摘 要 大數(shù)據(jù)時代的到來讓我們的工作和生活逐漸變得便捷和高效的同時，大數(shù)據(jù)技術(shù)的使用也日益暴露出它的弊端，個人信息泄露、侵害個人信息權(quán)利的現(xiàn)象日益普遍。在充分利用大數(shù)據(jù)、利用個人信息的同時，如何從法律制度層面對該領(lǐng)域進行科學管理與規(guī)制，實現(xiàn)大數(shù)據(jù)時代個人信息的充分使用和個人信息權(quán)利合理保護的平衡，切實解決個人數(shù)據(jù)收集應(yīng)用與個人信息權(quán)利保護沖突的現(xiàn)實問題具有重大現(xiàn)實意義。

關(guān)鍵詞 大數(shù)據(jù) 個人信息保護 個人信息權(quán)利

基金項目：1.湖南省社會科學成果評審委員會項目“大數(shù)據(jù)時代個人數(shù)據(jù)信息保護機制創(chuàng)新研究”（立項編號XSP17YBZZ0 74）;2.湖南省社科基金項目“大數(shù)據(jù)背景下個人信息利用法律規(guī)制研究”（立項編號17YBA239）。

作者簡介：虞蕾，湖南商學院法律（法學）碩士，研究方向：民商法。

中圖分類號：D923 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻標識碼：A ? ? ? ? ? ?? ? ? ? ? ?DOI：10.19387/j.cnki.1009-0592.2019.05.239

“大數(shù)據(jù)商業(yè)應(yīng)用第一人”舍恩伯格在《大數(shù)據(jù)時代》一書中寫道，某零售商通過大數(shù)據(jù)歷史記錄分析，得知女中學生已懷孕的秘密并向其郵寄母嬰用品廣告。大數(shù)據(jù)使我們生活在一個公開透明的時代，不當收集、買賣、惡意使用、篡改個人信息以致影響他人生活安寧，侵害他人財產(chǎn)甚至生命安全，擾亂社會秩序的現(xiàn)象在我國日益突出。為適應(yīng)大數(shù)據(jù)健康發(fā)展的需要，《民法總則》中首次明確了個人信息的保護， 從基本法層面對個人信息進行法律定性。然而在具體的實踐生活中，個人信息保護的實際收效并不理想，在加強保護的同時又要避免影響信息的正常流通，所以需要尋找平衡個人信息利用與保護之間的路徑。

一、大數(shù)據(jù)時代個人信息安全的現(xiàn)狀

（一）個人信息的法律概念及其屬性

縱觀域外在個人信息保護的理論研究及立法實踐，“個人信息”常見稱謂包括：歐盟的“個人信息”（personal information）;美國、澳大利亞、加拿大等立法使用的“個人隱私”與“隱私”兩個概念。因此，國際上對本課題“個人信息”這一概念并沒有統(tǒng)一的稱謂和界定，嚴格地講，各國在使用這些稱謂時的具體內(nèi)涵也存在細微差別。

在個人信息（權(quán)）的法律屬性上，通過查找資料和閱讀文獻，總結(jié)出國外學者的觀點主要有：（1）隱私（權(quán)）說;（2）獨立人格（權(quán)）說;（3）財產(chǎn)利益（財產(chǎn)權(quán)）說。 在國內(nèi)，主要有隱私（權(quán)）說、新型人格權(quán)說、 財產(chǎn)權(quán)說等。大數(shù)據(jù)時代下的今天，數(shù)據(jù)技術(shù)可以從海量的數(shù)據(jù)資料中分析、提取出可供政府、企業(yè)、個人等決策使用的信息，在這個過程中，大量的原始數(shù)據(jù)可通過大數(shù)據(jù)的運用識別出眾多有價值的個人信息。這些信息可因其本身的差別而影響到信息主體的隱私、財產(chǎn)利益等，是一種兼具人身屬性和財產(chǎn)屬性的新型利益種類。

