淺析個人數據及其立法保護

徐可　曹翟　王曉倩

摘 要 大數據時代個人數據的保護面臨著巨大挑戰，本文力從幾個不同的角度研究個人數據。首先闡述了個人數據受到不法侵害的原因，并參考了歐盟有關個人數據立法保護的相關規定，從我國的現行法律中可以看出對個人數據的保護逐漸加強的趨勢。本文還結合了部分質疑保護個人數據的學者的觀點，歸納總結現行個人數據分類的標準，并以顯名個人數據和隱名個人數據為例，對個人數據的人身屬性和財產屬性進行簡單的分析，最后提出了一些在我國在個人數據保護方面的立法建議。

關鍵詞 個人數據 立法保護 人身屬性 財產屬性

基金項目：本文系2017年度國家級大學生創新訓練計劃項目（項目編號：20171049713003）部分成果。武漢理工大學2017年度國家級大學生創新創業訓練計劃資助。

作者簡介：徐可、曹翟、王曉倩，武漢理工大學文法學院。

中圖分類號：D920.4 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.05.101

隨著對個人數據權利的人身價值和財產價值的關注度不斷升高，確定大數據時代對個人數據的保護和價值最大化成為重要工作。對個人數據進行分類是對其進行立法保護的前提條件。除此之外，歐美國家的立法經驗也值得我們借鑒和學習。筆者根據以上理論提出立法建議。

一、個人數據被侵害現狀

大數據時代下，以移動互聯商業模式進行經營的網絡服務提供者能通過獲取個人數據來開展更精準高效的服務。在此商業背景下，“知情同意” 的個人數據保護方式存在諸多缺陷，不再是一種最佳的個人數據保護方式?，F階段，個人數據被侵害的方式主要有泄露和不法收集兩種。

（一）個人信息的泄露

當前，個人信息權的被侵害狀況主要體現在以下三個方面：第一，在網絡實名制的廣泛要求下，公民個人的身份證號碼，手機號碼，郵箱等具有識別個人主體身份的信息被上傳到一個巨大的數據平臺上，由于保密技術的不完善，這些帶有人格屬性的個人信息極易被泄露，致使個人信息權的侵害；第二，個人用戶在上傳帖子，更新位置的過程中，不經意間就會泄露個人行蹤并為服務商所利用，例如共享單車會自動記錄個人的騎行軌跡以及起終點；第三，個人用戶的興趣如淘寶會根據用戶的搜索信息對用戶進行推薦商品和個人用戶的關系網絡社交圈會被網絡平臺所搜集保存，從而制定出個性化的服務。

（二）個人信息的不法收集

現如今信息網絡發展迅猛，在個人信息收集的方面，個人信息的數據化統計和管理已經覆蓋到衣食住行的各個方面，例如在初次使用某些APP時，軟件界面上會彈出是否允許使用當前位置、是否可以讀取手機通訊錄聯系人信息等系列選項。但事實上，無論是否允許讀取相關信息，手機中所自帶的定位功能還是會自動讀取相關內容。在使用公共區域的免費無線網的時候，其實用戶已經在毫不知情的情況下被竊取了自己手機中的個人信息或者是利用輸入手機驗證碼的形式套取手機號碼甚至是身份證信息。還有其他網絡服務提供者利用消費者貪圖小便宜的心理利用低價值獎勵品換取消費者的銀行賬號，手機號碼以及位置信息。這些套取個人信息的方式屢見不鮮。對這些具體的不法收集行為，被服務者往往防不設防，難以完全杜絕。

二、歐盟立法下的個人數據保護

在總體上，歐洲立法者更看重數據的人格屬性，因而注重對個人數據的保護，限制對其的利用。

早在上世紀八十年代，歐洲已就數據保護制訂了有關條例 ，我國近年來頒布的民法總則和《網絡安全法》也就數據進行了規定。從國內外有關數據的法律條文中可以分析出立法者們究竟將個人數據定性為一種人格屬性的權利還是財產屬性的權利以及他們對個人數據在立法上給予的態度。

（一）英國個人數據保護的立法體現

英國于2017年頒布了《英國新數據保護法案》（草案），希望在其實施后，進一步加強對于個人數據的保護。這一法案對于“個人數據”的概念進行了明確，它是指任一已識別或可識別的與自然人信息有關的數據。

