摘 要 大数据时代的到来让我们的工作和生活逐渐变得便捷和高效的同时，大数据技术的使用也日益暴露出它的弊端，个人信息泄露、侵害个人信息权利的现象日益普遍。在充分利用大数据、利用个人信息的同时，如何从法律制度层面对该领域进行科学管理与规制，实现大数据时代个人信息的充分使用和个人信息权利合理保护的平衡，切实解决个人数据收集应用与个人信息权利保护冲突的现实问题具有重大现实意义。

关键词 大数据 个人信息保护 个人信息权利

基金项目：1.湖南省社会科学成果评审委员会项目“大数据时代个人数据信息保护机制创新研究”（立项编号XSP17YBZZ0 74）;2.湖南省社科基金项目“大数据背景下个人信息利用法律规制研究”（立项编号17YBA239）。

作者简介：虞蕾，湖南商学院法律（法学）硕士，研究方向：民商法。

中图分类号：D923                                                            文獻标识码：A                       DOI：10.19387/j.cnki.1009-0592.2019.05.239

“大数据商业应用第一人”舍恩伯格在《大数据时代》一书中写道，某零售商通过大数据历史记录分析，得知女中学生已怀孕的秘密并向其邮寄母婴用品广告。大数据使我们生活在一个公开透明的时代，不当收集、买卖、恶意使用、篡改个人信息以致影响他人生活安宁，侵害他人财产甚至生命安全，扰乱社会秩序的现象在我国日益突出。为适应大数据健康发展的需要，《民法总则》中首次明确了个人信息的保护， 从基本法层面对个人信息进行法律定性。然而在具体的实践生活中，个人信息保护的实际收效并不理想，在加强保护的同时又要避免影响信息的正常流通，所以需要寻找平衡个人信息利用与保护之间的路径。

一、大数据时代个人信息安全的现状

（一）个人信息的法律概念及其属性

纵观域外在个人信息保护的理论研究及立法实践，“个人信息”常见称谓包括：欧盟的“个人信息”（personal information）;美国、澳大利亚、加拿大等立法使用的“个人隐私”与“隐私”两个概念。因此，国际上对本课题“个人信息”这一概念并没有统一的称谓和界定，严格地讲，各国在使用这些称谓时的具体内涵也存在细微差别。

在个人信息（权）的法律属性上，通过查找资料和阅读文献，总结出国外学者的观点主要有：（1）隐私（权）说;（2）独立人格（权）说;（3）财产利益（财产权）说。 在国内，主要有隐私（权）说、新型人格权说、 财产权说等。大数据时代下的今天，数据技术可以从海量的数据资料中分析、提取出可供政府、企业、个人等决策使用的信息，在这个过程中，大量的原始数据可通过大数据的运用识别出众多有价值的个人信息。这些信息可因其本身的差别而影响到信息主体的隐私、财产利益等，是一种兼具人身属性和财产属性的新型利益种类。

（二）大数据时代个人信息受威胁的主要类型

1.国家机关对个人信息的过度收集

国家机关要面对诸多复杂的民生问题和维护国家统一与稳定，有着特殊的职能。国家机关收集个人信息有两个明显区别于其他主体的特点：（1）强制性。国家机关是以国家的名义实施的职能行为，在其行使职权的过程中若遇到阻碍可依法使用强制措施消除障碍。（2）单方意志性。国家机关在法律法规授权内可自行决定行使其职权，无需征得对方同意。例如《刑事诉讼法》第136条的规定，侦查人员对犯罪嫌疑人的身体、物品等进行搜查出示搜查证即可，无需被搜查人的同意。然而从社会契约论的角度来看，国家机关作为主权者的公意执行人，不能给臣民加以任何一种对于集体毫无用处的约束。 因此，国家机关在收集个人信息的过程中应给予公民应有的尊重，须在自己目的和权力范围内进行。例如：某公安机关在对一起校园盗窃案进行侦查时要求全校学生进行指纹及身份信息录入检测，这显然已经超出必要的范围。

2.人机网络行为泄露、曝光个人信息

网络中的热门事件极易引发网友的集体热情，相较于机器搜索引擎而言这种人机互动搜索的影响力更为致命，例如人肉搜索，也许网友的出发点是所谓的“伸张正义”，但自诩的正义行为最后变成惩善扬恶也为未可知。这样的实例举不胜举，2018年8月发生的安医生自杀事件，起因是一起泳池冲突，但随后涉事男孩的家长到安医生单位闹事，在网上曝光安医生及其丈夫的个人信息，并联合网络大V发布关于冲突的不实消息，煽风点火，安医生不堪忍受舆论压力而服药自杀。更有最近在埃航中遇难的女大学生的微博内容被挖出，各种恶意揣测和无端谩骂接踵而来。网络暴力不断上演，人们似乎并没有意识到网络非法外空间，也没有意识到在网络上公开他人的个人信息属于侵权行为。

