大數(shù)據(jù)視角下的個人信息保護研究

福建農(nóng)林大學 沈建輝

一、個人信息的含義與特征

（一）個人信息的含義

為了更好的實現(xiàn)對個人信息保護，做好對個人信息的含義界定是其邏輯起點?！睹穹ǖ洹芬延?021年1月正式生效，其中對個人信息詳細表述為“以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定自然人的各種信息”。需要關注的是，識別的對象擴大為“特定自然人”，并對相關情況展開舉例說明，增大其保護范圍。當前，對于個人信息的定義中含有兩個關鍵點，一是被以電子或者其他方式所記錄，二是已識別或可識別。

（二）個人信息的特征

個人信息具有價值性。個人信息之所以被人利用，主要在于個人信息的有用性。從信息的廣度上說，個人信息在數(shù)據(jù)鏈中所呈現(xiàn)的是片段化狀態(tài)。單個的個人信息價值并不高，但是將眾多個人信息綜合起來時，才會有更多的利用價值，個人信息的有用性便呈現(xiàn)出數(shù)倍增長。由此看出，個人信息更多地體現(xiàn)的是整體價值與隱性價值。從信息的深度來講，往往體現(xiàn)在信息“匹配”過程， “匹配”信息越精準，匹配速度越快，獲得信息效率越高，所產(chǎn)生的價值越高。

（三）個人信息具有可識別性

通過收集并通過信息配比選定一定范圍的數(shù)據(jù)，經(jīng)過系統(tǒng)分析得出確認的結(jié)果。識別可分為兩類，一是直接識別，二是間接識別。直接識別的過程中，通過分析計算并按照一定方式的對比來進行匹配，最終“圈定”目標明確身份；而間接識別則要求廣泛，要求在識別過程中通過多種渠道、利用排列組合的方式與個人人格和身份都有相應的聯(lián)系。無論是針對個人，還是針對個人的信息組合，都能被認定具有識別功能。在識別的過程中，還應考慮可能被信息控制者或其他人，利用識別的方法確認出信息主體。

（四）個人信息具有流轉(zhuǎn)性

進入大數(shù)據(jù)時代，人工智能技術(shù)的到來，個人信息與網(wǎng)絡數(shù)據(jù)一樣，都具有一定的生命周期。很難預計個人信息是否可以通過爬蟲軟件自動抓取，而不被控制可以自由流轉(zhuǎn)。個人信息一旦泄露，網(wǎng)絡的傳輸速可以使個人信息瞬間被推送出去，所能造成的損害是不可估量的。也由于此，企業(yè)才能在個人信息的“聚合”中去挖掘其價值。

二、我國個人信息立法現(xiàn)狀和存在的問題

（一）我國個人信息立法現(xiàn)狀

2021年11月1日，《中華人民共和國個人信息保護法》將開始施行，其中明確強調(diào)了不得過度收集個人信息，不得非法交易個人信息，不得進行“大數(shù)據(jù)殺熟”，進一步強化了個人信息保護力度。

然而，總體上說，我國關于個人信息保護仍呈現(xiàn)出分散式立法模式，尚未形成統(tǒng)一的立法體系。在相關執(zhí)法機構(gòu)具體實踐中，容易導致出現(xiàn)混亂的場面：一方面，各個執(zhí)法機關由于分工不明導致容易重復執(zhí)法或者互相推諉，損害其權(quán)威性；另一方面，相關監(jiān)管機關也呈現(xiàn)出多部門分散監(jiān)管的特征。

（二）個人信息立法存在的問題

1.相關法律法規(guī)不完善

細品《民法典》內(nèi)隱私權(quán)定義，仍可看出存在著些許可改進之處：第一，很多的私密性信息是允許一些人知曉的。民法典中，“不愿為他人知曉”成為隱私情況的前提條件，根據(jù)該定義，允許一些人知曉的私密情況不屬隱私，但立法本意是該私密情況仍然屬于隱私，這個定義顯然與立法本意不符；第二，按照民法典的定義理解，對被允許知曉私密情況的人來說，自然人的私密情況不屬隱私。如果對被允許知曉私密情況的人來說自然人的私密情況不是隱私，他就不需要遵守民法典對隱私權(quán)保護的規(guī)定，則意味著他可以處置他被允許知曉的隱私，這與立法本意又不符。事實上，自然人的私密情況即便允許一些人知曉，對被允許知曉的人來說，它仍然是隱私；第三，生活安寧從字面意思上講就是一種生活狀態(tài)，與隱私?jīng)]有從屬關系，也不是一個意思，雖然私人生活安寧與隱私有密切關聯(lián)，但畢竟與隱私不是一個概念，因此把私人生活安寧歸為隱私有所不當；第四，民法典把隱私情況僅分為“私密空間、私密活動、私密信息”縮小了隱私情況這一概念的外延，應當對隱私情況的外延進行擴充。

2.監(jiān)管力度不足

當前政府也一直在積極開展對網(wǎng)絡服務企業(yè)的監(jiān)管工作，也取得了良好的成效。通過對民意調(diào)查的結(jié)果中進行分析，不難發(fā)現(xiàn)，在遇到相關危害到自身網(wǎng)絡安全時，大部分群眾并不知哪個部門能夠幫助其維護自身權(quán)益，同時民眾的投訴積極性受到了投訴后卻無法解決的嚴重影響。因此，相關政府部門必須要明確職能分工，加強監(jiān)督、保護力度。

