大數據背景下我國個人數據法律保護模式分析

編者按：大數據背景下，“可識別性”個人數據的范圍不斷擴大，分類也趨於模糊化，個人數據法律保護面臨諸多困境。歐美通過立法改革積極應對新技術背景下個人數據保護的新挑戰。我國需認識到大數據背景下個人數據保護立法的滯后性，理性確立個人數據保護法的價值取向，對內選擇適合國情的個人數據法律保護模式，對外有效應對個人數據保護立法的國際化趨勢。

隨著雲計算、雲存儲、物聯網等新技術的應用，人們通過社交網絡、電子商務平台及移動智能終端等途徑搜集、處理的各種數據呈爆炸性增長，在容量、關系和復雜性等方面已超出了傳統的處理能力和認知范疇，從而步入了大數據時代。在傳統網絡數據保護問題尚未得到有效解決的情形下，大數據時代的到來又給個人數據保護帶來了更多新的難題與挑戰，亟需從立法層面予以應對。

大數據與個人數據

1. 大數據的內涵與特征

大數據是一個比較抽象的概念，目前尚無確切、公認的定義。最早提出大數據，並認識到其重要性的是全球知名咨詢公司麥肯錫。涂子沛在《大數據》中提到：“大數據”指一般的軟件工具難以捕捉、管理和分析的大容量數據，一般以“太字節”為單位。美國學者維克托·邁爾·舍恩伯格將大數據解釋為是人們獲得新的認知、創造新的價值的源泉，是改變市場、組織機構，以及政府與公民關系的方法。大數據將不再苦苦追尋數據之間的因果關系，而是探尋數據之間的相關性，並進行合理的預測。通過大數據分析，藥學家可以更便捷地測定藥物的交叉反應﹔商家能及時解讀看似雜亂無章的消費者行為，誘導購買﹔犯罪學家創建了算法犯罪學，用來預防並懲治犯罪。可見，大數據的突出價值在於通過預測獲得新知識，以促進決策實現，從而創造新的社會價值。

2. 大數據背景下對“個人數據”的重新審視

個人數據是一個特定的法律概念，與之類似的概念還有“隱私”、“個人信息”。學理上認為個人數據是指與個人相關的，能夠直接或間接識別個人的數據。在歐盟立法中，“可識別性”是判斷“個人數據”的最重要標准。但大數據背景下，“個人數據”需被重新審視：

首先，“個人數據”的范圍不斷擴大。“可識別性”是個人數據的重要屬性，但區分可識別性程度的工具是技術。數據搜集與再識別化技術的應用使得很多價值密度低的數據更易被賦予“可識別性”特征。商業機構通過有效組合和集成互聯網用戶的消費信息、網頁搜集信息、社交網絡上的個人信息、智能手機的位置信息以及智能電表使用信息等，可快速對某特定的自然人“塑形”。以智能電表的使用為例：個人生活用電時，每種電器在工作和通電情況下的負荷特征是不同的，智能電表能持續記錄這些特征，並予以收集和存儲。對這些用電數據的分析，可以知道個人在某一時間段所打開的電器以及進行的活動，進而可以利用長期積累的數據推測人們的生活習慣，如作息時間，這顯然已可歸屬於個人數據的范疇。不難預知，大數據的發展以及相關技術的應用將會使得傳統上不可識別的某些數據轉化為可識別的，從而拓寬個人數據的范圍。

其次，個人數據的分類逐漸模糊。學理上以個人數據是否涉及個人隱私為標准，分為敏感性與非敏感性個人數據。敏感性個人數據指涉及個人隱私的數據，非敏感性個人數據是指不涉及個人隱私的數據。法律劃分敏感性個人數據與非敏感性個人數據的用意在於區分其保護程度與方式。敏感性個人數據的收集與處理需要法律給予特殊的保護，而特殊保護的方式就是強化數據主體的知情權與控制權。隨著新技術的應用，足夠大的數據量以及不同來源的數據的有效結合，將會大大增進數據之間的交叉檢驗和對比分析，從而使得非敏感與敏感性個人數據產生聯系，進而逐漸模糊兩者之間的界限。這也提醒人們要意識到傳統意義上的某些非敏感數據是否也應加以特殊保護。

