史旻玥，馬佳昕，朱小靜

（南京林業(yè)大學(xué) 馬克思主義學(xué)院，南京210037）

隨著現(xiàn)代社會網(wǎng)絡(luò)和通信的普及，各類信息數(shù)據(jù)的流通利用逐漸普遍化，在其被創(chuàng)造經(jīng)濟(jì)價(jià)值的同時(shí)，由于個(gè)人信息泄露而導(dǎo)致個(gè)人法益遭受侵害的情況不計(jì)其數(shù)。大數(shù)據(jù)處理在讓個(gè)人信息的傳輸利用變得便捷快速的同時(shí)也導(dǎo)致了個(gè)人信息的安全風(fēng)險(xiǎn)大大上升。本文擬從大數(shù)據(jù)背景下個(gè)人信息保護(hù)方面出現(xiàn)的現(xiàn)實(shí)難題出發(fā)，尋找相關(guān)的法律應(yīng)對。

1 個(gè)人信息的法律內(nèi)涵

對于個(gè)人信息的含義，各個(gè)國家的法律法規(guī)中都存在相關(guān)的定義和解釋。德國的《聯(lián)邦數(shù)據(jù)保護(hù)法》是將個(gè)人信息與可識別的個(gè)人客觀事實(shí)情況對應(yīng)起來并側(cè)重了它的可識別性。歐盟發(fā)布的《通用數(shù)據(jù)保護(hù)條例》中對個(gè)人信息的定義與德國大同小異，兩部法規(guī)都強(qiáng)調(diào)了個(gè)人信息是一種具有一定識別度的個(gè)人數(shù)據(jù)。日本在2017 年版《個(gè)人信息保護(hù)法》中對“個(gè)人信息”的定義是能夠識別特定個(gè)人或者含有個(gè)人識別符號的信息，引入了“個(gè)人信息數(shù)據(jù)庫”的概念[1]。個(gè)人信息雖在各國的法律中有各自的定義，但是都被肯定并強(qiáng)調(diào)了它的可識別性。

我國《網(wǎng)絡(luò)安全法》將個(gè)人信息界定為通過單獨(dú)或者與其他信息相結(jié)合能夠確定個(gè)體身份的信息并涵蓋了姓名、聯(lián)系方式、家庭住址等內(nèi)容。關(guān)于侵犯公民個(gè)人信息方面的司法解釋也對公民個(gè)人信息作了進(jìn)一步的詮釋，除了包括能夠判斷出特定人身份的信息以外，還包括能反映公民個(gè)人活動(dòng)情況的各類信息。這些法規(guī)總體都是先概括后具體列舉，對個(gè)人信息的界定范圍也都呈現(xiàn)出擴(kuò)大化趨勢，體現(xiàn)出對隱私范圍內(nèi)的個(gè)人信息的進(jìn)一步保護(hù)，但沒有體現(xiàn)當(dāng)下個(gè)人信息的公共性。

2 大數(shù)據(jù)對個(gè)人信息保護(hù)的挑戰(zhàn)

2.1 多樣化的數(shù)據(jù)源增加了個(gè)人信息安全風(fēng)險(xiǎn)

大數(shù)據(jù)分析以收集建立的大數(shù)據(jù)庫為基礎(chǔ)從而準(zhǔn)確挖掘出隱藏于大量數(shù)據(jù)中的有效信息。僅僅就我們?nèi)粘Ｉ钪惺褂玫腁pp應(yīng)用就已經(jīng)為個(gè)人信息的采集創(chuàng)造了無數(shù)可利用的數(shù)據(jù)源，同時(shí)由于信息化建設(shè)帶來的快捷性和便利性，各行各業(yè)都借助電子信息技術(shù)和組建個(gè)人信息數(shù)據(jù)庫等手段來確立了新的工作方式，比如政府的行政辦公電子檔案系統(tǒng)和醫(yī)院的醫(yī)療系統(tǒng)就已經(jīng)實(shí)現(xiàn)了異地同步。這些大數(shù)據(jù)對各行各業(yè)的滲透使得個(gè)人信息的獲取途徑變得多樣化，這在給人們帶來生活便利的同時(shí)也助推了個(gè)人信息的安全風(fēng)險(xiǎn)提升。

