王秀哲

(遼寧大學(xué) 法學(xué)院，遼寧沈陽 110136)

世界范圍內(nèi)看，個人信息的法律保護(hù)伴隨著計算機(jī)信息技術(shù)的發(fā)展而成熟，出現(xiàn)了以美國為代表的行業(yè)自律和以歐盟為代表的統(tǒng)一立法保護(hù)模式。但是大數(shù)據(jù)技術(shù)改變了個人信息生產(chǎn)、使用的樣態(tài)，從而使個人信息法律保護(hù)的內(nèi)容、模式等面臨新的挑戰(zhàn)。近年來，我國網(wǎng)絡(luò)信息化技術(shù)發(fā)展突飛猛進(jìn)，遺憾的是，我國個人信息的法律保護(hù)在理論和實踐上均不成熟，個人信息的有序利用和權(quán)利保護(hù)越發(fā)成為社會的焦點，理論上，學(xué)者們始終堅持推進(jìn)個人信息專門立法保護(hù)，實踐中，以刑法為先鋒的分散立法被動應(yīng)對個人信息無序利用引發(fā)的社會亂象，由此導(dǎo)致了我國本就先天不足的個人信息法律保護(hù)在大數(shù)據(jù)時代無所作為。由于大數(shù)據(jù)之前的信息時代(本文簡稱“前信息時代”*通常認(rèn)為，信息時代開始于20世紀(jì)中期計算機(jī)的發(fā)明和使用。2012年被看成是大數(shù)據(jù)的正式啟蒙之年(參見馮海超：《大數(shù)據(jù)時代正式到來》，載《互聯(lián)網(wǎng)周刊》2012年第24期)。大數(shù)據(jù)時代，信息的收集處理發(fā)生了質(zhì)的變化，為了突出大數(shù)據(jù)時代特色，本文把大數(shù)據(jù)之前的信息時代簡稱為“前信息時代”，這一用法也可參見范為：《數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。)的個人信息法律保護(hù)理論無法有效地應(yīng)對大數(shù)據(jù)技術(shù)浪潮的沖擊，我國個人信息法律保護(hù)制度的建構(gòu)必須擺脫已有理論的慣性制約，直面大數(shù)據(jù)技術(shù)挑戰(zhàn)，從整體制度建構(gòu)層面進(jìn)行重構(gòu)。

一、大數(shù)據(jù)時代個人信息法律保護(hù)面臨的新挑戰(zhàn)

大數(shù)據(jù)時代是一個網(wǎng)絡(luò)生活全覆蓋的時代，網(wǎng)絡(luò)用戶是主動的信息和數(shù)據(jù)生產(chǎn)者，“每天有大量信息被用戶利用自己的剩余時間生產(chǎn)出來，同時吸引更多的用戶，通過網(wǎng)絡(luò)效應(yīng)增加網(wǎng)站的價值。”*胡凌：《網(wǎng)絡(luò)法的政治經(jīng)濟(jì)起源》，上海財經(jīng)大學(xué)出版社2016年版，第35頁。信息主體源源不斷生產(chǎn)和輸送的個人信息，通過大數(shù)據(jù)挖掘技術(shù)得到整合利用，也完成了數(shù)據(jù)人格塑造和現(xiàn)代權(quán)力控制。

(一)數(shù)據(jù)人格塑造

所謂數(shù)據(jù)人格就是個人被信息化，所有的個人事務(wù)和行動都變成了數(shù)據(jù)，由網(wǎng)絡(luò)數(shù)據(jù)完整描述個人人格。具體而言，大數(shù)據(jù)時代，網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的組成部分，隨身佩戴的手表、飾物、手機(jī)抑或公共場所安裝的攝像頭都在不斷把個人數(shù)據(jù)化，每個人都是一堆數(shù)據(jù)，通過數(shù)據(jù)和他人、社會溝通，數(shù)據(jù)取代物理世界的行為成為人格的標(biāo)識和標(biāo)簽。不僅個人靜態(tài)的身份信息儲存在各種數(shù)據(jù)庫中，個人的行蹤軌跡、行為痕跡也都留在了網(wǎng)絡(luò)上，只要上網(wǎng)，無論是工作、學(xué)習(xí)還是購物、娛樂，所有的信息都成為各種數(shù)據(jù)庫收集的素材，而且精準(zhǔn)記憶、永不遺忘。學(xué)術(shù)界有關(guān)遺忘權(quán)的探討正是對這種網(wǎng)絡(luò)記錄永久性的回應(yīng)，雖然可以在法律和制度設(shè)計上提議保護(hù)遺忘權(quán)，但是，大數(shù)據(jù)技術(shù)的直接后果卻是無法遺忘。[注]參見邵國松：《“被遺忘的權(quán)利”：個人信息保護(hù)的新問題及對策》，載《南京社會科學(xué)》2013年第2期。

大數(shù)據(jù)時代的數(shù)據(jù)人格塑造并不是簡單停留在數(shù)據(jù)記錄和整合上，通過對海量碎片化數(shù)據(jù)進(jìn)行挖掘，形成對個人的偏好、性格、行為的精準(zhǔn)分析和預(yù)測，從而完成數(shù)據(jù)人格的深度塑造。由此，商家能夠針對數(shù)據(jù)人格進(jìn)行精準(zhǔn)營銷；而政府則能夠有效進(jìn)行社會秩序維護(hù)和治理，隨著技術(shù)的進(jìn)步，甚至可以做到在預(yù)測個體行為的基礎(chǔ)上消滅犯罪于萌芽狀態(tài)。數(shù)據(jù)人格塑造會帶來個人信息泄露、隱私曝光、不平等和歧視待遇、扭曲和異化真實人格等風(fēng)險，而當(dāng)數(shù)據(jù)人格成為大數(shù)據(jù)時代的生活常態(tài)時，無處不在的監(jiān)控與控制也便形成。

(二)現(xiàn)代權(quán)力控制

以權(quán)利對抗權(quán)力的法律構(gòu)造是近代以來法治建設(shè)的核心內(nèi)容，對權(quán)力先天敏感的美國人早就把計算機(jī)信息化發(fā)展帶來的社會權(quán)力控制比喻為“big brother”，“警察機(jī)關(guān)與情報機(jī)構(gòu)掌握了個人信息的計算機(jī)存儲系統(tǒng)，大大提高了國家機(jī)關(guān)的監(jiān)控能力?！盵注]Abb Mowshowitz. “Social Control and the Network Marketplace”, in David Lyon & Elia Zureik eds. Computers, Surveillance, And Privacy 79, 1996, p95-96.但是，大數(shù)據(jù)時代的權(quán)力控制并不僅限于國家公權(quán)力，包括私營部門的數(shù)據(jù)利用帶來了新的權(quán)力控制問題。美國學(xué)者索洛韋伊利用卡夫卡的小說《審判》作為隱喻，形象表達(dá)了現(xiàn)代權(quán)力控制帶來的隱憂?！秾徟访鑼懥艘粋€官僚主義、殘酷冷漠、專制武斷、滅絕人性的訴訟過程，這與我們今天面臨的數(shù)據(jù)庫問題極其相似，人們無法在事實上參與、左右別人收集與使用其信息的行為，因此而感到無助而脆弱。這一隱喻意味著，他人完全無法對已經(jīng)失控的個人信息使用進(jìn)行任何控制，即便沒有秘密被揭露、沒有人在監(jiān)視，隱私權(quán)也會受到侵犯。[注]參見[美]丹尼爾·J.索洛韋伊：《隱私權(quán)與權(quán)力：計算機(jī)數(shù)據(jù)與信息性隱私權(quán)隱喻》，孫言譯，載張民安主編：《信息性隱私權(quán)研究——信息性隱私權(quán)的產(chǎn)生、發(fā)展、適用范圍和爭議》，中山大學(xué)出版社2014年版，第118-119頁、第159頁。正如“審判”隱喻所昭示的那樣，網(wǎng)絡(luò)社會，我們無處可逃，又無法知道厄運什么時候會到來。這種擔(dān)心和恐懼比直接的權(quán)力侵犯更為可怕。

