【引言】

本文節(jié)選《網(wǎng)絡(luò)環(huán)境下的個(gè)人信息保護(hù)》論文的部分內(nèi)容，寫于《民法典》、《個(gè)人信息保護(hù)法》頒布之前。其對(duì)個(gè)人信息的概述與特點(diǎn)分析在今天看來(lái)仍有參考意義，關(guān)于個(gè)人信息的比較法分析也為我國(guó)個(gè)人信息保護(hù)立法奠定了基礎(chǔ)。值得注意的是，文中提到的個(gè)人信息保護(hù)的立法現(xiàn)狀指的是我國(guó)在2017年對(duì)個(gè)人信息立法保護(hù)的情況介紹，這對(duì)我們了解我國(guó)個(gè)人信息立法保護(hù)的歷史有一定價(jià)值。同時(shí)，再回顧文中提到的當(dāng)時(shí)個(gè)人信息保護(hù)立法存在的問題，我們發(fā)現(xiàn)隨著學(xué)界對(duì)個(gè)人信息保護(hù)探討的發(fā)展與《個(gè)人信息保護(hù)法》的出臺(tái)，大部分問題如今已經(jīng)迎刃而解，而當(dāng)今的個(gè)人信息保護(hù)與利用，仍在不斷出現(xiàn)新的問題需要我們?nèi)ソ鉀Q。

目錄

一、 網(wǎng)絡(luò)環(huán)境下的個(gè)人信息概述

（一）什么是個(gè)人信息

（二）個(gè)人信息與個(gè)人隱私辨析

（三）網(wǎng)絡(luò)時(shí)代個(gè)人信息的特點(diǎn)

二、 個(gè)人信息保護(hù)的比較法分析

（一）歐盟

（二）美國(guó)

（三）我國(guó)個(gè)人信息保護(hù)的立法現(xiàn)狀

（四）對(duì)我國(guó)個(gè)人信息保護(hù)立法模式選擇的啟示

三、中國(guó)個(gè)人信息法律保護(hù)的立法考量

（一）平衡法律規(guī)制的立足點(diǎn)——尋求個(gè)人信息的自由流動(dòng)和人格保護(hù)二者的平衡

（二）個(gè)人信息的多次利用對(duì)“目的明確原則”的再詮釋

（三）樹立以風(fēng)險(xiǎn)控制為導(dǎo)向的信息管理理念

（四）應(yīng)重視個(gè)人信息使用環(huán)節(jié)的監(jiān)管

（五）遵循從設(shè)計(jì)著手保護(hù)隱私（Privacy by Design，PbD）等針對(duì)大數(shù)據(jù)、云計(jì)算服務(wù)的立法趨勢(shì)

【摘??要】商國(guó)務(wù)院信息化發(fā)展綱領(lǐng)性文件《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》將信息資源稱為“日益成為重要生產(chǎn)要素、無(wú)形資產(chǎn)和社會(huì)財(cái)富”。在信息產(chǎn)業(yè)飛速發(fā)展的時(shí)代，個(gè)人信息存在著巨大價(jià)值，這使得侵犯信息主體對(duì)個(gè)人信息享有的合法權(quán)益的現(xiàn)象愈演愈烈。面對(duì)信息技術(shù)和互聯(lián)網(wǎng)日新月異的飛速發(fā)展，個(gè)人信息保護(hù)又面臨一些新的挑戰(zhàn)，為應(yīng)對(duì)這些新舊挑戰(zhàn)，我們應(yīng)當(dāng)立足于在個(gè)人信息的自由流動(dòng)和人格保護(hù)之間尋求動(dòng)態(tài)平衡，并廣泛參考國(guó)外成熟的立法經(jīng)驗(yàn)，構(gòu)建適合我國(guó)國(guó)情的個(gè)人信息保護(hù)法律體系。

【關(guān)鍵詞】個(gè)人信息 人格權(quán) 立法模式 互聯(lián)網(wǎng) 大數(shù)據(jù)

一、網(wǎng)絡(luò)環(huán)境下的個(gè)人信息概述

（一）什么是個(gè)人信息

在個(gè)人信息的定義上，從各國(guó)的立法表述看，《德國(guó)個(gè)人資料保護(hù)法》第2條將“個(gè)人信息”定義為:“凡涉及特定或可得特定的自然人的所有屬人或?qū)偈碌膫€(gè)人資料”。根據(jù)《英國(guó)資料保護(hù)法》第1條的規(guī)定,個(gè)人信息是指可以直接或者間接識(shí)別一個(gè)生存的人所有資料,包括個(gè)人觀點(diǎn)的表達(dá)、個(gè)人意圖的表達(dá)等。我國(guó)臺(tái)灣地區(qū)《電腦處理個(gè)人資料保護(hù)法》第3條第1款規(guī)定:“個(gè)人資料是指自然人姓名、出生年月日、身份證統(tǒng)一編號(hào)、特征、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財(cái)務(wù)情況、社會(huì)活動(dòng)等足以識(shí)別該個(gè)人之資料”。

從以上表述中可以看出，并不是所有有關(guān)個(gè)人的數(shù)據(jù)、信息都可以納入法律意義上的“個(gè)人信息”，該信息必須能夠綜合分析出專屬于某個(gè)人。因此，“可識(shí)別性”是判斷是否屬于個(gè)人信息的關(guān)鍵。如果能夠運(yùn)用合理的方法將某個(gè)人從一群人中選擇出來(lái)，就可認(rèn)為這個(gè)人被識(shí)別了。因此，需要從各方面綜合分析，對(duì)個(gè)人信息進(jìn)行甄別。如果從對(duì)個(gè)人信息的記載中可以較為明顯地推出某個(gè)人時(shí)，也就說(shuō)明此類信息具有識(shí)別個(gè)人的標(biāo)志性特征。我國(guó)的首個(gè)個(gè)人信息保護(hù)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》將“個(gè)人信息”表述為“可為信息系統(tǒng)所處理、與特定自然人相關(guān)、能夠單獨(dú)或通過與其他信息結(jié)合識(shí)別該特定自然人的數(shù)據(jù)。”

