杜碧蓮

（中國人民公安大學(xué)，北京100038）

一、大數(shù)據(jù)背景下對我國個人信息保護(hù)的檢視

根據(jù)中國互聯(lián)網(wǎng)協(xié)會在2020年7月發(fā)布的《中國互聯(lián)網(wǎng)發(fā)展報告2020》，中國電子商務(wù)交易規(guī)模達(dá)34.81萬億元，已連續(xù)多年占據(jù)全球電子商務(wù)市場首位；全國數(shù)字經(jīng)濟(jì)增加值達(dá)35.8萬億元，數(shù)字經(jīng)濟(jì)總值已穩(wěn)居世界第二。①從1980年“大數(shù)據(jù)”一詞率先被學(xué)者阿爾溫·托夫勒提出，到2014年“大數(shù)據(jù)”一詞首次寫入政府工作報告，再到2020年發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》提出“加快培育數(shù)據(jù)要素市場”，數(shù)據(jù)正式被認(rèn)為是基礎(chǔ)生產(chǎn)要素之一。數(shù)據(jù)成為經(jīng)濟(jì)發(fā)展新引擎已毋庸置疑。

然而，大數(shù)據(jù)開發(fā)的同時也侵蝕了公民的個人信息安全。無所不在的數(shù)據(jù)收集，在用戶毫無察覺間監(jiān)視個人生活的點(diǎn)點(diǎn)滴滴；個人數(shù)據(jù)的對比、分析，可能使算法比用戶更了解自己，形成“信息繭房”，進(jìn)而操控用戶的選擇和意志；數(shù)據(jù)的流轉(zhuǎn)，使得個人對個人數(shù)據(jù)的去向一無所知，進(jìn)一步削弱了用戶對個人信息的控制等等。究其原因，在于當(dāng)前法律制度的建設(shè)遠(yuǎn)遠(yuǎn)落后于數(shù)據(jù)產(chǎn)業(yè)的實(shí)踐，法學(xué)界對數(shù)字經(jīng)濟(jì)缺乏系統(tǒng)性和跨學(xué)科的理論儲備，難以為中國的數(shù)據(jù)流通提供清晰而完整的法律地圖，致使數(shù)據(jù)流動面臨重大的法律風(fēng)險，其中最突出的就是個人信息保護(hù)的風(fēng)險。

個人信息保護(hù)與數(shù)據(jù)流動的平衡是數(shù)據(jù)產(chǎn)業(yè)發(fā)展的核心問題?！锻ㄓ脭?shù)據(jù)保護(hù)條例》（General Data Protection Regulation，簡稱GDPR）第一條即開宗明義地指出：“本條例旨在確立個人數(shù)據(jù)處理中的自然人保護(hù)和數(shù)據(jù)自由流通的規(guī)范。”個人信息保護(hù)是數(shù)據(jù)流動的基礎(chǔ)，數(shù)據(jù)流動是數(shù)據(jù)權(quán)利保護(hù)的目的。二者相輔相成，從長遠(yuǎn)看是正相關(guān)的關(guān)系。無視個人信息保護(hù)，數(shù)據(jù)黑市、數(shù)據(jù)泄露以及緊隨其后的隱私侵犯、精準(zhǔn)詐騙等數(shù)據(jù)濫用終究會將數(shù)據(jù)市場毀于一旦，影響國家的經(jīng)濟(jì)發(fā)展。面對強(qiáng)大的互聯(lián)網(wǎng)企業(yè)，個人力量柔弱不堪。只有國家對公民的個人信息提供權(quán)利保障，數(shù)據(jù)主體才能獲得真正的自由。

