受制于大數(shù)據(jù)時代之前（簡稱“前信息時代”）已經(jīng)建立的個人信息保護理論的影響，我國個人信息法律保護實踐在大數(shù)據(jù)時代陷入窘境，必須結(jié)合大數(shù)據(jù)時代特征進行制度重構(gòu)。

大數(shù)據(jù)挑戰(zhàn)個人信息法律保護傳統(tǒng)理論

網(wǎng)絡(luò)全覆蓋下的大數(shù)據(jù)時代，信息主體源源不斷地生產(chǎn)和輸送的個人信息，通過大數(shù)據(jù)挖掘技術(shù)得到整合利用，實現(xiàn)了數(shù)據(jù)人格塑造和現(xiàn)代權(quán)力控制。所謂數(shù)據(jù)人格就是個人被信息化，所有的個人事務(wù)和行動都變成數(shù)據(jù)，由網(wǎng)絡(luò)數(shù)據(jù)完整描述個人人格。借助于無處不在的采集存儲設(shè)備，數(shù)據(jù)取代物理世界的行為成為人格的標識和標簽。大數(shù)據(jù)時代的數(shù)據(jù)人格塑造還通過對海量碎片化數(shù)據(jù)的挖掘，形成了對個人的偏好、性格、行為的精準分析和預(yù)測，從而完成數(shù)據(jù)人格的深度塑造。數(shù)據(jù)人格塑造會帶來個人信息泄露、隱私曝光、不平等和歧視待遇、扭曲和異化真實人格等風險，而當數(shù)據(jù)人格成為大數(shù)據(jù)時代的生活常態(tài)時，無處不在的監(jiān)控與控制也便形成。大數(shù)據(jù)時代的權(quán)力控制并不僅限于國家公權(quán)力，還包括私營部門和社會組織的數(shù)據(jù)利用帶來的新的權(quán)力控制問題。如果說，?？旅枋龅囊?guī)訓(xùn)社會還依賴行為的矯正和訓(xùn)練，大數(shù)據(jù)時代則通過網(wǎng)絡(luò)依附實現(xiàn)了福柯所描述的現(xiàn)代權(quán)力控制。當一站式服務(wù)成功吸附用戶時，用戶對互聯(lián)網(wǎng)巨頭的依賴便可以形成；而國家以公權(quán)力為后盾對網(wǎng)絡(luò)的介入，更可以實現(xiàn)全面的數(shù)據(jù)獲取和使用。所以，現(xiàn)代社會中的個人不但處于國家權(quán)力的虎視眈眈下，更處于現(xiàn)代權(quán)力這一“柔性極權(quán)主義”之中。

在數(shù)據(jù)人格和現(xiàn)代權(quán)力控制的雙重挑戰(zhàn)下，傳統(tǒng)上以明確使用者責任為核心的個人信息法律保護理論不可避免地陷入了困境：

第一，可識別性個人信息界定的困境。通過界定什么是個人信息，從而明確個人信息法律保護的客體內(nèi)容，是前信息時代個人信息法律保護制度建構(gòu)的起點。通讀各國已經(jīng)制定的個人信息保護法，可識別性是定義個人信息（數(shù)據(jù)）的普遍做法。但是大數(shù)據(jù)技術(shù)帶來了可識別性操作的困境。一方面，可識別性個人信息的范圍不斷擴大。大數(shù)據(jù)時代，個人日?；顒拥乃泻圹E幾乎都在網(wǎng)絡(luò)中被記錄，零散的個人信息記錄看似不相關(guān)，但通過數(shù)據(jù)挖掘技術(shù)，原來被認為不能識別到個人或者匿名化不被識別的信息都能夠識別到個人。另一方面，個人信息權(quán)利受侵犯不以可識別性為限。大數(shù)據(jù)時代，個人信息的價值通過量的積累體現(xiàn)出來，打包處理的某一類個人信息雖然不以識別個人為目的，但是類別化處理后的類型化對待也會造成對個人信息主體權(quán)利的侵害。前信息時代，個人信息是可以與個人相分離的一種客觀存在，通過去除身份就可以實現(xiàn)防止隱私受侵害的風險；而大數(shù)據(jù)時代個人信息與動態(tài)化個人行為緊密相連，無論是否具有身份識別性都能夠產(chǎn)生隱私侵犯風險。

