[作者简介] 范小华，北京科技大学东凌经济管理学院副院长、副教授；周琳，北京科技大学文法学院硕士研究生。

　　[摘 要]   大数据时代信息主体需要对其个人信息更强有力的法律保护，与此同时，信息业者呼唤对合理收集、处理信息的法律认可，信息主体和信息业者都对法律提出自己的利益诉求。基于对人格利益和信息自由的利益平衡以及对信息人格属性和财产属性的利益归属，应以利益平衡思想指导个人信息保护立法，对信息主体和信息业者的不同利益诉求进行不同保护，并对个人信息不同权利主体的权利内容进行科学界定。

　　[关键词]  个人信息；利益平衡；法律保护

　　[中图分类号] D63

　　[文献标识码] A

　　早在1982年，未来学家约翰?奈斯比特在其著作《Megatrends：Ten new directions transforming our live》一书中提到：“我们现在大量生产信息，正如过去我们大量生产汽车一样”。如今，这个预言得到了充分的证实：我们进入一个信息爆炸的时代——大数据时代。个人信息保护成为大数据时代的重要法律问题。何为个人信息？根据《民法典人格权编(草案)》的定义，个人信息是以电子或者其他方式记录的，能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱地址、行踪信息等。个人信息可以看作是与个人人格有关的具有身份识别性的信息。大数据时代的个人信息表现为数据化的具有身份识别性的人格内容。个人信息的不当使用可能侵害信息所指向的特定自然人的人格利益，危害个人的尊严和自由，甚至危及个人的人身和财产安全，但同时，对个人信息投入人财物进行信息收集、利用、加工、传输等的企业和个人希望能够对收集到的个人信息集合以及增值信息具备一定权利并借以获得经济利益。大数据时代的突出矛盾之一体现在信息主体与信息业者在个人信息方面的权益边界划分，如何在两者之间进行利益平衡，是讨论个人信息法律保护时不能忽视的一个问题。

　　一、大数据时代信息主体与信息业者具有不同利益诉求

　　（一）大数据时代信息主体需要对其个人信息更强有力的法律保护

　　第一，获取他人个人信息的手段更为容易。在大数据时代，随着网络消费的时代热潮涌来，信息化服务快速普及，互联网商业模式更迭创新，线上线下服务融合迅猛，网络通信特别是移动互联网的发展早已覆盖了普罗大众，消费者只需要通过一部便携式的移动终端，譬如智能手机就可以享受各种线上线下服务。消费者一方面享受着移动互联网快速发展所带来的各种利好，另一方面其个人信息也更加暴露在可以通过各种技术手段获得的世界里。简言之，计算机和互联网在给人们带来便捷的同时，也使个人更容易丧失对个人信息的控制。

　　第二，获取他人个人信息的动机更加强烈。个人信息具有巨大的商业价值，使得企业或个人利用各种手段获取他人个人信息的动机更为强烈。网络行为形成的海量数据犹如一个巨大的宝藏，吸引大家去挖掘，掘金者获取“信息价值”不亚于淘金时代获取的黄金，大数据时代迎来了能与19世纪中期加州相媲美的“淘金热潮”。为此，很多人往往不惜采用违规手段去获取众多个人信息。2019年第一季度，工信部对100家互联网企业106项互联网服务进行抽查，发现18家互联网企业存在未公示用户个人信息收集使用规则、未告知查询更正信息的渠道、未提供账号注销服务等问题。[1]

　　第三，获取他人个人信息的后果更为严重。大数据时代，人们经常在没有任何察觉的情况下，个人信息遭到泄露、盗用、甚至贩卖，相关案件屡屡发生。中国消费者协会于2018年7月17日至8月13日在网络上组织开展了“App个人信息泄露情况”问卷调查，共计回收有效问卷5,458份。其中，超八成受访者曾遭遇个人信息泄露问题。而当消费者个人信息泄露后，约86.5%的受访者曾收到推销电话或短信的骚扰，约75.0%的受访者接到诈骗电话，约63.4%的受访者收到垃圾邮件。[2]

