宋青林，洪 晟

（北京航空航天大学 网络空间安全学院，北京 100191）

0 引言

随着网络在社会中的广泛普及，人们的工作生活、 企业运作和工业生产均离不开网络。依据《中国互联网发展报告（2021）》提供的数据，中国网民在2021 年7 月数量达到9.89 亿人，互联网的普及率达到70.4%之高，我国已经进入了互联网时代。依据《中国互联网发展报告(2021)》，在2020 年中，我国的大数据相关产业的规模达到718.7 亿元，同比增长16.0%，增幅在全球大数据市场中处于领先地位。大数据技术统合计算海量的数据，得到精确的预测结果，使得数据在互联网时代中成为了新的一种生产力。

大数据技术具有 “5V” 特征，也就是规模性（Volume）、多 样 性（Variety）、 高 速 性（Velocity）、 准确性（Veracity）和价值性（Value）[1]。

本文简要介绍了大数据技术产生的一系列问题和相关的法律法规，以及大数据的法律性质，并从技术和法律角度给出了建议。

1 大数据带来的隐私保护问题

大数据可以从用户的日常使用数据中计算推测出用户的使用习惯、生活习惯、身体情况、兴趣爱好等隐私信息，通过大数据计算来窥探用户隐私，其手段比直接收集隐私信息更隐蔽，可能对用户的隐私构成侵害。例如，美国塔吉特公司通过大数据分析女性顾客的网购数据与25 种与怀孕相关产品的关联性来预测女性顾客是否怀孕，并且成功地获取了一名在校女生的妊娠隐私，甚至先于她的家人一个月得知该信息[2]。

1.1 隐私保护问题的成因

大数据对用户权利和隐私造成侵犯的客观成因是技术的负面效应，即技术创新没有办法全面地预测该技术和复杂环境交互产生的负面影响[3]。法律更新迭代的速度远不如技术发展速度，导致缺少对大数据技术的法律限制。

大数据对用户权利和隐私造成侵犯的主观成因，首先是用户对自己数据的经济价值没有清晰认识，保护意识不足。用户常常为了一些既得利益而贱卖自己的数据，例如为了抽奖而填写问卷，暴露自己的手机号码、年龄等信息。其次是互联网企业对用户隐私保护问题的漠视，缺乏主体责任意识，其最终目的是企业自身的经济利益。部分互联网企业在发生隐私泄露问题时不采取行动止损，导致对用户的隐私的侵害进一步增大[4]。

1.2 隐私保护相关法规

在《中华人民共和国网络安全法》（简称《网络安全法》）施行之前，与大数据有关的个人隐私保护法律法规已有但不够完善。根据我国刑法中第二百五十三条之一“侵犯公民个人信息罪”，主要涉及的是“违反国家有关规定，向他人出售或者提供公民个人信息”的情况。另外，在2002 年12 月23 日的第九届人大常委会第31 次会议中首次审议的民法草案中，对隐私范畴的界定为：私人信息、私人活动和私人空间[5]。相关法律都主要关注对个人信息的直接侵犯行为，而不能直接适用和大数据相关的隐私侵犯行为。例如，对用户的行为数据和公开信息等进行大数据计算，出售对用户习惯的预测，或者直接把相关的个人用户数据包含在大数据的用户数据库中进行整体的交易。这些行为很难通过过往法律来界定。

在2017 年6 月1 日起施行的 《网络安全法》中，对用户隐私问题进行了更加明确的立法，进一步完善了个人信息保护规则[6]。其中第四十条至第四十五条对网络运营者对用户数据和个人隐私的侵犯行为做出了更加清晰规范的定义。但是《网络安全法》中对个人信息的定义基于“识别说”[7]，其中给出的定义是：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等明确的隐私信息，而不是用户行为数据一类的在大数据技术下潜在的隐私数据，并且仍保留了知情同意方面架构，具有一定局限性[8]。

在2021 年11 月1 日起施行的《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）中第四条将个人信息定义为：“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”定义是基于“关联说”[9]，其涵盖了用户数据等与用户相关联的大数据信息，涵盖情况更加广泛，从而在大数据的隐私保护方面有了更好的适用性。

