大数据视野下的个人信息保护

2022-04-08边雨舟

西部学刊 2022年5期

摘要：大数据技术时代的个人数据信息具有规模大、种类多、处理速度快、价值密度低等特征。这使得传统私权构建模式下的制度无法得到充分保护，隐私权侧重消极面向与积极自决并不相容，财产权模式下存在产权初始配置正当性与后续高交易成本等问题。现有制度供给如“知情同意规则”往往成为数据收集者的实质免责手段，使得个人无法以私权为制度工具进行控制。因此应该转换思维方式，从公权角度出发，将个人数据信息视为社会公共物品并进行规制，并由公权力主体进行专门治理。但同时要注重对包括隐私权和其他财产权在内的其他私权利的保护，从公权与私权两个维度构建个人信息保护的法律制度框架。

关键词：个人信息;大数据;隐私权;财产权

中图分类号：D923文献标识码：A文章编号：2095-6916（2022）05-0045-04

我国《民法典》第四编人格权第六章规定了隐私权和个人信息保护，其中第一千零三十二条第二款对隐私界定为“私人生活安宁”和“不愿为他人知晓的私密空间、私密活动、私密信息”，第一千零三十四条二款将个人信息界定为“能够单独或者与其他信息结合识别特定自然人的各种信息”，第三款区分私密信息与否，从而分别适用隐私权规定或个人信息保护相关规定[1]。在《中华人民共和国个人信息保护法》第四条中，个人信息被定义为“以电子或其他方式记录的与已识别的或可识别的自然人有关的各种信息”，并强调不包括“匿名化处理后的信息”，与《民法典》之规定保持一致以“可识别性”作为核心判断标准[2-3]。

由此，我国在法律上形成了两个层次的保护体系，私密信息进入隐私权保护，而具有可识别性的非私密信息则进入个人信息保护相关规定。但这样看似泾渭分明的两个阶层，区分却依然存在诸多问题，譬如个人信息、隐私与数据三者概念为何种关系？如何判断私密性？个人信息保护的强度为何？

以上疑问有共同需要厘清的问题，即个人信息的属性或保护正当性何在。在大数据时代，大数据是对规模性的个人信息进行加总，具有数据规模大（Volume）、数据种类多（Variety）、处理速度快（Velocity）、价值密度低（Value）等4V基本特征[4]，这使得大数据时代个人信息的性质及保护正当性成为争论的焦点。

一、隐私权保护之反思

我国《民法典》第一千零三十二条第二款之“私人生活安宁”来自美国法的“隐私权”学说，因此要探讨“私人生活安宁”与隐私、个人信息的关系就有必要对美国法语境进行简要考察。

Coolie法官于1888年首先提出隐私权为“不受打扰的权利”，亦有谓之“独处权”者[5]。Bradley大法官在1886年Boyd v.United States一案中认定美国联邦宪法第四修正案所保护的乃为私有财产所有权。在1928年Olmstead v.United States案中，美国联邦最高法院认定政府人员于公民住所外电话线上窃听并不违反宪法第四修正案，盖因未有实际性的物理性入侵故未侵犯所有权，但是Brandeis大法官在Olmstead案中接续Coolie之文献提出异议意见，认为第四修正案所保护的实为隐私权。二十世纪六十年代开始，美国最高院逐渐偏离Olmstead案，而转向Brandeis开出的隐私权理论，最终在1967年Katz v.United States案中，Stewart法官认为政府窃听行为虽未侵入公民住所，依然要承担隐私侵权责任，从而使得物理侵入理论与基于财产所有权保护理论彻底被放弃，最终在判例上彻底确定了隐私权理论，从而确立了当下隐私合理期待的基础：第四修正案保护的是人而非场所。在具体判断中，隐私合理期待分为两步判断，一是对隐私的主观期待，二是该种期待是否于社会通念上合理正当[6]。

然而美国依托不动产财产权，所侧重的为涉嫌刑事司法取证中对政府权力的制衡，因此讨论的核心是用科学技术对物理空间内信息的获取[7]，而非对互联网中信息保护的讨论。在互联网信息保护的讨论中，由于缺乏立法处理，使得美国法院在网络空间问题的适用上不得不大量类推非网络空间，但是类推之对象一直存有争议，譬如到底将电子邮件比作密封的平邮信件还是明信片[8]？更为严峻的是，由于青年人更能意识到互联网中的公开空间会使得隐私难以得到保护，此种对科技以及使用科技时隐私权削弱的理解将会带动社会通念变化，并影响隐私合理期待判断的第二层次，进而弱化对公民权利保护[9]。

由此带动美国法的进一步转向。根据Fried的观点，隐私信息涉及个人生活的方方面面，在极度重视个人隐私安全的美国，无法控制自己的个人信息将使得隐私保护成为一纸空文。拥有对个人信息的处置权利，表明人们可以允许或拒绝他人获取自己的个人信息。个人信息具有极大的隐私保护意蕴，人们应当有权利排除他人对自身信息的获取、使用，这也是个人信息保护的一个维度。

