大數(shù)據(jù)時代個人信息的運作模式、理論困境及保護路徑

摘要：大數(shù)據(jù)技術(shù)的快速發(fā)展和不斷應(yīng)用使個人信息能夠被大規(guī)模收集以及重復(fù)循環(huán)再利用，為個人信息的運作模式帶來了顛覆性的轉(zhuǎn)變。在個人信息累積效應(yīng)下，大數(shù)據(jù)能夠推衍、萃取、洞見甚至連結(jié)出不為人知或不欲為人知的信息，其不當(dāng)應(yīng)用將產(chǎn)生侵害個人信息自決權(quán)和隱私權(quán)的風(fēng)險，同時也可能與《個人信息保護法》所規(guī)定的保護原則形成沖突。為兼顧大數(shù)據(jù)發(fā)展與隱私保護義務(wù)，應(yīng)當(dāng)制定個人信息開放規(guī)范以促進大數(shù)據(jù)發(fā)展；采取牢固的匿名化技術(shù)以實現(xiàn)個人信息的“去連結(jié)性”；將個人信息保護影響評估作為保護個人信息的有效工具；以“實質(zhì)性參與”作為告知同意原則完善的路徑取向。

關(guān)鍵詞：個人信息；大數(shù)據(jù)；隱私權(quán)；《個人信息保護法》

中圖分類號：D923" 文獻標(biāo)志碼：A"文章編號：2096-028X（2024）02-0103-10

大數(shù)據(jù)，又稱為“巨量資料”，通過大規(guī)模收集、儲存和分析資料，藉由復(fù)雜的算法或人工智能技術(shù)，以揭露其他方面尚未被確知的模式、連結(jié)、行為、趨勢、身份與實用知識。Anita L. Allen，Protecting One’s Own Privacy in a Big Data Economy，Harvard Law Review，Vol.130：71，p.71（2016）.大數(shù)據(jù)能快速收集和儲存資料，預(yù)測、洞見未來趨勢，為政府行政管理和治理提供工具，為社會發(fā)展預(yù)防風(fēng)險，為國家政策的制定與執(zhí)行提供參考依據(jù)。然而，以巨量資料為基礎(chǔ)的大數(shù)據(jù)，憑借強大的算法擷取、推衍出尚不為人知或不欲為人知的個人信息以及個人隱私，對個人信息的保護形成不可預(yù)知的風(fēng)險和挑戰(zhàn)。如何在大數(shù)據(jù)時代開發(fā)利用個人信息的同時保障個人信息安全，已然成為時代難題。

為平衡大數(shù)據(jù)時代下個人信息的保護和利用，2020年5月28日頒布的《中華人民共和國民法典》（簡稱《民法典》）第四編第六章對個人信息保護作出了基礎(chǔ)性規(guī)定。參見趙宏：《〈民法典〉時代個人信息權(quán)的國家保護義務(wù)》，載《經(jīng)貿(mào)法律評論》2021年第1期，第1-2頁。隨后，2021年8月20日《中華人民共和國個人信息保護法》（簡稱《個人信息保護法》）出臺，標(biāo)志著中國個人信息保護制度的法律框架體系初步形成。然而，相繼出臺與實施的法律規(guī)范也無法完全避免大數(shù)據(jù)時代下個人信息遭受侵害。大數(shù)據(jù)的不當(dāng)應(yīng)用給《個人信息保護法》中規(guī)定的個人信息權(quán)益以及保護原則帶來了挑戰(zhàn)。鑒于此，通過分析大數(shù)據(jù)對個人信息的收集與處理模式，結(jié)合《個人信息保護法》的若干條款，指出個人信息保護面臨的理論困境，探索大數(shù)據(jù)時代中國個人信息的保護路徑。

一、大數(shù)據(jù)對個人信息的收集與處理模式

大數(shù)據(jù)的運作模式是對個人信息的大規(guī)模收集和重復(fù)循環(huán)再利用，通過大數(shù)據(jù)分析工具的擴散，能夠輕松地跟蹤、量化和交換人與人之間的信息，解開人類基因奧秘，解決城市生活問題，揭示出社會關(guān)系和文化偏好背后的隱藏模式。Karen E.C. Levy，Relational Big Data，Stanford Law Review，Vol.66：73，p.73（2013）.大數(shù)據(jù)是個人信息的運作模式，個人信息也構(gòu)成了大數(shù)據(jù)的實質(zhì)內(nèi)容。

（一）個人信息的大規(guī)模收集

大數(shù)據(jù)是一個抽象的概念，目前尚未有統(tǒng)一精確的定義，基于大數(shù)據(jù)覆蓋范圍的廣泛性和類型的多樣性，人們傾向于以“數(shù)據(jù)的數(shù)量”與“管理這些數(shù)據(jù)的能力”來定義大數(shù)據(jù)。Rick Swedloff，Risk Classification’s Big Data （R）evolution，Connecticut Insurance Law Journal，Vol.21：339，p.339（2014）.大數(shù)據(jù)中含有個人信息和非個人信息。個人信息的含義體現(xiàn)在《個人信息保護法》第4條和《民法典》第1034條第2款，即“以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息”，或“能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”，據(jù)此，“識別性”是識別個人信息的主要標(biāo)準，也就是說，具有識別性的自然人信息，無論其以何種方式記錄，都可被認定為個人信息。

大數(shù)據(jù)能夠快速收集與儲存各種來源的個人信息，其范圍并不局限于互聯(lián)網(wǎng)上的資料，還包括傳統(tǒng)的數(shù)據(jù)集，部署在基礎(chǔ)設(shè)施（例如通信網(wǎng)絡(luò)、電網(wǎng)、全球定位衛(wèi)星、道路和橋梁等）中的傳感器收集的信息，Omer Tene amp; Jules Polonetsky，Big Data for All：Privacy and User Control in the Age of Analytics，Northwestern Journal of Technology and Intellectual Property，Vol.11：237，p.239（2013）.可見，大數(shù)據(jù)對個人信息的大規(guī)模收集已經(jīng)遠超于傳統(tǒng)軟件工具對個人信息的收集、儲存，致使“所有的個人事務(wù)和行動都變成了數(shù)據(jù)，由網(wǎng)絡(luò)數(shù)據(jù)完整描述個人人格”。參見王秀哲：《大數(shù)據(jù)時代個人信息法律保護制度之重構(gòu)》，載《法學(xué)論壇》2018年第6期，第115-116頁。同時，大數(shù)據(jù)通過算法等技術(shù)使得個人被信息化。算法作為一種自動分析工具，具有決策屬性，在大數(shù)據(jù)的基礎(chǔ)上進行快速、高效、精準的自動化決策。自動化決策對數(shù)據(jù)人格的塑造并非簡單停留在數(shù)據(jù)記錄或數(shù)據(jù)整合方面，其會更加深入地挖掘個人偏好、隱私、行為習(xí)慣等，這也不可避免地造成大數(shù)據(jù)對個人信息的過度收集或非法收集。例如，商家進行廣告推送、精準營銷、偏好記錄以及再次營銷。再如，不法分子利用個人信息謀求利益，甚至實施大型犯罪活動。在上述過程中，個人信息展現(xiàn)出巨大價值，收集數(shù)據(jù)能夠獲得非常強大的經(jīng)濟激勵，以至于個人信息的收集變成了機會主義，而非是有目的的收集。換言之，只要有可能、有機會，數(shù)據(jù)就會被收集，即使沒有具體的使用目的，也要進行收集。同樣，個人信息的保留也具有了經(jīng)濟動機。個人信息會被盡可能地保存較長的時間，甚至遠遠超過最初的使用時間，從而反復(fù)使用。此外，大數(shù)據(jù)技術(shù)的應(yīng)用并未形成明確的行業(yè)標(biāo)準和統(tǒng)一的約束性規(guī)則，關(guān)于數(shù)據(jù)的采集、管理、共享、交易等缺乏技術(shù)標(biāo)準予以規(guī)范，導(dǎo)致個人信息在被大數(shù)據(jù)收集的過程中面臨著隱私受到侵犯的風(fēng)險。

