作者：郑霞
大数据是近年来非常火热的一个话题，其起源可以追溯至2000年前后的互联网浪潮时期。彼时，为应对搜索引擎存储和处理数据的需要，谷歌提出了一套以分布式为特征的全新技术体系，即后来陆续公开的分布式文件系统（GFS）、分布式并行计算（MapReduce）和分布式数据库（BigTable）等技术，这些技术奠定了当前大数据技术的基础，被普遍认为是大数据技术的源头。麦肯锡环球研究院在2011年5月发布的《大数据：创新、竞争和生产力的下一个前沿》报告，最早提出了“大数据”的概念，在全世界范围内掀起了一股大数据热潮。
2012年，美国奥巴马政府宣布投资2亿美元启动“大数据研究和发展计划”，将大数据提升到国家战略层面。2013年，棱镜事件的曝光受到全世界的瞩目，使得大数据的存在及其使用为各国民众所知悉。而在日常生活中，我们也在日益感受着大数据业务的存在和影响。在此过程中，越来越多的经营者将他们的业务触角延伸到大数据业务经营领域，将大数据视为发展机遇和经济动力的新触发点。但同时，这也逐渐引起了普通民众对个人隐私被侵犯的忧虑和担心。
本文结合已发生的业务实例，从法律角度对大数据业务的主要法律关系，以及其中涉及的公民个人信息保护问题分析如下。
一、大数据业务中的主要法律关系
从商业逻辑角度看，大数据业务可以归纳为数据信息从挖掘、收集、整理、分析、应用和价值体现的一整条产业链。在这个链条上，至少存在着数据信息的提供方、数据信息的收集方、数据信息的应用服务方、以及数据信息的使用方。这些主体之间的关系可以简单描述为下图：
（数据信息的提供方）
在上述链条中，各主体之间的法律关系可以简单概括为以下几方面：
1数据信息的提供方与数据信息的收集方之间关于信息收集的法律关系
在大数据业务中，可能存在着多次的数据信息提供与收集过程。例如，自然人将其信息提供给信息收集方，征信机构为数据信息的收集方；其后，征信机构再将信息提供给他人，征信机构又成为了数据信息的提供方。在这个过程中：
第一，数据信息的首次提供中，信息提供方即信息主体，可以是自然人，也可以是企业等单位；数据信息可能是公民个人信息，也可能是单位信息。一般而言，数据信息收集方收集他人信息时，应当取得数据信息来源方的同意，否则不得收集。同时，参照《征信业管理条例》的规定和精神，对于“依照法律、行政法规规定公开的信息”，可以直接收集而无需取得信息提供方的同意。
第二，数据信息首次收集之后的后续传递过程中，数据信息提供方与数据信息收集方之间存在着数据信息提供与收集的法律关系，双方之间需要有合同基础。同时，还需要特别关注各方收集、提供行为的合法性。例如，从征信机构处收集信息时，需要关注征信机构是否拥有合法、有效而且与所开展业务相匹配的征信业务资质；又如，从银行收集信息时，需要关注银行是否已经就相关信息的收集和对外提供取得了相关用户的同意。
2数据信息的收集方与数据信息的应用服务方
数据信息的收集方取得数据信息后，可能直接提供给数据信息的使用方，也可能需要进行数据信息的分析处理。在分析处理过程中，形成了数据信息的收集方与应用服务方之间的服务关系。基于所涉及服务内容的不同，其法律关系存在多种情形。例如，因使用数据模型而存在的软件许可使用；又如，因使用数据存储、云存储服务而存在的服务关系。此类服务过程中，各方、特别是数据信息的收集方，需要特别关注服务所涉及数据信息的保密、使用限制等问题。
3数据信息的收集方与数据信息的使用方
数据信息的使用方，是大数据业务链条的最后一端，也是大数据业务价值的最终体现。此时的数据信息收集方，已经转化为数据信息的提供方，将所收集的信息提供给数据信息的使用方进行使用。某种程度上，使用方对数据信息的使用需求，促进了大数据产业链条的不断发展和完善。例如，银行向用户发放贷款的过程中，需要对用户的主体资格、信用情况进行调查。在传统模式中，银行需要委托律师提供此类法律服务，而且可能由于信息开放程度而受到影响；在大数据业务模式下，银行可以向征信机构、运营商、信息服务公司等不同主体征询用户的相关信用信息，从而更大程度上完善对用户的资格审核、降低放贷风险。
在这个过程中，数据信息的收集方与使用方之间同样存在着数据信息的提供与收集过程。同时，基于数据信息的加工、处理行为，经过加工、处理后的数据信息，可能已经无法识别、溯源到信息提供方，从而不再属于公民个人信息等需要保护的信息范畴。对于加工、处理后信息，收集方与使用方之间可能直接约定信息的提供与收集，而无需再取得信息主体的同意。但是，如果提供给数据信息使用方的信息仍然属于公民个人信息等需要保护的信息，则数据信息收集方、使用方仍需要就这些信息的提供与使用取得信息最初提供主体的同意。就这个问题，下述第二部分有详细论述。
二、大数据业务所涉公民个人信息保护问题
在法律层面对大数据业务关注最多的，应该是大数据业务过程中对公民个人信息的保护。一方面，大数据业务中应用最广泛、最常见的即是对公民个人信息的收集、数据化和使用，如果使用不当，具有很强的社会危害性；另一方面，我国现行法律对该问题进行了一些规定，也留有诸多问题需要进一步思考。
1公民个人信息的法律范畴
