浅析大数据背景下个人信息的保护

摘 要 移动互联网的高速发展深刻影响了人们的生活，在享受方便快捷的同时，大量公民个人信息在网上遭违法售卖，低成本的违法获取个人信息不仅严重侵害信息安全和个人隐私，更成为电信诈骗屡禁不止的重要诱因，信息安全问题越来越严峻，越来越迫切，越来越现实。源头防范、系统保护个人信息安全，是大数据时代非常严峻又极其重要的问题。

关键词 个人信息 人格权 信息安全

基金项目：吉首大学研究生科研项目“个人信息保护立法研究”（JGY201739）的成果。

作者简介：吴宜波，吉首大学2016级法学理论硕士研究生。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.09.119

一、大数据背景下保护个人信息的价值基础

大数据是指对具有海量规模、快速流转、类型多样、低价值密度等特征的数据，通过截取、管理、处理并整理等专业化处理方式，使数据在决策时成为更具发现力、说服力的信息资产。 个人信息，是指能够识别、确定自然人身份的数据或信息集合，可识别性是关键特征，包括基本信息、设备信息、账户信息、隐私信息、社会关系信息和网络行为信息等。个人信息已经成为开发新商业模式的资源高地。 《世界互联网发展报告2017》指出，中国网民规模达7.51亿，居全球第一，数字经济规模总量达22.58万亿元，跃居全球第二，庞大的网民数意味着海量的信息数，意味着信息主体的权益易受到威胁、侵害，由此催生了个人信息保护的需要。 由于数据兼具隐私属性、价值属性，通过对数据的分析挖掘，不仅能看到个人住址、电话、消费记录、社交记录等，还能看出个人经济状况、生活习惯、性格特点等。大数据时代保护个人信息对于行使信息自决权，保护财产权，确保信息安全具有现实意义。

（一）保护个人信息是行使信息自决权的基础前提

“信息自决权”最先是德国学者施泰姆勒在1971年提出，其核心内核为：基于法律的明确规定，自然人对个人信息拥有收集知情权、利用的决定权等。 大数据时代，个人信息很大程度表现为运用以互联网为代表的现代信息通信技术，在网络空间中能被识别出的，具有个人人格利益因素的相关数据。《个人信息安全规范》作为个人信息保护“国标”，首先明确规定某项信息是否属于个人信息，进而提出个人信息分享、个人信息采集、用户控制个人信息的合规要求等原则。欧盟的《一般数据保护条例》规定，数据被处理时，控制者必须明确告知数据主体，以提高对数据处理的理解程度和保护意识。 知情是信息自决权的基础前提，无论是信息权利人同意他人采取收集、分析、处理等合理利用，还是个人信息受到非法公开、盗取等，只有权利人知晓个人信息的内容、范围，明确个人信息是受保护的法益，才可能获得法律的保护和救济。

（二）保护个人信息是行使财产权的前置保护

财产权是指以财产利益为内容，直接体现财产利益的民事权利。个人信息不仅承载着信息主体的人格利益，而且与信息主体的财产权有着密切关联。一方面，保护个人信息是保护财产权的基础。《商君书·定分》提出“百人逐兔”的例子，说明财产权作为独立权利存在的前提是权利的确定性，脱离了权利人个人信息指向的财产，无法明确权属，行使权利也无从谈起。在互联网黑色产业链中，账号密码等个人信息泄露，往往伴随权利人财产利益的损失。可以说，依法保护个人信息是捍卫财产权的第一道屏障。另一方面，个人信息本身已成为信息时代的重要商业资源之一，具有很高的商业价值。从O2O、云计算、大数据到微博、微信、邮箱等具体服务，个人信息已成为交易中不可或缺的重要组成。比如，我们使用QQ、微信交換出社交关系，使用亚马逊、淘宝交换出联系方式、居住地址，使用百度地图、滴滴打车交换出地理位置，使用支付宝、网银交换出的金融信息。企业或营运商通过抓取、分析信息个体的消费、健康、财务、信誉、社交互动情况，最大化利用个人信息成为“新常态”。民法总则“不得非法买卖、提供或者公开他人个人信息”规定，确认信息的财产属性。

