张俊发

(景德镇陶瓷大学，法学系，江西 景德镇 333403)

一、问题的提出

大数据时代，个人数据具有人格性与财产性。个人数据具有人格性是因为其与个人隐私呈交叉的关系，即有的个人隐私属于个人信息(1)如无特殊说明，为了研究系统性，本文所称个人数据与个人信息是属于同一概念。。传统隐私法将隐私权作为人格权的一种进行保护。但是数据控制主体又可以通过分析特定主体所产生的数据，挖掘其背后所蕴藏的财产价值。在云计算、人工智能、物联网以及互联网等技术的推动下，记录人们的活动轨迹、消费记录等信息的数据，将成为巨大的财富资源。数据已经成为新型资源，以至于有学者指出，个人数据就是网络电子商务中的新货币、网络经济的血液[1]。从这个意义上来说，个人信息又有着财产性[2]。

大数据时代，个人数据保护核心要解决的一个冲突问题就是，自然人的民事权益保护与数据企业的数据活动自由之间的冲突[3]。一方面，个人数据主体追求对其个人数据的有效保护，但数据企业为了实现个人数据的价值势必需要利用个人数据，这就会造成两者关于个人数据的利用争议。在司法实践中,对于数据企业利用大数据分析进行个性化推荐应用是否侵犯个人数据主体的权利存在争议。在朱某诉北京某科技有限公司案中，一审法院认为：北京某科技有限公司侵犯隐私，应赔礼道歉(2)参见 江苏省南京市鼓楼区人民法院(2013)鼓民初字第3031号民事判决书。。但是，二审推翻了这一判决，二审法院认为：个性化推荐行为不构成侵犯朱某的隐私权，北京某科技有限公司在提供个性化推荐服务中运用网络技术收集、利用的是未能与网络用户个人身份对应识别的数据信息，该数据信息的匿名化特征不符合“个人信息”的可识别性要求[3]。

另一方面，围绕数据企业基于个人数据的财产性开展活动的价值争议也不断增多。在实践中，由于法律并未规定数据权利，某一平台没有合法的依据使用另一家平台的数据，其只能寻求反不正当竞争的救济。在上海某信息咨询有限公司诉北京某科技有限公司不正当竞争案中，法院认为：数据平台之间未经许可使用个人数据构成不正当竞争(3)参见 上海知识产权法院(2016)沪73 民终242 号民事判决书。。数据资源的争夺已然成为数据企业“攻城掠地”的必争之地，数据经济利益的纠纷也不断出现。自我国首例大数据不正当竞争纠纷案(4)参见 北京知识产权法院民事判决书(2016)京73 民终588 号民事判决书。以来，围绕数据的纠纷日益增多，如北京某网络技术有限公司诉北京某技术有限公司、北京某科技有限公司案(5)参见 北京市高级人民法院(2016)京73 民终588 号民事判决书。，深圳某科技有限公司诉武汉某科技有限公司破坏加密措施、不正当爬取App数据案(6)参见 广东省深圳市中级人民法院(2017)粤03民初822号民事判决书。等。

从上述的案件争议中，可以看出，在面临数据纠纷时，不管是个人数据主体还是数据企业，均会因缺乏请求权基础而难以有效维护其利益。由于个人数据所体现的人格利益与财产利益并未上升到权利，以致个人数据主体为了保护其利益而寻求隐私权保护，至于数据企业为了保护个人数据上的财产利益只能寻求不正当竞争的法律保护。用户个人信息与网络运营商大数据在其全生命周期中面临客体交织与利益交叉[4]，法律制度未能有效进行规制是产生这一问题的原因之所在。

国内学者对这一问题的研究已持续10 多年[5]。刘新宇[6]指出，应明确数据的权利地位与属性，结合数据经济双向动态性的特点，在区分个人信息与数字资产的前提下，分别对用户与数据经营者进行具体的数据权利配置，形成更加多元化的数据治理体系，促进个人数据资源的最优保护与利用。黄震等[7]从数据控制来源分析了数据控制者权利的来源，包括在知情同意模式下数据控制权，出于社会公益目的获得数据控制权以及对于公开发出的数据获得控制权。此外，对于权利配置的基础理论问题，高富平[8]认为，个人数据权利配置的基础理论应从个人控制论转变为数据生产理论。

