王秀哲

(遼寧大學 法學院，遼寧沈陽 110136)

世界范圍內(nèi)看，個人信息的法律保護伴隨著計算機信息技術的發(fā)展而成熟，出現(xiàn)了以美國為代表的行業(yè)自律和以歐盟為代表的統(tǒng)一立法保護模式。但是大數(shù)據(jù)技術改變了個人信息生產(chǎn)、使用的樣態(tài)，從而使個人信息法律保護的內(nèi)容、模式等面臨新的挑戰(zhàn)。近年來，我國網(wǎng)絡信息化技術發(fā)展突飛猛進，遺憾的是，我國個人信息的法律保護在理論和實踐上均不成熟，個人信息的有序利用和權利保護越發(fā)成為社會的焦點，理論上，學者們始終堅持推進個人信息專門立法保護，實踐中，以刑法為先鋒的分散立法被動應對個人信息無序利用引發(fā)的社會亂象，由此導致了我國本就先天不足的個人信息法律保護在大數(shù)據(jù)時代無所作為。由于大數(shù)據(jù)之前的信息時代(本文簡稱“前信息時代”*通常認為，信息時代開始于20世紀中期計算機的發(fā)明和使用。2012年被看成是大數(shù)據(jù)的正式啟蒙之年(參見馮海超：《大數(shù)據(jù)時代正式到來》，載《互聯(lián)網(wǎng)周刊》2012年第24期)。大數(shù)據(jù)時代，信息的收集處理發(fā)生了質(zhì)的變化，為了突出大數(shù)據(jù)時代特色，本文把大數(shù)據(jù)之前的信息時代簡稱為“前信息時代”，這一用法也可參見范為：《數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。)的個人信息法律保護理論無法有效地應對大數(shù)據(jù)技術浪潮的沖擊，我國個人信息法律保護制度的建構必須擺脫已有理論的慣性制約，直面大數(shù)據(jù)技術挑戰(zhàn)，從整體制度建構層面進行重構。

一、大數(shù)據(jù)時代個人信息法律保護面臨的新挑戰(zhàn)

大數(shù)據(jù)時代是一個網(wǎng)絡生活全覆蓋的時代，網(wǎng)絡用戶是主動的信息和數(shù)據(jù)生產(chǎn)者，“每天有大量信息被用戶利用自己的剩余時間生產(chǎn)出來，同時吸引更多的用戶，通過網(wǎng)絡效應增加網(wǎng)站的價值。”*胡凌：《網(wǎng)絡法的政治經(jīng)濟起源》，上海財經(jīng)大學出版社2016年版，第35頁。信息主體源源不斷生產(chǎn)和輸送的個人信息，通過大數(shù)據(jù)挖掘技術得到整合利用，也完成了數(shù)據(jù)人格塑造和現(xiàn)代權力控制。

(一)數(shù)據(jù)人格塑造

所謂數(shù)據(jù)人格就是個人被信息化，所有的個人事務和行動都變成了數(shù)據(jù)，由網(wǎng)絡數(shù)據(jù)完整描述個人人格。具體而言，大數(shù)據(jù)時代，網(wǎng)絡已經(jīng)成為現(xiàn)代人生活的組成部分，隨身佩戴的手表、飾物、手機抑或公共場所安裝的攝像頭都在不斷把個人數(shù)據(jù)化，每個人都是一堆數(shù)據(jù)，通過數(shù)據(jù)和他人、社會溝通，數(shù)據(jù)取代物理世界的行為成為人格的標識和標簽。不僅個人靜態(tài)的身份信息儲存在各種數(shù)據(jù)庫中，個人的行蹤軌跡、行為痕跡也都留在了網(wǎng)絡上，只要上網(wǎng)，無論是工作、學習還是購物、娛樂，所有的信息都成為各種數(shù)據(jù)庫收集的素材，而且精準記憶、永不遺忘。學術界有關遺忘權的探討正是對這種網(wǎng)絡記錄永久性的回應，雖然可以在法律和制度設計上提議保護遺忘權，但是，大數(shù)據(jù)技術的直接后果卻是無法遺忘。[注]參見邵國松：《“被遺忘的權利”：個人信息保護的新問題及對策》，載《南京社會科學》2013年第2期。

大數(shù)據(jù)時代的數(shù)據(jù)人格塑造并不是簡單停留在數(shù)據(jù)記錄和整合上，通過對海量碎片化數(shù)據(jù)進行挖掘，形成對個人的偏好、性格、行為的精準分析和預測，從而完成數(shù)據(jù)人格的深度塑造。由此，商家能夠針對數(shù)據(jù)人格進行精準營銷；而政府則能夠有效進行社會秩序維護和治理，隨著技術的進步，甚至可以做到在預測個體行為的基礎上消滅犯罪于萌芽狀態(tài)。數(shù)據(jù)人格塑造會帶來個人信息泄露、隱私曝光、不平等和歧視待遇、扭曲和異化真實人格等風險，而當數(shù)據(jù)人格成為大數(shù)據(jù)時代的生活常態(tài)時，無處不在的監(jiān)控與控制也便形成。

(二)現(xiàn)代權力控制

以權利對抗權力的法律構造是近代以來法治建設的核心內(nèi)容，對權力先天敏感的美國人早就把計算機信息化發(fā)展帶來的社會權力控制比喻為“big brother”，“警察機關與情報機構掌握了個人信息的計算機存儲系統(tǒng)，大大提高了國家機關的監(jiān)控能力。”[注]Abb Mowshowitz. “Social Control and the Network Marketplace”, in David Lyon & Elia Zureik eds. Computers, Surveillance, And Privacy 79, 1996, p95-96.但是，大數(shù)據(jù)時代的權力控制并不僅限于國家公權力，包括私營部門的數(shù)據(jù)利用帶來了新的權力控制問題。美國學者索洛韋伊利用卡夫卡的小說《審判》作為隱喻，形象表達了現(xiàn)代權力控制帶來的隱憂。《審批》描寫了一個官僚主義、殘酷冷漠、專制武斷、滅絕人性的訴訟過程，這與我們今天面臨的數(shù)據(jù)庫問題極其相似，人們無法在事實上參與、左右別人收集與使用其信息的行為，因此而感到無助而脆弱。這一隱喻意味著，他人完全無法對已經(jīng)失控的個人信息使用進行任何控制，即便沒有秘密被揭露、沒有人在監(jiān)視，隱私權也會受到侵犯。[注]參見[美]丹尼爾·J.索洛韋伊：《隱私權與權力：計算機數(shù)據(jù)與信息性隱私權隱喻》，孫言譯，載張民安主編：《信息性隱私權研究——信息性隱私權的產(chǎn)生、發(fā)展、適用范圍和爭議》，中山大學出版社2014年版，第118-119頁、第159頁。正如“審判”隱喻所昭示的那樣，網(wǎng)絡社會，我們無處可逃，又無法知道厄運什么時候會到來。這種擔心和恐懼比直接的權力侵犯更為可怕。

