摘 要：大數(shù)據(jù)技術(shù)的發(fā)展對個人信息保護規(guī)則帶來極大挑戰(zhàn)，在數(shù)據(jù)共享、流轉(zhuǎn)和二次利用成為常態(tài)的情形下，以知情同意為原則和以控制權(quán)為基準的個人信息保護方式存在一定的不合時宜性。明確信息主體對其個人信息享有信息權(quán)，在“場景理論”指引下對個人信息保護規(guī)則進行梳理和重構(gòu)，在立法層面、監(jiān)管層面、權(quán)益保障層面進行適法性矯正，構(gòu)建一套既能促進大數(shù)據(jù)產(chǎn)業(yè)發(fā)展又能提升個人信息保護水平的信息保護規(guī)則。

關(guān)鍵字：大數(shù)據(jù)；個人信息；信息權(quán)；場景理論

中圖分類號：D923 文獻標識碼：A 文章編號：1672-4437（2018）02-0081-04

隨著智能設(shè)備、信息化技術(shù)、云存儲的廣泛應(yīng)用，個人信息的收集、使用和存儲規(guī)制發(fā)生了巨大變革。個人信息保存模式，由傳統(tǒng)的紙質(zhì)檔案轉(zhuǎn)變?yōu)樾畔⒒橘|(zhì)，極大地提高了數(shù)據(jù)企業(yè)對信息的獲取和利用能力，降低了使用者的成本。當帶有財產(chǎn)和人身屬性的個人信息成為塑造信息主體虛擬形象的底層資料時，信息的收集、使用、泄露、濫用，均會對信息指向主體的隱私、人身、財產(chǎn)帶來諸多不利，更會對之前行之有效的時代規(guī)則和社會秩序造成極大挑戰(zhàn)。與此同時，對個人信息的收集、使用、儲存規(guī)則進行立法指引，成為各國的通行做法。我國在制定《民法總則》時在民事權(quán)利章節(jié)中創(chuàng)設(shè)了信息保護條款，但與大數(shù)據(jù)發(fā)展的時代要求相比，此種保護規(guī)則仍存在一定的可改進之處。

一、個人信息保護模式面臨的挑戰(zhàn)

大數(shù)據(jù)時代下，包含個人信息在內(nèi)的數(shù)據(jù)保存和處理方式由手動轉(zhuǎn)變?yōu)樽詣?，這使運行良好的既有秩序和社會制度形成了一定程度上的破裂。當前大數(shù)據(jù)技術(shù)的應(yīng)用使不同主體收集的不同層面的個人信息，在技術(shù)驅(qū)動下聚集在一起，并展現(xiàn)出對信息主體精準畫像的能力，在此背景下，個人的隱私和信息權(quán)利將變得“毫無意義”。首先，個人信息呈現(xiàn)聚集效應(yīng)。個人的身份、通訊、教育、醫(yī)療、涉稅等由不同主體收集的信息在共享機制下根據(jù)留存的“數(shù)據(jù)腳印”，可以起到對個人軌跡的完整記錄。其次，大數(shù)據(jù)使個人信息永久保存。儲存于云端且可在移動終端調(diào)取的個人信息，將人類記憶無限拉長，將任何可能與個人相關(guān)的信息的遺忘權(quán)理念被拋棄。再者，個人信息大范圍二次利用。大數(shù)據(jù)的價值不單純來源于它的基本用途，更多源于它的二次利用，通過海量數(shù)據(jù)的挖掘，全方位復(fù)原信息主體的個人形象，并達到對個體差異化的精準營銷和商業(yè)推廣。以上特征使得不論是隱私權(quán)還是人格權(quán)均難以正當?shù)卮_保個人信息不受非法的利用和侵害，基于此，我們亟需審視當前信息保護規(guī)則和保護模式。

（一）“知情同意”模式面臨困境

形成于上世紀70-80年代的國際社會個人信息保護原則，在數(shù)據(jù)化時代，其信息內(nèi)容形式、應(yīng)用場景和使用方式均發(fā)生較大變化，包括歐盟、美國、OECD在內(nèi)的國家或組織，早期的信息保護思路是以個人隱私和基本人權(quán)保護為切入點，限制大數(shù)據(jù)的應(yīng)用與跨境數(shù)據(jù)的傳輸，并制定相應(yīng)法律法規(guī)規(guī)制互聯(lián)網(wǎng)或者電子商務(wù)等大數(shù)據(jù)產(chǎn)業(yè)中對個人信息的采集和使用[1]。但在技術(shù)應(yīng)用和產(chǎn)業(yè)升級的潮流下，立法者意識到大數(shù)據(jù)對個人信息的采集和流轉(zhuǎn)成為必然。