2 大数据带来的“杀熟”问题

“杀熟” 一词在生活中是指经营者利用熟人对自己的信任，采取不正当手段谋取熟人的利益。一般的“杀熟”会经过“信息获取—用户画像—价格区分”的过程，其中“信息获取”是经营者通过平时交易了解用户信息；“用户画像”是经营者在长时间与“熟客” 的交易和交流中对熟客产生的评估；“价格区分”是指经营者在相同商品上根据用户画像给出不同价格。

大数据“杀熟”是指网络上的经营者对消费者的消费偏好数据进行收集，如经济情况、产品偏好、价格耐受、需求和习惯等，利用大数据技术进行分析和挖掘，由算法针对不同用户进行价格区分的行为[9]。由于大数据技术收集大量用户数据，并且通过计算机技术进行准确评估，相较于传统的“杀熟”中的人力评估准确性更高。同时，算法可以根据经营者的设置精细化地规划价格策略，使得大数据“杀熟”的效果更强。在互联网消费的过程中，用户和他人进行价格比较的倾向更低且难度更大，使得大数据“杀熟”的隐蔽性更好。这些特点使得大数据“杀熟”问题的严重性和危害性更强。

2.1 大数据 “杀熟”问题的成因

大数据“杀熟”中的核心是数据算法。算法是一种自动化决策机制，给定输入条件便能够自动给出相应结果。大数据“杀熟”的本质就是电子商务经营者对算法权利的滥用。算法本应该是提高消费者搜索效率的手段，却被电子商务经营者当作以低价吸引潜在用户并用高价收割忠诚用户的逐利手段。消费者在此过程中被算法权利客体化，权利受到了严重侵害[10]。大数据“杀熟”起源于技术的负面效应，并因为互联网企业的逐利行为得到了放大。

2.2 大数据 “杀熟”相关法规

大数据 “杀熟” 在法律层面侵害了用户的知情权、选择权、公平交易权，在数据收集的过程中侵害了用户的隐私权，破坏了市场秩序，成为一类影响恶劣的违法问题[11]。

在《个人信息保护法》施行之前，大数据“杀熟”处于法律的“灰色地带”，利用《合同法》《侵权法》《消保法》《价格法》《反垄断法》 等法律进行解释，都存在着明显缺陷，使得维权变得非常困难[10]。

在《个人信息保护法》施行之后，第二十四条明确说明在“自动化决策”过程中应保证决策透明和结果公平，不能在价格等方面实行差别待遇，直指算法滥用的问题，使得对于大数据“杀熟”行为的维权和处罚有法可依。

3 大数据的法律属性和数据权

大数据的本质仍然是数据，所以要界定大数据的法律属性，应当先从数据的法律属性入手。

首先，数据具有非客体性。数据具有以下不符合民法中客体特征的性质：其一，数据具有可删除性和可复制性，不符合民事客体须有确定性或特定性的基本要求；其二，数据必须依托载体存在，不具备客体的独立性；其三，通常数据不以其所含信息内容来界定权利义务关系，也就无法适用类似知识产权的“无形物”客体标准；其四，数据缺乏稳定性，不具备客体的实体权利表彰功能[12]。

同时，数据也具有非财产性。其一，数据不具有独立的经济价值，需要依赖载体；其二，数据的可交易性并不确定，关于个人隐私的数据就不具备可交易性；其三，数据的价值依赖于操作主体的控制[12]。

3.1 大数据的法律属性

大数据产生经济价值一种途径是通过大数据计算预测用户偏好，从而针对性地投放广告、产品和服务，以此指导产出经济效益的业务运营。大数据是作为生产要素，其本身不具有独立财产意义。

第二种途径是企业之间大数据的买卖交易，产生了数据经济。考虑上述的数据法律性质，大数据的交易合同并不能定义为民法上的买卖合同，而是应该界定为一种数据服务合同。其前提是服务提供方能够确权大数据权属，因为如果大数据被窃取或者泄露则会失去其价值。

由此可见，大数据的法律属性与数据相同，并且其交易合同不属于买卖合同，无法在合同法中找到对应的有名合同，在法理上属于无名合同。

3.2 数据权

由于数据和大数据都具有非客体性和非财产性，数据之上的权利界定愈发重要，需要关于数据权的法律制度来保护数据的价值。在《个人信息保护法》中，数据权包含个人数据权和数据财产权，其中个人数据权包括数据决定权、数据保密权、数据查询权、数据更正权、数据删除权和数据报酬请求权等[13]。

