淺析大數據背景下個人信息的保護

摘 要 移動互聯網的高速發展深刻影響了人們的生活，在享受方便快捷的同時，大量公民個人信息在網上遭違法售賣，低成本的違法獲取個人信息不僅嚴重侵害信息安全和個人隱私，更成為電信詐騙屢禁不止的重要誘因，信息安全問題越來越嚴峻，越來越迫切，越來越現實。源頭防范、系統保護個人信息安全，是大數據時代非常嚴峻又極其重要的問題。

關鍵詞 個人信息 人格權 信息安全

基金項目：吉首大學研究生科研項目“個人信息保護立法研究”（JGY201739）的成果。

作者簡介：吳宜波，吉首大學2016級法學理論碩士研究生。

中圖分類號：D920.4 文獻標識碼：A DOI：10.19387/j.cnki.1009-0592.2018.09.119

一、大數據背景下保護個人信息的價值基礎

大數據是指對具有海量規模、快速流轉、類型多樣、低價值密度等特征的數據，通過截取、管理、處理并整理等專業化處理方式，使數據在決策時成為更具發現力、說服力的信息資產。 個人信息，是指能夠識別、確定自然人身份的數據或信息集合，可識別性是關鍵特征，包括基本信息、設備信息、賬戶信息、隱私信息、社會關系信息和網絡行為信息等。個人信息已經成為開發新商業模式的資源高地。 《世界互聯網發展報告2017》指出，中國網民規模達7.51億，居全球第一，數字經濟規模總量達22.58萬億元，躍居全球第二，龐大的網民數意味著海量的信息數，意味著信息主體的權益易受到威脅、侵害，由此催生了個人信息保護的需要。 由于數據兼具隱私屬性、價值屬性，通過對數據的分析挖掘，不僅能看到個人住址、電話、消費記錄、社交記錄等，還能看出個人經濟狀況、生活習慣、性格特點等。大數據時代保護個人信息對于行使信息自決權，保護財產權，確保信息安全具有現實意義。

（一）保護個人信息是行使信息自決權的基礎前提

“信息自決權”最先是德國學者施泰姆勒在1971年提出，其核心內核為：基于法律的明確規定，自然人對個人信息擁有收集知情權、利用的決定權等。 大數據時代，個人信息很大程度表現為運用以互聯網為代表的現代信息通信技術，在網絡空間中能被識別出的，具有個人人格利益因素的相關數據。《個人信息安全規范》作為個人信息保護“國標”，首先明確規定某項信息是否屬于個人信息，進而提出個人信息分享、個人信息采集、用戶控制個人信息的合規要求等原則。歐盟的《一般數據保護條例》規定，數據被處理時，控制者必須明確告知數據主體，以提高對數據處理的理解程度和保護意識。 知情是信息自決權的基礎前提，無論是信息權利人同意他人采取收集、分析、處理等合理利用，還是個人信息受到非法公開、盜取等，只有權利人知曉個人信息的內容、范圍，明確個人信息是受保護的法益，才可能獲得法律的保護和救濟。

（二）保護個人信息是行使財產權的前置保護

財產權是指以財產利益為內容，直接體現財產利益的民事權利。個人信息不僅承載著信息主體的人格利益，而且與信息主體的財產權有著密切關聯。一方面，保護個人信息是保護財產權的基礎。《商君書·定分》提出“百人逐兔”的例子，說明財產權作為獨立權利存在的前提是權利的確定性，脫離了權利人個人信息指向的財產，無法明確權屬，行使權利也無從談起。在互聯網黑色產業鏈中，賬號密碼等個人信息泄露，往往伴隨權利人財產利益的損失。可以說，依法保護個人信息是捍衛財產權的第一道屏障。另一方面，個人信息本身已成為信息時代的重要商業資源之一，具有很高的商業價值。從O2O、云計算、大數據到微博、微信、郵箱等具體服務，個人信息已成為交易中不可或缺的重要組成。比如，我們使用QQ、微信交換出社交關系，使用亞馬遜、淘寶交換出聯系方式、居住地址，使用百度地圖、滴滴打車交換出地理位置，使用支付寶、網銀交換出的金融信息。企業或營運商通過抓取、分析信息個體的消費、健康、財務、信譽、社交互動情況，最大化利用個人信息成為“新常態”。民法總則“不得非法買賣、提供或者公開他人個人信息”規定，確認信息的財產屬性。

