大数据时代下个人数据保护与利用的利益平衡

大数据时代下个人数据保护与利用的利益平衡采用湘大毕业论文的标准格式进行修改。封面、目录，尤其是参考文献部分。采用湘大毕业论文的标准格式进行修改。封面、目录，尤其是参考文献部分。摘要：在大数据时代背景下，个人信息价值日益凸显，如何平衡个人信息保护与信息利用之间的矛盾已经成为一个不可回避的问题。数据主体要求对个人数据进行保护以防止其人格利益受到侵害，数据使用者为了追求经济效益要求自由地收集、利用个人数据。本文通过分析数据主体、数据使用者在个人数据上的利益需求，在保护其核心利益的同时，对非核心利益进行一定程度的让渡，以达到个人数据保护与利用的利益平衡，并据此进一步构建大数据时代个人数据保护与利用的平衡途径。关键词：大数据技术个人数据保护利用引言（一）研究背景和意义现代社会是信息社会，随着网络信息技术的高速发展，海量的各种数据化信息被不停地生产、收集、存储、整理与使用，人类由此进入了大数据（bigdata）时代。大数据又称海量数据，是多来源、多类型、多结构的众多数据构成的数据集合。大数据技术以海量的数据为基础，对信息进行便捷、高效、迅速地收集、管理、分析。例如，美国零售业巨头沃尔玛公司每个小时就从客户交易中收集2.5PB以上的数据，相当于5000万个文件柜的文件大小，通过数据的快速整合分析判断顾客的购物爱好、购物习惯，对商品种类、数量、摆放位置等进行改进。在社会经济活动中，大数据正在引领着新一轮的科技创新与技术革命，成为新经济的智能引擎。大数据对社会生活的方方面面产生了前所未有的影响，也在各个法律部门中引发了许多值得研究的新问题。其中，最为重要的是数据主体对个人数据的保护需求与数据使用者对个人数据的利用需求之间的矛盾。一方面，社会生活的日益数字化以及收集、存储数据成本不断降低，海量个人数据被收集、存储和利用。随着数据收集的数量、种类的增加以及机器计算能力的增强，数据的收集与使用者极容易在这些数据间建立相关关系，从而准确地对特定个人过往活动轨迹加以捕捉并预测其未来行为。倘若不能充分地保护个人数据权利，就很容易出现非法收集、出售和利用个人数据，侵害个人人格权、财产权的问题。另一方面，海量的个人数据蕴涵着巨大的经济价值。通过个人数据的收集、存储、整理和利用，经营者可以精确了解消费者需求和偏好，从而更高效地发布广告、进行未来产品和服务升级更新，享受营销回应比率提升带来的经济回报，实现科学决策。个人数据于整个商业环境的健康运行也至关重要。随着社会生活日益数据化，建立健全完善的社会信用体系离不开大规模的个人数据收集、处理和利用等活动。实现大数据时代个人数据的充分使用和个人信息权利合理保护的平衡具有重大现实意义。（二）国内研究综述学界对个人数据的界定通常采取识别性理论，即“直接或间接的识别出特定的自然人”。在个人数据法律保护的缺陷方面，张里安、韩旭至认为立法方面有4个缺陷：立法分散，专门的个人信息保护法缺位；总体上倾向于刑事处罚和行政管理，民事立法缺位；规范只是宣示性地规定义务，没有规定相应法律后果，约束力和威慑力不足；个人信息权益与个人隐私就不知如何区分。杨翱宇认为我国在“是否通过立法保护个人信息”的问题上秉持肯定态度，但目前仍处于分散式立法的阶段，且现行立法实践中对个人信息的保护缺乏完整的请求权基础。（三）论文创新与不足个人数据的界定大数据时代数据来源极其广泛，如何在众多数据中界定个人数据，是讨论个人数据相关问题的基础。其中个人数据与个人信息、个人数据与非个人数据的区分对于个人数据的界定具有重要的意义。（一）个人数据与个人信息现代社会是信息社会，大数据时代是信息化发展的新阶段。