大數據時代個人信息保護再思考

摘 要：在互聯網時代，對于個人信息的保護，主要有隱私權路徑和人格權路徑。以這兩種理論路徑，均構架了“知情——同意”的個人信息保護機制。然而個人信息權利化和“知情——同意”機制卻面臨著個人信息內涵不明確、個人信息侵權實質為侵害信息主體人格權、“知情——同意”機制在實踐中被消解和無法應對大數據挑戰等詰問。個人信息是大數據的基礎，大數據時代，個人信息具有共享屬性，具有公共利益價值。因此，大數據時代，應將個人信息視為一種非稀缺的和共享的公共物品，對利用個人信息侵害人格權益的行為，應納入侵權法和人格權法中規制；大數據產業發展中應對個人信息處理者建立“使用者責任”機制。

關鍵詞：大數據；個人信息；個人信息權；人格權； 公共物品； 使用者責任

中圖分類號：D913.7 文獻標識碼：A 文章編號：0257-5833（2019）03-0100-10

作者簡介：劉迎霜，華東師范大學法學院教授，博士生導師 （上海 200241）

大數據技術是以數據為本質的新一代革命性的信息技術。在信息社會，大數據作為最重要的生產因素和戰略資源，已逐漸滲透到各個行業和業務領域，對社會生活、經濟運行方式、公共治理等產生了根本性的影響。與此同時，個人信息通過數字化的形式進行存儲、傳播和利用已然成為不可逆轉的趨勢。個人信息的法律保護，也成為我們不得不面對的一項課題。以1970年《德國黑森州資料保護法》的出臺為標志，個人信息保護立法逐漸在全球各地推開。2016年5月4日，歐盟公布了《一般數據保護條例》并確立域外效力。近年來，我國也對公民的個人信息保護日益重視，《刑法》修正案、《消費者權益保護法》修正案及《網絡安全法》、《民法總則》中均新增了對個人信息保護的規定。

黨的十八屆五中全會提出“實施國家大數據戰略”。2015年9月國務院印發《國務院關于印發促進大數據發展行動綱要的通知》。2016年12月18日工業和信息化部發布實施的《大數據產業發展規劃（2016--2020）》中指出“推動數據開發與共享、加強技術產品研發、深化應用創新”，為數據產業的發展做了具體部署。 黨的十九大報告明確提出“加快建設制造強國，加快發展先進制造業，推動互聯網、大數據、人工智能和實體經濟深度融合，在中高端消費、創新引領、綠色低碳、共享經濟、現代供應鏈、人力資本服務等領域培育新增長點、形成新動能?！笨傊髷祿殉蔀閲抑匾幕A性戰略資源，國家明確提出要加強數據資源的開發利用，實現其巨大經濟價值。我們已經進入信息化時代，大數據浪潮洶涌來襲。如何在開發信息價值的同時保障個人信息的合理利用，有效平衡創新發展與隱私保護，已經成為當今時代最大的公共政策難題之一。

一、個人信息權利化的詰問

在互聯網時代，對于個人信息的保護，主要有隱私權路徑和人格權路徑。以這兩種理論路徑，均構架了“知情——同意”的個人信息保護機制。

在信息化時代，美國隱私權理論從“不要別人管的權利”，到“個人信息的自我控制權”，再被理解為“自我決定權”。所謂隱私權，是指信息主體所享有的對其個人信息——能夠被識別為其個人的信息——的獲取、披露和使用予以控制的權利。美國在廣義隱私權理論中構建其個人信息保護模式。當信息主體的信息屬于“個人身份可識別信息”時，信息主體的這類信息就應受到信息隱私法的保護，如果信息主體的信息不屬于“個人身份可識別信息”的范疇，信息主體的這類信息就不受信息隱私法的保護。“可識別”可以區分為“直接識別”和“間接識別”?！爸苯幼R別”是指通過直接確認個人身份的信息來辨識信息主體的身份。姓名、身份證號碼、基因、電話等都屬于“直接識別”信息?！伴g接識別”是指僅有這類信息不能單獨用來識別主體身份，但和其他資料結合進行分析，可以確定出主體的身份。如性別、愛好、興趣、生活習慣、職業、收入、教育背景等信息。信息隱私權強調信息主體就個人信息應有信息自主權和積極控制支配權，亦即賦予個人對其個人信息的收集、處理和利用，擁有發動權、停止權、內容提示權、查核權、更正權等權利，換言之，個人應有權控制信息的收集、使用、控制第三人取得信息，以及存取與修正個人的信息，即積極的個人信息自主權胡文濤：《我國個人信息隱私權保護法律存在的問題及思考——以與互聯網企業利益平衡為視角》，《云南師范大學學報》2016年11月。。

