大数据背景下个人信息保护的利益衡量

何静 西北政法大学

【摘要】随着网络技术的飞速发展，人类社会已进入大数据时代。大数据技术的广泛应用，促使各国经济文化交流日益密切，给各国人民生活带来极大便利，实现资源共享，获得更多的收益，但在此背景之下也产生了一定的负面影响，令公民个人信息泄露的风险剧增，不利于公民个人信息的保护。因此，在广泛应用大数据之际，针对公民个人信息的保护层面则明显提出了更高的要求。公民个人信息具有两方面属性，即具有人格属性与财产属性，也正是由于其所具备的双重属性决定了在涉及公民个人信息问题层面上，存在着个人信息保护与流通两大相互冲突的利益。然而，该如何协调这两大利益，引人深思，当前亟须引入利益衡量机制，并在利益衡量时考虑一些基本的原则。

【关键词】大数据；个人信息；法律保护；利益衡量

就人类而言，对于隐私的制度保护既是捍卫人的尊严的重要条件，同时也是实现人的全面发展的必要条件。在经历“二战”的惨痛教训之后，人类社会将人的尊严和私生活免受外界非正当干涉的权利确立为全人类必须珍视和捍卫的价值。1948年联合国通过了《世界人权宣言》，在该宣言的第十二条就明文规定：“任何人的私生活、家庭、住宅和通信不得任意干涉，他的荣誉和名誉不得加以攻击。人人有权享受法律保护，以免受这种干涉或攻击。”

当人类迈入大数据时代后，我们明显感受到，在享受信息便捷性带来的巨大收益的同时，就个人的私生活而言，尤其是我们的个人信息安全受到了前所未有的威胁和挑战。一方面，大数据基于海量、多样化的数据集合，通过云计算的数据处理与应用模式，以快速获取、处理、分析等手段形成了智力资源和知识服务的能力。[1]大数据因其所独有的“4V”性——海量性（Volume）、时效性（Velocity）、多变性（Variety）和可疑性（Veracity），从而决定大数据能够迅速记录、处理并建立大数据样本，并挖掘和拓展数据集成的相关个人信息，实现一切事物的数据化。谷歌、百度、阿里巴巴、腾讯等各大平台借助实时记录日常的业务流、顾客流等数据形成大数据分析源，借助云计算技术精准处理所收集的数据信息，实现及时准确投放市场定位正确的产品与服务，改变了先前的社会交往形式和商业运行方式。[2]微博、微信、QQ、Facebook、Twitter等社交网络平台实现由最初兴起到日益广泛普及，社会公众对此充满热情，积极参与到信息的发布与传递过程之中。大数据技术在为我们享受生活提供更多便利、令我们获得更多有益信息的同时也进一步加剧了个人信息泄露的风险。大数据时代，实现人肉搜索只是分分钟的事，公民个人信息被不法分子擅自暴露，进而被不良商家大肆利用，攫取个人利益。

个人信息于法律层面的保护是世界上诸多国家、地区乃至国际组织信息化立法不可或缺的内容之一，根据“隐私国际”（Privacy International）提供的《2004年度国家报告》可知，目前全世界已有多达50个国家、地区以及国际组织针对个人信息保护确立了个人信息保护制度。当前，国家层面之所以针对个人信息予以保护，究其原因，不难发现是由于数据化时代，各方利益追逐者在利益的驱使下尽可能借助各种信息化手段将所收集的各种个人信息进行整合，从而进行各种分析比对，描绘出本人的整体形象，帮助他人窥探本人不愿为他人所知的个人隐私，与此同时，本人也有可能会因他人掌握自己的各种个人信息而受其操控，基于各种困境做出错误决定。

