王秀哲

(辽宁大学 法学院，辽宁沈阳 110136)

世界范围内看，个人信息的法律保护伴随着计算机信息技术的发展而成熟，出现了以美国为代表的行业自律和以欧盟为代表的统一立法保护模式。但是大数据技术改变了个人信息生产、使用的样态，从而使个人信息法律保护的内容、模式等面临新的挑战。近年来，我国网络信息化技术发展突飞猛进，遗憾的是，我国个人信息的法律保护在理论和实践上均不成熟，个人信息的有序利用和权利保护越发成为社会的焦点，理论上，学者们始终坚持推进个人信息专门立法保护，实践中，以刑法为先锋的分散立法被动应对个人信息无序利用引发的社会乱象，由此导致了我国本就先天不足的个人信息法律保护在大数据时代无所作为。由于大数据之前的信息时代(本文简称“前信息时代”*通常认为，信息时代开始于20世纪中期计算机的发明和使用。2012年被看成是大数据的正式启蒙之年(参见冯海超：《大数据时代正式到来》，载《互联网周刊》2012年第24期)。大数据时代，信息的收集处理发生了质的变化，为了突出大数据时代特色，本文把大数据之前的信息时代简称为“前信息时代”，这一用法也可参见范为：《数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期。)的个人信息法律保护理论无法有效地应对大数据技术浪潮的冲击，我国个人信息法律保护制度的建构必须摆脱已有理论的惯性制约，直面大数据技术挑战，从整体制度建构层面进行重构。

一、大数据时代个人信息法律保护面临的新挑战

大数据时代是一个网络生活全覆盖的时代，网络用户是主动的信息和数据生产者，“每天有大量信息被用户利用自己的剩余时间生产出来，同时吸引更多的用户，通过网络效应增加网站的价值。”*胡凌：《网络法的政治经济起源》，上海财经大学出版社2016年版，第35页。信息主体源源不断生产和输送的个人信息，通过大数据挖掘技术得到整合利用，也完成了数据人格塑造和现代权力控制。

(一)数据人格塑造

所谓数据人格就是个人被信息化，所有的个人事务和行动都变成了数据，由网络数据完整描述个人人格。具体而言，大数据时代，网络已经成为现代人生活的组成部分，随身佩戴的手表、饰物、手机抑或公共场所安装的摄像头都在不断把个人数据化，每个人都是一堆数据，通过数据和他人、社会沟通，数据取代物理世界的行为成为人格的标识和标签。不仅个人静态的身份信息储存在各种数据库中，个人的行踪轨迹、行为痕迹也都留在了网络上，只要上网，无论是工作、学习还是购物、娱乐，所有的信息都成为各种数据库收集的素材，而且精准记忆、永不遗忘。学术界有关遗忘权的探讨正是对这种网络记录永久性的回应，虽然可以在法律和制度设计上提议保护遗忘权，但是，大数据技术的直接后果却是无法遗忘。[注]参见邵国松：《“被遗忘的权利”：个人信息保护的新问题及对策》，载《南京社会科学》2013年第2期。

大数据时代的数据人格塑造并不是简单停留在数据记录和整合上，通过对海量碎片化数据进行挖掘，形成对个人的偏好、性格、行为的精准分析和预测，从而完成数据人格的深度塑造。由此，商家能够针对数据人格进行精准营销；而政府则能够有效进行社会秩序维护和治理，随着技术的进步，甚至可以做到在预测个体行为的基础上消灭犯罪于萌芽状态。数据人格塑造会带来个人信息泄露、隐私曝光、不平等和歧视待遇、扭曲和异化真实人格等风险，而当数据人格成为大数据时代的生活常态时，无处不在的监控与控制也便形成。

(二)现代权力控制

以权利对抗权力的法律构造是近代以来法治建设的核心内容，对权力先天敏感的美国人早就把计算机信息化发展带来的社会权力控制比喻为“big brother”，“警察机关与情报机构掌握了个人信息的计算机存储系统，大大提高了国家机关的监控能力。”[注]Abb Mowshowitz. “Social Control and the Network Marketplace”, in David Lyon & Elia Zureik eds. Computers, Surveillance, And Privacy 79, 1996, p95-96.但是，大数据时代的权力控制并不仅限于国家公权力，包括私营部门的数据利用带来了新的权力控制问题。美国学者索洛韦伊利用卡夫卡的小说《审判》作为隐喻，形象表达了现代权力控制带来的隐忧。《审批》描写了一个官僚主义、残酷冷漠、专制武断、灭绝人性的诉讼过程，这与我们今天面临的数据库问题极其相似，人们无法在事实上参与、左右别人收集与使用其信息的行为，因此而感到无助而脆弱。这一隐喻意味着，他人完全无法对已经失控的个人信息使用进行任何控制，即便没有秘密被揭露、没有人在监视，隐私权也会受到侵犯。[注]参见[美]丹尼尔·J.索洛韦伊：《隐私权与权力：计算机数据与信息性隐私权隐喻》，孙言译，载张民安主编：《信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议》，中山大学出版社2014年版，第118-119页、第159页。正如“审判”隐喻所昭示的那样，网络社会，我们无处可逃，又无法知道厄运什么时候会到来。这种担心和恐惧比直接的权力侵犯更为可怕。