“對個人數據的處理”是指針對個人數據或個人數據集合進行的一項或一系列操作，比如收集，記錄，組織，建構或存儲，改進或修改，檢索，咨詢或使用，通過傳輸、散播的方式披露或以其他方式使之可用，排列或組合，限制，刪除或銷毀等。通過列舉的方式讓數據使用者更加明晰自己的使用權限范圍。

（二）歐盟個人數據保護的立法體現

歐盟的《一般數據保護法案》 尤其強調了對個人數據權利的保護而非利用，其深層原因是立法者將個人數據定性為一種人格性的權利客體，而非引導挖掘其潛在商業價值。本文作者選取法案的第四條和第五條進行分析，推測歐盟對于個人數據的理解與定位。

第四條第一款明確了個人數據的定義：一種能識別自然人身份的信息，或是身份標識，或是社會身份要素。此定義突出了個人數據的可識別主體性，可見歐洲立法觀念下的個人數據是一種與主體緊密結合的信息，它在內容上具有主體的某些顯著性的特征。

第五條對處理個人數據進行了一定的限制。

其中，第一款規定，處理個人數據時應當采取合法、正當、透明的方式。“透明”具體是指，數據獲得方式的透明、數據處理過程的透明和數據盈利方式的透明。換言之，顯名個人數據的主體有權利知曉其個人數據被利用過程?？梢钥闯?，本款重視數據所源自的自然人的人格性利益。作為產生主體，個人數據的內容與自己息息相關，所以本人有權知曉帶有與自己有關的信息的數據流向了何處。

第二款對數據處理的目的進行了限制——僅能是為了公共利益，例如研究、統計。這一款中未提到將個人數據應用于商事生產或經營中，可見歐盟對于人格利益保護的重視程度遠高于對數據財產性價值實現的關注度，沒有引導通過利用個人數據實現商業目標的行為。

第三款規定，數據處理者在能達到預期目的的前提下，應當盡可能地控制其所使用的個人數據的條數。這一款雖未對“少”提出具體的數量標準，但傳達了數據處理者應當盡可能地少獲取和儲存個人數據的理念，秉持著“獲取”即代表著數據有被泄露的風險的思想，告知數據處理者不應當為達成目的而隨意獲取大量個人數據，其所持有的個人數據應當是實現目的所需要的最少的數據數量。

第四款的設立目的是確保數據的準確性。雖然數據的準確性以及與時俱進程度能提高數據的商業價值，但筆者認為這一規定對數據收集商以及數據加工平臺提出的技術性和時效性的要求過高，大部分數據處理者難以達到，在具體實行過程中應當循序漸進，制定獎勵措施逐步促進時效性的提高，讓數據處理者逐步適應。

第五款規定儲存數據的期限不得長于為達到目的所需的時間。此條款為數據權利的享有期限套上了束縛的籠子，即數據收集商和數據加工平臺不享有數據權利的永久所有權（與原權利人達成協議除外）。限制需求方持有個人數據的時間，一方面是允許其在追求目標的階段存儲數據，以得出結論；另一方面是由于在目的達成后，數據需求者不再有留存原始數據的必要性，將個人數據繼續繼續存儲在需求者處可能造成個人信息遭受被轉售等問題，因此不能繼續保有，而應刪除。

第六款規定，數據處理者應采取技術和管理措施來保護數據的安全。本款從整體上對數據權利提出數據需求者應當采取有效措施保護個人數據，使其免遭侵害。本款位于第五條的末尾，保護方式相較于前四款也較為籠統，屬于兜底條款。

不僅是作為一個國際組織的歐盟，歐盟的許多成員國家也就本國情況制訂了有關個人數據保護的法律。

三、我國立法中的個人數據保護

在我國，多個立法主體均通過立法方式為個人數據或個人信息制訂了法律規范，可見立法者對于個人數據、個人信息的保護日益重視。

（一）《民法總則》中的個人數據保護

在2017年，全國人大通過了《民法總則》，其中明確了對個人數據的保護。其中，第一百一十一條指出自然人的個人信息是受法律保護的。任何對個人信息采取的獲取、收集、使用、加工、傳輸、買賣、提供、公開行為均是受制約的。 這一條款首先明確了對個人信息進行保護的必要性；進而對有可能侵害自然人個人信息權的行為方式進行了列舉，并按邏輯順序排列，使之對個人信息權的保護更為具體可行。由于個人數據的內容是個人信息，所以若以非法形式對個人數據進行上述操作同時也會造成對個人信息的危害?？梢姡緱l款雖僅對信息進行了規定，但也從根本上促進了對個人數據的保護。

