大數據時代個人信息的運作模式、理論困境及保護路徑

摘要：大數據技術的快速發展和不斷應用使個人信息能夠被大規模收集以及重復循環再利用，為個人信息的運作模式帶來了顛覆性的轉變。在個人信息累積效應下，大數據能夠推衍、萃取、洞見甚至連結出不為人知或不欲為人知的信息，其不當應用將產生侵害個人信息自決權和隱私權的風險，同時也可能與《個人信息保護法》所規定的保護原則形成沖突。為兼顧大數據發展與隱私保護義務，應當制定個人信息開放規范以促進大數據發展；采取牢固的匿名化技術以實現個人信息的“去連結性”；將個人信息保護影響評估作為保護個人信息的有效工具；以“實質性參與”作為告知同意原則完善的路徑取向。

關鍵詞：個人信息；大數據；隱私權；《個人信息保護法》

中圖分類號：D923" 文獻標志碼：A"文章編號：2096-028X（2024）02-0103-10

大數據，又稱為“巨量資料”，通過大規模收集、儲存和分析資料，藉由復雜的算法或人工智能技術，以揭露其他方面尚未被確知的模式、連結、行為、趨勢、身份與實用知識。Anita L. Allen，Protecting One’s Own Privacy in a Big Data Economy，Harvard Law Review，Vol.130：71，p.71（2016）.大數據能快速收集和儲存資料，預測、洞見未來趨勢，為政府行政管理和治理提供工具，為社會發展預防風險，為國家政策的制定與執行提供參考依據。然而，以巨量資料為基礎的大數據，憑借強大的算法擷取、推衍出尚不為人知或不欲為人知的個人信息以及個人隱私，對個人信息的保護形成不可預知的風險和挑戰。如何在大數據時代開發利用個人信息的同時保障個人信息安全，已然成為時代難題。

為平衡大數據時代下個人信息的保護和利用，2020年5月28日頒布的《中華人民共和國民法典》（簡稱《民法典》）第四編第六章對個人信息保護作出了基礎性規定。參見趙宏：《〈民法典〉時代個人信息權的國家保護義務》，載《經貿法律評論》2021年第1期，第1-2頁。隨后，2021年8月20日《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）出臺，標志著中國個人信息保護制度的法律框架體系初步形成。然而，相繼出臺與實施的法律規范也無法完全避免大數據時代下個人信息遭受侵害。大數據的不當應用給《個人信息保護法》中規定的個人信息權益以及保護原則帶來了挑戰。鑒于此，通過分析大數據對個人信息的收集與處理模式，結合《個人信息保護法》的若干條款，指出個人信息保護面臨的理論困境，探索大數據時代中國個人信息的保護路徑。

一、大數據對個人信息的收集與處理模式

大數據的運作模式是對個人信息的大規模收集和重復循環再利用，通過大數據分析工具的擴散，能夠輕松地跟蹤、量化和交換人與人之間的信息，解開人類基因奧秘，解決城市生活問題，揭示出社會關系和文化偏好背后的隱藏模式。Karen E.C. Levy，Relational Big Data，Stanford Law Review，Vol.66：73，p.73（2013）.大數據是個人信息的運作模式，個人信息也構成了大數據的實質內容。

（一）個人信息的大規模收集

大數據是一個抽象的概念，目前尚未有統一精確的定義，基于大數據覆蓋范圍的廣泛性和類型的多樣性，人們傾向于以“數據的數量”與“管理這些數據的能力”來定義大數據。Rick Swedloff，Risk Classification’s Big Data （R）evolution，Connecticut Insurance Law Journal，Vol.21：339，p.339（2014）.大數據中含有個人信息和非個人信息。個人信息的含義體現在《個人信息保護法》第4條和《民法典》第1034條第2款，即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息”，或“能夠單獨或者與其他信息結合識別特定自然人的各種信息”，據此，“識別性”是識別個人信息的主要標準，也就是說，具有識別性的自然人信息，無論其以何種方式記錄，都可被認定為個人信息。

大數據能夠快速收集與儲存各種來源的個人信息，其范圍并不局限于互聯網上的資料，還包括傳統的數據集，部署在基礎設施（例如通信網絡、電網、全球定位衛星、道路和橋梁等）中的傳感器收集的信息，Omer Tene amp; Jules Polonetsky，Big Data for All：Privacy and User Control in the Age of Analytics，Northwestern Journal of Technology and Intellectual Property，Vol.11：237，p.239（2013）.可見，大數據對個人信息的大規模收集已經遠超于傳統軟件工具對個人信息的收集、儲存，致使“所有的個人事務和行動都變成了數據，由網絡數據完整描述個人人格”。參見王秀哲：《大數據時代個人信息法律保護制度之重構》，載《法學論壇》2018年第6期，第115-116頁。同時，大數據通過算法等技術使得個人被信息化。算法作為一種自動分析工具，具有決策屬性，在大數據的基礎上進行快速、高效、精準的自動化決策。自動化決策對數據人格的塑造并非簡單停留在數據記錄或數據整合方面，其會更加深入地挖掘個人偏好、隱私、行為習慣等，這也不可避免地造成大數據對個人信息的過度收集或非法收集。例如，商家進行廣告推送、精準營銷、偏好記錄以及再次營銷。再如，不法分子利用個人信息謀求利益，甚至實施大型犯罪活動。在上述過程中，個人信息展現出巨大價值，收集數據能夠獲得非常強大的經濟激勵，以至于個人信息的收集變成了機會主義，而非是有目的的收集。換言之，只要有可能、有機會，數據就會被收集，即使沒有具體的使用目的，也要進行收集。同樣，個人信息的保留也具有了經濟動機。個人信息會被盡可能地保存較長的時間，甚至遠遠超過最初的使用時間，從而反復使用。此外，大數據技術的應用并未形成明確的行業標準和統一的約束性規則，關于數據的采集、管理、共享、交易等缺乏技術標準予以規范，導致個人信息在被大數據收集的過程中面臨著隱私受到侵犯的風險。