后现代哲学家福柯对现代权力控制的研究颇为深刻，他认为自由主义特色的权利根本无力对抗以规训为特征的现代权力，反而会沦为后者的附庸。福柯在《规训与惩罚》中详述了以规训为特征的现代权力，强调通过日常生活中的各种细节与习惯重塑来规训大众。此举逐渐演变出一种关注细枝末节的规训权力( disciplinary power) 。其典型运作方式如监禁，通过对犯人身体的监视、训练与矫正来制造“驯顺的身体”。类似运作遍布于学校、军队、工厂、医院乃至家庭等各种社会场所，最终在古典时期末期促成了一个规训社会。[注]参见[法]米歇尔·福柯：《规训与惩罚》，生活·读书·新知三联书店1999年版，第235页。如果说，福柯描述的规训社会还依赖行为的矫正和训练，大数据时代则通过网络依附实现了福柯所描述的现代权力控制。“通过账户，赛博空间和现实世界中的主体被联系起来，通过网上的活动稳定地积累数据，依据数据对其场景化行为的评价反过来进一步成为影响其未来活动的重要约束力量。”[注]胡凌：《超越代码：从赛博空间到物理世界的控制/生产机制》，载《华东政法大学学报》2018年第1期。当一站式服务成功吸附用户时，用户对互联网巨头的依赖便可以形成；而国家以公权力为后盾对网络的介入，更可以实现全面的数据获取和使用。所以，现代社会中的个人不但处于国家权力的虎视眈眈下，更处于现代权力这一“柔性极权主义”之中。[注]参见孙祥：《超越的困境：福柯的权利政治观》，载《求索》2014年第5期。面对无处不在的、不仅仅是国家权力、还包括社会组织通过掌控个人信息实现的现代权力控制，传统上以明确使用者责任进而保护个人信息权利的做法已经无法适应大数据时代要求，必须进行反思与重构。

二、前信息时代个人信息法律保护的理论缺陷

从计算机储存和处理个人信息开始，欧美国家就开始对其进行法律保护，形成了可识别性定义、以控制为核心的权利保护以及围绕知情同意确立利用原则等个人信息法律保护制度模式。但是，在大数据技术面前，前信息时代发展起来的个人信息保护理论明显不适应时代发展的要求，带有难以克服的缺陷。

(一)可识别性个人信息界定的困境

界定什么是个人信息，这是前信息时代个人信息法律保护制度建构的起点。早在1980年《OECD委员会关于管理隐私保护和个人数据跨疆界流动的指导原则的建议书》就把“个人数据”[注]欧盟立法中保护的是个人数据，个人数据与个人信息在法律保护的层面具有同等的含义。具体解读可参见郭瑜：《个人数据保护法研究》，北京大学出版社2012年版，第127页。界定为“与确定的和可以确定的个人相关的任何信息”，1981年欧洲理事会通过的《有关个人数据自动化处理的个人保护协定》第2条定义“个人数据”为：“指与已识别或可识别的个人(数据主体)相关的任何信息”；欧盟1995年《个人数据保护指南》进一步对识别性做了直接和间接性的区分。美国的《隐私权法》中虽没有直接界定个人信息，但是，就国家机关保管的个人档案给出了和个人情况相联系的识别性定义。[注]参见周汉华主编：《域外个人数据保护法汇编》，法律出版社2006年版，第12、44、308页。通读各国已经制定的个人信息保护法，可识别性是定义个人信息(数据)的普遍做法。我国学者在借鉴吸收国外个人信息保护立法的基础上，也提出了可识别性个人信息定义的方法。[注]参见齐爱民：《个人信息保护法研究》，载《河北法学》2008年第4期。

但是大数据技术带来了可识别性操作的困境。一方面，可识别性个人信息的范围不断扩大。大数据时代，个人日常活动的所有痕迹几乎都在网络中被记录，零散的个人信息记录看似不相关，但通过数据挖掘技术，原来被认为不能识别到个人或者匿名化不被识别的信息都能够识别到个人，比如网络匿名购物记录不能识别到个人，但是与浏览地址、网购地址相连就能识别到个人。另一方面，个人信息权利受侵犯不以可识别性为限。大数据时代，个人信息的价值通过量的积累体现出来，打包处理的某一类个人信息虽然不以识别个人为目的，但是类别化处理后的类型化对待也会造成对个人信息主体权利的侵害，比如根据购物、网页浏览偏好设计的定向营销广告、新闻等的推送，会侵犯被推送者生活安宁以及完整获取信息权等权益。

可识别性界定个人信息的困境已经引起了欧美学者的重视。美国学者Paul Ohm 认为，“识别个人身份的信息”这个概念存在致命的缺陷，必须在信息隐私法领域找出一个新的术语代替这个词。[注]参见Pauo Ohm. “Broken Promises of Privacy”, 57 UCLA L. REV. 2010, p1701.索洛韦伊对这一问题也有专门的研究，其深入论证了“可以识别个人身份的信息”这一定义在技术面前的困境，并给出了第二版识别性定义，认为“可以识别个人身份的信息”包含“已经被识别个人的”数据和“可以用来识别个人身份”的数据两部分，对这两部分应区分对待，关键是要将信息和他人身份被识别的风险联系起来。[注]参见[美]保罗·M.施瓦茨，丹尼尔·J.索洛韦伊：《隐私权和“可以识别个人身份的信息”》，黄淑芳译，载张民安主编：《信息性隐私权研究——信息性隐私权的产生、发展、适用范围和争议》，中山大学出版社2014年版，第438-502页。索洛韦伊的第二版定义引入了大数据时代个人信息利用的风险要素，实现了从事前的静态已识别到动态的可识别的突破。与此同时，可识别性个人信息界定也开始在相关立法中做出调整。2015年2月，美国政府正式发布《消费者隐私权利法案(草案)》，[注]参见F．T．C．“Protecting Consumer Privacy in an Era of Rapid Change: A Proposed Framework for Businesses and Policymak-ers-Preliminary FTC Staff Report “,2010. http://www.ftc.gov/os/2010/12/101201privacyreport.pdf. 2018-04-18.其中将个人信息定义为“能够连结(link)到特定个人或设备的信息”，相较于欧盟指令及《数据保护通用条例》中抽象的“识别性”(identifiable)，更进一步指出个人信息“关联性”(linkable)的特征，且将范围拓展到和可识别性毫无关联的“设备”( device) 的规定，体现了基于大数据时代个人信息范围扩展的考量，是难能可贵的进步。[注]参见范为：《数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期。

