沈学雨 刘 恺 李梓萱

西交利物浦大学，江苏 苏州 215123

大数据时代的到来，使信息处理面临着巨大的机遇和挑战。信息处理通常发生在收集和利用个人信息和商业信息的过程中。互联网的兴起和网络软硬件技术的快速发展，使得个人信息的收集更加方便、高效。在商业领域，收集客户的个人信息可以更好地帮助公司跟踪和定位客户的需求，开发更有针对性的产品和服务，以满足不同群体的个性化消费。这已成为提高国内消费质量和效率的动力[1]。

然而，收集客户信息也会危及个人信息安全和个人隐私。在大数据“监督”下的人几乎无处藏身，隐私也非常有限。同时，大数据的广泛应用也会增加商业秘密管理的难度，增加商业信息泄露的风险。这甚至影响到个人和企业的经济利益，影响到个人、企业和国家之间的合作。因此，如何促进对商业秘密的有效、恰当的法律保护成为当今社会最关注的问题之一。本文将以A出行公司为例，对这些问题进行分析和应对[2]。

2021年6月30日，A公司在美国极为低调地上市。为防范国家数据安全风险，维护国家安全和社会公共利益，国家互联网信息办公室根据《国家安全法》《网络安全法》和《网络安全审查办法》，于2021年7月2日对A公司开展网络安全审查[3]。网信办要求A公司出行软件停止新用户注册，以防止审查期间风险进一步扩大。与此同时，A公司官方回应称，公司将积极配合网信办的网络安全审核，接受外部监督指导，全面审核内部网络安全风险，不断提升自身网络安全体系和技术能力[4]。2021年7月4日，网信办宣布，A公司出行软件违反法律法规收集和使用个人信息，并通知各大应用软件门店下架A公司出行软件。网信办还要求A公司严格按照法律要求和国家标准进行整改，切实保护用户个人信息[5]。

历经有关部门的查处和整改后，2021年12月3日，A公司事件再次迎来了一个重大“进展”——A公司宣布，将启动在纽交所退市的工作，并启动在中国香港上市的准备工作[6]。

近年来，A公司一直在扩大市场份额，并成为该行业的主导力量。它的成功很大程度上归功于对客户个人信息的收集和后端大数据分析。大多数城市的地理位置信息和全国数万户家庭的个人信息都被记录在A公司系统的内部数据库中。但A公司在美国上市，很有可能导致我国国家机密泄露。甚至有传言称A公司将我国的国家机密移交给了美国，但A公司官员极力否认了这一点[7]。同样，我国网络安全审查办公室于2021年7月5日发布通知，将对类似的一系列出行类软件进行网络安全审查，并停止其新用户注册。这些事件清楚地表明，中方不会容忍任何违反我国法律法规的个人信息泄露行为[8]。

一、大数据应用中的问题检视

大数据一词是当下的热门词汇。然而，迄今为止，关于何为大数据，却仍没有一个为各方广泛接受的定义。通过梳理与“大数据是什么”有关的理论争议，可以发现国内外学界在大数据本质的认识上存在较大分歧，产生了包括动态技术说、数据集合说、数据流说、数据资产说与商业智能说在内的多种见解。之所以形成这种百家争鸣的格局，并不是由于某一种观点或见解存在偏差，而是在于不同的论者在不同的学科语境下、从不同的研究视角出发对“大数据”这一内涵包罗极广的概念进行定义。概括地看，大数据是基于计算机互联网技术的发展为背景，人类能够以电子形式或其他形式加以搜集、储存、传播、利用的各种信息的集合，其主要特征是海量、数据种类多、处理速度快，等等。

大数据的出现及广泛应用对整个社会产生了深刻而重大的影响。大数据的出现及应用，改变了整个人类的生产和生活方式，极大地提高了各方面各领域的效率。通过海量数据的模型构建，有利于发现事物的变化，准确预测事物的发展趋势，并进行及时有效的干预。大数据对现代企业来说不可或缺。在帮助企业做出更优的业务决策、产品升级以及简化业务流程等方面表现非凡。大数据还可以帮助企业更及时地响应竞争对手的决策，更有效地应对监管方面的挑战。