歐洲大陸采用人格權理論保護個人信息，將個人信息視為具有財產性內容之新型人格權的客體。個人信息權是一項獨立的民事權利，是與隱私權并列的一種人格權，包括信息決定權、知悉權、更正權、刪除權、被遺忘權、請求救濟權。其中，信息決定權是信息主體自主決定其個人信息是否被收集、處理與利用以及以何種方式、目的、范圍進行收集、處理和利用的權利。知悉權，又稱查詢權，指信息主體有了解與其個人信息有關的情況及個人信息本身的權利。更正權，即信息控制者負有保證其控制的個人信息的準確、完整和最新的義務，信息主體可基于不正確、不完整、不最新等理由行使更正權；請求救濟權，即當信息主體的權利受到侵害時，其可以采取向個人信息處理者投訴，要求信息主管部門予以查處或向法院提起訴訟的方式請求保護個人信息權。當侵權行為給個人權益造成損害時，信息主體還可以請求侵權行為人予以損害賠償張才琴、齊愛民、李儀：《大數據時代個人信息開發利用法律制度研究》，法律出版社2015年，第48-58頁。。2016年歐盟《一般數據保護條例》第17條增設了“被遺忘和刪除的權利”。第17條第1款規定網絡用戶在依法撤回同意或是數據控制者不再有合法理由繼續處理數據時能夠刪除相關個人數據。第17條第2款規定，如果數據控制者公開傳播了符合第1款條件的個人數據，在個人提出請求后，數據控制者應當采取所有合理的方式將該數據予以刪除（包括采取可用的技術手段和投入合理成本）；數據控制者有責任通知其他數據控制者，刪除關于數據主體所主張的個人數據鏈接、復制件。也就是說，一旦數據主體行使該權利，數據控制者不僅有義務刪除自己所控制的數據，還應當采取有效措施協助刪除經他之手傳播出去的數據，例如通知其他處理此數據的第三方停止利用、刪除數據等由王利明教授主持的《民法典·人格權編專家建議稿》（2017年6月修訂稿）第83條規定：“包含有自然人實名的犯罪、負債等負面信息自首次在網絡發布之日起十年后，該自然人有權要求網絡服務提供者刪除相關信息；但該信息涉及公共利益或法律另有規定的除外?！薄?/p>

無論是美國的個人信息隱私權保護路徑還是歐洲的人格權保護路徑，都是賦予信息主體對自我信息的絕對控制權，只是程度和操作方式有所不同。歐盟采取嚴格的事先同意規則，信息處理者收集、使用個人信息，必須得到信息主體事先明確的同意。而美國則采取默示同意的方式：信息主體事后未明確表示反對，即視為同意。數據收集、處理者應給予信息主體表達是否同意的便利途徑，且是免費的。德國于1990年通過《聯邦數據保護法》以及歐盟的《數據保護指令》均規定只有當事人同意才允許收集、處理和使用個人數據，數據當事人具有知情權、更正權、刪除權、屏蔽權等See Organization for Economic Cooperation and Development， OECD Guideline on the Protection of Privacy and Transborder Flows of Personal Data（1980）.。韓國和日本的《個人信息保護法》也有類似規定。概而言之，當前世界各國在個人信息保護方面均有將個人信息權利化并在此基礎上建立了“知情——同意”的保護機制，要求機構在收集用戶個人信息前，告知用戶信息的處理狀況，在網絡服務的語境中通常表現為發布“隱私聲明”，用戶在閱讀聲明后作出“同意”的意思表示，作為對個人信息收集及利用的合法授權。

我國個人信息保護的立法規范始于全國人大常委會于2012年發布的《關于加強網絡信息保護的決定》， 其中明確對個人信息提供法律保護，并確立了相關主體在收集、使用個人信息時應當征得被收集者同意的規則。2013年修訂的《消費者權益保護法》第29條明確規定經營者收集和使用消費者個人信息必須經消費者同意。最高人民法院在2014年公布的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》中試圖將侵犯個人信息的行為作為獨立的侵權類型，以責任例外的形式再一次確認了個人信息收集與使用的同意規則。《網絡安全法》第41條規定：“網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息，不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息?！?017年10月1日生效的《民法總則》第111條對個人信息保護問題進行了規定：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息?！庇赏趵鹘淌谥鞒志帉懙摹睹穹ǖ洹と烁駲嗑帉＜医ㄗh稿》（2017年6月修訂稿）（以下簡稱《人格權編專家建議稿》）第五章第二節規定了個人信息權。該《人格權編專家建議稿》第71條明確規定：“自然人享有個人信息權”。由此，在我國民事權利體系中，確立了一項新類型的人格權——個人信息權?！度烁駲嗑帉＜医ㄗh稿》第73條規定：“任何組織和個人需要獲取他人重要的個人信息，應當依法取得。對自然人的信息進行收集并且使用的，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意。”由此可見，通過一系列的行政法規，我國對個人信息的收集使用也是采用了“知情——同意”機制，并在《民法總則》和隨后即將制定的《民法典·人格權編》中將確定個人信息權，將其定位一種與隱私權并列的具體人格權。

由此可見，我國的法律和行政法規趨同于歐美主要國家的立法例，確立個人信息保護的“知情——同意”機制，并有將自然人個人信息利益確立為一項具體人格權——“個人信息權”的立法趨勢。還有學者對個人信息權下定義——個人信息權，是指信息主體依法對其個人信息所享有的支配、控制并排除他人侵害的權利齊愛民：《論個人信息保護》，《蘇州大學學報》2005年第2期。。然而，個人信息保護的“知情——同意”機制和將自然人的個人信息權益設置為具體的人格權——“個人信息權”卻面臨以下幾個詰問：