法律是一种最为严格的调整、规范人们行为的基本手段。而如何利用、更为充分地激发其在信息化、大数据时代发挥不可替代的作用，如何更为合理公正地展开立法活动，从而避免公民个人信息被不良商家非法滥用，实现公民信息合法安全流通，是世界各国共同面临的问题。在我国，社会主义法治理念强调建设法治国家必须坚持立法先行，发挥立法的引领和推动作用，坚持依法治国、依法执政，坚持科学立法、严格司法，实现公正司法、全民守法，促进国家治理体系和治理能力的现代化。在全面依法治国作为国家战略的大背景之下，法律该如何在大数据时代和智能社会建设中发挥应有的规范和指引功能，是一个值得认真深思对待的问题。换言之，如何实现通过法律来平衡大数据战略发展与个人信息安全之间的紧张关系，从而协调智能社会建设与公民隐私权保护，消除信息流通和信息保护之间的内在矛盾，是世界各国共同面临的问题。个人信息保护法是能够实现关于个人信息保护与个人信息合理流通相互协调的法律，但如何协调信息保护与信息流通两大相互冲突的利益因素就需要进行利益衡量，也是本文着重探讨的问题。

一、兼具人格属性与财产属性的个人信息

个人信息的法律保护是近年来世界上许多国家、地区乃至国际组织信息化立法的重要组成部分。作为一个新兴法律概念，“个人信息”最初源自1968年联合国国际人权会议提出的“资料保护”（Data Protection）。1970年和1973年，德国黑森州和瑞典分别创制通过了《个人资料保护法》和《资料法》，为个人信息保护提供法律依据。但是正由于个人信息属于一个新兴法律概念，各国学界和立法例对于个人信息的认知尚未达成共识，遂缺乏一种统一的称谓。就法律名称的使用而言，各国或地区的立法例主要呈现三种形式：“个人数据”（或个人资料）、“个人信息”与“隐私”。其中，使用“个人数据”概念的国家或地区最多，主要是欧盟、欧盟成员国及其他受1995年《个人数据保护指令》影响而立法的大多数国家。在普通法国家（英国作为欧盟成员国除外），如美国、澳大利亚、新西兰、加拿大等，以及受美国影响较大的亚太经济合作组织（APEC），则大多使用“隐私”这一概念。在日本、韩国、俄罗斯等国，则使用“个人信息”概念。[3]

正如前文所述，各国学界和立法对于个人信息的认知尚未达成共识。关于个人信息的内涵和外延，理论界存有不同的主张，最具代表性的有三种：第一种是个人信息关联型定义。所谓个人信息，包括人的内心、身份、地位及其他有关个人一切事件、评价等在内的信息，亦言之，有关个人之信息并不局限于与个人人格或私生活有关，个人的社交文化活动，及其他与个人有关联的信息，均包含在内。第二种是隐私型定义，即“个人信息系是社会中多数所不愿对外透露者（除对家人朋友之外）；或个人极敏感而不愿为他人知悉（如多数人不在意他人知道自己的身高，但有人则对其身高极其敏感，不欲为外人知道）”。[4]第三种是美国、德国两国选择的识别型定义。即信息与信息本人存在某一客观确定的可能性，换言之，是通过信息能将信息本人“认出来”。识别的形态既包括凭借姓名、身份证号码、驾驶执照等信息载体而得以实现的直接识别，也包括间接识别，即通过建立与其他信息之间的联系来识别个人的信息，如爱好、学历、经历、职业等。

正是个人信息所具备的可直接识别的特性，使个人信息承载表现为主体的人格利益。个人信息主体的唯一性主要取决于信息主体的自然人属性，并且其有助于个人信息充分发挥主体识别的功能。自然人作为个人信息主体，理应享有独立的人格权所应享有的权利和履行的义务；通常情况下，个人信息不能转让和继承，但其人格利益只能由个人信息主体独占。在市场需求与利润追逐的刺激之下，商业机构纷纷投身于个人信息人格要素财产价值的开发中，极大推动个人信息人格要素的商品化利用，该趋势日益显著。倘若构成人格利益的人格要素一旦具备财产权属性，则经济利益是其于商业化具体应用中的显著表现。正如国内学者指出的那样，“个人数据的价值不仅仅体现在商业方面，其还具备着公共管理价值”。 [5]

