大數(shù)據(jù)時代的個人信息保護研究

劉曉穎

摘? 要：隨著數(shù)據(jù)產(chǎn)業(yè)的迅速發(fā)展，網(wǎng)絡(luò)用戶的個人信息面臨更多未經(jīng)授權(quán)即被采集、使用的風(fēng)險?！睹穹ǖ洌ú莅福啡烁駲?quán)編的相關(guān)條文雖然對個人信息范圍有所界定，但是并未明確界定的標(biāo)準(zhǔn)。同時對個人信息的保護原則、免責(zé)事由等作出了原則性規(guī)定，但并未對個人信息侵權(quán)的歸責(zé)原則、侵權(quán)責(zé)任的承擔(dān)方式等作出具體規(guī)定。個人信息的保護要注重平衡其與數(shù)據(jù)流通間的關(guān)系，在此基礎(chǔ)上對個人信息權(quán)的具體人格權(quán)地位予以明晰，明確其歸責(zé)原則，完善損害賠償機制。

關(guān)鍵詞：個人信息;隱私權(quán);證明責(zé)任;歸責(zé)原則

中圖分類號：D923;D925.1? ? ?文獻標(biāo)識碼：A? ?文章編號：2096-3769（2020）05-119-04

從深度偽造技術(shù)[1]的出現(xiàn)到AI智能軟件的廣泛應(yīng)用，人工智能、大數(shù)據(jù)、云計算等技術(shù)愈發(fā)深刻地影響著我們的生活，網(wǎng)絡(luò)用戶的個人信息保護也受到愈發(fā)廣泛的關(guān)注。2019年12月19日工信部信息通信管理局通報了40余款經(jīng)督促整改后仍存在違規(guī)收集、使用用戶個人信息、不合理索取用戶權(quán)限等現(xiàn)象的APP，其中搜狐新聞、新浪體育以及QQ閱讀等APP涉及私自收集用戶個人信息;閃送、人人視頻以及學(xué)霸君1對1等APP涉及私自將用戶信息共享給第三方。在大數(shù)據(jù)技術(shù)應(yīng)用愈發(fā)普遍的今天，被“點名”通報涉及違規(guī)收集、使用用戶個人信息的APP可能只是冰山一角。大量智能手機應(yīng)用軟件在其冗長的用戶使用協(xié)議中回避用戶個人信息的采集情況和具體使用情況，大量音樂、視頻、教育等應(yīng)用軟件要求用戶在使用時必須授權(quán)其手機的位置定位、訪問聯(lián)系人權(quán)限等非必要功能，否則將無法使用該軟件。

事實上，網(wǎng)絡(luò)用戶在享受商家提供的便捷服務(wù)時，不得不貢獻自己的身份、關(guān)系、行為等數(shù)據(jù)，也不得不面對各種“定制”的推送和算法決策的結(jié)果。[2]《民法典（草案）》人格權(quán)編中雖然規(guī)定“自然人的個人信息受法律保護”，但并未明確網(wǎng)絡(luò)用戶的瀏覽痕跡、移動終端的定位信息等是否屬于個人信息的保護范圍，亦未明確規(guī)定個人信息侵權(quán)的具體歸責(zé)原則與損害賠償機制。低成本的法律風(fēng)險與高額的收益，無疑助長了非法買賣網(wǎng)絡(luò)用戶個人信息的黑色產(chǎn)業(yè)鏈的發(fā)展，導(dǎo)致非法獲取、販賣個人信息，實施針對性垃圾營銷等事件層出不窮。如何有效引導(dǎo)網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)運營者合法合規(guī)地使用網(wǎng)絡(luò)用戶的個人信息，切實保障公民的個人信息安全，成為亟待解決的問題。

