裘辰駒

對外經(jīng)濟貿(mào)易大學(xué)，北京 100029

今天，無論人們用“互聯(lián)網(wǎng)+”、“工業(yè)4.0時代”還是“云計算”來描述當(dāng)下這個世界，它們都離不開“大數(shù)據(jù)”的廣泛運用。大數(shù)據(jù)是相對于普通的數(shù)據(jù)而言的，它意味著需要用一種更加高級的數(shù)據(jù)處理模式來發(fā)現(xiàn)、運算、處理呈指數(shù)式增長的數(shù)據(jù)。大數(shù)據(jù)時代深刻地改變了社會治理的方式、企業(yè)部門的決策以及我們每個人的生活。當(dāng)我們享受到大數(shù)據(jù)時代帶來的史無前例的便捷的同時，也會在無意間發(fā)現(xiàn)——時常接到各種詐騙電話和騷擾短信，陌生人了解你的多個私人信息。我們甚至可能覺得他人比自己更了解自己，這就是與互聯(lián)網(wǎng)、大數(shù)據(jù)時代息息相關(guān)的個人信息安全問題。

一、個人信息的相關(guān)概念之闡釋

(一)個人信息之含義

個人信息從廣義上說，就是指和一個自然人相關(guān)的所有的可以傳播的內(nèi)容之總和。我國《網(wǎng)絡(luò)安全法》第76條將個人信息定義做了如下描述：存儲方式為“以電子為主，同時包括其他各種方式”，其屬性為“單獨或者與其他信息結(jié)合識別的信息”，表現(xiàn)形式為“自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼”等。個人信息這個概的范圍非常寬泛，從廣義上來說，只要是與一個人有關(guān)的、能將彼此區(qū)別開來的所有信息皆可稱為個人信息。從狹義上來說，個人信息往往和個人隱私有關(guān)，這里所說的個人信息通常指個人較為私密的、不愿為他人熟知的信息。而現(xiàn)在國內(nèi)外對什么是個人信息尚無統(tǒng)一的定論，因此大多以描述和分類列舉來釋明其含義。

許多學(xué)者將個人信息描述為身份類個人信息、社會關(guān)系類個人信息、行為習(xí)慣類個人信息、主觀傾向類個人信息之和，這樣的分類比較符合人們在日常生活中對個人信息的分類。然而在大數(shù)據(jù)的背景之下，個人信息往往和互聯(lián)網(wǎng)上的個人信息有關(guān)，所以筆者認為上文所述的這種描述方法不是特別妥當(dāng)，不能體現(xiàn)大數(shù)據(jù)時代中個人信息的某些特征，因此應(yīng)當(dāng)將個人信息分成兩大類為宜：第一類是隨著互聯(lián)網(wǎng)誕生、只有在網(wǎng)絡(luò)中出現(xiàn)的個人信息，如電子郵箱地址、上網(wǎng)記錄、聊天通訊記錄、網(wǎng)購記錄等；第二類是互聯(lián)網(wǎng)誕生之前就存在的個人信息，如姓名、性別、年齡、民族、職業(yè)狀況等，這些個人信息在互聯(lián)網(wǎng)誕生之后根據(jù)生活需要或是服從社會管理從而成為互聯(lián)網(wǎng)上的個人信息。

(二)個人信息安全之含義

現(xiàn)代社會，信息對于主體的價值之大可謂是不言而喻，企業(yè)的營銷策略是其核心信息之一，個人信息牽涉到人身、財產(chǎn)的安全。個人信息安全是其中的一個重要領(lǐng)域。一般認為，廣義的信息安全包括信息系統(tǒng)實體安全、信息系統(tǒng)運行安全、信息內(nèi)容安全和信息本身的安全。而狹義的信息安全僅僅是指上述四項內(nèi)容中的信息本身的安全。本文所探討的個人信息之安全是指個人信息不受外來威脅的侵害，從而使個人信息處于信息主體管控之下保持的完整的、保密的圓滿狀態(tài)。

