也日益暴露出它的弊端，個人信息泄露、侵害個人信息權利的現象日益普遍。在充分利用大數據、利用個人信息的同時，如何從法律制度層面對該領域進行科學管理與規制，實現大數據時代個人信息的充分使用和個人信息權利合理保護的平衡，切實解決個人數據收集應用與個人信息權利保護沖突的現實問題具有重大現實意義。

關鍵詞 大數據 個人信息保護 個人信息權利

基金項目：1.湖南省社會科學成果評審委員會項目“大數據時代個人數據信息保護機制創新研究”（立項編號XSP17YBZZ0 74）;2.湖南省社科基金項目“大數據背景下個人信息利用法律規制研究”（立項編號17YBA239）。

作者簡介：虞蕾，湖南商學院法律（法學）碩士，研究方向：民商法。

中圖分類號：D923 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2019.05.239

“大數據商業應用第一人”舍恩伯格在《大數據時代》一書中寫道，某零售商通過大數據歷史記錄分析，得知女中學生已懷孕的秘密并向其郵寄母嬰用品廣告。大數據使我們生活在一個公開透明的時代，不當收集、買賣、惡意使用、篡改個人信息以致影響他人生活安寧，侵害他人財產甚至生命安全，擾亂社會秩序的現象在我國日益突出。為適應大數據健康發展的需要，《民法總則》中首次明確了個人信息的保護， 從基本法層面對個人信息進行法律定性。然而在具體的實踐生活中，個人信息保護的實際收效并不理想，在加強保護的同時又要避免影響信息的正常流通，所以需要尋找平衡個人信息利用與保護之間的路徑。

一、大數據時代個人信息安全的現狀

（一）個人信息的法律概念及其屬性

縱觀域外在個人信息保護的理論研究及立法實踐，“個人信息”常見稱謂包括：歐盟的“個人信息”（personal information）;美國、澳大利亞、加拿大等立法使用的“個人隱私”與“隱私”兩個概念。因此，國際上對本課題“個人信息”這一概念并沒有統一的稱謂和界定，嚴格地講，各國在使用這些稱謂時的具體內涵也存在細微差別。

在個人信息（權）的法律屬性上，通過查找資料和閱讀文獻，總結出國外學者的觀點主要有：（1）隱私（權）說;（2）獨立人格（權）說;（3）財產利益（財產權）說。 在國內，主要有隱私（權）說、新型人格權說、 財產權說等。大數據時代下的今天，數據技術可以從海量的數據資料中分析、提取出可供政府、企業、個人等決策使用的信息，在這個過程中，大量的原始數據可通過大數據的運用識別出眾多有價值的個人信息。這些信息可因其本身的差別而影響到信息主體的隱私、財產利益等，是一種兼具人身屬性和財產屬性的新型利益種類。

（二）大數據時代個人信息受威脅的主要類型

1.國家機關對個人信息的過度收集

國家機關要面對諸多復雜的民生問題和維護國家統一與穩定，有著特殊的職能。國家機關收集個人信息有兩個明顯區別于其他主體的特點：（1）強制性。國家機關是以國家的名義實施的職能行為，在其行使職權的過程中若遇到阻礙可依法使用強制措施消除障礙。（2）單方意志性。國家機關在法律法規授權內可自行決定行使其職權，無需征得對方同意。例如《刑事訴訟法》第136條的規定，偵查人員對犯罪嫌疑人的身體、物品等進行搜查出示搜查證即可，無需被搜查人的同意。然而從社會契約論的角度來看，國家機關作為主權者的公意執行人，不能給臣民加以任何一種對于集體毫無用處的約束。 因此，國家機關在收集個人信息的過程中應給予公民應有的尊重，須在自己目的和權力范圍內進行。例如：某公安機關在對一起校園盜竊案進行偵查時要求全校學生進行指紋及身份信息錄入檢測，這顯然已經超出必要的范圍。

2.人機網絡行為泄露、曝光個人信息

網絡中的熱門事件極易引發網友的集體熱情，相較于機器搜索引擎而言這種人機互動搜索的影響力更為致命，例如人肉搜索，也許網友的出發點是所謂的“伸張正義”，但自詡的正義行為最后變成懲善揚惡也為未可知。這樣的實例舉不勝舉，2018年8月發生的安醫生自殺事件，起因是一起泳池沖突，但隨后涉事男孩的家長到安醫生單位鬧事，在網上曝光安醫生及其丈夫的個人信息，并聯合網絡大V發布關于沖突的不實消息，煽風點火，安醫生不堪忍受輿論壓力而服藥自殺。更有最近在埃航中遇難的女大學生的微博內容被挖出，各種惡意揣測和無端謾罵接踵而來。網絡暴力不斷上演，人們似乎并沒有意識到網絡非法外空間，也沒有意識到在網絡上公開他人的個人信息屬于侵權行為。