个人信息既有人格利益，亦有财产利益，个人信息的可识别性决定人格属性作为个人信息的本质属性，而财产属性则是以商品经济的发展为基础作为个人信息的第二属性，在权利保护方面应被区别对待。“当个人信息主要体现主体人格利益时，应该保护其人格权，如当下因医疗资源紧张应运而生的‘网上挂号’或‘网上问诊’，因而产生的个人信息或活动痕迹主要体现的就是人格利益”；[6]当个人信息主要反映主体财产利益时，其财产权应被保护，如荷兰某学生以350欧元出售自己的“数据灵魂”——他的住址、医疗记录、个人日程安排、电子邮件内容和所有社交网络上交流的信息，此时个人信息在权利主体的允许范围内使用并创造出经济价值，体现的是财产利益。[7]

自2004年起，我国基于大数据和智能社会建设理念，已经开始实施人口基础信息共享战略，对政府收集和掌握的人口信息资源进行整理，形成了以公安部门的人口信息为基础，融合计划生育、统计、民政、社会保障、税务、教育等部门的信息资源的数据整合。而各种社交网络平台日益融合创新发展并融入人们的生活，显然已成为人们日常生活中不可或缺的工具，个人信息的发布与传递成几何倍数增长。在这些个人信息数据库中，信息管理者对于个人信息分类是基于个人信息的特点予以具体划分，并分别以不同的方式予以存储，从而汇集形成综合的个人信息数据库。而通过对这些网络平台数据库进行比对分析，即可产生巨大的现实或潜在的利益。毫无疑问，个人信息中所包含的某些资料因具有商业价值，从而被商家挖掘并加以利用，或者个人信息主体授予信息控制人使用。然而个人信息中包含的人格利益，却会因为被过度利用而导致现实或潜在的侵害。因而，凡此种种，法律应对其有严格的界定、规制和平衡。

二、个人信息法律保护的立法模式

个人信息保护立法就是关于个人信息保护与个人信息合理流通相互协调的法律。但具体到各国，结合各自的国情而言又有各自的立法保护倾向。综观世界各国，当前主要有两种模式，即欧盟模式与美国模式。

欧盟于1995年颁布《个人数据保护指令》，于2002年颁布《欧盟隐私和电子通讯指令》，于2006年颁布《欧盟数据留存指令》。2016年4月14日，欧盟议会通过了于2018年5月25日在欧盟成员国内正式生效实施的《通用数据保护条例》（General Data Protection Regulations，以下简称GDPR），其适用范围极为广泛，任何收集、传输、保留或处理涉及欧盟所有成员国内的个人信息的机构组织均受约束。GDPR被认为是数字时代“去除障碍，释放机遇”的重大举措，其在欧盟1995年《个人数据保护指令》的基础上扩大了数据主体的权利，进一步强化了数据控制者应履行的义务，设置了数据保护官（DPO）、数据保护影响评估（DPIA）等机制，实施数据处理者严格问责机制，并就数据传输制定了更加完善的规则。GDPR的生效标志着全球数据管理新纪元的开启，此条例曾一度引发全球广泛关注。欧盟一直以来十分重视对公民个人信息安全的保护，GDPR被冠以“史上最严格的数据保护法案”，因其对公民个人信息的保护和监管规定了较高的保护程度和保护标准。如信息“控制者”和“处理者”的概念是依据欧盟及其成员国内部的法律来进行认定；GDPR的适用地域范围广泛，并不局限于欧盟内部成员国，只要是针对欧盟内的主体进行数据收集整理或监控，GDPR即可适用。欧盟模式是一种由国家主导的立法，制定统一的个人信息保护法，同时严格规范公共部门与非公共部门对个人信息的使用，正是基于此种模式对于个人信息的全面统一保护，因而被称为“权利保护论”。