1.將個人信息權利化并建立特定的保護機制，那么首要前提即是明確“個人信息”作為一個法律概念的核心內涵。那么，何為“個人信息”呢？

根據歐盟1995年關于個人信息保護的第95號 指令（以下簡稱“歐盟指令”）2（a）之定義，個人信息是指：任何有關已識別或可識別自然人（“數據主體”）的信息EU Directive（95/46/E0）一The Data Protection Directive，Chapter IGeneral Provisions，Article 2[EB/OL].[2016-07—27] https：//www.dataprotection.ie/docs/EU.Directive一95—46-EC-Chapter-1/92.htm，2017-12-30.。此處的“可識別”是指可直接或間接識別，特別是通過參考身份編號或其身體、生理、精神、經濟、文化或社會身份專屬的一個或多個因素進行識別。我國《網絡安全法》第76條對個人信息有較為明確的界定：“以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息，包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等?！币蚨?，目前關于個人信息的學理認識基本上與這一界定大致相當，均強調“可識別性”參見張新寶《從隱私到個人信息：利益再衡量的理論與制度安排》，《中國法學》2015年第3期；張平《大數據時代個人信息保護的立法選擇》，《北京大學學報（哲學社會科學版）》2017年第3期；王利明《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，《現代法學》2013年第4期。。由王利明教授主持編寫的《民法典·人格權編專家建議稿》（2017年6月修訂稿）第71條第2款規定：“本法所稱個人信息，包括自然人的出生日期、身份證號碼、戶籍、住址、通信通訊聯系方式、職業、個人生物識別信息、婚姻家庭信息、財務情況、賬戶密碼等能夠直接或者與其他信息結合后，可間接識別自然人主體身份或者反映特定自然人活動情況的信息?！?/p>

由此觀之，作為法律概念的“個人信息”其本質內涵是“個人身份可識別信息”。也即哪些信息是法律意義上的“個人信息”，是由其能否通過此信息識別信息主體。然而，在大數據時代，通過對數據進行融合與交叉驗證，可以通過多重不能識別信息主體的信息識別信息主體。多重來源不同的數據，通過新興信息分享技術被有效地關聯和聚合起來，能夠將一些信息與具體的個人聯系起來，將非個人信息轉化為個人信息，或者是將不同類別的“非個人身份可識別信息”集合起來，識別信息主體。也就是說大數據分析技術的運用，使得“個人身份可識別信息”與“非個人身份可識別信息”的兩分法沒有實際意義。那么一個法律概念的內涵本質失去意義，再將其權利化，則是無本之木。

2.法律保護“個人信息權”到底是保護個人之“信息”，還是保護濫用個人信息所侵犯的其他權利或利益？也即“信息”是侵權行為之客體還是“信息”是侵權行為之通道？

當前，常見的個人信息侵權和違法行為主要有：（1）公布和擴散個人信息行為，這種行為構成對一般人格權或隱私權、名譽權、姓名權、肖像權的侵犯，可以根據侵犯隱私權、名譽權的侵權行為責任進行追責，對信息主體進行保護。（2）利用個人信息進行廣告推銷（垃圾郵件、推銷電話）行為。這種行為侵擾了信息主體安靜的生活，侵犯了信息主體不被打擾的權利，在法律上稱為安寧權和獨處權。我國民事權利體系中沒有規定此類權利。但是信息主體此類權益可以通過一般人格權來救濟。我國《民法總則》第109條規定：“自然人的人身自由、人格尊嚴受法律保護”。人格權以人格利益為客體，是權利人在精神上、心理上存在的利益為客體的權利，體現一定的精神利益。利用個人信息進行廣告推銷侵犯了信息主體精神上心理上的利益，因此是對信息主體人格權的侵害，并不是侵害信息主體的個人信息。（3）將公民個人信息提供給某種違法活動，違法活動行為人利用所獲得的個人信息進行違法犯罪行為。提供（交易、泄露）公民個人信息的行為人構成違法行為的共同行為人，應當根據侵權行為的性質或非法活動的性質來確定行為人實際侵害的權利類型，并應根據有關法律承擔相應的連帶責任或共犯責任。