大数据又称海量数据，是多来源、多类型、多结构的众多数据构成的数据集合。一方面，移动互联网的普及使得数据的产生与收集无时无刻不在发生。同时数据的范畴也在发生变化，聊天记录、浏览痕迹、地理位置、个人喜好等等，都可以转化为数据形式。大数据时代的数据总量呈现出爆炸式的增长。另一方面，云计算与云储存的出现，在数据储存能力直线增长同时降低了数据储存的成本，个人、企业、政府储存数据的门槛降低，让海量的数据得以保存。大量数据储存在云终端，也使得数据脱离了数据主体的掌控。可以说这两者的产生与发展极大的突破了信息社会的“数据的量”，而大数据时代数据计算能力以及数据整合能力的发展则突破了“数据的质”。原本没有价值的数据在经过数据处理后也可以产生新的价值。对于大数据的认识需要注意两个误区：一是大数据建立在大量数据的基础上，但它并不等于大量数据，大数据技术的战略意义不在于掌握大量的数据，而是对数据的分析整合能力，通过对数据进行分析整合获取有关数据主体的各类信息，从而达到行为预测、智能决策等目的。大数据时代下，数据是信息的表现形式和载体，信息是数据的内涵。两者密不可分。换言之，大数据时代下数据的意义在于其可以反映一定的信息，只有被信息化的数据才可以对实体产生一定影响，才值得利用法律手段进行保护和规制。保护计算机系统中以二进制信息单元0、1的形式表示的比特形式本身并不具备法律意义，这个层面的“数据”可完全由技术手段进行掌控。在大数据时代，将数据与信息分离开来，单独地讨论数据上的权利是没有意义的。就个人数据而言，其之所以具有经济利益或者人格利益，就是因为包含着个人信息。没有个人信息的数据不是个人数据。（二）个人数据与非个人数据在大数据时代巨量的数据资源池中，来源各异的数据混杂在一起。以数据来源为标准，可分为“个人数据”与“非个人数据”。欧盟是国际社会中最先进行个人数据法律保护研究的地区，其中较为著名的是2016年4月27日的《通用数据保护条例》。《通用数据保护条例》中对个人数据定义为任何已经识别出自然人，或者可以识别出自然人的信息。包括“可识别”和“已识别”两个方面。同时对个人数据进行了举例式的解释——“通过如姓名、身份编号、地址数据、网上标识或者自然人特有的一项或多项物理性、生理性、遗传性、精神性、经济性、文化性或者社会性身份进行识别的因素。”中国台湾地区采用个人资料的概念，并在《个人资料保护法》第2条采取概括加列举的方式定义了个人资料——“本法用词，定义如下：一、个人资料：指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其它得以直接或间接方式识别该个人之数据。”我国《民法总则》第111条的规定为个人信息保护奠定了基础。而关于个人信息范围的界定，目前基本上形成了以可识别说为核心的概念。其中，最具代表性的莫过于2016年通过并在2017年6月起实施的《网络安全法》。该法第76条对个人信息进行了界定，即以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。该定义也与目前国际社会，尤其是欧盟地区的定义基本一致。从比较法的角度，当前世界上大多数国家、地区都采取了可识别说来界定个人数据，只是在具体范围和界定方式上存在一定的差异。目前我国学界对于个人数据界定也主要采取识别说理论，识别说理论认为区分个人数据与非个人数据主要在于能否通过数据识别出特定的自然人。包括“直接识别”与“间接识别”。直接识别是指数据本身可以单独识别出特定自然人，如指纹、肖像、DNA、身份证号码码等，间接识别是指不能对自然人进行识别的单一数据，在与其他数据结合后可以识别出特定自然人。