法学毕业论文
摘要:随着大数据时代信息技术的迅猛发展, 个人信息的互联网采集现象越来越普遍。但个人信息的特殊属性使得个人信息保护与企业使用之间的矛盾与冲突日渐显现, 如个人信息权属不明确、企业过度使用等。寻求平衡这些矛盾的解决方案至为重要。“卡—梅框架”理论对个人信息的使用与保护具有理论与现实的指导价值。我国应当通过立法明确个人信息的权利性质与归属, 适用混合规则保护以达到个人信息保护与企业使用的衡平, 以期形成一套完善的司法规制体系。
关键词:大数据; 个人信息; 企业使用; GDPR; “卡-梅框架”;
当今社会正处于社交、科研、生活无不依赖于大数据的信息化时代。随着信息网络技术的迅猛发展, 每个人的行为痕迹都会主动或被动地暴露在“阳光”下, 信息共享成为了必然。海量网民信息整合再利用已然成为一个企业1的直接财富乃至成为其创新性的核心竞争力。但企业大量信息的搜集分析再利用使得信息滥用、信息泄露等问题时常发生, 严重时会侵害个人权益、尊严和自由, 甚至造成人身和财产的损害。由此可见, 个人信息保护与企业使用的平衡问题, 是大数据时代的一大难题。本文即在分析个人信息的特殊属性基础上, 探讨目前企业使用个人信息与个人信息保护之间存在的冲突及解决措施。
一、大数据时代个人信息的特殊属性
(一) 个人信息的公共属性
“在关于个人信息保护的法律法规形成和实施过程中, 信息主体对个人信息收集、使用的控制与信息控制人最大可能地自由使用个人信息之间一直存在冲突。”[1]虽然一些发达国家在立法中都比较重视个人信息的流通利用, 但是因为最早的个人信息保护与个人的人格尊严密不可分, 本着对个人尊严的维护, 应该允许个人对他人有所隐瞒, 只有当个人可以支配其个人信息时, 其人格才可能自由发展[2]。这一传统理论过分强调了个人信息的私人属性, 将个人信息划为私人产品, 导致个人信息应当由个人控制的观念根深蒂固。但普林斯教授认为:“目前个人数据在定义上, 几乎被视为公共领域的组成部分, 是可以广泛获得和使用的。无论从实践还是从法律目的上, 个人数据均处于公共领域。”[3]德国“人口普查案”曾提出信息自决权概念, 在其判决书中也可以寻找到传统个人信息保护理念的痕迹, 该案虽认识到个人享有个人信息自治权和自决权, 但判决书中明确表示个人对个人信息并不享有绝对的支配权。个人信息保护仍然要受比例原则的限制[4], 也就是说目前个人信息的传统理论在不断转变, 对个人信息的认知逐渐从私人产品转变为准公共产品, 以满足社会的公益需求及政府调节下的市场需求。
以社会需求为划分标准, 可以将所有产品分为公共产品、私人产品、准公共产品。著名经济学家萨缪尔森于1954年、1955年相继发表两篇论文来论证什么是公共产品后理论界基本达成共识, 公共产品是具有消费的非排他性和非竞争性等特征的产品[5]。私人产品与之相反具有排他性和竞争性。而人们最常面对的是介于两者中间形态的准公共产品, 同时具有私人属性与公共属性, 是私人产品被赋予公共属性的一种特殊体现。准公共产品的存在是由于产品消费越来越属于或接近于社会的公益目标, 2大量的市场需求下越来越多的私人产品被赋予公共属性而成为准公共产品, 同时也是政府干预校正市场的结果之一[6]。
公益性与排他性是私人产品向准公共产品转换的重要依据。兼具公益性与排他性的个人信息是市场需求下转变为准公共产品的典型代表。首先, 个人信息由于其固有的人格权属性, 天然的具有排他性, 但在社会与政府根据市场需求的调解下, 部分个人信息被赋予社会性与公益性, 在私人性与公共性之间划分了边界, 虽然两者之间的界限并不明显, 始终处于动态的变化过程中, 其公共性的强弱程度难以辨别, 但并不影响个人信息具有公共属性。其次, 信息技术的革新使得“排他”技术的成本投入远超出其所带来的收益, 个人对个人信息的排他控制权在逐渐减弱。再次, 个人信息的非竞争性也随着技术的发展慢慢凸显, 任何企业对个人信息的收集使用都不会影响到其他企业或个人对个人信息的消费。