解读：大数据时代的信息隐私保护

【摘要】大数据时代，个人信息的非法收集和利用以及无处不在的数据监控给公民的信息隐私带来巨大威胁，而传统隐私权法已经跟不上时代发展的潮流。在数据资源的开发与利用成为潮流的今天，必须谨慎地设计信息隐私保护的路径，以期达到信息自由与隐私保护的平衡。信息隐私的保护路径可分为三种：就技术与激励路径而言，无论是到期日设计、电子管家软件，还是限制识别能力的技术，都旨在实现将信息隐私侵权消灭在萌芽状态；就行业自律而言，其既能有效填充法律的空白地带，又能将信息隐私保护具体化、标准化，同时还带来社会“软强制”；就权利构建路径而言，信息性隐私权保护在相关立法、执法和司法实践中都必须作出相应调整，以便与大数据时代的信息隐私保护相适应。

大数据因其“规模大”（Volume）、“数据处理快”（Velocity）、“　数据类型多”（Variety）和“　价值大”（Value）的“4V”特征而从根本上改变了国家管理和社会生活的传统模式，数据的收集和利用成为不可逆的潮流。然而，科学革命带来的不仅有奇迹，还有负面效应，我们在享受大数据分析和预测功能带来的高效与便捷的同时，不能付出公民隐私的代价。

一、大数据时代的信息隐私保护难题

（一）隐私权是一种现代性需要

通过研究隐私权的起源可以发现，隐私权的产生与科技进步密切相关。虽然布兰代斯和沃伦首创隐私权的直接原因是波士顿晚报对沃伦夫人私生活的侵犯，但助推这股“黄色新闻思潮”的正是“快拍相机”的发明。在《隐私权真的消失了吗？》中，Froomkin认为人的交易信息被追踪、电话被监听、网页浏览被记录，就连公共场合的活动也被摄像头监视，公民已无隐私可言。Orwell笔下的《一九八四》描述的就是这样一个社会，人们称其为Big Brother。

学者们担心：“行为人侵犯个人隐私权的行为不仅是对我们人格尊严的践踏，而且还将造成社会性的恐慌，或者预示着极权主义社会的到来。”但噩梦并不止于此，如果说Big Brother的隐喻指向政府监控，那么私营部门就是Little Brother。Katrin Byford认为：“如果放任网络时代的发展而不对其加以限制，那么Orwell式的隐喻就会产生一种截然不同的效果，即社会中主要的隐私权威胁并非来源于政府，而是来源于商业企业领域。”总而言之，社会中存在许多Big Brother和Little Brother，它们无时无刻不在收集并处理我们的隐私信息，就此而言，本应是权利主体的公民却变成了不断被处理的数据客体。

在越来越拥挤的社会生活和星罗棋布的监控生活中，隐私权传递的是公民对私人生活的向往和逃离公共生活的渴望。隐私权对私人领域的营造，“一定程度上所表达的是对于自我的追求，体现的是对精神利益和人格利益的渴求，彰显的是个人主义的思想”。大数据时代的信息收集和数据监控，混淆并淡化了传承自古希腊的私人领域和公共领域之两分，如果没有隐私权的限制，私生活自主这一基本人权将成为空谈。

（二）大数据时代信息隐私保护的困境

1.控制理论处于空中楼阁

 现行法律将控制理论视为数据保护法的核心，如克林顿政府信息基础特别工作小组在其起草的“提供和使用个人信息原则”（简称IITF原则）中指出：“所谓隐私权，是指他人所享有的对其个人信息、能够被识别的个人信息的获取、披露和使用予以控制的权利。”阿兰•威斯汀在《隐私与自由》一书中指出：“所谓隐私权，是指个人、群体或者机构所享有的决定何时、用什么样的方式以及在何种程度上将其信息对别人公开的权利。”不仅在美国，德国也是同样的情形。

德国联邦宪法法院在1983年的人口普查案中提出了“信息自决权”理论，并指出信息自决权是一般人格权的一部分。事实上，将控制理论作为信息隐私保护的核心的确能凸显公民的权利主体地位，但该理论存在致命的缺陷，即不管是自决还是控制都仅适用于信息的收集和初次使用阶段，对于个人数据的再挖掘及二次、三次利用，数据主体的控制能力就值得怀疑了。Solove就坦言个人对信息的控制权只是从理论上而言，实际上这种权利本身并不是一种控制权，相反，它是控制权缺乏的一种表现。舍恩伯格也说：“在大数据时代，我们需要设立一个不一样的隐私保护模式，这个模式应该更着重于数据使用者为其行为承担责任，而不是将重心放在收集数据之初取得个人同意上。”