（二）個人信息的重復循環再利用

傳統個人信息的處理分析方式如下：基于人們提出的問題作出假設，收集個人信息進行分析并得出結論。其后，個人信息處理者《個人信息保護法》第4條第2款規定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。”據此，個人信息處理者能夠收集、存儲、使用、加工、傳輸、提供、公開、刪除個人信息。為了確保傳統軟件工具正常地、不超負荷地運轉，對所收集的個人信息作出甄別并進行選擇性剔除，僅對至關重要的個人信息予以保留。大數據時代，個人信息的處理分析發生了顛覆性轉變，信息的存儲已經不再是需要考量的事項，個人信息能夠被全面完整地存儲。信息處理技術也取得了重大進展，不需再考慮個人信息是否超過負荷或是否予以保留。例如，批處理技術能夠將大量數據集中處理，實現數據的有效管理和信息的快速獲取；流處理技術能夠實時處理數據流、及時監測數據并獲取數據的實時反饋，常用于實時分析和實時計算等場景；NoSQL技術（Not only SQL非關系型數據庫）能夠在豐富的數據模型中支持高并發查詢、數據分片處理等需求，提高了數據的擴展性和靈活性；數據挖掘技術能夠通過使用數據挖掘算法，重復循環利用個人信息，發現潛在的趨勢和模式，并預測未來趨勢和方向。

過去，數據一般被基于特定的目的收集和一次性利用。在大數據時代，數據的潛在價值在收集時可能是不明確的，只有當數據基于相同或者不同的目的被重復利用時，才可能完全呈現出潛在的價值。Viktor Mayer-Schonberger amp; Yann Padova，Regime Change？Enabling Big Data Through Europe’s New Data Protection Regulation，Columbia Science and Technology Law Review，Vol.17：315，p.315（2016）.數據價值不僅在于可以從中分析出更多的個人信息，更重要的是，通過與其他數據源相結合的方式，個人信息的利用得到極大提升。全面完整的數據不僅可以用來回答或者分析當前具體問題，還能激發新問題的提出，脫離結構化的數據庫，在個人信息之間建立關聯性，從而挖掘出隱匿的個人信息，甚至是個人隱私。同時，數據收集者能夠實現個人信息的預期利用和非預期利用，甚至會將個人信息流轉至第三方手中，脫離最初收集的目的進行再利用。例如，出行網站挖掘出旅客出行規律并共享給航空公司，平臺將某群體的消費習慣轉賣給其他商家等。而作為接收個人信息的第三方根據自己的需求繼續交叉比對、重復使用和加工個人信息，實現個人信息的重復循環再利用。在這一過程中，不可避免地存在著“不知道何種個人信息經過技術處理后會導致個體的人格受到侵害”的情形，參見張婉婷：《個人信息“合理利用”的規范分析》，載《法學評論》2023年第3期，第109頁。而這也正是個人信息在大數據時代的本質風險和保護難點。

二、大數據時代個人信息保護面臨的理論困境

大數據對個人信息的大規模收集和重復循環再利用能夠證實最初的假設或者處理某些問題，甚至能“萃取或推衍出預想不到而可能有價值的資訊”，參見翁清坤：《大數據對于個人資料保護之挑戰與因應之道》，載《東吳法律學報》2020年第3期，第87頁。獲得個人信息收集的潛在價值。然而，基于某一特定目的或者特定情境下提供的個人信息若被大數據以完全意想不到或者不正當的方式運用，不僅可能侵害個人信息的自決權、隱私權，而且與《個人信息保護法》規定的原則相沖突。

（一）大數據的不當運用具有侵害個人信息自決權與隱私權的風險

大數據作為一種侵入性工具，能夠詳細記錄人們的行為，匯編人們購買和消費的數據，Karen E. C. Levy，Relational Big Data，Stanford Law Review，Vol.66：73，p.73（2013）.這類舉動成為令人不安的監視來源，威脅著個人的隱私權。

1.大數據的再識別化攫取個人隱私

為了規范個人信息處理者的處理活動以實現保護個人信息的目的，《個人信息保護法》第51條《個人信息保護法》第51條規定：“個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等，采取下列措施確保個人信息處理活動符合法律、行政法規的規定，并防止未經授權的訪問以及個人信息泄露、篡改、丟失：（一）制定內部管理制度和操作規程；（二）對個人信息實行分類管理；（三）采取相應的加密、去標識化等安全技術措施；（四）合理確定個人信息處理的操作權限，并定期對從業人員進行安全教育和培訓；（五）制定并組織實施個人信息安全事件應急預案；（六）法律、行政法規規定的其他措施。”規定了個人信息處理者的義務，即應建立個人信息管理制度、作業流程，并進行分級分類管理，及采取加密、“去標識性”等安全技術措施。該條款表明個人信息處理者在處理個人信息活動過程中應當采取“去標識性”的技術措施。這一舉措能夠達到在處理個人信息過程中倘若不借助關聯信息則無法識別到特定個人的目的。然而，大數據具有再識別個人信息的功能，能夠通過對數據庫中個人信息的匯整、統合，運用統計學與其他數據挖掘技術，將本來不具有識別性或“去標識性”的信息與其他額外信息進行關聯、篩選、比對以及匹配，從而識別出特定個人信息。例如，個人信息使用者為了商業目的使用一些個人信息時，并不需要具體到個人身份，只需要識別網上IP信息即可。大數據技術的應用使得信息主體即使應用匿名化技術也難以完全實現隱匿的目的，有些信息表面上不是個人信息，但是經過大數據的處理仍然可以追溯到具體的個人，從而挖掘出相關聯的其他信息。參見金泓序、何畏：《大數據時代個人信息保護的挑戰與對策研究》，載《情報科學》2022年第6期，第135頁。大數據的運作模式，能夠更容易發現個人信息的關聯性并建立起連結，通過確認、分析與預測個人人格、行為、興趣與習慣，對個人進行剖析，用以協助自動化決策，參見翁清坤：《大數據對于個人資料保護之挑戰與因應之道》，載《東吳法律學報》2020年第3期，第96頁。同時，大數據也能突破信息之間隱形因素無法被量化的瓶頸，參見高嬰勱：《工業大數據價值挖掘路徑》，載《中國工業評論》2015年第2期，第22頁。建構不相干信息之間的關聯性，對個人信息進行再識別，在這一過程中，大數據對個人信息的獲取可能轉化為對個人隱私的攫取、吞噬，從而威脅著個人隱私安全。