根据权利配置理论，权利配置包括静态配置与动态配置。前者是指立法者以立法的形式将可体现利益的对象赋予权利从而配置给某一主体，以实现对这一客体的法律保护；后者是指静态权利以某种形式(通常是交易)在不同的主体之间进行流转以实现该权利的价值。有鉴于此，本文运用权利静态配置理论分析个人数据的保护问题，运用动态配置理论分析数据的流通问题。

二、个人数据权利的静态配置

(一)权利的静态配置有助于对个人数据的保护

权利静态配置是指立法者通过立法将可体现利益的对象赋予权利从而配置给某一主体。大数据时代，虽然个人数据已经体现出巨大的利益，但对于个人数据是否应进行权利静态配置仍存在争议。梅夏英[9]认为：个人数据不属于权利的客体，过强的数据财产权制度设计不利于数据产业的战略性发展，主张个人数据的非财产性。

本文认为这一观点值得商榷。随着大数据技术的发展，数据体现出重要的经济价值。长久以来，数据承载着言论自由、政治民主等内容的实现，在关于数据信息知识及智慧体系下[10]，法律一直拒绝赋予或承认私人对信息的排他性支配权，更不用说作为信息载体的数据。但是，在大数据时代，人类获取知识的能力和方式发生了巨大变化。大数据时代的个人数据已经不再是传统的人类文明公共元素意义上的数据，也不是人类观察、测量、计算形成的对自然和社会现象的客观描述或记录，而是利用信息和通信技术，如网络设备、传感器、智能设备等，生产出来的描述特定对象和客观现象的数字化记录。这些大规模和多样化的数据为人类自身识读分析的可能性极低，但通过汇集一定量的数据进行关联分析，可以分析挖掘特定对象的特性、规律或趋势。这种数据分析处理技术被称为大数据分析或数据挖掘。大数据分析或数据挖掘使得个人数据呈现出财产价值。

不可否认，个人产生数据的价值是微乎其微的。如大众点评上的数据，如果仅仅是一两个人的评价，那么几乎可以忽略不计，其价值可想而知。正所谓普通人无法靠出售自己的个人数据赚钱，除非被收集后与其他来自相近社会经济类别的个人资料汇总在一起加以利用，否则单个的个人资料并不值钱[11]。然而，在大数据背景下，数据的大容量使其财产价值得以显现出来。真正蕴含巨大经济价值的是数据企业所收集和储存的海量的个人数据。

此外，现有的个人数据保护规范难以应对大数据时代所带来的挑战。现有的数据保护规范主要包括《中华人民共和国网络安全法》(以下简称《网络安全法》)中的个人信息保护条款、《中华人民共和国反不正当竞争法》(以下简称《反不正当竞争法》)当中的一般条款以及在2021年1月1日实施的《中华人民共和国民法典》(以下简称《民法典》)第四编《人格权》当中的个人信息保护条款。首先，《网络安全法》《民法典》的出台，个人信息保护得到部分回应，但是数据的法律定位及其保护方式并未得到全面解答，数据行业仍然缺乏清晰的保护和利用边界，数据的社会治理仍面临巨大挑战。其次，诚如上文所提到数据企业之间关于数据的不正当竞争案件一样，由于《反不正当竞争法》并未规定此类行为，法院只能适用《反不正当竞争法》的一般条款。但是，这也会给法院在审理案件时带来不确定性，不利于维护竞争秩序。最后，现有的法律规范一般规定在“知情同意”基础上，允许数据业者收集、加工和处理有限的用户数据。但上述法律范式无法适应大数据时代的社会治理格局，随着越来越多的数据资源直接或间接体现出经济价值，人格权下的保护模式限制了数据产业经营活动，急需新型权利的配置以应对这一问题。