同时, 个人信息本身是由个人在生活中所衍生出的外延信息, 并非所有的衍生信息都具有人格权属性归私人独有, 而法律所要保护的个人信息客体仅仅是个人的人格权不会受到侵害, 而不是将个人信息作为个人所独有的权利, 进行排他性的垄断支配。如姓名权是识别一个人最直接的信息, 也是人在社会生活中被标识的基本符号, 这就决定了姓名的公开性。而法律所要保护的法益是人格独立与自由, 所以个人对姓名享有的是正当且自由的使用权而不是排他性的支配权, 企业同样可以在不侵犯人格权的前提下使用此姓名。
(二) 个人信息的财产属性
在推崇言论自由且网络信息科技产业最为发达的美国, 理论界认为个人信息之所以受到保护, 根本原因在于它具有财产属性, 可以视为财产权, 即“个人对他们的个人信息拥有所有权, 并且如同财产的所有人那样, 有权控制对其个人信息的任何使用”[7]。与此同时, 美国企业界对保护数据财产权的呼声也持续不断, 为此通过了一部《统一计算机信息交易法》正式确定个人信息为一项独立的民事权利, 而财产权是个人信息的客体[8]。虽然这部法律并未被所有州采纳, 但不少美国法院在公司收集整合信息时也会将信息视为一种财产, 例如2001年的“DoubleClick案”便是法院将个人信息作为财产判例的典型代表。3处理个人数据的公司也越来越多的将其视为一种共识, 公司从消费者那里收集信息 (通常作为商品或服务销售过程中的交换条件) 进行加工处理, 并将其出售给其他公司[9]。也就是说, 个人信息不再只是受到人格权的保护更多时候应当作为一种商业化处分的财产利益保护。
尽管欧盟最新出台的GDPR中对个人数据保护还是以人权理论为基础并未使用任何财产术语, 但雅各布·维克托 (Jacob M.Victor) 发表在《耶鲁法律评论》上的一篇文章认为, GDPR实际上是在个人数据中建立财产制度, 其中对个人数据的规定有三个特征都可表明GDPR将个人数据视为一种财产[10]。首先, GDPR确立了数据主体拥有维护其个人信息的默认权利, 这些个人信息具有部分可转让性。第6条4对个人信息的处理分为两种情况:其一, 在通常有限的情况下, 数据的处理和收集是合法的, 且需要数据主体的明确“同意”;其二, 在一些具体情况中, 数据用户有义务进行数据处理, 即使没有数据主体的同意仍是合法的, 但个人始终保持对数据的最终权利。其次, 数据主体的权利造成“运行”数据的负担。GDPR将权利与责任置于数据本身, 数据用户无论是否经过数据主体同意使用数据, 都需要对数据承担义务, 不能随意使用处分数据。最后, 数据主体可以寻求基于财产规则的补救措施。GDPR为数据主体提供了若干救济途径, 数据主体可以向监管机构提出投诉也可以直接向法院提起诉讼[9]。从这三个特征来理解GDPR对数据的保护是从财产权角度出发具有很强的说服力。数据主体的默认权利是个人对数据控制权强化的体现;对数据用户的责任限制在于GDPR已将权利与责任内置于数据本身;而财产规则的补救措施体现的也是财产规则而非责任规则[10]。
从经济学角度对“财产”的理解应当同时具备使用价值与交换价值。个人信息的财产属性既不是物权中所规定的“物”的财产属性, 也不是民法中财产权所具有的财产属性, 而是将财产权抽象出来, 只要与经济利益相关或者可以产生经济结果都可以被评价为法律中的财产属性[11]。波斯纳《法律的经济学分析》一书中将经济学的“财富最大化”理论转变为了法律的重要价值[12]。这里的“财富”不是指具体的金钱交换, 而是人们愿意支付什么来作为合理对价 (包括有形与无形的物) [13]。我国首个大数据交易所 (贵阳交易所) 在国家的支持与监管体制下开展对数据定价、交易、支付等服务, 并以价值200万的数据信息作为对价换取舆讯科技15%的股份[14]。个人信息成为企业与企业等价交换时所付出的代价, 以代替金钱产生财产价值, 实现社会的“财富最大化”。股权作为《民法总则》125条所规定的民事权利, 具有财产属性, 贵阳交易所以信息作为对价交换股权充分证明了信息的可交易性。5而信息既然可以作为交换对象代表其具有可转移性。当下全国各地都在成立数据交易所, 从国家监管层面颁布了《国务院关于印发促进大数据发展行动纲要的通知》, 在交易所自身层面也在制定各种交易规则促进数据交易, 无论从国家还是交易所自身的规定都将信息作为交换对象, 其转让性不再成为问题。