(三)大數(shù)據(jù)時代中的個人信息安全

大數(shù)據(jù)時代不同于前大數(shù)據(jù)時代，它形成了一些新的特征。一個比較普遍被認可的說法是，大數(shù)據(jù)的特點可以用“大量、高速、多樣、低價值密度”來概括。大數(shù)據(jù)在通訊、軍事、金融、服務(wù)等行業(yè)存在之價值愈來愈高，在未來或許能成為一個預(yù)想不到的神奇的生產(chǎn)力。所以伴隨著大數(shù)據(jù)時代的到來，個人信息也出現(xiàn)了以下新的特征：第一，有更多數(shù)量的個人信息植入互聯(lián)網(wǎng)中。在智能手機高度發(fā)展的今天，人們足不出戶幾乎都可用一部智能手機完成生活中的大多數(shù)事情，這就需要將大量個人數(shù)據(jù)提供給開發(fā)手機軟件的第三方；第二，個人信息傳播的速度更快。伴隨著越來越多數(shù)據(jù)的產(chǎn)生，數(shù)據(jù)處理技術(shù)也在不斷增強，數(shù)據(jù)處理速度也在節(jié)節(jié)攀升。個人信息不僅在國內(nèi)能迅速傳播，甚至能通過互聯(lián)網(wǎng)進入域外的互聯(lián)網(wǎng)之內(nèi)。第三，從少量的個人信息泄露到批量的、捆綁式的個人信息泄露，從一國波及到他國。

二、大數(shù)據(jù)時代個人信息面臨的威脅

(一)風(fēng)險源之一：網(wǎng)絡(luò)服務(wù)提供者獲取信息——基于信息的原始取得

第一個風(fēng)險來源是網(wǎng)絡(luò)服務(wù)提供者對個人信息的獲取。如今人們享受各種計算機、手機的軟件、服務(wù)平臺的服務(wù)的前提是注冊，這必然涉及將姓名、手機號碼、電子郵箱等個人信息提供給服務(wù)提供者。而現(xiàn)在的網(wǎng)絡(luò)平臺在用戶注冊之前會提供一個“服務(wù)條例”“用戶協(xié)議”，然而用戶在注冊的時候幾乎毫不遲疑地選擇“同意”，幾乎沒有人愿意打開繁瑣的條文。這就為網(wǎng)絡(luò)服務(wù)提供者合理獲取個人信息有了正當(dāng)理由，即使給予了正常途徑獲取了個人信息，接下來其也未必就處于安全的狀態(tài)。

(二)風(fēng)險源之二：黑客和木馬病毒——基于本身非法手段

第二個風(fēng)險來源是指獲取個人信息的手段本身就是一種違法的行為。黑客和木馬病毒是互聯(lián)網(wǎng)時代就有的產(chǎn)物，到了大數(shù)據(jù)時代，黑客和木馬病毒在互聯(lián)網(wǎng)上愈發(fā)泛濫、更加猖獗。黑客和木馬病毒都是在人為控制之下，編制出一段惡意的計算機代碼，利用互聯(lián)網(wǎng)中存在的漏洞進行攻擊，竊取個人信息。木馬病毒隨著互聯(lián)網(wǎng)的發(fā)展體現(xiàn)出以下特征：第一，從單一的進攻手段發(fā)展到多種進攻手段；第二，從簡單木馬程序到復(fù)雜的木馬程序；第三，木馬的隱蔽性越來越強，讓部分殺毒軟件趨于無效。

(三)風(fēng)險源之三：信息的流轉(zhuǎn)——基于個人信息的二次利用

第三個風(fēng)險來源是在獲得個人信息后對數(shù)據(jù)進行的后續(xù)處置。第一種情況是個人信息被掌握者非法轉(zhuǎn)讓給未掌握者，由此一來，個人數(shù)據(jù)便在不同主體之間被“共享”。2017年12月28日，海南省昌江黎族自治縣人民法院公開宣判了一起特大侵犯公民個人信息犯罪案件，被告人從同村兩個人手中獲取了大量的公民個人信息，存放于百度網(wǎng)盤中，并通過群發(fā)QQ信息的方式在網(wǎng)上出售公民個人信息超過1億條并從中牟取巨額利潤。

第二種情況是互聯(lián)網(wǎng)平臺對合法獲取的個人信息利用大數(shù)據(jù)技術(shù)進行分析、推斷，以獲取用戶的個人偏好等?；ヂ?lián)網(wǎng)企業(yè)可以通過一定的所謂合法的形式獲取用戶個人信息，但獲取之后使用信息的目的、用途以及范圍，并非在用戶知悉的范圍內(nèi)，這樣的信息挖掘就有可能觸犯了最初基于特定的目的或者在特定范圍內(nèi)使用的約定。

