出于保护个人数据信息的必要

（一）个人数据的概念

如今，越来越多的国家对个人信息的保护予以关注并制定了相关法律，明确其概念是制定这些法律的基础。从各国的相关立法来看，各个国家对个人信息的称谓并不统一，比较常见的称谓有“个人数据”“个人隐私”和“个人信息”等。其中，欧盟为主的一些国家使用“个人数据”这一称谓，具体在《个人数据保护指令》中是指“与一个身份已被识别或可被识别的自然人相关的任何信息”。美国没有单独的个人信息保护法，对个人信息的保护主要是将其以“个人隐私”的形式纳入《隐私法》中予以保护，类似的国家还有加拿大、澳大利亚、比利时等。采用“个人信息”的主要是韩国、日本等国家。[5]我国学者对于使用何种称谓更能体现立法目的并能全面地保护个人信息这一问题上也存在过争议，但目前在学术界的主流观点倾向于使用个人信息这一称谓。

对于个人信息的定义，在法律上并没有做出明确的界定，我国法学专家齐爱民教授认为：“个人信息是一切可识别本人的信息的总和，这些信息包括了一个人的生理的、心理的、智力的、个体的、社会的、经济的、文化的、家庭的等等方面。”

据此，笔者认为个人信息是自然人在社会生活中形成的、依附于一定的载体之上、具有识别特征的信息，包括自然人的身份信息、社会情况信息、财产状况等各种信息。

在英语中，数据和资料均为data，那么个人数据与个人资料可以说并没有本质的区别，信息在英语中则为information。资料主要指固定于一定物质载体上的符号，更多地强调客观上的内容，而信息意在表现价值，带有主观色彩。“个人信息是个人资料经过处理后可以为人所用的内容”。笔者认为，当前形势下，人们更关心信息带来的价值，而非数据本身，因此，制定的法律更倾向于保护个人资料的内涵即个人信息，而不应单单局限于资料这些客观的数据，个人信息明显更符合大数据时代的特点。

个人隐私是指公民私人生活中不愿为他人所知，不受他人非法搜集、刺探和公开的私人信息。个人信息可以是私密的，也可以是公开的。大数据时代，数据的规模与种类已远远超过传统的数据，大数据的产生使个人信息的内容变得多样与复杂，隐私已不能包含其内容。当然隐私与个人信息具有密切的联系，它们的内容相似又有明显的区别，有的个人信息于隐私，比如住址、电话号码等，有的个人信息则不属于隐私，比如身高、体重等，同样地，有的隐私如日记、个人的心理活动等也不属于个人信息。可见，个人隐私注重私密性，个人信息倾向于可识别性，二者是有明显区别的。

（二）个人数据保护的法理基础

1.保护人格尊严的需要(www.xing528.com)

人格尊严是指人作为法律主体所应当受到的尊重和承认。作为各种社会关系中的人，不仅存在物质需求，在精神层面上也需要得到满足。人格尊严是人之为人最基本的权利，而自主能力是人格尊严的重要内容。

网络数字技术让整个世界进入了全面记忆、永久记忆的阶段，我们在网络上所开展的各项活动，包括社交、购物、游戏等均被网络记录下来，即便我们在可操纵的页面进行了删除，网络的后台仍能储存我们的足迹，而面对这一切我们却无计可施。有学者提道，被遗忘权实质上是一种由个体控制哪些个人信息可以作为评价个体的依据的权利。在传统社会，个体可以控制自己公开信息的范围和广度，即便现已公开的一部分信息不利于自己的正面评价，伴随着人类记忆系统的作用，给他人留下的不良印象也会随着时间慢慢淡去。

而在网络时代，信息的传播和存储功能之强大已经远远超越了人们所能控制的范围，人们逐渐丧失了对自我的选择权。我们在网络上留下的种种痕迹通过技术化手段形成了“数据人格”，在熟人社会转向陌生人社会的这一时代，人们已经习惯于动动手指上网搜索他所想要了解的对象的信息，这比现实接触更为经济和便捷。在这种情况下，“数据人格”慢慢替代了现实人格，人甚至成为数据的表征，人们之间的交往总是依赖于数据的展现，而不是真正地去接触和感受。我们没有机会选择如何向他人展现自我，数据已经塑造了一个翔实且可被论证的自己，因此有人发出了百度、谷歌可能比我们自己还要了解我们的感叹。有学者称这严重影响了人的本质属性，使我们丧失了人的主体地位，是一种技术异化。而个人数据保护的初衷正是来解决这一新问题的。

