大數據時代個人信息保護制度探究

宋豐華

（中共福州市委黨校 福建 福州 350014）

當前，大數據技術的發展為我們的生產生活提供了極大的便利，與此同時也對個人信息的保護帶來巨大挑戰。在充分運用大數據技術的同時，如何保護個人信息，避免個人信息泄漏、不當使用帶來的種種問題，成為人們廣泛關注的焦點。在大數據時代，我國個人信息保護制度存在哪些問題，如何加強個人信息保護，這些都需要進一步研究。

一、大數據時代個人信息保護的緊迫性

大數據時代，隨著大數據技術應用領域的不斷擴展，個人信息保護面臨的風險也在不斷增加。近年來，個人信息不當收集、存儲和使用現象頻發，個人信息權益受到嚴重侵害，進而導致信息主體遭受各種通信騷擾、財產損失乃至人身傷害。比如2016年發生的徐玉玉案，以及每年層層不窮的各類電信詐騙。在信息不當收集方面，信息收集者通常會超出合理范圍過度收集信息，或者利用自身優勢要求信息主體在接受服務之前必須同意其格式文本的用戶協議、隱私政策等，如果不同意，則不能使用信息收集者提供的服務。在信息不當存儲方面，信息收集主體對信息存儲的安全性評估不足，網絡服務系統存在漏洞導致個人信息泄漏。在信息不當使用方面，信息收集者故意向他人提供、出售個人信息，或者通過電話、短信、郵件等方式對信息主體進行騷擾，以及信息泄漏后被不法分子利用從事違法犯罪活動。上述信息收集、存儲和使用中存在的問題暴露出個人信息保護方面的不足，而個人信息保護的不足不僅會使信息主體的人身和財產權益受損，還會制約數據產業的健康發展。數據產業的發展離不開對數據的收集、處理和利用，如果信息主體的各類權益無法得到保障，則信息主體會更加審慎地保管和使用其信息，這勢必會對經營者獲取個人信息帶來一定的阻礙，不利于大數據產業的健康持續發展。

二、我國個人信息保護制度存在的問題

盡管我國在個人信息保護方面制定了一系列制度，但由于制度本身存在不足，影響了個人信息保護的效果。

1.個人信息的界定不明確

清晰界定個人信息的內涵，是個人信息保護的前提和基礎。考察我國相關制度，2017年6月1日實施的《中華人民共和國網絡安全法》和全國人大2020年5月28日通過的《中華人民共和國民法典》都把個人信息界定為單獨或與其他信息結合能識別特定自然人的信息，同時列舉了自然人的姓名、出生日期、身份證號碼、住址、電話號碼等具體個人信息。從上述規定可以看出，我國法律實踐中“可識別性”是界定個人信息的關鍵。但隨著大數據技術的發展，可識別性在界定個人信息方面面臨巨大挑戰。一方面，可識別個人身份信息的范圍在不斷擴大。在大數據時代，個人生活、工作、活動中的不少行為都能被網絡所記錄，比如網絡瀏覽記錄、購物記錄、個人活動軌跡等。這些零散看似毫無關聯和不可識別的信息，運用大數據技術進行處理之后，原本看似不能識別個人身份的信息都能夠成功識別到個人。比如網絡運營者可結合購物者的購物記錄、IP地址和郵寄地址等將匿名購物者識別出來。另一方面，一些信息即使不具有識別個人身份的可能，但是如果被泄露、不當使用，也會對信息主體的權益造成侵害。通過大數據技術處理之后，一些信息已經不具備識別個人身份的可能或不以識別個人身份為目的，但卻可能造成信息主體的權益受損。比如網絡運營者根據個人網絡瀏覽記錄、購物記錄而向其精準推送廣告、新聞，或者運用大數據“殺熟”，這些行為都給信息主體的生活安寧和財產安全帶來極大隱患。

