林雨晓，张雨欣，计宏伟，左 俊，曹小雅，王 丰

一、大数据时代个人信息的价值与风险

（一）大数据运营的技术基础

“大数据”的概念是由美国数据科学家维克托·迈尔·舍恩伯格在2010年提出的。大数据技术在近年迅速兴起，以云计算技术为基础，迅速扩展到了社会生活的各个领域。大数据生态体系向成熟阶段迈进的同时也为大数据产业的健康发展不断注入新动力。互联网、物联网、云计算等技术的快速发展引发了数据种类数量爆炸式的增长，数据已经成为重要的生产因素。

大数据的关键技术有大数据采集和预处理技术、大数据存储与管理技术、数据挖掘与数据分析。数据分析是大数据技术中最核心的部分，它是产生价值的第一步。目前Google、Facebook、百度等大型互联网企业使用的数据处理系统有批量数据处理系统、流式数据处理系统、图数据处理系统和交互式数据处理系统。数据分析运用传统的深度学习、数理统计等技术和云计算技术对采集到的数据进行深度挖掘，提取有价值的信息，使其在商业领域、企业决策、信息预测方面得到应用并发挥作用。经由数据可视化技术和人工智能技术进一步整理，最终提供给用户。技术发展带来大数据产业的爆炸式发展，大数据产业与其他行业互通互融，迎来了“大数据+”时代。然而，大数据全产业链发展的同时，也暴露出一系列问题。其中较为棘手的是大数据在数据采集、存储和使用过程中均存在诸多安全隐患，如何保障大数据的安全以及规避大数据使用过程中可能给当事人带来的法律风险，是现有技术仍没有办法完全解决的难题。

（二）个人信息在大数据时代的变化与价值

大数据的发展使得个人信息更为广泛地传递和运用在当今社会中，个人信息也不再是那些单一的基本身份信息，随着信息范围与价值的扩大，信息也出现了新的定义与分类。传统的个人信息一般可以划分为三类：身份类个人基本信息、个人网络活动信息以及个人主观倾向存储的信息。这样的分类可以基本满足日常生活中对于各类信息的需求。但伴随着大数据的发展，个人信息的界线被拓宽，个人信息的认定标准也开始随之改变。大数据时代下的个人信息可以分为两类:第一类是在互联网诞生之前就已经存在的个人身份信息，这些个人信息的界定标准为是否“能够直接或间接识别特定个人”。比如年龄、姓名、性别、民族、户籍等公民的基本信息；第二类则是互联网诞生后产生的另一种特定存在于网络环境中的个人信息。它不同于第一类公民个人身份信息，其定义更加抽象化，比如网络账号和密码、网上的浏览记录、聊天通信记录、网购消费记录、邮箱地址、IP地址等等。十年前，对于个人信息的使用主要是对第一类传统信息的，且使用范围较为有限，而在十年后大数据时代来临的今日，第二类互联网个人信息则成为信息利用的主要对象，使用范围大大增加。

很长一段时间，人们普遍认为第二类数据的价值性较低，甚至不能称为个人信息，所以各大网络服务运营商也可以轻松获取大量第二类数据。但随着大数据技术的发展，当第二类数据数量足够大时，仅仅依靠第二类数据支持，数据控制方依旧可以利用数据分析预测出第一类数据信息，同时对未来可能产生的数据进行预测分析，从而左右一个人对于未来的判断以及决策。同时，在大数据信息化时代，信息除去传统的传递内容的价值之外，其商业以及战略价值也在不断凸显。当数据呈现一定规模，同时拥有强大的数据分析技术时，数据本身的内容便可以借此得以不断延展，通过现有信息获取的不仅仅是现有内容，而是可以在此基础上，推测出未知内容以及未来可能呈现的内容等，商家可以据此提供更具针对性的商品和服务，获得更大的商业利益。基于上述现象，原本并不具备商业以及战略价值的网络个人信息在大数据时代背景下获得了商业价值，GPS位置，购物记录等成了炙手可热的商业资源，因此，大数据时代个人信息的保护变得尤为重要。