（三）我国个人信息保护的困境

1.我国个人信息保护立法有缺陷

其一，法律规定较分散、衔接不足。根据《网络安全法》：个人发现网络运营者违法收集、使用其个人信息的，有权要求删除其个人信息。更正和删除个人信息对运营者来说侵权的成本极低。而《刑法》则规定：违反国家有关规定，出售或提供公民个人信息，情节严重的，处三年以下有期徒刑或拘役，并处或单处罚金。刑事责任相对来说比较严厉，而其他形式的法律责任又过于轻松，轻重之间缺少过度空间可能会导致不公平的裁判结果。

其二，法律救济难，实际操作性弱。《民法总则》规定自然人的个人信息受法律保护，明确了信息使用者的行为规范，但具体的民事责任还没有细化。若要信息使用者承担侵权责任，被侵权人面对强大的数据技术和众多的商家，要证明侵权人存在侵权行为且有实际损失，维权之路十分艰难。2018年《中国互联网络发展状况统计报告》显示我国网络安全问题中个人信息泄露最为严重，占比达到28.5%，相比 2017 年末增长 1.4 个百分点。 这从侧面反映出个人信息保护的司法救济还存在很大缺口。

2.商事领域中缺少行业自律

由于各行业之间千差万别，即使有健全的法律体系，也很难覆盖全部行业的个性化需求。而行业自律可以发挥它的优势，利用自身的专业性和个性化形成符合行业特点的通用规范。2012年，互联网协会发布《互联网搜索引擎服务自律公约》，约定签约方有义务保护用户个人信息的安全。互联网行业还有许多企业并没有加入自律公约，已加入的企业也并非完全按照公约标准执行。例如在隐私保护方面，要使用产品也就必须接受企业的隐私声明，用户没有其他选择，这显然使用户处于不利地位。而有的隐私声明强调了信息收集的内容和方式，对信息后续的处理及保存期限却没有说明。

3.个人信息保护及权利意识积弱

我国的个人信息权利意识的觉醒较晚，很多人对于个人信息保护的认识尚停留在被动状态。在当前的环境下，尤其年轻一代，日常生活不能缺少网络。因为网络应用频繁对于个人信息保护也便降低了警惕性，对于注册网站、APP、授权应用等已经习以为常，常常不假思索就将个人信息按照提示输入。根据2017年发布的《中国个人信息安全和隐私保护报告》，有72%的人认为信息泄露严重，有53%的人在浏览网页的过程中泄露个人信息，有超30%的人遭遇过电信骚扰和诈骗。虽然生活体验因为网络而更加丰富，但其中隐藏着极大的个人信息泄露的隐患。

二、域外个人信息保护的经验考察

（一）立法对信息主体权利保护的强化

美国个人信息的保护倾向于在保护的同时不阻碍信息的流通， 以此保障经济能够良好的发展。为缓解个人信息利用与保护之间的紧张关系，1974年美国通过《隐私法案》（Privacy Act），法案对个人信息的收集、保存、公开方式都作了较为详细的规定。随着科技和经济的不断发展，越来越多的专业领域需要特别法的保护，于是美国又颁布了关于电子通讯、信息技术、网上儿童隐私方面的保护法案。

欧盟在个人信息权保护上，较美国更注重个人信息权利的人身属性。1980年，欧盟颁布《关于保护隐私与个人数据跨国界流动的准则》，规定了保护的最低标准，使信息能够安全稳定的在成员国间流通。在信息技术迅速发展的大环境下，为了加强对信息主体的隐私权保护，颁布了《有关个人数据自动化处理之个人保护公约》，以此来约束各缔约国收集公民个人信息的行为。1995年欧盟通过《数据保护指令》，对所有成员国数据保护实施的原则和规则进行了统一的规定。 2002年又出台《电子隐私指令》，信息主体有了拒绝被非法收集个人隐私的权利。

（二）对国家机关的约束和监督

美国在1974年颁布《隐私法案》，对个人隐私权的保护进行了全方位的规定，在注重个人隐私的美国有着较高的法律地位。该法案明确禁止任何部门不当收集、保存、使用或泄露个人信息。政府机关在收集个人信息时必须符合法律的规定，在收集后建立个人信息数据库时必须发布公告。在有可能给信息主体带来不利后果时，要尽可能由本人提供，并且只能在职务相关的必要范围内收集和处理，并且要保障信息的安全，不得外泄。在私权利面前，即使国家机关执行公务也不能随意冒犯。

