庄慧娴 于静

(安徽财经大学 法学院，安徽 蚌埠 233030)

大数据环境下个人信息安全法律问题研究

庄慧娴 于静

(安徽财经大学 法学院，安徽 蚌埠 233030)

随着互联网、云计算、社交网络及物联网等新兴技术的运用与普及，数据量呈指数型、爆炸式增长，大数据时代应运而生。信息的收集与挖掘能力得到明显提高，个人信息安全在大数据环境下更容易被非法收集及利用，造成个人利益的损失。因此，应通过行业自律保护和法律保护相结合的方式，在立法上加强和完善对大数据运作的规制，以弥补自律保护强制力不足的缺陷。同时，在自律保护方面，应积极督促和完善相关行业自律规范，以弥补法律保护存在滞后性的不足。

大数据；个人信息安全；法律制度；信息泄露；行业自律

随着电子商务、社交网络、云计算及互联网的快速发展，现代社会捕获和产生的信息量迅速增长，统计数据以PB级别指数增长。国际数据公司统计数据表明：2008年全球产生的数据量为0.49ZB，2009年产生的数据量为0.8ZB，2010年增加到1.2ZB，2011年的数据量达到1.82ZB，相当于全球每人每年产生的数据量为200GB，大数据时代正在悄然改变我们的生活及习惯。[1]在通过大数据技术对海量数据进行有效分析和挖掘，给企业带来巨大商业价值的同时，我们更应该考虑如何保护个人信息安全，提高用户对个人信息安全的可控性，这也是大数据时代亟待解决的问题之一。

一、大数据的运作主体及客体

(一)运作主体

在日常生活中，我们可以接触到的大数据运作主体主要有电子商务网站、搜索引擎、社交网站以及聊天工具等。但大数据环境下侵害个人信息安全的主体并非只是这些互联网公司，为了更加透彻地分析大数据运作主体，我们将其分为三类，分别是数据分析型主体、数据来源型主体及第三方主体。[2]

数据分析型主体主要包括咨询公司、数据分析公司以及技术供应商等。它们通过大数据分析技术对客户提供的数据进行挖掘，进而转化为信息或知识，为企业制定计划及政策提供数据支持。例如，天睿公司为Pop-Tarts及沃尔玛提供数据分析，以制定营销思路。

数据来源型主体可以直接获得用户的各种信息，是基于数据本身的公司，包括人人网、Facebook、Twitter等社交网站，淘宝、京东、一号店等电子商务网站，百度、搜狗、谷歌等搜索引擎，微信、QQ、MSN等聊天工具。

第三方主体包括黑客或以其他方式获得他人信息的主体，其最显著的特点是他们并非数据的拥有者，而是通过其他方式获得他人信息。

(二)运作客体

个人信息即为大数据运作的客体，但有关个人信息的法律属性存在多种理论，包括认为个人信息是“隐私”的隐私权客体说，认为个人信息是“物”的所有权客体说，以及认为个人信息是“人格”的人格权客体说。[3]由于人格权同时具备财产利益与人格利益，将个人信息视为人格权的一部分，可以更好地实现对个人信息权利人的保护。因此，笔者将个人信息的法律属性界定为人格权。按照人格权客体说理论，个人信息的人格利益不仅包括传统的精神利益，还包括人格权商品化理论中的经济利益。[4]

侵害精神利益的个人信息主要是指个人信息的一般内容，例如，姓名、年龄、性别、家庭住址、工作单位、联系电话等。如果涉及对此类个人信息的泄露，不对权利人造成直接的经济利益损失，而可能会造成权利人的精神损害，主要是对肖像权、姓名权、隐私权等的侵害。

侵害经济利益的个人信息的泄露会直接威胁到权利人的经济利益，如权利人注册的电子商务、社交网站及聊天工具等涉及到电子支付业务的用户名和密码等相关信息。

二、大数据环境下侵害个人信息安全的方式

(一)个人信息的非法收集

个人信息的非法收集是大数据运作主体侵害权利人利益的最直接方式，特别是数据来源型主体，拥有大量的互联网用户群，能够轻而易举地获取用户的私人信息甚至聊天记录，在未经用户许可的情况下非法收集用户的私人信息，将会严重侵害数据客体的利益。[5]

