禹会会

关键词大数据 个人信息 侵权责任

一、个人信息的法律属性

《民法典》第一千零三十四条规定：“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。”欧盟《数据保护通用条例》也对个人数据的概念做出了规定，二者对个人信息的規定都有列举，并且都规定了识别个人信息的方式有直接或者间接的方式。美国《消费者隐私权利法案（草案）》将个人信息定义为“能够连结（link）到特定个人或设备的信息”，进一步指出了个人信息“关联性”（linkable）的特征，其对个人信息的识别进行了更加追本溯源性的规定，认为个人信息不仅是识别个体的特征，并且能够与个体或者设备连接，将各种信息或者符号通过某种形式与个体连接，形成信息——个体的动态识别过程，为以后判断是否属于个人信息提供了更好的思路。我国学界对民法典在人格权一编中规定个人信息的保护持有两种观点，一种认为民法典在人格权编中确立了个人信息权，是一种独占的支配权，另一种认为自然人对个人信息享有的只是一种民事利益。本文认为自然人对个人信息应当享有的是支配权，也即自然人对个人信息拥有个人信息权。

首先，从表现形式上看，数字化记载的个人信息如同人的肖像一样，都是识别社会中的个体的一种表现形式，区别在于，肖像是以生物特征为基础，以影像、绘画等形式记载的可以识别个体外部形象的一种记载方式，而个人信息，大多以数字化的信息为记载方式，但究其本质，都是从个体中分割出来的一种天然的权利。

其次，从保护目的上来看，个人信息在现代大数据环境下大多表现为一种数据化的记载方式，并且与自然人的人格权利息息相关，比如未经正当途径获得他人手机号码打电话进行推销宣传，通常会打扰个人的生活安宁。明确个人信息的法律性质有利于理解法律对个人信息的保护程度，对侵权责任的划分也具有重要作用。

二、大数据背景下的个人信息保护

（一）“知情同意”原则的困境

基于个人信息形成的产业服务已经成为人日常生活中的必不可少，也是如今企业提升竞争力的重要因素。个人信息的收集、处理、运用、传输都可能会产生巨大的价值，也可能会给信息主体造成困扰，随着大数据的发展，信息利用与流转不再仅限于与服务提供者之间的直接联系，而是变得更加多元、复杂。知情同意规则是个人信息保护的核心法则，民法典也规定数据控制者要征得信息主体同意并且明确信息使用的目的。但根据近年来的数据显示，知情同意规则逐渐流于形式，主要表现在：一是个人信息收集超过必要限度;二是隐私条款中未明确个人信息的使用目的;三是隐私条款冗长，存在默认同意规则;四是存在不合理的免责条款等。知情同一规则在传统的单一环节的数据流通中能够相对有效的保护个人信息，但是在大数据环境中，面对多环节的数据流和多元化的数据处理主体，知情同意规则往往显得鞭长莫及。明显的，在多元化的数据处理主体中，信息主体能够得到的直接交易信息是来自初始的数据处理主体，但二者又明显处于不对等的地位，这种关系既不利于信息主体的知情权，也不利于在信息主体的个人信息受到侵犯时追究责任。

（二）个人信息的范围

1.个人信息范围的评价标准

德国立法认为个人信息权是一种独立的个人数据权，美国立法认为个人信息权为隐私权的一种，通过我国民法典规定可以看出，个人信息权和个人隐私权分别规定在人格权一编中，也承认了个人信息权是独立的人格权。这也说明并非所有的个人信息都受到民法的保护，只有与信息主体密切相关并且具有个体上的识别性信息才能称之为民法意义上的个人信息。所以人格权编中的个人信息范围的评价应当具备以下几个要素：

一是与信息主体相连接，如前述美国《消费者隐私权利法案（草案）》中规定的与信息主体或者设备相连接，能够达到信息一一主体，主体——信息的连接，该信息可能直接源于信息主体，也可间接源于信息主体，但是能够通过某种方式反映信息主体的客观情况。

二是可识别性。通过该信息能够使信息主体区别与他人，具有可辨识性。即使他人与信息主体拥有同样的信息，但也能够通过该信息识别主体的情况，比如精神状态，家庭住址、兴趣爱好等。

三是具备某种客观表现形式，在大数据技术下，个人信息通常被记录为电磁数据，信息控制者采用一定方式对个人信息进行记载，并通过对其的整理和编排，使之可以通过结构化方法进行查询、检索或用作它途。系统化的个人信息具有稳定性、流转性。比如一个人的航班信息，零碎的航班信息有承运航空、乘机人、出发地、目的地、时间等。如果将这些信息割裂开来则无法反映个人的出行情况，不能称之为个人信息，但是通过系统化的记载方式记载到机票上就属于个人信息。

