陈宝贵 贾映辉

随着智能终端、移动互联网和云计算等信息技术的快速发展，使得信息主体复杂频繁的各种行为都记录、分析和利用，给经济发展带来了颠覆性的影响，但同时也容易导致信息主体隐私权的缺失，严重危害信息主体的合法权益。在这种背景下，如何保护信息主体的合法权益，就成为目前需要重点关注的问题。本文首先对个人信息的定义、信息权益的保护规定以及大数据的特征进行了简单介绍，分析了大数据时代的环境下，信息主体权益保护存在的突出问题，在此基础上，对我国如何进行信息主体权益保护提出了意见建议。

进入21世纪，随着智能终端、移动互联网和云计算等信息技术的快速发展，“大数据时代”作为“信息时代”的升级版或高级阶段，已经走入现代人的生活，对现代社会的发展正在产生着深刻影响。

大数据（big data）又称巨量（海量）资料，一般指的是大小规格超越传统数据库软件抓取、存储、管理和分析能力的数据群，是基于新的处理模式而产生的具有强大的流程优化能力、决策力的多样性的、海量的信息资产。

大数据技术的发展让信息主体的每一次交易行为、每一笔消费被记录、分析和应用，这些大数据的分析应用对经济发展带来颠覆性的影响。但由于制度建设、监管手段等方面尚未跟上大数据时代发展的步伐，信息主体合法权益受到侵害的现象时有发生，有效保护信息主体合法权益是当前需要急迫解决的重要问题。

一、大数据的特征

相较传统数据，大数据呈现完全不同的特征。

一是信息采集机构数量众多。

小数据时代大量掌握公民信息的主要是行使公权力的政府机构，而大数据时代，因为技术的进步，许多研究机构、商业部门、企业甚至个人都能拥有海量数据，某些大型互联网企业拥有的数据量和加工能力远远超过政府机构。

二是信息采集内容种类大幅拓展。

传统意义上，信息采集一般是结构化的静态性信息，如住址、职业、信贷记录、犯罪记录等。而大数据则是除了以上信息外，更多地拓展为半结构化、非结构化的动态数据，如信息主体的位置信息、行为信息、社交信息等等，数据类型也扩展到邮件、声音、图片、影像等。这些信息的范围非常大，包括出行记录、消费记录、浏览网站、网络游戏、搜索记录、网络社交或即时通信等大量行为数据。

三是相当数量被采集的数据可能無任何意义。

传统数据在被采集前规格大小等已经被严格定义，一定是有意义的。而大数据则是相对凌乱、碎片化的，在采集前并没有被严格定义，不同数据间的相关性也并不明确，只是为了确保在分析过程中不遗漏任何有价值的数据。导致其中可能包含大量无任何意义的垃圾数据，需要在后续处理过程中排除冗余信息。

二、信息主体权益保护的定义和法律规定

信息主体权益保护实际上就是对个人信息权或隐私权的保护。我国法律目前对个人信息并没有统一的定义，2013年2月实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》对个人信息定义为：可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。

个人信息权指自然人对个人信息所享有知情权、选择权、同意权、控制权、异议权、收益权、司法救济权等基本权利。个人信息权是一种人格权，包括人格权益与财产权益于一身。

换句话说，既可以防御因第三方不当使用造成的侵害，又可以主动利用获得利益。对信息主体的权益保护应以预防为主，通过规范平衡信息主体与信息使用者之间的利益，在个人信息权受到侵害时，除可以申请财产救济外，还可申请精神损害赔偿。

我国部分法律、法规和制度文件对信息主体权益保护做出了规定。

一是关于网络信息的采集和使用。

2009年，全国人大常委会《关于加强网络信息保护的决定》中明确，企业在业务活动中收集、使用公民个人电子信息，应当遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、法规的规定和双方的约定，并应当公开其收集、使用规则。

二是针对涉及征信范围的信息采集使用做出的规定。

2013年实施的《征信业管理条例》规定，禁止征信机构采集个人的宗教信仰、基因、指纹、血型、疾病和病史信息，同时对不良信息保存年限、信息用途、异议与投诉等方面作出规定。

