大數據時代的公民數據信息安全規制問題研究

劉素華

摘要：大數據時代，具體目標事物的數據信息依托網絡的匯聚、搜索等功能，呈現出的整體性狀態已取代傳統的樣本性狀態。今天分散于各公共機構、營利性和非營利性機構的公民數據信息和公民自己控制的個人數據信息，如果不受限制地互聯匯合，形成的具體公民整體數據信息一旦被泄露、被篡改等，會使公民權利與自由面臨多種競合侵權和潛在威脅，進而也會威脅國家安全。黨的十八大以來，從國家治理層面提出了數據信息安全事關國家戰略安全，強調依法防范數據信息安全風險，構建網絡安全機制，保障公民數據信息安全。數據信息的安全以網絡設施、網絡系統的技術安全為基礎，以網絡規制為社會保障條件，只有技術安全與規制措施良好銜接，才具有數據信息安全的基本條件。

關鍵詞：大數據 公民數據信息 安全風險 規制對策

大數據時代，計算機統計能力的高效化，使收集具體目標事物的完整信息和充分統計分析成為可能。目標事物數據信息整體性的利用價值超越以往任何形式的有限樣本量的統計價值。整體性蘊含的潛在社會、經濟、文化等價值，成為數據信息控制者意圖不斷擴充自己數據信息量的動力。同時，數據信息的整體性會空前加大目標事物的安全風險，政府、社會和公民需要充分認識數據信息雙刃劍的特性，特別是公民個人數據信息的匯集，需要有限制地分類匯集。如果不加限制地允許社會主體包括政府盡可能多地收集、匯聚公民個人數據信息，將會對公民多項基本權利與自由帶來難以預估的威脅。近些年發生的一些公民數據信息被非法竊取或泄露后，導致的嚴重侵犯公民權利的案件，直接說明公民數據信息安全與國家治理能力、治理水平和完善的治理體系密切相關。如2016年8月山東大學新生徐玉玉因個人升學信息泄露，被電信詐騙9900元學費后猝死事件，同年清華大學教授賣房信息泄露后，被電信詐騙1760萬元事件。大數據有助于政府科學決策、社會治理精確化和公共服務高效化，但同時也面臨數據信息被泄露、被鎖死、被非法利用等可能性。今天無論公民是否上網，公民數據信息“被網絡”“被數據”已是普遍社會現象，加快建立和完善公民數據信息安全監管規制體系已是國家治理的重要內容之一。對此，黨的十九大報告提出建設網絡強國，要求推動互聯網、大數據、人工智能與經濟深度融合的同時，促進政府治理能力、公共服務水平全面提升。保護數據信息的安全在今天既是國家治理的基本要求，也是保護公民權益，推進網絡規制的全球共識。

一、大數據時代公民數據信息安全內涵

研究大數據時代的公民數據信息安全，首先需明確公民分散的數據信息形成大數據的原理和實際情況;其次，要界定數據信息、數據信息安全的基本內涵，厘清公民數據信息安全的對象、職責范圍和邊界，確定依托網絡形成的公民數據信息，涉及安全風險的環節和可能存在風險的節點，針對f生地通過立法達成公民數據信息安全目標。

（一）數據信息內涵

數據信息包含兩層內容：一是由數字0和1組成的存于網絡終端和網絡上的數據信息符號，不直接體現數字符號的內容;二是數字符號代表的內容，直接反映事物特征和具體狀態的文字、圖像等。在現實社會中，僅數字數據被泄露，一般不會侵犯公民的基本權利和自由，只有數字符號代表的內容被泄露、被不正當利用后，才會表現為侵犯公民的基本權利與自由。公民網絡數據信息是指與公民身份相關、依存于網絡上的所有數字符號和符號內容，包括公民本人的基本信息、家庭成員、家族成員信息和能夠推算出公民信息的相關數據等。當今公民的數據信息一般由各種公共管理機構、公共服務機構、營利性機構、非營利性機構和公民本人及近親屬等掌握。上述機構和個人掌握的公民數據信息在缺少限制信息互聯規制標準的情況下，經過網絡媒介相聯通，匯聚在一起，易形成公民個人情況的完整信息。完整的公民數據信息一旦管理、使用、處置不當，發生泄露、毀損、篡改等，將對公民權利自由帶來極大的侵害風險，如私生活被公開化、權利自由被限制、生活真實情況被歪曲等，有時會進一步侵害相關家庭成員的權利與自由。因網上數據信息一旦生成，其“永存”的特性，公民權益被損害風險的不可控性、持續性將伴隨公民一生甚至更久遠。而一國公民的個人數據信息構成了國家治理數據信息的基本內容，在公民數據信息具有安全風險時，意味著國家數據信息也將處于風險之中，公民數據信息安全一定程度決定國家安全。因此，大數據時代，保障公民網絡數據信息安全的實質是保障國家信息安全和國家安全。

