栾康 王宁

（山东师范大学，山东 济南 250300）

布兰戴斯和沃伦在《哈佛法学评论》中首次提出了隐私权的概念，即the right to privacy ；在此后的百年时间之中，隐私权被视为人格权利的内容之一成为了法学界的共识，但是随着大数据及互联网信息技术的高速发展，个人隐私权受到前所未有的挑战。因此，加强对于大数据时代下个人隐私的保护是当今法学界的当务之急。

一、个人信息与隐私

从世界各国立法来看,个人信息的概念称谓并不统一。个人信息的概念滥觞于1968 年联合国“国际人权会议”中提出的“资料保护”(data protection),这一年被称为“资料革命”年。对个人信息进行科学定性不仅仅是法学研究所应解决的一个理论问题,也是立法的迫切需要。从法学的视野出发对个人信息进行科学定性是个人信息保护立法的基础。全国人大常委会《关于加强网络信息保护的决定》 (2012) 中规定：国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息。工业和信息化部颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》 (2013) 中规定：个人信息是指可为信息系统所处理、与特定自然人相关、能够单独或通过与其他信息结合识别该特定自然人的计算机数据。《个人信息保护法》 (草案) 中规定：所谓个人信息,是指现实生活中“能够识别特定个人的一切信息”,其范围很广,包括姓名、年龄、体重、身高、档案、医疗记录、收入及消费和购买习惯、婚姻状况、教育背景、家庭住址与电话号码等。从以上规定可以看出,目前对个人信息的界定采取了概括加列举的模式，重点强调可以识别，已概括出了个人信息的内涵。

隐私权是指公民“享有私人生活安宁与私人信息依法受到保护，不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权”。笔者认为，个人信息的内涵之中包括个人隐私，个人信息除了个人隐私外还包括个人的其他信息，个人信息在内容上更为广泛，涉及到个人心理、生理、智力以及社会政治、经济、文化、教育、家庭、财产等方方面面。而隐私权的内容主要是突出其个人不愿意公开的私生活信息和生活秘密。有些个人信息就不涉及隐私，信息拥有者可以自己加以公开。

但是，目前的立法文件之中一般采用了较为抽象的表述，从而模糊了两者界限而不利于隐私的保护。个人信息不断产生变化，用于各种社会生活关系之中，或者在披露期届满之后转化为个人隐私，我们可以说个人信息处于一个长期的动态变化之中。而个人隐私通常是处于静止状态之中的，这是因为隐私信息自从起产生起，就一直属于隐私信息，与在不同场合之中身份不同的个人信息是不同的。

二、APP 用户的个人隐私权

网络空间的个人隐私权主要是指“公民在网上享有的私人生活安宁与私人信息依法受到保护，不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权；也指禁止在网上泄露某些与个人有关的敏感信息，包括事实、图像、以及毁损的意见等。也就是说，APP 用户在使用APP 时，应当被告知现在和将来有哪些资料会被收集、收集到的资料将会被用在何处以及收集者的权利范围，另一方面是将数据资料视为一种“无形”的物，其主体具有信息披露的决定权，有权对于未经许可的数据信息处理行为进行阻止。

对于网络环境之中个人隐私的保护主要是涉及以下几个领域：（1）可识别性的个人信息的保护，即非法地收集、存储、使用均被看作侵犯了个人隐私权；（2）任何影响他人生活秩序的行为都应当被禁止，APP 用户有权根据自己的意思合法地行使权利；（3）对于数据的非通常性的处理，应当将权利赋予APP 用户，资料搜集者不得自行决定。

与此同时，根据个人信息以及个人隐私权的定义，我们应当认定在APP的手机用户使用过程之中，具有可识别性的个人资料、个人私生活的生活秩序、个人的私事、以及在APP 的使用过程中的领域等多方面的保护。

三、个人隐私权保护与APP 使用的利益平衡

“立法是认识利益、表达利益的过程。要调整好各种不同的利益，首先要了解和认识利益。”目前来说，互联网正处于信息利用的自由同隐私权的保护不相匹配的失衡状态之中，因此我们应当坚持权利保障的底线思维。如若不能有效保护信息，则不能肆意收集用户信息，也就是说“用信息换方便”是错误的，我们不能基于任何宏观的考量而牺牲隐私权的保护。利益衡量以利益识别为起点,围绕着“个人信息资源”的保护与利用存在如下主要的利益需求:

（一）APP 用户本身的需求

用户数据及个人信息承载的是信息主体的人格利益，其是基于人权而产生的，我们应当对于此种人格利益进行保护。个人信息指向信息主体,能够显现个人的生活轨迹,勾勒出个人人格形象,作为信息主体人格的外在标志,形成个人“信息化形象”。马斯洛在其需要层次理论中指出,“人格标识的完整性与真实性是主体受到他人尊重的基本条件”。个人作为目的性的存在,只有消除个人对“信息化形象”被他人操控的疑虑和恐慌,保持其信息化人格与其自身的一致性而不被扭曲,才能有自尊并受到他人尊重地生存与生活。因此,个人信息对于信息主体的人格尊严和自由价值,应当是个人信息保护立法中首要考虑的因素。

