杨　婕　中国信息通信研究院互联网法律研究中心助理工程师

1　引言

当前，我国大数据产业继续保持强劲增长态势，对数据价值的挖掘已渗透到产业的方方面面，数据成为我国经济转型升级的动能。在此基础上，我国基本形成了“数据生产+数据流通+数据服务”的大数据全产业链。个人信息被誉为21世纪最有价值的资源，虽然极其敏感但又极具商业价值，大数据产业链上各个主体也在竞相争夺个人信息这一关键资源。当前我国个人信息保护形势严峻，一方面是因为我国个人信息保护法律体系不够完善，保护规则不够明晰、可操作性较差的制度内因；另一方面是因为黑客攻击、内鬼泄露以及个人信息被众多犯罪使用等客观外因导致。对此，全方位地构建我国个人信息制度，加强个人信息保护工作已经刻不容缓。

2　大数据时代下的全球个人信息保护立法现状

随着大数据时代的到来，全球个人信息保护立法进程快速推进，截至2017年10月，全球共有121个国家和地区制定了专门的个人信息保护法，确立了个人信息收集和使用、跨境传输、登记注册以及泄露通知等基本制度（数据来源：https://www.dlapiperdataprotection.com/index.html?t=world-map&c=RO）。

2.1　国际立法趋势

为应对大数据背景下个人信息保护的困境与挑战，目前世界各国纷纷制定或修订立法，通过增加法律法规中关于个人信息保护的内容规定以强化保护力度，完善细化保护规则，维护个人信息主体的权利。

欧盟于2016年5月出台了《数据保护通用条例》（GDPR），旨在全方位保护欧洲居民的个人数据。GDPR的以下规定极具亮点，扩大适用范围同时适用属人原则，关注数据质量问题，增加个人信息主体的被遗忘权，引入数据泄露72小时内通报机制，允许个人提起集体诉讼，以及规定更高额的处罚金，即2000万欧元或4%的全球销售收入，以高者为准。2017年5月德国联邦参议院通过了新的《联邦数据保护法》（Bundesdatenschutzgesetz），以符合即将生效的GDPR的相关规定，成为欧盟成员国中首个为GDPR的实施而修订国内立法的国家。但新的《联邦数据保护法》在落实GDPR规定的同时，也加入了一些具有德国色彩的独特规定。例如，在执行GDPR规定处罚的同时增加额外的国内处罚，限制数据主体的权利以支持更多有利于商业的规则。2017年5月，日本开始实施《个人信息保护法》（PIPA）修正案，修正案在2003年《个人信息保护法》的基础上增设了个人信息保护委员会，规定了“选择退出”（opt-out）通知制度。

2.2　我国立法现状

不同于世界上的大多数国家，我国并未制定统一的个人信息保护专门法。在个人信息保护领域，采用分散立法模式，立法体系由法律、法规、规章以及各类规范性文件等共同组成，形成了多层次、多领域、内容分散、结构复杂的个人信息保护法律体系。

我国早期立法通过对“人格尊严”、“个人隐私”、“信息安全”等内容的规定，实现对个人信息保护的分散规范。例如在《侵权责任法》、《治安管理处罚法》、《计算机信息网络国际联网安全保护管理办法》等法律、行政法规中进行规定。近年来，在立法中集中规范“个人信息”的趋势日益凸显。2012年12月，《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次以法律文件的形式对个人电子信息保护的要求做了明确规定；2013年7月，工业和信息化部出台了《电信和互联网用户个人信息保护规定》，具体规定了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施等要求；2016年11月，《网络安全法》将个人信息保护纳入网络安全保护的范畴，其第四章“网络信息安全”对个人信息保护作了专章规定；2017年3月，《民法总则》在民事基本法的层面确立了个人信息保护条款。2017年5月，最高人民法院、最高人民检察院发布《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对侵犯公民个人信息犯罪的定罪量刑标准和有关法律适用问题作了全面、系统的规定。