大数据的运作模式决定了非法收集个人信息的行为，收集信息是进行大数据分析的前提条件，收集信息应被认定为侵害个人信息的基本手段。如果将个人信息的法律属性界定为人格权，那么，个人信息包含的人格权益作为权利人的合法利益应受到法律的保护，大数据运作主体需要尊重客体的相关利益，应在权利人同意或许可的前提下收集其个人信息。

(二)个人信息的过度分析

大数据环境下对个人信息的过度分析是侵害个人信息安全的主要方式之一。在当前移动互联网迅速发展的阶段，QQ已成为广大网民聊天的首要工具，相信很多人也会经常遇到有陌生人加自己为好友的情况，在没有告知对方QQ号的情况下，对方可以通过QQ中的“可能认识的人”或者个人的基本信息，如年龄、性别、故乡等条件查询，这就是腾讯对用户的个人信息进行过度分析的结果。

一方面，大数据技术的应用，确实为用户提供了一个强大的寻人功能，但在另一方面也造成了对用户个人信息的过度分析，以获取用户的联系人网络。目前，各大社交网站会不同程度地开放用户所产生的实时数据，这些数据可能会被一些数据分析机构收集，通过社交网站中的个人信息、智能手机中的定位信息等多种信息的组合，精确地定位某个人及其个人交际网络等信息。在大数据环境下，如果仅从外部屏蔽大数据主体对个人信息的过度分析是很难实现的，当务之急是规范分析行为，从而做到有针对性的遏制。

三、大数据环境下我国个人信息安全保护现状及问题

(一)大数据环境下我国个人信息安全保护现状

目前，我国对个人信息安全的保护分为法律保护和自律保护两个方面。在法律保护方面，我国尚未出台专门的法律对个人信息的收集、分析、使用等行为加以规制，但是在其他法律法规中可以找到相关规定，如《刑法修正案(七)》中的侵犯个人信息罪、《侵权责任法》中关于网络侵权的规定、《电话用户真实身份信息登记规定》等，这些法律法规建立起了个人信息安全保护的基本框架，为权利人维护自己的信息安全提供了法律依据。[6～8]在自律保护方面，在大数据领域当中自律保护也正在逐渐形成并得以发展。现对大数据时代我国个人信息安全保护现状加以概括，并分析当前个人信息安全保护存在的缺陷，以期为完善个人信息安全保护提供更多依据。

1．法律保护

(1)宪法中的相关规定

宪法是我国的根本大法，拥有最高的法律效力，也是制定其他法律的立法基础。《宪法》第40条规定：中华人民共和国公民的通信自由和通信秘密受法律的保护。这一规定为个人信息安全保护提供了宪法依据，也是其他立法主体制定个人信息安全保护法规最强有力的支持。

(2)刑法中的相关规定

2009年2月28日颁布的《刑法修正案(七)》为个人信息安全保护提供了刑法上的保护。该修正案在《刑法》第253条后增加一条，作为第253条之一，具体内容如下：“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员，违反国家规定，将本单位在履行职责或者提供服务过程中获得的公民个人信息，出售或者非法提供给他人，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金。”此外，《刑法》第177条的“窃取、收买、非法提供信用卡信息罪”、第252条的“侵犯通信自由罪”、第253条的“私自开拆、隐匿、毁弃邮件、电报罪，出售、非法提供公民个人信息罪，非法获取公民个人信息罪”等，都是对个人信息犯罪行为应承担刑事责任的规定。[9]将个人信息安全保护纳入到刑法中，在增强法律保护力度的同时，也起到了威慑的作用。

