大数据时代，个人信息如何不再“裸奔”

近年来，因APP默认勾选、第三方数据采集等问题引发的纠纷频出，将个人信息保护的议题高密度地置于公共视野中。

大数据时代，消费者该怎样保护自己的合法权益，怎样维护自己的隐私、切实保护好自己的个人信息？除了依靠商家自觉之外，法律、监管等方面还能有何作为？对此，新京报记者采访了天津大学法学院卓越教授、中国民法学研究会副会长杨立新。

勾选项目必须醒目

新京报：互联网公司用默认勾选的方式，导致消费者在未留意的时候点击同意，有没有法律对这种行为进行规制？

杨立新：对于个人信息权，《民法总则》已经做了特别明确的规定，这就是第111条：“自然人的个人信息受法律保护。”在互联网领域，由于在网络上进行交易的特点，在签订合同之前无法进行协商，只能采取点击同意或者勾画的方式，确认接受交易规则。这是客观现实所致，不得不采取这样的缔约方式。

不过，按照国家有关部门的规定，在网络交易过程中，凡是涉及缔约接受交易规则的条款，必须在电脑页面醒目的位置，用醒目的字号和字体，进行充分的说明。这些要求，都包含在《民法总则》第111条关于“任何组织和个人需要获取他人个人信息的，应当依法取得，并确保信息安全，不得非法收集”的范围之内，否则即属于违法、违规行为。

在现实生活中，有些网站采取规避的方法，尽管在内容上也符合点击同意的要求，但是却采取相应的技术手段或者隐蔽的方式，或者规定特别复杂的内容，让消费者点击同意。由于消费者未加留意，或者不小心就点击了同意键，就会出现不利于自己的选择。这种行为属于变相的违法、违规行为，必须予以改正，否则有关部门应当追究其行政责任。

新京报：现在有很多购物平台、心理测试、网上答题，消费者想参与就必须选同意，这是否属于霸王条款？

杨立新：对于这样的问题，需要看到网络交易的客观实际情况。在网络交易中，双方当事人是背对背进行交易，无法进行面对面的谈判协商，如果消费者想在网络交易平台上进行交易，首先必须同意交易平台提出的交易规则，如果不同意网络交易平台提出的交易规则，就无法进入交易平台进行交易。这样的做法并不违法。

关键的问题是，要看网络交易平台提供的交易规则是否合法。对此，商务部和国家工商管理总局对网络交易平台提供交易规则，在实体上和程序上都做了特别的规定，如果网络交易平台提供的交易规则符合上述要求，没有显失公平的内容，网络交易平台这样的做法就是没问题。对此，不属于霸王条款，不属于不公平交易，不能够有异议。

在现行的网络交易中，如果消费者不同意交易规则的内容，当然就不能进入网络交易平台上进行交易。对此，不属于不公平交易，不能够有异议。

如果说网络交易平台提供的交易规则内容违法，那可以主张废除这样的交易规则，有显失公平的后果，也可以行使撤销权撤销这样的交易，造成损害的还可以请求损害赔偿。

个人信息不能超范围使用

新京报：个人的数据信息，什么情况下使用是合法的？什么情况下使用，是在侵犯公民个人隐私？

杨立新：个人数据信息的使用，首先还是要有获得他人个人信息的权利。例如，购买火车票、飞机票，要出示身份证，登录身份证号码，这就是有权获得他人个人信息。依法取得个人信息的网络服务提供者、其他企事业单位，国家机关及其工作人员，以及其他任何组织和个人，只要需要取得他人个人信息，就可以通过正当的途径获取他人个人信息。

在有权获得他人信息的情况下，获取了他人的个人信息，必须按照实际需要使用个人信息，不能超出实际需要的使用范围利用他人的个人信息。《民法总则》《消费者权益保护法》和人大常委会关于网络信息安全的决定规定了以下行为是侵害个人信息权的行为：一是非法出售他人个人信息，二是非法向他人提供他人个人信息，三是非法泄露他人个人信息，四是非法篡改他人个人信息，五是非法毁损他人个人信息，六是丢失他人个人信息，七是对泄露他人个人信息未及时采取补救措施，八是非法收集、使用、传输他人个人信息，九是提供或者公开他人个人信息等，都是侵害他人个人信息权的侵权行为。

这些侵权行为，因为《民法总则》都已经规定了个人信息是自然人的人格权，个人信息已经从隐私权保护中分离出来，因此不用隐私权来保护，而是直接以个人信息权来加以保护。

只有衍生数据才能交易

新京报：个人信息通过算法处理后，出现了商业的特征，在经济上具有交易价值。那么，大数据时代，个人信息权是当做财产权处分比较合适，还是将其视作人格权比较合适？

杨立新：个人信息通过存储、搜寻、开发、机器学习和算法处理后，形成的新数据，我们把它叫做衍生数据。这种数据已经和个人信息发生了分离，需具备无法识别个人信息的特征。以这种数据建立的民事权利就是数据专有权。数据专有权是知识产权性质的权利，特别具有财产的价值，是知识产权的一种新的类型，与原来的个人信息权作为人格权已经完全不同。换言之，个人信息权是自然人的人格权，经过加工产生的衍生数据，已经不是人格权了，而是形成了一个新的权利，就是经过加工产生衍生数据的人的数据专有权，其中当然包括财产价值，依据知识产权保护的方法对其财产价值给予保护。

