信息時代大數據應用的法律規制

沈學雨 劉 愷 李梓萱

西交利物浦大學，江蘇 蘇州 215123

大數據時代的到來，使信息處理面臨著巨大的機遇和挑戰。信息處理通常發生在收集和利用個人信息和商業信息的過程中。互聯網的興起和網絡軟硬件技術的快速發展，使得個人信息的收集更加方便、高效。在商業領域，收集客戶的個人信息可以更好地幫助公司跟蹤和定位客戶的需求，開發更有針對性的產品和服務，以滿足不同群體的個性化消費。這已成為提高國內消費質量和效率的動力[1]。

然而，收集客戶信息也會危及個人信息安全和個人隱私。在大數據“監督”下的人幾乎無處藏身，隱私也非常有限。同時，大數據的廣泛應用也會增加商業秘密管理的難度，增加商業信息泄露的風險。這甚至影響到個人和企業的經濟利益，影響到個人、企業和國家之間的合作。因此，如何促進對商業秘密的有效、恰當的法律保護成為當今社會最關注的問題之一。本文將以A出行公司為例，對這些問題進行分析和應對[2]。

2021年6月30日，A公司在美國極為低調地上市。為防范國家數據安全風險，維護國家安全和社會公共利益，國家互聯網信息辦公室根據《國家安全法》《網絡安全法》和《網絡安全審查辦法》，于2021年7月2日對A公司開展網絡安全審查[3]。網信辦要求A公司出行軟件停止新用戶注冊，以防止審查期間風險進一步擴大。與此同時，A公司官方回應稱，公司將積極配合網信辦的網絡安全審核，接受外部監督指導，全面審核內部網絡安全風險，不斷提升自身網絡安全體系和技術能力[4]。2021年7月4日，網信辦宣布，A公司出行軟件違反法律法規收集和使用個人信息，并通知各大應用軟件門店下架A公司出行軟件。網信辦還要求A公司嚴格按照法律要求和國家標準進行整改，切實保護用戶個人信息[5]。

歷經有關部門的查處和整改后，2021年12月3日，A公司事件再次迎來了一個重大“進展”——A公司宣布，將啟動在紐交所退市的工作，并啟動在中國香港上市的準備工作[6]。

近年來，A公司一直在擴大市場份額，并成為該行業的主導力量。它的成功很大程度上歸功于對客戶個人信息的收集和后端大數據分析。大多數城市的地理位置信息和全國數萬戶家庭的個人信息都被記錄在A公司系統的內部數據庫中。但A公司在美國上市，很有可能導致我國國家機密泄露。甚至有傳言稱A公司將我國的國家機密移交給了美國，但A公司官員極力否認了這一點[7]。同樣，我國網絡安全審查辦公室于2021年7月5日發布通知，將對類似的一系列出行類軟件進行網絡安全審查，并停止其新用戶注冊。這些事件清楚地表明，中方不會容忍任何違反我國法律法規的個人信息泄露行為[8]。

一、大數據應用中的問題檢視

大數據一詞是當下的熱門詞匯。然而，迄今為止，關于何為大數據，卻仍沒有一個為各方廣泛接受的定義。通過梳理與“大數據是什么”有關的理論爭議，可以發現國內外學界在大數據本質的認識上存在較大分歧，產生了包括動態技術說、數據集合說、數據流說、數據資產說與商業智能說在內的多種見解。之所以形成這種百家爭鳴的格局，并不是由于某一種觀點或見解存在偏差，而是在于不同的論者在不同的學科語境下、從不同的研究視角出發對“大數據”這一內涵包羅極廣的概念進行定義。概括地看，大數據是基于計算機互聯網技術的發展為背景，人類能夠以電子形式或其他形式加以搜集、儲存、傳播、利用的各種信息的集合，其主要特征是海量、數據種類多、處理速度快，等等。