后現(xiàn)代哲學家?？聦ΜF(xiàn)代權力控制的研究頗為深刻，他認為自由主義特色的權利根本無力對抗以規(guī)訓為特征的現(xiàn)代權力，反而會淪為后者的附庸。福柯在《規(guī)訓與懲罰》中詳述了以規(guī)訓為特征的現(xiàn)代權力，強調(diào)通過日常生活中的各種細節(jié)與習慣重塑來規(guī)訓大眾。此舉逐漸演變出一種關注細枝末節(jié)的規(guī)訓權力( disciplinary power) 。其典型運作方式如監(jiān)禁，通過對犯人身體的監(jiān)視、訓練與矯正來制造“馴順的身體”。類似運作遍布于學校、軍隊、工廠、醫(yī)院乃至家庭等各種社會場所，最終在古典時期末期促成了一個規(guī)訓社會。[注]參見[法]米歇爾·?？拢骸兑?guī)訓與懲罰》，生活·讀書·新知三聯(lián)書店1999年版，第235頁。如果說，?？旅枋龅囊?guī)訓社會還依賴行為的矯正和訓練，大數(shù)據(jù)時代則通過網(wǎng)絡依附實現(xiàn)了福柯所描述的現(xiàn)代權力控制?！巴ㄟ^賬戶，賽博空間和現(xiàn)實世界中的主體被聯(lián)系起來，通過網(wǎng)上的活動穩(wěn)定地積累數(shù)據(jù)，依據(jù)數(shù)據(jù)對其場景化行為的評價反過來進一步成為影響其未來活動的重要約束力量?！盵注]胡凌：《超越代碼：從賽博空間到物理世界的控制/生產(chǎn)機制》，載《華東政法大學學報》2018年第1期。當一站式服務成功吸附用戶時，用戶對互聯(lián)網(wǎng)巨頭的依賴便可以形成；而國家以公權力為后盾對網(wǎng)絡的介入，更可以實現(xiàn)全面的數(shù)據(jù)獲取和使用。所以，現(xiàn)代社會中的個人不但處于國家權力的虎視眈眈下，更處于現(xiàn)代權力這一“柔性極權主義”之中。[注]參見孫祥：《超越的困境：?？碌臋嗬斡^》，載《求索》2014年第5期。面對無處不在的、不僅僅是國家權力、還包括社會組織通過掌控個人信息實現(xiàn)的現(xiàn)代權力控制，傳統(tǒng)上以明確使用者責任進而保護個人信息權利的做法已經(jīng)無法適應大數(shù)據(jù)時代要求，必須進行反思與重構。

二、前信息時代個人信息法律保護的理論缺陷

從計算機儲存和處理個人信息開始，歐美國家就開始對其進行法律保護，形成了可識別性定義、以控制為核心的權利保護以及圍繞知情同意確立利用原則等個人信息法律保護制度模式。但是，在大數(shù)據(jù)技術面前，前信息時代發(fā)展起來的個人信息保護理論明顯不適應時代發(fā)展的要求，帶有難以克服的缺陷。

(一)可識別性個人信息界定的困境

界定什么是個人信息，這是前信息時代個人信息法律保護制度建構的起點。早在1980年《OECD委員會關于管理隱私保護和個人數(shù)據(jù)跨疆界流動的指導原則的建議書》就把“個人數(shù)據(jù)”[注]歐盟立法中保護的是個人數(shù)據(jù)，個人數(shù)據(jù)與個人信息在法律保護的層面具有同等的含義。具體解讀可參見郭瑜：《個人數(shù)據(jù)保護法研究》，北京大學出版社2012年版，第127頁。界定為“與確定的和可以確定的個人相關的任何信息”，1981年歐洲理事會通過的《有關個人數(shù)據(jù)自動化處理的個人保護協(xié)定》第2條定義“個人數(shù)據(jù)”為：“指與已識別或可識別的個人(數(shù)據(jù)主體)相關的任何信息”；歐盟1995年《個人數(shù)據(jù)保護指南》進一步對識別性做了直接和間接性的區(qū)分。美國的《隱私權法》中雖沒有直接界定個人信息，但是，就國家機關保管的個人檔案給出了和個人情況相聯(lián)系的識別性定義。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護法匯編》，法律出版社2006年版，第12、44、308頁。通讀各國已經(jīng)制定的個人信息保護法，可識別性是定義個人信息(數(shù)據(jù))的普遍做法。我國學者在借鑒吸收國外個人信息保護立法的基礎上，也提出了可識別性個人信息定義的方法。[注]參見齊愛民：《個人信息保護法研究》，載《河北法學》2008年第4期。

但是大數(shù)據(jù)技術帶來了可識別性操作的困境。一方面，可識別性個人信息的范圍不斷擴大。大數(shù)據(jù)時代，個人日?；顒拥乃泻圹E幾乎都在網(wǎng)絡中被記錄，零散的個人信息記錄看似不相關，但通過數(shù)據(jù)挖掘技術，原來被認為不能識別到個人或者匿名化不被識別的信息都能夠識別到個人，比如網(wǎng)絡匿名購物記錄不能識別到個人，但是與瀏覽地址、網(wǎng)購地址相連就能識別到個人。另一方面，個人信息權利受侵犯不以可識別性為限。大數(shù)據(jù)時代，個人信息的價值通過量的積累體現(xiàn)出來，打包處理的某一類個人信息雖然不以識別個人為目的，但是類別化處理后的類型化對待也會造成對個人信息主體權利的侵害，比如根據(jù)購物、網(wǎng)頁瀏覽偏好設計的定向營銷廣告、新聞等的推送，會侵犯被推送者生活安寧以及完整獲取信息權等權益。

可識別性界定個人信息的困境已經(jīng)引起了歐美學者的重視。美國學者Paul Ohm 認為，“識別個人身份的信息”這個概念存在致命的缺陷，必須在信息隱私法領域找出一個新的術語代替這個詞。[注]參見Pauo Ohm. “Broken Promises of Privacy”, 57 UCLA L. REV. 2010, p1701.索洛韋伊對這一問題也有專門的研究，其深入論證了“可以識別個人身份的信息”這一定義在技術面前的困境，并給出了第二版識別性定義，認為“可以識別個人身份的信息”包含“已經(jīng)被識別個人的”數(shù)據(jù)和“可以用來識別個人身份”的數(shù)據(jù)兩部分，對這兩部分應區(qū)分對待，關鍵是要將信息和他人身份被識別的風險聯(lián)系起來。[注]參見[美]保羅·M.施瓦茨，丹尼爾·J.索洛韋伊：《隱私權和“可以識別個人身份的信息”》，黃淑芳譯，載張民安主編：《信息性隱私權研究——信息性隱私權的產(chǎn)生、發(fā)展、適用范圍和爭議》，中山大學出版社2014年版，第438-502頁。索洛韋伊的第二版定義引入了大數(shù)據(jù)時代個人信息利用的風險要素，實現(xiàn)了從事前的靜態(tài)已識別到動態(tài)的可識別的突破。與此同時，可識別性個人信息界定也開始在相關立法中做出調(diào)整。2015年2月，美國政府正式發(fā)布《消費者隱私權利法案(草案)》，[注]參見F．T．C．“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Businesses and Policymak-ers-Preliminary FTC Staff Report “,2010. http://www.ftc.gov/os/2010/12/101201privacyreport.pdf. 2018-04-18.其中將個人信息定義為“能夠連結(link)到特定個人或設備的信息”，相較于歐盟指令及《數(shù)據(jù)保護通用條例》中抽象的“識別性”(identifiable)，更進一步指出個人信息“關聯(lián)性”(linkable)的特征，且將范圍拓展到和可識別性毫無關聯(lián)的“設備”( device) 的規(guī)定，體現(xiàn)了基于大數(shù)據(jù)時代個人信息范圍擴展的考量，是難能可貴的進步。[注]參見范為：《數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。