1971年，美国颁布《公平信用报告法》，并于1997年对其进行修订，1974年出台《联邦隐私权法》等一系列相关法案。在大数据时代的个人信息保护存在一大难点，即倘若充分分析数据种类和数据量，那么任何信息都可被认定为与特定个人存在相关性的信息，在大数据的时代背景下难以清晰界定个人信息和非个人信息。美国联邦贸易委员会意识到个人信息保护中的个人信息认定面临的困境，于是在2012年发布《在一个充满快速变化的时代，保护消费者隐私——2012年关于隐私权的建议》（以下简称《建议》）。正是基于当时的网络环境状况和数据分析能力，《建议》中将消费者关联的设备和使用的电脑、手机等设备也纳入消费者个人信息保护的范围。此外，联邦贸易委员会还提出通过匿名化处理、统计抽样、合成数据，或干扰数据等方式合理解决个人信息脱敏问题。同年白宫发布《消费者隐私权利法案》，明确指出用户为数据所有权的享有者。奥巴马政府于2014年5月发布“大数据”白皮书，重申借用“美国隐私法案与国际隐私法框架”以表述“大数据对隐私法的启示”。综观欧美的个人信息保护立法，不难发现包括信息决定权、信息知悉权、信息更正权、信息删除权、获得救济权在内的几项权利是由法律赋予信息主体所享有。固然，欧盟模式更有利于实现对个人信息的充分保护，但其也存在一些弊端：阻碍个人信息的合理流通，严重阻碍经济发展；相反，美国模式则充分保障实现信息的合理流通，而面对侵害个人信息的企业则束手无策。当时的管理规范和技术已不能保护隐私。联合国大会于2013年12月通过了一项旨在保护网络用户隐私权的决议。

中国政府对于信息数据的合规问题一直保持高度关注。《中华人民共和国侵权责任法》于2010年生效，同年颁布了《最高人民法院关于审理旅游纠纷案件适用法律若干问题的规定》，在该规定中首次提出有关“个人信息”的概念。[8]2012年12月28日，第十一届全国人民代表大会常务委员会第三十次会议通过了《全国人民代表大会常务委员会关于加强网络信息保护的决定》，该决定正式将“能够识别公民个人身份和涉及公民个人隐私的电子信息”纳入保护范围。[9]在大数据安全方面，2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议审议通过了于2017年6月1日起施行的《中华人民共和国网络安全法》，该法的出台首次从立法层面对个人信息进行了界定，针对网络服务提供者在内的网络运营者提出了一系列保护“网络运行安全”方面的要求和义务。2018年5月1日开始实施的《信息安全技术个人信息安全规范》，从国家层面出发，以更高的标准强调了对个人信息的保护，对于企业收集、使用、分享个人信息的过程提出了更为具体的合规要求，为企业在制定隐私政策与个人信息管理规范层面做出正确的方向引导。大数据环境下，个人信息只要存在，就能远超网络服务提供者所能掌控的范围。据学者统计，我国目前与个人信息保护相关的法律已有40多部，法规30多部以及近200部规章。立法成果颇为丰富。

三、大数据时代个人信息法律保护中的利益衡量机制

法律在调节、调和与调解各种纷繁错杂的利益冲突中扮演着重要角色，起到不可或缺的作用，在此过程中，最终会以少量的牺牲而实现大部分利益主体获得满足感。从发达国家的现实情况看，大数据时代的信息利用和个人隐私保护一直处于博弈状态，就中国现状而言，正处于商家和权力机构强势非法获取个人信息并对其加以利用的阶段。在个人信息保护的立法中，需首要解决的是如何寻求个人信息保护与信息合理流通之间的平衡问题，从而最终实现大数据的合理应用与个人隐私有效保护的双赢结局。在此过程中就涉及了利益衡量机制的引入。

