大数据时代汽车消费者个人信息保护研究

中国已成为世界汽车产销大国，据统计，2017年中国汽车产销均超2 887万辆，连续9年蝉联全球第一。我国汽车拥有量和机动车驾驶人数量逐年增加，截至2017年底全国汽车保有量达2.17亿辆，全国汽车驾驶人达3.42亿人，中国已步入汽车社会。随着物联网、云计算、移动互联网等新技术的快速发展，汽车正从交通工具转变为大型移动智能终端、储能单元和数字空间，智能网联汽车呼之欲出，汽车消费数据、行为数据和环境数据正以前所未有的速度增长和积累，乘员、车辆、货物、运营平台与基础设施等将实现智能互联和数据共享。然而，大数据时代汽车社会的消费者个人信息保护不尽如人意，消费者个人信息保护面临着严峻的挑战和困境，亟需从理念、立法和制度上加以解决。

1 消费者个人信息的属性

各国立法与学界对个人信息的认识并不一致。首先表现在对“个人信息”的法律称谓上，有“个人数据”、“个人隐私”、“个人信息”、“个人资料”等各种叫法。其次表现在对“个人信息”的概念界定各不相同。但归纳起来，“可识别性”已成为共识，即个人信息是“可以直接或间接识别特定自然人的信息”，包括以下几个特征：1）主体是自然人；2）广泛性；3）可识别性；4）时效性；5）可共享性。［1］

关于个人信息的属性，大致有基本人权说、所有权客体说、财产权客体说、隐私权客体说、一般人格权客体说、新型权利客体说、独立人格权客体说等观点。从各国信息保护立法的历程来看，初衷都是为了保护信息主体的人格权。我国各法院对个人信息民事权益的法律属性认定也各不相同，有的认为个人信息权益属于隐私权，有的认为属于名誉权，有的则直接表述为个人信息权。［2］

笔者赞同个人信息同时承载着人格利益与财产利益，是一种兼具人格权和财产权双重性质的新型独立人格权。个人信息无论为谁所掌握，被谁利用，其均指向权利主体。而且个人信息与隐私密切相关，个人信息构成个人隐私的重要内容，但只有涉及个人不愿意他人知道的、未公开的敏感信息才是个人隐私，对大部分不处于保密状态，尤其是个人主动对外公开的个人信息，如姓名、地址、电话号码等常常被滥用的个人信息，就不属于个人隐私。［3］隐私也并不都以个人信息的形式存在。在信息时代，个人信息具有巨大的经济价值，尤其是若干个具有某种共同特性的主体的个人信息按一定的方式组成数据库，经加工、开发以反映某种群体的共性，个人信息的增值空间极大增加。［4］对个人信息予以保护的深层原因在于对个人信息的不当收集、处理与利用，将导致特定个人的精神、财产利益遭受损害。

2 大数据时代汽车消费者个人信息保护面临的挑战

大数据被认为是一种数据量很大、数据形式多样化、广泛存在于社交网络、物联网、电子商务中的非结构化数据。大数据呈现出4V+1C”的特点，即1）Variety，种类繁多；2）Volume，规模庞大；3）Velocity，处理速度快；4）Value，价值密度低；5）Complexity，复杂性加大。［5］大数据时代呈现出 3 个特征：“万物皆数化”、“数据价值化”、“世界智能化”。［6］维克多·舍恩伯格将大数据时代人类的思维革命总结成：1）不是随机样本，而是全体数据；2）不是精确性，而是混杂性；3）不是因果关系，而是相关关系。［7］随着汽车社会的来临，汽车消费者的个人信息保护正面临严峻的挑战。

