個人信息保護與企業合理使用的衡平規制

來源:用戶上傳      作者:

　　摘   要：隨著大數據技術的發展，個人信息的保護與企業合理利用信息之間的界限問題日益突出。網絡時代的個人信息特征異于傳統，在立足這些新的特性基礎上，通過中外立法模式的對比思考與比較法上的分析，我國在平衡公民個人信息權利與企業經營利益之間的界限認知上仍有很大空間需要探索，以民法總則為核心的司法上的救濟方式將成為促進這一平衡的一個有力突破點。
　　關鍵詞：大數據; 個人信息; 企業使用; 雙重保護
　　中圖分類號：DF51          文獻標識碼：A
　　Abstract： The development of big data technology has made the boundary issue between personal information protection and the rational use of information by enterprises increasingly prominent. On the basis of the new characteristics of personal information in the Internet era， through the comparative thinking and analysis of Chinese and foreign legal cases and comparative law， this paper finds that there is still a lot of space for China to explore in balancing the recognition of the boundary between citizens' personal information rights and business interests. The remedy of private law， which is centered on the general principles of civil law， will be a powerful breakthrough to promote this balance.
　　Key words： big data;personal information;business usage; private law protection
　　1 引言
　　大數據時代，數字經濟迅猛發展，信息技術將每個人“透明化”。隨處可見的個人信息（亦稱個人數據，本文交叉使用）被企業搜集整合再分析形成自己的數據庫，以此作為產品研發、銷售獲益的重要依據。企業通過個人的電腦來獲取個人的信息，它們會讓個人的網頁瀏覽器通過Cookies、Flash Cookie等跟蹤技術存下用戶的電腦硬盤信息，數據商由此跟蹤用戶在線活動，為其在線行為建立檔案，并通過其他方法在向用戶的網頁或電子郵箱發送信息時獲得其信息[1]。
　　隨著信息網絡技術的迅猛發展，海量網民信息整合再利用已然成為一個企業的直接財富乃至成為其創新性的核心競爭力。但大量信息的搜集分析再利用可能會侵害個人權益、尊嚴和自由，甚至會造成人身和財產的損害，而過于嚴格的信息保護也可能限制企業發展空間，從而影響社會經濟發展。個人信息保護與利用之間的沖突勢必引起公眾的重視，成為大數據時代亟待解決的關鍵問題。
　　2 企業數據使用與個人信息現狀剖析
　　在互聯網+的新型產業模式下，信息的流動性對社會發展具有重要意義，美國數據民主中心（Center for Digital Democracy）的執行董事杰夫·切斯特（Jeff Chester）稱，“鼠標在網頁上的所到之處都在他們的追蹤范圍內，包括你放在購物車里的東西，以及你不買的東西。這是一個非常高科技的商業監控系統。”[2]Facebook便是通過這種收集用戶數據的方式取得巨大商業成功。Facebook作為一個備受歡迎的社交媒體聚集了大量的用戶信息，它通過充當廣告商和個人用戶信息數據庫的中間人角色來創收。從Facebook 2017年收入構成來看，廣告收入占到其總收入的98.25%。除了Facebook外，其他企業數據商也同樣會根據“用戶”發布到社交網絡或者其他網站上的任何信息隨時更新“用戶”的數據檔案，將“用戶”的信息商業化。