后現(xiàn)代哲學(xué)家?？聦ΜF(xiàn)代權(quán)力控制的研究頗為深刻，他認(rèn)為自由主義特色的權(quán)利根本無力對抗以規(guī)訓(xùn)為特征的現(xiàn)代權(quán)力，反而會淪為后者的附庸。?？略凇兑?guī)訓(xùn)與懲罰》中詳述了以規(guī)訓(xùn)為特征的現(xiàn)代權(quán)力，強(qiáng)調(diào)通過日常生活中的各種細(xì)節(jié)與習(xí)慣重塑來規(guī)訓(xùn)大眾。此舉逐漸演變出一種關(guān)注細(xì)枝末節(jié)的規(guī)訓(xùn)權(quán)力( disciplinary power) 。其典型運作方式如監(jiān)禁，通過對犯人身體的監(jiān)視、訓(xùn)練與矯正來制造“馴順的身體”。類似運作遍布于學(xué)校、軍隊、工廠、醫(yī)院乃至家庭等各種社會場所，最終在古典時期末期促成了一個規(guī)訓(xùn)社會。[注]參見[法]米歇爾·?？拢骸兑?guī)訓(xùn)與懲罰》，生活·讀書·新知三聯(lián)書店1999年版，第235頁。如果說，?？旅枋龅囊?guī)訓(xùn)社會還依賴行為的矯正和訓(xùn)練，大數(shù)據(jù)時代則通過網(wǎng)絡(luò)依附實現(xiàn)了?？滤枋龅默F(xiàn)代權(quán)力控制?！巴ㄟ^賬戶，賽博空間和現(xiàn)實世界中的主體被聯(lián)系起來，通過網(wǎng)上的活動穩(wěn)定地積累數(shù)據(jù)，依據(jù)數(shù)據(jù)對其場景化行為的評價反過來進(jìn)一步成為影響其未來活動的重要約束力量。”[注]胡凌：《超越代碼：從賽博空間到物理世界的控制/生產(chǎn)機(jī)制》，載《華東政法大學(xué)學(xué)報》2018年第1期。當(dāng)一站式服務(wù)成功吸附用戶時，用戶對互聯(lián)網(wǎng)巨頭的依賴便可以形成；而國家以公權(quán)力為后盾對網(wǎng)絡(luò)的介入，更可以實現(xiàn)全面的數(shù)據(jù)獲取和使用。所以，現(xiàn)代社會中的個人不但處于國家權(quán)力的虎視眈眈下，更處于現(xiàn)代權(quán)力這一“柔性極權(quán)主義”之中。[注]參見孫祥：《超越的困境：?？碌臋?quán)利政治觀》，載《求索》2014年第5期。面對無處不在的、不僅僅是國家權(quán)力、還包括社會組織通過掌控個人信息實現(xiàn)的現(xiàn)代權(quán)力控制，傳統(tǒng)上以明確使用者責(zé)任進(jìn)而保護(hù)個人信息權(quán)利的做法已經(jīng)無法適應(yīng)大數(shù)據(jù)時代要求，必須進(jìn)行反思與重構(gòu)。

二、前信息時代個人信息法律保護(hù)的理論缺陷

從計算機(jī)儲存和處理個人信息開始，歐美國家就開始對其進(jìn)行法律保護(hù)，形成了可識別性定義、以控制為核心的權(quán)利保護(hù)以及圍繞知情同意確立利用原則等個人信息法律保護(hù)制度模式。但是，在大數(shù)據(jù)技術(shù)面前，前信息時代發(fā)展起來的個人信息保護(hù)理論明顯不適應(yīng)時代發(fā)展的要求，帶有難以克服的缺陷。

(一)可識別性個人信息界定的困境

界定什么是個人信息，這是前信息時代個人信息法律保護(hù)制度建構(gòu)的起點。早在1980年《OECD委員會關(guān)于管理隱私保護(hù)和個人數(shù)據(jù)跨疆界流動的指導(dǎo)原則的建議書》就把“個人數(shù)據(jù)”[注]歐盟立法中保護(hù)的是個人數(shù)據(jù)，個人數(shù)據(jù)與個人信息在法律保護(hù)的層面具有同等的含義。具體解讀可參見郭瑜：《個人數(shù)據(jù)保護(hù)法研究》，北京大學(xué)出版社2012年版，第127頁。界定為“與確定的和可以確定的個人相關(guān)的任何信息”，1981年歐洲理事會通過的《有關(guān)個人數(shù)據(jù)自動化處理的個人保護(hù)協(xié)定》第2條定義“個人數(shù)據(jù)”為：“指與已識別或可識別的個人(數(shù)據(jù)主體)相關(guān)的任何信息”；歐盟1995年《個人數(shù)據(jù)保護(hù)指南》進(jìn)一步對識別性做了直接和間接性的區(qū)分。美國的《隱私權(quán)法》中雖沒有直接界定個人信息，但是，就國家機(jī)關(guān)保管的個人檔案給出了和個人情況相聯(lián)系的識別性定義。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護(hù)法匯編》，法律出版社2006年版，第12、44、308頁。通讀各國已經(jīng)制定的個人信息保護(hù)法，可識別性是定義個人信息(數(shù)據(jù))的普遍做法。我國學(xué)者在借鑒吸收國外個人信息保護(hù)立法的基礎(chǔ)上，也提出了可識別性個人信息定義的方法。[注]參見齊愛民：《個人信息保護(hù)法研究》，載《河北法學(xué)》2008年第4期。

但是大數(shù)據(jù)技術(shù)帶來了可識別性操作的困境。一方面，可識別性個人信息的范圍不斷擴(kuò)大。大數(shù)據(jù)時代，個人日?；顒拥乃泻圹E幾乎都在網(wǎng)絡(luò)中被記錄，零散的個人信息記錄看似不相關(guān)，但通過數(shù)據(jù)挖掘技術(shù)，原來被認(rèn)為不能識別到個人或者匿名化不被識別的信息都能夠識別到個人，比如網(wǎng)絡(luò)匿名購物記錄不能識別到個人，但是與瀏覽地址、網(wǎng)購地址相連就能識別到個人。另一方面，個人信息權(quán)利受侵犯不以可識別性為限。大數(shù)據(jù)時代，個人信息的價值通過量的積累體現(xiàn)出來，打包處理的某一類個人信息雖然不以識別個人為目的，但是類別化處理后的類型化對待也會造成對個人信息主體權(quán)利的侵害，比如根據(jù)購物、網(wǎng)頁瀏覽偏好設(shè)計的定向營銷廣告、新聞等的推送，會侵犯被推送者生活安寧以及完整獲取信息權(quán)等權(quán)益。

可識別性界定個人信息的困境已經(jīng)引起了歐美學(xué)者的重視。美國學(xué)者Paul Ohm 認(rèn)為，“識別個人身份的信息”這個概念存在致命的缺陷，必須在信息隱私法領(lǐng)域找出一個新的術(shù)語代替這個詞。[注]參見Pauo Ohm. “Broken Promises of Privacy”, 57 UCLA L. REV. 2010, p1701.索洛韋伊對這一問題也有專門的研究，其深入論證了“可以識別個人身份的信息”這一定義在技術(shù)面前的困境，并給出了第二版識別性定義，認(rèn)為“可以識別個人身份的信息”包含“已經(jīng)被識別個人的”數(shù)據(jù)和“可以用來識別個人身份”的數(shù)據(jù)兩部分，對這兩部分應(yīng)區(qū)分對待，關(guān)鍵是要將信息和他人身份被識別的風(fēng)險聯(lián)系起來。[注]參見[美]保羅·M.施瓦茨，丹尼爾·J.索洛韋伊：《隱私權(quán)和“可以識別個人身份的信息”》，黃淑芳譯，載張民安主編：《信息性隱私權(quán)研究——信息性隱私權(quán)的產(chǎn)生、發(fā)展、適用范圍和爭議》，中山大學(xué)出版社2014年版，第438-502頁。索洛韋伊的第二版定義引入了大數(shù)據(jù)時代個人信息利用的風(fēng)險要素，實現(xiàn)了從事前的靜態(tài)已識別到動態(tài)的可識別的突破。與此同時，可識別性個人信息界定也開始在相關(guān)立法中做出調(diào)整。2015年2月，美國政府正式發(fā)布《消費者隱私權(quán)利法案(草案)》，[注]參見F．T．C．“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Businesses and Policymak-ers-Preliminary FTC Staff Report “,2010. http://www.ftc.gov/os/2010/12/101201privacyreport.pdf. 2018-04-18.其中將個人信息定義為“能夠連結(jié)(link)到特定個人或設(shè)備的信息”，相較于歐盟指令及《數(shù)據(jù)保護(hù)通用條例》中抽象的“識別性”(identifiable)，更進(jìn)一步指出個人信息“關(guān)聯(lián)性”(linkable)的特征，且將范圍拓展到和可識別性毫無關(guān)聯(lián)的“設(shè)備”( device) 的規(guī)定，體現(xiàn)了基于大數(shù)據(jù)時代個人信息范圍擴(kuò)展的考量，是難能可貴的進(jìn)步。[注]參見范為：《數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。