然而，個(gè)人信息的屬性是動(dòng)態(tài)變化的，即同一條信息可能在此時(shí)不被視為個(gè)人信息，但在另一個(gè)場(chǎng)景中，其屬性可能發(fā)生變化。個(gè)人信息的屬性判斷取決于其收集和使用的場(chǎng)景，需結(jié)合具體獲取方式、使用方式等因素綜合認(rèn)定，而不是對(duì)信息的性質(zhì)預(yù)先作出判斷。進(jìn)一步而言，個(gè)人信息的處理是否給用戶帶來(lái)隱私風(fēng)險(xiǎn)的原因并非來(lái)自其是否構(gòu)成個(gè)人信息，而是在具體場(chǎng)景中被如何使用以及是否符合用戶在相應(yīng)場(chǎng)景中的合理期待。換言之，信息性質(zhì)的判斷遠(yuǎn)非目的，信息處理行為的隱私風(fēng)險(xiǎn)方為衡量機(jī)構(gòu)責(zé)任的最終標(biāo)準(zhǔn)。

（二）個(gè)人信息與個(gè)人隱私辨析

個(gè)人信息保護(hù)權(quán)常常與隱私權(quán)相聯(lián)系，因?yàn)槎咧g的確存在著緊密聯(lián)系。某些個(gè)人信息，如個(gè)人的健康狀況、手術(shù)記錄、宗教信仰等，同樣是屬于隱私的范疇。對(duì)這些個(gè)人信息的侵犯，其后果常常也是對(duì)其隱私的侵犯。正因?yàn)槎咧g的密切聯(lián)系，很多人將個(gè)人信息保護(hù)權(quán)與隱私權(quán)等同，或者認(rèn)為通過確立隱私權(quán)制度，即足以實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)。

但其實(shí)，個(gè)人信息受保護(hù)權(quán)是一項(xiàng)與隱私權(quán)所不同的獨(dú)立權(quán)利。隱私權(quán)作為一項(xiàng)具體人格權(quán)，是指自然人享有的私人生活安寧與私人信息秘密依法受到保護(hù)，不被他人非法侵?jǐn)_、知悉、搜集、利用和公開的一種人格權(quán)。個(gè)人隱私始終是公民不愿意讓外界所知曉的敏感信息，對(duì)其保護(hù)的重點(diǎn)是保護(hù)個(gè)人的私密空間不受侵害；而個(gè)人信息的內(nèi)涵則強(qiáng)調(diào)“識(shí)別”，即他人可通過個(gè)人信息認(rèn)出信息主體，個(gè)人信息概念遠(yuǎn)遠(yuǎn)超出了隱私信息的范圍。具體的不同點(diǎn)體現(xiàn)在：第一，個(gè)人信息保護(hù)是一項(xiàng)獨(dú)立的基本權(quán)利，不是隱私權(quán)范疇內(nèi)的某種權(quán)益。第二，某些個(gè)人信息并不具有隱秘性，可能已經(jīng)在一定范圍內(nèi)公開，但并不排除權(quán)利主體對(duì)自身信息的控制權(quán)，而隱私一旦被披露，其私密性就難以通過救濟(jì)途徑予以恢復(fù)，損害后果往往不可逆。而個(gè)人信息可以被反復(fù)利用，信息主體可以授權(quán)不同機(jī)構(gòu)利用其個(gè)人信息，造成的損害也通常具有可恢復(fù)性。例如對(duì)個(gè)人信息的非法收集、非法儲(chǔ)存等行為，權(quán)利人有權(quán)請(qǐng)求行為人刪除信息，恢復(fù)權(quán)利原狀。第三，個(gè)人信息權(quán)必須通過載體予以固定，在大數(shù)據(jù)環(huán)境下，個(gè)人信息通常以數(shù)字化形式表現(xiàn)出來(lái)，而隱私不限于信息形態(tài)，可以是私人活動(dòng)、私人空間等不需要通過某種數(shù)字化載體體現(xiàn)的。第四，二者的保護(hù)范圍和方式也不完全相同。個(gè)人信息的保護(hù)范圍，往往被認(rèn)為包括但不限于對(duì)隱私的保護(hù)。另外，隱私在很多時(shí)候采取的是主觀標(biāo)準(zhǔn)，如果當(dāng)事人不認(rèn)為所涉事實(shí)是隱私的，往往可能不被認(rèn)定為隱私；而個(gè)人信息的認(rèn)定則有客觀標(biāo)準(zhǔn)，并不完全遵照當(dāng)事人的主觀認(rèn)知。

從我國(guó)既有的人格權(quán)立法體系看，隱私權(quán)作為人格權(quán)的一種，其內(nèi)涵有一定界限，不能簡(jiǎn)單用“隱私權(quán)”來(lái)代替“個(gè)人信息權(quán)”。

（三）網(wǎng)絡(luò)時(shí)代個(gè)人信息的特點(diǎn)

計(jì)算機(jī)通信技術(shù)與互聯(lián)網(wǎng)的發(fā)展不僅帶來(lái)了生產(chǎn)方式的變革，更導(dǎo)致了人類生活方式前所未有的信息化嬗變。在這一進(jìn)程中，技術(shù)與社會(huì)相互型塑，兩者間的影響往往難以預(yù)料，致使社會(huì)信息化的后果更為復(fù)雜多變。近年來(lái)，隨著互聯(lián)網(wǎng)、信息存儲(chǔ)、云計(jì)算、物聯(lián)網(wǎng)、社交網(wǎng)絡(luò)、移動(dòng)智能終端突飛猛進(jìn)的發(fā)展，數(shù)據(jù)的信息處理與應(yīng)用進(jìn)入大數(shù)據(jù)時(shí)代。大數(shù)據(jù)技術(shù)，尤其是大數(shù)據(jù)挖掘技術(shù)的迅速普及給社會(huì)商業(yè)模式、政府行為模式帶來(lái)了新的發(fā)展。