2.1 汽车消费者的个人信息被不当收集和利用［8］

大数据时代，数据正在成为一种重要的生产资料乃至无形资产。“十三五”规划纲要明确指出，实施国家大数据战略，把大数据作为基础性战略资源，全面实施促进大数据发展行动，加快完善大数据产业链，加快推动数据资源共享开放和开发应用，助力产业转型升级和社会治理创新。［14］大数据产业和数据经济的蓬勃发展，智能交通、智能驾驶、智慧城市、离不开对汽车消费者大量个人数据的收集、分析和深度开发。车联网的推广普及将给大数据、云端应用等带来广阔空间，将大大加快汽车产品的电子化和智能化进程，一个“数据人”驱动商业的时代正在到来。事实上，从整个社会来看，个人信息的自由流动和个人权利保护之间构成一对矛盾。［15］每个人都有渴望过上舒适生活和生活不被打扰、隐私不被刺探的本能，但大数据产业的发展乃至汽车产业转型升级，似乎与消费者的这一本能需求水火不相容，大数据处理技术能通过表面上看起来不是个人数据的数据追溯到具体的个人，在“数据人时代”汽车消费者的隐私权和个人信息保护正受到前所未有的挑战。同时，日益蔓延的“隐私货币化”、“消费隐私”、“晒隐私”的大数据时代的风潮，也给汽车消费者个人信息保护带来了不小的冲击，如何平衡数据产业发展和消费者个人信息保护，是亟待解决的一个难题。

2）汽车4S店超出必要范围收集与汽车销售和服务特定交易无关的个人信息来了解消费者的消费习惯和消费偏好等。

成立护理质量综合评价指标体系课题小组，护理部主任负责小组主持工作，小组成员包括3名护理质量管理专家、2名信息工程师、3名临床护士长、3名护理骨干共11人；小组主要任务为提炼护理质量敏感指标、组织专家进行指标咨询及筛选、构建护理质量控制指标体系并嵌入护理信息系统、推进以指标监测为主线的护理质量控制。

三是重点工作要加快推进落实。要对照年度目标，坚持问题导向、目标导向来推进各项工作，特别是批而未供和闲置土地大清查大处置、乡村全域土地综合整治与生态修复等重点工作，要盯紧进度、加快完成。

3）经营者在收集汽车消费者个人信息的过程中故意隐瞒其真实的使用意图。未经汽车消费者同意超过原目的使用，如与合作企业共享甚至出售消费者个人信息。生活中常见的是，4S店将客户名单卖给信息中介公司，或直接卖给多家保险公司或与其共享，车险快到期时保险公司推销的车险电话就会“不请自来”，消费者的个人邮箱也会不时收到推销车险的邮件。2011年5月网络上出现了一份桂林车主个人信息名单，18万条桂林车主的资料，包括车牌号、车型号、车主名字、手机号、身份证号、地址、购车时间等被当成商品公然买卖［9］，这种出卖汽车消费者个人信息的行为，4S店、保险公司、车管所难脱干系。

4）对汽车消费者的个人信息进行二次开发利用，为日后商业决策提供依据。这种利用方式看起来合理合法，但消费者是否同意将自己的个人信息用于研究分析却是不得而知。

一方面，国家以及政府部门应当为HM货代的发展提供良好的环境，加大基础资源以及公共设施建设的投入，强化与各地区港口的合作，扩展合作范围，并给予一定的财务支持。例如降低HM货运代理公司的税率额度，提供福利公共用地，从而降低企业的运营成本。目前HM国际货运公司正在推行“保宏境通”平台，这是一个与税务局、海关等政府机构合作建立的平台。利用该平台，客户出口的货物每1美金便可享受5分人民币的退税。