大数据时代众多原本与个人无关的数据，随着数据收集的数量、种类的增加以及机器计算能力的增强，也使得数据的收集与使用者极容易在这些数据间建立相关关系，从而准确地对特定个人过往活动轨迹加以捕捉并预测其未来行为。识别说理论中的“识别”是指该个人信息具有与数据主体之间存在身份确定的可能性而非一种绝对的识别。识别说理论，目前是个人信息理论界定的通说，也为绝大多数域内外立法实践所采用。故而，在下文关于大数据时代个人信息界定的论述中，笔者将以识别说理论为主要论述对象。一、个人数据的保护的利益识别（一）人格性利益个人数据作为个人信息的载体，可以直接或者间接地识别到特定的个人。大数据时代，大数据技术整合、分析个人数据的能力不断增强，个人数据对数据主体的指向性也不断增强。移动终端的普及以及物理储存成本的下降，使得个人数据的数量爆炸式增长。特别是手机、笔记本、平板电脑、车载电脑等计算机设备的使用更加日常化，其所产生的数据具备来更加鲜明的个人特质。随着个人数据“量”和“质”的增长，数据的指向性不断增强，大数据技术对个人生产、生活的痕迹勾勒更加明显，数据主体的“信息外观”逐渐形成。人类对于自我及其他个体的认知包括“生物外观”以及“信息外观”，两者都会决定自然人的自我认同，以及社会成员对其认同与尊重。自然人自我尊重的前提是形成对自我的正确认知，而正确认知离不开对充分、准确的个人信息。自然人所展现的个人信息也会影响社会对其的认知，在社会认知基础上形成社会评价，并最终决定社会成员对其的认同与尊重。因此，可以说，保证数据主体对于自身“信息外观”的自主决定、自由控制，保证个人数据与数据主体的之间的一致性，是出于满足数据主体自我尊重以及被他人尊重的需要，是人格尊严与人格自由的体现。人格自由和人格尊严是作为民事主体的自然人对自身所享有的基本权利。个人数据所体现的人格自由与人格尊严利益，应当是个人数据的利益平衡中的核心利益。三、我国个人数据保护立法现状目前，我国对于个人数据的保护规范散见于不同层级的法律法规。例如2009年《刑法修正案（七）》规定了侵犯个人信息罪，2019《刑法修正案（九）》对此进一步完善，包括两种犯罪行为：违反国家规定，出售或者向他人提供个人信息，窃取或者以其他非法方式获取个人信息。2012年全国人大常委会《关于加强网络信息保护的决定》全面开启我国个人信息保护的立法进程。2013年修改的《消费者权益保护法》规定：消费者的个人信息受保护，非经同意不得收集和使用个人信息。2017年《网络安全法》规定了对个人数据的保护路径：其一，明确了初次收集个人数据时当事人“知情同意”的必要性，同时为个人数据的处理行为设定了“目的限制”原则。其二，对于超越数据收集目的的处理行为，特别是若要将个人数据传输给第三方，应当征得被收集者同意。其三，赋予了个人针对其个人信息的更正权、消除权。同时《网络信息安全法》在第42条第1款兼顾大数据技术对个人数据收集作了“但书”规定：“网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是经过处理无法识别特定个人且不能复原的除外”。2018年《信息技术安全个人信息安全规范》以标准的形式对个人信息的收集、保存、使用、委托处理、共享、转让、公开披露等做出了更为具体的规定，但《信息技术安全个人信息安全规范》规范仅为国家推荐性标准，不具备法律强制性。我国已经在不同层级的多部法律中制定涉及个人数据保护与利用的规定，但仍有较多的不足需要进一步改善。从整体来看，我国有关个人数据保护的立法尚存在以下问题：一是缺乏个人数据保护的相关法律法规内容。