二、大数据时代个人信息保护与企业使用之间的冲突
由于个人信息其特殊属性的存在, 使得个人信息在当下被企业作为数据经济的“货币”广泛使用, 个人信息的商业化已成为大数据时代不可逆的新趋势, 但由此引发的个人信息权属争议、信息过度使用等问题接踵而来。
(一) 个人信息权属不明确
个人信息人格化的特征决定个人信息应当以信息主体控制为核心。虽然各国所规定的信息主体权利内容有所不同, 但其人格化特征决定了个人对个人信息享有初始支配地位[15]。但随着传统理论的转变, 个人信息已不再仅为私人所有, 而是被赋予公共属性。而当前立法对于具有公共属性的个人信息权利配置并未做出明确规定, 例如2014年“朱烨诉北京百度网讯科技有限公司隐私权纠纷案”是国内相关问题首个案例。百度未经朱烨允许, 利用跟踪技术记录其搜索的相关内容并进行广告投放, 该行为侵犯了朱烨的隐私权, 对朱烨的生活和精神造成了极大的影响, 因此, 朱烨要求百度立即停止侵害并进行损害赔偿。但百度公司辩解称网站首页的“隐私权声明保护”中已明确告知用户使用cookie技术为用户服务, 充分地保障了用户的知情权及选择权。一审江苏省南京市鼓楼区人民法院判决被告百度公司向原告朱烨赔礼道歉并赔偿其公证费1 000元。但二审法院裁定驳回了朱烨所有的诉讼请求[16]。同一个案子一审认定其侵犯隐私权而二审认为不侵犯隐私权, 可见司法实践中个人信息的权属分配问题仍然存在争议[17]。由此, 使得企业在使用个人信息时权利归属出现“真空地带”, 企业不将个人信息权利归属视为个人所有, 而是归企业所有, 导致隐私条款成为“霸王条款”。首先, 在隐私条款的设计中, 企业对个人信息的收集和使用不加以区分, 采取统一授权。其次, 隐私条款的同意授权是个人使用企业开发程序的前提条件, 也就是说企业并未给个人在使用程序时充分的选择权, 而是将个人信息的收集使用权牢牢掌握在自己手里。再次, 企业与企业间的信息共享也未经用户的再次授权, 而是直接将企业收集到的信息默认为权利归属于企业直接加以利用。这样一来, 信息主体对信息的控制权形同虚设, 对于自己做出的信息决策也无法准确判断其将产生的不良影响。
由于个人与企业之间对信息的权利归属不明确, 导致法律所规定的责任配置与现实偏差较大。在“主客体二元对立”的理论中强调信息自决权, 其中便包括自主责任。根据法律的规定, “同意”是企业收集、使用和披露个人信息的前提, 信息主体同意授权是信息自决权的直接表现, 而理想状态下信息主体在做出同意的决策前对风险应当有准确的预估, 进而决定是否同意。法律给予了信息主体充足的自我保护空间, 所以信息主体要承担由自己做出信息决策所带来的法律责任。现实中, 复杂的大数据框架与个人信息保护中简单的知情同意之间不是对称关系。首先, 信息主体对信息的控制是有限的, 在有限的范围内由于个人的时间精力限制, 企业追求运营的时效性, 导致信息主体对信息控制权在有限范围内还在不断减弱。与此同时, 企业凭借自身的优势地位加之法律规定的真空, 迫使信息主体让渡信息控制权, 以此增强自己的信息控制权。
(二) 企业对个人信息的过度使用