（二）數據信息安全內涵

數據信息安全從本質上講，屬于網絡安全的組成內容。網絡安全包括網絡基礎設施、網絡系統、網絡協議和數據傳輸等。數據信息安全需在掌握網絡運行和網絡傳輸數據的技術規則基礎上，在網絡安全運行的前提下，針對網絡的表現形式和結構形式中可能威脅數據安全的技術風險和侵權行為進行規制，達成數據信息安全之目的。網絡運行系統是數據信息傳播、收集、存儲、使用和存在的基礎，網絡基礎設施、各種終端設備和網絡協議的安全，涉及數據傳輸交換、網絡軟件、網絡系統管理、域名系統、互聯網協議（IP）地址、根服務器系統和語言多樣性等內容，上述每個內容節點都可能形成威脅網絡安全的風險，進而威脅數據信息安全。在網絡監管方面需依法明確各內容節點的安全標準，明確規制依據，才能提高數據信息的安全度。同時，網絡上各種業務網（除固定電話網外）的開通和正常運行，都必須有相應的網絡管理系統支撐，自動化程度越高的業務網對網絡管理系統的依賴度越高，網絡運行效益（如網絡連接成功率）也依靠網絡管理系統。網絡管理系統技術高，在傳輸網中，網絡的可生存性（自愈性）就高。在基于準同步數字系列的系統（簡稱PDH@）的傳輸網中，如果僅靠PDH設備本身，很難保證網絡的生存性。在基于同步數字體系（簡稱SDH④）的傳輸網中，僅依靠SDH設備本身可以保證相當的網聯生存性，但要占用較多的網絡資源，如果沒有網絡管理系統的支持，就要增加SDH設備的復雜性才能提高網絡生存性的質量。另外，來自網絡系統之外的病毒、黑客攻擊等風險也要求提高網絡安全防范技術。2017年5月席卷全球的勒索病毒（Wannacry），攻擊了上百個國家的網絡系統，特別是公共服務基礎設備網絡普遍受到攻擊，銀行、醫院、商場、郵局、加油站等網絡系統感染病毒后被鎖，沒有專門密鑰，所有的數據信息處于被鎖和不可控狀態，導致網絡系統不能正常開展業務，其中負有網絡安全監管職能部門的網絡也被勒索病毒攻擊，如美國警察局、我國多地的公安網絡等。所以，網絡數據信息安全是指網絡上的數字數據信息和數據信息的內容都處于權利所有人、保管人實際可控與支配狀態。

二、當前我國公民數據信息面臨的安全風險

20世紀90年代后期，我國互聯網依托民用公共電信網快速發展，截至2017年12月，我國網民規模達7.72億，普及率達到55.8%，超過全球平均水平（51.7%）4.1個百分點，超過亞洲平均水平（46.7%）9.1個百分點。政府及職能部門、社會組織依托互聯網治理國家、履行公共職能、管理公共事務已成為國家治理常態。一個公民即使不是網民，也因與公共管理、社會服務機構發生各種各樣的行政關系和服務關系而掉人這張大網中。公民數據信息面臨的侵權風險多樣化。