（二）個人信息的重復(fù)循環(huán)再利用

傳統(tǒng)個人信息的處理分析方式如下：基于人們提出的問題作出假設(shè)，收集個人信息進行分析并得出結(jié)論。其后，個人信息處理者《個人信息保護法》第4條第2款規(guī)定：“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！睋?jù)此，個人信息處理者能夠收集、存儲、使用、加工、傳輸、提供、公開、刪除個人信息。為了確保傳統(tǒng)軟件工具正常地、不超負荷地運轉(zhuǎn)，對所收集的個人信息作出甄別并進行選擇性剔除，僅對至關(guān)重要的個人信息予以保留。大數(shù)據(jù)時代，個人信息的處理分析發(fā)生了顛覆性轉(zhuǎn)變，信息的存儲已經(jīng)不再是需要考量的事項，個人信息能夠被全面完整地存儲。信息處理技術(shù)也取得了重大進展，不需再考慮個人信息是否超過負荷或是否予以保留。例如，批處理技術(shù)能夠?qū)⒋罅繑?shù)據(jù)集中處理，實現(xiàn)數(shù)據(jù)的有效管理和信息的快速獲??；流處理技術(shù)能夠?qū)崟r處理數(shù)據(jù)流、及時監(jiān)測數(shù)據(jù)并獲取數(shù)據(jù)的實時反饋，常用于實時分析和實時計算等場景；NoSQL技術(shù)（Not only SQL非關(guān)系型數(shù)據(jù)庫）能夠在豐富的數(shù)據(jù)模型中支持高并發(fā)查詢、數(shù)據(jù)分片處理等需求，提高了數(shù)據(jù)的擴展性和靈活性；數(shù)據(jù)挖掘技術(shù)能夠通過使用數(shù)據(jù)挖掘算法，重復(fù)循環(huán)利用個人信息，發(fā)現(xiàn)潛在的趨勢和模式，并預(yù)測未來趨勢和方向。

過去，數(shù)據(jù)一般被基于特定的目的收集和一次性利用。在大數(shù)據(jù)時代，數(shù)據(jù)的潛在價值在收集時可能是不明確的，只有當(dāng)數(shù)據(jù)基于相同或者不同的目的被重復(fù)利用時，才可能完全呈現(xiàn)出潛在的價值。Viktor Mayer-Schonberger amp; Yann Padova，Regime Change？Enabling Big Data Through Europe’s New Data Protection Regulation，Columbia Science and Technology Law Review，Vol.17：315，p.315（2016）.數(shù)據(jù)價值不僅在于可以從中分析出更多的個人信息，更重要的是，通過與其他數(shù)據(jù)源相結(jié)合的方式，個人信息的利用得到極大提升。全面完整的數(shù)據(jù)不僅可以用來回答或者分析當(dāng)前具體問題，還能激發(fā)新問題的提出，脫離結(jié)構(gòu)化的數(shù)據(jù)庫，在個人信息之間建立關(guān)聯(lián)性，從而挖掘出隱匿的個人信息，甚至是個人隱私。同時，數(shù)據(jù)收集者能夠?qū)崿F(xiàn)個人信息的預(yù)期利用和非預(yù)期利用，甚至?xí)€人信息流轉(zhuǎn)至第三方手中，脫離最初收集的目的進行再利用。例如，出行網(wǎng)站挖掘出旅客出行規(guī)律并共享給航空公司，平臺將某群體的消費習(xí)慣轉(zhuǎn)賣給其他商家等。而作為接收個人信息的第三方根據(jù)自己的需求繼續(xù)交叉比對、重復(fù)使用和加工個人信息，實現(xiàn)個人信息的重復(fù)循環(huán)再利用。在這一過程中，不可避免地存在著“不知道何種個人信息經(jīng)過技術(shù)處理后會導(dǎo)致個體的人格受到侵害”的情形，參見張婉婷：《個人信息“合理利用”的規(guī)范分析》，載《法學(xué)評論》2023年第3期，第109頁。而這也正是個人信息在大數(shù)據(jù)時代的本質(zhì)風(fēng)險和保護難點。

二、大數(shù)據(jù)時代個人信息保護面臨的理論困境

大數(shù)據(jù)對個人信息的大規(guī)模收集和重復(fù)循環(huán)再利用能夠證實最初的假設(shè)或者處理某些問題，甚至能“萃取或推衍出預(yù)想不到而可能有價值的資訊”，參見翁清坤：《大數(shù)據(jù)對于個人資料保護之挑戰(zhàn)與因應(yīng)之道》，載《東吳法律學(xué)報》2020年第3期，第87頁。獲得個人信息收集的潛在價值。然而，基于某一特定目的或者特定情境下提供的個人信息若被大數(shù)據(jù)以完全意想不到或者不正當(dāng)?shù)姆绞竭\用，不僅可能侵害個人信息的自決權(quán)、隱私權(quán)，而且與《個人信息保護法》規(guī)定的原則相沖突。

（一）大數(shù)據(jù)的不當(dāng)運用具有侵害個人信息自決權(quán)與隱私權(quán)的風(fēng)險

大數(shù)據(jù)作為一種侵入性工具，能夠詳細記錄人們的行為，匯編人們購買和消費的數(shù)據(jù)，Karen E. C. Levy，Relational Big Data，Stanford Law Review，Vol.66：73，p.73（2013）.這類舉動成為令人不安的監(jiān)視來源，威脅著個人的隱私權(quán)。