第一百二十七條指出，數據是受法律保護的 ，具體規定和實施辦法依照其他更為詳盡的法律規范。本條文雖然未詳細列舉本法保護數據的具體措施、數據使用者的行為規范、違反的后果，但作為民法典總則部分的條文之一，其對于數據應當受到法律保護的狀態的描述為數據保護立法打通脈絡，利于立法者再制定后續產生的法律規范。

（二）《關于加強網絡信息保護的決定》中的個人數據保護

在2012年，全國人大常委作出了《關于加強網絡信息保護的決定》，其中第二條規定商事組織在業務活動中收集和使用公民個人電子信息，應當遵守合法、正當、必要的原則，并明示收集、使用信息的目的、方式和范圍，而且需要經過被收集者同意。不得違反法律、法規的規定和雙方的約定收集、使用信息。 這一條文所傳達的精神與前文所述歐盟《一般數據保護法案》的第五條十分相似。

由此可見，在大數據時代，雖然許多網絡服務提供者和其他類型的數據需求者希望大量獲取個人數據以達成其目的，但針對他們獲取和使用個人數據的行為，國家需要加以限制和規定，這一點已在多國法律中得到體現。收集個人數據以及收集的內容和方式應當首先獲得被收集者的同意；收集和使用數據的系列行為應當在約定和法定范圍的范圍內進行，不得超越；使用過程應當透明，使被收集者能夠獲知自己的數據的狀態；收集數據的范圍以及儲存數據的時間均應在達到目的的必要范圍內，不得過量或超時使用個人數據，以上四點為前述國家立法的共同點。

（三）《網絡安全法》中對個人數據保護的體現

在2016年，人大常委通過了《網絡安全法》，其中的第二十二條第三款、第四十一至四十四條對用戶個人信息數據的收集、存儲、使用都給出了非常嚴格的規定。謂其嚴格，不僅僅是因為設定的義務多而全，也是因為設定了較高的法律責任，在常規的行政罰款之余，還規定有“責令暫停相關業務、停業整頓、關閉網站，吊銷相關業務許可證或者吊銷營業執照 ”的措施。

（四）行政機關對數據發展的重視

在2015年，國務院頒布了《國務院關于印發促進大數據發展行動綱要的通知》。該通知指出，大數據是以容量龐大、類型廣泛、提取存取速度快、人生價值和財產價值高為主要特點的數據集合體。我們要提升從中發現創新點、創造新物質財富、提高數據整合能力?？梢?，我國政府正在積極推進發掘數據的潛在價值。通知中也提出要大力推動政府數據共享，推動公共數據資源共享，對大數據基礎設施的建設也應該持續跟進。此通知的主要目的在于推動大數據和政府工作的連接，實現政府工作的公開透明化?？梢娬苍谥匾晹祿淖饔?，將數據用于政府工作和民生建設中去。

總而言之，我國的立法機構在民法總則以及其他與個人信息權和數據權利有關的規定中多次直接或間接的提及對個人數據的保護并且已經出臺相應的懲罰措施以應對日益紛繁復雜的民事侵權行為。

四、個人數據的保護爭議

學者的觀點主要分為兩類。一部分學者用“數據化形式的個人信息”來表述“個人數據”的概念，在論文中直接用“個人信息”的詞來表達，他們認為個人信息有隱私性，所以對其施加的保護應參照對人格權的保護手段和程度。另一部分學者認為，個人數據被大數據時代賦予了深厚的潛在商業利用價值的個人信息?，F階段立法應當注重對個人數據利用價值開發的引導而非對其給予封閉性的保護，他們認為采取人格權保護方式或是財產權保護方式，兩種途徑本質上均是對個人數據進行“保護”，而非開發利用，因此對上述兩種方式都給予否定態度。