（一）公共服務管理性機構泄露公民數據信息的風險

大數據時代，數據信息的經濟價值和社會效能價值，成為驅動各類社會服務、管理、經營主體匯聚數據信息的內在動力。各類社會主體通過網絡收集各種數據信息，運用計算機快速計算能力分析海量數據信息中的“有用”信息，實現獲得具體目標事務準確信息的目的。在公共服務、管理、經營機構組織等因公共性職能的需要，收集、掌控公民數據信息時，已將私權與公權融合在一起。這些公共性主體掌控的公共性數據信息是由不特定多數普通公民的數據信息構成的，公民私人數據信息構成國家或公共部門的數據信息又因公共性機構掌控的公民私人數據信息是實施公共性職能的前提，當公共性部門基于公共利益和特定利益的需要公布掌控的部分或全部數據信息時，會泄露公民私人數據信息，對公民私人權利和自由帶來風險。

1.披露公共信息，間接泄露公民數據信息，引發侵權風險

公共性組織機構，因國家利益、公共利益及自身經營管理等需要，在法律沒有明確限制披露標準的情況下，披露自己掌控的公共信息時，泄露與公共信息有關聯的公民私人信息，侵犯公民在公共場所的私人生活隱秘性，對公民權利與自由帶來的侵權風險是當前公民數據信息安全面臨的問題之一。比較典型的普遍性事例，就是因社會治理需要，今天遍布城鄉的電子監控設備。這些電子監控設備，在公共利益的名義下，不停監拍，收集了不特定多數普通公民的行為信息，在需查明涉及公共治理的某事件真相時，調看或公開監控設備的錄像資料，會泄露錄像資料中的不特定普通公民的行蹤、私人活動等，并有可能鎖定、識別具體公民的身份，從而侵犯公民私人權利與自由。還有政府對一些公共領域的監管，要求經營性機構公布涉及公共利益的經營信息時，也會泄露與經營機構相關職務的工作人員的私人信息，導致侵犯公民私人權利的風險，如彭博新聞社記者根據高盛公司公開的一位合伙人很久沒有登錄彭博終端的事實，判定該合伙人已離職的事件，對該合伙人未來從業產生影響。各類公共性機構披露公共信息時，泄露公民的零星信息，被泄露的零星信息在大數據下易形成數據信息鏈，能夠得到具體公民個人較完整的數據信息，獲知公民的各種私人事務，對公民權利和自由帶來不確定的風險和侵權可能性。被公開的公民數據信息經過循環分析，能獲得特定對象的多層次的精準數據信息，對公民或公民家庭將形成層層疊加的侵權風險，如公民家用水、用電、用天然氣的數據信息被泄露后，通過分析水、電、氣用量的變化規律可以判定公民家庭成員的數量、生活習慣等，數據信息若被有特別目的的人或機構擁有，會對特殊身份公民的人身及家庭安全造成嚴峻威脅。

對此，政府應通過網絡立法，明確公共機構實施治理行為，需要披露公共信息時，涉及能夠識別公民私人身份的數據信息時，應采取保護處理，特別是對具有提示功能的各種元數據應進行技術或者物理性的屏蔽、消除處理應成為必要的保護手段。

