淺析大數據時代下的個人信息安全問題

付曉瓊 石恩林 王煒

0 引言

隨著互聯網的普及和人們對互聯網的依賴，加上各種惡意程序和黑客攻擊，公民個人信息不斷泄露，財產損失不斷增加，社會和諧穩定遭到破壞。因此研究個人信息安全具有極大的社會和經濟意義。如何預防和保障個人信息安全已成為行業的重要研究領域，除了個人要提高保護意識以外，國家也正在積極推進保護個人信息安全的立法進程。

1 個人信息安全危機

1.1 個人信息概念的界定

對個人信息的立法保護，最重要的就是有關個人信息概念的界定。關于公民個人信息的含義，不同的學者有不同的認識與理解，有學者認為其主要是私人信息、私人活動和私人空間領域下的隱私權的保護，2016年《全國人民代表大會常務委員會關于加強網絡信息保護的決定》（以下簡稱《決定》）中規定：“任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息，不得出售或者非法向他人提供公民個人電子信息。”2016年《電信和互聯網用戶個人信息保護規定》進一步明確：“電信業務經營者、互聯網信息服務提供者及其工作人員對在提供服務過程中收集、使用的用戶個人信息應當嚴格保密，不得泄露、篡改或者毀損，不得出售或者非法向他人提供。”毫無疑問，以上兩部法律文件從一定程度上對個人信息的界定提供了一些參考，但還是存在一定的瑕疵，比如，并沒有對個人信息的界定有一個明確的標準等。而是否為個人信息，這是法律適用的基本前提，若不是，就不可能是對個人信息權造成侵害，也無需法律的規范了。

伴隨著 20世紀70年代計算機技術應用的誕生，個人信息的法律保護制度也產生了。從當時的背景來看，個人信息保護法對個人信息的相關含義進行了限定，可是通訊技術近幾十年的飛速成長，互聯網技術的大量普及，已經將個人信息保護法的適用土壤徹底改變，信息的獲取和數據傳輸的能力大大增強，同時，數據的控制和處理方式越來越多變，這一切徹底改變了個人信息保護法誕生時的本來面貌，而這些技術的進步帶來的最大沖擊就是個人信息的邊界變得模糊不清，使得界定侵犯個人信息的違法行為變得越來越難。

1.2 個人信息安全的現實背景

互聯網作為20世紀最偉大的發明之一，它已經滲透到了人類生活的各個方面。這幾年，物聯網、云計算以及移動互聯網等新技術的發展以及大數據技術的普及，在一定程度上是對傳統互聯網的一次大變革。同時，這些技術的發展也對每個用戶的信息安全帶來威脅，這些威脅是在傳統互聯網環境中所無法比擬的，信息技術場景中的個人信息安全風險遠遠超出了人們的想象。

據介紹，面對大數據時代的海量信息，我國尚未對其進行立法監管，而大數據并不在“大”，而在于“有用”，它的價值堪比石油和黃金，這就驅使一些掌握和知曉大量個人信息的機構或個人，通過泄密、交易轉賣的方式轉讓公民個人及其他信息。據調查報告顯示，目前中國公民個人身份信息 78.2%被泄露，極大地損害了信息主體的權益，導致其身心財物受到很大的損失。2016年以前，我國手機上網人數規模高達6.2億，在整體網民中，90.1%網民是通過手機上網。截至2015年12月，95.9%的手機網民在過去的一年中遇到過手機信息安全事件。由于手機安全問題花費時間和精力，為此解決的用戶占比分別為26.4%和26.1%。造成用戶話費、流量丟失或者賬戶資金丟失等直接經濟損失的比例為 8.9%。由此可以看出，大數據時代信息的共享消除了信息鴻溝，但是同樣也帶來了個人信息安全的相關問題。

1.3 個人信息泄露的危害

根據最新數據，僅2016年，我國公民中使用手機時，有近6.88億網民因垃圾短信、詐騙信息、個人信息泄露等遭受經濟損失約915多億元；還有更加嚴重的危害，比如徐玉玉死亡案件、李文星死亡案件等，社會影響重大且惡劣。個人信息泄露的危害毋庸置疑，主要表現在以下幾個方面。