1.大數(shù)據(jù)的再識別化攫取個人隱私

為了規(guī)范個人信息處理者的處理活動以實現(xiàn)保護個人信息的目的，《個人信息保護法》第51條《個人信息保護法》第51條規(guī)定：“個人信息處理者應(yīng)當(dāng)根據(jù)個人信息的處理目的、處理方式、個人信息的種類以及對個人權(quán)益的影響、可能存在的安全風(fēng)險等，采取下列措施確保個人信息處理活動符合法律、行政法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問以及個人信息泄露、篡改、丟失：（一）制定內(nèi)部管理制度和操作規(guī)程；（二）對個人信息實行分類管理；（三）采取相應(yīng)的加密、去標(biāo)識化等安全技術(shù)措施；（四）合理確定個人信息處理的操作權(quán)限，并定期對從業(yè)人員進行安全教育和培訓(xùn)；（五）制定并組織實施個人信息安全事件應(yīng)急預(yù)案；（六）法律、行政法規(guī)規(guī)定的其他措施?！币?guī)定了個人信息處理者的義務(wù)，即應(yīng)建立個人信息管理制度、作業(yè)流程，并進行分級分類管理，及采取加密、“去標(biāo)識性”等安全技術(shù)措施。該條款表明個人信息處理者在處理個人信息活動過程中應(yīng)當(dāng)采取“去標(biāo)識性”的技術(shù)措施。這一舉措能夠達到在處理個人信息過程中倘若不借助關(guān)聯(lián)信息則無法識別到特定個人的目的。然而，大數(shù)據(jù)具有再識別個人信息的功能，能夠通過對數(shù)據(jù)庫中個人信息的匯整、統(tǒng)合，運用統(tǒng)計學(xué)與其他數(shù)據(jù)挖掘技術(shù)，將本來不具有識別性或“去標(biāo)識性”的信息與其他額外信息進行關(guān)聯(lián)、篩選、比對以及匹配，從而識別出特定個人信息。例如，個人信息使用者為了商業(yè)目的使用一些個人信息時，并不需要具體到個人身份，只需要識別網(wǎng)上IP信息即可。大數(shù)據(jù)技術(shù)的應(yīng)用使得信息主體即使應(yīng)用匿名化技術(shù)也難以完全實現(xiàn)隱匿的目的，有些信息表面上不是個人信息，但是經(jīng)過大數(shù)據(jù)的處理仍然可以追溯到具體的個人，從而挖掘出相關(guān)聯(lián)的其他信息。參見金泓序、何畏：《大數(shù)據(jù)時代個人信息保護的挑戰(zhàn)與對策研究》，載《情報科學(xué)》2022年第6期，第135頁。大數(shù)據(jù)的運作模式，能夠更容易發(fā)現(xiàn)個人信息的關(guān)聯(lián)性并建立起連結(jié)，通過確認、分析與預(yù)測個人人格、行為、興趣與習(xí)慣，對個人進行剖析，用以協(xié)助自動化決策，參見翁清坤：《大數(shù)據(jù)對于個人資料保護之挑戰(zhàn)與因應(yīng)之道》，載《東吳法律學(xué)報》2020年第3期，第96頁。同時，大數(shù)據(jù)也能突破信息之間隱形因素?zé)o法被量化的瓶頸，參見高嬰勱：《工業(yè)大數(shù)據(jù)價值挖掘路徑》，載《中國工業(yè)評論》2015年第2期，第22頁。建構(gòu)不相干信息之間的關(guān)聯(lián)性，對個人信息進行再識別，在這一過程中，大數(shù)據(jù)對個人信息的獲取可能轉(zhuǎn)化為對個人隱私的攫取、吞噬，從而威脅著個人隱私安全。

2.大數(shù)據(jù)的自動化決策使個人信息自決權(quán)被虛置

《個人信息保護法》第44條《個人信息保護法》第44條規(guī)定：“個人對其個人信息的處理享有知情權(quán)、決定權(quán)，有權(quán)限制或者拒絕他人對其個人信息進行處理；法律、行政法規(guī)另有規(guī)定的除外?！贝_立了個人信息自決權(quán)，即“信息主體對自身信息的控制與選擇，即自我決定的權(quán)利”，參見姚岳絨：《論信息自決權(quán)作為一項基本權(quán)利在我國的證成》，載《政治與法律》2012年第4期，第72頁。這也意味著個人享有自由決定其信息被收集、利用的權(quán)利。然而，大數(shù)據(jù)具有個人信息自動化決策功能。自動化決策，《個人信息保護法》第73條第2項規(guī)定：“自動化決策，是指通過計算機程序自動分析、評估個人的行為習(xí)慣、興趣愛好或者經(jīng)濟、健康、信用狀況等，并進行決策的活動?！庇直环Q為“智能決策”，在大數(shù)據(jù)作為戰(zhàn)略資源的當(dāng)今社會，自動化決策成為決策作出的主要方式，憑借綜合利用大量數(shù)據(jù)，有機結(jié)合各種模型，將海量數(shù)據(jù)匯集融合，發(fā)揮快速感知和認知能力及強大的分析與推理能力，最終從數(shù)據(jù)中提取知識，通過識別、判斷，進而輸出科學(xué)決策。自動化決策的計算范式是“從數(shù)據(jù)到知識，從知識到?jīng)Q策”，參見陳純、莊越：《大數(shù)據(jù)智能：從數(shù)據(jù)到知識與決策》，載《中國科技財富》2017年第8期，第49頁。通過挖掘、萃取以及分析數(shù)據(jù)，發(fā)現(xiàn)其中蘊藏的知識，再由知識轉(zhuǎn)化為決策支持。參見楊善林、周開樂：《大數(shù)據(jù)中的管理問題：基于大數(shù)據(jù)的資源觀》，載《管理科學(xué)學(xué)報》2015年第5期，第3頁。自動化決策具有穩(wěn)定性和精確性，其決策速度也展示出超越人類的強大效能。反過來，決策的實用性也體現(xiàn)了大數(shù)據(jù)的價值。在個人信息領(lǐng)域，大數(shù)據(jù)的自動化決策已是常態(tài)，大數(shù)據(jù)憑借自動化分析數(shù)據(jù)，萃取、關(guān)聯(lián)、剖析、描繪，直至揭露個人信息，甚至是暴露個人隱私，這就導(dǎo)致信息主體對自身信息失控，個人信息自我決定的權(quán)利被侵害。自動化決策也能據(jù)此進行數(shù)字畫像，即將每一個個人繪成數(shù)據(jù)的集合，并且將與畫像相吻合的各種服務(wù)和信息推送給個人。個人被置于大數(shù)據(jù)所創(chuàng)造的不同片區(qū)中，并沒有作為活生生的個體獲得尊重，參加陳林林、嚴書元：《自動化決策中數(shù)據(jù)處理者的合理分析義務(wù)》，載《吉首大學(xué)學(xué)報（社會科學(xué)版）》2022年第6期，第20頁。個人信息自我決定的權(quán)利被虛置。

3.大數(shù)據(jù)推算匿名化信息或者不為人知的敏感信息

《個人信息保護法》第4條第1款《個人信息保護法》第4條第1款規(guī)定：“個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息?！币?guī)定了個人信息不包括匿名化處理后的信息，換言之，匿名化信息不屬于《個人信息保護法》保護的“個人信息”范圍。然而，在大數(shù)據(jù)時代，即使是匿名化的數(shù)據(jù)也可以被重新識別并歸因于特定的個體，Omer Tene amp; Jules Polonetsky，Privacy in the Age of Big Data：A Time for Big Decisions，Stanford Law Review，Vol.64：63，p.63（2011—2012）.隨著網(wǎng)絡(luò)、物聯(lián)網(wǎng)裝置等先進科技手段和信息技術(shù)的廣泛應(yīng)用，個人信息的收集越發(fā)便捷與普及，大數(shù)據(jù)收集的巨量信息能夠發(fā)揮再識別功能。匿名化信息通過大數(shù)據(jù)的再識別，與其他信息組合、比對后，將轉(zhuǎn)化為具有特定個人識別性的信息，匿名化的個人信息因此變?yōu)轱@名化。毋庸置疑，大數(shù)據(jù)的再識別技術(shù)削弱了個人信息的匿名化，破壞了隱私政策的格局。Paul Ohm，Broken Promises of Privacy：Responding to the Surprising Failure of Anonymization，UCLA Law Review，Vol.57：1701，p.1701（2010）.大數(shù)據(jù)能夠推論出不為人知的個人信息，其核心是使用人工智能挖掘和分析大量數(shù)據(jù)，目的是找到揭示新洞見或事實的“小模式”或相關(guān)性。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.即使某些個人信息并不在數(shù)據(jù)庫中，但是通過對已收集或掌握的數(shù)據(jù)進行關(guān)聯(lián)、萃取和推衍，知悉或洞見特定自然人并不困難。

（二）大數(shù)據(jù)的不當(dāng)運用與個人信息保護原則形成沖突

大數(shù)據(jù)的運作模式是“對世界的某些方面進行建模”，并得出“預(yù)測未來可能發(fā)生的事件”的推論。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.在這一過程中，如果大數(shù)據(jù)運用不當(dāng)，將可能與《個人信息保護法》確立的立法目的和原則相矛盾。

