郑东瑞

摘   要： 如何协调好个人的数据隐私利益和企业的数据财产利益是大数据时代一项重要的课题。目前，对于个人数据信息利益的保护主要存在两种观点：权利保护论和行为规制论。针对现代数据产业的发展状况，认为现阶段应当采取权利保护和行为规制并重的保护路径;在动态化的视角下，数据主体和企业数据控制者之间应合理分配权利义务，以此实现个人数据隐私利益和企业数据财产利益之间的平衡。

关键词： 大数据; 个人信息; 权利保护; 行为规制

中图分類号： TP309;F724               文献标识码：  A             DOI：10.13411/j.cnki.sxsx.2019.04.017

大数据时代，数据成为各大企业竞相争夺的战略高地，是数字经济时代的重要资源。[1] 而数据之上价值的孵化和产生过程，离不开数据价值的开发和利用，在注意到大数据之上商业属性和公共属性的同时，也应当注意到个人数据之上隐私利益的保护。所以，大数据开发和利用至关重要的矛盾就是个人数据隐私保护和数据价值开发利用之间的矛盾，如何协调两者之间的矛盾成为数据信息利用制度规则设计的基础和关键。针对这一问题，学界目前有两种观点：一种观点主张通过权利保护模式，赋予民事主体个人信息权，保障用户的数据隐私;另一种观点主张通过行为规制的路径，间接保护民事主体的数据隐私利益。

一、问题之提出——大数据时代隐私保护的两难选择

目前，学界对于个人信息和隐私的保护，主要有二种模式，一种是通过赋予民事主体个人信息权的方式，赋予民事主体享有对于自己信息完全的自我决定权，保障自身数据信息利益;一种是摒弃数据信息的赋权模式，转而采用行为规制模式，通过多种路径来达到对数据者行为控制，从而实现对民事主体数据利益的保护。

（一）权利保护模式

王利明教授是权利保护模式的坚定支持者，从近些年来王利明教授的研究成果可以看出，他一直主张对民事主体进行个人数据信息的赋权式保护，即赋予民事主体以知情同意权。[2]但是王利明教授的观点在近些年产生了变化，他注意到数据信息之上复杂的利益层级以及数据信息本身巨大的经济和财产价值，因此更加强调对数据的共享。[3] 数据共享仍然以民事主体的个人信息赋权为前提，当然学界也有诸多学者支持这一观点。从域外立法例上看，目前英美国家所采取的即是个人赋权式的权利保护模式。[4]

笔者看来，传统民法中的隐私概念是以“领域理论”作为此概念的理论基础，[5] 但是互联网的技术性可以突破各种技术壁垒，使得网络空间中的界限模糊化，领域理论实际上在网络空间中的作用也十分有限。在网络空间中，隐私恐怕是附着于个人信息上的一种利益层级，可能根本无法将隐私与个人信息截然区分。正如王利明教授指出，个人信息的特点在于可识别性，而隐私的特点在于私密性[6]，而这种私密性又是建立在可识别性的基础上的，所以在网络空间中，个人数据是隐私利益的载体和形式，而隐私利益又通过个人数据信息的形式体现出来，实际上很难将两者截然分开。因此，将两者完全进行界分恐怕并不现实。随着个人数据信息上公共属性的不断凸显，信息控制理论在现代社会面临适用上的困境，采用行为规制模式保护用户的信息隐私利益的观点甚嚣尘上。

（二）行为规制模式

有学者反对个人信息的私人控制，进而反对个人数据信息的权利保护模式，转而采用行为规制的模式保护民事主体的信息和隐私利益。所谓行为规制路径是将数据的部分不正当使用行为作为新的规制类型加以限制的立法技术。高富平教授认为，个人信息在现代社会中是一种社会公共资源，为了促进个人信息数据的自由流通，促进信息数据社会效益的最大化实现，个人信息的控制模式应当从个人控制转向社会控制。[7] 在高富平教授看来，信息的公共性和可共享性，决定了个人信息的公共性。[8] 也有学者认为在现代社会隐私已经丧失了自我控制的社会基础，并主张通过预防理念的公法手段，在公法的框架下进行规制。[9] 在他们看来，在数据资源的开发与利用过程中，应当采用行为规制的模式对民事主体的数据利益进行保护。[10]

