民法視野下個人數據隱私利益保護

鄭東瑞

摘? ?要： 如何協調好個人的數據隱私利益和企業的數據財產利益是大數據時代一項重要的課題。目前，對于個人數據信息利益的保護主要存在兩種觀點：權利保護論和行為規制論。針對現代數據產業的發展狀況，認為現階段應當采取權利保護和行為規制并重的保護路徑;在動態化的視角下，數據主體和企業數據控制者之間應合理分配權利義務，以此實現個人數據隱私利益和企業數據財產利益之間的平衡。

關鍵詞： 大數據; 個人信息; 權利保護; 行為規制

中圖分類號： TP309;F724? ? ? ? ? ? ? ?文獻標識碼：? A? ? ? ? ? ? ?DOI：10.13411/j.cnki.sxsx.2019.04.017

大數據時代，數據成為各大企業競相爭奪的戰略高地，是數字經濟時代的重要資源。[1] 而數據之上價值的孵化和產生過程，離不開數據價值的開發和利用，在注意到大數據之上商業屬性和公共屬性的同時，也應當注意到個人數據之上隱私利益的保護。所以，大數據開發和利用至關重要的矛盾就是個人數據隱私保護和數據價值開發利用之間的矛盾，如何協調兩者之間的矛盾成為數據信息利用制度規則設計的基礎和關鍵。針對這一問題，學界目前有兩種觀點：一種觀點主張通過權利保護模式，賦予民事主體個人信息權，保障用戶的數據隱私;另一種觀點主張通過行為規制的路徑，間接保護民事主體的數據隱私利益。

一、問題之提出——大數據時代隱私保護的兩難選擇

目前，學界對于個人信息和隱私的保護，主要有二種模式，一種是通過賦予民事主體個人信息權的方式，賦予民事主體享有對于自己信息完全的自我決定權，保障自身數據信息利益;一種是摒棄數據信息的賦權模式，轉而采用行為規制模式，通過多種路徑來達到對數據者行為控制，從而實現對民事主體數據利益的保護。

（一）權利保護模式

王利明教授是權利保護模式的堅定支持者，從近些年來王利明教授的研究成果可以看出，他一直主張對民事主體進行個人數據信息的賦權式保護，即賦予民事主體以知情同意權。[2]但是王利明教授的觀點在近些年產生了變化，他注意到數據信息之上復雜的利益層級以及數據信息本身巨大的經濟和財產價值，因此更加強調對數據的共享。[3] 數據共享仍然以民事主體的個人信息賦權為前提，當然學界也有諸多學者支持這一觀點。從域外立法例上看，目前英美國家所采取的即是個人賦權式的權利保護模式。[4]

筆者看來，傳統民法中的隱私概念是以“領域理論”作為此概念的理論基礎，[5] 但是互聯網的技術性可以突破各種技術壁壘，使得網絡空間中的界限模糊化，領域理論實際上在網絡空間中的作用也十分有限。在網絡空間中，隱私恐怕是附著于個人信息上的一種利益層級，可能根本無法將隱私與個人信息截然區分。正如王利明教授指出，個人信息的特點在于可識別性，而隱私的特點在于私密性[6]，而這種私密性又是建立在可識別性的基礎上的，所以在網絡空間中，個人數據是隱私利益的載體和形式，而隱私利益又通過個人數據信息的形式體現出來，實際上很難將兩者截然分開。因此，將兩者完全進行界分恐怕并不現實。隨著個人數據信息上公共屬性的不斷凸顯，信息控制理論在現代社會面臨適用上的困境，采用行為規制模式保護用戶的信息隱私利益的觀點甚囂塵上。

（二）行為規制模式

有學者反對個人信息的私人控制，進而反對個人數據信息的權利保護模式，轉而采用行為規制的模式保護民事主體的信息和隱私利益。所謂行為規制路徑是將數據的部分不正當使用行為作為新的規制類型加以限制的立法技術。高富平教授認為，個人信息在現代社會中是一種社會公共資源，為了促進個人信息數據的自由流通，促進信息數據社會效益的最大化實現，個人信息的控制模式應當從個人控制轉向社會控制。[7] 在高富平教授看來，信息的公共性和可共享性，決定了個人信息的公共性。[8] 也有學者認為在現代社會隱私已經喪失了自我控制的社會基礎，并主張通過預防理念的公法手段，在公法的框架下進行規制。[9] 在他們看來，在數據資源的開發與利用過程中，應當采用行為規制的模式對民事主體的數據利益進行保護。[10]

