摘要：个人信息的开发和利用催生了大数据时代的到来，数据技术的迅速发展反而增大了个人信息被泄露和滥用的风险。通过对个人信息的概念和范围的研究，与在社会引起轩然大波的“徐玉玉案”的探讨，结合不同国家在不同时期对个人隐私数据安全保护体系的细致剖析，得出导致公民个人信息收到侵害的原因及其危害，进一步探索解决途径，我国可在借鉴各国经验的基础上，通过明确自身规制模式、制定具体分类数据的法律法规，构建具有我国特色的个人信息保护体系。

关键词：大数据;信息隐私权;个人数据保护

个人信息是个人与社会连接的纽带，自从有人就有个人信息①。科学技术的进步以及人类社会活动的科技化发展为我们的生活带来便利也给公民个人信息安全埋下隐患，也同时意味着会被动促进法律的发展。近年来，侵犯公民个人信息的犯罪案件屡见不鲜，甚至还与电信网络诈骗、敲诈勒索、绑架等刑事犯罪联系在一起，对社会造成了严重的不良影响。现阶段我国还没有健全的专门法体系，对于个人信息保护的模式既不走美国的信息隐私权路线，也不完全效仿欧盟的个人数据保护的概念，尽快明确我国个人信息隐私的法治道路方向，制定一套具有中国特色的个人信息保护体系，已然成为当前亟待解决的问题。

一、大数据应用下个人信息的界定

（一）大数据的含义

1.大数据的概念

“大数据”并非我们想象的那么简单，它不只能做到海量数据的存储，和简单数据共享，还可以利用云计算的处理方式对已有数据信息进行有机整合，进行有意义的统计和分析，为使用者提供有力数据支持。目前该项技术已经应用于我们工作生活能够接触到的每个领域，是各国公认的最有用的发明之一。

2.数据的特点

根据上文对“数据”的文义解读，不难看出其特点第一是具有客观性。数据是被机械记录的数字、字符或符号不同排列组合所构成的集合。换句话说，数据是任何人都可以通过代码制造并传达其所包含的信息及内在含义，不会因为不同人或不同方法的解读而出现差异，并且不以人意志为转移能够客观反映事实的。因此，称数据具有客观性。

第二数据具有特定性，或可理解为一定人格属性。由于数据所传递的是某一特定主体的特定信息，不同主体、不同信息之间可以通过一定的规则进行明确辨认和区分，如家庭通信住址、手机号、社交网络账号等。这些要素由于更多涉及个人私益，因此认为具有一定的人格属性。

第三数据具有独立性。数据是互联网空间的虚拟产物，无法独立存在于物理空间，它的产生和传输依赖于代码，需要人为控制，但并不意味着数据信息就仅仅能局限在产生它的原始设备的存留，相反，正因为它不存在于物理空间内，反而才使得数据信息可以随意被传输运用，容易遭到泄露和存在其他安全隐患。

综上所述，数据的特点主要表现在以上三方面，即客观性、特定性和独立性。

（二）个人信息的范围界定

我国理論界按照内容不同可以将与公众生活有关的网络信息大体分为六大类，分别是个人基本信息、设备信息、账户信息、隐私信息、社会关系信息、网络行为信息。

1.隐私说理论

美国的Parent教授认为：“个人信息即是社会中多数不愿向外透露者;或者个人及其敏感而不愿为他人知道者。”②而这与我国关于个人隐私权的规定几乎完全一致，因此称之为“隐私说理论”。不得不提的是，美国恰恰将个人数据的保护纳入对隐私权的保护范畴当中，与之呼应。

笔者认为，此理论过于强调个人信息的私密性，这无疑会导致其覆盖范围的相对局限。举个例子来说，公民的网络行为信息就是相对公开的，但并不意味着它就不应该受到应有的保护，因此，笔者认为该理论不适用与法律保护范围的个人信息评定规则。

2.关联说理论

与隐私说理论完全相反，关联说理论认为只要与信息主体有某种联系的信息均属于个人信息的范畴。这个理论虽彻底打破了隐私说的局限性，看似可以完善的保障个人信息安全，但其实施的困难也是不容忽视的。换句话说，在现实生活中，无论社会发展的何种程度，这都是无法做到的，唯一的方法只能是将人类都变成“套中人”，彻底切断个体与外界的联系，这无疑是有违常理的，不具有事务中的实际可操作性。

3.识别说理论

居于隐私说与关联说之间，恰到好处的界定范围。简单来说，即为信息主体的所有的隐私范围，再加上部分与之有必要关联的信息维度，既避免前两者之短，又汲取前两者之长。笔者以为，这正是取两个极端之中，最合适也是最切实可行的理论，我国学界目前也同样偏重于该项理论的说法。

