大数据背景下我国个人数据法律保护模式分析

编者按：大数据背景下，“可识别性”个人数据的范围不断扩大，分类也趋于模糊化，个人数据法律保护面临诸多困境。欧美通过立法改革积极应对新技术背景下个人数据保护的新挑战。我国需认识到大数据背景下个人数据保护立法的滞后性，理性确立个人数据保护法的价值取向，对内选择适合国情的个人数据法律保护模式，对外有效应对个人数据保护立法的国际化趋势。

随着云计算、云存储、物联网等新技术的应用，人们通过社交网络、电子商务平台及移动智能终端等途径搜集、处理的各种数据呈爆炸性增长，在容量、关系和复杂性等方面已超出了传统的处理能力和认知范畴，从而步入了大数据时代。在传统网络数据保护问题尚未得到有效解决的情形下，大数据时代的到来又给个人数据保护带来了更多新的难题与挑战，亟需从立法层面予以应对。

大数据与个人数据

1. 大数据的内涵与特征

大数据是一个比较抽象的概念，目前尚无确切、公认的定义。最早提出大数据，并认识到其重要性的是全球知名咨询公司麦肯锡。涂子沛在《大数据》中提到：“大数据”指一般的软件工具难以捕捉、管理和分析的大容量数据，一般以“太字节”为单位。美国学者维克托·迈尔·舍恩伯格将大数据解释为是人们获得新的认知、创造新的价值的源泉，是改变市场、组织机构，以及政府与公民关系的方法。大数据将不再苦苦追寻数据之间的因果关系，而是探寻数据之间的相关性，并进行合理的预测。通过大数据分析，药学家可以更便捷地测定药物的交叉反应；商家能及时解读看似杂乱无章的消费者行为，诱导购买；犯罪学家创建了算法犯罪学，用来预防并惩治犯罪。可见，大数据的突出价值在于通过预测获得新知识，以促进决策实现，从而创造新的社会价值。

2. 大数据背景下对“个人数据”的重新审视

个人数据是一个特定的法律概念，与之类似的概念还有“隐私”、“个人信息”。学理上认为个人数据是指与个人相关的，能够直接或间接识别个人的数据。在欧盟立法中，“可识别性”是判断“个人数据”的最重要标准。但大数据背景下，“个人数据”需被重新审视：

首先，“个人数据”的范围不断扩大。“可识别性”是个人数据的重要属性，但区分可识别性程度的工具是技术。数据搜集与再识别化技术的应用使得很多价值密度低的数据更易被赋予“可识别性”特征。商业机构通过有效组合和集成互联网用户的消费信息、网页搜集信息、社交网络上的个人信息、智能手机的位置信息以及智能电表使用信息等，可快速对某特定的自然人“塑形”。以智能电表的使用为例：个人生活用电时，每种电器在工作和通电情况下的负荷特征是不同的，智能电表能持续记录这些特征，并予以收集和存储。对这些用电数据的分析，可以知道个人在某一时间段所打开的电器以及进行的活动，进而可以利用长期积累的数据推测人们的生活习惯，如作息时间，这显然已可归属于个人数据的范畴。不难预知，大数据的发展以及相关技术的应用将会使得传统上不可识别的某些数据转化为可识别的，从而拓宽个人数据的范围。

其次，个人数据的分类逐渐模糊。学理上以个人数据是否涉及个人隐私为标准，分为敏感性与非敏感性个人数据。敏感性个人数据指涉及个人隐私的数据，非敏感性个人数据是指不涉及个人隐私的数据。法律划分敏感性个人数据与非敏感性个人数据的用意在于区分其保护程度与方式。敏感性个人数据的收集与处理需要法律给予特殊的保护，而特殊保护的方式就是强化数据主体的知情权与控制权。随着新技术的应用，足够大的数据量以及不同来源的数据的有效结合，将会大大增进数据之间的交叉检验和对比分析，从而使得非敏感与敏感性个人数据产生联系，进而逐渐模糊两者之间的界限。这也提醒人们要意识到传统意义上的某些非敏感数据是否也应加以特殊保护。