筆者認為，在數據產業的發展初期，單一權利保護路徑或者行為規制路徑，都有其自身的缺陷和不足，均不足以對民事主體的數據利益進行保護，所以，權利保護模式和行為規制模式都是這一階段用戶數據利益保護的重要方式。

二、個人信息數據權利的賦予仍然有必要

僅僅通過行為規制的保護方式，并不能對民事主體的隱私利益進行周全的保護，其也不符合大數據時代信息隱私的特征。在目前的技術發展程度下，完全采取行為規制的模式保護民事主體的人格利益并不適合，其原因主要有兩個方面，一個問題是行業內的標準化問題沒有解決，另一方面在于通過契約模式保護隱私存在一定的局限。

用戶信息的自由流轉缺乏標準化規則是采用公法規范進行規制的最為關鍵問題。數據的自由流通當然以數據脫敏化為前提和基礎。其中數據脫敏技術又分為加密技術、數據失真和匿名化等多種方法[11]，每一種保護方法都有其優點和不足，每一種脫敏方法對于用戶隱私的保護程度并不相同。如果數據控制者本身財力雄厚，愿意在脫敏技術上花費較高的成本，用戶的隱私利益就越有保障;但是如果數據控制者的財力有限，無法在數據脫敏技術上耗費較高的成本，用戶的隱私利益可能面臨較大的威脅。所以，脫敏技術的行業標準尚未建立，我們不能過度依賴企業的自律或者公權力部門的監管。另外，有學者認為，應當通過契約方式實現對數據控制者行為的規范，但是筆者認為，通過契約方式實現對用戶隱私利益的保護實際上仍然存在局限，因為契約關系所保障的是當事人的債權，是一種“對人權”，如果沒有合同的拘束力，很難追究當事人的損害賠償責任。除了數據脫敏技術的標準化問題沒有實現，而且數據信息收集的規范也缺乏相應的標準，如果在信息收集時并沒有對用戶信息的用途做出明確的約定，用戶與數據控制者可能無法進入合同關系，從而導致侵權行為的發生。總之，在標準化問題取得突破進展之前，通過行為規制的方式進行保護可能會面臨一定的局限。

隱私的外延依賴于民事主體的自我決定，對于數字信息而言也同樣如此，相同的信息對于不同的民事主體而言其敏感程度可能并不相同。對于隱私的異質性，目前，大多數學者傾向于通過類型化分析的方法，對不同敏感程度的數據信息采用不同的分類方法。有學者將互聯網上的個人數據信息分為10大類108種，并且對每一種信息的敏感度進行了分析和標注，并在此基礎上依據個人信息對于個人的敏感程度不同將個人信息分為核心個人信息、敏感個人信息和一般個人信息。[12] 有學者根據數據本身的內容，將數據劃分為“客戶身份相關數據”、“業務權屬數據”、“業務輔助數據”、“服務衍生數據”四大類。根據數據本身的敏感級別，也有學者根據泄露該信息是否會導致重大傷害、給信息主體帶來傷害的幾率、社會大多數人對某類信息的敏感程度將個人信息分為個人敏感信息和個人一般信息，并采用列舉的方式對敏感信息進行了一一列舉。張平教授認為個人信息應當區分為三個層次，首先是私人隱私信息，這部分信息彰顯自然人的人格屬性;第二層次的個人信息是指個人間接信息，這種個人信息是指經過加工處理后可以定位到個人的個人信息;第三層次的個人信息是指加工信息。筆者并不贊同對個人信息進行相對固化的“敏感信息/非敏感信息”二分法或者三分法的分類方式，這種分類方法并沒有把握數字信息時代個人信息和隱私的特點，思維相對固化，如果采用這種分類方式，可能對個人信息的自由流動能力構成一定的威脅和限制。但是“隱私”這一概念本身是隨著人的自我意識的發展和社會交往方式的變化，其內涵和外延也在不斷產生變化，人的自我意識不同，不同時代的社會交往方式不同，場景不同，數據信息的敏感度也不相同，而哪些信息是敏感信息，哪些信息是不敏感信息，應當由民事主體在不同的場景中，根據用戶自身的利益歸屬進行的個性化的選擇，而通過對個人信息進行類型化分析方式，可能存在這樣一個弊端，就是不合理地對某些對于民事主體而言并不敏感的信息耗費技術成本進行脫敏化處理，而遺漏掉某些對于個別民事主體而言相對敏感的數據信息，而這些都有賴于民事主體對個人數據信息權利的支配。所以，在這一點上看，通過個體賦權路徑保護民事主體的個人信息隱私利益，可能更加合適。

