杜悦莹，张 欣

（山东理工大学 法学院，山东 淄博 25500）

为了获得中国网民的个人信息,目前某些个人或者组织出于某种特殊的目的制造恶意程序以及各种 “钓鱼” 和欺诈链接,使得人们的隐私泄露,受到恶意骚扰,甚至造成了巨大的财产损失。根据专业机构对相关损失的研究表明，自数据化时代以来，从2013年起在全球范围内被窃取和遗失的数据已远超90亿美元，造成的经济损失难以估量。其中世界前百强的大公司情势尤为严峻，因价值的80%来自众多的专利、知识产权等无形资产，信息泄露导致损失巨大。这一切说明网络带来的风险十分严峻。携程信息泄露、12306信息泄露、高考网站考生信息泄露等这些都在提醒我们，不能因为高速发展的科技和经济就因此忽略网络安全问题。

一、大数据与个人信息的概念及内涵

(一)大数据的概念及内涵

我们总是习惯用最具代表性的生产工具之一高度概括一个时代，比如石器时代、青铜时代以及蒸汽机诞生改良后的蒸汽时代，毫无疑问现在的人类正处于一个高度融合的大数据时代。随着互联网应用的普及和互联网用户群体的扩大，互联网技术确实给人们的生活带来了许多便利。相应地，我们也面临着互联网技术发展所带来的一系列危险，例如每个人都面对的个人信息安全保护问题。当前，公民、法人和其他组织的信息安全问题日益突出。由于互联网科技的快速发展，人们已经进入了一个大数据和高移动性的时代。当前的大数据由三部分构成，一是互联网将所有信息链接成网状，共同构筑了这个网络世界。二是大数据包括各种各样的数据，因为规模巨大以致人脑无法储存、处理、运用。三是伴随着中国互联网技术的调整发展，云时代随之而来，在较短时间内处理大量用户相关信息，通过互联网技术分析用户偏好、追踪用户使用后续，并在此数据基础上为客户提供专属的推荐和后续的售后服务，实现大数据的经济价值。这三部分是个人信息泄露的重灾区。

(二)个人信息的概念及内涵

个人信息按照字面意思解释，它指的是与公民个人相关的信息，在现今信息交流极为频繁的大数据时代，每天都有大量相关的个人信息被传输和交互。因此，个人信息不仅包括公民的自然信息，如姓名、年龄、身高、体重等，它还包括了公民个人的学历、工作、资产状况、出行记录以及公民在社交软件上注册的账号信息等①。法律法规中公民个人信息概念的发展，也在不断地更新变化，变得更加符合社会和经济发展的需要。概念的扩大不仅有助于保护个人信息安全，也有利于在司法实践中惩处网络电信诈骗案的犯罪分子。《网络安全法》自2017年6月1日起实施。第七十六条界定了个人信息的概念，这是以法律的形式确定的对个人信息的保护，是中国第一部关于公民个人信息保护的正式法律法规。这让中国公民个人信息有了更好的法律规制，将为中国个人信息安全保护的法律完善奠定一定的基础。

二、大数据时代中国个人信息安全保护存在的问题及原因分析

(一)存在的问题

由于人们更加频繁地使用互联网，也随着互联网在中国的普及，大量用户每天都产生着无数的信息。大数据时代因信息数量巨大，内容详尽，传输迅速等特点，在巨大的利益诱惑下，众多不法分子利用互联网技术盗取他人信息从事违法活动，这给个人信息安全带来了极大的危险。人们越来越依赖互联网提供的便捷生活，这也使得越来越多的个人信息流入互联网，使得每个人的名字、电话、工作单位，甚至于父母亲朋的信息，也呈网状流传于整个网络世界。在这个大数据快速增长的时代，信息以一种并不实体存在的全新方式体现出特有的经济价值。有心人的利用，产生了很多网络信息泄露、网络攻击、网络恐怖事件等安全问题。个人信息被窃取，个人隐私被侵犯并公之于众，隐私权岌岌可危，更多的是因为个人信息泄露而导致网络电信欺诈。这些违法犯罪行为越发严重，影响社会安全，不仅加重了公民对个人信息是否能得到妥善保护的顾虑，也给社会带来信息危机和潜在的社会问题，这个问题已经成为中国突出的社会公共安全问题。

