大數據環境下個人信息安全法律問題研究

莊慧嫻 于靜

(安徽財經大學 法學院，安徽 蚌埠 233030)

大數據環境下個人信息安全法律問題研究

莊慧嫻 于靜

(安徽財經大學 法學院，安徽 蚌埠 233030)

隨著互聯網、云計算、社交網絡及物聯網等新興技術的運用與普及，數據量呈指數型、爆炸式增長，大數據時代應運而生。信息的收集與挖掘能力得到明顯提高，個人信息安全在大數據環境下更容易被非法收集及利用，造成個人利益的損失。因此，應通過行業自律保護和法律保護相結合的方式，在立法上加強和完善對大數據運作的規制，以彌補自律保護強制力不足的缺陷。同時，在自律保護方面，應積極督促和完善相關行業自律規范，以彌補法律保護存在滯后性的不足。

大數據；個人信息安全；法律制度；信息泄露；行業自律

隨著電子商務、社交網絡、云計算及互聯網的快速發展，現代社會捕獲和產生的信息量迅速增長，統計數據以PB級別指數增長。國際數據公司統計數據表明：2008年全球產生的數據量為0.49ZB，2009年產生的數據量為0.8ZB，2010年增加到1.2ZB，2011年的數據量達到1.82ZB，相當于全球每人每年產生的數據量為200GB，大數據時代正在悄然改變我們的生活及習慣。[1]在通過大數據技術對海量數據進行有效分析和挖掘，給企業帶來巨大商業價值的同時，我們更應該考慮如何保護個人信息安全，提高用戶對個人信息安全的可控性，這也是大數據時代亟待解決的問題之一。

一、大數據的運作主體及客體

(一)運作主體

在日常生活中，我們可以接觸到的大數據運作主體主要有電子商務網站、搜索引擎、社交網站以及聊天工具等。但大數據環境下侵害個人信息安全的主體并非只是這些互聯網公司，為了更加透徹地分析大數據運作主體，我們將其分為三類，分別是數據分析型主體、數據來源型主體及第三方主體。[2]

數據分析型主體主要包括咨詢公司、數據分析公司以及技術供應商等。它們通過大數據分析技術對客戶提供的數據進行挖掘，進而轉化為信息或知識，為企業制定計劃及政策提供數據支持。例如，天睿公司為Pop-Tarts及沃爾瑪提供數據分析，以制定營銷思路。

數據來源型主體可以直接獲得用戶的各種信息，是基于數據本身的公司，包括人人網、Facebook、Twitter等社交網站，淘寶、京東、一號店等電子商務網站，百度、搜狗、谷歌等搜索引擎，微信、QQ、MSN等聊天工具。

第三方主體包括黑客或以其他方式獲得他人信息的主體，其最顯著的特點是他們并非數據的擁有者，而是通過其他方式獲得他人信息。

(二)運作客體

個人信息即為大數據運作的客體，但有關個人信息的法律屬性存在多種理論，包括認為個人信息是“隱私”的隱私權客體說，認為個人信息是“物”的所有權客體說，以及認為個人信息是“人格”的人格權客體說。[3]由于人格權同時具備財產利益與人格利益，將個人信息視為人格權的一部分，可以更好地實現對個人信息權利人的保護。因此，筆者將個人信息的法律屬性界定為人格權。按照人格權客體說理論，個人信息的人格利益不僅包括傳統的精神利益，還包括人格權商品化理論中的經濟利益。[4]

侵害精神利益的個人信息主要是指個人信息的一般內容，例如，姓名、年齡、性別、家庭住址、工作單位、聯系電話等。如果涉及對此類個人信息的泄露，不對權利人造成直接的經濟利益損失，而可能會造成權利人的精神損害，主要是對肖像權、姓名權、隱私權等的侵害。

侵害經濟利益的個人信息的泄露會直接威脅到權利人的經濟利益，如權利人注冊的電子商務、社交網站及聊天工具等涉及到電子支付業務的用戶名和密碼等相關信息。

二、大數據環境下侵害個人信息安全的方式

(一)個人信息的非法收集

個人信息的非法收集是大數據運作主體侵害權利人利益的最直接方式，特別是數據來源型主體，擁有大量的互聯網用戶群，能夠輕而易舉地獲取用戶的私人信息甚至聊天記錄，在未經用戶許可的情況下非法收集用戶的私人信息，將會嚴重侵害數據客體的利益。[5]