經過以上分析可知，個人信息本身并不是權利客體，是知悉他人的個人信息之后的非法利用行為構成了對特定信息主體的特定權利侵害，需要法律調整和救濟。例如發送垃圾郵件和電話推銷行為侵犯的權利并不是信息主體的個人信息——推銷行為并沒有對個人信息進行篡改、植入病毒等，而是借由地址、電話和郵箱等橋梁，鎖定特定主體，向信息主體發送廣告，強制信息主體接受這些廣告。在這種侵權行為中，個人信息是侵權行為的橋梁。因此，本文認為，將侵犯“個人信息”直接認定為侵犯“信息”本身，將“信息”認定為權利客體，并對所有與個人信息相關的侵權行為納入“侵犯個人信息權”調整，混淆了“侵犯信息本身”和“利用信息侵犯權利”兩種行為，而將個人信息權益上升為具體的人格權“個人信息權”后，這種法律判斷上的混亂將會加劇。法律所要保護到底是個人信息本身，還是濫用個人信息導致被侵犯的權利，這是我們設置具體人格權“個人信息權”所要認真思考的。筆者認為，個人信息本身并不是權利客體，是知悉他人的個人信息之后的非法利用行為構成了對特定信息主體的特定權利的侵害，需要法律調整，而現有的民事權利體系、侵權責任體系、刑事法律責任應該足以調整這類法律關系。當前司法實踐中出現關于個人信息保護的訴求時，法院也是依據隱私權、名譽權等具體侵權行為進行審理例如在關力立與趙耀名譽權糾紛案件中，法院認為當事人將涉案《辯護詞》等涉嫌犯罪的信息在網絡上公布的行為構成了對隱私權與名譽權的侵犯。參見深圳市中院（2014）深中法民終字第3130號民事判決書。當然，司法實踐中亦有超出具體人格權類型而對域外形成的權利類型（“被遺忘權”）提起主張的案例：在任甲玉與百度公司名譽權糾紛案中，原告提出了關于“被遺忘權”的訴求，二審法院認定被遺忘權應屬一種人格利益，如要獲得保護，必須證明其正當性與應予保護的必要性。參見北京市一中院（2015）一中民終字第09558號民事判決書。。事實上也已經達到了說理充分而定紛止爭的效果。

3.個人信息保護的“知情——同意”機制在現實運作中，其個人信息保護功能完全被消解

在“知情——同意”框架下，只有信息主體本人才有權決定是否提供其個人信息，及其信息可被利用的方式。在“知情——同意”機制的實際運作中，個人信息收集方，例如網絡服務提供商，要求用戶（個人信息主體）在接受服務之前點擊同意其制定的用戶協議、服務條款或隱私聲明。然而這種非常便捷的實踐操作機制BenShalar O.， Schneider C. E.， “The Failure of Mandated Disclosure”， University of Pennsylvania Law Review， vol.159， issue. 3， 2011.，在實踐中存在諸多弊端：（1）此類用戶協議或隱私聲明結構復雜、條款眾多，閱讀理解耗時費力，奢望用戶仔細閱讀這些協議條款太不現實，美國的相關研究報告就指出：“用戶在點擊同意之前實際閱讀相應條款并理解其內在含義的情形僅可能出現在夢境之中。”Presidents Council of Advisorson Science and Technology， Big Data and Privacy： A Technological Perspective， May 2014， p xi.（2）網上交互行為的多樣性使得用戶無法控制網上個人信息的流動。比如，網站可能與第三方簽合同，與第三方共享其采集的數據信息或將數據跟蹤、收集、分析的環節外包給第三方處理。在信息的二次利用方面，“知情——同意”機制并未獲得用戶的授權。用戶在這種潛在且無休止的信息分享與對信息的二次利用面前，不僅難以實現對當前及未來信息分析、處理、利用行為的把控，而且往往對信息的二次利用行為全然不知。（3）更為重要的是，在網絡服務提供者采用“使用即同意”規則調整其與用戶的法律關系中，網絡用戶只有完全同意遵守網絡服務提供者制定的規則，才能使用網絡服務提供者提供的服務。網絡用戶不接受網絡服務提供者制定的規則，或是部分接受或部分不接受網絡服務提供者制定的規則，就不能“使用”網絡服務提供者提供的服務劉迎霜：《“使用即同意”規則與網絡服務提供者的法律規制》，《社會科學》2015年第7期。。毫無疑問，個人信息保護的“知情——同意”機制的預設功能完全被網絡服務提供者的“使用即同意”規則所消解。此外，還有很多情況下，個人信息的采集往往也是在公共場合。例如，公共場所的視頻監控。此種為了公共安全和管理需要而設置的監控視頻很難要求進入該監控領域的每一個主體都簽署知情同意書。

4.“知情——同意”機制和個人信息權利化無法應對大數據時代的挑戰

大數據是從基于海量、多樣化的數據集合，通過云計算的數據處理與應用模式、快速獲取、處理、分析等手段形成的智力資源和知識服務能力，是一種依靠精確定位、快速捕捉與分析，并從海量的數據中提取價值的全新技術架構。從技術方法來看，大數據分析即根據數據生成機制，廣泛采集、存儲并清洗數據，以大數據分析模型為依據，在大數據分析平臺的有力支撐下，運用云計算技術來調度計算分析資源，最終挖掘出隱藏在大數據背后的模式或規律的數據分析過程。大數據技術通過海量信息的收集比對，能從匿名化、模糊化數據中挖掘用戶真實身份的行為，使信息對特定個人的辨識能力日益增強。雖然，有時信息主體經過權衡認為披露單個的、細碎化的信息無法識別出個體的身份，也不會對其造成任何威脅，但信息主體可能沒有意識到，未來這些碎片化的信息可能會被串聯，這些聚合的信息，經過分析可能會揭露出個人的敏感信息。