有學者認為，個人數據是一種數據化的信息，本質仍然是個人資料。由于其與特定主體相聯系且內容的隱私性較強，所以在性質上，以人格屬性為主。它顯然是個人隱私的組成部分。將同一主體的個人資料進行匯集后形成的數據庫，也具有一定的財產屬性，具有商業利用價值。但人不能認為個人資料是財產權，人格性仍是占主導地位的。

持第二種觀點的學者認為若對個人數據信息采取保護措施，不論是以隱私權保護方式還是財產權保護方式，都是建立在私權競爭的觀念上。當前大數據相關技術發展水平已能夠高效和合理地分析數據，開發其利用價值，能夠形成合作共享的有機社會形式。 所謂“合作共享”也就是否定個人數據權利為一種歸屬于自然人的權利而認為它是一種通過公開，在社會中實現共享的社會資源。這種資源的使用價值主要是引導生產和經營的商業價值。更有學者直接表示，對個人數據予以保護會制約數據的利用。 可見持此種觀點的學者對于個人數據保護的質疑。

五、個人數據的分類

個人數據是被數據化處理后的個人信息，具體是指為個人信息添加載體，使之成為可以被計算機直接識別、提取和可分析的量化形式的數據，我們稱此時被數據化的個人信息為個人數據。對數據的分類有許多標準，依據不同標準可得出不同結論。

（一）三種數據分類

分類一，靜態數據與動態數據。在電子商務中，根據商業數據的存在形態，將商業數據分為靜態數據和動態數據。 前者是指在一定時間內處于靜態不變的數據，如姓名、性別等信息；后者則是指在一定時間內處于動態變化的數據，例如交易額等。

分類二，個人數據與敏感數據。歐盟主要根據個人數據的信息內容和法律保護的嚴格程度，將個人數據分為“個人瑣碎數據”和“個人敏感數據”。個人敏感數據如基因數據和生物識別數據等對個人具有重要意義的數據。個人敏感數據以外的數據即為個人瑣碎數據。敏感數據一般禁止處理，例外情況下需要獲得數據主體的明示同意才能進行處理，這里的明示同意是指應當是自由作出的，特定的，知情的且明確的。

分類三，原生數據和衍生數據。以數據的產生是否依賴現有數據為標準，將數據分為原生數據和衍生數據。前者是不依賴已有數據而產生的數據，也就是未經過處理的原始數據；衍生數據是指原生數據被記錄、存儲后，經過算法加工、計算、聚合而成的系統的、可讀取、有使用價值的數據，例如購物偏好數據、信用記錄數據等。

分類四，顯名個人數據、隱名個人數據。以是否可以識別主體身份為標準劃分，將個人數據分為顯名個人數據和隱名個人數據。顯名個人數據直接將記錄在載體上生為數據，沒有經過特殊處理，如姓名、身份證號碼等。隱名個人數據是指經過限制識別能力技術如限制訪問、匿名處理、化名處理等手段處理過的，能夠限制他人通過數據識別個人信息，難以或不可識別身份主體的數據。如此分類，能突出兩類數據的不同特點，顯名個人數據是和個人緊密結合，具有隱私性的數據；隱名個人數據是一種隱去個人識別性信息的具有分析處理價值的數據。

對個人數據的分類還有許多其他標準，不同的學者有不同的見解，由于本文著重研究個人數據的人身性和財產性的屬性分析，我們在第四種觀點將個人數據分為顯名個人數據和隱名個人數據的基礎之上，而且本文將數據的研究范圍縮小至個人數據，具體分析個人數據的人身性和財產性的屬性分析，所以下文采取將個人數據分為顯名個人數據和隱名個人數據的分類具體分析。

（二）顯名個人數據

最典型的顯名個人數據是個人數據。個人數據是指以個人信息為內容，以數據為載體的數據集合。第二種是通過個體行為產生的具有商業價值的數據。第三種是其他數據。

顯名個人數據之一：個人數據。個人數據以個人信息為主要內容，所涉及的個人信息主體的可識別性。該個人數據傳達出的信息能識別主體身份。能識別主體身份，說明該信息有分辨度，能區別于其他人的信息，即有個人鮮明特征或往往涉及個人隱私。所以，對個人數據的保護也就是對個人隱私的保護。