3　大数据时代下的个人信息保护形势严峻

当前，我国大数据产业继续保持强劲增长态势，对数据价值的挖掘已渗透到产业的方方面面，数据成为我国经济转型升级的动能。在此基础上，我国基本形成了“数据生产+数据流通+数据服务”的大数据全产业链。个人信息被誉为21世纪最有价值的资源，极其敏感但又极具商业价值，大数据产业链上各个主体也在竞相争夺个人信息这一关键资源。

3.1　侵犯个人信息现象时有发生

大数据时代下，信息技术快速发展，数据充斥在社会的方方面面，加之经济利益的驱动，侵犯公民个人信息的现象日益凸显，我国个人信息保护形势严峻。

一是存在直接侵犯和泄露公民个人信息的情况。近年来，泄露和窃取公民个人信息案件持续高发且屡禁不止，呈现出泄露源头多样、信息数量巨大以及利益链条庞杂等特点。自2017年3月公安部部署开展打击整治黑客攻击破坏和网络侵犯公民个人信息犯罪专项行动以来，截至2017年8月，全国共侦破侵犯公民个人信息案件和黑客攻击破坏案件1800余起，抓获犯罪嫌疑人4800余名，查获各类公民个人信息500多亿条。但是侵犯公民个人信息的案件仍在持续高发，对此公安机关持续保持严打高压态势。2018年2月，公安部部署全国公安机关，深入开展打击整治网络违法犯罪“净网2018”专项行动，加大侦查打击力度，对侵犯公民个人信息的全链条、各环节进行严厉打击。

二是存在公民个人信息被过度收集以及不当使用等潜在侵犯个人信息的情况。大数据时代针对个人信息的分析处理能力增强，分散信息的通过聚合重组可以使企业预测个人社会生活的全貌，制作消费者画像的标签，不断完善客户画像的完整性和差异性，进行精准营销，给企业带来巨大的经济利益。因而部分企业过度收集个人信息，违反了必要性、正当性以及合理限度的原则。而且，部分企业往往以为用户提供更优质的服务为由，超范围及目的地收集个人信息。此外，公民的个人信息还存在被不当使用的情形，即违背特定用途、特定授权原则，导致一次授权，反复使用，多主体共用现象的出现。部分企业的隐私条款中，并未具体说明其共享用户个人信息的第三方机构及其目的，这就导致了公民往往在不知情情况下，其个人信息被多个主体使用，而公民往往是不知情的。

3.2　内外因导致侵犯个人信息现象频发

侵犯个人信息现象频发，一方面是因为我国个人信息保护法律体系不够完善，保护规则不够明晰、可操作性较差的制度内因，另一方面是因为黑客攻击、“内鬼”泄露以及个人信息被众多犯罪使用等客观外因导致。

首先，我国未构建起个人信息保护的多元治理模式：基础法律规范、行业通用标准、企业最佳实践。目前，我国尚没有一部对个人信息保护的综合性立法，其他立法中对个人信息保护的内容规定流于形式，规定趋于模糊化和碎片化，缺乏具有可操作性的具体规则。要想进一步全方位落实个人信息保护的要求，将法律规范真正落地，需要建立起全面细致的标准体系。由于数据本身特殊的属性，其分类分级、质量、匿名化等问题都存在一定的特殊性，建立统一、完善及合理的标准规范体系极为关键。2017年12月29日，中国国家标准化管理委员会正式发布《信息安全技术个人信息安全规范》，以国家标准的形式，明确了个人信息的收集、保存、使用、共享的合规要求，并于2018年5月1日起正式实施。此外，众多企业在落实个人信息保护的要求时，实践情况不容乐观，行业整体个人信息保护水平不高。2017年四部委开展了个人信息保护提升行动之隐私条款专项工作，对首批10款网络产品和服务的隐私条款评审，结果显示网络运营者在提供产品和服务时，普遍存在隐私条款笼统不清，不主动向用户展示隐私条款，征求用户授权同意时未给用户足够的选择权，没有为用户提供访问、更正、删除其个人信息的途径，大量收集与提供所谓服务无直接关联的个人信息等问题。