我国当前个人数据保护的法律体系尚不完善，大都存在于多部法律法规中，且这些法律并未对知情权、选择权、隐私权等内容做出系统性、详细化的规定。二是对个人数据的一些违法行为打击力度太弱。就保护个人数据的人格性利益来说，数据使用者缺乏保护人格自由与人格尊严的内在动力，很大程度上需要法律的外在规制来促进其行为合规，而现有的违法打击力度对数据使用者的威慑力不足，为了追求经济效益，近些年来，互联网企业过度收割个人数据，滥用个人数据的现象严重。可以说就我国的个人数据立法而言，模糊立法、缺乏强制性规定的立法给予了数据流通较大的自由，但明显不利于对个人数据人格性利益的保护。二、国外的个人数据保护立法进展（二）欧盟“数据基本权利”立法模式欧盟个人数据保护立法走在世界前列，这主要是在数据产业的竞争中，美国一直处于优势地位，在谷歌等跨国公司的商业推动下，欧洲国家的大量数据被转移到美国，由此引发欧洲国家对国家安全与国际主权的担忧。因此，在1981年，欧盟通过了《保护自动化处理个人数据公约》，该公约旨在限制数据的跨境流动，理由在于：保护隐私与个人自由、公共利益的需要以及维护国家主权与安全。因此，该公约主要规范数据的使用、数据交流的促进以及个人隐私的保护。随着互联网的普及和发展，个人数据的经济价值逐渐凸显，因此，到了1995年，欧盟通过了《关于涉及个人数据处理的个人保护以及此类数据自由流动的指令》（以下简称指令），指令内容主要包括两个方面：其一，保护个人信息，特别是保护数据处理过程中的个人隐私权，其二，强化数据在各成员国之间的合理流通，也即鼓励数据利用者对数据的处理与传播。从表面上看，指令规定的两方面内容是相互矛盾的：一方面，若要加强对数据生产者个人数据的保护，必然会降低数据的流动性，数据利用者的利益将难以得到满足，因利用数据而产生的公共利益也将无法实现；另一方面，若要强化对数据的自由流动，考虑到大量的个人数据涉及个人隐私，数据的自由流动度越大，威胁个人隐私的可能性就越大。因此，指令规定的所有内容都必须平衡上述两主体之间的利益。此后，大数据时代的到来使得数据生产者个人数据的数据量指数级增长，同时，数据作为一种商业竞争的原材料，数据利用者对海量数据进行处理分析的需求也随之增长，民众也对数据隐私呈现出高度关心的状态。上述指令在互联网环境中的适用变得难以平衡双方的利益，因此，2012年，欧盟委员《一般数据保护条例》（以下简称GDPR），以修订上述指令。GDPR被称为最严厉的个人数据保护立法，GDPR的规定使得利益的天平偏向数据生产者，其将个人数据的保护强度上升到无以复加的地步，这种强度有以下三方面的表现：首先，数据利用者对数据进行处理的条件十分严格。根据GDPR的规定，数据利用者原则上不能处理数据，只有满足下列情形之一的，其对数据的处理才被认为是合法的：第一，经过数据生产者的同意，第二，订立、履行合同是为了数据处理，第三，本法或其他法律规定了应当处理数据的义务，第四，数据的处理是基于保护数量生产者本人或者其他个人的利益，第五，为了公共利益或者经行政机关的授权而处理数据，第六，数据利用者或第三人对数据的处理具有正当利益，但这种利益不得损害数据生产者，特别是未成年人的利益。其次，GDPR赋予数据生产者以诸多权利，例如被遗忘权、拒绝权、同意权、数据可携带权等。其中，同意权和拒绝权比较好理解，同意权即数据利用者收集、使用数据生产者的个人数据之前，必须告知其收集内容和使用方式，且必须获得数据生产者的同意；拒绝权即数据生产者有权以正当的理由拒绝数据利用者对其数据的处理，例如可以拒绝数据利用者以生产经营为目的处理其数据。