大數據的出現及廣泛應用對整個社會產生了深刻而重大的影響。大數據的出現及應用，改變了整個人類的生產和生活方式，極大地提高了各方面各領域的效率。通過海量數據的模型構建，有利于發現事物的變化，準確預測事物的發展趨勢，并進行及時有效的干預。大數據對現代企業來說不可或缺。在幫助企業做出更優的業務決策、產品升級以及簡化業務流程等方面表現非凡。大數據還可以幫助企業更及時地響應競爭對手的決策，更有效地應對監管方面的挑戰。

大數據的現實及潛在價值已經有眾多研究者做了深度挖掘，其積極作用已經不僅在專業領域而且在大眾層面也獲得了廣泛的認知。在享受了大數據帶來的諸多方面便捷的同時，我們必須直面大數據帶來的重大挑戰。大數據應用所帶來的收集、存儲、傳播、利用等方面的高效率，必然也會帶來侵害個人隱私、個人信息、企業商業秘密，乃至公共安全、國家安全的潛在高風險。

以A公司為例。A公司的發展壯大，是借助資本進行野蠻擴張進而發展到壟斷的典型案例之一。從2012年起，A公司歷經23輪融資，規模不斷膨脹。其間的2016年，柳甲主導A公司，收購了柳乙主導的B公司，完成了史上世界出行服務行業最大收購案。變身成功的A公司，徹底壟斷了市場，市占率來到了堪稱恐怖的93．1%。A公司出行軟件地圖基礎數據準確率已經超過95%，而且每天新增軌跡數據超108TB。這些軌跡數據和場景，具備海量、連續、高質量的特點。此外，該出行軟件擁有5．5億乘客，每天還會上報數十萬量級的路況事件[9]。

這些海量的信息，一方面涉及數以億計的公民個體的個人信息可能被不當搜集、使用、擴散。更進一步，借助互聯網大數據的處理、整合，這些信息衍生而出的數據更是具有巨大的現實及潛在的商業價值、公共安全和國家安全隱患。這些數據不僅可能使一個個公民個體失去隱私透明化于社會，如果這些數據不加處理傳到境外，就更不僅僅是個人隱私和經濟問題，還會危及國家安全。不僅A公司一家互聯網平臺存在這些問題，其他互聯網平臺多多少少也存在類似問題。

個人信息包括自然人的工作情況、經濟狀況、個性愛好、面部特征、意識形態、個人照片等具有身份識別功能的信息。我國《個人信息保護法》第四條將個人信息界定為：個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。

基于A公司龐大的用戶數量，每一個用戶在下載安裝A公司出行APP并注冊賬號時，海量的用戶個人信息便被錄入了A公司的數據庫。一是A公司基于利益考量，完全有可能將這些用戶個人信息的全部或部分以原始或編輯的形式出賣給第三方以牟利。類似的情況在現實中層出不窮。這只是個人信息被侵害的第一層級。二是海量的用戶個人信息同用戶其他信息結合，利用大數據技術進行處理，可以繪制出一個個立體的用戶的消費習慣、行程軌跡等越出安裝A公司出行APP目的之外的信息。客戶的隱私將陷于很大的風險之中。三是每一個孤立個體的行程軌跡信息或許僅僅是個人隱私的問題，但特定群體集群的行程軌跡信息的集合則可能投射出更具特殊意義的信息。曾有媒體報道，某打車軟件公司可以繪制出并分析國家某部委特定時段的人流量信息。這樣的信息就有公共安全的影響了。其四，如果海量的用戶個人信息被以原始或編輯的形式傳輸到境外，則國家安全風險會立馬凸顯出來。

鑒于國內的個人信息保護問題越來越突出，且關于規范個人信息及數據處理的相關法律零散不成系統，使得立法現狀一度嚴重落后于現實。經過理論界和立法機關的長期醞釀，2021年8月20日，十三屆全國人大常委會第三十次會議通過《中華人民共和國個人信息保護法》（自2021年11月1日起施行）。《個人信息保護法》的出臺標志著我國在個人信息保護方面向前邁進了一大步，彌補了之前出現的一些漏洞。法律規制的范圍擴大了。該法第一章（總則）第三條規定，本法除規定組織和個人以外，還適用下列三種情形：……（二）分析、評估我國境內自然人的行為；（三）法律、行政法規規定的其他情形。第二章（個人信息處理規則）第十七條還規定：個人信息處理人員在處理個人信息前，應以明顯的方式、清晰易懂的語言，如實、準確、完整地通知個人下列事項：（一）個人信息處理人的姓名和聯系信息；（二）個人信息處理的目的、方法、處理的個人信息類別和保留期限；（三）個人行使本法規定權利的方法和程序；（四）法律、行政法規規定應當通知的其他事項。

