大數據時代信息主體權益保護問題研究

陳寶貴 賈映輝

隨著智能終端、移動互聯網和云計算等信息技術的快速發(fā)展，使得信息主體復雜頻繁的各種行為都記錄、分析和利用，給經濟發(fā)展帶來了顛覆性的影響，但同時也容易導致信息主體隱私權的缺失，嚴重危害信息主體的合法權益。在這種背景下，如何保護信息主體的合法權益，就成為目前需要重點關注的問題。本文首先對個人信息的定義、信息權益的保護規(guī)定以及大數據的特征進行了簡單介紹，分析了大數據時代的環(huán)境下，信息主體權益保護存在的突出問題，在此基礎上，對我國如何進行信息主體權益保護提出了意見建議。

進入21世紀，隨著智能終端、移動互聯網和云計算等信息技術的快速發(fā)展，“大數據時代”作為“信息時代”的升級版或高級階段，已經走入現代人的生活，對現代社會的發(fā)展正在產生著深刻影響。

大數據（big data）又稱巨量（海量）資料，一般指的是大小規(guī)格超越傳統數據庫軟件抓取、存儲、管理和分析能力的數據群，是基于新的處理模式而產生的具有強大的流程優(yōu)化能力、決策力的多樣性的、海量的信息資產。

大數據技術的發(fā)展讓信息主體的每一次交易行為、每一筆消費被記錄、分析和應用，這些大數據的分析應用對經濟發(fā)展帶來顛覆性的影響。但由于制度建設、監(jiān)管手段等方面尚未跟上大數據時代發(fā)展的步伐，信息主體合法權益受到侵害的現象時有發(fā)生，有效保護信息主體合法權益是當前需要急迫解決的重要問題。

一、大數據的特征

相較傳統數據，大數據呈現完全不同的特征。

一是信息采集機構數量眾多。

小數據時代大量掌握公民信息的主要是行使公權力的政府機構，而大數據時代，因為技術的進步，許多研究機構、商業(yè)部門、企業(yè)甚至個人都能擁有海量數據，某些大型互聯網企業(yè)擁有的數據量和加工能力遠遠超過政府機構。

二是信息采集內容種類大幅拓展。

傳統意義上，信息采集一般是結構化的靜態(tài)性信息，如住址、職業(yè)、信貸記錄、犯罪記錄等。而大數據則是除了以上信息外，更多地拓展為半結構化、非結構化的動態(tài)數據，如信息主體的位置信息、行為信息、社交信息等等，數據類型也擴展到郵件、聲音、圖片、影像等。這些信息的范圍非常大，包括出行記錄、消費記錄、瀏覽網站、網絡游戲、搜索記錄、網絡社交或即時通信等大量行為數據。

三是相當數量被采集的數據可能無任何意義。

傳統數據在被采集前規(guī)格大小等已經被嚴格定義，一定是有意義的。而大數據則是相對凌亂、碎片化的，在采集前并沒有被嚴格定義，不同數據間的相關性也并不明確，只是為了確保在分析過程中不遺漏任何有價值的數據。導致其中可能包含大量無任何意義的垃圾數據，需要在后續(xù)處理過程中排除冗余信息。

二、信息主體權益保護的定義和法律規(guī)定

信息主體權益保護實際上就是對個人信息權或隱私權的保護。我國法律目前對個人信息并沒有統一的定義，2013年2月實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》對個人信息定義為：可為信息系統所處理、與特定自然人相關、能夠單獨或通過與其他信息結合識別該特定自然人的計算機數據。

個人信息權指自然人對個人信息所享有知情權、選擇權、同意權、控制權、異議權、收益權、司法救濟權等基本權利。個人信息權是一種人格權，包括人格權益與財產權益于一身。

換句話說，既可以防御因第三方不當使用造成的侵害，又可以主動利用獲得利益。對信息主體的權益保護應以預防為主，通過規(guī)范平衡信息主體與信息使用者之間的利益，在個人信息權受到侵害時，除可以申請財產救濟外，還可申請精神損害賠償。

我國部分法律、法規(guī)和制度文件對信息主體權益保護做出了規(guī)定。

一是關于網絡信息的采集和使用。

2009年，全國人大常委會《關于加強網絡信息保護的決定》中明確，企業(yè)在業(yè)務活動中收集、使用公民個人電子信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經被收集者同意，不得違反法律、法規(guī)的規(guī)定和雙方的約定，并應當公開其收集、使用規(guī)則。