在经历二战后，个人信息的保护问题在德国比较敏感。德国相较于美国更倾向于发挥公权力在个人信息保护中的作用。1990年联邦德国政府对《联邦资料保护法》进行修改，明确规定对于信息处理的行为仍然是政府的职责，信息处理主体对于信息本身不得享有任何收益权。在2001年德国又对《联邦资料保护法》进行了修改，扩大个人信息保护的范围，并对国家机关和公共机构收集信息作出了更为明确的规定。

（三）商事领域中行业自律机制

美国并不希望公权力过多的干预，在个人隐私保护上采取分散立法加行业自律的模式。例如金融行业，美国国会1999年通过了《金融服务现代化法案》，该法案明确规定金融行业机构共享信息的应当遵守的规则，严格控制信息外泄。该类机构在使用个人信息时有义务通知信息主体，并对有关使用情况进行备案。个人可以选择否定使用行为。 除此之外，通信行业、公共服务等行业领域也先后通过了类似法案。

欧盟将个人信息权视为基本人权，由国家主导通过统一的立法对权利进行确认和保护。在与美国在互动交流过程中，欧盟也开始借鉴美国行业自律模式。在1995年10月，欧盟缔结了《个人信息保护指令》 ，纳入了企业自治和行业自律的相关规定，要求成员国加强在个人信息处理过程中对隐私权的保护。

三、大数据时代我国个人信息保护与利用的路径

（一）出台个人信息保护法

我国现有法律法规中个人信息权利的性质不甚清晰，性质直接关系到权利和义务的内容，也关系到调整方法。我们无需在隐私权向和财产权向中二选一，因为大数据时代下的个人信息已在技术的裹挟下进入公共利益的范围，所以我们需要打破私权保护的限定，不落窠臼。

我国虽然有关于保护个人信息的法律规范，但是相对于我国目前的大环境来看，系统的个人信息保护法不可或缺。在2003年我国专家学者开始起草《个人信息保护法》，2018年《个人信息保护法》正式列入立法规划。草案中对个人信息保护的原则做了详细的叙述，明确了个人信息保护权利种类，對信息占用者和信息主体的权利和义务也做出了规定，在宏观方面的规定很全面。但在具体的法律责任还有待完善的地方，草案第五章法律责任中规定：国家机关违反本法侵权并造成损失的，依据《国家赔偿法》来处理;非国家机关的，依本法规定承担民事责任，本法无规定的，依照其他法律法规承担民事责任。面对在新技术手段下衍生的事物，我们也需要研究能够充分应对的责任形式。从个人信息权利的属性出发，侵犯个人信息权利的责任形式可依据权利的属性来设定，依据权利的人格和财产两方面的性质以及侵权行为造成损失的类型和严重程度来决定承担侵权责任的形式。在现代社会中，因为文化自由和精神世界的丰富，人们也越来越看重除物质之外的个人权益，例如名誉权、荣誉权等人格权利益。因此，在信息权利保护方面，除了实质性损害以外，还可以赋予信息主体在侵权行为致其精神损害后寻求救济的权利。

（二）完善对国家机关公权力的监管

公权力往往因有国家强制力做保障而具有优先地位，再加上 “官本位”思想根深蒂固，在公权力面前往往强调的是个人的义務，因此个人权利容易被忽视。

首先，应加强对国家机关及其工作人员的监管和约束，建立完善的信息使用与管理制度。日本政府在建立“住民基本台账网络系统”时就遭到不少国民的反对，认为个人信息隐私权受到了侵害，并以此为由提起诉讼，最后经日本最高法院明确，日本政府收集和利用个人信息的前提条件是“有比较完善的个人信息保护法律制度和技术措施，禁止个人确认信息的目的外使用”。 国家机关及其工作人员不仅要重视个人信息的安全问题，还应给予个人信息权利相应的尊重。对工作人员行使权力有明确的范围限定，对接触具体个人信息的人员采取责任制，建立完善的管理制度，保障个人信息的安全。明确国家机关及其工作人员行使权力的范围，完善具体的管理方式，构建方便、安全的操作程序。

其次，国家机关需提高其工作人员保护个人信息的意识。随着电子政务的发展以及维护公共安全的需要，公民有时必须让渡自己的个人信息，但这不等于放弃其权利，个人信息依然是受保护的。国家机关及其工作人员有义务将获取的个人信息需按照法律的相关规定进行妥善保管、不能随意泄露。公民有权利知悉信息收集、处理、使用、传输目的及信息主体拒绝提供信息可能造成的法律后果等。

