莫小春

[摘 要] 大数据时代给公民个人信息安全带来风险隐患。现实生活中普遍存在公民个人信息被非法买卖、过度收集并二次开发利用的现象。我国目前关于公民个人信息保护的法律条款较为分散，对个人信息的概念界定不明、法律法规协同性差、法律适用范围狭窄、刑法关于公民个人信息保护的条款可操作性不强。应尽快出台个人信息保护法，完善规制个人信息保护的刑法制度，成立保護公民个人信息的专门机构。

[关键词] 大数据时代; 个人信息; 信息保护; 立法

[中图分类号] D621-5         [文献标识码] A        [文章编号]  1673-8616（2015）03-0095-05

随着网络的普及，公民的日常生活和工作已与信息网络密不可分，大量的公民个人信息存在于多种场合的网络系统，再加上市场经济和网络电商的发展，商业竞争加剧，公民个人信息更是凸显其商业价值。大数据时代的来临更是让公民个人信息的的权利边界消失，公民个人信息赤裸裸地展现在服务商面前。侵犯公民个人信息和非法买卖、泄露公民个人信息事件不断发生。2013年，我国就约有600多个网站的用户信息数据库信息被公开出售，其中有近1亿条的数据信息真实。[ 1 ] 因此，大数据时代下如何更好地保护公民个人信息是一个亟须研究解决的重要民生问题。

一、个人信息内涵的界定

2009年以前，我国基本上是将公民的个人信息当作隐私权给予保护。个人信息作为一个法律概念起源于我国2009年2月28日通过的《刑法修正案（七）》，该法案第七条规定了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”。但综观我国现有关于个人信息保护的相关法律法规，我们都无法找到关于“个人信息”定义的法律条文。所以，实践中不少人将个人信息称之为个人资料或者个人隐私，理论界对个人信息概念的界定则有隐私权型、关联型和识别型三种方式。[ 2 ] 隐私权型排除了部分客观存在需要保护的个人信息，比如公民个人地理位置信息，过于强调公民的主观性而显得不够严密;关联型则包括了不需要法律保护的个人信息，如性别;识别型能够清晰地表示个人信息的内涵和外延，比较符合现实需要。[ 3 ] 但在大数据时代，有些公民个人信息虽然不具有识别性，但通过大数据的超强智慧分析能够使之具有“识别性”，因而，上述三种对个人信息的定义方式都没能完整地囊括大数据时代公民个人信息。因而，在目前法律没有明确界定个人信息的情况下，大多数学者认可采用“识别型”定义，即所有能够识别公民个人的信息资料。笔者同意此观点。但是，随着智能可穿戴设备的普及，云服务的发展升级，个人信息的概念还会发生相应地变化。

二、大数据时代公民个人信息泄漏的原因及其危害

“大数据”一词于2012年开始进入我国公民视野，2013年是我国IT界公认的“大数据元年”，2014年是“大数据”分析应用的落地年，大数据时代的来临已不可阻挡。大数据在带给公民“廉价、迅速、优化”的海量数据和超强决策力的同时也给公民个人信息带来了被侵犯的风险和烦恼。据报道，2013年上半年我国就有74.1%的网民曾遇到过信息安全问题。[ 4 ]

（一）大数据时代公民个人信息泄漏的原因

综观近几年来公民个人信息被泄漏情况，可以看出大数据时代公民个人信息被泄漏主要基于以下三个原因。

1. 公民个人信息被非法倒卖，并已形成灰色产业链

公民个人信息泄露的利益链条分为源头、数据平台、非法调查类公司。2013年10月下旬，上海发生了圆通快递面单信息倒卖的事件。著名的“中国资源部”就是一个专门从事公民个人信息买卖的网络数据平台。上述利益链将收集到的个人信息非法倒卖，有些甚至已形成灰色产业链。据相关调查显示，“我国互联网个人信息安全的灰色产业链规模已达近百亿”。[ 5 ]