二是針對涉及征信范圍的信息采集使用做出的規(guī)定。

2013年實施的《征信業(yè)管理條例》規(guī)定，禁止征信機構采集個人的宗教信仰、基因、指紋、血型、疾病和病史信息，同時對不良信息保存年限、信息用途、異議與投訴等方面作出規(guī)定。

三是對違規(guī)使用個人信息的處罰。

2015年11月實施的《刑法修正案（九）》規(guī)定，違反法律法規(guī)向他人出售或者提供公民個人信息，情節(jié)嚴重的最高可處七年以下有期徒刑。同時，《征信業(yè)管理條例》為規(guī)范征信行為，也對信息提供者、征信機構、信用使用者違規(guī)使用信息的行為規(guī)定了相應處罰。

另外一些有關信息使用的規(guī)定則散見于《消費者權益保護法》、《電信和互聯網用戶個人信息保護規(guī)定》、《人口健康信息管理辦法（試行）》、《侵害消費者權益行為處罰辦法》、《中國人民銀行關于銀行業(yè)金融機構做好個人金融信息保護工作的工作的通知》等法律、法規(guī)、部門規(guī)章及規(guī)范性文件。

三、大數據時代信息主體權益保護的突出問題

（一）個人信息權的邊界模糊

完善對信息主體的權益保護，首先要對個人信息權應有明確的定義。傳統信息時代對個人信息的界定主要是指能夠直接或者間接識別信息主體的信息，比如個人基本信息、信貸交易信息、遵紀守法信息等。

但是隨著大數據時代的來臨，數據的規(guī)模和種類都比以往要多得多，云計算和分析學等技術發(fā)展直接促進了數據內容的交叉檢驗，大量數據輕松被關聯和聚合，人們將非個人信息轉化為個人信息的能力大大增強。比如淘寶、百度等企業(yè)通過界定搜索習慣、年齡段、消費行為、消費金額，就可以很輕松地定位一個人的信息。所以說，大數據時代使得個人信息與非個人信息的邊界變得異常模糊，也使得消費者爭取自身合法信息權的努力變得更加困難。如2013年，朱女士起訴百度，認為百度利用網絡技術記錄和跟蹤搜索關鍵詞，并對其瀏覽的網頁進行有針對性的廣告投放，擾亂了自身正常生活，侵害了其隱私權。朱女士請求判令百度停止侵害，并賠償精神損害金10000元。2015年6月，南京中院作出終審判決，認定“百度公司的個性化推薦行為不構成侵犯隱私權”，未支持朱女士的訴訟請求。

（二）信息主體知情權等未得到有效維護

目前，信息采集行為無處不在，尤其以互聯網及手機APP的信息收集更為普遍。采集行為主要有用戶主動提交、通過“云存儲服務”獲取、對用戶行為進行跟蹤記錄和手機APP應用軟件獲取等幾種方式。但在服務商大量收集消費者個人信息時，用戶的知情權很多情況下被漠視。

從征信角度看，互聯網金融快速發(fā)展，其對客戶的征信手段已突破了傳統面對面的模式，不需要當面認證即可完成貸款的發(fā)放，但其中也暗藏隱患。

2015年，人民銀行某縣支行受理一起投訴。朱先生認為有人冒用其名義在阿里小貸共辦理6筆金額合計1.3萬元的貸款，均已形成逾期。朱先生投訴其個人信息被冒用，不法分子利用網上盜得的個人信息通過了阿里小貸的審核，朱先生在查詢個人信用報告時才發(fā)現以上貸款存在，而對其個人信息的泄露表示并不知情。由于缺少面簽環(huán)節(jié)，消費者的知情權、同意權往往流于形式，特別是網貸一旦出現冒名的情況，核實起來難度遠大于傳統貸款。

（三）網絡安全隱患嚴重

消費者個人信息由于具有較高的利用價值，在利益誘惑和監(jiān)管不到位的情況下，個人信息被“竊取”和“非法使用”目前已經成為一條黑色產業(yè)鏈，消費者因個人信息泄露導致的損失也呈逐年上升態(tài)勢。

目前，我國網絡安全狀況總體平穩(wěn)，但基礎網絡仍存在較多漏洞風險，來自針對政府部門和重要行業(yè)單位網站的網絡攻擊頻度、烈度不斷加劇;網站數據和個人信息泄露現象嚴重。

由于社會對人民銀行征信系統的認可度不斷提升，金融信用信息基礎數據庫的信息泄露事件近年來也呈高發(fā)態(tài)勢，多地發(fā)生違規(guī)查詢個人信用報告，泄露個人信息事件。