二、我国个人信息保护的现状

（一）个人信息泄露案例分析

1.基本案情

近些年由于个人信息被泄露而引发的案件频发，这其中最为公众所熟知的当属山东考生徐玉玉被骗案。该案于2017年4月17日公开开庭审理。经检察院查明，被告人陈文辉非法获取的信息来自于一个叫杜天禹网络黑客，他通过植入木马等方式，非法侵入山东省2016年普通高等学校招生考试信息平台网站，窃取2016年山东省高考考生个人信息六十四万余条，后向陈文辉出售包括徐玉玉在内的十万余条个人信息，非法获利上万元。本案关键恰恰在于个人信息泄露，即“黑客”杜天禹。被告人杜天禹非法获取公民个人信息，并向他人出售的行为，造成徐玉玉猝死的严重后果。

（二）由案例分析得出个人信息泄露的原因

1.大数据环境的暴露

黑客靠主动攻击知名度较高的企业网站，套取网站服务器后台存储的用户数据，一是用来要挟网站主企业支付赎金。这种对于被窃取的信息主体来说相对安全，企业只要交付赎金，用户的个人信息就不会遭到泄露。二是到黑市上交易。被转卖信息的用户，会成为广告推销骚扰的对象，而且往往被盗用的信息不只一次被售卖，这就相当于用户的隐私根本就是赤裸裸暴露在外。

2.相关部门监管的漏洞

网络作为一个开放式的大平台，它的优势自然是无限制无门槛，谁都可以自由进出，同时也是乱象丛生的来源，给相关监管部门也带来了困扰。全世界任何国家都不能保证自己对互联网的监管做得很到位，包括网络最初产生的美国，甚至他们在大数据面前的个人信息被侵犯，早已成为了公开的社会问题。

自从我国《网络安全法》颁布并实施以来，在立法层面上，又陆续出台了一系列法律法规都是与个人信息保护有关的。在监管、执法层面上，以人大为中心，全国上下联动，涉及中央及地方各网络安全和信息化办公室、公安局网络安全大队、工业和信息化部甚至消费者协会，重拳出击，专门为个人信息安全排查开展了彻底的专项检查和打击行动。尽管近些年取得了相当大的成就，但要做到严密监管，也始终是任重道远。

三、国外对于公民个人信息安全的法律保护

（一）德国的立法保护

1970年，德国黑森州颁布了德国首部地方性《数据保护法》，也是全球首部数据隐私法。很快在1977年，西德联邦政府就制定了《联邦德国数据保护法》，其作为基本法在信息保护制度中的和性地位是不可动摇的。

与美国不同，德国民法上并没有关于人格权的一般规定，意为德国民法或宪法上都没有关于隐私权的概念，判例法上的私领域相当于美国法上的隐私权，政府为了弥补改性法律的局限与不足，还行相继出台《信息法案》《多媒体法案》等作为补充。

不得不提的是，德国除了是最早立法的国家，德国联邦宪法法院也是最早提出个人信息自决权概念③。总体来看，德国信息保护法律的发展是由领域理论趋向于信息自主，在不断扩大信息概念的范畴的同时，构建起以信息自主权为中心的法律规范体系。

（二）美国的信息隐私权政策

在联邦法律方面，采取个别立法的方式来保护信息隐私，除了1974年的《联邦隐私权法》，还包括1980年出台的《隐私权保护法》，1986年的《电子传讯隐私权法》，分别规定了在计算机、新闻、及有线无线、电子或口头传讯方面的具体行为的法律规范。而在于州立法及各行业方面，则更多的适用自律原则，但也制定了若干保护隐私的法律，发布了《全球电子商务政策框架》，主要还是强调行业自律，尤其是对大多数私营企业要求其积极采取行动保护用户的两项基本的网络隐私权。

隐私权发源于美国，又经过百余年的发展与改革，建构了一个相对其他各国较为完整的保障体系，即侵权行为法上的隐私权、宪法上的隐私权及特别法律保障机制为一体的模式。

（三）日本的吸收与借鉴

邻国日本与我们同属大陆法系，2003年以前，日本也只有一些其他法规涉及到个人信息保护，比如说《金融机构的个人信息保护方针》《规范互联网服务商责任法》等，这也就类似于我国的《网络安全法》。他们比我们早发现了这样的弊端，便开始参考德国进行专门立法。

除了最基本的《个人信息保护法》外，还制定了其他四部相关法律，涵盖了各个方面，被并称作“个人信息保护五联法”。还包括《个人信息公开与个人信息保护审查会设置法》、《关于保护行政机关所持有之个人信息的法律》、《对关于保护行政机关所持有之个人信息的法律等的实施所涉及的相关法律进行完善等的法律》、《关于保护独立行政法人等所持有指个人信息的法律》组成。这五部法律中有三部都是关于限制行政机关的相关权利的，可知日本是一个注重保护公民个人权利的民主国家。