大數據背景下個人數據法律保護之困境

在傳統立法中的個人數據保護問題尚未得到有效解決的情形下，大數據時代的到來又給個人數據法律保護帶來了新的困惑，主要表現為以下方面：

1. 數據主體的對數據的控制權嚴重削弱

數據控制權是指數據主體有權決定其個人信息在何時、何地及以何種方式被收集、處理及利用。數據控制權的削弱表現為數據主體在接收信息上的不對稱，即不了解自己的數據何時、何地、被何人、以何種方式進行了處理，主要原因在於：第一，傳統數據保護的“匿名化”失效。匿名化指通過技術措施，讓所有能揭示個人情況的數據都不出現在數據集裡。通過匿名化處理，個人的在線活動及與之相關的搜索記錄、圖片、地理位置等碎片化數據被廣泛的記錄與追蹤似乎並不能侵犯數據主體的數據控制權。但隨著數據來源、數量的增多及數據分析技術的應用，社交網絡和互聯網公司收集的數據已呈現出很強的身份特征。例如，哈佛大學教授拉塔尼婭·斯威尼研究顯示，隻要知道一個人的年齡、性別和郵編，並與公開的數據庫交叉對比，便可識別出87%的人的身份。第二，透明度原則受到沖擊。透明度原則是歐盟數據保護的基本原則，指應當告知數據主體其個人數據的處理的基本情況，如在數據收集環節，通過隱私通知形式，告知數據主體數據處理的目的。在大數據背景下，數據主體很難知道數據收集、分析與利用是否基於特定的目的。

2. 數據控制者數據壟斷不斷強化

數據控制者的概念來源於歐盟法，是指單獨或與他人聯合決定個人數據的處理目的、條件和方法的自然人、法人、公共機構或其它實體。在大數據環境下，海量的數據往往以聚合形式存在於社交網絡平台、電子商務平台及移動智能終端平台，這也意味著一些具有資金與技術優勢的大型網絡服務提供商更容易實現數據壟斷。實現數據壟斷的公司會採取措施限制用戶移轉適用通用格式或結構的個人數據的副本到其它類似公司的信息處理系統，從而達到佔有數據資源，規避競爭的目的。大數據的預測價值來源於數據自由與共享，而數據壟斷伴隨著數據割裂與數據鴻溝，使大數據的社會價值大打折扣，同時也進一步削弱了數據主體對數據的控制權。

3. 數據安全風險和數據監控風險增加

在雲計算環境下，數據將被集中存儲，並形成一個超大的數據共享中心。這種數據存儲的集中化特性使數據保護更加便捷，但也更易產生數據混同、數據丟失或引誘惡意攻擊。雲計算採用開放接入訪問模式，訪問節點多而分散，動態性和虛擬性加強，數據傳輸可能跨越多個國家、地區，使個人數據被非法竊取、攻擊、修改和破壞的幾率增加。當數據過期並需要刪除或銷毀時，雲服務提供商可因為故意或過失而未完全刪除或銷毀所持有的數據或備份，數據的安全性便會因此受到威脅。此外，大數據時代的監控可謂無孔不入，這種監控並不僅僅反映在數據的大規模非法收集上（如“棱鏡門”事件），還表現在利用數據分析與挖掘技術，將收集到的各類數據進行交叉比對、分析檢驗，從而將某個特定的主體從數據群中“提取”出來的能力提升。這不僅使數據主體無法充分掌控自己的數據，還會使其受到不公正的待遇。

4. “通知—同意”規則難以有效執行

“通知—同意”規則是歐美數據保護立法的核心性規則，是指數據控制者和處理者在收集、處理數據時須事先告知用戶，並得到用戶的明示或者默示的許可。在大數據背景下下，“通知—同意”規則的執行力度因難以把控而顯得格格不入。以雲計算機為例，雲服務商為取得數據主體的明示許可，須耗費巨大資金，在其系統軟件中設計新的收集數據主體做出同意的方式。數據主體也會因此反復簽署數據控制者或處理者為確保數據主體做出明確同意的意思表示而提供的合同，這不利於數據主體順暢的使用現代化服務。但“通知—同意”規則若不執行或寬鬆執行則將導致數據主體對個人數據的控制力下降甚至消失，如何趨利避害是完善該規則的關鍵所在。

