杨兆圆 董嗣彬

东北林业大学文法学院，黑龙江 哈尔滨 150040

一、个人信息与个人数据的区别

如今互联网深入到我们生活每处，个人的信息收集场景增多，无疑对其安全产生前所未有的冲击，这已经成为各国不可回避的问题，尤其在我国强调大数据产业发展，大数据的产业的基础就是数据。正如贵阳大数据交易所称他们数据覆盖的领域包括金融数据、行为数据、企业数据、社会数据、交通数据、通信数据、电商数据、工业数据、投资数据、医疗数据、卫星数据等，虽然种类繁多但我们追本溯源发现它们皆来自于公民的个人信息。要数据产业发展，还是保护个人信息安全？已经成为各国无法回避的难题，它本质上是寻求互联网数据的发展与个人信息保护的平衡，需要在数据确权、流通、交易等方面确定相关的制度。目前我国在学术界、立法上尚未对个人信息的权属做出明确的回答，这在很大程度上限制了数据产业的发展，同时增大个人信息安全风险。根据北大法宝发布的“侵犯公民个人信息罪”专题案例与数据分析报告中最高法公布的典型案例，侵犯公民个人信息罪从信息内容来看，包括个人征信信息、行踪信息、住宿信息、户籍信息、网购订单信息、学生信息等；从非法获取信息的方式来看，包括通过黑客软件窃取、利用系统漏洞窃取、买卖等。因此，需要在法律层面设计平衡大数据交易发展与个人信息安全的制度，合理、高效的规范个人信息的利用。[1]

个人信息(personal information)是指与特定个人相关的、反映个体特征的具有可识别性的符号系统，包括个人身份、工作、家庭、财产、将康等各方面的信息[1]。数据(data)根据我国国家标准《情报与文献工作词汇基本术语》是指数字、字母与符号的集合。我们可以这样理解两者的关系，信息内容的数据化表达，使信息与主体、载体分离，得以实现独立存在。[2]另一方面，适用的场景的不同。随着我们生活的每一领域充斥着互联网应用，互联网式的收集信息已经成为关注的重点，数据控制者开发商业利用的必须是经过处理后的个人信息，此场景加之大数据领域中个人数据才是规制。

目前我国还未在学术、立法中对二者进行正式的区分，这造成在不同场景下对“个人信息”产生普遍的混同，不利于对其性质开展进一步的细致探讨。建议可以依据互联网个人信息收集的行业操作特点，即数据控制者必须要对收集的带有敏感的个人信息进行清洗、匿名化处理、融合等进而变为脱敏数据的流程为标志，进行分段精准的定义。即敏感信息因其具有直接的可识别性，与主体的人格有着天然紧密的关联，以人格权的角度符合个人信息；但一旦经过数据控制者的加工，个人信息转化为脱离信息源主体的、不具有可识别性的，承载特定特征的碎片化的“0、1”，此时它反应某一方面的一个信息点，应为个人数据。这样的划分方法符合个人信息与数据既有概念，同时在可操作性方面以是否具有直接的可识别性加以判断。同时为进一步探讨性质提供了分阶段的新视野。

二、大数据时代个人信息保护的挑战

在大数据时代，个人信息是大数据发展的基础。而大数据技术的运用使个人信息面临着极易被泄露的风险，一旦泄露，将会给企业带来巨大的经济损失并造成千万消费者的个人数据泄露。近年来，个人信息泄露事件呈高发态势，如互联网企业5000万用户信息泄露，某企业5亿条数据信息泄露，这5亿条数据被打包出售。再如，2018年上半年，中国互联网有大量的泄露的数据在暗网传播。例如，某省1000万学籍信息在暗网出售；某快递公司10亿条快递物流数据在暗网出售。在互联网时代，大数据飞速发展，对个人信息的威胁无处不在。个人信息因其重要的数据资源价值，往往成为犯罪分子非法获取和交易的对象，围绕着个人信息引发的犯罪及人数越来越多。而且围绕个人信息的非法获取、出售、非法提供、非法利用，形成非法产业链，严重侵犯公民个人信息。2018年11月8日，中国最高人民检察院检察长张军在第五届世界互联网大会“大数据时代的个人信息保护”分论坛上提供了一组数据：2018年上半年，54%的中国网民在上网过程中遇到网络安全问题，其中遭遇个人信息泄露问题占比最高，达28.5%。2016年，中国检察机关起诉侵犯公民个人信息犯罪1029人，2017年起诉4407人，2018年1-9月起诉3283人，呈明显增长趋势。[3]个人信息泄露事件频发，阻碍大数据产业发展，对于个人信息的保护刻不容缓。当下，个人信息泄漏事件的范围已经不只是局部问题，俨然已成为一个全球性问题。面对频发的个人信息泄露事件和个人信息犯罪以及围绕着个人信息产生的犯罪，我们不能只发展数据产业，而忽视了个人信息的保护。

