邱玉成

廣西財經(jīng)學院法學院，廣西 南寧 530003

科技的發(fā)展使得人類社會進入了大數(shù)據(jù)時代，大數(shù)據(jù)會使我們的生活更加便利。大數(shù)據(jù)正在改變我們的生活、工作和思維，它撼動了從商業(yè)科技到政府、教育、經(jīng)濟、人文等社會的各個領域，甚至能預測人們的行為。[1]大數(shù)據(jù)如同一把雙刃劍，它在有益于社會的同時也對個人信息保護提出了挑戰(zhàn)。國外因大數(shù)據(jù)收集利用而嚴重侵害個人信息的重大事件時有發(fā)生，根據(jù)中國消費者協(xié)會《APP個人信息泄露情況調查報告》調查，個人信息遭到泄露的人數(shù)占比竟高達85.2%[2]。這些嚴重侵犯個人合法權益事件的發(fā)生表明，在大數(shù)據(jù)時代如何平衡個人信息保護與大數(shù)據(jù)利用之間的利益沖突是亟待解決的問題。

一、個人信息權與隱私權的區(qū)分

(一)個人信息權保護模式

關于個人信息的保護各國立法主要采取兩種模式：一種是單獨制定統(tǒng)一的個人信息保護法的統(tǒng)一模式或稱歐洲法模式；另一種是不制定統(tǒng)一的個人信息保護法律的分別立法模式或稱美國法模式。[3]但無論采取何種立法模式，他們大多都采取不區(qū)分個人信息與隱私的“一元制”保護模式[4]。在“一元制”保護模式下，兩種立法模式的不同在于歐洲國家主要通過統(tǒng)一的個人信息保護法來保護個人隱私權，而美國法采取了相當于大陸法系國家人格權范疇的隱私權來保護個人信息。

本文認為，兩大法系之所以采取“一元制”保護模式，而不是采取明確區(qū)分個人信息權與隱私權的“二元制”立法模式，其主要原因在于其立法時的社會背景與科技水平尚處于前大數(shù)據(jù)時代，當時的個人信息的商業(yè)價值、動態(tài)可識別性等特征尚未彰顯，其與個人隱私之間還存在高度關聯(lián)性，而隨著大數(shù)據(jù)、云計算等高新信息技術的發(fā)展，個人信息發(fā)展出了一些傳統(tǒng)個人隱私無法涵蓋內容與特征，這無疑對現(xiàn)代社會提出了新的挑戰(zhàn)，而法律對此還未做好充足的應對。

(二)法學界關于個人信息和隱私權的區(qū)分

關于個人信息和隱私權的關系問題，我國法學學者也經(jīng)歷過較為充分的思考與討論，討論初期通常觀點并未將個人信息與隱私權作非常明確的區(qū)分，而是將其當成一種特殊的隱私權(通常稱為網(wǎng)絡隱私權)加以特別保護?，F(xiàn)在，我國主流觀點主張應當明確區(qū)分個人信息與個人隱私，進而分別加以規(guī)范與保護。例如，王利明教授認為，個人信息權和隱私權作為自然人共同享有的人格權，盡管二者緊密關聯(lián)，甚至存在著交錯，但兩者還是存在較明確的區(qū)別的，他認為二者在在權利屬性、權利客體、權利內容、保護方式等方面都存在明顯區(qū)別，兩者并非渾然一體，而是兩個獨立的權利[5]

張新寶教授也主張，在信息社會，個人信息成為和物質、能量同樣重要的資源，具有人格尊嚴、自由價值、商業(yè)價值和公共管理價值，個人信息相較于傳統(tǒng)隱私權涉及更多的利益主體和利益內容，社會信息化進程使得信息業(yè)者作為新的獨立利益主體出現(xiàn)，國家也同時具有了個人信息管理者和利用者的雙重身份，他們對于個人信息的利用提出了新的訴求，而個人對其個人信息的保護需求依然存在。他主張通過“兩頭強化，三方平衡”對個人信息進行保護與利用，即對個人敏感隱私信息要強化保護，而對個人一般信息則要強化利用，從而達到對個人信息的保護利益、信息業(yè)者的利用利益和國家管理社會的公共利益三方之間的平衡。[6]