大数据时代可识别性个人信息界定面临的困境是由个人信息保护客体与个人信息主体关系的变化引起的。在前信息时代，个人信息来自对个人身份的静态记录，通过个人信息还原确定个人身份，所以，个人信息的可识别性至关重要；而大数据时代，个人信息是个人行为的动态记录，通过个人信息的汇聚，进一步丰富和完善数据人格图像。前信息时代，个人信息是可以与个人相分离的一种客观存在，通过去除身份就可以实现防止隐私受侵害的风险；而大数据时代个人信息与动态化个人行为紧密相连，无论是否具有身份识别性都能够产生隐私侵犯风险。例如，不具有身份识别性的“设备序列号”，因其对用户行为信息的关联和绑定作用，能够构建设备持有者人格图像或对其形成追踪的可能性，并不能把其绝对排除在个人信息保护的范围之外。[注]参见范为：《大数据时代个人信息定义的再审视》，载《信息安全与通信保密》2016年第10期。

理论和实践已经表明，大数据时代，可识别性个人信息界定对个人信息保护和信息的有效利用的阻碍作用越来越明显，“国际社会在个人信息的界定上基本形成了以可识别性为核心判定标准的共识；但个人信息界定的动态性和场景性不仅带来了司法认定上的困难，也使企业在匿名化处理问题上无所适从。”[注]齐爱民、张哲：《识别与再识别：个人信息的概念界定与立法选择》，载《重庆大学学报(社会科学版)》2018年第2期。所以，个人信息法律保护不宜确定僵化的客体，而应适应大数据时代个人信息开发利用的现实需要，确立个人信息动态保护范围。

(二)以控制为核心的个人信息权利异化

前信息时代个人信息法律保护的核心是个人对其信息的控制，其主要从属于隐私权，其后在大数据变革中，又扩展纳入财产权保护范围。但是，大数据时代数据人格塑造和现代权力控制导致无论是隐私权还是财产权角度的个人信息控制权均能出现异化。

把个人信息自我控制作为隐私权保护的一个内容是美国的典型做法。在美国，信息性隐私权是指他人所享有的能够控制其信息流动的权利，[注]参见Ian Goldberg et al. “Trust, Ethics, and Privacy”, 81 B.U.L. REV. 2001. p418.在以权利对抗权力的传统法律架构下，通过个人信息的自我控制防止政府权力滥用造成对个人隐私的侵害。与美国扩展隐私权保护范围的做法不同，欧陆国家是通过制定个人数据保护法实现对个人信息的专门保护的，个人数据保护法中明确了个人数据自决权，这是以独立权利的方式对个人信息自我控制权能的保护。因为个人数据保护法的立法目的指向隐私权，欧陆国家的个人数据自决权是与隐私权保护密切相关的人格权。总体上看，美欧国家与隐私权相关联的个人信息控制权强调的是对个人独立人格利益的保护，无论这种利益是个人尊严还是自由。[注]参见James Q. Whitman. “The Two Western Cultures of Privacy: Dignity Versus Liberty”, 113 ( 6 ) Yale Law Journal 2004, p1221．但是，大数据时代的数据化生活，让自我控制意义上的隐私期待逐渐消退，“通讯与加强监控的科学技术的普及、政府进一步加强对隐私的监控以及商业化信息收集技术的不断进步，获得他人隐私成为一种致富、成名的手段……社会公众以廉价的方式消费他人的隐私信息、窥视他人私人生活，社会公众的隐私期待被进一步削弱。”[注][美]肖恩·B.斯宾塞：《隐私期待与隐私权的消退》，孙言译，载张民安主编：《美国当代隐私权研究——美国隐私权的界定、类型、基础以及分析方法》，中山大学出版社2013年版，第482-483页。当交换与出让个人信息成为数据化生活的常态时，个人控制意义上的个人信息保护主张试图转为强调与依赖财产权实现。

作为人格权的隐私权和个人资讯自决权本来注重保护的是人的自由和尊严等精神利益，基于科技的进步和大众传媒的发展，人格的很多标志，在很大范围内可以在经济上加以利用，个人信息的经济价值就是其中一种，在这种思路下，个人信息的财产权利主张浮出水面。个人信息财产权保护是从个人信息的资源性特征出发，顺应信息社会个人信息自由流通的现实，试图拯救单纯的隐私性个人信息控制无力，旨在恢复主体自主控制权的一种努力。美国学者Alan Westin认为：“被视为涉及个人私人人格的决定权的个人信息，应当被定义为一种财产权。”[注]Westin A. “Privacy and Freedom”. New York: Athe-num.1967, p324.如果个人信息是能够产生实际价值的物质，那么对于其的控制和支配就超出了人格权的范围，而应当属于财产权范畴。我国学者刘德良也认为，“个人信息财产权是主体对其个人信息的商业价值进行支配的一种新型财产权，它能且只能存在于对个人信息进行商业性使用的条件下。在信息时代，个人信息具有潜在的商业价值故而都应该受到财产权的保护。”[注]刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期。但是，通过财产权实现对个人信息的保护依然面临现实困境。从大数据时代个人信息收集利用的现实看，由于大数据利用的资源累积效用，个体用户希望拥有的对自身数据的控制力(例如透明性)和财产权(处分、收益)，事实上价值微不足道，而且个体获得免费网络服务的同时，并不在乎对自身数据进行财产权控制，即使设定个体对个人信息的财产权，也只能是限制数据的流通而不会促进个人信息的保护。大数据时代的个人信息财产权更多体现为集体性数据池(data pool)的占有和使用，[注]参见胡凌：《超越代码：从赛博空间到物理世界的控制/生产机制》，载《华东政法大学学报》2018年第1期。是平台建构数据库劳动的结果，财产权的主体是数据收集利用组织，这与事实上平台需要占有数据库从而实现商业盈利联系在一起。[注]参见胡凌：《商业模式视角下的信息/数据产权》，载《上海大学学报(社会科学版)》2017年第6期。因此，大数据时代以个人财产权方式保护数据信息并促进其使用是低效率的，也因此有学者主张个人信息应该作为公共产品进行保护。[注]参见吴伟光：《大数据技术下个人数据信息私权保护论批判》，载《政治与法律》2016年第7期。