1.大數(shù)據(jù)與目的明確原則、最小化收集原則相沖突

《個人信息保護法》第6條《個人信息保護法》第6條第1款規(guī)定：“處理個人信息應(yīng)當(dāng)具有明確、合理的目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對個人權(quán)益影響最小的方式?！钡?條第2款規(guī)定：“收集個人信息，應(yīng)當(dāng)限于實現(xiàn)處理目的的最小范圍，不得過度收集個人信息?！币?guī)定了個人信息的處理要遵循目的明確原則，以及個人信息的收集要遵循最小化收集原則。對于目的明確原則，大數(shù)據(jù)的運作模式常常是對個人信息的重復(fù)循環(huán)再利用，這就可能超出個人信息原始收集的目的，與個人信息處理的目的明確原則形成沖突。個人信息被再利用時，可能會進入多方流轉(zhuǎn)的系統(tǒng)中，第一方收集者將個人信息流轉(zhuǎn)至第三方機構(gòu)，從而失去了對個人信息的控制權(quán)，參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期，第94頁。脫離控制的個人信息將存在被惡意濫用的風(fēng)險。對于最小化收集原則，其要求個人信息的收集應(yīng)當(dāng)依據(jù)處理目的進行最小范圍、最小限度的收集，為了保障個人信息安全，不得恣意擴大個人信息的收集范圍?！秱€人信息保護法》第47條《個人信息保護法》第47條第1款規(guī)定：“有下列情形之一的，個人信息處理者應(yīng)當(dāng)主動刪除個人信息；個人信息處理者未刪除的，個人有權(quán)請求刪除：（一）處理目的已實現(xiàn)、無法實現(xiàn)或者為實現(xiàn)處理目的不再必要；（二）個人信息處理者停止提供產(chǎn)品或者服務(wù)，或者保存期限已屆滿；（三）個人撤回同意；（四）個人信息處理者違反法律、行政法規(guī)或者違反約定處理個人信息；（五）法律、行政法規(guī)規(guī)定的其他情形?！钡?7條第2款規(guī)定：“法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個人信息從技術(shù)上難以實現(xiàn)的，個人信息處理者應(yīng)當(dāng)停止除存儲和采取必要的安全保護措施之外的處理?！币?guī)定的刪除權(quán)也體現(xiàn)了這一原則。個人信息用于特定的處理目的，該處理目的一旦實現(xiàn)，則必須刪除該信息，以規(guī)避信息被濫用、泄漏、遺失之可能。參見申衛(wèi)星：《論個人信息權(quán)的構(gòu)建及其體系化》，載《比較法研究》2021年第5期，第11-12頁。按照最小化收集原則，處理個人信息時也應(yīng)當(dāng)具有合理的目的并限于實現(xiàn)處理目的的最小范圍。參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期，第169頁。然而，大數(shù)據(jù)的運作模式實現(xiàn)了個人信息的大規(guī)模收集和無限次利用，挑戰(zhàn)著個人信息最小化收集原則。

2.大數(shù)據(jù)沖擊告知同意原則的傳統(tǒng)架構(gòu)

告知同意原則是信息主體與信息處理者之間所形成的權(quán)利及義務(wù)的合同規(guī)則，參見趙婧薇、尹偉民：《個人信息保護中告知同意規(guī)則的立法紓困》，載《內(nèi)蒙古社會科學(xué)》2022年第2期，第85頁?！睹穹ǖ洹返?035條《民法典》第1035條規(guī)定：“處理個人信息的，應(yīng)當(dāng)遵循合法、正當(dāng)、必要原則，不得過度處理，并符合下列條件：（一）征得該自然人或者其監(jiān)護人同意，但是法律、行政法規(guī)另有規(guī)定的除外；……”確立了個人信息處理的告知同意原則，形成了“個人信息權(quán)益的基本保護模式”。參見萬方：《個人信息處理中的“同意”與“同意撤回”》，載《中國法學(xué)》2021年第1期，第167頁?！秱€人信息保護法》第14條《個人信息保護法》第14條第1款規(guī)定：“基于個人同意處理個人信息的，該同意應(yīng)當(dāng)由個人在充分知情的前提下自愿、明確作出。法律、行政法規(guī)規(guī)定處理個人信息應(yīng)當(dāng)取得個人單獨同意或者書面同意的，從其規(guī)定?！钡?4條第2款規(guī)定：“個人信息的處理目的、處理方式和處理的個人信息種類發(fā)生變更的，應(yīng)當(dāng)重新取得個人同意?！焙偷?7條《個人信息保護法》第17條第1款規(guī)定：“個人信息處理者在處理個人信息前，應(yīng)當(dāng)以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項：（一）個人信息處理者的名稱或者姓名和聯(lián)系方式；（二）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；（三）個人行使本法規(guī)定權(quán)利的方式和程序；（四）法律、行政法規(guī)規(guī)定應(yīng)當(dāng)告知的其他事項?！钡?7條第2款規(guī)定：“前款規(guī)定事項發(fā)生變更的，應(yīng)當(dāng)將變更部分告知個人。”確立了以告知同意原則為核心的個人信息保護制度。雖然中國在立法上確立了告知同意原則的法律地位，但是在實施過程中大數(shù)據(jù)技術(shù)的運用導(dǎo)致其實際效果遭受嚴重質(zhì)疑。參見馮健鵬：《個人信息保護制度中告知同意原則的法理闡釋與規(guī)范建構(gòu)》，載《法治研究》2022年第3期，第32頁。

第一，大數(shù)據(jù)時代下越來越多的個人信息在信息主體不知情的境況下被收集，例如，隨身佩戴的手表、手機，公共場所的攝像頭以及互聯(lián)網(wǎng)設(shè)備等隨時隨地地收集個人信息，在收集過程中并未提供讓信息主體知悉或者同意的方式。

第二，在實踐中對于個人信息收集的隱私權(quán)政策通知，一般情況下信息主體并不會予以閱讀和理解，加之隱私政策以技術(shù)性、法律性的語言為基礎(chǔ)，呈現(xiàn)出冗長復(fù)雜、晦澀難懂的特征，信息主體對此不愿意耗費大量的時間，有研究表明，用戶一年中閱讀使用的網(wǎng)絡(luò)服務(wù)的隱私聲明要花費244小時，參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期，第93頁。因此，告知同意原則成為一種擺設(shè)。此外，信息主體對于隱私政策的聲明只能被迫選擇同意，倘若不同意則意味著放棄了使用權(quán)。

第三，雖然法律賦予個人信息主體知情同意權(quán)，但是，個人很難充分掌握數(shù)據(jù)協(xié)議的內(nèi)涵，這也體現(xiàn)出數(shù)據(jù)處理者憑借大數(shù)據(jù)、人工智能的技術(shù)賦能或賦權(quán)，在事實上與個人信息主體之間形成一種非對稱的權(quán)力結(jié)構(gòu)，數(shù)據(jù)處理者的權(quán)力與信息主體的權(quán)利呈現(xiàn)出非均衡性，顯然數(shù)據(jù)處理者占據(jù)優(yōu)勢地位。參見陳林林、嚴書元：《自動化決策中數(shù)據(jù)處理者的合理分析義務(wù)》，載《吉首大學(xué)學(xué)報（社會科學(xué)版）》2022年第6期，第20頁。

基于權(quán)力與權(quán)利的非均衡性事實，個人信息得不到有效保護。

第四，大數(shù)據(jù)對個人信息的無限次利用往往會脫離最初的收集目的，原先在告知同意原則下取得的合法授權(quán)，隨著大數(shù)據(jù)的非預(yù)期運用和再利用將失去法律效力，重新取得信息主體的授權(quán)則往往不現(xiàn)實，這就導(dǎo)致告知同意原則被架空。