二、大数据时代个人信息保护之困境

（一）技术发展与个人信息保护的利益冲突

20世纪四五十年代，第三次科技革命用电子信息业叩响了信息时代的大门，经过半个多世纪的发展，数据信息呈现爆炸式增长，信息技术渗透到生产生活的方方面面，这使得大数据运行得以实现。信息技术正逐渐成为一个国家的基础性资源。

首先，个人信息具有重要的价值。个人信息是个人财产的重要组成部分，其包含的身份信息，财产信息，社会关系信息，网络行为信息在法律、经济乃至政治领域都有着非常重要的研究以及利用价值。随着网络技术的不断普及和发展，越来越多的人开始利用互联网学习、工作，而利用互联网搜寻信息的行为本身便是一个留下信息的行为，普通网络用户在通过互联网技术获取信息的同时，也在向互联网反馈信息，将所有的信息点汇聚成线、面，便能够知晓用户的年龄、生活习惯、外貌、兴趣爱好等信息。

虽然大数据时代个人信息保护迫在眉睫。但是作为顺应时代发展的大数据技术本身，却有着更为重要的技术以及战略意义。大数据不仅包含互联网、移动设备、智能设备等渠道获取的文娱方面的信息，也包括渗入各行业的医疗设备、教育设备等记载的海量数据，这些数据源源不断地渗透到现代企业的日常管理和运作的方方面面。改变了人类社会传统的商业模式，同时冲击着企业运行的新思维、新模式，社会商业环境在大数据的推动下毫无疑问将进入新一轮发展阶段。而大数据的效用也不仅局限于经济商业领域，政治、教育、法律各行各业都将面临大数据所带来的改革与发展。

一方面需要健全大数据时代个人信息保护机制；另一方面需要肯定大数据技术发展的必然性以及时代价值。然而目前的困境是很难做到两者兼顾：大数据技术的创新发展，需要海量数据和相关技术作为背景支撑，而只要信息一旦进入网络媒介，就必然承担着泄漏的风险；同时，随着法治社会的建立，人们的法治意识不断增强，加强个人信息保护的要求也在不断被公众关注和提及。如何在收集运用数据的同时兼顾个人信息的保护，是目前法律制度建设上的一大难题。

（二）司法救济途径“名存实亡”

在法律层面，我国关于个人信息保护的法律规定数量并不少，但只是零散地分布于民法总则、刑法、网络安全法、消费者权益保护法当中，尚未形成完整的体系。同时面对大数据这种日新月异的技术，很多法律规范由于未能及时更新，实际执行中存在诸多不合理。

一是缺乏体系化保护，不同部门法对个人信息保护存在真空。《刑法》第253条规定了“侵犯公民个人信息罪”，有效打击了相应的违法行为。但在现实生活中能够构成犯罪行为的并不多见，更常见为一般侵权行为。但是由于缺乏系统化的法律体系，不同程度的侵权行为应该如何衡定和规制仍没有一个统一的法律标准。《民法总则》第111条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。虽然《民法总则》中明确提出保护个人信息的要求，但并没有对“个人信息权”的概念进行界定，也没有明确规定侵权者需要承担的法律责任，法条的宣示性大于实际操作功效。2017年出台的《网络安全法》具有强烈的公法色彩，其主要立法目的是维护网络安全，然而在涉及私人权利个人信息保护方面，缺乏针对性，作用同样十分有限。

二是各部门法之间相对割裂。基于我国的特殊国情，个人信息保护的现状是重刑事处罚，辅之行政管理，而少见民事规则，在发生个人信息泄露后，即便违法之人得到了刑事或行政方面的处罚，可受害者的财产性损失和非财产性损失仍得不到实质性的补偿。个人信息法律保护是个综合性问题，涉及宪法、民法、刑法、行政法等多个领域。分布在这几个法律体系中的相关法律有重合也有空白。各部门法规定的执法主体不一致也会导致管理乱象。所以我国急需指定一部完整的、统一的、清晰的个人信息保护法，最大限度保护公民的合法权益。