大数据的现实及潜在价值已经有众多研究者做了深度挖掘，其积极作用已经不仅在专业领域而且在大众层面也获得了广泛的认知。在享受了大数据带来的诸多方面便捷的同时，我们必须直面大数据带来的重大挑战。大数据应用所带来的收集、存储、传播、利用等方面的高效率，必然也会带来侵害个人隐私、个人信息、企业商业秘密，乃至公共安全、国家安全的潜在高风险。

以A公司为例。A公司的发展壮大，是借助资本进行野蛮扩张进而发展到垄断的典型案例之一。从2012年起，A公司历经23轮融资，规模不断膨胀。其间的2016年，柳甲主导A公司，收购了柳乙主导的B公司，完成了史上世界出行服务行业最大收购案。变身成功的A公司，彻底垄断了市场，市占率来到了堪称恐怖的93．1%。A公司出行软件地图基础数据准确率已经超过95%，而且每天新增轨迹数据超108TB。这些轨迹数据和场景，具备海量、连续、高质量的特点。此外，该出行软件拥有5．5亿乘客，每天还会上报数十万量级的路况事件[9]。

这些海量的信息，一方面涉及数以亿计的公民个体的个人信息可能被不当搜集、使用、扩散。更进一步，借助互联网大数据的处理、整合，这些信息衍生而出的数据更是具有巨大的现实及潜在的商业价值、公共安全和国家安全隐患。这些数据不仅可能使一个个公民个体失去隐私透明化于社会，如果这些数据不加处理传到境外，就更不仅仅是个人隐私和经济问题，还会危及国家安全。不仅A公司一家互联网平台存在这些问题，其他互联网平台多多少少也存在类似问题。

个人信息包括自然人的工作情况、经济状况、个性爱好、面部特征、意识形态、个人照片等具有身份识别功能的信息。我国《个人信息保护法》第四条将个人信息界定为：个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。

基于A公司庞大的用户数量，每一个用户在下载安装A公司出行APP并注册账号时，海量的用户个人信息便被录入了A公司的数据库。一是A公司基于利益考量，完全有可能将这些用户个人信息的全部或部分以原始或编辑的形式出卖给第三方以牟利。类似的情况在现实中层出不穷。这只是个人信息被侵害的第一层级。二是海量的用户个人信息同用户其他信息结合，利用大数据技术进行处理，可以绘制出一个个立体的用户的消费习惯、行程轨迹等越出安装A公司出行APP目的之外的信息。客户的隐私将陷于很大的风险之中。三是每一个孤立个体的行程轨迹信息或许仅仅是个人隐私的问题，但特定群体集群的行程轨迹信息的集合则可能投射出更具特殊意义的信息。曾有媒体报道，某打车软件公司可以绘制出并分析国家某部委特定时段的人流量信息。这样的信息就有公共安全的影响了。其四，如果海量的用户个人信息被以原始或编辑的形式传输到境外，则国家安全风险会立马凸显出来。

鉴于国内的个人信息保护问题越来越突出，且关于规范个人信息及数据处理的相关法律零散不成系统，使得立法现状一度严重落后于现实。经过理论界和立法机关的长期酝酿，2021年8月20日，十三届全国人大常委会第三十次会议通过《中华人民共和国个人信息保护法》（自2021年11月1日起施行）。《个人信息保护法》的出台标志着我国在个人信息保护方面向前迈进了一大步，弥补了之前出现的一些漏洞。法律规制的范围扩大了。该法第一章（总则）第三条规定，本法除规定组织和个人以外，还适用下列三种情形：……（二）分析、评估我国境内自然人的行为；（三）法律、行政法规规定的其他情形。第二章（个人信息处理规则）第十七条还规定：个人信息处理人员在处理个人信息前，应以明显的方式、清晰易懂的语言，如实、准确、完整地通知个人下列事项：（一）个人信息处理人的姓名和联系信息；（二）个人信息处理的目的、方法、处理的个人信息类别和保留期限；（三）个人行使本法规定权利的方法和程序；（四）法律、行政法规规定应当通知的其他事项。

