赵君怡

(安徽大学，安徽 合肥 230601)

一、我国个人信息交易的现状分析

在大数据时代，云计算、人工智能等新兴技术的广泛应用使公民个人信息的价值进一步凸显，大规模个人信息的收集和挖掘不仅能够轻易推断出个人的活动特征和行为偏好，甚至能够详细描绘个人生活达到令人难以置信的程度。因此，个人信息对于政府和企业来说具有重要价值，个人信息交易也有了现实的需求。在国家政策的积极推动和产业的带动下，数据交易市场如雨后春笋般不断涌现，贵阳、上海等地开始率先探索大数据交易机制。基于对个人隐私保护的考虑，交易所通常对包括个人信息在内的多种数据进行清洗脱敏，因而交易对象并非原始数据，而是匿名化处理后无法被复原的数据。

经过长期收集、储存、分析和使用的大量个人信息为科学研究、公共政策、商事企业的快速发展创造了巨大的机遇，研究人员、政策制定者、企业家等愈加期望获得更多、更精准的个人信息，如全球定位系统接收器和嵌入在消费设备中的高精度传感器的应用等正使得新数据的来源以更频繁的间隔和更精细的级别提供数据。但是，个人信息价值的挖掘同样给保护个人隐私的传统制度施加了巨大压力，大数据交易可能比传统数据研究活动产生更广泛的个人信息风险，一些大数据公司或迫于生存压力，或追求高额利润，可能存在交易未脱敏公民个人信息的非法行为。

就大数据交易的现状来看，个人信息保护主要面临两方面的风险。一方面，个人信息的有效利用能够带来巨大的社会效益，如企业用于向现有或潜在客户提供针对性服务，政府用于提高对突发性公共事件的反应能力和组织能力等。但长期的数据活动通常会增加可识别性，拥有大量高度敏感的个人信息的大数据公司在数据交易过程中会使公民面临更大的风险，即个人信息被非法披露、滥用或以对未来产生不利影响的方式使用。如何在利用数据的同时保护公民免受信息伤害，防控因个人信息泄露产生的经济损失、身份盗用以及潜在的民事或刑事责任等风险，是大数据交易在个人信息保护方面的重要环节。另一方面，个人信息既具有人身属性，又具有财产属性和社会属性，若为保障个人信息安全而忽视其财产属性和社会属性，则会形成信息孤岛，势必阻碍数据的价值开发和有序流通。但若将个人信息完全物化，则会导致信息主体对个人信息的随意交易，从而脱离人格权的保护，违背人格权立法的理念。如何平衡个人信息本身所具有的人身属性、财产属性、公共属性等多方面因素，兼顾社会经济利益的提升和公民个人权利的保障，是与大数据交易相关联的个人信息保护所必须做出的选择和回应。因此，在大数据交易方兴未艾的阶段，消除个人信息保护所面临的双重风险，调整保护个人信息的传统规则，是当下亟须解决的问题。

二、侵害个人信息的主要表现

数据处理技术的快速发展和广泛应用使个人信息的价值得到了深度挖掘，大量的个人信息分析结果几乎不受限制地被应用于一系列经济、社会领域。如果个人信息的价值被合理利用，个人信息的安全得到充分保障，那么数据交易行为自然被允许，但在现实中，规范的数据交易外还存在大量灰色地带，或是游走在法律边缘，或是踏入“法律的雷区”，俨然成为分工明确的“黑色产业链”。

(一)个人信息的不合理采集

在大数据背景下，一些网络运营商为了达到更好的营销效果，往往追求更为精确的用户信息，他们规避正规且合理合法的个人信息收集途径，要求用户在创建账号、提交订单、使用服务时填写大量信息，如姓名、年龄、手机号、电子邮箱、银行卡号等，其中包含大量敏感信息。例如，一个人的地理位置、收入状况、与他人的关联和活动等，甚至一些运营商利用后台程序录音、录像，暗中窃取用户的个人信息；或植入木马链接、钓鱼软件攻击用户设备，盗取设备中存储的个人信息；或以含糊不清的隐私条款诱导用户授予平台查看个人信息的权限。隐蔽的个人信息采集途径在“黑色产业链”中充当着数据源头，低廉的收集成本和极大的追责难度促使趋利的网络运营商在非法收集个人信息后运用数据处理技术对其进行分析，并根据信息分析结果向用户推送个性化广告和针对性服务，进而获取可观的经济利益。在网络上甚至还存在大量非法组织公开与信息需求者寻求合作，将非法获取的个人信息打包售卖。不合理的个人信息采集途径难以保证个人信息不被泄露，大数据交易中使用的个人信息也难以确定拥有合法的来源和有效的授权。