（三）保护个人信息是确保信息安全的重要内容

个人信息保护问题随着社会信息化而出现和深入。移动互联网时代，个人信息不仅具有重要的社会管理价值，并且与公共安全、国家安全密切相关。互联网的开放性，大数据的融合性让个人信息数据跨境流动日益普遍。通过个人信息结合其他相关数据分析，可能给国家安全、公共利益、公共安全方面带来潜在影响和危险。由于法律制度的差异，各国对个人信息保护的方式、程度不统一，影响了信息跨境流通。保护公民个人信息，不仅事关民生保障，而且事关信息安全、国家安全。

二、我国个人信息保护的现状及问题

从网络大国迈向网络强国，保护个人信息是任重道远、变量颇多的过程。 “徐玉玉案”、“李文星案”、“魏则西事件”背后都涉及个人信息泄露问题。个人信息买卖的灰色产业屡禁不止，深刻影响着每个人的生活。2017年，约有190亿条数据记录丢失或被盗，同比增长164%。

（一）法律规制缺乏体系化

我国有近40部法律、30余部法规以及近200部规章涉及个人信息保护。《居民身份证法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《消费者权益保护法》以及《民法总则》都对个人信息保护进行了规定。从法律体系看，看似很多但“杂乱无章”、“群龙无首”，现有规定之间缺乏系统性，导致令出多门，操作性差。缺乏全国性、系统性的个人信息保护办法，散落各处的法律条文，很难撑起保护个人信息的大伞。

（二） 传统监管模式无法应对新挑战

目前，涉及个人信息保护的有公安、卫计、食药、扶贫、旅游、铁路等数十个部门，还有电信、广电、水、电、燃气等行业领域。九龙治水、分散管理造成内耗增加、职责不清，导致个人信息保护弱化。跨界经营是互联网的常态，是跨部门监管“痛点”。比如网络购物，涉及交通、工商、工信、物流、银行结算、保险理赔等多个部门。一旦发生个人信息泄露，部门间的权利义务如何划分，承担法律责任的个体如何确定都没有明确规定。行业执法部门负责本行业执法，执法力度不高，执法主动性偏低。近年来，我国侵犯个人信息的违法犯罪案件逐年增加。全国2015年电信诈骗发案近60万起，破案率不到3%。

（三） 企业主体责任落实不够

作为数据管理者、网络运营者、数据收集者，互联网企业法律责任与义务不明确，行业自律不完善，信息收集不规范、使用目的不透明，使得部分用户在互联网上成为“透明人”、长期“裸奔”，个人信息安全存在严重隐患。一方面，数据管理平台漏洞百出。“安恒公司”曾对25万个政务网站进行了评估和监测，发现漏洞841万个，平均每个政府网站漏洞34个。另一方面，不少个人信息违法犯罪表明，大量倒卖信息的源头来自掌握公民个人信息的企业和行业，“内鬼”为了经济利益非法出售大量公民个人信息。

三、个人信息保护的思路及建议

个人信息保护，数据隐私问题已成为数字经济时代的顶层问题。“法律的主要作用之一就是调整及调和种种相互冲突的利益，无论是个人的利益还是社会的利益。” 我国当务之急是有效整合分散在行业、领域的个人信息保护规定，尽快出台《个人信息保护法》。信息时代、数据时代如何尊重互联网发展规律，保护个人信息要注重个人私权保护并兼顾规范信息资产合理开发，实现社会公共利益的平衡，推动社会进步。

（一） 明确个人信息使用目的

针对大数据环境下人们对个人信息的控制权明显下降的实际，在采集、使用個人信息时，应当有合法、正当、必要目的。通过合同明确、公示授权等方式，确保个人信息的合理利用明确知情。日本《有关行政机关电子计算机自动化处理个人资料保护法》第4条第1项规定：“个人资料库的建立，必须以完成行政机关法定任务为目的。”