以法律形式應(yīng)對個人信息采集和利用的市場化改革，成為維護個人基本權(quán)利的有效手段。但是，個人信息保護在大數(shù)據(jù)背景下呈現(xiàn)出的特征使得世界范圍內(nèi)個人信息保護原則和理念均在做適時性的調(diào)整，其中作為判斷標準的“知情同意”原則幾乎喪失殆盡。因為，無所不在的數(shù)據(jù)收集對個人形成密集追蹤；大量機器對機器的被動信息收集，不為用戶所知悉；個人信息的累積、分析、對比，構(gòu)建出完整的人格圖像，極易挖掘出個人不愿為他人知曉的敏感信息，這些是“知情同意”原則難以觸及的。

同時，當下通行的“知情同意”存在較大的困境。所謂“知情同意”原則，當前通常的做法是：數(shù)據(jù)收集者面對“知情同意”原則的要求，在用戶使用信息收集者提供的服務(wù)或設(shè)備之前，信息收集者以格式化的合同要求用戶同意其個人信息被服務(wù)提供者收集、使用或者以合理的條件轉(zhuǎn)讓，同時以前置性的同意形式為用戶設(shè)置了只有同意方能享受收集者提供或者設(shè)備的選項。在信息化時代，動輒數(shù)萬字的專業(yè)化格式文本，是普通使用者無暇也無能力知曉其究竟同意和授予了信息收集者如何處置和使用其信息的權(quán)利。但是，當信息收集者將個人信息用作其他用途或者不當泄露之時，信息收集者卻可以以格式文本中的規(guī)定作為對信息主體事先同意的抗辯，宣稱用戶知曉且同意了其個人信息被收集的方式，并對信息的事后處理規(guī)則達成了一致。數(shù)據(jù)代表個人信息，對數(shù)據(jù)的尊重亦表明政府對于個人尊嚴和自由的保護。在此種情形下，以“知情同意”為架構(gòu)的傳統(tǒng)個人信息收集機制使得用戶的隱私和個人信息難以得到有效保護，同時給企業(yè)的發(fā)展附加了額外的負擔，嚴重阻礙了數(shù)據(jù)的流通和創(chuàng)新的應(yīng)用，不利于大數(shù)據(jù)時代下經(jīng)濟和產(chǎn)業(yè)的發(fā)展[2]。

（二）“自主控制”假設(shè)存在悖論

大數(shù)據(jù)時代，個人信息的價值主要是數(shù)據(jù)收集之后的流轉(zhuǎn)、比對、交易等環(huán)節(jié)創(chuàng)造的，個人信息所有者面對的不再是單一、直接的與服務(wù)提供者進行的信息交換，需要接受信息被收集后，在中間商、后續(xù)利用者之間的流轉(zhuǎn)事實，并視之為享受初次服務(wù)的“對價”。簡而言之，信息主體對其信息被收集之后的掌控能力在逐漸降低。如果仍以信息主體對個人信息享有自主控制為信息收集和利用規(guī)制前提的話，在大數(shù)據(jù)背景下會存在以下兩大悖論。

1.個人信息權(quán)利易受忽視

一方面，面對一項應(yīng)用或者服務(wù)需要獲取消費者10多項個人信息的今天，消費者被商家視為其是同意用個人隱私換取社會便利和高效服務(wù)的；另一方面，消費者在被收集信息時可能存在疑惑和顧慮，但為了獲取不可或缺的服務(wù)，不得不將個人信息以格式文本的形式授予給服務(wù)提供者。這種“不得不”的選擇，在信息主體和信息收集者看來，人們似乎很珍視自己的隱私和個人信息，但為了取得相應(yīng)的服務(wù)，又似乎對自身的隱私和信息并不在乎。雖然我們?nèi)哉J為信息主體是個人信息的控制者，但這種控制實際上是一種“名存實亡”，無法展現(xiàn)出任何權(quán)利的特性。