2.监察与管制

对数据收集和处理行为的监管到底应采取“监察模式”还是“管制模式”？迄今，该问题并未引起学者和实务部门的重视，这当然也与我国并没有独立的数据保护法和保护机构有关。“监察模式”主要关注提出法律请求的特定个人情况，即如果个人围绕数据隐私的相关权利受到侵犯，数据保护机构会为个人提供救济，如限期改正甚至作出赔偿，采用此模式的国家主要有芬兰、瑞典、匈牙利等。

“管制模式”的侧重点在于保证法律的遵守。当收到违反数据保护法的投诉时，数据保护机构可以采取权限内的任何行动（并不仅仅考虑受损个人的补偿），以确保数据保护法得到遵守和执行，采用此模式的国家主要有法国、西班牙、波兰等。对该问题的“区分”直接关系到数据保护机构的功能配置：“监察模式”本质上是一种司法救济，“管制模式”却是一种行政管理。

3.司法实践困境

一般情况下，无论是个人信息的非法收集还是数据监控，对公民造成的隐私侵权更多地体现在“量”上而非“质”上。这种特殊状态的侵权行为带来司法救济的困境：

首先，集体行动难题让司法程序的启动变得艰难。每个人都是擅长功利计算的“经济人”，在面对大量受害者共存的情形下，每个人的最佳策略是“坐等”与“围观”，这种“搭便车”的心理使得权利救济十分困难。奥尔森指出：“当集体越小、利益冲突越激烈的时候，越容易联合；当集体越大、利益冲突并不明显的时候，越难联合。”

其次，取证是一大难题。如果说政府通过公权力途径收集个人信息的行为为公众所知晓，那商家的收集行为则无声无息，尤其在网络时代，不管是网上购物、交友、游戏娱乐还是信息发布，网站都在不知不觉间收集着我们的个人信息，这给取证带来的困难是技术上的。

再次，赔偿存在困难。尽管隐私侵权“损害人们精神上的平静与舒适，而且可能造成比单纯肉体伤害尖锐得多的痛苦”，但对侵害人格权益和精神利益只能“补偿”而不能“惩罚性赔偿”，这对公民采取司法途径寻求救济的热情无疑是浇了一盆冷水。

综上，数据资源的开发与利用固然是大势所趋，但在此过程中必须谨慎地设计信息隐私保护的路径。一方面，信息隐私保护是社会性工程，在法律保护之外，还需要在科技伦理（信息隐私保护技术）、行业自律方面共同发力；另一方面，法律保护公民信息隐私的核心是信息性隐私权，而该权利的构建必须打破隐私权与个人信息权利两分的壁垒，从而实现个人信息的有效利用与区分保护。

二、信息隐私保护的技术路径

从历史上看，大数据时代的信息隐私保护正在经历一个“先伤害、后弥补”的过程。科技推动我们前进，我们却总在科技发展带来一定损害之后才进行反思并试图补救。数据收集与处理这一“潘多拉的盒子”自打开后就再也合不上了，但更令人不安的是，信息隐私保护问题在我国并没有得到足够重视，不仅相关的立法和规范迟迟没有出台，隐私增强技术的研发也没有多少进展。虽然我们不确定“凡技术上的难题都能用技术来攻克”这一论断是否成立，但技术与激励路径却实实在在有益于公民的信息隐私保护。

（一）从设计着手隐私理念

从设计着手隐私（Privacy by by Design，简称PbD）是世界经济合作与发展组织于20世纪90年代首次提出的，该理念在反思技术创新与隐私保护的关系后，认为只有从一开始就按照隐私保护的需求设计和开发数据处理产品、程序和技术，才能使数据保护更加容易实施。具体而言，PbD是指把隐私主动地嵌入数据开发与挖掘技术、商业操作、网络架构中，把隐私保护看作是数据资源利用的核心问题之一而不是依从性问题。