三、大数据发展的必要性：政用价值、商用价值、民用价值

大数据已成为新时代发展的重要生产要素，个人信息就是资源。一个国家掌握和运用大数据的能力成为国家竞争力的重要体现，各个国家面对大数据发展这一时代契机，将大数据发展作为产业发展的核心，制定保护本国数据发展的相应政策。“美国高度重视大数据的研发和应用，2012年3月推出“大数据研究与发展倡议”，将大数据作为国家重要的战略资源进行管理和应用，2016年5月进一步发布“联邦大数据研究与开发计划”，不断加强在大数据研发和应用方面的布局。欧盟2014年推出了“数据驱动的经济”战略，倡导欧洲各国抢抓大数据发展机遇。此外，英国、日本、澳大利亚等国也出台了类似政策，推动大数据应用，拉动产业发展。”[4]我国也实施了国家大数据发展战略，制定了符合本国数据发展的一系列相应政策。我国围绕着国家大数据战略做出实施创新驱动发展战略、网络强国战略、“互联网+”行动、《中国制造2025》等一系列重大决策，开启了数字中国建设的新征程。[5]现在还在贵州、广东、北京等地区成立了以数据交易为基础形成的大数据交易所，成立了大数据产业联盟，力推大数据产业的发展。大数据的最重要价值在于运用，大数据的应用在政用价值、商用价值、民用价值的体现尤为显著。

(一)政用价值：通过大数据的发展和应用提升政府治理能力

随着现代信息化的推进，政府在运用数据的水平也有了巨大提高。大数据成为政府治理的新途径。当前，全社会信息量爆炸式增长，政府在国家治理的过程中收集了大量的数据。大数据的应用能改变传统的政府治理模式，完善政府的治理能力，推动更多的政府数据共享，促进社会事业数据的分析和整合，极大提升政府运用数据分析的能力，从而有效的提升政府治理能力。可以真正做到用数据说话，用数据管理，用数据决策，用数据创新，实现政府基于数据的科学决策，民主决策，真正的做到让大数据的发展和应用提升政府治理能力。

(二)商用价值：通过大数据发展和应用增强经济发展活力

当前，我国实施国家大数据发展战略，数据资源急剧增长，大数据产业蓬勃发展。据中国信息通信研究院《大数据白皮书(2018年)》预计，我国大数据产业产值2019年将实现8000亿元，2020年将达到10100亿元。企业也认识到了运用数据和分析数据对企业发展的重要性，对数据资源的需求越来越强烈。中国信息通信研究院《2018年中国大数据发展调查报告》显示，接近2/3的企业已经成立了相关的数据分析部门，企业对数据分析的重视程度进一步提高。65.2%的受访企业已经成立了数据分析部门；正在计划成立相关数据部门的占比为24.4%，近四成的企业已经运用了大数据。[6]企业通过收集信息，对大数据技术的运用，能增强对顾客消费需求的了解；同时能预测市场未来的发展状况，制定出更加科学的经营策略，提高企业的市场竞争力。为了抓住大数据发展的机遇，一些地区已经成立了以数据交易为基础成立的大数据交易所，贵阳大数据交易所为典型代表。数字经济已成为推动经济发展的新引擎，为现代社会的经济体系增添了活力。

(三)民用价值：通过大数据的发展和应用保障和改善民生

习近平主席在十九大报告中明确指出，我国社会的主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的主要矛盾。人民日益增长的美好生活需要离不开保障和改善民生。通过对大数据技术的运用，推动公共服务内容及方式的更加智能化，个性化，服务范围更趋普惠包容，逐步提升社会服务水平，改善人民群众在脱贫、就业、教育、收入、医疗卫生、基本保障等方面的状况。用大数据去为人民谋福利，提高人民群众的幸福指数，把数字经济带来的红利惠及广大人民群众。