（二）大數(shù)據(jù)時代個人信息受威脅的主要類型

1.國家機關(guān)對個人信息的過度收集

國家機關(guān)要面對諸多復雜的民生問題和維護國家統(tǒng)一與穩(wěn)定，有著特殊的職能。國家機關(guān)收集個人信息有兩個明顯區(qū)別于其他主體的特點：（1）強制性。國家機關(guān)是以國家的名義實施的職能行為，在其行使職權(quán)的過程中若遇到阻礙可依法使用強制措施消除障礙。（2）單方意志性。國家機關(guān)在法律法規(guī)授權(quán)內(nèi)可自行決定行使其職權(quán)，無需征得對方同意。例如《刑事訴訟法》第136條的規(guī)定，偵查人員對犯罪嫌疑人的身體、物品等進行搜查出示搜查證即可，無需被搜查人的同意。然而從社會契約論的角度來看，國家機關(guān)作為主權(quán)者的公意執(zhí)行人，不能給臣民加以任何一種對于集體毫無用處的約束。 因此，國家機關(guān)在收集個人信息的過程中應(yīng)給予公民應(yīng)有的尊重，須在自己目的和權(quán)力范圍內(nèi)進行。例如：某公安機關(guān)在對一起校園盜竊案進行偵查時要求全校學生進行指紋及身份信息錄入檢測，這顯然已經(jīng)超出必要的范圍。

2.人機網(wǎng)絡(luò)行為泄露、曝光個人信息

網(wǎng)絡(luò)中的熱門事件極易引發(fā)網(wǎng)友的集體熱情，相較于機器搜索引擎而言這種人機互動搜索的影響力更為致命，例如人肉搜索，也許網(wǎng)友的出發(fā)點是所謂的“伸張正義”，但自詡的正義行為最后變成懲善揚惡也為未可知。這樣的實例舉不勝舉，2018年8月發(fā)生的安醫(yī)生自殺事件，起因是一起泳池沖突，但隨后涉事男孩的家長到安醫(yī)生單位鬧事，在網(wǎng)上曝光安醫(yī)生及其丈夫的個人信息，并聯(lián)合網(wǎng)絡(luò)大V發(fā)布關(guān)于沖突的不實消息，煽風點火，安醫(yī)生不堪忍受輿論壓力而服藥自殺。更有最近在埃航中遇難的女大學生的微博內(nèi)容被挖出，各種惡意揣測和無端謾罵接踵而來。網(wǎng)絡(luò)暴力不斷上演，人們似乎并沒有意識到網(wǎng)絡(luò)非法外空間，也沒有意識到在網(wǎng)絡(luò)上公開他人的個人信息屬于侵權(quán)行為。

（三）我國個人信息保護的困境

1.我國個人信息保護立法有缺陷

其一，法律規(guī)定較分散、銜接不足。根據(jù)《網(wǎng)絡(luò)安全法》：個人發(fā)現(xiàn)網(wǎng)絡(luò)運營者違法收集、使用其個人信息的，有權(quán)要求刪除其個人信息。更正和刪除個人信息對運營者來說侵權(quán)的成本極低。而《刑法》則規(guī)定：違反國家有關(guān)規(guī)定，出售或提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑或拘役，并處或單處罰金。刑事責任相對來說比較嚴厲，而其他形式的法律責任又過于輕松，輕重之間缺少過度空間可能會導致不公平的裁判結(jié)果。

其二，法律救濟難，實際操作性弱。《民法總則》規(guī)定自然人的個人信息受法律保護，明確了信息使用者的行為規(guī)范，但具體的民事責任還沒有細化。若要信息使用者承擔侵權(quán)責任，被侵權(quán)人面對強大的數(shù)據(jù)技術(shù)和眾多的商家，要證明侵權(quán)人存在侵權(quán)行為且有實際損失，維權(quán)之路十分艱難。2018年《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示我國網(wǎng)絡(luò)安全問題中個人信息泄露最為嚴重，占比達到28.5%，相比 2017 年末增長 1.4 個百分點。 這從側(cè)面反映出個人信息保護的司法救濟還存在很大缺口。