2011年Ann Cavoukian提出了从设计着手隐私的7个基本原则：（1）主动而不是被动，预防而不是补救；（2）把隐私看作默认需求；（3）把隐私嵌入设计中；（4）全部功能——正和而不是零和；（5）端对端的安全机制——整个生命周期的保护；（6）可见性和透明性；（7）尊重用户的隐私。PbD理念的提出对数据产品和服务的开发研究具有重要的指向性意义，它与其说是大数据时代信息隐私保护的一项技术要求，不如说是一部技术纲领，越来越多的政府和企业都在PbD理念的影响下将“隐私侵权预防”放在前头，如IBM实体分析组首席科学家Jonas使用隐私增强技术“匿名识别”进行软件设计和开发，就是利用PbD理念开发出的意会系统。

（二）到期日设计

到期日设计并不是一项科学技术上的创新，而是一种数据存储的“生命周期”设计。个人信息一旦被存储于政府或商家的数据库中就几乎难以被删除，原因很简单，个人信息是可以重复利用的，“任何一位拥有资料库的人，都会希望得到消费者数据运用的次数愈多愈好。毕竟与可能的收入相比，后续的成本增加实在是微不足道”。

然而，这种基于现实经济利益的考量在很大程度上与数据保护法相违背。目的限制原则要求数据的收集与处理方式受到“目的”的约束，进一步讲，当目的达成后，数据已失去其继续存在的必要。就此而言，到期日设计是目的限制原则的必然结果：“如果是因为某特殊原因而需要将个人资料委托给某人，在目的实现之后，不再有允许使用该个人资料的条件，自然就该将个人资料删除。”

《欧盟数据保护指令》（1995）第6条表达了相同的意思，并且它已经成为许多全球性大公司隐私政策中的重要内容，如谷歌在2007年春决定对搜索引擎订下到期日：最多24个月后，就会删除搜索资料中的个人识别信息，后来又将这一时间缩短到9个月。微软、雅虎和搜索网站Ask.com等也分别宣布了自己的到期日时间。

（三）电子管家技术

“电子管家”之称源于著名网络法学家Lawrence Lessig，是一种“经由个体委托进行隐私权条款协商的隐私权代理工具”。电子管家在两方面将理念创新落到了实处：

一是它凸显了公民的“隐私偏好”及对“隐私偏好”的控制，公民有权决定是否将其公开；

二是它将平等与协商带入信息收集及处理的现实操作之中，削弱了政府及商家利用技术优势创造的权力鸿沟与实质上的强势地位。

在电子管家这类隐私代理工具中，最典型的就是万维网上的隐私设置平台（又称P3P）。P3P将使人们能够对自己的浏览器进行设置，从而对自己的个人信息进行分类，即哪些个人信息是他们愿意披露给其他网站的，而哪些信息是他们不愿对外披露的。电子管家技术与数据保护法中的基础权利——知情同意权——不谋而合，它的本质是一种选择性加入（Opt-in）程序，即未经信息主体同意，政府和商家不得私自收集和处理公民的个人信息。

大数据时代，公民对自身信息的被收集与处理往往是“无知”的，个人处于极度“被动”之中，而电子管家技术将扭转这种状态，由信息主体来决定自己的何种个人信息可以被收集以及用于何种用途。与P3P技术相类似的还有诸如Netcape和Microsoft浏览器中可调节的隐私保护设置，无论是将隐私安全等级提升，还是设置个人信息公开的对象，都不失为一种方便、快捷又能体现个人主体性的技术保障措施。

（四）限制识别能力的技术

限制识别能力是指对数据访问或数据输出作技术处理，使得数据使用者不能通过这些数据追溯到某个具体的可识别的个人。常见的限制识别能力技术有两种：

一是限制访问，即旨在限制他人识别个人身份的能力，如限制匿名访问、依权限等级不同限制访问等。

二是匿名处理或化名处理。《德国联邦数据保护法》第3条第6款规定，匿名处理是指修改个人数据以使有关私人或事实情况的个人信息无法与已识别的或者可识别出的自然人相对应，或者该对应需要付出大量成本；化名处理是指用符号代替姓名和其他可识别出的特征，以排除识别数据主体的可能性或者使这种识别变得非常困难。但不管是匿名处理还是化名处理，其目的都是限制他人通过数据识别个人信息的能力。

三、信息隐私保护的行业自律路径

大数据时代，将信息隐私保护的一部分重担交由行业自律完成有其独特的考量：一方面，在个人信息保护法尚未出台的情况下，行业自律是改变大数据收集与利用默认规则的最有力路径。以市场为导向的数据资源开发与利用始终以追逐利润为核心，由此带来的市场“潜规则”是个人信息可以被收集和利用，并且在此过程中，商家因其付出了劳动而享有对数据库（包括数据）的财产权，公民在这种默认规则下处于被动的信息隐私风险之中。

