■陳奇?zhèn)?劉倩陽(yáng)

大數(shù)據(jù)時(shí)代的個(gè)人信息權(quán)及其法律保護(hù)

■陳奇?zhèn)?劉倩陽(yáng)

互聯(lián)網(wǎng)時(shí)代每個(gè)人都能參與信息的發(fā)布與傳遞，云計(jì)算和社會(huì)化媒體等技術(shù)促進(jìn)數(shù)據(jù)融通與共享，有必要完善相關(guān)法律規(guī)定來(lái)保護(hù)個(gè)人信息權(quán)。個(gè)人信息權(quán)與在其基礎(chǔ)上產(chǎn)生的財(cái)產(chǎn)權(quán)不同，人格屬性仍然是其本質(zhì)特征。我國(guó)個(gè)人信息保護(hù)宜采用“基本法+特殊法”的立法保護(hù)機(jī)制，在立法上應(yīng)當(dāng)確立個(gè)人信息權(quán)及其權(quán)利與義務(wù)的內(nèi)容；明確個(gè)人信息的保護(hù)范圍及其界定標(biāo)準(zhǔn)，針對(duì)不同類(lèi)型個(gè)人信息進(jìn)行分層保護(hù)；采取有效救濟(jì)措施，切實(shí)保障個(gè)人信息權(quán)；建立行業(yè)自律機(jī)制，完善配套制度。

大數(shù)據(jù)；個(gè)人信息；個(gè)人信息權(quán)；法律保護(hù)；人格權(quán)

數(shù)據(jù)是對(duì)客觀世界的測(cè)量和記錄，是真實(shí)的背書(shū)?！按髷?shù)據(jù)是指那些大小已經(jīng)超出了傳統(tǒng)意義上的尺度，一般的軟件工具難以捕捉、存儲(chǔ)、管理和分析的數(shù)據(jù)。”［1］（P1-6）與用于測(cè)量的傳統(tǒng)數(shù)據(jù)不同，“大數(shù)據(jù)”側(cè)重于記錄、處理與建立大數(shù)據(jù)樣本，并挖掘數(shù)據(jù)集成的相關(guān)個(gè)人信息，其最顯著的特征在于一切事物都可數(shù)據(jù)化。BAT（百度、阿里巴巴、騰訊）平臺(tái)就是依靠實(shí)時(shí)記錄日常的業(yè)務(wù)流、顧客流等數(shù)據(jù)形成大數(shù)據(jù)分析源，通過(guò)云計(jì)算技術(shù)精準(zhǔn)處理數(shù)據(jù)信息，及時(shí)準(zhǔn)確投放市場(chǎng)定位正確的產(chǎn)品與服務(wù)，才成為了互聯(lián)網(wǎng)市場(chǎng)中的“巨無(wú)霸”。集數(shù)據(jù)來(lái)源型主體①與數(shù)據(jù)分析型主體②功能于一體的第三方經(jīng)營(yíng)主體是大數(shù)據(jù)時(shí)代的主體發(fā)展趨勢(shì)。

大數(shù)據(jù)時(shí)代個(gè)人信息的采集與記錄變得碎片化，覆蓋全面、實(shí)時(shí)動(dòng)態(tài)、成本低廉。搜索引擎實(shí)時(shí)記錄瀏覽痕跡，殺毒軟件掃描分類(lèi)硬盤(pán)信息，智能穿戴偵測(cè)用戶身體指標(biāo)，購(gòu)物平臺(tái)窺探個(gè)人購(gòu)物習(xí)慣，“監(jiān)視”已不再是屬于政府權(quán)力機(jī)關(guān)和通訊運(yùn)營(yíng)商的“專(zhuān)利”。微博、微信、QQ、Facebook、Twitter等社交網(wǎng)絡(luò)平臺(tái)逐漸普及，社會(huì)群體參與信息的發(fā)布與傳遞，社會(huì)化媒體成為網(wǎng)絡(luò)謠言和人肉搜索的溫床，垃圾短信、詐騙電話、推銷(xiāo)郵件大行其道，網(wǎng)絡(luò)犯罪屢見(jiàn)不鮮。通過(guò)簡(jiǎn)單的搜索就可輕易獲得某一特定對(duì)象的基本信息，甚至社交關(guān)系與日常生活。毫無(wú)疑問(wèn)，大數(shù)據(jù)技術(shù)促進(jìn)信息融通與共享的同時(shí)，也嚴(yán)重威脅個(gè)人信息的安全。除此之外，棱鏡門(mén)事件也告訴我們“一些國(guó)家還經(jīng)常以‘國(guó)家安全’為由，通過(guò)‘立法’等合法途徑對(duì)個(gè)人數(shù)據(jù)信息進(jìn)行隨時(shí)監(jiān)控和檢視”［2］，個(gè)人信息在毫不知情的情況下就悄無(wú)聲息地被權(quán)力機(jī)關(guān)所掌握。囿于篇幅的限制，本文對(duì)個(gè)人信息權(quán)法律保護(hù)問(wèn)題的討論僅限于網(wǎng)絡(luò)空間范圍之內(nèi)。

一、個(gè)人信息的概念與屬性

（一）個(gè)人信息的概念

世界上許多國(guó)家對(duì)個(gè)人信息都作出了不同的法律界定，其中1995年歐盟頒布的《歐盟數(shù)據(jù)保護(hù)指令》因其界定能夠精練地概括個(gè)人信息的主要特征而最具有代表性，它將個(gè)人信息定義為：“有關(guān)一個(gè)被識(shí)別或可識(shí)別的自然人的任何信息?？梢宰R(shí)別的自然人是指通過(guò)身份證號(hào)碼或身體、生理、精神、經(jīng)濟(jì)、文化、社會(huì)身份等一個(gè)或多個(gè)因素可直接或間接確定的特定的自然人。”筆者贊同此“識(shí)別說(shuō)”的定義。在此思路下我國(guó)學(xué)者認(rèn)為個(gè)人信息是指：“特定個(gè)人所具有的，或者與個(gè)人相關(guān)的所有可識(shí)別的信息，即如果公開(kāi)這些信息，與個(gè)人有關(guān)或無(wú)關(guān)的其他自然人，可以根據(jù)信息直接或間接鎖定于特定的個(gè)人，并根據(jù)自己的需要加以利用?！保?］個(gè)人信息通常包括姓名、肖像、年齡、民族、受教育程度、通訊地址、身份證號(hào)碼、手機(jī)號(hào)碼、工作經(jīng)歷、身體健康狀況、婚姻狀況、網(wǎng)絡(luò)記錄等。