大數據的運作模式決定了非法收集個人信息的行為，收集信息是進行大數據分析的前提條件，收集信息應被認定為侵害個人信息的基本手段。如果將個人信息的法律屬性界定為人格權，那么，個人信息包含的人格權益作為權利人的合法利益應受到法律的保護，大數據運作主體需要尊重客體的相關利益，應在權利人同意或許可的前提下收集其個人信息。

(二)個人信息的過度分析

大數據環境下對個人信息的過度分析是侵害個人信息安全的主要方式之一。在當前移動互聯網迅速發展的階段，QQ已成為廣大網民聊天的首要工具，相信很多人也會經常遇到有陌生人加自己為好友的情況，在沒有告知對方QQ號的情況下，對方可以通過QQ中的“可能認識的人”或者個人的基本信息，如年齡、性別、故鄉等條件查詢，這就是騰訊對用戶的個人信息進行過度分析的結果。

一方面，大數據技術的應用，確實為用戶提供了一個強大的尋人功能，但在另一方面也造成了對用戶個人信息的過度分析，以獲取用戶的聯系人網絡。目前，各大社交網站會不同程度地開放用戶所產生的實時數據，這些數據可能會被一些數據分析機構收集，通過社交網站中的個人信息、智能手機中的定位信息等多種信息的組合，精確地定位某個人及其個人交際網絡等信息。在大數據環境下，如果僅從外部屏蔽大數據主體對個人信息的過度分析是很難實現的，當務之急是規范分析行為，從而做到有針對性的遏制。

三、大數據環境下我國個人信息安全保護現狀及問題

(一)大數據環境下我國個人信息安全保護現狀

目前，我國對個人信息安全的保護分為法律保護和自律保護兩個方面。在法律保護方面，我國尚未出臺專門的法律對個人信息的收集、分析、使用等行為加以規制，但是在其他法律法規中可以找到相關規定，如《刑法修正案(七)》中的侵犯個人信息罪、《侵權責任法》中關于網絡侵權的規定、《電話用戶真實身份信息登記規定》等，這些法律法規建立起了個人信息安全保護的基本框架，為權利人維護自己的信息安全提供了法律依據。[6～8]在自律保護方面，在大數據領域當中自律保護也正在逐漸形成并得以發展。現對大數據時代我國個人信息安全保護現狀加以概括，并分析當前個人信息安全保護存在的缺陷，以期為完善個人信息安全保護提供更多依據。

1．法律保護

(1)憲法中的相關規定

憲法是我國的根本大法，擁有最高的法律效力，也是制定其他法律的立法基礎。《憲法》第40條規定：中華人民共和國公民的通信自由和通信秘密受法律的保護。這一規定為個人信息安全保護提供了憲法依據，也是其他立法主體制定個人信息安全保護法規最強有力的支持。

(2)刑法中的相關規定

2009年2月28日頒布的《刑法修正案(七)》為個人信息安全保護提供了刑法上的保護。該修正案在《刑法》第253條后增加一條，作為第253條之一，具體內容如下：“國家機關或者金融、電信、交通、教育、醫療等單位的工作人員，違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售或者非法提供給他人，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金。”此外，《刑法》第177條的“竊取、收買、非法提供信用卡信息罪”、第252條的“侵犯通信自由罪”、第253條的“私自開拆、隱匿、毀棄郵件、電報罪，出售、非法提供公民個人信息罪，非法獲取公民個人信息罪”等，都是對個人信息犯罪行為應承擔刑事責任的規定。[9]將個人信息安全保護納入到刑法中，在增強法律保護力度的同時，也起到了威懾的作用。

