大數據應用中的隱私保護問題

摘要：個人信息的開發和利用催生了大數據時代的到來，數據技術的迅速發展反而增大了個人信息被泄露和濫用的風險。通過對個人信息的概念和范圍的研究，與在社會引起軒然大波的“徐玉玉案”的探討，結合不同國家在不同時期對個人隱私數據安全保護體系的細致剖析，得出導致公民個人信息收到侵害的原因及其危害，進一步探索解決途徑，我國可在借鑒各國經驗的基礎上，通過明確自身規制模式、制定具體分類數據的法律法規，構建具有我國特色的個人信息保護體系。

關鍵詞：大數據;信息隱私權;個人數據保護

個人信息是個人與社會連接的紐帶，自從有人就有個人信息①?？茖W技術的進步以及人類社會活動的科技化發展為我們的生活帶來便利也給公民個人信息安全埋下隱患，也同時意味著會被動促進法律的發展。近年來，侵犯公民個人信息的犯罪案件屢見不鮮，甚至還與電信網絡詐騙、敲詐勒索、綁架等刑事犯罪聯系在一起，對社會造成了嚴重的不良影響?，F階段我國還沒有健全的專門法體系，對于個人信息保護的模式既不走美國的信息隱私權路線，也不完全效仿歐盟的個人數據保護的概念，盡快明確我國個人信息隱私的法治道路方向，制定一套具有中國特色的個人信息保護體系，已然成為當前亟待解決的問題。

一、大數據應用下個人信息的界定

（一）大數據的含義

1.大數據的概念

“大數據”并非我們想象的那么簡單，它不只能做到海量數據的存儲，和簡單數據共享，還可以利用云計算的處理方式對已有數據信息進行有機整合，進行有意義的統計和分析，為使用者提供有力數據支持。目前該項技術已經應用于我們工作生活能夠接觸到的每個領域，是各國公認的最有用的發明之一。

2.數據的特點

根據上文對“數據”的文義解讀，不難看出其特點第一是具有客觀性。數據是被機械記錄的數字、字符或符號不同排列組合所構成的集合。換句話說，數據是任何人都可以通過代碼制造并傳達其所包含的信息及內在含義，不會因為不同人或不同方法的解讀而出現差異，并且不以人意志為轉移能夠客觀反映事實的。因此，稱數據具有客觀性。

第二數據具有特定性，或可理解為一定人格屬性。由于數據所傳遞的是某一特定主體的特定信息，不同主體、不同信息之間可以通過一定的規則進行明確辨認和區分，如家庭通信住址、手機號、社交網絡賬號等。這些要素由于更多涉及個人私益，因此認為具有一定的人格屬性。

第三數據具有獨立性。數據是互聯網空間的虛擬產物，無法獨立存在于物理空間，它的產生和傳輸依賴于代碼，需要人為控制，但并不意味著數據信息就僅僅能局限在產生它的原始設備的存留，相反，正因為它不存在于物理空間內，反而才使得數據信息可以隨意被傳輸運用，容易遭到泄露和存在其他安全隱患。

綜上所述，數據的特點主要表現在以上三方面，即客觀性、特定性和獨立性。

（二）個人信息的范圍界定

我國理論界按照內容不同可以將與公眾生活有關的網絡信息大體分為六大類，分別是個人基本信息、設備信息、賬戶信息、隱私信息、社會關系信息、網絡行為信息。

1.隱私說理論

美國的Parent教授認為：“個人信息即是社會中多數不愿向外透露者;或者個人及其敏感而不愿為他人知道者。”②而這與我國關于個人隱私權的規定幾乎完全一致，因此稱之為“隱私說理論”。不得不提的是，美國恰恰將個人數據的保護納入對隱私權的保護范疇當中，與之呼應。

筆者認為，此理論過于強調個人信息的私密性，這無疑會導致其覆蓋范圍的相對局限。舉個例子來說，公民的網絡行為信息就是相對公開的，但并不意味著它就不應該受到應有的保護，因此，筆者認為該理論不適用與法律保護范圍的個人信息評定規則。