　　隨著大數據應用產生的經濟價值不斷顯現，需要對數據確權問題進一步加強，從而促進數據產業的發展。為此，歐盟1995年頒布的《歐盟議會與歐盟理事會關于涉及個人數據處理的個人保護以此類數據自由流通的第95/46/EC號指令》作出了相對全面的規定保護個人數據后，2016年又頒布了《一般數據保護條例》（General Data Protection Regulation），被稱為“史上最嚴格的信息保護法”，賦予個人數據主體很多權利以此體現對個人的尊重。為了順應大數據時代信息使用的框架模式，自1888年美國法官托馬斯·庫利（Thomas Cooley）首次將隱私權定義為“單獨而不受干擾的權利”（To Be Let Alone）以來，美國不斷擴展隱私權的保護范圍，將更多地信息權利納入到隱私權的保護范圍，同時還賦予個人信息財產權能，擴大了個人信息的保護范圍。
　　我國的《網絡安全法》《民法總則》也都對個人信息保護做出了規定，但由于對其概念、性質、以及保護范圍的模糊規定，司法實踐中還是有大量有爭議性案件。2014年“朱某訴北京百度網訊科技有限公司隱私權糾紛案”是國內相關問題首個案例。百度未經朱某允許，利用跟蹤技術記錄其搜索的相關內容并進行廣告投放，該行為侵犯了朱某的隱私權，對朱某的生活和精神造成了極大的影響，因此要求百度立即停止侵害進行損害賠償。一審江蘇省南京市鼓樓區人民法院判決被告百度公司向原告朱某賠禮道歉并賠償其公證費1000元。但二審法院裁定駁回了朱某所有的訴訟請求。同一個案子一審認定其侵犯隱私權而二審認為不侵犯隱私權，兩級法院對案件的性質認定做出了不同的判決，由此可見對于個人信息保護的范圍、界限及法律適用問題目前司法實踐部門還存在很大分歧。同時個人隱私、個人信息等相關概念及保護范圍、保護價值、權能屬性等理論層面也需要進一步理清，否則司法實踐中還會出現大量基于對個人信息保護的法律理解和適用不同導致審判標準及審判結果截然對立的案件，這將直接降低司法審判的權威性，同時也會打擊企業的積極性以及誤導民眾對個人信息如何支配使用的正確認識。 　　3 企業使用中個人信息保護的法律困境
　　3.1 個人信息保護的立法缺失
　　個人信息有別于隱私權和一般人格權，是一種新型人格權，具有人格權與財產權雙重屬性，著眼于我國傳統法律體系無法對其全方位保護，因此應當對其單獨立法保護。與德國、美國等一些發達國家相比，他們在互聯網還未發展普及時便意識到個人信息保護的重要性，并制定相關法律對其進行全面的保護。而我國對個人信息的法律保護是隨著互聯網的興起才開始正視其重要性，最早對個人信息的保護是將信息安全視為網絡安全，利用刑法手段維護信息主體的個人信息合法權益。隨后又相繼出臺和修訂多部法律法規，都對個人信息保護作出了明確的法律規定。
　　2014年《消費者權益保護法》修訂時，新增第29條，從三個方面對經營者收集、使用個人信息作出了規制，給予了個人信息保護的高度重視。2017年實施的《網絡安全法》第74、75條明確了個人信息的定義及侵權責任并設有專章對個人信息安全進行規范。在《民法總則》制定過程中，個人信息保護經歷了從無到有的一個漫長過程，徐玉玉電信詐騙案、清華教授電信詐騙案使得《民法總則》中增加個人信息保護勢在必行。2017年正式生效的《民法總則》第111條規定：自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。
　　看似個人信息保護涉及到多部法律法規，實則對個人信息的內涵與外延都未有清晰的界定，在體系框架上雜亂無章，很難形成體系化法律保護，難掩我國法律對個人信息保護基本立法缺失的現狀。這樣的現狀會使得個人信息保護存在諸多問題在。
　　一是對個人信息保護的權利內容不全面。個人信息作為特殊人格權，對其保護應當是預防性的，是積極的人格權。權利內容應當具有個人信息保護權、信息知情權、信息決定權、信息更正權、被遺忘權、信息鎖定權、報酬請求權等多項權利。但現行的法律法規中對個人信息保護主要以消極的方式從義務人角度規定其保障義務，而對于權利人的積極權利內容只規定了知情權、更正權、遺忘權等權利，對于報酬請求權、鎖定權等權利都未曾有規定，且個人信息是否具備這些權利屬性在學理上都還存在很大爭議。