1.3.1 對公民隱私權的威脅時代在發展，我們對于各種侵犯隱私權的行為不能還停留在人格尊嚴損害的層面，更應該關注因為隱私權泄露而造成的各種財產性的損失。雖然它的外在表現形式并沒有財產權那樣直觀，但是在一定程度上，也可以把它稱之為“虛擬的財產”，因為它的危害是實實在在的經濟損失。比如說，通過非法收集公民個人隱私，進而敲詐勒索當事人或者把隱私信息轉手賣給非法組織，直接獲取隱私的經濟利益。

1.3.2 對公民個人信息權的威脅個人信息權作為一種積極的權利，它既有人格權與隱私權的一面，又包含財產權的內涵，但并不同于所有權，是一種新型的、獨立的民事權利。在大數據時代，人們看到的不僅是個人信息權表面的價值，更希望能夠充分利用其進行二次加工，挖掘更為龐大的數據鏈價值。

現階段，個人信息泄露呈現出一種常態化和多發性的特征，這不僅威脅到網絡社會的持續健康發展，同時，由信息泄露滋生的電信詐騙、敲詐勒索等犯罪也肆意侵犯公民個人的隱私權、財產權等人格權益，給公民個人造成了巨大的心理負擔，給社會穩定帶來了巨大的風險。另外，不法分子利用所掌握的個人信息可以更加有針對性地實施違法犯罪行為，公民個人因為承受的各種安全威脅不斷增大而造成恐慌，進而影響整個社會的穩定。

2 我國現行個人信息安全保護立法及其缺陷

2.1 《刑法》對于個人信息安全的規定

個人信息權利是公民在大數據時代享有的一項重要權利，保護個人信息安全，刑法先行。因此，從2009年開始，在刑法修正案中陸續增設關于公民個人信息安全保護的相關條款。其中，2015年11月1日起施行的《刑法修正案（九）》對刑法第 253條之一作出修改完善，修改后，“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”被整合為“侵犯公民個人信息罪”，進而在實體法中明確了侵犯公民個人信息的行為是否屬于犯罪。《刑法修正案（九）》施行以來，各級相關機關依據修改后的刑法規定，對于侵犯個人信息的違法行為進行有效監督和管理，加大懲罰力度，進一步加強對個人信息的保護。在上述規定中，雖然規定的內容不是很全面，但對于互聯網時代的個人信息保護無疑具有重要意義，不僅是個人信息保護的關鍵一步，也是社會進步的一個標志。

2.1.1 犯罪主體按照《決定》、《刑法修正案（九）》的規定，侵犯公民個人信息安全行為的主體是：第一，網絡服務提供者。信息提供者以技術手段對他人在網絡媒介上傳播的，以及公民自己發布的個人信息進行收集，隨后以交易的方式賣給不法分子而從中獲取利益。第二，其他企事業單位。根據國內的情況，企事業單位一般有獲取其公司職員個人信息的權限，也有部分企事業單位以不法的方式，秘密獲取公民個人信息。第三，國家機關工作人員和其他組織或者個人，其主要是指國家機關、其他組織的工作人員在履行職責中知悉公民的個人信息，應當對其加以保護而沒有盡到該義務，泄露、損壞以及出售或非法向他人提供的行為。

2.1.2 犯罪客體侵犯公民個人信息安全的侵犯客體主要是指能夠識別公民個人身份和涉及公民個人隱私的電子信息。能夠識別公民個人信息是基于自然人的人身屬性、人格要素發生的個人信息，涉及公民個人隱私的信息是基于其他電子信息出現，其包含個人生活情報保密權。

2.1.3 犯罪主觀方面《決定》、《刑法修正案（九）》規定了侵害公民個人信息的違法行為，從而可以看出，犯罪主體在其主觀方面是故意，以牟利為目的運用一定技術手段進行公民個人信息的收集、買賣等。

2.1.4 犯罪客觀方面《根據刑法修正案（七）》規定了出售、非法提供公民個人信息罪，犯罪客觀方面主要表現為違反國家規定，將本單位在履行職責或者提供服務過程中獲得的公民個人信息，出售、交易或者非法提供給他人，情節嚴重的行為。主要有：（1）違反國家關于公民個人信息保護的法律規定；（2）實施了出售、交易或非法提供的行為；（3）情節嚴重：一般是指出售、交易或者非法提供個人信息的數量大、次數多，獲利豐厚，造成一定的社會影響，給公民個人生活或生命財產造成嚴重損害；或者所出售、非法提供信息被他人用于違法犯罪活動等等。