2.關聯說理論

與隱私說理論完全相反，關聯說理論認為只要與信息主體有某種聯系的信息均屬于個人信息的范疇。這個理論雖徹底打破了隱私說的局限性，看似可以完善的保障個人信息安全，但其實施的困難也是不容忽視的。換句話說，在現實生活中，無論社會發展的何種程度，這都是無法做到的，唯一的方法只能是將人類都變成“套中人”，徹底切斷個體與外界的聯系，這無疑是有違常理的，不具有事務中的實際可操作性。

3.識別說理論

居于隱私說與關聯說之間，恰到好處的界定范圍。簡單來說，即為信息主體的所有的隱私范圍，再加上部分與之有必要關聯的信息維度，既避免前兩者之短，又汲取前兩者之長。筆者以為，這正是取兩個極端之中，最合適也是最切實可行的理論，我國學界目前也同樣偏重于該項理論的說法。

二、我國個人信息保護的現狀

（一）個人信息泄露案例分析

1.基本案情

近些年由于個人信息被泄露而引發的案件頻發，這其中最為公眾所熟知的當屬山東考生徐玉玉被騙案。該案于2017年4月17日公開開庭審理。經檢察院查明，被告人陳文輝非法獲取的信息來自于一個叫杜天禹網絡黑客，他通過植入木馬等方式，非法侵入山東省2016年普通高等學校招生考試信息平臺網站，竊取2016年山東省高考考生個人信息六十四萬余條，后向陳文輝出售包括徐玉玉在內的十萬余條個人信息，非法獲利上萬元。本案關鍵恰恰在于個人信息泄露，即“黑客”杜天禹。被告人杜天禹非法獲取公民個人信息，并向他人出售的行為，造成徐玉玉猝死的嚴重后果。

（二）由案例分析得出個人信息泄露的原因

1.大數據環境的暴露

黑客靠主動攻擊知名度較高的企業網站，套取網站服務器后臺存儲的用戶數據，一是用來要挾網站主企業支付贖金。這種對于被竊取的信息主體來說相對安全，企業只要交付贖金，用戶的個人信息就不會遭到泄露。二是到黑市上交易。被轉賣信息的用戶，會成為廣告推銷騷擾的對象，而且往往被盜用的信息不只一次被售賣，這就相當于用戶的隱私根本就是赤裸裸暴露在外。

2.相關部門監管的漏洞

網絡作為一個開放式的大平臺，它的優勢自然是無限制無門檻，誰都可以自由進出，同時也是亂象叢生的來源，給相關監管部門也帶來了困擾。全世界任何國家都不能保證自己對互聯網的監管做得很到位，包括網絡最初產生的美國，甚至他們在大數據面前的個人信息被侵犯，早已成為了公開的社會問題。

自從我國《網絡安全法》頒布并實施以來，在立法層面上，又陸續出臺了一系列法律法規都是與個人信息保護有關的。在監管、執法層面上，以人大為中心，全國上下聯動，涉及中央及地方各網絡安全和信息化辦公室、公安局網絡安全大隊、工業和信息化部甚至消費者協會，重拳出擊，專門為個人信息安全排查開展了徹底的專項檢查和打擊行動。盡管近些年取得了相當大的成就，但要做到嚴密監管，也始終是任重道遠。

三、國外對于公民個人信息安全的法律保護

（一）德國的立法保護

1970年，德國黑森州頒布了德國首部地方性《數據保護法》，也是全球首部數據隱私法。很快在1977年，西德聯邦政府就制定了《聯邦德國數據保護法》，其作為基本法在信息保護制度中的和性地位是不可動搖的。

與美國不同，德國民法上并沒有關于人格權的一般規定，意為德國民法或憲法上都沒有關于隱私權的概念，判例法上的私領域相當于美國法上的隱私權，政府為了彌補改性法律的局限與不足，還行相繼出臺《信息法案》《多媒體法案》等作為補充。