四、欧盟和美国个人信息保护模式

互联网的发展给个人信息带来巨大威胁，各个国家都开始加强对个人信息的保护。各个国家因为自身互联网发展情况不同，本身国情的不同，因此对个人数据进行法律保护和救济的模式与侧重点也不同。最为典型的是以立法规制为主的欧盟模式和与行业自律模式为主的美国模式。

(一)欧盟模式

个人数据权利在欧盟被视为基本人权，欧盟通过统一立法确认和保护个人的数据权利，并规定了充分的法律救济措施。欧盟模式为个人数据的法律保护提供了统一的法定标准，对收集和使用数据的个人和企业规定了严格的收集和使用数据的权限和严厉的法律责任，这种做法加大对个人数据保护力度，能较好的保护个人数据。但此模式存在两个缺陷。第一，大数据时代，互联网科技的发展十分迅速，日新月异。而法律不可能朝令夕改，僵硬的法律条款并不能随着大数据发展的需要而随时做出改变，缺乏灵活性。第二，欧盟的法律对于个人数据的保护，相对来说过于严厉，并且比较细致，对互联网企业的限制太大，会阻碍以依托个人信息为基础的数据产业的发展。在5月25日，《欧盟通用数据保护条例》生效。此《条例》被称为欧盟史上最严数据条例。2018年1月21日，法国国家信息与自由委员会以违反GDPR为由对谷歌重罚5000万欧元，这足以看出欧盟对个人数据的保护过于严厉。这种模式在个人数据保护与大数据发展的二者关系上较偏向于个人数据保护。

(二)美国模式

美国采取以行业自律为主导分散立法的模式，美国则对不同的领域和事项制定单行法，不同的个人数据及侵权行为规定了不同的法律和制度，在这种模式下，互联网企业对数据的收集和使用有较大权限，并且规定的法律责任较轻。美国的行业自律模式能促进商业活动的发展，但是这种模式的缺陷也显露出来。因其统一立法较少，主要依托行业自律模式，因缺少足够的法律支持，对个人信息的收集和利用设定限制较少，对个人数据的保护力度较弱，对侵犯个人数据的行为不能及时提供充分的法律救济，不利于个人数据的保护。这种模式在个人信息与数据发展二者关系上较偏向于数据发展。欧盟模式过于严厉的立法虽能较好的保护个人信息，但势必影响大数据为代表的信息产业的发展，美国模式虽能促进以大数据产业为代表的商业活动的发展，但对个人信息的保护力度较弱，不利于个人信息的保护。可见，无论是欧盟模式还是美国模式都不能较好的平衡好大数据发展和个人信息保护二者的关系。

五、怎样平衡个人信息保护和数据产业发展

(一)细致划分

目前，对于个人信息的权利基础并未达成统一的观点，立法上《民法总则》第111条明确对自然人的个人信息受法律保护。同时在第127条中规定“法律对数据、网络虚拟财产的保护有规定的，依照其规定”，均非正面回应个人信息性质的正面。总结各学者的观点，大体分为具体人格权、人格权的商品化、新型财产权或知识产权等。这些观点过多偏重静态的方面设计，无法通顺、有效地回应互联网、大数据产业中数据控制者的实际的需求。如何平衡二者的关系成为重点，因为“任何法律的制定和执行都应有利于资源配置的效益最大化。法律的促进效率的主要方法就是通过法律权利的配置来达到的。”[7]因此可以从概念“个人信息”与“个人数据”为视角切入，分别设定个人信息以人格权，个人数据为新型财产权。