2.商事領(lǐng)域中缺少行業(yè)自律

由于各行業(yè)之間千差萬別，即使有健全的法律體系，也很難覆蓋全部行業(yè)的個性化需求。而行業(yè)自律可以發(fā)揮它的優(yōu)勢，利用自身的專業(yè)性和個性化形成符合行業(yè)特點的通用規(guī)范。2012年，互聯(lián)網(wǎng)協(xié)會發(fā)布《互聯(lián)網(wǎng)搜索引擎服務(wù)自律公約》，約定簽約方有義務(wù)保護用戶個人信息的安全?；ヂ?lián)網(wǎng)行業(yè)還有許多企業(yè)并沒有加入自律公約，已加入的企業(yè)也并非完全按照公約標準執(zhí)行。例如在隱私保護方面，要使用產(chǎn)品也就必須接受企業(yè)的隱私聲明，用戶沒有其他選擇，這顯然使用戶處于不利地位。而有的隱私聲明強調(diào)了信息收集的內(nèi)容和方式，對信息后續(xù)的處理及保存期限卻沒有說明。

3.個人信息保護及權(quán)利意識積弱

我國的個人信息權(quán)利意識的覺醒較晚，很多人對于個人信息保護的認識尚停留在被動狀態(tài)。在當前的環(huán)境下，尤其年輕一代，日常生活不能缺少網(wǎng)絡(luò)。因為網(wǎng)絡(luò)應(yīng)用頻繁對于個人信息保護也便降低了警惕性，對于注冊網(wǎng)站、APP、授權(quán)應(yīng)用等已經(jīng)習以為常，常常不假思索就將個人信息按照提示輸入。根據(jù)2017年發(fā)布的《中國個人信息安全和隱私保護報告》，有72%的人認為信息泄露嚴重，有53%的人在瀏覽網(wǎng)頁的過程中泄露個人信息，有超30%的人遭遇過電信騷擾和詐騙。雖然生活體驗因為網(wǎng)絡(luò)而更加豐富，但其中隱藏著極大的個人信息泄露的隱患。

二、域外個人信息保護的經(jīng)驗考察

（一）立法對信息主體權(quán)利保護的強化

美國個人信息的保護傾向于在保護的同時不阻礙信息的流通， 以此保障經(jīng)濟能夠良好的發(fā)展。為緩解個人信息利用與保護之間的緊張關(guān)系，1974年美國通過《隱私法案》（Privacy Act），法案對個人信息的收集、保存、公開方式都作了較為詳細的規(guī)定。隨著科技和經(jīng)濟的不斷發(fā)展，越來越多的專業(yè)領(lǐng)域需要特別法的保護，于是美國又頒布了關(guān)于電子通訊、信息技術(shù)、網(wǎng)上兒童隱私方面的保護法案。

歐盟在個人信息權(quán)保護上，較美國更注重個人信息權(quán)利的人身屬性。1980年，歐盟頒布《關(guān)于保護隱私與個人數(shù)據(jù)跨國界流動的準則》，規(guī)定了保護的最低標準，使信息能夠安全穩(wěn)定的在成員國間流通。在信息技術(shù)迅速發(fā)展的大環(huán)境下，為了加強對信息主體的隱私權(quán)保護，頒布了《有關(guān)個人數(shù)據(jù)自動化處理之個人保護公約》，以此來約束各締約國收集公民個人信息的行為。1995年歐盟通過《數(shù)據(jù)保護指令》，對所有成員國數(shù)據(jù)保護實施的原則和規(guī)則進行了統(tǒng)一的規(guī)定。 2002年又出臺《電子隱私指令》，信息主體有了拒絕被非法收集個人隱私的權(quán)利。

（二）對國家機關(guān)的約束和監(jiān)督

美國在1974年頒布《隱私法案》，對個人隱私權(quán)的保護進行了全方位的規(guī)定，在注重個人隱私的美國有著較高的法律地位。該法案明確禁止任何部門不當收集、保存、使用或泄露個人信息。政府機關(guān)在收集個人信息時必須符合法律的規(guī)定，在收集后建立個人信息數(shù)據(jù)庫時必須發(fā)布公告。在有可能給信息主體帶來不利后果時，要盡可能由本人提供，并且只能在職務(wù)相關(guān)的必要范圍內(nèi)收集和處理，并且要保障信息的安全，不得外泄。在私權(quán)利面前，即使國家機關(guān)執(zhí)行公務(wù)也不能隨意冒犯。