总之，以个人控制为核心的个人信息权利保护，经历了依赖隐私合理期待和个人财产保护的发展历程，但面对大数据技术下个人信息全方位收集和无限次利用，个人信息早已脱离了信息主体的实际控制，个人控制这种核心权能已经无法发挥作用，个人信息的控制主体已经从个人变为社会组织和政府机构，控制权能也已经从个人实际掌控变为组织责任承担。大数据时代，当个人信息实际上由个人不间断的生产而又脱离个人控制时，个人信息的社会资源性特征越发明显，对于个人信息权利的保护必须在时代背景下，在促进个人信息有效利用和安全、秩序维护的过程中，重新思考个人信息的权利保护问题。

(三)个人信息处理原则适用的无力

1980年经济发展合作组织(OECD)制定的个人信息保护指南(OECD Guidelines)中明确规定了个人信息处理的八项原则：收集限制、信息质量、目的限定、利用限制、安全维护、公开透明、个人参与、责任明确原则。[注]参见周汉华主编：《域外个人数据保护法汇编》，法律出版社2006年版，第12-13页。OECD 指南构成了国际上现行个人信息保护法的原则基础，代表了前信息时代个人信息法律保护的核心架构。这八项原则的核心是个人信息主体知情同意(明示或默示)、个人信息使用目的限制(目的明确、最小化使用)以及个人对信息的控制(公开透明、参与、修改、删除权等)，体现了以个人控制权能实现为核心的保护制度建构。这些原则的出台和使用建立在实际上个人信息有限和可控的前信息时代，数据库的使用逻辑是必须尊重提供信息的个人。但大数据技术下的个人信息与主体是一种几乎完全分离的状态，不仅无处不在的隐形监控使得个人无法控制个人信息，而且个人信息处理链条拉长为远离个人控制，从而使原有的个人信息处理原则根本无法适用。

首先，知情同意原则的尴尬境地。知情同意原则要求，除非例外排除规定，个人数据的获得要经过数据主体的明示或默示同意。欧盟1995年《数据保护指令》便规定了数据主体明确表示同意这一原则，并在此基础上规定了详细的默示同意的类型。[注]参见周汉华主编：《域外个人数据保护法汇编》，法律出版社2006年版，第46页。在此原则下，网络平台和机构在收集个人信息之前需要发布隐私声明，告知用户个人信息收集利用的目的、范围，个人需同意隐私声明，对收集和利用行为进行合法授权。大数据时代，网络的全覆盖导致隐私声明成为加重机构和个人负担的设置，一方面，网络平台并不认真对待隐私声明，另一方面用户不选择同意就不享受网络服务，而用户一般也不会费神阅读冗长的隐私声明，只是形式主义地点击同意，用户的知情同意权被架空。更重要的是，在个人信息密集收集与多方流转的生态系统中，用户在很多情况下对其信息的收集并不知情，难以对第一方收集者行使权利，更遑论向缺乏直接联系的第三方机构行使控制权。[注]参见范为：《大数据时代个人信息定义的再审视》，载《信息安全与通信保密》2016年第10期。由此，知情同意原则变成了一种摆设。

其次，个人控制原则的无效。个人控制原则是落实个人信息权利的设置，即个人对数据控制者使用其个人信息有全程参与、知情了解并能够要求删除、纠正、补充的权利。前信息时代，个人信息主体与数据处理者的联系基本上是单方的、一元的，主张个人对其信息进行控制是可以操作的，个人实际上在进入数据处理之初就能选择数据处理的主体。但是大数据技术突破了这种一元单方联系，用户面临的不再仅仅是与服务提供商直接、单一的联系，还要同时面对与数据中间商和数据后续利用者等多重主体的关联。[注]参见E.g. “The White House，Consumer Data Privacy in a Networked World: A Framework for Protecting Privacy andPromoting Innovation in the Global Digital Economy”, J.of Priv. and Confidentiality 2, 2012, p95-142 . http: //www.whitehouse.gov/sites/default/files/privacy-final.pdf. 2018-04-18.另外，个人信息作为个人行为的痕迹记录，每天都在大量生产，这种生产成为个人的一种社会生活常态，即便面对第一方收集机构，个人业已逐渐丧失控制权。2012年欧盟数据保护指令修改，增加了对“被遗忘的权利或删除的权利”的保护，[注]参见邵国松：《“被遗忘的权利”：个人信息保护的新问题及对策》，载《南京社会科学》2013年第2期。但实际上，强调遗忘权或者删除权正是个人信息控制权不再起作用的表现。

最后，目的限制原则的空置。OECD指南明确规定“收集个人数据的目的应该在数据收集之前列明，并且随后的使用应限于实现这些目的，或者那些和前述目的并非不相容的目的，这些情况应当在其目的改变时列明。”[注]周汉华主编：《域外个人数据保护法汇编》，法律出版社2006年版，第13页。列明收集个人信息的目的并且不能超出这一目的使用个人信息，这一限制可以保证个人信息主体事先知道个人信息利用的目的和范围，并能够控制数据收集在事先约定的范围内进行。但是，大数据时代的信息挖掘恰是突破目的限制的技术，通过数据挖掘开发出信息利用的潜在价值并创造更大的社会价值。简单来说，大数据技术通过海量数据汇总与挖掘，使得信息作为资源在社会经济、秩序管理等方面发挥越来越大的作用和价值，这样一来，所谓的个人信息使用目的事前列明已经是不可能的事情，也不符合大数据技术和时代的要求，在该原则下引申出的信息最小化使用也无法落实。

由此可见，个人信息法律保护虽然在世界范围内已有成熟的制度建构，但是如果不能及时适应大数据时代要求，已有的法律保护将阻碍信息资源的有效利用。在我国，个人信息的法律保护尚未建立，大数据技术变革已经扑面而来，学习已有的个人信息法律保护制度经验固然重要，但是如果不能跳出前信息时代的制度藩篱，个人信息的法律保护就会始终面临实践困境。

三、我国个人信息法律保护的实践困境

我国并没有经历前信息时代个人信息法律保护的充分发展，由于受国外已有的成熟理论的影响，基本上还是用前信息时代的个人信息法律保护思维应对实践问题，这导致了大数据时代我国并不完整的个人信息法律资源一直滞后，无法满足实践需要。

