大數據下個人信息保護芻議

【摘要】：當前，社會公眾對個人信息保護的意識空前高漲，個人信息安全與保護已成為全球關注的重點課題。個人信息共享與自由流動蘊藏著巨大的商業價值，個人信息收集日益密集和隱蔽和傳播方式層層嵌套使個人信息保護問題日益凸顯。持信息保護與自由共享并重原則，以個人信息授權為前提，數據挖掘者保護義務為關鍵，信息主體的刪除為補充，實現個人信息保護和新興產業發展兩者之間的動態平衡。

【關鍵詞】：個人信息；權利保護；責任

一、個人信息的概念

概念是對事物共同特性的抽象，是事物普遍的規律、本質的體現，概念的準確定義有助于對事物內涵的深刻理解。個人信息作為互聯網時代新興的熱點名詞，但是對其概念的定義沒有明確的規范，僅從字面意義上理解個人信息即是指個人擁有的信息或者個人相關的信息，這樣的認識無疑很淺顯。因為個人信息不僅是生活普遍理解的與個人相關的信息，從2017年3月15日作為我國首部民法典中的《民法總則》第111條明確了自然人的個人信息依法受法律保護。這樣，個人信息就進入被基本法保護的行列之中，然而對其個人信息的具體概念，還沒有后續的法律，司法解釋對其基本屬性和適用范圍進行詮釋。在此背景下，個人信息應該以法學的視角去作解釋和定義。

既然個人信息進入到民法保護的視野，那么還能不能僅僅從其字面的含義去定義它，也就是所有與個人相關的信息或者個人擁有的信息作為個人信息的法學上的定義？這樣的定義的確太寬泛窮盡了所有可能性，太絕對化，不利于對個人信息保護的實際操作和準確認識。那對個人信息法學意義上的定義究竟是怎樣的呢？其實對個人信息的概念界定在學界有很多的討論，我國最早的對個人信息保護有系統性研究的學者周漢華教授在其《個人信息保護法（專家意見稿）》中從行政法學的角度將個人信息定義為：“個人姓名、住址、出生日期、身份證號碼、醫療記錄、人事記錄、照片等單獨或與其他信息對照可以識別特定的個人的信息”

2013年，工業和信息化部《電信與互聯網用戶個人信息保護規定》和2017年6月1日施行的《網絡安全法》和最高人民法院、最高人民檢察院《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》都將個人信息定義為“電信業務經營者和互聯網信息服務提供者在提供服務的過程中收集的用戶姓名、出生日期、身份證件號碼、住址、電話號碼、賬號和密碼等能夠單獨或者與其他信息結合識別用戶的信息以及用戶使用服務的時間、地點等信息”。

目前比較統一的對個人信息的定義：“所謂個人信息，是指能夠直接或間接對特定主體構成識別的信息，其中，直接識別指僅憑單個信息即可將特定主體與其他主體區別開來；間接識別則指不能單獨識別但同其他信息結合可識別特定主體”[1]。該定義著重強調個人信息的基本屬性是對自然人身份的識別性，識別性是單純存在的信息可以定位到特定主體身上。

二、大數據背景下個人信息權利化的必要性

信息技術社會的高度發達決定了個人信息在信息交流中的重要地位，個人信息在互聯網空間中可以說是無處不在，從互聯網發展到有接入用戶大部分到接入用戶通過提供互聯網服務不斷發展的子用戶，這個過程是延續不斷的，產生互聯網接入用戶和獲取服務的子用戶高速增長。《中國互聯網絡發展狀況統計報告》顯示，截至2016年12月，我國網民規模達7.31億人次，可以說我國有一半以上的公民的各方面的個人信息被互聯網服務器保存。這些信息至少包含手機號碼，郵箱，用戶年齡和性別。網民需要獲取網絡服務端提供商的服務就需要取得用戶資格提供部分個人信息為代價。雖然每個網絡服務商在用戶使用須知中承諾對個人信息的保密，不會泄露和作其他用途，卻沒有對其違背其承諾之后的責任進行說明。這種單方允諾行為當然能產生合同法上的法律效果，但是沒有責任的允諾一旦其違背其允諾事后救濟并沒有保障，也難讓用戶不心存疑慮。