新京报：什么样的信息可以用于商业化交易？什么样的信息属于个人隐私绝对不能进行交易？

杨立新：在我看来，信息有三种形式：第一种数据叫做个人隐私信息，这是隐私权保护的范围，保护个人隐私信息的权利就是隐私权。第二种数据叫做个人身份信息，是表明一个人身份特征的个人信息，例如，身份证号码、电话号码、个人账户信息等，这种个人信息用个人信息权予以保护。第三种就是衍生数据，是对网络上留存的庞大的、海量的、杂乱无章的个人数据进行加工处理形成的新的数据，与个人的身份信息已经进行了脱敏，这种数据就是衍生数据，确立的权利就是数据专有权。

在这三种数据形式中，只有衍生数据才可以进行商业处分。至于个人隐私信息和个人身份信息，都属于自己的人格权支配的范围，依照法律的规定进行支配，例如把个人隐私信息提供给他人作为文学创作的素材，或者把个人身份信息提供给他人作为进行交易的凭据，但是它们不是商品，不可以进行商业性质的交易。

信息给哪个第三方要说清楚

新京报：网络公司是否有权利将消费者的信息交给第三方公司使用，这么做违法吗？

杨立新：网络公司在获得消费者的信息授权后，必须在正当的范围内进行使用，没有权利把消费者的信息交给第三方公司，除非进行交易所必需。这种交易所必需的信息提供，例如，在网络交易平台进行销售活动，消费者把个人信息提供给销售者，销售者把消费者购买的商品交给快递公司投递时，可以将消费者的个人信息提供给快递公司，这是合法的。超出这样的范围，原则上构成侵权行为。

新京报：现实中，消费者在登录一些网站时，经常会被问道，是否同意将个人信息用于第三方，但并未告知具体将消费者信息给了哪个第三方，这算侵权吗？

杨立新：这是霸王条款，算是侵权。因为《互联网交易管理办法》不仅规定了经营者应采用显著方式提请消费者注意与消费者有重大利害关系的条款，还规定了，对于信息收集，要求经营者需明示收集、使用信息的目的、方式和范围，并经被收集者同意。否则，这就是侵权行为。也就是说，经营者到底将收集到的信息给了哪个第三方，适用什么范围、要去做什么，这都需要跟消费者讲明白。而且，消费者理当有充分的选择权。

新京报：现在还存在一种“过度获取公民个人信息”的情况，比如很多APP，为什么需要读取你的通讯录？为什么一个手电筒需要读取联系人？这些被调用的权限会不会泄露个人信息？

杨立新：这个问题还是在《民法总则》第111条规定的个人信息权的内容之中，《民法总则》第111条后段规定：“任何组织和个人需要获取他人个人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。”这就是有关组织和个人获取他人个人信息的原则。

网络交易平台组织进行网络交易，是有权获取参加交易的人的相关信息的，但是获取消费者的个人信息，一是要有权获取，二是获取的必须是相关信息。无权获取而获取他人个人信息，是侵权行为；有权获取他人个人信息，但是超出合法的范围而收集与交易不相关的个人信息，同样也是侵权行为，都要承担侵权责任。对此的防范方法，就是只要你不同意，你就明确表明自己的态度，不要轻易点击。

应采取更具体的立法措施

新京报：网上存在大量互联网平台背后收集、使用消费者信息却不告知的情况。对此，从立法方面入手，该怎样保护消费者个人隐私？

杨立新：出台《个人信息安全保护法》还是很有必要。不过目前，对于个人信息的保护，在立法上就有充足的根据。首先，《民法总则》规定的个人信息权，就是前边列举的《民法总则》第111条；其次，《消费者权益保护法》用三个条文规定的消费者的个人信息权及其保护；再次，人大常委会关于加强网络信息安全的决定有11个条文都是规定对个人信息的保护，其实已经相当于有一部个人信息保护法了。

但现在的问题是，对于侵害个人信息的刑事立法比较完备，侵害个人信息构成犯罪的，能够追究其刑事责任。但是，对于侵害个人信息的侵权行为，显然制裁不力。对此应该采取更具体的立法措施，对侵害个人信息的行为认定为侵权行为，责令承担损害赔偿责任。

但是，由于侵害个人信息权的行为，侵害每一个人的个人信息情节都比较轻微，按照现在的规则难以追究其侵权责任，因此我建议，立法规定与消费者权益保护法类似的最低赔偿额制度。例如，侵害一个人的个人信息只卖了一块钱，就可以按照《消费者权益保护法》规定的最低赔偿额赔偿500块，或者按照《食品安全法》的规定赔偿一千块，就能够调动个人信息权人保护自己权利的积极性，对侵害个人信息权的行为人予以有力的制裁，保护好个人的信息权。