大数据背景下个人数据法律保护之困境

在传统立法中的个人数据保护问题尚未得到有效解决的情形下，大数据时代的到来又给个人数据法律保护带来了新的困惑，主要表现为以下方面：

1. 数据主体的对数据的控制权严重削弱

数据控制权是指数据主体有权决定其个人信息在何时、何地及以何种方式被收集、处理及利用。数据控制权的削弱表现为数据主体在接收信息上的不对称，即不了解自己的数据何时、何地、被何人、以何种方式进行了处理，主要原因在于：第一，传统数据保护的“匿名化”失效。匿名化指通过技术措施，让所有能揭示个人情况的数据都不出现在数据集里。通过匿名化处理，个人的在线活动及与之相关的搜索记录、图片、地理位置等碎片化数据被广泛的记录与追踪似乎并不能侵犯数据主体的数据控制权。但随着数据来源、数量的增多及数据分析技术的应用，社交网络和互联网公司收集的数据已呈现出很强的身份特征。例如，哈佛大学教授拉塔尼娅·斯威尼研究显示，只要知道一个人的年龄、性别和邮编，并与公开的数据库交叉对比，便可识别出87%的人的身份。第二，透明度原则受到冲击。透明度原则是欧盟数据保护的基本原则，指应当告知数据主体其个人数据的处理的基本情况，如在数据收集环节，通过隐私通知形式，告知数据主体数据处理的目的。在大数据背景下，数据主体很难知道数据收集、分析与利用是否基于特定的目的。

2. 数据控制者数据垄断不断强化

数据控制者的概念来源于欧盟法，是指单独或与他人联合决定个人数据的处理目的、条件和方法的自然人、法人、公共机构或其它实体。在大数据环境下，海量的数据往往以聚合形式存在于社交网络平台、电子商务平台及移动智能终端平台，这也意味着一些具有资金与技术优势的大型网络服务提供商更容易实现数据垄断。实现数据垄断的公司会采取措施限制用户移转适用通用格式或结构的个人数据的副本到其它类似公司的信息处理系统，从而达到占有数据资源，规避竞争的目的。大数据的预测价值来源于数据自由与共享，而数据垄断伴随着数据割裂与数据鸿沟，使大数据的社会价值大打折扣，同时也进一步削弱了数据主体对数据的控制权。

3. 数据安全风险和数据监控风险增加

在云计算环境下，数据将被集中存储，并形成一个超大的数据共享中心。这种数据存储的集中化特性使数据保护更加便捷，但也更易产生数据混同、数据丢失或引诱恶意攻击。云计算采用开放接入访问模式，访问节点多而分散，动态性和虚拟性加强，数据传输可能跨越多个国家、地区，使个人数据被非法窃取、攻击、修改和破坏的几率增加。当数据过期并需要删除或销毁时，云服务提供商可因为故意或过失而未完全删除或销毁所持有的数据或备份，数据的安全性便会因此受到威胁。此外，大数据时代的监控可谓无孔不入，这种监控并不仅仅反映在数据的大规模非法收集上（如“棱镜门”事件），还表现在利用数据分析与挖掘技术，将收集到的各类数据进行交叉比对、分析检验，从而将某个特定的主体从数据群中“提取”出来的能力提升。这不仅使数据主体无法充分掌控自己的数据，还会使其受到不公正的待遇。

4. “通知—同意”规则难以有效执行

“通知—同意”规则是欧美数据保护立法的核心性规则，是指数据控制者和处理者在收集、处理数据时须事先告知用户，并得到用户的明示或者默示的许可。在大数据背景下下，“通知—同意”规则的执行力度因难以把控而显得格格不入。以云计算机为例，云服务商为取得数据主体的明示许可，须耗费巨大资金，在其系统软件中设计新的收集数据主体做出同意的方式。数据主体也会因此反复签署数据控制者或处理者为确保数据主体做出明确同意的意思表示而提供的合同，这不利于数据主体顺畅的使用现代化服务。但“通知—同意”规则若不执行或宽松执行则将导致数据主体对个人数据的控制力下降甚至消失，如何趋利避害是完善该规则的关键所在。