事实上，个人数据具有民事权利的特征。首先，个人数据是无体的，它存在于人体之外，通常被认为是彻底脱离具体物的物质性的原子构成，而呈现为非物质性的比特构成。其次，从个人数据权利的属性来看，数据权利具有权利客体所必备的确定性、独立性、存在于人体之外等属性，属于民事权利；但是数据权利客体“数据”的自然属性又与现有的民事权利客体的自然属性不同，所以数据权利是具有财产权属性、人格权属性、国家主权属性的新型的民事权利[12]。有学者对此作了详细的分析[13]，在此不再叙述。

通过前面分析可以看到，个人数据权利的静态配置有着其合理性，其不仅有助于数据产业的发展，还有助于个人数据主体权益的保护。

(二)个人数据权利不应配置给数据企业

数据权利静态配置的主体可分为个人数据主体和数据企业。个人数据主体又包括普通公民及数据控制者。个人数据权利如何配置，某种程度上既关乎两者之间权利行使的边界，也关乎公共利益与个人利益之间的平衡，呈现此消彼长的态势[14]。

高富平[8]认为：个人数据静态权利配置的理论基础在于数据生产，根据这一理论，原始数据的生产是建立在分析原材料提供者基础之上的，应承认其价值并配置适当权利。石丹[15]也认为个人数据应配置给数据企业。但由于存在个人隐私的问题，给企业配置的数据权利客体应经过匿名化处理。

本文认为，个人数据权利不应配置给数据企业。理由有二：其一，如果将个人数据权利配置给数据企业，那么会导致对个人数据的隐私保护不足。虽然权利配置实质上是权利背后资源的配置，但是个人数据资源有其特殊性，它包含了隐私这一人格要素，将数据权利配置给数据企业，在某种程度上是将人格权赋予了数据企业，这显然不利于个人数据当中的隐私保护。例如，已经匿名化的信息仍然可能指向某一主体。一位明星在微博中发布一张图片，随后有人通过分析、挖掘该照片，查询出指向该明星的许多信息(7)王珞丹家庭住地遭泄露：网络时代，无数人的信息被泄露[EB/OL].[2020-10-06]https://www.sohu.com/a/422949252_486486.。可见，事实上并不能彻底匿名化。其二，将个人数据权利配置给数据企业还会带来数据垄断的问题[16]。所以，本文主张个人数据的权利不应配置给数据企业，而应配置给个人数据主体。

(三)以“行为”为核心的个人数据权利静态配置

个人数据作为一种新型客体，其权利如何构建？若不回答这一问题，上述讨论将是无意义的。为此，肖冬梅等[17]指出个人数据权利是由数据人格权与数据财产权两大框架所组成的复合型权利体系。问题在于，如何构建权利内容？对此，学界存在两种不同的路径选择。一种观点是以主体为中心的权利体系，这一观点主要考量数据的主体在权利配置中的作用；另一种是以“防止损害”为核心的权利体系，这一观点主要考量数据层次的复杂性[18]。

研究者所提到的个人数据权利静态配置有其合理性，但也存在不足之处。权利的民事救济这一根本问题仍然没有得到有效解决。无救济则无权利，在发生侵权时如何救济权利是权利设定所要考量的重要因素。一般而言，对于有形物设定权利，其救济方式可以根据有形物的特点来设计。然而，个人数据客体无形性和侵权的广泛性使得个人数据的民事救济问题一直是实务界和理论界所要解决的难点，但是上述方案并未有效解决这一问题。

有鉴于此，本文提出以“行为”为核心构建个人数据权利。数据权利并非是单一的权利，而是一组权利束，它以控制数据利用行为为核心，衍生出不同的权利束，包括数据控制权，这是数据权的核心，还包括数据收集权、数据处理权、个人数据经营权，即权利人依法控制其个人数据并排除他人侵害的权利，包括个人收集和利用权能[19]。数据权利是消极的权利，而不是积极的权利。自然人对个人数据的自主利益本质上是防御性或消极性的利益，而非积极性的人格利益或财产利益[3]。

第一，行为是判断侵权的根本依据。个人数据保护的目的在于防止侵权行为的发生以及在发生侵权行为时尽快制止，避免造成更大的损失；将侧重点着眼于行为比着眼于民事法律关系下的权利更直观，更有针对性，更适合于个人数据法律制度领域。与“权利”相比，“行为”的概念是实在的和可感触的真实；并且，“权利”更多地体现为抽象的仅存于意念的概念堆砌，权利的实现不可能靠权利自身，必须且只能依靠行为[20]。