（1）利益衡量机制的必然性。利益衡量，顾名思义，即不同利益主体之间对于利益的判断和取舍。利益衡量机制即在一个法律关系中涉及数个不同主体之间的利益，并且数个利益主体之间面对冲突时对于利益进行分析比较，从而确定利益保护的顺序，及何种利益能够实现对于大多数人的利益或者社会利益保护的价值判断过程。引用利益衡量机制的必然性主要有三点：①受到当前社会资源的限制及由此而引发的利益冲突的影响。当前，我们正面临资源日趋紧缺的局面，与此同时，人们对于物质层面与精神层面的需求有了更高的要求，然而，不同主体之间必然会产生各种冲突，当其于权利中得以呈现即为权利主体对于个人所享有权利的认知，并为实现各自利益而竭尽全力。因此，利益主体之间的利益相互追逐是一种不可调和的矛盾。②法律用语强调规范、准确，但却因构成要素词句本身的多义性，导致法律解释的多元化，难以界定何种解释更合乎立法者的本意，何种价值判断能更好地作为主流而合理正确引导社会发展。③司法作为解决纠纷、实现社会稳定的强有力手段。在司法活动的开展过程中必然会涉及利益衡量问题，法院作为中立者，需以公共政策为依据，客观衡量并实现不同主体之间的利益确认与分配。

（2）个人信息法律保护中的利益衡量机制。大数据不仅能够解决人们生活和发展中的许多问题，而且对于未来社会的发展而言，将是一种不可或缺的基石，起到动力源泉的作用，但并不因此而意味着个人信息就不需要保护。在大数据时代，个人信息作为重要的战略性资源，更需要得到保护，充分发挥信息时代的技术最大化实现个体的受益，从而真正实现社会的公平和公正。在充分保障个人信息安全的前提下，如何实现促进信息的合理流通、利用，是平衡个人利益与公共利益不可避免的问题。

笔者认为，就个人信息的保护与流通层面，应着重考虑以下原则。

（1）合法公正原则。对于个人信息的获取、处理、使用必须征得个人信息主体的许可，并以合法公正的方式获取。在中国，发生网络公民个人电子信息侵权事件极其普遍，究其原因，可归结于网络自身及公民个人忽视对其信息的保护。往往有消费者在购买商品时，为获得一些所谓优惠政策，而于电商网站泄露个人信息，从而为无良电商收集大量信息提供便捷。一些APP软件或网站的正常使用，常常以消费者接受其设置的格式化条款为前提，一旦消费者拒绝接受，也就意味着不能获得相关服务，在某种程度上是一种对消费者同意权的剥夺。所以，在收集个人信息过程中，应明确出示收集依据，收集的行为和手段均要以合法为先决条件，必要时需获得个人信息主体享有者的书面同意。倘若个人电子信息涉及个人隐私或敏感信息则应有更严格的要求。(www.xing528.com)

（2）目的明确原则。2018年5月1日开始实施的《信息安全技术个人信息安全规范》中具体指出，对于公民个人电子信息的收集、使用，应当遵循制定的合法目的，对于收集和使用规则也应事先公开，充分保障公民的知情权，并对相关企业和组织提出了更为具体的要求。因此，针对所要收集的个人信息应当有一个极为明确的目的，对其的使用或处理也是围绕收集的目的展开。

（3）权利保护原则。当前我国的法律法规对于个人参与原则尚未明确规定，但是《信息安全技术个人信息安全规范》可看作公民享有信息控制权的前身，从而获得某种程度上的保护。如消费者享有拒绝接收垃圾短信的权利，倘若解决该问题，在某种程度上也是从源头解决了个人信息贩卖问题。倘若公民发现其个人信息被泄露，或者遭受商业电子信息的侵扰时，公民有权要求网络服务提供者删除有关信息或者采取其他必要措施予以制止。在数据化时代，针对个人信息的保护或者隐私权的保护，不能仅仅依靠惩处侵权行为，而更多的是依靠个人积极维护自身信息免受侵害。对于任何组织或个人凭借非法方式获取、出售公民个人信息及其他违法行为，公民个人或其他组织都有权向主管部门举报、控告；接到举报、控告的相关部门都有义务及时处理。

（4）安全保障原则。该原则是对网络服务提供者、企事业单位在参与业务活动的过程对于公民个人电子信息安全的保障，应当采取如电子加密、加强日常监督管理、电子信息授权访问制度等措施，实现在参与的业务领域避免公民个人信息的泄露或丢失现象的产生，维护整个网络环境安全。