大数据时代中国个人信息安全保护存在的问题主要表现在以下几个方面:一是个人信息安全保护的对象不明确。虽然中国法律法规中出现了个人信息的概念，但没有明确界定范围，个人信息保护的对象也不明确，这已成为当前个人信息保护的重要问题。如果仅仅按照法律对个人信息的定义，将个人信息保护的对象认定为与个人相关的一切可识别信息，就会导致外延的极其广泛。二是个人信息安全保护领域的立法缺乏系统性，法律条款过于形式化，实用性不强。关于个人信息保护的法律规定比较零散，缺乏关联性。如 “个人信息” 一词在相关法律法规中均有规定，因此个人信息由不同部门独立保护②。因此，应根据不同领域的特点，制定与个人信息保护相关的法律、法规和规章。同时，补偿救济机制不够完善，民事赔偿有困难。

(二)原因分析

在大数据时代，个人信息披露案件频繁发生，给当事人带来巨大的财产损失和心理折磨。必须要认真分析中国公民个人信息屡次泄露的原因所在，以便于从原因出发，寻找保护个人信息的有效方法。

1.法律条款过于原则性，实际操作困难。民法是从人格权、隐私权、肖像权、名誉权等角度给予个人信息的间接保护，但这些较为传统的民事保护是禁止性、原则性的法律保护，比较抽象。同时，中国法律对个人信息的保护大多侧重于从隐私权的角度对个人信息安全进行保护③。但是，个人信息除了有隐私权的特征之外，还有一部分个人信息并没有隐私权的特征，甚至根本不涉及隐私权，对于这部分个人信息，中国法律并没有一个成熟的制度做出回应。个人信息除了有人格属性之外，还有财产属性，对于它的财产属性的保护在实际操作过程中并没有出现明显的效果④。

2.行业缺乏相应的个人信息保护法律约束标准。行业中大数据使用者的行为如果没有得到法律的强制性约束，则很有可能导致行业对于公民个人信息安全保护的责任履行不到位。在现实生活中，由于法律对企业收集个人信息有所约束，并制定了相关的行业标准，企业在首次收集个人信息时会对个人信息的使用用途、方式等给出相应的说明。但是当网络运营商在交易使用过程中，对个人信息二次使用时并没有做出任何说明，网络运营商过分收集数据和不当使用数据的问题层出不穷，而且出现问题时侵权主体仍不明确，这将严重影响中国个人信息安全保护的进程。

三、大数据时代个人信息保护的法律规制

由于人们在网络上分享自己的日常生活，不慎点入钓鱼网站，或者只是填了一份简单的兴趣爱好问卷，便有可能将我们自己完全暴露在互联网之中，让犯罪分子有机可乘。个人信息泄露的危害如此之大，必须要认真探索完善个人信息保护的有效路径，加强个人信息保护的法律规制，我们可以从以下几个方面考虑:

(一)制定和完善个人信息保护法律法规

目前，美国对个人信息的保护立法采用分散方式，通过对各行业进行立法，实现保护个人信息安全的目的；欧盟则采用集中综合型信息保护制度，他们通过限制个人信息的获取收集方式和使用范围，达到保护个人信息安全的目的。经过法律规范，个人信息的定义由法律确定并详细分类，这样法律才能准确适用。中国的《消费者权益保护法》《网络安全法》《民法典》等法律法规填补了个人信息保护的法律空白，完善了整个法律体系。但中国个人信息保护规定不够详细，体系不够清楚，没有形成覆盖所有行业的综合性体系，没有满足个人信息安全保护的客观要求。

中国在立法方面可以借鉴欧盟的《通用数据保护条例》，建立全面的个人信息保护体系。结合大数据时代的特点，紧跟经济发展速度，关注新兴产业，重新定义个人信息，打破旧的思维方式。该法适用于所有公民、法人和其他组织，保护其信息安全。中国应该早日出台相关的针对性法律。一方面有助于与国际规范接轨，防止数据贸易壁垒的限制影响国际贸易的发展；一方面方便司法，易于理解和执行，在个人信息遭受侵害时有利于信息主体在第一时间找到法律依据，而不需要花大量的时间去搜集零散在各部法律法规中的相关法规。

大数据时代公民个人信息的价值在不断提升，其中经济价值更为现在人们所看重，所以现在很多心怀不轨之人利用网络技术进行不法犯罪活动，网络电信诈骗愈演愈烈。中国应通过法律手段，联合多方统筹协调，提高公民的信息安全意识，有效预防和规范侵犯公民个人信息安全的犯罪行为，维护社会秩序和国家安全，减少经济损失。加强法律体系完善、提高立法效率是打击新型犯罪，保护公民个人信息安全最强有力的措施。