3.大數(shù)據(jù)的算法分析與個人信息透明化原則相矛盾

《個人信息保護法》第7條《個人信息保護法》第7條規(guī)定：“處理個人信息應(yīng)當(dāng)遵循公開、透明原則，公開個人信息處理規(guī)則，明示處理的目的、方式和范圍。”規(guī)定了處理個人信息時應(yīng)當(dāng)遵循透明化原則。這一原則是個人信息處理的前提，是保障個人信息權(quán)益的基礎(chǔ)，有助于增進個人信息主體的安全感和信任感，提升信息主體對個人信息處理的接受度。然而，大數(shù)據(jù)的不當(dāng)運用與個人信息透明化原則相沖突?？焖俸蛷?fù)雜的數(shù)據(jù)分析能力應(yīng)用到巨大的數(shù)據(jù)集中，對個人信息予以分析，這一過程被稱為大數(shù)據(jù)分析。人工智能學(xué)習(xí)數(shù)據(jù)，智能地響應(yīng)新的數(shù)據(jù)并且隨時調(diào)整其輸出，以達至預(yù)測和洞見未來。在這一過程中，人工智能使用復(fù)雜的數(shù)學(xué)算法來處理數(shù)據(jù)并基于數(shù)據(jù)作出決策，這些算法一般是非透明的，將產(chǎn)生所謂的“黑箱效應(yīng)”。Moira Paterson amp; Maeve McDonagh，Data Protection in an Era of Big Data：The Challenges Posed by Big Personal Data，Monash University Law Review，Vol.44：1，p.1（2018）.算法黑箱是一個建模系統(tǒng)，通常會智能地作出連續(xù)性的常規(guī)動作，突破數(shù)據(jù)本身，一旦涉及個人信息，可能產(chǎn)生系統(tǒng)化和機制化的侵權(quán)后果。參見林洹民：《自動決策算法的風(fēng)險識別與區(qū)分規(guī)制》，載《比較法研究》2022年第2期，第189-190頁。算法黑箱的成因是，第一，算法本身具有保密性質(zhì)，算法研發(fā)者或控制者缺乏將其對外披露的意愿；第二，算法技術(shù)壁壘的客觀存在，使得非專業(yè)人員難以理解算法的運行邏輯與真實內(nèi)涵；第三，算法的自主學(xué)習(xí)特性導(dǎo)致其運行過程變得極其復(fù)雜，甚至超出算法設(shè)計人員所能感知的范疇。參見李欣、曹藝萱：《我國算法風(fēng)險及其治理研究綜述》，載《信息安全研究》2024年第2期，第114頁。從成因來看，算法黑箱可能是算法設(shè)計師主觀為之，也可能是由于技術(shù)原因客觀存在。在“黑箱效應(yīng)”下，要求處理個人信息時公開個人信息處理規(guī)則，明示處理的目的、方式和范圍，顯然是強人所難的。

三、大數(shù)據(jù)時代下個人信息的保護路徑

大數(shù)據(jù)時代，《個人信息保護法》所規(guī)定的個人信息權(quán)益面臨前所未有的風(fēng)險，但絕不能為了保護個人信息而一味地鉗制與約束大數(shù)據(jù)的發(fā)展。大數(shù)據(jù)的創(chuàng)新應(yīng)用是社會的驅(qū)動力與發(fā)展力，能產(chǎn)生巨大的經(jīng)濟效應(yīng)和社會效應(yīng)，不僅關(guān)系到個人的福祉，也關(guān)系著國家的未來。

參見池建新：《個人信息保護政策的國際比較研究》，東南大學(xué)出版社2021年版，第35頁。

順應(yīng)科技發(fā)展，同時立足于個人信息保護作出應(yīng)對政策，兼顧個人隱私保護和數(shù)據(jù)發(fā)展，實現(xiàn)隱私保護與數(shù)據(jù)價值開發(fā)的共贏，是大數(shù)據(jù)時代的發(fā)展需求。

（一）制定個人信息開放規(guī)范以促進大數(shù)據(jù)發(fā)展

《個人信息保護法》以個人對信息的控制為前提，以個人信息最小化收集和目的明確、目的限制等原則為基礎(chǔ)，以保護個人信息權(quán)益與合理利用為目的。然而，大數(shù)據(jù)的運作模式極易侵害個人信息自決權(quán)與隱私權(quán)，盡量減少個人信息收集看似是個人隱私保護的一個實際方法，但其并不可行，因為個人信息作為大數(shù)據(jù)的構(gòu)成部分有著巨大的潛能，其不僅能夠帶動產(chǎn)業(yè)創(chuàng)新，還有助于發(fā)展社會經(jīng)濟。參見申衛(wèi)星：《大數(shù)據(jù)時代個人信息保護的中國路徑》，載《探索與爭鳴》2020年第11期，第8頁。因此，個人隱私和個人信息保護必須與公共健康、國家安全和執(zhí)法、環(huán)境保護和經(jīng)濟效率等附加社會價值相平衡。在保護個人信息的同時必須兼顧大數(shù)據(jù)的發(fā)展。一味地鉗制大數(shù)據(jù)并不利于國家經(jīng)濟發(fā)展，因此，轉(zhuǎn)向制定個人信息開放規(guī)范，對個人信息進行適度松綁，反而能夠兼顧二者的共同發(fā)展。一方面，此舉改變了巨量的個人信息被少數(shù)處理者所掌握的局面與境地，降低了壟斷造成的危害；另一方面，開放數(shù)據(jù)有助于提升個人信息透明化并創(chuàng)造出新的價值。例如，在經(jīng)濟領(lǐng)域出現(xiàn)的開放銀行要求銀行開放客戶資料，改善銀行壟斷金融資料的現(xiàn)象，允許第三方合作伙伴在獲得客戶授權(quán)后存取賬戶資料，將金融資料主導(dǎo)權(quán)交還消費者，使消費者獲得更多元的金融服務(wù)。參見蔡鵬程：《賦能實體，開放銀行的另一條道路》，載搜狐網(wǎng)2022年7月28日，https：//www.sohu.com/a/572480954_116132。

