个人信息频频“被裸奔”，建立结构化的契约保护迫在眉睫

本篇文章3427字，读完约9分钟

政府和商业组织收集了大量的公民个人信息，从而建立了庞大的数据库，但是个人信息的保护还没有形成一个层次分明、结构合理的法律体系，这是个人信息权所遇到的主要障碍

最近，媒体报道称，在百度的网络磁盘上可以看到大量的私人信息。虽然百度的网络磁盘没有自己的搜索功能，但是通过第三方网络磁盘搜索引擎可以找到百度网络磁盘用户的大量照片和通讯录，甚至政府、大学、公司内部文件等私人内容。网友惊呼再次裸奔。

太阳底下没有什么新鲜事。随着互联网催生的大数据经济的进一步发展，网络磁盘的数据泄露、SF Express与菜鸟网的纠纷以及“柏华用户服务合同”引发的纠纷，都有意无意地一再将数据产权置于公众视线之外。

从本质上讲，公民权利是社会对个人自主和自决意义的认可。即使是持有自然法概念的学者也不得不承认，权利的范围需要由法律来界定。在人类立法史上的大多数情况下，法律被动地接受新技术和新经济所产生的利益集团的要求，并调整原有的权利结构以适应新技术和新经济。

中国现有的人格权法已经不能适应大数据经济。在新利益集团的游说下，回应他们的要求，分离用户的个人信息权，并在此基础上建立数据产权制度势在必行。

一个等级分明的法律体系尚未形成。虽然目前中国没有成文法律，但没有人反对公民的个人信息受法律保护。

将于10月1日实施的《民法通则》重新确认了我国民法体系中的民事权利体系。自然人的人身权可以分为人身权和财产权。人格权包括人格权和身份权，人格权包括一般人格权和特定人格权，特定人格权包括隐私权。

虽然个人信息权没有被明确列为一项具体的人格权，但它仍然属于人格权。《民法通则》第111条规定，自然人的个人信息受法律保护。任何组织或者个人需要获取他人个人信息的，应当依法获取并确保信息安全，不得非法收集、使用、处理或者传输他人个人信息，不得非法购买、出售、提供或者泄露他人个人信息。

此外，《刑法修正案(九)》、《网络安全法》、《信用信息产业管理条例》、《电信和互联网用户个人信息保护条例》等法律、法规和规章也从责任角度等多方面做出了规定(见表1)。

目前，以下问题尚未解决。

首先是个人信息的含义。《民法通则》没有对个人信息进行定义；然而，其他法律中个人信息的内涵在不同的部门法律中有不同的范围(见表2)。

通过分析上述定义，可以区分三种具有不同属性的个人信息:

一个是用户身份信息。这种信息可以单独或共同用于识别特定的个人并锁定特定的个人身份，包括:姓名、出生日期、身份证号码、个人生物特征信息、地址、电话号码等。

第二，个人行为信息。包括用户的行踪(如手机定位功能收集的信息)、互联网上cookie等技术记录的互联网浏览信息，以及用户在微博、微信朋友圈等特定社交媒体上发布的内容。

第三，除身份和行为信息之外的用户隐私信息。包括用户的犯罪记录、性关系、健康记录等。

在实践中，这三种信息相互交叉，各有侧重。侵犯个人信息的行为可能同时包含上述三种信息。

至于隐私权和个人信息权之间的区别，最高法院似乎在个人信息的范围内涵盖了个人隐私；在实践中，如果个人信息权可以被视为独立的诉讼事由，它与隐私权之间的界限可能并不明显，两者是一种可以交替适用的竞争关系。

对现有立法的分析虽然各有侧重，但并没有为不同的个人信息建立一个结构化的保护体系。

《网络安全法》关注个人身份信息；《关于处理侵犯公民个人信息刑事案件的司法解释》包含个人身份信息和个人行为信息；最高法院《关于利用互联网侵犯个人权益的规定》关注的是私人信息，而对个人信息的保护实际上关注的是私人信息。

此外，虽然公民的个人信息是一项权利，但也是一项义务，即必须依法向政府或经营实体提供。根据《居民身份证法》、《婚姻法》、《城市房屋管理法》、《公司法》等法律，公民有义务向有关部门或机构提供个人信息。

2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》规定，互联网服务提供商应当要求用户提供真实信息，并采取技术和其他措施保护信息安全。

此后，包括《网络安全法》在内的法律法规进一步要求，网络运营商在与用户签署协议或确认提供服务时，应要求用户提供真实的身份信息。用户不提供真实身份信息的，网络运营商不得为其提供相关服务。