(3)民事法律中的相關規定

個人信息作為人格權的一部分，民事法律規范對其提供保護，顯得尤為重要。但是，在民事法律規范中明確提出個人信息安全保護的規定少之又少，大部分將其涵蓋在人格尊嚴、隱私權等相關內容中，如《民法通則》中規定的肖像權、姓名權、名譽權、人格尊嚴保護等。而《侵權責任法》即是少數明確提出對個人信息安全進行保護的法律。《侵權責任法》第36條規定：網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。2013年頒布的《消費者權益保護法》在引入“消費者隱私權”概念的同時，也加強了對個人信息的保護，如《消費者權益保護法》第14條、第29條，對經營者收集、使用消費者信息遵循的原則、經營者的責任等進行了規制，這些規定都為個人信息權利主體保護自己的合法權益提供了保障。

(4)其他法規中的相關規定

2012年12月28日，全國人大常委會頒布了《關于加強網絡信息保護的決定》(以下簡稱《決定》)，《決定》是目前個人信息安全保護使用最廣泛、內容最全面的規定。《決定》第1條、第2條、第10條、第12條的規定包含了進行個人信息收集、利用行為須遵循的原則，權利人許可制度、懲罰措施等內容涉及當前互聯網個人信息數據管理，為制定一些必要的互聯網管理措施提供了法律上的依據，對大數據時代的個人信息安全保護起到了很好的指導作用。此外，2013年7月16日，國家工信部頒布了《電信和互聯網用戶個人信息安全保護規定》(以下簡稱《規定》)，《規定》主要是針對電信業務經營者、互聯網信息服務提供者在收集、使用用戶個人信息時的行為進行規范。《規定》第7條提到了國家鼓勵電信和互聯網行業開展用戶個人信息安全保護自律工作，為個人信息的自律保護提供了法律上的支持。

2.自律保護

個人信息的自律保護源于行業自律。行業自律是指行業自律組織為了行業成員的共同利益、本行業的持續健康發展而制定的對全體行業自律組織的成員具有普遍約束力的行為規范，它是行業自律管理中普遍存在的一種規范性法律文件。美國的個人信息安全保護采用的就是以自律保護為主、立法保護為輔的方式。隨著互聯網技術的發展，我國也形成了一些行業自律的規范。如2012年11月1日，百度、騰訊等12家互聯網企業在北京簽署了《互聯網搜索引擎服務自律公約》，其目的就是規范互聯網搜索引擎服務，維護公平競爭，建立合理有序的市場環境。其中，第10條規定：搜索引擎服務提供者有義務協助保護用戶隱私和個人信息安全，收到權利人符合法律規定的通知后，應及時刪除、斷開侵權內容鏈接。[10]除了行業內自發進行的自律保護外，國家也提倡和鼓勵行業自律，國家工信部頒布的《規定》明確指出：國家鼓勵電信和互聯網行業開展用戶個人信息安全自律保護。

(二)大數據環境下個人信息安全保護存在的問題

從上文相關法律為將個人信息納入保護范疇而進行的調整和相關部門頒布的法規，到國家對個人信息自律保護的鼓勵，可以看出我國正在逐步加強對個人信息安全的保護，但是，綜合來看，我們在立法保護方面，尤其是在大數據時代個人信息安全保護方面仍存在嚴重不足。

首先，在立法方面，主要表現在法律保護過于分散，缺乏對個人信息實施專門保護的法律。雖然美國采取的是以自律保護為主、立法分散保護為輔的方式，但是我們應該意識到，我國的自律保護正處于起步階段，各方面的規定還不成熟，因此，過于分散的法律規范會導致對個人信息安全保護缺乏針對性，容易造成適用混亂。而且，大數據運作的侵權特點表現在其收集信息的隱蔽性、侵權方式的多樣性和侵權范圍的廣泛性等方面，僅依靠目前籠統的原則性保護是不夠的，必須針對大數據運作做出細化的規制。

其次，行業自律規范所涉及的領域較窄，大數據運作主體不僅包括數據來源型主體，還包括數據分析型主體，而《互聯網搜索引擎服務自律公約》只包括了12家互聯網企業，并未涉及純粹的數據分析型主體，不能全面地保護個人信息安全。同時，我國缺少專門的行業自律管理和監督機構，無法有針對性地對自律組織制定的行業自律規范進行審查，無法保障行業自律規范的合法性，更不能有效監督自律組織成員對行業自律規范的執行情況。