笔者认为，在数据产业的发展初期，单一权利保护路径或者行为规制路径，都有其自身的缺陷和不足，均不足以对民事主体的数据利益进行保护，所以，权利保护模式和行为规制模式都是这一阶段用户数据利益保护的重要方式。

二、个人信息数据权利的赋予仍然有必要

仅仅通过行为规制的保护方式，并不能对民事主体的隐私利益进行周全的保护，其也不符合大数据时代信息隐私的特征。在目前的技术发展程度下，完全采取行为规制的模式保护民事主体的人格利益并不适合，其原因主要有两个方面，一个问题是行业内的标准化问题没有解决，另一方面在于通过契约模式保护隐私存在一定的局限。

用户信息的自由流转缺乏标准化规则是采用公法规范进行规制的最为关键问题。数据的自由流通当然以数据脱敏化为前提和基础。其中数据脱敏技术又分为加密技术、数据失真和匿名化等多种方法[11]，每一种保护方法都有其优点和不足，每一种脱敏方法对于用户隐私的保护程度并不相同。如果数据控制者本身财力雄厚，愿意在脱敏技术上花费较高的成本，用户的隐私利益就越有保障;但是如果数据控制者的财力有限，无法在数据脱敏技术上耗费较高的成本，用户的隐私利益可能面临较大的威胁。所以，脱敏技术的行业标准尚未建立，我们不能过度依赖企业的自律或者公权力部门的监管。另外，有学者认为，应当通过契约方式实现对数据控制者行为的规范，但是笔者认为，通过契约方式实现对用户隐私利益的保护实际上仍然存在局限，因为契约关系所保障的是当事人的债权，是一种“对人权”，如果没有合同的拘束力，很难追究当事人的损害赔偿责任。除了数据脱敏技术的标准化问题没有实现，而且数据信息收集的规范也缺乏相应的标准，如果在信息收集时并没有对用户信息的用途做出明确的约定，用户与数据控制者可能无法进入合同关系，从而导致侵权行为的发生。总之，在标准化问题取得突破进展之前，通过行为规制的方式进行保护可能会面临一定的局限。

隐私的外延依赖于民事主体的自我决定，对于数字信息而言也同样如此，相同的信息对于不同的民事主体而言其敏感程度可能并不相同。对于隐私的异质性，目前，大多数学者倾向于通过类型化分析的方法，对不同敏感程度的数据信息采用不同的分类方法。有学者将互联网上的个人数据信息分为10大类108种，并且对每一种信息的敏感度进行了分析和标注，并在此基础上依据个人信息对于个人的敏感程度不同将个人信息分为核心个人信息、敏感个人信息和一般个人信息。[12] 有学者根据数据本身的内容，将数据划分为“客户身份相关数据”、“业务权属数据”、“业务辅助数据”、“服务衍生数据”四大类。根据数据本身的敏感级别，也有学者根据泄露该信息是否会导致重大伤害、给信息主体带来伤害的几率、社会大多数人对某类信息的敏感程度将个人信息分为个人敏感信息和个人一般信息，并采用列举的方式对敏感信息进行了一一列举。张平教授认为个人信息应当区分为三个层次，首先是私人隐私信息，这部分信息彰显自然人的人格属性;第二层次的个人信息是指个人间接信息，这种个人信息是指经过加工处理后可以定位到个人的个人信息;第三层次的个人信息是指加工信息。笔者并不赞同对个人信息进行相对固化的“敏感信息/非敏感信息”二分法或者三分法的分类方式，这种分类方法并没有把握数字信息时代个人信息和隐私的特点，思维相对固化，如果采用这种分类方式，可能对个人信息的自由流动能力构成一定的威胁和限制。但是“隐私”这一概念本身是随着人的自我意识的发展和社会交往方式的变化，其内涵和外延也在不断产生变化，人的自我意识不同，不同时代的社会交往方式不同，场景不同，数据信息的敏感度也不相同，而哪些信息是敏感信息，哪些信息是不敏感信息，应当由民事主体在不同的场景中，根据用户自身的利益归属进行的个性化的选择，而通过对个人信息进行类型化分析方式，可能存在这样一个弊端，就是不合理地对某些对于民事主体而言并不敏感的信息耗费技术成本进行脱敏化处理，而遗漏掉某些对于个别民事主体而言相对敏感的数据信息，而这些都有赖于民事主体对个人数据信息权利的支配。所以，在这一点上看，通过个体赋权路径保护民事主体的个人信息隐私利益，可能更加合适。