　　大量逐利者对个人信息的非法获取和过度滥用成为信息科技时代的一项巨大弊端，让广大消费者感到生活在大数据时代无以遁形，人身自由、人格尊严、个人安宁甚至个人财产受到严重威胁，引起个人的强烈不安和满心忧虑，造成社会的巨大隐患。

　　（二）大数据时代信息业者呼唤对合理收集、处理信息的法律认可

　　第一，个人信息兼具人格属性和财产属性。个人信息通常与个人人格有关联，涉及个人隐私、个人自由和尊严等人格利益，尽管将个人信息作为一种独立的人格权利还是放在其他具体人格权如隐私权进行扩大保护，各国在立法例上有所不同，但认为个人信息应当具有人格属性这一点已是不争的事实。

　　与此同时，大数据浪潮的到来，给信息技术领域带来了一场重大革命，技术革命又引发了商业模式的一场变革，为企业带来了巨大的财富价值。研究显示，企业数据使用率提高10%可使零售、咨询、航空等领域的人均产出分别提升49%、39%和21%。[3]信息业者收集、分析、使用个人信息，能够更准更快地掌握用户需求，寻求商机；信息业者以搜集到的个人信息建立数据库，将个人信息数据作为“商品”换取货币；信息业者通过对数据的专业化分析，能够从中提取信息，提高信息价值，形成“知识商品”获得财富。

　　第二，个人信息财产属性的适度利用有利于为社会提供更好的服务。即便个人信息被滥用引发了严重的社会负面影响，但不可否认的是，在大数据发展的今天，信息数据能够产生价值正是依赖于大数据企业的加工增值，消费者由此得到更精准的服务和更好的消费体验，企业也由此实现信息价值的变现获得收益。

　　对信息主体而言，个人信息的使用对消费者具有莫大的好处。个人信息的合理使用能带给消费者带来更好的消费体验，企业通过对“目标客户”的购买偏好及商品需求进行数据分析，就如同智能管家一样，为客户进行量身定制般的精准服务，省去了消费者大量的筛选时间，提升购物效率和购物体验。此外，企业通过对原始数据的“增值加工”形成的“商品化信息”，本质上也是一种能在市场上流通的、具有交换价值的虚拟商品，这也预示着未来“虚拟化商品”愈来愈多样化。这不仅是对商品市场的充实，也是对消费者购物需求的迎合，个人也可以购买使用企业经过加工的“商品化信息”，用于自身需要。

　　对于信息业者而言，个人信息的使用带给他们无限商机，他们通过“加工”实现数据的“增值”，这种加工不限于简单的数据汇编及排序，还包括通过有效地汇聚、利用和分析数据，提供完整的数据集成、清洗、比对、标准化、资产化、管理、开发、分析、挖掘、应用、共享、交换、开放、运营、安全、质量等端到端的解决方案，提升数据资产价值密度，进行数据资产化及数据的价值化。[4]信息业者为此投入的人力财力和技术使得法律应当允许他们对相关信息拥有一定的财产属性权利。大数据时代个人信息“加工”产生的巨大“增值”要求给企业合理使用个人信息一席之地。

　　综上，信息主体和信息业者对信息保护提出不同的利益诉求，前者希望法律充分维护自己的人格利益以及附属的财产利益，后者则希望法律给自己的财产利益留一席之地。

　　二、大数据时代个人信息保护的利益平衡分析

　　从某种意义上讲，利益平衡正是法律的价值追求和目的所在。各种法律制度都是各种利益相互平衡与折衷的产物，个人信息保护制度也不例外。

　　（一）利益平衡理论的主要观点

　　利益平衡的法学思想体现在各种法学流派中，最终通过利益法学得以光大。产生于十八世纪末英国的功利主义法学中隐约可见利益平衡的雏形，既然立法的根本目的在于“增长社会幸福的总和”，就必然会牺牲部分人的部分需求或利益，该思想为利益平衡理念奠定了重要的理论基础。而德国目的法学派为利益平衡思维打下了厚实的理论基础，其认为法律的目的是在个人原则与社会原则之间形成一种平衡。[5]到了20世纪初，市场经济蓬勃发展，社会生活剧烈变革，概念法学不能满足当时社会环境对其的要求，利益法学应运而生。利益法学认为无论立法还是司法都应当在利益平衡的指导下进行。利益平衡理论的主要观点认为：