（二） 明确个人信息收集限度

个人信息采集时应坚持最低适用标准，明确告知收集类型、方式、用途，赋予权利人选择权、撤销权等。针对大数据时代实际，立法时应明确个人信息的保护边界，实现国家公共管理、个人信息保护、信息业者“三方平衡”。 一是个人必须授权收集和使用的个人信息。这是公共服务、商业服务等顺利进行的核心功能，这些功能包含了实现比如网上购物所、改进产品或服务及保障交易安全等必须的功能。如果不提供相关信息，无法享受基本的服务。二是个人可选择是否授权被收集和使用个人信息的情形。如果用户不提供这些个人信息，依然可以享受基本产品、服务，但无法使用可以为个人带来更多乐趣的附加功能。比如位置信息、拍摄信息、通讯录信息等，只有明确个人授权才允许收集和使用这些个人信息。三是法律明确规定，在特定情形中，收集、使用个人信息无需征得个人授权同意，比如涉及国家安全、公共利益、侦查、起诉、审判和执行等。

（三） 提高大数据安全防护技术

加大对大数据安全保障关键技术研发的资金投入，打造个人信息保护态势感知、监控预警、测评认证平台，确保终端安全、网络安全和云平台安全，提升安全技术防护水平。通过建设数据安全技术措施，包括建立合理的制度规范、安全技术来防止个人信息遭到未经授权的访问使用、修改，避免数据的损坏或丢失。借鉴IBM、微软、Google、Facebook等互联网公司经验做法，建立“首席隐私官”制度。以目的明确、事先同意、使用限制为方向升级服务信息推送方式，变企业主动推送为消费者主动获取。 网络服务采取传输层安全协议等加密技术，通过https等方式提供浏览服务，确保用户数据在传输过程中的安全。

（四） 完善监管机制

一是成立专门的个人信息保护机构。目前，我国信息监管部门是工信部，执行相关职能的有“网络安全管理局”和“信息通信管理局”，两者在职能分工互有交叉。从世界范围看，建立专门机构是通行做法，也是提升个人信息保护水平的有效方式。二是出台惩罚性赔偿规定。针对个人信息的非法利用和买卖问题侵害的多为私人权益实际，重视从民事法律上提高个人信息的侵权行为成本，在民法分则中规定惩罚性赔偿，改变举证规则，采取过错推定责任，减轻被侵权人的举证责任。三是强化行业自律。用行业自律弥补监管能力的不足，完善个人信息保护自律规范。建立成员企业准入和年审机制，在重点行业出台隐私保护原则、规则、标准，发布个人信息保护审查报告，综合运用“永久禁止从业”、“黑名单”、“警示”手段，使问题厂商失去市场，在行业无立足之地。

注释：

Big data.http：//zh.wikipedia.org/wiki/big-data.

王泽鉴.人格权法.新学林出版股份有限公司.2012.207.

王利明.论个人信息权的法律保护——以个人信息权与隐私权的界分为中心.现代法学， 2013，35（4）.62-72.

何治乐、黄道丽.欧盟《一般数据保护条例》的出台背景及影响.信息安全与通信保密.2014（10）.

保护个人信息要让法律露出牙齿.http：//digitalpaper.stdaily.com/http_www.kjrb.com/kjrb/html/2018-03/05/content_389592.htm？div=-1.

丰家卫.方周大战拷问大数据时代隐私安全.中国青年报.2012-11-02（5）.

博登海默著.邓正来译.法理学： 法律哲学与法律方法.中国政法大学出版社.1999.

张新宝.从隐私到个人信息：利益再衡量的理论与制度安排.中国法学.2015（3）.38-59.

参考文献：

[1]大数据时代个人信息保护模式需改变.http：//dz.jjckb.cn/www/pages/webpage2009/html/2018-04/18/content_42691.htm.