第二，行为是利益平衡机制实现的基础。从个人数据的个人属性而言，行为是数据权利构建的核心。数据权利体系的构建应当“以用设权”，即个人享有控制数据利用行为的权利，如个人数据收集权、个人数据使用权、个人数据转移权。在讨论个人数据权利配置时，应当注意协调多方的利益关系。既不能仅仅为了保护自然人的权益，无限度地扩张自然对个人数据的权利边界，从而妨害数据的流动、分享与利用；也不能无视数据企业对其付出成本而合法地收集、存储和利用个人数据的权利。最终，以数据权利束的价值内涵和权利价值观作为指导，形成数据权利束，以此形成一种数据权利束确权、归集与保护之范式[21]。

三、权利动态配置是个人数据流通的重要方式

(一)数据企业基于权利动态配置获取了个人数据的使用权

个人数据是一种资源，其被视作数字经济时代“新石油”(8)数据就是新的石油[EB/OL].[2019-12-25].http://baijiahao.baidu.com/s?id=1641707163899207035&wfr=spider&for=pc.。从资源配置的角度而言，包括个人数据资源在内的资源配置，其实质是资源背后权利的配置。社会不可能让资源本身进行配置，只有通过交易资源背后的权利，才能实现资源的配置。例如，社会配置面包这一资源，消费者只有从销售者手中获得面包这一资源的所有权，才可以得到一片面包。面包资源配置的过程，实质上是面包权利人与面包受让人就面包所有权进行的动态配置。与物权一样，个人数据资源的配置也需要个人数据权利的动态配置。市场交换是川流不息的体系，也是不断发展的体系，新的交换形式的出现，必须受到法律的保护，即依靠建立一体遵循的强制性规范来界定交易各方的权利和义务，保障交易各方的利益需求。法律经济学家也都将权利作为财富的存在形式予以肯定。产权界定的目的是交易，资源配置实质上是资源权利的配置[22]。

在大数据时代，个人数据的经济价值属性使得需要利用个人数据以促进产业的发展和人们生活水平的提高。数据价值的实现在于利用，而数据利用当中挖掘与分析的前提在于获取数据利用权，否则就是“巧妇难为无米之炊”。但是，在个人数据进行权利的静态配置后，个人数据主体控制着数据的利用权，这就意味着数据企业要想进行数据分析与挖掘必须获得个人数据主体的同意。个人数据权利的静态配置通过赋权的形式更好地保护个人数据。个人数据的利用，需通过动态配置，将个人数据利用权从个人数据转移至数据主体，实现数据资源的有效利用。因此，数据企业基于权利动态配置取得了个人数据的使用权，当其他数据企业未获得个人数据的使用权，而使用了该数据企业所收集的个人数据时，该数据企业就获得了权利基础，法院就无须适用《反不正当竞争法》的一般条款。

个人数据权利的动态配置在域外已有实践。在美国，个人数据经济的兴起，使得个人信息的需求增长以及消费者数据和种类的增加，催生了各种各样的业务产品。一些公司得以利用这些发展，其中一个例子就是新兴的个人数据经济(personal data economy，PDE)。在这种经济模式中，数据企业直接从个人购买数据[23]。正如郑观[24]所指出的，个人信息对价化交易是经营者获取消费者个人信息的基本途径，构建合理的交易规则是智能时代个人信息保护不可或缺的一环。若仅强调个人信息的侵权保护或公法规制，却忽视契约法上信息换取服务的交易关系，将会导致个人信息制度构建中的系统性缺陷。个人数据权利的动态配置确定了数据业务模型的一种类型，揭示了数据市场之间的相似关系，数据市场由收集和挖掘消费者数据以获取主要利益的公司控制，而消费者在自己的数据货币化中扮演着核心角色，所以，通过权利动态配置促进了个人数据的共享与流通。