2. 管理部门对收集的公民个人信息安全管理存在漏洞

不法分子利用管理漏洞通过黑客非法侵入用户电脑窃取个人信息售卖并从中牟利。2013年以来，我国发生多起用户网上个人信息被泄露事件，如2013年2月中国人寿近80万页保单信息被泄露;[ 6 ] 2013年10月如家、汉庭、7天、格林豪泰等多家酒店的开房信息被泄露;2013年11月7000万QQ群用户数据被泄露;2014年2月微信用户的敏感信息被泄露。[ 1 ]

3. 公民个人信息被过度收集并二次开发利用

中国参加活动填表格的习惯让公民个人信息存在安全隐患。生活中，不少经营者和相关单位过度收集公民个人信息，有些甚至还对收集到的个人信息在未经被收集者许可同意的情况下对个人信息进行二次开发利用。

（二）大数据时代公民个人信息被泄露的危害

信息时代的公民个人信息与公民的切身利益密切相关，被收集或贩卖的详细真实的个人信息在被不法分子泄露出去后，产生的后果难以想象。轻者是被垃圾短信、垃圾邮件、电话骚扰;重者则被跟踪、踩点盗窃、电信诈骗、网络诈骗等，危及公民的财产安全（包括网络虚拟财产）;更为严重的是有可能会发生绑架、抢劫等危害公民生命安全的严重后果。同时，这类犯罪还加大了案件侦破的难度。[ 7 ] 因此，公民对于个人信息被泄露之事特别担忧恐惧，反响也较为强烈。为此，国家对此已高度重视，要求坚决严厉打击侵害公民个人信息的犯罪活动。

三、我国现行法律保护公民个人信息的不足

（一）公民个人信息保护的法律途径有限

我国目前关于公民个人信息保护方面的法律规定散见于各种法律、行政法规和行政规章当中。

1. 法律关于公民个人信息保护的规定

2007年7月1日起施行的《护照法》第12条第3款和第20条规定了护照签发机关及其工作人员对公民个人信息的保密义务及其违反义务应承担的行政责任和刑事责任。

《刑法修正案（七）》第7条规定了个人信息犯罪的处罚。但是，该条款规定犯罪行为为出售、非法提供、非法获取，且入罪根据为“违反国家规定”，入罪起刑点为“情节严重”，这种狭窄的行为限定和模糊的表述给司法审判带来很大的困惑。[ 5 ] 2010年发生的一起案件就是如此：某大学生利用网络自动采集、与“网友”交换等方式收集公民个人信息进行非法买卖，而该名大学生由于非上述规定单位内的公职人员而没有被批捕。[ 8 ] 此外，刑罚处罚力度较小，仅规定判处“3年以下有期徒刑或者拘役，并处罚金”，对犯罪分子起到的警示惩戒效果不大。

2011年9月1日施行的《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件适用法律若干问题的解释》第10条规定了对公民身份认证信息的保护，但此处的身份认证信息也只限于计算机信息系统语境下的账号、口令、密码、数字认证等信息，因此，其适用范围仍然显得较为狭窄。

2011年10月修订的《居民身份证法》第6条、第13条和第19条规定了公安机关等相关单位和工作人员对公民身份证上的个人信息予以保密的义务，并规定了相应的刑事责任和行政责任，但仅保护公民个人身份证上的信息，保护对象过于狭窄。

2014年3月15日实施的《消费者权益保护法》第14条规定，消费者“享有个人信息依法得到保护的权利”。但是，该条文没有界定个人信息的权利边界。

2. 行政法规和行政规章关于公民个人信息的保护规定

信息产业部在2000年11月6日施行的《互联网电子公告服务管理规定》第12条规定了电子公告服务提供者对上网用户的个人信息保密义务。然而，该条款没有规定法律责任，因而其可操作性不强，公民无法以此为依据保护自己的个人信息权益。

