大數據背景下個人信息保護和數據發展的關系平衡

楊兆圓 董嗣彬

東北林業大學文法學院，黑龍江 哈爾濱 150040

一、個人信息與個人數據的區別

如今互聯網深入到我們生活每處，個人的信息收集場景增多，無疑對其安全產生前所未有的沖擊，這已經成為各國不可回避的問題，尤其在我國強調大數據產業發展，大數據的產業的基礎就是數據。正如貴陽大數據交易所稱他們數據覆蓋的領域包括金融數據、行為數據、企業數據、社會數據、交通數據、通信數據、電商數據、工業數據、投資數據、醫療數據、衛星數據等，雖然種類繁多但我們追本溯源發現它們皆來自于公民的個人信息。要數據產業發展，還是保護個人信息安全？已經成為各國無法回避的難題，它本質上是尋求互聯網數據的發展與個人信息保護的平衡，需要在數據確權、流通、交易等方面確定相關的制度。目前我國在學術界、立法上尚未對個人信息的權屬做出明確的回答，這在很大程度上限制了數據產業的發展，同時增大個人信息安全風險。根據北大法寶發布的“侵犯公民個人信息罪”專題案例與數據分析報告中最高法公布的典型案例，侵犯公民個人信息罪從信息內容來看，包括個人征信信息、行蹤信息、住宿信息、戶籍信息、網購訂單信息、學生信息等；從非法獲取信息的方式來看，包括通過黑客軟件竊取、利用系統漏洞竊取、買賣等。因此，需要在法律層面設計平衡大數據交易發展與個人信息安全的制度，合理、高效的規范個人信息的利用。[1]

個人信息(personal information)是指與特定個人相關的、反映個體特征的具有可識別性的符號系統，包括個人身份、工作、家庭、財產、將康等各方面的信息[1]。數據(data)根據我國國家標準《情報與文獻工作詞匯基本術語》是指數字、字母與符號的集合。我們可以這樣理解兩者的關系，信息內容的數據化表達，使信息與主體、載體分離，得以實現獨立存在。[2]另一方面，適用的場景的不同。隨著我們生活的每一領域充斥著互聯網應用，互聯網式的收集信息已經成為關注的重點，數據控制者開發商業利用的必須是經過處理后的個人信息，此場景加之大數據領域中個人數據才是規制。

目前我國還未在學術、立法中對二者進行正式的區分，這造成在不同場景下對“個人信息”產生普遍的混同，不利于對其性質開展進一步的細致探討。建議可以依據互聯網個人信息收集的行業操作特點，即數據控制者必須要對收集的帶有敏感的個人信息進行清洗、匿名化處理、融合等進而變為脫敏數據的流程為標志，進行分段精準的定義。即敏感信息因其具有直接的可識別性，與主體的人格有著天然緊密的關聯，以人格權的角度符合個人信息；但一旦經過數據控制者的加工，個人信息轉化為脫離信息源主體的、不具有可識別性的，承載特定特征的碎片化的“0、1”，此時它反應某一方面的一個信息點，應為個人數據。這樣的劃分方法符合個人信息與數據既有概念，同時在可操作性方面以是否具有直接的可識別性加以判斷。同時為進一步探討性質提供了分階段的新視野。

二、大數據時代個人信息保護的挑戰

在大數據時代，個人信息是大數據發展的基礎。而大數據技術的運用使個人信息面臨著極易被泄露的風險，一旦泄露，將會給企業帶來巨大的經濟損失并造成千萬消費者的個人數據泄露。近年來，個人信息泄露事件呈高發態勢，如互聯網企業5000萬用戶信息泄露，某企業5億條數據信息泄露，這5億條數據被打包出售。再如，2018年上半年，中國互聯網有大量的泄露的數據在暗網傳播。例如，某省1000萬學籍信息在暗網出售；某快遞公司10億條快遞物流數據在暗網出售。在互聯網時代，大數據飛速發展，對個人信息的威脅無處不在。個人信息因其重要的數據資源價值，往往成為犯罪分子非法獲取和交易的對象，圍繞著個人信息引發的犯罪及人數越來越多。而且圍繞個人信息的非法獲取、出售、非法提供、非法利用，形成非法產業鏈，嚴重侵犯公民個人信息。2018年11月8日，中國最高人民檢察院檢察長張軍在第五屆世界互聯網大會“大數據時代的個人信息保護”分論壇上提供了一組數據：2018年上半年，54%的中國網民在上網過程中遇到網絡安全問題，其中遭遇個人信息泄露問題占比最高，達28.5%。2016年，中國檢察機關起訴侵犯公民個人信息犯罪1029人，2017年起訴4407人，2018年1-9月起訴3283人，呈明顯增長趨勢。[3]個人信息泄露事件頻發，阻礙大數據產業發展，對于個人信息的保護刻不容緩。當下，個人信息泄漏事件的范圍已經不只是局部問題，儼然已成為一個全球性問題。面對頻發的個人信息泄露事件和個人信息犯罪以及圍繞著個人信息產生的犯罪，我們不能只發展數據產業，而忽視了個人信息的保護。

