(华南理工大学 广东 广州 511400)

一、大数据时代对个人信息的影响

个人信息的概念由来以久，并非根据大数据时代的发展而产生。个人身份证号、消费记录等是个人信息，而个人的外形特征、姓名也是个人信息，这些个人信息一定程度上由民法的人格权、隐私权进行规制。本来在民法体系上各得其所的个人信息，如今其法律属性为学界讨论，是因为大数据时代的出现。大数据的定义比较权威的是麦肯锡公司的观点：超过了典型数据库软件工具捕获、存储、管理和分析数据能力的数据集。例如，沃尔玛每小时要处理上百万的客户事务，这些事务被导入数据库，约有2.5PB的数据量。可以说大数据的产生是因为物理存储器的性能每十八个月提升一次，但价格却不断降低，使信息的海量储存成为可能。大数据时代下信息的数量已经超出人们的直接感知能力。信息数量的爆炸性增长颠覆了对个人信息定义及保护方式的理解。

(一)促进个人信息再定义

通过比对和概括1981年欧洲理事会通过《保护个人信息自动化处理公约》、1998年英国《数据保护法案》、1995年欧盟《个人数据保护指令》，以上文本均认为个人信息指可以直接或间接识别自然人身份的相关信息。大数据潮流从2009年逐步显现，用二十世纪的定义理解数据革命后的个人信息含义会觉得十分抽象，此定义也难以在实践中帮助认定个人信息。原因在于现在个人信息的界定需要基于动态场景：

首先，个人信息基数大但分布零散，有些信息孤立来看毫无用处，但在特定情形却能识别个人。此时个人信息按照传统概念，囊括范围会变得非常大，似乎一切信息都可以成为个人信息。第二，信息的价值不再单纯来自其基本用途，而更多源于对其二次利用，个人信息含藏在数据之中，信息收集者会将信息整合，这样就不能单纯看单个数据本身。第三，大数据环境下信息的相关性越显重要。已知特定个人，信息使用者在进行数据挖掘的过程中有可能发现从传统意义来说与个人无关的信息与该个人具有相关性。这种与个人不具有直接因果关系的信息原本不会成为个人信息，但在该动态场景下人与信息却有了联系，信息具备了识别功能。

(二)催生个人信息保护新方式

现今个人信息保护制度主要分为三个方面：第一，人格权法保护。运用隐私权、姓名权、肖像权、形象权和公开权对部分直接个人信息进行规制。但以上权利不能为所有个人信息提供保护，不是所有个人信息都涉及隐私、姓名、肖像的权利，或达到现行法的既定保护要求。第二，知识产权法保护。有学者认为，知识产品，或称智力成果，实际也是一种信息形式。知识产品是因其具有独创性，始得知识产权法的保护。但个人信息很大部分不具有创造性，这类个人信息不能适用知识产权法。第三，竞争法保护。商业秘密是具有经济价值、未被公众所知、被采取保密措施的信息。但是个人信息的对象为自然人，不属于商业秘密的概念适用对象，因而不落入竞争法的保护范围。现行法律架构对个人信息的保护方式为孤立而并非统一，不可避免在网络这个虚拟环境下存在个人信息领域方面的权利真空。信息革命浪潮推动个人信息权这种新型权利发展起来，个人信息权的性质开始为人探讨。

二、个人信息的再定义

(一)如何辨别个人信息

1.界定标准：识别个人

个人信息的范围虽然在大数据的影响下有所扩大，但其界定标准仍然是能够直接或间接地识别个人。对识别的理解应该为：可以将特定人从群体中区分出来；或者通过具体信息联系上特定人。识别这个概念的最终关注点是具体个人——个人的利益和自由有没有因为个人信息的利用受到不法侵害——而不在于信息本身。在大数据的环境下个人信息范围大而边界模糊，分布零散，因此仅纠结于信息的类型会让个人信息的定义流于抽象，不具有操作性。当然笔者并不是认为个人信息不需要再进行分类分级，而是在大数据的发展下，直接识别信息可以识别个人毋庸置疑，与此同时还有一些边缘性的信息可以识别个人，因此关注的重点就转向比较具有争议的间接识别信息。如果对零散信息的处理结果可以指向特定个人，或者对特定个人造成影响，也可以说构成了识别。

