大數(shù)據(jù)時代個人信息安全問題研究

文/王斌

目前，不同國家對個人信息的界定存在一定差異。根據(jù)《個人信息保護法》第4條、《網(wǎng)絡(luò)安全法》第76條和兩高《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第1條規(guī)定，我國將個人信息的內(nèi)涵界定為以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理后的信息，外延包括但不限于自然人的姓名、出生日期、身份證號碼、個人生物特征信息、地址、電話號碼等。在當(dāng)前大數(shù)據(jù)時代，個人信息數(shù)據(jù)表現(xiàn)方式呈多元化特征，包括酒店住宿信息、購票信息、二維碼信息、通話記錄、人臉識別、網(wǎng)頁瀏覽、聊天記錄、語音控制識別、各種app注冊信息等。隨著大數(shù)據(jù)時代發(fā)展，為了滿足當(dāng)前大數(shù)據(jù)時代的保護個人信息安全要求，對個人信息定義也必將不斷完善。

一、大數(shù)據(jù)時代個人信息安全形式嚴峻

所謂個人信息安全，主要是因?qū)€人信息處理不當(dāng)而導(dǎo)致信息泄露造成對個人信息權(quán)益的侵害，帶來對個人人格尊嚴、財產(chǎn)安全、身份安全等實質(zhì)的或潛在的安全危害。特別是隨著大數(shù)據(jù)時代發(fā)展，互聯(lián)網(wǎng)技術(shù)、軟件技術(shù)等得到了全面普及并深度融合，人們在日常生產(chǎn)生活中享受便利的同時，個人隱私也受到不同程度的威脅，信息安全面臨重大挑戰(zhàn)。黑客或電腦病毒軟件，通過整合大數(shù)據(jù)資源，竊取公民的姓名、性別、職業(yè)、出生日期、身份證號碼、住址、聯(lián)系方式、收入和財產(chǎn)狀況、健康狀況、消費情況等能夠單獨或者與其他信息結(jié)合成可識別的公民信息。其潛在的風(fēng)險會對個人財產(chǎn)、生命尊嚴等帶來更多的威脅，甚至公民信息是透明的，增加了各種權(quán)益受到侵犯的危險[1]。當(dāng)前大數(shù)據(jù)技術(shù)快速發(fā)展，日常出行一部手機可解決所有問題，如購物、買票、外賣、互聯(lián)網(wǎng)社交、掃碼旅行、門診登記、共享汽車、自行車和充電等。各種共享資源和旅游支付的普及是網(wǎng)絡(luò)犯罪案件急劇增加的一個重要元素。各種網(wǎng)絡(luò)犯罪案件和盜竊案件不斷出現(xiàn)，利用各類APP漏洞盜取賬戶信息、財產(chǎn)和身份信息，利用大數(shù)據(jù)準(zhǔn)確投放欺詐性廣告，甚至由于網(wǎng)絡(luò)認知錯誤誘導(dǎo)公眾點擊網(wǎng)絡(luò)鏈接和二維碼，最終遭受財產(chǎn)損失。例如，近年來，更換商家二維碼實施支付盜竊，利用老人對于一些垃圾短信的錯誤認知造成的誤點鏈接，偽裝成銀行人員和公安人員進行詐騙，利用發(fā)送禮物或公眾的同情心欺騙掃描二維編碼以獲得個人用戶信息等等，類似問題層出不窮。在大數(shù)據(jù)時代，個人信息安全問題日益突出。網(wǎng)絡(luò)犯罪技術(shù)和手段的提升使得犯罪案件的破案難度加大，而網(wǎng)絡(luò)犯罪數(shù)量卻呈幾何級數(shù)增長。因此確保大數(shù)據(jù)的安全勢在必行，有必要利用法律來進行源頭治理和控制。