大數(shù)據(jù)時代可識別性個人信息界定面臨的困境是由個人信息保護(hù)客體與個人信息主體關(guān)系的變化引起的。在前信息時代，個人信息來自對個人身份的靜態(tài)記錄，通過個人信息還原確定個人身份，所以，個人信息的可識別性至關(guān)重要；而大數(shù)據(jù)時代，個人信息是個人行為的動態(tài)記錄，通過個人信息的匯聚，進(jìn)一步豐富和完善數(shù)據(jù)人格圖像。前信息時代，個人信息是可以與個人相分離的一種客觀存在，通過去除身份就可以實現(xiàn)防止隱私受侵害的風(fēng)險；而大數(shù)據(jù)時代個人信息與動態(tài)化個人行為緊密相連，無論是否具有身份識別性都能夠產(chǎn)生隱私侵犯風(fēng)險。例如，不具有身份識別性的“設(shè)備序列號”，因其對用戶行為信息的關(guān)聯(lián)和綁定作用，能夠構(gòu)建設(shè)備持有者人格圖像或?qū)ζ湫纬勺粉櫟目赡苄?，并不能把其絕對排除在個人信息保護(hù)的范圍之外。[注]參見范為：《大數(shù)據(jù)時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。

理論和實踐已經(jīng)表明，大數(shù)據(jù)時代，可識別性個人信息界定對個人信息保護(hù)和信息的有效利用的阻礙作用越來越明顯，“國際社會在個人信息的界定上基本形成了以可識別性為核心判定標(biāo)準(zhǔn)的共識；但個人信息界定的動態(tài)性和場景性不僅帶來了司法認(rèn)定上的困難，也使企業(yè)在匿名化處理問題上無所適從?！盵注]齊愛民、張哲：《識別與再識別：個人信息的概念界定與立法選擇》，載《重慶大學(xué)學(xué)報(社會科學(xué)版)》2018年第2期。所以，個人信息法律保護(hù)不宜確定僵化的客體，而應(yīng)適應(yīng)大數(shù)據(jù)時代個人信息開發(fā)利用的現(xiàn)實需要，確立個人信息動態(tài)保護(hù)范圍。

(二)以控制為核心的個人信息權(quán)利異化

前信息時代個人信息法律保護(hù)的核心是個人對其信息的控制，其主要從屬于隱私權(quán)，其后在大數(shù)據(jù)變革中，又?jǐn)U展納入財產(chǎn)權(quán)保護(hù)范圍。但是，大數(shù)據(jù)時代數(shù)據(jù)人格塑造和現(xiàn)代權(quán)力控制導(dǎo)致無論是隱私權(quán)還是財產(chǎn)權(quán)角度的個人信息控制權(quán)均能出現(xiàn)異化。

把個人信息自我控制作為隱私權(quán)保護(hù)的一個內(nèi)容是美國的典型做法。在美國，信息性隱私權(quán)是指他人所享有的能夠控制其信息流動的權(quán)利，[注]參見Ian Goldberg et al. “Trust, Ethics, and Privacy”, 81 B.U.L. REV. 2001. p418.在以權(quán)利對抗權(quán)力的傳統(tǒng)法律架構(gòu)下，通過個人信息的自我控制防止政府權(quán)力濫用造成對個人隱私的侵害。與美國擴(kuò)展隱私權(quán)保護(hù)范圍的做法不同，歐陸國家是通過制定個人數(shù)據(jù)保護(hù)法實現(xiàn)對個人信息的專門保護(hù)的，個人數(shù)據(jù)保護(hù)法中明確了個人數(shù)據(jù)自決權(quán)，這是以獨立權(quán)利的方式對個人信息自我控制權(quán)能的保護(hù)。因為個人數(shù)據(jù)保護(hù)法的立法目的指向隱私權(quán)，歐陸國家的個人數(shù)據(jù)自決權(quán)是與隱私權(quán)保護(hù)密切相關(guān)的人格權(quán)?？傮w上看，美歐國家與隱私權(quán)相關(guān)聯(lián)的個人信息控制權(quán)強(qiáng)調(diào)的是對個人獨立人格利益的保護(hù)，無論這種利益是個人尊嚴(yán)還是自由。[注]參見James Q. Whitman. “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 ( 6 ) Yale Law Journal 2004, p1221．但是，大數(shù)據(jù)時代的數(shù)據(jù)化生活，讓自我控制意義上的隱私期待逐漸消退，“通訊與加強(qiáng)監(jiān)控的科學(xué)技術(shù)的普及、政府進(jìn)一步加強(qiáng)對隱私的監(jiān)控以及商業(yè)化信息收集技術(shù)的不斷進(jìn)步，獲得他人隱私成為一種致富、成名的手段……社會公眾以廉價的方式消費他人的隱私信息、窺視他人私人生活，社會公眾的隱私期待被進(jìn)一步削弱?！盵注][美]肖恩·B.斯賓塞：《隱私期待與隱私權(quán)的消退》，孫言譯，載張民安主編：《美國當(dāng)代隱私權(quán)研究——美國隱私權(quán)的界定、類型、基礎(chǔ)以及分析方法》，中山大學(xué)出版社2013年版，第482-483頁。當(dāng)交換與出讓個人信息成為數(shù)據(jù)化生活的常態(tài)時，個人控制意義上的個人信息保護(hù)主張試圖轉(zhuǎn)為強(qiáng)調(diào)與依賴財產(chǎn)權(quán)實現(xiàn)。

作為人格權(quán)的隱私權(quán)和個人資訊自決權(quán)本來注重保護(hù)的是人的自由和尊嚴(yán)等精神利益，基于科技的進(jìn)步和大眾傳媒的發(fā)展，人格的很多標(biāo)志，在很大范圍內(nèi)可以在經(jīng)濟(jì)上加以利用，個人信息的經(jīng)濟(jì)價值就是其中一種，在這種思路下，個人信息的財產(chǎn)權(quán)利主張浮出水面。個人信息財產(chǎn)權(quán)保護(hù)是從個人信息的資源性特征出發(fā)，順應(yīng)信息社會個人信息自由流通的現(xiàn)實，試圖拯救單純的隱私性個人信息控制無力，旨在恢復(fù)主體自主控制權(quán)的一種努力。美國學(xué)者Alan Westin認(rèn)為：“被視為涉及個人私人人格的決定權(quán)的個人信息，應(yīng)當(dāng)被定義為一種財產(chǎn)權(quán)。”[注]Westin A. “Privacy and Freedom”. New York: Athe-num.1967, p324.如果個人信息是能夠產(chǎn)生實際價值的物質(zhì)，那么對于其的控制和支配就超出了人格權(quán)的范圍，而應(yīng)當(dāng)屬于財產(chǎn)權(quán)范疇。我國學(xué)者劉德良也認(rèn)為，“個人信息財產(chǎn)權(quán)是主體對其個人信息的商業(yè)價值進(jìn)行支配的一種新型財產(chǎn)權(quán)，它能且只能存在于對個人信息進(jìn)行商業(yè)性使用的條件下。在信息時代，個人信息具有潛在的商業(yè)價值故而都應(yīng)該受到財產(chǎn)權(quán)的保護(hù)?！盵注]劉德良：《個人信息的財產(chǎn)權(quán)保護(hù)》，載《法學(xué)研究》2007年第3期。但是，通過財產(chǎn)權(quán)實現(xiàn)對個人信息的保護(hù)依然面臨現(xiàn)實困境。從大數(shù)據(jù)時代個人信息收集利用的現(xiàn)實看，由于大數(shù)據(jù)利用的資源累積效用，個體用戶希望擁有的對自身數(shù)據(jù)的控制力(例如透明性)和財產(chǎn)權(quán)(處分、收益)，事實上價值微不足道，而且個體獲得免費網(wǎng)絡(luò)服務(wù)的同時，并不在乎對自身數(shù)據(jù)進(jìn)行財產(chǎn)權(quán)控制，即使設(shè)定個體對個人信息的財產(chǎn)權(quán)，也只能是限制數(shù)據(jù)的流通而不會促進(jìn)個人信息的保護(hù)。大數(shù)據(jù)時代的個人信息財產(chǎn)權(quán)更多體現(xiàn)為集體性數(shù)據(jù)池(data pool)的占有和使用，[注]參見胡凌：《超越代碼：從賽博空間到物理世界的控制/生產(chǎn)機(jī)制》，載《華東政法大學(xué)學(xué)報》2018年第1期。是平臺建構(gòu)數(shù)據(jù)庫勞動的結(jié)果，財產(chǎn)權(quán)的主體是數(shù)據(jù)收集利用組織，這與事實上平臺需要占有數(shù)據(jù)庫從而實現(xiàn)商業(yè)盈利聯(lián)系在一起。[注]參見胡凌：《商業(yè)模式視角下的信息/數(shù)據(jù)產(chǎn)權(quán)》，載《上海大學(xué)學(xué)報(社會科學(xué)版)》2017年第6期。因此，大數(shù)據(jù)時代以個人財產(chǎn)權(quán)方式保護(hù)數(shù)據(jù)信息并促進(jìn)其使用是低效率的，也因此有學(xué)者主張個人信息應(yīng)該作為公共產(chǎn)品進(jìn)行保護(hù)。[注]參見吳偉光：《大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)信息私權(quán)保護(hù)論批判》，載《政治與法律》2016年第7期。