大數據時代，個人信息的后續比對挖掘和價值開發成為創造價值的主要來源，多元信息處理主體的存在及與用戶直接聯系的缺失，使得對個人信息后續利用的第三方主體尤其是數據中間商的監管幾乎真空，數據中間商與第一方信息收集者的責任界定十分模糊，用戶對后續流通環節的權利更是無從行使。收集的個人信息用于超出原初收集的、無法預知的目的，使“知情——同意”機制中的“目的限定”原則在大數據高超的信息比對分析和多元利用面前沒有任何意義。

二、大數據時代個人信息特征和價值分析

大數據基于計算機科學的數據挖掘技術，通過各種算法從數據中挖掘信息，如發現相關性規律、預測分析等。繼云計算、物聯網之后，大數據廣泛巨大的應用潛能和一片向好的市場前景催生了新型商業模式、驅動了大數據價值產業鏈的形成。IBM將大數據特征定義為4V，即規模性（Volume）、高速性（Velocity）、多樣性（ Variety ）和價值性（Value）。規模性（Volume）是指巨大的數據量以及其規模的完整性，非結構化數據規模比結構化數據增長快，數據的存儲量和產生量巨大、數據具有完整性。高速性（Velocity）是指實時分析產生的數據流以及大數據。大數據要求當有大量數據輸入或必須做出反應時能夠迅速對數據進行分析，能夠在第一時間抓到事件發生的信息。多樣性（ Variety ）是指有多種途徑來源的關系和非關系型數據，除了簡單的文本分析外，還可以對機器數據、圖像、視頻、點擊流以及其他任何可用的信息進行分析。大數據多樣性的目的是發現各種信息之間的關聯。價值性（Value）是指對大量不相關信息進行數據提純，體現大數據運用的真實意義所在，價值具有不確定性、稀缺性、多樣性汪雅霜、嵇艷《大數據分析與量化研究的區別與整合——兼議教育量化研究的未來走向》，《四川師范大學學報（社會科學版）》2017年7月。。

大數據中，數據是對信息數字化的記錄；信息是數據的內涵，數據是信息的表現和載體。在以大數據為主體的信息化時代，無論是“個人身份識別信息”還是“非個人身份識別信息”都成為和物質、能量同樣重要的資源。大數據企業對信息的獲取，主要通過網絡技術產生，包含互聯網、智能設備、醫療設備、視頻監控、移動設備等，除少量數據可以被公開享有外，絕大多數都掌握在政府、企業和社會公民個人手中。

在這樣一個技術奔騰、信息爆炸的大數據時代，個人信息在大數據的滾滾浪潮之下具有以下時代特征和價值：

1. 個人信息是大數據的基礎，大數據分析中個人信息在“個人身份可識別性”方面的區分意義不大

海量信息是大數據的基礎，大數據分析中所收集的信息已不限于“個人身份可識別”信息，各類數據均被納入收集和清洗之中。大數據的特征之一便是數據價值密度較低，數據量越大價值越高，并且呈非線性的增長。大數據的規模性、多樣性特征就揭示了，個人信息的商業價值只有建立在對海量個人信息進行大數據分析的基礎上才能顯現，單個的個人信息只是潛藏了一定的商業價值，但并不顯著，甚至時?？梢院雎圆挥?。大數據的規模性、多樣性也決定了大數據收集的個人信息對信息主體的隱私利益具有低密度性和非直接性，也即對于單獨的或者少量的個人信息，能從其中獲得的相關人的隱私利益和使用價值便較少。數據集規模越大，單項信息的價值就越稀疏。這種價值的低密度性使得個人信息的使用和其產生的結果之間的因果關系變得模糊和薄弱。

與傳統的信息處理方式相比，無處不在的大數據信息自動化處理方式使任何信息對信息主體的意義有所改變。分析使得大數據具有生命力。沒有分析，大數據可以部分或者全部地被存儲或者被提取，但是其結果與最初是一樣的。分析（包括以各種不同計算技術的分析）是大數據變革的推動力。分析可以在大數據中產生新的價值，比大數據本身集合所產生的價值大得多。最為重要，也最常被人們所爭論的是個人信息的比對所產生的新信息將使個人無所遁形，在信息處理者面前成為“透明人”：那些毫不相關的、在不同的場合或背景下提供的、看上去并不太重要的個人信息，在自動化處理技術下，可以展現出個人生活的全貌，例如，價值偏好、行為習慣以及過往經歷等等。大數據是一種研究相關性的工具。在大數據產業中收集到的，并不是 “能夠識別或關聯到特定個人的信息”， 因為大數據的強大分析能力，最終難免不會“能夠識別或關聯到特定人”。在大數據時代，個人信息的范圍并不存在一個“預先”的精準界定。個人信息的處理是否給用戶帶來隱私風險的原因并非來自其“是否構成個人信息”，而是在具體場景中“被如何使用”，以及是否符合信息主體在相應場景的合理期待。

對信息的收集和使用，從網絡時代對個人信息的精確收集轉向基于大數據規模性多樣性的樣本中進行數據挖掘產生相關個人信息的關聯集成，這是對分散的相關個人信息的“二次利用或開發”，有的數據從表面看并不是個人數據，但是經由大數據處理之后就可以追溯到個人了。因此，在大數據中，對個人信息進行精確定義，將其區分為“個人身份可識別”信息，意義不大。