四、大數據環境下完善我國個人信息安全法律保護的建議

(一)完善立法保護

1．加強個人信息安全保護的立法

隨著大數據技術的發展，大數據運作的商業價值日益凸顯出來，與此同時，個人信息安全保護更應該受到國家和社會的關注。筆者針對大數據侵害個人信息安全的方式，從個人信息非法收集及個人信息過度分析兩方面，探討大數據時代加強個人信息安全保護的立法建議。

第一，關于個人信息非法收集的立法建議。個人信息的非法收集是指大數據運作主體在收集數據時并未得到用戶的許可，主要發生在擁有大量用戶的互聯網公司，如騰訊、360及阿里巴巴等公司。相關立法機構應當規定大數據運作主體在收集用戶個人信息時承擔“通知”和“許可”兩項義務，即大數據運作主體在收集用戶個人信息時應當通知用戶并告知和承諾其收集信息的用途，在經過用戶的許可后方可收集其個人信息，并且用戶享有隨時撤銷許可的權利。另外，如果運作主體需要收集兒童的個人信息，需要經過其監護人的許可，方可實施收集行為。

第二，關于個人信息過度分析的立法建議。針對大數據運作主體對用戶信息進行過度分析的行為，可以從以下三個方面予以規制：首先，立法機構應該規定大數據運作主體對用戶信息存儲時間的限制，即個人信息在達到存儲時限后，應當予以刪除。并且，在實現對個人信息的使用意圖后，應該及時刪除用戶信息，不得另作他用。其次，用戶可以主動向大數據運作主體確認其個人信息是否被存儲并有權要求刪除。最后，立法部門應當規定分析個人信息的程度，防止過度分析。以購物網站為例，運作主體可以通過分析客戶的購物行為判斷客戶的購物傾向及喜好，以便更好地向客戶推薦相關產品，但不能通過分析客戶的個人信息及好友信息來獲得客戶的社交網絡及其他隱私信息。

2．完善《侵權責任法》的相關內容

《侵權責任法》是我國私法領域對公民權益進行保護的最基礎、最重要的法律。個人信息作為人格權的一部分，在國家尚未出臺專門針對個人信息安全保護的法律規范之前，《侵權責任法》應承擔起保護個人信息的重擔。

第一，完善《侵權責任法》的相關規定。《侵權責任法》第36條對網絡侵權責任進行了規定，主要針對的是因網絡而引起的對著作權、肖像權、名譽權、隱私權、榮譽權、專利權、商標權等的侵權行為。為了更好地對個人信息進行保護，筆者認為，可以在該條文之后增加一款，即“網絡主體非法收集、過度分析、泄露網絡用戶個人信息，造成他人損害的，該行為人不能證明自己沒有過錯的，應當承擔侵權責任”，明確提出侵權行為的方式，彌補原先規定過于籠統的不足，使其能夠在大數據環境下更有針對性地解決個人信息安全保護的問題。

第二，歸責原則的選擇。筆者主張采用過錯推定原則。過錯推定是指在訴訟中，被侵權人能證明侵權人的違法行為與損害事實之間存在因果關系時，如果侵權人不能證明對于損害的發生自己沒有過錯，那么就推定侵權人有過錯，并為此承擔賠償責任。在大數據環境下，侵權行為具有隱蔽性，被侵權人很難舉證證明侵權人的過錯，因此，筆者認為，個人信息安全侵權應當采用過錯推定原則。

(二)完善行業自律保護

百度、騰訊等12家互聯網企業共同簽署的《互聯網搜索引擎服務自律公約》，反映了我國互聯網行業自律的發展狀況。互聯網企業已經意識到自律保護對個人信息安全的重要性，同時，政府也在積極推動行業自律的發展，這是實現我國行業自律保護的基礎。

1.健全行業自律規范

大數據運作主體不僅包含數據來源型主體，還包括數據分析型主體。數據來源型主體主要指大型的互聯網企業，它們可以直接獲取用戶的個人信息；而數據分析型主體得到的個人信息相當于是“二手”的信息，主要是指為企業提供數據分析服務的大數據公司。因此，行業自律規范的制定，不僅要包含大型的搜索引擎公司，還要涵蓋多種類型的大數據運作主體。