總之，以個人控制為核心的個人信息權(quán)利保護(hù)，經(jīng)歷了依賴隱私合理期待和個人財產(chǎn)保護(hù)的發(fā)展歷程，但面對大數(shù)據(jù)技術(shù)下個人信息全方位收集和無限次利用，個人信息早已脫離了信息主體的實際控制，個人控制這種核心權(quán)能已經(jīng)無法發(fā)揮作用，個人信息的控制主體已經(jīng)從個人變?yōu)樯鐣M織和政府機(jī)構(gòu)，控制權(quán)能也已經(jīng)從個人實際掌控變?yōu)榻M織責(zé)任承擔(dān)。大數(shù)據(jù)時代，當(dāng)個人信息實際上由個人不間斷的生產(chǎn)而又脫離個人控制時，個人信息的社會資源性特征越發(fā)明顯，對于個人信息權(quán)利的保護(hù)必須在時代背景下，在促進(jìn)個人信息有效利用和安全、秩序維護(hù)的過程中，重新思考個人信息的權(quán)利保護(hù)問題。

(三)個人信息處理原則適用的無力

1980年經(jīng)濟(jì)發(fā)展合作組織(OECD)制定的個人信息保護(hù)指南(OECD Guidelines)中明確規(guī)定了個人信息處理的八項原則：收集限制、信息質(zhì)量、目的限定、利用限制、安全維護(hù)、公開透明、個人參與、責(zé)任明確原則。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護(hù)法匯編》，法律出版社2006年版，第12-13頁。OECD 指南構(gòu)成了國際上現(xiàn)行個人信息保護(hù)法的原則基礎(chǔ)，代表了前信息時代個人信息法律保護(hù)的核心架構(gòu)。這八項原則的核心是個人信息主體知情同意(明示或默示)、個人信息使用目的限制(目的明確、最小化使用)以及個人對信息的控制(公開透明、參與、修改、刪除權(quán)等)，體現(xiàn)了以個人控制權(quán)能實現(xiàn)為核心的保護(hù)制度建構(gòu)。這些原則的出臺和使用建立在實際上個人信息有限和可控的前信息時代，數(shù)據(jù)庫的使用邏輯是必須尊重提供信息的個人。但大數(shù)據(jù)技術(shù)下的個人信息與主體是一種幾乎完全分離的狀態(tài)，不僅無處不在的隱形監(jiān)控使得個人無法控制個人信息，而且個人信息處理鏈條拉長為遠(yuǎn)離個人控制，從而使原有的個人信息處理原則根本無法適用。

首先，知情同意原則的尷尬境地。知情同意原則要求，除非例外排除規(guī)定，個人數(shù)據(jù)的獲得要經(jīng)過數(shù)據(jù)主體的明示或默示同意。歐盟1995年《數(shù)據(jù)保護(hù)指令》便規(guī)定了數(shù)據(jù)主體明確表示同意這一原則，并在此基礎(chǔ)上規(guī)定了詳細(xì)的默示同意的類型。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護(hù)法匯編》，法律出版社2006年版，第46頁。在此原則下，網(wǎng)絡(luò)平臺和機(jī)構(gòu)在收集個人信息之前需要發(fā)布隱私聲明，告知用戶個人信息收集利用的目的、范圍，個人需同意隱私聲明，對收集和利用行為進(jìn)行合法授權(quán)。大數(shù)據(jù)時代，網(wǎng)絡(luò)的全覆蓋導(dǎo)致隱私聲明成為加重機(jī)構(gòu)和個人負(fù)擔(dān)的設(shè)置，一方面，網(wǎng)絡(luò)平臺并不認(rèn)真對待隱私聲明，另一方面用戶不選擇同意就不享受網(wǎng)絡(luò)服務(wù)，而用戶一般也不會費神閱讀冗長的隱私聲明，只是形式主義地點擊同意，用戶的知情同意權(quán)被架空。更重要的是，在個人信息密集收集與多方流轉(zhuǎn)的生態(tài)系統(tǒng)中，用戶在很多情況下對其信息的收集并不知情，難以對第一方收集者行使權(quán)利，更遑論向缺乏直接聯(lián)系的第三方機(jī)構(gòu)行使控制權(quán)。[注]參見范為：《大數(shù)據(jù)時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。由此，知情同意原則變成了一種擺設(shè)。

其次，個人控制原則的無效。個人控制原則是落實個人信息權(quán)利的設(shè)置，即個人對數(shù)據(jù)控制者使用其個人信息有全程參與、知情了解并能夠要求刪除、糾正、補(bǔ)充的權(quán)利。前信息時代，個人信息主體與數(shù)據(jù)處理者的聯(lián)系基本上是單方的、一元的，主張個人對其信息進(jìn)行控制是可以操作的，個人實際上在進(jìn)入數(shù)據(jù)處理之初就能選擇數(shù)據(jù)處理的主體。但是大數(shù)據(jù)技術(shù)突破了這種一元單方聯(lián)系，用戶面臨的不再僅僅是與服務(wù)提供商直接、單一的聯(lián)系，還要同時面對與數(shù)據(jù)中間商和數(shù)據(jù)后續(xù)利用者等多重主體的關(guān)聯(lián)。[注]參見E.g. “The White House，Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy andPromoting Innovation in the Global Digital Economy”, J.of Priv. and Confidentiality 2, 2012, p95-142 . http: //www.whitehouse.gov/sites/default/files/privacy-final.pdf. 2018-04-18.另外，個人信息作為個人行為的痕跡記錄，每天都在大量生產(chǎn)，這種生產(chǎn)成為個人的一種社會生活常態(tài)，即便面對第一方收集機(jī)構(gòu)，個人業(yè)已逐漸喪失控制權(quán)。2012年歐盟數(shù)據(jù)保護(hù)指令修改，增加了對“被遺忘的權(quán)利或刪除的權(quán)利”的保護(hù)，[注]參見邵國松：《“被遺忘的權(quán)利”：個人信息保護(hù)的新問題及對策》，載《南京社會科學(xué)》2013年第2期。但實際上，強(qiáng)調(diào)遺忘權(quán)或者刪除權(quán)正是個人信息控制權(quán)不再起作用的表現(xiàn)。

最后，目的限制原則的空置。OECD指南明確規(guī)定“收集個人數(shù)據(jù)的目的應(yīng)該在數(shù)據(jù)收集之前列明，并且隨后的使用應(yīng)限于實現(xiàn)這些目的，或者那些和前述目的并非不相容的目的，這些情況應(yīng)當(dāng)在其目的改變時列明?！盵注]周漢華主編：《域外個人數(shù)據(jù)保護(hù)法匯編》，法律出版社2006年版，第13頁。列明收集個人信息的目的并且不能超出這一目的使用個人信息，這一限制可以保證個人信息主體事先知道個人信息利用的目的和范圍，并能夠控制數(shù)據(jù)收集在事先約定的范圍內(nèi)進(jìn)行。但是，大數(shù)據(jù)時代的信息挖掘恰是突破目的限制的技術(shù)，通過數(shù)據(jù)挖掘開發(fā)出信息利用的潛在價值并創(chuàng)造更大的社會價值。簡單來說，大數(shù)據(jù)技術(shù)通過海量數(shù)據(jù)匯總與挖掘，使得信息作為資源在社會經(jīng)濟(jì)、秩序管理等方面發(fā)揮越來越大的作用和價值，這樣一來，所謂的個人信息使用目的事前列明已經(jīng)是不可能的事情，也不符合大數(shù)據(jù)技術(shù)和時代的要求，在該原則下引申出的信息最小化使用也無法落實。

由此可見，個人信息法律保護(hù)雖然在世界范圍內(nèi)已有成熟的制度建構(gòu)，但是如果不能及時適應(yīng)大數(shù)據(jù)時代要求，已有的法律保護(hù)將阻礙信息資源的有效利用。在我國，個人信息的法律保護(hù)尚未建立，大數(shù)據(jù)技術(shù)變革已經(jīng)撲面而來，學(xué)習(xí)已有的個人信息法律保護(hù)制度經(jīng)驗固然重要，但是如果不能跳出前信息時代的制度藩籬，個人信息的法律保護(hù)就會始終面臨實踐困境。