三、大數據發展的必要性：政用價值、商用價值、民用價值

大數據已成為新時代發展的重要生產要素，個人信息就是資源。一個國家掌握和運用大數據的能力成為國家競爭力的重要體現，各個國家面對大數據發展這一時代契機，將大數據發展作為產業發展的核心，制定保護本國數據發展的相應政策。“美國高度重視大數據的研發和應用，2012年3月推出“大數據研究與發展倡議”，將大數據作為國家重要的戰略資源進行管理和應用，2016年5月進一步發布“聯邦大數據研究與開發計劃”，不斷加強在大數據研發和應用方面的布局。歐盟2014年推出了“數據驅動的經濟”戰略，倡導歐洲各國搶抓大數據發展機遇。此外，英國、日本、澳大利亞等國也出臺了類似政策，推動大數據應用，拉動產業發展。”[4]我國也實施了國家大數據發展戰略，制定了符合本國數據發展的一系列相應政策。我國圍繞著國家大數據戰略做出實施創新驅動發展戰略、網絡強國戰略、“互聯網+”行動、《中國制造2025》等一系列重大決策，開啟了數字中國建設的新征程。[5]現在還在貴州、廣東、北京等地區成立了以數據交易為基礎形成的大數據交易所，成立了大數據產業聯盟，力推大數據產業的發展。大數據的最重要價值在于運用，大數據的應用在政用價值、商用價值、民用價值的體現尤為顯著。

(一)政用價值：通過大數據的發展和應用提升政府治理能力

隨著現代信息化的推進，政府在運用數據的水平也有了巨大提高。大數據成為政府治理的新途徑。當前，全社會信息量爆炸式增長，政府在國家治理的過程中收集了大量的數據。大數據的應用能改變傳統的政府治理模式，完善政府的治理能力，推動更多的政府數據共享，促進社會事業數據的分析和整合，極大提升政府運用數據分析的能力，從而有效的提升政府治理能力。可以真正做到用數據說話，用數據管理，用數據決策，用數據創新，實現政府基于數據的科學決策，民主決策，真正的做到讓大數據的發展和應用提升政府治理能力。

(二)商用價值：通過大數據發展和應用增強經濟發展活力

當前，我國實施國家大數據發展戰略，數據資源急劇增長，大數據產業蓬勃發展。據中國信息通信研究院《大數據白皮書(2018年)》預計，我國大數據產業產值2019年將實現8000億元，2020年將達到10100億元。企業也認識到了運用數據和分析數據對企業發展的重要性，對數據資源的需求越來越強烈。中國信息通信研究院《2018年中國大數據發展調查報告》顯示，接近2/3的企業已經成立了相關的數據分析部門，企業對數據分析的重視程度進一步提高。65.2%的受訪企業已經成立了數據分析部門；正在計劃成立相關數據部門的占比為24.4%，近四成的企業已經運用了大數據。[6]企業通過收集信息，對大數據技術的運用，能增強對顧客消費需求的了解；同時能預測市場未來的發展狀況，制定出更加科學的經營策略，提高企業的市場競爭力。為了抓住大數據發展的機遇，一些地區已經成立了以數據交易為基礎成立的大數據交易所，貴陽大數據交易所為典型代表。數字經濟已成為推動經濟發展的新引擎，為現代社會的經濟體系增添了活力。

(三)民用價值：通過大數據的發展和應用保障和改善民生

習近平主席在十九大報告中明確指出，我國社會的主要矛盾已經轉化為人民日益增長的美好生活需要和不平衡不充分的發展之間的主要矛盾。人民日益增長的美好生活需要離不開保障和改善民生。通過對大數據技術的運用，推動公共服務內容及方式的更加智能化，個性化，服務范圍更趨普惠包容，逐步提升社會服務水平，改善人民群眾在脫貧、就業、教育、收入、醫療衛生、基本保障等方面的狀況。用大數據去為人民謀福利，提高人民群眾的幸福指數，把數字經濟帶來的紅利惠及廣大人民群眾。