5. 責任追究難度加大

在雲環境中，個人數據安全風險存在與數據存儲、傳輸、處理及銷毀等全生命周期中，涉及政府、數據控制者、數據處理者、數據主體等多方主體參與者，責任主體的多元化使得責任認定難度增加。此外，越來越多的企業聚集成為共同利益集團，在集團內部進行數據的共享，同一數據需要供給多個主體使用，即呈現“多對多”的模式。在這一模式下，由於數據接口的多樣性，往往會被多個主體訪問和使用，使責任主體難以辨識。

大數據背景下歐美個人數據保護立法的回應與變革

權利保障與促進數據自由流動是各國數據保護立法的基本價值功能，如何在尊重各國文化、法律、政治及經濟發展實際狀況的基礎上，將其內化到數據保護法律規則的制定中是最大的難題，也是歐盟和美國數據保護立法最主要的分歧所在。

1. 歐盟個人數據保護立法動向：對個人權利保障的關切

歐盟數據保護法以其綜合性、完整性和統一性而備受關注。為應對新興技術的發展所帶來的挑戰，歐盟於2012年提出了《歐洲議會和理事會關於個人數據處理中個人權利保護及促進個人數據自由流通條例草案》（下文簡稱《條例草案》），對1995年《個人數據保護指令》（下文簡稱《指令》）做出了諸多變革，主要包括以下幾方面：

第一，加強數據主體對數據的控制權。《指令》並未明確個人“同意”是積極同意還是消極同意，而《條例草案》規定，數據主體同意是指數據主體自願給出的、具體的、有根據的、詳細的、表明其意願的說明，該說明可以通過聲明或明確肯定的行動表示。此外，《條例草案》還增加數據刪除權 與數據可攜權二項創新性權利。第二，增加數據控制者對數據安全風險的防御義務，主要包括數據保護影響評估和設計隱私與默認隱私規則﹔第三，懲罰措施更為嚴厲。《條例草案》規定了對數據違法行為的各種罰款，對自然人最高可處25萬歐元至100萬歐元的罰款，對跨國企業最高可處其全球年收入的0.5%至2%的罰款，對無商業利益的個人及雇員人數為250人以下的以非數據處理為主業的企業可免除上述行政處罰﹔第四，改革數據保護機構。“歐盟數據保護委員會”取代了“第29條數據保護工作組”，成為歐盟數據保護的咨詢協調與監督機構，並為跨國企業的數據處理行為提供“一站式”監管。

2. 美國個人數據保護立法動向：對數據自由與技術進步的關切

為回應大數據發展對隱私保護帶來的挑戰，美國也在積極推動相關立法與政策變革。2012年，美國總統奧巴馬簽署工作報告—《網絡環境下消費者數據的隱私保護—在全球數字經濟背景下保護隱私和促進創新的政策框架》（簡稱《隱私權報告》），《消費者隱私權利法案》隨之被提出。該法案進一步強化了通知與同意的法律規則、數據保存與處理的安全責任及事后問責制。2014年，美國總統執行辦公室發布全球大數據“白皮書”—《大數據：把握機遇，守護價值》。白皮書顯示，美國在平衡技術進步與個人數據保護關系中的基本價值取向——對技術進步與經濟發展更為關切。

3. 比較與評析

美歐數據保護立法政策的制定受制於各自的文化、法律、經濟發展及政治現實，在內容與立法價值的取向上有所不同。歐盟為個人數據保護提供統一、強制性的標准，有利於保障個人權利及數據的自由流通。但若不能協調法律的穩定性、滯后性與技術發展的高速性之間的矛盾，統一立法難以發揮預設的調控效果。美國分散立法與行業自律相結合的個人數據保護模式調動了企業保護個人數據的主動性，增強了個人數據保護的針對性與靈活性，降低了執法成本。但由於缺乏法律強制力約束，數據主體的法律救濟不足，難以有效維權。

大數據背景下我國個人數據保護法律保護模式的思考

大數據背景下，個人數據的法律保護面臨諸多困境，如何確立適合本國國情的數據保護立法政策是問題的關鍵。我國應從厘清現有數據保護立法政策的滯后性入手，理性定位立法的價值取向，並以此為指引，完善我國個人數據保護的法律模式。