同時(shí)，網(wǎng)絡(luò)與大數(shù)據(jù)的發(fā)展也引發(fā)了一系列價(jià)值沖突，迫使人們?cè)诜蓪用嬗枰曰貞?yīng)。特別是鑒于大數(shù)據(jù)直接涉及對(duì)個(gè)人信息及行為數(shù)據(jù)的收集、處理與使用，給新環(huán)境下個(gè)人信息保護(hù)帶來(lái)新的挑戰(zhàn)。

網(wǎng)絡(luò)時(shí)代的個(gè)人信息呈現(xiàn)出不同于傳統(tǒng)社會(huì)中個(gè)人信息的一些特點(diǎn)：

第一，信息來(lái)源的廣泛性、內(nèi)容的多維度。互聯(lián)網(wǎng)、大數(shù)據(jù)技術(shù)使關(guān)于個(gè)人信息的海量數(shù)據(jù)被記錄和處理。一方面，很多信息空間中存儲(chǔ)和處理的數(shù)據(jù)已經(jīng)超過TB與PB量級(jí)；另一方面，有關(guān)個(gè)人信息的數(shù)據(jù)類型包括文本、音頻、視頻、網(wǎng)絡(luò)點(diǎn)擊數(shù)據(jù)流、博客、微博等多種多樣的形式。包括互聯(lián)網(wǎng)服務(wù)提供者、電信運(yùn)營(yíng)商在內(nèi)的主體提供互聯(lián)網(wǎng)或通信服務(wù)，每時(shí)每刻都要獲取海量的來(lái)自終端和用戶的信息。比如用戶日常在網(wǎng)絡(luò)和移動(dòng)終端上留下的瀏覽記錄、購(gòu)物消費(fèi)記錄、送貨地址、通信信息，微博、微信圖片、文字、地理位置、留言評(píng)論，網(wǎng)絡(luò)通信所儲(chǔ)存的郵件、賬單，通信設(shè)備GPS 系統(tǒng)所留下的位置地址信息、日常運(yùn)動(dòng)軌跡等。

第二，獲取信息的主體范圍擴(kuò)大化。網(wǎng)絡(luò)時(shí)代能夠獲取用戶個(gè)人信息的主體遠(yuǎn)不止電信運(yùn)營(yíng)商和互聯(lián)網(wǎng)服務(wù)提供者。隨著人們生活方式和社會(huì)組織運(yùn)行方式的互聯(lián)網(wǎng)化，通過互聯(lián)網(wǎng)獲取個(gè)人信息的主體也越來(lái)越多樣化。以網(wǎng)購(gòu)行為為例，除了電信運(yùn)營(yíng)商、網(wǎng)購(gòu)平臺(tái)之外，能獲取個(gè)人信息的至少還包括賣家、物流公司，甚至包括提供運(yùn)費(fèi)險(xiǎn)的保險(xiǎn)公司。從行業(yè)來(lái)看，包括電信和互聯(lián)網(wǎng)、商貿(mào)流通、物流配送、保險(xiǎn)等多個(gè)行業(yè)。

第三，網(wǎng)絡(luò)技術(shù)導(dǎo)致信息主體對(duì)自身信息的控制力減弱。在信息社會(huì)，個(gè)人信息的收集與處理大多是通過計(jì)算機(jī)等自動(dòng)化設(shè)備進(jìn)行的，這種收集往往是在信息主體不知情的情況下進(jìn)行的。信息獲取者借助技術(shù)手段，在信息主體不知情或不能控制的情形下暗中實(shí)施數(shù)據(jù)的收集、分析，這些網(wǎng)絡(luò)技術(shù)工具可能包括system administrator(服務(wù)器系統(tǒng)管理員、可詳細(xì)記錄訪問息)、cookies（跟蹤軟件）、new visitor counting（對(duì)造訪者進(jìn)行再度造訪次數(shù)的記錄軟件）、push technology（追蹤與歸類用戶特定網(wǎng)絡(luò)興趣或所需網(wǎng)絡(luò)信息內(nèi)容之功能的軟件）、oil change program（記錄用戶硬盤詳細(xì)內(nèi)容的軟件）。以Cookies為例，cookies服務(wù)器暫時(shí)存放在用戶的電腦里（.txt格式的文本文件），好讓服務(wù)器用來(lái)辨認(rèn)計(jì)算機(jī),當(dāng)用戶在瀏覽網(wǎng)站的時(shí)候，Web服務(wù)器會(huì)先將一些資料放在用戶的計(jì)算機(jī)上，跟蹤統(tǒng)計(jì)用戶訪問該網(wǎng)站的習(xí)慣，比如什么時(shí)間訪問，訪問了哪些頁(yè)面，在每個(gè)網(wǎng)頁(yè)的停留時(shí)間等。當(dāng)下次再訪問同一個(gè)網(wǎng)站，服務(wù)器會(huì)先看看有沒有它上次留下的Cookies資料，并依據(jù)Cookies里的內(nèi)容來(lái)判斷使用者，送出特定的網(wǎng)頁(yè)內(nèi)容。這些技術(shù)工具的應(yīng)用使得收集、記錄、處理和利用信息更加地方便、快速，成本低廉。并且通過隱秘的方式將上述工具植入用戶使用的程序中，如果沒有明確提示，普通的網(wǎng)絡(luò)使用者往往無(wú)從知曉，更難以控制行為所載的信息被收集和獲取。

此外，大多數(shù)網(wǎng)站公布隱私政策的方式是在網(wǎng)頁(yè)的上方或下方的非顯著位置置入隱私政策的鏈接，例如某知名社交軟件隱私政策文本中將用戶的接受方式表述為“您使用或繼續(xù)使用我們的服務(wù)，都表示您同意我們按照本《隱私政策》收集、使用、儲(chǔ)存和分享您的信息”，即采用用戶默示同意的方式授權(quán)服務(wù)商處理個(gè)人信息。但所謂的默示同意實(shí)際上是一種被動(dòng)式的消極同意，多數(shù)用戶并不會(huì)在使用網(wǎng)站服務(wù)之前先去尋找并點(diǎn)擊閱讀冗長(zhǎng)的隱私政策，更不用說(shuō)為了要獲取網(wǎng)站的服務(wù)而對(duì)此提出反對(duì)意見并要求服務(wù)商進(jìn)行修改。“不反對(duì)即推定為同意”的規(guī)則，其實(shí)造成一種現(xiàn)象，即用戶為了獲取必要的網(wǎng)絡(luò)服務(wù)而對(duì)個(gè)人信息控制乏力。