要改变这种默认规则，除法律外，另一有效途径便是行业自律，而事实上，行业规则作为“社会法”之一种，也发挥着规范市场行为的功能。另一方面，以行业自律来规范市场行为中的个人信息收集与利用，对数据产业的长远发展是非常有利的。如果数据资源的开发与利用建立在尊重并保护公民的信息隐私基础上，那么公民对企业及其产品的认同感将会大大提升，从而会在一定程度上加速我国数据产业的发展。

一般来说，市场对公民信息隐私的态度会经历一个由混乱到有序、由无视到尊重的转变，在这个转变过程中，行业自律将发挥重要作用。

首先，市场既是公民信息隐私的潜在威胁者，又是信息隐私保护的前沿实践者，原因就是技术优势与认同激励。早就有学者指出：“非官方手段在保护个人隐私权方面往往更加高效、敏感。这一点在保护隐私权的具体例子中已得到证实——通过科技手段、市场、行业自律、企业竞争以及个人判断，人们可以获得相当周全的隐私权保护。”就此而言，隐私增强技术的前沿开发者是市场，信息隐私保护的实践者也是市场，而市场的健康运行需要企业联盟并通过行业自律规范自身。

2012年11月1日，百度、奇虎360、搜狗、腾讯、新浪等12家搜索引擎企业在北京签署了《互联网搜索引擎服务自律公约》，该公约第一次明文规定搜索引擎企业必须遵守国际行业惯例与规则，遵守机器人协议（Robots协议）。该公约第10条规定：“搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全，收到权利人符合法律规定的通知后，应及时删除、断开侵权内容链接。”

其次，行业协会的诸多隐私权保护标准和原则能有效地填补法律的空白地带，成为事实上的隐私保护规范。

其一，行业协会能更有效地劝服其成员采纳并遵守行业的隐私保护规范，这可以称为一种社会“软强制”，相比正式法律的“宣言式条款”具有更强的认同感和执行力。

其二，行业协会准则能确定一些具体的权利义务内容，从而达到数据保护法规定的确定性与透明性要求。比如网站的隐私政策或隐私声明不能采用模糊化处理，必须明确地说明哪些个人信息将会被收集、所收集的个人信息将用于何种用途以及信息主体的权利条款等内容，违反上述规定的隐私政策或声明将受到行业协会的处罚或成为司法过程中的不利证据，这些规定详细而具体，具有事实上的可操作性。

其三，行业协会作为多元纠纷解决机制中的重要一环，将在事实上承担数据收集和利用过程中的个人信息隐私侵权的处理功能。相比司法程序，行业协会的处理更灵活，成本也更低廉，将是信息隐私侵权纠纷解决的最佳选择。

再次，行业协会能牵头完成隐私保护的标准化工作。也就是说，在国家正式法律尚未颁布之前，或者虽有正式立法但需将规范具体化的场合，行业协会自主制定一些规则供行业主体遵守。比如在信息隐私领域，欧盟委员会曾于1999年发布命令要求三大欧洲IT标准组织，即欧洲标准化委员会（CEN）、欧洲电子技术标准委员会（CENELEC）和欧洲电信标准协会（ETSI），共同建立一个“欧洲数据保护相关标准化开放平台”。这三个机构研发了一个名为“ISSS”的项目，作为“欧洲隐私标准推动方案”（IPSE）。隐私保护标准化相当于提供了一个模板，在数据资源的开发和利用过程中以此为参照，有利于实现国家利益、社会利益和个人利益的共赢。

最后，与标准化相关联的进一步措施即隐私认证计划，即由独立的机构或组织对那些拥有符合一定标准的隐私保护条款的公司予以认证。它类似于一个隐私的“绿色环保标志”，一方面促使各企业向该标准看齐，另一方面又对已经达到该标准的企业贴标签，形成事实上的“产品激励”机制。当然，在标准化认证与法律的关系上，可能存在行业标准与法律标准的不统一，在此情况下，行业标准必须是高于法律标准的。并且，在对企业及其产品进行标准化认证及贴标签的过程中，“标准化的工作是自愿的，对数据保护标准的遵守不能取代对遵守当地法律的要求，也不能推定为其已符合了遵守法律的标准。然而，所提供的法律激励可以使得产品符合标准（例如，通过在政府采购中对标准化了的或经过审查的产品给予优先选择）”。