不得不提的是，德國除了是最早立法的國家，德國聯邦憲法法院也是最早提出個人信息自決權概念③?？傮w來看，德國信息保護法律的發展是由領域理論趨向于信息自主，在不斷擴大信息概念的范疇的同時，構建起以信息自主權為中心的法律規范體系。

（二）美國的信息隱私權政策

在聯邦法律方面，采取個別立法的方式來保護信息隱私，除了1974年的《聯邦隱私權法》，還包括1980年出臺的《隱私權保護法》，1986年的《電子傳訊隱私權法》，分別規定了在計算機、新聞、及有線無線、電子或口頭傳訊方面的具體行為的法律規范。而在于州立法及各行業方面，則更多的適用自律原則，但也制定了若干保護隱私的法律，發布了《全球電子商務政策框架》，主要還是強調行業自律，尤其是對大多數私營企業要求其積極采取行動保護用戶的兩項基本的網絡隱私權。

隱私權發源于美國，又經過百余年的發展與改革，建構了一個相對其他各國較為完整的保障體系，即侵權行為法上的隱私權、憲法上的隱私權及特別法律保障機制為一體的模式。

（三）日本的吸收與借鑒

鄰國日本與我們同屬大陸法系，2003年以前，日本也只有一些其他法規涉及到個人信息保護，比如說《金融機構的個人信息保護方針》《規范互聯網服務商責任法》等，這也就類似于我國的《網絡安全法》。他們比我們早發現了這樣的弊端，便開始參考德國進行專門立法。

除了最基本的《個人信息保護法》外，還制定了其他四部相關法律，涵蓋了各個方面，被并稱作“個人信息保護五聯法”。還包括《個人信息公開與個人信息保護審查會設置法》、《關于保護行政機關所持有之個人信息的法律》、《對關于保護行政機關所持有之個人信息的法律等的實施所涉及的相關法律進行完善等的法律》、《關于保護獨立行政法人等所持有指個人信息的法律》組成。這五部法律中有三部都是關于限制行政機關的相關權利的，可知日本是一個注重保護公民個人權利的民主國家。

四、我國個人信息安全立法現狀及完善建議

（一）現有個人信息保護立法的不足

1.不法情形規定不嚴密

《中華人們共和國網絡安全法》第四章網絡信息安全，從第40條到第45條的相關規定都與個人信息有關，分別規定了網絡運營者不得隨意獲取與提供服務不必要的個人信息，并且必要信息的取得也必須經過本人的同意，并且網絡運營者要嚴格遵守保密義務，不得泄露、篡改、毀損其收集的個人信息，違者及相關涉案工作人員都將會受到法律制裁。

但不足的是，本法中的相關規定都較為泛泛，僅表達典型情況，并未列明具體可能會發生的情形。舉個例子來說，《網絡安全法》第42條網絡運營者應當采取技術措施和其他必要措施，確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

其中只是提到“不得泄露個人信息”，卻并未對可能出現的情形進行列舉，并且對具體處罰規定也比較模糊。

2. 對不法行為處罰較輕

值得一提的是，當不法行為人的行為造成嚴重后果時，《中華人們共和國刑法》第253條就將侵犯公民個人信息的行為上升到應當承擔刑事責任高度。

大數據是通過電子方式記錄的個人信息，根據最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題，對刑法第253條規定的“公民個人信息”是指以電子或者其他方式記錄的，因此我國刑法的相關規定同樣適用于網絡領域，在一定程度上起到了對《網絡安全法》處罰方面的補足效果，但確實是杯水車薪，遠遠不夠。

3.新規范內容具體，但效力不足

中國國家標準化管理委員會于2017年12月29日正式發布《信息安全技術個人信息安全規范》;2018年1月24日，國家標準全文公開系統正式對外公布規范全文，將于2018年5月1日起實施。