三、我國個人信息法律保護(hù)的實踐困境

我國并沒有經(jīng)歷前信息時代個人信息法律保護(hù)的充分發(fā)展，由于受國外已有的成熟理論的影響，基本上還是用前信息時代的個人信息法律保護(hù)思維應(yīng)對實踐問題，這導(dǎo)致了大數(shù)據(jù)時代我國并不完整的個人信息法律資源一直滯后，無法滿足實踐需要。

(一)立法保護(hù)的滯后

面對世界范圍內(nèi)個人信息專門立法保護(hù)的潮流，我國早就有學(xué)者提出制定個人信息保護(hù)法的建議，并且制定了學(xué)者建議版的個人信息保護(hù)法。[注]參見周漢華：《〈中華人民共和國個人信息保護(hù)法〉(專家建議稿) 及立法研究報告》，法律出版社2006年版；齊愛民：《中華人民共和國個人信息保護(hù)法示范法草案學(xué)者建議稿》，載《河北法學(xué)》2005年第6期；《個人信息保護(hù)法》(專家建議稿)即將發(fā)布，http://mp.weixin.qq.com/s/vT7EK3QdRGzovkr5ibDBDg，2018年3月28日訪問。但我國個人信息保護(hù)專門立法一直難產(chǎn)，實踐中確立了個人信息分散立法保護(hù)的模式。到目前為止，實質(zhì)規(guī)定個人信息保護(hù)內(nèi)容的法律主要有：2009年2月28日實施的《刑法修正案(七)》、全國人民代表大會常務(wù)委員會2012年12月28日實施的《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(簡稱《決定》)、2014年1月1日施行的《消費者權(quán)益保護(hù)法》、2015年11月1日施行的《刑法修正案(九)》、2017年6月1日施行的《網(wǎng)絡(luò)安全法》和2017年10月1日施行的《民法總則》。其中，《民法總則》和刑法的規(guī)定下文專門討論，這里暫且不論。

總體上看，個人信息分散立法保護(hù)主要包括以下內(nèi)容：第一，個人信息的界定?！稕Q定》給出了個人電子信息的界定，采用的是識別個人身份+涉及個人隱私的定義方式；《網(wǎng)絡(luò)安全法》則把個人信息擴(kuò)展為“以電子或其他方式記錄的”、“能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息”，是直接識別與間接識別相結(jié)合的定義，并列舉了“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”具體個人信息。第二，明確了個人信息處理原則?！稕Q定》中明確了合法、正當(dāng)、必要的原則，明示收集、使用信息的目的、方式、范圍原則，經(jīng)被收集者同意原則，以及不得違法、違規(guī)、違約收集使用信息原則。這些原則也規(guī)定在了《消費者權(quán)益保護(hù)法》和《網(wǎng)絡(luò)安全法》中。第三，信息主體的權(quán)利。《決定》規(guī)定了刪除權(quán)，《網(wǎng)絡(luò)安全法》則在此基礎(chǔ)上規(guī)定了刪除或者更正權(quán)。第四，處罰措施。上述法律規(guī)定了常規(guī)的民事、行政和刑事處罰措施，除此之外，《決定》增加規(guī)定了“記入社會信用檔案并予以公布”這一處罰。第五，其他規(guī)定《決定》明確規(guī)定了網(wǎng)絡(luò)實名制，《網(wǎng)絡(luò)安全法》則對經(jīng)過處理無法識別特定個人且不能復(fù)原的個人信息做了信息主體同意提供的例外規(guī)定。

上述立法中的個人信息保護(hù)，內(nèi)容雖然簡略，但基本上涵蓋了前信息時代個人信息法律保護(hù)的核心內(nèi)容，包括可識別性個人信息界定、個人控制權(quán)的保護(hù)以及以知情同意為核心的原則設(shè)定。但我國個人信息分散立法保護(hù)的缺陷十分明顯，主要體現(xiàn)為保護(hù)對象不明確、信息主體權(quán)利不完整、權(quán)利義務(wù)不完善和法律責(zé)任不到位等，[注]參見王秀哲：《我國個人信息立法保護(hù)實證研究》，載《東方法學(xué)》2016年第3期。學(xué)者們一直倡導(dǎo)通過制定專門的個人信息保護(hù)法解決以上分散立法保護(hù)的弊端，通過專門立法實現(xiàn)完整的個人信息法律保護(hù)。[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期；周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護(hù)法的立法方向》，載《法學(xué)研究》2018年第2期。但是，值得注意的是，在大數(shù)據(jù)技術(shù)挑戰(zhàn)面前，如果不能跳出前信息時代的舊有思維，依然圍繞可識別性界定個人信息和個人控制權(quán)能進(jìn)行立法，根本無法應(yīng)對大數(shù)據(jù)時代個人信息保護(hù)范圍、權(quán)利內(nèi)涵、保護(hù)原則的變化。其實，立法追求嚴(yán)謹(jǐn)與內(nèi)容明確的特點并不適應(yīng)大數(shù)據(jù)技術(shù)之下個人信息利用的變動性，通過立法保護(hù)個人信息通常會滯后于大數(shù)據(jù)技術(shù)要求，這也正是歐美國家近年來不斷修改已有的個人信息保護(hù)法的原因。[注]參見范為：《數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。大數(shù)據(jù)時代，個人信息法律保護(hù)不是單純的權(quán)利實現(xiàn)，而是要在個人信息有效利用與權(quán)利行使之間尋找平衡，由此決定了個人信息立法保護(hù)必須轉(zhuǎn)換思路并重構(gòu)內(nèi)容。

(二)刑法保護(hù)的被動

在法律不完善的前提下，針對個人信息濫用導(dǎo)致嚴(yán)重社會危害，只能由刑法出面進(jìn)行滅火，這就是我國個人信息立法保護(hù)不完善，但是刑法保護(hù)先行的原因?！缎谭ㄐ拚?七)》增加規(guī)定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，前一罪名主要規(guī)范國家機(jī)關(guān)和金融、電信、交通、教育、醫(yī)療等公共服務(wù)機(jī)關(guān)及其工作人員?！缎谭ㄐ拚?九)》取消了特定主體限定，針對不特定對象規(guī)定了“侵犯公民個人信息罪”。為了應(yīng)對刑法修正案中侵犯公民個人信息罪的規(guī)定過于抽象、無法準(zhǔn)確定罪量刑以及法律適用分歧大等諸多問題，2017年6月1日最高人民法院和最高人民檢察院聯(lián)合發(fā)布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。從而形成了比較完整的個人信息刑法保護(hù)規(guī)定。

侵犯公民個人信息罪的刑法規(guī)定，是從維護(hù)社會秩序出發(fā)，對于侵犯個人信息導(dǎo)致的公民人身財產(chǎn)權(quán)損害進(jìn)行的刑法救濟(jì)，在打擊利用個人信息犯罪方面作用巨大。但由于個人信息保護(hù)的前置法律貧乏，刑法的個人信息犯罪規(guī)定必須解決許多不屬于刑法規(guī)定的內(nèi)容，由此導(dǎo)致刑法救濟(jì)的被動性。目前，侵犯公民個人信息罪的具體適用必須仰賴《解釋》正是這一被動救濟(jì)的體現(xiàn)，而《解釋》在實踐應(yīng)用中并不能起到應(yīng)有的作用。例如，由于沒有權(quán)威發(fā)揮作用的個人信息定義，司法解釋只能從打擊犯罪的功利主義出發(fā)，采取“形式上的廣義可識別性+活動情況”對個人信息進(jìn)行界定，[注]參見于志剛：《“公民個人信息”的權(quán)利屬性與刑法保護(hù)思路》，載《浙江社會科學(xué)》2017年第10期。這一界定強(qiáng)調(diào)對“行蹤軌跡”信息的重點保護(hù)。但懲處“獲取、提供、出售行蹤軌跡”信息的行為，無非是從預(yù)防嚴(yán)重犯罪的角度對犯罪的預(yù)備或手段行為的一種制裁，由于后續(xù)的嚴(yán)重犯罪行為有獨立的刑法制裁，過于強(qiáng)調(diào)手段或預(yù)備行為的刑法制裁會模糊刑法保護(hù)個人信息的應(yīng)有法益，實際上體現(xiàn)了一種屈從于現(xiàn)實的權(quán)宜之計或無奈之舉。再比如，對“違反國家有關(guān)規(guī)定”的解釋，擴(kuò)大個人信息違法性范圍的努力，與實踐中幾乎沒有規(guī)章規(guī)定個人信息保護(hù)的實際相違背，根本無法適用。