2.公共機構掌控的公民數據信息被非法泄露的風險

當今，網絡計算機辦公的普遍化，使公共機構成為掌握公民數據信息最多的社會主體。公共機構或公共機構授權的私人機構因技術水平或因不當管理、利用所掌握的公民數據信息，導致公民數據信息或者與公民身份相關的數據信息被泄露，對公民權益和自由帶來現實和未來的潛在風險。潛在風險可能若干年后甚至更久才顯現，這一問題需要從法理和倫理等層面予以高度重視，特別是隨著人類生命科學和醫學的發展，針對個體生命體實施的提取、分離和培養干細胞技術已日漸成熟，公共性機構即使基于管理的需要，也應對采集公民生理數據信息的項目進行風險評估，若不能完全保證公民生理數據信息安全，對此類數據信息的采集應持謹慎態度。如2015年10月15日《南方周末》報道國家教委下文，指令“教育技術服務平臺”以填表形式收集中小學生每人近40項的數據信息，其中有采集血樣的信息。這些被采集血樣的中小學生未來可能在國家重要崗位上履行公共職務，隨著人類生物基因技術的發展，被采集的血樣、人體組織的數據信息一旦被泄露、被特別利用，潛在的被侵害風險就可能顯性化，同時，國家安全、民族安全可能面臨更大的不可控風險。當前我國公民數據信息被泄露、被非法利用的侵權現象已普遍化，被泄露的公民數據信息涉及通信、銀行、醫療、教育、交通、住房及日常生活消費等各領域。掌控公民數據信息的各類主體如果不能保證數據信息的安全，就應持謹慎采集和少采集數據信息的態度。泄露公民數據信息除侵害公民的隱私權外，還侵犯公民的人身權、財產權、發展權等，引發競合侵權，同時嚴重破壞整體社會秩序、經濟秩序和公共安全秩序。特別基于行政管理之需要，由政府行政權推行，企業采集、存儲公民數據信息的行為，需進行風險評估，建立政府數據庫的風險防控體系，依法確立防控標準。我國《網絡安全法》第10條明確規定，凡是通過網絡提供服務的社會主體，應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障網絡安全，維護網絡數據的完整性、保密性和可用性，以實現保護公民數據信息安全的目的。根據此規定，凡是通過網絡獲得公民數據信息的社會主體有保證公民數據信息安全的義務。

大數據時代的公民數據信息安全規制，應以防范數據信息的未來風險為重心，而不是采取事后補救措施為標準。在當前風險不斷加大的情況下，應立法規定某類網絡數據信息到一定期限后可以銷毀，或根據數據信息權利人的請求刪除。基于某種特定目的通過網絡收集的公民數據信息，在達成目的后，該數據信息在存儲上應歸于消滅，即保障公民數據信息被遺忘權的實現。被遺忘權作為一種人格權，與公民個人數據信息自決權相關聯。自決權要求信息主體有權決定與自身相關的數據信息的存在與消滅，而不應受制于數據信息掌控者的約束。有關主體在收集、存儲、使用公民某些數據信息的目的已達成后，從維護信息主體的權利角度，對相關主體控制的數據信息可以及時消除或經過一定期限后銷毀，從源頭保護數據信息人的權益。我國《網絡安全法》第5條規定國家負有網絡安全責任，要采取措施，監測、防御、處置來源于境內外的網絡安全風險和威脅，保護關鍵信息基礎設施免受攻擊、侵人、干擾和破壞。這里的處置可以包括銷毀和其他手段排除威脅數據信息的風險，以應對錯綜復雜的侵犯網絡安全和公民數據信息安全的各種行為和現象。

（二）多點獲取公民數據信息缺少法律監管問題

網絡的平等開放性，保障了任一聯網終端設備的使用者都可以用匿名方式隨時發布、傳播、存儲信息。針對同一個事物的信息發布，可以呈現多點信息源隱蔽散發、難以控制的特點。一般單點信息源發布、傳播某一個公民的數據信息，極易被埋沒于海量網絡信息里，難以形成侵害信息權利人權益的后果，但如果借助搜索引擎，或者將不同機構、個人擁有的零散多點公民數據信息匯聚為一個公民的整體信息或較大信息量后，再冠以醒目標題傳播，就易被關注，并成為泄露公民隱私、侵犯公民權益的直接途徑。今天，各類社會組織機構通過登記方式掌控的公民數據信息，已成為政府實現社會治理，社會組織、企事業單位及各類商業性機構實現經營管理活動的基本手段。這些掌控公民數據信息的各類機構組織，作為公民數據信息的信息源，在法律沒有限制單點信息源的互聯條件，缺少規制單點信息源擴散的法治標準的情形下，互聯或任意傳播公民數據信息，在簡單滿足表達自由、信息自由之時，忽略了表達自由、信息自由背后的公民數據信息安全包含的多項基本權利之內容。單點信息源不受限制的實現表達自由、信息自由的行為成為侵犯公民其他權利與自由的條件，有悖于保證人類權利與自由的根本社會價值取向，也有悖于該兩項權利與自由的主旨目的。行為人無須存在主觀惡意因素，即構成濫用該兩項權利。從憲法比例原則看，表達自由、信息自由的實現應以不構成對公民其他權利的侵害為基本標準，以傳播、擴散公民數據信息實現表達自由和信息自由時，應遵守這一基本準則。

