裘辰驹

对外经济贸易大学，北京 100029

今天，无论人们用“互联网+”、“工业4.0时代”还是“云计算”来描述当下这个世界，它们都离不开“大数据”的广泛运用。大数据是相对于普通的数据而言的，它意味着需要用一种更加高级的数据处理模式来发现、运算、处理呈指数式增长的数据。大数据时代深刻地改变了社会治理的方式、企业部门的决策以及我们每个人的生活。当我们享受到大数据时代带来的史无前例的便捷的同时，也会在无意间发现——时常接到各种诈骗电话和骚扰短信，陌生人了解你的多个私人信息。我们甚至可能觉得他人比自己更了解自己，这就是与互联网、大数据时代息息相关的个人信息安全问题。

一、个人信息的相关概念之阐释

(一)个人信息之含义

个人信息从广义上说，就是指和一个自然人相关的所有的可以传播的内容之总和。我国《网络安全法》第76条将个人信息定义做了如下描述：存储方式为“以电子为主，同时包括其他各种方式”，其属性为“单独或者与其他信息结合识别的信息”，表现形式为“自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码”等。个人信息这个概的范围非常宽泛，从广义上来说，只要是与一个人有关的、能将彼此区别开来的所有信息皆可称为个人信息。从狭义上来说，个人信息往往和个人隐私有关，这里所说的个人信息通常指个人较为私密的、不愿为他人熟知的信息。而现在国内外对什么是个人信息尚无统一的定论，因此大多以描述和分类列举来释明其含义。

许多学者将个人信息描述为身份类个人信息、社会关系类个人信息、行为习惯类个人信息、主观倾向类个人信息之和，这样的分类比较符合人们在日常生活中对个人信息的分类。然而在大数据的背景之下，个人信息往往和互联网上的个人信息有关，所以笔者认为上文所述的这种描述方法不是特别妥当，不能体现大数据时代中个人信息的某些特征，因此应当将个人信息分成两大类为宜：第一类是随着互联网诞生、只有在网络中出现的个人信息，如电子邮箱地址、上网记录、聊天通讯记录、网购记录等；第二类是互联网诞生之前就存在的个人信息，如姓名、性别、年龄、民族、职业状况等，这些个人信息在互联网诞生之后根据生活需要或是服从社会管理从而成为互联网上的个人信息。

(二)个人信息安全之含义

现代社会，信息对于主体的价值之大可谓是不言而喻，企业的营销策略是其核心信息之一，个人信息牵涉到人身、财产的安全。个人信息安全是其中的一个重要领域。一般认为，广义的信息安全包括信息系统实体安全、信息系统运行安全、信息内容安全和信息本身的安全。而狭义的信息安全仅仅是指上述四项内容中的信息本身的安全。本文所探讨的个人信息之安全是指个人信息不受外来威胁的侵害，从而使个人信息处于信息主体管控之下保持的完整的、保密的圆满状态。

(三)大数据时代中的个人信息安全

大数据时代不同于前大数据时代，它形成了一些新的特征。一个比较普遍被认可的说法是，大数据的特点可以用“大量、高速、多样、低价值密度”来概括。大数据在通讯、军事、金融、服务等行业存在之价值愈来愈高，在未来或许能成为一个预想不到的神奇的生产力。所以伴随着大数据时代的到来，个人信息也出现了以下新的特征：第一，有更多数量的个人信息植入互联网中。在智能手机高度发展的今天，人们足不出户几乎都可用一部智能手机完成生活中的大多数事情，这就需要将大量个人数据提供给开发手机软件的第三方；第二，个人信息传播的速度更快。伴随着越来越多数据的产生，数据处理技术也在不断增强，数据处理速度也在节节攀升。个人信息不仅在国内能迅速传播，甚至能通过互联网进入域外的互联网之内。第三，从少量的个人信息泄露到批量的、捆绑式的个人信息泄露，从一国波及到他国。

二、大数据时代个人信息面临的威胁

(一)风险源之一：网络服务提供者获取信息——基于信息的原始取得

第一个风险来源是网络服务提供者对个人信息的获取。如今人们享受各种计算机、手机的软件、服务平台的服务的前提是注册，这必然涉及将姓名、手机号码、电子邮箱等个人信息提供给服务提供者。而现在的网络平台在用户注册之前会提供一个“服务条例”“用户协议”，然而用户在注册的时候几乎毫不迟疑地选择“同意”，几乎没有人愿意打开繁琐的条文。这就为网络服务提供者合理获取个人信息有了正当理由，即使给予了正常途径获取了个人信息，接下来其也未必就处于安全的状态。

(二)风险源之二：黑客和木马病毒——基于本身非法手段

第二个风险来源是指获取个人信息的手段本身就是一种违法的行为。黑客和木马病毒是互联网时代就有的产物，到了大数据时代，黑客和木马病毒在互联网上愈发泛滥、更加猖獗。黑客和木马病毒都是在人为控制之下，编制出一段恶意的计算机代码，利用互联网中存在的漏洞进行攻击，窃取个人信息。木马病毒随着互联网的发展体现出以下特征：第一，从单一的进攻手段发展到多种进攻手段；第二，从简单木马程序到复杂的木马程序；第三，木马的隐蔽性越来越强，让部分杀毒软件趋于无效。