2012年12月28日通过的《全国人大常委会关于加强网络信息保护的决定》第1条明确规定对于“能够识别公民个人身份和涉及公民个人隐私的电子信息”进行保护。该决定将公民个人信息保护的范圍局限于“直接识别”身份和涉及隐私的个人信息，这与大数据时代的超强数据分析力相比，其保护力过弱，范围过于狭窄，而且其保护对象仅针对网络信息。可以说，大数据时代任何相关信息经过整合处理，都有可能关联到特定个人，而不仅仅限于直接信息和隐私性信息。[ 9 ] 比如公民的交易类数据、互动类数据、关系类数据和观测类数据等，“这些数据关联聚合在一起就可以准确地还原并预测公民个人的社会生活全貌”，[ 5 ] 哈佛大学教授拉塔尼娅·斯威尼的研究显示，“只要知道一个人的年龄、性别和邮编，并与公开的数据库交叉对比，便可识别出87%的人的身份”。[ 10 ]

工业和信息化部于2013年2月1日颁布的《信息安全技术公共及商用服务信息系统个人信息保护指南》（以下简称为《指南》）对大数据时代如何合理利用个人信息给予了界定，但是，该《指南》只是行业自律规定和推荐性标准，其效力级别较低，有效实施还需要依赖于行业主体的配合。因此，《指南》对于保护公民个人信息安全方面还是有待于进一步完善。

此外，还有2005年10月26日起实施的《电子支付指引（第一号）》的第11条和第41条、2009年7月1日起实施的《彩票管理条例》第40条、2011年6月26日起实施的《戒毒条例》第7条第2款等都规定了相关行业工作人员对个人信息的保密义务。由于上述规定只适用于制定部门行业的工作人员，其保护对象和适用范围同样狭窄。

（二）我国法律法规保护公民个人信息的不足

综上可以看出，我国法律和行政法规在对公民个人信息保护方面已出台了不少规定，但我国公民个人信息被不法分子贩卖状况并没有得到明显好转。究其根本，就是我国保护公民个人信息的法律法规过于分散，行业“碎片化”严重，存在内容不完善、可操作性不强等不足。

1. 没有界定“个人信息”的概念

如前所述，我国目前关于保护公民个人信息的法律法规中没有界定“个人信息”的概念。因此，对于大数据时代公民个人信息无法通过现有法律法规给予全方位的保护，所以公民权益受到侵犯时也因难以举证而难以在诉讼中获胜。由于我国没有个人信息权这项民事权利，因此，司法实践中人民法院一般以隐私权为由对公民个人信息进行保护，而不能被认定为隐私权的更多的个人信息侵权案件因“无法可依”而被阻拦在了司法程序之外。

2. 法律法规之间的协同性较差

上述法律和行政法规对于公民个人信息的保护都是相关部门出于管理的需要，保护对象过于狭窄，且有些规定相互矛盾冲突，协同性较差，致使在司法实践适用中困境重重。

3. 法律责任规定不够明确

上述法律法规关于相关部门及其工作人员违反规定义务，泄露公民个人信息的行为如何处罚大多缺乏具体规定，受害者如何寻求权利救济也缺乏法律依据。

4. 法律适用范围狭窄

我国目前保护公民个人信息的法律大多集中在个人信息密集分布的电信、银行和医疗等专业性较强的领域。但是随着云时代和大数据时代的到来，越来越多的公民个人信息开始大量地出现在社交网站、购物网站等领域，如何保护这些新生领域的公民个人信息安全也是我们不可回避的问题。[ 11 ]

5. 刑法关于公民个人信息保护的条款可操作性不强

我国现行刑法关于公民个人信息保护的相关规定，对于司法机关来说虽然自由裁量权大，但可操作性不强的缺陷给司法实践带来困惑，造成司法审判地域性明显，甚至“同案不同判”的现象普遍存在。如“情节严重”的认定，因此，亟须不断完善和细化刑法关于保护公民个人信息的规定。

