大數據視角下的個人信息安全問題研究

靳英桃

（河南檢察職業學院，河南 鄭州 451191）

近年來，我國加大了網絡信息安全保護的力度，制定了《全國人大常委會關于維護互聯網安全的決定》《侵權責任法》《關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》《網絡安全法》《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》《民法總則》以及即將生效的《民法典》等一系列規范性法律文件。這些規范性法律文件為網絡個人信息安全的保護提供了一定依據，但也存在著諸如過分關注對個人信息保護的規定，忽視基于技術設置等網絡新技術新業務而產生的網絡黑色產業鏈；過分關注政府監管，忽視了加強企業自律，完善企業征信系統等問題，從根本上講，產生這些問題的主要原因，是制定者沒有充分意識到網絡社會與傳統社會治理的差別，用傳統社會治理的模式來思考和治理大數據帶來的個人信息泄露的治理問題。

一、大數據時代下個人信息保護的網絡化邏輯

麥肯錫全球研究所將大數據界定為：規模大、數據海量、流轉速度快、類型多樣以及價值密度低的超出傳統數據庫軟件工作能力范圍的數據集合。①Big Data：The Next Frontier for Innovation，Competition，and Productivity，Mc Kin Sey Global Institute Report［EB/OL］.（2011-05）［2015-10-11］，http：//www.mckinsey.com/insights/business_technology/big_data_the_next_frontier_for_innovation.大數據是集數據海量、高增長率、充滿多樣性特點，需要新處理模式才能具有更強的決策力、洞察力、信息優化能力的一種信息資源。

大數據時代到來后，數據的產生與收集不再單一地從網絡瀏覽記錄中產生，移動智能設備、電子商務和搜索引擎網絡服務也收集了大量的數據信息。對個人信息的保護，主要從獲取權限、處理方式及數據管理方面進行。

（一）信息獲取權限方面。大數據中個人信息的利用具有公開性和共享性，個人對自身信息的控制權模糊化。用戶在使用網絡及各種APP時，對個人信息的填寫及保密協議除了點擊“同意”以外別無選擇，否則無法登陸相關界面，更不說用戶對被采集的個人信息的流轉背后的操作程序進行監管了。

（二）信息處理方式方面。在云技術的幫助下，大數據能對截取的個人信息，包括手機號碼、地址甚至消費水平進行快速分析、深度整合與解析，在看似毫無關聯的信息之間找出關聯性，將整合后的信息精確比對到個人。

（三）信息數據管理方面。只要連上網絡，個人瀏覽的信息就會受到運營商的監控，然后，大數據將比對后的個人信息推送給各大網購平臺和廣告商，成為網絡黑色產業鏈交易的對象。

二、大數據時代下個人信息保護的現實邏輯及其挑戰

隨著網絡技術的飛速發展，網絡黑色產業鏈仍有很大的生存空間，對于我國公民個人信息侵權的民事案件和刑事案件，仍然呈現逐年上升的態勢。①張玨芙蓉.從《網絡安全法》看我國個人信息安全法律保護的途徑［J］.傳媒，2017.6（上）.2016年，一件讓人震驚的網絡詐騙案的發生，引起了社會極大的關注。2016年8月19日，山東即將上大學的學生徐某某接到一個自稱是教育局的電話，對方告知有一筆助學金可以發給她，于是徐某某在深信不疑的情況下，將9000多元學費打入了騙子提供的賬號，后發現上當受騙。徐某某萬分難過，當晚和家人去派出所報了案。在回家的路上，徐某某突然暈厥，雖經醫院全力搶救，但仍沒能夠挽回她年輕的生命，該案給我們敲響了個人信息保護的警鐘。②臨沂警方成立專案組 全力偵破徐某某被騙事件［EB/OL］.新浪，2017-03-02.