2.大數據的自動化決策使個人信息自決權被虛置

《個人信息保護法》第44條《個人信息保護法》第44條規定：“個人對其個人信息的處理享有知情權、決定權，有權限制或者拒絕他人對其個人信息進行處理；法律、行政法規另有規定的除外。”確立了個人信息自決權，即“信息主體對自身信息的控制與選擇，即自我決定的權利”，參見姚岳絨：《論信息自決權作為一項基本權利在我國的證成》，載《政治與法律》2012年第4期，第72頁。這也意味著個人享有自由決定其信息被收集、利用的權利。然而，大數據具有個人信息自動化決策功能。自動化決策，《個人信息保護法》第73條第2項規定：“自動化決策，是指通過計算機程序自動分析、評估個人的行為習慣、興趣愛好或者經濟、健康、信用狀況等，并進行決策的活動。”又被稱為“智能決策”，在大數據作為戰略資源的當今社會，自動化決策成為決策作出的主要方式，憑借綜合利用大量數據，有機結合各種模型，將海量數據匯集融合，發揮快速感知和認知能力及強大的分析與推理能力，最終從數據中提取知識，通過識別、判斷，進而輸出科學決策。自動化決策的計算范式是“從數據到知識，從知識到決策”，參見陳純、莊越：《大數據智能：從數據到知識與決策》，載《中國科技財富》2017年第8期，第49頁。通過挖掘、萃取以及分析數據，發現其中蘊藏的知識，再由知識轉化為決策支持。參見楊善林、周開樂：《大數據中的管理問題：基于大數據的資源觀》，載《管理科學學報》2015年第5期，第3頁。自動化決策具有穩定性和精確性，其決策速度也展示出超越人類的強大效能。反過來，決策的實用性也體現了大數據的價值。在個人信息領域，大數據的自動化決策已是常態，大數據憑借自動化分析數據，萃取、關聯、剖析、描繪，直至揭露個人信息，甚至是暴露個人隱私，這就導致信息主體對自身信息失控，個人信息自我決定的權利被侵害。自動化決策也能據此進行數字畫像，即將每一個個人繪成數據的集合，并且將與畫像相吻合的各種服務和信息推送給個人。個人被置于大數據所創造的不同片區中，并沒有作為活生生的個體獲得尊重，參加陳林林、嚴書元：《自動化決策中數據處理者的合理分析義務》，載《吉首大學學報（社會科學版）》2022年第6期，第20頁。個人信息自我決定的權利被虛置。

3.大數據推算匿名化信息或者不為人知的敏感信息

《個人信息保護法》第4條第1款《個人信息保護法》第4條第1款規定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。”規定了個人信息不包括匿名化處理后的信息，換言之，匿名化信息不屬于《個人信息保護法》保護的“個人信息”范圍。然而，在大數據時代，即使是匿名化的數據也可以被重新識別并歸因于特定的個體，Omer Tene amp; Jules Polonetsky，Privacy in the Age of Big Data：A Time for Big Decisions，Stanford Law Review，Vol.64：63，p.63（2011—2012）.隨著網絡、物聯網裝置等先進科技手段和信息技術的廣泛應用，個人信息的收集越發便捷與普及，大數據收集的巨量信息能夠發揮再識別功能。匿名化信息通過大數據的再識別，與其他信息組合、比對后，將轉化為具有特定個人識別性的信息，匿名化的個人信息因此變為顯名化。毋庸置疑，大數據的再識別技術削弱了個人信息的匿名化，破壞了隱私政策的格局。Paul Ohm，Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization，UCLA Law Review，Vol.57：1701，p.1701（2010）.大數據能夠推論出不為人知的個人信息，其核心是使用人工智能挖掘和分析大量數據，目的是找到揭示新洞見或事實的“小模式”或相關性。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.即使某些個人信息并不在數據庫中，但是通過對已收集或掌握的數據進行關聯、萃取和推衍，知悉或洞見特定自然人并不困難。

（二）大數據的不當運用與個人信息保護原則形成沖突

大數據的運作模式是“對世界的某些方面進行建模”，并得出“預測未來可能發生的事件”的推論。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.在這一過程中，如果大數據運用不當，將可能與《個人信息保護法》確立的立法目的和原則相矛盾。

