大數據時代公民個人信息保護模式研究與啟示

◆張輝

（山東警察學院 山東 250014）

伴隨著5G 時代的到來，承載信息的數據也呈現出幾何級增長，史無前例的大數據時代在給人們的生活帶來便利的同時，保護數據隱私及公民個人信息安全問題也迫在眉睫。

1 域外公民個人信息安全模式分析

（1）歐盟保護模式

歐洲在個人信息保護立法方面一直走在世界前端。《個人數據保護指令》是歐盟個人信息保護的基礎指令，界定了個人數據內涵的六個原則。《隱私與電子通訊指令》是一部專門針對互聯網狀態下的電子商務與電子通訊中個人信息保護問題的指令，針對網絡服務提供者使用用戶cookies 的合法性、商業通訊中法人的數據權益與隱私問題及電子通訊服務提供商的安全保障義務進行了界定。

2018年5月實施的《通用數據保護條例》（GDPR）是歐盟現行的個人信息保護條例，條例中進一步明確用戶信息的界定，拓展了條例管轄權，強調數據收集與處理的合法性與正當性，并引入了遺忘權和可攜帶權兩個概念，新概念用以保障大數據時代用戶信息存儲與流通的安全性。

GDPR 在使用過程中，仍有多個方面需要細化，為了進一步規范數據治理模式，2020年歐盟委員會相繼通過了《歐洲數據治理條例》提案、數字服務法案（DSA）和數字市場法案（DMA）提案，法案針對數字服務的規則構建了監管體制，主要包括社交媒體、在線市場和其他在線平臺的個人信息安全問題。

歐盟統一立法保證了公民個人信息安全，但在具體執行中，也存在很多不足。主要體現在：一是理論規定與實際實施存在一定的差距，受到約束更多是中小企業，而對于跨境互聯網巨頭的制約是有限的。二是GDPR 中一些嚴格的法律條文不適用于大數據時代，制約了部分信息的共享和使用。

（2）美國保護模式

美國是典型的移民國家，采用分散立法模式是由其國情決定的。

針對個人隱私權利保障的基本法是1974年推行的《隱私法》，其立法精神強調公平與正義，內容主要針對政府機構對個人信息的采集與使用中存在問題的規制。普通立法層面，多項法律涵蓋了對個人信息安全的保護。如《電子通訊隱私法》中針對通訊中的文字、視頻、音頻等信息做出保護。

除卻立法保障，美國更強調行業自律模式。即在基本法設定的大框架基礎上，由不同領域的組織或者行業來制定保護個人隱私的規范，要求同領域的企業自我約束，共同遵守行業規定，以促進和保護個人隱私信息。

美國行業自律模式推行的“分散立法”保護了公民個人隱私安全，但問題也比較明顯，表現在：一是沒有統一自律標準。在缺乏政府政策引導的前提下，僅靠行業自律組織及第三方認證機構來進行個人信息保護，影響了執行效果。二是企業自我規制積極性不高。行業自律與企業利益成本往往存在沖突，可能存在企業不愿意主動參加行業自律協會設定的標準，而同時，國家并不能采取有效措施。

大數據時代到來后，特別是2018年后多家互聯網巨頭遭遇大規模用戶數據泄露事件，暴露出美國行業自律模式的缺陷，2018年加州頒布的《加州消費者隱私法》（CCPA），在一定程度上體現了美國建立個人信息保護統一標準的趨勢。

（3）日本保護模式

受本土歷史文化影響，日本的立法模式自成一派。基本法為《個人信息保護法》，2005年推出，2015年修正，目前所有操作個人信息的機構、部門及從業者都被納入該法案的管理之下。法案特點之一是成立了專門組織——個人信息保護委員會，特定的組織將分散的監督權統一，實現了有效監督。同時，法案制定的個別法則適用于多個不同的領域及行業。