2.2 汽车消费者的信息安全和隐私泄露风险加大

2010年北京市海淀区检察院对该院31件涉及个人信息泄露的案件进行分析，发现汽车销售、电信等行业因存在监管上的漏洞，消费者个人信息滥用情况尤为严重。［10］云计算、物联网时代，消费者个人数据和隐私被非法采集和利用的手段更加隐蔽。智能网联汽车的各类车载系统和传感器，会自动采集人、车、环境之间的信息，并将这些信息上传到后台服务器。还可以实现手机和车载智能设备的互联互通，这样手机中的个人数据就很容易被传送到车载智能设备后台数据库，汽车用户在享受车联网的高科技便利和全新的消费体验的同时，在不知不觉中变成了一个“透明的数据人”。汽车消费者的行为隐私、位置隐私和喜好等泄露的风险加剧，个人隐私数据被关联；个人数据在储存、传输过程中可能遭受病毒和黑客攻击，用户密码泄露，个人信息失守，让消费者处于一个信息失控的不安状态中。［11］大数据时代，消费者个人信息被侵犯的对象扩大，且泄露呈系统性、规模化特点，危害也更大。调查显示，当前人们对个人信息保护的社会现状安全感不高，超七成参与调研者认为个人信息泄露安全问题严重。［12］

2.3 汽车消费者维权困难重重

据有关机构关于个人信息保护情况的问卷调查显示，当被问及被侵犯时没有维权的原因时，60%的被调研者表示“不知道怎么维权”，44%的认为“因维权程序太复杂、成本太高而放弃维权”，34%的表示“因缺少维权证据而无奈放弃”。［12］深入分析，原因如下：1）我国至今没有个人信息保护基本法，现有民事基本法尚未明确消费者个人信息权被侵害后可以获得的损害赔偿的性质以及赔偿数额或计算方法。［13］2）现有的民事诉讼证据规则“谁主张，谁举证”，不利于受害者维权。个人信息流转环节众多，传播隐蔽复杂，追溯取证难度大，消费者很难证明自己所遭受的损害以及侵权行为与损害事实之间存在因果关系，胜诉率极低。即使偶有胜诉，获得的赔偿金额也很低。3）维权机制运行效率低。受害者若向行政机关举报进行查处，苦于提供证据困难无果而终；向公安机关报案，绝大多数的案件达不到侵犯公民个人信息罪的立案标准，无法追究违法分子的刑事责任；提起民事诉讼，举证难且耗时费力，维权成本太高。对消费者维权本应有所作为的社会团体和组织，也没有下设专门的消费者个人信息维权机构，建立相应的工作机制。对汽车消费者来讲，传统的汽车消费维权就已经非常困难了，对个人数据这种新兴权利，不要说维权，甚至不少人连自己被侵权了都不知道。

3 大数据时代汽车消费者个人信息保护面临的困境

3.1 汽车消费者个人信息保护与产业发展的冲突

1）未经汽车消费者本人同意而擅自收集其个人信息。如消费者在上网浏览网页、登陆各类社交资讯网站发表评论、在电商网站购物并通过第三方支付平台完成支付时，网站和APP软件在消费者不知情的情况下利用cookies技术自动获取汽车消费者个人信息。

3.2 新技术强烈冲击现有个人信息保护制度及其存在的基础

世界上现行的个人信息保护法律制度产生于20世纪70年代，当时计算机技术的出现给社会带来巨大变革。为了使个人信息及其附带的个人权利免遭计算机处理信息的方式带来的侵害，立法先进的国家纷纷以“识别”为核心标准对个人信息作了概念性界定，并以“知情-同意”为基石构筑了个人信息保护法律制度，注重对个人信息的保护而限制收集和利用，以维护个人的人格尊严。然而新技术的迅猛发展与商业应用的快速普及，彻底改变了个人信息保护法的适用环境。首先，移动互联网、车联网、智能穿戴设备和视频传感设备的应用，使个人信息的获取能力大大增强、且日益密集和隐蔽，表现出高度个人化、实时、动态、可追踪的特点，并能实现人、手机、车载电脑和其周围的环境进行信息交换和互动。其次，数据传输能力也得到飞跃发展，云计算使得过去偶然、临时的数据转移变为大规模、日常的全球数据流动，个人甚至不知道其个人数据的存储位置。再次，社交网络新业务、新技术的应用，人们越来越多地主动公开发布自己的观点、活动，甚至隐私，公开个人信息成为用户自愿并且日常化的行为。［13］最后，信息全生命周期中的多元主体尤其是第三方信息中介的力量日益壮大，而传统的个人信息保护制度对此没有规定。此外，软件科学的发展使非个人信息转化为个人信息的能力大大增强，个人信息与非个人信息之间的区分越来越模糊，个人信息的属性越来越取决于其收集和使用的场景，［16］而非一成不变。我国个人信息保护制度原本严重滞后，且呈碎片化，面临新技术的冲击，更是显得苍白无力。