(一)立法保护的滞后

面对世界范围内个人信息专门立法保护的潮流，我国早就有学者提出制定个人信息保护法的建议，并且制定了学者建议版的个人信息保护法。[注]参见周汉华：《〈中华人民共和国个人信息保护法〉(专家建议稿) 及立法研究报告》，法律出版社2006年版；齐爱民：《中华人民共和国个人信息保护法示范法草案学者建议稿》，载《河北法学》2005年第6期；《个人信息保护法》(专家建议稿)即将发布，http://mp.weixin.qq.com/s/vT7EK3QdRGzovkr5ibDBDg，2018年3月28日访问。但我国个人信息保护专门立法一直难产，实践中确立了个人信息分散立法保护的模式。到目前为止，实质规定个人信息保护内容的法律主要有：2009年2月28日实施的《刑法修正案(七)》、全国人民代表大会常务委员会2012年12月28日实施的《关于加强网络信息保护的决定》(简称《决定》)、2014年1月1日施行的《消费者权益保护法》、2015年11月1日施行的《刑法修正案(九)》、2017年6月1日施行的《网络安全法》和2017年10月1日施行的《民法总则》。其中，《民法总则》和刑法的规定下文专门讨论，这里暂且不论。

总体上看，个人信息分散立法保护主要包括以下内容：第一，个人信息的界定。《决定》给出了个人电子信息的界定，采用的是识别个人身份+涉及个人隐私的定义方式；《网络安全法》则把个人信息扩展为“以电子或其他方式记录的”、“能够单独或者与其他信息结合识别自然人个人身份的各种信息”，是直接识别与间接识别相结合的定义，并列举了“姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等”具体个人信息。第二，明确了个人信息处理原则。《决定》中明确了合法、正当、必要的原则，明示收集、使用信息的目的、方式、范围原则，经被收集者同意原则，以及不得违法、违规、违约收集使用信息原则。这些原则也规定在了《消费者权益保护法》和《网络安全法》中。第三，信息主体的权利。《决定》规定了删除权，《网络安全法》则在此基础上规定了删除或者更正权。第四，处罚措施。上述法律规定了常规的民事、行政和刑事处罚措施，除此之外，《决定》增加规定了“记入社会信用档案并予以公布”这一处罚。第五，其他规定《决定》明确规定了网络实名制，《网络安全法》则对经过处理无法识别特定个人且不能复原的个人信息做了信息主体同意提供的例外规定。

上述立法中的个人信息保护，内容虽然简略，但基本上涵盖了前信息时代个人信息法律保护的核心内容，包括可识别性个人信息界定、个人控制权的保护以及以知情同意为核心的原则设定。但我国个人信息分散立法保护的缺陷十分明显，主要体现为保护对象不明确、信息主体权利不完整、权利义务不完善和法律责任不到位等，[注]参见王秀哲：《我国个人信息立法保护实证研究》，载《东方法学》2016年第3期。学者们一直倡导通过制定专门的个人信息保护法解决以上分散立法保护的弊端，通过专门立法实现完整的个人信息法律保护。[注]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期；周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期。但是，值得注意的是，在大数据技术挑战面前，如果不能跳出前信息时代的旧有思维，依然围绕可识别性界定个人信息和个人控制权能进行立法，根本无法应对大数据时代个人信息保护范围、权利内涵、保护原则的变化。其实，立法追求严谨与内容明确的特点并不适应大数据技术之下个人信息利用的变动性，通过立法保护个人信息通常会滞后于大数据技术要求，这也正是欧美国家近年来不断修改已有的个人信息保护法的原因。[注]参见范为：《数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期。大数据时代，个人信息法律保护不是单纯的权利实现，而是要在个人信息有效利用与权利行使之间寻找平衡，由此决定了个人信息立法保护必须转换思路并重构内容。

(二)刑法保护的被动

在法律不完善的前提下，针对个人信息滥用导致严重社会危害，只能由刑法出面进行灭火，这就是我国个人信息立法保护不完善，但是刑法保护先行的原因。《刑法修正案(七)》增加规定了出售、非法提供公民个人信息罪和非法获取公民个人信息罪，前一罪名主要规范国家机关和金融、电信、交通、教育、医疗等公共服务机关及其工作人员。《刑法修正案(九)》取消了特定主体限定，针对不特定对象规定了“侵犯公民个人信息罪”。为了应对刑法修正案中侵犯公民个人信息罪的规定过于抽象、无法准确定罪量刑以及法律适用分歧大等诸多问题，2017年6月1日最高人民法院和最高人民检察院联合发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(以下简称《解释》)。从而形成了比较完整的个人信息刑法保护规定。

侵犯公民个人信息罪的刑法规定，是从维护社会秩序出发，对于侵犯个人信息导致的公民人身财产权损害进行的刑法救济，在打击利用个人信息犯罪方面作用巨大。但由于个人信息保护的前置法律贫乏，刑法的个人信息犯罪规定必须解决许多不属于刑法规定的内容，由此导致刑法救济的被动性。目前，侵犯公民个人信息罪的具体适用必须仰赖《解释》正是这一被动救济的体现，而《解释》在实践应用中并不能起到应有的作用。例如，由于没有权威发挥作用的个人信息定义，司法解释只能从打击犯罪的功利主义出发，采取“形式上的广义可识别性+活动情况”对个人信息进行界定，[注]参见于志刚：《“公民个人信息”的权利属性与刑法保护思路》，载《浙江社会科学》2017年第10期。这一界定强调对“行踪轨迹”信息的重点保护。但惩处“获取、提供、出售行踪轨迹”信息的行为，无非是从预防严重犯罪的角度对犯罪的预备或手段行为的一种制裁，由于后续的严重犯罪行为有独立的刑法制裁，过于强调手段或预备行为的刑法制裁会模糊刑法保护个人信息的应有法益，实际上体现了一种屈从于现实的权宜之计或无奈之举。再比如，对“违反国家有关规定”的解释，扩大个人信息违法性范围的努力，与实践中几乎没有规章规定个人信息保护的实际相违背，根本无法适用。