（三）保護個人信息是確保信息安全的重要內容

個人信息保護問題隨著社會信息化而出現和深入。移動互聯網時代，個人信息不僅具有重要的社會管理價值，并且與公共安全、國家安全密切相關。互聯網的開放性，大數據的融合性讓個人信息數據跨境流動日益普遍。通過個人信息結合其他相關數據分析，可能給國家安全、公共利益、公共安全方面帶來潛在影響和危險。由于法律制度的差異，各國對個人信息保護的方式、程度不統一，影響了信息跨境流通。保護公民個人信息，不僅事關民生保障，而且事關信息安全、國家安全。

二、我國個人信息保護的現狀及問題

從網絡大國邁向網絡強國，保護個人信息是任重道遠、變量頗多的過程。 “徐玉玉案”、“李文星案”、“魏則西事件”背后都涉及個人信息泄露問題。個人信息買賣的灰色產業屢禁不止，深刻影響著每個人的生活。2017年，約有190億條數據記錄丟失或被盜，同比增長164%。

（一）法律規制缺乏體系化

我國有近40部法律、30余部法規以及近200部規章涉及個人信息保護。《居民身份證法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《消費者權益保護法》以及《民法總則》都對個人信息保護進行了規定。從法律體系看，看似很多但“雜亂無章”、“群龍無首”，現有規定之間缺乏系統性，導致令出多門，操作性差。缺乏全國性、系統性的個人信息保護辦法，散落各處的法律條文，很難撐起保護個人信息的大傘。

（二） 傳統監管模式無法應對新挑戰

目前，涉及個人信息保護的有公安、衛計、食藥、扶貧、旅游、鐵路等數十個部門，還有電信、廣電、水、電、燃氣等行業領域。九龍治水、分散管理造成內耗增加、職責不清，導致個人信息保護弱化。跨界經營是互聯網的常態，是跨部門監管“痛點”。比如網絡購物，涉及交通、工商、工信、物流、銀行結算、保險理賠等多個部門。一旦發生個人信息泄露，部門間的權利義務如何劃分，承擔法律責任的個體如何確定都沒有明確規定。行業執法部門負責本行業執法，執法力度不高，執法主動性偏低。近年來，我國侵犯個人信息的違法犯罪案件逐年增加。全國2015年電信詐騙發案近60萬起，破案率不到3%。

（三） 企業主體責任落實不夠

作為數據管理者、網絡運營者、數據收集者，互聯網企業法律責任與義務不明確，行業自律不完善，信息收集不規范、使用目的不透明，使得部分用戶在互聯網上成為“透明人”、長期“裸奔”，個人信息安全存在嚴重隱患。一方面，數據管理平臺漏洞百出。“安恒公司”曾對25萬個政務網站進行了評估和監測，發現漏洞841萬個，平均每個政府網站漏洞34個。另一方面，不少個人信息違法犯罪表明，大量倒賣信息的源頭來自掌握公民個人信息的企業和行業，“內鬼”為了經濟利益非法出售大量公民個人信息。

三、個人信息保護的思路及建議

個人信息保護，數據隱私問題已成為數字經濟時代的頂層問題。“法律的主要作用之一就是調整及調和種種相互沖突的利益，無論是個人的利益還是社會的利益。” 我國當務之急是有效整合分散在行業、領域的個人信息保護規定，盡快出臺《個人信息保護法》。信息時代、數據時代如何尊重互聯網發展規律，保護個人信息要注重個人私權保護并兼顧規范信息資產合理開發，實現社會公共利益的平衡，推動社會進步。