(3)民事法律中的相关规定

个人信息作为人格权的一部分，民事法律规范对其提供保护，显得尤为重要。但是，在民事法律规范中明确提出个人信息安全保护的规定少之又少，大部分将其涵盖在人格尊严、隐私权等相关内容中，如《民法通则》中规定的肖像权、姓名权、名誉权、人格尊严保护等。而《侵权责任法》即是少数明确提出对个人信息安全进行保护的法律。《侵权责任法》第36条规定：网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。2013年颁布的《消费者权益保护法》在引入“消费者隐私权”概念的同时，也加强了对个人信息的保护，如《消费者权益保护法》第14条、第29条，对经营者收集、使用消费者信息遵循的原则、经营者的责任等进行了规制，这些规定都为个人信息权利主体保护自己的合法权益提供了保障。

(4)其他法规中的相关规定

2012年12月28日，全国人大常委会颁布了《关于加强网络信息保护的决定》(以下简称《决定》)，《决定》是目前个人信息安全保护使用最广泛、内容最全面的规定。《决定》第1条、第2条、第10条、第12条的规定包含了进行个人信息收集、利用行为须遵循的原则，权利人许可制度、惩罚措施等内容涉及当前互联网个人信息数据管理，为制定一些必要的互联网管理措施提供了法律上的依据，对大数据时代的个人信息安全保护起到了很好的指导作用。此外，2013年7月16日，国家工信部颁布了《电信和互联网用户个人信息安全保护规定》(以下简称《规定》)，《规定》主要是针对电信业务经营者、互联网信息服务提供者在收集、使用用户个人信息时的行为进行规范。《规定》第7条提到了国家鼓励电信和互联网行业开展用户个人信息安全保护自律工作，为个人信息的自律保护提供了法律上的支持。

2.自律保护

个人信息的自律保护源于行业自律。行业自律是指行业自律组织为了行业成员的共同利益、本行业的持续健康发展而制定的对全体行业自律组织的成员具有普遍约束力的行为规范，它是行业自律管理中普遍存在的一种规范性法律文件。美国的个人信息安全保护采用的就是以自律保护为主、立法保护为辅的方式。随着互联网技术的发展，我国也形成了一些行业自律的规范。如2012年11月1日，百度、腾讯等12家互联网企业在北京签署了《互联网搜索引擎服务自律公约》，其目的就是规范互联网搜索引擎服务，维护公平竞争，建立合理有序的市场环境。其中，第10条规定：搜索引擎服务提供者有义务协助保护用户隐私和个人信息安全，收到权利人符合法律规定的通知后，应及时删除、断开侵权内容链接。[10]除了行业内自发进行的自律保护外，国家也提倡和鼓励行业自律，国家工信部颁布的《规定》明确指出：国家鼓励电信和互联网行业开展用户个人信息安全自律保护。

(二)大数据环境下个人信息安全保护存在的问题

从上文相关法律为将个人信息纳入保护范畴而进行的调整和相关部门颁布的法规，到国家对个人信息自律保护的鼓励，可以看出我国正在逐步加强对个人信息安全的保护，但是，综合来看，我们在立法保护方面，尤其是在大数据时代个人信息安全保护方面仍存在严重不足。

首先，在立法方面，主要表现在法律保护过于分散，缺乏对个人信息实施专门保护的法律。虽然美国采取的是以自律保护为主、立法分散保护为辅的方式，但是我们应该意识到，我国的自律保护正处于起步阶段，各方面的规定还不成熟，因此，过于分散的法律规范会导致对个人信息安全保护缺乏针对性，容易造成适用混乱。而且，大数据运作的侵权特点表现在其收集信息的隐蔽性、侵权方式的多样性和侵权范围的广泛性等方面，仅依靠目前笼统的原则性保护是不够的，必须针对大数据运作做出细化的规制。

其次，行业自律规范所涉及的领域较窄，大数据运作主体不仅包括数据来源型主体，还包括数据分析型主体，而《互联网搜索引擎服务自律公约》只包括了12家互联网企业，并未涉及纯粹的数据分析型主体，不能全面地保护个人信息安全。同时，我国缺少专门的行业自律管理和监督机构，无法有针对性地对自律组织制定的行业自律规范进行审查，无法保障行业自律规范的合法性，更不能有效监督自律组织成员对行业自律规范的执行情况。