在讨论公民个人信息的法律保护前，首先要明确的就是公民个人信息的定义。一般认为，全国人民代表大会常务委员会《关于加强网络信息保护的决定》对公民个人信息进行了原则性的规定，即“能够识别公民个人身份和涉及公民个人隐私的信息”。在这一大原则下，最高人民法院《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律问题的规定》、工业和信息化部《电信和互联网用户个人信息保护规定》等规定从不同维度描述和列举了公民个人信息的表现形式，包括基因信息、病历资料、健康检查资料、犯罪记录、家庭住址、私人活动、姓名、出生日期、身份证件号码、电话号码、账号和密码等能够单独或者与其他信息结合识别用户的信息以及用户使用服务的时间、地点等信息。
基于上述规定，对于公民个人信息的认定，可以采取以下方式：
（1）对于现行法律法规已经明确规定的信息类型，可以直接认定为公民个人信息。例如上述规定所述的姓名、出生日期、家庭住址、病历资料等。
（2）对于现行法律法规没有明确规定的信息类型，需要根据“能够识别公民个人身份和涉及公民个人隐私的信息”这一基本原则进行判别。原则性规定本身的笼统性、包容性，以及实际情形的多样性，就决定了对这项原则的适用，需要结合具体问题进行具体分析，而不能一概而论。
其中，结合笔者在业务实践的了解和感受，在公民个人信息的认定中经常被问到的一个问题是，已经公开的个人信息是否属于公民个人信息。例如，个人名片上载明的信息，通过第三方网站上显示的个人信息，是否因其公开性而不属于公民个人信息的范畴。对此，笔者认为，该问题需要从以下几方面考虑：
（1）就“能够识别公民个人身份和涉及公民个人隐私的信息”这一基本原则而言，“能够识别公民个人身份”、“涉及公民个人隐私”是两个并列的条件，满足其中之一即构成公民个人信息。基于此，信息的公开性使得其可能不具备隐私性，但并未否决其“能够识别公民个人身份”这一要素。简言之，信息的“公开”本身，并不是否认信息属于公民个人信息的当然理由。
（2）需要进一步识别信息公开的原因，进而判断公开信息的法律意义和后果。例如，“依照法律、行政法规规定而进行公开”的信息，参照《征信业管理条例》的精神，应该可直接收集而无需取得公民本人的同意；至于公民本人公开、取得公民同意后公开的信息，公民在公开信息时应当已经预见到了他人可能获得和利用信息的可能性（同时还需要结合公开的范围等因素进行考虑），因此，笔者认为，上述公开行为构成公民对他人收集、使用其已公开信息的豁免，应可在公开范围内直接收集而无需取得公民本人的同意。但是，对于违法公开的信息，例如未经公民同意被他人公开散播的信息，其公开并非信息主体本人的真实意愿，因而也不应当对信息主体强加同意他人获取信息的法律意义和后果。
2数据信息与公民个人信息的关系
在大数据业务中，需要特别关注对公民个人信息的法律保护。由此涉及的一个基本问题是，大数据业务中的数据信息是否属于公民个人信息的范畴。就这个问题，不能一概而论，需要结合数据信息的表现形式、特征逐一甄别判断其是否符合上述“公民个人信息”的法律范畴。在遵守相关法律法规的前提下，建议采用“回溯识别”的方式，具体而言：
（1）如果数据分析结果中的信息可以体现公民个人身份，或者可以帮助信息获取方反向追踪到公民个人（或其使用的终端），则该信息应属于公民个人信息的范畴。例如，数据分析结果中有个人姓名、业务号码、IP地址等，信息使用方使用该信息可以确认个人身份，或者至少能够反推到个人的网络地址，那么具有此功能的信息均应属于公民个人信息。
（2）如果数据分析结果中的信息不足以体现个人身份、也不足以帮助信息使用方反向追踪到个人（或其使用的终端），即不具有任何个人身份、隐私的专属性，则该等数据分析结果应不属于个人信息。例如，通过数据分析所形成的信用报告，其中仅载明对一定期间内、一定数量的用户行为进行分析而得出的统计数据（如一定百分比的用户的兴趣点分布等），并不涉及或披露任何具体的个人或其行为，不属于公民个人信息。
3大数据业务中对公民个人信息的保护
如前所述，大数据业务的实质是对数据信息的采集和提供过程。对于属于公民个人信息范畴的数据信息，收集以及使用（包括整理、加工等行为）都应当依法遵循合法、正当、必要的原则，明示收集、使用信息的目的、方式和范围，经被收集者（即公民本人）的同意，并且对于所收集信息应当严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。
囿于成本过高，或者产业链条过长而缺乏与公民本人的直接接触等原因，实践中对于如何取得公民本人的同意，存在较多争议和操作难度。就该问题，可以从以下几方面考虑：
（1）从取得同意的方式来看，一般而言，以书面方式取得公民本人同意，具有最高的证据效力。但结合实际情况，也可以考虑以口头方式，或者短信等数据电文方式做出，但需要特别关注各种方式下的证据留存问题。但是，对于默示同意的方式，由于其法律效力存在争议，建议谨慎采用。
（2）从取得同意的环节来看，如果在使用过程中再就具体使用行为逐一征得公民同意存在较大困难，可以考虑调整业务流程，将取得公民同意的环节前置，例如在首次接触公民的环节即取得公民同意后续环节收集、使用其个人信息的意思表示，保证后续业务环节的顺畅进行。
（3）无论采取哪种方式、在哪个环节取得用户同意，都需要关注取得用户同意的内容，应当明确告知用户所使用信息的目的、方式和范围。例如，明确告知公民将使用其信息的内容和范围，以及做某某之用或提供给某某机构。