(二)个人数据权利动态配置可通过隐私政策来实现

著作权的动态配置解决了数据的流通问题。权利的动态配置是通过合同来实现的，如著作权的许可合同、物权的买卖合同等。这种基于市场模式所形成的合同既可以保护权利人的利益，也实现了受让人对合同客体的需求。然而，在大数据时代，个人数据呈现出容量大的特征，使得数据企业无法与全部个人数据主体进行合同许可，巨额的交易成本阻碍了合同的达成。因此，问题的关键在于，当个人数据主体对个人数据享有权利，数据企业如何与个人数据主体达成有效的合同。

对于该问题，本文认为，实践当中的隐私政策是一个较不错的选择。隐私政策是企业与用户之间关于如何处理和保护用户个人信息的基本权利义务的文件。隐私政策披露不仅是网站运营者在个人信息保护领域进行自我规制的重要方式[25]，而且是实现个人数据权利动态配置的重要手段。基于隐私政策的隐私保护是一种按照既定的授权规则，合法地使用网络用户个人信息的有效保护方法[26]。所以，大数据时代个人数据呈现对价属性，服务换取信息的对价化交易模式以个人对信息享有权利主体地位为前提[24]。

在实践中，数据的获取一般存在以下几种模式：一种是直接获取的模式。例如，搜狐网《隐私政策》显示：如果您不同意本《隐私政策》，请不要使用或停止使用我们的产品/服务(9)参见 搜狐网隐私政策[EB/OL].[2019-10-09]https://intro.sohu.com/privacy.。淘宝网《隐私政策》显示：为实现向您提供我们产品及/或服务的基本功能，您须授权我们收集、使用的必要的信息。如您拒绝提供相应信息，您将无法正常使用我们的产品及/或服务(10)参见 淘宝网隐私政策[EB/OL].[2019-12-11]https://terms.alicdn.com/legal-agreement/terms/suit_bu1_taobao/suit_bu1_taobao201703241622_61002.html?spm=a21bo.21814703.1997523009.38.5af911d9fKCa5d.。另一种是通过第三方登录的模式，如微信、微博、支付宝账号登录另一平台，此时第三方平台基于用户的同意也获得了首次登录平台的数据。

数据企业和个人用户之间的信息隐私关系是契约关系[23]。互联网产品的隐私政策属于点击合同，是一种电子化的缔约方式，适用于电子商务的场景且被普及使用。一般在互联网隐私政策的使用场景下，互联网产品的运营者预先设置了协议条款，规定了与用户之间的权利义务。用户在使用产品或网站的过程中，必须点击注册界面上的“同意”，网站或产品的服务提供才会继续，否则视为用户不接受合同。

对于隐私政策是否属于合同的范畴也是存疑的。在浏览生效的情况下，很难认定企业隐私政策具有拘束性。虽然从形式来看，用户如果不同意相关的协议就无法浏览网页，但事实上并无约束力，故一些法院认为浏览生效并不构成同意(11)参见 See Dyer v.Nw.Airlines Corps.,334F.Supp.2d 1196,1200(D.N.D.2004).。

笔者认为，这一观点并不能否认隐私政策属于合同。因为隐私政策本身就对数据企业与个人数据具有约束力。司法实践中，许多法院均持这一观点，从隐私政策对个人数据有约束力进行判定。在肖某与廊坊某贸易有限公司等网络侵权责任纠纷案中，法院认为：该公司系电子商务平台的经营者，经营者和用户通过该电子商务平台进行诸多商品和服务的交易，必将涉及交易双方大量信息的采集、保存、管理、使用，原告在该电子商务平台注册时，已经浏览了该平台《隐私政策》条款，原告作为具有完全民事行为能力的成年人足以理解上述条款的内容，故该平台《隐私政策》对原告具有约束力(12)参见 北京互联网法院(2019)京0491民初313号民事判决书。。