大數(shù)據(jù)時代可識別性個人信息界定面臨的困境是由個人信息保護客體與個人信息主體關系的變化引起的。在前信息時代，個人信息來自對個人身份的靜態(tài)記錄，通過個人信息還原確定個人身份，所以，個人信息的可識別性至關重要；而大數(shù)據(jù)時代，個人信息是個人行為的動態(tài)記錄，通過個人信息的匯聚，進一步豐富和完善數(shù)據(jù)人格圖像。前信息時代，個人信息是可以與個人相分離的一種客觀存在，通過去除身份就可以實現(xiàn)防止隱私受侵害的風險；而大數(shù)據(jù)時代個人信息與動態(tài)化個人行為緊密相連，無論是否具有身份識別性都能夠產(chǎn)生隱私侵犯風險。例如，不具有身份識別性的“設備序列號”，因其對用戶行為信息的關聯(lián)和綁定作用，能夠構建設備持有者人格圖像或?qū)ζ湫纬勺粉櫟目赡苄?，并不能把其絕對排除在個人信息保護的范圍之外。[注]參見范為：《大數(shù)據(jù)時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。

理論和實踐已經(jīng)表明，大數(shù)據(jù)時代，可識別性個人信息界定對個人信息保護和信息的有效利用的阻礙作用越來越明顯，“國際社會在個人信息的界定上基本形成了以可識別性為核心判定標準的共識；但個人信息界定的動態(tài)性和場景性不僅帶來了司法認定上的困難，也使企業(yè)在匿名化處理問題上無所適從?！盵注]齊愛民、張哲：《識別與再識別：個人信息的概念界定與立法選擇》，載《重慶大學學報(社會科學版)》2018年第2期。所以，個人信息法律保護不宜確定僵化的客體，而應適應大數(shù)據(jù)時代個人信息開發(fā)利用的現(xiàn)實需要，確立個人信息動態(tài)保護范圍。

(二)以控制為核心的個人信息權利異化

前信息時代個人信息法律保護的核心是個人對其信息的控制，其主要從屬于隱私權，其后在大數(shù)據(jù)變革中，又擴展納入財產(chǎn)權保護范圍。但是，大數(shù)據(jù)時代數(shù)據(jù)人格塑造和現(xiàn)代權力控制導致無論是隱私權還是財產(chǎn)權角度的個人信息控制權均能出現(xiàn)異化。

把個人信息自我控制作為隱私權保護的一個內(nèi)容是美國的典型做法。在美國，信息性隱私權是指他人所享有的能夠控制其信息流動的權利，[注]參見Ian Goldberg et al. “Trust, Ethics, and Privacy”, 81 B.U.L. REV. 2001. p418.在以權利對抗權力的傳統(tǒng)法律架構下，通過個人信息的自我控制防止政府權力濫用造成對個人隱私的侵害。與美國擴展隱私權保護范圍的做法不同，歐陸國家是通過制定個人數(shù)據(jù)保護法實現(xiàn)對個人信息的專門保護的，個人數(shù)據(jù)保護法中明確了個人數(shù)據(jù)自決權，這是以獨立權利的方式對個人信息自我控制權能的保護。因為個人數(shù)據(jù)保護法的立法目的指向隱私權，歐陸國家的個人數(shù)據(jù)自決權是與隱私權保護密切相關的人格權。總體上看，美歐國家與隱私權相關聯(lián)的個人信息控制權強調(diào)的是對個人獨立人格利益的保護，無論這種利益是個人尊嚴還是自由。[注]參見James Q. Whitman. “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 ( 6 ) Yale Law Journal 2004, p1221．但是，大數(shù)據(jù)時代的數(shù)據(jù)化生活，讓自我控制意義上的隱私期待逐漸消退，“通訊與加強監(jiān)控的科學技術的普及、政府進一步加強對隱私的監(jiān)控以及商業(yè)化信息收集技術的不斷進步，獲得他人隱私成為一種致富、成名的手段……社會公眾以廉價的方式消費他人的隱私信息、窺視他人私人生活，社會公眾的隱私期待被進一步削弱?！盵注][美]肖恩·B.斯賓塞：《隱私期待與隱私權的消退》，孫言譯，載張民安主編：《美國當代隱私權研究——美國隱私權的界定、類型、基礎以及分析方法》，中山大學出版社2013年版，第482-483頁。當交換與出讓個人信息成為數(shù)據(jù)化生活的常態(tài)時，個人控制意義上的個人信息保護主張試圖轉(zhuǎn)為強調(diào)與依賴財產(chǎn)權實現(xiàn)。

作為人格權的隱私權和個人資訊自決權本來注重保護的是人的自由和尊嚴等精神利益，基于科技的進步和大眾傳媒的發(fā)展，人格的很多標志，在很大范圍內(nèi)可以在經(jīng)濟上加以利用，個人信息的經(jīng)濟價值就是其中一種，在這種思路下，個人信息的財產(chǎn)權利主張浮出水面。個人信息財產(chǎn)權保護是從個人信息的資源性特征出發(fā)，順應信息社會個人信息自由流通的現(xiàn)實，試圖拯救單純的隱私性個人信息控制無力，旨在恢復主體自主控制權的一種努力。美國學者Alan Westin認為：“被視為涉及個人私人人格的決定權的個人信息，應當被定義為一種財產(chǎn)權?！盵注]Westin A. “Privacy and Freedom”. New York: Athe-num.1967, p324.如果個人信息是能夠產(chǎn)生實際價值的物質(zhì)，那么對于其的控制和支配就超出了人格權的范圍，而應當屬于財產(chǎn)權范疇。我國學者劉德良也認為，“個人信息財產(chǎn)權是主體對其個人信息的商業(yè)價值進行支配的一種新型財產(chǎn)權，它能且只能存在于對個人信息進行商業(yè)性使用的條件下。在信息時代，個人信息具有潛在的商業(yè)價值故而都應該受到財產(chǎn)權的保護?！盵注]劉德良：《個人信息的財產(chǎn)權保護》，載《法學研究》2007年第3期。但是，通過財產(chǎn)權實現(xiàn)對個人信息的保護依然面臨現(xiàn)實困境。從大數(shù)據(jù)時代個人信息收集利用的現(xiàn)實看，由于大數(shù)據(jù)利用的資源累積效用，個體用戶希望擁有的對自身數(shù)據(jù)的控制力(例如透明性)和財產(chǎn)權(處分、收益)，事實上價值微不足道，而且個體獲得免費網(wǎng)絡服務的同時，并不在乎對自身數(shù)據(jù)進行財產(chǎn)權控制，即使設定個體對個人信息的財產(chǎn)權，也只能是限制數(shù)據(jù)的流通而不會促進個人信息的保護。大數(shù)據(jù)時代的個人信息財產(chǎn)權更多體現(xiàn)為集體性數(shù)據(jù)池(data pool)的占有和使用，[注]參見胡凌：《超越代碼：從賽博空間到物理世界的控制/生產(chǎn)機制》，載《華東政法大學學報》2018年第1期。是平臺建構數(shù)據(jù)庫勞動的結果，財產(chǎn)權的主體是數(shù)據(jù)收集利用組織，這與事實上平臺需要占有數(shù)據(jù)庫從而實現(xiàn)商業(yè)盈利聯(lián)系在一起。[注]參見胡凌：《商業(yè)模式視角下的信息/數(shù)據(jù)產(chǎn)權》，載《上海大學學報(社會科學版)》2017年第6期。因此，大數(shù)據(jù)時代以個人財產(chǎn)權方式保護數(shù)據(jù)信息并促進其使用是低效率的，也因此有學者主張個人信息應該作為公共產(chǎn)品進行保護。[注]參見吳偉光：《大數(shù)據(jù)技術下個人數(shù)據(jù)信息私權保護論批判》，載《政治與法律》2016年第7期。