二、我國個人信息保護(hù)的立法現(xiàn)狀及不足

個人信息保護(hù)的法律屬性在我國仍具有較大爭議，但其蘊(yùn)含的人格價值——人的尊嚴(yán)與自由早已達(dá)成廣泛共識。歐盟將個人信息權(quán)視為基本人權(quán)，②通過統(tǒng)一立法的模式，對個人信息的界定較為寬泛，對個人信息的保護(hù)較為嚴(yán)格，這大大增加了大數(shù)據(jù)企業(yè)的合規(guī)成本。美國則構(gòu)建了開放式的隱私權(quán)，從沃倫和布蘭代斯的獨(dú)處權(quán)理論，③到普羅瑟的四分法理論，④再到威斯汀的隱私控制理論，⑤采取分散立法與行業(yè)自律結(jié)合的模式，對個人信息的保護(hù)較為寬松，更偏重數(shù)據(jù)自由流動的價值取向。我國個人信息保護(hù)亦采用分散立法的模式。筆者在北大法寶的法律法規(guī)庫對“個人信息”進(jìn)行全文檢索，顯示目前我國有70余部法律、60余部法規(guī)、1200余部部門規(guī)章涉及個人信息保護(hù)，以下對部分較為典型的法律文件進(jìn)行介紹。

?

盡管涉及個人信息保護(hù)的法律規(guī)范數(shù)不勝數(shù)，但絕大部分文本僅作原則性規(guī)定，對個人信息的保護(hù)客體、權(quán)利屬性、權(quán)利內(nèi)容以及法律責(zé)任的具體規(guī)范尚顯闕如。

（一）保護(hù)客體模糊

對個人信息范圍的界定，是大數(shù)據(jù)交易中完善個人信息保護(hù)無法回避的核心問題。我國的法律文件主要采取識別型個人信息定義，從語義上大多采取下定義+列舉的模式，但所列舉的范疇不盡相同（詳見下表）。

?

可以看到，隨著大數(shù)據(jù)時代的到來，每一次點(diǎn)擊、搜索、出行、通話、交易都有極大可能被“監(jiān)視”、收集并上傳至云端。無處不在的數(shù)據(jù)收集、用戶畫像，使得個人信息的邊界一再擴(kuò)張。個人信息范圍的曖昧不清，導(dǎo)致法律適用存在極大的不確定性，信息主體難以主張自身權(quán)益，大數(shù)據(jù)企業(yè)在進(jìn)行匿名化操作時也感到無所適從。如上表所示，除了姓名、出生日期、身份證號碼、聯(lián)系方式等直接識別信息之外，行蹤軌跡、交易信息甚至瀏覽記錄等都可能成為具有識別性的個人信息。因?yàn)閷τ诠穸?，一般不具備?shù)據(jù)資源和技術(shù)手段將匿名化數(shù)據(jù)復(fù)原，而對于數(shù)據(jù)控制者及數(shù)據(jù)處理者，通過大數(shù)據(jù)關(guān)聯(lián)分析、聚類、分類等數(shù)據(jù)挖掘分析方法，很容易使得原本匿名的信息重新具有識別性。

當(dāng)前關(guān)于個人信息的兩種主流理論分類無法解決個人信息的界定問題。第一種分類是直接個人信息和間接個人信息，前者是指能單獨(dú)識別自然人的信息，如姓名、身份證號、聯(lián)系方式等，后者是指與其他信息結(jié)合能夠識別自然人的信息，如搜索記錄、行蹤軌跡、交易信息等。第二種分類是敏感個人信息與一般個人信息，區(qū)分標(biāo)準(zhǔn)是信息泄露是否會對信息主體造成不良影響，前者是指一旦泄露或?yàn)E用可能危害信息主體的人身和財產(chǎn)安全，⑥包括性生活及性取向信息、健康醫(yī)療記錄、身份證號、個人生物識別信息等。最富有爭議的，無疑是對間接個人信息和一般個人信息的界定與保護(hù)。因?yàn)橹苯觽€人信息與敏感個人信息是相對有限、固定的，對其進(jìn)行匿名化操作即可為信息主體披上遮蔽身份的斗篷。而間接個人信息和一般個人信息在數(shù)據(jù)時代是無限泛化、動態(tài)增長的，對其進(jìn)行徹底地去關(guān)聯(lián)性會降低數(shù)據(jù)價值，限制了數(shù)據(jù)在刺激市場經(jīng)濟(jì)、方便個人生活、改善公共管理方面的功能。因此，采用傳統(tǒng)的靜態(tài)的個人信息界定模式已經(jīng)無法適應(yīng)當(dāng)下數(shù)據(jù)產(chǎn)業(yè)的需求。