這類案件的目的大體有兩類：一類是盜用個人停用報告信息進行詐騙。2012年315晚會曝光，招商銀行、工商銀行等多家銀行工作人員在未取得授權的情況下，查詢個人信用報告提供給購買方，購買方利用網絡購買的消費者銀行卡等信息，結合個人信用報告中的大量個人私密信息，嘗試取得消費者銀行卡密碼進行資刷，消費者被盜金額最多達到23萬余元。

另一類是違規(guī)查詢進行貸款等營銷活動。信息需求方從網上收集消費者信息，將消費者姓名和身份證號碼提供給銀行工作人員，銀行工作人員利用盜取的金融信用信息基礎數據庫用戶名和密碼登陸查詢，將查得的信用報告提供給需求方，每份收取幾十元到一百多元不等的費用。需求方則利用非法獲取的信用報告開展營銷活動，也可能利用相關信息從事其他違法犯罪行為。該類案件的查詢量每次都至少在1萬筆以上，多的達到十幾萬筆，信息主體個人隱私被大量泄露。

（四）信息所有權（收益權）沒有得到體現

大數據時代，互聯網技術開發(fā)了信息的價值，信息真正具有了價值屬性。但是信息主體作為信息的所有者，其對自身信息的控制權、收益權卻不是很明確。2014年，以迪爾和孟山都為首的幾家美國農業(yè)技術和設備公司推出一項新服務，邀請美國中部的農場主與其簽約合作，公司給農戶提供一個高精度接收器。收割季節(jié)，利用接收器莊稼的收獲就被記錄下來。待到播種，農戶便有了公司定制的播種方案軟件，會根據指令自行調節(jié)田畝的播種。

此項服務引起了全美農場聯盟的警覺。聯盟警告，一旦數據放上云端，可能威脅到個人隱私和技術秘密。為此，農會與技術供給商進行談判，并最終簽署了《農場數據的隱私和保護原則》。一條基本原則是農戶是農場數據的所有者，擁有對這些數據的產權和控制權;任何數據的采集使用都要以合同方式，事先獲得農戶明確的許可;供給商必須用易懂的語言，事先告知農戶數據如何采集和使用，農戶享有選擇參與或不參與數據采集和分享的自由;供給商不得用這些數據投機期貨市場。相較于國外對信息所有權的確定，我國鮮有法律法規(guī)對此做出明確的規(guī)定。

（五）消費者維權成本高

在侵權責任糾紛中，受害者若向法院主張其權利被侵害且要求賠償損失，首先需要解決法院管轄權，并提供初步證據證明其權利被侵害的事實才能立案，立案后還要提供確切、真實的證據說明自身受到的損失。

而在目前消費者想通過司法程序切實維護其合法權益，信息主體需付出的成本很高。

一是管轄權難以認定。對于網絡侵權案件，在確認具體的計算機終端設備所在地時存有技術障礙，認定較普通維權案件相對困難，有時甚至因技術復雜而無法認定。

二是取證難。大數據時代，收集、儲存、利用和傳輸個人信息的技術越來越復雜，特別是相應的證據一般都掌握在信息控制人手中。對相關事實的認定一般都需要專業(yè)人士配合，成本很高。

三是所受到的損害金額不好認定，特別是涉及精神損失，在拿不出合法有效證據的情況下，很難得到法院支持。而通過普通的異議、投訴等途徑，同樣面臨監(jiān)管法規(guī)不健全、技術手段達不到要求、事實認定困難等問題。

四、大數據時代加強信息主體權益保護的建議

（一）在法律層面對個人信息權予以明確

建議有關監(jiān)管部門加強研究，盡快制定出臺《個人信息保護法》，對個人信息權的內容予以明確，將其作為信息主體權益保護的主要法律原則。

法律的制定應充分考慮大數據時代新技術新應用產生的個人信息保護方面的新變化、新挑戰(zhàn)，以確保個人信息保護立法的嚴謹性、有效性和可執(zhí)行性。應借鑒國際上信息保護立法方面的有益做法，針對掌握大數據的互聯網企業(yè)或平臺，明確和規(guī)范個人信息定義和范疇，規(guī)范對云技術、云存儲的管理和監(jiān)督。制定更加細化的業(yè)務規(guī)則和管理標準，嚴格規(guī)范個人信用數據跨境流動，防范個人信用信息的濫用，切實保護個人信用信息主體的合法權益。