三是对违规使用个人信息的处罚。

2015年11月实施的《刑法修正案（九）》规定，违反法律法规向他人出售或者提供公民个人信息，情节严重的最高可处七年以下有期徒刑。同时，《征信业管理条例》为规范征信行为，也对信息提供者、征信机构、信用使用者违规使用信息的行为规定了相应处罚。

另外一些有关信息使用的规定则散见于《消费者权益保护法》、《电信和互联网用户个人信息保护规定》、《人口健康信息管理办法（试行）》、《侵害消费者权益行为处罚办法》、《中国人民银行关于银行业金融机构做好个人金融信息保护工作的工作的通知》等法律、法规、部门规章及规范性文件。

三、大数据时代信息主体权益保护的突出问题

（一）个人信息权的边界模糊

完善对信息主体的权益保护，首先要对个人信息权应有明确的定义。传统信息时代对个人信息的界定主要是指能够直接或者间接识别信息主体的信息，比如个人基本信息、信贷交易信息、遵纪守法信息等。

但是随着大数据时代的来临，数据的规模和种类都比以往要多得多，云计算和分析学等技术发展直接促进了数据内容的交叉检验，大量数据轻松被关联和聚合，人们将非个人信息转化为个人信息的能力大大增强。比如淘宝、百度等企业通过界定搜索习惯、年龄段、消费行为、消费金额，就可以很轻松地定位一个人的信息。所以说，大数据时代使得个人信息与非个人信息的边界变得异常模糊，也使得消费者争取自身合法信息权的努力变得更加困难。如2013年，朱女士起诉百度，认为百度利用网络技术记录和跟踪搜索关键词，并对其浏览的网页进行有针对性的广告投放，扰乱了自身正常生活，侵害了其隐私权。朱女士请求判令百度停止侵害，并赔偿精神损害金10000元。2015年6月，南京中院作出终审判决，认定“百度公司的个性化推荐行为不构成侵犯隐私权”，未支持朱女士的诉讼请求。

（二）信息主体知情权等未得到有效维护

目前，信息采集行为无处不在，尤其以互联网及手机APP的信息收集更为普遍。采集行为主要有用户主动提交、通过“云存储服务”获取、对用户行为进行跟踪记录和手机APP应用软件获取等几种方式。但在服务商大量收集消费者个人信息时，用户的知情权很多情况下被漠视。

从征信角度看，互联网金融快速发展，其对客户的征信手段已突破了传统面对面的模式，不需要当面认证即可完成贷款的发放，但其中也暗藏隐患。

2015年，人民银行某县支行受理一起投诉。朱先生认为有人冒用其名义在阿里小贷共办理6笔金额合计1.3万元的贷款，均已形成逾期。朱先生投诉其个人信息被冒用，不法分子利用网上盗得的个人信息通过了阿里小贷的审核，朱先生在查询个人信用报告时才发现以上贷款存在，而对其个人信息的泄露表示并不知情。由于缺少面签环节，消费者的知情权、同意权往往流于形式，特别是网贷一旦出现冒名的情况，核实起来难度远大于传统贷款。

（三）网络安全隐患严重

消费者个人信息由于具有较高的利用价值，在利益诱惑和监管不到位的情况下，个人信息被“窃取”和“非法使用”目前已经成为一条黑色产业链，消费者因个人信息泄露导致的损失也呈逐年上升态势。

目前，我国网络安全状况总体平稳，但基础网络仍存在较多漏洞风险，来自针对政府部门和重要行业单位网站的网络攻击频度、烈度不断加剧;网站数据和个人信息泄露现象严重。

由于社会对人民银行征信系统的认可度不断提升，金融信用信息基础数据库的信息泄露事件近年来也呈高发态势，多地发生违规查询个人信用报告，泄露个人信息事件。

这类案件的目的大体有两类：一类是盗用个人停用报告信息进行诈骗。2012年315晚会曝光，招商银行、工商银行等多家银行工作人员在未取得授权的情况下，查询个人信用报告提供给购买方，购买方利用网络购买的消费者银行卡等信息，结合个人信用报告中的大量个人私密信息，尝试取得消费者银行卡密码进行资刷，消费者被盗金额最多达到23万余元。