5. 责任追究难度加大

在云环境中，个人数据安全风险存在与数据存储、传输、处理及销毁等全生命周期中，涉及政府、数据控制者、数据处理者、数据主体等多方主体参与者，责任主体的多元化使得责任认定难度增加。此外，越来越多的企业聚集成为共同利益集团，在集团内部进行数据的共享，同一数据需要供给多个主体使用，即呈现“多对多”的模式。在这一模式下，由于数据接口的多样性，往往会被多个主体访问和使用，使责任主体难以辨识。

大数据背景下欧美个人数据保护立法的回应与变革

权利保障与促进数据自由流动是各国数据保护立法的基本价值功能，如何在尊重各国文化、法律、政治及经济发展实际状况的基础上，将其内化到数据保护法律规则的制定中是最大的难题，也是欧盟和美国数据保护立法最主要的分歧所在。

1. 欧盟个人数据保护立法动向：对个人权利保障的关切

欧盟数据保护法以其综合性、完整性和统一性而备受关注。为应对新兴技术的发展所带来的挑战，欧盟于2012年提出了《欧洲议会和理事会关于个人数据处理中个人权利保护及促进个人数据自由流通条例草案》（下文简称《条例草案》），对1995年《个人数据保护指令》（下文简称《指令》）做出了诸多变革，主要包括以下几方面：

第一，加强数据主体对数据的控制权。《指令》并未明确个人“同意”是积极同意还是消极同意，而《条例草案》规定，数据主体同意是指数据主体自愿给出的、具体的、有根据的、详细的、表明其意愿的说明，该说明可以通过声明或明确肯定的行动表示。此外，《条例草案》还增加数据删除权 与数据可携权二项创新性权利。第二，增加数据控制者对数据安全风险的防御义务，主要包括数据保护影响评估和设计隐私与默认隐私规则；第三，惩罚措施更为严厉。《条例草案》规定了对数据违法行为的各种罚款，对自然人最高可处25万欧元至100万欧元的罚款，对跨国企业最高可处其全球年收入的0.5%至2%的罚款，对无商业利益的个人及雇员人数为250人以下的以非数据处理为主业的企业可免除上述行政处罚；第四，改革数据保护机构。“欧盟数据保护委员会”取代了“第29条数据保护工作组”，成为欧盟数据保护的咨询协调与监督机构，并为跨国企业的数据处理行为提供“一站式”监管。

2. 美国个人数据保护立法动向：对数据自由与技术进步的关切

为回应大数据发展对隐私保护带来的挑战，美国也在积极推动相关立法与政策变革。2012年，美国总统奥巴马签署工作报告—《网络环境下消费者数据的隐私保护—在全球数字经济背景下保护隐私和促进创新的政策框架》（简称《隐私权报告》），《消费者隐私权利法案》随之被提出。该法案进一步强化了通知与同意的法律规则、数据保存与处理的安全责任及事后问责制。2014年，美国总统执行办公室发布全球大数据“白皮书”—《大数据：把握机遇，守护价值》。白皮书显示，美国在平衡技术进步与个人数据保护关系中的基本价值取向——对技术进步与经济发展更为关切。

3. 比较与评析

美欧数据保护立法政策的制定受制于各自的文化、法律、经济发展及政治现实，在内容与立法价值的取向上有所不同。欧盟为个人数据保护提供统一、强制性的标准，有利于保障个人权利及数据的自由流通。但若不能协调法律的稳定性、滞后性与技术发展的高速性之间的矛盾，统一立法难以发挥预设的调控效果。美国分散立法与行业自律相结合的个人数据保护模式调动了企业保护个人数据的主动性，增强了个人数据保护的针对性与灵活性，降低了执法成本。但由于缺乏法律强制力约束，数据主体的法律救济不足，难以有效维权。

大数据背景下我国个人数据保护法律保护模式的思考

大数据背景下，个人数据的法律保护面临诸多困境，如何确立适合本国国情的数据保护立法政策是问题的关键。我国应从厘清现有数据保护立法政策的滞后性入手，理性定位立法的价值取向，并以此为指引，完善我国个人数据保护的法律模式。