另外，行業自律規范的制定應當根據行業的實際情況，要將宣誓性條款真正轉化為可實施的具體規則，并能及時加以修改和完善，以適應科技的發展。同時，行業自律規范要以立法作為指導，符合法律的規定，并作為立法的補充，進一步細化個人信息安全保護的相關規定。

2.加強對行業自律規范的管理和監督

如何協調行業自律與立法保護兩者之間的關系，是決定該模式能否充分發揮保護個人信息安全作用的關鍵。我們可以從美國《兒童在線隱私保護法》的安全港模式中得到啟發，自律性的相關規則需要在申請備案后的6個月內，由聯邦貿易委員會進行審查、批準并頒布后生效，只有生效后的自律規范，才被認定為符合法律規定。另外，聯邦貿易委員會被授予執法和管理的權利。

大數據運作主體主要涉及互聯網行業，可以由工信部作為行業自律規范的管理和監督部門，具體工作包括以下兩個方面：一是對自律組織制定的行業自律規范予以審查，排除自律規范中有侵害個人信息安全的規則，提高行業自律規范的透明度，充分保障用戶的個人信息安全；二是監督自律組織成員對行業自律規范的執行情況，保證自律規范的實施力度，從而更好地發揮行業自律的優勢，彌補立法保護的缺陷。

五、結語

隨著大數據理論及技術的不斷發展，信息的獲取和利用能力都得到了質的飛躍，科技的發展正在突破和改變人們傳統的認知觀念。筆者通過深入分析大數據的內涵、運作主體和客體以及侵害個人信息安全的方式等內容，評析我國個人信息安全保護現狀及存在的問題，為完善我國個人信息安全相關法律制度提出建議：即通過行業自律保護和法律保護相結合的方式，在立法上加強和完善對大數據運作主體的規制，以彌補自律保護強制力不足的缺陷。同時，在自律保護方面，積極督促和完善相關行業自律規范，以彌補法律保護存在滯后性的不足。總之，完善我國個人信息安全保護制度，必須發揮行業自律保護和法律保護的優勢，以彌補各自的不足。

[1]馮登國,張敏,李昊.大數據安全與隱私保護[J].計算機學報，2014(1).

[2]劉小霞,陳秋月.大數據時代的網絡搜索與個人信息安全保護[J].現代傳播(中國傳媒大學學報)，2014(5).

[3]崔聰聰.網絡產業發展與個人信息安全的沖突與調和——以個人網上行為信息為視角[J].情報理論與實踐，2014(8).

[4]初燎原.大數據時代的信息安全[J].中國黨政干部論壇，2015(3).

[5]劉斌.大數據時代金融信息保護的法律制度建構[J].中州學刊，2015(3).

[6]崔海莉.“大數據”時代檔案信息安全管理新思考[J].檔案學研究，2015(1).

[7]李源粒.大數據時代信息安全的刑法保護[D].中國政法大學，2014.

[8]李彤.論大數據時代網絡隱私權的保護[D].河北大學，2014.

[9]秦殿啟.整合與大數據理念下的個人知識組織[J].情報理論與實踐，2014(2).

[10]齊愛民，盤佳.數據權、數據主權的確立與大數據保護的基本原則[J].蘇州大學學報(哲學社會科學版)，2015(1).

責任編輯 葉利榮 E-mail:yelirong@126.com

Legal Research on Personal Information Security with Big Data

ZhuangHuixianYuJing

(SchoolofLaw,AnhuiFinanceandEconomicsUniversity,Bengbu233030)

With the application and popularization of new technology such as Internet,cloud computing,social networking and other emerging technologies,the data in the world has had an explosive growth which brought the age of big data.And with the development of big data technology,the ability of information collection and data mining has been improved obviously.But it is easier to collect and utilize personal information which results in the loss of personal benefit.The paper describes the operation of infringe on personal information and its characters in the age of big data and analyzes the insignificance about personal information security in China.Finally this paper proposes that it is necessary to select a coalescence of legal protection and self-discipline protection for protecting personal information security and puts forward countermeasures for two protection modes.

big data;personal information security;legal system;information leakage;trade self-discipline

2015-03-22

蚌埠市社會科學規劃重點項目(BB14A002)

莊慧嫻(1990—)，女，安徽歙縣人，碩士研究生。

DF529

A

1673-1395 (2015)06-0041-05