2.個人并非控制所有信息

不論是傳統(tǒng)的數(shù)據(jù)交流方式還是當前大數(shù)據(jù)時代下的信息傳輸，個人的信息并非完全由信息主體控制。首先，人們可以通過政府部門或公共機構(gòu)，查詢不為信息主體控制但指向信息主體的信息，這是對信息主體個人特征或隱私揭示的重要方式，但并不需要信息主體的事先同意或授權(quán)；其次，無處不在的監(jiān)控和人像識別技術(shù)，可以在信息主體毫無知覺的情形下獲取個人信息，并將之用于相關(guān)領(lǐng)域；再者，非法主體通過不法手段竊取用戶的個人信息，以不正當手段進行非法售賣，并將之轉(zhuǎn)化為大數(shù)據(jù)產(chǎn)業(yè)的數(shù)據(jù)來源?；谏鲜龇治隹梢缘弥?，并非所有的個人信息都可以被信息指向的主體所擁有或者控制，正是個人信息所面臨的上述挑戰(zhàn)，世界各國均開始關(guān)注大數(shù)據(jù)背景下的信息保護規(guī)則，并進行相應(yīng)的立法和修訂工作，以適應(yīng)時代之要求。

二、個人信息保護的學(xué)理探究

由于對個人信息權(quán)屬和規(guī)制問題的相異理解，出現(xiàn)了歐盟為代表的以基本人權(quán)為價值取向的綜合性規(guī)制模式和美國為代表的以市場自律為價值取向的行業(yè)性規(guī)制模式[3]。對于尚未建立起完整個人信息保護制度的我國而言，通過立法保護信息主體的信息權(quán)利，并促進數(shù)據(jù)的有序使用和流通，對立法機關(guān)是一個較大的考驗。

（一）個人信息法律屬性論爭

在個人的信息權(quán)利方面，學(xué)術(shù)界一致存在著爭論。當前對個人信息的法律屬性而言，主要有隱私權(quán)客體說、人格權(quán)客體說、所有權(quán)客體說，各學(xué)說的產(chǎn)生均伴隨著對個人信息權(quán)利的理解和認知，并服務(wù)于當時的社會經(jīng)濟發(fā)展。我國現(xiàn)階段對個人信息進行保護的立法基準存在一定的混亂：一方面，部分立法側(cè)重信息所指向主體的隱私權(quán)，注重保護信息主體對不涉及公共利益的信息，即不公開披露且不愿為別人所知曉的部分；另一方面，部分立法側(cè)重保護信息的人格權(quán)，重在保障信息主體作為人的一種尊嚴，將信息視為自然人人格的一種展現(xiàn)形式，對個人信息的保護即視為對自然人人格權(quán)的保護。不論是隱私權(quán)說還是人格權(quán)說，個人信息在此框架下均是一種消極的防御權(quán)利，目的是確保個人信息不受其他主體的非法侵害。但是在大數(shù)據(jù)和人工智能飛速發(fā)展的當下，僅依靠隱私等被動權(quán)利進行個人信息保護，很難做到信息主體權(quán)利的合理保障，亦不符合對數(shù)據(jù)開發(fā)利用的產(chǎn)業(yè)需求，保護方式存在一定的改進必要性。

（二）信息主體享有信息權(quán)利

相較于隱私權(quán)和人格權(quán)保護模式而言，確認信息主體對其信息享有信息權(quán)或是法律保障的最好方式?！睹穹倓t》雖然在民事權(quán)利章節(jié)中將自然人的信息保護規(guī)制作為單獨一條加以明確，但是法律文本并未明確提出自然人對其信息享有信息權(quán)，不可謂是一種遺憾。信息權(quán)是信息主體對其作為主體所對應(yīng)的信息享有的民事權(quán)利，是一種可以堪比所有權(quán)的權(quán)利，具有排除他人不當侵害，享有占有、使用、收益、處分等權(quán)益的功能[4]。和僅為消極防御性質(zhì)的隱私權(quán)相比，信息權(quán)對信息主體而言，具有更多的主動性，是信息主體對本人信息更為便利化的使用。在大數(shù)據(jù)時代下，信息主體在使用或者享受信息收集者提供服務(wù)的同時，可以選擇性的將個人信息提供給收集者，但是信息真正的權(quán)利仍然保留于信息主體，當信息收集者或者共享者違反信息收集目的、不正當?shù)那趾€人權(quán)利或?qū)€人生活形成騷擾時，信息主體可以依靠信息權(quán)進行主動干預(yù)，甚至可以停止對外的信息授權(quán)，確保信息主體合法權(quán)益不受侵害。