總之，以個人控制為核心的個人信息權利保護，經(jīng)歷了依賴隱私合理期待和個人財產(chǎn)保護的發(fā)展歷程，但面對大數(shù)據(jù)技術下個人信息全方位收集和無限次利用，個人信息早已脫離了信息主體的實際控制，個人控制這種核心權能已經(jīng)無法發(fā)揮作用，個人信息的控制主體已經(jīng)從個人變?yōu)樯鐣M織和政府機構，控制權能也已經(jīng)從個人實際掌控變?yōu)榻M織責任承擔。大數(shù)據(jù)時代，當個人信息實際上由個人不間斷的生產(chǎn)而又脫離個人控制時，個人信息的社會資源性特征越發(fā)明顯，對于個人信息權利的保護必須在時代背景下，在促進個人信息有效利用和安全、秩序維護的過程中，重新思考個人信息的權利保護問題。

(三)個人信息處理原則適用的無力

1980年經(jīng)濟發(fā)展合作組織(OECD)制定的個人信息保護指南(OECD Guidelines)中明確規(guī)定了個人信息處理的八項原則：收集限制、信息質(zhì)量、目的限定、利用限制、安全維護、公開透明、個人參與、責任明確原則。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護法匯編》，法律出版社2006年版，第12-13頁。OECD 指南構成了國際上現(xiàn)行個人信息保護法的原則基礎，代表了前信息時代個人信息法律保護的核心架構。這八項原則的核心是個人信息主體知情同意(明示或默示)、個人信息使用目的限制(目的明確、最小化使用)以及個人對信息的控制(公開透明、參與、修改、刪除權等)，體現(xiàn)了以個人控制權能實現(xiàn)為核心的保護制度建構。這些原則的出臺和使用建立在實際上個人信息有限和可控的前信息時代，數(shù)據(jù)庫的使用邏輯是必須尊重提供信息的個人。但大數(shù)據(jù)技術下的個人信息與主體是一種幾乎完全分離的狀態(tài)，不僅無處不在的隱形監(jiān)控使得個人無法控制個人信息，而且個人信息處理鏈條拉長為遠離個人控制，從而使原有的個人信息處理原則根本無法適用。

首先，知情同意原則的尷尬境地。知情同意原則要求，除非例外排除規(guī)定，個人數(shù)據(jù)的獲得要經(jīng)過數(shù)據(jù)主體的明示或默示同意。歐盟1995年《數(shù)據(jù)保護指令》便規(guī)定了數(shù)據(jù)主體明確表示同意這一原則，并在此基礎上規(guī)定了詳細的默示同意的類型。[注]參見周漢華主編：《域外個人數(shù)據(jù)保護法匯編》，法律出版社2006年版，第46頁。在此原則下，網(wǎng)絡平臺和機構在收集個人信息之前需要發(fā)布隱私聲明，告知用戶個人信息收集利用的目的、范圍，個人需同意隱私聲明，對收集和利用行為進行合法授權。大數(shù)據(jù)時代，網(wǎng)絡的全覆蓋導致隱私聲明成為加重機構和個人負擔的設置，一方面，網(wǎng)絡平臺并不認真對待隱私聲明，另一方面用戶不選擇同意就不享受網(wǎng)絡服務，而用戶一般也不會費神閱讀冗長的隱私聲明，只是形式主義地點擊同意，用戶的知情同意權被架空。更重要的是，在個人信息密集收集與多方流轉(zhuǎn)的生態(tài)系統(tǒng)中，用戶在很多情況下對其信息的收集并不知情，難以對第一方收集者行使權利，更遑論向缺乏直接聯(lián)系的第三方機構行使控制權。[注]參見范為：《大數(shù)據(jù)時代個人信息定義的再審視》，載《信息安全與通信保密》2016年第10期。由此，知情同意原則變成了一種擺設。

其次，個人控制原則的無效。個人控制原則是落實個人信息權利的設置，即個人對數(shù)據(jù)控制者使用其個人信息有全程參與、知情了解并能夠要求刪除、糾正、補充的權利。前信息時代，個人信息主體與數(shù)據(jù)處理者的聯(lián)系基本上是單方的、一元的，主張個人對其信息進行控制是可以操作的，個人實際上在進入數(shù)據(jù)處理之初就能選擇數(shù)據(jù)處理的主體。但是大數(shù)據(jù)技術突破了這種一元單方聯(lián)系，用戶面臨的不再僅僅是與服務提供商直接、單一的聯(lián)系，還要同時面對與數(shù)據(jù)中間商和數(shù)據(jù)后續(xù)利用者等多重主體的關聯(lián)。[注]參見E.g. “The White House，Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy andPromoting Innovation in the Global Digital Economy”, J.of Priv. and Confidentiality 2, 2012, p95-142 . http: //www.whitehouse.gov/sites/default/files/privacy-final.pdf. 2018-04-18.另外，個人信息作為個人行為的痕跡記錄，每天都在大量生產(chǎn)，這種生產(chǎn)成為個人的一種社會生活常態(tài)，即便面對第一方收集機構，個人業(yè)已逐漸喪失控制權。2012年歐盟數(shù)據(jù)保護指令修改，增加了對“被遺忘的權利或刪除的權利”的保護，[注]參見邵國松：《“被遺忘的權利”：個人信息保護的新問題及對策》，載《南京社會科學》2013年第2期。但實際上，強調(diào)遺忘權或者刪除權正是個人信息控制權不再起作用的表現(xiàn)。

最后，目的限制原則的空置。OECD指南明確規(guī)定“收集個人數(shù)據(jù)的目的應該在數(shù)據(jù)收集之前列明，并且隨后的使用應限于實現(xiàn)這些目的，或者那些和前述目的并非不相容的目的，這些情況應當在其目的改變時列明?！盵注]周漢華主編：《域外個人數(shù)據(jù)保護法匯編》，法律出版社2006年版，第13頁。列明收集個人信息的目的并且不能超出這一目的使用個人信息，這一限制可以保證個人信息主體事先知道個人信息利用的目的和范圍，并能夠控制數(shù)據(jù)收集在事先約定的范圍內(nèi)進行。但是，大數(shù)據(jù)時代的信息挖掘恰是突破目的限制的技術，通過數(shù)據(jù)挖掘開發(fā)出信息利用的潛在價值并創(chuàng)造更大的社會價值。簡單來說，大數(shù)據(jù)技術通過海量數(shù)據(jù)匯總與挖掘，使得信息作為資源在社會經(jīng)濟、秩序管理等方面發(fā)揮越來越大的作用和價值，這樣一來，所謂的個人信息使用目的事前列明已經(jīng)是不可能的事情，也不符合大數(shù)據(jù)技術和時代的要求，在該原則下引申出的信息最小化使用也無法落實。

由此可見，個人信息法律保護雖然在世界范圍內(nèi)已有成熟的制度建構，但是如果不能及時適應大數(shù)據(jù)時代要求，已有的法律保護將阻礙信息資源的有效利用。在我國，個人信息的法律保護尚未建立，大數(shù)據(jù)技術變革已經(jīng)撲面而來，學習已有的個人信息法律保護制度經(jīng)驗固然重要，但是如果不能跳出前信息時代的制度藩籬，個人信息的法律保護就會始終面臨實踐困境。