3.3 现行个人信息保护制度执行受阻

大数据时代个人信息呈现出动态化、边界模糊、从重归属到重利用和隐私风险从前端收集向后端利用转移的特点，有必要以“依托场景的风险管理”理念构建消费者个人信息保护新思路，从而破解传统机制的困境。1）立法要明确承认个人信息的财产属性，适度放宽对消费者个人信息前端收集环节的限制，侧重对后端使用环节的监管。明确个人信息保护立法的宗旨就是促进个人信息资源的合法开发、利用和防止个人信息资源的滥用，实现信息流通和人格（隐私）保护之间的动态平衡。［15］2）全面导入“依托场景的风险管理”理念［16］和“经规划的隐私”（Privacy by Design简称PbD）［13］理念，变“目的限定”原则为尊重用户的主观合理预期原则和“风险限定”原则。强化隐私风险全程评估和个人信息全生命周期的风险控制，以“风险限定”为最终目标。个人信息的保护目标是合理控制隐私泄露的风险，防止个人信息被滥用，个人信息的利用尤其是二次开发利用是否合理，不在于该利用是否符合原初目的，而在于新目的和用途是否会引发不合理的风险。3）在利用用户信息时，以“相应场景中合理”为标准取代用户“同意”，只有在“不合理”时才需用户做出选择，以提升用户同意的针对性和可操作性。同时，运用隐私设计增强个人信息处理各环节的透明度，增进用户参与、控制和体验。

4 大数据时代汽车消费者个人信息保护的对策

4.1 导入全新的消费者个人信息保护理念

因我国个人信息保护制度原本严重滞后，此处重点分析在大数据时代世界上传统的以“知情—同意”为核心的个人信息保护制度执行上遇到的障碍。1）大数据的关联性，使还原个人身份的能力大大增强，个人信息的“脱敏”、“去身份化”处理越来越难。2）信息采集日益隐蔽且信息流转越来越复杂，无法完全做到预先、充分、有效的告知，且在许多场合下无法获得用户的真正有效同意。如在开车时或在其他场景下通过无线传输和传感设备收集个人信息，用户完全失去了参与信息控制的机会。［13］3）传统的个人信息利用的“目的限定原则”遭遇信息比对及二次开发利用的强烈冲击，个人信息超出原初目的的利用越来越普遍。尤其是在智能网联、跨界、共享等成为当今经济社会发展潮流的大势下，若严格执行传统的“知情—同意原则”和“目的限定原则”，是无法实现信息资源的效益最大化和高效化的，甚至会阻碍新兴产业和经济的发展。