四、我国个人信息安全立法现状及完善建议

（一）现有个人信息保护立法的不足

1.不法情形规定不严密

《中华人们共和国网络安全法》第四章网络信息安全，从第40条到第45条的相关规定都与个人信息有关，分别规定了网络运营者不得随意获取与提供服务不必要的个人信息，并且必要信息的取得也必须经过本人的同意，并且网络运营者要严格遵守保密义务，不得泄露、篡改、毁损其收集的个人信息，违者及相关涉案工作人员都将会受到法律制裁。

但不足的是，本法中的相关规定都较为泛泛，仅表达典型情况，并未列明具体可能会发生的情形。举个例子来说，《网络安全法》第42条网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

其中只是提到“不得泄露个人信息”，却并未对可能出现的情形进行列举，并且对具体处罚规定也比较模糊。

2. 对不法行为处罚较轻

值得一提的是，当不法行为人的行为造成严重后果时，《中华人们共和国刑法》第253条就将侵犯公民个人信息的行为上升到应当承担刑事责任高度。

大数据是通过电子方式记录的个人信息，根据最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题，对刑法第253条规定的“公民个人信息”是指以电子或者其他方式记录的，因此我国刑法的相关规定同样适用于网络领域，在一定程度上起到了对《网络安全法》处罚方面的补足效果，但确实是杯水车薪，远远不够。

3.新规范内容具体，但效力不足

中國国家标准化管理委员会于2017年12月29日正式发布《信息安全技术个人信息安全规范》;2018年1月24日，国家标准全文公开系统正式对外公布规范全文，将于2018年5月1日起实施。

首先，这部规范是中国国家标准化管理委员会制定的，严格意义上讲，并不属于法律的范畴。但是，根据《规范》适用范围说明，《规范》适用于“主管监管部门、第三方评估机构等组织对个人信息处理活动进行监管、管理和评估”，根据《国家标准化法》规定，强制性标准必须执行，国家鼓励采用推荐性标准。也就是说，在约束这些监管部门方面发挥着等同于法律的作用。

《网络安全法》实施以后，企业被赋予了很多网络安全义务和责任，举个例子来说，其中非常重要的一条是，应当制定合规的个人信息管理制度。该项如今在《规范》中得以落实，主要体现为：

第一，应当明确个人信息保护的责任部门及人员。《规范》明确，达到一定规模的大中型企业，必须任命个人信息保护负责人和个人信息保护工作机构，并将其联系方式作为信息公开，方便大众监督。另外还必须对其职责作出明确规定，防止给某些官员尸位素餐的理由。

第二，应当建立个人信息岗位人员管理及培训制度。《规范》明确，应当对相关人员知根知底，先要确保他们自身没有问题，才能更好的行驶其职责。还应当注意的是，与相关人员签订保密协议，建立健全专业人员培训和考核机制，确保他们更好的处理工作上可能出现的重难棘手问题，当然处罚机制亦是必不可少，在一个合理的奖罚制度下，才能个更好的发挥组织公正监管的作用。

第三，应当建立内部访问个人信息的控制制度，限制一切对个人信息不合理的复制、传播等行为，并有效的限制个人信息的展示，约束自动化程序使用与救济，等等。只有使个人行为得到约束，才能达到约束大环境秩序的目的。

第四，应当开展个人信息安全影响评估、审计制度。对过去的总结是将来提高的途径，客观的了解一段时间的成果，可以推知具体措施的有效与不足，不断完善改进，争取越来越好。

第五，应当建立个人信息安全事件处置与报告制度。定期将一段时间内发生的案件做出分析汇总，并且要横向纵向相结合，从不同的角度分析总结，发掘典型事件的特定处理方式，将其作为中格式性方法运用于今后的工作中，才能更高效并公平的对待同类事件。

（二）对《个人信息安全法》的制定建议

目前我国还未颁布有关个人信息安全专门的成文法律，此类案件发生时，主要是靠其他相關法律来解决，这种做法存在不少弊端。如：定罪不准确，量刑不标准，造成同案不同判等不公平现象。为此，我国正在积极筹备《个人信息安全法》，要使之成为一门独立法律，除了借鉴之前的其他法的相关条文，结合实际情况更为重要。

1.细化规范条文

上文中对我国现有的相关法律分析的结果指出，该方面的规定并非一片空白，而是空旷泛泛，而《刑法》的规定又过于严格，情节严重才能入罪，因此，现存法律很容易被犯分子利用，游离在违法的界线上，借此打擦边球，妄图逃不法律制裁。