三、我國個人信息法律保護的實踐困境

我國并沒有經(jīng)歷前信息時代個人信息法律保護的充分發(fā)展，由于受國外已有的成熟理論的影響，基本上還是用前信息時代的個人信息法律保護思維應對實踐問題，這導致了大數(shù)據(jù)時代我國并不完整的個人信息法律資源一直滯后，無法滿足實踐需要。

(一)立法保護的滯后

面對世界范圍內(nèi)個人信息專門立法保護的潮流，我國早就有學者提出制定個人信息保護法的建議，并且制定了學者建議版的個人信息保護法。[注]參見周漢華：《〈中華人民共和國個人信息保護法〉(專家建議稿) 及立法研究報告》，法律出版社2006年版；齊愛民：《中華人民共和國個人信息保護法示范法草案學者建議稿》，載《河北法學》2005年第6期；《個人信息保護法》(專家建議稿)即將發(fā)布，http://mp.weixin.qq.com/s/vT7EK3QdRGzovkr5ibDBDg，2018年3月28日訪問。但我國個人信息保護專門立法一直難產(chǎn)，實踐中確立了個人信息分散立法保護的模式。到目前為止，實質(zhì)規(guī)定個人信息保護內(nèi)容的法律主要有：2009年2月28日實施的《刑法修正案(七)》、全國人民代表大會常務委員會2012年12月28日實施的《關于加強網(wǎng)絡信息保護的決定》(簡稱《決定》)、2014年1月1日施行的《消費者權益保護法》、2015年11月1日施行的《刑法修正案(九)》、2017年6月1日施行的《網(wǎng)絡安全法》和2017年10月1日施行的《民法總則》。其中，《民法總則》和刑法的規(guī)定下文專門討論，這里暫且不論。

總體上看，個人信息分散立法保護主要包括以下內(nèi)容：第一，個人信息的界定。《決定》給出了個人電子信息的界定，采用的是識別個人身份+涉及個人隱私的定義方式；《網(wǎng)絡安全法》則把個人信息擴展為“以電子或其他方式記錄的”、“能夠單獨或者與其他信息結合識別自然人個人身份的各種信息”，是直接識別與間接識別相結合的定義，并列舉了“姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等”具體個人信息。第二，明確了個人信息處理原則。《決定》中明確了合法、正當、必要的原則，明示收集、使用信息的目的、方式、范圍原則，經(jīng)被收集者同意原則，以及不得違法、違規(guī)、違約收集使用信息原則。這些原則也規(guī)定在了《消費者權益保護法》和《網(wǎng)絡安全法》中。第三，信息主體的權利?！稕Q定》規(guī)定了刪除權，《網(wǎng)絡安全法》則在此基礎上規(guī)定了刪除或者更正權。第四，處罰措施。上述法律規(guī)定了常規(guī)的民事、行政和刑事處罰措施，除此之外，《決定》增加規(guī)定了“記入社會信用檔案并予以公布”這一處罰。第五，其他規(guī)定《決定》明確規(guī)定了網(wǎng)絡實名制，《網(wǎng)絡安全法》則對經(jīng)過處理無法識別特定個人且不能復原的個人信息做了信息主體同意提供的例外規(guī)定。

上述立法中的個人信息保護，內(nèi)容雖然簡略，但基本上涵蓋了前信息時代個人信息法律保護的核心內(nèi)容，包括可識別性個人信息界定、個人控制權的保護以及以知情同意為核心的原則設定。但我國個人信息分散立法保護的缺陷十分明顯，主要體現(xiàn)為保護對象不明確、信息主體權利不完整、權利義務不完善和法律責任不到位等，[注]參見王秀哲：《我國個人信息立法保護實證研究》，載《東方法學》2016年第3期。學者們一直倡導通過制定專門的個人信息保護法解決以上分散立法保護的弊端，通過專門立法實現(xiàn)完整的個人信息法律保護。[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期；周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。但是，值得注意的是，在大數(shù)據(jù)技術挑戰(zhàn)面前，如果不能跳出前信息時代的舊有思維，依然圍繞可識別性界定個人信息和個人控制權能進行立法，根本無法應對大數(shù)據(jù)時代個人信息保護范圍、權利內(nèi)涵、保護原則的變化。其實，立法追求嚴謹與內(nèi)容明確的特點并不適應大數(shù)據(jù)技術之下個人信息利用的變動性，通過立法保護個人信息通常會滯后于大數(shù)據(jù)技術要求，這也正是歐美國家近年來不斷修改已有的個人信息保護法的原因。[注]參見范為：《數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。大數(shù)據(jù)時代，個人信息法律保護不是單純的權利實現(xiàn)，而是要在個人信息有效利用與權利行使之間尋找平衡，由此決定了個人信息立法保護必須轉(zhuǎn)換思路并重構內(nèi)容。

(二)刑法保護的被動

在法律不完善的前提下，針對個人信息濫用導致嚴重社會危害，只能由刑法出面進行滅火，這就是我國個人信息立法保護不完善，但是刑法保護先行的原因?！缎谭ㄐ拚?七)》增加規(guī)定了出售、非法提供公民個人信息罪和非法獲取公民個人信息罪，前一罪名主要規(guī)范國家機關和金融、電信、交通、教育、醫(yī)療等公共服務機關及其工作人員?！缎谭ㄐ拚?九)》取消了特定主體限定，針對不特定對象規(guī)定了“侵犯公民個人信息罪”。為了應對刑法修正案中侵犯公民個人信息罪的規(guī)定過于抽象、無法準確定罪量刑以及法律適用分歧大等諸多問題，2017年6月1日最高人民法院和最高人民檢察院聯(lián)合發(fā)布了《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(以下簡稱《解釋》)。從而形成了比較完整的個人信息刑法保護規(guī)定。

侵犯公民個人信息罪的刑法規(guī)定，是從維護社會秩序出發(fā)，對于侵犯個人信息導致的公民人身財產(chǎn)權損害進行的刑法救濟，在打擊利用個人信息犯罪方面作用巨大。但由于個人信息保護的前置法律貧乏，刑法的個人信息犯罪規(guī)定必須解決許多不屬于刑法規(guī)定的內(nèi)容，由此導致刑法救濟的被動性。目前，侵犯公民個人信息罪的具體適用必須仰賴《解釋》正是這一被動救濟的體現(xiàn)，而《解釋》在實踐應用中并不能起到應有的作用。例如，由于沒有權威發(fā)揮作用的個人信息定義，司法解釋只能從打擊犯罪的功利主義出發(fā)，采取“形式上的廣義可識別性+活動情況”對個人信息進行界定，[注]參見于志剛：《“公民個人信息”的權利屬性與刑法保護思路》，載《浙江社會科學》2017年第10期。這一界定強調(diào)對“行蹤軌跡”信息的重點保護。但懲處“獲取、提供、出售行蹤軌跡”信息的行為，無非是從預防嚴重犯罪的角度對犯罪的預備或手段行為的一種制裁，由于后續(xù)的嚴重犯罪行為有獨立的刑法制裁，過于強調(diào)手段或預備行為的刑法制裁會模糊刑法保護個人信息的應有法益，實際上體現(xiàn)了一種屈從于現(xiàn)實的權宜之計或無奈之舉。再比如，對“違反國家有關規(guī)定”的解釋，擴大個人信息違法性范圍的努力，與實踐中幾乎沒有規(guī)章規(guī)定個人信息保護的實際相違背，根本無法適用。