与此同时，许多法院也认为隐私政策是一种合同，在卢某与某科技有限责任公司网络购物合同纠纷案中，二审法院就将原告与被告之间的用户协议和企业隐私政策均视为合同(13)参见 甘肃省天水市中级人民法院(2016)甘05民终427号民事裁定书。。在许某与某科技有限责任公司买卖合同纠纷中，法院也是同样的观点(14)参见 浙江省杭州市中级人民法院(2016)浙01民辖终483号民事裁定书。。此外，Killingsworth[27]认为，企业隐私政策系数据企业与个人用户之间的合同。可见，数据企业通过数据隐私合同获得了数据经营权，在发生数据经营权纠纷时，数据企业基于经营权为请求权基础。收集、使用和传输数据的合同是否与汽车销售合同或软件的授权许可合同一样[23]，个人享有选择退出的保护规则。至于隐私政策属于哪种合同，学界存在争议。徐美[28]认为数据交易的合同属于买卖合同；王秀秀[29]认为应该属承揽合同；王鹏鹏[30]认为其属于无名合同。在笔者看来，把隐私合同归属于无名合同较为合适，这从它的灵活性可以看出。

(三)隐私政策的灵活性与强制性

在对搜索公司，社交网络，网购平台等隐私政策的研究中，笔者发现，这些隐私政策规定了个人数据的数据、使用、传输和安全性。企业利用了合同提供方式，具有灵活性，但同时它们也必须遵守强制性规则。与传统契约方法相关联的灵活性具有潜在优势，因为它们可能反映了跨市场的偏好差异。在高度敏感或可能令人尴尬的情况下，个人数据主体可能希望得到更多保护；但在其他使用数据方面，如评论上共享数据时，则需要较少地保护以允许主体自由地以契约的形式灵活进行交易，以满足他们不同的需求。数据企业通过个人数据权利的动态配置不仅获得了数据经营权，而且其通过经营数据为数据主体提供相关服务。

隐私政策在个人数据的动态配置中具有灵活性，也表现在技术的发展使得隐私政策可以及时更新。这可以避免因技术发展给个人数据保护带来的困境，权利人的利益也不会因将权利动态配置给数据企业而遭受损害。此外，隐私政策的灵活性并不意味着数据流通会受到阻碍，相反，数据企业有了更大的自主性。当然，权利和义务相一致，其义务也随之而来。学者所担心基于个人数据权利的数据流通并未受到影响。

隐私政策的灵活性使其在应对新技术发展方面具有优势。但是，相较于数据企业，个人在隐私政策这一契约关系中处于弱势地位。人们普遍担心，传统的合同法原则不足以保护消费者的利益。在涉及标准形式合同的大多数交易中，一个主要的担忧是，消费者表面上同意让数据企业收集他们的个人数据，但是信息障碍导致他们误解或没有完全内化交易的性质和后果，这也给数据带来泄露、非法买卖的风险。从前面的案例可以看到，数据的泄露发生在数据主体当中并非罕见。可能造成的不良后果是很严重的。收集和处理个人数据的数据企业可能会以违背消费者真实意愿或利益的方式使用这些数据。例如，数据收集器或处理器可能会实施薄弱的安全措施，从而增加个人和敏感信息泄露的风险。或者说，原始收集器或处理器可能将数据传输给第三方，而这些第三方可能使用或传播不当，也可能采取了不充分或弱于预期的安全措施。但是，对于违反合同的普通救济可能不足以阻止或补偿由于不希望或未经授权使用或传播数据而造成的特定损害。合同中的权利和义务通常只对合同双方有约束力，当数据被传输给其他方时，这些权利和义务的价值可能有限。此外，对于隐私政策也会产生误解，从而影响到那些由于未能阅读或理解信息隐私相关的术语而面临信息障碍的不成熟的消费者。

以上这些都需要法律作出强制性的规定。换言之，隐私政策应受到强制规制以解决此类问题。从具体的法律保护模式来说，这意味着对数据隐私的保护应当放在风险规制与消费者保护的框架下进行[31]。

四、个人数据权利配置之规则的构建与完善

(一)构建个人数据权利制度

个人数据权利配置的落脚点在于个人数据权利体系的构建。权利的静态配置在于立法者以法律的形式，确立某种利益属于权利。然而，目前我国没有统一的立法对于个人数据权利进行确立。个人数据的保护也都散见于不同的部门法中。例如，2006年通过的《中华人民共和国护照法》关于国家机关收集个人信息应当对个人信息保密的规定、2011年颁布的《中华人民共和国居民身份证法》、2013年颁布的《中华人民共和国消费者权益保护法》中关于消费者个人信息保护的规定、2015年通过的《中华人民共和国刑法修正案(九)》所规定的侵犯公民个人信息罪、2016年通过的《中华人民共和国网络安全法》中关于网络信息的规定以及2020年5月28日通过的《民法典》第四篇《人格权》。