（一） 明確個人信息使用目的

針對大數據環境下人們對個人信息的控制權明顯下降的實際，在采集、使用個人信息時，應當有合法、正當、必要目的。通過合同明確、公示授權等方式，確保個人信息的合理利用明確知情。日本《有關行政機關電子計算機自動化處理個人資料保護法》第4條第1項規定：“個人資料庫的建立，必須以完成行政機關法定任務為目的。”

（二） 明確個人信息收集限度

個人信息采集時應堅持最低適用標準，明確告知收集類型、方式、用途，賦予權利人選擇權、撤銷權等。針對大數據時代實際，立法時應明確個人信息的保護邊界，實現國家公共管理、個人信息保護、信息業者“三方平衡”。 一是個人必須授權收集和使用的個人信息。這是公共服務、商業服務等順利進行的核心功能，這些功能包含了實現比如網上購物所、改進產品或服務及保障交易安全等必須的功能。如果不提供相關信息，無法享受基本的服務。二是個人可選擇是否授權被收集和使用個人信息的情形。如果用戶不提供這些個人信息，依然可以享受基本產品、服務，但無法使用可以為個人帶來更多樂趣的附加功能。比如位置信息、拍攝信息、通訊錄信息等，只有明確個人授權才允許收集和使用這些個人信息。三是法律明確規定，在特定情形中，收集、使用個人信息無需征得個人授權同意，比如涉及國家安全、公共利益、偵查、起訴、審判和執行等。

（三） 提高大數據安全防護技術

加大對大數據安全保障關鍵技術研發的資金投入，打造個人信息保護態勢感知、監控預警、測評認證平臺，確保終端安全、網絡安全和云平臺安全，提升安全技術防護水平。通過建設數據安全技術措施，包括建立合理的制度規范、安全技術來防止個人信息遭到未經授權的訪問使用、修改，避免數據的損壞或丟失。借鑒IBM、微軟、Google、Facebook等互聯網公司經驗做法，建立“首席隱私官”制度。以目的明確、事先同意、使用限制為方向升級服務信息推送方式，變企業主動推送為消費者主動獲取。 網絡服務采取傳輸層安全協議等加密技術，通過https等方式提供瀏覽服務，確保用戶數據在傳輸過程中的安全。

（四） 完善監管機制

一是成立專門的個人信息保護機構。目前，我國信息監管部門是工信部，執行相關職能的有“網絡安全管理局”和“信息通信管理局”，兩者在職能分工互有交叉。從世界范圍看，建立專門機構是通行做法，也是提升個人信息保護水平的有效方式。二是出臺懲罰性賠償規定。針對個人信息的非法利用和買賣問題侵害的多為私人權益實際，重視從民事法律上提高個人信息的侵權行為成本，在民法分則中規定懲罰性賠償，改變舉證規則，采取過錯推定責任，減輕被侵權人的舉證責任。三是強化行業自律。用行業自律彌補監管能力的不足，完善個人信息保護自律規范。建立成員企業準入和年審機制，在重點行業出臺隱私保護原則、規則、標準，發布個人信息保護審查報告，綜合運用“永久禁止從業”、“黑名單”、“警示”手段，使問題廠商失去市場，在行業無立足之地。

注釋：

Big data.http：//zh.wikipedia.org/wiki/big-data.

王澤鑒.人格權法.新學林出版股份有限公司.2012.207.

王利明.論個人信息權的法律保護——以個人信息權與隱私權的界分為中心.現代法學， 2013，35（4）.62-72.

何治樂、黃道麗.歐盟《一般數據保護條例》的出臺背景及影響.信息安全與通信保密.2014（10）.

保護個人信息要讓法律露出牙齒.http：//digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-03/05/content_389592.htm？div=-1.

豐家衛.方周大戰拷問大數據時代隱私安全.中國青年報.2012-11-02（5）.

博登海默著.鄧正來譯.法理學： 法律哲學與法律方法.中國政法大學出版社.1999.

張新寶.從隱私到個人信息：利益再衡量的理論與制度安排.中國法學.2015（3）.38-59.

參考文獻：

[1]大數據時代個人信息保護模式需改變.http：//dz.jjckb.cn/www/pages/webpage2009/html/2018-04/18/content_42691.htm.