具有财产属性的个人信息已然成为一个企业在数据经济中的核心竞争力。企业大量收集分析并使用个人信息, 将个人信息作为“货币”交易, 同时建立自己的信息数据库以便更准更快地掌握用户需求以此获得更多的收益。企业使用的个人信息首先要进行匿名化处理, 使个人信息达到不具识别可能性的标准。匿名化的法律概念最早源于1995年欧盟《数据保护指令》, 后在GDPR中进一步明确:“匿名化”是指以某种方式处理个人数据, 如果没有其他信息, 则无法识别数据主体的处理方式。企业为了保证关键数据的CIA (机密性、完整性、可用性) 以及符合相关涉密信息的保密规定, 有关数据在使用、传输前先要进行脱敏, 包括抹去与个人隐私相关的数据和进行信息的匿名化处理等方式, 使信息达到不具有可识别性且不能复原的条件。当个人信息匿名化处理后, 个人信息的人格权益与财产权益分离, 匿名化信息只具有财产权益, 数据控制者在维护数据主体个人信息权的前提下, 获得相关的数据财产权, 以便充分保障人们的隐私[18]。但我们会发现即使企业进行匿名化处理, 但匿名化处理后的数据二次使用依据会通过大数据的信息整合分析将信息准确锁定到个人。如2006年美国在线 (AOL) 公布了大量的进行匿名化处理过的旧数据———所有的数据都经过精心的处理, 用户名称、住址等信息都使用特殊符号代替, 以便研究者可以从这些数据中发现更多规律服务于市场, 尽管如此, 《纽约时报》还是通过给出的相关数据确定了用户的姓名及住址[19], 这一行为严重地侵犯了个人隐私权。
根据法律规定, 企业不能超出所提供的服务范围收集使用个人信息。但在现实操作中, 企业通过软件的开发投入使用, 全方位的收集个人信息并建立信息数据库, 且不经过任何匿名化处理便出售信息或与其他企业信息共享, 导致信息滥用与信息泄露。此外, 我国对于网络安全等级保护规定, 企业对于收集的个人信息应当区分一般信息与敏感信息分级保护, 由于技术的限制很多企业还无法做到全方面的信息保护, 使犯罪分子有机可乘, 他们通过种植木马等技术盗取企业收集的个人信息进行信息诈骗, 徐玉玉案6便是信息泄露下的典型悲剧。笔者选取了最高人民法院、最高人民检察院、公安部及其他省份发布的侵犯公民个人信息犯罪的30个典型案例, 在进行归纳总结后发现个人信息的侵权大多是非法出售、信息窃取。
三、大数据时代个人信息保护与企业使用的衡平规制
卡拉布雷希与梅拉米德在论文《财产规则、责任规则与不可让渡性:大教堂的一幅景观》[20]中从法经济学角度提出了“卡—梅框架”分析体系。作者从两方面阐述当下法律所面临的复杂问题:一方面是权属分配问题既各当事人之前相互发生冲突时, 从经济效率、分配偏好以及其他司法考量应该对哪一方权利进行保护;另一方面是发生冲突后的权利救济即分配后的权属应当选择哪种方式保护[21]。文中给出了三种解决路径:一是财产规则 (property rule) , 希望其持有人中移除权利的人必须在自愿交易中从他那里购买权利, 权利价值由卖方商定。一旦决定了最初的价值, 国家就不会试图决定其价值, 将国家的干预降到最低。二是责任规则 (liability rule) , “只要愿意支付一个客观确定的价值, 就可以消灭一个初始法益”[22]。也就是借助第三方公权力的帮助实现法律责任的承担, 不再遵从自愿原则, 而是直接通过征用权进行信息买断, 被剥夺者则具有赔偿请求权, 获得法定定价。三是不可让渡规则 (inalienability rule) , 一项权利如果不被法律允许自由交易, 并以惩罚性方式实施[20]。“卡—梅框架”最大的特点是打破了单纯民法部门对于权利的保护和救济, 只要一项权益成为“法益”, 国家就必须提供相应的法律救济, 救济途径既可以来自私法也可以来自公法, 将分散在不同法律中的规则置于统一视角下考量, 有助于理清不同规则间的功能差异及保护价值。下文即在“卡—梅框架”下为平衡企业使用个人信息及使用过程中对个人信息保护提供有效的指引[23]。