基于概念周延和范圍界定的困難，筆者結(jié)合網(wǎng)絡(luò)的本質(zhì)屬性與信息共享的價(jià)值特征，以信息產(chǎn)生源和屬性為標(biāo)準(zhǔn)，將個(gè)人信息分為三類(lèi)。一是能夠直接反映個(gè)人的自然情況和日常生活等情況的個(gè)人數(shù)據(jù)資料，即現(xiàn)實(shí)社會(huì)中個(gè)人信息在網(wǎng)絡(luò)世界以代碼語(yǔ)言的直接表現(xiàn)，通常包含姓名、肖像、年齡、民族、通訊地址、身份證號(hào)碼、受教育程度、工作經(jīng)歷、身體健康狀況、婚姻狀況等具有自然屬性和現(xiàn)實(shí)社會(huì)屬性的原生數(shù)據(jù)資料；二是自然人以實(shí)名或匿名的身份所進(jìn)行的網(wǎng)絡(luò)行為而產(chǎn)生的活動(dòng)軌跡與信息痕跡等數(shù)據(jù)資料，如網(wǎng)頁(yè)瀏覽記錄、網(wǎng)上購(gòu)物記錄、社交網(wǎng)站聊天記錄等具有網(wǎng)絡(luò)社會(huì)屬性的原生數(shù)據(jù)資料；三是網(wǎng)絡(luò)服務(wù)商通過(guò)對(duì)前兩類(lèi)個(gè)人信息數(shù)據(jù)資料的收集與挖掘，處理與分析而得到的個(gè)人信息資料，如相關(guān)個(gè)人的瀏覽習(xí)慣、消費(fèi)習(xí)慣、購(gòu)物偏好等再生數(shù)據(jù)資料。

此外，還可以“與個(gè)人關(guān)聯(lián)的程度”為標(biāo)準(zhǔn)，將個(gè)人信息分為緊密層和一般層：緊密層的個(gè)人信息范圍與隱私基本重合，例如個(gè)人病歷、婚姻生活、犯罪前科等與個(gè)人核心隱私相關(guān)的個(gè)人信息；一般層的個(gè)人信息是除緊密層以外的其他的個(gè)人信息，例如姓名、年齡、民族、身份證號(hào)碼、通訊地址、消費(fèi)水平、網(wǎng)購(gòu)習(xí)慣、信用等級(jí)等。

（二）個(gè)人信息的人格屬性與財(cái)產(chǎn)屬性之甄別

個(gè)人信息憑借其“未來(lái)石油”的地位和巨大的利潤(rùn)創(chuàng)造潛力，使眾多利潤(rùn)追求者趨之若鶩。個(gè)人信息演變?yōu)榭晒┙粨Q與買(mǎi)賣(mài)的商品的原因，值得進(jìn)一步研究。是否可以交易個(gè)人信息意味著個(gè)人信息的人格性將被財(cái)產(chǎn)性取代抑或是人格性與財(cái)產(chǎn)性并存。

個(gè)人信息直接體現(xiàn)主體一般人格利益，具有可識(shí)別的特質(zhì)。即信息主體的自然人屬性決定了個(gè)人信息主體的唯一性，使得個(gè)人信息能夠發(fā)揮出主體識(shí)別的功能。自然人作為個(gè)人信息主體，應(yīng)當(dāng)享有獨(dú)立的人格權(quán)所必需的權(quán)利和義務(wù)；通常情況下，個(gè)人信息是不能轉(zhuǎn)讓和繼承的，其人格利益也只能由個(gè)人信息主體獨(dú)自享有。在市場(chǎng)需求與追逐利潤(rùn)的驅(qū)使下，商業(yè)機(jī)構(gòu)紛紛投入到個(gè)人信息人格要素財(cái)產(chǎn)價(jià)值的開(kāi)發(fā)中，推動(dòng)個(gè)人信息人格要素的商品化利用，并且該趨勢(shì)日益顯著。構(gòu)成人格利益的人格要素一旦具有財(cái)產(chǎn)權(quán)屬性，在商業(yè)化使用中就表現(xiàn)為經(jīng)濟(jì)利益?！皞€(gè)人數(shù)據(jù)的價(jià)值不僅僅體現(xiàn)在商業(yè)方面，其還具備著公共管理價(jià)值。”［4］如自然人的姓名是不可轉(zhuǎn)讓的，但當(dāng)姓名應(yīng)用于經(jīng)濟(jì)活動(dòng)中通過(guò)許可使用時(shí)就具有了價(jià)值，可以轉(zhuǎn)讓或繼承。需要注意的是，人格要素的商品化轉(zhuǎn)讓?zhuān)烁窭嬷黧w并沒(méi)有變更，人格利益仍然由個(gè)人信息主體獨(dú)自享有，只是在主體授權(quán)許可的范圍內(nèi)發(fā)生人格要素使用權(quán)的轉(zhuǎn)讓。