2.2 數(shù)據(jù)信息處理過程中個(gè)人喪失控制能力

在大數(shù)據(jù)應(yīng)用過程中，個(gè)人信息的收集僅僅是一個(gè)步驟流程，對信息的整合抽樣及最后挖掘出它的價(jià)值也是數(shù)據(jù)處理的重要部分。個(gè)人信息的傳輸利用經(jīng)手了數(shù)據(jù)收集者、數(shù)據(jù)使用者以及數(shù)據(jù)交易服務(wù)平臺，期間用戶對于自己的個(gè)人信息處于何種利用狀態(tài)無從得知，整個(gè)處理過程也較為隱蔽，沒有與信息主體產(chǎn)生直接聯(lián)系。雖然大數(shù)據(jù)處理的是去身份化后的個(gè)人信息，但是惡意使用者可以將具有關(guān)聯(lián)性的信息碎片組合起來恢復(fù)其可識別性[2]，這也會導(dǎo)致個(gè)人信息權(quán)益因非法利用而遭受損害，多方的信息處理主體和個(gè)人信息利用狀態(tài)的未知都使得我們在數(shù)據(jù)信息處理過程中對自身的個(gè)人信息失去了掌控力。

2.3 大數(shù)據(jù)使得個(gè)人信息的被利用與泄露之間因果關(guān)系模糊

低價(jià)值密度是大數(shù)據(jù)的一個(gè)顯著特征[3]，信息利用主體收集的數(shù)據(jù)量越多，數(shù)據(jù)的價(jià)值就越高。個(gè)人信息的潛在價(jià)值是在大量數(shù)據(jù)信息集合的基礎(chǔ)之上產(chǎn)生的，單一的個(gè)人信息并沒有多大的潛在價(jià)值，大數(shù)據(jù)也不是有目標(biāo)性的針對一個(gè)人獲取信息。海量規(guī)?；母黝愋畔⑹沟帽皇占玫膫€(gè)人信息與個(gè)人信息安全不具有直接性關(guān)聯(lián)，因此，這種大量的單獨(dú)價(jià)值很低的不具有可識別性的個(gè)人信息的利用與其被非法泄露造成的損害結(jié)果之間的因果關(guān)系變得含糊不清。同時(shí)，在大數(shù)據(jù)對信息收集利用時(shí)，并非只存在唯一的數(shù)據(jù)介體，個(gè)人無法明確指出個(gè)人信息泄露的具體過程以及大數(shù)據(jù)利用與結(jié)果之間的因果關(guān)系。

3 我國個(gè)人信息保護(hù)法律的主要突出問題

3.1 傳統(tǒng)的個(gè)人信息保護(hù)制度設(shè)計(jì)忽略了個(gè)人信息的公共性

傳統(tǒng)的個(gè)人信息保護(hù)將個(gè)人信息完全歸入了隱私性質(zhì)的信息一類，沒有考慮到它可以被流通利用的公共性。個(gè)人信息雖然帶有識別度，但它的公共效用是不能被我們忽略的。例如，購買三明治機(jī)的消費(fèi)記錄雖然與個(gè)人有關(guān)，但是消費(fèi)平臺也可以利用該信息預(yù)測出該商品下一季度的銷量。當(dāng)然，對私密信息的個(gè)人控制也是需要保證的，比如個(gè)人病史、基因、性取向等這些與人格尊嚴(yán)緊密關(guān)聯(lián)的信息。但是目前的立法過度偏向了個(gè)人的絕對控制，沒有考慮到它在合理程度上被流通使用的情況。

我國立法對于個(gè)人信息是給予明確的法律保護(hù)的，其他人或組織在需要他人個(gè)人信息時(shí)要依法取得并謹(jǐn)慎對待，防止由于自己的行為造成信息泄露而對信息主體造成損害，禁止通過非法手段從事與他人信息有關(guān)的獲利行為。但相關(guān)規(guī)定并未涉及到個(gè)人信息的公共利用，而是直接將個(gè)人控制上升為法律上的權(quán)利，保證個(gè)人享有絕對支配權(quán)[4]。顯然我國目前的相關(guān)法律還沒有處理好個(gè)人信息的主體意志和經(jīng)濟(jì)價(jià)值之間的關(guān)系。

3.2 被侵權(quán)主體舉證難度大

在多數(shù)的個(gè)人信息權(quán)益侵害案件中，原告（即被侵權(quán)主體）承擔(dān)著對侵權(quán)行為的舉證責(zé)任，然而由于大數(shù)據(jù)流通利用信息的過程不透明，實(shí)踐中原告往往因?yàn)闆]有能力完成舉證責(zé)任而無法獲得法律救濟(jì)。首先，大數(shù)據(jù)對信息的收集傳輸使得被告并不是掌握原告?zhèn)€人信息的唯一介體。其次，向法院提交關(guān)于被告泄露自己個(gè)人信息的信息傳輸報(bào)告和數(shù)據(jù)記錄等材料需要一定的技術(shù)和條件，這些原告通常無法獲得。再者，在這些個(gè)人信息權(quán)益糾紛中，原告一般為普通人，被告一般為企業(yè)和機(jī)構(gòu)，兩者實(shí)力存在不對等，此時(shí)再對原告的舉證提出嚴(yán)格的要求，顯然難上加難。