2.识别方法：以结果为导向的场景化思维

对于个人信息的定义，需要立足于具体的情况，在具体的场景(context)中进行判别。大数据的价值在于二次利用，其实个人信息的价值和风险也来自于利用，对信息的不同利用方式会构成不同的场景。个人信息尤其是不能够直接识别出个人的信息的边界是动态的，是否构成个人信息应视具体的场景而定。比如说，某小区的楼价是客观的非个人信息，但已知甲刚在这个小区购置了一层楼房，则小区的房屋价格便成为甲的个人信息。从中可以看出，对于个人信息的定义是以结果为导向的。A信息在甲场景中是非个人信息，但是因为在乙场景中起到了识别个人的作用，就成为了个人信息。“场景”的构成要素是多元的，包括信息的敏感度、数量、收集方式、信息接收者的状况、信息的使用目的与后果影响、与外部信息的比对情况，乃至科技的发展水平等。这种识别结果并不能构成侵犯个人信息的相关权利的充分必要条件，但是从识别结果的角度出发，在很多情况下可以反推出数据使用者具有识别特定人的故意，成为数据使用者侵犯个人信息权的其中一个构成要素。

3.识别方法：个人数据的相关性

有的信息可以直接识别出个人，比如说个人身份证号，而有的信息虽然不能直接识别个人，但是信息累积越多，该个人的具体形象就越丰满，这些信息间就具有“相关性”。已知具体个人，然后进一步了解该个人的具体信息，可以使个人图像愈趋完整化。比如说，婚姻的已婚未婚状态，本来并不是个人信息，但如果知道是关于谁的，就会构成个人信息。此处的“关于”谁，就是信息的相关性。这种具有相关性的信息间本质上看具有因果关系，但是因果关系的重要性被淡化。就像啤酒与尿布的例子，父亲们去买尿布，顺便买瓶啤酒犒劳自己，因为是父亲们去买尿布，所以啤酒的销量才会增加，换成是母亲去买尿布，可能啤酒的销量不会因此增加。具有相关性的两种信息不是不具有因果关系，而是在利用信息的时候，只要二者具有相关性就可以作出相应的经济决策，而不需要花时间考虑二者的因果关系。

(二)摆脱对定义的路径依赖

前文已述，大数据时代个人信息的界定以结果为导向。但过于强调这种定义可能会导致不公平：数据使用者即使是处理非个人信息，也可能在客观结果上对个人造成了影响，此时数据使用者不能以处理的是非个人信息为理由进行抗辩，监管者也可能由结果反推数据使用者具有识别个人的故意，从而认定其侵权。其实定义只是一个中间手段，辨析个人信息是为了适用个人信息的法律，为用户提供个人信息权利保护，以及相对应地明确数据使用者的义务。因此，需要更加强调明确权利和义务，一方面把个人信息的法律落到实处，另一方面对个人信息定义进行补强。

对个人信息定义进行补强，需要列举排除法律适用的情况。符合法律规定的条件可以豁免相应的法律义务，属于例外事由；即使不属于例外事由，当数据使用者的行为构成对个人信息的合理使用，也不需要得到用户授权。在这方面欧盟的《数据保护指令》及其改革法案《通用数据保护条例》(以下称GDPR)以及美国的《消费者隐私权利法案》(以下称CPBR)走在世界的前列。得到法律豁免的情形概括来说有日常交往以及动机合理。法律以日常交往的需要以及动机合理为出发点，对现实中需要豁免的情形进行列举。关于适用例外事由，例如GDPR中规定，在个人信息被单纯用于自然人或家庭活动目的时，豁免个人信息保护法的适用。关于适用合理使用，CPBR规定，个人信息处理行为在“特定场景中合理”时，无需取得用户同意。虽然无具体的类型化规定，但2010年CPBR框架最初提出时，曾就场景中合理的标准具体列举中五种普遍接受的应用实践：提供产品和服务、内部运营、反欺诈、履行法定义务与实现公共利益，以及第一方产品营销。