第二，以控制為核心的個人信息權(quán)利異化的困境。前信息時代個人信息法律保護的核心是個人對其信息的控制，其主要從屬于隱私權(quán)，其后在大數(shù)據(jù)變革中，又被納入了財產(chǎn)權(quán)保護的范圍。但是，在大數(shù)據(jù)時代，數(shù)據(jù)人格塑造和現(xiàn)代權(quán)力控制，導(dǎo)致無論是隱私權(quán)還是財產(chǎn)權(quán)角度的個人信息控制權(quán)能均出現(xiàn)異化。具體而言，以個人控制為核心的個人信息權(quán)利保護，經(jīng)歷了依賴隱私合理期待和個人財產(chǎn)保護的發(fā)展歷程，但面對大數(shù)據(jù)技術(shù)下個人信息全方位收集和無限次利用，個人信息早已脫離了信息主體的實際控制，個人控制這種核心權(quán)能已經(jīng)無法發(fā)揮作用，個人信息的控制主體已經(jīng)從個人異變?yōu)樯鐣M織和政府機構(gòu)，控制權(quán)能也已經(jīng)從個人實際掌控異變?yōu)榻M織責任承擔。大數(shù)據(jù)時代，當個人信息實際上由個人不間斷地生產(chǎn)而又脫離個人控制時，個人信息的社會資源性特征越發(fā)明顯，對于個人信息權(quán)利的保護必須在時代背景下，在促進個人信息有效利用和安全、秩序維護的過程中，重新進行思考。

第三，個人信息處理原則無法適用的困境。1980年經(jīng)濟發(fā)展合作組織（OECD）制定的《個人信息保護指南》（OECD Guidelines）中明確規(guī)定了個人信息處理的八項原則，核心是個人信息主體知情同意（明示或默示）、個人信息使用目的限制（目的明確、最小化使用）以及個人對信息的控制（公開透明、參與、修改、刪除權(quán)等），體現(xiàn)了以個人控制權(quán)能實現(xiàn)為核心的保護制度建構(gòu)。這些原則的出臺和使用建立在實際上個人信息有限和可控的前信息時代，數(shù)據(jù)庫的使用邏輯是必須尊重提供信息的個人。但大數(shù)據(jù)技術(shù)下的個人信息主體與個人是一種幾乎完全分離的狀態(tài)，不僅無處不在的隱形監(jiān)控使得個人無法控制個人信息，而且個人信息處理鏈條拉長為遠離個人控制，從而使原有的個人信息處理原則根本無法適用。具體表現(xiàn)有三種。其一，知情同意原則形同虛設(shè)。大數(shù)據(jù)時代，網(wǎng)絡(luò)的全覆蓋導(dǎo)致隱私聲明成為加重機構(gòu)和個人負擔的設(shè)置，網(wǎng)絡(luò)平臺和用戶都不認真對待隱私聲明，且在個人信息密集收集與多方流轉(zhuǎn)的生態(tài)系統(tǒng)中，用戶在很多情況下對其信息的收集并不知情。其二，個人控制原則失效。個人無法選擇對其信息進行處理的主體，也就無法參與和控制個人信息的處理。其三，目的限制原則的空置。信息是大數(shù)據(jù)時代最重要的社會資源，在社會經(jīng)濟、秩序管理等方面發(fā)揮越來越大的作用和價值，并通過挖掘與再利用實現(xiàn)。由此，個人信息使用目的的事前列明成為不可能和無必要。

由此可見，個人信息法律保護雖然在世界范圍內(nèi)已有成熟的制度建構(gòu)，但是如果不能及時適應(yīng)大數(shù)據(jù)時代的要求，已有的法律保護將阻礙信息資源的有效利用，無法完成個人信息權(quán)利保護的重任。我國個人信息的法律保護尚未建立，大數(shù)據(jù)技術(shù)變革已經(jīng)撲面而來，學(xué)習(xí)已有的個人信息法律保護制度經(jīng)驗固然重要，但是如果不能跳出前信息時代的制度藩籬，個人信息的法律保護就會始終面臨實踐困境。