2.2 兩高的最新解釋

2017年6月1日起實施的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，《解釋》總共十三條，對公民個人信息的相關內涵做了認定標準，對侵犯公民個人信息罪的定罪量刑標準等的明確。然而，新技術、新業務的廣泛運用，導致個人信息的收集以及使用方式發生了全新的變化，法律法規以及相關法律解釋條文及政策還是受到了技術發展的極大沖擊，總覺得有些地方鞭長莫及。

2.3 網絡安全方面的立法保護

《網絡安全法》的出臺在一定程度上彌補了我國個人信息保護法的缺失，但是仍然難以改變我國關于個人信息保護法缺位的現狀。只有明確了個人信息保護法的基本內容，并對侵權責任在法律上進行明確的闡釋，才能實現前置法律和刑法對公民個人信息的全面保護。2016年11月7日，十二屆全國人大常委會第二十四次會議經表決，通過了《中華人民共和國網絡安全法》。其中，最值得關注的就是關于個人信息的內容，《網絡安全法》中提到“網絡信息安全”，對網絡經營者對個人信息的保護義務提出了更嚴格的要求。相應地，對于網絡信息安全侵權責任以及法律責任也進行了明確，其行政處罰措施由警告變成罰款一百萬元以下不等，填補了對網絡運營者的行政處罰的空白。從一定角度來說，“個人信息保護法”還處于成長的初級階段，但它的出臺從最大程度上彌補了個人信息保護在立法方面的缺憾，并為侵犯公民個人信息罪中相關條款的認定奠定了一定基礎。

2.4 民法方面的立法保護

如今，我國法律對于個人信息的保護，只有2017 年3月制定的《民法總則》第111條：“自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人 信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息。” 該規定，從立法的層面第一次建立了信息保護的相關事宜，對以后 的立法工作產生了極大的影響。然而，該條文旨在從禁止侵害的層面對個人信息進行保護，并不涉及個人信息的收集、利用，以及個人信息損害賠償額和程序機制，也沒有對個人信息的法律內涵邊界予以明確。據此，在對個人信息保護立法過程中出現“個人信息”“個人數據”等多個不同的提法，這不僅給立法者帶來困惑，也給司法實踐中關于如何界定個人信息的內涵和外延帶來了巨大的挑戰。《民法總則》初步實施以后，很多現實問題就會像雨后春筍般涌現，希望相關部門及時出臺配套解釋或實施細則對有關內容加以明確，確保個人信息安全得到很好的保障。

3 域外有關個人信息安全的立法狀況

3.1 美國關于公民個人信息保護的立法情況

美國于1974年制定《隱私法》，是保護個人信息最重要的法律，該法主要針對聯邦行政機構的行政執法行為而制定，規定了聯邦政府搜集與利用個人信息方面應當遵循的程序與規則，防止行政機關濫用行政權力侵犯公民個人隱私。其主要內容對個人信息的收集、持有、儲存以及傳輸的相關原則與具體程序做出的詳細規定。還有《公平信用報告法》《電子通訊隱私法》以及《全球電子商務政策框架》等相關法律規定，以隱私權為中心實現對個人信息的民法保護。2015年2月，美國發布了《消費者隱私權利案（草案）》（以下簡稱《法案》），主要是規范商業環境下的個人信息處理行為，為個人信息保護提供綱領性的基本保障。

3.2 歐盟關于公民個人信息保護的立法情況

1955年10月24日，歐盟議會和歐盟理事會發布了《關于涉及個人數據處理的個人保護以及此類數據自由流動的指令》，簡稱《個人數據保護指令》，確立了個人信息保護的基本權利。2001年歐洲理事會通過了《反信息犯罪法》，其主要目的在于懲罰“黑客”的信息犯罪行為，確保信息安全，對于信息犯罪行為、以電子手段進行詐騙以及攻擊公共機構、企事業單位或者國防和國家安全的，應當加重處罰。2016年 4月，歐盟委員會發布《數據保護通用條例（草案）》（以下簡稱條例），該《條例》草案于 2018年 5月生效，由 11章 99條構成，對個人數據泄露通知、設置數據保護官等10個方面進行嚴格的規范和創新。

