个人信息的多重价值与保护

作者：郑淑凤，北京大学法学院2016级法学硕士研究生

 

随着互联网的普及与信息时代的发展，数据信息逐渐走入公众视野并成为商业经营与个人生活中的重要内容。尤其是随着新商业模式的发展，网上购物、在线支付、导航地图等服务的提供都需以提供个人信息为前提，个人隐私越来越多地通过信息的形式呈现。现代个人在生活中已经向他人及社会透露了大量的个人信息，伴随而来的是大量信息泄露、诈骗等问题，严重危害个人利益。信息数据不仅成为个人隐私的重要载体，海量的个人信息与大数据也成为商业活动、技术研究的重要资源，正确认识个人信息的隐私内含与商业价值、社会价值，从法律上保护信息所有者的利益，协调信息所有者、收集者、使用者、加工者以及政府等主体之间的关系成为亟待探索的问题。

一、个人信息与个人隐私

对于个人信息含义的界定，目前学界并无统一观点。但无论是国外立法，还是国内外学者的定义，都将可识别性作为其重要因素之一。有学者将其定义为：与特定个人相关联的、反映个体特征的、具有可识别性的符号系统，包括个人身份、工作、家庭、财产、健康等各方面信息。[1]具体来看，主体是自然人、具有可识别性、能够处理是区别个人信息与其他信息的重要特征。

隐私权是个人对其私人领域的一种控制状态，包括是否允许他人对其进行亲密的接触（包括个人信息的接触）的决定和他对自己私人事务的决定。[2]即隐私是指公民个人生活不受他人非法干涉或擅自公开的权利。[3]从定义上看，隐私权强调的是个人生活不被他人非法打扰的状态，当他人对个人生活的打扰超过必要限度，侵害权利人利益时，使用隐私权维护这一安宁的生活状态。当行为人的行为达到严重干扰他人正常生活的程度时，方可认定构成对个人隐私权的侵犯，其概念内含一定的价值判断。这种抽象的、以结果判断的隐私概念，导致了隐私外延的多变性。[4]只要达到了对自然人安定生活的严重破坏，各种行为都可能构成侵犯隐私权，潜在的规制行为是多种多样的，其中即包括个人信息的不当披露。

在实践中，对于个人信息的保护，法律主要是在个人信息的收集、后续信息流转、加工、处理中进行规制，如对收集个人信息公司的隐私政策、个人信息流转等做出限制，侧重于个人信息保护的事前规制，同时，权利人还可以对自己的个人信息进行积极利用；而对于个人隐私权的保护主要是通过案例判决加以保护，只有在个人隐私受到侵害时，隐私权才发挥作用，权利人通过诉讼的方式请求赔偿，对隐私的保护侧重于事后保护。正如一位学者所说普通的隐私权主要是一种消极的、排他的权利，但是资讯自决权（个人信息权）则赋予了权利人一种排他的、积极的、能动的控制权和利用权。[5]

由此可见隐私权与个人信息权是不同层面上的概念，二者在一定程度上有交叉部分，并不存在包含或被包含的关系。隐私权作为传统人格权的一种，强调的是对个人安定生活状态的保护，其客体为抽象的状态；而个人信息权的客体是信息，是一种无形物。隐私权是对私人领域侵入程度的判断，是以行为后果作为依据的判断；而个人信息权是对信息本身的识别性和指向性进行的判断，能够识别或指向具体个人的即是个人信息，受到法律保护。[6]

二、个人信息的商业价值与社会价值

随着信息社会的发展，信息的商业价值与社会价值与内涵也更为丰富。这首先体现在个人信息与商业模式的紧密结合上，许多商业服务的提供需要借助用户的个人信息，而这些商业模式部分已经融入每个人的日常生活。具体体现为：（1）提供服务所必须获得的个人信息，如为了提供导航、订购外卖、在线支付等服务就必须获得的个人位置、银行账户等信息；（2）需要个人信息以更好地改进服务质量，如搜索引擎、在线购物平台需要对用户搜索习惯、购物习惯的监控以分析消费偏好，方可定向推送相关产品；（3）部分商业模式的特点就在于以提供便利服务换取个人信息，如共享模式下对个人信息的采集，在这一模式下，商家以用户提供个人信息为代价提供服务，尽管通过共享资源能够节约商家的服务成本，但该商业模式更为在意的是借此收集大量用户的身份、出行信息获得大量数据，可以用以分析用户偏好、市场情况，掌握更多的市场信息用以开发其他商业模式或对外转卖。商业活动成功与否很大程度上依赖于对消费者需求把握的精准程度。个人信息在隐私之外延伸出了新的财产属性、商业价值。[7]