我國個人信息法律保護面臨實踐困境

我國并沒有經(jīng)歷前信息時代個人信息法律保護的充分發(fā)展，受國外已有的成熟理論的影響，基本上還是用前信息時代的個人信息法律保護思維應(yīng)對實踐問題，這必然導(dǎo)致大數(shù)據(jù)時代個人信息法律保護面臨立法和司法實踐的困境。

我國個人信息立法保護一直滯后。我國個人信息保護專門立法尚未制定，實踐中確立了個人信息分散立法保護的模式，并基本上涵蓋了前信息時代個人信息法律保護的核心問題，包括可識別性個人信息界定、個人控制權(quán)的保護以及知情同意為核心的原則設(shè)定。但我國個人信息分散立法保護的缺陷十分明顯，主要體現(xiàn)為保護對象不明確、信息主體權(quán)利不完整、權(quán)利義務(wù)不完善和法律責任不到位等。學(xué)者們一直倡導(dǎo)通過制定專門的個人信息保護法解決以上分散立法保護的弊端，通過專門立法實現(xiàn)完整的個人信息法律保護。但是，值得注意的是，在大數(shù)據(jù)技術(shù)挑戰(zhàn)面前，如果不能跳出前信息時代的舊有思維，依然圍繞可識別性界定個人信息和個人控制權(quán)能進行立法，根本無法應(yīng)對大數(shù)據(jù)時代個人信息保護范圍、權(quán)利內(nèi)涵、保護原則等方面的變化。其實，立法追求嚴整與內(nèi)容明確的特點并不適應(yīng)大數(shù)據(jù)技術(shù)之下個人信息利用的變動性，通過立法保護個人信息通常會滯后于大數(shù)據(jù)技術(shù)要求，這也正是歐美國家近年來不斷修改已有的個人信息保護法的原因。大數(shù)據(jù)時代，個人信息法律保護不是單純的權(quán)利實現(xiàn)，而是要在個人信息有效利用與權(quán)利行使之間尋找平衡，由此決定了個人信息立法保護必須轉(zhuǎn)換思路并重構(gòu)內(nèi)容。

我國個人信息刑法保護相對被動。在法律不完善的前提下，針對個人信息濫用導(dǎo)致嚴重社會危害，只能由刑法出面進行滅火。我國《刑法修正案（七）》及至《刑法修正案（九）》中侵犯公民個人信息罪的規(guī)定，是從維護社會秩序出發(fā)，對于侵犯個人信息導(dǎo)致的公民人身財產(chǎn)權(quán)損害進行的刑法救濟，在打擊利用個人信息犯罪方面作用巨大。但由于個人信息保護的前置法律貧乏，刑法的個人信息犯罪規(guī)定必須解決許多不屬于刑法規(guī)定的內(nèi)容，由此導(dǎo)致刑法救濟的被動性。目前，侵犯公民個人信息罪的具體適用還必須依靠最高人民法院和最高人民檢察院于2017年6月1日發(fā)布的《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》（簡稱《解釋》），而《解釋》在實踐應(yīng)用中并不能起到應(yīng)有的作用，反倒因為《解釋》而引發(fā)關(guān)于個人信息定義、法律適用以及定罪量刑方面的更多爭議。

大數(shù)據(jù)背景下，以刑法一己之力并不能完成個人信息法律保護的任務(wù)，我國《刑法》中的“侵犯公民個人信息罪”不過是面對危害后果的應(yīng)急反應(yīng)，雖然刑法的社會危害防治會暫時發(fā)揮作用，但也會引發(fā)更多實踐中的問題。所以，只有把個人信息的刑法保護放置到個人信息法律制度建構(gòu)的整體框架下，才能對《刑法》及其《解釋》的局限性進行突破。