在美国司法实践中，是允许用户就个人信息的收集、使用进行自决的，因为个人信息承载着网络的众多内容，如果不能自决处置，将会給进行采集、利用此项信息的从业者带来巨大的阻碍。在重视私权保护的美国法治下，个人信息的保护触及众多法律规制。“知情同意原则”（notice and consent）就是网站向用户明示告知其用户信息被采集、使用的情况，从而征得用户的明确同意。此外，美国的网络从业者通过各种征得用户同意的协议方式，积极采集、使用用户的信息。美国司法实践最终在原则上确认了“知情同意”原则，赞成有必要赋予用户对其个人信息以积极的自决功能，进而能够授权他人去收集和利用[10]。

经过此种构造，一方面，隐私权限制他人对本人私人生活的干预所侧重的消极防守功能不得不面临不断的突破，而一旦强调本人对其个人信息积极的控制权，那么隐私权进路恐怕就不再能够满足制度需求;另一方面，传统民法中隐私权对个人信息的保护不是无限制而是选择性和有限的，隐私权保护并不能充分应对信息社会中对个人信息的广泛侵害问题[11]。

二、财产权保护之反思

在私法中，基于个人信息保护的层面，关于个人信息活动的管理、规制，是以严格的人格信息保护和相关信息活动行为规则为主要内容的，并通过这些准则严格规范信息活动的产生、收集和传播。但是随着网络在各行各业的发展与普及，特别是在进入大数据时代之后，这类处置方式存在一定的滞后性。

首先，互联网业态下多样化的运营需要越来越多的信息处理技术支撑，需要更多的数据信息进行内容填充。而对信息内容的填充，不仅需要对用户信息进行收集、研究分析、使用，还需要对其具有相应的责任。在这种情况下，个人信息的公共属性得到彰显，如果只注重其私法领域的人格权属性，将给网络平台和服务商提供服务带来阻碍，用户会因此收获更为不悦的使用体验感，这对于各方而言都是不利的。其次，数据资产的庞大体量同简单的个人信息保护制度是存在不适应性的。大数据时代用户与经营者的关系亦是在个人信息及数据的利益关系基础上形成的，如果对数据经营保护力度欠缺，其发展的动力也会受限[12]。

实际上早在互联网隐私问题出现的初期，Laudon即提出个人信息隐私问题在于法律未将个人信息所有权赋予个人，反而是信息使用者对信息具有绝对的支配权，Lessig也指出将信息视为具有价值的财产为我们运用市场机制保护隐私提供良好契机[13]。将个人信息保护理解为财产权的视角实际上与个人信息控制权理论有着内在亲和性，并且很大程度上祛除了以人格尊严保护救济的视角[14]。

然而这种基于事先产权配置之思路同样颇为可疑，不论是产权初始配置，还是后续交易成本，都有诸多问题值得追问。

虽然有观点认为初始产权配置应予消费者个体，但是此种配置的正当性存在疑问。由于个人资料在个人同企业间的交易关系产生，个人和企业均对此种信息具有贡献度。因为信息由个人提供，而企业则对数据进行加工处理，产权初始分配于个人并不具有额外正当性[15]。

另外，纵使将个人信息财产权化并初始配置于个人，亦需要面临大数据时代的高交易成本。在大数据背景下，个人提供包括身份信息在内的信息，再通过各种数据系统、信息系统记录形成。但实际中会出现这样的问题：提供个人信息的个人并不知道自己的信息去了哪以及用作何种用途。在现有的技术条件下，也无法在收集个人信息时有效地告知以及实施告知同意。

此外，“同意”规则真正操作起来的难度较大，在目前各行各业被大数据渗透的业态下，实现一对一空间下关于数据信息以及其所涉及利益的谈判，无异于天方夜谭，所涉及的交易成本也是巨大的。“通知和同意”规则实际上成为沟通服务者和用户的中间平台，但这一平台是基于不平等的隐私政策。为了更快地获取用户的个人信息，服务者提供条款繁杂的隐私条款供用户勾选，而为了更快捷方便的使用体验，大多数用户都会直接勾选同意。但如果不就“同意”规则进行规制，不對个人信息的控制加以约束，数据控制人所面临的法律风险是不可小觑的。

由于数据信息的即时性特征，个人信息的收集、处理、反馈都处于即时的状态之下，个人的生活亦时刻受到大数据信息的影响。个人多元化信息的处理会受到极大主观意志的影响。而个人信息的反应与处理相对而言是具有延时性的，从中导致的二者之间的矛盾会影响数据信息的处理，并导致一定的滞后性与缺乏高效。

在这一问题的探讨上，有一种观点认为，要在合理区分个人信息和数据资产的基础上，进行两个阶段的权利建构。第一个阶段是在个人信息层面的权利建构上同时重视人格权与财产权的配置;第二个阶段是从数据经营者角度出发，从数据经营和利益驱动上分别配置数据经营权与数据资产权。但是目前在实务中，使用者往往会更重视数据信息本身的数据属性，而较少强调其所承载的人格权益或者说是身份。