其次，个人信息经过加工处理形成大数据，大数据的商业价值与社会价值则更为明显。研究机构Gartner将“大数据”定义为是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力来适应海量、高增长率和多样化的信息资产。可见个人信息作为信息社会的一种重要的经济资源，存在重要的商业价值、财产属性。[8]通过技术手段将能够删除数据中用以识别到个人的敏感信息，留下信息组成的大数据可以用以实践调研分析，帮助决策研究。在当下的大数据时代，对于大数据的分析和利用已经渗透社会生活的方方面面。无数个人信息汇聚成大数据，丰富的大数据可以为市场分析提供资料，帮助商业决策；为医学研究提供样本资料用以提高医疗水平；为机器进行深度学习提供学习资料，帮助人工智能的研发等。

伴随着电子商务、在线服务等行业的发展，商业社会对于个人信息的使用更为多样，使得信息数据规范比单纯个人隐私的保护更为复杂，一方面涉及对个人原始信息的分析、披露；另一方面，还会涉及对无数个人信息脱敏后组成的大数据的分析。这也就使得对个人信息的法律保护更为困难。

三、个人信息的独立保护

个人信息兼具人身属性与财产属性，在个人信息背后蕴含了双重价值取向：一方面，它承载着公民的个人隐私，对人格的保护要求对个人信息的收集与流转利用做出限制；另一方面，随着网络技术的发展，个人信息的获取利用已经成为新商业模式与部分研究中不可或缺的部分，且在大数据时代下，由无数脱敏信息组成的大数据具有巨大的商业价值与社会价值，过度限制个人信息的收集使用反而会阻碍新兴产业的发展与贸易往来。保护个人信息需要把握对个人信息使用的限度。同时，在个人信息的收集、处理、利用过程中，存在政府、信息主体个人、信息掌握者、专业数据处理机构等多方主体，对个人信息的法律保护需要同时兼顾各方主体的不同利益诉求。故在信息社会的个人信息不只为个人设定一项权利，而更旨在构建一个信息主体、个人信息使用者与社会整体利益的法律框架。[9]对个人信息的法律保护具有自身的需求，对其进行独立保护具有意义。

四、个人信息保护的现实难题

首先，最大的问题在于商事主体在收集个人信息时往往不能充分履行告知义务或存在过度收集信息的情况，这也是实践中出现较多的问题。商家在用户协议、通知中没有写明收集个人的范围与用途，在用户发现问题时也没有提供良好的反悔、投诉机制。

其次，对个人信息进行二次开发与利用时，信息脱敏难以实现真正的“脱敏”。对于个人信息的二次处理利用过程中，尽管通过删除敏感信息与能够定位识别到个人的信息使得整个数据脱离敏感信息，免除泄露个人隐私的危险，但事实上越来越多的案例表明，通过技术手段的帮助仍然可以在二次处理后的数据中还原被删除信息。在对信息进行分析再处理时仍然存在对个人隐私的侵犯。这也就要求对于个人信息的保护需要存在于信息数据处理的每个阶段，在后来的处理阶段也要进行信息监管。

最后，信息数据的跨境流转存在风险。在全球化贸易中，跨国贸易往往包含诸多个人信息数据随交易流转，个人信息的转到境外后难以受国内法的保护，境外主体对信息进行不当利用，甚至存在泄露国家安全信息的风险。尽管目前欧盟与美国等国已经开始对数据跨境流转进行规制，但对数据流转做出过多的限制必然会增加商事企业的交易成本，不利于自由贸易。据麦肯锡全球研究院调查，2014年跨境数据流为全球经济创造了2.8万亿美元的价值，对经济增长的贡献已经超过实体贸易，[10]数据跨境交流十分必要。故在如何规制数据跨境流转的问题上，个人信息保护与商业发展二者关系上仍难以协调。