日本的個人信息保護立法模式總體呈現金字塔設計，頂層是基本法，中間層為多個個別法規，基層構成是多行業主管部門所制定的具體指導。同時，也強調行業自律。如在日本《個人信息保護法》中專門提到關于“民間團體對個人信息保護的推動”內容，并引入了糾紛解決機制。

從日本模式可以看到，日本在立法之初就明確借鑒歐盟的統一立法、兼顧美國的行業立法模式，但在實際實施過程中仍存在部分的缺憾，主要體現在，一是對個人信息的定義不足，大數據時代的到來，企業大量收集、使用個人信息，內容更加的復雜多樣，而個人信息不明晰的界定造成企業和組織能夠繞過個人信息保護的限定而對個人信息進行濫用的現狀。 二是立法與自律并行的模式，使得企業在應用過程中，容易對一些非法個人信息采集與使用中的問題進行規避，且可能抑制個人信息的自由流通。

（4）印度保護模式

印度已成為全球外包的首選之一，為了解決公民數據保護和隱私法的問題，近年來也通過了多項法律以針對個人信息保護的立法問題。

2000 年頒布了《信息技術法案》是印度保護公民個人信息的基本法。2009年修訂的《信息技術法案（修正案）》正式實施，主要針對網絡違法行為中針對信息隱私和保密數據的攻擊行為、網絡服務提供商、外包公司及中介機構對濫用第三方信息的行為負責的界定。

2019 年印度實施的《個人數據保護法案》從立法模式到內容都極大參照了歐盟的GDPR，但作為印度首次全面系統的法律政策框架，存在很多的局限，主要表現在：大的法律框架中多項細節沒有精確的規定。近年來，外國投資者在向印度發送大量數據以用于管理后臺業務時，保證數據信息的安全性就尤為重要，所以，僅有大框架的推出還是遠遠不夠維持投資者的信心的，印度保護個人數據與隱私還需要后續的多項完善才能真正發揮作用。

2 域外國家與地區個人信息保護體系的比較

通過對歐、美、日、印等國家和地區個人信息保護模式分析，可以得出，目前國際主要的兩種對個人信息進行保護的基本模式，即為“統一”與“分散”模式，兩種模式各有千秋，也各有利弊。

統一立法模式，從基本法到普通法一系列的法律對個人信息保護進行了界定，主要優點為對于確定范圍內的企業、政府機關、個人、跨境企業都有統一的框架與標準，利于統一管理。存在的弊端也顯而易見，伴隨著互聯網的快速發展，大數據的產生與應用，出現理論規定與實際實施存在差距、對跨境企業巨頭的監管有心無力的現象，且法律總跟不上互聯網的發展，不斷出現新的技術與新的情況使立法無法做到及時性，起到的監管效果也就大打折扣，無法達到預想效果。

分散立法模式，在基本法的框架與多個行業規則相輔助的情況下完成對個人信息保護的約束，這與國家的信息技術、社會氛圍、文化基礎等都有著關聯。強調行業自律的分散立法模式，利于信息技術及相關企業的發展，適合于市場經濟的自行調節，但缺乏統一個人信息保護立法也可能因企業間的不當競爭而導致大量數據泄露。

大數據時代，為了更好應對公民個人信息安全問題，相當多的國家結合了美、歐立法的特點，采用了兩者中的成熟部分。即在法律上，采用統一立法形式，針對各個產業，政府鼓勵并引導行業協會來發布規范，推行行業自律模式。日本和印度的模式反映了國際上的一種大的趨勢，就是將兩個主流模式融合，再針對各國的特色進行多種方式的保護個人信息模式的探討。