一、個人信息保護現(xiàn)狀及問題

如上文所言，在大數(shù)據(jù)、云計算時代網(wǎng)絡(luò)用戶的個人信息極易被侵害，這已成為現(xiàn)實生活中不可回避的問題。而目前我國民法層面對于個人信息的保護措施極度缺乏，使得一些從事非法買賣、濫用公民個人信息但并未達到刑法入罪標(biāo)準(zhǔn)的行為無法得到法律制裁。從目前司法實踐的情形來看，由于相關(guān)立法中對個人信息權(quán)利屬性的界定不明，導(dǎo)致網(wǎng)絡(luò)用戶的個人信息極易被濫用，且尋求救濟時亦存在諸多問題。

1.個人信息權(quán)利屬性界定不明

雖然《民法總則》第111條與《民法典（草案）》人格權(quán)編第六章均確認(rèn)了公民的個人信息受法律保護，但未使用“個人信息權(quán)”的字眼，對其權(quán)利屬性亦未作出界定。理論界關(guān)于個人信息的屬性也有不同的探討，如“隱私權(quán)客體說”“人格權(quán)客體說”“基本人權(quán)客體說”等。[3]事實上，網(wǎng)絡(luò)用戶通常是以個人信息作為對價來換取免費的在線服務(wù)，而網(wǎng)絡(luò)服務(wù)提供者也具有強烈的收集、分析用戶各類信息的利益訴求，以便通過經(jīng)營活動獲取經(jīng)濟利益。在大數(shù)據(jù)時代，網(wǎng)絡(luò)用戶的個人信息在具備人格屬性的同時兼具財產(chǎn)屬性，如同可以被估價的無形資產(chǎn)，正因如此驅(qū)使大量網(wǎng)絡(luò)服務(wù)提供者為了牟利采用各種技術(shù)手段收集用戶個人信息。關(guān)于確認(rèn)個人信息財產(chǎn)屬性的制度設(shè)計可以借鑒德國的相關(guān)立法，即在人格權(quán)的基礎(chǔ)上確認(rèn)信息主體對個人信息的使用、控制、收益等權(quán)利。同時，增強信息主體對其個人信息經(jīng)濟價值的認(rèn)知和意識，不僅有助于對信息保護的事后救濟，也有助于主體的行動自覺，進而不斷改進其與企業(yè)或信息處理者的行為關(guān)系模式。[4]

2.未經(jīng)公民同意使用其信息

隨著信息技術(shù)與日常生活的深度融合，公民的個人信息也隨之呈現(xiàn)出網(wǎng)絡(luò)化、數(shù)字化的趨勢。據(jù)中國電子信息產(chǎn)業(yè)發(fā)展研究院發(fā)布的《中國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展評估報告（2018年）》以及《2019中國大數(shù)據(jù)產(chǎn)業(yè)發(fā)展白皮書（上）》顯示，2018年我國大數(shù)據(jù)產(chǎn)業(yè)規(guī)模達4384.5億元，同比增長23.5%，預(yù)計2021年產(chǎn)業(yè)規(guī)模將超過8000億元。在大數(shù)據(jù)時代，經(jīng)營者可以通過對大量網(wǎng)絡(luò)用戶的個人信息的篩選、分析，從中提取有效的商業(yè)價值;或者通過繪制用戶畫像等方法個性化投放廣告，實現(xiàn)其精準(zhǔn)營銷的目的。與此同時，信息不對稱問題在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的今天愈發(fā)凸顯，網(wǎng)絡(luò)用戶一般無法了解自己每一條信息的走向與被使用情況。當(dāng)用戶使用各種購物、醫(yī)療、導(dǎo)航等軟件時必然會產(chǎn)生大量的數(shù)據(jù)，而承載這些服務(wù)的瀏覽器、搜索引擎則會自動收集這些數(shù)據(jù)，通過整合與分析提取有商業(yè)價值的信息。日常生活中從購物軟件到訂餐平臺，“訂制推薦”“猜你喜歡”這類選項似乎早已被用戶習(xí)以為常，而此類個性化推薦的來源則是瀏覽器或服務(wù)器通過 Cookie來記錄用戶的興趣愛好、購物偏好、個人需求等。我國目前并無相關(guān)法律法規(guī)對網(wǎng)絡(luò)用戶的瀏覽痕跡、移動終端的定位信息等加以保護。[5]從比較法的角度看，2009年11月歐盟通過了《歐洲Cookie指令》，其中規(guī)定：用戶初次使用某網(wǎng)站時，該網(wǎng)站必須關(guān)閉Cookie 插件的使用，只有用戶明確同意啟用Cookie插件時才能開啟此項功能。[6]參考?xì)W盟對于網(wǎng)絡(luò)用戶瀏覽痕跡、行為痕跡的保護措施，出臺相關(guān)操作規(guī)范，監(jiān)督網(wǎng)絡(luò)服務(wù)提供者收集用戶瀏覽痕跡時遵守知情同意原則，可切實保護網(wǎng)絡(luò)用戶對于其個人信息的控制權(quán)。