在個(gè)人信息基礎(chǔ)上形成的數(shù)據(jù)庫(kù)屬于知識(shí)產(chǎn)權(quán)立法調(diào)整的范疇，不應(yīng)與個(gè)人信息本身所具有的人格屬性混為一談。“2004年起，我國(guó)著手推動(dòng)人口基礎(chǔ)信息共享工作，整合政府部門(mén)的人口信息資源，以公安部門(mén)的人口信息為基礎(chǔ)，逐步融合計(jì)劃生育、統(tǒng)計(jì)、民政、社會(huì)保障、稅務(wù)、教育等部門(mén)的信息資源?！保?］在這類(lèi)個(gè)人信息數(shù)據(jù)庫(kù)中，信息管理者根據(jù)個(gè)人信息的特點(diǎn)將收集到的個(gè)人信息進(jìn)行分類(lèi)，并且分別按照不同的方式存儲(chǔ)形成綜合的個(gè)人信息數(shù)據(jù)庫(kù)。分析個(gè)人信息數(shù)據(jù)庫(kù)可以重復(fù)獲得倍增的經(jīng)濟(jì)利益，但個(gè)人信息所指向的人格利益并不會(huì)因此而消逝。因此，在個(gè)人信息基礎(chǔ)上產(chǎn)生的財(cái)產(chǎn)權(quán)雖具有的財(cái)產(chǎn)屬性，但不改變個(gè)人信息人格屬性的本質(zhì)特征。不可否認(rèn)，個(gè)人信息中所包含的某些資料具有商業(yè)價(jià)值，因而被商家挖掘并加以利用，或者個(gè)人信息主體授予信息控制人使用。個(gè)人信息不僅可以進(jìn)行一次性利用，還“可以進(jìn)行多次利用，當(dāng)然，在積極利用其個(gè)人信息的同時(shí)，法律應(yīng)當(dāng)設(shè)置一定的措施，以保護(hù)個(gè)人的基本人格尊嚴(yán)，在此就需要平衡市場(chǎng)經(jīng)濟(jì)與人格尊嚴(yán)的關(guān)系”［6］。

綜上所述，個(gè)人信息中既存在人格利益，也存在財(cái)產(chǎn)利益，個(gè)人信息的可識(shí)別性決定了人格屬性為個(gè)人信息的本質(zhì)屬性，而財(cái)產(chǎn)屬性是在商品經(jīng)濟(jì)發(fā)展過(guò)程賦予個(gè)人信息的第二屬性，在權(quán)利保護(hù)方面應(yīng)被區(qū)分對(duì)待。“當(dāng)個(gè)人信息主要體現(xiàn)主體人格利益時(shí)，應(yīng)該保護(hù)其人格權(quán)，如時(shí)下因醫(yī)療資源緊張而應(yīng)運(yùn)而生的‘網(wǎng)上掛號(hào)’或‘網(wǎng)上問(wèn)診’，因此而產(chǎn)生的個(gè)人信息或活動(dòng)痕跡主要體現(xiàn)的就是人格利益”［7］；當(dāng)個(gè)人信息主要體現(xiàn)主體財(cái)產(chǎn)利益時(shí)，應(yīng)該保護(hù)其財(cái)產(chǎn)權(quán)，如荷蘭學(xué)生以350歐元出售了自己的“數(shù)據(jù)靈魂”——他的住址、醫(yī)療記錄、個(gè)人日程安排、電子郵件內(nèi)容和所有社交網(wǎng)絡(luò)上交流的信息，此時(shí)個(gè)人信息在權(quán)利主體的允許范圍內(nèi)使用并創(chuàng)造出經(jīng)濟(jì)價(jià)值體現(xiàn)的是財(cái)產(chǎn)利益。［8］

二、個(gè)人信息權(quán)的界定與屬性

毫無(wú)疑問(wèn)，個(gè)人信息因其所具有的顯著人格屬性，應(yīng)當(dāng)納入到人格權(quán)的保護(hù)范疇。然而，在人格權(quán)領(lǐng)域內(nèi)又產(chǎn)生了保護(hù)方式的分歧，即個(gè)人信息的保護(hù)應(yīng)以隱私權(quán)的方式保護(hù)還是以個(gè)人信息權(quán)的方式加以保護(hù)的問(wèn)題。

（一）個(gè)人信息權(quán)之界定

我國(guó)學(xué)界所稱的個(gè)人信息權(quán)與國(guó)外的“個(gè)人信息自決權(quán)”是同一概念，其實(shí)質(zhì)都是對(duì)個(gè)人信息的控制。根據(jù)國(guó)內(nèi)通說(shuō)，“個(gè)人信息權(quán)是指包括收集、處理和使用在內(nèi)整個(gè)過(guò)程中個(gè)人信息主體所享有的知情權(quán)和決定權(quán)”［9］。未經(jīng)法律允許或征得個(gè)人信息權(quán)利主體的同意，任何自然人、法人或組織不得非法收集、處理和利用他人個(gè)人信息。個(gè)人信息的權(quán)利主體有權(quán)決定個(gè)人信息是否被收集和如何被利用，在信息收集過(guò)程中或者收集后，個(gè)人信息權(quán)利主體享有知情查證的權(quán)利，并根據(jù)真實(shí)情況的變化進(jìn)行修改、刪除的權(quán)利。