（三）以非法手段獲得特定公民的數據信息，并以此作為追究該公民違法行為證據的公共風險

網絡黑客利用木馬、軟件和普通公民采取隱秘方式非法獲得公民、政府機構、企事業單位和社會組織獨享的數據信息，特別是非法獲取特定公民的數據信息后，基于私人或其他目的，傳播非法獲得的數據信息，揭露信息所有人的違紀、違法行為，背后的公共安全風險常常被忽略。非法獲得公民數據信息的行為人，無論出于維護公共利益還是私利的目的，其獲得信息的非法性不容置疑。非法獲得的公民數據信息內容即使揭露了信息所有人的違紀、違法行為，保護了一定的公共利益，也不能免除非法獲取信息的行為人不受法律約束的基本限制。公民數據信息權利屬于公民人身自由權利范疇，對公民人身自由權利的限制只能依據法律實施，私人行為不得限制公民人身自由權利，以非法手段獲得公民數據信息后，在未得到信息所有人許可的情況下，在網絡上傳播、擴散或篡改相關數據信息的行為，直接侵犯信息所有者的信息獨享權利和私生活安全等基本權利。特別是非法獲取特定公眾人物、公職人員、國家機構、公共機構和商業機構核心崗位人員的數據信息進行擴散，侵權的受害對象不僅是信息所有人本人，還包括國家、社會組織、企事業單位及基于該數據信息享有利益的多方主體。以非法手段獲得的公民數據信息，即使證實數據信息的所有人有違紀、違法行為，也不宜直接作為違紀、違法證據使用，防止以非法手段獲得公民數據信息，揭露信息所有人的違紀違法行為的擴大化，違反法律的禁止性規范和制裁性規范的根本宗旨。此類行為從表面看似乎懲罰打擊了公職人員的違紀、違法行為，維護了國家和公共利益，但從法益正當性的實質看，違反了法治的正當程序基本要件，損害了法治這一更大公共利益，屬于法治首要禁止的內容。依靠非法手段獲取公職人員數據信息，保護的違紀、違法行為背后的公共利益與憲法規范和法治保護的基本權利和法益相比較，違紀、違法行為背后的公共利益屬于小公共利益，不能達到憲法比例原則強調的獲得最大化公共利益，損害最小利益之精神。如果任何人都可以采取非法手段進入私人領域，必將損害國家法治秩序和國家基本權利體系，破壞國家基本權利制度之根本，損害最根本公共利益，這從法理上講是法治絕對禁止的行為。2010年6月最高人民法院公布的《關于辦理刑事案件排除非法證據若干問題的規定》第14條規定“物證、書證的取得明顯違反法律規定，可能影響公正審判的，應當予以補正或者作出合理解釋，否則，該物證、書證不能作為定案的根據。”《網絡安全法》第44條規定，“任何個人和組織不得竊取或者以其他非法方式獲取個人信息，不得非法出售或者非法向他人提供個人信息。”《網絡安全法》還用多個條款強調政府規制網絡數據信息安全的制度、措施等，依法明確收集、使用公民數據信息必須符合合法、正當，必要原則、目的明確原則、知情同意原則等。

三、保障公民數據信息安全的規制對策

大數據時代，公民數據信息安全不是孤立的安全保護問題，而是事關國家安全和全體公民權益，需從完善國家治理體系現代化的戰略高度和實施具體網絡治理措施的戰術兩方面規制公民數據信息的存儲、傳播、使用和其他方式的處置。對持有公民數據信息的所有組織機構和個人職責，需形成數據信息安全監管體系，從多層面和多角度跟蹤監督同一數據信息，監管隱含的安全之意是保障公民數據信息安全的制度基礎。