(三)风险源之三：信息的流转——基于个人信息的二次利用

第三个风险来源是在获得个人信息后对数据进行的后续处置。第一种情况是个人信息被掌握者非法转让给未掌握者，由此一来，个人数据便在不同主体之间被“共享”。2017年12月28日，海南省昌江黎族自治县人民法院公开宣判了一起特大侵犯公民个人信息犯罪案件，被告人从同村两个人手中获取了大量的公民个人信息，存放于百度网盘中，并通过群发QQ信息的方式在网上出售公民个人信息超过1亿条并从中牟取巨额利润。

第二种情况是互联网平台对合法获取的个人信息利用大数据技术进行分析、推断，以获取用户的个人偏好等。互联网企业可以通过一定的所谓合法的形式获取用户个人信息，但获取之后使用信息的目的、用途以及范围，并非在用户知悉的范围内，这样的信息挖掘就有可能触犯了最初基于特定的目的或者在特定范围内使用的约定。

三、个人信息法律保护的现状与不足

(一)立法的现状

尽管我国尚未出台个人信息保护法，但近年来随着个人数据安全面临的严峻形势，立法机关加快了对个人信息保护方面的立法实践，这些法律从不同层面对个人信息安全进行保护。《宪法》第40条规定了公民的通信自由和通信秘密受法律保护，去年颁布的《民法总则》第111条明确规定自然人的个人信息受法律保护。刑法方面，《刑法修正案(七)》新增了“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”两个罪名，《刑法修正案(九)》将上述两个罪名整合为“侵犯公民个人信息罪”，扩大了犯罪主体和侵犯个人信息行为的范围，并增设“拒不履行网络安全管理义务罪”。去年5月，两高颁布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，对该类刑事案件的法律适用作了更加详细的规定。

2017年6月1日起施行的《网络安全法》是我国保护个人信息安全的又一重要立法，该法的第四章《网络信息安全》规定了网络运营者的职责义务、履行网络信息安全监督管理职责的主体等内容，首次明确国家网信部门依法履行网络信息安全监督管理职责。

(二)法律保护的不足

1、立法不足：《网络安全法》出台后仍面临多而不精的问题

第一，《网络安全法》在我国互联网治理进程中算是一部里程碑式的法律，然而，作为网络安全管理方面的由全国人大常委会颁布的法律性质的规范性文件，法律中的不少内容还只是原则性规定，不少条文是《关于加强网络信息保护的决定》的重复性规定；第四章《网络信息安全》也只有11个条文，要想将这种规制程度提升到一定的高度显然是不够的。

第二，除了《网络安全法》之外，我国之间已经出台不少保护个人信息安全的规范性文件，对个人信息保护的规定已散见于200多部法律、法规、地方性法规之中，但这些文件在内容上有很多原则性问题在各个文件里被重复提及，许多需要细化的规定反而都被一笔带过甚至只字未提，这体现出规范性文件多而不精的问题。

2、隐形杀手：监管上的潜在问题

《网络安全法》第8条规定：“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。”按照法条的意思，国家网信部门起组织协调作用和监管工作，国务院电信主管部门、公安部门和其他有关机关也应根据相关的法律法规具体实施监管，但是在整部《网络安全法》中几乎没有进一步明确具体的分工，可想而知个人信息保护的具体监管也在本法中无处可寻，只能依赖其他的法律、行政法规。该条文中，法律赋予国家网信部门“相关监督管理工作”，国务院的其他相关部门也可依据现有的法律法规实施监管工作，所以国家网信部门的监管工作在实际操作中很有可能与国务院电信主管部门、公安部门和其他有关机关重合或者遗漏。具体到本文所讨论的个人信息保护，也极有可能面临前述的问题。

3、困难重重：法律救济比较困难

大数据时代下个人信息被窃取、非法买卖、非法使用的现象虽然很多，由于相当一部分侵权行为是在计算机上实施，当个人信息被泄露时，个人难以确定究竟谁是实施侵权行为者，难以确定究竟实施了什么侵权行为，这是通过网络侵犯个人信息的典型特征，从而无法确定责任主体，要想提起民事诉讼维权就相当困难。此外，大量个人信息表现为电子档案，其存储、传输、处理多数依托网络，作为网络违法的重要证据的电子证据易丢失、损毁，本身就不易保全，侵害个人信息的专业技术非普通人所能掌握、获取，想得到这部分证据相当困难，因此便不能形成完整的证据链条，原告在诉讼中败诉的可能性很高。

四、大数据时代个人信息保护之路径

(一)开宗明义：个人信息保护之原则

在提出对个人信息保护之路径之前，我们有必要首先明确个人信息保护的若干原则，作为指导和约束个人信息保护的抽象的规范。总的来说，个人信息保护的原则可以概括为以下五项：