1.大數據與目的明確原則、最小化收集原則相沖突

《個人信息保護法》第6條《個人信息保護法》第6條第1款規定：“處理個人信息應當具有明確、合理的目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。”第6條第2款規定：“收集個人信息，應當限于實現處理目的的最小范圍，不得過度收集個人信息。”規定了個人信息的處理要遵循目的明確原則，以及個人信息的收集要遵循最小化收集原則。對于目的明確原則，大數據的運作模式常常是對個人信息的重復循環再利用，這就可能超出個人信息原始收集的目的，與個人信息處理的目的明確原則形成沖突。個人信息被再利用時，可能會進入多方流轉的系統中，第一方收集者將個人信息流轉至第三方機構，從而失去了對個人信息的控制權，參見范為：《大數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期，第94頁。脫離控制的個人信息將存在被惡意濫用的風險。對于最小化收集原則，其要求個人信息的收集應當依據處理目的進行最小范圍、最小限度的收集，為了保障個人信息安全，不得恣意擴大個人信息的收集范圍。《個人信息保護法》第47條《個人信息保護法》第47條第1款規定：“有下列情形之一的，個人信息處理者應當主動刪除個人信息；個人信息處理者未刪除的，個人有權請求刪除：（一）處理目的已實現、無法實現或者為實現處理目的不再必要；（二）個人信息處理者停止提供產品或者服務，或者保存期限已屆滿；（三）個人撤回同意；（四）個人信息處理者違反法律、行政法規或者違反約定處理個人信息；（五）法律、行政法規規定的其他情形。”第47條第2款規定：“法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。”規定的刪除權也體現了這一原則。個人信息用于特定的處理目的，該處理目的一旦實現，則必須刪除該信息，以規避信息被濫用、泄漏、遺失之可能。參見申衛星：《論個人信息權的構建及其體系化》，載《比較法研究》2021年第5期，第11-12頁。按照最小化收集原則，處理個人信息時也應當具有合理的目的并限于實現處理目的的最小范圍。參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期，第169頁。然而，大數據的運作模式實現了個人信息的大規模收集和無限次利用，挑戰著個人信息最小化收集原則。

2.大數據沖擊告知同意原則的傳統架構

告知同意原則是信息主體與信息處理者之間所形成的權利及義務的合同規則，參見趙婧薇、尹偉民：《個人信息保護中告知同意規則的立法紓困》，載《內蒙古社會科學》2022年第2期，第85頁。《民法典》第1035條《民法典》第1035條規定：“處理個人信息的，應當遵循合法、正當、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監護人同意，但是法律、行政法規另有規定的除外；……”確立了個人信息處理的告知同意原則，形成了“個人信息權益的基本保護模式”。參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學》2021年第1期，第167頁。《個人信息保護法》第14條《個人信息保護法》第14條第1款規定：“基于個人同意處理個人信息的，該同意應當由個人在充分知情的前提下自愿、明確作出。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的，從其規定。”第14條第2款規定：“個人信息的處理目的、處理方式和處理的個人信息種類發生變更的，應當重新取得個人同意。”和第17條《個人信息保護法》第17條第1款規定：“個人信息處理者在處理個人信息前，應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規定權利的方式和程序；（四）法律、行政法規規定應當告知的其他事項。”第17條第2款規定：“前款規定事項發生變更的，應當將變更部分告知個人。”確立了以告知同意原則為核心的個人信息保護制度。雖然中國在立法上確立了告知同意原則的法律地位，但是在實施過程中大數據技術的運用導致其實際效果遭受嚴重質疑。參見馮健鵬：《個人信息保護制度中告知同意原則的法理闡釋與規范建構》，載《法治研究》2022年第3期，第32頁。

第一，大數據時代下越來越多的個人信息在信息主體不知情的境況下被收集，例如，隨身佩戴的手表、手機，公共場所的攝像頭以及互聯網設備等隨時隨地地收集個人信息，在收集過程中并未提供讓信息主體知悉或者同意的方式。

第二，在實踐中對于個人信息收集的隱私權政策通知，一般情況下信息主體并不會予以閱讀和理解，加之隱私政策以技術性、法律性的語言為基礎，呈現出冗長復雜、晦澀難懂的特征，信息主體對此不愿意耗費大量的時間，有研究表明，用戶一年中閱讀使用的網絡服務的隱私聲明要花費244小時，參見范為：《大數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期，第93頁。因此，告知同意原則成為一種擺設。此外，信息主體對于隱私政策的聲明只能被迫選擇同意，倘若不同意則意味著放棄了使用權。

第三，雖然法律賦予個人信息主體知情同意權，但是，個人很難充分掌握數據協議的內涵，這也體現出數據處理者憑借大數據、人工智能的技術賦能或賦權，在事實上與個人信息主體之間形成一種非對稱的權力結構，數據處理者的權力與信息主體的權利呈現出非均衡性，顯然數據處理者占據優勢地位。參見陳林林、嚴書元：《自動化決策中數據處理者的合理分析義務》，載《吉首大學學報（社會科學版）》2022年第6期，第20頁。

基于權力與權利的非均衡性事實，個人信息得不到有效保護。

第四，大數據對個人信息的無限次利用往往會脫離最初的收集目的，原先在告知同意原則下取得的合法授權，隨著大數據的非預期運用和再利用將失去法律效力，重新取得信息主體的授權則往往不現實，這就導致告知同意原則被架空。