在經(jīng)歷二戰(zhàn)后，個人信息的保護問題在德國比較敏感。德國相較于美國更傾向于發(fā)揮公權(quán)力在個人信息保護中的作用。1990年聯(lián)邦德國政府對《聯(lián)邦資料保護法》進行修改，明確規(guī)定對于信息處理的行為仍然是政府的職責，信息處理主體對于信息本身不得享有任何收益權(quán)。在2001年德國又對《聯(lián)邦資料保護法》進行了修改，擴大個人信息保護的范圍，并對國家機關(guān)和公共機構(gòu)收集信息作出了更為明確的規(guī)定。

（三）商事領(lǐng)域中行業(yè)自律機制

美國并不希望公權(quán)力過多的干預(yù)，在個人隱私保護上采取分散立法加行業(yè)自律的模式。例如金融行業(yè)，美國國會1999年通過了《金融服務(wù)現(xiàn)代化法案》，該法案明確規(guī)定金融行業(yè)機構(gòu)共享信息的應(yīng)當遵守的規(guī)則，嚴格控制信息外泄。該類機構(gòu)在使用個人信息時有義務(wù)通知信息主體，并對有關(guān)使用情況進行備案。個人可以選擇否定使用行為。 除此之外，通信行業(yè)、公共服務(wù)等行業(yè)領(lǐng)域也先后通過了類似法案。

歐盟將個人信息權(quán)視為基本人權(quán)，由國家主導通過統(tǒng)一的立法對權(quán)利進行確認和保護。在與美國在互動交流過程中，歐盟也開始借鑒美國行業(yè)自律模式。在1995年10月，歐盟締結(jié)了《個人信息保護指令》 ，納入了企業(yè)自治和行業(yè)自律的相關(guān)規(guī)定，要求成員國加強在個人信息處理過程中對隱私權(quán)的保護。

三、大數(shù)據(jù)時代我國個人信息保護與利用的路徑

（一）出臺個人信息保護法

我國現(xiàn)有法律法規(guī)中個人信息權(quán)利的性質(zhì)不甚清晰，性質(zhì)直接關(guān)系到權(quán)利和義務(wù)的內(nèi)容，也關(guān)系到調(diào)整方法。我們無需在隱私權(quán)向和財產(chǎn)權(quán)向中二選一，因為大數(shù)據(jù)時代下的個人信息已在技術(shù)的裹挾下進入公共利益的范圍，所以我們需要打破私權(quán)保護的限定，不落窠臼。

我國雖然有關(guān)于保護個人信息的法律規(guī)范，但是相對于我國目前的大環(huán)境來看，系統(tǒng)的個人信息保護法不可或缺。在2003年我國專家學者開始起草《個人信息保護法》，2018年《個人信息保護法》正式列入立法規(guī)劃。草案中對個人信息保護的原則做了詳細的敘述，明確了個人信息保護權(quán)利種類，對信息占用者和信息主體的權(quán)利和義務(wù)也做出了規(guī)定，在宏觀方面的規(guī)定很全面。但在具體的法律責任還有待完善的地方，草案第五章法律責任中規(guī)定：國家機關(guān)違反本法侵權(quán)并造成損失的，依據(jù)《國家賠償法》來處理;非國家機關(guān)的，依本法規(guī)定承擔民事責任，本法無規(guī)定的，依照其他法律法規(guī)承擔民事責任。面對在新技術(shù)手段下衍生的事物，我們也需要研究能夠充分應(yīng)對的責任形式。從個人信息權(quán)利的屬性出發(fā)，侵犯個人信息權(quán)利的責任形式可依據(jù)權(quán)利的屬性來設(shè)定，依據(jù)權(quán)利的人格和財產(chǎn)兩方面的性質(zhì)以及侵權(quán)行為造成損失的類型和嚴重程度來決定承擔侵權(quán)責任的形式。在現(xiàn)代社會中，因為文化自由和精神世界的豐富，人們也越來越看重除物質(zhì)之外的個人權(quán)益，例如名譽權(quán)、榮譽權(quán)等人格權(quán)利益。因此，在信息權(quán)利保護方面，除了實質(zhì)性損害以外，還可以賦予信息主體在侵權(quán)行為致其精神損害后尋求救濟的權(quán)利。