有鑒于個人信息很大部分被政府部門掌握，政府開放數(shù)據(jù)對經(jīng)濟增長、包容性發(fā)展和改善公眾參與的價值意義重大。出于為數(shù)據(jù)賦能的目的，應(yīng)降低政府?dāng)?shù)據(jù)供公眾利用的難度。匿名化信息的共用在提升國家競爭力和科技創(chuàng)新發(fā)展方面發(fā)揮著重要作用。目前，中國現(xiàn)行政府?dāng)?shù)據(jù)開放規(guī)范多是各地方政府制定的規(guī)范性文件，如《浙江省公共數(shù)據(jù)開放與安全管理暫行辦法》《青島市公共數(shù)據(jù)開放管理辦法》《重慶市公共數(shù)據(jù)開放管理暫行辦法》等。以地方規(guī)范性文件規(guī)范數(shù)據(jù)開放行為雖然能推動數(shù)據(jù)開放，但是存在科學(xué)性、統(tǒng)一性不足的弊端，參見王東方：《政府?dāng)?shù)據(jù)開放規(guī)范的精細化構(gòu)建——基于政府?dāng)?shù)據(jù)開放與政府信息公開的關(guān)系視角》，載《電子政務(wù)》2021年第10期，第29-30頁。因此，中國應(yīng)當(dāng)制定政府?dāng)?shù)據(jù)開放的相關(guān)法律。制定時應(yīng)當(dāng)遵循《政府信息公開條例》所規(guī)定的政府信息公開的基本原則——“公開為原則，不公開為例外”，堅持政府?dāng)?shù)據(jù)“開放為原則，不開放為例外”的開放路徑，以最大限度地保證數(shù)據(jù)生產(chǎn)要素的供給。參見王東方：《政府?dāng)?shù)據(jù)開放規(guī)范的精細化構(gòu)建——基于政府?dāng)?shù)據(jù)開放與政府信息公開的關(guān)系視角》，載《電子政務(wù)》2021年第10期，第35頁。當(dāng)然，“開放為原則，不開放為例外”的適用前提是，政府?dāng)?shù)據(jù)開放行為并不損害公共利益和私人利益。當(dāng)為了實現(xiàn)公共利益而必須讓渡私人利益時，應(yīng)受到比例原則比例原則是指行政主體實施行政行為時，應(yīng)當(dāng)兼顧行政目標(biāo)的實現(xiàn)和行政相對人權(quán)益的保護，如果為實現(xiàn)行政目標(biāo)可能對行政相對人權(quán)益造成某種不利影響，那么應(yīng)使這種不利影響限制在盡可能小的范圍和限度內(nèi)，保持二者處于適度的比例。參見莫于川主編：《案例行政法學(xué)》，中央廣播電視大學(xué)出版社2009年版，第34頁。的限制，例如，個人隱私利益應(yīng)當(dāng)向基于安全保障的公共利益讓渡，而政府基于公共利益開放數(shù)據(jù)時則不能損害個人利益。有學(xué)者將其總結(jié)為，在政府?dāng)?shù)據(jù)開放的具體情境中，基于公共利益對個人利益進行限制屬于法律適用，應(yīng)結(jié)合具體情境動態(tài)判斷公共利益的內(nèi)容和比例原則的適用。參見吳亞光：《政府?dāng)?shù)據(jù)開放中個人隱私信息的公開界限》，載《圖書館學(xué)研究》2020年第22期，第48頁。那么，如果開放政府?dāng)?shù)據(jù)不能實現(xiàn)公共利益，同時卻對私人利益造成損害，此類政府?dāng)?shù)據(jù)不應(yīng)予以開放。總之，在制定開放規(guī)范時所開放的個人信息應(yīng)當(dāng)相應(yīng)地滿足信息主體隱私期待并使個人信息受到尊重。參見翁清坤：《大數(shù)據(jù)對于個人資料保護之挑戰(zhàn)與因應(yīng)之道》，載《東吳法律學(xué)報》2020年第3期，第136-137頁。另外，應(yīng)進一步將個人隱私保護政策具體化，如設(shè)置專門的隱私保護機構(gòu)以提供隱私政策咨詢和支持，任命隱私保護專業(yè)人員以負責(zé)可能涉及的隱私問題，在開放數(shù)據(jù)時進行隱私影響評估，參見黃如花、溫芳芳：《我國政府?dāng)?shù)據(jù)開放共享的政策框架與內(nèi)容：國家層面政策文本的內(nèi)容分析》，載《圖書情報工作》2017年第20期，第12頁。構(gòu)建完善的隱私風(fēng)險管理體系，細化風(fēng)險識別機制、風(fēng)險評估機制和風(fēng)險控制機制，從而對數(shù)據(jù)的隱私風(fēng)險進行量化、分析、減輕。參見梁乙凱、陳美：《美國隱私影響評估制度及其啟示》，載《情報資料工作》2022年第5期，第68頁。由此，平衡好個人信息“利用”和“保護”二者之間的關(guān)系，確保個人信息利用的合法化與合理化。

（二）采取牢固的匿名化技術(shù)以實現(xiàn)個人信息的“去連結(jié)性”

防止大數(shù)據(jù)侵害個人隱私權(quán)的有效措施是將個人信息進行匿名化以實現(xiàn)個人信息的“去識別性”所謂“去識別性”，是指數(shù)據(jù)保有者采用技術(shù)手段對其所保有的數(shù)據(jù)信息進行集中的篩查，將其中能夠識別特定個人身份的數(shù)據(jù)信息予以刪改的過程。參見張勇：《個人信息去識別化的刑法應(yīng)對》，載《國家檢察官學(xué)院學(xué)報》2018年第4期，第96頁。和“去連結(jié)性”所謂“去連結(jié)性”，是指通過個人信息匿名化的技術(shù)措施有效削弱和去除信息與特定主體之間的關(guān)聯(lián)性。參見劉曉春、劉瑾：《個人信息匿名化標(biāo)準的實踐和優(yōu)化》，載《中國對外貿(mào)易》2023年第8期，第31頁。，然而，《個人信息保護法》對于“去識別性”的規(guī)定過于簡陋，對匿名化方法和技術(shù)也未作規(guī)定?！秱€人信息保護法》第4條將“可識別性”作為個人信息保護的界限，即受《個人信息保護法》保護的個人信息須具有“識別性”，以“識別性”作為個人信息保護該當(dāng)性的要件，失去了識別性的信息被排除在《個人信息保護法》保護的范圍之外。而《個人信息保護法》第73條第4項僅規(guī)定了匿名化的含義?！秱€人信息保護法》第73條第4項規(guī)定：“匿名化，是指個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程?！币虼?，有必要采取“去識別性”的匿名化技術(shù)，建構(gòu)與規(guī)范具體的匿名化制度，包括匿名化的程度、程序和監(jiān)督機制。

個人信息匿名化是平衡數(shù)據(jù)價值與主體權(quán)益的重要手段，在技術(shù)層面，可以采用去中心化的匿名化方法和個性化匿名化方法。去中心化的匿名化方法Romana Talat amp; Mohammad S. Obaidat，et al.，A Decentralised Approach to Privacy Preserving Trajectory Mining，F(xiàn)uture Generation Computer Systems，Vol.102：382，p.382（2020）.是基于區(qū)塊鏈系統(tǒng)，通過智能合約進行信息交互。相較于中心化的集中式結(jié)構(gòu)，去中心化使得數(shù)據(jù)并不集中在任何一個中心節(jié)點或?qū)嶓w手中，而是建構(gòu)了更扁平、更平等、更分散的結(jié)構(gòu)，從而解決了單點故障和傳統(tǒng)匿名化技術(shù)中數(shù)據(jù)共享雙方的信任問題，有效保護了信息主體的隱私。個性化匿名化方法是針對現(xiàn)實世界中不同的隱私需求，允許信息主體自己控制和定義隱私數(shù)據(jù)的用途。現(xiàn)實中，每個主體的隱私保護需求、個人信息利用敏感程度等是不同的，更注重隱私的主體一般認為默認的匿名化等級難以滿足隱私保護需求，而另一些人則可能會覺得默認的匿名化等級過高，因此，統(tǒng)一的匿名化等級無法滿足不同主體的隱私保護需求。而個性化匿名化方法根據(jù)不同主體提供了不同的隱私級別，由信息主體自己控制數(shù)據(jù)發(fā)布的匿名化級別，以此滿足個人隱私需求和差異化保護。如此一來，既尊重了個人隱私偏好，又最大限度地發(fā)揮了數(shù)據(jù)的可用性。