（三）我國個人信息保護的困境

1.我國個人信息保護立法有缺陷

其一，法律規定較分散、銜接不足。根據《網絡安全法》：個人發現網絡運營者違法收集、使用其個人信息的，有權要求刪除其個人信息。更正和刪除個人信息對運營者來說侵權的成本極低。而《刑法》則規定：違反國家有關規定，出售或提供公民個人信息，情節嚴重的，處三年以下有期徒刑或拘役，并處或單處罰金。刑事責任相對來說比較嚴厲，而其他形式的法律責任又過于輕松，輕重之間缺少過度空間可能會導致不公平的裁判結果。

其二，法律救濟難，實際操作性弱。《民法總則》規定自然人的個人信息受法律保護，明確了信息使用者的行為規范，但具體的民事責任還沒有細化。若要信息使用者承擔侵權責任，被侵權人面對強大的數據技術和眾多的商家，要證明侵權人存在侵權行為且有實際損失，維權之路十分艱難。2018年《中國互聯網絡發展狀況統計報告》顯示我國網絡安全問題中個人信息泄露最為嚴重，占比達到28.5%，相比 2017 年末增長 1.4 個百分點。 這從側面反映出個人信息保護的司法救濟還存在很大缺口。

2.商事領域中缺少行業自律

由于各行業之間千差萬別，即使有健全的法律體系，也很難覆蓋全部行業的個性化需求。而行業自律可以發揮它的優勢，利用自身的專業性和個性化形成符合行業特點的通用規范。2012年，互聯網協會發布《互聯網搜索引擎服務自律公約》，約定簽約方有義務保護用戶個人信息的安全。互聯網行業還有許多企業并沒有加入自律公約，已加入的企業也并非完全按照公約標準執行。例如在隱私保護方面，要使用產品也就必須接受企業的隱私聲明，用戶沒有其他選擇，這顯然使用戶處于不利地位。而有的隱私聲明強調了信息收集的內容和方式，對信息后續的處理及保存期限卻沒有說明。

3.個人信息保護及權利意識積弱

我國的個人信息權利意識的覺醒較晚，很多人對于個人信息保護的認識尚停留在被動狀態。在當前的環境下，尤其年輕一代，日常生活不能缺少網絡。因為網絡應用頻繁對于個人信息保護也便降低了警惕性，對于注冊網站、APP、授權應用等已經習以為常，常常不假思索就將個人信息按照提示輸入。根據2017年發布的《中國個人信息安全和隱私保護報告》，有72%的人認為信息泄露嚴重，有53%的人在瀏覽網頁的過程中泄露個人信息，有超30%的人遭遇過電信騷擾和詐騙。雖然生活體驗因為網絡而更加豐富，但其中隱藏著極大的個人信息泄露的隱患。

二、域外個人信息保護的經驗考察

（一）立法對信息主體權利保護的強化

美國個人信息的保護傾向于在保護的同時不阻礙信息的流通， 以此保障經濟能夠良好的發展。為緩解個人信息利用與保護之間的緊張關系，1974年美國通過《隱私法案》（Privacy Act），法案對個人信息的收集、保存、公開方式都作了較為詳細的規定。隨著科技和經濟的不斷發展，越來越多的專業領域需要特別法的保護，于是美國又頒布了關于電子通訊、信息技術、網上兒童隱私方面的保護法案。

歐盟在個人信息權保護上，較美國更注重個人信息權利的人身屬性。1980年，歐盟頒布《關于保護隱私與個人數據跨國界流動的準則》，規定了保護的最低標準，使信息能夠安全穩定的在成員國間流通。在信息技術迅速發展的大環境下，為了加強對信息主體的隱私權保護，頒布了《有關個人數據自動化處理之個人保護公約》，以此來約束各締約國收集公民個人信息的行為。1995年歐盟通過《數據保護指令》，對所有成員國數據保護實施的原則和規則進行了統一的規定。 2002年又出臺《電子隱私指令》，信息主體有了拒絕被非法收集個人隱私的權利。

（二）對國家機關的約束和監督

美國在1974年頒布《隱私法案》，對個人隱私權的保護進行了全方位的規定，在注重個人隱私的美國有著較高的法律地位。該法案明確禁止任何部門不當收集、保存、使用或泄露個人信息。政府機關在收集個人信息時必須符合法律的規定，在收集后建立個人信息數據庫時必須發布公告。在有可能給信息主體帶來不利后果時，要盡可能由本人提供，并且只能在職務相關的必要范圍內收集和處理，并且要保障信息的安全，不得外泄。在私權利面前，即使國家機關執行公務也不能隨意冒犯。