(二)个人信息的二次开发和再利用

个人信息的二次开发和再利用是指网络运营商依托采集到的海量个人信息构建用于市场分析、定向广告、风险评估等的消费者行为模型，并制作用户画像、制定算法策略，以此推测出一些尚未被公开的信息，便于后续的商业活动。这本身是一种良好的商业运作模式和数据利用方式，但是一些网络运营商却为了谋求暴利，进行非法的数据交易活动。例如，用户在申请互联网免费邮箱时，通常需要填写详细的个人信息，提供免费邮箱的供应商获取用户信息后，利用信息处理技术进行分析，并且将或未脱敏的信息分析结果出售给有需求的商家，使用户邮箱中经常收到具有针对性的广告邮件。这些广告质量良莠不齐，多为推销质量低劣的产品、未经批准的小额贷或高利贷、内容低俗的色情广告，甚至含有以诈骗为目的的木马病毒链接等。这些数据掮客在信息主体不知情的情况下对个人信息进行分析、拼接、转售，在“黑色产业链”中充当着数据中间商的角色，再度被开发利用的个人信息反倒成为一层又一层数据中间商的“提款机”。

(三)个人信息的非法交易

公民个人信息的非法交易是目前大数据背景下侵害个人信息最为严重的表现形式，个人信息不再是曾经“一文不值”的无用信息，而成为了当今炙手可热的盈利工具，不仅企业、商户可以用来投放个性化商业广告，甚至犯罪组织或个人也通过这一必备要素进行电信诈骗等违法犯罪活动。在现有的数据交易机制下，无论是合乎规范的数据流通还是隐藏在数据市场角落里的黑灰产业，大都发生在信息主体不知情或无力干预的情况下，信息主体对个人信息的控制力甚微。因此，个人信息被非法交易的情况十分严重，许多大数据公司、商业营销者、犯罪组织等主体充当着“黑色产业链”的数据终端，大量购买、出售未脱敏的个人信息。例如，2019年9月，《中国青年报》记者经过多次暗访调查曝光了一条网络简历收购产业链，网络商贩出售的简历内容完备、售价低廉，仅花费40元便可购买十万份简历，换言之，在网络上投递过简历的求职者在不知情的情况下，其个人信息被交易，其中甚至包含高度敏感信息，由此可见，个人信息被侵害规模之大令人触目惊心。

(四)个人信息的大规模泄露

在网络信息技术发展过程中，数据利用与数据安全之间脱节的现象愈加凸显，个人信息泄露似乎成了大数据时代频繁发生的事件。一方面，掌握大量个人信息的网络运营商、企业、政府机构等缺乏必要的信息保护意识，管理混乱、设备老旧、技术不完善等因素容易造成个人信息受恶意攻击而被泄露。例如，美国电商巨头亚马逊在2018年遭到网络黑客恶意入侵，发生了严重的用户数据泄露事件，大规模的用户信息被窃取、贩卖；我国在2020年抗击新冠疫情期间大量武汉返乡人员信息被泄露，过度恐慌的社会情绪引发了一系列网络暴力、人身伤害等恶性事件。信息技术手段升级的木马病毒、钓鱼软件、网络黑客等恶意攻击他人网站、窃取个人信息，借以非法牟利，给存储海量个人信息的相关机构和组织带来巨大的压力。另一方面，公民虽然担忧信息泄露，但仍然在分享个人信息，从购物到社交，在享受各种服务时，仍会留下个人信息。例如，互联网商家经常会为新顾客提供折扣卡，要求用户提供地址、电话号码和电子邮箱等，并且会附有隐私条款，这些条款篇幅很长且包含复杂的语法和法律定义，绝大部分用户会不看隐私条款而直接同意，使商家堂而皇之地收集与共享用户个人信息，却给用户制造出一种信息安全的错觉。在智能设备渗透到生活各个角落的背景下，公民个人信息越来越容易地暴露在极具开放性和共享性的外部环境中，加之个人的警惕性不高，对信息保护持轻视态度，使个人信息泄露呈现出愈演愈烈的态势。