《网络安全法》进一步确认国家实施网络可信身份战略，支持研发安全便捷的电子认证技术，促进不同电子认证之间的相互认可。

政府和商业组织收集了大量的公民个人信息，从而建立了一个庞大的数据库。然而，目前个人信息的保护还没有形成一个层次分明、结构合理的法律体系，这也是个人信息权的主要障碍。

据中国信息研究院统计，2016年中国大数据市场规模为168亿元，增长率为45%，预计未来三年仍将以每年30%的速度增长。

这个统计数字只是流通市场的规模，但实际上，更多的数据是在企业内部使用的。例如，阿里巴巴将自己定位为一家数据公司，马云甚至宣称大数据将重新定义市场经济和计划经济，而大数据使规划和预先判断成为可能。

不可否认，大数据的来源是多种多样的，例如，企业产生的数据并不都是个人信息，而与个人信息相结合的大数据也是最具商业价值的部分。技术既不是好的也不是坏的，也不是中性的。大数据人工智能可能比你更了解自己，它的价值需要被人们赋予。

除法律案件外，网络运营商应根据与用户的协议收集用户信息。之后，经过处理(包括去身份处理)、存储等环节后，将应用于:供企业自身使用，如阿里巴巴集团内部用户数据的分析和使用，或者共享和销售给第三方，如SF快递和菜鸟网的数据接口。

每一个链接都应该得到用户的认可，因为用户有权自主决定个人信息，也有权自主决定是否以及在何种程度上可以使用自己的信息。

然而，目前立法的主要方向是防止侵权，没有进一步指导个人积极行使其知情权。

鉴于当前网络运行的实际情况，用户对注册协议或使用协议了解不多。网络运营商获得用户同意的方式也是默示同意，即当用户使用产品或服务时，假定用户接受相关的注册或使用协议。因此，大多数用户不知道他们的个人信息被收集或使用。

建立在个人默许基础上的大数据行业正处于双重不稳定状态:

首先，授权不稳定。用户几乎不看协议；不知道平台使用其信息的方式和范围。如果逐项询问，用户可能不会同意。

第二，产权不稳定。根据制度经济学，产权是由一组契约组成的一组权利。但是，用户与企业之间的合同关系不是基于明示同意而是基于默示同意，授权不稳定，这使得合同在本质上处于不稳定状态，数据产权的归属必然会长期存在争议。

例如，6月30日，支付宝的子公司蚂蚁园发布了关于调整《蚂蚁园用户服务合同》(以下简称《合同》)条款的公告。该合同为用户收集了广泛的信息，但没有提供服务的必要基础，也不具备获得用户明示同意的合法条件，因此受到了公众的广泛批评。然后，柏华在7月3日更新了这份服务协议，修改了它最有争议的内容。

在建立层次化、结构化个人信息权利的基础上，参照中国科学技术法学会制定的《互联网企业个人信息保护评估标准》，企业在以下情况下应获得用户的明示同意:

1.收集个人信息的行为超出通知的目的、方法和范围；

2.处理和使用超出收集时告知的目的和范围的个人信息；

3.向第三方共享或出售个人信息；

4.核心敏感个人信息的所有收集、处理、存储和流通，除非必须作为法定义务用户提供。

借鉴欧盟经验和国家质量监督检验检疫总局2012年颁布的《信息安全技术公共和商业服务信息系统个人信息保护指南》，立法应区分核心敏感信息和一般个人信息，对核心敏感信息采取特殊保护制度，限制企业使用和交易范围。同时，未成年人个人信息的收集、存储和交易管理受到更严格的限制。

中国也应该借鉴欧盟的经验，确立被遗忘的权利。在某些情况下，用户有权通过通知要求企业删除和不再存储个人信息。这种方式符合《侵权责任法》中通知删除规则的精神，在实践中也不难实施。对于那些非常重视个人信息的人来说，这是一个重要的救济渠道。

阿里巴巴和腾讯已经掌握了足够的用户数据，但目前，拥有最多个人信息数据的主体仍然是政府。

与阿里巴巴和其他商业组织不同，政府应该主要依靠法律规范来收集、存储、使用和共享公民的个人信息，即法律可以授权。

目前，我们还没有看到政府部门在收集、存储、处理和使用个人信息时应遵循哪些条件、正当程序和安全保护措施。这些内容应该是社会关于个人数据的社会契约中的最高优先条款。

(徐凯/作者是北京律师，编辑:王京凯)