大数据背景下，以刑法一己之力并不能完成个人信息法律保护的任务，我国《刑法》中的“侵犯公民个人信息罪”不过是面对危害后果的应急反应，虽然刑法的社会危害防治会暂时发挥作用，但也会引发更多实践中的问题。由此也决定了《解释》的内容越细化、规定的越具体，就会暴露出越多的问题，越解释越无力几乎就是《解释》的宿命。所以，只有把个人信息的刑法保护放置到个人信息法律制度建构的整体框架下，才能对《刑法》及其《解释》的局限性进行突破。

(三)民事侵权司法救济的无力

总体上看，我国个人信息民法保护相当贫乏，民事侵权的司法救济也几乎无所作为。新制订的《民法总则》虽然在第111条规定了“自然人的个人信息受法律保护”，但这一条文规定的“个人信息”，究竟是个人信息法益，抑或个人信息权，学者有不同的解读。虽然有学者做了个人信息权的论证，[注]参见杨立新：《个人信息：法益抑或民事权利——对〈民法总则〉第 111 条规定的“个人信息”之解读》，载《法学论坛》2018年第1期；郝思洋：《个人信息权确立的双重价值———兼评〈民法总则〉第 111 条》，载《河北法学》2017年第10期。但是由于《民法总则》的规定比较概括，还无法直接适用保护个人信息。另外，《民法总则》第110条对隐私保护的单独规定，也引发了隐私与个人信息保护如何协调的问题。[注]参见李永军：《论〈民法总则〉中个人隐私与信息的“二元制”保护及请求权基础》，载《浙江工商大学学报》2017年第3期。

民事领域的侵犯公民个人信息的纠纷解决主要还是依靠2014年6月23日最高人民法院发布的《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》，其第12条专门针对网络用户或者网络服务提供者利用网络公开个人信息的侵权行为做了规定，列举了自然人基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动等需保密的个人隐私，并做了约定公开、社会公共利益、科研、自行公开、合法渠道获取、法律或者行政法规另有规定的例外排除。这一规定成为法院审理侵犯个人信息民事案件的直接依据。但实践中，个人信息侵权的民事判决并不多。笔者以侵犯公民个人信息为案由搜索中国裁判文书网，民事案由只有8个判决[注]中国裁判文书网，http://wenshu.court.gov.cn/，2018年4月18日访问。，除了2个是从个人隐私的角度保护个人信息的外，只有2个涉及个人信息侵权，一是毛志刚合同纠纷二审民事判决书((2017)渝01民终4750号)；二是黄启红与深圳市恒波商业连锁股份有限公司一般人格权纠纷一审判决((2013)深罗法民一初字第1962号)。按照个人隐私、个人信息为案由搜索，则有民事案由317个，时间跨度从2010年到2018年，而根据判决内容，基本上是对个人隐私侵权的救济。在个人信息、隐私权民法保护均不完善的前提下，我国司法机关采取了将个人信息附属于隐私权进行保护的方式。“然而伴随着隐私权的现代性转向，司法实践中个人信息的附属保护模式却遭遇了困境。无论从权利配置还是从个人信息保护机构的运作来看，个案裁决的救济方式都无法建构完整的个人信息保护框架。”[注]张建文、高完成：《司法实践中个人信息的保护模式及其反思———以隐私权的转型为视角》，载《重庆邮电大学学报(社会科学版)》2016年第3期。

司法实践中直接侵犯个人信息的民事纠纷案件并不多，一方面表明我国个人信息民法保护先天不足，另一方面也不能忽视大数据时代单个个人信息的民事侵权已被量化的数据库侵权所吞没的现实。由于大数据时代个人信息权利的异化，个人信息的资源性利用远大于其保密价值，所以，着眼于个体性权利的民事侵权救济并不能有效发挥作用，必须针对平台企业和国家机构的数据库开发利用重新设定民事责任。而从司法裁决多强调隐私权保护来看，个人信息的隐私权属性有重要价值，尤其是在数字化人格发展的今天，注重个体性地位的最好体现仍然是隐私权保护。

四、大数据时代个人信息法律保护的制度重建

个人信息法律保护的制度重建是大数据时代世界各国共同面对的问题。当个人信息法律保护制度面临变革时，作为后起国家，我们应主动适应大数据的时代要求，不要简单照搬或受制于国外制度，而要立基于解决实践困境，从大数据信息有效利用的视角出发，重新思考和定位我国个人信息法律保护制度建构。

(一)个人信息标准的立法替代

我国个人信息保护专门立法一直难产，一定程度上暴露出了无法通过简单的立法解决个人信息法律保护的现实困境，尤其是面对大数据技术的飞速发展，立法保护的学术观点越发需要关注多方利益，趋向于解决复杂的社会关系。继张新宝教授提出我国个人信息保护法应以“两头强化，三方平衡”理论为基础进行制度设计的方案后；[注]参见张新宝：《从隐私到个人信息：利益再衡量的理论与制度安排》，载《中国法学》2015年第3期。周汉华教授进一步提出了激励相容的个人信息立法方向，认为通过激励信息控制者主动保护个人信息安全，实现对个人信息权利的保护，立法需要改变原来的命令控制式，而寻求多元互动。[注]参见周汉华：《探索激励相容的个人数据治理之道——中国个人信息保护法的立法方向》，载《法学研究》2018年第2期。多方利益平衡以及多元互动的立法导向是对大数据时代个人信息利用的复杂特征的应对，但是，立法本身的技术性要求以及严密论证、漫长民主程序等都不适应这一重任，与大数据相适应的立法期待展现了相当的难度。其实，多元互动的激励相容机制恰恰表明需要采取多元制度建构，并不只有立法一途。