　　第一，利益平衡是在相互冲突的利益之间进行评价与取舍。利益冲突始终是人类无法回避的现实，社会生活中存在不同利益诉求主体，在有限资源条件下，彼此很容易发生冲突。社会资源的有限性与个体利益需要的无限性之间的矛盾必然会导致社会利益冲突。当不同利益相互冲突不能两全时，法律只能去进行不同利益之间的权衡并尽量去保护较大的利益。因此，立法中的斗争主要是在各种利益之间进行评价与取舍，对利益的大小进行衡量和评价，牺牲利益冲突中相对小的利益保护相对大的利益。

　　第二，利益平衡是立足于社会现实基础上的动态平衡。利益平衡必须以特定社会条件作为复杂利益关系和利益冲突的研究基础，评估不同法律制度对各方利益的影响，选择更符合利益最大化的相应法律规则。一定时期的立法是该时期特定的环境和条件下形成特定的利益平衡，一旦该特定环境和条件被打破，就需要在新的环境和条件进行新的立法从而达致一种新的利益平衡。从法律制度的发展来看，立法追求的静态利益平衡是暂时的，社会的不断发展会打破旧法的利益平衡格局和条件，立法应当顺应社会发展，再创制出新格局下的新利益平衡机制。

　　（二）个人信息法律保护的利益平衡分析

　　在关于个人信息保护的法律法规形成和实施过程中，信息主体对个人信息收集、使用的控制与信息业者最大可能地自由使用个人信息之间一直存在冲突。[6]这种冲突到大数据时代达到了巅峰。对信息主体的保护和信息业者对个人信息使用两者之间存在此消彼长的关系，为适应大数据时代社会和经济社会发展，应当从利益平衡的角度来讨论，需要寻找一个平衡点来让个人信息保护和数据增值发展进入良性循环。

　　第一，人格利益和信息自由的利益平衡分析。目前世界各国对个人信息保护的法律规定有两种模式。一种是英美法系国家大多采用的通过隐私权保护个人信息的模式。以美国法为例，其采取了以扩张的隐私权统一保护个人信息的模式，各个行业分别制定有关个人信息保护的法律规则、准则，这些个人信息保护规则统一被置于隐私权保护的范畴，这种立法与美国法上隐私权概念的开放性有关，隐私权承担了一般人格权的功能，因此，在隐私中包含个人信息也是逻辑上的必然。另一种是绝大多数大陆法系国家所采用的设立独立具体人格权的个人信息保护模式。欧洲有20多个国家和地区制订了个人信息保护法，德国最为典型。1977年，德国正式颁布了《联邦数据保护法》，该法第一次系统集中地对德国公民个人信息进行全面的保护，还用概括式和列举式对侵犯公民个人信息的违法犯罪行为进行细致的界定。欧洲还制定了统一的个人信息保护指令。欧盟1995年制定了《个人数据保护指令》，进入大数据时代后，将其升格为《一般数据保护条例》（GDPR）。纵观世界各国目前对个人信息保护的法律规定，总的来看，个人信息保护倾向于首先考虑信息主体的人格利益保护。这种立法总趋向究其原因，还是对现阶段利益平衡考量的结果。