三、個人信息法律保護的現(xiàn)狀與不足

(一)立法的現(xiàn)狀

盡管我國尚未出臺個人信息保護法，但近年來隨著個人數(shù)據(jù)安全面臨的嚴(yán)峻形勢，立法機關(guān)加快了對個人信息保護方面的立法實踐，這些法律從不同層面對個人信息安全進行保護?！稇椃ā返?0條規(guī)定了公民的通信自由和通信秘密受法律保護，去年頒布的《民法總則》第111條明確規(guī)定自然人的個人信息受法律保護。刑法方面，《刑法修正案(七)》新增了“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”兩個罪名，《刑法修正案(九)》將上述兩個罪名整合為“侵犯公民個人信息罪”，擴大了犯罪主體和侵犯個人信息行為的范圍，并增設(shè)“拒不履行網(wǎng)絡(luò)安全管理義務(wù)罪”。去年5月，兩高頒布了《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》，對該類刑事案件的法律適用作了更加詳細的規(guī)定。

2017年6月1日起施行的《網(wǎng)絡(luò)安全法》是我國保護個人信息安全的又一重要立法，該法的第四章《網(wǎng)絡(luò)信息安全》規(guī)定了網(wǎng)絡(luò)運營者的職責(zé)義務(wù)、履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)的主體等內(nèi)容，首次明確國家網(wǎng)信部門依法履行網(wǎng)絡(luò)信息安全監(jiān)督管理職責(zé)。

(二)法律保護的不足

1、立法不足：《網(wǎng)絡(luò)安全法》出臺后仍面臨多而不精的問題

第一，《網(wǎng)絡(luò)安全法》在我國互聯(lián)網(wǎng)治理進程中算是一部里程碑式的法律，然而，作為網(wǎng)絡(luò)安全管理方面的由全國人大常委會頒布的法律性質(zhì)的規(guī)范性文件，法律中的不少內(nèi)容還只是原則性規(guī)定，不少條文是《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》的重復(fù)性規(guī)定；第四章《網(wǎng)絡(luò)信息安全》也只有11個條文，要想將這種規(guī)制程度提升到一定的高度顯然是不夠的。

第二，除了《網(wǎng)絡(luò)安全法》之外，我國之間已經(jīng)出臺不少保護個人信息安全的規(guī)范性文件，對個人信息保護的規(guī)定已散見于200多部法律、法規(guī)、地方性法規(guī)之中，但這些文件在內(nèi)容上有很多原則性問題在各個文件里被重復(fù)提及，許多需要細化的規(guī)定反而都被一筆帶過甚至只字未提，這體現(xiàn)出規(guī)范性文件多而不精的問題。

2、隱形殺手：監(jiān)管上的潛在問題

《網(wǎng)絡(luò)安全法》第8條規(guī)定：“國家網(wǎng)信部門負責(zé)統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作和相關(guān)監(jiān)督管理工作。國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)依照本法和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)網(wǎng)絡(luò)安全保護和監(jiān)督管理工作?！卑凑辗l的意思，國家網(wǎng)信部門起組織協(xié)調(diào)作用和監(jiān)管工作，國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)也應(yīng)根據(jù)相關(guān)的法律法規(guī)具體實施監(jiān)管，但是在整部《網(wǎng)絡(luò)安全法》中幾乎沒有進一步明確具體的分工，可想而知個人信息保護的具體監(jiān)管也在本法中無處可尋，只能依賴其他的法律、行政法規(guī)。該條文中，法律賦予國家網(wǎng)信部門“相關(guān)監(jiān)督管理工作”，國務(wù)院的其他相關(guān)部門也可依據(jù)現(xiàn)有的法律法規(guī)實施監(jiān)管工作，所以國家網(wǎng)信部門的監(jiān)管工作在實際操作中很有可能與國務(wù)院電信主管部門、公安部門和其他有關(guān)機關(guān)重合或者遺漏。具體到本文所討論的個人信息保護，也極有可能面臨前述的問題。