二、大數(shù)據(jù)時代個人信息法律保護存在的問題

隨著大數(shù)據(jù)時代的飛速發(fā)展，亟需解決移動互聯(lián)網(wǎng)軟件和應(yīng)用發(fā)展中的個人信息安全保護問題。所以，如何正確處理互聯(lián)網(wǎng)發(fā)展和用戶信息安全保障之間的關(guān)系，是迫切需要解決的關(guān)鍵問題。特別是當(dāng)前大數(shù)據(jù)時代，個人信息類型復(fù)雜、數(shù)據(jù)龐大。隨著個人用戶信息泄露情況持續(xù)惡化，網(wǎng)絡(luò)犯罪事件在全球范圍內(nèi)迅速增加，勢頭不減。各大數(shù)據(jù)科技公司甚至對用戶點擊廣告返利、瀏覽網(wǎng)址等信息進行跟蹤和記錄，以適當(dāng)時機和方式干預(yù)社會熱點事件和政治輿論導(dǎo)向。在用戶信息和隱私隨時可能受到侵犯的情況下，保障用戶信息隱私需要加強立法保障。但當(dāng)前相關(guān)法律保障還有很大滯后性，有必要通過完善法律法規(guī)解決信息安全保護問題。

●個人信息保護立法分散，缺乏系統(tǒng)性

從世界范圍看，個人信息立法保護模式主要有統(tǒng)一立法和分散立法兩種類型。前者是把相關(guān)保護性條例寫入基本法，根據(jù)法律條例設(shè)立不受政治、經(jīng)濟等因素干預(yù)的監(jiān)督機制。后者則拒絕將相關(guān)保護性條例寫入基本法，以市場機制作為管理和監(jiān)督依據(jù)，強調(diào)通過市場和行業(yè)自律對企業(yè)組織行為進行規(guī)范和調(diào)整。此外，國際經(jīng)濟合作與發(fā)展組織（OECD)制定的《隱私保護和個人數(shù)據(jù)跨境流通指南》（以下簡稱《指南》）已為世界絕大多數(shù)國家所認可并作為立法借鑒，對進一步完善我國個人信息保護體系具有較高參考價值。[2]

在大數(shù)據(jù)時代，收集獲取個人信息相對容易，個人信息的泄露、盜竊、欺詐性使用等事件屢見不鮮，要想從源頭解決這些難題，來自頂層設(shè)計的解決方案是非常必要的。在我國現(xiàn)行立法體系中，個人信息安全大多體現(xiàn)在刑法、民法和各部門的立法、解釋、規(guī)章制度中，缺乏系統(tǒng)性統(tǒng)一規(guī)范，比較混亂、不明晰，需要進一步完善。為加強對個人信息的安全范圍、概念、數(shù)據(jù)、懲罰機制等方面的管理，有必要制定更詳細具體的可操作的實施指南和國家標(biāo)準(zhǔn)。

●個人信息范圍和標(biāo)準(zhǔn)不明確，數(shù)據(jù)產(chǎn)權(quán)歸屬不明晰

當(dāng)今社會發(fā)展日新月異，原有的法律法規(guī)難以適應(yīng)時代變化、難以覆蓋現(xiàn)實要求。目前的信息安全法律尚缺乏具體的保護性基本原則，信息管理、采集等環(huán)節(jié)缺乏信息安全保護性和規(guī)范性要求，存在較大不確定性，讓信息安全得到合法保障較為困難。雖然有關(guān)法律解釋對非法提供、獲取、交易等犯罪手段進行了明確的規(guī)定和列舉，但關(guān)于利用大數(shù)據(jù)技術(shù)收集和利用個人信息的原則和標(biāo)準(zhǔn)并不明確。而對侵犯個人信息的犯罪行為的制裁必須以明確的秩序和規(guī)則為基礎(chǔ)。當(dāng)個人信息收集主體的權(quán)利、義務(wù)、責(zé)任不明確時，很難避免個人信息的非法收集和利用。對此，刑法和相關(guān)法律解釋有待于進一步細化明確，以加大對非法利用大數(shù)據(jù)侵犯個人信息權(quán)益行為的打擊力度，實施有效的法律保障。

大數(shù)據(jù)時代，個人信息的呈現(xiàn)方式也多種多樣。例如，任意下載注冊一個應(yīng)用程序，這類軟件要求你打開各種權(quán)限，如果你不同意打開，軟件將不能使用，更有甚者會被直接強行打開各種權(quán)限，此類權(quán)限的開通會涉及用戶個人信息，用戶的手機也有可能完全被控制，可謂是下載一次即被監(jiān)控綁架。那么，這些個人信息數(shù)據(jù)到底屬于誰？用戶有權(quán)控制自己的信息，而不是因其弱勢地位屈尊俯就。收集用戶信息的企業(yè)應(yīng)該承擔(dān)相應(yīng)責(zé)任和義務(wù)。因此，有必要明確相關(guān)企業(yè)的責(zé)任，建立合理化、程序化、規(guī)范化的個人信息安全管理機制迫在眉睫。