在个人信息保护立法空缺的情况下，与技术相连的个人信息保护标准起到了部分立法替代作用。由工业和信息化部起草2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》是我国关于个人信息保护的第一个国家标准。[注]《信息安全技术公共及商用服务信息系统个人信息保护指南》http://baike.baidu.com/link?url=iPlrAXvQ_OtDMQyNBJdNnjohK7XervxdJQ1OB7fGJVRmJIPtfYBGg6w8Zseg7Z_B3F_wsbOlNyX1bDzmPE61hq，2018年4月12日访问。2014年3月15日中国科学技术法学会、北京大学互联网法律中心联合发布了《互联网企业个人信息保护测评标准》，这是我国首部互联网领域由独立第三方学术机构倡议的个人信息保护测评行业标准。[注]《互联网企业个人信息保护测评标准发布》，http://tech.sina.com.cn/other/2014-03-17/11409247350.shtml；《互联网企业个人信息保护测评标准》http://vip.chinalawinfo.com/newlaw2002/slc/slc.asp?gid=220993，2018年4月12日访问。2018年1月，国家标准《个人信息安全规范(GB/T 35273-2017)》(以下简称《规范》)正式发布，尽管这是一部推荐性的国家标准，不具有强制力，但仍引起了学界与实务界的广泛关注。在关于《规范》的各类解读中，有声音认为规范的发布及时地填补了现今个人信息保护中诸多技术细节与实操领域的规范空白；也有声音认为，这部国家标准比欧洲与美国对于个人信息保护的要求更为严格，可能会影响行业的发展。[注]《个人信息安全规范》史上最内行解读，http://news.163.com/18/0206/02/D9U7CB32000187VE.html，2018年4月16日访问。总体上看，在网络安全法治框架下，《规范》立足信息安全的维度，厘定、阐明了个人信息安全保护领域的诸多重要问题，如“个人信息”的基本定义、个人信息安全的基本要求等；并突出了个人信息全生命周期动态调节的机制特色，为提升公民意识、企业合规和国家监管水平提供了新的业务参照和行为指引。[注]同④。

技术标准因其没有直接的立法效力，其效用往往被忽视，但是，其可因企业自愿遵守而产生约束力；行政机关可参照做出行政决定、采取非正式监管措施，法院也可以援引作为裁判说理依据；而规范一旦被法律、法规、规章、强制性标准援引，便可在相应规范中产生与之同等的法律效力。[注]参见许可：《试论〈个人信息安全规范〉的法律效力》，http://mp.weixin.qq.com/s/ZxadBeYTW9Idm0neWwhk8Q，2018年4月16日访问。大数据技术的特征，决定了对个人信息的利用是一种可以用技术标准框定的规范性操作，这在维护个人信息利用秩序和安全方面意义重大。由于标准的技术性、中立性、客观性，以及随着技术进步的变动性，用标准来确定个人信息法律保护的基本问题更为恰当。个人信息保护标准不仅更能灵活应对大数据技术不断发展的要求，解决立法的滞后性；而且标准本身的灵活性更有利于大数据时代的个人信息安全、利用以及保护的需要。在标准替代立法的局面下，并不是用标准完全取代立法，而是把能够技术规范、标准化的内容拿到标准中来，或者明确已经被标准确定的内容，以技术解决技术带来的变动性问题，在此基础上，放弃制定大而全的个人信息保护专门法律的做法，重点制定适应大数据时代要求的特别保护法。

(二)多方互动的隐私风险评估机制建构

如前所述，以个人控制为核心的个人信息权利保护已经在大数据技术面前发生异化，脱离个人掌控的个人信息利用决定了事后侵权责任无法发挥作用。“隐私风险评估”( Privacy Impact Assessment，PIA) 是衡量隐私风险的有效工具，实践中已发展为标准化操作流程，成为国际上日益认同的理念与最佳实务。场景与风险导向的新思路认识到，大数据时代纷繁复杂的个人信息处理场景中，前端的、静态的遵循知情同意的框架已经不足以应对严峻的隐私挑战，必须及时扭转思路，在个人信息处理所处的具体场景中进行动态的风险控制，即变僵化的合规遵循为灵活的风险管理，促进个人信息的“合理使用”，重点规制个人信息的“不合理使用”行为。[注]参见范为：《数据时代个人信息保护的路径重构》，载《环球法律评论》2016年第5期。

隐私风险评估的理论基础是承认个人信息法律保护的隐私权价值，虽然个人信息的财产权保护[注]参见刘德良：《个人信息的财产权保护》，载《法学研究》2007年第3期。以及个人信息权利[注]参见王利明：《论个人信息权的法律保护——以个人信息权与隐私权的界分为中心》，载《现代法学》2013年第4期。保护的主张都有很好的论证，但是，在大数据带来的现代权力控制局面下，个体独立与尊严保护的人格利益更为重要，而对于这一人格利益的保护必须借助于信息性隐私权保护实现。[注]参见王学辉、赵昕：《隐私权之公私法整合保护探索———以“大数据时代”个人信息隐私为分析视点》，载《河北法学》2015年第5期；李延舜：《个人信息财产权理论及其检讨》，载《学习与探索》2017年第5期。如前文所述，我国隐私权价值取向的个人信息保护已经在司法实践中有了一定的积累，但由于我国隐私权的法律保护也不发达，如何整合个人信息与隐私权保护的关系，还需要进一步深入研究。而隐私风险评估作为动态的机制，能够在法律不完善时借助多元社会力量实现，这在我国已经有了一定的基础。

早在2010年奇虎360与腾讯网络大战(业界称为“3Q”大战)爆发时，就引发了企业主动承担保护个人信息隐私责任的争议。[注]参见王秀哲：《信息社会个人隐私权的公法保护研究》，中国民主法制出版社2017年版，第242页。在越来越激烈的互联网平台竞争中，攻击对手侵犯个人隐私确实可以起到争夺用户的目的，也引发了互联网企业主动保护个人隐私的自觉性。3Q大战后，腾讯公司和360公司都适时修改了自己网站的隐私声明(政策)，其中，由于主动挑起腾讯不保护个人隐私的争端，在保护个人隐私这个问题上，360似乎想做出业界的榜样。2018年3月1日最新版《360用户隐私保护白皮书3.0》发布，在白皮书中，360自述对自身的安全产品提出了更高的要求，尤其指出，360是国内首家设置首席隐私官(CPO，Chief Privacy Officer)一职的公司，并提出“四不三必须”行为规范，且呼吁互联网同业者加以补充和完善。[注]《360用户隐私白皮书》，http://www.360.cn/privacy/v3/bpsxy.html，2018年4月18日访问。面对360公司亮出的隐私保护大旗，业内企业认为360是在以隐私保护为由进行不正当竞争，曾经引发了众多网络平台对360的联手抵制，但是事件的发展让用户看到了平台保护个人信息隐私责任的重要性，反过来促使各个网络平台制定和完善自家的隐私声明。