（一）樹立數據信息安全的戰略意識，提高全民數據信息安全意識

現實社會中，很多公民無視自己數據信息被侵犯的現象，實際縱容了侵權者。如侵權者通過非授權渠道獲得公民手機號碼，撥打公民手機和發送短信推銷各類商品和廣告，侵權人缺乏對自己行為違法侵害公民數據信息的基本意識，接到各種騷擾電話和短信的公民一般也沒有意識到來電行為的違法性和侵權性，多是掛斷電話或刪除短信，泄露、販賣公民數據信息的個人和機構認為自己的行為屬于經營行為，也沒有意識到是違法行為……針對一定比例的社會主體缺乏數據信息安全意識的現象，需要數據信息規制部門從國家數據信息安全的戰略高度，加強規制者和被規制者對數據信息的認知能力。大數據下，數據信息只要在網絡上存在過就不會消失，數據信息隨時可被循環分析、多層次利用，滿足特定目的需要，且不受時間和地域限制等特征。今天沒有價值的數據信息，未來可能有價值，特別是隨著人工智能的發展，對數據信息的精細深化分析，同一數據信息的新價值能被不斷發現利用。保證數據信息安全，已是國家治理的重要內容。政府各規制部門對已控制的數據信息，可采取分隔、分離、備份方式，以防范和減少數據信息安全風險。同時，在不斷增加和控制數據信息量的前提下，要嚴格限制數據信息的互聯和共享界限，盡可能降低數據信息被泄露的風險程度。政府規制部門，需在思想意識上明確數據庫越大，面臨的數據信息安全風險越大。數據信息庫的建設不能簡單追求量大，應同步建立數據庫的安全防范體系，培育全民的國家數據信息安全戰略意識，構建數據信息安全的社會認知基礎，才能實現數據信息安全的戰略目標。

（二）完善規制部門之間的合作機制，預防規制漏洞

當前我國網絡規制機構共有18個，其中2個領導機構，16個執行部門。在18個機構中，2014年成立的中央網絡安全與信息化領導小組屬于黨的領導機構，從執政安全統領全國網絡安全與信息安全工作，國家互聯網信息辦公室作為國務院的職能部門，主要領導和協調各網絡規制部門的履職和職責劃分工作，目前上述兩機構合署辦公，加強了黨的領導機構與政府機構的統一性，黨的執政與國家權力運行結合起來。其他16個職能部門分別負責不同領域的網絡安全監管職能。如工業與信息化部負責互聯網行業管理、網絡基礎設施、網絡互連互通等;中央宣傳部負責互聯網意識形態工作的宏觀協調和指導;國務院新聞辦負責網上意識形態具體工作;公安部負責互聯網安全監督管理等。新聞、出版、教育、衛生、藥品監督管理、工商行政管理和公安、國家安全等有關主管部門，在各自職責范圍內依法對互聯網的相關信息內容實施規制管理。根據職權劃分，每個部門在履行職能時，往往過多注重本部門利益，而忽略了部門間的配合協作和整體公共利益的實現，從而導致數據信息安全隱患漏洞不斷出現。如猖狂多年的電信詐騙，詐騙分子利用電子設備建立偽基站，以銀行、公安、社保等各種公共機構名義發送詐騙信息，不良商家通過互聯網發布虛假廣告欺騙網民等。從技術上講，電信部門通過檢測電訊信號能在第一時間發現偽基站;從合作層面講，電信部門應第一時間上報公安機關;對虛假廣告，網絡運營商、服務商應該禁止傳播，工商部門對網絡虛假廣告負有監管職能。但在實踐中，偽基站長期存在，說明作為網絡運營商的電信部門沒有完全履行監管職責，未在第一時間阻斷偽基站發送詐騙信息，也沒有及時向公安機關報告偽基站的違法事實。而相關的政府監管部門對電信部門不作為的行為，沒有依法強制規制，從而導致電信詐騙長期猖獗。同時，網絡運營商、服務商放任虛假廣告的傳播，沒有和規制監管虛假廣告的工商部門合作，予以制止和打擊。2016年4月西安電子科技大學魏則西就因相信網上虛假醫療廣告，耽誤救治以致死亡。當前，構建運行順暢的網絡監管合作機制，共同應對網絡安全風險是基本規制趨勢。相關網絡數據信息規制機構應通過建立網絡安全信息收集、分析和通報工作機制，按照規定統一發布網絡安全監測預警信息。各規制部門根據職責領域，有限制、有區別地共享規制信息，建立國家網絡安全監管預警和信息通報制度，完善整體數據信息安全監管機制，防止規制漏洞和盲區，才能有效防控公民數據信息安全風險。

