大数据时代个人信息安全问题探析

张嘉鑫

[摘要]大数据时代带来了新的个人信息安全问题和挑战。近年来各国不断颁布完善相关法律法规，对公民个人信息的储存、加工、流转、应用进行规范。欧洲以基本人权为基础和美国以隐私权为主保护个人信息安全的制度值得为我国个人信息保护制度构建所借鉴。同时，需要考虑我国特有的制度、市场环境以及公民的观念意识，将观念引导、公权力介入与私法保护相结合，在效率与安全、企业利益与信息主体权益之间寻求平衡，方能有效保护和使用个人信息，从而促进大数据时代的社会进步和经济发展。

[关键词]大数据；个人信息安全；隐私权；个人信息权利化；中美欧制度

[DOI]1013939/jcnkizgsc201912010

2011年5月，麦肯锡（McKinsey）公司发布了全球第一份从经济和商业角度研究大数据发展潜力的专题研究报告——《数据：创新、竞争和生产力的下一个前沿》，指出“数据渗透到每一个行业领域……海量数据的使用预示着新的生产力增长点和消费者剩余波的到来。”麦肯锡大数据：创新、竞争和生产力的下一个前沿领域[R].2011数字经济时代的信息挖掘技术也使得以前的非敏感数据变成敏感性数据，将原本无价值的信息变的有价值，当个人信息受到侵害时，可能造成的损失不可估量。由于个人信息的重要性和不断加强的财产属性，大数据交易平台数量逐年增长，在巨大潜力的市场以及拥有雄厚资本的企业的支持下，不断体系化和规模化。

1我国大数据个人信息安全问题概述

11问题的提出

“法律保护隐私，因为当我们的隐私被非法地暴露在公众面前时，我们的自尊被摧毁，我们与他人的关系被破坏。”Ruth Gavison， privacy and limitations of law， 89 Yale Law Journal 421471 （1980）.数据分析和挖掘以发现或推断未知事实为目标，它不完全依赖于因果关系，且新发现的信息是非直观和不可预知的，这使得整个过程变得非常不透明。From data mining to knowledge discovery， this paper summarizes six developments of knowledge discovery and data mining cited in U-M Fayed et （EDS）： Menlo Park： AAAI， 19%当某个主体在人们身上搜集数据，再描述测写他们，就有了更多能够加以利用的信息，就知道该如何细化样本。然后在他们关心的事件上用他们更可能产生共鸣的语言、图像给予信息，从而产生“用户画像”继而引发个人信息安全的诸多问题。在个人信息安全问题的复杂性、个人与企业之间的博弈状态、个人在个人信息安全问题的被动地位以及我国个人信息安全保护制度起步晚发展时间短的背景下，如何在数字经济领域中对个人信息保护是我们急需在当下解决的难题。与此同时，还应当考虑如何在保护公民合法的个人信息安全的同时，关注数字经济产业的经营效率，构建公平安全的营商环境，从而促进经济发展。

12 我国私法保护个人信息安全的框架

121《侵权责任法》

数字经济领域保护个人信息的私法典型依据可以追溯到2010年7月1日生效的《侵权责任法》第36条的规定，但该规定仅仅从三个具体行为方面进行论述，未具体规定行为和结果的联系，法条在民事法律诉讼中并未实质上对被侵权人进行救济。

122《消费者权益保护法》与《广告法》

《消费者权益保护法》第29条规定经营者要履行合法、保密、侵犯信息的义务，当侵权情况发生时，应采取补救措施。《消费者权益保护法》的第29条与50条明确具体了责任，其后实施的《广告法》中第43条，45条以及63条是对《消费者权益保护法》的补充，对侵犯个人信息的广告行为进行了规定，并且在第63条中确定了罚金数额。尽管《消费者权益保护法》与《广告法》的内容更加具体，但《消费者权益保护法》未对“个人信息”进行法律上的概念确定。同时仅要求侵权行为发生时采取补救措施，未说明未采取措施的责任。同时，侵权责任的承担方式过于笼统，五种侵权责任承擔方式应如何选择以及赔偿金额没有得到适当规定。

123《网络安全法》

我国《网络安全法》第22条与第37条对网络服务运营者对个人信息的收集、使用和储存进行了规定。第41条至第45条从收集和保密两个主要方面进行论述。第64条对于违反本法第22条第3款、第41条至第43条规定的行为规定了侵害个人信息需承担的法律责任，而盗窃、非法获取、销售个人信息的行为会被处以高额赔偿。与此同时，本法第76条对个人信息的概念进行了较为清晰的规定。

124《民法总则》

本法第111条明确规定了个人信息受到法律保护，但并未对个人信息进行权利化，在条文中也未出现“权”字，旨在以行为规制模式保护法益。叶金强教授认为，在不进一步探讨个人信息权的前提下，采取行为规制模式是明智、审慎的，对个人信息领域有了更清晰的认识之后，可以采用权利规制模式。笔者认为立法机关应当将个人信息作为隐私权保护对象还是单独保护还处在讨论和衡量阶段，个人信息权利化的趋势还需继续探讨，若在隐私权下可以给予个人信息足够的保护，则不应进行单独规制。

125《电子商务法》

将于2019年1月1日起施行的《中华人民共和国电子商务法》中有关个人信息的条款众多。第17、18条和第25、27条要求电子商务经营者对进入平台的消费者积极履行保护个人信息性质的义务。第59条至第63条提出，针对个人信息发生的纠纷可以先选择平台投诉、协商和解的方式解决争议。同时第62条对上述行为的举证进行了规定，对之前法律法规未对个人信息举证问题进行规定这一漏洞的填补，有利于解决个人信息被侵犯举证难的问题。本法第79条将其与《网络安全法》衔接，加上第83条对侵害消费者合法权益的责任进行具体化规定，使个人信息保护保护体系日趋完善。