大數(shù)據(jù)背景下，以刑法一己之力并不能完成個人信息法律保護的任務，我國《刑法》中的“侵犯公民個人信息罪”不過是面對危害后果的應急反應，雖然刑法的社會危害防治會暫時發(fā)揮作用，但也會引發(fā)更多實踐中的問題。由此也決定了《解釋》的內(nèi)容越細化、規(guī)定的越具體，就會暴露出越多的問題，越解釋越無力幾乎就是《解釋》的宿命。所以，只有把個人信息的刑法保護放置到個人信息法律制度建構的整體框架下，才能對《刑法》及其《解釋》的局限性進行突破。

(三)民事侵權司法救濟的無力

總體上看，我國個人信息民法保護相當貧乏，民事侵權的司法救濟也幾乎無所作為。新制訂的《民法總則》雖然在第111條規(guī)定了“自然人的個人信息受法律保護”，但這一條文規(guī)定的“個人信息”，究竟是個人信息法益，抑或個人信息權，學者有不同的解讀。雖然有學者做了個人信息權的論證，[注]參見楊立新：《個人信息：法益抑或民事權利——對〈民法總則〉第 111 條規(guī)定的“個人信息”之解讀》，載《法學論壇》2018年第1期；郝思洋：《個人信息權確立的雙重價值———兼評〈民法總則〉第 111 條》，載《河北法學》2017年第10期。但是由于《民法總則》的規(guī)定比較概括，還無法直接適用保護個人信息。另外，《民法總則》第110條對隱私保護的單獨規(guī)定，也引發(fā)了隱私與個人信息保護如何協(xié)調(diào)的問題。[注]參見李永軍：《論〈民法總則〉中個人隱私與信息的“二元制”保護及請求權基礎》，載《浙江工商大學學報》2017年第3期。

民事領域的侵犯公民個人信息的糾紛解決主要還是依靠2014年6月23日最高人民法院發(fā)布的《關于審理利用信息網(wǎng)絡侵害人身權益民事糾紛案件適用法律若干問題的規(guī)定》，其第12條專門針對網(wǎng)絡用戶或者網(wǎng)絡服務提供者利用網(wǎng)絡公開個人信息的侵權行為做了規(guī)定，列舉了自然人基因信息、病歷資料、健康檢查資料、犯罪記錄、家庭住址、私人活動等需保密的個人隱私，并做了約定公開、社會公共利益、科研、自行公開、合法渠道獲取、法律或者行政法規(guī)另有規(guī)定的例外排除。這一規(guī)定成為法院審理侵犯個人信息民事案件的直接依據(jù)。但實踐中，個人信息侵權的民事判決并不多。筆者以侵犯公民個人信息為案由搜索中國裁判文書網(wǎng)，民事案由只有8個判決[注]中國裁判文書網(wǎng)，http://wenshu.court.gov.cn/，2018年4月18日訪問。，除了2個是從個人隱私的角度保護個人信息的外，只有2個涉及個人信息侵權，一是毛志剛合同糾紛二審民事判決書((2017)渝01民終4750號)；二是黃啟紅與深圳市恒波商業(yè)連鎖股份有限公司一般人格權糾紛一審判決((2013)深羅法民一初字第1962號)。按照個人隱私、個人信息為案由搜索，則有民事案由317個，時間跨度從2010年到2018年，而根據(jù)判決內(nèi)容，基本上是對個人隱私侵權的救濟。在個人信息、隱私權民法保護均不完善的前提下，我國司法機關采取了將個人信息附屬于隱私權進行保護的方式。“然而伴隨著隱私權的現(xiàn)代性轉(zhuǎn)向，司法實踐中個人信息的附屬保護模式卻遭遇了困境。無論從權利配置還是從個人信息保護機構的運作來看，個案裁決的救濟方式都無法建構完整的個人信息保護框架。”[注]張建文、高完成：《司法實踐中個人信息的保護模式及其反思———以隱私權的轉(zhuǎn)型為視角》，載《重慶郵電大學學報(社會科學版)》2016年第3期。

司法實踐中直接侵犯個人信息的民事糾紛案件并不多，一方面表明我國個人信息民法保護先天不足，另一方面也不能忽視大數(shù)據(jù)時代單個個人信息的民事侵權已被量化的數(shù)據(jù)庫侵權所吞沒的現(xiàn)實。由于大數(shù)據(jù)時代個人信息權利的異化，個人信息的資源性利用遠大于其保密價值，所以，著眼于個體性權利的民事侵權救濟并不能有效發(fā)揮作用，必須針對平臺企業(yè)和國家機構的數(shù)據(jù)庫開發(fā)利用重新設定民事責任。而從司法裁決多強調(diào)隱私權保護來看，個人信息的隱私權屬性有重要價值，尤其是在數(shù)字化人格發(fā)展的今天，注重個體性地位的最好體現(xiàn)仍然是隱私權保護。

四、大數(shù)據(jù)時代個人信息法律保護的制度重建

個人信息法律保護的制度重建是大數(shù)據(jù)時代世界各國共同面對的問題。當個人信息法律保護制度面臨變革時，作為后起國家，我們應主動適應大數(shù)據(jù)的時代要求，不要簡單照搬或受制于國外制度，而要立基于解決實踐困境，從大數(shù)據(jù)信息有效利用的視角出發(fā)，重新思考和定位我國個人信息法律保護制度建構。

(一)個人信息標準的立法替代

我國個人信息保護專門立法一直難產(chǎn)，一定程度上暴露出了無法通過簡單的立法解決個人信息法律保護的現(xiàn)實困境，尤其是面對大數(shù)據(jù)技術的飛速發(fā)展，立法保護的學術觀點越發(fā)需要關注多方利益，趨向于解決復雜的社會關系。繼張新寶教授提出我國個人信息保護法應以“兩頭強化，三方平衡”理論為基礎進行制度設計的方案后；[注]參見張新寶：《從隱私到個人信息：利益再衡量的理論與制度安排》，載《中國法學》2015年第3期。周漢華教授進一步提出了激勵相容的個人信息立法方向，認為通過激勵信息控制者主動保護個人信息安全，實現(xiàn)對個人信息權利的保護，立法需要改變原來的命令控制式，而尋求多元互動。[注]參見周漢華：《探索激勵相容的個人數(shù)據(jù)治理之道——中國個人信息保護法的立法方向》，載《法學研究》2018年第2期。多方利益平衡以及多元互動的立法導向是對大數(shù)據(jù)時代個人信息利用的復雜特征的應對，但是，立法本身的技術性要求以及嚴密論證、漫長民主程序等都不適應這一重任，與大數(shù)據(jù)相適應的立法期待展現(xiàn)了相當?shù)碾y度。其實，多元互動的激勵相容機制恰恰表明需要采取多元制度建構，并不只有立法一途。