(三)經(jīng)濟學界關于個人信息和隱私權的區(qū)分

本文贊同這些主流觀點，因為在大數(shù)據(jù)時代，個人信息已經(jīng)發(fā)展出自己獨特的價值、特征與內涵，已突破傳統(tǒng)隱私權保護范疇而發(fā)展成一種獨立的權利。對這一論斷，一些經(jīng)濟學者的觀點也許更具有說服力：大數(shù)據(jù)時代，數(shù)據(jù)的存儲技術與數(shù)據(jù)分析工具的發(fā)展進步使得各種信息皆被“數(shù)據(jù)化”。這些被“數(shù)據(jù)化”的信息具有巨大的商業(yè)價值。[7]大數(shù)據(jù)使得個人信息的財產(chǎn)價值越來越凸顯，大數(shù)據(jù)的這一特征將一些不屬于隱私權內容的個人信息在經(jīng)過被分析、重組、再利用后，因能夠對個人進行識別或進入他人私人空間而使其具有了一定人格利益，突破了傳統(tǒng)的隱私權保護的范圍。正如一些學者所主張的，大數(shù)據(jù)打破了社會權力的既有結構，通過數(shù)據(jù)監(jiān)控造就了全景監(jiān)獄機制。[8]波斯特也認為信息社會促使了全景監(jiān)獄的誕生，人們的隱私不斷被數(shù)據(jù)庫逾越而消失了。[9]現(xiàn)有的隱私保護技術是基于靜態(tài)的，而大數(shù)據(jù)環(huán)境下的數(shù)據(jù)模式和數(shù)據(jù)內容則是動態(tài)的[10]。通過大數(shù)據(jù)進行分析和挖掘，甚至可以掌握人們的行為。巴拉巴西提出，在大數(shù)據(jù)時代，人們的生活被數(shù)字化、公式化和模型化，大數(shù)據(jù)技術通過海量數(shù)據(jù)的收集、挖掘和分析可以追蹤人

們的生活甚至預測人們的行為[11]。

二、我國個人信息保護的立法現(xiàn)狀

(一)在行政法方面

我國在個人信息保護方面的立法起步較晚，2000年才首次有涉及個人信息的立法，即全國人大常委會發(fā)布的《關于維護互聯(lián)網(wǎng)安全的決定》。隨后，《網(wǎng)絡安全法》涉及個人信息，但其立法目的是網(wǎng)絡安全，因而內容上側重于管理網(wǎng)絡個人信息的收集和保管，適用于個人信息保護方面的規(guī)定有限，《關于加強網(wǎng)絡信息保護的決定》明確了個人信息處理原則、信息主體的權利，《居民身份證法》對個人信息規(guī)定了保密義務、違法責任及司法救濟等內容。此外，《政府信息公開條例》、《電信條例》、《計算機信息安全保護條例》、《銀行管理暫行條例》、《互聯(lián)網(wǎng)電子郵件服務管理辦法》、《互聯(lián)網(wǎng)信息服務管理辦法》、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》、《醫(yī)療機構病例管理規(guī)定》等法規(guī)都從不同層面對個人信息保護予以規(guī)定。

(二)刑法方面

《刑法修正案七》和《刑法修正案九》分別規(guī)定了出售、非法提供公民個人信息罪、非法獲取公民個人信息罪和侵犯公民個人信息罪。為解決個人信息保護的前置法律貧乏的窘境，最高人民法院與最高人民檢察院兩院少見地在刑事案件司法解釋中對個人信息的范圍這一不屬于刑法規(guī)定的內容予以解釋。

(三)民商法方面

《消費者權益保護法》對經(jīng)營者收集、使用消費者個人信息的行為進行了規(guī)范，《婦女權益保障法》和《未成年人保護法》對于未成年人、婦女等特殊群體的個人信息分別做了規(guī)定?！睹穹倓t》第110條規(guī)定了包括隱私權在內的具體人格權，第111條從基本法的角度宣示了個人信息受法律保護，這表明民法總則采取明確區(qū)分隱私權和個人信息的二元制保護模式。

十多年來，經(jīng)過學界與立法部門的努力，個人信息的保護立法取得了一定的成果，據(jù)統(tǒng)計，當前中國有近70部法律、行政法規(guī)以及200余部規(guī)章的規(guī)定直接涉及對個人信息的保護[12]，間接涉及對個人信息的保護的法律、行政法規(guī)、地方性法規(guī)、部門規(guī)章及司法解釋則更是多達數(shù)千部[13]。從總體上看，上述立法基本上涵蓋了個人信息法律保護的核心內容，為保護個人信息提供了一定的法律依據(jù)，但實際上卻難以產(chǎn)生令人滿意的效果。一方面，這些法律法規(guī)多是末端治理的制裁性規(guī)范，而不是從源頭保護的引導性規(guī)范，難以對個人信息進行全面保護；另一方面，由于立法過于分散，缺乏系統(tǒng)性與內在邏輯性，導致多頭立法，在體系上容易造成行政執(zhí)法機構缺失、缺少對行政主體行為的監(jiān)督和限制等沖突與混亂。此外，立法層次低，法律效力低，導致保護手段弱，執(zhí)法力度弱等現(xiàn)象，當個人信息受侵害時卻處于一種有法難依的尷尬境地。