3.大數據的算法分析與個人信息透明化原則相矛盾

《個人信息保護法》第7條《個人信息保護法》第7條規定：“處理個人信息應當遵循公開、透明原則，公開個人信息處理規則，明示處理的目的、方式和范圍。”規定了處理個人信息時應當遵循透明化原則。這一原則是個人信息處理的前提，是保障個人信息權益的基礎，有助于增進個人信息主體的安全感和信任感，提升信息主體對個人信息處理的接受度。然而，大數據的不當運用與個人信息透明化原則相沖突。快速和復雜的數據分析能力應用到巨大的數據集中，對個人信息予以分析，這一過程被稱為大數據分析。人工智能學習數據，智能地響應新的數據并且隨時調整其輸出，以達至預測和洞見未來。在這一過程中，人工智能使用復雜的數學算法來處理數據并基于數據作出決策，這些算法一般是非透明的，將產生所謂的“黑箱效應”。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.算法黑箱是一個建模系統，通常會智能地作出連續性的常規動作，突破數據本身，一旦涉及個人信息，可能產生系統化和機制化的侵權后果。參見林洹民：《自動決策算法的風險識別與區分規制》，載《比較法研究》2022年第2期，第189-190頁。算法黑箱的成因是，第一，算法本身具有保密性質，算法研發者或控制者缺乏將其對外披露的意愿；第二，算法技術壁壘的客觀存在，使得非專業人員難以理解算法的運行邏輯與真實內涵；第三，算法的自主學習特性導致其運行過程變得極其復雜，甚至超出算法設計人員所能感知的范疇。參見李欣、曹藝萱：《我國算法風險及其治理研究綜述》，載《信息安全研究》2024年第2期，第114頁。從成因來看，算法黑箱可能是算法設計師主觀為之，也可能是由于技術原因客觀存在。在“黑箱效應”下，要求處理個人信息時公開個人信息處理規則，明示處理的目的、方式和范圍，顯然是強人所難的。

三、大數據時代下個人信息的保護路徑

大數據時代，《個人信息保護法》所規定的個人信息權益面臨前所未有的風險，但絕不能為了保護個人信息而一味地鉗制與約束大數據的發展。大數據的創新應用是社會的驅動力與發展力，能產生巨大的經濟效應和社會效應，不僅關系到個人的福祉，也關系著國家的未來。

參見池建新：《個人信息保護政策的國際比較研究》，東南大學出版社2021年版，第35頁。

順應科技發展，同時立足于個人信息保護作出應對政策，兼顧個人隱私保護和數據發展，實現隱私保護與數據價值開發的共贏，是大數據時代的發展需求。

（一）制定個人信息開放規范以促進大數據發展

《個人信息保護法》以個人對信息的控制為前提，以個人信息最小化收集和目的明確、目的限制等原則為基礎，以保護個人信息權益與合理利用為目的。然而，大數據的運作模式極易侵害個人信息自決權與隱私權，盡量減少個人信息收集看似是個人隱私保護的一個實際方法，但其并不可行，因為個人信息作為大數據的構成部分有著巨大的潛能，其不僅能夠帶動產業創新，還有助于發展社會經濟。參見申衛星：《大數據時代個人信息保護的中國路徑》，載《探索與爭鳴》2020年第11期，第8頁。因此，個人隱私和個人信息保護必須與公共健康、國家安全和執法、環境保護和經濟效率等附加社會價值相平衡。在保護個人信息的同時必須兼顧大數據的發展。一味地鉗制大數據并不利于國家經濟發展，因此，轉向制定個人信息開放規范，對個人信息進行適度松綁，反而能夠兼顧二者的共同發展。一方面，此舉改變了巨量的個人信息被少數處理者所掌握的局面與境地，降低了壟斷造成的危害；另一方面，開放數據有助于提升個人信息透明化并創造出新的價值。例如，在經濟領域出現的開放銀行要求銀行開放客戶資料，改善銀行壟斷金融資料的現象，允許第三方合作伙伴在獲得客戶授權后存取賬戶資料，將金融資料主導權交還消費者，使消費者獲得更多元的金融服務。參見蔡鵬程：《賦能實體，開放銀行的另一條道路》，載搜狐網2022年7月28日，https：//www.sohu.com/a/572480954_116132。

有鑒于個人信息很大部分被政府部門掌握，政府開放數據對經濟增長、包容性發展和改善公眾參與的價值意義重大。出于為數據賦能的目的，應降低政府數據供公眾利用的難度。匿名化信息的共用在提升國家競爭力和科技創新發展方面發揮著重要作用。目前，中國現行政府數據開放規范多是各地方政府制定的規范性文件，如《浙江省公共數據開放與安全管理暫行辦法》《青島市公共數據開放管理辦法》《重慶市公共數據開放管理暫行辦法》等。以地方規范性文件規范數據開放行為雖然能推動數據開放，但是存在科學性、統一性不足的弊端，參見王東方：《政府數據開放規范的精細化構建——基于政府數據開放與政府信息公開的關系視角》，載《電子政務》2021年第10期，第29-30頁。因此，中國應當制定政府數據開放的相關法律。制定時應當遵循《政府信息公開條例》所規定的政府信息公開的基本原則——“公開為原則，不公開為例外”，堅持政府數據“開放為原則，不開放為例外”的開放路徑，以最大限度地保證數據生產要素的供給。參見王東方：《政府數據開放規范的精細化構建——基于政府數據開放與政府信息公開的關系視角》，載《電子政務》2021年第10期，第35頁。當然，“開放為原則，不開放為例外”的適用前提是，政府數據開放行為并不損害公共利益和私人利益。當為了實現公共利益而必須讓渡私人利益時，應受到比例原則比例原則是指行政主體實施行政行為時，應當兼顧行政目標的實現和行政相對人權益的保護，如果為實現行政目標可能對行政相對人權益造成某種不利影響，那么應使這種不利影響限制在盡可能小的范圍和限度內，保持二者處于適度的比例。參見莫于川主編：《案例行政法學》，中央廣播電視大學出版社2009年版，第34頁。的限制，例如，個人隱私利益應當向基于安全保障的公共利益讓渡，而政府基于公共利益開放數據時則不能損害個人利益。有學者將其總結為，在政府數據開放的具體情境中，基于公共利益對個人利益進行限制屬于法律適用，應結合具體情境動態判斷公共利益的內容和比例原則的適用。參見吳亞光：《政府數據開放中個人隱私信息的公開界限》，載《圖書館學研究》2020年第22期，第48頁。那么，如果開放政府數據不能實現公共利益，同時卻對私人利益造成損害，此類政府數據不應予以開放。總之，在制定開放規范時所開放的個人信息應當相應地滿足信息主體隱私期待并使個人信息受到尊重。參見翁清坤：《大數據對于個人資料保護之挑戰與因應之道》，載《東吳法律學報》2020年第3期，第136-137頁。另外，應進一步將個人隱私保護政策具體化，如設置專門的隱私保護機構以提供隱私政策咨詢和支持，任命隱私保護專業人員以負責可能涉及的隱私問題，在開放數據時進行隱私影響評估，參見黃如花、溫芳芳：《我國政府數據開放共享的政策框架與內容：國家層面政策文本的內容分析》，載《圖書情報工作》2017年第20期，第12頁。構建完善的隱私風險管理體系，細化風險識別機制、風險評估機制和風險控制機制，從而對數據的隱私風險進行量化、分析、減輕。參見梁乙凱、陳美：《美國隱私影響評估制度及其啟示》，載《情報資料工作》2022年第5期，第68頁。由此，平衡好個人信息“利用”和“保護”二者之間的關系，確保個人信息利用的合法化與合理化。