　　从个人信息保护的法律历史进程来看，在大数据时代到来之前，就已经有了人格利益和信息自由的价值冲突和利益平衡。正如个人具有人格尊严、自由和隐私受到尊重并免受他人非法侵入的权利，同样，个人也具有自由获取、持有以及传播信息的权利。人格利益和信息自由两种权利价值呈现出针锋相对之势:一者在人格自由与尊严的大旗下强调本人对其个人信息的自决;另一者则在社会事务参与和自我价值实现等界标内主张对他人个人信息加以自由传输以及利用。[7]但这两种权利并非居于同一层级，中西方宪法学者认为人格自由与尊严是对抗来自于公主体和私主体侵害的权利，而信息自由则是只对抗来自公主体的侵害，而不能被确定为对抗私法主体的具体权利，简言之，个人信息所代表的人格利益应当受到更多的法律保护。

　　大数据时代到来，人格利益和信息自由的价值冲突被推向新的阶段。一方面，随着互联网、数据库、云计算等高新技术的发展，人格利益的保护无疑成为现代社会所面临的新挑战，而法律还未对此挑战做好充足的应对。[8]各国对数据保护这个新兴领域尚且停留在斟酌立法以便于适应其高速发展的过程。另一方面，在大数据时代背景下，信息自由的诉求具有巨大的商业价值推动，信息获取和处理主体以信息自由为由去挑战个人的人格自由、尊严和隐私的动机更加强烈，即便对企业泄露个人信息的处罚力度加剧，仍阻挡不住企业利用个人信息牟利的脚步；同时，数据保护尚未深入人心，企业尚未建立起合理使用个人信息的意识，对个人信息的滥用导致了现有社会中信息泄露事件频发，影响程度极其恶劣；并且，信息业者与信息主体之间的力量悬殊极大，拥有的信息技术手段方面具有天壤之别，这使得信息主体的人格利益保护在大数据时代更是危机四伏。基于这种社会发展现状，更加需要加强对个人信息主体人格利益的法律保护，2018年生效的欧盟《一般数据保护条例》（GDPR）就是这样应运而生的，其对个人信息保护的力度前所未有的，引起了全球范围内的关注。

　　基于以上认识，立法者在两者冲突时会作出如下选择：为保护人格利益而限制他人对个人信息的收集和处理,而不是为实现信息自由而允许个人信息被他人自由地收集与处理。

　　第二，信息人格属性和财产属性的利益归属分析。同时应当看到，由于在数据环境下信息自由的公益价值凸显，因此需要在一定程度上被考虑。不给个人信息的获得与处理留下任何空间的法律制度将严重阻碍大数据行业发展。因此，在立法上制定信息主体的人格利益保护规则的同时，通过设置规则对人格利益保护进行限制和排除，允许一定范围内的信息自由即一定条件下的个人数据收集和处理。但如何去界定受到法律保护的个人数据收集和处理行为呢？换句话说，哪些个人信息能够归属于企业并得到法律保护呢？个人信息的人格属性和财产属性的可区分性为法律保护企业进行个人信息收集和处理奠定了基础。个人信息类型不同,它们的人格属性和财产属性不同，它们体现的信息主体人格利益受保护或信息业者信息自由受保护的程度不同。