大數(shù)據(jù)背景下，以刑法一己之力并不能完成個人信息法律保護(hù)的任務(wù)，我國《刑法》中的“侵犯公民個人信息罪”不過是面對危害后果的應(yīng)急反應(yīng)，雖然刑法的社會危害防治會暫時發(fā)揮作用，但也會引發(fā)更多實踐中的問題。由此也決定了《解釋》的內(nèi)容越細(xì)化、規(guī)定的越具體，就會暴露出越多的問題，越解釋越無力幾乎就是《解釋》的宿命。所以，只有把個人信息的刑法保護(hù)放置到個人信息法律制度建構(gòu)的整體框架下，才能對《刑法》及其《解釋》的局限性進(jìn)行突破。

(三)民事侵權(quán)司法救濟(jì)的無力

總體上看，我國個人信息民法保護(hù)相當(dāng)貧乏，民事侵權(quán)的司法救濟(jì)也幾乎無所作為。新制訂的《民法總則》雖然在第111條規(guī)定了“自然人的個人信息受法律保護(hù)”，但這一條文規(guī)定的“個人信息”，究竟是個人信息法益，抑或個人信息權(quán)，學(xué)者有不同的解讀。雖然有學(xué)者做了個人信息權(quán)的論證，[注]參見楊立新：《個人信息：法益抑或民事權(quán)利——對〈民法總則〉第 111 條規(guī)定的“個人信息”之解讀》，載《法學(xué)論壇》2018年第1期；郝思洋：《個人信息權(quán)確立的雙重價值———兼評〈民法總則〉第 111 條》，載《河北法學(xué)》2017年第10期。但是由于《民法總則》的規(guī)定比較概括，還無法直接適用保護(hù)個人信息。另外，《民法總則》第110條對隱私保護(hù)的單獨規(guī)定，也引發(fā)了隱私與個人信息保護(hù)如何協(xié)調(diào)的問題。[注]參見李永軍：《論〈民法總則〉中個人隱私與信息的“二元制”保護(hù)及請求權(quán)基礎(chǔ)》，載《浙江工商大學(xué)學(xué)報》2017年第3期。

民事領(lǐng)域的侵犯公民個人信息的糾紛解決主要還是依靠2014年6月23日最高人民法院發(fā)布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》，其第12條專門針對網(wǎng)絡(luò)用戶或者網(wǎng)絡(luò)服務(wù)提供者利用網(wǎng)絡(luò)公開個人信息的侵權(quán)行為做了規(guī)定，列舉了自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等需保密的個人隱私，并做了約定公開、社會公共利益、科研、自行公開、合法渠道獲取、法律或者行政法規(guī)另有規(guī)定的例外排除。這一規(guī)定成為法院審理侵犯個人信息民事案件的直接依據(jù)。但實踐中，個人信息侵權(quán)的民事判決并不多。筆者以侵犯公民個人信息為案由搜索中國裁判文書網(wǎng)，民事案由只有8個判決[注]中國裁判文書網(wǎng)，http://wenshu.court.gov.cn/，2018年4月18日訪問。，除了2個是從個人隱私的角度保護(hù)個人信息的外，只有2個涉及個人信息侵權(quán)，一是毛志剛合同糾紛二審民事判決書((2017)渝01民終4750號)；二是黃啟紅與深圳市恒波商業(yè)連鎖股份有限公司一般人格權(quán)糾紛一審判決((2013)深羅法民一初字第1962號)。按照個人隱私、個人信息為案由搜索，則有民事案由317個，時間跨度從2010年到2018年，而根據(jù)判決內(nèi)容，基本上是對個人隱私侵權(quán)的救濟(jì)。在個人信息、隱私權(quán)民法保護(hù)均不完善的前提下，我國司法機(jī)關(guān)采取了將個人信息附屬于隱私權(quán)進(jìn)行保護(hù)的方式。“然而伴隨著隱私權(quán)的現(xiàn)代性轉(zhuǎn)向，司法實踐中個人信息的附屬保護(hù)模式卻遭遇了困境。無論從權(quán)利配置還是從個人信息保護(hù)機(jī)構(gòu)的運作來看，個案裁決的救濟(jì)方式都無法建構(gòu)完整的個人信息保護(hù)框架?！盵注]張建文、高完成：《司法實踐中個人信息的保護(hù)模式及其反思———以隱私權(quán)的轉(zhuǎn)型為視角》，載《重慶郵電大學(xué)學(xué)報(社會科學(xué)版)》2016年第3期。

司法實踐中直接侵犯個人信息的民事糾紛案件并不多，一方面表明我國個人信息民法保護(hù)先天不足，另一方面也不能忽視大數(shù)據(jù)時代單個個人信息的民事侵權(quán)已被量化的數(shù)據(jù)庫侵權(quán)所吞沒的現(xiàn)實。由于大數(shù)據(jù)時代個人信息權(quán)利的異化，個人信息的資源性利用遠(yuǎn)大于其保密價值，所以，著眼于個體性權(quán)利的民事侵權(quán)救濟(jì)并不能有效發(fā)揮作用，必須針對平臺企業(yè)和國家機(jī)構(gòu)的數(shù)據(jù)庫開發(fā)利用重新設(shè)定民事責(zé)任。而從司法裁決多強(qiáng)調(diào)隱私權(quán)保護(hù)來看，個人信息的隱私權(quán)屬性有重要價值，尤其是在數(shù)字化人格發(fā)展的今天，注重個體性地位的最好體現(xiàn)仍然是隱私權(quán)保護(hù)。

四、大數(shù)據(jù)時代個人信息法律保護(hù)的制度重建

個人信息法律保護(hù)的制度重建是大數(shù)據(jù)時代世界各國共同面對的問題。當(dāng)個人信息法律保護(hù)制度面臨變革時，作為后起國家，我們應(yīng)主動適應(yīng)大數(shù)據(jù)的時代要求，不要簡單照搬或受制于國外制度，而要立基于解決實踐困境，從大數(shù)據(jù)信息有效利用的視角出發(fā)，重新思考和定位我國個人信息法律保護(hù)制度建構(gòu)。

(一)個人信息標(biāo)準(zhǔn)的立法替代

我國個人信息保護(hù)專門立法一直難產(chǎn)，一定程度上暴露出了無法通過簡單的立法解決個人信息法律保護(hù)的現(xiàn)實困境，尤其是面對大數(shù)據(jù)技術(shù)的飛速發(fā)展，立法保護(hù)的學(xué)術(shù)觀點越發(fā)需要關(guān)注多方利益，趨向于解決復(fù)雜的社會關(guān)系。繼張新寶教授提出我國個人信息保護(hù)法應(yīng)以“兩頭強(qiáng)化，三方平衡”理論為基礎(chǔ)進(jìn)行制度設(shè)計的方案后；[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學(xué)》2015年第3期。周漢華教授進(jìn)一步提出了激勵相容的個人信息立法方向，認(rèn)為通過激勵信息控制者主動保護(hù)個人信息安全，實現(xiàn)對個人信息權(quán)利的保護(hù)，立法需要改變原來的命令控制式，而尋求多元互動。[注]參見周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護(hù)法的立法方向》，載《法學(xué)研究》2018年第2期。多方利益平衡以及多元互動的立法導(dǎo)向是對大數(shù)據(jù)時代個人信息利用的復(fù)雜特征的應(yīng)對，但是，立法本身的技術(shù)性要求以及嚴(yán)密論證、漫長民主程序等都不適應(yīng)這一重任，與大數(shù)據(jù)相適應(yīng)的立法期待展現(xiàn)了相當(dāng)?shù)碾y度。其實，多元互動的激勵相容機(jī)制恰恰表明需要采取多元制度建構(gòu)，并不只有立法一途。

