當前，互聯網新技術新業(yè)務正改變著個人信息的收集和使用方式，對個人信息保護帶來巨大挑戰(zhàn)。云計算讓個人信息遠離個人終端，用戶對于個人信息的控制能力大大降低，個人甚至并不清楚其數據的存儲位置;移動互聯網更讓信息收集變得無處不在，且所收集的信息高度個人化，比如通訊錄、照片、郵件、App應用的使用信息等。如果說云計算、移動互聯網只是從量的層面加劇了個人信息保護的難度，那么大數據的出現則是從質的層面沖擊了個人信息保護制度存在的基礎，對個人信息保護規(guī)則帶來深遠影響。

大數據帶來“個人信息”界定困境

大數據帶來了“個人信息”的界定困境。個人信息是個人信息保護法中的核心概念。法律適用的基本前提是所涉及的信息是否為個人信息。如果不是，則不會構成對個人權利的侵害，也無適用法律規(guī)范的必要。傳統(tǒng)的個人信息保護法對于個人信息的界定，一般以“識別”為核心標準，它是指與個人相關的，能夠直接或間接識別特定自然人的信息。“可識別性”是個人信息最為重要的特征。盡管這是一個開放式的法律界定，但從個人信息保護法誕生的上世紀70年代看，具有“身份識別性”的信息是有限的。比如個人的姓名、家庭住址、電話號碼等。

然而互聯網技術業(yè)務的快速發(fā)展，已經將個人信息保護法的適用環(huán)境徹底改造。大數據的出現更是進一步模糊了個人信息與非個人信息的邊界。如果缺乏其他的數據源，很多信息將保持匿名的狀態(tài)。但是，在今天的網絡新世界，有無數可以利用的數據源。企業(yè)甚至是普通個人都越來越容易獲得有關個人的大量信息。此外，軟件算法和分析學的發(fā)展使得大量數據更易被關聯和聚合，大大增強了人們將非個人信息轉化為個人信息的能力。獲取信息以及將信息恢復身份屬性的成本正在急速下降。那么問題來了，如果個人信息保護法固守傳統(tǒng)，僅適用于嚴格界定的“個人信息”，那么在大數據環(huán)境下，數據利用的安全風險又如何被規(guī)制?如果個人信息保護法擴張個人信息的邊界，那么在又將擴張到何種程度，才能在法律上重新找到保護公民個人權利與促進技術發(fā)展之間的新的平衡點?

此外，大數據也大大刺激了企業(yè)收集信息的動機。大數據的出現使得信息成為戰(zhàn)略級資源。今天收集的信息未必在當下就可以被利用，它所蘊含的價值可待未來發(fā)掘。在大數據的刺激之下，個人信息保護法中的基本原則——收集信息的限制和必要原則在實踐中不斷被突破，企業(yè)不僅收集實現業(yè)務目的所必須的信息，也會收集無關的信息。這也是移動互聯網中普遍存在APP超出業(yè)務目的、超出范圍收集用戶個人信息現象的重要原因。并且在云計算技術的支撐下，企業(yè)可以更為長久地保存這些信息，以待日后挖掘。這意味著大量的個人信息不僅可能在今天被濫用，在幾年甚至幾十年后仍然可能被濫用。為提供此類收集行為的合法性，互聯網企業(yè)的隱私政策也越來越多地采取格式條款方式，對用戶的各類信息進行“一攬子”打包，賦予企業(yè)進行讀取、收集的權利。

個人信息保護制度面臨變革

在各類新技術業(yè)務特別是大數據帶來的巨大沖擊面前，個人信息保護制度將無可避免地面臨變革。激進的觀點認為：在當前的網絡環(huán)境下，隱私已經消亡，個人信息保護政策已到了退出歷史舞臺的時刻。從更遠的未來看，筆者并不否認這種論斷的可能性。因為技術本身對于價值觀念、法律制度的改造能力總是超乎人們的想象。就比如“00后”與“80后”在隱私觀念上已經有了顯著的變化，更年輕的一代更加積極主動地擁抱網絡，將自己的生活狀態(tài)甚至心情感悟等日常生活的點點滴滴都公布于網絡，并從中獲得分享樂趣。不可否認，新技術新業(yè)務正在以“春雨潤物細無聲”的方式，默默地影響甚至改造著人們的隱私觀念。然而雖然這是一個變革的趨勢，但并不意味著當下的我們就可以輕松地丟棄隱私保護。相反，在日益強大的技術能力面前，現實中更多的呼聲是如何加強對個人信息的保護，如何對個人信息保護法加以改革，以適應技術變革帶來的新挑戰(zhàn)和問題。

四項措施保護個人信息安全

2014年5月，美國白宮發(fā)布了《大數據：抓住機遇，堅守價值》報告。報告指出：大數據分析所擁有的潛力，將逐步侵蝕我們長久以來在公民權利保護方面形成的價值基石。但在挑戰(zhàn)面前，人與數據的關系應當擴展，而不是壓縮。一方面，大數據技術能夠提高政府的監(jiān)控能力，提升企業(yè)的市場洞察力，但大數據本身也蘊藏著解決信任、隱私、公民權利保護問題等方面的潛力。如果運用得當，大數據將成為社會進步的助推器。如果說上述論斷是一個“頂層設計”式的指導方針，那么在這一方針之下，還需要制定更具體的措施：

一、提升數據處理活動的透明度。個人數據如何被企業(yè)收集以及在企業(yè)之間共享應當對消費者透明。開展大數據分析的企業(yè)應當在其網站設置專欄，列明參與數據收集和分享的公司名單，介紹其數據活動，并為消費者提供更好地控制其信息被收集和使用的方法。

二、建立更具有實際意義、更富有效率的用戶個人信息保護機制。盡管“知情同意”制度在很多場合下仍然有效，但顯然已不能滿足大數據應用場景。個人信息保護機制應當朝更有意義、更可執(zhí)行、更與個人相關的方向改革。比如要求企業(yè)以更加簡潔易懂的方式告知用戶個人數據利用帶來的好處和弊端，而不是僅僅提供一個冗長復雜的隱私政策;要求企業(yè)遵循“隱私保護設計”原則，在產品的設計、研發(fā)、推廣、使用、市場退出等每個環(huán)節(jié)考慮用戶隱私保護要求，為用戶提供數據的全生命周期保護。

三、更加關注數據使用環(huán)節(jié)的安全風險。當前的個人信息保護法注重于用戶在個人信息“收集”環(huán)節(jié)的控制力。然而在新的網絡環(huán)境下，隨著信息收集的日益普遍，以及信息收集與業(yè)務使用之間的緊密依賴關系，事前的控制力相對來說已經不再那么重要。更重要的是用戶的信息在被使用的過程中，如何防止被濫用。比如針對大數據應用，企業(yè)要分析其相應的安全風險并提出與之匹配的保護措施。此外，“數據泄露通知”制度正在被更廣泛的引入立法，也反映了個人信息保護從注重事前知情同意到事后安全保障轉換的趨勢。

四、加強問責。對于在大數據應用中獲益的企業(yè)應當加強對其在個人信息保護方面的問責。這種問責不僅可以通過個人信息保護法律本身來追究，還可以通過合同機制進行傳導。因為在大數據應用產業(yè)鏈上，收集、處理數據的企業(yè)主體會更加繁多，數據的市場化交易也更加頻繁，更需要通過合同來約束相關方的數據處理行為。