（二）采取牢固的匿名化技術以實現個人信息的“去連結性”

防止大數據侵害個人隱私權的有效措施是將個人信息進行匿名化以實現個人信息的“去識別性”所謂“去識別性”，是指數據保有者采用技術手段對其所保有的數據信息進行集中的篩查，將其中能夠識別特定個人身份的數據信息予以刪改的過程。參見張勇：《個人信息去識別化的刑法應對》，載《國家檢察官學院學報》2018年第4期，第96頁。和“去連結性”所謂“去連結性”，是指通過個人信息匿名化的技術措施有效削弱和去除信息與特定主體之間的關聯性。參見劉曉春、劉瑾：《個人信息匿名化標準的實踐和優化》，載《中國對外貿易》2023年第8期，第31頁。，然而，《個人信息保護法》對于“去識別性”的規定過于簡陋，對匿名化方法和技術也未作規定。《個人信息保護法》第4條將“可識別性”作為個人信息保護的界限，即受《個人信息保護法》保護的個人信息須具有“識別性”，以“識別性”作為個人信息保護該當性的要件，失去了識別性的信息被排除在《個人信息保護法》保護的范圍之外。而《個人信息保護法》第73條第4項僅規定了匿名化的含義。《個人信息保護法》第73條第4項規定：“匿名化，是指個人信息經過處理無法識別特定自然人且不能復原的過程。”因此，有必要采取“去識別性”的匿名化技術，建構與規范具體的匿名化制度，包括匿名化的程度、程序和監督機制。

個人信息匿名化是平衡數據價值與主體權益的重要手段，在技術層面，可以采用去中心化的匿名化方法和個性化匿名化方法。去中心化的匿名化方法Romana Talat amp; Mohammad S. Obaidat，et al.，A Decentralised Approach to Privacy Preserving Trajectory Mining，Future Generation Computer Systems，Vol.102：382，p.382（2020）.是基于區塊鏈系統，通過智能合約進行信息交互。相較于中心化的集中式結構，去中心化使得數據并不集中在任何一個中心節點或實體手中，而是建構了更扁平、更平等、更分散的結構，從而解決了單點故障和傳統匿名化技術中數據共享雙方的信任問題，有效保護了信息主體的隱私。個性化匿名化方法是針對現實世界中不同的隱私需求，允許信息主體自己控制和定義隱私數據的用途。現實中，每個主體的隱私保護需求、個人信息利用敏感程度等是不同的，更注重隱私的主體一般認為默認的匿名化等級難以滿足隱私保護需求，而另一些人則可能會覺得默認的匿名化等級過高，因此，統一的匿名化等級無法滿足不同主體的隱私保護需求。而個性化匿名化方法根據不同主體提供了不同的隱私級別，由信息主體自己控制數據發布的匿名化級別，以此滿足個人隱私需求和差異化保護。如此一來，既尊重了個人隱私偏好，又最大限度地發揮了數據的可用性。

在匿名化制度層面，值得借鑒參考的是日本《個人信息保護法》中的匿名加工制度，該法的第2條、第36條至第38條和第53條規定了匿名加工信息的制作、利用時應遵守的義務。具體而言，日本《個人信息保護法》第36條第1項日本《個人信息保護法》第36條第1項規定：“個人信息處理經營者在制作匿名化信息（僅限于匿名化信息數據庫等的組成信息，下同）時，應按照《個人信息保護委員會規則》規定的標準處理個人信息，以使其無法識別特定個人且無法恢復制作所用的個人信息。”規定，由個人信息保護委員會訂立規則和確定標準，按照《個人信息保護委員會規則》所規定的一般性最小限度的加工方法予以匿名加工。為了防止匿名化制度過于僵化，匿名加工方法不宜采用統一方式和劃定一致標準。不同業界匿名加工方法應考量其處理個人信息的內容、利用目的，因此，日本《個人信息保護法》第53條第1項日本《個人信息保護法》第53條第1項規定：“為確保其服務范圍內的經營者妥當處理個人信息等，針對利用目的說明、安全管理措施、披露等要求等的應對程序以及匿名化信息的制作方式、安全管理措施等個人信息相關事項，個人信息保護認證組織應征求消費者代表或其他相關人員的意見，努力制定符合本法規定的目的的指引（以下簡稱《個人信息保護指引》）。”規定實踐中各業界運用匿名加工方法，可以再委任個人信息保護認證組織制定《個人信息保護指引》作為團體自律性規范。為了避免個人信息保護認證組織在制定時過于片面，該條還規定了聽取消費者代表及其他相關人員的意見，參見范姜真媺：《大數據時代下個人資料范圍之再檢討——以日本為借鏡》，載《東吳法律學報》2017年第2期，第16-18頁。在此基礎上制定出匿名加工規則，建立互信的匿名加工制度，完全切斷特定主體與個人信息內容的連結性，減少大數據對個人信息和個人隱私的侵害。通過匿名化技術的應用以及具體的匿名化制度，共同構建牢固的個人信息保護路徑，有效削弱和去除信息與特定主體之間的關聯性，實現個人信息的“去連結性”。