2.個人信息具有共享屬性，具有公共利益價值

社會是由一個個人構成的，社會上的信息歸根結底都是來源于個人，都可上溯到個人信息。

個人信息可以分為自然性個人信息與社會性個人信息，前者主要是先天性的，后者則來自個人參與社會化生活的過程中逐漸獲得的。就自然性個人信息而言，主要是相貌、指紋、血型、基因等與生俱來且無法輕易改變的身體屬性。社會性個人信息包括姓名、住址、身份證號、電話號碼、郵箱、工作單位、個人喜好、網頁瀏覽記錄、購物消費記錄等在社會生活中為了生活所必須而由個人主動或被動地獲取到的相應符號或信息。社會性個人信息的形成與獲得與另一方主體提供的管理或服務具有密切的關系。例如，身份證號是國家戶籍管理機關依照身份管理與識別系統配置給每一個合法公民的個人識別符號；電話號碼、電子郵件是自然人為了參與社會性活動，以合同形式取得的一種對特定公共資源的個人使用權；網上交易記錄、電子支付記錄則是在商業活動中留下的痕跡，其形成既體現出個人的自主選擇，又有賴于交易相對方提供的交易機會（如電商網站上的賣家）和基礎網絡運營商提供的網絡服務。如此看來，社會性個人信息的形成過程往往具有多方主體或公共機構和商業組織的參與，屬于個人社會交往活動的必備要素或副產品并進一步促進人的社會化。這種特征使得個人信息一開始便具有共有性，個人并不能對這些信息完全控制和支配。

自然性個人信息雖然是社會個體與生俱來的，然而，這類信息也只有放在社會生活交往中，才有價值，其價值在于將信息主體作為社會個體與其他社會主體相區別。

進入大數據時代，整個社會對于信息資源的依賴性加強，在日常生活中，個人無時無刻不在利用公私機構提供的相關信息服務：最為普遍的搜索引擎服務實際上就是一個巨大的互聯網信息檢索和查詢系統，其有效運轉必然依賴于大量關涉個人的信息收集和處理；各種身份核查服務、信用咨詢服務本身就是整個社會層面個人信息利用的成果。數據的挖掘和分析被應用于衣食住行以及醫療健康等各個領域。例如，企業通過各種數據整合精準地定位客戶，為客戶提供個性化的服務。通過收集分析社交媒體數據、瀏覽器日志、文本分析、傳感器等數據，進而能夠判斷出消費者的行為喜好，利用數據來進行精準預測。通過使用大數據，企業可以預測用戶的結構、類型及其動態流動，預測市場需求。人們的購物消費、出行、社交、生活等工作模式都伴隨著大量的數據的收集。微信、博客、地圖、社交平臺等App產生的數據規模更是呈爆炸式增長，而這些數據中不可避免地包含了大量的個人信息，如購物信息、家庭住址信息、醫療信息和社交信息等。大數據技術的推廣普及使得個人信息所蘊藏的公共管理和商業營銷的巨大潛力得以顯現。這種潛力建構在海量個人信息數據的基礎之上，而單獨的或少量的個人信息數據的使用價值則具有較大的局限性，同時個人信息的價值需要通過進一步的數據分析才能實現。例如在電商交易中所提供的個人購物相關信息或者在醫院醫療過程中所產生的診斷信息等就是如此。技術公司正通過對上百萬的聲音樣本進行分析以便能提供更加可靠和準確的聲音界面。銀行利用大數據技術來提高對欺詐的偵查能力。醫療機構可以利用大數據技術提高醫療水平。政府一直是最大的個人信息收集、處理、儲存和利用者，可以說，政府公權力所及之處必然涉及上述個人信息的收集、處理和利用。政府作為社會管理和社會福利的承擔者，公共安全、公共管理和公共福利的推進都離不開對居民個人信息的掌握；另一方面，出于對行政效率的追求，也會不斷促使政府積極探索個人信息利用的限度和價值。

這種個人信息的共享對公共利益的貢獻正體現了個人信息的公共利益價值，是屬于“我為人人，人人為我”，是社會公共福利發展所要求。個人信息產生于個體所處在社會又將造福于其身處其中的社會。

總之，個人信息在大數據時代，居于個人而產生，對個人具有人格利益，但是對整個社會來說，更具有“公共物品”之性質。大數據時代的個人信息，其具有共享屬性和社會價值。

三、大數據時代個人信息保護路徑建構

大數據產業的發展，數據價值的發揮很大程度上以對個人信息的收集和使用為起點。對個人信息保護規則的選擇，實際上就涉及到個人隱私與人格尊嚴、公共管理及商業利益的平衡。面對大數據時代的沖擊，我國法律賦予信息主體的保護措施卻在日益加強，根據我國現有的個人信息保護制度，司法實踐中以購買方式獲取公民個人信息一律被認定為“非法獲取”，從而構成侵犯公民個人信息罪河南省平頂山市寶豐縣人民法院（2017）豫0421刑初11號。。我國《民法總則》和《人格權法草案》將個人信息權利化，立足于保護個人信息主體的隱私等人格利益?；趥€人信息權利化而建立的“知情同意”規則，將個人信息交易的決定權完全交給信息主體，一方面實際使用中導致公民個人信息權被虛置，另一方面導致數據公司收集信息成本高昂，阻礙大數據產業的發展。在大數據時代背景下，信息日益成為生產資料與核心資產。若堅持個人信息權利化，則個人信息的收集、使用與分析均必須依照自愿交易的原則取得海量自然人主體的同意，不但與個人信息具有的“公共物品”的屬性相悖，在實踐中也將效率低下、導致大數據產業裹足不前。