数据决定权指数据主体享有决定其个人数据能否被收集、使用以及如何使用的权利。数据保密权则是数据主体有权要求数据处理者保持其数据的隐私性，对数据进行保密处理。《个人信息保护法》中第四十四条规定，个人对其个人信息的处理拥有决定权，并且有权要求对自己的个人信息进行保密。

数据查询权是指数据主体有权向数据处理者查询自身正在被收集和使用的个人数据。《个人信息保护法》中第四十五条规定，个人有权查阅和复制自己的个人信息，并且数据处理者应当及时满足其要求。

数据更正权是指数据主体有权利请求数据管理者更正错误或者过时的数据。《个人信息保护法》中第四十六条规定，个人有权更正或补充自己的个人信息，且数据处理者应及时进行相应的更正。

数据删除权是指数据主体有权在法定或约定情况出现时要求数据处理者删除其个人数据。在客体上，数据删除权属于一种人格利益而不是财产利益。同时，数据删除权也是一种特殊的请求权，因为其必须经由数据处理者才能进行[14]。在《个人信息保护法》中第四十七条规定，满足一定合理情形的时候，个人有权要求数据处理者删除其个人信息，并且数据处理者应当尽可能满足其要求。

数据报酬请求权是指如果数据处理者以盈利为目的收集和使用个人信息，那么数据主体有权利向数据处理者请求对等报酬。不过在《个人信息保护法》中没有相关数据报酬请求权的法条，其中第六十九条支持在对个人信息权益造成损害时的赔偿，与正常盈利时提供的报酬在概念上并不等价。说明在《个人信息保护法》中对于个人信息价值的界定倾向于非财产性，不对与财产性相关联的报酬请求权提供法律规定和保护。

4 现行法律中存在的问题

尽管现行法律对个人数据隐私等方面加以了完善，但是仍然存在一些问题。

4.1 对大数据的适用性

虽然《个人信息保护法》中对个人信息的界定使用了适用范围更大的“关联说”，但仍然不够明确和细化。在大数据技术下，许多数据本身是不涉及隐私的，例如用户公开发布的内容等，但是这些数据被用于大数据计算推测用户隐私时，这些数据就属于“与已识别或者可识别的自然人有关的各种信息”，收集这些数据在一定意义上就构成了对用户的隐私权的侵害。

所以现行法律中以数据本身属性作为判断其是否是个人信息的标准并不适用于大数据场景，随着大数据技术的进一步发展，相关问题可能会显露。所以应当在危害出现之前进一步细化个人信息的定义，使其涵盖用于推测个人信息目的的公开信息，用数据的实际用途而非数据本身的内容来界定其属性。

4.2 “告知同意”框架的问题

参考《网络安全法》第四十一条和《个人信息保护法》第十三条，我国现行的个人信息保护相关法律是建立在“告知同意”框架上的，即服务提供方在收集和使用用户信息前必须进行明确告知，并取得用户同意。这种框架在实际使用中通常以隐私声明形式出现，需要用户在阅读后选择是否同意声明。

但是“告知同意”框架本身存在一定局限性，数据处理者为了混淆重要信息，会将可能涉及的一切信息都进行告知，使得隐私声明常常十分冗长和复杂，导致普通用户很难读懂。用户常常选择不阅读协议直接点击“同意”[15]。如果选择阅读，则会带来大量的时间成本。有研究表明，如果数据主体要阅读所有需要阅读的隐私声明，则每年平均需要花费244 个小时[16]。

在大多数情况下，用户为了使用产品或者服务，不得不点击“同意”[17]。虽然《个人信息保护法》中第十六条指出数据处理者不能因为个人不同意处理个人信息而不提供服务，但是也补充了“所需要的个人信息是服务所必需的情况除外”。所以尽管法律要求不得因为用户不同意隐私声明为由拒绝服务，但是实际上隐私声明中总是包括服务和业务“必需”的部分，导致用户如拒绝隐私声明常常会被拒绝服务。同时，用户缺乏选择的空间，无法选择性拒绝一部分授权，只能被迫在全部拒绝和全部同意两种选项中进行选择[15]。

“告知同意” 框架已经在一定程度上成为了数据处理者将大多数责任转移到数据主体身上的手段，无法为用户提供具有实际意义的保护[8]。目前，该问题的最有效的解决方案是赋予数据主体“同意撤回权”[18]。如《个人信息保护法》的第十五条要求数据处理者为用户提供可以便捷地撤回同意的途径（同意撤回权应与上文提到的数据删除权进行区分）。但是这个方案并不能解决授权被绑定，用户不同意整体声明就无法使用服务的问题。所以在现行法律中仍然有“告知同意”框架导致的问题等待解决。