第四，大數(shù)據(jù)分析處理能力、云計(jì)算對(duì)個(gè)人信息保護(hù)帶來(lái)新的影響和風(fēng)險(xiǎn)。通過技術(shù)獲得的海量信息絕大多數(shù)都是碎片化的信息，只有通過分析才能獲取智能的、深入的、有價(jià)值的信息。越來(lái)越多的應(yīng)用涉及到大數(shù)據(jù)，而這些大數(shù)據(jù)的屬性，包括數(shù)量，速度，多樣性等等都是呈現(xiàn)了大數(shù)據(jù)不斷增長(zhǎng)的復(fù)雜性，所以大數(shù)據(jù)的分析方法就顯得尤為重要，可以說(shuō)是決定這些信息最終是否有價(jià)值的重要因素。而通過一定的方式，對(duì)實(shí)時(shí)數(shù)據(jù)和歷史數(shù)據(jù)進(jìn)行適當(dāng)?shù)姆治觯梢院苋菀椎陌l(fā)現(xiàn)用戶規(guī)律性的行動(dòng)軌跡、常用移動(dòng)終端應(yīng)用軟件種類、不同終端在位置和時(shí)間上的耦合關(guān)系等，進(jìn)而對(duì)用戶的生活習(xí)慣、興趣愛好、職業(yè)特點(diǎn)、消費(fèi)及投資偏好等在一定程度上作出推斷，甚至可以還原出用戶的身份和人格面貌。

互聯(lián)網(wǎng)以及與之相關(guān)的產(chǎn)業(yè)發(fā)展日新月異，除大數(shù)據(jù)外，云計(jì)算(CloudComputing)作為一種新的服務(wù)模式近年來(lái)發(fā)展也十分迅速。云計(jì)算簡(jiǎn)單地說(shuō)是指通過互聯(lián)網(wǎng)可以獲取的、由處于遠(yuǎn)端的計(jì)算機(jī)所提供的數(shù)據(jù)存儲(chǔ)、處理和使用。它將計(jì)算任務(wù)分布到大量由計(jì)算機(jī)構(gòu)成的資源池上，從而使用戶能夠根據(jù)需要獲取計(jì)算力、存儲(chǔ)空間和信息服務(wù)；這種資源池就稱為“云”。“云”是一些可以自我維護(hù)和管理的虛擬計(jì)算資源，通常是一些大型服務(wù)器集群，包括計(jì)算服務(wù)器、存儲(chǔ)服務(wù)器和寬帶資源等。由此，用戶可以幾乎無(wú)限地獲取計(jì)算能力，他們自身不必進(jìn)行大規(guī)模投資以滿足這些需求，而可以通過網(wǎng)絡(luò)連接在任何地點(diǎn)都獲得信息。云計(jì)算可以極大地使用戶節(jié)省成本，提高效率，實(shí)現(xiàn)技術(shù)創(chuàng)新，這對(duì)中小企業(yè)尤其重要。云計(jì)算具有高動(dòng)態(tài)、高可靠性的特點(diǎn)，數(shù)據(jù)的存儲(chǔ)和安全完全由云計(jì)算提供商負(fù)責(zé)。這對(duì)于用戶的個(gè)人信息保護(hù)來(lái)說(shuō)比傳統(tǒng)的信息儲(chǔ)存方式存在更大的風(fēng)險(xiǎn)。一方面，用戶將數(shù)據(jù)托管給云服務(wù)商后，對(duì)數(shù)據(jù)享有優(yōu)先訪問權(quán)的不是用戶，而是云服務(wù)提供商。云服務(wù)提供商能夠?qū)τ脩魯?shù)據(jù)進(jìn)行直接獲取、收集和分析，挖掘出用戶的各種數(shù)據(jù)，因此難以排除內(nèi)部人員對(duì)云端信息的不良使用、惡意泄露等問題；另一方面，由于云服務(wù)提供商擁有的海量用戶數(shù)據(jù)具有極大商業(yè)價(jià)值，因此也面臨系統(tǒng)技術(shù)安全問題以及被黑客攻擊的潛在風(fēng)險(xiǎn)。2011年3月，谷歌郵箱發(fā)生大規(guī)模用戶信息泄露事件；同年，黑客利用亞馬遜EC2云計(jì)算服務(wù)，對(duì)索尼PlayStation網(wǎng)站進(jìn)行了攻擊，造成用戶信息大規(guī)模泄露；2012年，盛大云服務(wù)器因磁盤損壞而導(dǎo)致部分用戶個(gè)人信息丟失。

第五，個(gè)人信息的公共價(jià)值和商業(yè)價(jià)值正在被充分挖掘。移動(dòng)互聯(lián)網(wǎng)、搜索引擎、在線社區(qū)、電子商務(wù)平臺(tái)、社交網(wǎng)站等大型的聯(lián)機(jī)系統(tǒng)及其它先進(jìn)的技術(shù)手段提供了個(gè)人社會(huì)行為的真實(shí)、詳細(xì)的記錄，使得政府部門可以全面地了解個(gè)人信息所反映的某種社會(huì)行為或現(xiàn)象背后的規(guī)律，并通過分析把這些規(guī)律運(yùn)用到醫(yī)療、交通、城市規(guī)劃、公共安全等不同的領(lǐng)域，以幫助推進(jìn)建立一個(gè)更高效的社會(huì)運(yùn)行機(jī)制。個(gè)人的網(wǎng)絡(luò)瀏覽、網(wǎng)絡(luò)搜索、網(wǎng)絡(luò)互動(dòng)、網(wǎng)絡(luò)交易等行為產(chǎn)生了大量的實(shí)時(shí)數(shù)據(jù)，依據(jù)大規(guī)模真實(shí)的個(gè)人數(shù)據(jù)，政府部門和公共機(jī)構(gòu)得以深度探索社會(huì)、經(jīng)濟(jì)運(yùn)行的現(xiàn)象、規(guī)律和趨勢(shì)，通過預(yù)警和提前介入的方式進(jìn)行管理，以此使政府的管理和決策更加精細(xì)化、科學(xué)化，促進(jìn)公共服務(wù)水平的全面提高。