三、个人信息保护面临的实践阻碍

(一)个人信息的“可识别”界定标准过于宽泛

个人信息保护的首要前提是明确“个人信息”这一法律概念的界定标准，从国家层面相关立法来看，我国采用了欧盟1995年关于个人信息保护的第95号指令中所述定义，以“可识别”标准界定个人信息，即单独或与其他信息结合“可识别”特定自然人的信息是个人信息。但是，在大数据技术的冲击下，海量的信息收集和多元化的分析路径使得对特定个人的辨识能力日益增强，具有识别性的范围圈不断扩大，个人信息的界定愈加宽泛，不仅无法保护公民个人的核心权益，而且极大掣肘了信息产业的进一步发展。

首先，以“可识别”标准界定个人信息针对的是单一数据，目的是防止公民个人遗留的零碎、分散的信息对自身造成伤害，而大数据交易是基于海量的个人信息，从统计数据层面实现对用户画像的制作和对特定个人身份的识别，这些数据如果分散为单一数据，并不具有识别性。按照当前个人信息的界定标准，将不具有识别性的碎片化信息在整合后具备了识别特定个人的效果，则此类碎片化信息也应当视为个人信息。由此可以发现，个人信息的范围将变得更加宽泛，随着大数据技术日新月异的发展，何种数据通过何种途径能够识别特定个人将难以预料，甚至在很多情况下，界定哪些信息属于个人信息都将变得困难重重。单一数据层面的个人信息保护与统计数据层面的大数据产业发展相冲突，且面临难以调和的困境。

其次，“可识别”的界定标准仅是从静态角度对个人信息进行判定，而在大数据时代，通过对数据进行关联与交叉验证，能够将多重不具备识别性的信息与具体的个人联系起来，进而实现法律意义上的非个人信息向个人信息转化，换言之，大数据分析技术的运用使信息的“识别性”时刻处于动态中。因此，对个人信息的界定也应当实现从形式理解到实质理解的转变，不仅要关注信息的“可识别性”，还应当重视以结果为导向的“伤害风险”，从动态的角度认识和界定个人信息。

个人信息界定的宽泛化和模糊化大幅度地扩张了个人信息保护的潜在范围，看似有利于个人的界定规则在大数据背景下并不易于实现，个人的信息权益在实践中也未获得尊重和保护。与此同时，数据企业承担了过重的个人信息侵权责任风险，不利于企业的科技创新和技术研发。

(二)个人信息的法律属性局限于单一层面

在大数据时代下，个人信息的利用和交易已成为常态，随着对个人信息价值的深度挖掘，海量的个人信息分析结果正广泛应用于医疗、商业、科学等诸多领域，带来了可观的经济利益和社会效益。如此一来，个人信息的人格权属性趋于弱化，而财产权属性不断强化。目前，我国对个人信息的保护在立法层面尚不明确，涵盖一切“具有可识别性”数据的个人信息外延宽泛、边界模糊，难以为任何主体所保护和支配。因此，厘清个人信息的法律属性对个人信息保护边界的确立至关重要。

支持个人信息为财产权属性的学者认为，在个人信息的利用过程中，信息主体相对于信息利用者来说处于弱势地位，对自身信息的控制力和支配力较弱。若改“被动防御”为“主动赋权”，赋予个人信息以财产价值，强化信息主体对专有财产的参控力度，能够更加现实、有效地保障信息主体的利益。然而，个人信息财产权理论虽从形式上强化了信息主体对信息流转利用的参控力度，信息主体似乎能够按照自己的意愿自由交易个人信息并获取经济利益，但此时的个人信息实际上脱离了人格尊严的范畴，使人被物化，那些无关个人人格、敏感隐私的个人信息随着数据分析技术的发展极有可能蜕变为反映个人私密、敏感特征的信息，导致难以估量的人格侵害。个人信息的保护本就源于公民个人对自身信息的自决权，而非取决于为何种主体所占有，个人信息所承载的财产权益亦根植于公民个人的人格尊严，而非随意脱离信息主体的以“物”交易。