保護(hù)方式的選擇必然以個(gè)人信息權(quán)存在為前提，所以首先需要解決的是個(gè)人信息權(quán)能否單獨(dú)設(shè)立為一項(xiàng)具體人格權(quán)。個(gè)人信息包含了姓名、肖像、健康等人格權(quán)要素，卻不能據(jù)此視個(gè)人信息權(quán)為公民姓名權(quán)、肖像權(quán)、健康權(quán)等人格權(quán)有交叉甚至囊括取代。在人格權(quán)領(lǐng)域中，權(quán)力交叉與具體人格權(quán)的劃分是相對(duì)的，人格權(quán)的人身依附性與主體唯一性決定了各項(xiàng)具體人格權(quán)之間沒(méi)有絕對(duì)的界限，即雖然每項(xiàng)權(quán)利的設(shè)定各有側(cè)重，但無(wú)法避免權(quán)利受到侵害時(shí)難以清晰界定出侵害的是哪一種人格權(quán)要素。在一般情況下，名譽(yù)權(quán)或榮譽(yù)權(quán)受到侵害時(shí)，無(wú)法避免會(huì)涉及姓名權(quán)或肖像權(quán)的侵害，如果沒(méi)有姓名或肖像等作為權(quán)利主體的識(shí)別標(biāo)志，名譽(yù)權(quán)或榮譽(yù)權(quán)的侵害也就無(wú)從談起。新進(jìn)入人格權(quán)體系的個(gè)人信息權(quán)，在客體范圍、具體內(nèi)容、權(quán)利行使和救濟(jì)方式等方面都與傳統(tǒng)的具體人格權(quán)有所不同，其中最為顯著的區(qū)別在于：個(gè)人信息權(quán)是積極權(quán)利而非傳統(tǒng)人格權(quán)的消極權(quán)利，個(gè)人信息主體對(duì)其個(gè)人信息享有絕對(duì)的控制，“這種控制就體現(xiàn)在對(duì)他人非法收集、處理和利用的禁止和排除。對(duì)這些個(gè)人信息的控制，本身體現(xiàn)的就是一種私益，這是個(gè)人信息能夠成為民事權(quán)益的根本原因”［9］。因此，個(gè)人信息權(quán)發(fā)揮著其他人格權(quán)利不可替代的作用，是其獨(dú)立成為一項(xiàng)具體人格權(quán)的根本因素。

（二）個(gè)人信息權(quán)與隱私權(quán)之比較

國(guó)內(nèi)法學(xué)界和司法界的通說(shuō)認(rèn)為：隱私權(quán)與人格權(quán)的爭(zhēng)議的根源在于不同法系、不同語(yǔ)境的解釋差異。隱私權(quán)適合美國(guó)文化和法律制度，在美國(guó)法中沒(méi)有人格的概念，英美法系中的隱私包含了大陸法系的人格；而德國(guó)法沒(méi)有隱私權(quán)，大陸法系把隱私作為人格權(quán)要素來(lái)保護(hù)。此外，美利堅(jiān)民族與中華民族對(duì)隱私的外延理解大相徑庭，例如，由于國(guó)家政策的歷史原因，決定是否墮胎，在中國(guó)不是隱私，而在美國(guó)則是隱私。我國(guó)的法律制度理論上歸屬于大陸法系，個(gè)人信息作為人格權(quán)的要素之一，應(yīng)當(dāng)單獨(dú)設(shè)立個(gè)人信息權(quán)對(duì)個(gè)人信息加以保護(hù)。更何況，在大數(shù)據(jù)時(shí)代下隱私權(quán)與個(gè)人信息權(quán)兩者之間存在三點(diǎn)差異。

一是權(quán)利性質(zhì)不同。隱私權(quán)是消極性人格權(quán)，而個(gè)人信息權(quán)是積極性人格權(quán)。根據(jù)權(quán)利相對(duì)人的義務(wù)不同將人格權(quán)劃分為消極性人格權(quán)和積極性人格權(quán),消極性人格權(quán)的權(quán)利相對(duì)人與他人行使權(quán)利相對(duì)應(yīng)的義務(wù)是尊重和容忍等不作為義務(wù)；積極性人格權(quán)則可以要求權(quán)利相對(duì)人予以給付或作為的權(quán)利，權(quán)利相對(duì)人履行的是作為義務(wù)。隱私權(quán)的相對(duì)人履行對(duì)權(quán)利人的私人領(lǐng)域不予干涉等尊重義務(wù)，個(gè)人信息權(quán)則可以要求權(quán)利相對(duì)人積極作為。此外，如前所述，個(gè)人信息權(quán)以人格權(quán)為本質(zhì)屬性，但在大數(shù)據(jù)時(shí)代個(gè)人信息因可換取經(jīng)濟(jì)價(jià)值而具有財(cái)產(chǎn)屬性。因此，個(gè)人信息權(quán)是精神利益和財(cái)產(chǎn)利益兼具，而隱私權(quán)只具有精神利益。

二是保護(hù)內(nèi)容不同。隱私權(quán)的客體是隱私，保護(hù)的內(nèi)容是不希望或不便他人知道、干涉或者介入的，與公共利益無(wú)關(guān)的私人信息與空間。但是，就個(gè)人信息而言，不僅包括個(gè)人公開(kāi)的信息，也包括個(gè)人未公開(kāi)的敏感信息，其保護(hù)范圍遠(yuǎn)超出隱私權(quán)的保護(hù)范圍，而且在網(wǎng)絡(luò)空間保護(hù)內(nèi)容的差異有逐漸拉大的趨勢(shì)。大數(shù)據(jù)時(shí)代下，網(wǎng)絡(luò)服務(wù)商通過(guò)實(shí)時(shí)記錄、收集和挖掘等方式捕捉個(gè)人信息數(shù)據(jù)，將散見(jiàn)于網(wǎng)絡(luò)空間各處的碎片化信息進(jìn)行處理與分析而得到諸如消費(fèi)偏好、瀏覽習(xí)慣等個(gè)人信息，據(jù)此預(yù)測(cè)人們的行為并實(shí)施相應(yīng)商業(yè)計(jì)劃，這些利用個(gè)人信息的行為是隱私權(quán)所無(wú)法涵蓋的。