在我國《侵權(quán)責(zé)任法》中，民事侵權(quán)法律原則要求任何民事主體在進(jìn)行某種活動(dòng)時(shí)損害了他人的利益就應(yīng)承擔(dān)相應(yīng)的法律責(zé)任，但這要求原告需要提供與案件存在因果關(guān)系的被告過錯(cuò)行為的證明，即采納過錯(cuò)責(zé)任原則。但是依據(jù)我國相關(guān)司法解釋，在當(dāng)事人提供證據(jù)后，法院通過主動(dòng)審查和對案件實(shí)際情況的了解，發(fā)現(xiàn)當(dāng)事人陳述的事實(shí)具有非常大的存在可能性時(shí)，該事實(shí)可以被法院承認(rèn)。以龐理鵬訴東航案為例，原告委托朋友通過被告的網(wǎng)絡(luò)平臺購買了東航的機(jī)票，訂單上的聯(lián)系方式為朋友的手機(jī)號，但之后卻是原告本人的手機(jī)收到了相關(guān)的提示短信，他認(rèn)為購票平臺公司和東航公司泄漏了他的隱私信息，因此原告起訴了兩家公司。該案中，二審法院作出了被告于本判決生效后十日內(nèi)在其官方網(wǎng)站首頁發(fā)布向原告為期三天的持續(xù)道歉公告。由于從舉證的能力和成本上看,原告無法證明其個(gè)人信息是在東航、購票平臺公司數(shù)據(jù)系統(tǒng)中泄漏出去的，也無法明確指出兩家公司信息系統(tǒng)存在問題。但是原告提供的證據(jù)又能合理的將東航和購票平臺公司與原告?zhèn)€人隱私信息的泄露串聯(lián)起來，而且其主張的事實(shí)發(fā)生的可能性也很大，因此二審法院認(rèn)為法律不應(yīng)堅(jiān)持要求原告承擔(dān)提供東航或購票平臺公司泄露了其個(gè)人信息的確鑿證據(jù)的舉證責(zé)任[5]。通過本案可以發(fā)現(xiàn)，我國在法律實(shí)踐中也開始注意到了原告舉證能力的問題，并相應(yīng)降低了證明標(biāo)準(zhǔn)。但是，我國法律中尚無給予原告在舉證方面相關(guān)法律援助的規(guī)定，依然存在原被告實(shí)力不對等的問題。

3.3 沒有權(quán)責(zé)分明的監(jiān)管機(jī)構(gòu)

各法都規(guī)定了公民對于其個(gè)人信息享有獲得法律救濟(jì)的權(quán)利，但未明確規(guī)定在個(gè)人信息權(quán)益受到損害時(shí)，具體應(yīng)由哪個(gè)機(jī)關(guān)采取何種程序與措施進(jìn)行管理，也未明確在數(shù)據(jù)流通過程中的監(jiān)管部門。法律條文的碎片化和零散化意味著相關(guān)監(jiān)督管理體系是由多個(gè)部門參與共同監(jiān)管，網(wǎng)信部門、電信部門以及公安部門各司其職，在該體系下，監(jiān)管和執(zhí)行主體的責(zé)任都不夠明確，管理范圍也存在重合或空白區(qū)域，彼此之間沒有科學(xué)完善的協(xié)調(diào)統(tǒng)一機(jī)制，易造成治理混亂和懈怠。

4 大數(shù)據(jù)時(shí)代下個(gè)人信息保護(hù)的法律應(yīng)對

4.1 確立合適的立法保護(hù)模式

我國之前都是對個(gè)人信息采取統(tǒng)一的立法保護(hù)模式，將個(gè)人信息一概歸為個(gè)人隱私處理，并未對其進(jìn)行分級分類，忽略了其隱私性的差異也有悖于其使用價(jià)值的發(fā)揮。沒有注意到個(gè)人信息的公共性。

在處理個(gè)人信息保護(hù)和流通利用關(guān)系時(shí)，我國立法可以一級信息和次級信息標(biāo)準(zhǔn)來進(jìn)行范圍設(shè)定劃分，在此基礎(chǔ)上對一級信息實(shí)行絕對個(gè)人控制[6]。一級信息是指處于隱私中心涉及到人格尊嚴(yán)的對個(gè)人有重大影響的個(gè)人信息，其余能與社會共享的不與個(gè)人身心產(chǎn)生直接關(guān)系的信息則為次級信息，在侵權(quán)案件處理時(shí)，要注意對具體涉及的個(gè)人信息的分級標(biāo)準(zhǔn)進(jìn)行情景化判斷。對于一級信息，法律應(yīng)賦予信息主體絕對權(quán)利，實(shí)行完全知情同意規(guī)則；對于次級信息，立法應(yīng)從絕對個(gè)人所有轉(zhuǎn)向允許社會合理利用，釋放個(gè)人信息的公共價(jià)值，實(shí)行選擇退出規(guī)則。我國應(yīng)以此為基本進(jìn)路訂制符合我國國情的個(gè)人信息保護(hù)法律制度。