在匿名化制度層面，值得借鑒參考的是日本《個人信息保護法》中的匿名加工制度，該法的第2條、第36條至第38條和第53條規(guī)定了匿名加工信息的制作、利用時應(yīng)遵守的義務(wù)。具體而言，日本《個人信息保護法》第36條第1項日本《個人信息保護法》第36條第1項規(guī)定：“個人信息處理經(jīng)營者在制作匿名化信息（僅限于匿名化信息數(shù)據(jù)庫等的組成信息，下同）時，應(yīng)按照《個人信息保護委員會規(guī)則》規(guī)定的標(biāo)準處理個人信息，以使其無法識別特定個人且無法恢復(fù)制作所用的個人信息?！币?guī)定，由個人信息保護委員會訂立規(guī)則和確定標(biāo)準，按照《個人信息保護委員會規(guī)則》所規(guī)定的一般性最小限度的加工方法予以匿名加工。為了防止匿名化制度過于僵化，匿名加工方法不宜采用統(tǒng)一方式和劃定一致標(biāo)準。不同業(yè)界匿名加工方法應(yīng)考量其處理個人信息的內(nèi)容、利用目的，因此，日本《個人信息保護法》第53條第1項日本《個人信息保護法》第53條第1項規(guī)定：“為確保其服務(wù)范圍內(nèi)的經(jīng)營者妥當(dāng)處理個人信息等，針對利用目的說明、安全管理措施、披露等要求等的應(yīng)對程序以及匿名化信息的制作方式、安全管理措施等個人信息相關(guān)事項，個人信息保護認證組織應(yīng)征求消費者代表或其他相關(guān)人員的意見，努力制定符合本法規(guī)定的目的的指引（以下簡稱《個人信息保護指引》）?！币?guī)定實踐中各業(yè)界運用匿名加工方法，可以再委任個人信息保護認證組織制定《個人信息保護指引》作為團體自律性規(guī)范。為了避免個人信息保護認證組織在制定時過于片面，該條還規(guī)定了聽取消費者代表及其他相關(guān)人員的意見，參見范姜真媺：《大數(shù)據(jù)時代下個人資料范圍之再檢討——以日本為借鏡》，載《東吳法律學(xué)報》2017年第2期，第16-18頁。在此基礎(chǔ)上制定出匿名加工規(guī)則，建立互信的匿名加工制度，完全切斷特定主體與個人信息內(nèi)容的連結(jié)性，減少大數(shù)據(jù)對個人信息和個人隱私的侵害。通過匿名化技術(shù)的應(yīng)用以及具體的匿名化制度，共同構(gòu)建牢固的個人信息保護路徑，有效削弱和去除信息與特定主體之間的關(guān)聯(lián)性，實現(xiàn)個人信息的“去連結(jié)性”。

（三）將個人信息保護影響評估作為保護個人信息的有效工具

大數(shù)據(jù)時代個人信息保護影響評估作為事前防范機制比以往任何時候都更加重要。參見梁乙凱、陳美：《英國數(shù)據(jù)保護影響評估制度及其啟示》，載《情報理論與實踐》2022年第7期，第202頁。事前性的合規(guī)評估和風(fēng)險評估程序能夠預(yù)測個人信息處理活動的結(jié)果，提前為個人信息安全提供預(yù)防性保護措施，降低個人信息安全風(fēng)險。為此，2020年中國出版了《信息安全技術(shù) 個人信息安全影響評估指南（GBT39335—2020）》（簡稱《指南》），該指南建構(gòu)了一個框架，旨在為個人信息安全影響評估提供基本原理和操作步驟等，并且明確了個人信息安全影響評估的國家標(biāo)準，更加具體地幫助評估組織識別和減輕個人信息處理的相關(guān)風(fēng)險，為個人信息保護提供實質(zhì)性的工具。隨后，2021年《個人信息保護法》第55條《個人信息保護法》第55條規(guī)定：“有下列情形之一的，個人信息處理者應(yīng)當(dāng)事前進行個人信息保護影響評估，并對處理情況進行記錄：（一）處理敏感個人信息；（二）利用個人信息進行自動化決策；（三）委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息；（四）向境外提供個人信息；（五）其他對個人權(quán)益有重大影響的個人信息處理活動。”規(guī)定了個人信息保護影響評估的“適用情形”，第56條第1款《個人信息保護法》第56條第1款規(guī)定：“個人信息保護影響評估應(yīng)當(dāng)包括下列內(nèi)容：（一）個人信息的處理目的、處理方式等是否合法、正當(dāng)、必要；（二）對個人權(quán)益的影響及安全風(fēng)險；（三）所采取的保護措施是否合法、有效并與風(fēng)險程度相適應(yīng)?！币?guī)定了個人信息保護影響評估的“具體內(nèi)容”，這兩項主要條款標(biāo)志著個人信息保護影響評估制度初步確立，以及該制度從推薦性要求上升為信息處理者的法定義務(wù)，這也揭示了個人信息保護影響評估旨在防止或最大限度減輕不利影響，并形成事前預(yù)測，根據(jù)評估結(jié)果制定針對性的應(yīng)對方案，在處理個人信息活動時預(yù)防風(fēng)險的發(fā)生和不利后果。參見陳朝兵、郝文強：《作為政府工具的隱私影響評估：緣起、價值、實施與啟示》，載《中國行政管理》2020年第2期，第146頁。

《個人信息保護法》只是初步回答了哪些情形應(yīng)當(dāng)予以個人信息保護影響評估，以及評估涉及哪些內(nèi)容。為了使評估結(jié)果更加客觀、有效，理應(yīng)科學(xué)合理地設(shè)定個人信息保護影響評估程序，在此可以參考《指南》中規(guī)定的個人信息安全影響評估實施的九個步驟，即（1）評估必要性分析；（2）評估準備工作；（3）數(shù)據(jù)映射分析；（4）風(fēng)險源識別；（5）個人權(quán)益影響分析；（6）安全風(fēng)險綜合分析；（7）評估報告；（8）風(fēng)險處置和持續(xù)改進；（9）制定報告發(fā)布策略。其中，（3）至（8）是評估的主體內(nèi)容，數(shù)據(jù)映射分析是評估的基礎(chǔ)性工作，通過此步驟確定評估對象。在這一過程中可以采用問卷、調(diào)研、走訪等方式，多維度地梳理個人信息處理活動，形成數(shù)據(jù)清單及數(shù)據(jù)映射圖表，從而確定評估內(nèi)容和范圍；此步驟之后需要對所涉風(fēng)險進行識別和分析，主要從《指南》中規(guī)定的安全事件和個人權(quán)益影響兩個維度進行分析，前者側(cè)重于識別可能面臨的危險源及是否采取安全措施，后者側(cè)重于識別對個人權(quán)益造成的不利影響；接下來是綜合評估，在前述步驟基礎(chǔ)上綜合衡量并得出個人信息處理活動的風(fēng)險等級，根據(jù)風(fēng)險等級進一步采取相應(yīng)措施，進行風(fēng)險管控和處置，確保風(fēng)險始終在可控范圍之內(nèi)。與此同時，整個評估程序應(yīng)當(dāng)特別重視“參與程序、復(fù)審程序、事先咨詢程序和公開程序”。參見劉權(quán)：《論個人信息保護影響評估——以〈個人信息保護法〉第55、56條為中心》，載《上海交通大學(xué)學(xué)報（哲學(xué)社會科學(xué)版）》2022年第5期，第46頁。

（四）以“實質(zhì)性參與”作為告知同意原則的完善路徑

無論是在未提供告知下毫不知情地收集個人信息，還是告知同意原則囿于晦澀難懂的技術(shù)性語言成為擺設(shè)，以及個人信息脫離最初收集目的而無法回溯獲得授權(quán)，都將導(dǎo)致告知同意原則被架空。當(dāng)下，告知同意原則已經(jīng)備受質(zhì)疑，甚至被認為已然失效?？刂苽€人信息的利用環(huán)節(jié)可能是更為有效的方式，這也更符合用戶的隱私偏好與期待。參見范為：《大數(shù)據(jù)時代個人信息保護的路徑重構(gòu)》，載《環(huán)球法律評論》2016年第5期，第109頁。然而，也有學(xué)者認為，告知同意原則以人格尊嚴為基礎(chǔ)，以尊重人本身的判斷和選擇為前提，因此，在設(shè)置告知同意時，應(yīng)將人視為目的而非手段、尊重個人用戶的理性判斷和選擇。參見馮健鵬：《個人信息保護制度中告知同意原則的法理闡釋與規(guī)范建構(gòu)》，載《法治研究》2022年第3期，第38頁。告知同意原則源于憲法對人格尊嚴的保護，不能否定該原則在個人信息保護中的重要地位。除《個人信息保護法》建構(gòu)的告知同意原則的基本規(guī)范體系外，還應(yīng)當(dāng)塑造精細化的、實質(zhì)性參與的告知同意原則，充分實現(xiàn)信息主體的知情權(quán)與同意權(quán)。參見翁清坤：《大數(shù)據(jù)對于個人資料保護之挑戰(zhàn)與因應(yīng)之道》，載《東吳法律學(xué)報》2020年第3期，第139-140頁。