1. 我國個人數據保護制度的滯后性

目前，我國雖沒有制定專門性的個人數據保護法，但與之相關的法律法規仍然存在。對個人數據直接保護的立法包括《刑法》、《侵權責任法》、《互聯網信息服務管理辦法》、《關於加強網絡信息保護的決定》等，對個人數據間接保護的立法包括《憲法》、《民法通則》等。此外，還包括一些針對特殊領域與特殊主體的法律和法規，如《未成年人保護法》、《婦女權益保護法》、《執業醫師法》、《轉染病防治法》等。在雲計算、大數據快速發展的技術背景下，我國個人數據保護立法的滯后性顯而易見：第一，未建立統一的立法規劃與數據保護執法機構，導致現有法律法規對個人數據的保護力度相對較小﹔第二，現有立法調整范圍有限，僅局限於“加害行為”，而並非針對“數據處理行為”，導致無法有效治理數據流轉的全生命周期中的安全風險﹔第三，未建立針對數據主體、數據控制者與處理者的核心權利義務的法律規則，導致個人數據保護僅停留在“下游”階段﹔第四，忽視了雲計算、大數據快速發展這一時代背景和數據保護的全球化趨勢，使跨國企業在“走出去”時障礙重重。

2. 立法的價值取向：權利保障與數據自由流動的價值平衡

我國在數據保護立法中應充分考慮價值平衡這一問題，在認清基本國情的基礎上，在對“技術的信仰和人身的信仰之間”，需求一個平衡的支點：

首先，應理性認識大數據技術背景下的個人數據保護問題。大數據因其強大的“預測”功能被應用於國家安全、社會干預、金融、銷售、醫療保健等各個方面，成為國家經濟增長與企業盈利的助推器。數據分析與挖掘技術的進步不斷擴大數據的“可識別性”的范圍，具有人格權屬性的個人數據也是一種社會經濟資源，因此不能以拒絕或排斥的眼光看待個人數據的商業化利用﹔其次，應處理好權利保護與權利限制的關系。權利保護是數據保護立法的核心，但對權利保護的過分強調必將克減數據自由流動的機會、增加商業成本，使得大數據的社會價值無法有效發揮。因此，權利限制應成為權利保障的有益補充，當涉及國家安全、國家防御、刑事犯罪、重大公共利益、他人的生命或重要權利時，數據主體的權利應遵循“個案平衡”原則相應克減。第三，應選擇或設計成本最低、效率最高的權利保護規則，以促進數據自由流動。

3. 建構符合我國國情的個人數據法律保護模式的思路

（1）確立適合國情的“綜合保護”立法模式

立法模式在很大程度上承載著立法者的價值期望。在我國，統一立法、分散立法與行業自律相結合的“綜合保護”立法模式是最佳途徑：首先，數據處理行為應設定普遍的法律規則，制定統一的個人數據保護法是當務之急。歐盟與我國同屬大陸法系國家，其法律體系於我國具有很強的兼容和相洽性，歐盟統一立法模式可為我國提供有益借鑒﹔其次，還應認識到數據處理行為及個人數據存在差異性，可根據數據類型及處理行為的差異設定特殊的規則，比如在犯罪偵查、醫療、科研等特殊領域或涉及到個人敏感數據的行業設立特殊規則﹔第三，應鼓勵和引導行業自律。由於我國缺乏自律傳統與自律文化，行業自律最大的弊端是缺乏約束力，可考慮賦予經審查的自律規范以法律效力，或引入激勵機制，以保障行業自律的實施效力，使其成為立法的有益補充。

（2）明確基本的個人數據權利

在數據保護立法中，個人權利保護是核心內容。個人數據權利與隱私權是經常容易被混淆的概念，但兩者仍有者明顯區別：個人數據權利的建立具有高度的技術特征，規定的是如何收集與處理個人數據的規則，兼具人身權與財產權的屬性﹔而隱私權對應新聞自由而產生，以保護人格利益為主，以避免侵害和損害救濟為目的。因此我國在數據保護立法中應單獨規定個人數據權利，一般包括同意權、獲取權、知悉權、刪除、修改、補充權。