1. 我国个人数据保护制度的滞后性

目前，我国虽没有制定专门性的个人数据保护法，但与之相关的法律法规仍然存在。对个人数据直接保护的立法包括《刑法》、《侵权责任法》、《互联网信息服务管理办法》、《关于加强网络信息保护的决定》等，对个人数据间接保护的立法包括《宪法》、《民法通则》等。此外，还包括一些针对特殊领域与特殊主体的法律和法规，如《未成年人保护法》、《妇女权益保护法》、《执业医师法》、《转染病防治法》等。在云计算、大数据快速发展的技术背景下，我国个人数据保护立法的滞后性显而易见：第一，未建立统一的立法规划与数据保护执法机构，导致现有法律法规对个人数据的保护力度相对较小；第二，现有立法调整范围有限，仅局限于“加害行为”，而并非针对“数据处理行为”，导致无法有效治理数据流转的全生命周期中的安全风险；第三，未建立针对数据主体、数据控制者与处理者的核心权利义务的法律规则，导致个人数据保护仅停留在“下游”阶段；第四，忽视了云计算、大数据快速发展这一时代背景和数据保护的全球化趋势，使跨国企业在“走出去”时障碍重重。

2. 立法的价值取向：权利保障与数据自由流动的价值平衡

我国在数据保护立法中应充分考虑价值平衡这一问题，在认清基本国情的基础上，在对“技术的信仰和人身的信仰之间”，需求一个平衡的支点：

首先，应理性认识大数据技术背景下的个人数据保护问题。大数据因其强大的“预测”功能被应用于国家安全、社会干预、金融、销售、医疗保健等各个方面，成为国家经济增长与企业盈利的助推器。数据分析与挖掘技术的进步不断扩大数据的“可识别性”的范围，具有人格权属性的个人数据也是一种社会经济资源，因此不能以拒绝或排斥的眼光看待个人数据的商业化利用；其次，应处理好权利保护与权利限制的关系。权利保护是数据保护立法的核心，但对权利保护的过分强调必将克减数据自由流动的机会、增加商业成本，使得大数据的社会价值无法有效发挥。因此，权利限制应成为权利保障的有益补充，当涉及国家安全、国家防御、刑事犯罪、重大公共利益、他人的生命或重要权利时，数据主体的权利应遵循“个案平衡”原则相应克减。第三，应选择或设计成本最低、效率最高的权利保护规则，以促进数据自由流动。

3. 建构符合我国国情的个人数据法律保护模式的思路

（1）确立适合国情的“综合保护”立法模式

立法模式在很大程度上承载着立法者的价值期望。在我国，统一立法、分散立法与行业自律相结合的“综合保护”立法模式是最佳途径：首先，数据处理行为应设定普遍的法律规则，制定统一的个人数据保护法是当务之急。欧盟与我国同属大陆法系国家，其法律体系于我国具有很强的兼容和相洽性，欧盟统一立法模式可为我国提供有益借鉴；其次，还应认识到数据处理行为及个人数据存在差异性，可根据数据类型及处理行为的差异设定特殊的规则，比如在犯罪侦查、医疗、科研等特殊领域或涉及到个人敏感数据的行业设立特殊规则；第三，应鼓励和引导行业自律。由于我国缺乏自律传统与自律文化，行业自律最大的弊端是缺乏约束力，可考虑赋予经审查的自律规范以法律效力，或引入激励机制，以保障行业自律的实施效力，使其成为立法的有益补充。

（2）明确基本的个人数据权利

在数据保护立法中，个人权利保护是核心内容。个人数据权利与隐私权是经常容易被混淆的概念，但两者仍有者明显区别：个人数据权利的建立具有高度的技术特征，规定的是如何收集与处理个人数据的规则，兼具人身权与财产权的属性；而隐私权对应新闻自由而产生，以保护人格利益为主，以避免侵害和损害救济为目的。因此我国在数据保护立法中应单独规定个人数据权利，一般包括同意权、获取权、知悉权、删除、修改、补充权。