3、困難重重：法律救濟比較困難

大數(shù)據(jù)時代下個人信息被竊取、非法買賣、非法使用的現(xiàn)象雖然很多，由于相當(dāng)一部分侵權(quán)行為是在計算機上實施，當(dāng)個人信息被泄露時，個人難以確定究竟誰是實施侵權(quán)行為者，難以確定究竟實施了什么侵權(quán)行為，這是通過網(wǎng)絡(luò)侵犯個人信息的典型特征，從而無法確定責(zé)任主體，要想提起民事訴訟維權(quán)就相當(dāng)困難。此外，大量個人信息表現(xiàn)為電子檔案，其存儲、傳輸、處理多數(shù)依托網(wǎng)絡(luò)，作為網(wǎng)絡(luò)違法的重要證據(jù)的電子證據(jù)易丟失、損毀，本身就不易保全，侵害個人信息的專業(yè)技術(shù)非普通人所能掌握、獲取，想得到這部分證據(jù)相當(dāng)困難，因此便不能形成完整的證據(jù)鏈條，原告在訴訟中敗訴的可能性很高。

四、大數(shù)據(jù)時代個人信息保護之路徑

(一)開宗明義：個人信息保護之原則

在提出對個人信息保護之路徑之前，我們有必要首先明確個人信息保護的若干原則，作為指導(dǎo)和約束個人信息保護的抽象的規(guī)范?？偟膩碚f，個人信息保護的原則可以概括為以下五項：

一是誠實守信原則——個人信息收集者應(yīng)當(dāng)在收集時承諾，按照既定的目的儲存、使用個人信息，不得無故在承諾以外或者個人信息主體不知曉的情況下繼續(xù)處理個人信息或更改使用信息的目的。

二是個人知情原則——公民享有知情權(quán)。處理個人信息前要經(jīng)過個人信息主體的同意。對個人信息主體要盡到通知、說明和警示的義務(wù)，以明確、易懂和合適的方式如實向個人信息主體告知信息處理的目的、收集和使用范圍、保護措施等信息。

三是比例適當(dāng)原則——在收集和使用個人信息的時候，應(yīng)當(dāng)使收集到的個人信息同使用的目的保持合適的比例，能少收集一些就盡量減少個人信息的收集量。在某些情況下，個人信息應(yīng)當(dāng)遵循“一次性使用”原則，如考試結(jié)束后在網(wǎng)絡(luò)上及時刪除參加本次考試的考生個人信息。

四是安全防控原則——國家、社會團體組織在各自的領(lǐng)域加強對個人信息安全的防控，但凡有個人信息之處就有相應(yīng)的保護機制，逐步形成對個人信息的全方位保護。

五是權(quán)責(zé)一致原則——有權(quán)必有責(zé)，在個人信息保護的過程中，掌握個人信息的國家機關(guān)、企事業(yè)單位、社會組織及網(wǎng)絡(luò)服務(wù)提供者因疏忽大意導(dǎo)致個人信息遭到泄露或有其他不正當(dāng)使用方法時，必須承擔(dān)相應(yīng)的法律責(zé)任，不能游離于法律法規(guī)之外。

(二)立法先行：完善個人信息保護相關(guān)的法律法規(guī)

我國《個人信息保護法》至今仍未出臺。在信息時代個人信息安全屢屢受到威脅的時代出臺這樣一部專門針對個人信息保護的法律是非常必要的。筆者建議將現(xiàn)有的一些個人信息保護規(guī)范性文件進行有效整合，把《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》《關(guān)于維護互聯(lián)網(wǎng)安全的決定》《計算機信息系統(tǒng)安全保護條例》的部分內(nèi)容進行調(diào)整后納入《個人信息保護法》。筆者認為：其中重要的一個環(huán)節(jié)應(yīng)當(dāng)涉及：第一，立足于《網(wǎng)絡(luò)安全法》第七十六條個人信息概念的基礎(chǔ)上對個人信息的概念做出完善。第二，明確對個人信息監(jiān)管的監(jiān)管部門和具體監(jiān)管職責(zé)，確保部門和部門之間分工的合理性，不讓個人信息的監(jiān)管出現(xiàn)真空地帶。第三，特別強調(diào)對個人信息使用前的評估，在政府?dāng)?shù)據(jù)開放、大數(shù)據(jù)商業(yè)利用的各個環(huán)節(jié)加入個人信息安全的評估。第四，明確濫用、非法使用個人信息所應(yīng)承擔(dān)的法律責(zé)任等。雖然美國經(jīng)驗說明統(tǒng)一立法并不是個人信息保護的唯一路徑，但統(tǒng)一的信息保護法所具有的系統(tǒng)性、權(quán)威性和強制性卻不是分散的立法模式所能企及的，其對個人信息保護所能產(chǎn)生的促進作用是可以預(yù)期的。此外，在立法方面應(yīng)當(dāng)借鑒域外立法的經(jīng)驗。