上述事件展示了我国个人信息保护的行业自律发展。大数据技术下个人信息利用的无序呼唤行业自律，行业自律是多元互动治理的一个必要组成部分，虽然企业自发的隐私声明并没有发挥保护个人信息的实效，但通过行业自律可以引导隐私声明与隐私风险评估衔接，促成个人信息隐私保护的实现。此外，第三方平台的介入能够起到更为客观的监控效果。在大数据技术支撑下，我国的第三方监管也有了发展。2017年12月28日，南都个人信息保护研究中心发布了《2017个人信息保护年度报告》。该报告包括1550家网站和APP的隐私政策测评结果、南都在系列隐私调查中发现的问题、年度热点隐私事件盘点，以及2018年可能出现的新问题预测。据悉，这是国内首份由媒体发布的个人信息保护报告。南方都市报编委虞伟表示，从2016年开始，南都通过多篇调查报道，逐渐深入了个人信息安全领域的话题，我们正在尝试以新闻报道与第三方评测监督的方式，促进业界对个人信息安全形成共识。[注]南都报告：1550家平台隐私政策测评结果出炉 超八成透明度低，http://news.163.com/17/1229/09/D6QJ2F8M000187VE.html，2018年4月18日访问。

总之，大数据技术推动了我国个人信息产业的发展，企业有自律的原始动力，第三方监测体现了数字经济发展的需求。政府的监管应该关注这一动向，通过引导和介入完善多方互动的隐私风险评估机制建构。

(三)信任关系下的个人信息民法保护完善

社会交易和交往秩序的维护有赖于民法，而民法对个人信息的保护正在接受大数据技术的挑战。有学者研究指出，现行的个人信息保护法律规范，以“主客体二元对立”思维下的“理性人”理念为指引，通过强调个人信息主体的自主支配、自主决断和自己责任，来平衡个人信息的使用和保护。但是在大数据时代，个人信息保护的“理性人”理念面临着诸多困境，“理性人”的构建，抹去了具有“社会性”和“感性”特征的“信赖”，将现实中本来与他人和社会紧密联系的“完整”的人，塑造为与他人和社会分离和对立的理念人。以此为价值追求的个人信息保护法律规范，忽视信息社会中信赖的日益重要性，内含信息主体与信息控制者间的紧张对立关系，难以有效增进他们之间的互信。[注]参见吴泓：《信赖理念下的个人信息使用与保护》，载《华东政法大学学报》2018年第1期。这一信赖利益的提出与美国学者Helen Nissenbaum教授的隐私的情境脉络完整性理论的切入点和关切点相同。“情境脉络完整性”或者“脉络完整性”这个隐私权理论，将“个人资讯保护”与“在特定情境脉络下的个人资讯流动规范”两者互相连接起来，强调资讯的流动方式必须符合特定情境脉络对于资讯流动的期待，也就是符合特定情境脉络的社会规范。[注]参见刘静怡：《社群网路时代的隐私困境：“以Facebook为讨论对象”》，载《台大法学论丛》2012年第3期。

大数据时代，个人信息的产生和利用无处不在，个人信息并不只是标明个人身份的简单代码，而是人们传递感情、进行社会交往和商业活动的基础资源和活动记录。所以需要在具体环境中认识个人信息的保护需求。具体情境中如何处理个人信息的利用和保护？这取决于维系社会交往存在的伦理基础，即信任责任关系。这种信任关系下，个人信息主体对于超出该情境的个人信息流通具有要求接受者不予扩散的保密义务。美国学者索洛韦伊认为，保密性这一理论是一项对各种各样的人际关系予以维持都必不可少的理论。美国隐私权法遵从的防止隐私泄露规则注重保护原告的感情与不可侵犯的人格，而与此不同的是，英国信任责任法遵从的防止秘密泄露规则注重保护人与人之间互相信任与互相依靠的社会关系。[注]参见[美]尼尔M. 理查德、丹尼尔J. 索洛韦伊：《隐私权的另一种路径：信任责任法的复兴》，孙言译，载张民安主编：《隐私权的比较研究——法国、德国、美国及其他国家的隐私权》，中山大学出版社2013年版，第45-47页，第79-87页。通过信任责任法确立的信任关系，能够实现信息利用者负责任地利用个人信息。

我国《民法总则》第111条已经明确写入保护个人信息，该条内容虽然还有待于具体法律进行细化，但是根据《民法总则》第7条规定的诚信原则，可以通过民事信任责任法的建立保障个人信息安全和不受侵犯。在大数据时代，由于个人信息的广泛利用性，个人的知情同意已经退位给使用者承担责任，在个人信息的有效利用中，使用者与个人信息主体之间的信任关系的建立非常重要，也即可以通过信任关系建立良好的个人信息利用秩序。在我国，民法中的诚实信用原则一直面临现实挑战，社会信用制度尚没有建立，信任责任法极其缺乏，如能在个人信息责任制度方面进行突破，不仅有利于个人信息利用秩序的建立，也无疑会为大数据时代社会信用制度的建立奠定基础。而借助于大数据技术，信息责任法的建立并不困难，在各种网络平台推出个人信用评估的当下，利用大数据技术对个人信息控制者即网络平台本身的信用进行评估更为重要，当然，这一任务需要借助于媒体、第三方平台以及政府的推介共同完成。

综上所述，个人信息的法律保护是随着大数据技术的发展变动最为剧烈的领域，鉴于大数据带来的个人信息利用特征的变化，美国和欧盟都在积极通过修法进行应对，我国虽然在个人信息法律保护方面一直落后，但是，大数据技术的发展带来了迎头赶上的契机。虽然以权利为核心的前信息时代的个人信息法律保护并没有完全过时，却也是必要的积累，我们应在做好补课的同时，适应大数据时代要求，从多元、变动的视角做好个人信息法律保护的整体制度建构。