三、个人信息权财产化合理性

新出台的《民法总则》把个人信息以及数据纳入了保护范围。第一百一十一条规定，自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。第一百二十七条规定，法律对数据、网络虚拟财产的保护有规定的，依照其规定。个人信息和数据的规定作为单独条文与人格权的规定并列，说明个人信息和数据不仅是人格权的指向对象之一，而且具有其特殊性。一直以来民法学界大多认为个人信息属于人格权的内容，但笔者觉得财产观开放性的性质可以使个人信息成为财产权的客体；并且在数据不断增长、个人与企业乃至国家对数据越来越依赖、对数据利用的要求越来越高的现实下，个人信息的商品化程度实际上已经很高，个人信息实际已经在商品化过程中实现了财产化。坚持人格权的理论，认为信息不可成为交易的对象，这种说法是不现实的。现在条文只有概括性的两条，个人信息的相关权利以后如何落实会涉及立法目标。倾向于人格权的消极保护还是财产权的积极保护是立法层需要考虑的问题。

(一)个人信息财产权主体：信息主体

讨论个人信息财产权，首先需要明确主体为何人。前文已述，人格权规制部分直接个人信息，人格权的权利主体毫无疑问属于信息主体，信息主体后续维权有明确的法律依据。笔者认为，个人信息的财产权也应该属于信息主体。因为个人信息与该特定个人密不可分，会涉及信息主体的个人尊严，如果信息主体对个人信息不具有控制权，那么他人对个人信息进行处分不需要得到信息主体的同意，此时个人不可避免地成为了客体。但个人信息主体属于谁没有法律最终确定，在现实生活中个人信息由信息使用者掌握，而信息使用者如何对信息进行利用与商业性交换，信息主体很大程度上并不知悉。更为奇怪的是，信息主体作为信息的产生者，很多时候不仅不能分享信息利用带来的收益，而且还受到信息滥用的侵扰。信息主体难以维权，一方面是因为不同的信息使用者各有各的数据库，而且经过多重买卖，信息主体无从知晓有多少信息使用者掌握自己的信息。另一方面是信息主体对信息没有财产权，不参与利润分配，没有动力求知有多少信息掌握在别人手中。信息使用者面对高额的利益回报与缺失的权利规制，任何一个理性经济人必定不会与信息主体分享利益，并且会阻挠信息主体争取其财产权。信息财产权应该回归信息主体所有，由信息主体许可相关权利给信息使用者，可以实现保护信息主体权利和保障信息使用者利用信息的利益平衡。

(二)个人信息财产权客体：个人信息

从历史的角度看，人类把什么作为财产并不是一成不变的，而是根据当时的生产力，结合人类自身需要，把具有稀缺性、有价值的东西作为财产。稀缺和价值是成为财产的根本性因素，因此即使传统概念上财产是有形的，但只要人们需要，也会通过修改财产观将无形的事物纳入财产的外延。农耕时代的财产以土地等不动产为核心，在当时的法律上有着重要的体现：“对土地处分权的保护成为罗马私法的核心使命”。(第一篇)此时的财产观是一种有形财产观。工业革命把人类推入工业社会，以手工劳动的生产被机器为主的生产代替，这时生产的目的主要不是为了满足自我需求，而是为了交易，人们开始更关注物的利用和物的价值。人们发现并不只有实体物才具有经济价值，智力成果在某种程度上性质与物相似，具有财产权的特性。经过财产观的修正与扩展，知识产权作为一种权利成为了新的财产权客体，财产观从有形向无形方面拓展。到了如今充分认识到信息资源的重要性的时代，人类很多活动都围绕数据展开。从个人层面看，人们通过数据认识世界，利用数据的实证分析是表达观点的重要方法。从国家层面看，国家经济状况的表现和经济政策的指定皆需立足于数据。围绕信息的利益关系变得越来越复杂，信息俨然成为利益的一种载体。信息就是在各种经济活动中逐渐商品化，从而逐渐实现了财产化。