　　二是個人信息保護缺乏獨立的請求權基礎。目前我國沒有對個人信息的保護設立獨立的請求權基礎，還需依靠隱私權的請求基礎尋求法律保護。但個人信息與隱私權是交叉關系，個人信息中有部分內容歸屬于隱私權的保護范圍，但更多的部分是獨立于隱私權之外的，二者并不能等同，所以利用隱私權請求基礎 并不能完整的涵蓋個人信息的所有請求。
　　3.2 個人信息與人格權關系模糊化
　　個人信息是自然人日常生活所產生的與自身密切相關的信息，具有典型的人格化屬性，所以美國作為最早對個人信息進行保護的發達國家首先采用的是隱私權模式對個人信息保護。在我國，個人信息被很多學者認為與自然人有著密不可分的聯系。在網絡空間中，信息即是自然人的存在形式，自然人即是信息，相關的信息即可表征自然人。因此個人信息也很自然地被劃分到人格權范疇內保護[3]。但對于個人信息應該以一般人格權保護還是特殊人格權保護的問題上，法學界仍存在很大分歧。不少學者指出個人信息不應適用一般人格權保護，在侵權行為中，個人相較于企業所掌握的信息處于弱勢地位，信息不對等導致個人對證據的舉證難度較大。為了使受害者處于更有利的地位，切實地保護受害者的合法權益，使加害者的責任加重，應采用過錯推定原則，而一般人格權只能采取過錯原則，實行“誰主張，誰舉證”[4]。
　　但使用隱私權進行保護的方式顯然不可取。信息相較于隱私，其外延的范疇更寬泛，所謂隱私，就是歐盟《一般數據條例》中所表示的敏感數據，即個人的種族和族群身份、政治觀點、宗教或哲學信仰、工會會員身份及與醫療或性生活有關的數據。它們有造成損害的潛在風險，對該等數據的處理極易對數據主體造成不合理的負面影響。由于其政治立場、民族文化的不同，不同國家在劃分隱私的具體范疇時會有所差異，但核心標準都是極易對數據主體造成不利影響，隱私權就是要保護這些信息不被他人所知曉，是對人格權的消極保護，其主要的救濟方式是事后救濟且方式單一。而個人信息不僅包含隱私信息，還包括我們姓名、性別、聯系方式等日常行為所留下的信息痕跡，其本質在于可識別性。與隱私權相比，個人信息要保護的是對信息的控制與利用，這種權利兼具了個人權益與財產權益，相較于隱私權的消極保護方式個人信息保護更加積極主動，可以主動行使權利維護自身利益。
　　在推崇言論自由且網絡信息科技產業最為發達的美國，理論界認為，個人信息之所以受到保護，根本原因在于它具有財產屬性，可以視為財產權，即“個人對他們的個人信息擁有所有權，并且如同財產的所有人那樣，有權控制對其個人信息的任何使用。”[5]也就是說，個人信息應當作為一種自身對個人信息作為商業化處分的財產利益保護。但對于個人信息，其鮮明的人格色彩決定了即使商品化也依舊具有不可磨滅的人格權屬性，其所帶來的經濟利益與財產權中蘊含的經濟利益不同。由此來看個人信息應該被作為一種新型的權利進行保護，而不是單一地使用個人格權或財產權保護?！睹穹倓t》第111條在制定過程中是否要將個人信息做為一種具體的人格權保護也存在很大爭議，最終《民法總則》沒有采納“個人信息權”的模式保護個人信息，但將個人信息納入到“民事權利”中規定，且沒有明確這一權利的內容及性質，僅僅是將其作為一種權益受到法律保護，導致在司法實踐中存在爭議較大，且大多傾向于用人格權屬性進行保護。
　　3.3 個人信息缺乏救濟路徑
　　在民法救濟體系中，個人信息的救濟路徑主要有兩種：一種以人格權為請求權基礎，另一種是直接使用《侵權責任法》第36條規定的“網絡侵權責任”作為請求權基礎 [6]。首先，以人格權為請求權基礎存在以下問題：個人信息雖具有鮮明的人格權屬性，但目前的《民法總則》第111條并未將其明確規定為個人信息權，不具有獨立的請求權基礎。在司法實踐中多適用隱私權的請求權基礎即《侵權責任法》第2條、第6條、第15條及第22條的規定。但個人信息與隱私權的內容是交叉關系，所以很多不屬于隱私范疇的個人信息無法使用隱私權保護，從而喪失了請求權基礎，權利無法得到保護。其次，以《侵權責任法》第36條為請求權基礎，只能保護企業以網絡為媒介侵害個人信息要承擔的法律結果，但個人信息的保護應當是積極的預防性保護，而不應是消極的“結果論”保護，該條只規定了個人信息有侵害結果發生時所要承擔的責任，并未賦予企業任何的預防義務，結果加重了個人對個人信息保護的責任，弱化了企業的責任承擔。 　　4 企業使用個人信息的法律界限
　　4.1個人信息的“匿名化”處理