顯名個人數據之二：行為數據。行為數據是指通過個體行為產生的具有價值的數據。例如用戶的評論數據、用戶的購買數據、用戶的位移信息數據等。其特征有：其產生需要自然人為一定的行為；該行為不是一種排他性行為；能以數字電子的形式被感知、記錄。主體的思維、意思表示、行為是行為數據產生的關鍵要件，故其權利主體應是用戶本人。

例如用戶的購買數據，如果該主體不做出肯定的意思表示，則不會產生這一條購買數據。但它和傳統的購買行為也不相同，產生行為數據的行為需要輔以特殊記錄方式，并應產生出相應的數據。雖然記錄此數據也需用到特定設備，但其權屬不歸機器，原因同“個人數據”。

顯名個人數據之三：其他數據。這是一項兜底分類。筆者認為個人數據權利和行為數據權利是顯名個人數據權利最顯著的兩類，故將它們在前面單列。

（三）隱名個人數據

隱名個人數據是依賴于其他數據而產生的數據。即在基礎數據被記錄下和儲存后，進行加工、計算、分析、聚合、再儲存等步驟 而產生的。

加工、計算、分析、聚合等步驟的處理者即是權利的主體。主體因目的不同，往往會選擇不同的加工、計算、分析方式。目前廣泛認為，利用具有獨創性處理方式生成的隱名個人數據，即受知識產權保護。

隱名個人數據具有以下特征：隱名個人數據具有智力創造性。隱名個人數據是基于顯名個人數據所產生，例如一家酒店通過錄入客戶的入住信息即姓名，性別，入住時間，購買服務的需求，退房時間以及對酒店服務所提出的建議等，這些屬于顯名個人數據，再經過專業地整合分析了解客戶的偏好，對日后的酒店整體的季度年度規劃，以及在網頁上推送的吸引客戶的信息，形成具有購買偏好的數據。此時該數據為具有商業價值的隱名個人數據，它不再僅僅是簡單的顯名個人數據，而是融合了人為思考，人工智能的具有創造性的智力成果，一定程度上可以考慮成為知識產權的權利客體。

隱名個人數據具有產品性。產品是提供給市場，供消費者消費，滿足消費者需要的物品，服務，組織或觀念，是經過整理加工的具有價值的物品。顯名個人數據具有產品的外在載體，但其實質并不滿足產品的性質，隱名個人數據則滿足創造的勞動產品這一特點。

六、個人數據屬性分析

分析個人數據的人身屬性和財產屬性，首先要了解“人身權”和“財產權”的內涵。

（一）個人數據具有人身屬性

1933年，胡長青教授指出：人身權分為人格權及身份權。人格權者，存于權利人自身上之權利也，舉凡生命權、身體權、自由權、姓名權及名譽權者屬之。

1949年，龍顯銘教授提出人身權可分為人格權與身份權兩類，前者乃謂與人之人格相始終而不能分離之權利，亦即以人格的利益為內容之權利，如生命權、身體權、自由權、名譽權等。

楊立新教授認為，人格權是人身權的組成部分，包括生命權、身體權、健康權、人身自由權、姓名權、名譽權、榮譽權、隱私權、個人信息權以及人格尊嚴即一般人格權等基本類型。 因此，法律意義上的人身權，包括人格權和身份權兩部分，人格權是指與個人的人格利益不可分離的，如生命權、名譽權等權利；身份權是指與社會生活中個人的身份有關的，如婚姻、繼承等。本文所論及的人身權亦采此觀點，即與個人的人格利益或身份有關的權利。

（二）個人數據具有財產屬性

英國學者麥克勞德認為：“財產這個名詞的真正的和原來的意義不是指物質的東西，而是指使用和處理一件東西的絕對權利。財產的真正含義完全是指一種一種權利、利益或所有權。”經過不斷的發展和深入，今天的財產的概念應為“財產是一組權利，這些權利描述一個人對其所有的資源的占有、使用、改變、饋贈、轉讓或阻止他人侵犯?！?/p>

如今，我們不能將財產限定在有體物的范圍，也不能將財產區分為有體物和無體物?，F如今的法律意義上的財產應為一種法律概念，因為法律賦予了主體一種財產權利，所以才說主體享有財產，對財產有支配權等權利。而且某種權利如果反映了主體一定的物質利益，我們就說這種權利具備財產屬性。