此外，行政规章方面也有大量的个人信息保护内容。例如，2012年通过的《全国人民代表大会常务委员会关于加强网络信息保护的决定》和2013年通过的《电信和互联网用户个人信息保护规定》中规定了在电信和互联网中对于个人信息的保护。2015年颁布实施了《侵害消费者权益行为处罚办法》；2008年发布了《网络购物服务规范》。另外，少数地方性法规中，也有涉及个人信息保护的直接规定。例如，2015年陕西省网信办发布了《陕西省关于加强信息保护的若干规定》，2003年北京市修正了《北京市未成年人保护条例》等。

从上述对我国的个人信息法律的梳理，可以看出我国在个人数据保护立法方面存在以下问题：第一，就法律适用的范围而言，没有统一适用的个人信息保护法，仅在相关部门法中规定了个人数据保护的基本原则。对于个人信息权主体的权利，信息收集、使用﹑处理及传递的规则，个人信息保护的执行机制及监督机制等诸多应当用立法进行规制的重要内容未有提及；对个人数据保护的规定比较零散，在其他领域间接保护的较多，而直接立法保护的较少。第二，就补偿机制而言，重刑事处罚和行政管理，轻民事确权与民事归责。虽然《民法典》有相应的法律条文，但是这些条文在实际操作中仍然面临诸多问题，导致消费者个人信息权遭受侵害后，责任主体承担法律责任的范围限于行政责任和刑事责任，而对如何补偿受害人，如何让侵害人承担民事责任以及对于民事救济等提及较少。第三，就法律的可操作性而言，大部分规定缺乏可操作性，许多条款仅规定了义务主体注意义务，对其侵权后的责任承担缺乏明确规定。第四，就法律的体系而言，缺乏系统性﹑层次性的法律框架。

为此，本文建议，尽快制定《中华人民共和国个人数据保护法》(以下简称《个人数据保护法》)，对个人数据赋予权利予以保护。并且，在《个人数据保护法》中明确以下内容：其一，明确个人数据所包含的范畴。现如今国内对于个人数据的界定尚没有统一的范畴，但是最基本的信息内容都是一致的。随着科学技术的发展，个人数据也呈现动态性，会随着网络以及技术的发展在不断变化。在我国个人数据保护立法的过程中，应明确个人数据的范畴。本文建议，在对个人数据进行抽象化界定之后，还可以从数据企业利用个人数据的功能进行分类，将其分为实现基本功能的个人数据和实现拓展功能的个人数据。其二，在《个人数据保护法》中明确个人数据的权利属性，个人数据既体现人格利益，又存在经济利益。确立个人信息主体对个人信息的控制权，建立以个人控制为核心，以行为利用为权能的个人信息权利体系。个人数据权利应当配置人格权与财产权，像著作权人享有控制对作品利用行为一样，采取“以用设权”，个人数据权利主体也享有控制对个人数据的利用权利。该权利是一束权利，包括控制数据的收集行为、数据经营行为、数据转移行为等。其三，有必要在现行体制下设立一个专门的个人数据保护的监管机构。在社会主义市场经济，行业协会组织不够发达，且存在巨大经济利益驱使的背景下，个人信息泄露很容易发生。因此，有必要建立统一的监管机构,既有利于监督数据企业的行为和《个人数据保护法》相关法律法规的实施，也有利于处理侵犯个人信息案件中存在的争议，保障《个人数据保护法》的有效实施。2016年实施的《欧洲通用数据保护条例》(General Data Protection Regulation，GDPR)的第51 条规定：“每个成员国应当建立一个或多个独立公共机构，负责监控本条例的实施。”(15)参见Art.51GDPR[EB/OL].[2019-12-25].https://gdpr-info.eu/art-51-gdpr/.我们可以借鉴其规定，在我国也设置一个监管机构，该部门由国家信息工业部直接领导，对互联网行业进行监督，并且在县级以上行政部门设立由各级网信办等主管的地方监督机构。