　　匿名化的法律概念最早源于1995年歐盟《數據保護指令》，后在《一般數據保護條例》中進一步明確“匿名化”是指以某種方式處理個人數據。如果沒有其他信息，則無法識別數據主體的處理方式。我國《網絡安全法》第76條及《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第一條也對個人信息與匿名信息做出了明確規定，受到國家保護的個人（隱私）信息要與特定的主體之間有密切的聯系能夠通過信息準確識別到特定的自然人（信息主體），包括直接識別和間接識別[7]。如前述“朱某訴百度案”中二審法院的判決理由：百度公司在提供個性化推薦服務中收集、利用的數據信息，其匿名化特征不能使“個人信息”具有可識別性，雖然朱某通過使用百度形成檢索關鍵詞記錄，可反映出他的網絡活動軌跡及上網偏好，但這種軌跡及偏好一旦與朱某身份相分離，已不再屬于個人信息的范疇，而是經過匿名化處理的普通數據[8]。
　　我國首個大數據交易所（貴陽交易所）負責人也曾對大數據交易下個人隱私將如何保障的問題給出解釋：“交易的數據是基于底層數據，通過數據的清洗、分析、建模、可視化后的結果，并不直接交易底層數據?！盵9]也就是說企業所使用的是大數據分析結果而非數據本身，數據在使用前先要進行脫敏，抹去與個人隱私相關的問題，進行信息的匿名化處理使信息達到不具有可識別性且不能復原。當個人信息匿名化處理后，個人信息的人格權益與財產權益分離，匿名化信息只具有財產權益，數據控制者在維護數據主體個人信息權的前提下，獲得相關的數據財產權，以便充分保障人們的隱私[10]。
　　4.2 個人信息的社會公共價值
　　社會的群體性決定了個人信息的社會公共屬性，而不應該由個人完全控制個人信息。從社會信賴利益角度來講，人們只要生活在社會群體中必然要參與社會活動，個人信息是社會“識別”公眾的一個重要手段，具有社會公共性。過度保護個人信息不利于合作信任的建立，會致使人們習慣不為自己的行為活動負責，造成社會關系的混亂。在信息技術發展如此迅速的當下，人們的行為軌跡都被網絡所記錄，企業進行信息的分析再使用，這些數據常常會失實，與信息主體不對稱，被塑造為“第二個我”;這些有失準確、公平的信息所塑造的主體形象很多時候會影響到人們的正常生活，如銀行會因為網絡中“用戶”的消費記錄等信息來評估其信用值，以此決定是否辦理貸款等業務;所以信息時代人們更愿意隱藏自己的個人信息。
　　托馬斯·漢尼斯指出：“身份和構筑它的個人信息本質上是不可分的。它是匿名的對立面，我們不能兩頭都想要：你可以拒絕與其他人打交道而保持匿名，一旦你開始打交道，你必然失去匿名，獲取了在他人眼里關于你的身份的認知。在這一點上你的身份不是也不可能是你的私人控制?！盵11]因此，個人信息不應當被作為信息主體的絕對權利進行保護，信息主體對個人信息自決權的同時也要保證個人信息社會公共價值的發揮。
　　4.3 企業使用信息的正當性
　　法律應當保護企業合法收集和使用的個人數據。首先，根據《網絡安全法》第41條規定，企業經被收集者同意，明示使用信息的目的、方式和范圍且遵循合法、正當、必要的原則，可以對個人信息進行公開收集使用。正如前述所說，企業使用的個人信息先運用脫敏方式匿名化處理，個人信息達到不具識別可能性的標準。由于匿名信息已經不再是個人信息，所以企業對匿名信息的處理使用均不受個人信息保護規范的約束。企業通過法律的許可，收集大量信息分析處理形成自己的數據庫，是一種原始數據的取得。如前述《著作權法》的規定，企業在收集原始數據后進行脫敏處理，并將其整合成新的數據庫，成為數據庫的著作權人，享受對數據支配的民事權利，不需要再依靠其他的授權許可。同時，企業花費大量的時間成本并支付合理的金錢等價交換被收集者的個人信息，符合民法的公平原則。所有的企業對數據的收集都不是憑空的，都需要通過一個媒介載體，所以企業都是需要付出成本，通過持續不斷的研發新產品并向用戶提供便利的服務以此來獲取更多的個人信息[11]。
　　其次，天下沒有免費的午餐，用戶在享受企業提供的便利同時也要讓渡出一部分個人權益作為合理對價。如百度通過提供免費搜索引擎服務供用戶使用，看似免費的服務用戶雖沒有提供金錢上的支付，但在使用前用戶需要同意《隱私協議》中所規定的在合法范圍內對其個人信息的收集使用，并告知用戶其使用目的且保證不侵害到用戶的民事權益。用戶想要使用這款產品就必須“被迫”接受該協議，讓步自己對個人信息控制權，否則無法繼續使用。這種雙方基于供需關系所達成的供應模式，是企業收集使用（個人信息）正當性的基礎。