3 大數據時代我國公民個人信息安全保護模式啟示

分析與比較境外國家的個人信息保護模式，很多國家起步早，形成的保護體制已經較為成熟，在多個方面值得我國借鑒參考。

（1）結合實際國情，選擇合理立法模式

我國個人信息保護起步較晚，可以分析與借鑒成熟的立法模式。統一立法模式優點是國家可以利用法律對公民個人信息保護的法律權利、具體措施和救濟機制進行規制；缺點是可能阻礙信息的流動，對大數據時代的信息共享存在一定限制；分散立法模式優點是能夠避免國家統一法律力量對信息流動的過多干預，缺點是缺少國家的統一管理，企業完全依賴行業自律，很容易為追求利益而損害個人信息安全。立法模式要結合我國國情進行，不能夠直接“拷貝”和移植國外的立法，簡單的復制可能會導致現實操作與法律條文相沖突，降低行政機關的公信力，結合我國國情的立法框架要能夠切實體現出“中國特色社會主義法治”的特點。

（2）適應大數據時代的需求，增強國際間的合作與共享

大數據時代，數據流動與共享成為國際合作的大趨勢，加強行政立法，保護公民個人信息安全的前提下，制定個人信息保護相關法律條文時要具有國際視野，最大限度保證相關立法兼具全面性和前瞻性。這就要求做到：一是立法人員要具有大數據理念與思維，了解“大數據”技術。二是保障立法的前瞻性，減少立法的“滯后性”。三是要保障立法的體系性。

（3）提高公民信息安全意識，確立個人信息保護理念

由于歷史的原因，我國在高科技領域的實力與國外差距較大。主要體現在以下兩個方面：一是我國的信息安全受到國外核心技術的制約。在信息技術領域，大量企業及重要部門運行著國外的操作系統、CPU、交換機、路由器等產品，核心自主技術欠缺成為面臨的最大威脅，造成我國的自護可控能力相對較低。二是公民的信息安全意識低。截至2020年6月30日，我國網民數據達到9.04 億，其中手機網民占比高達98%，移動上網的便捷大大方便了人們的生活，特別是近年來低齡和老年網民的數字得到了極大的增長。與網民數據大幅增長形成對比的是網民的個人信息保護意識不足、缺乏維權意識，公民在很多情況下會隨意填寫個人信息，導致個人信息被非法傳播與利用的風險增加。因此，“大數據”時代基于國家立法基礎上，宣傳公民個人信息的重要性，引導、確立個人信息保護理念非常重要。

（4）立法與監督并行，應對大數據時代技術帶來的隱患

刷屏的《我被美團會員割了韭菜》文章，作者基于自己點外賣的經歷評論商業巨頭的“大數據殺熟”行為。大數據時代的5G、物聯網及人工智能等技術加強了對公民個人信息數據的挖掘分析能力，呈現出精準化、全面化、簡便化、隱秘化趨勢。隨著人臉、指紋、聲紋、虹膜、心跳、基因等具有很強個人屬性的信息被收集、分析和利用，加上應用場景增加，使得信息濫用會產生嚴重的后果。如不法分子在電商平臺販賣人臉信息，將被盜的人臉信息用于虛假注冊、電信網絡詐騙等違法犯罪活動。同時各類APP 商家，也在深度研究我國法規，在法規發生效力之前，就進行了規避，這一點也是目前國際上面臨的共同難題，立法與監督并行，應對大數據時代技術帶來的隱患也是我國個人信息安全應該考慮的問題。

（5）加大政策引導，增強互聯網行業的自律性。

任何立法都有一定滯后性和局限性，特別是當前互聯網飛快發展，每天億萬數據匯合的今天，僅靠立法來規范是有一定局限的，立法的同時，還應引導、增強行業自律。

4 結語

隨著國家對個人隱私安全的宏觀管控和支持維護力度的不斷增強，我國對于個人信息保護的研究也一直在積極探索中。分析及比較歐盟、美國、日本及印度的公民個人信息保護模式，為我國建立公民個人信息保護模式提供借鑒與啟示。同時，融合大數據時代技術應用，配合法律、政策等多個維度，在個人信息保護和數據共享與交流之間找到相對平衡點，才更有利于推動網絡安全與信息化的協調發展。