（5）责任原则。对于违法侵犯公民个人信息的行为，可依法给予警告、罚款、没收违法所得、吊销许可证或者取消备案、关闭涉案网站、禁止有关责任人员从事网络服务业务并将不良电商记入社会信用档案同时予以公布等处罚；构成违反治安管理行为的，依法给予治安管理处罚；构成犯罪的，依法追究刑事责任；侵害他人民事权益的，依法承担民事责任。

小结

挑战历来与机遇并存。在大数据时代，个人信息安全受到前所未有的挑战，大数据产业将进入快速发展的黄金时期，大数据合规问题已经箭在弦上。各国为应对该问题，都出台了以《个人信息保护法》为基本法的一系列法律法规；同时设立专门的信息保护机构，加大对泄露、非法利用个人信息的行政和刑事处罚力度。我国政府对于个人信息安全给予了高度重视。个人信息安全与国家安全是紧密相连的，是国家信息安全的重要组成部分，通过大数据工具对海量个人信息进行分析、整合，可以得出几乎一个国家的经济和社会数据。因而，亟须实现大数据时代背景之下个人隐私与信息安全保护，加强个人信息保护趋势对企业进行经济活动提出的更高要求。企业应自觉遵守规范，主动承担其社会责任，对收集、使用、分享个人信息及时进行合规审查，提高自身数据安全能力，充分尊重和保护个人隐私和信息安全，共同致力于营造良好的网络安全环境，更好地维护国家安全。?

参考文献

［1］王学辉，赵昕.隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点［J］.河北法学，2015，33（05）：63-71.

［2］陈奇伟，刘倩阳.大数据时代的个人信息权及其法律保护［J］.江西社会科学，2017，37（09）：187-194.

［3］周汉华.域外个人信息保护立法概况及主要立法模式［N］.中国经济时报，2005-01-13.

［4］陈起行.资讯隐私权法理探讨——以美国法为中心［J］.政大法学评论，2000，（64）：297 -341.

［5］龙卫球，林桓民.我国网络安全立法的基本思路和制度建构［J］.南昌大学学报（人文社会科学版），2016，47（02）：45-55.

［6］陈奇伟，刘伊纳.数字遗产分类定性与继承研究［J］.南昌大学学报（人文社会科学版），2015，46（05）：78-84.

［7］煎蛋网.荷兰学生350欧元出售个人信息［EB/OL］.（2014-04-22）.https://www.chinaz.com/news/2014/0422/348624.shtml?jtss=tqq.

[1]王学辉，赵昕. 隐私权之公私法整合保护探索——以“大数据时代”个人信息隐私为分析视点［J］. 河北法学，2015，33（05）：63-71.

[2]陈奇伟，刘倩阳. 大数据时代的个人信息权及其法律保护［J］. 江西社会科学，2017，37（09）：187-194.

[3]周汉华. 域外个人信息保护立法概况及主要立法模式［N］. 中国经济时报，2005-01-13.

[4]陈起行. 资讯隐私权法理探讨——以美国法为中心［J］. 政大法学评论，2000（64）：297-341.

[5]龙卫球，林桓民. 我国网络安全立法的基本思路和制度建构［J］. 南昌大学学报（人文社会科学版），2016，47（02）：45-55.

[6]陈奇伟，刘伊纳. 数字遗产分类定性与继承研究［J］. 南昌大学学报（人文社会科学版），2015，46（05）：78-84.

[7]煎蛋网. 荷兰学生350 欧元出售个人信息［EB/OL］.（2014-04-22）.https://www.chinaz.com/news/2014/0422/348624.shtml?jtss=tqq.

[8]司法解释第九条规定“旅游经营者、旅游辅助服务者泄露旅游者个人信息或者未经旅游者同意公开其个人信息，旅游者请求其承担相应责任的，人民法院应予支持”。

[9]“国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息，不得出售或者非法向他人提供公民个人电子信息。”