四、大数据时代保护公民个人信息的对策

大数据时代的个人信息犹如“未来的新石油”，[ 12 ]因此，“在大数据时代，想屏蔽外部数据商挖掘个人信息是不可能的”，[ 13 ]基于此，为了保护公民个人信息安全，让“防火墙”更加牢固，除了企业行业自律、社会构建诚信文化外，还需要从以下途径强化公民个人信息的保护。

（一）加快出台个人信息保护法

我国专家早就在2005年完成了《个人信息保护法（专家建议稿）》，但是9年过去了仍未出台。这9年来，我国网民数量激增，网络不断普及到乡镇，大数据时代和云时代也已在我国落地生根。“截至2014年6月，我国网民规模达6.32亿……互联网普及率为46.9%。”[ 14 ] 可以说，我国公民个人信息保护法出台时机已经成熟。虽然，目前工信部正在着手草拟个人信息保护方面的规定，但其毕竟没有上升到法律的高度，无法凸显公民个人信息权的重要性。因此，我国应加快出台《公民个人信息保护法》，改变目前公民个人信息保护范围狭窄的状况，做到全方位地保护公民个人信息。

立法机关在个人信息保护立法中应注意以下具体事项：首先，明确个人信息的概念。个人信息概念的不确定使得公民个人信息得不到有效全面地保护，也加大了司法审判的难度。因此，立法中首先要做的就是明确界定个人信息的权利边界。其次，明确赋予公民个人信息权。[ 15 ] 目前，不少国家已将个人信息权作为一项重要民事权利确立。社会治理年代，公民对其个人信息拥有所有权是法律应有之义，正如360公司董事长兼CEO周鸿祎所说，“信息是用户的个人资产，只是托管在服务器上”，[ 16 ]所以，我国应明确个人信息权是公民重要的民事权利。再次，明确公民个人信息保护立法应坚持的原则。立法保护公民个人信息时应坚持以下四个原则：第一，知情同意原则，即相关单位收集公民个人信息时应征得公民同意，并让其知情收集使用的目的的原则。第二，合理使用原则。借鉴知识产权的合理使用原则，个人信息的合理使用也应规定一定的目的和使用范围。第三，安全保障原则，即个人信息收集单位有义务采取措施保障公民个人信息安全，避免个人信息被盗取、毁损、篡改和非法使用的情况。第四，及时删除原则，即个人信息收集者应当及时删除已经达到最初收集的目的并且达到一定保存期限的个人信息。

（二）完善规制公民个人信息保护的刑法条款

刑法作为最后一道保护屏障，必须织一张严密的法网，这就要求条款用词严谨，考虑周全，考量因素明确。基于我国刑法条款关于规制公民个人信息保护的不足，建议从以下方面予以完善。

首先，明确界定“情节严重”的标准。《刑法》第253条规定对非法获取公民个人信息罪的成立条件之一“情节严重”没有明确界定，实践中界定难以统一，操作性不强。例如，如何判定个人信息罪起刑点的“情节严重”？以非法出售个人信息的数量还是获利金额作为标准？为此，建议在界定“情节严重”时，既要考虑个人信息的数量，又要考虑牟利数额，其中数量可以规定为100条以上，牟利数额可规定为个人5000元以上，单位1万元以上。[ 17 ] 既要考虑造成的损害后果，又要考虑侵权的次数，其中次数一般为3次以上。[ 18 ]

其次，对侵犯公民个人信息的危害行为方式做扩大解释。《刑法》第253条采用列举立法模式对非法侵犯公民个人信息罪的犯罪行为规定为出售、非法提供或者窃取等三种犯罪行为。这种规定使得其他侵犯公民个人信息的违法行为方式排除在刑法规制之外，不利于全面保护公民个人信息。鉴于此，建议扩大公民个人信息罪的危害行为。现实生活中，经常出现相关单位及其工作人员非法使用或公开公民个人信息的现象，给公民生活造成极大骚扰。因此，规制这两种行为也符合刑法立法宗旨。从长远考虑，基于可能有其他侵犯公民个人信息的新手段出现，如肆意篡改公民个人信息行为，因此，建议在《刑法》第253条之一第二款的“窃取”之后加上“或者以其他方法侵犯个人信息的”的词句。