在個人信息保護(hù)立法空缺的情況下，與技術(shù)相連的個人信息保護(hù)標(biāo)準(zhǔn)起到了部分立法替代作用。由工業(yè)和信息化部起草2013年2月1日起實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》是我國關(guān)于個人信息保護(hù)的第一個國家標(biāo)準(zhǔn)。[注]《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護(hù)指南》http://baike.baidu.com/link?url=iPlrAXvQ_OtDMQyNBJdNnjohK7XervxdJQ1OB7fGJVRmJIPtfYBGg6w8Zseg7Z_B3F_wsbOlNyX1bDzmPE61hq，2018年4月12日訪問。2014年3月15日中國科學(xué)技術(shù)法學(xué)會、北京大學(xué)互聯(lián)網(wǎng)法律中心聯(lián)合發(fā)布了《互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)測評標(biāo)準(zhǔn)》，這是我國首部互聯(lián)網(wǎng)領(lǐng)域由獨立第三方學(xué)術(shù)機(jī)構(gòu)倡議的個人信息保護(hù)測評行業(yè)標(biāo)準(zhǔn)。[注]《互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)測評標(biāo)準(zhǔn)發(fā)布》，http://tech.sina.com.cn/other/2014-03-17/11409247350.shtml；《互聯(lián)網(wǎng)企業(yè)個人信息保護(hù)測評標(biāo)準(zhǔn)》http://vip.chinalawinfo.com/newlaw2002/slc/slc.asp?gid=220993，2018年4月12日訪問。2018年1月，國家標(biāo)準(zhǔn)《個人信息安全規(guī)范(GB/T 35273-2017)》(以下簡稱《規(guī)范》)正式發(fā)布，盡管這是一部推薦性的國家標(biāo)準(zhǔn)，不具有強(qiáng)制力，但仍引起了學(xué)界與實務(wù)界的廣泛關(guān)注。在關(guān)于《規(guī)范》的各類解讀中，有聲音認(rèn)為規(guī)范的發(fā)布及時地填補(bǔ)了現(xiàn)今個人信息保護(hù)中諸多技術(shù)細(xì)節(jié)與實操領(lǐng)域的規(guī)范空白；也有聲音認(rèn)為，這部國家標(biāo)準(zhǔn)比歐洲與美國對于個人信息保護(hù)的要求更為嚴(yán)格，可能會影響行業(yè)的發(fā)展。[注]《個人信息安全規(guī)范》史上最內(nèi)行解讀，http://news.163.com/18/0206/02/D9U7CB32000187VE.html，2018年4月16日訪問?？傮w上看，在網(wǎng)絡(luò)安全法治框架下，《規(guī)范》立足信息安全的維度，厘定、闡明了個人信息安全保護(hù)領(lǐng)域的諸多重要問題，如“個人信息”的基本定義、個人信息安全的基本要求等；并突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機(jī)制特色，為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照和行為指引。[注]同④。

技術(shù)標(biāo)準(zhǔn)因其沒有直接的立法效力，其效用往往被忽視，但是，其可因企業(yè)自愿遵守而產(chǎn)生約束力；行政機(jī)關(guān)可參照做出行政決定、采取非正式監(jiān)管措施，法院也可以援引作為裁判說理依據(jù)；而規(guī)范一旦被法律、法規(guī)、規(guī)章、強(qiáng)制性標(biāo)準(zhǔn)援引，便可在相應(yīng)規(guī)范中產(chǎn)生與之同等的法律效力。[注]參見許可：《試論〈個人信息安全規(guī)范〉的法律效力》，http://mp.weixin.qq.com/s/ZxadBeYTW9Idm0neWwhk8Q，2018年4月16日訪問。大數(shù)據(jù)技術(shù)的特征，決定了對個人信息的利用是一種可以用技術(shù)標(biāo)準(zhǔn)框定的規(guī)范性操作，這在維護(hù)個人信息利用秩序和安全方面意義重大。由于標(biāo)準(zhǔn)的技術(shù)性、中立性、客觀性，以及隨著技術(shù)進(jìn)步的變動性，用標(biāo)準(zhǔn)來確定個人信息法律保護(hù)的基本問題更為恰當(dāng)。個人信息保護(hù)標(biāo)準(zhǔn)不僅更能靈活應(yīng)對大數(shù)據(jù)技術(shù)不斷發(fā)展的要求，解決立法的滯后性；而且標(biāo)準(zhǔn)本身的靈活性更有利于大數(shù)據(jù)時代的個人信息安全、利用以及保護(hù)的需要。在標(biāo)準(zhǔn)替代立法的局面下，并不是用標(biāo)準(zhǔn)完全取代立法，而是把能夠技術(shù)規(guī)范、標(biāo)準(zhǔn)化的內(nèi)容拿到標(biāo)準(zhǔn)中來，或者明確已經(jīng)被標(biāo)準(zhǔn)確定的內(nèi)容，以技術(shù)解決技術(shù)帶來的變動性問題，在此基礎(chǔ)上，放棄制定大而全的個人信息保護(hù)專門法律的做法，重點制定適應(yīng)大數(shù)據(jù)時代要求的特別保護(hù)法。

(二)多方互動的隱私風(fēng)險評估機(jī)制建構(gòu)

如前所述，以個人控制為核心的個人信息權(quán)利保護(hù)已經(jīng)在大數(shù)據(jù)技術(shù)面前發(fā)生異化，脫離個人掌控的個人信息利用決定了事后侵權(quán)責(zé)任無法發(fā)揮作用。“隱私風(fēng)險評估”( Privacy Impact Assessment，PIA) 是衡量隱私風(fēng)險的有效工具，實踐中已發(fā)展為標(biāo)準(zhǔn)化操作流程，成為國際上日益認(rèn)同的理念與最佳實務(wù)。場景與風(fēng)險導(dǎo)向的新思路認(rèn)識到，大數(shù)據(jù)時代紛繁復(fù)雜的個人信息處理場景中，前端的、靜態(tài)的遵循知情同意的框架已經(jīng)不足以應(yīng)對嚴(yán)峻的隱私挑戰(zhàn)，必須及時扭轉(zhuǎn)思路，在個人信息處理所處的具體場景中進(jìn)行動態(tài)的風(fēng)險控制，即變僵化的合規(guī)遵循為靈活的風(fēng)險管理，促進(jìn)個人信息的“合理使用”，重點規(guī)制個人信息的“不合理使用”行為。[注]參見范為：《數(shù)據(jù)時代個人信息保護(hù)的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期。

隱私風(fēng)險評估的理論基礎(chǔ)是承認(rèn)個人信息法律保護(hù)的隱私權(quán)價值，雖然個人信息的財產(chǎn)權(quán)保護(hù)[注]參見劉德良：《個人信息的財產(chǎn)權(quán)保護(hù)》，載《法學(xué)研究》2007年第3期。以及個人信息權(quán)利[注]參見王利明：《論個人信息權(quán)的法律保護(hù)——以個人信息權(quán)與隱私權(quán)的界分為中心》，載《現(xiàn)代法學(xué)》2013年第4期。保護(hù)的主張都有很好的論證，但是，在大數(shù)據(jù)帶來的現(xiàn)代權(quán)力控制局面下，個體獨立與尊嚴(yán)保護(hù)的人格利益更為重要，而對于這一人格利益的保護(hù)必須借助于信息性隱私權(quán)保護(hù)實現(xiàn)。[注]參見王學(xué)輝、趙昕：《隱私權(quán)之公私法整合保護(hù)探索———以“大數(shù)據(jù)時代”個人信息隱私為分析視點》，載《河北法學(xué)》2015年第5期；李延舜：《個人信息財產(chǎn)權(quán)理論及其檢討》，載《學(xué)習(xí)與探索》2017年第5期。如前文所述，我國隱私權(quán)價值取向的個人信息保護(hù)已經(jīng)在司法實踐中有了一定的積累，但由于我國隱私權(quán)的法律保護(hù)也不發(fā)達(dá)，如何整合個人信息與隱私權(quán)保護(hù)的關(guān)系，還需要進(jìn)一步深入研究。而隱私風(fēng)險評估作為動態(tài)的機(jī)制，能夠在法律不完善時借助多元社會力量實現(xiàn)，這在我國已經(jīng)有了一定的基礎(chǔ)。

早在2010年奇虎360與騰訊網(wǎng)絡(luò)大戰(zhàn)(業(yè)界稱為“3Q”大戰(zhàn))爆發(fā)時，就引發(fā)了企業(yè)主動承擔(dān)保護(hù)個人信息隱私責(zé)任的爭議。[注]參見王秀哲：《信息社會個人隱私權(quán)的公法保護(hù)研究》，中國民主法制出版社2017年版，第242頁。在越來越激烈的互聯(lián)網(wǎng)平臺競爭中，攻擊對手侵犯個人隱私確實可以起到爭奪用戶的目的，也引發(fā)了互聯(lián)網(wǎng)企業(yè)主動保護(hù)個人隱私的自覺性。3Q大戰(zhàn)后，騰訊公司和360公司都適時修改了自己網(wǎng)站的隱私聲明(政策)，其中，由于主動挑起騰訊不保護(hù)個人隱私的爭端，在保護(hù)個人隱私這個問題上，360似乎想做出業(yè)界的榜樣。2018年3月1日最新版《360用戶隱私保護(hù)白皮書3.0》發(fā)布，在白皮書中，360自述對自身的安全產(chǎn)品提出了更高的要求，尤其指出，360是國內(nèi)首家設(shè)置首席隱私官(CPO，Chief Privacy Officer)一職的公司，并提出“四不三必須”行為規(guī)范，且呼吁互聯(lián)網(wǎng)同業(yè)者加以補(bǔ)充和完善。[注]《360用戶隱私白皮書》，http://www.#/privacy/v3/bpsxy.html，2018年4月18日訪問。面對360公司亮出的隱私保護(hù)大旗，業(yè)內(nèi)企業(yè)認(rèn)為360是在以隱私保護(hù)為由進(jìn)行不正當(dāng)競爭，曾經(jīng)引發(fā)了眾多網(wǎng)絡(luò)平臺對360的聯(lián)手抵制，但是事件的發(fā)展讓用戶看到了平臺保護(hù)個人信息隱私責(zé)任的重要性，反過來促使各個網(wǎng)絡(luò)平臺制定和完善自家的隱私聲明。