（三）確立持有公民數據信息的社會主體負有安全保障義務

政府及各種盈利性、非盈利性公共機構基于實施管理和提供公共服務的需要，以登記、注冊、辦會員卡等各種形式收集、存儲公民數據信息已成常態化。公民與政府之間形成公共財政支持下的管理與保管個人數據信息的關系，公民履行提供個人數據信息義務后，個人數據信息安全權利就應得到保障。公民與銀行、郵政等公共服務機構形成服務保管關系;公民與醫院、教育、水、電、汽等公共服務機構之間形成購買服務關系;公民與網絡服務機構之間也形成購買服務關系;公民與商店、餐館、健身房等形成的購買商品和服務關系等都建立在同一基本前提下，即公民將自己的數據信息提供給上述主體時，雙方已有一個不言自明的約定，接受了公民數據信息的主體負有保障公民數據信息安全的注意義務，未經公民同意，不是基于公共利益的需要，泄露、使用公民數據信息或者使公民數據信息處于不安全境地，均應承擔法律責任，這也是網絡信息安全立法的基本底線。

我國規制網絡安全的法律、行政法規、部門規章有250部之多。2017年頒布的《網絡安全法》規定了數據信息持有者承擔的具體安全注意義務，對不履行安全保障注意義務的違法行為提高了處罰標準，加強了違法責任的懲罰力度。《網絡安全法》第48條明確規定“電子信息發送服務提供者和應用軟件下載服務提供者對公民數據信息履行安全管理義務”，對不履行義務的組織和個人由政府規制監管部門根據違法情節的不同，分別給予責令改正、警告、沒收違法所得、10萬—50萬元罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證、營業執照的處罰，對直接負責的主管人員和其他直接責任人員給予1萬一10萬元的罰款。《互聯網信息服務管理辦法》對從事經營性互聯網信息服務的主體要求“有健全的網絡與信息安全保障措施，包括網站安全保障措施、信息安全保密管理制度、用戶信息安全管理制度”等，對不履行上述職責和義務的信息服務經營者給予停止經營、罰款、吊銷營業執照等行政處罰，構成刑事犯罪的追究刑事責任。刑法第九修正案規定了“拒不履行網絡信息安全管理義務罪”。法律、法規對網絡監管職能部門不依法履行監管職責的，也規定了相應的法律責任。《互聯網信息服務管理辦法》第25條規定，“電信管理機構和其他有關主管部門及其工作人員，玩忽職守、濫用職權、徇私舞弊，疏于對互聯網信息服務的監督管理，造成嚴重后果，構成犯罪的，依法追究刑事責任;尚不構成犯罪的，對直接負責的主管人員和其他直接責任人員依法給予降級、撤職直至開除的行政處分。”2017年3月15日新通過的《民法總則》第110條也規定“自然人的個人信息受法律保護。任何組織和個人不得非法收集、使用、加工、傳輸個人信息，不得非法買賣、提供或者公開個人信息。”可見，當前我國從行政法、民法、刑法多個角度強調了網絡信息服務者、數據信息持有者對公民數據信息負有安全保障注意義務，對不履行該義務的責任主體追究相關行政、民事責任，直至刑事處罰。