(三)以牙還牙：以技術(shù)回應(yīng)技術(shù)

大數(shù)據(jù)時代個人信息面臨的威脅多是來自于技術(shù)的濫用，因此利用先進的技術(shù)來防控、反擊利用網(wǎng)絡(luò)侵犯個人信息安全的行徑是最為直接、高效的途徑。目前較為普及的殺毒軟件、安全衛(wèi)士、電腦管家等軟件是典型的例證，軟件工程師充分運用互聯(lián)網(wǎng)技術(shù)研發(fā)了防控病毒、木馬、惡意程序的軟件，保障了個人信息不受非法的攻擊。智能防火墻、訪問控制技術(shù)、數(shù)據(jù)加密技術(shù)、漏洞掃描技術(shù)等都是大數(shù)據(jù)互聯(lián)網(wǎng)中常用的防止信息受攻擊的技術(shù)?？偨Y(jié)一句話，以技術(shù)回應(yīng)技術(shù)。

(四)行業(yè)能動：發(fā)揮行業(yè)的優(yōu)勢

大數(shù)據(jù)時代互聯(lián)網(wǎng)的形態(tài)日新月異，由于立法具有滯后性的先天性特征，法律法規(guī)無法隨時跟進互聯(lián)網(wǎng)中出現(xiàn)的新的對個人信息產(chǎn)生威脅的因素，在這種情況下一些行業(yè)的優(yōu)勢反而能體現(xiàn)出來。因為它們處在互聯(lián)網(wǎng)的前言，更熟悉本行業(yè)的各項信息收集活動和使用方式，發(fā)揮行業(yè)組織在互聯(lián)網(wǎng)公司內(nèi)部監(jiān)督制約機制甚至比政府監(jiān)管更加有效。同時必須指出的是，行業(yè)在進行自律監(jiān)督監(jiān)管的時候應(yīng)當(dāng)在法律的框架下進行，要行使“執(zhí)法權(quán)”依然需要得到國家的授權(quán)。

(五)合作是道：加強全球的合作，共同應(yīng)對挑戰(zhàn)

如果說第二次產(chǎn)業(yè)革命使全世界都聯(lián)系在了一起，那么大數(shù)據(jù)時代將大大強化這種國與國之間的聯(lián)系。個人信息保護已成為全球共同面臨的挑戰(zhàn)，許多個人信息案件也成為了跨國案件，在這種情況下單靠一個國家的努力是遠遠不夠的，構(gòu)建國家之間的個人信息保護合作框架將是一種趨勢。為此，國家與國家之間應(yīng)當(dāng)構(gòu)建網(wǎng)絡(luò)空間命運共同體。正如習(xí)主席在致2017年第四屆世界互聯(lián)網(wǎng)大會的賀信中所指出的，“大會以‘發(fā)展數(shù)字經(jīng)濟，促進開放共享——攜手共建網(wǎng)絡(luò)空間命運共同體’為主題，希望大家集思廣益、增進共識，深化互聯(lián)網(wǎng)和數(shù)字經(jīng)濟交流合作，讓互聯(lián)網(wǎng)發(fā)展成果更好造福世界各國人民?！?/p>

五、結(jié)語與展望

黨的十九大報告中指出中國要建設(shè)“網(wǎng)絡(luò)強國”，這也是處于大數(shù)據(jù)時代下黨和國家在互聯(lián)網(wǎng)治理中的必然回應(yīng)。個人信息的安全在大數(shù)據(jù)時代的確面對著前所未有的挑戰(zhàn)，層出不窮的個人信息受到安全威脅的案件已經(jīng)給全世界敲響了警鐘，不過我們相信，在科技化的浪潮下，中國能依托世界互聯(lián)網(wǎng)大會的主場優(yōu)勢，在立法、執(zhí)法、風(fēng)險防控、權(quán)利保障等方面汲取其他國家和地區(qū)的有益經(jīng)驗“依法治網(wǎng)”，擁有更強大的能力保護個人信息，早日實現(xiàn)網(wǎng)絡(luò)強國的目標(biāo)。