隐私的场景化背景下依赖于民事主体知情同意。近些年来，隐私场景化的问题已经被越来越多的学者注意到，数据控制者与数据控制者之间共享信息数据可能在未来已经成为常态，而不同的数据控制者使用数据的环境可能并不相同，正如上文所提到的，同样的信息在不同的场景下其敏感程度可能并不相同，如果通过完全的行为规制方式，个人对于自己的信息也并不知道被共享的数据方接收，如果任由自己的信息被信息控制者任意共享给第三方，尤其是在标准化问题没有解决之前，有很大的风险。因此，鉴于数据共享的在未来数字信息社会的普遍性和数据隐私的场景化特征，应当赋予民事主体个人对于关涉自己的数字信息的控制权。

總之，对于民事主体信息隐私的保护，其具有一定的合理性，但是鉴于信息数字隐私本身具有的异质性特征和场景化特征，在缺乏数据脱敏、缺乏国家标准和行业标准的情形下，仍然需要强调个人信息权在保护互联网用户数字隐私中的地位和作用。

三、更加注重对数据控制者的行为规制

仅仅依靠个人赋权对民事主体的数据隐私利益进行保护，实际上仍然不足以保护民事主体的数据利益，对企业的数据开发与利用行为加以规制也同样重要。可通过数据采集、数据挖掘和数据流转与共享过程中的数据动态流转特征，加强对企业的行为控制。

（一）数据采集阶段的行为规制

数据采集是指数据收集者通过各种渠道和方式收集用户数据信息的过程，其并不对收集到的信息进行加工、整理和分类，所以通过数据采集的方式收集到的数据往往较为粗糙，本身的可利用性程度并不高。然而却是数据资源开发和利用的起始和关键阶段。因此，在这一阶段特别需要注意数据信息被收集者的知情同意。数据的控制自然是离不开作为个体的民事主体的数据权利保护和企业在用户隐私维护中的责任。数据采集阶段由于仅仅是较为粗糙的数据收集阶段，无法实现对信息的匿名化或者假名化，所收集的数据信息属性应为个人信息属性，因此在这一阶段，应当特别注重对民事主体个人信息“知情同意”的构造。

以个人控制的视角看，传统的理论视角强调个人的知情同意，根据大多数研究，虽然在个人信息产业发展初期较为重视用户的告知同意，但实际上，仍然仅有很少部分人能够全面把握自己信息的动向，了解自己的信息如何被收集和私用。其中一个原因在于隐私政策本身的复杂与冗长，互联网用户缺乏耐心进行阅读;另一方面，隐私协议中可能涉及过多的专业知识，一般的互联网用户可能无法理解如此复杂的专业协议。因此，在实践中经常会出现这种现象，即用户或者全盘接受信息收集协议中的信息收集请求，或者直接拒绝系统发出的信息收集请求。在这一阶段可能会出现用户的同意疲劳，而导致知情同意沦为具文。针对这一现状，近些年理论界和实务界开始强调的是将用户隐私嵌套于数据收集的程序之中进行保护。为了提高数据整合的效率，笔者认为，影响相对弱化在数据收集阶段的知情同意，因为大数据时代的数据收集为了促进数据信息的自由流通，在更大程度上发挥数据信息的效用和价值，应当进一步弱化个人同意，对于数据隐私采取默认保护的技术模式。在数据收集阶段，可以相对弱化用户的知情同意，对于某些一般的个人信息，可以不经过用户的同意直接收集，即对于一般的个人信息，可以不经过用户同意以默示方式加以采集，对于某些敏感数据，例如个人健康信息、性取向性生活信息、身份、金融等信息则需要互联网用户以明示的方式做出同意收集的意思表示。有学者指出，数据手机方可以通过相关的隐私分析软件，对用户的隐私偏好进行分析，在明确用户之隐私偏好的基础上，对用户的数据信息进行收集。[13]

