史旻玥，马佳昕，朱小静

（南京林业大学 马克思主义学院，南京210037）

随着现代社会网络和通信的普及，各类信息数据的流通利用逐渐普遍化，在其被创造经济价值的同时，由于个人信息泄露而导致个人法益遭受侵害的情况不计其数。大数据处理在让个人信息的传输利用变得便捷快速的同时也导致了个人信息的安全风险大大上升。本文拟从大数据背景下个人信息保护方面出现的现实难题出发，寻找相关的法律应对。

1 个人信息的法律内涵

对于个人信息的含义，各个国家的法律法规中都存在相关的定义和解释。德国的《联邦数据保护法》是将个人信息与可识别的个人客观事实情况对应起来并侧重了它的可识别性。欧盟发布的《通用数据保护条例》中对个人信息的定义与德国大同小异，两部法规都强调了个人信息是一种具有一定识别度的个人数据。日本在2017 年版《个人信息保护法》中对“个人信息”的定义是能够识别特定个人或者含有个人识别符号的信息，引入了“个人信息数据库”的概念[1]。个人信息虽在各国的法律中有各自的定义，但是都被肯定并强调了它的可识别性。

我国《网络安全法》将个人信息界定为通过单独或者与其他信息相结合能够确定个体身份的信息并涵盖了姓名、联系方式、家庭住址等内容。关于侵犯公民个人信息方面的司法解释也对公民个人信息作了进一步的诠释，除了包括能够判断出特定人身份的信息以外，还包括能反映公民个人活动情况的各类信息。这些法规总体都是先概括后具体列举，对个人信息的界定范围也都呈现出扩大化趋势，体现出对隐私范围内的个人信息的进一步保护，但没有体现当下个人信息的公共性。

2 大数据对个人信息保护的挑战

2.1 多样化的数据源增加了个人信息安全风险

大数据分析以收集建立的大数据库为基础从而准确挖掘出隐藏于大量数据中的有效信息。仅仅就我们日常生活中使用的App应用就已经为个人信息的采集创造了无数可利用的数据源，同时由于信息化建设带来的快捷性和便利性，各行各业都借助电子信息技术和组建个人信息数据库等手段来确立了新的工作方式，比如政府的行政办公电子档案系统和医院的医疗系统就已经实现了异地同步。这些大数据对各行各业的渗透使得个人信息的获取途径变得多样化，这在给人们带来生活便利的同时也助推了个人信息的安全风险提升。

2.2 数据信息处理过程中个人丧失控制能力

在大数据应用过程中，个人信息的收集仅仅是一个步骤流程，对信息的整合抽样及最后挖掘出它的价值也是数据处理的重要部分。个人信息的传输利用经手了数据收集者、数据使用者以及数据交易服务平台，期间用户对于自己的个人信息处于何种利用状态无从得知，整个处理过程也较为隐蔽，没有与信息主体产生直接联系。虽然大数据处理的是去身份化后的个人信息，但是恶意使用者可以将具有关联性的信息碎片组合起来恢复其可识别性[2]，这也会导致个人信息权益因非法利用而遭受损害，多方的信息处理主体和个人信息利用状态的未知都使得我们在数据信息处理过程中对自身的个人信息失去了掌控力。

2.3 大数据使得个人信息的被利用与泄露之间因果关系模糊

低价值密度是大数据的一个显著特征[3]，信息利用主体收集的数据量越多，数据的价值就越高。个人信息的潜在价值是在大量数据信息集合的基础之上产生的，单一的个人信息并没有多大的潜在价值，大数据也不是有目标性的针对一个人获取信息。海量规模化的各类信息使得被收集利用的个人信息与个人信息安全不具有直接性关联，因此，这种大量的单独价值很低的不具有可识别性的个人信息的利用与其被非法泄露造成的损害结果之间的因果关系变得含糊不清。同时，在大数据对信息收集利用时，并非只存在唯一的数据介体，个人无法明确指出个人信息泄露的具体过程以及大数据利用与结果之间的因果关系。

3 我国个人信息保护法律的主要突出问题

3.1 传统的个人信息保护制度设计忽略了个人信息的公共性

传统的个人信息保护将个人信息完全归入了隐私性质的信息一类，没有考虑到它可以被流通利用的公共性。个人信息虽然带有识别度，但它的公共效用是不能被我们忽略的。例如，购买三明治机的消费记录虽然与个人有关，但是消费平台也可以利用该信息预测出该商品下一季度的销量。当然，对私密信息的个人控制也是需要保证的，比如个人病史、基因、性取向等这些与人格尊严紧密关联的信息。但是目前的立法过度偏向了个人的绝对控制，没有考虑到它在合理程度上被流通使用的情况。

我国立法对于个人信息是给予明确的法律保护的，其他人或组织在需要他人个人信息时要依法取得并谨慎对待，防止由于自己的行为造成信息泄露而对信息主体造成损害，禁止通过非法手段从事与他人信息有关的获利行为。但相关规定并未涉及到个人信息的公共利用，而是直接将个人控制上升为法律上的权利，保证个人享有绝对支配权[4]。显然我国目前的相关法律还没有处理好个人信息的主体意志和经济价值之间的关系。

3.2 被侵权主体举证难度大

在多数的个人信息权益侵害案件中，原告（即被侵权主体）承担着对侵权行为的举证责任，然而由于大数据流通利用信息的过程不透明，实践中原告往往因为没有能力完成举证责任而无法获得法律救济。首先，大数据对信息的收集传输使得被告并不是掌握原告个人信息的唯一介体。其次，向法院提交关于被告泄露自己个人信息的信息传输报告和数据记录等材料需要一定的技术和条件，这些原告通常无法获得。再者，在这些个人信息权益纠纷中，原告一般为普通人，被告一般为企业和机构，两者实力存在不对等，此时再对原告的举证提出严格的要求，显然难上加难。