三是救濟(jì)措施不同。“隱私的保護(hù)注重事后救濟(jì)，且主要采用精神損害賠償?shù)拿穹ūＷo(hù)方式加以救濟(jì)。個(gè)人信息的保護(hù)則以預(yù)防為主，且通過(guò)法律衡平信息主體和信息控制者之間的利益?！保?］隱私權(quán)主體無(wú)法積極主動(dòng)地行使權(quán)利，只能在權(quán)利受到侵害時(shí)請(qǐng)求法律救濟(jì)，且救濟(jì)方式也比較單一；與隱私權(quán)所不同之處在于個(gè)人信息權(quán)是指權(quán)利主體對(duì)個(gè)人信息的絕對(duì)控制權(quán)，既可排除他人對(duì)個(gè)人信息的使用與侵害，又能積極主動(dòng)地行使權(quán)利。例如，在大數(shù)據(jù)時(shí)代，個(gè)人信息被互聯(lián)網(wǎng)無(wú)限記錄復(fù)制問(wèn)題催生了被遺忘權(quán)③，還有針對(duì)個(gè)人信息侵權(quán)等行為產(chǎn)生的一系列修改、刪除、更新、插入、封存等救濟(jì)方法。

三、我國(guó)個(gè)人信息權(quán)保護(hù)的法律困境

在我國(guó)，涉及個(gè)人信息保護(hù)的法律法規(guī)并不少。據(jù)統(tǒng)計(jì)，“其中全國(guó)人大及其常務(wù)委員會(huì)發(fā)布的有將近40部，國(guó)務(wù)院發(fā)布的有30部左右，另外，工信部、銀監(jiān)會(huì)、保監(jiān)會(huì)等部門(mén)發(fā)布了近200部的規(guī)章制度”［10］。隨著大數(shù)據(jù)技術(shù)迅猛發(fā)展，已無(wú)法滿足個(gè)人信息保護(hù)的需要。發(fā)達(dá)國(guó)家在20世紀(jì)末，均陸續(xù)出臺(tái)了比較完備的網(wǎng)絡(luò)個(gè)人信息保護(hù)法律規(guī)定。我國(guó)直到2012年全國(guó)人大常務(wù)會(huì)才制定了《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》，2013年工信部才制定了《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》?？偟膩?lái)看，我國(guó)對(duì)個(gè)人信息保護(hù)的規(guī)定散見(jiàn)于法律、行政法規(guī)、部門(mén)規(guī)章或者規(guī)范性文件中，呈現(xiàn)出法律條款分散、法律層級(jí)不高、法律規(guī)定缺乏系統(tǒng)性的特點(diǎn)。個(gè)人信息權(quán)作為民事權(quán)利中非常重要的一項(xiàng)人格權(quán)，民事基本法的《民法總則》第111條把個(gè)人信息權(quán)作為一項(xiàng)基本民事權(quán)利進(jìn)行保護(hù)，確立了個(gè)人信息保護(hù)的法律原則，是未來(lái)制定單行法或細(xì)化保護(hù)措施的基礎(chǔ)依據(jù)，但該規(guī)定仍然比較抽象，既沒(méi)有界定個(gè)人信息的保護(hù)范圍，也缺乏切實(shí)有效的救濟(jì)措施和配套規(guī)定。

（一）個(gè)人信息的保護(hù)范圍界定不清晰

個(gè)人信息時(shí)刻保持動(dòng)態(tài)更新，載體日新月異，對(duì)個(gè)人信息范圍的界定難以趕上其內(nèi)容擴(kuò)張的速度。在現(xiàn)有的個(gè)人信息保護(hù)的研究成果中，學(xué)者們以各類(lèi)標(biāo)準(zhǔn)對(duì)個(gè)人信息的范圍進(jìn)行界定，但都無(wú)法做到準(zhǔn)確周延。加之在我國(guó)現(xiàn)行的立法中沒(méi)有給出個(gè)人信息明確的定義，更無(wú)從劃定個(gè)人信息的保護(hù)范圍，這必然導(dǎo)致現(xiàn)階段司法實(shí)踐沒(méi)有切實(shí)可行的法律依據(jù)。也正是因?yàn)檫@一缺失，使得公民的個(gè)人信息在被侵害后，既無(wú)法得到法律的保護(hù)，也無(wú)法通過(guò)法律途徑去救濟(jì)自身權(quán)利。

（二）個(gè)人信息權(quán)欠缺法律定性

《民法總則》第111條盡管將個(gè)人信息權(quán)作為一項(xiàng)獨(dú)立的民事權(quán)利予以規(guī)定，但沒(méi)有明確個(gè)人信息權(quán)的內(nèi)涵與外延，這將導(dǎo)致個(gè)人信息權(quán)與隱私權(quán)的概念混淆，進(jìn)而引起人格權(quán)體系的混亂，不利于保證立法的嚴(yán)謹(jǐn)性與系統(tǒng)性。因此，不僅要給予個(gè)人信息權(quán)獨(dú)立的法律地位，更要明確規(guī)定公民和信息控制者的權(quán)利義務(wù)，并與隱私權(quán)區(qū)別開(kāi)來(lái)，是保護(hù)個(gè)人信息權(quán)立法工作中的當(dāng)務(wù)之急。

（三）缺乏切實(shí)有效的救濟(jì)措施

對(duì)侵害公民個(gè)人信息權(quán)的行為，尚未規(guī)定具體的救濟(jì)措施，公民的個(gè)人信息權(quán)受到侵害后，很難尋求到相應(yīng)的法律救濟(jì)以維護(hù)自身權(quán)益。無(wú)救濟(jì)無(wú)權(quán)利，缺乏有效救濟(jì)措施的法律只能淪為一紙空文。大數(shù)據(jù)時(shí)代中的信息控制者，通過(guò)各類(lèi)隱蔽的渠道，收集網(wǎng)絡(luò)空間的個(gè)人信息碎片并加以利用，收集的技術(shù)方法與信息控制權(quán)都掌握在信息控制者手中，這些對(duì)已經(jīng)處于弱勢(shì)地位的公民非常不利，如果再無(wú)切實(shí)可行的救濟(jì)措施，個(gè)人信息權(quán)只能名存實(shí)亡。

