摘 要 随着网络信息化的快速发展与普及，对大数据的运用逐渐成为社会发展的主流，大数据在给国家治理、企业创新、个人生活带来价值参考的同时，也引发了个人信息安全保护危机，如 2016 年发生的“徐玉玉案”、京东 12G 用户数据外泄等事件震惊了全国，引起了人们的恐慌。那么如何处理好个人信息自由流动和个人信息安全保护之间的问题便成为当下急需解决的重点问题。

关键词 大数据 个人信息 安全 立法保护 多元机制

作者简介：粟倩，天津市河东区人民检察院书记员。

中图分类号：D920.4 文献标识码：A DOI：10.19387/j.cnki.1009-0592.2018.12.121

一、大数据时代个人信息基本理论

大数据时代个人信息的内容和特点：

（一）个人信息的内容

个人信息是指自然人的姓名、年龄、出生日期、身份证号、籍贯、遗传特征、指纹、婚姻、家庭、教育、职业、健康、病历、财物情况、社会活动及其他可以识别该个人的信息。 也就是说，凡与个人有关的，能鉴别个人的所有信息的总和。对于个人信息的分类，理论界没有统一规定，笔者比较倾向于在中国消费报中将信息分为五类：个人身份类信息、个人消费类信息、个人通讯类信息、个人财务类信息、个人社会关系类信息的分类标准。

在非大数据时代，对于个人信息数据只关注于是否涉及个人隐私，甚至对于个人信息安全立法也是只针对出现的危害制定相应的法律。但在大数据时代，是否涉及隐私已很难表面界定，特別是在大数据的处理下，个人所有的信息可能全部暴露出来，导致个人权益遭受侵犯。

（二）个人信息的特点

从定义来看个人信息呈现如下特点：（1）主体唯一。从民法角度，个人信息的主体是享有权利和承担义务的自然人，凡是将个人信息作为数据处理使用时必须经过自然人的同意，个人信息管理者和使用者有义务保障个人享有的权利，如若不经过信息主体的同意，擅自使用他人个人信息，就应当就侵权行为承担相应的侵权责任。当然自然人在充分享有权利的同时，也应该具有接受法律监督的义务。（2）识别特定对象。个人信息分直接的个人信息和间接的个人信息。直接的个人信息主要包括姓名、年龄、出生日期、指纹、身份证号码等可以直接定位个人的信息；间接信息主要是职业、地址、学历等需要通过收集大量数据经过加工分析才能识别一个人的信息。相比较传统非数据化时代，个人信息的涉及面更广泛，看似无关紧要的信息也应该纳入个人信息保护范围。（3）个人信息保护具有人格性和财产性的双重属性。个人信息自身存在巨大的商业价值，在市场化的今天也被看作是一种财产在市场经济中自由交易。如一些商业主体通过对个人信息的大量收集，卖给其他销售公司从中牟利，电信公司将顾客手机号码进行复制转售他人进行信息交易等，严重侵害了信息主体对个人信息的控制和支配权，严重的将导致物质和精神双重侵害。

二、大数据时代个人信息保护的必要性

随着电子产品的普及，个人信息被无声无息地记录下来，个人信息的收集方式也呈现出多样化和隐蔽性。如国家倡导共享经济的政治理念后，共享单车、汽车等共享工具的使用，支付宝、微信等网络支付工具的使用，使得用户通过扫二维码的形式就可以方便的使用这些工具，但不法分子也抓住机会利用伪劣的二维码覆盖原来的二维码，用户不注意的扫码后，手机便会通过程序设定自动链接到骗子设定的网站，要么让用户输入个人身份信息，要么骗取用户下载木马病毒，盗取用户的财产。

在经济利益的诱惑之下，侵犯个人信息行为已呈产业链式发展。如在新华网报道的上海新生儿信息贩卖案件多达30多万条，主使者是上海疾控中心工作人员利用工作上的便利条件，进入他人账户，盗取全市新生儿信息，然后经过下家的层层转卖，此案波及的不法人员达8万人之多。根据《2018年中国网民受骗与维权调查报告》显示，调查你最希望今年3.15晚会曝光哪些行业时，七成以上的用户希望3.15晚会进一步揭露违法收集个人信息的黑心商家和企业。通过这一调查显示，保护个人信息已刻不容缓。