(二)分段构建

个人信息从本体的人格权的角度可划分为两大种类——“与人格尊严有直接关系的个人信息”和“与个人尊严没有直接关系的个人信息”[8]进一步说前者涉及到的信息是前文中提及的敏感信息，最本质的特征是具有直接的可识别性，通常是主体的身份属性、生理属性，以及个人信息权中体现出的那一小部分与个人隐私权重合的部分。这些是个人信息权的最低底线，此时作为一项具体的人格权应发挥作用保护人之所以为人的尊严，设计保护的重心在信息原主体对于敏感信息的控制力。这种控制力体现在以下三个方面：一、信息原主体有选择敏感信息是否被收集的权利。因为这些信息是个体人格的产物，谈不上对公共利益，又基于“理性人”的普遍存在，可以推定主体同意被收集的背后是获得合算利益的。公权力不应过多的干涉权利主体在私域内的意思自治。二、强调潜在的风险性。在大数据的应用下，通过网页、应用软件等采集用户的行为轨迹及衍生结果体量越来越大，不可忽视即使是通过匿名化处理后的数据经过大量交叉还原出信息主体的可能，让信息原主体置身于“人格尊严”的潜在风险。三、赋予信息原主体合理的退出机制。信息原主体不使用提供的服务时的退出即删除规则。这部分的设置主要为了保护公民的人格权，将个人信息中最核心部分、人格最紧密的部分提取出来，对数据控制者行为的限制，这种限制除了配合信息原主体的请求外，还以禁止这部分敏感信息转卖、共享给他人，因为基于科技复制信息轻而易举，如果这些敏感信息扩散到第三方，那无法保证信息原主体的删除权的发挥完全作用，又让信息原主体置身于“人格尊严”的潜在风险。

对于“与个人尊严没有直接关系的个人信息”，即变为非敏感的脱离行为主体的具有商业价值的个人数据。个人数据是不可触摸的，但具有脱离信息主体意志的独立性、处理后的商业价值、并可以用于交换，应视为一类无形财产。[9]并且在实践领域个人数据已经显示出商业价值，我们不能否认有价值不一定可以归结为法律上的财产的民法财产观，同时意识到传统的财产体系也正在遭受到信息化革命的挑战，虽然在传统的财产中难寻权利的定位权，但我们可以类比用财产保护的路径给予个人数据新的保护。那权利的主体是谁呢？颠覆传统的纸质媒介，互联网应用场景中，数据收集有更高的效率。海量零散杂乱的数据对于行为主体来讲，无论是从时间还是技术成本上考量，都很难将其转化成商业价值，可能就停留在“潜在”价值的层面。另一方面，行为主体在使用服务商提供的“免费”服务以付出对价的方式许可数据的收集者基于类似“隐私条款”的合同获得收集权。对于数据收据者此时仅仅获得收集个人信息的权利，收集的信息包括全部的形态，是原始的信息，但数据控制者只有通过履行一系列义务、付出专有的劳动后时(匿名化后)才获得数据的财产权。这个跨越遵从了洛克的劳动创造财产理论，“信息的开发投入了大量的时间、资金和资源，根据洛克的劳动价值理论，商家具有享有此种商业价值的正当性。”[10]这个阶段的个人数据已经脱离信息原主体而存在，完成了跨越，因此信息原主体对于这部分数据并没有权要求删除，设置更多的是为保护数据控制者的交易方便、安全。作为一种新型的财产，个人数据无论是从理论上还是现实基础上都应该确定数据的收集者享有这样的财产权。互联网上个人信息收集的行业流程特点为基础，细致划分为两大阶段，针对不同的保护法益，实施不同的侧重保护，既不同于欧盟的“严刑”，又区别于美国的“放任”，能有效平衡好大数据发展与个人信息保护的关系。

六、总结

个人信息已成为重要的生产力要素，大数据成为社会进步的推动器。但是，伴随着大数据发展的同时，个人信息泄露事件频发，给个人信息的保护带来巨大挑战。所以，如何平衡好个人信息保护和大数据发展之间的关系，就成为当下需要解决的首要问题。而平衡好个人信息保护和大数据产业发展的关键就是明确个人信息的权属。只有明确个人信息的权属，才能在不阻碍大数据产业的发展的前提下，保护好个人信息。我们需要平衡好依托个人信息为基础的大数据的发展和个人信息的保护，我们应该以互联网上个人信息收集的行业流程特点为基础，细致划分为两大阶段，针对不同的保护法益，实施不同的侧重保护，既不同于欧盟的“严刑”，又区别于美国的“放任”，创造出属于中国的个人信息保护之路。笔者认为这样做，既能在大数据发展的同时，也不忽视个人信息的保护。