四、信息隐私保护的权利构建路径

从根源上讲，信息隐私保护难题与法律的滞后性有关。虽然整体上法律与社会存在相适应，但在某个阶段，尤其是重大新兴技术出现及社会转型阶段，法律的滞后性就会比较明显。要想构建顺应时代发展的数字生态环境，必须在信息隐私权利的构建上作出突破性规定。

（一）信息性隐私权保护立法中的三个关键词

1“.可识别”概念的重新设计

尽管当下大数据时代的信息隐私保护是学术研究的热点，但从客观上讲，个人信息保护法（隐私法）的宗旨是“防止滥用，而不在于保护”，它强调通过合法的途径收集信息并在信息处理过程中遵从“公平信息实践”原则。因此，将信息性隐私权的权利边界定义过宽的话，反倒是“过犹不及”的表现。

“可识别”是解决这一问题的关键，它分为直接识别和间接识别两种，且无论哪一种，它们的地位是一样的，这一点已经被《德国联邦数据保护法》《经济合作发展组织隐私指引》《亚太经合组织隐私框架》中的相关条款所证明。但随之而来的问题就是“可识别”的范围太广了，正如Paul Ohm指出的，“可以识别个人身份的信息”这个概念存在致命的缺陷，它代表了欧盟式的“扩张主义”保护理念。与欧盟相反，美国对“可识别个人信息”的认定则是相对限缩的，是一种“还原主义”理念，即只对那些确定能识别的个人信息提供保护。

比较可行的是在“可识别”分类的基础上进行区分保护，如施瓦兹和索洛韦伊教授提出将“可以识别个人身份的信息”这个概念划分为“已经被识别的个人”数据和“可以用来识别个人身份的”数据，并对这两类数据进行区分对待。这个过程可以分为两步：

第一步，对于“已经被识别”的个人信息直接适用隐私权法，对“可以用来识别”的个人信息则进行具体衡量。以美国两个比较有名的案例为例，在Shibley V. Time, Inc.案中，一名《时代》杂志订阅者以《时代》杂志公司出售订阅者名单给第三方侵犯其隐私权为由，对《时代》杂志公司提起诉讼；在Double Click Inc.案中，Double Click公司收购了一家经营数据库的公司，该数据库包含有90%美国家庭的家庭成员姓名、地址、电话号码、详细消费经历等个体信息，原告以Double Click的数据收集和后续处理行为侵犯了其隐私权为由提起诉讼。我们对比分析一下，Shibley V.Time,Inc.案涉及的是杂志订阅信息，属于“可用来识别的个人信息”，而Double Click Inc.案涉及的是姓名、住址、电话等，既有“已经被识别”的个人信息，也有“可以用来识别的”个人信息，对此适用隐私权法进行保护已无疑问。

第二步，在仅涉及“可以用来识别的”个人信息的场合，要看这些个人信息是否构成一个人的完整“形象图谱”，即是否包含人格尊严要素。同样以上述两个案例为例，Shibley V.Time,Inc.案中，尽管原告声称其对于挑选杂志的偏好构成了他的个性特征，但是杂志订阅记录仅仅是消费生活中的很小的一部分，它不能完全代表一个人对于社会文化的选择和观点。但在Double Click Inc.案中，“被告几乎倾尽全力去编制并且兜售网页浏览者的个人信息，这些信息很有可能构成一个有关消费者自己的个体特征画像”。至此，Double Click公司的侵权行为成立。

2.权责明确

结合公平信息实践，就会发现个人信息控制理论存在两个漏洞：

一是个人信息的价值增值主要是在二次、三次应用上，而在这一阶段完整地实现“知情同意权”显然不太现实；

二是个人信息控制理论忽视甚至无视数据收集与处理者和公民之间巨大的权力鸿沟，也就是说，个人与大型机构之间由于存在巨大的知识、资源、平台等差异而造成双方地位不平等，试图以个人信息控制论消除这种不平等是不切实际的。我们需要转换思路，既然隐私法的宗旨是防止滥用，那我们就给“滥用”套上枷锁，即应着重于让数据收集和使用者承担责任。