三、大数据时代我国个人信息保护的立法现状和不足

对于个人信息的立法保护，我国对此还未有专门的立法规定，现有的保护个人信息的法律法规都散见于各部门法及其他法律规定中不成体系，保护的范围也不全。

（1）现有的立法只对个人信息容易被侵犯的部分进行保护，主要是涉及个人隐私部分保护，对看似尚未侵犯隐私的部分忽视，特别是经过大数据技术整合之后就能精准定位的间接个人信息部分。如手机号码、职业等单一信息不能确定信息主体的信息，对于这些信息的保护没有法律依据。（2）缺乏相应的系统保护。一方面，立法保护上不具有系统性。目前我国尚未对个人信息保护进行专门的立法，且大多数都是以实施办法、司法解释等形式出现。另一方面，缺乏相应的执法机构。正如立法现状一样，在执法方面也存在各自为政的弊端，谁管辖的个人信息出问题，谁就启动执法保护。（3）个人信息保护救济措施缺乏。要么是现有立法违法责任规定不严，都只是一些保密性义务和禁止性义务规定，没有相应的惩罚后果，该负什么法律责任不够明确；要么是惩罚力度不够，只对被侵权人进行财产性赔偿，而个人信息兼具人身和财产双重性质，违法者对这种单一的法律责任并不在意。

四、大数据时代个人信息安全保护的对策建议

（一）完善我国对个人信息保护的立法

鉴于当前我国严峻的个人信息安全形势和我国立法方面的空白，笔者认为应结合已有规定，制定并出台一部专门保护个人信息安全的法律，主要立法方向：（1）明确个人信息权的内涵。首先，个人信息保护法应参照民法人格权的规定，规定信息主体对信息享有信息自决权，这一项权利有利于信息主体对个人信息实现最大限度的掌控。其次，信息处理机关在对个人信息进行处理活动时，信息主体享有知情权、抗辩权等多种权利可以保障。最后，对于侵权行为人，信息主体还应享有相应的人格请求权与损害赔偿请求权，甚至侵犯到信息主体精神健康的享有精神损害赔偿请求权。（2）在信息主体不参与情况下的侵权救济。明确个人信息被侵权后承担的责任方式以及构成侵权责任的要素等，还要明确在不能确定侵权人的情况下，由负责管理信息的机关和负责人承担连带责任，在信息主体存在过错的情况下，减轻主管机构及负责人相应的责任。（3）要加强对特殊群体信息的保护。对于个人敏感信息，如犯罪记录、健康状况及性生活等方面，这类信息的处理涉及公共管理的部分，政府部门要进行依法登记，批准处理；对于非公共性质的部分要缩小收集权限；对于未成年人、精神病人以及军人的信息应当单列，适用特殊的个人信息保护机制。

（二）加强政府公权力的监督

政府作为保障国家正常运行的国家机器，相较于非公共企业掌握的公民个人信息更全面、更准确。因此，必须建立相应的行政法律法规保护个人信息机制。内容规定：不得滥用权力或者超越权限对个人信息进行利用和买卖，不得交换数据管控密码和违反相关技术使用权限。再者，政府相应机构要严格监管信息传播运行平台，防止网络平台的侵入和相关工作人员的越权，要对数据管理平台进行定期的风险评估，及时修补平台可能出现的漏洞。此外，当政府要紧急收集相关个人信息数据未及时获得个人同意的情况下，那么就需要对可能涉及的个人信息主体进行列举，通过民主测评或者公开举证等形成有约束力的法律条文，以平衡公权力和私权力的矛盾，做到限制公权力的无限放大，保护公民更多的民主权益。

（三）增强行业自律意识

在我国国内各商业网站对个人信息保护的政策水平差异明显，大型企业相对有较完备的个人信息保护的政策，很多中小企业并没有公开相应的保护政策，有的企业为了追逐商业利益甚至不惜商业信誉的代价，大肆收集个人信息。因此，应建立行业自律行为规范，提高网络行业的准入门槛，要对登记入行的企业，进行个人信息保护政策审查，并在准入当天公开个人保护信息政策。行业内的相关协会应建立统一的行业规范，培养入行人员的自律意识，约束行业涉个人信息使用的行为，设置个人信息安全保护评定等级，以加强行业对个人信息的保护，提高行业服务水平。

注释：

齐爱民.中华人民共和国个人信息保护法示范法草案学者建议稿.河北法学.2005（ 6）.

中国消费者报.大数据时代个人信息保护状况调查报告.[2015-10-10].http： / /www.ccn.com.cn.http： / / www.anquan.org / .

参考文献：

[1]齐爱民、王基岩.大数据时代个人信息保护法的适用与域外效力.社会科学家.2015（11）.

[2]周汉华.个人信息保护前沿问题研究.北京：法律出版社.2006..

[3]张茂月.大数据时代个人信息数据安全的新威胁及其保护.中国科技论坛.2015（7）.