（四）行業(yè)自律組織混亂及其規(guī)范不成熟

由于我國(guó)法律中未明確個(gè)人信息保護(hù)工作的監(jiān)管機(jī)構(gòu)，未就相關(guān)工作的管理權(quán)限作出準(zhǔn)確的劃分，造成權(quán)限重合或者無(wú)人監(jiān)管的困境。個(gè)人信息的保護(hù)無(wú)法得到行政權(quán)力的支持；缺乏政府指導(dǎo)的互聯(lián)網(wǎng)行業(yè)協(xié)會(huì)、通信行業(yè)協(xié)會(huì)林立，加上信息不對(duì)稱和地位不平等，自律規(guī)范大多由互聯(lián)網(wǎng)巨頭商定，無(wú)法有效保護(hù)廣大中小互聯(lián)網(wǎng)企業(yè)的利益；而且大多數(shù)自律規(guī)范都以宣誓性、倡導(dǎo)性條款為主，缺乏具體實(shí)施細(xì)則和救濟(jì)途徑。若授權(quán)現(xiàn)有的國(guó)家機(jī)構(gòu)或者設(shè)立專(zhuān)門(mén)機(jī)構(gòu)對(duì)自律組織進(jìn)行指導(dǎo)、監(jiān)督，將在很大程度上完善行業(yè)自律機(jī)制。

四、個(gè)人信息權(quán)保護(hù)的法律應(yīng)對(duì)

由于大數(shù)據(jù)時(shí)代個(gè)人信息的內(nèi)容及范圍相當(dāng)廣泛，故立法模式的選擇上宜采用綜合立法模式，即“基本法+特殊法”的立法模式，例如日本的“個(gè)人信息保護(hù)五聯(lián)法”④。在具體的立法規(guī)定上，應(yīng)當(dāng)以民事基本法的形式對(duì)個(gè)人信息權(quán)的內(nèi)涵與外延作出準(zhǔn)確的界定，確認(rèn)個(gè)人信息權(quán)的一般人格權(quán)地位；要借鑒我國(guó)臺(tái)灣地區(qū)的做法制訂《個(gè)人信息保護(hù)法》等單行法，并根據(jù)不同領(lǐng)域的行業(yè)特征出臺(tái)金融、電信等行業(yè)領(lǐng)域的個(gè)人信息保護(hù)的特別法，或者在已有單行法中增加個(gè)人信息保護(hù)的條款，以供司法實(shí)踐操作之用，例如制定《非銀行金融機(jī)構(gòu)個(gè)人信息保護(hù)辦法》；此外，鑒于在很多情況下采取民事救濟(jì)途徑保護(hù)個(gè)人信息的力度不足，亦需要采用行政立法保護(hù)，建立政府指導(dǎo)下的行業(yè)自律機(jī)制，完善相關(guān)配套制度。

（一）確立個(gè)人信息權(quán)，明確權(quán)利與義務(wù)內(nèi)容

個(gè)人信息權(quán)與國(guó)外的“個(gè)人信息自決權(quán)”是同一概念，其實(shí)質(zhì)都是對(duì)個(gè)人信息的控制。我國(guó)《民法總則》已經(jīng)明確將個(gè)人信息權(quán)作為一項(xiàng)獨(dú)立的權(quán)利予以保護(hù)。在確立個(gè)人信息權(quán)為獨(dú)立權(quán)利的同時(shí)，起草民法典分則部分時(shí)應(yīng)當(dāng)明確公民個(gè)人信息權(quán)的內(nèi)容以及信息控制者的義務(wù)。公民享有的個(gè)人信息權(quán)應(yīng)包含以下權(quán)利內(nèi)容：決定權(quán)，公民有權(quán)決定個(gè)人信息是否被收集和如何被利用；知情權(quán)，在信息收集過(guò)程中或者收集后，公民享有了解和查證個(gè)人信息被如何使用的權(quán)利；更正權(quán)，根據(jù)真實(shí)情況的變化，公民可以對(duì)個(gè)人信息進(jìn)行修改或者刪除。信息控制者應(yīng)當(dāng)履行以下具體義務(wù)：征求許可，信息控制者收集、使用和轉(zhuǎn)移公民個(gè)人信息時(shí)，應(yīng)征得個(gè)人信息權(quán)利主體的同意；告知義務(wù)，信息控制者應(yīng)當(dāng)向公民個(gè)人明確告知收集和使用個(gè)人信息的目的、范圍和方式，以及相應(yīng)的法律后果；協(xié)助義務(wù)，當(dāng)公民發(fā)出查詢、修改或者刪除個(gè)人信息的通知時(shí)，信息控制者應(yīng)在接到通知后及時(shí)協(xié)助公民維護(hù)其正當(dāng)權(quán)利；安全保障義務(wù)，對(duì)所保管的個(gè)人信息，信息控制者應(yīng)當(dāng)采取合理的技術(shù)措施，防止信息丟失、損毀、泄露或者被盜。

（二）明確范圍界定標(biāo)準(zhǔn)，分層保護(hù)個(gè)人信息

如前所述，以信息的來(lái)源和屬性為標(biāo)準(zhǔn)，可以將個(gè)人信息分為具有自然屬性和現(xiàn)實(shí)社會(huì)屬性的原生數(shù)據(jù)資料、具有網(wǎng)絡(luò)社會(huì)屬性的原生數(shù)據(jù)資料和再生數(shù)據(jù)資料三類(lèi)。雖然這樣的分類(lèi)在概念上可做到周延，將不同形式和動(dòng)態(tài)更新的個(gè)人數(shù)據(jù)資料都囊括在內(nèi)，但“信息產(chǎn)生源和屬性”的分類(lèi)標(biāo)準(zhǔn)并不利于個(gè)人信息的保護(hù)。為更好地保護(hù)個(gè)人信息，宜采取“與個(gè)人關(guān)聯(lián)的程度”為標(biāo)準(zhǔn)，將個(gè)人信息分為緊密層和一般層，分別采取不同等級(jí)的保護(hù)。