大數(shù)據(jù)商業(yè)應(yīng)用深挖用戶個(gè)人信息的潛在價(jià)值，在商業(yè)領(lǐng)域的典型應(yīng)用體現(xiàn)為通過對(duì)用戶行為的精準(zhǔn)分析，提升用戶體驗(yàn)，增強(qiáng)用戶黏性，開展個(gè)性化營(yíng)銷。在互聯(lián)網(wǎng)時(shí)代，來(lái)自個(gè)人的碎片化的信息被收集起來(lái)，通過對(duì)個(gè)人數(shù)據(jù)的拼接、整合以及進(jìn)一步的數(shù)據(jù)挖掘與知識(shí)發(fā)現(xiàn)，生成各種主題性個(gè)人信息，這些生成性的信息旨在描述和評(píng)價(jià)個(gè)人在某個(gè)方面的記錄及其所顯示出的可能傾向，從而為個(gè)性化服務(wù)提供數(shù)據(jù)支撐。通過智能化的聯(lián)想和分析，可以在用戶意識(shí)到自己的需求前就主動(dòng)發(fā)現(xiàn)、引導(dǎo)用戶的需求，將用戶的潛在需求現(xiàn)實(shí)化、模糊需求明確化。技術(shù)發(fā)展為挖掘用戶個(gè)人信息潛在價(jià)值提供條件。比如利用cookies獲取的用戶信息，一方面是可以為用戶提供個(gè)性化的服務(wù)，另一方面，也可以作為了解所有用戶行為的工具，對(duì)于網(wǎng)站經(jīng)營(yíng)策略的改進(jìn)有一定參考價(jià)值。Cookies可匹配網(wǎng)站廣告和訪問的網(wǎng)站地址，或匹配某次網(wǎng)上購(gòu)物與購(gòu)物前看過的網(wǎng)站廣告，可跟蹤瀏覽了網(wǎng)站的哪些網(wǎng)頁(yè)，累計(jì)訪問某個(gè)特定網(wǎng)頁(yè)的次數(shù)，還能記錄搜索引擎中輸入的字符串等。此外，信息獲取和存儲(chǔ)成本的降低，使大規(guī)模信息的聚集變成可能。數(shù)據(jù)挖掘和數(shù)據(jù)分析技術(shù)，為用戶個(gè)人信息二次開發(fā)提供了機(jī)會(huì)和條件，信息的潛在價(jià)值得到釋放。實(shí)踐中，擁有豐富個(gè)人信息資源的社交網(wǎng)絡(luò)、電商公司紛紛通過挖掘信息價(jià)值，創(chuàng)新自身業(yè)務(wù)模式，并向第三方開放相關(guān)數(shù)據(jù)，提供數(shù)據(jù)支撐。比如淘寶“數(shù)據(jù)魔方”，開放淘寶網(wǎng)站所有的交易數(shù)據(jù)，通過其“數(shù)據(jù)魔方”平臺(tái)，商家可以直接獲取包括行業(yè)宏觀情況、消費(fèi)者行為情況等在內(nèi)的數(shù)據(jù)。即通過對(duì)個(gè)人行為、信用信息的分析，建立個(gè)人行為或信用數(shù)據(jù)庫(kù)，向第三方輸出數(shù)據(jù)，為其提供決策支持。

正是商業(yè)利益的驅(qū)動(dòng)，使得越來(lái)越多的企業(yè)對(duì)大數(shù)據(jù)中有價(jià)值的個(gè)人信息趨之若鶩。目前，企業(yè)應(yīng)用的場(chǎng)景主要包括運(yùn)營(yíng)決策支持、策略制定和客戶服務(wù)，主要是基于用戶需求發(fā)現(xiàn)而形成的應(yīng)用場(chǎng)景，在購(gòu)物行為分析、廣告推介、多媒體分析、金融反欺詐等商業(yè)領(lǐng)域已得到廣泛應(yīng)用。大數(shù)據(jù)的商業(yè)應(yīng)用場(chǎng)景還在不斷拓展。

如果說(shuō)以上對(duì)個(gè)人信息的應(yīng)用都是在合法獲取、使用的前提下，那么，通過爬蟲技術(shù)、第三方插件、惡意程序、非法后門、商業(yè)購(gòu)買等其它手段獲取個(gè)人信息的情況則更為常見。APP是獲取用戶移動(dòng)端數(shù)據(jù)的一種有效手段，在APP中預(yù)埋SDK(Software DevelopmentKit, 即軟件開發(fā)工具包)插件，用戶使用APP內(nèi)容時(shí)就能及時(shí)將信息匯總給指定服務(wù)器，實(shí)際上用戶沒有訪問時(shí)，APP也能獲知用戶終端的相關(guān)信息，包括安裝了多少個(gè)應(yīng)用，什么樣的應(yīng)用。單個(gè)APP用戶規(guī)模有限，數(shù)據(jù)量有限，但如某數(shù)據(jù)公司將自身SDK內(nèi)置到數(shù)萬(wàn)數(shù)十萬(wàn)APP中，獲取的用戶終端數(shù)據(jù)和部分行為數(shù)據(jù)也會(huì)達(dá)到數(shù)億的量級(jí)。此外，一種稱為敲鍵記錄器(Key logger)的間諜軟件，可隱藏在用戶計(jì)算機(jī)里記錄用戶在一些特殊網(wǎng)站（如某些銀行網(wǎng)站）上輸入的內(nèi)容，如銀行帳號(hào)、口令和姓名等，再將這些信息偷偷傳送給黑客，導(dǎo)致身份盜竊和其它犯罪行為。類似的隱秘手段數(shù)不勝數(shù)。