（二）完善對國家機關(guān)公權(quán)力的監(jiān)管

公權(quán)力往往因有國家強制力做保障而具有優(yōu)先地位，再加上 “官本位”思想根深蒂固，在公權(quán)力面前往往強調(diào)的是個人的義務(wù)，因此個人權(quán)利容易被忽視。

首先，應(yīng)加強對國家機關(guān)及其工作人員的監(jiān)管和約束，建立完善的信息使用與管理制度。日本政府在建立“住民基本臺賬網(wǎng)絡(luò)系統(tǒng)”時就遭到不少國民的反對，認為個人信息隱私權(quán)受到了侵害，并以此為由提起訴訟，最后經(jīng)日本最高法院明確，日本政府收集和利用個人信息的前提條件是“有比較完善的個人信息保護法律制度和技術(shù)措施，禁止個人確認信息的目的外使用”。 國家機關(guān)及其工作人員不僅要重視個人信息的安全問題，還應(yīng)給予個人信息權(quán)利相應(yīng)的尊重。對工作人員行使權(quán)力有明確的范圍限定，對接觸具體個人信息的人員采取責任制，建立完善的管理制度，保障個人信息的安全。明確國家機關(guān)及其工作人員行使權(quán)力的范圍，完善具體的管理方式，構(gòu)建方便、安全的操作程序。

其次，國家機關(guān)需提高其工作人員保護個人信息的意識。隨著電子政務(wù)的發(fā)展以及維護公共安全的需要，公民有時必須讓渡自己的個人信息，但這不等于放棄其權(quán)利，個人信息依然是受保護的。國家機關(guān)及其工作人員有義務(wù)將獲取的個人信息需按照法律的相關(guān)規(guī)定進行妥善保管、不能隨意泄露。公民有權(quán)利知悉信息收集、處理、使用、傳輸目的及信息主體拒絕提供信息可能造成的法律后果等。

（三）引導行業(yè)自律

根據(jù)第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》，我國有54%的網(wǎng)民遇到網(wǎng)絡(luò)安全問題，其中個人信息泄露最為嚴重，占比28.5%。 在商事領(lǐng)域有眾多行業(yè)，個人信息量太過龐大和繁雜，一個用戶可以在多家商戶留下個人信息，且各行之間的情況有其特殊性，立法不能面面俱到，無法涵蓋細節(jié)問題。因此，僅依靠立法和行政監(jiān)管來保護個人信息還不夠，而行業(yè)自律則可以發(fā)揮其特有的靈活性和專業(yè)性。

從上文中的域外經(jīng)驗考察中可看出美國的行業(yè)自律在個人信息保護上發(fā)揮了重要作用。商事領(lǐng)域行業(yè)眾多，個人信息量太過龐大和繁雜，且各行之間的情況有其特殊性，立法不能涵蓋許多細節(jié)問題，行業(yè)自律可以發(fā)揮靈活、及時的優(yōu)勢，商事組織可以根據(jù)行業(yè)內(nèi)的特點制定行業(yè)自律公約進行自我約束。美國保護個人信息（隱私）的行業(yè)自律模式主要有兩種：建議性的行業(yè)指導和網(wǎng)絡(luò)隱私認證計劃。 行業(yè)自律在美國已經(jīng)有相當深遠的社會基礎(chǔ)，其構(gòu)建行業(yè)自律機制的原因就是避免公權(quán)力過多干預(yù)私有經(jīng)濟的發(fā)展，而個人信息的保護不可或缺，要讓二者在同一環(huán)境中并存立法與行業(yè)自律并行是最優(yōu)的選擇。我國現(xiàn)階段在行業(yè)自律方面還不夠成熟，民間組織力量弱小且市場的自律性較低。行業(yè)自律由于是自發(fā)的機制，在我國當前的市場環(huán)境下要在行業(yè)內(nèi)形成尚有難度，因此根據(jù)我國自身的特點，由國家機關(guān)根據(jù)法律法規(guī)引導行業(yè)協(xié)會制定行業(yè)自律公約并對其實施進行指導和監(jiān)督，是比較可行的做法。