第三，加大刑事处罚力度。刑法之所以将公民的个人信息保护纳入保护范围，正是基于个人信息对于公民人身安全的重要性和现实生活中非法买卖公民个人信息行为的猖獗性考虑，因此，加大对个人信息罪的处罚力度也情有可原。目前的《刑法修正案（七）》规定的个人信息犯罪处罚最重的是3年有期徒刑，并处罚金。实践中因此获罪被判处的刑罚普遍偏轻。非法买卖公民个人信息呈上升趋势也与此规定有一定的关系。因此，建议加大处罚力度，如将现行的3年提高到5年或者10年。

（三）成立保护公民个人信息的专门机构

基于公民个人信息被侵权后“无门可进，无人可诉”的现状，避免我国食品安全监管“九龙治水”有利就争，无利则躲的弊端，在公民个人信息保护方面，建议组建专门机构，比如个人信息保护委员会等，做到事前防范、事后及时处理，以避免出现“踢足球门事件”和公民求助无门的状况。事实上，国外已有类似做法，比如法国的国家信息自由委员会就是专门保证公民个人信息不受网络侵害的机构。

[参考文献]

[1]田珍祥.携程网漏洞吓人再出冷汗[N].中国消费者报，2014-03-28（A01）.

[2]徐超华.公共行政领域的个人信息保护：行政法的规制[J].湖南城市学院学报，2008，（4）.

[3]吴景明，雅客.我国新形势下消费者权益保护法律问题研究[M].北京：中国法制出版社，2013：24-25.

[4]陈云.中国网民信息安全状况仍不容乐观[EB/OL].[2014-10-11].http：//blog.sina.com.cn/s/blog_5101b9050101q6pj.html，2013-12-24.

[5]惠志斌.大数据时代个人信息安全保护[N].社会科学报，2013-04-11（003）.

[6]马文佳，肖淼.中国人寿个人信息泄漏80万份保单可上网任意查[EB/OL].[2014-12-27].http：//news.xinhuanet.com/fortune/2013-02/27/c_124394652.htm.

[7]于冲.侵犯公民个人信息犯罪的司法困境及其解决[J].青海社会科学，2013，（3）.

[8]丁国锋，建真.南京一出售公民信息嫌疑人批捕环节遇法律障碍[N].法制日报，2010-07-23（4）.

[9]刘宇晗.大数据时代个人信息的民法保护[J].中国律师，2014，（2）.

[10][英]约翰·加普.不能让大数据变成“老大哥”[EB/OL].[2014-12-15].http：//www.ftchinese.com/story/001050911，

2013-06-17.

[11]张智.浅析我国个人信息保护基本理论与制度[J].西江月，2013，（13）.

[12]王世伟.大数据时代信息安全的新挑战[N].社会科学报，2013-09-05（001）.

[13]杜伟.大数据安全是一场必要的斗争[N].人民邮电，2014-01-27（007）.

[14]扬子.CNNIC：手机网民数持续上涨PC网民下跌[EB/OL].[2014-12-20].http：//tech.sina.com.cn/i/2014-07-21/13419507928.shtml，2014-07-21.

[15]喻名峰.大数据时代个人信息的法律保护[N].光明日报，2014-10-18（010）.

[16]周鸿祎.下一个时代是万物互联时代，安全挑战更大[EB/OL].[2014-12-20].http：//www.qncye.com/baodao/lingxiu/092510558.html，2014-09-25.

[17]赵秉志.公民个人信息刑法保护问题研究[J].华东政法大学学报，2014，（1）.

[18]莊晓晶，林洁，白磊.非法获取公民个人信息犯罪区域性实证分析[J]人民检察，2011，（9）.

[责任编辑：李君安]