支持个人信息为人格权属性的学者主张，信息主体享有对作为自身人格利益的个人信息的获取、处理、交易等予以控制的权力，具体包括信息的决定权、删除权、更正权等，其本质都是信息主体对自身信息的完全控制权，只是操作方式有所不同。这一观点忽视了个人信息所具有的公共利益价值，个人信息固然能够识别特定个人，但此种联系并不足以使个人信息完全归属于特定个人，或使特定个人对“具有识别性”的数据享有完全的支配权力。无论是指纹、血型、相貌等与生俱来的个人信息，还是姓名、家庭住址、电话号码等参与社会生活而获得的个人信息，只有存在于社会生活中才会产生价值。正是个人信息的开放和共享促成了社会公共福利的发展，个人信息产生于信息主体所处的社会，又造福于信息主体身处其中的社会。如果将个人信息仅视为具有人格属性的人格利益，要求对个人信息的收集、处理等均需征得信息主体的同意，那么势必会削弱个人信息的流动性，影响具有公共利益价值的数据库的建立，个人信息被“侵权”的现象也将日渐泛化。

个人信息既兼具财产权属性和人格权属性，又关涉私人利益和公共利益，因此对个人信息法律属性的理解不能仅仅局限于个人信息私有化的层面而忽略大数据背景下信息资源对社会公共利益的价值。对于个人而言，个人信息具有人格利益和财产利益，对于整个社会而言，个人信息所承载的财产利益更具“公共物品”的性质。

(三)“知情—同意”机制的个人信息保护功能完全消解

“知情—同意”机制被视为个人信息保护的基石，在其运行框架下，只有信息主体才有权决定个人信息的收集与利用，也只有经过信息主体的同意，信息的收集与利用才具有合法性。然而，这种看似全面保障信息主体权益、赋予个人信息绝对控制权的传统机制却在大数据时代遭遇严重冲击。

首先，“知情—同意”机制在实践中流于形式，似成空中楼阁。“知情—同意”机制的运行要求个人信息收集方应当在提供服务、获取授权时，以隐私声明、服务条款等形式取得用户的同意，为遵循法律要求，信息收集方往往会列出冗长艰涩、结构复杂的隐私声明，而奢望缺乏相关专业知识的用户在点击同意之前仔细阅读相关条款并理解其内在含义的可能性不高。

其次，“知情—同意”机制不仅无法保障信息控制权，并且在实质上架空了个人的选择权。在现有网络环境中，用户若要享受网络供应商提供的产品或服务，就必须遵守网络供应商采用的“使用即同意”规则，即便用户对其中条款产生异议，也往往只能被迫点击同意。因为用户不接受或部分不接受网络供应商提供的隐私条款，则无法正常使用网络供应商的产品或服务，即使网络供应商索要的个人信息并非提供产品或服务所必需。

最后，“知情—同意”机制在个人信息的流转和多元利用过程中无法发生效用。网络交互行为的多样、个人信息收集的密集、多方流转的隐秘等使用户无法控制个人信息在流转过程中的任何一个节点，甚至在很多情况下，用户对自身信息的收集尚不知情，难以对第一手信息收集者行使权利，更遑论向缺乏直接联系的信息分享者和信息利用者行使控制权。在大数据时代，个人信息的后续处理和多元利用是价值创造的主要来源，而信息中间商、多元信息利用主体与用户直接联系的缺失使用户对个人信息在后续流通环节中的使用目的和利用方式一无所知。“知情—同意”机制赋予用户的个人信息控制权不过是一种无法实现的控制假象。

此外，若个人信息的采集发生在公共场合或经他人之手，“知情—同意”机制亦不具有现实操作性。例如，公共场所多安装视频监控以满足公共安全和管理的需要，进入监控领域的公民往往在无意识间被采集面部信息，但却很难要求每一位公民都签署知情同意书；用户在使用某些应用软件时，需要授予软件查看个人通讯录的权限，此时应用软件应当征求用户通讯录中对应联系人的同意，因为手机号码等联系人信息并不属于手机所有人，但在实践中，应用软件并未逐一征得联系人的同意，而此种要求也不具有现实操作性。