首先，這部規范是中國國家標準化管理委員會制定的，嚴格意義上講，并不屬于法律的范疇。但是，根據《規范》適用范圍說明，《規范》適用于“主管監管部門、第三方評估機構等組織對個人信息處理活動進行監管、管理和評估”，根據《國家標準化法》規定，強制性標準必須執行，國家鼓勵采用推薦性標準。也就是說，在約束這些監管部門方面發揮著等同于法律的作用。

《網絡安全法》實施以后，企業被賦予了很多網絡安全義務和責任，舉個例子來說，其中非常重要的一條是，應當制定合規的個人信息管理制度。該項如今在《規范》中得以落實，主要體現為：

第一，應當明確個人信息保護的責任部門及人員?！兑幏丁访鞔_，達到一定規模的大中型企業，必須任命個人信息保護負責人和個人信息保護工作機構，并將其聯系方式作為信息公開，方便大眾監督。另外還必須對其職責作出明確規定，防止給某些官員尸位素餐的理由。

第二，應當建立個人信息崗位人員管理及培訓制度?！兑幏丁访鞔_，應當對相關人員知根知底，先要確保他們自身沒有問題，才能更好的行駛其職責。還應當注意的是，與相關人員簽訂保密協議，建立健全專業人員培訓和考核機制，確保他們更好的處理工作上可能出現的重難棘手問題，當然處罰機制亦是必不可少，在一個合理的獎罰制度下，才能個更好的發揮組織公正監管的作用。

第三，應當建立內部訪問個人信息的控制制度，限制一切對個人信息不合理的復制、傳播等行為，并有效的限制個人信息的展示，約束自動化程序使用與救濟，等等。只有使個人行為得到約束，才能達到約束大環境秩序的目的。

第四，應當開展個人信息安全影響評估、審計制度。對過去的總結是將來提高的途徑，客觀的了解一段時間的成果，可以推知具體措施的有效與不足，不斷完善改進，爭取越來越好。

第五，應當建立個人信息安全事件處置與報告制度。定期將一段時間內發生的案件做出分析匯總，并且要橫向縱向相結合，從不同的角度分析總結，發掘典型事件的特定處理方式，將其作為中格式性方法運用于今后的工作中，才能更高效并公平的對待同類事件。

（二）對《個人信息安全法》的制定建議

目前我國還未頒布有關個人信息安全專門的成文法律，此類案件發生時，主要是靠其他相關法律來解決，這種做法存在不少弊端。如：定罪不準確，量刑不標準，造成同案不同判等不公平現象。為此，我國正在積極籌備《個人信息安全法》，要使之成為一門獨立法律，除了借鑒之前的其他法的相關條文，結合實際情況更為重要。

1.細化規范條文

上文中對我國現有的相關法律分析的結果指出，該方面的規定并非一片空白，而是空曠泛泛，而《刑法》的規定又過于嚴格，情節嚴重才能入罪，因此，現存法律很容易被犯分子利用，游離在違法的界線上，借此打擦邊球，妄圖逃不法律制裁。

因此，在現有的基礎上進行完善細化是制定《個人信息安全法》的目的所在，將可能出現的犯罪情形都“一網打盡”，法律規定得越全面，也就意味著我國又向法治社會邁進了一步。

2.賦予公民權利

首先，就從行業的自律機制而言，網絡服務者應當積極承擔起承諾的信息保護義務。若網絡服務者主動單方面地作出信息保護的承諾，這個行為簡單來說就是民法中所稱的附生效條件的法律行為，可以直接參照民法處理。另一種是，若行業自律組織對個人信息保護作出了承諾，則可以視為加入該自律組織的網絡服務者均作出了信息保護的承諾，同理亦可。

其次，從個人層面來說，要在必要范圍內賦予公民自救的權利。在現今的法治社會中，原則上雖然不允許公民以自力救濟來解決問題，但日常生活中，在公民的權利受到侵害時，很多情況下是難以及時尋求到公立救濟來保障自己的權利。