（3）明確數據控制者的核心義務與責任，增強風險防御能力

數據控制者是指數據保護立法的核心義務主體，可分為商業機構、政府機關與公共機構。目前，各國數據保護立法均將政府與公共機構納入范圍之內，分別適用統一或有差異性的調整方法。我國已有學者提出政府機關處理個人信息的行為屬於行政法律關系，理應在規制程度上弱於其它信息處理者。但本文認為，與商業機構相比，政府機關與公共機構掌握公權力，其收集、處理的個人數據范圍廣、內容多，應受到數據保護立法同等的規制。在新技術背景下，不僅應將告知義務、合法獲得義務、安全保障義務等納入數據控制者的義務體系中，還應認識到，將風險規制寄托於懲罰與救濟的方法實施成本高、效果有限，對風險事先防御才是明智之舉。可在立法中設立激勵機制，鼓勵公私機構就擬建的數據處理系統或任何新的大數據項目進行數據安全影響評估，並定期向社會公布這些評估報告。另外，可鼓勵高新技術企業將隱私強化技術應用至企業數據處理系統及產品的設計之中，增強企業對數據安全風險的防御能力。

（4）完善“通知—同意”法律規則

大數據背景下的“通知—同意”法律規則難以發揮應有的功效。為應對此難題，歐盟的做法是明確數據主體的“同意”應為“積極同意”，這有利於保護個人數據權利，但也因增加商業成本而飽受詬病。建議我國在數據保護立法中採用“積極同意”與“消極同意”相結合模式。對於統一的數據保護立法應採納“消極同意”模式。考慮到這種模式所降低的商業成本會變相轉移到數據主體身上，故我國在引入消極“通知—同意”規則時應注意兩個因素：一是“通知”應是明確、充分、具體的。數據控制者應告知數據處理的機構、目的、種類等核心要素。二是賦予數據主體便捷、經濟的反對途徑。應規定數據處理者要求數據主體反對的方式必須與數據處理者通知的方式同等便利，不給數據主體增加額外的負擔。對於犯罪偵查、醫療、科研等特殊領域或涉及到個人敏感數據的特殊保護規則應採用“積極同意”模式。

（5）健全個人數據保護民事訴訟與行政處罰機制

權利保障與救濟是個人數據保護立法的核心。在雲計算模式下，侵權主體具有多樣性並很難確定，數據主體難以有效維權。我國應逐漸健全個人數據保護的民事訴訟機制，明確建立由被告証明其不應承擔責任的舉証規則。當數據主體不能確定具體的侵權主體時，由數據控制者與處理者承擔連帶侵權責任。此外，在大數據時代，個人數據是價值巨大的“金礦”，很多企業會對存儲於雲端的數據進行商業化利用，數據泄露、非法交易也將成為常態，加大行政處罰的力度是當務之急。也可考慮設立違法行為處罰“公示”制度，將違法企業計入“違法行為黑名單”等方式，來有效遏制侵犯個人信息的違法行為 。

（6）有效應對個人數據保護國際化趨勢

跨境的數據流動將成為常態。中國仍被歐盟認定為是不能對個人數據提供充分性保護的國家，這將使具有財產價值的個人數據外流易，而流入難，導致企業在國際貿易中始終處於競爭劣勢，甚至我國大量公民個人數據被變相獲取。應對這一問題的最主要方法是與歐盟或相關國家展開雙邊磋商，建立一個類似於歐美的“安全港協議”。同時，積極參與到個人數據保護的國家合作中，爭取規則擬定中的話語權。在國際立法中，應強調將個人數據流動作為經濟問題的解決方案，而對個人數據保護在人格權方面的問題適度擱置，以利於糾紛的解決。

結語

大數據時代，數據共享和數據收集的規模急劇增長，數據已經成為經濟增長和社會價值創造的源泉。快速發展的數據挖掘與利用技術使個人在網絡空間逐漸由“匿名”變為“透明”，產生於大機器時代的個人數據保護法律規則亦無法有效應對大數據環境下個人數據保護的新問題，而立法改革成為歐美國家解決上述問題的一劑良藥。歐盟《條例草案》在生效與推廣之后很可能成為主導世界的數據安全法律治理模式之一。我國需理性認識到數據保護的國際動向與本國立法的滯后性，在對“技術的信仰和人身的信仰之間”需求一個價值平衡的支點，並以此為指引，盡快探索適合我國國情的個人數據法律保護模式。同時積極應對個人數據保護的國際化趨勢，積極爭取國際規則制定中的話語權。 

[作者單位 黃道麗，公安部第三研究所(信息網絡安全公安部重點實驗室) ﹔張敏，西安交通大學]

（來源：中國信息安全）