（二）權(quán)利屬性不明，權(quán)利內(nèi)容缺失

我國法律并未明確個人信息的權(quán)利屬性。《最高人民法院關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》將個人信息納入隱私權(quán)保護(hù)，《民法總則》與《民法典》將個人信息保護(hù)與隱私權(quán)并列。司法實(shí)踐中，民事案件中的個人信息糾紛往往被納入隱私權(quán)或名譽(yù)權(quán)的保護(hù)范疇。但是這種保護(hù)存在諸多不足，如要求將個人信息向社會公開、個人信息的財產(chǎn)性利益無法得到保護(hù)、已經(jīng)公開或者涉及公共利益的個人信息被排除在保護(hù)范圍之外等等。在民事法律與行政法規(guī)不完善的情況下，針對個人信息泄露和濫用導(dǎo)致的嚴(yán)重社會危害，只能由刑法作最后一道防線，導(dǎo)致了我國個人信息保護(hù)刑法先行的現(xiàn)狀。

我國法律并未明確個人信息的權(quán)利內(nèi)容。盡管我國法律法規(guī)對個人信息保護(hù)的內(nèi)容分布十分廣泛，但多以個人信息保密并承擔(dān)法律責(zé)任的原則性規(guī)定為主，對個人信息的權(quán)利內(nèi)容的建構(gòu)仍需完善。筆者認(rèn)為，個人信息的權(quán)利包括人格權(quán)益和財產(chǎn)權(quán)益。我國法律對個人信息的人格權(quán)益有部分規(guī)定，對個人信息的財產(chǎn)權(quán)益尚未提及。

縱觀域外立法，個人信息的人格權(quán)益包括知情同意權(quán)、查詢權(quán)與修改權(quán)等。知情同意權(quán)是指只有在用戶知情同意的基礎(chǔ)上，才允許從業(yè)者收集和處理有限的用戶數(shù)據(jù)。《民法典》第1035條、《網(wǎng)絡(luò)安全法》第41條均有規(guī)定。查詢權(quán)是指個人有權(quán)向個人信息持有查詢其個人信息的來源、類別、內(nèi)容、加工狀態(tài)及加工目的等；修改權(quán)是指個人因其個人信息的完整性、準(zhǔn)確性和及時性存在謬誤或疑慮，向信息持有者進(jìn)行更改的權(quán)利。通過修改不準(zhǔn)確或不正當(dāng)?shù)膫€人信息，確保用戶個人畫像不受歪曲。對知情同意權(quán)和查詢權(quán)與修改權(quán)，《民法典》第1037條、《網(wǎng)絡(luò)安全法》第43條及2012年《全國人大常委會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》第2條均有所體現(xiàn)。

相較于個人信息的人格價值，個人信息的財產(chǎn)權(quán)益是否成立，在學(xué)界尚存爭議。因個人信息蘊(yùn)含著巨大經(jīng)濟(jì)價值，在降低企業(yè)成本、指明投資方向、反映社會動態(tài)等方面發(fā)揮深刻作用，勞倫斯·萊斯格最先提出個人信息財產(chǎn)化的相關(guān)理論，⑦用于平衡大數(shù)據(jù)交易產(chǎn)業(yè)的發(fā)展和個人信息的保護(hù)，回應(yīng)個人信息的利益分配問題。我國法律對個人信息的財產(chǎn)權(quán)益沒有回應(yīng)，與此同時，大數(shù)據(jù)交易市場也面臨著數(shù)據(jù)定價的難題。