　　根据个人信息与个人的相关性程度可以分为：强相关信息、中相关信息、弱相关信息和不相关信息。[9]这四种不同的个人信息在人格属性和财产属性上是不同的。从个人信息的类型化入手，可以详细得出个人信息是否具有人格属性或财产属性，以及这两种权属应当归于何种主体，以及归属的比例如何。（1）强相关信息是指特定主体直接提交的个人特定信息，从强相关信息可以很容易地识别到特定主体，因此具有人格属性并归于特定主体，同时，因个人信息的商业价值而具有的财产属性也归属于该特定信息主体。（2）中相关信息是指信息业者观测到或记录到的与特定主体有关的活动信息，这些信息不是特定主体主动向信息业者提供的，而是特定主体在生活、交易或工作中被信息业者观测和记录的信息。中相关信息与其他信息相结合能识别到特定主体，因此具有人格属性并归属于被识别到的特定主体。同时，对于其商业价值而产生的财产属性，根据对信息产生的贡献度来决定其权属主体，个人的活动是信息的来源，但同时如果没有信息业者的付出，这些信息将无影无踪，因此中相关信息的财产属性利益归属为信息主体与信息业者共有。（3）弱关系信息是指通过大数据分析之后预测到的信息，是与特定主体相联系的带有预测性的个人画像。由于预测性的个人画像也是针对特定主体做出的，不同的主体对其的接受程度并不一样，这种预测性信息的公开和使用理应考虑对个人的尊重，因而被赋予了人格属性归属于特定指向的主体。同时预测信息属于信息业者投入人财物后得出的“知识商品”型的信息，具有很大的商业价值，在特定主体愿意接受的情况下，可以作为商品出售。弱相关信息的财产属性利益从来源上归属为信息主体与信息业者共有，但根据贡献度大小信息信息业者应该享有更大份额的财产利益。（4）无相关信息是指将个人信息中的可识别到特定主体的部分信息予以移除，即进行了数据脱敏处理，从数据中已经无法再识别出特定主体，因此不具有人格属性，但其商业价值仍然存在，其财产属性归属于信息业者。

　　根据个人信息的类型划分确定其对应的人格属性和财产属性归属，除了保护信息主体的具有人格属性和财产属性的个人信息，同样也要保护归属于信息业者的具有财产属性的信息收集和增值信息，这对于促进企业经营、经济发展甚至整个社会进步具有重要意义。

　　三、对我国个人信息法律保护的思考

　　我国已经有多部法律、法规、规章涉及个人信息保护，如刑法、民法总则、消费者权益保护法、网络安全法、电子商务法等。《民法总则》第111条规定：“自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”同时《民法典人格权编（草案）》通过专章“隐私权和个人信息保护”对个人信息进行规定。但从总体上看呈现分散立法状态，中国急需制定一部《个人信息保护法》有针对性地对个人信息保护问题加以规范。借鉴各国个人信息保护法律制度并结合我国实际情况，基于利益平衡理论的分析，对我国个人信息保护立法有如下建议：

　　（一）以利益平衡思想指导个人信息保护立法

　　个人信息既是保护对象，也是巨大财富。在不同的社会发展阶段、不同的社会背景、不同的利益价值理念下，立法必然采取有不同的利益平衡选择，不存在统一的公式或标准一劳永逸地解决利益平衡问题。现代立法的利益平衡是一个动态的变化的过程，取决于特定的情景与场合，认清社会发展背景是在发生利益冲突时进行正确选择的前提。大数据时代，个人生活被网络和信息技术不断被数字化、虚拟化，进而被重塑，同时数据呈爆发式的增长，企业对其大规模地收集、处理和分析挖掘，一方面，人们的个人人格自由和隐私受到前所未有的挑战，需要制定最严格的个人信息保护制度，另一方面，企业通过其创造性劳动不断增强数据的财产属性，为企业创造巨大的财富价值，应当得到法律保护。现有的个人信息保护立法应当去寻找社会发展进程中的利益平衡点，协调信息主体与信息业者的利益冲突，在不侵犯个人信息权益的基础上，给予企业最大化的权限，实现数据增值，推动数据经济的发展，使两方利益在共存和相容的基础上达到最优状态。