这里较为重要的是被遗忘权，所谓遗忘，即数据生产者有权要求数据利用者永久性删除其数据，但保留数据有正当目的的情形除外，同时，该权利的效力也及于第三人，即数据生产者有权要求数据利用者删除第三方复制、转载的数据。可见，被遗忘权的效力极其强大，主要体现在删除的永久性以及删除的追及性。最后，GDPR严厉处罚数据利用者对数据的违法处理行为。这种严厉性既体现在行政处罚的款额，又体现在刑事责任的追究。根据GDPR的规定，就一般的违法行为而言，可以由政府部门处以1000万欧元的行政处罚，或者处以数据利用者上一年度全球营业收入2%的行政处罚；就严重的违法行为而言，最高可处以2000万欧元的行政处罚，或者处以上一年度全球营业收入4%的行政处罚。更严重的是，违法行为行为构成犯罪的，数据利用者将被追究刑事责任。就个人数据保护而言，GDPR是欧盟“数据基本权利”立法模式的代表。其对数据主体的各类赋权，增强了数据主体对个人数据的控制，保护了个人数据所具备的人格自由与人格尊严利益。大数据时代数据一旦进入流通领域，数据主体就再难对个人数据进行控制，就个人数据的控制而言，数据主体出于弱势地位，而GDPR弥补了这一劣势。但是GDPR的合规成本高，增加了互联网公司的运营成本，随之而来的就是数据的流通活力的衰退。GDPR实施以来，不少美国企业出于对违规风险及后果的考量，直接关闭了在欧洲的网站。（二）美国“自由式市场+政府强监管”立法模式美国作为信息产业强国，最初是通过变通隐私权的范围来对个人信息进行保护，通过司法实践经验的累积逐渐形成立法中的“信息性隐私权”，信息性隐私权是指自然人享有保持其个人信息不被扭曲的权利。如美国《第二次侵权法重述》规定的四种隐私权类型，就包括对信息性隐私权的阐释。美国《第二次侵权法重述》规定了四种隐私权侵权类型：(1)侵入公民的隐蔽所；（2)向公众揭露私人事实；(3)在公众面前传播错误信息；(4)未经允许的对他人姓名或喜好的揭露。这四种类型区分了美国法对隐私的保护。美国《第二次侵权法重述》规定了四种隐私权侵权类型：(1)侵入公民的隐蔽所；（2)向公众揭露私人事实；(3)在公众面前传播错误信息；(4)未经允许的对他人姓名或喜好的揭露。这四种类型区分了美国法对隐私的保护。随着信息化社会的发展，网络活跃用户快速上升，网络产业也呈现出蓬勃发展的趋势。传统隐私权消极权利的属性以及信息隐私权侵权的高门槛，都使得传统的隐私权保护方式很难适应信息主体及信息从业者的维权需求。因此美国的个人数据保护立法开始走向“自由式市场+政府强监督”的立法模式。一方面出于对公权力的不信任，美国法院出台了一系列法律，来规范政府行政管理过程中的个人信息收集与利用。另一方面美国从产业利益出发，出于对市场调节的信奉和支持信息技术发展的考虑，对于企业使用个人数据持积极的态度坚持以市场为主导、以行业自律为主要手段。而且对企业的数据利用的法律规定也较为宽松，并且十分分散——美国在电信、金融、健康、教育等领域都有专门的个人数据保护立法，如：《健康保险流通和责任法》、《计算机欺诈和滥用法》、《金融消费者保护法》等，但是联邦层面并没有统一的规定。美国的个人数据保护的相关立法为个人数据的流通创设了有利的环境。“自由式市场+政府强监督”的立法模式赋予了数据使用者利用个人数据的自由，有利于个人数据经济效益的产出。并且各行各业收集、利用个人数据的途径、目的、范围各有不同，依靠行业自律和分散的专门立法可以更切实地规范不同行业收集、利用个人数据的行为，在实际的执法、司法过程中也更具有操作性。但是，专门的数据保护立法由于其“特定性”，所针对的数据类型也是有限的，并不能涵盖所有的数据类型。大数据时代，数据的来源愈加多样，数据的收集与使用也开始涵括更多领