3.個人信息受到侵害時難以得到實質(zhì)救濟

隨著大數(shù)據(jù)、云計算的發(fā)展，網(wǎng)絡(luò)服務(wù)提供者根據(jù)瀏覽痕跡繪制用戶畫像、投放網(wǎng)絡(luò)定向廣告等行為給網(wǎng)絡(luò)用戶的個人信息帶來更多威脅。如網(wǎng)絡(luò)服務(wù)平臺對于用戶的個人信息、行為記錄、交易信息等進行收集后，極有可能在未經(jīng)用戶許可的情況下將數(shù)據(jù)賣給廣告商等第三方，而被侵權(quán)人往往難以得到實質(zhì)的財產(chǎn)性救濟。雖然在《App違法違規(guī)收集使用個人信息行為認(rèn)定方法》中明確規(guī)定了“利用用戶個人信息和算法定向推送信息，未提供非定向推送信息的選項”，可被認(rèn)定為“未經(jīng)用戶同意收集使用個人信息”。而在司法實踐中，即使法院認(rèn)定被告實施了侵害公民個人信息的行為，原告方也難以獲得相應(yīng)的經(jīng)濟補償。例如，在孫某某訴中國某通信有限公司隱私權(quán)糾紛案中，法院經(jīng)審理認(rèn)為電信運營企業(yè)將手機用戶的信息披露給第三人時即構(gòu)成對權(quán)利人隱私權(quán)的侵犯，電信運營企業(yè)應(yīng)向手機用戶承擔(dān)侵權(quán)責(zé)任。但是，被告的行為雖侵犯了原告的隱私，但并未造成原告生活上嚴(yán)重的不安寧，故不予確認(rèn)原告所主張的精神受到嚴(yán)重?fù)p害，對其所提出的精神損害撫慰金亦不予支持。（1）

二、《民法典（草案）》中個人信息權(quán)的界定與完善

1.確立個人信息權(quán)

應(yīng)當(dāng)明確的是，個人信息性質(zhì)的界定是分析并解決上述問題關(guān)鍵。關(guān)于個人信息的性質(zhì)有不同的學(xué)說，根據(jù)《民法典（草案）》第1034條可看出，在我國立法中對個人信息界定較為核心的概念是“可識別性”的結(jié)論，包括單獨可識別以及組合可識別。個人信息與隱私權(quán)雖然在概念上相互獨立，但是權(quán)利范圍實際上存在交集，例如個人信息不僅包括涉及隱私內(nèi)容的私密信息，還包括可公開、可利用的個人信息。從《民法典（草案）》人格權(quán)編第六章的條文來看，個人信息被認(rèn)為是一種民事權(quán)益，而隱私權(quán)作為一種民事權(quán)利，具有適用的優(yōu)先性。司法實踐中，法院也通常是采取隱私權(quán)的保護方法處理個人信息侵權(quán)案件。例如，在方某某等訴南京市明華新村8號住宅小區(qū)業(yè)主委員會隱私權(quán)糾紛案中，法院經(jīng)審理認(rèn)為被告不適當(dāng)?shù)毓_了原告的身份證號碼和電話、家庭住址，上述內(nèi)容屬于公民個人的重要信息，屬于個人隱私;被告侵犯了原告的個人隱私，應(yīng)當(dāng)向原告賠禮道歉。（2）事實上，司法實踐中參照隱私權(quán)來保護公民個人信息的做法存在諸多弊端。相較于隱私權(quán)，公民的個人信息不僅蘊含人格屬性，更具備財產(chǎn)價值，而傳統(tǒng)的隱私權(quán)無法保護公民個人信息權(quán)中財產(chǎn)價值受到侵害的情形。