可見，互聯(lián)網(wǎng)和大數(shù)據(jù)的快速發(fā)展使得現(xiàn)代社會(huì)中的個(gè)人與個(gè)人之間、商家與消費(fèi)者之間的利益依存關(guān)系變得更加緊密。通過互聯(lián)網(wǎng)的開放性、交互性、技術(shù)性和數(shù)字化等特征極大地提升了信息在社會(huì)經(jīng)濟(jì)生活中的地位和作用。可以說(shuō)，在網(wǎng)絡(luò)環(huán)境下，隨著大數(shù)據(jù)的深入發(fā)展，不論我們主觀上是否愿意，個(gè)人信息已以更大范圍、更深程度、更快速度，以超出我們自身意愿和控制的方式暴露于第三方甚至公眾的視野之中。有鑒于此，進(jìn)一步探究和完善個(gè)人信息規(guī)范及保護(hù)機(jī)制，已經(jīng)迫在眉睫。

二、個(gè)人信息保護(hù)的比較法分析

個(gè)人信息體現(xiàn)的是公民的人格利益，個(gè)人信息的收集、處理和利用直接關(guān)系到個(gè)人信息主體的人格尊嚴(yán)。大陸法系的人格權(quán)理論認(rèn)為，凡與人格形成與發(fā)展有關(guān)的情事，本人有權(quán)自己決定。從20世紀(jì)60年代開始，世界各國(guó)開始制定個(gè)人信息保護(hù)法。在全球個(gè)人信息保護(hù)立法例中，美國(guó)信息隱私立法與歐盟的個(gè)人信息立法有著典型意義。美國(guó)信息隱私法以隱私權(quán)作為個(gè)人信息保護(hù)的權(quán)利基礎(chǔ)，而歐盟個(gè)人信息保護(hù)法以人格權(quán)為基礎(chǔ)。這兩種立法例分別代表了以美國(guó)和德國(guó)為首的英美法系和大陸法系的迥異特色。

（一）歐盟

歐盟關(guān)于個(gè)人信息保護(hù)采用的是統(tǒng)一立法的方式，1995年《關(guān)于個(gè)人數(shù)據(jù)處理的個(gè)人保護(hù)以及數(shù)據(jù)自由流動(dòng)的指令》（以下簡(jiǎn)稱1995年《個(gè)人信息保護(hù)指令》）對(duì)個(gè)人數(shù)據(jù)的收集、處理、使用、轉(zhuǎn)移等各個(gè)層面進(jìn)行了比較全面的規(guī)定。1995年《個(gè)人信息保護(hù)指令》不直接約束成員國(guó)，但成員國(guó)有義務(wù)將指令轉(zhuǎn)換為法律。此外，《一般數(shù)據(jù)保護(hù)法規(guī)》（General DataProtection Regulation）將于2018年5月25日生效。

歐盟的立法模式的立足點(diǎn)在于其認(rèn)為個(gè)人信息權(quán)是一項(xiàng)基本權(quán)利，是一項(xiàng)具體人格權(quán)，對(duì)個(gè)人信息的保護(hù)亦屬于對(duì)人格尊嚴(yán)的保護(hù)，并且歐洲國(guó)家相信以公權(quán)力為主導(dǎo)，通過統(tǒng)一的立法可以為個(gè)人信息提供明確、規(guī)范的保護(hù)標(biāo)準(zhǔn)和強(qiáng)有力的事后救濟(jì)。作為大陸法系國(guó)家典型代表的德國(guó)法上的人格權(quán)制度，包括民法典規(guī)定的具體人格權(quán)，也包括依據(jù)判例形成的一般人格權(quán)。一般人格權(quán)以其內(nèi)容的補(bǔ)充性和擴(kuò)展性彌補(bǔ)姓名權(quán)、肖像權(quán)等具體人格權(quán)的不足。因此在德國(guó)，人格權(quán)是保護(hù)個(gè)人信息的基礎(chǔ)權(quán)利。《德國(guó)民法典》并沒有一般人格權(quán)的明文規(guī)定，只有一些被認(rèn)為是具體人格權(quán)的規(guī)定，如第12條姓名權(quán)的規(guī)定及第823條生命、身體、健康和自由的“生活權(quán)益”的規(guī)定。另外德國(guó)的一些單行法中也規(guī)定了一些具體的人格權(quán)利。然而，上述具體人格權(quán)的一大缺陷就是其保護(hù)范圍不足以涵蓋人格權(quán)益的各個(gè)方面。德國(guó)聯(lián)邦最高法院以1954年的“讀者投書案”為契機(jī)，強(qiáng)調(diào)人的尊嚴(yán)和人性的發(fā)展是法律的最高價(jià)值，把一般人格權(quán)作為被憲法合理承認(rèn)了的并于民法典第823條第1款中的“其他權(quán)利”中體現(xiàn)的權(quán)利，從而以司法實(shí)踐填補(bǔ)了立法的重大空白，使得除了對(duì)人的生命、身體、健康和自由提供外在的保護(hù)外，內(nèi)在的、精神的人格也通過一條普遍適用的一般性條款予以保護(hù)。

（二）美國(guó)

美國(guó)的個(gè)人信息保護(hù)無(wú)統(tǒng)一的個(gè)人信息立法，采用分散立法的模式，對(duì)個(gè)人信息的保護(hù)針對(duì)醫(yī)療、金融服務(wù)、電信、消費(fèi)者保護(hù)等不同的行業(yè)進(jìn)行分別立法，并針對(duì)特定行為，如消費(fèi)者信用信息、兒童網(wǎng)上隱私等領(lǐng)域進(jìn)行特別保護(hù)。