4.2 建立汽车消费者个人信息保护法律体系

我国个人信息保护立法严重滞后，应顺应世界个人信息保护立法趋势，借鉴“国家主导，统一立法”的欧盟模式，高起点立法。1）加快汽车消费者个人信息保护的基本法立法进程，尽快制定颁布全国统一的《个人信息保护法》。舍弃个人信息精准定义的路径，明确规定公民个人信息权的具体内容，明确个人信息收集、处理、利用、跨国流通的原则；将政府机构和非政府机构的数据收集、处理与利用在一部个人数据基本法中予以规定；采纳个人信息分类分级保护的模式，将隐私影响评估纳入统一的风险评估体系，根据用户个人信息的内容、价值和安全风险的不同，分别给予不同程度的保护，依据不同的个人信息处理行为引发的风险等级，确立不同信息处理主体的相应保护义务；设立专门的个人信息保护国家监督机关，明确其职权。［13］2）细化《消费者权益保护法》中关于消费者个人信息保护的规定；针对互联网行业、汽车行业，尤其是智能网联汽车消费者，制定更具专业性、可操作性的个人信息保护特别法规范体系，在保护原则、保护力度、适用范围等方面与一般社会群体应有所区分。［17］3）以我国首个个人信息保护国家标准《信息安全技术公共及商用服务信息系统个人信息保护指南》为基础，制定汽车消费者个人信息保护国家标准、行业标准、第三方认证规范和智能网联汽车行业自治规范，为汽车产业链中的各商业主体加强行业自律，合法地收集、开发、利用汽车消费者的个人信息提供行为指引。

A 料：洋葱 100 g，西芹 100 g，老姜 150 g，香葱 75 g，香菇 50 g，青椒 100 g，保鲜青花椒 500 g，八角5 g，桂皮 10 g，甘草 3 g。

4.3 健全汽车消费者信息侵权的救济制度

1）完善刑事法律救济制度。在现行《刑法》侵犯人身权利罪一章中新增侵犯隐私罪，严禁非法窥探、收集、散播他人隐私，违者视为犯罪；在第五章侵犯财产罪中新增侵犯个人信息财产罪，对未经许可擅自商业化利用和非法出售个人信息的行为加以规范；在现行刑法第六章妨害社会管理秩序罪中增加一章滥用个人信息罪，包括发送垃圾信息罪、骚扰电话罪、假冒和滥用他人身份等罪名；以上均作为自诉案件处理。［18］

2）完善民事法律救济制度。首先，在侵权责任法中明确规定，个人信息的侵权赔偿为精神损害赔偿，但凡有侵权行为发生，无论后果严重与否，一律应给予赔偿，且规定赔偿下限而不设上限，对严重的信息侵权行为增加惩罚性赔偿。其次，修改现行的民事诉讼法，规定侵害个人信息权的案件实行“举证责任倒置”制度，即只要受害人能够举出证明侵权事实存在的初步证据，且能够初步推断出具体的侵权人是谁，则由“侵权人”提供证据证明其未实施侵权行为，否则就应承担侵权责任。最后，规定个人信息侵权实行集体诉讼制度和小额诉讼制度，受害人加入集体诉讼的程序采用“进入模式”，即判决只对那些明确加入索赔，并同意要受到最终判决约束的消费者具有法律效力。［13］

3）行政救济制度。消费者个人信息受到侵权，有权向国家专门监督机关提出控诉，监督机关必须限期作出处理和报告，监督机关在查明事实后，可以依法作出处罚；若监督机关未对该诉讼做出合理保护裁决或未在规定期限内告知数据主体，数据主体有权起诉监督机构。［13］

爱岗敬业是工匠精神最基本的要求，只有热爱自己岗位和职业的人才能真正用心投入工作之中，才能在自己的岗位上尽职尽责。在央视近期播出的纪录片——《大国工匠·匠心筑梦》中可以鲜明的看出这些能工巧匠和各个行业的精英人士都是在自己的岗位上勤勤恳恳的工作，在工作的过程中逐渐发现工作的乐趣，并且愿意在自己的岗位上奉献自己的青春，最终获得工作上的成就。他们成为大国工匠不是因为他们天赋异禀，而是因为他们把对职业感性的热爱转化为理性的追求，在工作的过程中不断地认识和理解自己工作的价值，最终通过自己的努力和创造成就自身的价值。因此，只有遵循了爱岗敬业这个基本的要求，才能在工作和生活中不断创造新的价值。

4）建立消费者个人信息保护的民间救济机制。组建由政府主管部门、公检法和汽车及零部件生产企业、销售企业、维修企业、互联网企业、信息中介等共同参与的个人信息保护联盟，在各级消费者协会和汽车行业协会内部下设汽车消费者信息保护分会，负责处理个人信息保护的投诉和纠纷。