（三）場景理論保護學(xué)說興起

在大數(shù)據(jù)背景下，個人信息的掌控主體逐漸由個人轉(zhuǎn)向收集者和共享者；信息的規(guī)制方式，逐漸由規(guī)制收集者轉(zhuǎn)向規(guī)制使用者。在此過程中，信息的使用和保存很難嚴格遵循“知情同意”原則，學(xué)界對個人信息保護模式的探討逐漸轉(zhuǎn)向以風險管理為目的的“場景理論”。此種理論認為，任何信息的敏感性不是與生俱來的，信息基于具體的場景附帶的敏感性是個人信息保護應(yīng)當關(guān)注的重點[5]。將抽象且不符合大數(shù)據(jù)時代發(fā)展需求的“知情同意”模式轉(zhuǎn)變?yōu)樘嵘齻€人保護水平并平衡信息產(chǎn)業(yè)發(fā)展的“場景理論”，具有一定的積極意義。同時，采用風險管理理念，以信息的使用場景為依托，能夠形成更適合時代要求的、對信息的動態(tài)風險管控機制[6]。

三、個人信息保護的制度完善

（一）加快個人信息保護的立法工作

個人信息保護是大數(shù)據(jù)發(fā)展的基礎(chǔ)，作為互聯(lián)網(wǎng)大國，我國對個人信息保護的規(guī)則散見于《民法總則》《刑法》《網(wǎng)絡(luò)安全法》《侵權(quán)責任法》等單行法律，同時附帶于各行政部門出臺的行政法規(guī)、部門規(guī)章、制度或者決定。雖然，通過上述方式確立了個人信息保護的簡單規(guī)則，但是和實踐需求、國外立法相比，不論是在立法水準還是保護程度上均存在一定的差距。為改進并完善個人信息保護規(guī)則，亟需制定《個人信息保護法》，明確各方權(quán)責，以便在大數(shù)據(jù)時代更好地將個人信息的保護理念貫徹于信息者、使用者、監(jiān)管者等主體，使公權(quán)力機關(guān)和信息獲取者更加嚴格地遵從個人的信息權(quán)利，確保個人信息保護措施和監(jiān)管手段得到有效實施和恰當執(zhí)行，以對我國個人信息保護制度的構(gòu)建起到立法引領(lǐng)的作用[7]。

（二）強化信息保護的執(zhí)法監(jiān)管機制

涉稅信息的保護機構(gòu)是稅務(wù)機關(guān)，消費信息的保護機關(guān)是工商行政部門，我國當前并不存在一個明確的專司個人信息保護的機構(gòu)。在數(shù)據(jù)流通和交匯融合的當下，很難確保泄露或不正當使用的信息僅為某種單一類型的，此種情形下，會存在執(zhí)法重疊和執(zhí)法空白，同時執(zhí)法標準也很難統(tǒng)一。在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展下，我國對個人信息的執(zhí)法監(jiān)管應(yīng)當進行以下方面的調(diào)整：首先，建立統(tǒng)一的個人信息保護機構(gòu)，明確此機構(gòu)職責范圍，確保不同種類信息的統(tǒng)一保障；其次，明確個人信息保護的監(jiān)管機制，信息保護機構(gòu)應(yīng)當在審視當前數(shù)據(jù)流通、開發(fā)和利用基礎(chǔ)上，主動對侵害個人信息的違法行為進行監(jiān)督，而非被動接收當事人的舉報；最后，監(jiān)管機構(gòu)應(yīng)當適度轉(zhuǎn)變監(jiān)管思路，將個人信息保護的重點由控制權(quán)轉(zhuǎn)向場景適用，跳脫傳統(tǒng)“知情同意”的桎梏，同時將審查重點立于信息保存或者共享者的不當使用，以實現(xiàn)阻卻個人信息濫用的目的。