“知情—同意”机制无法适应大数据时代数据信息的发展要求，其个人信息保护功能在大数据高超的信息分析和多方流转过程中被完全消解。因此，制度的设计应当建立在对大数据时代社会关系机理的准确认知上，单纯强调静态单边控制、赋予个人更强的信息控制权等并不能实现个人信息保护和利用的最优平衡。

四、个人信息保护制度构建

(一)确定个人信息保护思路

传统的个人信息保护制度局限于公民个人的信息权益，强调构建积极的个人信息控制权，这种保护思路潜在地削弱了数据企业对个人信息价值的释放作用，不利于发挥个人信息的经济效用和社会价值。在大数据时代，对个人信息的保护应当超越私权观念下的一味占有和控制，应将其视为可以共享的非稀缺的公共物品，允许第三方对个人信息进行收集、处理、使用和交易等，同时要求对个人信息价值的挖掘和释放不得损害信息主体的利益。如此一来，应以何种制度保护个人信息就显得十分明晰了。

在信息主体的个人信息权利层面，对个人信息的保护将不再是个人和数据企业基于私权保护产生的义务，而是国家为了公共福祉而承担的规范社会成员使用公共物品行为的责任。制度的设计不再围绕积极构建控制权，而是通过避免消极后果来扭转公民个人的弱势地位。例如，举证责任倒置、公益诉讼的发起、第三方风险评估的监督等应由公民个人掌握救济和追责的主动权，促使数据企业积极采取保障措施，必要时行使权利即可。在个人信息的经济效用和价值开发层面，个人信息保护同样重要，应根据数据流通和价值释放的特点，规定匿名化、去识别化等管理要求，信息主体或能够以数字化形式在网络空间生存，从而降低个人信息的流转风险，平衡风险产生于个人而收益却来自数据流通的矛盾。

(二)明确个人信息收集行为准则

我国现有制度对个人信息收集行为的规制仍然是建立在“知情—同意”机制的基础上，依赖信息收集行为具有相对固定范围这一客观事实。然而，数据分析技术已经展现出难以抹杀的进步性，数据使用者可以通过对海量信息的关联、排列，实现对去识别化信息背后真相的预测和判断，甚至在某种程度上，信息使用者以数据分析方式获取的个人信息比采取侵权手段直接获取的个人信息更加精确也更有价值，能够真正为公民个人所掌握和控制的个人信息范围正逐渐缩小。鉴于此，应当从两方面对个人信息收集行为进行规制。

首先，严格限定网络运营者对个人信息收集的范围。虽然用户在享受网络供应商提供的产品和服务时，往往会主动进行个人信息的填报和上传，从形式上满足法律所规定的“知情—同意”条件，但这并不意味着此种形式的信息收集行为就符合社会秩序的要求。用户对个人信息的授予行为只能视为享受产品或服务的对价，并非主动放弃对相关个人信息的控制权。超出必要范围的个人信息收集行为将会给用户带来极大的信息滥用风险，威胁用户的人格利益和财产利益，不具有正当性。因此，法律应当禁止此类行为，要求网络运营者不得引导用户填写享受产品和服务所非必要的个人信息，甚至应当针对不同的行业类型制定相对应的信息收集行为准则，从源头上治理个人信息的泄露问题。

其次，要求个人信息收集者承担严格的“匿名义务”。公民对自身信息是否公开、公开的用途、利用的方式等本就享有无可辩驳的控制权，但是在大数据时代，信息规模及其利用方式变得空前庞大和复杂，个人若要实现对已公开信息的控制权绝非易事。传统制度以被遗忘权作为解决问题的出路，赋予个人删除第三方存储的相关信息的权利，然而数据在互联网中的存储、复制、流转本就效率极高，加之原始数据往往经过多重加工而被掩盖，个人知情尚且不易，删除乃至消除某些影响更是困难。因此，由个人承担查询并通知特定主体删除相关信息的义务是不合理的，个人信息的收集者有责任确保收集和掌握的个人信息不会与公民的自然人身份产生对应联系，如果要突破这层界限，必须以用户授权书等形式证明自身收集行为的正当性，否则将视为对“匿名义务”的违反，应承担不利的法律后果。