（一）大數據時代下個人信息保護的基本方式

1.開展打擊網絡亂象的“凈網專項行動”

隨著人工智能等技術的普及，網絡黑色產業鏈已從傳統的木馬病毒和電話詐騙等簡單的模式，向金融類詐騙和更為先進地撞庫拖庫、精準詐騙等復雜模式發展。為此，公安部門組織開展打擊網絡亂象的“凈網專項行動”，嚴格落實網絡安全等級保護制度，注重加強企業大數據和公民個人信息安全的防護。

2.加大法律法規對網絡詐騙的懲處力度

針對信息安全的保護，我國分別在民事、刑事以及網絡安全等方面進行了相關的立法。《全國人民代表大會常務委員會關于維護互聯網安全的決定》規定，對有非法截獲、篡改、刪除他人電子郵件或者其他數據資料，侵犯公民通信自由和通信秘密行為，構成犯罪的，依照刑法有關規定追究刑事責任。《侵權責任法》規定，網絡用戶、網絡服務提供者利用網絡侵害他人民事權益的，應當承擔侵權責任。《刑法修正案（九）》規定，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對公民個人信息的相關內涵做了認定標準，對侵犯公民個人信息罪的量刑標準進行了明確。2017年10月，個人信息保護正式寫入《民法總則》，這是我國第一次從民事角度對個人信息進行立法保護。2020年5月通過的《民法典》對個人信息保護作出了基礎性和較為系統的規定。

（二）大數據時代下個人信息保護的現實邏輯

1.現實風險。此類風險多是由于客戶為了一時的自身方便，而放棄個人信息安全的保護，成為不系安全帶的數據駕駛員，在個人信息被侵犯時才意識到危險。如在上網時設置用戶密碼單一、蹭公共網絡付款導致銀行卡被刷、不安裝安全軟件等一系列圖方便的行為，都存在著不同程度的安全風險。

2.潛在風險。在“互聯網+”模式下，萬物互聯，個人在上網瀏覽網頁、購物，享受互聯網便利的同時，可能早就被黑客盯上，成為黑客攻擊的對象，造成用戶信息泄露。此種情況為智能化產品的技術缺陷造成使用中個人信息可能被泄露。

3.未知風險。安全技術更新與黑客和病毒技術更新速度相比，存在明顯的缺陷，這對用戶的個人信息安全問題形成了嚴重威脅。安全保護技術的滯后性威脅著個人信息安全，是導致個人信息泄露風險的又一誘因。

（三）大數據時代下個人信息保護邏輯受到的挑戰

1.企業隱私條款成了“霸王條款”。網絡在給人們帶來便利的同時，或許大多數人并沒有認真閱讀過網絡軟件中的隱私條款，更不清楚網絡企業是如何處理用戶個人信息的。甚至在下載安裝這些應用軟件時，如果對其中的隱私條款不選擇“同意”，根本不能下載使用這些軟件。個人信息處理者的霸王條款，成為導致一系列信息泄露事件頻繁發生的主要誘因。

2.個人信息知情權、遺忘權得不到保障。互聯網時代，用戶的個人信息權益很難得到保障，主要涉及兩方面的權益：一、知情權，用戶在使用網絡時，并不清楚自己的哪些信息被哪些有心的商家所收集；二、遺忘權，用戶在瀏覽網頁后，個人信息不能刪除，也不能要求服務商刪除，即使在軟件上刪除成功，后臺仍留有記錄。

3.個人信息泄露導致詐騙、勒索等諸多社會問題。信息買賣黑市已形成處理個人信息一條龍的黑色產業鏈。近年來，公安和網絡監管部門開始重視黑色產業鏈問題，一些包含信息買賣內容的網頁一出現立即被刪除，一些QQ群也受到持續的監控，但是新事物層出不窮，很難完全刪除扼制。前述案例表明，對個人信息的過度收集利用，已經嚴重的侵犯了公民的合法權益，導致詐騙、勒索等諸多社會問題，甚至讓人付出了生命的代價。

三、大數據時代下個人信息保護三方共治的基本模式

對于個人信息的保護，以美國和歐盟為代表的大多數國家大致形成了行業自律與單行立法相結合模式、立法綜合規制模式兩種治理模式，認真總結、反思這兩種模式，對于完善我國大數據下個人信息保護具有重要意義。