故此，在《民法典（草案）》人格權(quán)編中將個人信息權(quán)與隱私權(quán)的相關(guān)規(guī)定分別開來更為合理，一方面有利于厘清二者的范圍與界限，另一方面也有利于司法實踐中當(dāng)事人提出更為明確的訴訟請求。同時，由于個人信息權(quán)無法為其他權(quán)利所涵蓋，例如大量具備經(jīng)濟價值的個人信息很難通過隱私權(quán)進行保護，本文認(rèn)為將其確認(rèn)為具體人格權(quán)更為合適，可具體包括：第一，個人信息的控制權(quán)具體是指用戶對個人信息的處理、保存以及處理方法與收集的范圍擁有知情權(quán)與控制權(quán)。第二，個人信息的使用權(quán)是指個人有權(quán)使用自己的信息并形成利益。第三，個人信息的損害賠償請求權(quán)是指網(wǎng)絡(luò)服務(wù)提供者未經(jīng)用戶同意對其信息進行收集、使用，或者對用戶個人信息的使用、收集超出了其授權(quán)的范圍，被侵權(quán)人有權(quán)要求停止侵害、主張損害賠償?shù)臋?quán)利。

2.明晰個人信息侵權(quán)的歸責(zé)原則

由于目前沒有相關(guān)法律對于個人信息侵權(quán)的歸責(zé)原則進行規(guī)定，導(dǎo)致司法實踐中法官在處理個人信息侵權(quán)案件的舉證責(zé)任問題時，通常將個人信息侵權(quán)案件籠統(tǒng)地按照一般侵權(quán)責(zé)任糾紛的思路進行審理，即要求原告承擔(dān)侵權(quán)責(zé)任全部構(gòu)成要件的證明責(zé)任，而過錯要件與因果關(guān)系對于原告而言證明難度無疑過大。從比較法的角度看，不同國家、地區(qū)及國際組織對于個人信息侵權(quán)所采取的歸責(zé)原則存在著一定的差異。第一種類型是采取過錯推定原則，如歐盟GDPR中規(guī)定，數(shù)據(jù)控制者、處理者應(yīng)就其不存在過錯承擔(dān)證明責(zé)任。第二種類型是混合歸責(zé)原則，例如在德國、冰島以及我國臺灣地區(qū)對于個人信息保護的相關(guān)立法中規(guī)定，對于包括黑客、網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)用戶實施侵權(quán)行為應(yīng)根據(jù)其過錯承擔(dān)責(zé)任，而政府機構(gòu)和其他特殊主體通常要承擔(dān)無過錯責(zé)任。本文認(rèn)為我國網(wǎng)絡(luò)用戶個人信息的侵權(quán)歸責(zé)原則采用過錯推定原則更合適，由于網(wǎng)絡(luò)服務(wù)提供者收集用戶的個人信息往往是為了獲取商業(yè)利益，且收集用戶信息的技術(shù)手段具備隱蔽性，在個人信息被侵權(quán)的案件中，要求信息主體證明網(wǎng)絡(luò)服務(wù)提供者存在過錯這一要件無疑是過于苛責(zé)的，且網(wǎng)絡(luò)服務(wù)提供者收集用戶信息的技術(shù)手段通常具備隱蔽性，基于技術(shù)水平的不對等性，將過錯要件倒置由侵權(quán)方承擔(dān)更可體現(xiàn)實質(zhì)正義。同時，確立過錯推定原則有利于強化網(wǎng)絡(luò)服務(wù)提供者的安全和責(zé)任意識，從而更好地保護網(wǎng)絡(luò)用戶的權(quán)益。