另外，企业的角度也应当遵循透明度原则，即需要告知相关的用户其收集用户信息的用途，这既是公平信息实践原则的要求，也是通过设计保护隐私原则的要求。除了需要明确告知用户收集的用途之外，也需要向用户明确告知数据收集者收集数据信息的范围、内容和程序，确保用户能够随时掌握其信息的动向。数据收集者也需要向用户说明其收集数据的用途同数据收集范围之间的必要性和适当性，收集数据的范围不得超过数据收集者所欲达到其分析数据的目的。当用户对数据收集者收集自身数据的行为产生质疑，可以随时撤回或者撤销同意。

（二）数据挖掘阶段的行为规制

所谓数据挖掘，根据其在技术角度的狭义界定，是指在数据库中识别有效、新颖、可能有用且最终理解的模式呈现的重要过程。学者将数据挖掘界定为数据收集者其将收集到的信息进行筛选和判别、分类和排序、分析和研究，整理对其更有利用价值的过程。[14] 由此可见，信息数据最大价值的发挥是在数据挖掘阶段实现的。数据分析的准确性，有赖于其样本本身可用性程度，如果注重隐私保护而舍弃一部分信息，则可能会使得数据挖掘的准确性受到影响;如果力求数据挖掘之结果的准确度，则可能以牺牲用户数据信息上的隐私利益为代价。所以，在数据挖掘阶段需要处理好一对矛盾，即信息隐私的保护程度和数据挖掘准确度。

在这一阶段保护用户的隐私是十分必要的，因为数据挖掘以及数据的自动化分析对公平信息实践原则中的透明度原则提出挑战，数据挖掘是一个智能化的过程，数据挖掘更多地依赖于算法，而算法本身又存在连算法设计者都无法理解的“算法黑箱”，也很难使我们完全知晓企业所收集的关涉自己的个人信息数据是如何被分析和处理的，所以在数据挖掘过程中，就需要做好隐私的保护工作。“通过设计的隐私保护”原则的一项核心要求就是将隐私保护嵌入程序设计之中，通过程序的设计实现对隐私的控制和保护。显然，主要依赖于算法进行数据分析的数据挖掘阶段，自然是通过设计进行隐私保护的关键阶段。因此，出于对用户隐私数据保护的考量，在这一阶段需要将通过数据采取所获得的、具有可识别性的信息转化为不具有可识别性的数据，职是之故，进行数据挖掘的前提是对数据进行“去标识化”的处理，这也是个人数据信息利益向企业的数据财产利益转化的一个关键阶段，也是对用户数据隐私进行保护的关键阶段，而这需要借助于各种隐私保护技术对用户的各种数据信息进行保护。

不同匿名化技术或者加密技术，其效果自然也并不相同。目前，有学者对各种数字加密技术进行了分析和整理，数据挖掘阶段的隐私保护技术主要包括三种，即：通过加密技术进行数挖掘、通过数据失真的方式进行数据挖掘、通过匿名化的方式进行数据挖掘。从行业控制的视角，笔者认为，应当尽快出台关于数据隐私保护的标准化法律，缺乏统一的行业标准，是导致大数据行业中隐私保护出现问题的原因。数据隐私行业的标准化，有诸多益处：首先，数据收集者进行数据挖掘时，可以依据一定的行业标准对数据进行匿名化处理，保护用户的隐私。另外，根据具体情况，行业内部可以设立多个可供选择的隐私保护标准，在司法实践中数据收集者本身在企业实力上可能有所不同，资金雄厚、技术过硬的企业可能有能力采取较高的数据加密技术，对于尚处于成长期的、技术实力较弱的企业，其可能没有能力采纳技术等级和技术水平较高的数据加密技术。所以，相关领域的标准化法进行制定时，需要充分考虑行业内数据收集者技术水平和技术能力的层次性，制定多个标准供行业内数据收集者进行选择。