另一类是违规查询进行贷款等营销活动。信息需求方从网上收集消费者信息，将消费者姓名和身份证号码提供给银行工作人员，银行工作人员利用盗取的金融信用信息基础数据库用户名和密码登陆查询，将查得的信用报告提供给需求方，每份收取几十元到一百多元不等的费用。需求方则利用非法获取的信用报告开展营销活动，也可能利用相关信息从事其他违法犯罪行为。该类案件的查询量每次都至少在1万笔以上，多的达到十几万笔，信息主体个人隐私被大量泄露。

（四）信息所有权（收益权）没有得到体现

大数据时代，互联网技术开发了信息的价值，信息真正具有了价值属性。但是信息主体作为信息的所有者，其对自身信息的控制权、收益权却不是很明确。2014年，以迪尔和孟山都为首的几家美国农业技术和设备公司推出一项新服务，邀请美国中部的农场主与其签约合作，公司给农户提供一个高精度接收器。收割季节，利用接收器庄稼的收获就被记录下来。待到播种，农户便有了公司定制的播种方案软件，会根据指令自行调节田亩的播种。

此項服务引起了全美农场联盟的警觉。联盟警告，一旦数据放上云端，可能威胁到个人隐私和技术秘密。为此，农会与技术供给商进行谈判，并最终签署了《农场数据的隐私和保护原则》。一条基本原则是农户是农场数据的所有者，拥有对这些数据的产权和控制权;任何数据的采集使用都要以合同方式，事先获得农户明确的许可;供给商必须用易懂的语言，事先告知农户数据如何采集和使用，农户享有选择参与或不参与数据采集和分享的自由;供给商不得用这些数据投机期货市场。相较于国外对信息所有权的确定，我国鲜有法律法规对此做出明确的规定。

（五）消费者维权成本高

在侵权责任纠纷中，受害者若向法院主张其权利被侵害且要求赔偿损失，首先需要解决法院管辖权，并提供初步证据证明其权利被侵害的事实才能立案，立案后还要提供确切、真实的证据说明自身受到的损失。

而在目前消费者想通过司法程序切实维护其合法权益，信息主体需付出的成本很高。

一是管辖权难以认定。对于网络侵权案件，在确认具体的计算机终端设备所在地时存有技术障碍，认定较普通维权案件相对困难，有时甚至因技术复杂而无法认定。

二是取证难。大数据时代，收集、储存、利用和传输个人信息的技术越来越复杂，特别是相应的证据一般都掌握在信息控制人手中。对相关事实的认定一般都需要专业人士配合，成本很高。

三是所受到的损害金额不好认定，特别是涉及精神损失，在拿不出合法有效证据的情况下，很难得到法院支持。而通过普通的异议、投诉等途径，同样面临监管法规不健全、技术手段达不到要求、事实认定困难等问题。

四、大数据时代加强信息主体权益保护的建议

（一）在法律层面对个人信息权予以明确

建议有关监管部门加强研究，尽快制定出台《个人信息保护法》，对个人信息权的内容予以明确，将其作为信息主体权益保护的主要法律原则。

法律的制定应充分考虑大数据时代新技术新应用产生的个人信息保护方面的新变化、新挑战，以确保个人信息保护立法的严谨性、有效性和可执行性。应借鉴国际上信息保护立法方面的有益做法，针对掌握大数据的互联网企业或平台，明确和规范个人信息定义和范畴，规范对云技术、云存储的管理和监督。制定更加细化的业务规则和管理标准，严格规范个人信用数据跨境流动，防范个人信用信息的滥用，切实保护个人信用信息主体的合法权益。

（二）建立符合大数据特点的信息安全保护机制

信息安全保护要从制度设计和技术保障进行双重保护。大数据时代的制度设计，要规定信息主体、信息提供者、信息使用者的权利、义务和责任，明确隐私信息的范围，确保对信息主体的信息依法合规使用。