(三)建立个人信息处理者追责机制

正如前文所述，大数据时代下多源数据融合和信息交叉验证使得去识别化的个人信息仍存在与用户的自然人身份相关联的危险，而用户往往无法直接与第三方个人信息处理者联系，难以对个人信息后续的处理、交易、利用等行使有效的知情权和控制权，造成较大的隐私风险。因此，个人信息保护制度的构建应当弥补对第三方信息处理者的监管真空，阻止信息处理者将其掌握的数据用于推测、关联信息主体并以加工分析后的信息侵犯信息主体的人格利益和财产利益，建立“谁使用谁负责”的信息处理者追责机制。

首先，突出个人信息处理者的法律地位独立性。在信息交易市场，信息处理者掌握着海量的数据资源和先进的信息技术，无疑处于绝对的优势地位，因此突出其在法律上的独立地位，明确其应当承担的告知、风险评估、信息保护等义务，增强其运作的透明度和自律程度是十分必要的。借鉴美国联邦贸易委员会报告的提议，要求信息处理者建立专门的网站向公众披露自身身份，适时更新掌握数据的处理状况，并提供用户行使权利的途径，以强化信息处理者对用户信息的管理责任和保护义务。

其次，对个人信息处理者采用过错推定的损害赔偿责任。公民对个人信息享有的知情权、更正权、删除权等极易在不规范的信息交易过程中受到侵害，由于信息主体和信息处理者所掌握的技术、资金等资源差距悬殊，为了维护社会公平，鼓励信息主体积极维护自身利益，对违反相关法律规定的信息处理者采用过错推定的损害赔偿责任，由信息处理者证明自己对损害的发生已尽到安全保障义务。在具体的损害责任承担方式上，除一般的侵权责任承担方式外，还应注重应用与人格尊严紧密联系的精神损害赔偿。

最后，确立“谁使用谁负责”的行业监管新理念。对于引发安全风险的个人信息处理行为，无论信息处理者是否与特定个人存在直接联系，均以统一的风险评估等级作为衡量信息处理者责任承担的指标，将“谁使用谁负责”的监管理念和问责机制无差别地覆盖个人信息交易系统中的多元主体，从而推动信息处理者采取更为积极的措施，保障信息安全，自觉规范自身处理、分析信息的行为，由此降低个人信息泄露的风险，维护大数据时代个人信息保护的良好秩序。

(四)完善个人信息授权规则

个人信息蕴含的商业价值、社会公开性程度与信息主体人格尊严的关联程度是有差异的，数据企业对不同类型信息的利用方式也是多样化的，并非所有的利用方式都与信息主体的人格利益紧密关联，也并非所有的信息流通均有必要得到信息主体的知情或同意。对此，法律应当在严格审查是否涉及个人人格利益的基础上建立明确的个人信息保密等级和公开等级，细化个人信息的授权形式和授权范围，从而实现个人信息保护和数据资源流通之并举。

具体来说，一是个人敏感信息的利用和流通必须获得信息主体的授权。个人敏感信息主要是与个人人格尊严和私生活安宁等紧密关联的信息，其保护程度应当高于一般信息，被授权者再次分享相关信息时，应再次取得信息主体的授权。二是除个人敏感信息外的一般信息与个人人格尊严和私生活安宁等关联程度低，尤其是一些已经公开的社会交往、个人教育等信息，应当尽量弱化信息主体的同意要求，甚至在某些情况下，仅有权利主体的默示同意即可。三是经过匿名化或去识别化处理的个人信息在进行处理后已经难以采用一般的技术手段识别出信息主体，在很大程度上阻断了相关信息与特定个人之间的关联性，降低了个人信息在利用、流通过程中的安全风险，原则上不必要求数据企业获得信息主体的授权。

此外，在数据企业提供给用户的授权书中，如果可能存在不利于用户个人信息保护的格式条款，就需要相关主管部门对数据企业所拟定授权书的合法性和合理性进行事前审查，如果个人信息授权书明显不利于保护用户的人格利益和财产利益，即使用户点击了同意选项，这些格式条款也不能成为数据企业侵犯个人信息权益的免责事由。