（三）法律責(zé)任抽象，監(jiān)管機(jī)構(gòu)較多

法律責(zé)任的落實(shí)是法律權(quán)利的保障，法律權(quán)利的完善是法律責(zé)任的依據(jù)。目前我國法律文件中對侵犯個人信息的法律責(zé)任的規(guī)定比較抽象，除刑法之外，多數(shù)采取宣示性規(guī)定——“造成損失的，承擔(dān)民事賠償責(zé)任”“依法給予處分或行政處罰”或“構(gòu)成犯罪的承擔(dān)刑事責(zé)任”等，無法具體落實(shí)。究其原因，在于當(dāng)前沒有權(quán)威的法律規(guī)范規(guī)定個人信息的保護(hù)范圍與個人信息權(quán)利內(nèi)容，以致法律責(zé)任的追究缺乏切實(shí)的依據(jù)，無法進(jìn)行危害程度和危害結(jié)果的量化規(guī)范。

在對個人信息的監(jiān)管上，存在多頭監(jiān)管、權(quán)責(zé)不明的問題。我國法律將個人信息保護(hù)的監(jiān)管權(quán)分散賦予各級地方政府、公安部門、網(wǎng)信部門、⑧工信部門和省級通信管理部門、⑨市場監(jiān)督管理部門⑩等各類政府監(jiān)管機(jī)構(gòu)。這種分散式執(zhí)法在我國實(shí)踐中問題重重，容易導(dǎo)致不同的監(jiān)管機(jī)構(gòu)各自為政，對個人信息保護(hù)標(biāo)準(zhǔn)不一；有的機(jī)構(gòu)只服務(wù)于本部門傳統(tǒng)監(jiān)管任務(wù)，對個人信息保護(hù)互相推脫，導(dǎo)致個人信息監(jiān)管難度大、執(zhí)法資源浪費(fèi)等。

三、我國個人信息保護(hù)立法的完善路徑

（一）轉(zhuǎn)變個人信息界定路徑

計算機(jī)技術(shù)的日新月異導(dǎo)致個人信息的無限擴(kuò)張，突破了傳統(tǒng)的個人信息界定模式的保護(hù)范圍。從靜態(tài)的分類保護(hù)個人信息界定方法，轉(zhuǎn)變?yōu)閯討B(tài)化、場景化的個人信息界定路徑，方能切合數(shù)據(jù)時代個人信息的發(fā)展特點(diǎn)，釋放數(shù)據(jù)活力，開發(fā)數(shù)據(jù)價值。

同一組信息，對于不特定個人而言可能不具有識別性，對信息主體的親朋好友來說顯而易見；同一個數(shù)據(jù)庫，如果用來進(jìn)行可關(guān)閉的個性化推薦，則用戶與商家都喜聞樂見；如果用于價格歧視，則構(gòu)成對信息主體的侵害。因此，“場景”是多種多樣的，包括信息的內(nèi)容、數(shù)量、收集方式、信息持有者的信息和技術(shù)水平、信息的使用目的與后果以及科技發(fā)展程度等等。

對信息的界定，不應(yīng)當(dāng)是傳統(tǒng)的全有或全無模式，數(shù)據(jù)時代的匿名性是相對的，而全盤切斷信息的關(guān)聯(lián)性無異于切斷數(shù)據(jù)的價值源泉，而應(yīng)當(dāng)是評估構(gòu)成個人信息的可能性，是一種程度化判斷，根據(jù)信息使用的具體場景，以及當(dāng)事人可接受的風(fēng)險程度，對信息的全生命周期進(jìn)行動態(tài)評估。

（二）明確個人信息權(quán)利性質(zhì)

受信息隱私權(quán)模式和個人信息自決權(quán)模式的影響，我國對個人信息的屬性主要有一般人格權(quán)說、獨(dú)立人格權(quán)說、隱私權(quán)說、財產(chǎn)權(quán)說以及知識產(chǎn)權(quán)說。