(三)个人信息权倾向：财产化

个人信息的价值和功能分为两个方面的内容：维护主体的个人尊严和财产利益。在过去，由于社会经济水平和技术水平不高，个人信息很少得到商业性利用，对个人信息的规制主要着重于人格保护，其余的个人信息暴露在外不需要权利保护，比如人的外表、出行路线，每个人都能看见。人格权的立法目的不包括维护主体的财产利益，因此满足一定条件，信息主体的确可以要求一定精神损害赔偿，但是精神损害赔偿依据的是填平原则，信息主体并不能根据精神损害赔偿获利。而如今现实发生了改变。第一，个人信息被利用很多情况下并不造成精神损害，比如网上商城根据消费者的购买记录得出其消费喜好对其进行商品推送，就不涉及精神创伤问题，这样首先消费者就不能获得赔偿；第二，信息使用者通过利用信息获得巨大利润，从信息主体角度出发更急迫的是如何参与利润分配，而不是如何维护个人尊严。个人信息肯定会存在人格保护问题，但是个人信息的爆炸性增长与使用方式的改变使人格权不能为其提供完整性保护。因此个人信息法应该以财产法为取向，个人信息财产性内容由个人信息法规制，个人信息人格权内容留给人格权保护。这是由个人信息权兼有财产权和人格权特性决定的，与民法的体系并不矛盾。

四、比较法角度：个人信息的立法建议

当前信息财产规定走得比较前沿的是俄罗斯和美国。

俄罗斯审议了《俄罗斯信息、信息化与信息保护法》，立法目的为通过所有权保护信息财产。该法规定，信息资源是财产的组成部分和所有权的客体。其法律指定的信息为广义的信息，包括纸面信息和电子信息。同时还规定，有关信息资源所有权的关系由俄罗斯联邦民法调整。

美国则通过了《统一计算机信息交易法》，目的在于建立一整套信息销售的法律。该法第一次在立法上确立了计算机信息，指利用计算机生成的，或者可供计算机使用和处理的电子信息。该法还明确了信息财产作为一种独立的民法法律关系客体的法律地位，把信息财产作为知识财产看待，并设计出和知识产权性质相一致的上位权利——信息产权来保护计算机信息。

综合两个国家的法律进行分析，笔者认为个人信息乃至于信息财产，是一种新类型的民事法律关系的客体，具有法律上的确定性和独立性，是一种独立的财产形式。信息的性质并非物，信息是与物并列的一种事物形态。信息也不一定具有独创性，没有独创性的信息不受知识产权法保护。信息财产权、物权和知识产权各有其性质，不能互相取代，应为信息社会财产权的三大组成部分。目前，信息财产处于权利空白地带，美国《统一计算机信息交易法》以知识产权保护为核心，没有从根本上合理界定信息财产的法律属性。个人信息属于信息财产的内容，信息财产需要单行立法，在一般情况下准用物权法规定，涉及人格权时准用人格权法规定，单行法则对信息财产的特殊问题进行规定。

结语

个人信息的潜在价值巨大，而大数据、云计算仍然处于不断发展的阶段，可以预见，个人信息的研究现在虽然仍在比较浅显的阶段，但未来仍然会占据研究的热点话题。个人信息讲求利用和保护的平衡，在信息使用方利用信息获得利润的同时，信息主体有合理利润分成的诉求。个人信息在商品化过程中实现了财产化，面对这种信息浪潮，我们处于浪潮的巅峰应该推动法律适应实践发展。