（三）從顯名個人數據和隱名個人數據的角度分析個人數據的人身屬性和財產屬性

由于顯名個人數據是直接將個人信息記錄收集在載體上的，它所含的內容與個人信息相差無幾，因此它的人身屬性非常強。一方面，顯名個人數據具備可識別性的特點，其中包含的個人信息如姓名、性別、身份證號碼、電話號碼、肖像等能夠準確地對應到相應的個體，這些信息反映了顯名個人數據與個人的人格利益不可分離，具備人格權的特征；另一方面，顯名個人數據的個人信息又能反映出對應個體的身份信息，如該個體的家庭情況如何、婚姻狀況如何。當然，這是建立在顯名個人數據可識別主體的基礎之上反映出來的特征，體現了顯名個人數據具備身份權的屬性。雖然顯名個人數據的身份權特征不如人格權特征那么明顯，但是身份權和人格權特征的強弱并不能否認顯名個人數據的人身屬性，反而是因為顯名個人數據兼具人格權和身份權的屬性，其人身權的屬性才愈加明顯。

隱名個人數據具有強烈的財產屬性的特征，原因有三：一是因為隱名個人數據能夠獨立存在，具備可控制性。隱名個人數據雖然來源于個人信息，但在經過重重加工處理之后，其完全可以獨立存在，成為一種商業數據。二是因為具有商業價值，能夠產生經濟利益。隱名個人數據利用大量不同個體的個人數據，通過一定的計算方法得出某一群體的特征。由于這種特征來源于實踐，但是又不針對特定的個體，可以為以后的選擇提供數據支撐。隱名個人數據的這種作用類似于數學中的標本，例如共享單車的運營商可以利用大量用戶的騎行數據，統計出哪些時間段、地點的使用量較大，從而有針對性的投放共享單車的數量。這時隱名個人數據的商業利用就體現出它的財產價值。三是市場的可流轉性。隱名個人數據具有的財產價值，使得多個市場主體都可利用隱名個人數據達到自己的目的，這時隱名個人數據作為一種標的物出現在市場上，成為可交易流轉的對象，而隱名個人數據的主體可從市場交換中獲取收益。

上面只是分析了顯名個人數據的人身屬性和隱名個人數據的財產屬性，并不是認為顯名個人數據不具備財產價值或者隱名個人數據不具備人身屬性，而是顯名個人數據的人身屬性遠遠明顯于其財產屬性，隱名個人數據的財產屬性遠遠超過其人身屬性。如電信詐騙就是顯名個人數據財產屬性的體現，隱名個人數據上述所舉的例子中，某一群體的特征仍與人身性相關。

因此無論是顯名個人數據還是隱名個人數據，兼具人身屬性和財產屬性的特征，只是強弱不同。這也體現出個人數據的人身屬性和財產屬性在不同的情況下會出現強弱不同的屬性特點。

七、立法建議

基于前文分析，筆者對個人數據的立法提出了以下建議：

（一）統一法規中個人數據的概念

雖然《民法總則》第111條和127條首次對個人信息和數據進行了明確保護，但是法條只有一條且客體模糊不清，內容抽象。單行法中雖然有更加具體的保護內容，但是各個單行法規定參差不齊，互有沖突時該如何處理，上位法沒有明確規定，在實踐中面對此類情形較為棘手。

例如在《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第一條規定個人信息的概念，“刑法第二百五十三條之一規定的‘公民個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通信通訊聯系方式、住址、賬號密碼、財產狀況、行蹤軌跡等?！睙o論是現行的成文法規定還是實踐操控參考性較強的司法解釋均對個人信息的定義在不同層面做出了解釋，目的就是為了能夠對個人信息做出更好的保護。在2016年11月7日由全國人大常委會通過并頒布的《網絡安全法》（2017年6月1號起施行），第76條明確規定了個人信息的基本概念：“個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！薄睹穹倓t》也有這一概念：自然人的姓名、出生日期、身份證件號碼、個人生物識別信息（如基因、指紋等）、住址、電話號碼等個人信息受法律保護。雖然各個單行法中均對個人信息的法律概念做出了闡釋，體現了立法機構對個人信息的關注度，但是這幾種單行法中對個人信息法律概念均不相同，這種概念沒有統一的標準導致權利主體不夠明確，有必要在日后的立法工作中提上日程。