三是部分现有法律缺乏实际操作性。对于近几年才发展起来的大数据技术，目前的很多法律规范已经不能规制新出现的相关问题。其一，举证责任不合理。根据现有法律规定，公民若是对侵犯个人信息的行为提起诉讼，需承担举证责任。但由于这类案件证据不易保留，技术性强，所以作为个体的消费者难以举出相关证据以维护自身合法利益。在庞某诉趣拿公司和东方航空泄露订票信息案中，王某诉汉庭酒店泄露开房信息案等案件中，消费者均因被泄露信息的扩散渠道不具有唯一性而败诉。其二，立法态度保守。大数据时代，个人信息的财产特性表现得更为明显，很多欧美国家已将其作为财产权而非人格权的客体。我国《民法总则》对个人信息的界定仍透露着这样的讯息：个人信息作为人格权的客体是神圣不可侵犯的。这样的规定在大数据时代可能会不利于信息流动，也不利于后续立法关于大数据运营商权利义务的合理确定。其三，法律脱离大数据时代技术性要求，相关权利义务的划分不合理。《网络安全法》第22条、第41条，《消费者权益保护法》第29条都将用户或消费者同意作为采集和利用信息的基础，而运营商则可以以此为由避免相关责任的承担。但是生活中，绝大多数用户首先对于冗长拗口还夹杂着一些专业术语的隐私协议并不能完全理解。其次，几乎所有软件的应用均以同意协议为前提要件。所以针对该格式条款中的同意相应的隐私条款才允许使用的相关规定，是否就一定更能够规避运营商的相关责任，仍待考量。

三、大数据时代个人信息保护的法律对策

（一）坚持技术中立原则

本文所说的技术中立原则，是用来指代美国知识产权法中的“实质性非侵权用途”规则，也就是说在销售一种同时具有合法和非法用途的商品时，可免负侵权法律责任，即技术提供商在被诉侵权时主张的免责事由。大数据技术是现代互联网、人工智能技术发展的基本条件，因此在这一技术领域，庞大的数据信息是支持技术实现的必要前提。所以，从支持大数据技术发展的角度出发，法律并不能从源头上明确规制大数据运营商们收集、处理乃至运用信息的行为。其次，作为大数据运营商利用数据收集、数据分析功能，实现智能推荐、人工智能等服务，其本质提供的是数据分析服务以及数据分析结果。其收集的各类信息是否能够算作用户的个人隐私，以及该行为是否能够认定为侵犯公民个人信息的侵权行为，尚待商榷。综上，在各类大数据运营环节中，实际引发各种纠纷的行为，不是数据运营商利用数据分析技术处理海量信息线索从而反馈给用户提供具有针对性的服务，而是储存海量信息的数据库被数据运营商当作商品进行交易。因此，面对上述问题能够发现，大数据时代公民个人信息保护面对的危机并不是由于技术的需要所带来的信息的广泛采集，而是面对信息被广泛采集时，我们应该如何解决信息的保护以及监管，对滥用信息者应该采取何种制裁措施。从最初源于版权纠纷的“实质性非侵权用途”发展至后来的“红旗规则”，各个领域中的技术中立原则的适用实则越来越严格。然而在大数据背景下，数据首先是技术运用以及发展的必要条件，基于此，所有的数据运营商对于数据本身都是积极主动收集，并积极主动分析运用，同时其收集的信息内容越广泛，对于其后期信息的分析处理便更有利，所得数据结果也便更具有参考价值。在这样一种行业运营要求的前提下，对于该行业技术人员提出过高的法律要求，要求其在收集信息时，对不同信息的隐秘程度、可能造成的相应法律风险进行分析和判断，明显和该行业本身的运营机制是相违背的。其次，大数据技术本身对于当今时代而言，所带的技术价值远远大于其可能带来法律风险，因此，为了维护公民个人信息保护而否决技术本身的价值，无疑是不合理，同时也是违背现代技术发展规律的。第三，如上所论述，大数据时代真正导致纠纷发展的源头并不在于大数据技术本身，而在于随着大数据技术的发展，我们尚未建立起配套的后期信息监管体系，真正出现问题的不在于信息收集以及分析，而是信息后期的使用和管理。这是伴随新型技术的发展所必然会衍生的一个管理制度滞后的问题。而这一问题的解决主要可以采用两种方法。首先，通过法律制度的完善、管理体系的建立，后期规制该技术发展中可能面临的各种问题。其次，利用技术的革新去解决现存问题。技术发展是一个成长性的过程，在这一过程中，会面临各种各样的问题，有一些是长期性的，需要建立相匹配的其他制度规范加以规制，而有一些则是暂时性的，是由于现有技术仍存在诸多问题，不能从根本上规制现有纠纷。但这些问题，必然会随着技术的不断成熟得到更好的解决。无论上述何种解决方式，其根本均在于秉持着新型技术中立的原则，支持且帮助技术得到更好的发展。