隱私的場景化背景下依賴于民事主體知情同意。近些年來，隱私場景化的問題已經被越來越多的學者注意到，數據控制者與數據控制者之間共享信息數據可能在未來已經成為常態，而不同的數據控制者使用數據的環境可能并不相同，正如上文所提到的，同樣的信息在不同的場景下其敏感程度可能并不相同，如果通過完全的行為規制方式，個人對于自己的信息也并不知道被共享的數據方接收，如果任由自己的信息被信息控制者任意共享給第三方，尤其是在標準化問題沒有解決之前，有很大的風險。因此，鑒于數據共享的在未來數字信息社會的普遍性和數據隱私的場景化特征，應當賦予民事主體個人對于關涉自己的數字信息的控制權。

總之，對于民事主體信息隱私的保護，其具有一定的合理性，但是鑒于信息數字隱私本身具有的異質性特征和場景化特征，在缺乏數據脫敏、缺乏國家標準和行業標準的情形下，仍然需要強調個人信息權在保護互聯網用戶數字隱私中的地位和作用。

三、更加注重對數據控制者的行為規制

僅僅依靠個人賦權對民事主體的數據隱私利益進行保護，實際上仍然不足以保護民事主體的數據利益，對企業的數據開發與利用行為加以規制也同樣重要。可通過數據采集、數據挖掘和數據流轉與共享過程中的數據動態流轉特征，加強對企業的行為控制。

（一）數據采集階段的行為規制

數據采集是指數據收集者通過各種渠道和方式收集用戶數據信息的過程，其并不對收集到的信息進行加工、整理和分類，所以通過數據采集的方式收集到的數據往往較為粗糙，本身的可利用性程度并不高。然而卻是數據資源開發和利用的起始和關鍵階段。因此，在這一階段特別需要注意數據信息被收集者的知情同意。數據的控制自然是離不開作為個體的民事主體的數據權利保護和企業在用戶隱私維護中的責任。數據采集階段由于僅僅是較為粗糙的數據收集階段，無法實現對信息的匿名化或者假名化，所收集的數據信息屬性應為個人信息屬性，因此在這一階段，應當特別注重對民事主體個人信息“知情同意”的構造。

以個人控制的視角看，傳統的理論視角強調個人的知情同意，根據大多數研究，雖然在個人信息產業發展初期較為重視用戶的告知同意，但實際上，仍然僅有很少部分人能夠全面把握自己信息的動向，了解自己的信息如何被收集和私用。其中一個原因在于隱私政策本身的復雜與冗長，互聯網用戶缺乏耐心進行閱讀;另一方面，隱私協議中可能涉及過多的專業知識，一般的互聯網用戶可能無法理解如此復雜的專業協議。因此，在實踐中經常會出現這種現象，即用戶或者全盤接受信息收集協議中的信息收集請求，或者直接拒絕系統發出的信息收集請求。在這一階段可能會出現用戶的同意疲勞，而導致知情同意淪為具文。針對這一現狀，近些年理論界和實務界開始強調的是將用戶隱私嵌套于數據收集的程序之中進行保護。為了提高數據整合的效率，筆者認為，影響相對弱化在數據收集階段的知情同意，因為大數據時代的數據收集為了促進數據信息的自由流通，在更大程度上發揮數據信息的效用和價值，應當進一步弱化個人同意，對于數據隱私采取默認保護的技術模式。在數據收集階段，可以相對弱化用戶的知情同意，對于某些一般的個人信息，可以不經過用戶的同意直接收集，即對于一般的個人信息，可以不經過用戶同意以默示方式加以采集，對于某些敏感數據，例如個人健康信息、性取向性生活信息、身份、金融等信息則需要互聯網用戶以明示的方式做出同意收集的意思表示。有學者指出，數據手機方可以通過相關的隱私分析軟件，對用戶的隱私偏好進行分析，在明確用戶之隱私偏好的基礎上，對用戶的數據信息進行收集。[13]