4.3 维权成本的问题

尽管《个人信息保护法》等现行法律保证了数据主体的权利和法律依据，但是实际的维权成本通常过高，导致选择拿起法律武器的用户只占少部分。根据北京市消费者协会的调查，在遭遇大数据"杀熟"问题后，被调查者中只有不到30%表示会向市场监管部门等相关部门投诉；另外有20%的消费者选择不再去相关商家消费；20%的消费者选择自认倒霉；10%左右的消费者选择向商家索要赔偿；只有不到10%的消费者选择向媒体曝光[10]。在类似情况下，价格差异导致的经济损失相较于维权的时间和经济成本而言通常微不足道，再加上举证困难等因素，导致维权成本过高，消费者不倾向于使用法律途径解决问题。

5 总结和建议

随着《个人信息保护法》的施行，我国个人信息保护的相关法规得到了补充，我国相关法律体系取得至关重要的进步。本文分析了大数据所具有的非客体性和非财产性，阐述了数据权中的数据决定权、数据保密权、数据查询权、数据更正权、数据删除权和数据报酬请求权等分支，以及其分别在《个人信息保护法》中所对应的法规条文，说明该法律对于大数据也有一定的适用性。但其也存在一定不足，对大数据适应性不够细化，并且采用的"告知同意"框架存在诸多问题，使得用户的实际权益仍然不能得到充分保障。所以为了更有效地治理大数据，在宣传、立法、维权、技术等方面都应当进行改进。

5.1 加大宣传力度

在宣传方面，应该加大隐私保护方面的宣传力度，向互联网用户普及隐私保护思想，让用户认识到其数据的价值和隐私性，减少用户源头的数据问题。同时，加大关于数据权方面的宣传力度，让用户意识到自己的权益在何种情况下是遭到了损害，建立信息安全保护意识[19]，并且提高在自身权益受到损害之后的维权意识。

5.2 细化相关立法

在立法方面，应该进一步细分和明确个人信息的定义，使其涵盖被用于推测个人信息的公开信息，根据数据的实际用途，而不是数据本身的内容性质来界定其属性。从而使个人信息方面的法律也能同时更好地适用于大数据的隐私保护问题。

另外，对于“告知同意”框架，应当限制企业将所有授权绑定来变相强迫用户同意隐私声明的行为。可以要求数据处理者提供更详细的授权选项，将服务必需的授权单独细分，从而给用户提供选择权，以切实保障用户的权益。

同时，目前隐私保护方面法规存在执行力度不严，处罚力度较轻的情况，而且由于技术困难等原因导致监管力度不足[20]，需要进一步加大监管和处罚的力度，从企业源头保证大数据安全。

在维权方面，可以出台更加便捷的维权和投诉渠道，降低用户维权成本，同时提高司法维权激励从而鼓励维权行为。

5.3 引入安全多方计算

在技术方面，引入安全多方计算来解决大数据计算中的隐私保护问题。在用户与企业进行数据交换的场景下，用户把自己的数据进行秘密分享，发送给多个服务器，然后服务器联合进行安全多方计算，在任何服务器无法独立恢复用户数据的情况下，得到和普通方法相同的计算结果。在企业之间利用数据进行共同计算的场景下，多个数据处理者对所持的数据进行加密混淆，然后共同进行安全多方计算，在不能得知除自己所持数据之外信息的情况下，得到所有数据共同计算的结果或是训练的神经网络模型[21-23]。这些技术能够以一定的额外计算量为代价，最大程度地保护用户的隐私数据，也能够提供安全可靠的大数据计算。

6 结论

大数据相关的法律法规的发展应该尽可能保持与大数据技术发展同步，从而保证时效性，避免法规落后于技术导致的安全隐患。同时，需要使用宣传手段强化互联网用户的自我保护意识和企业的责任意识，并且提高维权激励来降低维权成本。与此同时，可以尝试使用安全多方计算等技术手段从根源上解决大数据技术目前存在的隐私保护问题。如此多策并举之下，相信我国的大数据技术和相关产业将会以更好更平稳更安全的姿态健康发展。