（三）数據共享阶段的行为规制

数据共享阶段是数据收集者对数据进行利用的一种形式，也是最主要的一种形式。企业在数据挖掘阶段主要是立基于自己企业的利益，对用户数据进行分析和整合，企业收集的数据本身具有巨大的财产价值，其可以通过与其他公司进行数据交易的方式获取一定的利润。数据共享是促进数据本身价值最大化发挥关键一环，也是未来大数据开发与利用的一个十分重要的趋势，而在大规模的数据共享之前，用户的数据隐私保护是数据控制者之间进行数据共享的前提和基础。

首先，在决定将用户信息与其他企业或者公司共享之前，需征得用户的知情同意。并明确告知作为数据衍生者的用户，可以充分行使对于自己的数据权利，包括更正权、删除权、数据可携带权等数据权。也可以直接同意或者拒绝数据收集者与第三方共享数据。

其次，在共享之前做好隐私泄露的风险评估，对于数据控制者需要对拟进行共享的第三方企业进行隐私保护的安全等级进行评估，或者通过协议的方式，要求对方不得基于其他目的使用共享数据，相关企业应当承担保护用户隐私数据信息的义务。例如企业在将自己企业的数据同第三方分享时，应当对相关企业的主营项目进行明确，明确其数据库中现有的数据类型，预测在自己将数据同第三方共享之后，第三方利用现有数据与共享数据进行反向识别的可能性等因素，并在准备同第三方共享之前，及时将此情况告知数据衍生者。

再次，数据共享应当保障用户对于自己数据的控制权，例如更正权、删除去、可携带权等。确保民事主体对于数据的控制权能够穿透原公司直到第三方的共享数据库。被共享的企业同样需要承担相应的义务，甚至个体数据被享有数据权利的民事主体删除的风险，数据在共享之后，仍然需要保障数据主体对于自己数据享有完全的控制权，尤其是在征信行业的数据共享问题中，确保民事主体对于自己数据信息的控制。

复次，联邦消费者法案在公平信息实践原则的基础上，增加了一项原则，即“场景期待原则”（Respect for Context），并将其定义为“消费者有权期望公司以与消费者提供数据的场景一致的方式收集、使用和披露个人数据”。[15] 之所以会做出如此规定，其主要还是在于防止用户的数据隐私被不当地开发和利用，例如通过某些企业可能通过与其他信息相互结合得出用户的完整画像，从而侵害互联网用户的隐私，因此需要将用户的数据的用途限制于消费者同意提供数据时的场景中，例如用户是在金融场景下提供数据，则用户的同意使用的数据信息只能在金融行业内部进行共享，如果用户在医疗消费的场景下向企业提供数据，企业也仅仅应当向医药生产商或其他相关的医药产品公司共享相关的数据。

最后，无论数据控制者还是第三方在数据共享之后，都应当对其所收集或者分享的数据承担责任。有学者认为，原数据控制者在将数据分享给第三方之后，对于第三方泄露数据的行为，其不必再承担责任。在笔者看来，数据控制者仍然需要对第三方泄露数据的行为承担一定的责任，因为原数据控制者在将数据共享给第三方使用时，其对于第三方负有隐私保护审查义务，如果数据控制者能够证明其在与第三方进行共享时，尽到合理的审查义务，则可以免除责任，如果其不能够举证证明在共享时尽到审查义务，则其需要对用户数据的泄露承担连带赔偿责任。

四、结论

大数据时代，个人数据隐私利益保护，不仅仅需要对企业的行为加以严格规制，更需要作为数据产生者的数据主体积极介入数据治理过程。因此，未来的个人数据信息保护立法不仅仅需要行为规制模式，还需要权利保护模式的配合。