在“卡—梅框架”下, 当双方发生冲突时依据财产规则与责任规则提出了以下四种解决规则:其一, 认为个人信息权利归属于个人, 采取财产规则保护。企业禁止在非自愿交易情况下侵犯个人的个人信息权。也就是说, 企业使用个人信息必须经过个人信息同意并支付合理对价。其二, 个人拥有个人信息权, 但采用责任规则保护。即企业可以继续使用个人信息, 但必须对个人所造成的损失进行赔偿。其三, 企业享有个人信息权, 采用财产规则保护。可以任意收集使用个人信息, 个人承担企业使用信息所带来的损害, 且无权要求企业进行赔偿。其四, 企业享有个人信息权, 采用责任规则保护。也就说个人可以要求企业停止对个人信息的收集使用, 但必须向企业支付赔偿金[24]。
(一) 明确权利归属
规则一与规则三是采用财产规则保护, 规则二与规则四采用责任规则保护。无论适用哪一种规则保护, 都应当先明确权利的初始化配置。依照科斯第一定律“如果交易成本为零, 不管初始权利如何配置, 总会实现社会产值最大化”[25], 这时将权利初始配置给个人或企业并无不同, 两者最大的差别在于当双方交易成本呈现非对称性时, 交易成本的高低会直接影响到权利的初始配置, 此时将该权利赋予个人还是企业便有了讨论价值[22]。在现实情形中, 科斯的零交易成本情形并不存在, 需要不断优化明确权利的初始配置, 以此降低交易成本提高经济效率。根据《侵权法》规定, 隐私权作为一项权利, 发生侵权行为时受到法律的保护。隐私信息也赋予了权利人可以自由交易的权利, 由于其人格权属性, 在侵权后权利人可以要求加害方停止侵害并通过强制定价进行损害赔偿。而个人信息是自然人日常生活所产生的与自身密切相关的信息, 具有典型的人格化属性, 所以美国作为最早对个人信息进行保护的发达国家首先采用的是隐私权模式对个人信息进行保护。我国目前对于个人信息的保护缺乏独立的请求权基础, 在司法实践中对个人信息侵权行为适用的隐私权的请求权基础还不够充分。虽然个人信息有别于隐私权, 但个人信息中大部分信息属于隐私权范畴, 所以类比隐私权保护, 个人信息的初始权利应该归属于个人所有。
个人信息在现实利用中应该区分原始个人信息与匿名化处理后的个人信息, 上文讨论的情况是未经处理的原始个人信息初始权利应当归属于个人所有, 而企业在收集使用前通常需要经过匿名化处理, 达到无法通过信息准确识别到特定的自然人, 包括直接识别和间接识别[17]。经济学家Anja Lambrecht和Catherine E.Tucker指出, 在变动不居的数字经济中, 几乎没有任何证据可以证明, 仅仅拥有数据就能排斥竞争对手, 数字战略的重点应当放在数字分析和有价值的数字产品上[26]。数据每分每秒都在更新, 单一的数据并不具有经济价值, 企业需要持续不断地收集海量最新的信息进行大数据分析整合推出自己的产品从而为企业获取收益。所以企业使用的数据是经过大数据加工处理后的匿名信息, 对其处理使用均不再受个人信息保护规范的约束。企业通过法律的许可, 收集大量信息分析处理形成自己的数据库, 是一种原始数据的取得。根据《著作权法》的规定, 企业在收集原始数据后进行脱敏处理, 通过自己的技术分析整合成新的数据库, 无论对信息的汇编是否具有独创性, 只要企业在材料的选择、编排上具有独创性便符合我国《著作权法》上对作品的定义, 企业自动获得著作权成为数据汇编作品7的著作权人[27], 享受对数据支配的民事权利, 不需要再依靠其他的授权许可。著作权统一受到法律的保护, 所以此时的匿名化数据初始权利应当归属于企业所有。
(二) 混合规则保护
在明确不同情况的初始权利配置后, 适用上文四种规则的哪一种可以使得社会经济效率最大化, 卡拉布雷希与梅拉米德认为其选择的关键在于交易成本的高低。