四、大数据环境下完善我国个人信息安全法律保护的建议

(一)完善立法保护

1．加强个人信息安全保护的立法

随着大数据技术的发展，大数据运作的商业价值日益凸显出来，与此同时，个人信息安全保护更应该受到国家和社会的关注。笔者针对大数据侵害个人信息安全的方式，从个人信息非法收集及个人信息过度分析两方面，探讨大数据时代加强个人信息安全保护的立法建议。

第一，关于个人信息非法收集的立法建议。个人信息的非法收集是指大数据运作主体在收集数据时并未得到用户的许可，主要发生在拥有大量用户的互联网公司，如腾讯、360及阿里巴巴等公司。相关立法机构应当规定大数据运作主体在收集用户个人信息时承担“通知”和“许可”两项义务，即大数据运作主体在收集用户个人信息时应当通知用户并告知和承诺其收集信息的用途，在经过用户的许可后方可收集其个人信息，并且用户享有随时撤销许可的权利。另外，如果运作主体需要收集儿童的个人信息，需要经过其监护人的许可，方可实施收集行为。

第二，关于个人信息过度分析的立法建议。针对大数据运作主体对用户信息进行过度分析的行为，可以从以下三个方面予以规制：首先，立法机构应该规定大数据运作主体对用户信息存储时间的限制，即个人信息在达到存储时限后，应当予以删除。并且，在实现对个人信息的使用意图后，应该及时删除用户信息，不得另作他用。其次，用户可以主动向大数据运作主体确认其个人信息是否被存储并有权要求删除。最后，立法部门应当规定分析个人信息的程度，防止过度分析。以购物网站为例，运作主体可以通过分析客户的购物行为判断客户的购物倾向及喜好，以便更好地向客户推荐相关产品，但不能通过分析客户的个人信息及好友信息来获得客户的社交网络及其他隐私信息。

2．完善《侵权责任法》的相关内容

《侵权责任法》是我国私法领域对公民权益进行保护的最基础、最重要的法律。个人信息作为人格权的一部分，在国家尚未出台专门针对个人信息安全保护的法律规范之前，《侵权责任法》应承担起保护个人信息的重担。

第一，完善《侵权责任法》的相关规定。《侵权责任法》第36条对网络侵权责任进行了规定，主要针对的是因网络而引起的对著作权、肖像权、名誉权、隐私权、荣誉权、专利权、商标权等的侵权行为。为了更好地对个人信息进行保护，笔者认为，可以在该条文之后增加一款，即“网络主体非法收集、过度分析、泄露网络用户个人信息，造成他人损害的，该行为人不能证明自己没有过错的，应当承担侵权责任”，明确提出侵权行为的方式，弥补原先规定过于笼统的不足，使其能够在大数据环境下更有针对性地解决个人信息安全保护的问题。

第二，归责原则的选择。笔者主张采用过错推定原则。过错推定是指在诉讼中，被侵权人能证明侵权人的违法行为与损害事实之间存在因果关系时，如果侵权人不能证明对于损害的发生自己没有过错，那么就推定侵权人有过错，并为此承担赔偿责任。在大数据环境下，侵权行为具有隐蔽性，被侵权人很难举证证明侵权人的过错，因此，笔者认为，个人信息安全侵权应当采用过错推定原则。

(二)完善行业自律保护

百度、腾讯等12家互联网企业共同签署的《互联网搜索引擎服务自律公约》，反映了我国互联网行业自律的发展状况。互联网企业已经意识到自律保护对个人信息安全的重要性，同时，政府也在积极推动行业自律的发展，这是实现我国行业自律保护的基础。

1.健全行业自律规范

大数据运作主体不仅包含数据来源型主体，还包括数据分析型主体。数据来源型主体主要指大型的互联网企业，它们可以直接获取用户的个人信息；而数据分析型主体得到的个人信息相当于是“二手”的信息，主要是指为企业提供数据分析服务的大数据公司。因此，行业自律规范的制定，不仅要包含大型的搜索引擎公司，还要涵盖多种类型的大数据运作主体。

