大数据时代个人数据利用与保护的均衡

       20世纪60年代电子信息技术在西方国家的初次普及，引发了公众对自身信息安全的普遍担忧，为此，逐步发展出“人格权”与“财产权”两种不同的个人数据保护模式①。如今，大数据技术的深化应用预示着人类社会的发展更加依赖各种个人数据的挖掘与使用，片面强调个人数据的保护已无法有效回应时代发展的需求。在大数据战略背景下，我国在个人数据保护问题上应当承袭他国经验抑或另谋进路?若另辟蹊径，又该如何处理个人数据利用与保护之间的关系?由于我国尚处于大数据发展期，数据交易规则及个人数据保护制度仍在形成阶段，上述问题的解决对我国未来大数据发展与个人数据安全的保障至关重要。

       以下，本文将总结并分析人格权与财产权两种传统个人数据保护模式的异同与缺陷，考察学界提出的三种平衡个人数据利用与保护方案的可行性；然后，借助经济学上公共物品概念，指出在大数据时代平衡个人数据利用与保护问题的实质在于如何通过制度设计合理圈定个人数据的流转范围，并在此基础上提出兼顾个人数据利用与保护的“资源准入模式”②；最后，针对我国目前大数据交易及立法实践，提出相应解释与建议。

       一、传统个人数据保护模式的现实困境

       (一)人格权与财产权保护模式的功效与异同

       传统的个人数据保护模式整体上可归为两类。一种是人格权模式，即认为公民对其个人数据享有人格权，并依靠制定严密的个人数据保护法来保障该人格权不受侵害；另一种是财产权模式，即在促进电子经济的理念下，将个人数据理解为财产，试图依靠市场的自我规制来解决个人数据的保护问题。

       如果将个人信息上附着的权利视为一项人格权，那么任何将个人信息商品化、物化的做法都是侵害人格尊严的表现。德国联邦宪法法院在1983年的“人口普查案”中，将个人数据上所依附的人格权具体化为“个人信息自决权”③。所谓个人信息自决，即个人有权决定在多大程度上、多大范围内对外公布关乎自身的各类信息。原则上只有个人知情并同意时，才可收集、使用该个人信息，并且由于将个人数据视为一种人格权，收集该信息之目的必须明确，任何超出收集目的的数据处理行为必须经个人重新同意。当然，个人信息自决权不应是无边无际的，为了不阻碍信息社会的发展，德国联邦宪法法院将个人信息自决权限于信息自动化处理这一前提之下，并指出该权利的行使要受到公共利益的限制。

       若将个人数据理解为个人财产，则主要依靠财产权规则与市场的自我调节机制对其加以保护。与人格权模式不同，财产权模式并不反对将个人信息商品化、物化，转而迎合网络经济、自由交易隐私利益的需求。财产权保护模式主要发展并盛行于美国，这与美国一贯以来反监管文化是分不开的。但需指出，即便在美国，目前财产权保护模式也只能说是一种理念上的承认，尽管不断有学者加以鼓吹论证，但少有制定法或司法判例对个人数据上的财产权予以明确承认。

       稍加比较即可发现，上述两种保护模式的出发点都是为了赋予个人对其自身信息一定的控制能力，但两种模式对个人数据上所依附的权利属性做了不同理解④，因此对是否可将个人数据物化与商品化采取了截然相反的态度。不同的权利设定也因此催生了不同的“知情同意框架”。在人格权模式下，为避免个人沦为任由他人操纵的信息客体，一个符合逻辑的结果是，不单是初次收集个人信息时需征得当事人同意，任何超越个人数据收集目的的使用或转让行为均需重新征得当事人同意。而在财产权模式下，按通常理解，买方在当事人出让其个人数据后即成为该个人数据的财产所有人，可以自由地将该个人数据转让给第三方而无须再经原当事人同意。Samuelson指出：“可转让性本来就是财产权的特征，当财产所有人已将自己的某一项利益出售给买方，不论这是何种利益，买方都可以自由地将此利益再转让给第三方。”[1]

       (二)大数据时代传统保护模式的可行性障碍与低效性缺陷

       上述两种个人数据保护模式虽有不同，但都根植于20世纪的信息技术水平与社会发展观念。如今在大数据深化应用的背景下，无论是信息总量、数据增长速度，还是数据交叉应用技术、数据采集技术等，均非几十年前的信息技术水平所能比拟。在新时代套用旧模式将出现难以逾越的可行性障碍与低效性缺陷。

       首先，人格权模式无法在大数据背景下继续取得预期效果。当今信息种类与数量不断膨胀，个人很难对每一次个人信息的收集目的与流向做出全面准确的判断或记录，企业也不可能在大数据时代一一识别每个个人数据之主体，或者就每个个人数据的各种潜在用途与当事人一一谈判。进一步说，过于强调个人数据流转与使用中的“目的限定”甚至会产生适得其反的后果，因为企业为规避人格权模式下违法使用公民个人信息的风险，势必在信息收集之初就尽可能复杂地设置各项个人信息授权条款以尽量囊括所有可能的个人信息使用目的，这使个人在出让个人信息时更难甚至不愿了解授权条款的各项具体内容[2]。此背景下，人格权保护模式难免流于形式。

       其次，财产权模式也难以发挥保护个人数据的作用。一方面是隐私市场本身即存在失灵现象，因为个人往往不具有足够的认知能力全面获悉其个人数据的使用目的与流向，无法做出信息对称的出让决定和全面准确的价格评估⑤；另一方面，财产权的可转让性一定程度上与保护个人数据之原意相悖。Samuelson指出，“新型的财产权体系应对个人数据的可转让性做出限制，否则信息性隐私将难以得到保护”，因为人们出于隐私安全的考虑总是希望买方不得再将个人信息转卖给第三方，除非与信息主体进行谈判并得到授权[1]。但若真如萨氏所主张的那样对财产权下的“可转让性”予以限缩，那么美国的财产权模式在结构上就相当接近于德国的人格权模式，上述德国模式的问题又将成为美国模式的问题。可见，尽管财产权模式在美国土生土长，但美国学者对此也存在极为纠结的态度，一方面主张以财产权保护公民个人信息，另一方面又无法全盘接受财产权的交易规则，其深层次原因在于财产法鼓励交易的目标设定在根本上与隐私保护的精神相背离。