我國個人信息民事救濟非常貧弱。我國個人信息民法保護相當貧乏，民事侵權(quán)的司法救濟也幾乎無所作為。2017年10月1日起實施的《民法總則》雖然在第111條規(guī)定了“自然人的個人信息受法律保護”，但這一條文規(guī)定的“個人信息”，究竟是個人信息法益，抑或個人信息權(quán)，學(xué)者有不同的解讀。另外，《民法總則》第110條對隱私保護的單獨規(guī)定，也引發(fā)了隱私與個人信息保護如何協(xié)調(diào)的問題。民事領(lǐng)域的侵犯公民個人信息的糾紛解決主要還是依靠2014年6月23日最高人民法院發(fā)布的《關(guān)于審理利用信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問題的規(guī)定》。在個人信息、隱私權(quán)民法保護均不完善的前提下，我國司法機關(guān)采取了將個人信息附屬于隱私權(quán)進行保護的方式。司法實踐中直接侵犯個人信息的民事糾紛案件并不多，一方面表明我國個人信息民法保護先天不足，另一方面也不能忽視大數(shù)據(jù)時代單個個人信息的民事侵權(quán)已被量化的數(shù)據(jù)庫侵權(quán)所吞沒的現(xiàn)實。由于大數(shù)據(jù)時代個人信息權(quán)利的異化，個人信息的資源性利用遠大于其保密價值，所以，著眼于個體性權(quán)利的民事侵權(quán)救濟并不能有效發(fā)揮作用，必須針對平臺企業(yè)和國家機構(gòu)的數(shù)據(jù)庫開發(fā)利用重新設(shè)定民事責任。而從司法裁決多強調(diào)隱私權(quán)保護來看，個人信息的隱私權(quán)屬性有重要價值，尤其是在數(shù)字化人格大發(fā)展的今天，注重個體性地位的最好體現(xiàn)仍然是隱私權(quán)保護。

大數(shù)據(jù)時代個人信息法律保護制度重構(gòu)

當個人信息法律保護制度面臨變革時，我們應(yīng)主動適應(yīng)大數(shù)據(jù)的時代要求，不簡單照搬或受制于國外制度，并立基于解決實踐困境，從大數(shù)據(jù)信息有效利用的視角出發(fā)，重新思考和定位我國個人信息法律保護制度建構(gòu)。

首先，個人信息標準的立法替代。面對大數(shù)據(jù)技術(shù)的飛速發(fā)展，個人信息的法律保護并不只有立法一途，與技術(shù)相連的個人信息保護標準起到了部分立法替代作用。2018年1月，國家標準《個人信息安全規(guī)范》（GB/T 35273-2017）（簡稱《規(guī)范》）正式發(fā)布。在網(wǎng)絡(luò)安全法治框架下，《規(guī)范》立足信息安全的維度，厘定、闡明了個人信息安全保護領(lǐng)域的諸多重要問題，如“個人信息”的基本定義、個人信息安全的基本要求等，并突出了個人信息全生命周期動態(tài)調(diào)節(jié)的機制特色，為提升公民意識、企業(yè)合規(guī)和國家監(jiān)管水平提供了新的業(yè)務(wù)參照和行為指引。

技術(shù)標準因其沒有直接的立法效力，其效用往往被忽視，但是，其可因企業(yè)自愿遵守而產(chǎn)生約束力；行政機關(guān)可參照做出行政決定，采取非正式監(jiān)管措施，法院也可以援引作為裁判說理依據(jù)；而規(guī)范一旦被法律、法規(guī)、規(guī)章、強制性標準援引，便可在相應(yīng)規(guī)范中產(chǎn)生與之同等的法律效力。大數(shù)據(jù)技術(shù)的特征，決定了對個人信息的利用是一種可以用技術(shù)標準框定的規(guī)范性操作，個人信息保護標準不僅更能靈活應(yīng)對大數(shù)據(jù)技術(shù)不斷發(fā)展的要求，解決立法的滯后性，而且標準本身的靈活性更有利于大數(shù)據(jù)時代的個人信息安全、利用以及保護的需要。在標準替代立法的局面下，并不是用標準完全取代立法，而是把能夠技術(shù)規(guī)范、標準化的內(nèi)容拿到標準中來，或者明確已經(jīng)被標準確定的內(nèi)容，以技術(shù)解決技術(shù)帶來的變動性問題，在此基礎(chǔ)上，放棄制定大而全的個人信息保護專門法律的做法，重點制定適應(yīng)大數(shù)據(jù)時代要求的特別保護法。

