大数据时代个人信息安全问题研究

文/王斌

目前，不同国家对个人信息的界定存在一定差异。根据《个人信息保护法》第4条、《网络安全法》第76条和两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第1条规定，我国将个人信息的内涵界定为以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息，外延包括但不限于自然人的姓名、出生日期、身份证号码、个人生物特征信息、地址、电话号码等。在当前大数据时代，个人信息数据表现方式呈多元化特征，包括酒店住宿信息、购票信息、二维码信息、通话记录、人脸识别、网页浏览、聊天记录、语音控制识别、各种app注册信息等。随着大数据时代发展，为了满足当前大数据时代的保护个人信息安全要求，对个人信息定义也必将不断完善。

一、大数据时代个人信息安全形式严峻

所谓个人信息安全，主要是因对个人信息处理不当而导致信息泄露造成对个人信息权益的侵害，带来对个人人格尊严、财产安全、身份安全等实质的或潜在的安全危害。特别是随着大数据时代发展，互联网技术、软件技术等得到了全面普及并深度融合，人们在日常生产生活中享受便利的同时，个人隐私也受到不同程度的威胁，信息安全面临重大挑战。黑客或电脑病毒软件，通过整合大数据资源，窃取公民的姓名、性别、职业、出生日期、身份证号码、住址、联系方式、收入和财产状况、健康状况、消费情况等能够单独或者与其他信息结合成可识别的公民信息。其潜在的风险会对个人财产、生命尊严等带来更多的威胁，甚至公民信息是透明的，增加了各种权益受到侵犯的危险[1]。当前大数据技术快速发展，日常出行一部手机可解决所有问题，如购物、买票、外卖、互联网社交、扫码旅行、门诊登记、共享汽车、自行车和充电等。各种共享资源和旅游支付的普及是网络犯罪案件急剧增加的一个重要元素。各种网络犯罪案件和盗窃案件不断出现，利用各类APP漏洞盗取账户信息、财产和身份信息，利用大数据准确投放欺诈性广告，甚至由于网络认知错误诱导公众点击网络链接和二维码，最终遭受财产损失。例如，近年来，更换商家二维码实施支付盗窃，利用老人对于一些垃圾短信的错误认知造成的误点链接，伪装成银行人员和公安人员进行诈骗，利用发送礼物或公众的同情心欺骗扫描二维编码以获得个人用户信息等等，类似问题层出不穷。在大数据时代，个人信息安全问题日益突出。网络犯罪技术和手段的提升使得犯罪案件的破案难度加大，而网络犯罪数量却呈几何级数增长。因此确保大数据的安全势在必行，有必要利用法律来进行源头治理和控制。

二、大数据时代个人信息法律保护存在的问题

随着大数据时代的飞速发展，亟需解决移动互联网软件和应用发展中的个人信息安全保护问题。所以，如何正确处理互联网发展和用户信息安全保障之间的关系，是迫切需要解决的关键问题。特别是当前大数据时代，个人信息类型复杂、数据庞大。随着个人用户信息泄露情况持续恶化，网络犯罪事件在全球范围内迅速增加，势头不减。各大数据科技公司甚至对用户点击广告返利、浏览网址等信息进行跟踪和记录，以适当时机和方式干预社会热点事件和政治舆论导向。在用户信息和隐私随时可能受到侵犯的情况下，保障用户信息隐私需要加强立法保障。但当前相关法律保障还有很大滞后性，有必要通过完善法律法规解决信息安全保护问题。

●个人信息保护立法分散，缺乏系统性

从世界范围看，个人信息立法保护模式主要有统一立法和分散立法两种类型。前者是把相关保护性条例写入基本法，根据法律条例设立不受政治、经济等因素干预的监督机制。后者则拒绝将相关保护性条例写入基本法，以市场机制作为管理和监督依据，强调通过市场和行业自律对企业组织行为进行规范和调整。此外，国际经济合作与发展组织（OECD)制定的《隐私保护和个人数据跨境流通指南》（以下简称《指南》）已为世界绝大多数国家所认可并作为立法借鉴，对进一步完善我国个人信息保护体系具有较高参考价值。[2]

在大数据时代，收集获取个人信息相对容易，个人信息的泄露、盗窃、欺诈性使用等事件屡见不鲜，要想从源头解决这些难题，来自顶层设计的解决方案是非常必要的。在我国现行立法体系中，个人信息安全大多体现在刑法、民法和各部门的立法、解释、规章制度中，缺乏系统性统一规范，比较混乱、不明晰，需要进一步完善。为加强对个人信息的安全范围、概念、数据、惩罚机制等方面的管理，有必要制定更详细具体的可操作的实施指南和国家标准。

●个人信息范围和标准不明确，数据产权归属不明晰

当今社会发展日新月异，原有的法律法规难以适应时代变化、难以覆盖现实要求。目前的信息安全法律尚缺乏具体的保护性基本原则，信息管理、采集等环节缺乏信息安全保护性和规范性要求，存在较大不确定性，让信息安全得到合法保障较为困难。虽然有关法律解释对非法提供、获取、交易等犯罪手段进行了明确的规定和列举，但关于利用大数据技术收集和利用个人信息的原则和标准并不明确。而对侵犯个人信息的犯罪行为的制裁必须以明确的秩序和规则为基础。当个人信息收集主体的权利、义务、责任不明确时，很难避免个人信息的非法收集和利用。对此，刑法和相关法律解释有待于进一步细化明确，以加大对非法利用大数据侵犯个人信息权益行为的打击力度，实施有效的法律保障。