在個人信息保護立法空缺的情況下，與技術相連的個人信息保護標準起到了部分立法替代作用。由工業(yè)和信息化部起草2013年2月1日起實施的《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》是我國關于個人信息保護的第一個國家標準。[注]《信息安全技術公共及商用服務信息系統(tǒng)個人信息保護指南》http://baike.baidu.com/link?url=iPlrAXvQ_OtDMQyNBJdNnjohK7XervxdJQ1OB7fGJVRmJIPtfYBGg6w8Zseg7Z_B3F_wsbOlNyX1bDzmPE61hq，2018年4月12日訪問。2014年3月15日中國科學技術法學會、北京大學互聯(lián)網(wǎng)法律中心聯(lián)合發(fā)布了《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標準》，這是我國首部互聯(lián)網(wǎng)領域由獨立第三方學術機構倡議的個人信息保護測評行業(yè)標準。[注]《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標準發(fā)布》，http://tech.sina.com.cn/other/2014-03-17/11409247350.shtml；《互聯(lián)網(wǎng)企業(yè)個人信息保護測評標準》http://vip.chinalawinfo.com/newlaw2002/slc/slc.asp?gid=220993，2018年4月12日訪問。2018年1月，國家標準《個人信息安全規(guī)范(GB/T 35273-2017)》(以下簡稱《規(guī)范》)正式發(fā)布，盡管這是一部推薦性的國家標準，不具有強制力，但仍引起了學界與實務界的廣泛關注。在關于《規(guī)范》的各類解讀中，有聲音認為規(guī)范的發(fā)布及時地填補了現(xiàn)今個人信息保護中諸多技術細節(jié)與實操領域的規(guī)范空白；也有聲音認為，這部國家標準比歐洲與美國對于個人信息保護的要求更為嚴格，可能會影響行業(yè)的發(fā)展。[注]《個人信息安全規(guī)范》史上最內(nèi)行解讀，http://news.163.com/18/0206/02/D9U7CB32000187VE.html，2018年4月16日訪問?？傮w上看，在網(wǎng)絡安全法治框架下，《規(guī)范》立足信息安全的維度，厘定、闡明了個人信息安全保護領域的諸多重要問題，如“個人信息”的基本定義、個人信息安全的基本要求等；并突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機制特色，為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務參照和行為指引。[注]同④。

技術標準因其沒有直接的立法效力，其效用往往被忽視，但是，其可因企業(yè)自愿遵守而產(chǎn)生約束力；行政機關可參照做出行政決定、采取非正式監(jiān)管措施，法院也可以援引作為裁判說理依據(jù)；而規(guī)范一旦被法律、法規(guī)、規(guī)章、強制性標準援引，便可在相應規(guī)范中產(chǎn)生與之同等的法律效力。[注]參見許可：《試論〈個人信息安全規(guī)范〉的法律效力》，http://mp.weixin.qq.com/s/ZxadBeYTW9Idm0neWwhk8Q，2018年4月16日訪問。大數(shù)據(jù)技術的特征，決定了對個人信息的利用是一種可以用技術標準框定的規(guī)范性操作，這在維護個人信息利用秩序和安全方面意義重大。由于標準的技術性、中立性、客觀性，以及隨著技術進步的變動性，用標準來確定個人信息法律保護的基本問題更為恰當。個人信息保護標準不僅更能靈活應對大數(shù)據(jù)技術不斷發(fā)展的要求，解決立法的滯后性；而且標準本身的靈活性更有利于大數(shù)據(jù)時代的個人信息安全、利用以及保護的需要。在標準替代立法的局面下，并不是用標準完全取代立法，而是把能夠技術規(guī)范、標準化的內(nèi)容拿到標準中來，或者明確已經(jīng)被標準確定的內(nèi)容，以技術解決技術帶來的變動性問題，在此基礎上，放棄制定大而全的個人信息保護專門法律的做法，重點制定適應大數(shù)據(jù)時代要求的特別保護法。

(二)多方互動的隱私風險評估機制建構

如前所述，以個人控制為核心的個人信息權利保護已經(jīng)在大數(shù)據(jù)技術面前發(fā)生異化，脫離個人掌控的個人信息利用決定了事后侵權責任無法發(fā)揮作用。“隱私風險評估”( Privacy Impact Assessment，PIA) 是衡量隱私風險的有效工具，實踐中已發(fā)展為標準化操作流程，成為國際上日益認同的理念與最佳實務。場景與風險導向的新思路認識到，大數(shù)據(jù)時代紛繁復雜的個人信息處理場景中，前端的、靜態(tài)的遵循知情同意的框架已經(jīng)不足以應對嚴峻的隱私挑戰(zhàn)，必須及時扭轉(zhuǎn)思路，在個人信息處理所處的具體場景中進行動態(tài)的風險控制，即變僵化的合規(guī)遵循為靈活的風險管理，促進個人信息的“合理使用”，重點規(guī)制個人信息的“不合理使用”行為。[注]參見范為：《數(shù)據(jù)時代個人信息保護的路徑重構》，載《環(huán)球法律評論》2016年第5期。

隱私風險評估的理論基礎是承認個人信息法律保護的隱私權價值，雖然個人信息的財產(chǎn)權保護[注]參見劉德良：《個人信息的財產(chǎn)權保護》，載《法學研究》2007年第3期。以及個人信息權利[注]參見王利明：《論個人信息權的法律保護——以個人信息權與隱私權的界分為中心》，載《現(xiàn)代法學》2013年第4期。保護的主張都有很好的論證，但是，在大數(shù)據(jù)帶來的現(xiàn)代權力控制局面下，個體獨立與尊嚴保護的人格利益更為重要，而對于這一人格利益的保護必須借助于信息性隱私權保護實現(xiàn)。[注]參見王學輝、趙昕：《隱私權之公私法整合保護探索———以“大數(shù)據(jù)時代”個人信息隱私為分析視點》，載《河北法學》2015年第5期；李延舜：《個人信息財產(chǎn)權理論及其檢討》，載《學習與探索》2017年第5期。如前文所述，我國隱私權價值取向的個人信息保護已經(jīng)在司法實踐中有了一定的積累，但由于我國隱私權的法律保護也不發(fā)達，如何整合個人信息與隱私權保護的關系，還需要進一步深入研究。而隱私風險評估作為動態(tài)的機制，能夠在法律不完善時借助多元社會力量實現(xiàn)，這在我國已經(jīng)有了一定的基礎。

早在2010年奇虎360與騰訊網(wǎng)絡大戰(zhàn)(業(yè)界稱為“3Q”大戰(zhàn))爆發(fā)時，就引發(fā)了企業(yè)主動承擔保護個人信息隱私責任的爭議。[注]參見王秀哲：《信息社會個人隱私權的公法保護研究》，中國民主法制出版社2017年版，第242頁。在越來越激烈的互聯(lián)網(wǎng)平臺競爭中，攻擊對手侵犯個人隱私確實可以起到爭奪用戶的目的，也引發(fā)了互聯(lián)網(wǎng)企業(yè)主動保護個人隱私的自覺性。3Q大戰(zhàn)后，騰訊公司和360公司都適時修改了自己網(wǎng)站的隱私聲明(政策)，其中，由于主動挑起騰訊不保護個人隱私的爭端，在保護個人隱私這個問題上，360似乎想做出業(yè)界的榜樣。2018年3月1日最新版《360用戶隱私保護白皮書3.0》發(fā)布，在白皮書中，360自述對自身的安全產(chǎn)品提出了更高的要求，尤其指出，360是國內(nèi)首家設置首席隱私官(CPO，Chief Privacy Officer)一職的公司，并提出“四不三必須”行為規(guī)范，且呼吁互聯(lián)網(wǎng)同業(yè)者加以補充和完善。[注]《360用戶隱私白皮書》，http://www.#/privacy/v3/bpsxy.html，2018年4月18日訪問。面對360公司亮出的隱私保護大旗，業(yè)內(nèi)企業(yè)認為360是在以隱私保護為由進行不正當競爭，曾經(jīng)引發(fā)了眾多網(wǎng)絡平臺對360的聯(lián)手抵制，但是事件的發(fā)展讓用戶看到了平臺保護個人信息隱私責任的重要性，反過來促使各個網(wǎng)絡平臺制定和完善自家的隱私聲明。