2.控制理論下的法律保護模式有待完善

當前，以“知情—同意”為核心的控制理論是個人信息法律保護的基本理論。在控制理論下，信息主體被認定為是理性人，基于理性選擇，能夠有效控制其個人信息的收集、使用。網絡運營者在對個人信息進行收集及后續處理、使用之前，必須告知信息主體，在征得信息主體的同意后，方可從事上述行為。在“知情—同意”的機制下，使得網絡運營者對信息主體信息的收集、處理和使用合法化。目前，世界很多國家都是基于這一理論進行立法，對個人信息加以保護。我國的相關法律，如《中華人民共和國網絡安全法》《中華人民共和國消費者權益保護法》《中華人民共和國民法典》，都規定了行為人在收集、使用個人信息時，應當明示其收集、使用信息的目的、方式和范圍，同時要取得信息主體的同意。由此可見，我國的立法也是基于控制理論，以“知情—同意”原則構建起個人信息保護的制度。但隨著大數據技術的發展，基于控制理論下的個人信息法律保護模式的不足日益凸顯。一是信息主體在復雜的客觀環境中不能保持足夠的理性。控制理論強調個人的理性選擇，假定個人能夠理性做出是否同意網絡運營者收集、使用個人信息的決定。但在具體的場景中，尤其是面對網絡運營者提供的冗長枯燥、晦澀難懂的服務協議或隱私政策時，個人往往沒有足夠的能力和耐心理解其中的內容，難以評估同意個人信息被收集后將帶來的后果，難以做出理性的決策。并且一些網絡運營者還要求只有在信息主體同意其收集、使用個人信息的前提下，才向信息主體提供服務。此種霸王條款之下，信息主體的“同意”并非基于其真實意思表示，此時信息主體也難以實現其對個人信息的有效控制。二是網絡運營者在運營的前期往往也不確定收集的信息將用于何種用途，自然也無法在服務協議或隱私政策中明確告知個人信息的所有用途。基于自身利益的考量，為更好地發揮個人信息的潛在價值，網絡運營者通常會把盡可能多的個人信息納入隱私政策中，而這也偏離了個人“同意”制度設計的初衷[1]。

3.侵害個人信息的民事責任追究存在不足

我國現有的制度在個人信息受到侵害的民事責任追究方面較為薄弱。盡管《中華人民共和國民法總則》及尚未生效的《中華人民共和國民法典》規定了自然人的個人信息受法律保護，但當個人信息受到侵害時，如何進行保護，《中華人民共和國民法總則》及《中華人民共和國民法典》并沒有明確的規定。司法實踐中，侵害個人信息的民事糾紛主要是依靠最高人民法院2014年制定的《關于審理利用信息網絡侵害人身權益民事糾紛案件適用法律若干問題的規定》來解決。該司法解釋第十二條規定了相關主體利用網絡公開他人個人隱私和其他個人資料，并且給他人造成損害的，應當承擔侵權責任。實踐中，侵害個人信息的民事糾紛尚無單獨的案由，現有的案例較少，并且基本都是基于隱私權糾紛進行審理。而當前我國隱私權的法律保護制度本身并不完善，這也給侵害個人信息的民事糾紛的解決帶來不利影響。個人信息保護有其特殊性，在要求侵權人承擔侵權責任時，應該適用過錯責任原則，還是無過錯責任原則，也需要進一步探討。