（三）將個人信息保護影響評估作為保護個人信息的有效工具

大數據時代個人信息保護影響評估作為事前防范機制比以往任何時候都更加重要。參見梁乙凱、陳美：《英國數據保護影響評估制度及其啟示》，載《情報理論與實踐》2022年第7期，第202頁。事前性的合規評估和風險評估程序能夠預測個人信息處理活動的結果，提前為個人信息安全提供預防性保護措施，降低個人信息安全風險。為此，2020年中國出版了《信息安全技術 個人信息安全影響評估指南（GBT39335—2020）》（簡稱《指南》），該指南建構了一個框架，旨在為個人信息安全影響評估提供基本原理和操作步驟等，并且明確了個人信息安全影響評估的國家標準，更加具體地幫助評估組織識別和減輕個人信息處理的相關風險，為個人信息保護提供實質性的工具。隨后，2021年《個人信息保護法》第55條《個人信息保護法》第55條規定：“有下列情形之一的，個人信息處理者應當事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權益有重大影響的個人信息處理活動。”規定了個人信息保護影響評估的“適用情形”，第56條第1款《個人信息保護法》第56條第1款規定：“個人信息保護影響評估應當包括下列內容：（一）個人信息的處理目的、處理方式等是否合法、正當、必要；（二）對個人權益的影響及安全風險；（三）所采取的保護措施是否合法、有效并與風險程度相適應。”規定了個人信息保護影響評估的“具體內容”，這兩項主要條款標志著個人信息保護影響評估制度初步確立，以及該制度從推薦性要求上升為信息處理者的法定義務，這也揭示了個人信息保護影響評估旨在防止或最大限度減輕不利影響，并形成事前預測，根據評估結果制定針對性的應對方案，在處理個人信息活動時預防風險的發生和不利后果。參見陳朝兵、郝文強：《作為政府工具的隱私影響評估：緣起、價值、實施與啟示》，載《中國行政管理》2020年第2期，第146頁。

《個人信息保護法》只是初步回答了哪些情形應當予以個人信息保護影響評估，以及評估涉及哪些內容。為了使評估結果更加客觀、有效，理應科學合理地設定個人信息保護影響評估程序，在此可以參考《指南》中規定的個人信息安全影響評估實施的九個步驟，即（1）評估必要性分析；（2）評估準備工作；（3）數據映射分析；（4）風險源識別；（5）個人權益影響分析；（6）安全風險綜合分析；（7）評估報告；（8）風險處置和持續改進；（9）制定報告發布策略。其中，（3）至（8）是評估的主體內容，數據映射分析是評估的基礎性工作，通過此步驟確定評估對象。在這一過程中可以采用問卷、調研、走訪等方式，多維度地梳理個人信息處理活動，形成數據清單及數據映射圖表，從而確定評估內容和范圍；此步驟之后需要對所涉風險進行識別和分析，主要從《指南》中規定的安全事件和個人權益影響兩個維度進行分析，前者側重于識別可能面臨的危險源及是否采取安全措施，后者側重于識別對個人權益造成的不利影響；接下來是綜合評估，在前述步驟基礎上綜合衡量并得出個人信息處理活動的風險等級，根據風險等級進一步采取相應措施，進行風險管控和處置，確保風險始終在可控范圍之內。與此同時，整個評估程序應當特別重視“參與程序、復審程序、事先咨詢程序和公開程序”。參見劉權：《論個人信息保護影響評估——以〈個人信息保護法〉第55、56條為中心》，載《上海交通大學學報（哲學社會科學版）》2022年第5期，第46頁。

（四）以“實質性參與”作為告知同意原則的完善路徑

無論是在未提供告知下毫不知情地收集個人信息，還是告知同意原則囿于晦澀難懂的技術性語言成為擺設，以及個人信息脫離最初收集目的而無法回溯獲得授權，都將導致告知同意原則被架空。當下，告知同意原則已經備受質疑，甚至被認為已然失效。控制個人信息的利用環節可能是更為有效的方式，這也更符合用戶的隱私偏好與期待。參見范為：《大數據時代個人信息保護的路徑重構》，載《環球法律評論》2016年第5期，第109頁。然而，也有學者認為，告知同意原則以人格尊嚴為基礎，以尊重人本身的判斷和選擇為前提，因此，在設置告知同意時，應將人視為目的而非手段、尊重個人用戶的理性判斷和選擇。參見馮健鵬：《個人信息保護制度中告知同意原則的法理闡釋與規范建構》，載《法治研究》2022年第3期，第38頁。告知同意原則源于憲法對人格尊嚴的保護，不能否定該原則在個人信息保護中的重要地位。除《個人信息保護法》建構的告知同意原則的基本規范體系外，還應當塑造精細化的、實質性參與的告知同意原則，充分實現信息主體的知情權與同意權。參見翁清坤：《大數據對于個人資料保護之挑戰與因應之道》，載《東吳法律學報》2020年第3期，第139-140頁。