信息采集机构要以更加简洁易懂的方式告知用户利用个人数据带来的好处和弊端，而不是仅仅提供一个冗长复杂的隐私条款。应要求信息采集机构的网络信息安全技术达到一定安全等级，从信息的存储、传递、使用、销毁等方面进行全流程信息保护，防止信息外泄，并制定信息泄露紧急预案。

对于不能直接使用的个人信息，企业要在产品的设计、研发、推广、使用、市场退出等每个环节采取措施，规避危险或者减轻潜在危险，为用户个人数据提供全生命周期保护。

（三）关注数据使用环节的安全风险

在新的网络环境下，随着信息收集的日益普遍，以及信息收集与业务使用之间的紧密依赖关系，对个人信息保护除了关注用户在个人信息“收集”環节上的同意权和知情权，更重要的是消费者个人信息在被使用的过程中如何防止被滥用以及使用后受到侵害时的保障举措。

数据使用者作为个人信息的使用主体，应当为使用个人信息的行为承担责任。在信息产品使用过程中，应要求数据使用者进行个人信息事前危险性评测，以加强对个人信息的保护。

在个人信息权利方面，可以借鉴欧盟提出的被遗忘权，强化信息主体对个人信息的控制权，以应对大数据时代对个人带来的不确定性风险。

（四）完善大数据商品化交易规则明确信息所有权

互联网和信息时代，大数据作为新时代最具影响力的生产资料，已渗透了所有产业，信息真正具有了价值属性。对信息的需求，包括财产权和商品交易，会日益复杂而急迫。

目前对大数据交易应加强研究，并进一步完善交易规则，防范由于商品交易而对数据失去控制造成不可预知的风险。同时，要明确信息主体对自身信息的所有权和收益权。

数据的个人源头是数据的所有者应得到认可，因此也应得到经营数据的利益，前提是提供可以辨识其个体信息的依据，以证明其是对应个体样本数据的提供者。

（五）构建完善的信息主体异议、投诉与救济体系

针对大数据的特点，应建立错误信息的异议机制，通过科学合理的方式进行数据修复、数据删除，建立健全投诉、诉讼等行政与司法救济途径，明确对个人侵害的赔偿机制。个人信息与日常生活和工作状况密切相关，因此个人信息保护立法应明确由行政机构通过民事或刑事处罚的方式来对个人实施救济，使信息收集者改正错误的信息收集行为并对受到侵害的个人进行赔偿。

同时，面对个人权利被侵犯时，由于维权成本高，通常难以有效主张其权利，可探索借助公益诉讼，畅通维权路径。建议将个人信息被侵犯的案件公益诉讼范畴，可由个人信息的主管部门或者公益组织代表受损害的权利主体提起公益诉讼，更有利于对个人合法信息权的救济。

参考文献：

[1]王晓明.征信体系构建：制度选择与发展路径[M].北京：中国金融出版社，2015.8.

[2]彭宇松.大数据对现代征信体系的影响及启示[J].征信，2014年第11期.

[3]侯富强.大数据时代个人信息保护问题与法律对策[J].西南民族大学学报（人文社会科学版），2015年第6期.

[4]杨峙林.个人征信信息主体权益保护存在问题与对策[J].河北金融，2014年第9期.

[5]朱伟彬.我国个人金融信息保护法律问题研究[J].西部金融，2014年第10期.

[6]黄海龙.基于以电商平台为核心的互联网金融研究[J].上海金融，2013年第8期.

[7]姚朝兵.征信视角下个人信用信息采集和使用的法律控制——基于信息主体同意权的比较法分析[J].理论与探索，2014年第1期.

[8]邹芳莉.美国征信立法对信用信息主体权益的保护及启示[J].征信，2012年第2期.

[9]高克州，王娟.国内外个人数据保护的比较研究——以《征信业管理条例》为视角[J].征信，2013年第10期.

[10]袁军.一起个人征信信用报告纠纷案例引发的思考——个人金融消费者权益视角下的征信主体权益保护[J].征信，2013年第2期.