立法上對保護客體的限制應當具有系統性，可以在同一門類下針對各個單行法所傾向的方面不同進行細分，但是不應該存在法理上的矛盾，以至于在基層法院進行案件審理的同時不清楚應該適用哪一種相同位階的法律。

（二）對數據使用主體分別進行規定

基于顯名個人數據所具有的記錄性，直觀性，以及可采集性，對其保護可以從以下幾個主體角度來考慮。

顯名個人數據產生者。顧名思義，顯名個人數據產生者就是產生數據的自然人或者單位主體。比如說產生共享單車的騎行軌跡，騎行的出發地和到達地，使用淘寶所產生的原始搜索痕跡等主體。其在享受網絡服務商提供的服務時，也為服務商提供了具有商業價值的顯名個人數據。而該產生者對其享受的服務已經付出了相應的經濟代價，所以顯名個人數據產生者應當享受個人數據權中的權益。

顯名個人數據加工者。顯名個人數據在未收集之前具有分散性，對數據進行收處理的數據加工者對經過其加工的數據享有使用，處分和收益的權利。

網絡服務商：在對經過處理后的數據進行收購之后，網絡服務商可以將數據放在統一的銷售平臺面向消費者進行出售，從而獲取收益。但是在網絡服務商使用大數據時應當為其設置權限，不能過度使用個人信息，突破底線達到經濟效益。

八、總結

綜上所述，筆者根據當今社會中存在個人信息數據權的侵害事例分析出個人信息數據權的人身性和財產性的保護必要性。其次，具有創造性地提出了顯名數據和隱名數據的分類方法，即對個人數據的個人識別性作為劃分的重要條件。再次，對歐洲部分國家的立法草案進行了逐條分析，找出在我國這樣不同的社會環境中可行的措施。最后，根據權利主體的分類性提出切實可行的立法保護建議。

注釋：

范為.大數據時代個人信息保護的路徑重構//網絡信息法學研究（第1版）.中國社會科學出版社.2017.248.

歐洲1981年《數據保護綱領》。

歐盟GDPR《一般數據保護法案》（2016）。

例如英國：《英國新數據保護法案》（1998年通過，2017年提出新草案）；德國：《聯邦數據保護法》（2003年通過，2015年修訂）。

《中華人民共和國民法總則》第一百一十一條 自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。

《中華人民共和國民法總則》第一百二十七條 法律對數據、網絡虛擬財產的保護有規定的，依照其規定。

《全國人民代表大會常務委員會關于加強網絡信息保護的決定》二、網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規的規定和雙方的約定收集、使用信息。

《中華人民共和國網絡安全法》第二十二條第三款 網絡產品、服務具有收集用戶信息功能的，其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。第四十一條 網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。第四十二條 網絡運營者不得泄露、篡改、毀損其收集的個人信息；未經被收集者同意，不得向他人提供個人信息。但是，經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。第四十三條 個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的，有權要求網絡運營者刪除其個人信息；發現網絡運營者收集、存儲的其個人信息有錯誤的，有權要求網絡運營者予以更正。網絡運營者應當采取措施予以刪除或者更正。第四十四條 任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。

王利明.隱私權的新發展.人大法律評論.2009（1）.10-12.

吳偉光.大數據技術下個人數據信息私權保護論批判.政治與法律.2016（7）.117-120.

朱新力、周許陽.大數據時代個人數據利用與保護的均衡——“資源準入模式”之提出.浙江大學學報（人文社會科學版）.2018，48（1）.18.

阿拉木斯，易小珍.個人數據、商業數據保護與利用中的法律問題簡析.第九屆全國高校電子商務教育與學術研討會暨第三屆網商及電子商務生態學術研討會.2010.

中國社會科學網：衍生數據是數據專有權的客體.http：//wwwcssncn/sf/bwsf_fx/201607/t20160713_3120938shtml（最新訪問時間，2018年3月10日）.

整體簡稱為“處理方式”。

胡長清.中國民法總論.商務印書館.1933.41.

龍顯銘.私法上人格權之保護.中華書局.1949.1.

楊立新.人格權是民法的確定性概念.http：//www360doccom/content/18/0126/15/1170 8174_725280233shtml（最新訪問時間，2018年3月9日）.

[美]羅伯特·考特、托馬斯·尤倫著.張軍，等譯.法和經濟學.上海三聯書店.1996.125.