第一層為緊密層，該層的個(gè)人信息范圍與隱私基本重合，例如個(gè)人病歷、婚姻生活、犯罪前科等與個(gè)人核心隱私相關(guān)的個(gè)人信息，通常為公民不愿向他人公開(kāi)的個(gè)人信息，且通過(guò)這類(lèi)信息可識(shí)別身份直接鎖定特定對(duì)象。信息控制者收集、使用和轉(zhuǎn)移這類(lèi)信息時(shí)都必須經(jīng)過(guò)公民的授權(quán)同意并明確告知收集和使用個(gè)人信息的目的、范圍和方式以及相應(yīng)的法律后果；如果未經(jīng)公民的授權(quán)同意，信息控制者通過(guò)大數(shù)據(jù)技術(shù)收集到的信息集合或者數(shù)據(jù)庫(kù)，必須做好去身份化的處理來(lái)保證該類(lèi)個(gè)人信息的收集、使用和轉(zhuǎn)移不會(huì)發(fā)生影響公民的日常生活等負(fù)面效應(yīng)。第二層為一般層，該層的個(gè)人信息是除緊密層以外的其他的個(gè)人信息，例如姓名、消費(fèi)水平、網(wǎng)購(gòu)習(xí)慣、信用等級(jí)等。該類(lèi)信息應(yīng)當(dāng)允許信息控制者在合理的范圍內(nèi)利用，如果存在公民合法權(quán)益受到侵害的情況發(fā)生，可以侵權(quán)或者違約為由提起民事訴訟，獲得賠償和其他權(quán)利救濟(jì)。

（三）采取有效救濟(jì)措施，切實(shí)保障個(gè)人信息權(quán)

在事后救濟(jì)方面，公民一旦發(fā)現(xiàn)個(gè)人信息被泄露或者非法利用的，可要求信息控制者及時(shí)采取相應(yīng)措施予以制止，采取必要的加密措施，并可就此所遭受的損害請(qǐng)求相應(yīng)賠償，要求信息控制者承擔(dān)相應(yīng)責(zé)任。具體到個(gè)人信息權(quán)，主要有以下幾種責(zé)任承擔(dān)方式：（1）停止侵害，對(duì)正在進(jìn)行的侵害個(gè)人信息權(quán)的行為，公民有權(quán)要求加害人停止侵害；（2）賠禮道歉，對(duì)侵害個(gè)人信息權(quán)的行為，公民有權(quán)請(qǐng)求侵害人賠禮道歉；（3）消除影響、恢復(fù)名譽(yù)，若由于信息控制者錯(cuò)誤地公布了個(gè)人信息，公民的個(gè)人形象因此遭受負(fù)面影響，信息控制者應(yīng)及時(shí)地通過(guò)公開(kāi)的方式進(jìn)行糾正，從而消除負(fù)面影響，恢復(fù)公民的個(gè)人名譽(yù)；（4）賠償損失，對(duì)個(gè)人信息權(quán)的侵害所造成的損失很難用金錢(qián)來(lái)衡量，其賠償金額可根據(jù)信息控制者因侵權(quán)行為所獲得的收益來(lái)確定。

針對(duì)大數(shù)據(jù)時(shí)代個(gè)人信息被大規(guī)模收集和處理的現(xiàn)象，通常信息控制者是運(yùn)用這些數(shù)據(jù)信息來(lái)分析某種群體屬性，對(duì)國(guó)家或地區(qū)而言會(huì)有較大損害，但就公民個(gè)人而言，對(duì)其個(gè)人信息權(quán)只是造成一些輕微損害。因此，對(duì)這類(lèi)大規(guī)模、輕微損害的侵權(quán)行為，在民事訴訟中宜采取小額訴訟或者公益訴訟的方式來(lái)化解糾紛，或者通過(guò)在線仲裁調(diào)解機(jī)制解決網(wǎng)絡(luò)糾紛。在舉證責(zé)任方面，為平衡信息控制者與公民個(gè)人之間的不對(duì)等地位，在因個(gè)人信息權(quán)受到侵害提起的訴訟中，信息控制者對(duì)其收集、使用和轉(zhuǎn)移個(gè)人信息的合法性及履行了安全保障義務(wù)承擔(dān)舉證責(zé)任，即采用舉證責(zé)任倒置的方式。

（四）建立行業(yè)自律機(jī)制，完善配套監(jiān)管措施

根據(jù)我國(guó)目前的互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)設(shè)置現(xiàn)狀，筆者建議以國(guó)家互聯(lián)網(wǎng)信息管理辦公室和地方各級(jí)通信管理局為平臺(tái)，建立專(zhuān)門(mén)的互聯(lián)網(wǎng)個(gè)人信息管理機(jī)構(gòu)負(fù)責(zé)監(jiān)督個(gè)人信息保護(hù)法的實(shí)施，接受公眾投訴與建議并及時(shí)反饋處理情況，開(kāi)展個(gè)人信息保護(hù)相關(guān)的執(zhí)法調(diào)查與研究，為立法機(jī)關(guān)提供可靠的依據(jù)。

針對(duì)我國(guó)互聯(lián)網(wǎng)電信行業(yè)協(xié)會(huì)組織林立混亂的實(shí)際情況，應(yīng)當(dāng)在政府互聯(lián)網(wǎng)監(jiān)管機(jī)構(gòu)的指導(dǎo)下，確立專(zhuān)門(mén)的協(xié)會(huì)組織負(fù)責(zé)個(gè)人信息的安全保護(hù)工作，充分發(fā)揮行業(yè)指引規(guī)范職能，制定行業(yè)指引規(guī)范，不僅要征詢搜索引擎（百度）、游戲社交（騰訊）、淘寶網(wǎng)購(gòu)（阿里巴巴）等這些巨頭公司的意見(jiàn)，也要吸收更多不同類(lèi)型的中小型互聯(lián)網(wǎng)公司的建議。這些通過(guò)市場(chǎng)的檢驗(yàn)，能成熟運(yùn)用的自律規(guī)范將為立法者提供必要的有益參考，例如美國(guó)的在線隱私聯(lián)盟（由若干重要的互聯(lián)網(wǎng)公司組成）提供網(wǎng)絡(luò)隱私政策的指導(dǎo)，要求加入聯(lián)盟的公司和組織遵守隱私規(guī)則，這些規(guī)則主要包括：為用戶提供收集、使用其數(shù)據(jù)的通知；允許用戶刪除、糾正不正確的數(shù)據(jù)；保證數(shù)據(jù)的安全性。