2.数据隐私保护理论的发展

数据隐私保护理论是在科技的不断进步给传统隐私保护理论带来挑战的过程中产生的。同样地，每一次科技领域的重大突破也伴随着数据隐私保护理论的重大变迁。20世纪70年代电脑和网络的兴起，不仅极大地改变了人们的生活方式，同时使大幅度增长的数据收集和处理行为给人们的隐私带来了新的威胁。英国在当时的一份白皮书中就指出了这种威胁的可能性：电脑能够运作庞大的信息记录系统，虽能够有助于保存各类资料，但是也能够在不同地点供不同的人快速便捷地获取信息。为了应对此种威胁，人们提出“数据最小化原则”以限制数据控制者对个人数据的收集和使用。“数据最小化原则”的核心是约束数据收集方只能收集与数据处理目的直接相关且必要的个人数据，并且对该数据的保存以数据收集目的的实现为准，也就是说除为了实现数据收集的目的外，收集方不得保留该数据。“数据最小化原则”还被写入了《95年数据指令》第6.1条（b）（c）款和2001年欧共体《关于与欧共体和组织的个人数据处理相关的个人保护以及关于此种数据自由流动的规章》第4.1条（b）（c）款，法条中规定个人数据的收集必须是具体的、明确的、合法的，并且依据收集和进一步处理的目的是必要的、适当和不过分的。[6]

21世纪后，网络社会进入了Web2.0时代，社交网络和搜索引擎的发展和普及改变了人们的隐私观念，人们开始愿意在网络平台上主动分享自己的信息。主动公开信息成为一种常态化的现象，并逐渐成为人际交往的重要方式。与此同时，人们对数据隐私的担忧也逐渐加深，有人把互联网戏称为“永不疲惫的第三只眼”。在这一网络时代，除了出现技术监控问题外，个人对数据的失控也引发了人们的关注。人们不了解自己在网络上发布的信息会用在何处，有时甚至不知道自己的数据会被收集。为了减少人们的数据失控局面，平衡网络用户和互联网公司的信息不对称性和数据控制力量的悬殊，“数据控制原则”应运而生以弥补“数据最小化原则”的不足。“数据控制原则”在欧盟等国家的立法实践主要表现为对数据收集方的以下几个要求：第一是告知规则，数据收集方必须告知用户数据收集和使用的目的、范围；第二是选择规则，数据收集方必须允许用户选择是否同意该数据用于除初始目的以外的其他的目的；第三是修正和删除规则，数据收集方应当允许用户对个人数据进行修正，以及在必要时候予以删除；第四是安全规则，即数据收集方在收集和使用用户的个人数据时必须保证数据的安全性。这些规则在实践中一定程度上加强了用户对数据的控制权，提高了个人数据保护的力度。

大数据时代的来临，造就了前所未有的数据挖掘和数据利用，这一时代与以往收集数据明显不同的是，数据收集者改变了数据收集的模式，不再仅依据事先制定的收集目的来收集和储存数据，而是将所有的网络痕迹全部收入囊中，并依靠全网传输分享、智能分类等方式进行存储。这种“收集先于目的”的收集方式所带来的结果是：一来网络数据存储量呈直线增长，二来网络用户对数据的控制权比以往任何时候都要趋于弱势，因为人们根本无法猜想到何时自己的信息被收集，又在何地被使用，更别谈控制数据的流向了。对于数据的掌控者来说，他们不仅可以多次利用人们的个人数据，而且能够通过所掌握的数据预测更多有关个人的隐私，例如，通过搜索记录和消费记录预测消费倾向，从而推送类似的购物广告等。很多学者提出我们正身处大数据时代的数字化“敞视式监狱”之中，互联网、移动终端等无时无刻不再监视着我们的一举一动，并以永久保存的机制记录着我们的所有行为。由此数据隐私保护理论迎来了又一次的变迁，即“语境保全原则”。这一原则强调数据不可跨语境运用数据，即数据不能从一种语境中转移到另外一种语境中去。大数据时代由于存储数据变得十分容易和价格低廉，一些过时的、与数据主体的现实情况不符的数据仍然充斥在网络之中，并不时地被用来作为评价数据主体的依据。事实上，这种因为时间的流逝而脱离语境、失真过时的数据在除了为统计、历史记载等公共利益必须保留以外，并无存在的必要，因此，清除过时的数据不仅能够预防其对数据主体造成的伤害，而且能够有效促进数据更新，更真实地反映数据主体当下的情况。