我國法學理論研究和立法都有比較法上趨同的意愿。美國和歐洲的“知情——同意”架構的設計之初旨在保障用戶對其個人信息的控制，此種立法理念和具體法律機制都是以互聯網時代思維所確立。大數據時代對人類信息的需求和利用及其價值發揮遠遠超越互聯網時代。大數據時代信息收集分析能力的飛躍使得信息主體陷入顯著的不利局面，從技術層面實質上大大削弱了用戶對其個人信息掌控，即使法律將權利配置給信息主體，對信息主體的隱私等人格利益保護也于事無補，反而同時加重了大數據產業中用戶及機構的負擔，限制了個人信息的流通開發及創新應用，因此“知情——同意”作為保障個人信息的基礎性機制已經走向窮途末路。

法律制度的設計與執行應建立在相應的技術發展水平的基礎之上，面對信息技術的迅猛發展，歐美“前信息時代”的制度、理論和經驗都變得過時。傳統個人信息保護制度架構已經落后于時代發展需求，既無法為用戶隱私提供有效、實質意義的保護，同時又給大數據產業中的企業帶來沉重負擔，成為數據經濟時代開發數據價值、釋放數據紅利的嚴重掣肘。

基于大數據時代個人信息的特征和個人信息權益侵害的現實狀況，我國應在個人信息權益保護和社會公共利益、產業發展中進行利益衡量。結合目前我國力促大數據產業發展的現實需求，筆者認為，我國在與個人信息相關的權益保護中，應采用下述思路：

1.大數據時代，應將個人信息視為一種非稀缺的可以共享的公共物品

大數據時代， 對個人信息，應該超越私權觀念而作為公共物品加以保護和規制。將個人信息法律性質確定為公共物品，弱化信息主體對個人信息的占有，允許相關方對個人信息的收集、分析和使用，但對個人信息的使用，不得損害公共利益和他人利益，包括信息主體的利益。將個人信息作為公共物品對待時，個人信息立法的目的應當是為了公共利益而促進個人數據信息的共享和使用，而不是直接為了保護個人私權。其使用的正當性不再是基于市場經濟中的“價高者得”的效率性，而是基于提高社會福利的公共利益性。對個人信息的保護和應用的治理將不是個人和企業之間基于私權保護而產生的義務，而是成為國家為了國家安全和公共利益而需要承擔的規范社會成員使用公共物品的行為。又因個人信息屬于公共物品，涉及國家安全、公共安全和國家在國際競爭中保持信息優勢的國家主權利益，因此，個人信息在跨國收集、交換和使用時還應基于國家主權利益進行限制和監管。

2.對利用個人信息侵害人格權益的行為，應納入侵權法和人格權法中規制

大數據時代，將個人信息視為公共物品，個人信息不再私權化。那么個人信息保護問題實質就是如何避免、防范利用個人信息侵害信息主體的隱私權、姓名權、名譽權、安寧權等人格性權利。根據當前我們民法所確立的權利體系，利用個人信息侵害了信息主體的這些人格性權益，可以由侵權責任法和人格權法中這些權利救濟方式進行保護。就個人信息保護問題來看，目前實踐中發生的訴訟多以侵犯隱私權或名譽權為案由進行，法院判決的損害賠償部分亦多為精神損害賠償例如，在劉馨予與樂視網隱私權糾紛中，法院認定樂視網將屬于劉的個人信息秘密進行公開的行為對其隱私權造成了侵犯，判定樂視網向劉支付精神損害賠償金1萬元。北京市一中院（2016）京01民終3257號民事判決書。另可參見浙江省杭州市中級人民法院（2016）浙01民終7399號民事判決書；四川省成都市中級人民法院（2015）成民終字第1643號民事判決書。，《民法總則》將個人信息與隱私權分別規定，個人信息當中具備隱私性質的內容應由隱私權進行規范，與之同理，個人信息之中包含的其他具體人格權中的姓名權、名譽權、肖像權等性質的內容也應由相應權利進行規范。

個人信息中的財產性利益則不具有普遍性和直接性，一方面某些個人信息的財產價值只能由個別群體享有例如，名人能夠許可商家在商品或服務的宣傳推銷中使用其姓名及肖像從而獲取商業利益，亦即其姓名與肖像本身內涵了財產利益，但這種財產性利益并不具有普遍性。參見郭明龍《論個人信息之商品化》，《法學論壇》2012年第6期，第110頁。，另一方面基于大數據分析進行的精準廣告等商業行為建立在對海量信息與數據進行分析處理的基礎上，而單個信息內涵的財產價值即使存在也不甚顯著吳偉光：《大數據技術下個人數據信息私權保護論批判》，《政治與法律》2016年第7期。。