1.一般人格權(quán)說認(rèn)為個人信息本身不是某一類人格要素，因此無法作為具體人格保護(hù)，應(yīng)屬于一般人格權(quán)保護(hù)的對象，其弊端在于，一般人格權(quán)的保護(hù)范圍十分廣泛，法益保護(hù)界限不清晰，不利于法律的適用。

2.隱私權(quán)說認(rèn)為“隱私權(quán)包括保護(hù)私生活安寧及信息自主兩個生活領(lǐng)域”，其弊端在于混淆了隱私和個人信息。個人信息中涉及不欲為外界知曉的部分與隱私有交叉，但隱私權(quán)無法保護(hù)已為他人所知曉的個人信息，也無法約束他人對信息的收集、處理等問題。

3.財產(chǎn)權(quán)說認(rèn)為個人信息適用于交易，具有無體財產(chǎn)的屬性，是一種新型的財產(chǎn)權(quán)，其弊端在于當(dāng)前信息交易雙方地位差距懸殊的情況下，財產(chǎn)權(quán)屬性不利于個人信息的保護(hù)，否則用戶終將失去對個人信息的控制權(quán)。

4.知識產(chǎn)權(quán)說認(rèn)為個人信息經(jīng)過一定處理后具有創(chuàng)造性價值，其弊端在于個人信息中不具有創(chuàng)新性的部分，如原始數(shù)據(jù)庫，不在知識產(chǎn)權(quán)保護(hù)的射程之內(nèi)。

5.筆者認(rèn)同個人信息獨(dú)立人格權(quán)說，指本人依法對其個人信息享有支配、控制并排除他人侵害的權(quán)利，既包括人格利益也包括財產(chǎn)利益。一方面，個人信息獨(dú)立人格權(quán)說具有人格權(quán)消極防御的一面；另一方面，人格權(quán)也并不排斥財產(chǎn)利益的保護(hù)，可進(jìn)行積極的商業(yè)利用，通過人格權(quán)商品化的理論實(shí)踐進(jìn)行保護(hù)。

（三）完善個人信息權(quán)利束

以《網(wǎng)絡(luò)安全法》等法律為基礎(chǔ)，我國法律已初步構(gòu)建了個人信息的具體權(quán)利，主要包括知情同意權(quán)、查詢權(quán)和修改權(quán)，但在實(shí)踐中詬病頗多。在知情同意機(jī)制中，隱私條文的艱澀與冗長，使得普通用戶望而生畏，此外，其格式化的條款，使用戶沒有機(jī)會進(jìn)行變更和磋商。在查詢和修改機(jī)制中，企業(yè)基本沒有為用戶提供暢通的查詢渠道，甚至設(shè)置許多障礙，致使用戶進(jìn)行查詢和修改的時間成本往往過高。

因此，需要在目前的基礎(chǔ)上完善個人信息的具體權(quán)利，形成個人信息權(quán)利束。細(xì)化規(guī)定知情同意權(quán)，如通俗易懂地解釋隱私條款、隱私設(shè)置的選項(xiàng)應(yīng)當(dāng)易于操作等，保障用戶對其個人信息的控制。落實(shí)查詢權(quán)與修改權(quán)，切實(shí)提高信息持有者操作便捷度。關(guān)于數(shù)據(jù)的財產(chǎn)權(quán)，則需要在數(shù)據(jù)確權(quán)的基礎(chǔ)上，完善個人信息的交易模式。有學(xué)者提出將個人信息分為基本個人信息、伴生個人信息和預(yù)測個人信息，個人基本信息的財產(chǎn)權(quán)屬于個人，伴生個人信息的財產(chǎn)權(quán)為個人與信息企業(yè)所共有，預(yù)測個人信息的財產(chǎn)權(quán)雖然也為個人與信息企業(yè)所共有，但財產(chǎn)份額上信息企業(yè)要多于個人。匿名信息已經(jīng)失去了人身屬性，僅剩下財產(chǎn)權(quán)，屬于信息企業(yè)的無形財產(chǎn)，為信息企業(yè)所獨(dú)享。然而，伴生個人信息與匿名信息的區(qū)分存在前文所述的難題。