（二）商业价值的利益平衡

在如今的信息时代，随着电子科技与信息技术的不断发展，对信息的开发与利用达到了前所未有的程度。在很多商业领域，尤其是电子商务领域，个人信息与其商业营销的模式有很大关联，已经成为一种不可或缺的资源。营销者记录、收集用户的网络浏览信息与痕迹，对收集到的个人信息二次利用，通过投放弹窗广告、个性化广告推介等手段，实现精准营销。而这其中，就牵扯到是否侵犯了个人隐私的问题。随着营销者收集和利用个人信息能力的提高，经营者在享受高效经营模式所带来的回报的同时，对个人信息收集的正当性，对收集范围的适当性，对信息利用与保护的安全性，都应考虑周全。收集用户个人信息，应当经过用户的知情同意；收集的范围不能侵犯用户的隐私权；对个人信息的利用，不应当因此给用户带来任何困扰与安全隐患。经营者不能为了追求利益而违反上述要求，此即商业价值的利益平衡需求。

“中国Cookie 隐私第一案”正是个人信息的商业利用与隐私保护平衡的典型案例。在一审中，法院认定Cookie 信息属于个人隐私，利用该信息进行商业活动侵犯了用户的隐私权。而在二审判决中，从规范互联网秩序与保障互联网科技发展的双重视角出发，认为Cookie 信息不属于个人隐私范畴，因此利用该信息进行商业推介的行为不侵犯用户的隐私权。该案件一审与二审，出现不同判决的原因，在于对Cookie 信息法律属性的认定发生了改变。其中发生的理念转变即：隐私保护的是人，而不是类型化信息。法律对隐私权的保护应更多地关注对信息的处理和利用行为可能侵犯隐私权的风险，而不是仅将重心聚焦于信息类型的是否属于隐私或信息是否通过正当途径取得。该案件作为个人信息商业利用与隐私保护问题的缩影，其中体现的这一理念，也应当为商业价值的利益平衡需求的实现提供了宝贵经验。

四、对个人信息保护的法律规制

（一）我国现有的法制规定

《中华人民共和国网络安全法》在第四章以专章的形式对网络信息安全进行了系统规定。个人信息安全作为网络信息安全的重要组成部分，在其中得到了体现。

根据《网络安全法》规定：网络运营商必须确保个人信息的安全，妥善保管，在建立严格的保密制度的同时，健全用户信息保护制度。对于用户个人信息的收集，必须遵循必要性原则，不得收集从事该项业务的任何非必要信息，并且需要在使用完毕后定期清除，确保掌握最少数量且最短时间的用户个人信息。再者，网络运营者对于用户个人信息的使用必须以用户同意为前提，不得有任何威胁个人信息安全的行为，也不得将用户个人信息进行转让、泄露等。

然而我国目前并没有专门制定保护个人信息的法律规范。只有《个人信息保护法》（草案）针对个人信息保护的部分问题进行了规定，但是实际操作性不强，缺乏配套的实施细则。欧盟与英美都有相关的法律规定，但是我国对该部分法律规定仍存在空泛、含糊、等现状。对于个人信息保护仍旧需要依靠零散的法律法规规定，远远不能满足于现状，很容易让不法分子有机可乘。

（二）保护个人信息安全的法治规定需要进一步明确与优化

首先要规范个人信息使用与披露，设立一套标准，将可以公开透明的信息，与用户不愿意公开的信息进行区分，用户可以在一定程度上选择设立敏感信息，将这一部分信息进行权限设置，不能被随意查看与传播，必须经过用户个人的同意，才能进行二次使用。而可以公开透明的信息，可以被收集与使用。

其次，要严格统计审查电商收集数据的目的，最好成立专门的审查批准机构。收集数据时要有明确和合法的目的，不得与任何法律规范相冲突。需要将收集目的通知用户，并且征得其同意时，才能对信息进行征集。同时要明确侵权损害后果发生后的责任承担主体，对个人隐私信息造成泄露和侵权的主体，应当对被侵权用户承担侵权责任，并为遭受侵害的用户提供可靠的法律救济措施和保障手段。

法律和监督机构的力量是有限的，只靠法律规制对个人信息进行保护，显然是远远不够的。网络的匿名性以及信息传递的快捷性对于个人信息安全来说，本身即存在着未知的风险。最关键的，还是要培养个人的防护意识，提高法制观念。在享受大数据带来的便利的同时，有意识地保护自己的隐私，提高防范意识。