3.引入集體訴訟機制

現對于其他犯罪而言，由于大數據的信息泄露所危害的主體往往不是個別個體，絕大多是是數以萬計甚至更多的網絡用戶。例如我國規定在環境污染的受害者或者權益受損的消費者訴訟的案件中，除了存在公益訴訟這種途徑外，還可以以共同訴訟的方式提起。

由于個人信息案的主體與上文提到的兩種不特定主體相同，單個主體的力量畢竟有限，取證維權的成本也相對較高，因此這兩種方式完全可以引入到個人信息保護的案件中來，在司法機關的幫助下，不僅有利于最大限度的維護每個個體的權利，也能夠提高司法效率，大大節省司法資源。

五、總結

現如今，我們的衣食住行都越來越離不開互聯網，近年來我國相關法律不斷完善，取得的成就不可小覷，但同樣法治前行依舊任重道遠，加強對個人信息隱私權的保護，既要吸取已有的外國先進制度，事半功倍，又不能全盤接受歐盟、美國的數據治理模式。因此 在借鑒國外經驗的基礎上，應明確自身規制的模式，形成具有我國特色的個人數據保護體系。在發展方面，應當順應信息技術的進程，趨利避害，而不是由于恐懼科技所帶來的負面影響就因噎廢食，阻止大數據時代的到來。既能享受到網絡為我們提供的便利，同時又不受到其帶來的一定程度的危害，才是推動社會進步最快最好的辦法。

參考文獻：

[1]孔令杰，個人資料隱私的法律保護[M]. 武漢：武漢大學出版社，2009.

[2]王澤鑒. 人格權的具體化及其保護范圍·隱私權篇·上[M]. 比較法研究，2008，（6）：1 - 21.

[3]王澤鑒. 人格權法：法釋義學、比較法、案例研究[M]. 北京：北京大學出版社，2012. 185.

[4]高志明，個人信息流轉環節的法律規制[J]，上海政法學院學報（法治論叢），2015：8-9.

[5]王宗偉，會員賬號屢遭泄露，個人信息保護亟待強化[J]，中國商報.2017：2-4.

[6]許娟娟，論私力救濟[J]，金陵科技學院學報（社會科學版），2006：4.

[7]王昊魁，織密打擊電信詐騙犯罪的大網[J]，光明日報，2015：13.

[8]田志鑫，大數據時代下網絡信息安全問題研究[J]，電腦迷，2017，（5）：21-24.

[9]王秀哲，美國、德國隱私權憲法保護比較研究[J]. 政法學刊，2007，（2）：71 - 74.

[10]張俊生，大數據時代下的信息泄露問題研究[J]，科技之光，2017，（2）：16-19.

[11]程嘯. 論大數據時代的個人數據權利[J]. 中國社會科學，2018，（3）：102 - 122，207 - 208

[12]參見朱柏松：《個人數據保護之研究——近代隱私權概念之形成及發展（上、下）》[J]，載《法學叢刊》1954年4月第114期，115期

[13]The Study of Personal Information Security Problems on the Age of Big Data[J] ?Hai Yan Liu，Yong Wen Zhong，Applied Mechanics and Materials，2015：701.

[14]Security Management of Movable Storage Device Based on File System[J] ?Wei Feng，Wang Hai，Yan Liu，Advanced Materials Research，2013：756.

注釋：

①參見郭瑜著：《個人數據保護研究》，北京大學出版社2012年3月第一版，第1頁

②轉引自陳起行：《資訊隱私權法理探討——以美國法為中心》，臺灣《政大法學評論》2000年，第64期。

③參見“人口普查”判決書正文第一段，轉引自齊愛民：《德國個人資料保護法簡論》，載《武漢大學學報（人文科學版）》，2004年第4期，第465頁以下。

作者簡介：周縈，女，1995年出生，河北邢臺人，海南大學法學院碩士（在讀碩士研究生），研究方向：民事訴訟法學。