其次，多种客观外因结合导致侵犯个人信息现象日益普遍。一是黑客攻击、入侵网络安全能力不高的网络服务提供者的网站实施非法窃取公民个人信息的犯罪活动增多。撞库是黑客惯用的攻击方式中的一种，利用用户相同的注册习惯，逐个尝试登陆其他网站，一旦登陆成功,就会造成大量的用户信息泄露。二是企业内部工作人员违规、非法泄露公民个人信息成为信息泄露主要源头。由于部分企业内部数据安全保护机制薄弱，内控机制不完善，自身数据泄露风险防御能力不高，存在众多的潜在风险点，使得部分行业“内鬼”有机可乘，致使公民个人信息被泄露。三是公民个人信息被利用于其他各类犯罪。被窃取或被泄露的公民个人信息通过处理、买卖，被大量用于绑架拘禁、敲诈勒索、暴力追债等违法犯罪，特别是为诈骗分子实施精准电信或网络诈骗提供了更加便利的条件，庞大的黑色利益及产业链导致侵犯公民个人信息的现象更加普遍。

4　完善大数据时代下我国个人信息保护制度的思考

结合大数据时代发展特点，应当从立法、政府、企业以及个人4个层面出发，全方位地构建我国个人信息保护制度，以推动和完善我国的个人信息保护工作。

4.1　立法层面：完善个人信息保护立法制度设计

大数据时代下，制定国家专门统一的个人信息保护法是推动我国个人信息保护工作的必然途径。从国际社会来看，目前已有121个国家和地区制定了专门的个人信息保护法，各国高度重视对个人信息保护的立法工作。

首先，立法应当进一步明确个人信息的范围。虽然《网络安全法》对个人信息进行了界定，即“能够单独或者与其他信息结合识别自然人个人身份的各种信息”。但以识别说来定义个人信息，在大数据技术飞速发展的今天变得越来越模糊和泛化，海量信息的收集比对大大提升信息识别个人的能力，个人信息边界日益模糊。

其次，规定个人信息保护的适用对象。欧盟各国的个人信息保护法都是统一立法，法律调整范围包括政府机构和商业机构。美国认为首先需要约束的是政府机构，1974年颁布的《隐私法》专门规定了联邦政府对公民个人信息的手机和处理应当遵循的规则。因而个人信息保护的适用对象，应当同时包括政府机构、网络运营者等组织以及个人。

再者，明确信息主体的各项权利。各国立法中固定的个人信息主体权利主要包括：知情同意权、访问权、被遗忘权、更正权、限制或拒绝处理权、数据可携带权、救济求偿权等。我国立法并没有建立起完整的个人信息主体权利体系，规定分散，不利于信息主体保护自身合法权益。因而我国个人信息保护立法应完善个人信息主体权利体系的设计。

最后，完善个人信息收集及使用规则。目前以“知情同意”为核心的个人信息收集及使用规则难以落地。《网络安全法》中关于用户知情同意的规则，要求网络运营者收集、使用个人信息，应当遵循“合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。”但对于“正当、必要”的界定和用户知情同意的具体方式未做具体要求。未来立法应当对此进行进一步明确和完善。

4.2　政府层面：加大对个人信息保护的监管力度

从维护市场公平性和统一性出发，大数据发展必须要依托政府和市场的双重力量，要充分发挥市场在资源配置中的决定性作用和更好发挥政府作用，政府部门应加强个人信息的保护。但目前，我国针对个人信息保护没有统一或专门的机构进行监管，现阶段主要由各行业主管机构进行分散监管，例如网信部门统筹协调网络安全工作和相关监督管理工作；公安机关对于侵害公民个人信息的违法犯罪活动依法予以打击管理；工业和信息化部负责电信和互联网领域个人信息保护工作；中国人民银行负责金融领域的用户个人信息保护工作等。这些机构之间往往存在权责不清晰、重复监管、真空监管以及执法力量不足等问题。