（四）明確法律責(zé)任，統(tǒng)一管理機(jī)構(gòu)

在民事責(zé)任方面，根據(jù)個人信息權(quán)利屬性，圍繞各項(xiàng)具體權(quán)利，即將出臺的個人信息保護(hù)法應(yīng)當(dāng)落實(shí)停止侵害、排除妨礙、消除危險、賠償損失等法律責(zé)任。在行政責(zé)任方面，需建立從中央到地方一以貫之的個人信息監(jiān)管機(jī)構(gòu)，改變當(dāng)下多頭管理、權(quán)責(zé)不明的現(xiàn)狀，要負(fù)責(zé)全生命周期的個人信息評估，執(zhí)行市場準(zhǔn)入機(jī)制，加強(qiáng)對個人信息處理的監(jiān)督，落實(shí)對侵害個人信息案件的處罰等，從而多層次、全方位地保障個人信息主體的合法權(quán)益。

四、結(jié)語

在大數(shù)據(jù)時代，對處于動態(tài)發(fā)展中的個人信息提供保護(hù)，要求我們轉(zhuǎn)變思維，從靜態(tài)分類保護(hù)的個人信息界定方法，轉(zhuǎn)變?yōu)閯討B(tài)化、場景化的個人信息界定路徑。在明確個人信息權(quán)利的獨(dú)立人格權(quán)性質(zhì)的基礎(chǔ)上，完善個人信息權(quán)利，明確侵害個人信息權(quán)益的民事責(zé)任與行政法律責(zé)任，統(tǒng)一管理與執(zhí)法，才能在保護(hù)個人信息安全的前提下，促進(jìn)數(shù)據(jù)流通，釋放數(shù)據(jù)活力。

注釋

①《中國互聯(lián)網(wǎng)發(fā)展報告2020》在京發(fā)布[EB/OL].https://www.isc.org.cn/zxzx/xhdt/listinfo-37989.html，2020-07-30.

②《歐盟基本權(quán)利憲章》第8條。

③Warren S D. Brandies L D,The Right to Privacy, Harvard Law Review.vol.4,No.5,1890。

④Prosser W L.“Privacy,”California Law Review,vol.48,No.3,1960。

⑤Alan F.Westin,Privary and Freedom,New York:Athenum,1967。

⑥GB/T 35273-2020《信息安全技術(shù)個人信息安全規(guī)范》3.2。

⑦[美]勞倫斯·萊斯格.代碼2.0：網(wǎng)絡(luò)空間中的法律[M].李旭，沈偉偉譯.清華大學(xué)出版社，2009：20。

⑧《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》第二十四條：任何組織和個人發(fā)現(xiàn)有違反本規(guī)定行為的，可以向網(wǎng)信部門和其他有關(guān)部門舉報。網(wǎng)信部門和其他有關(guān)部門收到相關(guān)舉報的，應(yīng)當(dāng)依據(jù)職責(zé)及時進(jìn)行處理。

⑨《電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)規(guī)定》第三條：工業(yè)和信息化部和各省、自治區(qū)、直轄市通信管理局（以下統(tǒng)稱電信管理機(jī)構(gòu)）依法對電信和互聯(lián)網(wǎng)用戶個人信息保護(hù)工作實(shí)施監(jiān)督管理。

⑩《電子商務(wù)法》第七十六條：電子商務(wù)經(jīng)營者違反本法規(guī)定，有下列行為之一的，由市場監(jiān)督管理部門責(zé)令限期改正……（三）未明示用戶信息查詢、更正、刪除以及用戶注銷的方式、程序，或者對用戶信息查詢、更正、刪除以及用戶注銷設(shè)置不合理?xiàng)l件的。