其次，多方互動的隱私風險評估機制建構(gòu)?！半[私風險評估”是衡量隱私風險的有效工具，實踐中已發(fā)展為標準化操作流程，成為國際上日益認同的理念與最佳實務(wù)。場景與風險導(dǎo)向的新思路認識到，在大數(shù)據(jù)時代紛繁復(fù)雜的個人信息處理場景中，前端的、靜態(tài)的遵循知情同意的框架已經(jīng)不足以應(yīng)對嚴峻的隱私挑戰(zhàn)，必須及時扭轉(zhuǎn)思路，在個人信息處理所處的具體場景中進行動態(tài)的風險控制，即變僵化的合規(guī)遵循為靈活的風險管理，促進個人信息的“合理使用”，重點規(guī)制個人信息的“不合理使用”行為。

隱私風險評估的理論基礎(chǔ)是承認個人信息法律保護的隱私權(quán)價值，即，個體獨立與尊嚴保護的人格利益必須借助于信息性隱私權(quán)保護實現(xiàn)。而隱私風險評估作為動態(tài)的機制，能夠在法律不完善時借助多元社會力量實現(xiàn)，通過行業(yè)自律可以引導(dǎo)隱私聲明與隱私風險評估銜接，促成個人信息隱私保護的實現(xiàn)。此外，第三方平臺的介入也能夠起到更為客觀的監(jiān)控效果。政府的監(jiān)管應(yīng)該關(guān)注這一方向，通過引導(dǎo)和介入完善多方互動的隱私風險評估機制建構(gòu)。

最后，信任關(guān)系下的個人信息民法保護完善。大數(shù)據(jù)時代，個人信息的產(chǎn)生和利用無處不在，個人信息并不只是標明個人身份的簡單代碼，而是人們傳遞感情、進行社會交往和商業(yè)活動的基礎(chǔ)資源和活動記錄。所以需要在具體環(huán)境中認識個人信息的保護需求，這取決于維系社會交往存在的倫理基礎(chǔ)，即信任責任關(guān)系。在信任關(guān)系下，個人信息主體對于超出該情景的個人信息流通具有要求接受者不予擴散的保密義務(wù)。在大數(shù)據(jù)時代，由于個人信息的廣泛利用性，個人的知情同意已經(jīng)退位給使用者承擔責任，在個人信息的有效利用中，使用者與個人信息主體之間的信任關(guān)系的建立非常重要，也即可以通過信任關(guān)系建立良好的個人信息利用秩序。在我國，民法中的誠實信用原則一直面臨現(xiàn)實挑戰(zhàn)，社會信用制度尚沒有建立，信任責任法極其缺乏，如能在個人信息責任制度方面進行突破，不僅有利于個人信息利用秩序的建立，也無疑會為大數(shù)據(jù)時代社會信用制度的建立奠定基礎(chǔ)。而借助于大數(shù)據(jù)技術(shù)，信息責任法的建立并不困難，在各種網(wǎng)絡(luò)平臺推出個人信用評估的當下，利用大數(shù)據(jù)技術(shù)對個人信息控制者即網(wǎng)絡(luò)平臺本身的信用進行評估更為重要，當然，這一任務(wù)需要借助于媒體、第三方平臺以及政府的推介共同完成。

綜上所述，個人信息的法律保護是隨著大數(shù)據(jù)技術(shù)的發(fā)展而變動最為劇烈的領(lǐng)域。鑒于大數(shù)據(jù)帶來的個人信息利用特征的變化，我們應(yīng)在做好補課的同時，適應(yīng)大數(shù)據(jù)時代要求，從多元、變動的視角做好個人信息法律保護的整體制度建構(gòu)。