注釋：

《民法總則》第一百一十一條規(guī)定，自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應(yīng)當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

隱私權(quán)說認為個人信息本質(zhì)上是一種隱私（[美]Danie J. Solove ，Paul M. Schwartz），[美]Alan F. Westin提出了信息隱私權(quán)的概念。獨立人格（權(quán)）說認為個人信息是一般人格權(quán)之一（[德]Wilhelm Stein mluller， Bernd .lutter beck），認為個人信息是一種區(qū)別于隱私權(quán)的獨立人格權(quán)（[英]Orla Lynskey;[澳] Greenleaf Graham）、保護個人信息體現(xiàn)了對“個人自決”“個性”“個人人權(quán)”的尊重和保護（[美]Alita L. Aian）。財產(chǎn)利益（財產(chǎn)權(quán)）說認為個人信息對他人和社會有價值，應(yīng)當允許對個人信息的產(chǎn)權(quán)進行交易，主張個人信息是一種財產(chǎn)利益（[美]Richard A. Posner， Shapiro Carle， Varain Hal等）。

胡衛(wèi)萍教授認為應(yīng)將個人信息作為一種新型具體人格權(quán)予以立法確認。王利明教授也認為個人信息權(quán)是一種新型的民事權(quán)利，是人格權(quán)的一種。雖然個人信息具有財產(chǎn)因素，但其主要特征并非財產(chǎn)屬性。

[法]盧梭著.社會契約論[M].何兆武譯.北京：商務(wù)印書館，2003：38.

第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》.中國網(wǎng)信網(wǎng)：http：//www.cac.gov.cn/2018- 08/20/c_1123296882.htm.訪問時間：2019年3月18日.

雷婉璐.我國個人信息權(quán)的立法保護——對美國和歐盟個人信息保護最新進展的比較分析[J].學術(shù)大視野，2018（23），第109頁.

牟朗宇.大數(shù)據(jù)時代下個人隱私權(quán)法律保護的問題研究[D].西南交通大學，2017.

劉家玲.大數(shù)據(jù)時代個人信息保護的法律研究[D].浙江大學，2016.

20世紀80年代后期，歐盟各成員國之間信息保護程度嚴重不平衡。各成員國立法上的差異阻礙了歐洲各國之間的信息流通，從而限制歐洲內(nèi)部統(tǒng)一市場的形成。1995年10月歐盟簽署《個人信息保護指令》。這條指令的主要目的是平衡各成員國的信息保護發(fā)展和基本理念，建立水平相當?shù)男畔⒈Ｗo體系，以促進實現(xiàn)內(nèi)部市場的形成和利益各方的平衡發(fā)展。

李春華、馮中威.歐盟與美國個人數(shù)據(jù)保護模式之比較及其啟示[J].社科縱橫，2017，32（8），第90頁.

吳偉光.大數(shù)據(jù)技術(shù)下個人數(shù)據(jù)西悉尼私權(quán)保護論批判[J].政治與法律，2016（7），第117頁.

魏健馨、宋仁超.日本個人信息權(quán)利立法保護的經(jīng)驗及借鑒[J].沈陽工業(yè)大學學報，2018（4），第293頁.

第42次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》.中國網(wǎng)信網(wǎng)：http：//www.cac.gov.cn/2018-08/20/c_1123296882.htm.訪問時間：2019年3月18日.

張繼紅.大數(shù)據(jù)時代個人信息保護行業(yè)自律的困境與出路[J].財經(jīng)法學，2018（6）：61.