四、歐盟和美國個人信息保護模式

互聯網的發展給個人信息帶來巨大威脅，各個國家都開始加強對個人信息的保護。各個國家因為自身互聯網發展情況不同，本身國情的不同，因此對個人數據進行法律保護和救濟的模式與側重點也不同。最為典型的是以立法規制為主的歐盟模式和與行業自律模式為主的美國模式。

(一)歐盟模式

個人數據權利在歐盟被視為基本人權，歐盟通過統一立法確認和保護個人的數據權利，并規定了充分的法律救濟措施。歐盟模式為個人數據的法律保護提供了統一的法定標準，對收集和使用數據的個人和企業規定了嚴格的收集和使用數據的權限和嚴厲的法律責任，這種做法加大對個人數據保護力度，能較好的保護個人數據。但此模式存在兩個缺陷。第一，大數據時代，互聯網科技的發展十分迅速，日新月異。而法律不可能朝令夕改，僵硬的法律條款并不能隨著大數據發展的需要而隨時做出改變，缺乏靈活性。第二，歐盟的法律對于個人數據的保護，相對來說過于嚴厲，并且比較細致，對互聯網企業的限制太大，會阻礙以依托個人信息為基礎的數據產業的發展。在5月25日，《歐盟通用數據保護條例》生效。此《條例》被稱為歐盟史上最嚴數據條例。2018年1月21日，法國國家信息與自由委員會以違反GDPR為由對谷歌重罰5000萬歐元，這足以看出歐盟對個人數據的保護過于嚴厲。這種模式在個人數據保護與大數據發展的二者關系上較偏向于個人數據保護。

(二)美國模式

美國采取以行業自律為主導分散立法的模式，美國則對不同的領域和事項制定單行法，不同的個人數據及侵權行為規定了不同的法律和制度，在這種模式下，互聯網企業對數據的收集和使用有較大權限，并且規定的法律責任較輕。美國的行業自律模式能促進商業活動的發展，但是這種模式的缺陷也顯露出來。因其統一立法較少，主要依托行業自律模式，因缺少足夠的法律支持，對個人信息的收集和利用設定限制較少，對個人數據的保護力度較弱，對侵犯個人數據的行為不能及時提供充分的法律救濟，不利于個人數據的保護。這種模式在個人信息與數據發展二者關系上較偏向于數據發展。歐盟模式過于嚴厲的立法雖能較好的保護個人信息，但勢必影響大數據為代表的信息產業的發展，美國模式雖能促進以大數據產業為代表的商業活動的發展，但對個人信息的保護力度較弱，不利于個人信息的保護。可見，無論是歐盟模式還是美國模式都不能較好的平衡好大數據發展和個人信息保護二者的關系。

五、怎樣平衡個人信息保護和數據產業發展

(一)細致劃分

目前，對于個人信息的權利基礎并未達成統一的觀點，立法上《民法總則》第111條明確對自然人的個人信息受法律保護。同時在第127條中規定“法律對數據、網絡虛擬財產的保護有規定的，依照其規定”，均非正面回應個人信息性質的正面。總結各學者的觀點，大體分為具體人格權、人格權的商品化、新型財產權或知識產權等。這些觀點過多偏重靜態的方面設計，無法通順、有效地回應互聯網、大數據產業中數據控制者的實際的需求。如何平衡二者的關系成為重點，因為“任何法律的制定和執行都應有利于資源配置的效益最大化。法律的促進效率的主要方法就是通過法律權利的配置來達到的。”[7]因此可以從概念“個人信息”與“個人數據”為視角切入，分別設定個人信息以人格權，個人數據為新型財產權。