三、完善我國個人信息保護的建議

(一)加緊立法，標準補位

基于我國個人信息保護的立法現(xiàn)狀，制定一部統(tǒng)一的、兼顧個人信息利用與保護的個人信息保護法是法學界的共識。在民事基本法方面，全國人大現(xiàn)在正在征求意見的《民法典人格權編草案二次審議稿》明確區(qū)分隱私權與個人信息進行保護，該草案第六章“隱私權和個人信息保護”共7條，其中有5條規(guī)定是關于個人信息保護的，內容涉及個人信息的定義、權利內容與收集、使用個人信息的基本原則、規(guī)則等。[14]在制定統(tǒng)一的個人信息保護法方面，十三屆全國人大常委會已將其列入立法規(guī)劃，這標志著我國個人信息保護將結束立法分散、缺乏統(tǒng)一操作標準的狀況，迎來對個人信息利用與保護并重、平衡多方利益的系統(tǒng)保護時代。

鑒于《民法典人格權編草案二次審議稿》與《個人信息保護法》畢竟只是處于審議與規(guī)劃階段，尚不能規(guī)范當前的行為。在個人信息保護立法缺位的當下，本文認為應當強化個人信息保護的國家標準與行業(yè)標準的作用，使其起到補充法律的功能。全國信息安全標準化技術委員會組織制定的《信息安全技術個人信息安全規(guī)范》(GB/T 35273-2017)已于2018年5月1日實施。該標準雖僅是國家推薦性標準，不具有強制力，但是該規(guī)范填補了我國個人信息保護制度的多項技術細節(jié)與規(guī)范空白，這部國家標準厘定了個人信息的定義、闡明了個人信息安全的基本要求、規(guī)定了信息處理方式及應急處理機制等內容，為平衡對個人信息的保護、利用和監(jiān)管等多方利益提供了參照和指引。在法律法規(guī)尚處于立法空白或有法難依的情況下，法院可以將這些國家標準與行業(yè)標準作為裁判說理依據(jù)而加以援引，從而補充現(xiàn)行法律、法規(guī)、規(guī)章在維護個人信息利用秩序和安全方面的不足。大數(shù)據(jù)時代，個人信息保護立法的滯后性在各國都不同程度存在，而國家標準與行業(yè)標準本身的靈活性，更能靈活應對大數(shù)據(jù)技術不斷發(fā)展的要求，更有利于個人信息利用、保護及安全的需要。

(二)完善理念，動態(tài)規(guī)制

關于個人信息保護的立法，各國目前都以知情同意為原則。也就是說，信息業(yè)者收集個人信息時需要通過聲明等方式，充分告知用戶其收集利用個人信息的目的、范圍等以滿足用戶的知情權。用戶以同意聲明方式授權信息業(yè)者對其個人信息進行收集和利用，且用戶的同意必須是自由作出的。在大數(shù)據(jù)時代，知情同意原則難以實現(xiàn)。一方面，信息業(yè)者的充分告知信息義務和用戶知情權淪為形式。雖然信息業(yè)者通常會提供形式上較為完備的用戶聲明、協(xié)議等以示其履行了充分的告知義務，但這些用戶聲明、協(xié)議通常十分冗長，其內充斥著大量普通用戶難以理解的專業(yè)術語，以及瑣碎卻并非很重要而又含糊其辭的規(guī)定，真正重要的個人信息處理條款反而并不明顯。且這些用戶聲明、協(xié)議通常并不直接明顯的顯示，而是以折疊方式出現(xiàn)，而“我已閱讀并同意”按鈕則通過字體加大、加粗并置于明顯位置方式設置。這種告知方式并不能引起用戶的重視，用戶通常只會形式主義地點擊同意。另一方面，用戶的同意并不一定自由。用戶在使用網(wǎng)絡服務時，若不同意服務商收集利用其個人信息，就無法享受服務商提供的服務和產(chǎn)品。在面臨服務商“同意方能享受服務，拒絕無法享受服務”的“威脅”時，用戶基本難以堅持自己并不強大的自由，通常連上文述及的用戶聲明、協(xié)議都不閱讀就會點擊同意，因為閱讀也沒有任何實質意義。

在知情同意難以有效保護個人信息保的情況下，我們應更新立法理念，尋求能動態(tài)衡平個人信息保護與個人信息合理收集利用的方法。本文認為構建個人信息風險評估機制是一種有效辦法，通過開展個人信息風險評估，編制評估報告，既有利于個人了解其個人信息的風險程度和建議，又有利于信息業(yè)者發(fā)現(xiàn)安全風險并落實預防措施。