（二）行业自我监管为主，司法监督为辅

目前，掌握和使用公民个人信息的主体大致可以分为四类：政府及其他公权力机关、市场经营主体、自然人以及其他非营利性组织。其中占比最重的是市场经营主体，这些经营者搜集、整理个人信息，并对大量的个人信息进行大数据分析，利用分析结果相应地调整经营策略、销售策略等，以此谋取更多商业收益。

行业自律规范往往为大多数企业所公认，在特定行业领域内具有广泛的权威性并能够得到自觉遵守，通过行业自律机制能够较好地解决特定行业对个人信息特殊保护的问题。公权力机关和市场经营主体搜集、整理和利用公民个人信息的目的和方法都是不同的，并且我国大数据经济正处于发展的关键时期，此时若提高法律的底线标准，必然会影响行业发展的自发性以及积极性；其次，不同行业对个人信息整理利用的目的、方法、情况等也由于各行各业的特性而有所不同，所以很难制定统一法典进行规制；再者，网络技术发展日新月异，大数据时代下侵犯个人信息的方式也在不断地变化和改进，而法律为维护其自身的权威，很难根据技术的进步随时做出调整，故滞后性作为法律的基本特性将导致法律根本无法根治一个发展中的技术所面临的各种问题。与此不同，行业自治组织则可以随着新情况的不断产生而进行不断商议和修改，其更适合网络发展迅速的特点，能够及时调整和解决侵犯个人信息的问题，具有专业性、经济性、相对灵活性、成本低等优势。同时，作为行业本身的从业人员，对于行业技术本身面对的缺陷以及可能存在的问题，拥有更为敏感的触觉和感知，因此，在面对各种问题时也更能够发现技术问题的关键所在，同时制定出更有针对性的解决办法。更为专业的管理团队，低成本的管理模式，以及高度灵活性的管理制度比起法律，在新型技术发展初期，将发挥更大的作用。

行业自律模式能够在一定程度上事前预防侵权行为的发生，但一个社会纠纷最权威的解决方式必然是司法。任何领域无救济的权利不是权利，如果想要将公民的个人信息权的保护落到实处，就必须设立相应的纠纷解决机制，以便在公民的个人信息权被侵犯时能够得到实际的救济。面对个人信息被侵犯的情况，现有的保护法规大都只规定了个人信息收集者和处理者的禁止性义务，并没有对违法者所要承担的法律责任做出相应的规定。很多内容带有宣示性色彩，不具有实践操作性，难以在纠纷发生时，真正起到定纷止争的作用。

综上所述，面对处于高速发展时期的大数据技术，很难在最初便制定出最为合适以及稳定的法律制度，但同时司法保护作为最后的救济途径，在实际纠纷救济中又承担着不可替代的作用。因此在面对大数据技术引起的纠纷时，应首先以行业自律监管为主，当纠纷实际发生时，再通过司法救济作为补充，同时相关法律制度不宜制定得过细，在实际纠纷解决的过程中，可以给予法官较大的裁量权。如此，一方面不会因为过于严苛的法律限制了技术本身的发展，同时又在一定程度上维护了技术发展过程中公民的基本权利，实现权利的平衡发展。