三、大數據時代個人信息保護制度的完善

大數據時代的到來給個人信息保護帶來新的挑戰，針對個人信息保護制度存在的上述問題，需要立足實際，結合我國的具體情況，進一步完善相關制度。

1.科學界定個人信息

從個人信息的分類來看，個人信息可分為可識別信息和關聯信息。可識別信息即能夠識別個人身份的信息，如姓名、身份證號碼、手機號碼等，關聯信息是指與信息主體相關聯的其他信息，如信息主體的工作信息、教育背景等。如上文所述，我國目前以可識別性作為個人信息保護的范疇。僅保護可識別信息并不全面，還應當對關聯信息加以保護。關聯信息客觀上能夠反映信息主體的相關特征，同樣具有受到法律保護的人格利益[2]。而科學界定可識別信息和關聯信息，有利于加強對個人信息的保護。在可識別信息的界定上，包括了直接識別和間接識別。直接識別即單個信息即可直接識別出信息主體，而間接識別指相關信息需結合起來才能識別出信息主體。早期的觀點更傾向于保護直接識別的信息，隨著大數據時代的到來，間接識別標準也為世界眾多國家所認可和采用。在識別標準的認定上，存在絕對標準和相對標準。絕對標準強調只要特定信息能夠被世界上的某一機構所識別，則該信息即為可識別信息。相對標準強調獲得信息的一方能否識別作為判斷標準。顯然，絕對標準較為合理。如果采用相對標準，信息收集主體很有可能將一些信息主體的信息認定為非個人信息，從而排除了法律對其的保護。在關聯標準的認定上，有觀點認為個人信息是與特定個人相關聯的、反映個體特征的信息[3]。隨著大數據技術的發展，原來不能反映個人特征的信息在大數據技術的處理下也能夠清晰地呈現出個體特征。在關聯性的認定上，只要通過一定技術手段分析處理后，能夠反映個人特征，即應當認定為關聯信息。

2.建立健全網絡運營者個人信息保護機制

控制理論下的個人信息保護圍繞信息主體的權利設計“知情—同意”為核心的制度，但如前文所述，這一理論下的制度設計在大數據時代面臨巨大挑戰，亟須改進制度設計。在大數據時代，盡管信息主體是個人信息的權利人，但網絡運營者的行為卻直接影響著個人信息的收集、使用是否合規，是否能夠發揮數據的效用，因此，在個人信息保護方面，我們可以將制度設計的重點放在對網絡運營者行為的規制上。通過相關的制度設計，強化網絡運營者的責任，防止個人信息的泄露、濫用，保護信息主體的合法權益。具體而言，需建立健全風險評估機制。網絡運營者在對數據進行處理之前，對信息處理可能給信息主體的權利帶來的影響進行風險評估，根據評估結果的不同，劃分高、中、低的風險等級。當風險等級為高風險時，網路運營者應及時主動向信息主體履行風險披露義務，并針對該風險采取降低風險的措施，在必要時還應向監管部門報告，由監管部門對其采取的應對措施進行審核；當風險等級為中風險時，網絡運營者需向信息主體披露其中風險較高的因素并讓其選擇是否將其納入處理范圍；當風險等級為低風險時，網絡運營者無須主動對信息主體進行披露，以及采取防控措施。

3.完善侵害個人信息的民事責任追究制度

侵害個人信息的民事責任追究應當適用何種歸責原則，是侵害個人信息民事責任制度中需要考量的重要問題。《中華人民共和國侵權責任法》及尚未生效的《中華人民共和國民法典》侵權責任編中過錯責任原則是侵權損害賠償最基本的歸責原則，如果要適用過錯推定責任原則或者無過錯責任原則，應當以法律的明文規定為前提。我國現有的法律并未對侵害個人信息的歸責原則規定為過錯推定責任或無過錯責任，因此現有制度中侵害個人信息的歸責原則為過錯責任原則。在未來的個人信息保護法或相關法律制定中，可以考量將這一類型的歸責原則設計為無過錯責任原則。在無過錯責任原則下，當被侵權人對侵權人提起個人信息侵權之訴時，無須證明侵權人存在過錯，侵權人只有存在法定的免責事由時才能免除侵權責任[4]。原因在于，適用無過錯責任原則能夠更好地保護個人的合法權益。在大數據時代，如果適用過程責任原則，要求個人證明侵權人在信息收集、處理或使用過程中存在過錯并非易事，這很可能造成個人因舉證不能而承擔不利的法律后果。同時，在規定無過錯責任原則時，可以進一步規定網絡運營者的免責事由，比如以合法途徑獲取的個人信息、個人已在網絡上公開的信息、為公共利益的目的而使用信息的行為等。