●缺乏數(shù)據(jù)管理和統(tǒng)籌協(xié)調(diào)，企業(yè)實體責(zé)任缺失

隨著信息社會不斷發(fā)展，對個人信息數(shù)據(jù)的綜合管理也存在很多問題。例如：監(jiān)管平臺沒有統(tǒng)一，信息多次重復(fù)收集；各部門缺乏統(tǒng)一的聯(lián)動部門，執(zhí)法部門多次執(zhí)法、重復(fù)采集個人信息；個人維權(quán)成本增加，司法成本浪費；數(shù)據(jù)管理規(guī)范化亟待提高，整體協(xié)調(diào)機制有待繼續(xù)完善。

不少大數(shù)據(jù)企業(yè)的內(nèi)控機制并不清晰，對個人信息安全保護不到位。立法缺失、處罰不力，導(dǎo)致相關(guān)企業(yè)存在僥幸心理。違法成本過低，事后難以追責(zé)，相關(guān)企業(yè)出現(xiàn)違法行為，遭受處罰也不會有太大的損失。因此，這些企業(yè)并沒有意識到信息安全保護的重要性，也沒有明確的風(fēng)險防控機制。如果發(fā)生大規(guī)模的信息泄露，最終的影響很有可能是巨大的，甚至?xí)o社會和公眾造成無可估量的損失。

●監(jiān)督救濟機制不完善，懲罰力度弱

隨著大數(shù)據(jù)信息技術(shù)快速發(fā)展，個人的基本信息很容易被獲取、收集、加工和利用，甚至被不法分子隨意侵犯，被侵權(quán)人很難獲得相應(yīng)的救濟機制和措施，具體侵權(quán)關(guān)系和具體責(zé)任部門難以確定。在司法實踐中，由于具體的制度和條款不夠明確，實際的監(jiān)督和救濟機制難以兌現(xiàn)。此外，在現(xiàn)行法律制度下，對利用大數(shù)據(jù)技術(shù)侵犯個人信息安全的保護力度不夠，相關(guān)懲處措施并不嚴厲，違法成本較低，導(dǎo)致更多的肆無忌憚的侵權(quán)事件發(fā)生。在司法實踐中，這類案件結(jié)案需要很長時間且處罰力度較低，遠遠低于社會公眾的預(yù)期。

三、大數(shù)據(jù)時代個人信息法律保護的建議與措施

●進一步完善立法、嚴格執(zhí)法，讓個人信息安全得到有力保障

個人信息安全保障勢在必行，有必要制定專門統(tǒng)一的法律。在立法上，可以改善過去有關(guān)大數(shù)據(jù)個人信息安全的相關(guān)法律法規(guī)零散、不系統(tǒng)的情況，使保障大數(shù)據(jù)個人信息安全有法律可循。根據(jù)社會發(fā)展的要求，研究修訂新的法律規(guī)章，跟隨社會發(fā)展的潮流，在應(yīng)對新的大數(shù)據(jù)信息安全案件當(dāng)中，為保障個人信息安全提供立法基礎(chǔ)和依據(jù)。在執(zhí)法中，我們應(yīng)當(dāng)嚴格執(zhí)行法律，統(tǒng)籌各個職能部門的處罰權(quán)限，明確每個部門的職能職責(zé)，強化有關(guān)部門的監(jiān)督管理功能，協(xié)調(diào)好各部門合力執(zhí)法，讓個人信息安全相關(guān)措施有效落實。