另外，企業的角度也應當遵循透明度原則，即需要告知相關的用戶其收集用戶信息的用途，這既是公平信息實踐原則的要求，也是通過設計保護隱私原則的要求。除了需要明確告知用戶收集的用途之外，也需要向用戶明確告知數據收集者收集數據信息的范圍、內容和程序，確保用戶能夠隨時掌握其信息的動向。數據收集者也需要向用戶說明其收集數據的用途同數據收集范圍之間的必要性和適當性，收集數據的范圍不得超過數據收集者所欲達到其分析數據的目的。當用戶對數據收集者收集自身數據的行為產生質疑，可以隨時撤回或者撤銷同意。

（二）數據挖掘階段的行為規制

所謂數據挖掘，根據其在技術角度的狹義界定，是指在數據庫中識別有效、新穎、可能有用且最終理解的模式呈現的重要過程。學者將數據挖掘界定為數據收集者其將收集到的信息進行篩選和判別、分類和排序、分析和研究，整理對其更有利用價值的過程。[14] 由此可見，信息數據最大價值的發揮是在數據挖掘階段實現的。數據分析的準確性，有賴于其樣本本身可用性程度，如果注重隱私保護而舍棄一部分信息，則可能會使得數據挖掘的準確性受到影響;如果力求數據挖掘之結果的準確度，則可能以犧牲用戶數據信息上的隱私利益為代價。所以，在數據挖掘階段需要處理好一對矛盾，即信息隱私的保護程度和數據挖掘準確度。

在這一階段保護用戶的隱私是十分必要的，因為數據挖掘以及數據的自動化分析對公平信息實踐原則中的透明度原則提出挑戰，數據挖掘是一個智能化的過程，數據挖掘更多地依賴于算法，而算法本身又存在連算法設計者都無法理解的“算法黑箱”，也很難使我們完全知曉企業所收集的關涉自己的個人信息數據是如何被分析和處理的，所以在數據挖掘過程中，就需要做好隱私的保護工作。“通過設計的隱私保護”原則的一項核心要求就是將隱私保護嵌入程序設計之中，通過程序的設計實現對隱私的控制和保護。顯然，主要依賴于算法進行數據分析的數據挖掘階段，自然是通過設計進行隱私保護的關鍵階段。因此，出于對用戶隱私數據保護的考量，在這一階段需要將通過數據采取所獲得的、具有可識別性的信息轉化為不具有可識別性的數據，職是之故，進行數據挖掘的前提是對數據進行“去標識化”的處理，這也是個人數據信息利益向企業的數據財產利益轉化的一個關鍵階段，也是對用戶數據隱私進行保護的關鍵階段，而這需要借助于各種隱私保護技術對用戶的各種數據信息進行保護。

不同匿名化技術或者加密技術，其效果自然也并不相同。目前，有學者對各種數字加密技術進行了分析和整理，數據挖掘階段的隱私保護技術主要包括三種，即：通過加密技術進行數挖掘、通過數據失真的方式進行數據挖掘、通過匿名化的方式進行數據挖掘。從行業控制的視角，筆者認為，應當盡快出臺關于數據隱私保護的標準化法律，缺乏統一的行業標準，是導致大數據行業中隱私保護出現問題的原因。數據隱私行業的標準化，有諸多益處：首先，數據收集者進行數據挖掘時，可以依據一定的行業標準對數據進行匿名化處理，保護用戶的隱私。另外，根據具體情況，行業內部可以設立多個可供選擇的隱私保護標準，在司法實踐中數據收集者本身在企業實力上可能有所不同，資金雄厚、技術過硬的企業可能有能力采取較高的數據加密技術，對于尚處于成長期的、技術實力較弱的企業，其可能沒有能力采納技術等級和技術水平較高的數據加密技術。所以，相關領域的標準化法進行制定時，需要充分考慮行業內數據收集者技術水平和技術能力的層次性，制定多個標準供行業內數據收集者進行選擇。