从实践情况来看，为了加大对个人信息保护的政府监管力度，建立统一专门的个人信息保护机构是必然选择。目前，全球有近百个国家和地区依法成立或设立了专门的个人信息保护机构，全面落实各国的个人信息保护规定。例如，德国联邦数据保护与信息自由保护专员办公室（FederalCommissioner forDataProtectionand Freedom of Information，BFDI）是依据《联邦数据保护法》于1971年所设立的联邦层面的个人信息保护专门监督机构，其职责集中于监督对《联邦数保护法》和其他数据保护规定的执行情况，并且可以延伸至通信、邮政通讯、通讯隐私等领域。而且德国不仅在联邦层面设置了执法机构，在各联邦州层面，16个州同样设置了各联邦州数据保护专员领衔的机构，且联邦州层面的机构具有广泛的执法权。

4.3　企业层面：加强行业自律落实个人信息保护

企业是推动个人信息保护的关键环节，企业应当加强自律，通过平衡个人信息保护与数据商业价值利用之间的关系、加强个人信息保护技术研发、完善内部数据安全防控机制以及制定落实隐私政策来保护用户的个人信息。

一是平衡个人信息保护与数据商业价值利用之间的关系。在大数据时代下，在数据的整个生命周期中，动态平衡好个人信息保护与数据商业价值利用之间的关系日益重要。事实上，单个的个人数据是无法有效地创造出数据价值，个体数据的价值有赖于群体标签与企业业务关联关系的发现，以及数据的互联互通与加工处理。个人信息的收集只是实现数据价值的第一步，还需要数据分析、系统运维、数据发现、数据流通、商业创新等多方、多环节的参与。因此，在数据多环节的交互中，在多方主体的参与下，如何动态地平衡好个人信息保护与数据商业价值利用之间的关系，仍需要进一步的探索。

二是加强面向个人信息保护的技术研发和关键产品突破。如同人类社会构建在经济物质基础之上一样，数据存在于信息系统之中。因此，需要加强针对个人信息保护的技术研发和关键产品突破，以确保数据安全、模型安全和运营安全。包括推动数据匿名化、差分隐私、同态加密等技术的突破。

三是企业内部应当完善数据安全防控机制。企业应当不断就自己在数据安全保护方面存在的潜在风险点进行不断识别、优化完善，从而提高自身数据泄露风险防御能力以及水平，全面防范个人信息被泄露的情况出现。建立内部数据操作审计控制，将相关操作记录完整记录，包含操作人、内容、时间等信息，对全员的数据操作的日志记录及操作行为进行审计，及时发现内部滥用数据的行为。

四是完善并落实企业隐私政策的规定。隐私政策是企业层面落实《网络安全法》等法律法规对个人信息保护要求的重要举措，是企业对个人信息的收集、使用、处理、存储等法律条款适用的具体说明，也是企业是否践行个人信息保护法律要求的考量标准。企业在隐私条款中应当以明确、易懂的方式，说明在不同业务场景下，企业收集的个人信息的类型、目的及用途，充分保障用户的知情权。对外提供用户个人信息时，向用户说明第三方主体以及提供的个人信息范围，由用户自主授权。

4.4　个人层面：提高信息主体权利保护意识

在大数据时代下，由于公民对于自我信息保护的意识不足，为不法分子留存了极大的侵害漏洞，再加上个人信息被侵害后的维权观念的缺乏和动力的不足，又客观上降低了不法分子违法犯罪行为的成本，加剧了侵犯公民个人信息的可能性。因而个人加强对自我信息的保护也尤为重要。

一是提高安全意识。在日常生活中，个人应当加强对个人信息的保护意识，防止因疏忽大意在无意间泄露个人信息。证件复印件、快递单和手机是泄露个人信息的重要载体。大部分公民往往存在不将证件复印件标明用途，不经处理而直接将写有个人信息的快递单随意丢弃，不对免费Wi-Fi进行鉴别而直接使用等情况。

二是加强维权意识。消费者在遇到个人信息被泄露时，维权意识薄弱。2018年3月，北京市消协发布《手机APP（应用软件）个人信息安全调查报告》，报告显示，消费者在个人信息遭到侵害时，选择向消协或主管部门投诉的仅占35.00%。因而，公民发现自己的个人信息被泄露或被非法利用且造成不良后果时，应当及时维护自己的合法权益，进行投诉和举报，通知侵权者采取删除、更正、消除等必要措施。