大数据时代，个人信息的呈现方式也多种多样。例如，任意下载注册一个应用程序，这类软件要求你打开各种权限，如果你不同意打开，软件将不能使用，更有甚者会被直接强行打开各种权限，此类权限的开通会涉及用户个人信息，用户的手机也有可能完全被控制，可谓是下载一次即被监控绑架。那么，这些个人信息数据到底属于谁？用户有权控制自己的信息，而不是因其弱势地位屈尊俯就。收集用户信息的企业应该承担相应责任和义务。因此，有必要明确相关企业的责任，建立合理化、程序化、规范化的个人信息安全管理机制迫在眉睫。

●缺乏数据管理和统筹协调，企业实体责任缺失

随着信息社会不断发展，对个人信息数据的综合管理也存在很多问题。例如：监管平台没有统一，信息多次重复收集；各部门缺乏统一的联动部门，执法部门多次执法、重复采集个人信息；个人维权成本增加，司法成本浪费；数据管理规范化亟待提高，整体协调机制有待继续完善。

不少大数据企业的内控机制并不清晰，对个人信息安全保护不到位。立法缺失、处罚不力，导致相关企业存在侥幸心理。违法成本过低，事后难以追责，相关企业出现违法行为，遭受处罚也不会有太大的损失。因此，这些企业并没有意识到信息安全保护的重要性，也没有明确的风险防控机制。如果发生大规模的信息泄露，最终的影响很有可能是巨大的，甚至会给社会和公众造成无可估量的损失。

●监督救济机制不完善，惩罚力度弱

随着大数据信息技术快速发展，个人的基本信息很容易被获取、收集、加工和利用，甚至被不法分子随意侵犯，被侵权人很难获得相应的救济机制和措施，具体侵权关系和具体责任部门难以确定。在司法实践中，由于具体的制度和条款不够明确，实际的监督和救济机制难以兑现。此外，在现行法律制度下，对利用大数据技术侵犯个人信息安全的保护力度不够，相关惩处措施并不严厉，违法成本较低，导致更多的肆无忌惮的侵权事件发生。在司法实践中，这类案件结案需要很长时间且处罚力度较低，远远低于社会公众的预期。

三、大数据时代个人信息法律保护的建议与措施

●进一步完善立法、严格执法，让个人信息安全得到有力保障

个人信息安全保障势在必行，有必要制定专门统一的法律。在立法上，可以改善过去有关大数据个人信息安全的相关法律法规零散、不系统的情况，使保障大数据个人信息安全有法律可循。根据社会发展的要求，研究修订新的法律规章，跟随社会发展的潮流，在应对新的大数据信息安全案件当中，为保障个人信息安全提供立法基础和依据。在执法中，我们应当严格执行法律，统筹各个职能部门的处罚权限，明确每个部门的职能职责，强化有关部门的监督管理功能，协调好各部门合力执法，让个人信息安全相关措施有效落实。

●明确个人信息安全界定范围，明晰数据产权归属

个人信息安全定义不清导致相关问题层出不穷，定义的内涵和外延有必要进一步明晰。个人信息的概念、适用对象和所有权应根据个人信息安全属性和信息主体的身份信息的合理使用来界定，并应当详细规定获取、收集、加工和使用个人信息的程序、规则和责任义务。大数据个人信息收集管理的企业应当建立个人信息安全数据管理库，明确相关实施安全管理的规则和保障制度，并利用科学防护技术把好个人信息安全保障的第一关，将风险扼杀在萌芽状态。针对大数据个人信息安全方面的立法应尽快出台相应措施，明晰经营责任主体对应的权利义务，确立产权归属。

●加强数据统筹管理

由于缺乏统一的数据管理部门和监管保障平台，各部门之间的沟通不协调，其关于信息数据的评估标准各不相同。为了避免和预防重复执法的发生，改善部门之间的协调问题，要尽快加强统一的数据标准，建立统一管理平台，加强整体信息管理，将更加有利于数据安全和保护。加强统一数据标准后，应完善行政监督机制，形成共建共享治理体系，降低维权成本和司法成本。目前大数据信息基本掌握在各个企业手中，各企业之间缺乏合理严格的内控机制。因此，要明确企业主体责任，加强处罚和管理措施，推动企业建立健全防范风险内控机制，构建完善系统的管控双向机制。

●设定对内和对外的双重管理监督机构

当前个人信息相关法律条文分散，在实践中可操作性不强。个人信息泄露时，信息主体很难知晓自己受到侵害，事后也无法对自己的损失诉诸合理的救济或者索要相应的赔偿。对数据产生、收集、使用等环节制定约束性强、科学合理的行为规范，可以减少甚至杜绝侵犯个人信息的违法现象发生。建立科学的个人信息保护体系，除了要有立法保障，还需建立相应的个人信息监管机构，确保个人信息保护的法律条款在实践中得到有效执行[3]。

行业内，应建立统一的标准，其中应当明确个人信息数据的获取、存储和使用的程序、标准和相关责任。建立分层信息安全管理机制，详细进行数据分类。按照个人信息的对应框架和重要程度，制定详细的数据分层框架，构建明确的数据安全管理库。此外，要严格控制应用生物学、医学和其他关键领域的个人信息采集。对外，应建立统一的监督平台，依托政府建立权责合一的专门机构，明确处罚机制，加大处罚力度，从而更好的保障个人信息应有的权益。从行业自律和立法监管的双向机制出发，结合内外双重保障，来建立健全和完善个人信息安全的综合保障体系。总之，只有让信息安全方面的法律法规发挥出其应有的作用，为大数据时代的前进保驾护航，才能让网络和数据运行更加科学合理地服务经济社会发展，造福于每个人的美好生活，互联网行业的发展才会更加稳定、有序、安全。