另外，行业自律规范的制定应当根据行业的实际情况，要将宣誓性条款真正转化为可实施的具体规则，并能及时加以修改和完善，以适应科技的发展。同时，行业自律规范要以立法作为指导，符合法律的规定，并作为立法的补充，进一步细化个人信息安全保护的相关规定。

2.加强对行业自律规范的管理和监督

如何协调行业自律与立法保护两者之间的关系，是决定该模式能否充分发挥保护个人信息安全作用的关键。我们可以从美国《儿童在线隐私保护法》的安全港模式中得到启发，自律性的相关规则需要在申请备案后的6个月内，由联邦贸易委员会进行审查、批准并颁布后生效，只有生效后的自律规范，才被认定为符合法律规定。另外，联邦贸易委员会被授予执法和管理的权利。

大数据运作主体主要涉及互联网行业，可以由工信部作为行业自律规范的管理和监督部门，具体工作包括以下两个方面：一是对自律组织制定的行业自律规范予以审查，排除自律规范中有侵害个人信息安全的规则，提高行业自律规范的透明度，充分保障用户的个人信息安全；二是监督自律组织成员对行业自律规范的执行情况，保证自律规范的实施力度，从而更好地发挥行业自律的优势，弥补立法保护的缺陷。

五、结语

随着大数据理论及技术的不断发展，信息的获取和利用能力都得到了质的飞跃，科技的发展正在突破和改变人们传统的认知观念。笔者通过深入分析大数据的内涵、运作主体和客体以及侵害个人信息安全的方式等内容，评析我国个人信息安全保护现状及存在的问题，为完善我国个人信息安全相关法律制度提出建议：即通过行业自律保护和法律保护相结合的方式，在立法上加强和完善对大数据运作主体的规制，以弥补自律保护强制力不足的缺陷。同时，在自律保护方面，积极督促和完善相关行业自律规范，以弥补法律保护存在滞后性的不足。总之，完善我国个人信息安全保护制度，必须发挥行业自律保护和法律保护的优势，以弥补各自的不足。

[1]冯登国,张敏,李昊.大数据安全与隐私保护[J].计算机学报，2014(1).

[2]刘小霞,陈秋月.大数据时代的网络搜索与个人信息安全保护[J].现代传播(中国传媒大学学报)，2014(5).

[3]崔聪聪.网络产业发展与个人信息安全的冲突与调和——以个人网上行为信息为视角[J].情报理论与实践，2014(8).

[4]初燎原.大数据时代的信息安全[J].中国党政干部论坛，2015(3).

[5]刘斌.大数据时代金融信息保护的法律制度建构[J].中州学刊，2015(3).

[6]崔海莉.“大数据”时代档案信息安全管理新思考[J].档案学研究，2015(1).

[7]李源粒.大数据时代信息安全的刑法保护[D].中国政法大学，2014.

[8]李彤.论大数据时代网络隐私权的保护[D].河北大学，2014.

[9]秦殿启.整合与大数据理念下的个人知识组织[J].情报理论与实践，2014(2).

[10]齐爱民，盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版)，2015(1).

责任编辑 叶利荣 E-mail:yelirong@126.com

Legal Research on Personal Information Security with Big Data

ZhuangHuixianYuJing

(SchoolofLaw,AnhuiFinanceandEconomicsUniversity,Bengbu233030)

With the application and popularization of new technology such as Internet,cloud computing,social networking and other emerging technologies,the data in the world has had an explosive growth which brought the age of big data.And with the development of big data technology,the ability of information collection and data mining has been improved obviously.But it is easier to collect and utilize personal information which results in the loss of personal benefit.The paper describes the operation of infringe on personal information and its characters in the age of big data and analyzes the insignificance about personal information security in China.Finally this paper proposes that it is necessary to select a coalescence of legal protection and self-discipline protection for protecting personal information security and puts forward countermeasures for two protection modes.

big data;personal information security;legal system;information leakage;trade self-discipline

2015-03-22

蚌埠市社会科学规划重点项目(BB14A002)

庄慧娴(1990—)，女，安徽歙县人，硕士研究生。

DF529

A

1673-1395 (2015)06-0041-05