五、个人信息保护立法

早在1980年，世界经济合作发展组织（Organization For Economic Co-operation and Development，OECD）即出台了《隐私保护与个人数据跨国流通指南》（OEC Guidelines on the Protection of Privacy and Transborder Flows of Personal Data），对个人信息的保护提出了八项原则，即信息收集限制原则、数据质量原则、表明目的原则、使用限制原则、案例保护原则、公开原则、个人参与原则以及负责任原则。此后各国逐渐制定了对个人信息保护的立法政策。

欧盟早在1995年通过了《数据保护指令》（Proposal for a Council Directive Concerning the Protection of Individuals in Relation to the Processing of Personal Data）为成员国立法提供最低标准。随着技术发展欧盟又出台系列指令对其进行补充，包括2002年的《隐私与电子通讯指令》（Directive on Privacy and Electronic Communications, Directive 2002/58/EC）赋予用户对个人信息的控制权，2009年通过《欧洲Cookie指令》（EU Cookie Directive, Directive 2009/136/EC）针对网络用户跟踪识别技术Cookie的使用加以规范并要求必要的信息披露等。随着网络发展，对个人信息保护提出了更高的要求，欧盟2016年通过了讨论4年的《一般数据保护条例》（General Data Protection Regulation，下简称GDPR），该条例将在2018年正式生效。GDPR在诸多领域，如数据信息的数据主体（data subject）个人的权利种类（规定被遗忘权与个人的数据携带权）、数务主体的种类（除数据控制者（Data Controller）外，GDPR对数据处理者（data processor）也规定了未经同意不得对外分处理（Sub-Processors）、与监管机构合作、设立数据保护官、发生数据盗用时的报告等义务以及罚款的力度等方面都实现了较大的突破。[11]由于GDPR扩大了其适用的地域范围，且可以直接在欧盟成员国国内生效，故其带来的影响十分巨大，最终的实施效果有待实践检验。

中国具有庞大的人口数量，据调查，截至2016年6月中国网民规模达7.10亿，互联网普及率达到51.7%，[12]拥有丰富的潜在数据资源。我国新兴行业中，利用公民个人信息进行经营的新商业模式在中国发展迅速，如互联网行业电子商务、共享单车等，都会涉及对个人信息的收集与使用。目前我国《刑法》、《民法总则》等都规定了对个人信息的保护，2016年11月7日出台的《网络安全法》对责任主体等问题给予相对详细的规定。而在数据的跨境流转问题上，我国尚未与其他国家或地区签订专门的规制协议，仍有待进一步完善。

 

 

[1] 王利明：“论个人信息权载人格权法中的地位”，载《苏州大学学报》，2012年第6期。

 

[2] Julie C. Inness, Privacy, Intimacy, and Isolation (New York, Oxford, 1992) 56, 转引自王利明，杨立新主编《人格权与新闻侵权》，中国方正出版社，2010年第1版，页404。

[3] 刘国林：“论公民隐私权的法律保护”，载《社会科学》，1990年第1期。

[4] 谢远扬：《个人信息的私法保护》，中国法制出版社，2016年第1版，页27。

[5] 任晓红，数据隐私权【G】//杨立新，侵权法热点问题法律应用。北京：人民法院出版社，2000：419.转引自王利明：“论个人信息权载人格权法中的地位”，载《苏州大学学报》，2012年第6期。

[6] 谢远扬：《个人信息的私法保护》，中国法制出版社，2016年第1版，页28。

[7] 胡慧凯：“个人信息跨境流动的法律问题研究”，华东政法大学，2016年硕士学位论文，第18页。

[8] 王楠：“个人信息跨境转移的法律保护——以公司隐私规则为视角”，载《重庆工商大学学报》，2015年33卷第1期。

[9] U.K. Home Office, Report of the Committee on Data Protection (1978) para. 18.42.

[10] 麦肯锡中国人工智能报告，直面三座大山，载亿欧网站，http://www.zgctrz.com.cn/shownews-46352.html， 最后访问时间：2017年7月11日。

[11] See article3, 5, 6, 17, 20, 33-34, 37-39 of General Data Protection Regulation.

[12] 中国互联网络信息中心（CNNIC）第38次《中国互联网络发展状况统计报告》。

 

注：本文仅代表作者个人观点，与北京大学科技法研究中心无关。

 

责任编辑：季冬梅