在我国《侵权责任法》中，民事侵权法律原则要求任何民事主体在进行某种活动时损害了他人的利益就应承担相应的法律责任，但这要求原告需要提供与案件存在因果关系的被告过错行为的证明，即采纳过错责任原则。但是依据我国相关司法解释，在当事人提供证据后，法院通过主动审查和对案件实际情况的了解，发现当事人陈述的事实具有非常大的存在可能性时，该事实可以被法院承认。以庞理鹏诉东航案为例，原告委托朋友通过被告的网络平台购买了东航的机票，订单上的联系方式为朋友的手机号，但之后却是原告本人的手机收到了相关的提示短信，他认为购票平台公司和东航公司泄漏了他的隐私信息，因此原告起诉了两家公司。该案中，二审法院作出了被告于本判决生效后十日内在其官方网站首页发布向原告为期三天的持续道歉公告。由于从举证的能力和成本上看,原告无法证明其个人信息是在东航、购票平台公司数据系统中泄漏出去的，也无法明确指出两家公司信息系统存在问题。但是原告提供的证据又能合理的将东航和购票平台公司与原告个人隐私信息的泄露串联起来，而且其主张的事实发生的可能性也很大，因此二审法院认为法律不应坚持要求原告承担提供东航或购票平台公司泄露了其个人信息的确凿证据的举证责任[5]。通过本案可以发现，我国在法律实践中也开始注意到了原告举证能力的问题，并相应降低了证明标准。但是，我国法律中尚无给予原告在举证方面相关法律援助的规定，依然存在原被告实力不对等的问题。

3.3 没有权责分明的监管机构

各法都规定了公民对于其个人信息享有获得法律救济的权利，但未明确规定在个人信息权益受到损害时，具体应由哪个机关采取何种程序与措施进行管理，也未明确在数据流通过程中的监管部门。法律条文的碎片化和零散化意味着相关监督管理体系是由多个部门参与共同监管，网信部门、电信部门以及公安部门各司其职，在该体系下，监管和执行主体的责任都不够明确，管理范围也存在重合或空白区域，彼此之间没有科学完善的协调统一机制，易造成治理混乱和懈怠。

4 大数据时代下个人信息保护的法律应对

4.1 确立合适的立法保护模式

我国之前都是对个人信息采取统一的立法保护模式，将个人信息一概归为个人隐私处理，并未对其进行分级分类，忽略了其隐私性的差异也有悖于其使用价值的发挥。没有注意到个人信息的公共性。

在处理个人信息保护和流通利用关系时，我国立法可以一级信息和次级信息标准来进行范围设定划分，在此基础上对一级信息实行绝对个人控制[6]。一级信息是指处于隐私中心涉及到人格尊严的对个人有重大影响的个人信息，其余能与社会共享的不与个人身心产生直接关系的信息则为次级信息，在侵权案件处理时，要注意对具体涉及的个人信息的分级标准进行情景化判断。对于一级信息，法律应赋予信息主体绝对权利，实行完全知情同意规则；对于次级信息，立法应从绝对个人所有转向允许社会合理利用，释放个人信息的公共价值，实行选择退出规则。我国应以此为基本进路订制符合我国国情的个人信息保护法律制度。

4.2 实行分段保护的信息管理制度

数据信息流通利用过程涉及个人和企业两个权利主体，个人阶段信息的产生披露和企业阶段的收集利用是个人信息实现潜在价值的两个重要流程，针对这两个阶段应实行相应的分段管理保护制度。个人阶段，不论是个人的主动披露还是数据使用者的收集整合，个人对于与其密切相关的一级信息都有所有权、控制权和法律救济权利。结合两级信息的完全知情同意规则与选择退出规则，一旦信息被非法泄露，个人可以对责任主体运用法律手段进行追责。企业阶段，出于发挥数据信息经济价值的动机，我们允许企业对个人信息的采集利用，但需要规制收集行为并对可收集数据信息设定界限。一方面，应规定相关应用和企业在要求用户提供个人信息时不得超过合理范围；另一方面，对于企业收集的数据信息必须要求其进行去身份化处理[7]，直接从源头上遏制非法泄露。将规制规范和合理界限设置相结合来达到企业阶段信息管理保护的目标。

4.3 设置专事机构同时给予司法援助

目前我国没有专门的数据信息管理机构，个人缺乏特定部门给予的帮助和指导，加上个人信息的被利用与泄露之间因果关系模糊，所以当事人运用法律手段进行权利救济的胜算并不大，因此我们要设置专事机构并在当事人的举证维权过程中提供司法援助或适当减轻举证责任以此来缓解监管和救济难的问题。

在司法实践中，法院应适当运用举证责任缓和规则，对于原告已经提出的能证明其主张非常接近客观事实的证据，法院应当适当降低原告的证明标准。因科学技术限制或者涉及高度专业化的知识条件而无法继续举证的，应当由被告举证，被告不能提供有力证据来证明原告所受侵害结果与自己的行为活动无关的，则认定原告观点成立[8]。同时，法律可以规定通过专业机构和司法援助为原告提供技术上的帮助来实现双方实力的对等，这对于原告的举证维权也是一种激励。

大数据时代的高速发展带动了个人信息的多重价值发挥，健全政府的行政监管来保证行业的稳定和个人的信息安全在当下就显得很有必要。鉴于实际情况，我国可以以工信部为主要部门，下设管理信息流通和维护信息安全的专事机构，严格管控行业对数据信息的流通使用，并为信息主体个人信息安全提供专业化服务和帮助。同时结合企业违法行为公示制度和黑名单制度来实现对行业的有效监管。