一方面，数据使用者在数据资源的开发和利用中必须尊重公民围绕隐私的基本权利。另一方面，一旦发生侵权行为，数据使用者必须承担相应责任。因为“数据使用者比任何人都明白他们想要如何利用数据。他们的评估（或者由他们所雇用的专家进行的评估）避免了商业机密的泄露。也许更为重要的是，数据使用者是数据二级应用的最大受益者，所以理所当然应该让他们对自己的行为负责”。

3.惩罚性损害赔偿

在司法实践中，单个受侵害的公民提起诉讼是不明智的，因为成本太高而收益过低，若不设置惩罚性的损害赔偿制度，公民的诉讼热情便会消减。在信息隐私侵权案件中，设置惩罚性损害赔偿制度的目的并不是为了让受害人“致富”，而是一种谴责，“此类惩戒或许不能威慑其他潜在的侵害人，但至少可以说，一个社会通过其法律制度宣告了它发现一定的非犯罪行为是应受谴责的”。

事实上，这种情形国外早已有体现。将于2018年实施的欧盟《一般数据保护条例》第83条就规定了巨额罚款，这种规定已经超出对侵犯一般人格权（隐私权）产生的精神损害抚慰金的范围，而是转向重视惩罚性赔偿。迪特尔•施瓦布指出：“对于对一般人格权的严重侵害给予金钱赔偿，按照德国联邦最高法院的观点来说并不是抚慰金的‘原本意思’，而是一种‘法律救济’，用以防止对人的尊严和名誉的侵害得不到制裁以及防止对人格的法律保护日渐萎缩。”

在美国，《美国侵权法重述》（第2版）对隐私侵权的补偿论述更为慎重：“当原告在一件隐私侵权案中胜诉，则他能对以下几项损害获得赔偿：侵权行为对隐私利益造成的损害；原告遭受的精神损害如果能够被证明通常会由该侵权行为引起；侵权行为所造成的特殊赔偿。”上述三项赔偿也远远超出“补偿”“抚慰”的范畴，我们可以在一些案件中发现端倪，尽管陪审团是以“精神与情感损害”为由去支持那些数额巨大的裁决，但事实上几乎没有客观证据能够证明这些情感损害的程度。

《美国侵权法重述》（第2版）将这种赔偿视作对原告诉求的肯定：“在人格侵权行为的几种类型中，法律的目的均在于为受害者辩白。在名誉侵权案件或隐私侵扰案件中……诉讼的主要目的可能是向公众声明，原告的诉求正确合理，他的确遭到了无理的对待。这不是一个仅用名义赔偿金就能保护的法律权利，通常还需要惩罚性赔偿。”

（二）信息性隐私权保护的两个执法要件

1.专门机构的设立

世界上很多国家均设置有专门数据保护机构对数据资源开发与利用过程中的信息隐私进行保护，如英国的信息专员办公室、法国的国家信息与自由委员会、美国的联邦贸易委员会等。专门数据保护机构执法权体现在三个方面：

首先，对数据隐私保护的指导、建议权。如英国信息专员就在一份指导文件中指出“对信息是否构成‘个人数据’的判断，在很大程度上取决于它是否影响个人的‘隐私’，以及它是否可能对个人产生不利影响”。法国国家信息与自由委员会制定并通过了《互联网个人信息保护指南》（2006），引导企业和个人加强个人信息保护。

其次，信息市场的监管执法权。不管是采取“监察”模式还是“管制”模式，保护机构都会在创造自由、开放的信息市场环境和监督公平、公正的信息实践方面发挥专门作用，尤其是在收到民众关于信息隐私侵权案件的投诉时，数据保护机构将在法律规定的权限内用尽一切手段进行调查和处理。

再次，代表公民利益、作为独立机构提起诉讼的权力。如美国联邦贸易委员会在2009年指控Sears公司付费给消费者使用的一款软件涉嫌追踪消费者的网页浏览记录，2010年又指控Echometrix公司设计的一款家长控制软件秘密收集儿童上网行为数据，在“私人诉权”不完善的时候，它事实上发挥了公益诉讼主体的功能。

2.执法措施的多样化

与数据保护机构的职能相对应，其执法措施主要有以下四种：

（1）稽查和调查，比如对数据资源开发或利用公司的工作场所和数据处理设备进行稽查和调查。

（2）行政禁令，即命令对方采取或不采取行动的执法措施，如2006年挪威数据保护署以生物数据处理违反了挪威数据保护法为由，禁止在笔记本电脑上使用指纹识别器；英国信息专员办公室也曾命令一家网站删除通过选民名册收集的个人信息。