（二）建立符合大數據特點的信息安全保護機制

信息安全保護要從制度設計和技術保障進行雙重保護。大數據時代的制度設計，要規(guī)定信息主體、信息提供者、信息使用者的權利、義務和責任，明確隱私信息的范圍，確保對信息主體的信息依法合規(guī)使用。

信息采集機構要以更加簡潔易懂的方式告知用戶利用個人數據帶來的好處和弊端，而不是僅僅提供一個冗長復雜的隱私條款。應要求信息采集機構的網絡信息安全技術達到一定安全等級，從信息的存儲、傳遞、使用、銷毀等方面進行全流程信息保護，防止信息外泄，并制定信息泄露緊急預案。

對于不能直接使用的個人信息，企業(yè)要在產品的設計、研發(fā)、推廣、使用、市場退出等每個環(huán)節(jié)采取措施，規(guī)避危險或者減輕潛在危險，為用戶個人數據提供全生命周期保護。

（三）關注數據使用環(huán)節(jié)的安全風險

在新的網絡環(huán)境下，隨著信息收集的日益普遍，以及信息收集與業(yè)務使用之間的緊密依賴關系，對個人信息保護除了關注用戶在個人信息“收集”環(huán)節(jié)上的同意權和知情權，更重要的是消費者個人信息在被使用的過程中如何防止被濫用以及使用后受到侵害時的保障舉措。

數據使用者作為個人信息的使用主體，應當為使用個人信息的行為承擔責任。在信息產品使用過程中，應要求數據使用者進行個人信息事前危險性評測，以加強對個人信息的保護。

在個人信息權利方面，可以借鑒歐盟提出的被遺忘權，強化信息主體對個人信息的控制權，以應對大數據時代對個人帶來的不確定性風險。

（四）完善大數據商品化交易規(guī)則明確信息所有權

互聯網和信息時代，大數據作為新時代最具影響力的生產資料，已滲透了所有產業(yè)，信息真正具有了價值屬性。對信息的需求，包括財產權和商品交易，會日益復雜而急迫。

目前對大數據交易應加強研究，并進一步完善交易規(guī)則，防范由于商品交易而對數據失去控制造成不可預知的風險。同時，要明確信息主體對自身信息的所有權和收益權。

數據的個人源頭是數據的所有者應得到認可，因此也應得到經營數據的利益，前提是提供可以辨識其個體信息的依據，以證明其是對應個體樣本數據的提供者。

（五）構建完善的信息主體異議、投訴與救濟體系

針對大數據的特點，應建立錯誤信息的異議機制，通過科學合理的方式進行數據修復、數據刪除，建立健全投訴、訴訟等行政與司法救濟途徑，明確對個人侵害的賠償機制。個人信息與日常生活和工作狀況密切相關，因此個人信息保護立法應明確由行政機構通過民事或刑事處罰的方式來對個人實施救濟，使信息收集者改正錯誤的信息收集行為并對受到侵害的個人進行賠償。

同時，面對個人權利被侵犯時，由于維權成本高，通常難以有效主張其權利，可探索借助公益訴訟，暢通維權路徑。建議將個人信息被侵犯的案件公益訴訟范疇，可由個人信息的主管部門或者公益組織代表受損害的權利主體提起公益訴訟，更有利于對個人合法信息權的救濟。

參考文獻：

[1]王曉明.征信體系構建：制度選擇與發(fā)展路徑[M].北京：中國金融出版社，2015.8.

[2]彭宇松.大數據對現代征信體系的影響及啟示[J].征信，2014年第11期.

[3]侯富強.大數據時代個人信息保護問題與法律對策[J].西南民族大學學報（人文社會科學版），2015年第6期.

[4]楊峙林.個人征信信息主體權益保護存在問題與對策[J].河北金融，2014年第9期.

[5]朱偉彬.我國個人金融信息保護法律問題研究[J].西部金融，2014年第10期.

[6]黃海龍.基于以電商平臺為核心的互聯網金融研究[J].上海金融，2013年第8期.

[7]姚朝兵.征信視角下個人信用信息采集和使用的法律控制——基于信息主體同意權的比較法分析[J].理論與探索，2014年第1期.

[8]鄒芳莉.美國征信立法對信用信息主體權益的保護及啟示[J].征信，2012年第2期.

[9]高克州，王娟.國內外個人數據保護的比較研究——以《征信業(yè)管理條例》為視角[J].征信，2013年第10期.

[10]袁軍.一起個人征信信用報告糾紛案例引發(fā)的思考——個人金融消費者權益視角下的征信主體權益保護[J].征信，2013年第2期.