一是诚实守信原则——个人信息收集者应当在收集时承诺，按照既定的目的储存、使用个人信息，不得无故在承诺以外或者个人信息主体不知晓的情况下继续处理个人信息或更改使用信息的目的。

二是个人知情原则——公民享有知情权。处理个人信息前要经过个人信息主体的同意。对个人信息主体要尽到通知、说明和警示的义务，以明确、易懂和合适的方式如实向个人信息主体告知信息处理的目的、收集和使用范围、保护措施等信息。

三是比例适当原则——在收集和使用个人信息的时候，应当使收集到的个人信息同使用的目的保持合适的比例，能少收集一些就尽量减少个人信息的收集量。在某些情况下，个人信息应当遵循“一次性使用”原则，如考试结束后在网络上及时删除参加本次考试的考生个人信息。

四是安全防控原则——国家、社会团体组织在各自的领域加强对个人信息安全的防控，但凡有个人信息之处就有相应的保护机制，逐步形成对个人信息的全方位保护。

五是权责一致原则——有权必有责，在个人信息保护的过程中，掌握个人信息的国家机关、企事业单位、社会组织及网络服务提供者因疏忽大意导致个人信息遭到泄露或有其他不正当使用方法时，必须承担相应的法律责任，不能游离于法律法规之外。

(二)立法先行：完善个人信息保护相关的法律法规

我国《个人信息保护法》至今仍未出台。在信息时代个人信息安全屡屡受到威胁的时代出台这样一部专门针对个人信息保护的法律是非常必要的。笔者建议将现有的一些个人信息保护规范性文件进行有效整合，把《关于加强网络信息保护的决定》《关于维护互联网安全的决定》《计算机信息系统安全保护条例》的部分内容进行调整后纳入《个人信息保护法》。笔者认为：其中重要的一个环节应当涉及：第一，立足于《网络安全法》第七十六条个人信息概念的基础上对个人信息的概念做出完善。第二，明确对个人信息监管的监管部门和具体监管职责，确保部门和部门之间分工的合理性，不让个人信息的监管出现真空地带。第三，特别强调对个人信息使用前的评估，在政府数据开放、大数据商业利用的各个环节加入个人信息安全的评估。第四，明确滥用、非法使用个人信息所应承担的法律责任等。虽然美国经验说明统一立法并不是个人信息保护的唯一路径，但统一的信息保护法所具有的系统性、权威性和强制性却不是分散的立法模式所能企及的，其对个人信息保护所能产生的促进作用是可以预期的。此外，在立法方面应当借鉴域外立法的经验。

(三)以牙还牙：以技术回应技术

大数据时代个人信息面临的威胁多是来自于技术的滥用，因此利用先进的技术来防控、反击利用网络侵犯个人信息安全的行径是最为直接、高效的途径。目前较为普及的杀毒软件、安全卫士、电脑管家等软件是典型的例证，软件工程师充分运用互联网技术研发了防控病毒、木马、恶意程序的软件，保障了个人信息不受非法的攻击。智能防火墙、访问控制技术、数据加密技术、漏洞扫描技术等都是大数据互联网中常用的防止信息受攻击的技术。总结一句话，以技术回应技术。

(四)行业能动：发挥行业的优势

大数据时代互联网的形态日新月异，由于立法具有滞后性的先天性特征，法律法规无法随时跟进互联网中出现的新的对个人信息产生威胁的因素，在这种情况下一些行业的优势反而能体现出来。因为它们处在互联网的前言，更熟悉本行业的各项信息收集活动和使用方式，发挥行业组织在互联网公司内部监督制约机制甚至比政府监管更加有效。同时必须指出的是，行业在进行自律监督监管的时候应当在法律的框架下进行，要行使“执法权”依然需要得到国家的授权。

(五)合作是道：加强全球的合作，共同应对挑战

如果说第二次产业革命使全世界都联系在了一起，那么大数据时代将大大强化这种国与国之间的联系。个人信息保护已成为全球共同面临的挑战，许多个人信息案件也成为了跨国案件，在这种情况下单靠一个国家的努力是远远不够的，构建国家之间的个人信息保护合作框架将是一种趋势。为此，国家与国家之间应当构建网络空间命运共同体。正如习主席在致2017年第四届世界互联网大会的贺信中所指出的，“大会以‘发展数字经济，促进开放共享——携手共建网络空间命运共同体’为主题，希望大家集思广益、增进共识，深化互联网和数字经济交流合作，让互联网发展成果更好造福世界各国人民。”

五、结语与展望

党的十九大报告中指出中国要建设“网络强国”，这也是处于大数据时代下党和国家在互联网治理中的必然回应。个人信息的安全在大数据时代的确面对着前所未有的挑战，层出不穷的个人信息受到安全威胁的案件已经给全世界敲响了警钟，不过我们相信，在科技化的浪潮下，中国能依托世界互联网大会的主场优势，在立法、执法、风险防控、权利保障等方面汲取其他国家和地区的有益经验“依法治网”，拥有更强大的能力保护个人信息，早日实现网络强国的目标。