在經歷二戰后，個人信息的保護問題在德國比較敏感。德國相較于美國更傾向于發揮公權力在個人信息保護中的作用。1990年聯邦德國政府對《聯邦資料保護法》進行修改，明確規定對于信息處理的行為仍然是政府的職責，信息處理主體對于信息本身不得享有任何收益權。在2001年德國又對《聯邦資料保護法》進行了修改，擴大個人信息保護的范圍，并對國家機關和公共機構收集信息作出了更為明確的規定。

（三）商事領域中行業自律機制

美國并不希望公權力過多的干預，在個人隱私保護上采取分散立法加行業自律的模式。例如金融行業，美國國會1999年通過了《金融服務現代化法案》，該法案明確規定金融行業機構共享信息的應當遵守的規則，嚴格控制信息外泄。該類機構在使用個人信息時有義務通知信息主體，并對有關使用情況進行備案。個人可以選擇否定使用行為。 除此之外，通信行業、公共服務等行業領域也先后通過了類似法案。

歐盟將個人信息權視為基本人權，由國家主導通過統一的立法對權利進行確認和保護。在與美國在互動交流過程中，歐盟也開始借鑒美國行業自律模式。在1995年10月，歐盟締結了《個人信息保護指令》 ，納入了企業自治和行業自律的相關規定，要求成員國加強在個人信息處理過程中對隱私權的保護。

三、大數據時代我國個人信息保護與利用的路徑

（一）出臺個人信息保護法

我國現有法律法規中個人信息權利的性質不甚清晰，性質直接關系到權利和義務的內容，也關系到調整方法。我們無需在隱私權向和財產權向中二選一，因為大數據時代下的個人信息已在技術的裹挾下進入公共利益的范圍，所以我們需要打破私權保護的限定，不落窠臼。

我國雖然有關于保護個人信息的法律規范，但是相對于我國目前的大環境來看，系統的個人信息保護法不可或缺。在2003年我國專家學者開始起草《個人信息保護法》，2018年《個人信息保護法》正式列入立法規劃。草案中對個人信息保護的原則做了詳細的敘述，明確了個人信息保護權利種類，對信息占用者和信息主體的權利和義務也做出了規定，在宏觀方面的規定很全面。但在具體的法律責任還有待完善的地方，草案第五章法律責任中規定：國家機關違反本法侵權并造成損失的，依據《國家賠償法》來處理;非國家機關的，依本法規定承擔民事責任，本法無規定的，依照其他法律法規承擔民事責任。面對在新技術手段下衍生的事物，我們也需要研究能夠充分應對的責任形式。從個人信息權利的屬性出發，侵犯個人信息權利的責任形式可依據權利的屬性來設定，依據權利的人格和財產兩方面的性質以及侵權行為造成損失的類型和嚴重程度來決定承擔侵權責任的形式。在現代社會中，因為文化自由和精神世界的豐富，人們也越來越看重除物質之外的個人權益，例如名譽權、榮譽權等人格權利益。因此，在信息權利保護方面，除了實質性損害以外，還可以賦予信息主體在侵權行為致其精神損害后尋求救濟的權利。

（二）完善對國家機關公權力的監管

公權力往往因有國家強制力做保障而具有優先地位，再加上 “官本位”思想根深蒂固，在公權力面前往往強調的是個人的義務，因此個人權利容易被忽視。

首先，應加強對國家機關及其工作人員的監管和約束，建立完善的信息使用與管理制度。日本政府在建立“住民基本臺賬網絡系統”時就遭到不少國民的反對，認為個人信息隱私權受到了侵害，并以此為由提起訴訟，最后經日本最高法院明確，日本政府收集和利用個人信息的前提條件是“有比較完善的個人信息保護法律制度和技術措施，禁止個人確認信息的目的外使用”。 國家機關及其工作人員不僅要重視個人信息的安全問題，還應給予個人信息權利相應的尊重。對工作人員行使權力有明確的范圍限定，對接觸具體個人信息的人員采取責任制，建立完善的管理制度，保障個人信息的安全。明確國家機關及其工作人員行使權力的范圍，完善具體的管理方式，構建方便、安全的操作程序。

其次，國家機關需提高其工作人員保護個人信息的意識。隨著電子政務的發展以及維護公共安全的需要，公民有時必須讓渡自己的個人信息，但這不等于放棄其權利，個人信息依然是受保護的。國家機關及其工作人員有義務將獲取的個人信息需按照法律的相關規定進行妥善保管、不能隨意泄露。公民有權利知悉信息收集、處理、使用、傳輸目的及信息主體拒絕提供信息可能造成的法律后果等。