（四）完善公民數據信息自救機制

公民的數據信息被侵害后，一般是數據信息的權利人或者熟悉權利人的公民最先發現被侵害事實。在權利人發現自己的數據信息被侵害后，最快的補救措施就是權利人自己能立刻在網上修正、消除、截停、關閉被侵害的數據信息，第一時間控制侵害后果的擴大。但現有的規制體制，導致公民數據信息自救渠道不暢通，公民難在第一時間完成權利自救。現有法律法規規定，數據信息權利人發現自己的數據信息被侵害后，一般只能向網絡服務商、營運商提出刪除、修正等申請，自己無法直接刪除和修正。如《網絡安全法》43條的規定，公民發現自己的數據信息出現風險或有可能處于風險中時，可以白行啟動自救程序，要求網絡運營者刪除、更正相關的個人數據信息，網絡運營者應當采取措施予以刪除或者更正。但在現實中，公民請求網絡運營商達到刪除或更正被侵權的數據信息的目的，一般需經過一定的時間，如公民QQ號被盜后，公民需向第三方服務商騰訊申請停止被盜QQ號的使用，騰訊接到公民申請后，審查公民身份證件，識別該QQ號附有的一定量的信息、確定QQ號的持有人等，最快需要3個工作日;如果權利人向公安機關申請封停被盜QQ號，一般需要經過立案、審查、批準等程序，最快也需3-7個工作日。而3-7天足夠任何信息在全球網絡上反復傳播。這樣，即使公民的申請得到批準，權益實際損害后果已經形成，已無法有效減少和彌補公民數據信息受損害的后果。

為此，在現有法律基礎上，網絡監管部門針對公民請求權的提出，應監督義務主體簡化審批程序、縮短審批時間，滿足處置網絡信息的技術特點要求，對《網絡安全法》第43條規定的“網絡運營商應當采取措施予以刪除或者更正”的具體內容和實施方式，相關網絡規制部門可考慮制定“網絡安全法實施細則”給予具體化，特別是對“應當采取措施”的抽象概括表述，采取具體化的列舉方式，對“應該采取措施”的情形作出規定，在充分考量網絡快捷、開放、無邊界等特性的前提下，本著“刪除和修改”的速度盡可能快、時間盡可能短的標準，細化“刪除和修改”數據信息的方式和時間限制，便于確認義務主體的不作為責任。同時，網絡規制部門在“實施細則”里應設立網絡服務商、運營商等義務主體履行義務的程序、時間等技術標準，允許數據信息權利人根據安全風險的不同情況，實施不同形式的自救。在網絡運營者違法或者違反雙方約定收集、使用公民數據信息時，公民有權要求網絡運營者刪除和停止使用本人數據信息;如果網絡運營者收集、存儲的公民數據信息有錯誤的，公民有權要求網絡運營者予以更正;如果網絡運營商、服務商因技術和管理水平的原因，使公民的數據信息被泄露、傳播或者處于風險中，公民有權收回自己的數據信息，同時要求網絡運營商和服務商負有消除信息痕跡的義務。對上述威脅公民數據信息安全的風險，在網絡服務商等不依法配合公民提出的“刪除和修改數據信息”要求時，網絡監管部門可以依據《網絡安全法》第68條的規定，追究網絡服務商不履行配合義務，不積極作為的法律責任。網絡監管部門對妨礙公民自救權實現的網絡服務商、運營商等義務主體，根據權利人的請求，可以通過規制手段排除妨礙;網絡監管部門可以根據數據信息權利人、有關部門和機構提供的數據信息，組織有關部門、機構和專業人員，對網絡安全風險信息進行分析評估，預測風險發生的可能性、影響范圍和危害程度，通過網絡安全風險的監測和預防，更加有效地防范威脅公民數據信息安全的風險形成。網絡規制部門還可以依據“建立健全網絡安全保障體系，提高網絡安全保護能力”的職權，主動監管網絡服務商、運行商是否履行了保證公民數據信息安全和排除威脅公民數據信息風險的義務，并根據相關法律規定，對網絡運營商和服務商不履行保障公民數據信息義務的行為，采取行政規制措施，依法追究相關主體的法律責任，以保障公民數據信息請求刪除和更正權的實現，進而保障公民數據信息安全的實現。達成《網絡安全法》第43條立法目標的實現。