3.3 日本關于公民個人信息保護的立法情況

日本的信息化技術發展程度居于世界前列，同時引發的個人信息保護問題也是層出不窮，這也促使日本政府積極推進個人信息保護立法工作的進程。從1975年開始日本政府陸續頒布了一系列和個人信息保護相關的法律，1988年頒布了《行政機關保有的電子計算機處理的個人信息保護法》，它是日本國內最早的一部有關個人信息保護的法律法規。其主要規范對象僅限于國家行政機關，適用范圍限于計算機方式的信息處理。2001年，在日本《行政機關電腦處理個人情報保護法》的基礎上制定的《個人信息保護法》，在 2005年 4月頒布實施，主要內容包括：個人信息的范圍界定、民間企業的個人信息保護義務、個人信息爭議的糾紛處理、侵害個人信息的法律責任和民間個人信息保護的自律機制等。2017年5月30日《個人信息保護法》（Personal Information Protection Act，“PIPA”）（修訂稿）全面實施，這在個人信息法律保護方面邁出了重要一步。

4 司法實踐中對個人信息安全的啟示

目前，國內外上已經有很多國家和地區制定了個人信息保護相關法律，其中，歐盟的《通用數據保護條例》和日本的《個人信息保護法》最為典型。目前，我國有關個人信息安全保護的法律依舊存在較大的不足和滯后性，有必要借鑒域外的經驗，針對我國現階段存在的個人信息安全問題作出相應的改進。

4.1 建立個人信息保護的專門法律法規

2017年10月18日，習近平同志在十九大報告中指出，成立中央全面依法治國領導小組，加強對法治中國建設的統一領導。鑒于我國目前缺少在個人信息保護方面的相關規定，為此，強烈呼吁國家研究制定《個人信息保護法》的專門性法律，明確個人信息的相關含義以及救濟方式等，有效防止因可操作性差等法律缺陷帶來的一系列問題，進而實現對個人信息的有效保護。

4.2 嚴格法律責任

個人信息的保護和我們每個人息息相關，因此，應該建立和完善對個人信息的保護制度。在刑事責任方面，司法機關不只打擊信息泄露者和利用者，還要對信息收集、信息保管部門加大監管，制定相應的信息泄露的追究責任。如果只是打擊已經泄露的信息，而不對未泄露還處于保管中的信息加以強有力的監管和保護，那么信息泄露問題就不能根治。在民法方面，我國現行的個人信息保護立法未對侵害個人信息的損害賠償額以明確。因此，當公民個人信息遭到侵犯后只能按照《侵權責任法》第20條和第2條的規定來確定損害賠償額。在實踐中，侵害個人信息侵害的后果一般比較輕微，遵照《侵權責任法》第22條的規定，權利人無法獲得損害賠償。

4.3 完善個人信息保護的司法救濟

就眼下來講，我國公民的個人信息權在受到侵害后，主要的法律途徑就是通過法院提起相應的民事訴訟，由于其信息不對稱，被侵害的對象要求誰主張誰舉證，從而使得主體舉證難上加難。所以，在實際生活中，面對信息泄露和濫用的不法侵害，運用法律的武器維護自身權利的公民少之又少。因此，現有的法律救濟方式很有必要進行一些調整和優化，有利于受害人維權。

積極建立事前預防機制措施，對事后救濟保護制度也不容忽視。事前預防層面，主要依照憲法規定和民法原則，確立公民個人信息，有效地對公民個人信息進行事前保障；事后救濟層面，要更加明確個人信息的責任歸屬等相關問題，進而為權利人實現司法救濟提供有力保障。

4.4 提升公眾個人信息安全意識

我國相關部門在個人信息保護方面，尤其在法律宣傳和教育方面的工作信息相對薄弱，公民在個人信息保護方面的法律觀念和意識比較淡薄。相關部門應借助“全國網絡安全宣傳周”等時間，合理利用各種傳統媒體和多樣化的新型網絡媒體，廣泛開展網絡安全宣傳活動。另外，還要健全和完善網絡安全宣傳機制，把網絡個人信息立法保護的宣傳工作落實到位，讓公民意識到法律在個人信息保護中的重要作用。

5 結語

在當前大數據時代，信息在不斷地推動國民經濟發展，再加上互聯網新技術和新應用層出不窮，信息的流動和使用頻率不斷加快，提高了信息的利用效率的同時也削弱了公民個人信息安全的控制能力。大量個人信息被竊取、販賣和惡意使用，信息泄露已經成為阻礙互聯網健康發展的重要因素。在新時代，大數據是一把雙刃劍，一方面給我們的生活帶來便利，另一方面因為信息泄露也讓我們處于極度恐慌之中。因此，我們要全力以赴，保護好我們的個人信息。■