（3）罚款，如法国国家信息与自由委员会对相关违反个人信息保护的违法或侵权行为最高可以罚款30万欧元；西班牙数据保护署在2000年7月曾对微软Iberica SRL公司科以1000万比索的罚款，因为该公司在没有征得数据主体同意的情况下进行个人数据处理。

（4）以独立名义提起诉讼，尤其是在民事侵权领域。

（三）信息性隐私权司法保护的可操作性改造

1.集体行动难题的克服

“每一次个别的信息收集都是非常不起眼且无害的；只有在成百上千的行为人将一段时间内收集而来的信息聚集后，才会对他人造成危险。”因此，擅长功利计算的个人往往什么都不做，等待搭“顺风车”，这就是信息隐私侵权救济中的集体行动难题。

早在两千多年前，亚里士多德就认识到“凡是属于最多数人的公共事务，却常常受到最少人的照顾，人们关怀着自己的所有，而忽视公共事务；对于公共的一切，他至多只留心到其中和他个人有些相关的事物”。这是“经济人”的本性，要想打破这种局面，可采取两种方法：第一种是激励机制。虽然“人类精神的生存条件之一即主张权利……抵抗这一侵害便成为权利主体的义务”，但现实中，成本与收益的不对等会消弭权利主体付诸行动的积极性。

奥尔森认为：“一个集体、一个社会，要建立合适的激励机制，奖励那些为共同利益作出贡献的个人，惩罚那些没有承担集体行动成本的‘搭便车者’，从而营造关心公共利益的社会文化和运行机制。”至于激励的方式，既可以是物质上的，也可以是精神上的，总之，不能让那些热心“公共事务”的公民既“跑了腿”又“寒了心”。第二种是公益诉讼的方式，即由专门数据保护机构或检察院提起诉讼。

如在美国，《金融服务现代化法》规定联邦贸易委员会可以提起诉讼，《网络隐私保护法》《销售电话消费者保护法》允许州检察官“代表本州人民的利益”提起诉讼，这种在私人诉权之外设置特定职能机构代为诉讼的方式不仅能解决集体行动困境，还可以利用其权力地位与技术优势解决个人在信息隐私侵权举证上的难题。

2.信息隐私侵权责任构成要件的主观方面和客观方面

在信息隐私侵权的司法救济中，权利主体必须完成两方面的举证：一是对个人信息持有合理的隐私期待；二是证明损害后果的发生。两者一为主观方面，一为客观方面。

首先，合理的隐私期待既是判断个人信息是否具备“可识别性”、是否与人格尊严相关联的重要标准，又是公民信息性隐私权保护的正当性论证。它最早是在Katz v. United States案中被提出，其适用范围也由最初的《美国联邦宪法第四修正案》扩展到了民事领域。公民对其任何个人信息并不想当然地拥有隐私期待，法院在处理这类案件时也会考虑数据开发与利用行为侵犯了他人对隐私的何种期待，以及他人的这种期待是否合理，法律只保护真实且合理的隐私期待。

值得注意的一个趋势是，随着以“Web 2.0”为基础的自媒体不断涌现以及信息收集和监控技术的不断进步，社会公众的隐私期待已经逐步削弱，甚至自曝隐私成为一种致富、成名的手段。但无论如何，在权利主体“自愿地”披露隐私之外，合理的隐私期待应成为信息隐私保护的首要判断标准。

其次，信息隐私侵权的损害后果往往是精神上的，当然也可能会伴随物质上的。在财产权的人格化领域，我们可以通过论证财产的稀缺、珍贵以及附着其上的精神利益来证明其价值，但在信息隐私侵权只有精神损害的场合，要怎样证明它的存在以及受损害程度呢？德国联邦宪法法院在判断一般人格权的侵害程度时提出了领域理论，即个人私生活可分为隐秘领域、私密领域及个人领域，其中，隐秘领域的实质内容来自人性尊严的核心，享有绝对保护，任何侵害均应被排除，例如性行为；其他两个领域则需进行利益衡量以决定是否对其予以保护。依此理论，隐私侵权的损害后果自侵权行为发生之时就已经产生了，损害程度仅需论证受侵犯的信息隐私与私人领域距离的远近就可以了。

来源：http://www.iolaw.org.cn/showNews.aspx?id=60780