因此，在现有的基础上进行完善细化是制定《个人信息安全法》的目的所在，将可能出现的犯罪情形都“一网打尽”，法律规定得越全面，也就意味着我国又向法治社会迈进了一步。

2.赋予公民权利

首先，就从行业的自律机制而言，网络服务者应当积极承担起承诺的信息保护义务。若网络服务者主动单方面地作出信息保护的承诺，这个行为简单来说就是民法中所称的附生效条件的法律行为，可以直接参照民法处理。另一种是，若行业自律组织对个人信息保护作出了承诺，则可以视为加入该自律组织的网络服务者均作出了信息保护的承诺，同理亦可。

其次，从个人层面来说，要在必要范围内赋予公民自救的权利。在现今的法治社会中，原则上虽然不允许公民以自力救济来解决问题，但日常生活中，在公民的权利受到侵害时，很多情况下是难以及时寻求到公立救济来保障自己的权利。

3.引入集体诉讼机制

现对于其他犯罪而言，由于大数据的信息泄露所危害的主体往往不是个别个体，绝大多是是数以万计甚至更多的网络用户。例如我国规定在环境污染的受害者或者权益受损的消费者诉讼的案件中，除了存在公益诉讼这种途径外，还可以以共同诉讼的方式提起。

由于个人信息案的主体与上文提到的两种不特定主体相同，单个主体的力量毕竟有限，取证维权的成本也相对较高，因此这两种方式完全可以引入到个人信息保护的案件中来，在司法机关的帮助下，不仅有利于最大限度的维护每个个体的权利，也能够提高司法效率，大大节省司法资源。

五、总结

现如今，我们的衣食住行都越来越离不开互联网，近年来我国相关法律不断完善，取得的成就不可小觑，但同样法治前行依旧任重道远，加强对个人信息隐私权的保护，既要吸取已有的外国先进制度，事半功倍，又不能全盘接受欧盟、美国的数据治理模式。因此 在借鉴国外经验的基础上，应明确自身规制的模式，形成具有我国特色的个人数据保护体系。在发展方面，应当顺应信息技术的进程，趋利避害，而不是由于恐惧科技所带来的负面影响就因噎废食，阻止大数据时代的到来。既能享受到网络为我们提供的便利，同时又不受到其带来的一定程度的危害，才是推动社会进步最快最好的办法。

参考文献：

[1]孔令杰，个人资料隐私的法律保护[M]. 武汉：武汉大学出版社，2009.

[2]王泽鉴. 人格权的具体化及其保护范围·隐私权篇·上[M]. 比较法研究，2008，（6）：1 - 21.

[3]王泽鉴. 人格权法：法释义学、比较法、案例研究[M]. 北京：北京大学出版社，2012. 185.

[4]高志明，个人信息流转环节的法律规制[J]，上海政法学院学报（法治论丛），2015：8-9.

[5]王宗伟，会员账号屡遭泄露，个人信息保护亟待强化[J]，中国商报.2017：2-4.

[6]许娟娟，论私力救济[J]，金陵科技学院学报（社会科学版），2006：4.

[7]王昊魁，织密打击电信诈骗犯罪的大网[J]，光明日报，2015：13.

[8]田志鑫，大数据时代下网络信息安全问题研究[J]，电脑迷，2017，（5）：21-24.

[9]王秀哲，美国、德国隐私权宪法保护比较研究[J]. 政法学刊，2007，（2）：71 - 74.

[10]张俊生，大数据时代下的信息泄露问题研究[J]，科技之光，2017，（2）：16-19.

[11]程啸. 论大数据时代的个人数据权利[J]. 中国社会科学，2018，（3）：102 - 122，207 - 208

[12]参见朱柏松：《个人数据保护之研究——近代隐私权概念之形成及发展（上、下）》[J]，载《法学丛刊》1954年4月第114期，115期

[13]The Study of Personal Information Security Problems on the Age of Big Data[J]  Hai Yan Liu，Yong Wen Zhong，Applied Mechanics and Materials，2015：701.

[14]Security Management of Movable Storage Device Based on File System[J]  Wei Feng，Wang Hai，Yan Liu，Advanced Materials Research，2013：756.

注释：

①参见郭瑜著：《个人数据保护研究》，北京大学出版社2012年3月第一版，第1页

②转引自陈起行：《资讯隐私权法理探讨——以美国法为中心》，台湾《政大法学评论》2000年，第64期。

③参见“人口普查”判决书正文第一段，转引自齐爱民：《德国个人资料保护法简论》，载《武汉大学学报（人文科学版）》，2004年第4期，第465页以下。

作者简介：周萦，女，1995年出生，河北邢台人，海南大学法学院硕士（在读硕士研究生），研究方向：民事诉讼法学。