总体而言，《个人信息保护法》的内容还比较笼统，不够详细，具体的可操作性方面还有提升的空间，对个人信息侵权的特殊案件没有针对性。未来还需要有更进一步的立法或司法解释跟进，以更进一步明确现实操作过程中的具体问题。

二、建议和对策

目前，鉴于《个人信息保护法》的正式出台，关于个人信息保护的法律框架、保护模式、保护内容初步成形。关于大数据应用未来立法方向的争论主要集中在是否应该授予数据权上。未来随着社会现实的不断发展，除了《个人信息保护法》的一些细则需要出台，关于相关的大数据也有待进一步完善立法，与《个人信息保护法》形成一个完善的立法体系，才可能有效应对各方面的信息处理的法律规制。

第一，应该加强数据权利。它不再局限于保护个人信息隐私和安全的立法，而是对数据类型先进行分类，包括数据资本化、人格权产权化、数据私有化（目前仅对个人同意的企业）等。这不仅加强了对个人数据信息的保护，也赋予了数据处理者相应的权利。它们形成了法律保护的双重角度。在大数据发展的现状下，将人格权利的部分内容赋予财产权属性是数据权利赋权的最佳途径之一。这样既尊重了公民的基本的人格权利的神圣不可侵犯性，又照顾到了现实社会已经发展到大数据时代对个人信息等信息的处理流通的需要。

第二，规范数据主体的行为也是信息安全保护的一个很好的解决方案。明确数据提供者、控制人和用户之间的边界和权利义务，合理分配数据权益，可以对数据网络环境做出更大的贡献。《个人信息保护法》以及未来可能的大数据相关立法，其最终要解决的一个深层问题是，如何在信息所有者和信息处理者之间达到一种良好的平衡。有了这种平衡，一方面，信息所有者的人格权利等自然权利或基本权利得到了有效保护。另一方面，信息处理者的财产权益亦得到了承认和保护。这样有利于大大提高信息处理利用的效率，促进社会经济等方面的发展，实现不同主体之间的共赢。这个平衡点的所在，是理论界、立法者、实务界和产业界之间需要互动努力的。

第三，惩罚和纠正电子商务平台之间的恶性竞争。数据私有化的实施可以肯定企业内部数据的合法化，防止相关数据被盗。同时，也是保护用户个人信息，防止企业和个人权利受到侵犯的有效途径。只有规范网络平台与电子商务之间的不公平竞争，才能缓解大数据应用中的公信力危机。此外，公民也应该履行自己应尽的义务，积极捍卫自己的合理权益，防止数据泄露，而不是保持沉默。它要求公民有一定的自制力来抵制基于数据的消费市场的诱惑。同时，政府也应尽最大努力保护公民的合法数据权利，减少诉讼的时间和金钱成本。

第四，鉴于法律实践中存在的争议，本文建议在公司侵犯个人隐私权时，除行政处罚外，还应实施刑事处罚。在大多数与大数据应用相关的案例中，个人隐私等权益受到的损害往往是不可估量的，对其精神损害的相应赔偿与实际损失往往不成比例。违法成本过低是公民个人信息及其他信息数据泄露案件屡屡出现的重要原因。当发生相关案件时，执法和司法部门应首先根据对法益的侵害程度对案件进行分级，以确认适用侵权法直至刑法并由此匹配不同的惩罚级别。在一些严重的案件中，应该在消除对受害者的不利影响的同时对罪犯进行刑事处罚。对于从事电子商务的企业来说，应该要求他们就合理使用大数据提前完善内部合规体系，并在具体收集处理信息时与用户签订法律协议。