（三）明確信息主體權(quán)利的保障措施

信息主體享有對自我信息處置的權(quán)利，有權(quán)反對信息收集者或共享者對本人信息實施的自動化處理以及根據(jù)自動化處理所附帶的營銷、推廣等。歐盟2018年5月施行的《通用數(shù)據(jù)保護條例》規(guī)定，信息主體享有以合理理由拒絕信息使用者處理其信息的權(quán)利；享有反對數(shù)據(jù)控制者為銷售等目的向其他任何第三方披露數(shù)據(jù)的權(quán)利。反對權(quán)，實際上是“現(xiàn)實我”有權(quán)拒絕產(chǎn)生“虛擬我”，同時有權(quán)拒絕信息使用者或者共享者根據(jù)“虛擬我”對待“現(xiàn)實我”，進而實現(xiàn)個人私生活不因個人信息的被收集或共享而帶來打擾的結(jié)果。歸結(jié)到底，“反對權(quán)”是平衡信息主體和信息使用者各方關(guān)系做出的妥協(xié)和讓步。在“反對權(quán)”的基礎(chǔ)上，信息主體亦應(yīng)享有對個人信息授權(quán)的撤銷同意權(quán)。在大數(shù)據(jù)時代，我國互聯(lián)網(wǎng)企業(yè)發(fā)展較為迅猛，但在個人信息保護方面，信息主體卻處在較為弱勢的地位，我國在立法或者司法實踐中，在促進互聯(lián)網(wǎng)經(jīng)濟發(fā)展時明確信息主體的信息權(quán)利，樹立信息主體在信息授權(quán)之后的“反對權(quán)”和“撤銷同意權(quán)”，可以更好地體現(xiàn)對信息主體信息權(quán)利的尊重和保護。

（四）構(gòu)建企業(yè)和社會的信息保護共治機制

企業(yè)作為信息的收集者或者保存者，在個人信息保護中承擔著不可忽視的作用。一方面，企業(yè)應(yīng)當承擔合同義務(wù)，為收集到的信息承擔安全保障措施；另一方面，企業(yè)應(yīng)當承擔社會責任，履行法律、法規(guī)、行業(yè)規(guī)范要求的社會責任。美國《消費者隱私權(quán)法案》中提到信息主體責任時即明確表示，如果企業(yè)將數(shù)據(jù)向第三方披露，除非法律另有規(guī)定，其應(yīng)確保數(shù)據(jù)接受者按照有強制效力的合同義務(wù)來遵守法案的原則[8]。所以，企業(yè)的責任貫穿信息收集到后續(xù)開發(fā)的全過程。大數(shù)據(jù)時代下，個人信息的收集方多為數(shù)據(jù)公司，流通亦在數(shù)據(jù)公司間進行，數(shù)據(jù)公司間建立數(shù)據(jù)保護行業(yè)組織，形成行之有效的數(shù)據(jù)保護行業(yè)規(guī)范，是督促企業(yè)落實數(shù)據(jù)保護責任的重要方式。雖然個人信息的保護規(guī)則，在向場景理論拓展，但并不代表數(shù)據(jù)收集者和保存者可以對個人信息施加不受限制的利用方案。相反，應(yīng)對信息的傳遞者和共享者提出更高的安全保障要求，要求其按照在信息歸集時的目的約定利用個人信息?？偟膩碚f，企業(yè)和行業(yè)間信息保護規(guī)則的構(gòu)建，對達成信息保護的規(guī)范化治理，具有重大作用。

大數(shù)據(jù)背景下，個人信息保護規(guī)則的完善和重構(gòu)是時代發(fā)展的必然，同時亦是對個人信息權(quán)利的尊重和保障。在推進大數(shù)據(jù)發(fā)展的同時，我們應(yīng)當看到信息權(quán)和場景理論對未來個人信息保護的重大作用。只有將個人信息的底層數(shù)據(jù)進行必要且合理的保護，大數(shù)據(jù)產(chǎn)業(yè)方可蓬勃發(fā)展。

參考文獻：

[1]張平.大數(shù)據(jù)時代個人信息保護的立法選擇[J].北京大學(xué)學(xué)報（哲學(xué)社會科學(xué)版），2017（3）：144.

[2]范為.大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)[J].環(huán)球法律評論，2016（5）：94.

[3]劉金瑞.個人信息與權(quán)利配置——個人信息自決權(quán)的反思和出路[M].北京：法律出版社，2017：5.

[4]張旭光.民法總則視域下納稅人涉稅信息保護機制研究[J].稅收經(jīng)濟研究，2017（6）：72.

[5]Wong R.Data Protection Online： Alternative Approaches to Sensitive Data？[J].Journal of International Commercial Law and Technology，

2007（2）：12.

[6]姬蕾蕾.個人信息保護立法路徑比較研究[J].圖書館建設(shè)，2017（9）：19.

[7]個人信息保護課題組.個人信息保護國際比較研究[M].北京：中國金融出版社，2017：2.

[8]TW House， Consumer data privacy in a networked world： A framework for protecting privacy and promoting innovation in the global digital economy[J]. Journal of Privacy & Confidentiality，2012（2）.