(二)分段構建

個人信息從本體的人格權的角度可劃分為兩大種類——“與人格尊嚴有直接關系的個人信息”和“與個人尊嚴沒有直接關系的個人信息”[8]進一步說前者涉及到的信息是前文中提及的敏感信息，最本質的特征是具有直接的可識別性，通常是主體的身份屬性、生理屬性，以及個人信息權中體現出的那一小部分與個人隱私權重合的部分。這些是個人信息權的最低底線，此時作為一項具體的人格權應發揮作用保護人之所以為人的尊嚴，設計保護的重心在信息原主體對于敏感信息的控制力。這種控制力體現在以下三個方面：一、信息原主體有選擇敏感信息是否被收集的權利。因為這些信息是個體人格的產物，談不上對公共利益，又基于“理性人”的普遍存在，可以推定主體同意被收集的背后是獲得合算利益的。公權力不應過多的干涉權利主體在私域內的意思自治。二、強調潛在的風險性。在大數據的應用下，通過網頁、應用軟件等采集用戶的行為軌跡及衍生結果體量越來越大，不可忽視即使是通過匿名化處理后的數據經過大量交叉還原出信息主體的可能，讓信息原主體置身于“人格尊嚴”的潛在風險。三、賦予信息原主體合理的退出機制。信息原主體不使用提供的服務時的退出即刪除規則。這部分的設置主要為了保護公民的人格權，將個人信息中最核心部分、人格最緊密的部分提取出來，對數據控制者行為的限制，這種限制除了配合信息原主體的請求外，還以禁止這部分敏感信息轉賣、共享給他人，因為基于科技復制信息輕而易舉，如果這些敏感信息擴散到第三方，那無法保證信息原主體的刪除權的發揮完全作用，又讓信息原主體置身于“人格尊嚴”的潛在風險。

對于“與個人尊嚴沒有直接關系的個人信息”，即變為非敏感的脫離行為主體的具有商業價值的個人數據。個人數據是不可觸摸的，但具有脫離信息主體意志的獨立性、處理后的商業價值、并可以用于交換，應視為一類無形財產。[9]并且在實踐領域個人數據已經顯示出商業價值，我們不能否認有價值不一定可以歸結為法律上的財產的民法財產觀，同時意識到傳統的財產體系也正在遭受到信息化革命的挑戰，雖然在傳統的財產中難尋權利的定位權，但我們可以類比用財產保護的路徑給予個人數據新的保護。那權利的主體是誰呢？顛覆傳統的紙質媒介，互聯網應用場景中，數據收集有更高的效率。海量零散雜亂的數據對于行為主體來講，無論是從時間還是技術成本上考量，都很難將其轉化成商業價值，可能就停留在“潛在”價值的層面。另一方面，行為主體在使用服務商提供的“免費”服務以付出對價的方式許可數據的收集者基于類似“隱私條款”的合同獲得收集權。對于數據收據者此時僅僅獲得收集個人信息的權利，收集的信息包括全部的形態，是原始的信息，但數據控制者只有通過履行一系列義務、付出專有的勞動后時(匿名化后)才獲得數據的財產權。這個跨越遵從了洛克的勞動創造財產理論，“信息的開發投入了大量的時間、資金和資源，根據洛克的勞動價值理論，商家具有享有此種商業價值的正當性。”[10]這個階段的個人數據已經脫離信息原主體而存在，完成了跨越，因此信息原主體對于這部分數據并沒有權要求刪除，設置更多的是為保護數據控制者的交易方便、安全。作為一種新型的財產，個人數據無論是從理論上還是現實基礎上都應該確定數據的收集者享有這樣的財產權。互聯網上個人信息收集的行業流程特點為基礎，細致劃分為兩大階段，針對不同的保護法益，實施不同的側重保護，既不同于歐盟的“嚴刑”，又區別于美國的“放任”，能有效平衡好大數據發展與個人信息保護的關系。

六、總結

個人信息已成為重要的生產力要素，大數據成為社會進步的推動器。但是，伴隨著大數據發展的同時，個人信息泄露事件頻發，給個人信息的保護帶來巨大挑戰。所以，如何平衡好個人信息保護和大數據發展之間的關系，就成為當下需要解決的首要問題。而平衡好個人信息保護和大數據產業發展的關鍵就是明確個人信息的權屬。只有明確個人信息的權屬，才能在不阻礙大數據產業的發展的前提下，保護好個人信息。我們需要平衡好依托個人信息為基礎的大數據的發展和個人信息的保護，我們應該以互聯網上個人信息收集的行業流程特點為基礎，細致劃分為兩大階段，針對不同的保護法益，實施不同的側重保護，既不同于歐盟的“嚴刑”，又區別于美國的“放任”，創造出屬于中國的個人信息保護之路。筆者認為這樣做，既能在大數據發展的同時，也不忽視個人信息的保護。