　　（二）对信息主体和信息业者的不同利益诉求进行不同保护

　　信息主体的利益诉求是可被识别的个人信息受到保护，这是其人格自由、尊严甚至生活安宁受到尊重的必然利益诉求。信息业者的利益诉求是其加工创造的二次信息或者增值信息受到保护，这是其劳动投入得到认可的必然利益诉求。这两种利益主体的利益诉求都应当得到法律保护，但是应当有主次之分。第一，信息主体的个人信息保护应当被放到首要地位，2018年欧盟《一般数据保护条例》（GDPR）体现了这一点。其所保护的个人信息范围广泛，包括个人姓名、政府身份证号码、位置信息、IP地址、Cookie等，既涵盖真实世界的信息，又涵盖网络世界的信息。其对信息业者作出种种限制，要求信息业者在信息处理过程中，必须以清楚、独立、清晰的方式向信息主体表达其用户条款，以获得信息主体的同意；同意处理的信息范围不可超过必要限度；同意许可必须基于主体自由意志作出；同意许可必须容易撤回；等等。上述内容值得中国在进行个人信息保护立法时进行全面解读和借鉴。第二，在对信息主体进行个人信息保护基础上，要认可对信息业者的增值信息保护。我国法律已经认可信息业者可以遵循合法、正当、必要原则去收集、处理自然人个人信息，对其增值信息保护还未明确规定，但在个案中体现了对信息业者的数据产品的财产权保护。如在淘宝诉美景公司案中，杭州互联网法院第一次确认了网络运营者对其合法收集的用户数据进行二次开发而形成的大数据产品享有竞争性财产权益，并排斥来自其他主体的非法使用。该案法院首次对用户信息、原始数据、数据产品在物理性质和法律性质上的区隔作出界分，对数据产品财产权的论证具有重大意义。[10]该案也是在严格保护信息主体的人格权益大背景下，从利益平衡的角度保护信息业主对其劳动创造所得的信息产品的财产利益。通过司法实践的案例探索，可以总结出信息业者权利保护的普适性规则。

　　（三）对个人信息不同权利主体的权利内容进行科学界定

　　信息主体对其个人信息的权利内容主要为人格权性质，是一种防御性的权利，防御他人非法收集和处理其个人信息。具体说来，信息主体对个人信息的收集和处理享有知情权、同意权、查询权、更正权、拒绝权、删除权等。相应地，信息业者作为义务主体，对信息主体应当履行告知义务、征得同意义务、更正义务、删除义务等。另外也应当看到，随着个人信息的不断丰富，信息主体对其个人信息的人格权内容也不断丰富，出现人格权商品化的情况，信息主体对其个人信息除了人格利益之外，也出现附属的财产价值。因此，对信息主体的个人信息保护由纯粹关注人格利益向兼顾附属经济利益转型。信息业者对其合法收集和处理他人个人信息后产生的汇集信息和增值信息部分享有主动性的权利。虽然基于“劳动属于劳动者”的劳动财产理论，信息业者对其合法收集和处理他人个人信息后产生的增值信息部分享有权利得到普遍认可，甚至在有的司法实践中得以确认，但是对其权利属性和权利内容尚存在很大争议，有人主张将其纳入知识产权范畴，也有主张将其纳入虚拟财产权和财产权的保护之中，司法实践中用了竞争性财产权益等提法。这些都值得进一步讨论和确认，如果没有对这些问题的科学界定，信息主体和信息业者的个人信息保护将难以有效解决。

　　[ 参 考 文 献 ]

　　[1]赛迪智库.大数据时代如何保护个人信息[J].网络安全和信息化,2019(9).

　　[2]本刊编辑部.App个人信息收集与隐私政策相关报告摘编[J].中国信息安全,2019(4).

　　[3]付伟,于长钺.数据权属国内外研究述评与发展动态分析[J].现代情报,2017(7).

　　[4] 王建新. 交易中的大数据归谁所有？[N]. 福州日报,2016-10-09.

　　[5][美]埃德加?博登海默.法理学：法律哲学与法律方法[M].邓正来,译.北京：中国政法大学出版社,1998:109.

　　[6]高富平.个人信息保护:从个人控制到社会控制[J].法学研究,2018(3).

　　[7] 齐爱民,李仪.论利益平衡视野下的个人信息权制度——在人格利益与信息自由之间[J].法学评论,2011(3).

　　[8]王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心[J].现代法学,2013(4).

　　[9]邢会强.大数据交易背景下个人信息财产权的分配与实现机制[J].法学评论,2019(6).

　　[10] 徐海燕,袁泉.论数据产品的财产权保护——评淘宝诉美景公司案[J].法律适用(司法案例),2018(20).