上述事件展示了我國個人信息保護的行業(yè)自律發(fā)展。大數(shù)據(jù)技術下個人信息利用的無序呼喚行業(yè)自律，行業(yè)自律是多元互動治理的一個必要組成部分，雖然企業(yè)自發(fā)的隱私聲明并沒有發(fā)揮保護個人信息的實效，但通過行業(yè)自律可以引導隱私聲明與隱私風險評估銜接，促成個人信息隱私保護的實現(xiàn)。此外，第三方平臺的介入能夠起到更為客觀的監(jiān)控效果。在大數(shù)據(jù)技術支撐下，我國的第三方監(jiān)管也有了發(fā)展。2017年12月28日，南都個人信息保護研究中心發(fā)布了《2017個人信息保護年度報告》。該報告包括1550家網(wǎng)站和APP的隱私政策測評結果、南都在系列隱私調(diào)查中發(fā)現(xiàn)的問題、年度熱點隱私事件盤點，以及2018年可能出現(xiàn)的新問題預測。據(jù)悉，這是國內(nèi)首份由媒體發(fā)布的個人信息保護報告。南方都市報編委虞偉表示，從2016年開始，南都通過多篇調(diào)查報道，逐漸深入了個人信息安全領域的話題，我們正在嘗試以新聞報道與第三方評測監(jiān)督的方式，促進業(yè)界對個人信息安全形成共識。[注]南都報告：1550家平臺隱私政策測評結果出爐 超八成透明度低，http://news.163.com/17/1229/09/D6QJ2F8M000187VE.html，2018年4月18日訪問。

總之，大數(shù)據(jù)技術推動了我國個人信息產(chǎn)業(yè)的發(fā)展，企業(yè)有自律的原始動力，第三方監(jiān)測體現(xiàn)了數(shù)字經(jīng)濟發(fā)展的需求。政府的監(jiān)管應該關注這一動向，通過引導和介入完善多方互動的隱私風險評估機制建構。

(三)信任關系下的個人信息民法保護完善

社會交易和交往秩序的維護有賴于民法，而民法對個人信息的保護正在接受大數(shù)據(jù)技術的挑戰(zhàn)。有學者研究指出，現(xiàn)行的個人信息保護法律規(guī)范，以“主客體二元對立”思維下的“理性人”理念為指引，通過強調(diào)個人信息主體的自主支配、自主決斷和自己責任，來平衡個人信息的使用和保護。但是在大數(shù)據(jù)時代，個人信息保護的“理性人”理念面臨著諸多困境，“理性人”的構建，抹去了具有“社會性”和“感性”特征的“信賴”，將現(xiàn)實中本來與他人和社會緊密聯(lián)系的“完整”的人，塑造為與他人和社會分離和對立的理念人。以此為價值追求的個人信息保護法律規(guī)范，忽視信息社會中信賴的日益重要性，內(nèi)含信息主體與信息控制者間的緊張對立關系，難以有效增進他們之間的互信。[注]參見吳泓：《信賴理念下的個人信息使用與保護》，載《華東政法大學學報》2018年第1期。這一信賴利益的提出與美國學者Helen Nissenbaum教授的隱私的情境脈絡完整性理論的切入點和關切點相同?！扒榫趁}絡完整性”或者“脈絡完整性”這個隱私權理論，將“個人資訊保護”與“在特定情境脈絡下的個人資訊流動規(guī)范”兩者互相連接起來，強調(diào)資訊的流動方式必須符合特定情境脈絡對于資訊流動的期待，也就是符合特定情境脈絡的社會規(guī)范。[注]參見劉靜怡：《社群網(wǎng)路時代的隱私困境：“以Facebook為討論對象”》，載《臺大法學論叢》2012年第3期。

大數(shù)據(jù)時代，個人信息的產(chǎn)生和利用無處不在，個人信息并不只是標明個人身份的簡單代碼，而是人們傳遞感情、進行社會交往和商業(yè)活動的基礎資源和活動記錄。所以需要在具體環(huán)境中認識個人信息的保護需求。具體情境中如何處理個人信息的利用和保護？這取決于維系社會交往存在的倫理基礎，即信任責任關系。這種信任關系下，個人信息主體對于超出該情境的個人信息流通具有要求接受者不予擴散的保密義務。美國學者索洛韋伊認為，保密性這一理論是一項對各種各樣的人際關系予以維持都必不可少的理論。美國隱私權法遵從的防止隱私泄露規(guī)則注重保護原告的感情與不可侵犯的人格，而與此不同的是，英國信任責任法遵從的防止秘密泄露規(guī)則注重保護人與人之間互相信任與互相依靠的社會關系。[注]參見[美]尼爾M. 理查德、丹尼爾J. 索洛韋伊：《隱私權的另一種路徑：信任責任法的復興》，孫言譯，載張民安主編：《隱私權的比較研究——法國、德國、美國及其他國家的隱私權》，中山大學出版社2013年版，第45-47頁，第79-87頁。通過信任責任法確立的信任關系，能夠?qū)崿F(xiàn)信息利用者負責任地利用個人信息。

我國《民法總則》第111條已經(jīng)明確寫入保護個人信息，該條內(nèi)容雖然還有待于具體法律進行細化，但是根據(jù)《民法總則》第7條規(guī)定的誠信原則，可以通過民事信任責任法的建立保障個人信息安全和不受侵犯。在大數(shù)據(jù)時代，由于個人信息的廣泛利用性，個人的知情同意已經(jīng)退位給使用者承擔責任，在個人信息的有效利用中，使用者與個人信息主體之間的信任關系的建立非常重要，也即可以通過信任關系建立良好的個人信息利用秩序。在我國，民法中的誠實信用原則一直面臨現(xiàn)實挑戰(zhàn)，社會信用制度尚沒有建立，信任責任法極其缺乏，如能在個人信息責任制度方面進行突破，不僅有利于個人信息利用秩序的建立，也無疑會為大數(shù)據(jù)時代社會信用制度的建立奠定基礎。而借助于大數(shù)據(jù)技術，信息責任法的建立并不困難，在各種網(wǎng)絡平臺推出個人信用評估的當下，利用大數(shù)據(jù)技術對個人信息控制者即網(wǎng)絡平臺本身的信用進行評估更為重要，當然，這一任務需要借助于媒體、第三方平臺以及政府的推介共同完成。

綜上所述，個人信息的法律保護是隨著大數(shù)據(jù)技術的發(fā)展變動最為劇烈的領域，鑒于大數(shù)據(jù)帶來的個人信息利用特征的變化，美國和歐盟都在積極通過修法進行應對，我國雖然在個人信息法律保護方面一直落后，但是，大數(shù)據(jù)技術的發(fā)展帶來了迎頭趕上的契機。雖然以權利為核心的前信息時代的個人信息法律保護并沒有完全過時，卻也是必要的積累，我們應在做好補課的同時，適應大數(shù)據(jù)時代要求，從多元、變動的視角做好個人信息法律保護的整體制度建構。