（三）引导行业自律

根据第42次《中国互联网络发展状况统计报告》，我国有54%的网民遇到网络安全问题，其中个人信息泄露最为严重，占比28.5%。 在商事领域有众多行业，个人信息量太过庞大和繁杂，一个用户可以在多家商户留下个人信息，且各行之间的情况有其特殊性，立法不能面面俱到，无法涵盖细节问题。因此，仅依靠立法和行政监管来保护个人信息还不够，而行业自律则可以发挥其特有的灵活性和专业性。

从上文中的域外经验考察中可看出美国的行业自律在个人信息保护上发挥了重要作用。商事领域行业众多，个人信息量太过庞大和繁杂，且各行之间的情况有其特殊性，立法不能涵盖许多细节问题，行业自律可以发挥灵活、及时的优势，商事组织可以根据行业内的特点制定行业自律公约进行自我约束。美国保护个人信息（隐私）的行业自律模式主要有两种：建议性的行业指导和网络隐私认证计划。 行业自律在美国已经有相当深远的社会基础，其构建行业自律机制的原因就是避免公权力过多干预私有经济的发展，而个人信息的保护不可或缺，要让二者在同一环境中并存立法与行业自律并行是最优的选择。我国现阶段在行业自律方面还不够成熟，民间组织力量弱小且市场的自律性较低。行业自律由于是自发的机制，在我国当前的市场环境下要在行业内形成尚有难度，因此根据我国自身的特点，由国家机关根据法律法规引导行业协会制定行业自律公约并对其实施进行指导和监督，是比较可行的做法。

注释：

《民法总则》第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。

隐私权说认为个人信息本质上是一种隐私（[美]Danie J. Solove ，Paul M. Schwartz），[美]Alan F. Westin提出了信息隐私权的概念。独立人格（权）说认为个人信息是一般人格权之一（[德]Wilhelm Stein mluller， Bernd .lutter beck），认为个人信息是一种区别于隐私权的独立人格权（[英]Orla Lynskey;[澳] Greenleaf Graham）、保护个人信息体现了对“个人自决”“个性”“个人人权”的尊重和保护（[美]Alita L. Aian）。财产利益（财产权）说认为个人信息对他人和社会有价值，应当允许对个人信息的产权进行交易，主张个人信息是一种财产利益（[美]Richard A. Posner， Shapiro Carle， Varain Hal等）。

胡卫萍教授认为应将个人信息作为一种新型具体人格权予以立法确认。王利明教授也认为个人信息权是一种新型的民事权利，是人格权的一种。虽然个人信息具有财产因素，但其主要特征并非财产属性。

[法]卢梭著.社会契约论[M].何兆武译.北京：商务印书馆，2003：38.

第42次《中国互联网络发展状况统计报告》.中国网信网：http：//www.cac.gov.cn/2018- 08/20/c_1123296882.htm.访问时间：2019年3月18日.

雷婉璐.我国个人信息权的立法保护——对美国和欧盟个人信息保护最新进展的比较分析[J].学术大视野，2018（23），第109页.

牟朗宇.大数据时代下个人隐私权法律保护的问题研究[D].西南交通大学，2017.

刘家玲.大数据时代个人信息保护的法律研究[D].浙江大学，2016.

20世纪80年代后期，欧盟各成员国之间信息保护程度严重不平衡。各成员国立法上的差异阻碍了欧洲各国之间的信息流通，从而限制欧洲内部统一市场的形成。1995年10月欧盟签署《个人信息保护指令》。这条指令的主要目的是平衡各成员国的信息保护发展和基本理念，建立水平相当的信息保护体系，以促进实现内部市场的形成和利益各方的平衡发展。

李春华、冯中威.欧盟与美国个人数据保护模式之比较及其启示[J].社科纵横，2017，32（8），第90页.

吴伟光.大数据技术下个人数据西悉尼私权保护论批判[J].政治与法律，2016（7），第117页.

魏健馨、宋仁超.日本个人信息权利立法保护的经验及借鉴[J].沈阳工业大学学报，2018（4），第293页.

第42次《中国互联网络发展状况统计报告》.中国网信网：http：//www.cac.gov.cn/2018-08/20/c_1123296882.htm.访问时间：2019年3月18日.

张继红.大数据时代个人信息保护行业自律的困境与出路[J].财经法学，2018（6）：61.