3.完善損害賠償機制

在立法層面應(yīng)明確非法竊取公民個人信息進行牟利的損害賠償標(biāo)準(zhǔn)，如根據(jù)侵權(quán)方獲利數(shù)額或被侵權(quán)方損失數(shù)額進行補償，可以更好地保護公民的個人信息。有學(xué)者指出“維權(quán)成本高、賠償數(shù)額低”是民事侵權(quán)案件中推進個人信息保護的主要障礙。[7]由于缺少明確的法律依據(jù)，導(dǎo)致司法實踐中法院更多的是要求侵權(quán)方進行口頭或者書面賠禮道歉，而鮮有要求其進行損害賠償?shù)那闆r。出現(xiàn)該現(xiàn)象的原因一方面是現(xiàn)有法律并未對個人信息所附的財產(chǎn)屬性予以確認(rèn)，另一方面是缺少可參考的損害賠償確定標(biāo)準(zhǔn)。本文認(rèn)為關(guān)于個人信息侵權(quán)造成的損害賠償?shù)拇_定標(biāo)準(zhǔn)主要有以下兩種方式：一是根據(jù)信息主體受到的損失數(shù)額進行賠償，但僅包括直接損失，對于間接損失的賠償則要根據(jù)個案進行分析。二是當(dāng)難以確定信息主體具體損失數(shù)額時根據(jù)侵權(quán)人的獲利情況進行賠償。特別地，大數(shù)據(jù)、云計算等技術(shù)的應(yīng)用不僅增加了信息流轉(zhuǎn)的速度和復(fù)雜性，而且使信息收集的手段變得更加隱蔽。在大數(shù)據(jù)背景下，信息控制者與信息處理者能從侵權(quán)行為中獲得巨大的財產(chǎn)利益，而基于信息的不對等情況，作為被侵害人的信息主體往往很難發(fā)現(xiàn)該侵權(quán)行為。因此，對于牟利性惡意侵犯個人信息的情況，從有效遏制和預(yù)防角度出發(fā)，可以借鑒國外個人信息保護中對懲戒功能的重視，[8]引入懲罰性賠償機制（3），以保護處于弱勢地位的信息主體的權(quán)益。

注釋：

（1）參見上海市浦東新區(qū)人民法院（2009）浦民一初字第9737號民事判決書。

（2）參見江蘇省南京市鼓樓區(qū)人民法院（2017）蘇0106民初3250號民事判決書。

（3）歐盟《一般數(shù)據(jù)保護條例》（簡稱：GDPR）第83條規(guī)定企業(yè)在泄露個人信息后可能面臨著前一年全球總營業(yè)額4%或 2000 萬歐元（兩者取其高）的罰款;美國《加州消費者隱私法案》第1798.155節(jié)規(guī)定任何企業(yè)、服務(wù)提供商或其他違反本法案的人應(yīng)受到禁令的約束，并應(yīng)承擔(dān)每次違規(guī)不超過2500美元、每次故意違規(guī)不超過7500美元的民事罰款。

參考文獻：

[1]王祿東.論“深度偽造”智能技術(shù)的一體化規(guī)制[J].東方法學(xué)，2019.

[2]馬長山.智慧社會背景下的“第四代人權(quán)”及其保障[J].中國法學(xué)，2019（5）：10-18.

[3]齊愛民.個人信息保護法研究[J].河北法學(xué)，2008（4）：16-18.

[4]蔡培如，王錫鋅.論個人信息保護中的人格保護與經(jīng)濟激勵機制[J].比較法研究，2020（1）：110-112.

[5]鄧佑文，王文文.從身份識別到行為識別：個人信息侵權(quán)認(rèn)定的路徑選擇[J].浙江師范大學(xué)學(xué)報（社會科學(xué)版），2019（4）：40-43.

[6]張靜.個人信息保護立法模式選擇[J].法治社會，2019（3）：75-78.

[7]張新寶.《民法總則》個人信息保護條文研究[J].中外法學(xué)，2019（1）：72-73.

[8]葉名怡.個人信息的侵權(quán)法保護[J].法學(xué)研究，2018（4）：90-95.