此外，還要完善政府指導(dǎo)下行業(yè)自律機(jī)制的配套制度，行業(yè)協(xié)會(huì)要成為第三方監(jiān)督機(jī)構(gòu)，建立有效的評(píng)估機(jī)制。比如對(duì)會(huì)員企業(yè)規(guī)章和用戶協(xié)議是否能夠依法有效地保護(hù)用戶個(gè)人信息進(jìn)行評(píng)估認(rèn)證，對(duì)個(gè)人信息保護(hù)合格企業(yè)，頒發(fā)認(rèn)證標(biāo)識(shí)；公示通過(guò)認(rèn)證企業(yè)的名單，對(duì)行業(yè)企業(yè)的可信賴度進(jìn)行評(píng)級(jí)并定期公示評(píng)級(jí)結(jié)果；鼓勵(lì)個(gè)人信息保護(hù)技術(shù)創(chuàng)新，對(duì)取得成果者給予適當(dāng)獎(jiǎng)勵(lì)。行業(yè)協(xié)會(huì)和會(huì)員企業(yè)還應(yīng)當(dāng)建立個(gè)人信息保護(hù)申訴機(jī)制，設(shè)立申訴機(jī)構(gòu)并規(guī)定申訴處理程序。

注釋?zhuān)?/p>

①數(shù)據(jù)來(lái)源型主體是基于自身服務(wù)直接擁有大量數(shù)據(jù)的網(wǎng)絡(luò)服務(wù)商，例如騰訊微信等社交網(wǎng)站、京東等購(gòu)物平臺(tái)、百度等搜索引擎。

②數(shù)據(jù)分析型主體是指具備專(zhuān)業(yè)數(shù)據(jù)分析技術(shù)的技術(shù)供應(yīng)商或數(shù)據(jù)分析服務(wù)商，例如金數(shù)據(jù)、天睿公司等。

③被遺忘權(quán)是個(gè)人信息主體要求信息控制者刪除其個(gè)人信息的權(quán)利。1995年《歐盟數(shù)據(jù)保護(hù)指令》中關(guān)于“有關(guān)公民可以在其個(gè)人數(shù)據(jù)不再需要時(shí)提出刪除要求，以保護(hù)個(gè)人數(shù)據(jù)信息”的規(guī)定，可以認(rèn)為被遺忘權(quán)的最初形態(tài)。參見(jiàn)楊立新,韓煦：《被遺忘權(quán)的中國(guó)本土化及法律適用》，載《法律適用》2015年第2期。

④2003年，日本出臺(tái)了“個(gè)人信息保護(hù)五聯(lián)法”，包括《個(gè)人信息保護(hù)法》《關(guān)于保護(hù)行政機(jī)關(guān)所持有的個(gè)人信息的法律》《關(guān)于保護(hù)獨(dú)立行政法人等所持有的個(gè)人信息的法律》《信息公開(kāi)與個(gè)人信息保護(hù)審查會(huì)設(shè)置法》《對(duì)〈關(guān)于保護(hù)行政機(jī)關(guān)所持有的個(gè)人信息的法律〉等的實(shí)施所涉及的相關(guān)法律進(jìn)行完善的法律》。

［1］涂子沛．大數(shù)據(jù)［M］.廣西：廣西師范大學(xué)出版社，2012.

［2］劉新年，王曉民，任博．大數(shù)據(jù)時(shí)代下如何保護(hù)隱私權(quán)［N］.檢察日?qǐng)?bào)，2013-08-23.

［3］張立芳.公檢民機(jī)關(guān)違法傳播信息問(wèn)題研究［D］.北京：中國(guó)政法大學(xué)，2014.

［4］龍衛(wèi)球，林桓民.我國(guó)網(wǎng)絡(luò)安全立法的基本思路和制度構(gòu)建［J］.南昌大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2016，(4).

［5］張新寶.從隱私到個(gè)人信息利益再衡量的理論與制度安排［J］.中國(guó)法學(xué)，2015，(3).

［6］王利明．論個(gè)人信息權(quán)的法律保護(hù)——以個(gè)人信息權(quán)與隱私權(quán)的界分為中心［J］.現(xiàn)代法學(xué)，2013，(4).

［7］陳奇?zhèn)ィ瑒⒁良{.數(shù)字遺產(chǎn)分類(lèi)定性與繼承［J］.南昌大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版），2015，（5）.

［8］荷蘭學(xué)生350歐元出售個(gè)人信息［EB/OL］．http://jandan.net/2014/04/21/sell-personal-data.html.

［9］王利明.論個(gè)人信息權(quán)在人格權(quán)法中的地位［J］.蘇州大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2012，(6).

［10］羅錦莉．大數(shù)據(jù)時(shí)代下尷尬的用戶隱私［J］.金融科技時(shí)代，2012，(12).

【責(zé)任編輯：胡 煒】

D923.1

A

1004－518X（2017）09－0187-08

江西省高校人文社科重點(diǎn)基地招標(biāo)項(xiàng)目“大數(shù)據(jù)時(shí)代個(gè)人信息權(quán)保護(hù)的立法問(wèn)題研究”

陳奇?zhèn)?，南昌大學(xué)立法研究中心研究員、法學(xué)院教授；

劉倩陽(yáng)，南昌大學(xué)法學(xué)院碩士生。（江西南昌 330031）