（一）行業自律與單行立法相結合模式

此種模式以美國為代表，把個人信息作為隱私權加以保護，分為公共領域和私人領域兩個不同的領域。在私人領域，通過有關行業從業者的自律約束與行業協會的督促監督來保護個人信息安全。《公平信用報告法》《電子通訊隱私法》《全球電子商務政策框架》等一系列法律的出臺，旨在對以隱私權為中心的個人信息進行民法保護。2018年6月28日，美國加利福尼亞州頒布了《2018年加州消費者隱私法案》，旨在加強消費者隱私權和數據安全保護，該法案被認為是美國最嚴格的隱私立法。①加州通過全美最嚴厲隱私保護法案《2018年加州消費者隱私法案》https：//www.sohu.com/a/242074366_199914.

（二）立法綜合規制模式

此種模式以歐盟為代表，歐盟統一立法和各成員國國內立法在個人信息立法的價值取向、框架設計及基本制度架構等方面達成高度一致，確保各國之間的信息流通。2001年通過了《反信息犯罪法》，主要目的在于懲罰黑客的信息犯罪行為，確保信息安全。2012年，針對個人敏感信息問題歐盟開啟了新一輪的立法改革，對敏感信息實行差別化保護，分為基本保護和增強保護。②鞠曄，王平.云計算背景下歐盟消費者個人敏感數據的法律保護［J］.法學雜志，2014（8）：79-85.2018年5月生效的《數據保護通用條例》，對個人數據泄露通知、設置數據保護官等進行了嚴格的規范。

（三）三方共治模式

大數據時代下，中國個人信息的保護不應再狹隘地局限于個人利益，而應側重規范信息資產合理開發中個人利益和社會公共利益的平衡，構建一個平衡個人、企業和社會利益三方共治的法律模式框架。

1.完善相關法律法規，增加可操作性。針對法律法規分散、不具體、可操作性亟待細化等問題，借鑒美國、歐盟等國家關于個人信息保護的立法經驗，制定可統一適用的《個人信息安全法》等專門性法律，明確個人信息的相關含義和救濟方式，明確個人信息保護用戶的“知情權”與“遺忘權”的具體操作標準，保障用戶知悉其個人信息如何被加以利用，保障用戶可以拒絕瀏覽過的信息被跟蹤，可以通過一定的程序刪除個人信息瀏覽痕跡等。

2.加強企業自律，完善征信系統。大數據時代，更要強調信息業者自身的行業自律，強化企業的社會責任感，促進信息技術與企業間的良性互動。政府應加強行業從業人員的個人信息權利意識，強化自律示范作用。完善企業征信系統，對于有失信行為的企業，給予信用減等處罰，將對個人信息的保護落實到企業經營的細節之中。

3.介入新技術手段，強化對個人信息保護的力度。隨著物聯網安全、態勢感知、高級威脅調查取證等新興技術手段的發展，網絡安全產業迎來了新一輪的變革，一些新科技手段的介入能更加高效的保護個人信息安全。公安部第三研究所推出了公民網絡電子身份標識系統（eID），利用密碼技術，以智能安全芯片為載體，對個人信息“去標識化”，使大數據無法識別個人信息。網絡黑灰產業的發展要求信息業者不斷發展使用新的安全技術，加強大數據安全技術及核心科技的研發工作，改變核心技術受制于人的被動局面，提升信息防控能力。

4.健全行政監管，加大違法處罰力度。設立個人信息保護的行政監管機構，政府監督部門加大對相關企業和機構的監督與管理，定期對企業的個人信息處理情況進行抽查，對相關違反個人信息保護法律法規的企業進行警告，加大違法處罰力度。

5.提高用戶安全意識，減少信息泄露。用戶要注重自身的信息安全問題，主動掌握信息安全知識，提高個人信息防范意識和防范能力。相關部門合力利用各種媒介，廣泛宣傳網絡安全知識，健全和完善網絡安全宣傳機制，把網絡個人信息立法保護的宣傳工作落實到位，增強公民個人的信息安全意識。