　　5 構建新型個人信息權保護路徑
　　傳統法律框架下對用戶賦予個人信息人格權的簡單模式已經無法適應當下迅速發展的互聯網產業對于復雜數據的需求，海量的信息流動常常會存在被第三方利用的風險，法律應該確保信息的權利歸屬及使用安全?！睹穹倓t》第111條、第127條都對個人信息（數據）保護做出了相關規定，但對于個人信息保護的具體規則還比較零散，尚未形成切實可行的保護體系[12]。
　　立足當下社會經濟發展形勢，數據化的市場經濟要求個人信息保護不能僅僅停留在適用人格權保護階段，而是應當豐富對個人信息權益的保護模式?？紤]到個人信息不僅具有人格權屬性，其權利中還存在處分收益的財產權利，可以采用“人格權+財產權益”的雙重保護模式，構建新型個人信息權。對個人信息中含有隱私信息的內容進行人格權保護，在此之外的個人信息可以借鑒知識產權的財產權保護方式：通過許可的方式賦予他人對其信息商業化的使用權利，將個人信息作為個人所擁有的一種財產權利對其進行保護。但由于個人信息具有極強的人身依附屬性，不同于著作權中的人身權，所以應當賦予個人在合理且不損害社會經濟發展的前提下隨時解除許可的權利，并可以要求企業對其信息進行刪除“遺忘”。 　　6 結束語
　　為了個人的生活便利、信息流動的效率，權利人可以根據信息的隱私程度不同設置不同的許可方式，并從中獲取相應的報酬，而無論哪種許可方式都不會使權利人的人格權能喪失。這既保障了權利人對個人信息獲取報酬請求權的財產權益，也不會喪失權利人維護個人人格尊嚴不受侵害的權利。根據《網絡安全法》第43條規定，個人發現網絡運營者違反法律、行政法規的規定或者雙方的約定收集、使用個人信息的，侵害到了個人的尊嚴與自由或違背公序良俗時，權利人有權利請求企業停止使用刪除其個人信息并進行損害賠償。當個人發現信息存儲存在錯誤時，有權要求企業予以更正。同時，企業通過支付合理對價換取對用戶個人信息的正當使用權利，避免了個人信息保護與使用的不必要沖突。被授權企業既具有合理使用個人信息的權利，還享有自身數據庫的著作權保護，可以有效避免企業之間的數據盜用侵權狀況的發生，從而促使市場經濟公平健康地發展。
　　參考文獻
　　[1] [美]洛麗·安德魯斯（Lori Andrews）李貴蓮，譯.我知道你是誰，我知道你做過什么——隱私在社交網絡時代的死亡[M].中國友誼出版社，2015年版，第34頁.
　　[2] Louise Story.“F.T.C.to Received Online Ads and Privacy”[N]. The New York Times ，Nov.1.
　　[3] 譚建初，李政輝.論互聯網中的隱私權——由一則案例談起[J].河北法學，2001（02）：105-110.
　　[4] 張里安，韓旭至.大數據時代下個人信息權的私法屬性[J].法學論壇，2016，31（03）：119-129.
　　[5] 程嘯.論大數據時代的個人數據權利[J].中國社會科學，2018（03）：102-122+207-208.
　　[6] 李永軍.論《民法總則》中個人隱私與信息的“二元制”保護及請求權基礎[J].浙江工商大學學報，2017（03）：10-21.
　　[7] 黃偉峰.個人信息保護與信息利用的利益平衡——以朱某訴北京百度網訊科技公司隱私權案為例的探討[J].法律適用（司法案例），2017（12）：37-43.
　　[8] 寧民終字第5028號民事判決書[Z].2014.
　　[9] 邱玥.大數據時代的數據買賣[N]. 光明日報，2015-04-23（008）.
　　[10] 韓旭至.大數據時代下匿名信息的法律規制[J].大連理工大學學報（社會科學版），2018，39（04）：64-75.
　　[11] 高富平.個人信息保護：從個人控制到社會控制[J].法學研究，2018，40（03）：84-101.
　　[12] 石丹.大數據時代數據權屬及其保護路徑研究[J].西安交通大學學報（社會科學版），2018，38（03）：78-85.
　　作者簡介：
　　劉璐（1994-），女，漢族，山東棗莊人，中國社會科學院研究生院，碩士;主要研究方向和關注領域：民商法、新聞傳媒法、網絡信息法。
轉載注明來源:http://www.hailuomaifang.com/1/view-14814172.htm