該模式的基礎(chǔ)在于對(duì)一個(gè)具有廣泛意義的“隱私權(quán)”的保護(hù)。美國(guó)隱私法擔(dān)負(fù)著保護(hù)個(gè)人全部人格的任務(wù)，包括對(duì)姓名、肖像及其他個(gè)人特征信息的保護(hù)，對(duì)刺探和公布個(gè)人隱私信息的禁止，對(duì)歪曲個(gè)人信息的禁止，及其他對(duì)個(gè)人信息自決的權(quán)利的保護(hù)等。隱私權(quán)包括自由概念下個(gè)人基本的或固有的權(quán)利：關(guān)于婚姻、生殖、避孕、家庭關(guān)系、撫育和教育子女的權(quán)利。在侵權(quán)行為法上，隱私侵權(quán)涵蓋了從人身威脅、毆打、錯(cuò)誤關(guān)押到所有的侮辱、誹謗等，包括任何侮辱人類尊嚴(yán)的行為。

總體而言，美國(guó)對(duì)個(gè)人信息的保護(hù)立足于以行業(yè)自律和自治性規(guī)范來(lái)實(shí)現(xiàn)對(duì)個(gè)人信息的保護(hù)，如果私領(lǐng)域的自行保護(hù)已經(jīng)足夠，就沒有必要讓公權(quán)力介入干預(yù)，反對(duì)依靠強(qiáng)硬的法律規(guī)范體系去規(guī)范個(gè)人信息處理行為，因?yàn)檫@將不可避免地阻礙商業(yè)活動(dòng)，阻礙信息的自由流動(dòng)、抑制創(chuàng)新和限制市場(chǎng)自由，而除了有確切的證據(jù)證明存在無(wú)可爭(zhēng)辯的風(fēng)險(xiǎn)和“市場(chǎng)失靈”，否則，公權(quán)力的過早介入可能限制信息科技的自由發(fā)展，并使國(guó)家的權(quán)力擴(kuò)大，這是美國(guó)這樣的憲政國(guó)家的敏感之處，也是美國(guó)的信息產(chǎn)業(yè)遠(yuǎn)遠(yuǎn)領(lǐng)先全球其他國(guó)家的重要原因之一。

美國(guó)侵權(quán)法上的隱私權(quán)觀念經(jīng)由判例不斷擴(kuò)張，德國(guó)法從具體人格權(quán)發(fā)展出一般人格權(quán)，不同名稱的兩類法律最后都承擔(dān)了對(duì)全部人格利益進(jìn)行保護(hù)的任務(wù)。無(wú)論從內(nèi)涵還是從功能上，美國(guó)法上的隱私權(quán)所保護(hù)的權(quán)益范圍其實(shí)相當(dāng)于德國(guó)法上的人格權(quán)的保護(hù)范圍。而在以德國(guó)為代表的大陸法系國(guó)家，隱私僅僅是一種具體的人格利益，或者作為一般人格利益的一個(gè)部分而已。

（三）我國(guó)個(gè)人信息保護(hù)的立法現(xiàn)狀

我國(guó)關(guān)于個(gè)人信息保護(hù)的立法沒有形成一個(gè)完整的體系，相關(guān)規(guī)定散見于法律層面主要有《憲法》、《刑法》、《侵權(quán)責(zé)任法》、《消費(fèi)者權(quán)益保護(hù)法》等的相關(guān)規(guī)定中；行政法規(guī)層面國(guó)務(wù)院于2013年頒布了規(guī)范征信行業(yè)的《征信業(yè)管理?xiàng)l例》，針對(duì)涉及個(gè)人信用信息的征信活動(dòng)進(jìn)行了規(guī)制；部門規(guī)章主要有工信部、中國(guó)人民銀行等政府部門頒布實(shí)施的《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》、《個(gè)人信用信息基礎(chǔ)數(shù)據(jù)庫(kù)管理暫行辦法》等；另有全國(guó)人大常委會(huì)發(fā)布的《全國(guó)人大加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等。2016年在網(wǎng)絡(luò)安全領(lǐng)域的最重要事件，即新的《網(wǎng)絡(luò)安全法》出臺(tái)并將于2017年6月正式實(shí)施，其中關(guān)于網(wǎng)絡(luò)個(gè)人信息保護(hù)的條款與以往法律法規(guī)相比，保護(hù)原則沒有實(shí)質(zhì)性的改變，但增加了一些保護(hù)內(nèi)容，比如個(gè)人信息主體的刪除權(quán)和更正權(quán)等，并再一次在法律層面明確了對(duì)公民個(gè)人信息的保護(hù)。2017年3月15日新公布并即將于10月1日施行的《民法總則》第111條規(guī)定了個(gè)人信息保護(hù)規(guī)則，首次從民事基本法層面提出個(gè)人信息權(quán)，并明確了個(gè)人信息保護(hù)的基本行為規(guī)范。

此外，值得一提的是由工信部編制、并經(jīng)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)批準(zhǔn)后發(fā)布的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》（以下簡(jiǎn)稱2013年《指南》），這是我國(guó)關(guān)于個(gè)人信息保護(hù)的第一個(gè)國(guó)家標(biāo)準(zhǔn)，它規(guī)范了通過信息系統(tǒng)進(jìn)行個(gè)人信息處理的過程，為信息系統(tǒng)中個(gè)人信息處理不同階段的個(gè)人信息保護(hù)提供指導(dǎo)。盡管僅屬于指導(dǎo)性、示范性文件，它在內(nèi)容上充分借鑒了國(guó)外立法的先進(jìn)經(jīng)驗(yàn)，實(shí)操性比較強(qiáng)，未來(lái)在制定我國(guó)的《個(gè)人信息保護(hù)法》時(shí)應(yīng)當(dāng)也有一定的參考意義。

通過分析目前我國(guó)現(xiàn)行個(gè)人信息相關(guān)立法現(xiàn)狀及司法實(shí)踐中的典型案例，我們認(rèn)為，我國(guó)現(xiàn)有的個(gè)人信息保護(hù)立法存在以下幾個(gè)問題:

第一，權(quán)利基礎(chǔ)不明確，因缺乏權(quán)威、統(tǒng)一的界定，目前理論界、司法界、實(shí)務(wù)界往往將個(gè)人信息所載之權(quán)益與個(gè)人隱私權(quán)等同；也有觀點(diǎn)認(rèn)為信息主體對(duì)個(gè)人信息的權(quán)利是所有權(quán)。齊愛民教授在《論個(gè)人信息的法律屬性與構(gòu)成要素》中認(rèn)為，關(guān)于個(gè)人信息的法律屬性，有四種比較典型的觀點(diǎn)，一般將其歸納為“所有權(quán)客體說(shuō)”、“隱私權(quán)客體說(shuō)”、“人格權(quán)客體說(shuō)”和“基本人權(quán)客體說(shuō)”。其中“所有權(quán)客體說(shuō)”認(rèn)為個(gè)人信息具有一定的經(jīng)濟(jì)價(jià)值，商業(yè)機(jī)構(gòu)廣泛收集個(gè)人信息就是看重個(gè)人信息的經(jīng)濟(jì)價(jià)值。但“所有權(quán)客體說(shuō)”其實(shí)混淆了人格利益和財(cái)產(chǎn)利益、信息主體的權(quán)利和信息處理者的權(quán)利。信息受到保護(hù)的具體原因有很多，歸納起來(lái)大致有兩類：財(cái)產(chǎn)性因素和人格性因素。有的信息是由勞動(dòng)創(chuàng)造出來(lái)的，并且可以用來(lái)交換，如專利、著作等，保護(hù)此類信息的法律為知識(shí)產(chǎn)權(quán)。法律主要保護(hù)這些信息的財(cái)產(chǎn)性因素。有的信息是與自然人相關(guān)的，在信息社會(huì)被作為信息資源進(jìn)行開發(fā)和利用的，這類信息就是個(gè)人信息，法律主要保護(hù)此類信息的人格性因素。個(gè)人信息含有財(cái)產(chǎn)性因素，并具有稀缺性。然而，這種現(xiàn)象卻不能說(shuō)明個(gè)人信息是所有權(quán)客體。個(gè)人信息數(shù)據(jù)庫(kù)一旦被利用將會(huì)給利用者帶來(lái)豐厚的收益。但個(gè)人信息的法律屬性不是直接財(cái)產(chǎn)利益。從屬性上看，個(gè)人信息屬于人格利益。不能僅僅因?yàn)閭€(gè)人信息具有財(cái)產(chǎn)利益就將個(gè)人信息歸入所有權(quán)的客體。人格權(quán)的客體同樣具有財(cái)產(chǎn)利益，如隱私、姓名、肖像等。

第二，大多數(shù)規(guī)范只是零散地針對(duì)特定領(lǐng)域的個(gè)人信息，沒有專門的個(gè)人信息保護(hù)法，法律規(guī)范之間缺乏內(nèi)在的體系性，缺乏對(duì)個(gè)人信息權(quán)利的全面、體系化的直接保護(hù)。法律層面在《憲法》《民法通則》《侵權(quán)責(zé)任法》等中有個(gè)別涉及公民人格尊嚴(yán)、個(gè)人隱私權(quán)、名譽(yù)權(quán)、肖像權(quán)保護(hù)的條款，而直接以“個(gè)人信息”進(jìn)行立法保護(hù)的有《消費(fèi)者權(quán)益保護(hù)法》、《刑法》的個(gè)別條款和2017年10月1日即將施行的《民法總則》第111條以及個(gè)別行政法規(guī)、部門規(guī)章，如《征信業(yè)管理?xiàng)l例》、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》等。2005年啟動(dòng)個(gè)人信息保護(hù)法立法研究后，至今未見正式的《個(gè)人信息保護(hù)法》出臺(tái)。

第三，偏重刑事處罰與行政管理，大多規(guī)范偏重宣示性地規(guī)定義務(wù)，但缺乏法律后果和責(zé)任承擔(dān)的具體規(guī)定。除刑事責(zé)任外，行政責(zé)任主要為數(shù)額不大的罰款，民事上雖然《民法總則》明確了對(duì)個(gè)人信息的法律保護(hù)，但具體保護(hù)和救濟(jì)手段如何落實(shí)尚不明確，特別是損害賠償責(zé)任發(fā)揮作用有限，集中體現(xiàn)在損害賠償數(shù)額沒有確定標(biāo)準(zhǔn)，《全國(guó)人大加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》規(guī)定個(gè)人信息受到侵害后，權(quán)利人可以請(qǐng)求賠償，但未明確損害賠償?shù)男再|(zhì)，是屬于精神損害賠償還是財(cái)產(chǎn)損害賠償，以及賠償?shù)臄?shù)額如何確定。此外，如何確定適當(dāng)?shù)呐e證責(zé)任規(guī)則尚待論證。如按一般舉證責(zé)任原則，將證明責(zé)任完全加諸于信息主體身上，可能不利于個(gè)人維權(quán)。網(wǎng)絡(luò)環(huán)境下，個(gè)人往往難以知曉和控制自身信息被各種主體收集、利用，個(gè)人信息被侵害后，權(quán)利人可能難以確定信息泄露源和適格的訴訟對(duì)象，尤其難以證明侵權(quán)人和侵權(quán)行為之間的關(guān)聯(lián)關(guān)系，從而使對(duì)個(gè)人信息的私法保護(hù)在司法實(shí)踐中難以實(shí)現(xiàn)。

（后略。全文請(qǐng)參閱《互聯(lián)網(wǎng)金融法律評(píng)論》（第九輯，法律出版社）實(shí)體出版物。）

聲明：

1、“互聯(lián)網(wǎng)金融法律評(píng)論”微信公眾號(hào)登載信息僅供學(xué)習(xí)和研究參考素材，并不能直接適用于具體案例或投資參考。雖然本平臺(tái)已致力于提供準(zhǔn)確和及時(shí)的資料和信息，但本平臺(tái)不能保證每條信息的準(zhǔn)確度，亦不對(duì)其中任何觀點(diǎn)、內(nèi)容或版式給閣下造成的任何損失承擔(dān)責(zé)任。

2、如果您認(rèn)為本公眾號(hào)的內(nèi)容對(duì)您的知識(shí)產(chǎn)權(quán)造成了侵權(quán)，請(qǐng)立即告知，我們將在第一時(shí)間核實(shí)并處理。

引言|鐵伊然編輯|吳蔚網(wǎng)絡(luò)法前沿編輯部