（三）引導行業自律

根據第42次《中國互聯網絡發展狀況統計報告》，我國有54%的網民遇到網絡安全問題，其中個人信息泄露最為嚴重，占比28.5%。 在商事領域有眾多行業，個人信息量太過龐大和繁雜，一個用戶可以在多家商戶留下個人信息，且各行之間的情況有其特殊性，立法不能面面俱到，無法涵蓋細節問題。因此，僅依靠立法和行政監管來保護個人信息還不夠，而行業自律則可以發揮其特有的靈活性和專業性。

從上文中的域外經驗考察中可看出美國的行業自律在個人信息保護上發揮了重要作用。商事領域行業眾多，個人信息量太過龐大和繁雜，且各行之間的情況有其特殊性，立法不能涵蓋許多細節問題，行業自律可以發揮靈活、及時的優勢，商事組織可以根據行業內的特點制定行業自律公約進行自我約束。美國保護個人信息（隱私）的行業自律模式主要有兩種：建議性的行業指導和網絡隱私認證計劃。 行業自律在美國已經有相當深遠的社會基礎，其構建行業自律機制的原因就是避免公權力過多干預私有經濟的發展，而個人信息的保護不可或缺，要讓二者在同一環境中并存立法與行業自律并行是最優的選擇。我國現階段在行業自律方面還不夠成熟，民間組織力量弱小且市場的自律性較低。行業自律由于是自發的機制，在我國當前的市場環境下要在行業內形成尚有難度，因此根據我國自身的特點，由國家機關根據法律法規引導行業協會制定行業自律公約并對其實施進行指導和監督，是比較可行的做法。

注釋：

《民法總則》第一百一十一條規定，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

隱私權說認為個人信息本質上是一種隱私（[美]Danie J. Solove ，Paul M. Schwartz），[美]Alan F. Westin提出了信息隱私權的概念。獨立人格（權）說認為個人信息是一般人格權之一（[德]Wilhelm Stein mluller， Bernd .lutter beck），認為個人信息是一種區別于隱私權的獨立人格權（[英]Orla Lynskey;[澳] Greenleaf Graham）、保護個人信息體現了對“個人自決”“個性”“個人人權”的尊重和保護（[美]Alita L. Aian）。財產利益（財產權）說認為個人信息對他人和社會有價值，應當允許對個人信息的產權進行交易，主張個人信息是一種財產利益（[美]Richard A. Posner， Shapiro Carle， Varain Hal等）。

胡衛萍教授認為應將個人信息作為一種新型具體人格權予以立法確認。王利明教授也認為個人信息權是一種新型的民事權利，是人格權的一種。雖然個人信息具有財產因素，但其主要特征并非財產屬性。

[法]盧梭著.社會契約論[M].何兆武譯.北京：商務印書館，2003：38.

第42次《中國互聯網絡發展狀況統計報告》.中國網信網：http：//www.cac.gov.cn/2018- 08/20/c_1123296882.htm.訪問時間：2019年3月18日.

雷婉璐.我國個人信息權的立法保護——對美國和歐盟個人信息保護最新進展的比較分析[J].學術大視野，2018（23），第109頁.

牟朗宇.大數據時代下個人隱私權法律保護的問題研究[D].西南交通大學，2017.

劉家玲.大數據時代個人信息保護的法律研究[D].浙江大學，2016.

20世紀80年代后期，歐盟各成員國之間信息保護程度嚴重不平衡。各成員國立法上的差異阻礙了歐洲各國之間的信息流通，從而限制歐洲內部統一市場的形成。1995年10月歐盟簽署《個人信息保護指令》。這條指令的主要目的是平衡各成員國的信息保護發展和基本理念，建立水平相當的信息保護體系，以促進實現內部市場的形成和利益各方的平衡發展。

李春華、馮中威.歐盟與美國個人數據保護模式之比較及其啟示[J].社科縱橫，2017，32（8），第90頁.

吳偉光.大數據技術下個人數據西悉尼私權保護論批判[J].政治與法律，2016（7），第117頁.

魏健馨、宋仁超.日本個人信息權利立法保護的經驗及借鑒[J].沈陽工業大學學報，2018（4），第293頁.

第42次《中國互聯網絡發展狀況統計報告》.中國網信網：http：//www.cac.gov.cn/2018-08/20/c_1123296882.htm.訪問時間：2019年3月18日.

張繼紅.大數據時代個人信息保護行業自律的困境與出路[J].財經法學，2018（6）：61.