四是信息的用途。只有当某种信息具有特定的用途时才能称之为个人信息，这就需要个人信息处于特定的环境才具有人格上的利益。比如指纹，在指纹解锁的手机上能够称之为个人信息，但是因为触摸公共座椅留下的指纹，如果不具备特定的用途，就不能成为民法所保护的个人信息。在大数据环境下，信息的种类更加繁多，记载的方式也日益增多，个人信息具有非常大的不确定性，应当把握好个人信息的评价标准，进而确定个人信息的范围，才能够有效保护个人信息。

2.个人信息与个人隐私的界定

根据近年来的侵犯个人信息权的案例来看，大多原告将侵犯个人信息的行为认定为侵犯了个人隐私进行诉讼，比如黄某诉微信读书一案，原告认为被告未经同意直接在微信读书APP中对其微信好友进行互相关注，并且允许微信好友查看其书架和读书偏好，是侵犯了其隐私权，法院认为书架和读书偏好只能大致反映出一个人的性格特征、品味或者精神面貌，根据场景化原则，原告的读书信息不足以刻画读者的人格特征，造成人格损害，公开其读书信息也未对其生活造成侵扰，所以不构成对个人隐私的侵犯。个人信息的处理是否给用户带来隐私风险的原因并非来自其“是否构成个人信息”，而是在具体场景中“被如何使用”以及是否符合用户在相应场景中的合理期待。个人信息与个人隐私具有交错性，在评价二者时，应当根据场景化原则结合使用之目的进行评价，比如某高校在网上公开学生成绩要求社会大众进行评价，这种行为明显对学生的人格产生了影响，可能给学生造成精神上的不安，可能构成对个人隐私的侵犯。如果某高校公开学生成绩进行招生宣传，对学生的人格利益产生较小的影响，可能构成对个人信息的侵犯。个人隐私主要是能够对个人人格产生评价，是一种精神上的权利，个人信息则兼具人格利益与财产利益属性。

三、保护个人信息权利的途径

（一）重构“知情同意”价值理念

“知情同意”原则本身的目的是规范信息处理者，向信息主体明确信息处理目的，公开信息处理范围并且征得信息主体的同意。但在大数据时代，信息源多元化、信息处理主体多元化导致“知情同意”原则很大程度上成为信息处理主体规避风险的一种“免死金牌”。因此在原有的“知情同意”原则下，应当规范信息处理者的使用目的，采取目的限定原则，根据信息处理的目的有效筛选个人信息，在每一次信息转移过程中，根据个人信息使用目的以及与人格利益相密切程度确定信息移转风险预期标准。

其次，应当提高用户知情透明度，在很多情况下，用户并不知道个人信息的使用目的，以及使用范围，或者用户只在初始使用时略微了解使用目的，至于使用过程中是否有所改变也不知，因此有必要规范隐私条款，简化隐私条款，使用户更加明确个人信息使用目的，在使用过程中，使用目的变化、使用范围变化需再次向与用户进行明确。

（二）区分个人信息类型进行分层保护

從上文看，个人信息权是一种人格权，个人信息与人格利益息息相关，但大数据时代不同的个人信息与人格权联系紧密程度是不同的，因此有学者将个人信分为一般个人信息和个人敏感信息进行不同程度的保护，但本文认为一般个人信息和个人敏感信息在不同环境和对不同的人是不特定的，是一个动态的变化过程，比如明星的个人行程，在公开的行程中是一般个人信息，但明星的私人行程被外界获取进行跟踪拍摄盈利则是个人敏感信息，所以我们无法提前预测什么是一般个人信息和个人敏感信息，只能预测一种标准，根据对人格的影响程度进行不同的保护，对一般个人信息侧重于消极保护，个人敏感信息侧重于积极保护。另外，还需加强对未成年人的个人信息保护。

（三）完善侵害个人信息的侵权责任

在大数据生活中，多方参与个人信息的收集、利用，以至于当侵害行为发生时无法查找实际侵权人，中国在将来的个人信息保护立法中可以参照美国个人信息侵权责任的划分，类似于中国的共同危险行为理论，无法查明具体侵权人的，涉及多方信息处理主体，应当共同承担侵权责任，能够证明自己不是侵权人的，不承担责任。因涉及到多方信息处理主体，个人信息侵权行为的归责原则不能按照普通的规则原则进行处理，因果关系的认定也不能按照谁主张谁举证的模式进行，虽然《民事诉讼法》规定法院可以适当分配证明责任，但是法律并未规定如何分配，按照何种标准分配，这些都有赖于未来的立法进行规定。