上述事件展示了我國個人信息保護(hù)的行業(yè)自律發(fā)展。大數(shù)據(jù)技術(shù)下個人信息利用的無序呼喚行業(yè)自律，行業(yè)自律是多元互動治理的一個必要組成部分，雖然企業(yè)自發(fā)的隱私聲明并沒有發(fā)揮保護(hù)個人信息的實效，但通過行業(yè)自律可以引導(dǎo)隱私聲明與隱私風(fēng)險評估銜接，促成個人信息隱私保護(hù)的實現(xiàn)。此外，第三方平臺的介入能夠起到更為客觀的監(jiān)控效果。在大數(shù)據(jù)技術(shù)支撐下，我國的第三方監(jiān)管也有了發(fā)展。2017年12月28日，南都個人信息保護(hù)研究中心發(fā)布了《2017個人信息保護(hù)年度報告》。該報告包括1550家網(wǎng)站和APP的隱私政策測評結(jié)果、南都在系列隱私調(diào)查中發(fā)現(xiàn)的問題、年度熱點隱私事件盤點，以及2018年可能出現(xiàn)的新問題預(yù)測。據(jù)悉，這是國內(nèi)首份由媒體發(fā)布的個人信息保護(hù)報告。南方都市報編委虞偉表示，從2016年開始，南都通過多篇調(diào)查報道，逐漸深入了個人信息安全領(lǐng)域的話題，我們正在嘗試以新聞報道與第三方評測監(jiān)督的方式，促進(jìn)業(yè)界對個人信息安全形成共識。[注]南都報告：1550家平臺隱私政策測評結(jié)果出爐 超八成透明度低，http://news.163.com/17/1229/09/D6QJ2F8M000187VE.html，2018年4月18日訪問。

總之，大數(shù)據(jù)技術(shù)推動了我國個人信息產(chǎn)業(yè)的發(fā)展，企業(yè)有自律的原始動力，第三方監(jiān)測體現(xiàn)了數(shù)字經(jīng)濟(jì)發(fā)展的需求。政府的監(jiān)管應(yīng)該關(guān)注這一動向，通過引導(dǎo)和介入完善多方互動的隱私風(fēng)險評估機(jī)制建構(gòu)。

(三)信任關(guān)系下的個人信息民法保護(hù)完善

社會交易和交往秩序的維護(hù)有賴于民法，而民法對個人信息的保護(hù)正在接受大數(shù)據(jù)技術(shù)的挑戰(zhàn)。有學(xué)者研究指出，現(xiàn)行的個人信息保護(hù)法律規(guī)范，以“主客體二元對立”思維下的“理性人”理念為指引，通過強(qiáng)調(diào)個人信息主體的自主支配、自主決斷和自己責(zé)任，來平衡個人信息的使用和保護(hù)。但是在大數(shù)據(jù)時代，個人信息保護(hù)的“理性人”理念面臨著諸多困境，“理性人”的構(gòu)建，抹去了具有“社會性”和“感性”特征的“信賴”，將現(xiàn)實中本來與他人和社會緊密聯(lián)系的“完整”的人，塑造為與他人和社會分離和對立的理念人。以此為價值追求的個人信息保護(hù)法律規(guī)范，忽視信息社會中信賴的日益重要性，內(nèi)含信息主體與信息控制者間的緊張對立關(guān)系，難以有效增進(jìn)他們之間的互信。[注]參見吳泓：《信賴?yán)砟钕碌膫€人信息使用與保護(hù)》，載《華東政法大學(xué)學(xué)報》2018年第1期。這一信賴?yán)娴奶岢雠c美國學(xué)者Helen Nissenbaum教授的隱私的情境脈絡(luò)完整性理論的切入點和關(guān)切點相同?！扒榫趁}絡(luò)完整性”或者“脈絡(luò)完整性”這個隱私權(quán)理論，將“個人資訊保護(hù)”與“在特定情境脈絡(luò)下的個人資訊流動規(guī)范”兩者互相連接起來，強(qiáng)調(diào)資訊的流動方式必須符合特定情境脈絡(luò)對于資訊流動的期待，也就是符合特定情境脈絡(luò)的社會規(guī)范。[注]參見劉靜怡：《社群網(wǎng)路時代的隱私困境：“以Facebook為討論對象”》，載《臺大法學(xué)論叢》2012年第3期。

大數(shù)據(jù)時代，個人信息的產(chǎn)生和利用無處不在，個人信息并不只是標(biāo)明個人身份的簡單代碼，而是人們傳遞感情、進(jìn)行社會交往和商業(yè)活動的基礎(chǔ)資源和活動記錄。所以需要在具體環(huán)境中認(rèn)識個人信息的保護(hù)需求。具體情境中如何處理個人信息的利用和保護(hù)？這取決于維系社會交往存在的倫理基礎(chǔ)，即信任責(zé)任關(guān)系。這種信任關(guān)系下，個人信息主體對于超出該情境的個人信息流通具有要求接受者不予擴(kuò)散的保密義務(wù)。美國學(xué)者索洛韋伊認(rèn)為，保密性這一理論是一項對各種各樣的人際關(guān)系予以維持都必不可少的理論。美國隱私權(quán)法遵從的防止隱私泄露規(guī)則注重保護(hù)原告的感情與不可侵犯的人格，而與此不同的是，英國信任責(zé)任法遵從的防止秘密泄露規(guī)則注重保護(hù)人與人之間互相信任與互相依靠的社會關(guān)系。[注]參見[美]尼爾M. 理查德、丹尼爾J. 索洛韋伊：《隱私權(quán)的另一種路徑：信任責(zé)任法的復(fù)興》，孫言譯，載張民安主編：《隱私權(quán)的比較研究——法國、德國、美國及其他國家的隱私權(quán)》，中山大學(xué)出版社2013年版，第45-47頁，第79-87頁。通過信任責(zé)任法確立的信任關(guān)系，能夠?qū)崿F(xiàn)信息利用者負(fù)責(zé)任地利用個人信息。

我國《民法總則》第111條已經(jīng)明確寫入保護(hù)個人信息，該條內(nèi)容雖然還有待于具體法律進(jìn)行細(xì)化，但是根據(jù)《民法總則》第7條規(guī)定的誠信原則，可以通過民事信任責(zé)任法的建立保障個人信息安全和不受侵犯。在大數(shù)據(jù)時代，由于個人信息的廣泛利用性，個人的知情同意已經(jīng)退位給使用者承擔(dān)責(zé)任，在個人信息的有效利用中，使用者與個人信息主體之間的信任關(guān)系的建立非常重要，也即可以通過信任關(guān)系建立良好的個人信息利用秩序。在我國，民法中的誠實信用原則一直面臨現(xiàn)實挑戰(zhàn)，社會信用制度尚沒有建立，信任責(zé)任法極其缺乏，如能在個人信息責(zé)任制度方面進(jìn)行突破，不僅有利于個人信息利用秩序的建立，也無疑會為大數(shù)據(jù)時代社會信用制度的建立奠定基礎(chǔ)。而借助于大數(shù)據(jù)技術(shù)，信息責(zé)任法的建立并不困難，在各種網(wǎng)絡(luò)平臺推出個人信用評估的當(dāng)下，利用大數(shù)據(jù)技術(shù)對個人信息控制者即網(wǎng)絡(luò)平臺本身的信用進(jìn)行評估更為重要，當(dāng)然，這一任務(wù)需要借助于媒體、第三方平臺以及政府的推介共同完成。

綜上所述，個人信息的法律保護(hù)是隨著大數(shù)據(jù)技術(shù)的發(fā)展變動最為劇烈的領(lǐng)域，鑒于大數(shù)據(jù)帶來的個人信息利用特征的變化，美國和歐盟都在積極通過修法進(jìn)行應(yīng)對，我國雖然在個人信息法律保護(hù)方面一直落后，但是，大數(shù)據(jù)技術(shù)的發(fā)展帶來了迎頭趕上的契機(jī)。雖然以權(quán)利為核心的前信息時代的個人信息法律保護(hù)并沒有完全過時，卻也是必要的積累，我們應(yīng)在做好補(bǔ)課的同時，適應(yīng)大數(shù)據(jù)時代要求，從多元、變動的視角做好個人信息法律保護(hù)的整體制度建構(gòu)。