（三）數據共享階段的行為規制

數據共享階段是數據收集者對數據進行利用的一種形式，也是最主要的一種形式。企業在數據挖掘階段主要是立基于自己企業的利益，對用戶數據進行分析和整合，企業收集的數據本身具有巨大的財產價值，其可以通過與其他公司進行數據交易的方式獲取一定的利潤。數據共享是促進數據本身價值最大化發揮關鍵一環，也是未來大數據開發與利用的一個十分重要的趨勢，而在大規模的數據共享之前，用戶的數據隱私保護是數據控制者之間進行數據共享的前提和基礎。

首先，在決定將用戶信息與其他企業或者公司共享之前，需征得用戶的知情同意。并明確告知作為數據衍生者的用戶，可以充分行使對于自己的數據權利，包括更正權、刪除權、數據可攜帶權等數據權。也可以直接同意或者拒絕數據收集者與第三方共享數據。

其次，在共享之前做好隱私泄露的風險評估，對于數據控制者需要對擬進行共享的第三方企業進行隱私保護的安全等級進行評估，或者通過協議的方式，要求對方不得基于其他目的使用共享數據，相關企業應當承擔保護用戶隱私數據信息的義務。例如企業在將自己企業的數據同第三方分享時，應當對相關企業的主營項目進行明確，明確其數據庫中現有的數據類型，預測在自己將數據同第三方共享之后，第三方利用現有數據與共享數據進行反向識別的可能性等因素，并在準備同第三方共享之前，及時將此情況告知數據衍生者。

再次，數據共享應當保障用戶對于自己數據的控制權，例如更正權、刪除去、可攜帶權等。確保民事主體對于數據的控制權能夠穿透原公司直到第三方的共享數據庫。被共享的企業同樣需要承擔相應的義務，甚至個體數據被享有數據權利的民事主體刪除的風險，數據在共享之后，仍然需要保障數據主體對于自己數據享有完全的控制權，尤其是在征信行業的數據共享問題中，確保民事主體對于自己數據信息的控制。

復次，聯邦消費者法案在公平信息實踐原則的基礎上，增加了一項原則，即“場景期待原則”（Respect for Context），并將其定義為“消費者有權期望公司以與消費者提供數據的場景一致的方式收集、使用和披露個人數據”。[15] 之所以會做出如此規定，其主要還是在于防止用戶的數據隱私被不當地開發和利用，例如通過某些企業可能通過與其他信息相互結合得出用戶的完整畫像，從而侵害互聯網用戶的隱私，因此需要將用戶的數據的用途限制于消費者同意提供數據時的場景中，例如用戶是在金融場景下提供數據，則用戶的同意使用的數據信息只能在金融行業內部進行共享，如果用戶在醫療消費的場景下向企業提供數據，企業也僅僅應當向醫藥生產商或其他相關的醫藥產品公司共享相關的數據。

最后，無論數據控制者還是第三方在數據共享之后，都應當對其所收集或者分享的數據承擔責任。有學者認為，原數據控制者在將數據分享給第三方之后，對于第三方泄露數據的行為，其不必再承擔責任。在筆者看來，數據控制者仍然需要對第三方泄露數據的行為承擔一定的責任，因為原數據控制者在將數據共享給第三方使用時，其對于第三方負有隱私保護審查義務，如果數據控制者能夠證明其在與第三方進行共享時，盡到合理的審查義務，則可以免除責任，如果其不能夠舉證證明在共享時盡到審查義務，則其需要對用戶數據的泄露承擔連帶賠償責任。

四、結論

大數據時代，個人數據隱私利益保護，不僅僅需要對企業的行為加以嚴格規制，更需要作為數據產生者的數據主體積極介入數據治理過程。因此，未來的個人數據信息保護立法不僅僅需要行為規制模式，還需要權利保護模式的配合。