(二)加强行业自律，确立知情同意原则作为个人信息数据收集和使用的基本原则

百度、腾讯、新浪等网络运营商制定了自己的个人信息保护声明，但监管范围相对狭窄，监管效率低下，不存在强制性手段。有的还缺乏具体的操作规则，也没有明确的权利救济方式，这样一来，就远远达不到保护个人信息权的目标。知情同意原则是国外信息安全立法和实践中的一项重要原则，是网络用户知情权和选择权的重要保障⑤。事实上，各种主体通过各种渠道收集个人信息，但很少主动公开或征得公众同意。知情同意原则要求数据收集者告知消费者收集信息的类型和用途，并提供有效手段限制个人信息的使用和再使用。根据知情同意原则，通过赋予用户知情权，用户可以更好地判断个人隐私的安全性，进而决定是否参与⑥。

(三)加强政府监管

政府监管机构要加强对信息收集的法律指导，对非法收集个人信息的犯罪分子进行严惩，加大法律打击力度，禁止贩卖、盗窃或非法提供给他人或组织个人信息的犯罪行为。通过失信人黑名单或违法公开制度等方式防止违法犯罪的发生。政府自身也要提高工作效率，社会环境的稳定是每个社会人的责任，政府积极的引导作用必不可少。政府应规范自身的运行机制，提高自身运行效率，这对于及时有效地防止危害的进一步扩大具有重要意义。

(四)完善个人信息安全保护的事后救济体系

在公民的个人信息权受到非法侵害后从民事、行政、刑事方面给予适当的事后救济。

第一，在民法上，采用过错推定原则处理公民个人信息侵权案件。由于互联网具有很强的交互性，涉及范围极其广泛，当公民的个人信息权受到侵害时，在短时间内很难查清侵权主体。若要查清明确的侵权主体，时间将会很长，维权成本大大提升。为了使个人信息相关法律发挥应有的效力和威慑力，民法可以将 “互联网链” 上可能成为侵权主体的人均列为被告，采用过错推定原则，举证责任由被告承担，由被告来提供证据证明自己没有侵权行为。

第二，在行政上，信息主管部门收到信息主体的投诉或者举报，要严格依照法律法规的规定受理侵权案件。只要侵权案件符合相关法律法规的受理要求，行政主管部门就应当受理，不得互相推卸责任而导致公民无处维权。受理后，根据法律法规的相关规定，行政主管部门可以对侵权主体处以警告、罚款、没收违法所得等行政处罚。对拒不改正侵权行为的运营商，可吊销企业许可证或营业执照。对于严重侵犯公民个人信息权，给信息主体造成人身或者财产损失的，侵权主体应当承担一定的赔偿责任。

第三，在刑法上，明确个人信息犯罪的犯罪构成要件，严厉打击信息犯罪行为。对于严重侵害公民个人信息、对社会造成重大影响的行为，应当进入刑法系统，由刑法加以规制，禁止 “以民代刑” “以行代刑” 。刑法应当明确个人信息犯罪的犯罪构成要件，这对罪名的认定具有重要意义。除此之外，除了《刑法修正案(九)》规定的出售或者非法提供公民个人信息以及非法获取公民个人信息外，刑法也应当将其他侵害公民个人信息的行为纳入刑法保护的范围当中，提高刑法的威慑力⑦。

注释：

①白云.《民法典》视角下个人信用信息权益分析[J].征信,2021(4):13-18.

②丁晓东.个人信息权利的反思与重塑论个人信息保护的适用前提与法益基础[J].中外法学,2020(2):339-356.

③高富平.论个人信息保护的目的—以个人信息保护法益区分为核心[J].法商研究,2019(1):93-104.

④陈结湲.论个人信息保护的私法属性[J].湖北经济学院学报(人文社会科学版),2021(3):83-87.

⑤郑佳宁.知情同意原则在信息采集中的适用与规则构建[J].东方法学,2020(2):198-208.

⑥吕炳斌.个人信息保护的 “同意” 困境及其出路[J].法商研究,2021(2):87-101.

⑦陈梦寻. “公民个人信息” 判断的合理性标准构建—基于流动的公民个人信息边界[J].北京邮电大学学报(社会科学版),2019(1):9-18.