3.大數據產業發展中應對個人信息處理者建立“使用者責任”機制

正與前文分析的，大數據時代的信息收集技術、新型儲存技術與高級分析技術，大數據多樣性所帶來的多源數據融合與數據之間的交叉驗證，使得一切有關個人或由個人產生的信息均可能造成隱私風險。大數據環境下個人信息保護的風險并非源于個人信息收集之初，而是出自具體的使用環節。規制的重心應放在個人信息的處理、利用引發的不合理風險與問責機制方面。故面向大數據時代背景下的個人信息保護的實質應是阻止信息處理者（含個人信息的收集者、分析加工者、使用者等）非法將其掌握的個人信息記錄中的特定信息與信息主體關聯起來。并利用其通過大數據分析加工得來的“二次信息”侵犯信息主體的權利。在思維模式上，我們需要從強調個人的知情許可向強調讓信息處理者承擔責任方向轉變，建立“誰使用誰負責”的“使用者責任”機制，對于引發一定風險的個人信息處理行為，均統一進行風險評估以確定相應的保障責任，而不論機構是否與用戶有直接聯系。具體而言建立個人信息處理者“使用者責任”機制，應注意以下幾點：

首先，應設置個人信息處理者的信息安全保障義務。信息處理者匯集了大量的個人信息，信息處理者的行為制造了一種個人信息濫用的危險，對于這種危險而言最為有效的控制方式，就是由該信息處理者自己提供必要的保護措施，故法律應該給信息處理者配置安全保障義務。我國《互聯網信息服務管理辦法》第6條第2項規定：“從事經營性互聯網信息服務，必須具有健全的網絡與信息安全保障措施，包括網站安全保障措施、信息安全保密管理制度和用戶信息安全管理制度?！?/p>

其次，對個人信息處理者采用過錯推定的損害賠償責任。如果違反上述個人信息處理時必須遵守的行為規則，給當事人造成損害的，行為人負有損害賠償義務，除非能證明自己對于損害的發生沒有過錯。和一般的侵權行為責任不同，此種損害賠償責任應當采取舉證責任倒置的過錯推定責任。

此外，政府應加強大數據產業發展行業的監管。行業監管中應確立新理念，以隱私風險作為衡量個人信息“使用者責任”的指標，根據具體場景中的風險評估采取差異化保障措施，變信息處理前的靜態合規遵循為信息使用中的動態風險控制，將關注重心轉向個人信息的使用環節，評估其在不同用途及場景中引發的隱私風險，由此確定信息處理者相應的義務和問責機制。

結 語

大數據加速了人類生活的改變，從整體上提升了人類社會的福利，被視為“未來的新石油”，對個人、行業乃至國家的發展演進起到巨大的推進作用。信息是數據的基礎。沒有信息就沒有大數據。大數據技術的應用，也改變信息對每個個體和整個社會的意義。個人信息不論是自然屬性的個人信息和社會屬性的個人信息均是為個人區別于其他人而存在，一個國家由人構成，社會存在意義上的一個人也由無數他人構成。個人信息雖是信息主體各種特征的表現和標識，但是這種表現和標識只有放在整個社會環境中，才有存在的意義。大數據時代，個人信息的收集利用無處不在，其公共利益價值凸顯。在大數據時代，甚至每一個人的任何信息都無時無刻，不論主動還是被動都成為有價值的公共信息。例如，在實時抓取的各類城市管理大數據面前，我們每一個人都在為大數據作出貢獻。面對大數據各項技術的應用，美國和歐洲的個人信息“知情——同意”保護機制既無法實現保護信息主體權利的初衷，還嚴重阻礙了大數據產業的發展。我國應利用后發優勢，正視大數據潮流的洶涌而至的現實，樹立全新的信息、信息保護、數據產業發展規制理念和立法思路及基本原則。從促進大數據產業發展和社會公共福利的視角將個人信息視為公共物品，對個人信息，應該超越私權觀念而作為公共物品加以保護和規制，同時對個人信息處理者建立“使用者責任”機制，加強行業監管。

（責任編輯：徐遠澄）

Abstract： In the Internet age， the protection of personal information mainly includes the path of privacy and the path of personality right. Based on these two theoretical approaches， personal information protection mechanism of "informed consent" is constructed. However， the personal information right and the "informed consent" mechanism are confronted with such questions as unclear connotation of personal information， infringement of personality right， subduction of "informed consent" mechanism. Personal information is the foundation of big data. In the era of big data， personal information has the property of sharing and the value of public interest. Therefore， in the era of big data， personal information should be regarded as a kind of nonscarce and shared public goods. Violations of personal rights and interests with personal information should be regulated in tort law and personality right law. In the development of big data industry， "user responsibility" mechanism should be established for personal information processors.

Keywords： Big Data； Personal Information； Personal Information Rights； Personality Right. Public Goods； User Liability