13我国公法保护个人信息安全的法律框架

第十一届全国人民代表大会常务委员会第三十次会议通过的《全国人大常委会关于加强网络信息保护的决定》第一条明确规定了所保护的个人信息的性质。我国《刑法修正案（九）》将“情节严重”解释为造成被害人人身伤害或者死亡，严重影响被害人的名誉，并加强对“情节严重”的处理，加大力度保护名誉。《刑法》第253条于2017年11月4日重新颁布且当日生效，具体规定了侵犯个人信息安全罪的构成要件。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中明确具体地规定了“公民个人信息”的含义以及违法的行为类型，并对第253条进行了全方位解析。司法实践中，如周某某等侵犯公民个人信息案浙江省平湖市人民法院/（2016）浙0482刑初1022号/20161207和夏某某侵犯公民个人信息案浙江省绍兴市柯桥区人民法院（原浙江省绍兴县人民法院）/（2017）浙0603刑初97号/20170210等最高法院发布的典型案例中，刑法第253条成为判决的重要法律依据。

2美国对个人信息保护的法律框架

21基于隐私权进行保护

美国对个人信息的保护由隐私权的相关法律完成，涵盖了联邦与各州层面。最初，美国隐私权保护主要针对公权力对公民隐私权的侵犯，1934年的《侵权法重述》则将无正当理由严重侵犯个人隐私确定为民事诉讼的诉因。在美国，隐私权是宪法中的基本权利，即每个人可以控制其身体、家庭、财产、思想、感情、秘密等各个领域的内容，选择是否披露，如何披露并防御他人的非法侵扰、知悉、收集、利用和公开。ONN YPrivacy in the Digital Environment， Haifa Center of Law & Technology，2005：1-12显然，在包罗万象的美国隐私权体系中，个人信息是其中的一类保护对象。

22“隐私的合理期待”概念的提出

1964年，美国最高法院通过Katz V United States 案确立了“隐私权的合理期待”标准，至今依旧被使用。隐私权主要通过监视场所、监视侵犯程度、监视对象性质三个要素来考察。用依据普通人的常识和逻辑能够推论出的标准来对推断出个人信息的隐私标准，并对其加以保护。

23关于“隐私权”保护的代表性法律规范

美国通过“隐私权”这一宽泛的概念来保护个人的隐私，更强调其中的隐私风险评估，通过隐私风险评估来确定标识符是否可识别。1974年的《隐私法案》规定，联邦机构限制可识别信息的披露，并要求机构提供对个人信息记录的访问。1986年通过的《电子通信隐私法》主要禁止未经授权的电子窃听行为，对信息传输安全、存储安全和监视合法性进行了规定。1998年，美国通过了《儿童在线隐私保护法》，规定网站经营者必须披露其隐私保护政策，说明寻求儿童监护人同意的时间和方式，以及侵害儿童隐私的责任。2001年HIPAA修正案的目标之一是保护患者的电子健康记录并提出具体的保护标准，该法规定了行政保障、实物保障、技术保障及安全责任的分配。对于违反安全标准的实体，规定最高罚款25万美元，并处以最高10年监禁的严重惩罚。http：//worldhuanqiucom/article/2015-07/7090361HTML

24美国关于个人信息安全的制度创新

美国现有立法规定只能在限定范围内以市场目的从事消费者数据的收集、使用和出售，并没有统一规制信息的收集和交易。Government Accountability Office， Information Resellers： Consumer Privacy Framework needs to reflect changes in technology and marketplace， Sep2013另外，通常准许为研究等目的收集、使用、公开个人健康信息，并处理信息使其不能联系到个人身份信息。Information and privacy Commissioner， Ontario， Canada： Dispell the Myhts Surrounding De─identification： Anonymization Remains a Strong Tool for Protecting Privacy， June 20112012年2月，白宮最终报告《网络环境下消费者数据的隐私保护——在全球数字经济背景下保护隐私和促进创新的框架》The White House， Consumer Data Privacy in a Networked World： A Framework For Protecting Privacy And Promoting Innovation in The Global Digital Economy 32 n39 （Feb2012）.中确立了消费者的一些隐私类权利。并于2015年的《消费者隐私权利法案》中坚持了技术中立，以公平信息实践法则为基础，对“告知与同意”框架进行强化，规定了数据保存与处理的安全责任，制定了事后问责制的内容。对于《消费者隐私权利法案》，微软首席隐私官Brendon Lynch表示，虽然有些人反对，有些人赞同，但不管怎样这都是一个好消息，因为人们开始为之对话了。消费者将在访问商家储存的个人数据上拥有越来越完整的权利，这无疑是美国对于个人信息安全的一次重大制度尝试。

25比较与借鉴

美国商业领域有着健全的营商环境，美国公民对自身权利关注度较高，通过以隐私权为基础的法律制度来保护个人信息自然水到渠成。我国学说在研究个人信息安全问题上，多数归纳在“隐私权”这一大概念之下，研究思路与美国通过“隐私权”来保护有相似处，其中关于“隐私的合理期待”等观点我国应当予以采纳。同时，美国时刻关注着个人信息与利用之间的联系，在其体系构建的过程中，明确了保护个人信息的准则，限制企业在各环节非法利用信息，从各个方面考虑并加以规制，也在不断加强消费者对其个人信息的控制力，有关个人信息保护的举措应当引起我国重视，并且在制度建设中进行学习借鉴。