三、公私法协调的社会法构建

大数据信息时代，个人信息是互联网互联互通和开发各类产品的重要基础。对多样化信息的采集也是崭新的议题。过去用户对于信息收集是明知的，如今数据收集大多通过机器完成，难以实现一对一的告知;过去数据收集出于特定目的，如今经济价值和创新依赖对数据的整合和后续的挖掘利用;过去数据主体的角色是单一的，如今信息的使用者可能是数据控制者、处理者;过去的政策往往注重降低法律风险，现在更多的目光聚集在实现信息保护与经济增长的平衡。

这说明随着科技发展与社会变迁，大数据时代个人信息的属性发生了一些变化，其更多地凸显出其社会性与公共属性，这是与其所固有的私法属性相悖的，由此出现了公共属性与私法属性的矛盾与不适应[16]。

近期，也有新兴主张认为，隐私权应该超脱出“隐私—财产”这一基于私权保护的框架。在个人力量难以保护个人数据信息的情形下，以法律一贯的维权模式显然是难以发挥作用的，因此应当将个人信息视为一种公共产品，而非仅仅只是私权领域下的衍生品，社会成员对其的采集、使用应当受到更多的限制。

一旦从私权转变到公法视域，那么所强调的也即从个人救济转变到社会控制。从国外的立法例看，目前各国尚无上述完美平衡个人信息保护与促进创新、经济增长的制度设计。欧盟为数据主体寻求司法救济配备了同意规则和被遗忘权，虽然依然是建立专门的个人数据行政监管体系来实现对个人信息的保护[17]，但这一点可以为我国所借鉴，因为其一定程度有效加强了对个人数据信息的监管。

当个人信息被界定为社会的公共产品，即在私法领域无须个人对其信息采集、使用的同意许可，一般原则中的个人自愿原则便不需要适用，但这并不表明现行适用的隐私权制度和财产权制度已经失去了法律价值。应该认识到，对公民私权的保护是整个社会依旧关注的重点，不能因为个人数据信息的公共属性而忽视其原本应有的私权属性。当社会成员在收集、使用或者以其他方式对他人的权利造成侵害时，侵权责任的承担是必要的也是法律所明文规定的[18]。但是在个人数据信息获取、使用以及转让等过程中并不一定构成对他人财产权、隐私权的侵犯。

四、结语

对于大数据时代下因科技发展而在企业与用户间产生的数据收集、使用、建模，需要系统的保护思路。传统的隐私权理论往往过分强调隐私的个人价值，强调其消极防御面向;而个人信息控制理论对焦于个人对于信息的把握与控制，由此出现个人信息财产化理论，强调其积极使用面向，这两个理论因其着重点不同而呈现出相反的面向。然而大数据时代所需要的个人信息往往是碎片性的，同时也是社会规模性的[19]。批量化的个人信息以各种方式传输到各大平台，其碎片化的特征使得难以就单个信息被获取而提起侵权之诉。大数据时代的个人信息往往是各大行业所需要的数据来源，企业通过对用户个人信息的获取利用来实现一定的商业价值。

仅仅从私权领域出发对个人信息保护进行探讨是无法对其进行有效规制的。个人信息保护，不仅仅是归属于隐私权领域的问题，更是关系到社会层面的公共安全的重要命题。因此，应当把握住大数据下个人信息的公共物品属性，从公法领域加强对其使用的治理与管制。在私权领域促进商业利用已有数据，在公领域则侧重防范不法利用行为，而传统的私权保护框架在部分情况下依然有激活启用的空间。我们应该从公权与私权两个维度共同构建个人信息保护的法律制度框架。

参考文献：

[1]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学，2013（4）.

[2]金耀.个人信息去身份的法理基础与规范重塑[J].法学评论，2017（3）.

[3]张里安，韩旭至.大数据时代下个人信息权的私法属性[J].法学论坛，2016（3）.

[4]王学辉，赵昕.隐私权之公私法整合保护[J].河北法学，2015（5）.

[5]张莉.论隐私权的法律保护[M].北京：中国法制出版社，2007：1.

[6]张民安.隐私合理期待理論研究[M].广州：中山大学出版社，2015：8-18.

[7]奥林·S.科尔.《美国联邦宪法第四修正案》与新技术——宪法迷思与司法审慎性思辨[M].广州：中山大学出版社，2015：69-71.

[8]马修·J.霍奇.Facebook时代的隐私合理期待[M].广州：中山大学出版社，2015：271.

[9]泰瑞·多宾丝·巴克斯特.科技对公民隐私合理期待的侵蚀[M].广州：中山大学出版社，2015：119.

[10]龙卫球.数据新型财产权构建及其体系研究[J]，政法论坛，2017（4）.

[11]杨芳.论个人信息的隐私权保护——信息自由原则之下的有限保护[J].西南科技大学学报（哲学社会科学版），2016（2）.