（3）明确数据控制者的核心义务与责任，增强风险防御能力

数据控制者是指数据保护立法的核心义务主体，可分为商业机构、政府机关与公共机构。目前，各国数据保护立法均将政府与公共机构纳入范围之内，分别适用统一或有差异性的调整方法。我国已有学者提出政府机关处理个人信息的行为属于行政法律关系，理应在规制程度上弱于其它信息处理者。但本文认为，与商业机构相比，政府机关与公共机构掌握公权力，其收集、处理的个人数据范围广、内容多，应受到数据保护立法同等的规制。在新技术背景下，不仅应将告知义务、合法获得义务、安全保障义务等纳入数据控制者的义务体系中，还应认识到，将风险规制寄托于惩罚与救济的方法实施成本高、效果有限，对风险事先防御才是明智之举。可在立法中设立激励机制，鼓励公私机构就拟建的数据处理系统或任何新的大数据项目进行数据安全影响评估，并定期向社会公布这些评估报告。另外，可鼓励高新技术企业将隐私强化技术应用至企业数据处理系统及产品的设计之中，增强企业对数据安全风险的防御能力。

（4）完善“通知—同意”法律规则

大数据背景下的“通知—同意”法律规则难以发挥应有的功效。为应对此难题，欧盟的做法是明确数据主体的“同意”应为“积极同意”，这有利于保护个人数据权利，但也因增加商业成本而饱受诟病。建议我国在数据保护立法中采用“积极同意”与“消极同意”相结合模式。对于统一的数据保护立法应采纳“消极同意”模式。考虑到这种模式所降低的商业成本会变相转移到数据主体身上，故我国在引入消极“通知—同意”规则时应注意两个因素：一是“通知”应是明确、充分、具体的。数据控制者应告知数据处理的机构、目的、种类等核心要素。二是赋予数据主体便捷、经济的反对途径。应规定数据处理者要求数据主体反对的方式必须与数据处理者通知的方式同等便利，不给数据主体增加额外的负担。对于犯罪侦查、医疗、科研等特殊领域或涉及到个人敏感数据的特殊保护规则应采用“积极同意”模式。

（5）健全个人数据保护民事诉讼与行政处罚机制

权利保障与救济是个人数据保护立法的核心。在云计算模式下，侵权主体具有多样性并很难确定，数据主体难以有效维权。我国应逐渐健全个人数据保护的民事诉讼机制，明确建立由被告证明其不应承担责任的举证规则。当数据主体不能确定具体的侵权主体时，由数据控制者与处理者承担连带侵权责任。此外，在大数据时代，个人数据是价值巨大的“金矿”，很多企业会对存储于云端的数据进行商业化利用，数据泄露、非法交易也将成为常态，加大行政处罚的力度是当务之急。也可考虑设立违法行为处罚“公示”制度，将违法企业计入“违法行为黑名单”等方式，来有效遏制侵犯个人信息的违法行为 。

（6）有效应对个人数据保护国际化趋势

跨境的数据流动将成为常态。中国仍被欧盟认定为是不能对个人数据提供充分性保护的国家，这将使具有财产价值的个人数据外流易，而流入难，导致企业在国际贸易中始终处于竞争劣势，甚至我国大量公民个人数据被变相获取。应对这一问题的最主要方法是与欧盟或相关国家展开双边磋商，建立一个类似于欧美的“安全港协议”。同时，积极参与到个人数据保护的国家合作中，争取规则拟定中的话语权。在国际立法中，应强调将个人数据流动作为经济问题的解决方案，而对个人数据保护在人格权方面的问题适度搁置，以利于纠纷的解决。

结语

大数据时代，数据共享和数据收集的规模急剧增长，数据已经成为经济增长和社会价值创造的源泉。快速发展的数据挖掘与利用技术使个人在网络空间逐渐由“匿名”变为“透明”，产生于大机器时代的个人数据保护法律规则亦无法有效应对大数据环境下个人数据保护的新问题，而立法改革成为欧美国家解决上述问题的一剂良药。欧盟《条例草案》在生效与推广之后很可能成为主导世界的数据安全法律治理模式之一。我国需理性认识到数据保护的国际动向与本国立法的滞后性，在对“技术的信仰和人身的信仰之间”需求一个价值平衡的支点，并以此为指引，尽快探索适合我国国情的个人数据法律保护模式。同时积极应对个人数据保护的国际化趋势，积极争取国际规则制定中的话语权。 

[作者单位 黄道丽，公安部第三研究所(信息网络安全公安部重点实验室) ；张敏，西安交通大学]

（来源：中国信息安全）