5 结语

大数据时代，消费者个人信息的财产利益越来越受到商家重视，智能网联汽车的兴起和汽车的逐步普及，使汽车消费者的个人信息保护问题备受关注。汽车消费者个人信息权利的保护依赖于全国统一的个人信息保护法律制度的建立和完善，更需要汽车消费者自身不断提高个人信息的安全风险防控意识和权利意识。只有通过国家、民间机构、数据服务提供者和全体消费者的共同努力，才可能实现信息自由流动与数据产业的蓬勃发展和汽车消费者个人信息权利保护的协调共赢。

这一番闲话，陆枫桥不明所以，只因他年幼，阅浅太浅。秦铁崖也是不甚了了，因他离京城太远，不懂高层运势。秦铁崖虽说在江湖上威名赫赫，在六扇门中人人敬仰，官阶却不高，食从六品俸禄，听起来比七品县令官阶高，但其永远坐不了正堂，除非朝廷赐给他功名。而他的上峰崔宝卷，虽说只是知府，算不得地方大员，却也官居从四品。

参考文献：

［1］蒋坡.个人数据信息的法律保护［M］.北京：中国政法大学出版社，2008：3-6.

［2］张里安，韩旭.至大数据时代下个人信息权的私法属性［J］.法学论坛，2016（3）：121-127.

［3］郭瑜.个人数据保护法研究［M］.北京：北京大学出版社，2012：30.

［4］汤擎.试论个人数据与相关的法律关系［J］.华东政法大学学报，2000（5）：40-44.

［5］王倩，朱宏峰，刘天华.大数据安全的现状与发展［J］.计算机与网络，2013，39（16）：66-69.

［6］宣晓华.大数据时代的特征和思维［EB/OL］.［2017-10-25］.http：//www.unidt.com/research5.html.

［7］维克托·迈尔-舍恩伯格，肯尼思·库克耶著，盛杨燕、周涛译.大数据时代［M］.杭州：浙江人民出版社，2013：30，38，48.

［8］汪全胜，王庆武.网络空间个人数据的权利保护［J］.情报理论与实践，2004（1）：35-36.

［9］桂林晚报.桂林车主隐私遭泄露18万条信息卖1500元［EB/OL］.（2011-04-27）［2017-09-13］.http：//news.guilinlife.com/n/2011-04/27/165158.shtml.

［10］涂铭，李京华.个人信息倒卖产业链悄然形成：司法困境依旧待解［EB/OL］.（2011-06-20）.http：//tech.ifeng.com/trends/detail_2011_06/20/7116366_1.shtml.

［11］王聪慧.物联网时代隐私保护的法律探讨［D］.北京：中国政法大学，2011：14-20.

［12］互联网法治研究中心.中国个人信息安全和隐私保护报告［EB/OL］.（2016-11-25）［2017-09-13］.http：//www.199it.com/archives/540836.html.

［13］崔聪聪，巩姗姗，李仪，等.个人信息保护法研究［M］.北京：北京邮电大学出版社，2015：65-66，128-137，162-163，166-170，34，55.

［14］“十三五”规划纲要：实施国家大数据战略［EB/OL］.（2016-03-17）［2017-09-13］.http：//news.cnstock.com/news，bwkx-201603-3739168.htm.

［15］齐爱民.个人信息开发利用与人格权保护之衡平［J］.社会科学家，2007（2）：9-10.

［16］范为.大数据时代个人信息保护的路径重构［J］.环球法律评论，2016（5）：93-114.

［17］肖登辉，张文杰.个人信息权利保护的现实困境与破解之道［J］.情报理论与实践，2017（2）：53-54.

［18］张天潘.大数据背景下的个人信息保护立法［N］.南方都市报，2017-07-16（AA18）.