●明確個人信息安全界定范圍，明晰數(shù)據(jù)產(chǎn)權(quán)歸屬

個人信息安全定義不清導(dǎo)致相關(guān)問題層出不窮，定義的內(nèi)涵和外延有必要進一步明晰。個人信息的概念、適用對象和所有權(quán)應(yīng)根據(jù)個人信息安全屬性和信息主體的身份信息的合理使用來界定，并應(yīng)當(dāng)詳細規(guī)定獲取、收集、加工和使用個人信息的程序、規(guī)則和責(zé)任義務(wù)。大數(shù)據(jù)個人信息收集管理的企業(yè)應(yīng)當(dāng)建立個人信息安全數(shù)據(jù)管理庫，明確相關(guān)實施安全管理的規(guī)則和保障制度，并利用科學(xué)防護技術(shù)把好個人信息安全保障的第一關(guān)，將風(fēng)險扼殺在萌芽狀態(tài)。針對大數(shù)據(jù)個人信息安全方面的立法應(yīng)盡快出臺相應(yīng)措施，明晰經(jīng)營責(zé)任主體對應(yīng)的權(quán)利義務(wù)，確立產(chǎn)權(quán)歸屬。

●加強數(shù)據(jù)統(tǒng)籌管理

由于缺乏統(tǒng)一的數(shù)據(jù)管理部門和監(jiān)管保障平臺，各部門之間的溝通不協(xié)調(diào)，其關(guān)于信息數(shù)據(jù)的評估標(biāo)準(zhǔn)各不相同。為了避免和預(yù)防重復(fù)執(zhí)法的發(fā)生，改善部門之間的協(xié)調(diào)問題，要盡快加強統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，建立統(tǒng)一管理平臺，加強整體信息管理，將更加有利于數(shù)據(jù)安全和保護。加強統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)后，應(yīng)完善行政監(jiān)督機制，形成共建共享治理體系，降低維權(quán)成本和司法成本。目前大數(shù)據(jù)信息基本掌握在各個企業(yè)手中，各企業(yè)之間缺乏合理嚴格的內(nèi)控機制。因此，要明確企業(yè)主體責(zé)任，加強處罰和管理措施，推動企業(yè)建立健全防范風(fēng)險內(nèi)控機制，構(gòu)建完善系統(tǒng)的管控雙向機制。

●設(shè)定對內(nèi)和對外的雙重管理監(jiān)督機構(gòu)

當(dāng)前個人信息相關(guān)法律條文分散，在實踐中可操作性不強。個人信息泄露時，信息主體很難知曉自己受到侵害，事后也無法對自己的損失訴諸合理的救濟或者索要相應(yīng)的賠償。對數(shù)據(jù)產(chǎn)生、收集、使用等環(huán)節(jié)制定約束性強、科學(xué)合理的行為規(guī)范，可以減少甚至杜絕侵犯個人信息的違法現(xiàn)象發(fā)生。建立科學(xué)的個人信息保護體系，除了要有立法保障，還需建立相應(yīng)的個人信息監(jiān)管機構(gòu)，確保個人信息保護的法律條款在實踐中得到有效執(zhí)行[3]。

行業(yè)內(nèi)，應(yīng)建立統(tǒng)一的標(biāo)準(zhǔn)，其中應(yīng)當(dāng)明確個人信息數(shù)據(jù)的獲取、存儲和使用的程序、標(biāo)準(zhǔn)和相關(guān)責(zé)任。建立分層信息安全管理機制，詳細進行數(shù)據(jù)分類。按照個人信息的對應(yīng)框架和重要程度，制定詳細的數(shù)據(jù)分層框架，構(gòu)建明確的數(shù)據(jù)安全管理庫。此外，要嚴格控制應(yīng)用生物學(xué)、醫(yī)學(xué)和其他關(guān)鍵領(lǐng)域的個人信息采集。對外，應(yīng)建立統(tǒng)一的監(jiān)督平臺，依托政府建立權(quán)責(zé)合一的專門機構(gòu)，明確處罰機制，加大處罰力度，從而更好的保障個人信息應(yīng)有的權(quán)益。從行業(yè)自律和立法監(jiān)管的雙向機制出發(fā)，結(jié)合內(nèi)外雙重保障，來建立健全和完善個人信息安全的綜合保障體系。總之，只有讓信息安全方面的法律法規(guī)發(fā)揮出其應(yīng)有的作用，為大數(shù)據(jù)時代的前進保駕護航，才能讓網(wǎng)絡(luò)和數(shù)據(jù)運行更加科學(xué)合理地服務(wù)經(jīng)濟社會發(fā)展，造福于每個人的美好生活，互聯(lián)網(wǎng)行業(yè)的發(fā)展才會更加穩(wěn)定、有序、安全。