具體而言，在告知層面，對告知協議的形式和內容作出限定，盡可能以簡短、精煉的語言進行告知。網絡平臺提供告知時，可以藉由code或裝置本身提供隱私通知。不閱讀用戶隱私通知政策、隱私政策通知的冗長晦澀以及選擇“不同意”將失去使用的權利，其實質均是沒有選擇權。對于這種情形，為了充分實現信息主體的知情權，保障其充分參與，隱私通知應當清楚簡化。歐盟《通用數據保護條例》（General Data Protection Regulation）鼓勵“資訊須簡潔，易于取得及理解，用語清楚簡明，且可適時視覺化”。關于沒有提供告知的情形或較難提供告知時，應提供創新性的隱私通知方式，通過多樣化的方式充分保障信息主體的知情權。信息處理者的告知義務對應著信息主體的知情權，以公共場所的視頻監控為例，出于對知情權的保護，應當作出監控設備的提示。告知方式的創新，有利于信息主體實質性地參與個人信息收集與處理的過程，有助于大數據時代下個人隱私保護意識的提高。如果大數據對個人信息的非預期利用使得個人信息脫離最初收集目的，信息處理者有義務更新隱私通知，持續、動態地征求信息主體同意，確保信息主體知悉并且作出是否同意個人信息被新目的利用的決定。總之，信息主體的實質性參與是保障知情同意原則實施的根本。創新隱私通知政策，為信息主體提供富有實效意義的隱私通知，盡早告知信息利用的目的，保障個人信息主體的權益，是大數據時代應堅守之道。

四、結語

大數據技術的飛速發展對個人信息保護提出了新的要求。一方面，大數據快速收集與儲存各種來源的個人信息，其范圍不僅局限于互聯網，還包括越來越多傳統的數據集。另一方面，通過信息處理技術，個人信息之間被不斷地建立關聯、重復利用，甚至脫離最初的收集目的，被流轉至第三方手中。盡管大數據時代下個人信息權益保護遭遇了

前所未有的挑戰，然而，如果為了保護個人信息而制約大數據發展，其所帶來的負面影響將輻射整個社會。大數據的創新應用是社會發展的驅動力，因此，個人信息保護與大數據發展必須同時兼顧。《個人信息保護法》的立法目的強調了個人信息權益保護和個人信息合理利用的平衡，二者不可偏廢。個人信息的安全價值和利用效率價值同等重要，因此，“大數據時代，個人信息法律保護不是單純的權利實現，而是要在個人信息有效利用與權利行使之間尋找平衡”，王秀哲：《大數據時代個人信息法律保護制度之重構》，載《法學論壇》2018年第6期，第121頁。為兼顧大數據發展與隱私保護義務，應當制定個人信息開放規范以促進大數據發展，采取牢固的匿名化技術以實現個人信息的“去連結性”，將個人信息保護影響評估作為保護個人信息的有效工具，以“實質性參與”作為告知同意原則完善的路徑取向，由此實現個人信息保護和利用的雙重目的。

The Operation Mode， Theoretical Dilemma and Protection Path of Personal Information in the Era of Big Data

XUE Wujuan

（School of Politics and Public Administration，China University of Political Science and Law，Beijing 100088，China）

Abstract：The rapid development and continuous application of big data technology have brought about a disruptive shift in the mode of operation of personal information， that is， personal information can be collected in huge quantities and recycled. On the one hand， big data rapidly collects and stores personal information from a variety of sources， not limited to the Internet， but also including data sets. On the other hand， through information processing technologies， personal information is constantly linked to each other and is not only used to answer or analyze the specific question， but also reused out of structured databases. In some cases， it is even transferred to a third party and recycled for purposes other than those for which it was originally collected. In this process， personal information is subject to the infringement of an individual’s personality， which is precisely the nature of the risk and the difficulty of protecting personal information in the era of big data. With the cumulative effect of personal information， big data can correlate unknown information， and its inappropriate application poses the risk of violating the right to self-determination and the right to privacy of personal information. On the one hand， the identification of big data can capture personal privacy， and the related automated decision-making can void the right to personal self-determination， and big data can also derive anonymous information or sensitive information. On the other hand， improper use of big data may conflict with the principles of protection set forth in the Personal Information Protection Law. For example， the principle of clarity of purpose， the principle of minimization， the principle of informed consent， and the principle of transparency of personal information. The rights and interests of personal information in the era of big data are facing unprecedented challenges， but if the development of big data is restricted in order to protect personal information， the negative impact will radiate to the whole society and the country. The innovative application of big data is the driving force， which can produce huge economic and social effects. Therefore， the protection of personal information and the development of big data must be taken into account at the same time. Firstly， the “open norms” of personal information should be formulated. The fact that most of the personal information is held by the governmental departments， and the government should adhere to the principle of “openness as a principle and no openness as an exception” and open data for public use， especially anonymous information， which plays an important role in enhancing national competitiveness and the development of science and technolgy. Secondly， solid anonymous techniques are adopted to de-anonymize personal information. For example， decentralized approach and personalized anonymity approach. Thirdly， we should utilize personal information protection impact assessment as an effective tool for protecting personal information， so that the results of personal information processing activities can be predicted and the risk of personal information security can be reduced through prior compliance assessment and risk assessment procedures. Lastly， the principle of informed consent should be improved through “substantive participation”， and the form and content of the informed agreement should be limited， so that substantive information is provided in as short and concise a language as possible.

Key words：personal information；big data；right to privacy；Personal Information Protection Law

基金項目：2021年度國家社科基金一般項目“行政法上第三人的權利保護”（21BFX050）

作者簡介：薛悟娟，女，法學博士，中國政法大學政治與公共管理學院博士后。