大數據云計算時代的到來更是革新了社會的思維方式，只要有足夠大，盡可能多的數據、信息，通過云端計算機高速運算，能很容易，很精確地計算出數據對象的各方面特征。通過巨大的數據被整合，數據對象的個性化方便更深刻認識數據對象也更有利于發展數據對象。這無疑是有利于增加效率，節約成本，有力推動社會進步。可是如果這樣的進步不規范化發展，就會建立在人們擔憂與恐慌的基礎上，這與發展客體服務主體的邏輯是相悖的，不利于科技可良性發展。個人信息的保護在《民法總則》中禁止非法收集、加工、轉讓。是一個禁止性規則、命令性規則，而沒有明確宣示其作為一種民事權利。如果只是把個人信息當做一種一種民事利益來保護，適用侵權責任法中對其他民事權益的保護規則，要求個人信息被侵害者承擔損害事實和因果關系的舉證責任是很難達到保護的效果的，很難有實質的保護和利益平衡，這公平正義的法治精神是不統一的。

三、大數據背景下個人信息權的保護與數據挖掘者責任

在大數據背景下，信息挖掘和信息評估技術的發展導致個人數據信息被采集和利用以及數據信息識別到個人的可能性增加，通過大數據分析，匿名化或者非身份化對個人信息的保護方式都不是實質有效的，匿名化的信息可能通過信息對比分析被其他信息重新定位。使得個人信息保護面臨更多的威脅。解決問題的核心在于對信息主體的保護和信息利用的利益平衡。通過對個人信息的標準化、規范化限制信息挖掘者的使用，實現個人數據信息保護與利用的多贏。信息社會中信息的收集、獲取以及使用是極具商業價值的，如果對個人信息的收集和加工、使用規定過于嚴格，也會對征信業的發展帶來影響。因此，實現有效保護個人信息但又不過度抑制大數據行業的發展創新之間的平衡最為關鍵。

如果賦予個人信息主體對其個人信息事前控制權，即個人信息所有者有權授予是否數據挖掘者在法律規定范圍內使用個人信息的權利，這一點無疑是正確的，現實中用戶通過提供個人信息換取網絡服務商提供的網絡服務，這體現了個人信息自決權，這個權利在個人信息主體是否允許數據挖掘者在約定的方式和途徑使用個人信息時就窮盡，一旦個人信息進入云端服務器，個人對個人信息的控制就無法實現。當用戶提供或者注冊在數據挖掘者服務器上的個人信息，用戶有隨時修改的權利，服務提供商或者數據挖掘者有義務提供相當的技術支持個人信息主體修改權的行駛。

其次，個人信息主體如果發現個人信息挖掘者對其信息的使用偏離約定的用途或者該信息如果按照原來約定使用將會在新的環境下對其人格利益產生緊迫的危害可以請求數據挖掘者刪除其個人信息或者停止繼續使用。

如果是信息主體提供的個人信息是享受網絡服務為基礎的信息，如網購提供的金錢賬戶信息和收貨地址信息、聯系方式等，當用戶不想再使用該賬戶，服務提供商應當尊重用戶的自由選擇對其用戶賬戶信息及該賬戶信息資料給的刪除權。對個人信息的保護，對信息的刪除是法律應當賦予主體的權能。在其沒有約定服務期限和對個人數據的使用期限，如果這種期限是約定的服務商應該提供選擇的方案而不是不接受就不提供服務的霸王條款。再次可以通過行政命令或相關的行政監督方式對數據挖掘者的義務履行情況進行監督。并且規定企業違反相義務的行政責任。這樣更有利于平衡個人信息的利用和對個人信息保護。

參考文獻：

[1] 藍藍. 個人信息權獨立性再探討——以《民法總則》的頒布為背景[J]. 昆明理工大學學報（社會科學版）， 2017（4）。