依据科斯定理, 卡拉布雷希与梅拉米德指出当交易成本低时, 无论产权的初始配置归属于哪方, 最终都会实现经济效率最大化[24]。即法律对权利的初始分配不是偏好给最便宜的成本避免者 (cheapest cost avoider) , 双方仍然可以通过自愿交易加以纠正[21]。通过上述对个人信息权利配置的论证得出应当将原始的个人信息权分配给个人, 经过匿名化处理的个人信息权分配给企业。依照“卡—梅框架”所提出的当交易成本低时应当使用财产规则, 就个人信息与企业使用纠纷而言, 社会的最优配置是将产权配置给以最小成本避免损失的一方 (个人) , 但交易成本大小一直在变化。假设企业使用个人信息, 个人有权要求企业停止使用, 但如果企业使用个人信息所带来的收益远大于个人从禁止使用信息中所带来的收益时, 企业可以与个人进行谈判交易, 使个人以不高于企业因此所带来的收益价格进行交易。但很多企业往往通过强制交易的方式降低交易价格或无偿取得个人信息的控制权, 不仅如此, 信息匿名化处理不当也会给个人带来损害, 这些在民法上都视为侵权行为, 如果个人信息的保护规则不能有效地抑制这种侵权行为, 维护交易双方的交易公平, 就会使得权利的初始化配置被架空。从经济效率角度来看, 侵权成本与保护成本都会不断增加, 与帕累托最优 (Pareto Optimality) 8背道而驰, 不利于社会资源的合理配置实现市场经济效益最大化, 财产规则的适用意义不复存在。财产规则是以个人自愿为前提以自由让渡的方式来转移权利, 是一种事前防范规则。但是, “卡-梅框架”的核心是惩罚规则, 当仅仅依靠一般财产责任交易规范赔偿无法起到惩戒作用时[23], 根据卡拉布雷希与梅拉米德的观点, 多数物品上的权利都是多种权利的混合体[28], 个人信息也不例外。在最高人民法院发布的第一批涉互联网典型侵权案例:庞里鹏诉中国东方航空股份有限公司、北京趣拿信息技术有限公司隐私权纠纷案中, 庞理鹏委托鲁超通过北京趣拿信息技术有限公司 (以下简称“趣拿公司”) 下辖网站去哪网平台订购中国东方航空股份有限公司 (以下简称“东航”) 机票一张。去哪网订单详情页面显示该订单登记的乘机人信息为庞理鹏姓名及身份证号, 联系人信息、报销信息均为鲁超。但庞理鹏多次收到航班取消、航班时刻调整的诈骗信息。庭审中, 鲁超证明其代庞理鹏购买本案机票并沟通后续事宜, 认可购买本案机票时未留存庞理鹏手机号。东航称庞理鹏可能为东航常旅客, 故东航掌握庞理鹏此前留存的号码。庞理鹏诉至法院, 主张趣拿公司和东航泄露的隐私信息, 要求趣拿公司和东航承担连带责任。北京市第一中级人民法院判决北京趣拿信息技术有限公司及中国东方航空股份有限公司于本判决生效后十日内在其官方网站首页以公告形式向庞理鹏赔礼道歉[29]。因此, 遇到主观恶意的侵害行为时, 财产规则与责任规则并非绝对独立存在, 当财产规则无法保护个人信息的自愿公平交易时, 便可以转化为责任规则从民事赔偿责任、刑事责任、行政制裁等方面共同发挥惩戒作用, 对于企业因使用个人信息所造成的侵权行为进行强制定价赔偿。
这种财产规则与责任规则共同保护的方式只适用于未经匿名化处理或匿名化处理不当的个人信息, 当个人信息经过匿名化处理后在二次利用时受到侵害依旧使用财产规则保护显然不利于社会效益最大化。如果企业已经最大限度地做好了信息的匿名化处理, 当个人信息受到侵害时, 依旧使用财产规则与责任规则共同保护, 个人不仅可以主张损害赔偿还有权要求企业停止侵权并删除相关信息, 那就意味着企业不得继续使用依旧成功匿名化的个人信息, 这样一来, 大数据时代, 所提倡的数字经济遭到阻碍, 信息价值难以实现, 不利于整个社会经济效益发展的最大化。因此, 当匿名化的信息二次利用发生侵权行为时, 企业只需要使用责任规则对个人所造成的损害进行强制定价赔偿即可。这样一来既能保护个人因此而受到的损害也不会阻碍企业实现经济效益最大化。
参考文献
[1] 高富平.个人信息保护:从个人控制到社会控制[J].法学研究, 2018 (3) :84-101.
[2]转引杨芳.个人信息自决权理论及其检讨---兼论个人信息保护法之保护客体[J].比较法研究, 2015 (6) :22-33.
[3]转引高富平.个人信息保护:从个人控制到社会控制[J].法学研究, 2018 (3) :84-101.
[4]王泽鉴.人格权法[M].北京:北京大学出版社, 2013:200.