4.2 實(shí)行分段保護(hù)的信息管理制度

數(shù)據(jù)信息流通利用過程涉及個(gè)人和企業(yè)兩個(gè)權(quán)利主體，個(gè)人階段信息的產(chǎn)生披露和企業(yè)階段的收集利用是個(gè)人信息實(shí)現(xiàn)潛在價(jià)值的兩個(gè)重要流程，針對這兩個(gè)階段應(yīng)實(shí)行相應(yīng)的分段管理保護(hù)制度。個(gè)人階段，不論是個(gè)人的主動(dòng)披露還是數(shù)據(jù)使用者的收集整合，個(gè)人對于與其密切相關(guān)的一級信息都有所有權(quán)、控制權(quán)和法律救濟(jì)權(quán)利。結(jié)合兩級信息的完全知情同意規(guī)則與選擇退出規(guī)則，一旦信息被非法泄露，個(gè)人可以對責(zé)任主體運(yùn)用法律手段進(jìn)行追責(zé)。企業(yè)階段，出于發(fā)揮數(shù)據(jù)信息經(jīng)濟(jì)價(jià)值的動(dòng)機(jī)，我們允許企業(yè)對個(gè)人信息的采集利用，但需要規(guī)制收集行為并對可收集數(shù)據(jù)信息設(shè)定界限。一方面，應(yīng)規(guī)定相關(guān)應(yīng)用和企業(yè)在要求用戶提供個(gè)人信息時(shí)不得超過合理范圍；另一方面，對于企業(yè)收集的數(shù)據(jù)信息必須要求其進(jìn)行去身份化處理[7]，直接從源頭上遏制非法泄露。將規(guī)制規(guī)范和合理界限設(shè)置相結(jié)合來達(dá)到企業(yè)階段信息管理保護(hù)的目標(biāo)。

4.3 設(shè)置專事機(jī)構(gòu)同時(shí)給予司法援助

目前我國沒有專門的數(shù)據(jù)信息管理機(jī)構(gòu)，個(gè)人缺乏特定部門給予的幫助和指導(dǎo)，加上個(gè)人信息的被利用與泄露之間因果關(guān)系模糊，所以當(dāng)事人運(yùn)用法律手段進(jìn)行權(quán)利救濟(jì)的勝算并不大，因此我們要設(shè)置專事機(jī)構(gòu)并在當(dāng)事人的舉證維權(quán)過程中提供司法援助或適當(dāng)減輕舉證責(zé)任以此來緩解監(jiān)管和救濟(jì)難的問題。

在司法實(shí)踐中，法院應(yīng)適當(dāng)運(yùn)用舉證責(zé)任緩和規(guī)則，對于原告已經(jīng)提出的能證明其主張非常接近客觀事實(shí)的證據(jù)，法院應(yīng)當(dāng)適當(dāng)降低原告的證明標(biāo)準(zhǔn)。因科學(xué)技術(shù)限制或者涉及高度專業(yè)化的知識條件而無法繼續(xù)舉證的，應(yīng)當(dāng)由被告舉證，被告不能提供有力證據(jù)來證明原告所受侵害結(jié)果與自己的行為活動(dòng)無關(guān)的，則認(rèn)定原告觀點(diǎn)成立[8]。同時(shí)，法律可以規(guī)定通過專業(yè)機(jī)構(gòu)和司法援助為原告提供技術(shù)上的幫助來實(shí)現(xiàn)雙方實(shí)力的對等，這對于原告的舉證維權(quán)也是一種激勵(lì)。

大數(shù)據(jù)時(shí)代的高速發(fā)展帶動(dòng)了個(gè)人信息的多重價(jià)值發(fā)揮，健全政府的行政監(jiān)管來保證行業(yè)的穩(wěn)定和個(gè)人的信息安全在當(dāng)下就顯得很有必要。鑒于實(shí)際情況，我國可以以工信部為主要部門，下設(shè)管理信息流通和維護(hù)信息安全的專事機(jī)構(gòu)，嚴(yán)格管控行業(yè)對數(shù)據(jù)信息的流通使用，并為信息主體個(gè)人信息安全提供專業(yè)化服務(wù)和幫助。同時(shí)結(jié)合企業(yè)違法行為公示制度和黑名單制度來實(shí)現(xiàn)對行業(yè)的有效監(jiān)管。