總體而言，《個人信息保護法》的內容還比較籠統，不夠詳細，具體的可操作性方面還有提升的空間，對個人信息侵權的特殊案件沒有針對性。未來還需要有更進一步的立法或司法解釋跟進，以更進一步明確現實操作過程中的具體問題。

二、建議和對策

目前，鑒于《個人信息保護法》的正式出臺，關于個人信息保護的法律框架、保護模式、保護內容初步成形。關于大數據應用未來立法方向的爭論主要集中在是否應該授予數據權上。未來隨著社會現實的不斷發展，除了《個人信息保護法》的一些細則需要出臺，關于相關的大數據也有待進一步完善立法，與《個人信息保護法》形成一個完善的立法體系，才可能有效應對各方面的信息處理的法律規制。

第一，應該加強數據權利。它不再局限于保護個人信息隱私和安全的立法，而是對數據類型先進行分類，包括數據資本化、人格權產權化、數據私有化（目前僅對個人同意的企業）等。這不僅加強了對個人數據信息的保護，也賦予了數據處理者相應的權利。它們形成了法律保護的雙重角度。在大數據發展的現狀下，將人格權利的部分內容賦予財產權屬性是數據權利賦權的最佳途徑之一。這樣既尊重了公民的基本的人格權利的神圣不可侵犯性，又照顧到了現實社會已經發展到大數據時代對個人信息等信息的處理流通的需要。

第二，規范數據主體的行為也是信息安全保護的一個很好的解決方案。明確數據提供者、控制人和用戶之間的邊界和權利義務，合理分配數據權益，可以對數據網絡環境做出更大的貢獻。《個人信息保護法》以及未來可能的大數據相關立法，其最終要解決的一個深層問題是，如何在信息所有者和信息處理者之間達到一種良好的平衡。有了這種平衡，一方面，信息所有者的人格權利等自然權利或基本權利得到了有效保護。另一方面，信息處理者的財產權益亦得到了承認和保護。這樣有利于大大提高信息處理利用的效率，促進社會經濟等方面的發展，實現不同主體之間的共贏。這個平衡點的所在，是理論界、立法者、實務界和產業界之間需要互動努力的。

第三，懲罰和糾正電子商務平臺之間的惡性競爭。數據私有化的實施可以肯定企業內部數據的合法化，防止相關數據被盜。同時，也是保護用戶個人信息，防止企業和個人權利受到侵犯的有效途徑。只有規范網絡平臺與電子商務之間的不公平競爭，才能緩解大數據應用中的公信力危機。此外，公民也應該履行自己應盡的義務，積極捍衛自己的合理權益，防止數據泄露，而不是保持沉默。它要求公民有一定的自制力來抵制基于數據的消費市場的誘惑。同時，政府也應盡最大努力保護公民的合法數據權利，減少訴訟的時間和金錢成本。

第四，鑒于法律實踐中存在的爭議，本文建議在公司侵犯個人隱私權時，除行政處罰外，還應實施刑事處罰。在大多數與大數據應用相關的案例中，個人隱私等權益受到的損害往往是不可估量的，對其精神損害的相應賠償與實際損失往往不成比例。違法成本過低是公民個人信息及其他信息數據泄露案件屢屢出現的重要原因。當發生相關案件時，執法和司法部門應首先根據對法益的侵害程度對案件進行分級，以確認適用侵權法直至刑法并由此匹配不同的懲罰級別。在一些嚴重的案件中，應該在消除對受害者的不利影響的同時對罪犯進行刑事處罰。對于從事電子商務的企業來說，應該要求他們就合理使用大數據提前完善內部合規體系，并在具體收集處理信息時與用戶簽訂法律協議。