具體而言，在告知層面，對告知協(xié)議的形式和內(nèi)容作出限定，盡可能以簡短、精煉的語言進行告知。網(wǎng)絡(luò)平臺提供告知時，可以藉由code或裝置本身提供隱私通知。不閱讀用戶隱私通知政策、隱私政策通知的冗長晦澀以及選擇“不同意”將失去使用的權(quán)利，其實質(zhì)均是沒有選擇權(quán)。對于這種情形，為了充分實現(xiàn)信息主體的知情權(quán)，保障其充分參與，隱私通知應(yīng)當(dāng)清楚簡化。歐盟《通用數(shù)據(jù)保護條例》（General Data Protection Regulation）鼓勵“資訊須簡潔，易于取得及理解，用語清楚簡明，且可適時視覺化”。關(guān)于沒有提供告知的情形或較難提供告知時，應(yīng)提供創(chuàng)新性的隱私通知方式，通過多樣化的方式充分保障信息主體的知情權(quán)。信息處理者的告知義務(wù)對應(yīng)著信息主體的知情權(quán)，以公共場所的視頻監(jiān)控為例，出于對知情權(quán)的保護，應(yīng)當(dāng)作出監(jiān)控設(shè)備的提示。告知方式的創(chuàng)新，有利于信息主體實質(zhì)性地參與個人信息收集與處理的過程，有助于大數(shù)據(jù)時代下個人隱私保護意識的提高。如果大數(shù)據(jù)對個人信息的非預(yù)期利用使得個人信息脫離最初收集目的，信息處理者有義務(wù)更新隱私通知，持續(xù)、動態(tài)地征求信息主體同意，確保信息主體知悉并且作出是否同意個人信息被新目的利用的決定。總之，信息主體的實質(zhì)性參與是保障知情同意原則實施的根本。創(chuàng)新隱私通知政策，為信息主體提供富有實效意義的隱私通知，盡早告知信息利用的目的，保障個人信息主體的權(quán)益，是大數(shù)據(jù)時代應(yīng)堅守之道。

四、結(jié)語

大數(shù)據(jù)技術(shù)的飛速發(fā)展對個人信息保護提出了新的要求。一方面，大數(shù)據(jù)快速收集與儲存各種來源的個人信息，其范圍不僅局限于互聯(lián)網(wǎng)，還包括越來越多傳統(tǒng)的數(shù)據(jù)集。另一方面，通過信息處理技術(shù)，個人信息之間被不斷地建立關(guān)聯(lián)、重復(fù)利用，甚至脫離最初的收集目的，被流轉(zhuǎn)至第三方手中。盡管大數(shù)據(jù)時代下個人信息權(quán)益保護遭遇了

前所未有的挑戰(zhàn)，然而，如果為了保護個人信息而制約大數(shù)據(jù)發(fā)展，其所帶來的負面影響將輻射整個社會。大數(shù)據(jù)的創(chuàng)新應(yīng)用是社會發(fā)展的驅(qū)動力，因此，個人信息保護與大數(shù)據(jù)發(fā)展必須同時兼顧。《個人信息保護法》的立法目的強調(diào)了個人信息權(quán)益保護和個人信息合理利用的平衡，二者不可偏廢。個人信息的安全價值和利用效率價值同等重要，因此，“大數(shù)據(jù)時代，個人信息法律保護不是單純的權(quán)利實現(xiàn)，而是要在個人信息有效利用與權(quán)利行使之間尋找平衡”，王秀哲：《大數(shù)據(jù)時代個人信息法律保護制度之重構(gòu)》，載《法學(xué)論壇》2018年第6期，第121頁。為兼顧大數(shù)據(jù)發(fā)展與隱私保護義務(wù)，應(yīng)當(dāng)制定個人信息開放規(guī)范以促進大數(shù)據(jù)發(fā)展，采取牢固的匿名化技術(shù)以實現(xiàn)個人信息的“去連結(jié)性”，將個人信息保護影響評估作為保護個人信息的有效工具，以“實質(zhì)性參與”作為告知同意原則完善的路徑取向，由此實現(xiàn)個人信息保護和利用的雙重目的。

The Operation Mode， Theoretical Dilemma and Protection Path of Personal Information in the Era of Big Data

XUE Wujuan

（School of Politics and Public Administration，China University of Political Science and Law，Beijing 100088，China）

Abstract：The rapid development and continuous application of big data technology have brought about a disruptive shift in the mode of operation of personal information， that is， personal information can be collected in huge quantities and recycled. On the one hand， big data rapidly collects and stores personal information from a variety of sources， not limited to the Internet， but also including data sets. On the other hand， through information processing technologies， personal information is constantly linked to each other and is not only used to answer or analyze the specific question， but also reused out of structured databases. In some cases， it is even transferred to a third party and recycled for purposes other than those for which it was originally collected. In this process， personal information is subject to the infringement of an individual’s personality， which is precisely the nature of the risk and the difficulty of protecting personal information in the era of big data. With the cumulative effect of personal information， big data can correlate unknown information， and its inappropriate application poses the risk of violating the right to self-determination and the right to privacy of personal information. On the one hand， the identification of big data can capture personal privacy， and the related automated decision-making can void the right to personal self-determination， and big data can also derive anonymous information or sensitive information. On the other hand， improper use of big data may conflict with the principles of protection set forth in the Personal Information Protection Law. For example， the principle of clarity of purpose， the principle of minimization， the principle of informed consent， and the principle of transparency of personal information. The rights and interests of personal information in the era of big data are facing unprecedented challenges， but if the development of big data is restricted in order to protect personal information， the negative impact will radiate to the whole society and the country. The innovative application of big data is the driving force， which can produce huge economic and social effects. Therefore， the protection of personal information and the development of big data must be taken into account at the same time. Firstly， the “open norms” of personal information should be formulated. The fact that most of the personal information is held by the governmental departments， and the government should adhere to the principle of “openness as a principle and no openness as an exception” and open data for public use， especially anonymous information， which plays an important role in enhancing national competitiveness and the development of science and technolgy. Secondly， solid anonymous techniques are adopted to de-anonymize personal information. For example， decentralized approach and personalized anonymity approach. Thirdly， we should utilize personal information protection impact assessment as an effective tool for protecting personal information， so that the results of personal information processing activities can be predicted and the risk of personal information security can be reduced through prior compliance assessment and risk assessment procedures. Lastly， the principle of informed consent should be improved through “substantive participation”， and the form and content of the informed agreement should be limited， so that substantive information is provided in as short and concise a language as possible.

Key words：personal information；big data；right to privacy；Personal Information Protection Law

基金項目：2021年度國家社科基金一般項目“行政法上第三人的權(quán)利保護”（21BFX050）

作者簡介：薛悟娟，女，法學(xué)博士，中國政法大學(xué)政治與公共管理學(xué)院博士后。