(二)数据平台隐私政策规则的完善

个人数据可以通过个人数据动态配置的形式实现其交易。然而，为了保护个人数据权利人的利益，应当对数据平台进行包括以下方面的监管。

第一，告知模式的改进。在实践中由于隐私政策的告知机制的不合理，导致信息主体难以全面了解隐私政策。如在何某、潘某网络购物合同纠纷二审民事裁定书案中，被上诉人上海某公司在提供App时并未使用适当的方式告知上诉人使用其App时必须默认接受其的服务协议与隐私政策(16)参见 广东省中山市中级人民法院(2019)粤20民辖终69号民事裁定书。。在一些案件中，发现许多争议的当事人并未注意到隐私政策的存在。为此，隐私政策的告知模式应当朝着有利于个人数据知悉的方式改进。

第二，举证责任的分配。个人数据的保护之所以是一种难题，是因为权利人在发生个人数据被侵权时，举证较为困难。为了避免这一问题，举证责任的分配应从结果主义确认责任分配。在实践中一些法院就侵权责任的举证做法就值得肯定。在一起个人数据泄露而导致的侵权案件中，法院就认为，数据主体在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错。由于数据主体仅提出理论上存在其他主体泄露的可能性而未完成举证。故综合来看，个人数据主体对于个人信息泄露已完成举证，数据主体提出的主张及举证不充分。综上，数据主体在信息安全管理的落实方面存在漏洞，未尽到对个人信息负有的信息保管及防止泄露义务，具有过错，应承担侵权责任(17)参见 北京市朝阳区人民法院(2018)京0105民36658号民事判决书。。所以本文建议，在举证责任的分配上应当加重数据主体的注意义务。

第三，隐私政策的规范化。2018年12月25日，2018南都智库产品发布周“互联网法治论坛(北京)”发布了《2018年度常用App隐私政策透明度排行榜》，公布了常用的1 000款App的隐私政策测评结果，对购物导购、移动金融、教育文化、旅游交通、生活服务、社交交友、体育健身、新闻资讯、休闲娱乐、医疗健康等十大行业中常用的1 000款App的隐私政策进行了测评。测评结果显示，在个人信息保护相关法规和标准相继出台、相关部委展开隐私政策专项评审工作的大环境下，App的隐私政策透明度整体比上年有所提升，但依然有逾七成App的隐私政策不合格，甚至出现了盗用别家隐私政策的现象[32]。因此，法律应当对隐私政策进行规范化，以实现隐私政策的功能。

第四，区分不同个人数据的注意义务。许多数据主体收集的信息是存在差异的，一般可分为实现基本功能所收集的信息和实现拓展功能所收集的个人数据。本文认为，根据利用的个人数据的类型不同，数据企业对不同类型的个人数据所负有的义务也有所不同，一种是基于实现基本功能的数据义务，另一种是基于实现拓展功能的数据义务。数据平台在实现拓展功能当中的信息注意义务应当高于实现基本功能的收集信息的注意义务。例如，生活服务类当中的售票类数据企业为了实现其售票服务收集利用拓展数据，其义务就应当比收集利用实现基本功能的保护数据的企业责任重。若发生此类数据的泄露，那么数据主体应当承担责任。对于一般数据而言，由于不同的企业之间存在此类收集此类数据的可能性，所以对该类个人数据的泄露不应承担责任。

五、结 语

大数据时代，数据的利用一方面便利了我们的生活，另一方面也给我们生活造成烦扰。由于缺乏法律保护的外衣，个人数据一直在“裸奔”中，给我们造成财产损失与精神困扰。为此，应当尽快制定《个人数据保护法》，为“裸奔”的个人数据穿上外衣。当然，在大数据时代，个人数据的经济价值日益凸显，个人数据的共享与利用不能忽视。所以对个人数据进行静态权利配置的同时，也应当对个人数据进行动态配置，以促进个人数据的利用，最终协调个人数据人格利益保护与数据企业数据共享流通的平衡。