四、大數(shù)據(jù)背景技術(shù)下個人信息泄露的風險

大數(shù)據(jù)應用是依靠有關技術(shù)處理大數(shù)據(jù)以用來分析數(shù)據(jù)達到?jīng)Q策的目的的過程。在這個過程中，數(shù)據(jù)的收集、儲存、使用、加工、分析、傳輸、公開等各個環(huán)節(jié)都有可能發(fā)生非法收集、泄露、篡改和利用等問題。

（一）數(shù)據(jù)收集中的風險

數(shù)據(jù)收集過程中的安全風險主要在于處理者收集范圍過大，對開展有關業(yè)務不需要收集或沒有經(jīng)過數(shù)據(jù)主體同意的數(shù)據(jù)進行收集，或者在經(jīng)過數(shù)據(jù)主體同意后使用超過必要時間。

在大數(shù)據(jù)應用背景下，一方面處理者相對于個人占據(jù)技術(shù)優(yōu)勢，處理者可以動用技術(shù)手段在個人使用互聯(lián)網(wǎng)時輕而易舉的收集個人信息，而個人往往難以防范。也有個別企業(yè)采用不合法的限制訪問或使用的方式強迫個人同意其收集信息。另一方面，在數(shù)據(jù)財產(chǎn)理論和立法方面還不太完善的背景下，企業(yè)出于獲取利潤和發(fā)展有關技術(shù)的需要而收集個人信息的行為得不到保障，不利于企業(yè)良性發(fā)展。

（二）數(shù)據(jù)儲存中的風險

數(shù)據(jù)儲存中的安全風險主要在于數(shù)據(jù)處理者沒有盡到足夠的監(jiān)管義務，監(jiān)管措施不到位，導致數(shù)據(jù)泄露或被非法公開。

大數(shù)據(jù)技術(shù)的快速發(fā)展解決了大數(shù)據(jù)儲存方面的難題，卻也因大量數(shù)據(jù)儲存于一個企業(yè)之中使得個人信息泄露風險的提高，給個人信息保護帶來了困難。從企業(yè)內(nèi)部來說，數(shù)據(jù)收集、儲存及之后的處理環(huán)節(jié)都有可能發(fā)生數(shù)據(jù)泄露或被非法公開問題。同時，個人信息的儲存時間也是保護信息安全的影響因素，個人信息在處理者處的儲存時間越長，個人信息被泄露和濫用的風險越大。

（三）數(shù)據(jù)加工、使用中的風險

數(shù)據(jù)的加工和使用是數(shù)據(jù)處理的核心環(huán)節(jié)，但也可能涉及數(shù)據(jù)的泄露問題，數(shù)據(jù)的加工可能會導致對數(shù)據(jù)的非法篡改，數(shù)據(jù)的使用可能會侵害個人的人格權(quán)和其他權(quán)利。

數(shù)據(jù)的加工中的安全風險在于企業(yè)對個人信息進行加工和使用具有高度的隱蔽性，企業(yè)員工受到利益誘惑很容易突破規(guī)則的約束，過度處理個人信息。數(shù)據(jù)使用中的安全風險在于數(shù)據(jù)使用可能會非法公開個人信息從其侵犯個人信息。此外，處理者可能會非法利用個人信息從事非法活動。

（四）數(shù)據(jù)傳輸、提供、公開中的風險

數(shù)據(jù)的傳輸、提供和公開是數(shù)據(jù)流動的重要形式，數(shù)據(jù)流動帶來的數(shù)據(jù)泄露風險、數(shù)據(jù)篡改風險和非法公開風險等都是個人信息安全的主要威脅。

數(shù)據(jù)傳輸?shù)娘L險主要在于大數(shù)據(jù)應用中，個人想要對收集其信息的處理者進行監(jiān)督已經(jīng)十分困難，若不告知個人其信息被第三方處理以及有關信息則其信息被侵害的風險極大。是實踐中由于企業(yè)將其收集和儲存的個人信息傳輸給第三人十分容易，所以這一過程很容易跳過個人直接發(fā)生。

數(shù)據(jù)提供是數(shù)據(jù)傳輸過程中的一種形式，事實上由于信息經(jīng)濟時代許多企業(yè)提供的服務都是需要通過網(wǎng)絡實現(xiàn)的，相較于以往傳統(tǒng)的線下面對面的服務和交易方式，線上服務和交易越來越普遍。線上交易需要獲取用戶的某些信息才能完成，部分服務甚至需要獲取個人的敏感信息方能進行。導致在這過程中，風險的可能性急速上升。

數(shù)據(jù)公開是個人信息利用的重要方式，這些信息在這些網(wǎng)絡應用或平臺上都可以被陌生人其他企業(yè)、機構(gòu)看到，并被別有用心之人盜取使用。

五、對我國個人信息安全保護的建議

目前我國已頒布《中華人民共和國個人信息保護法》。為了提高對個人信息的保護力度，必須要完善相關法律法規(guī)，可以從以下三方面入手：

首先，完善個人信息的定義。目前的定義中，匿名化處理的信息并未被納入到個人信息定義內(nèi)。然而，由于個人信息具有關聯(lián)性，單少數(shù)的匿名化信息無法精準識別到個人身上，然而，以大數(shù)據(jù)技術(shù)將其與個人數(shù)據(jù)進行后臺對比，企業(yè)家很容易識別出匿名化后的數(shù)據(jù)來源，從而實現(xiàn)不違反法律規(guī)定內(nèi)容的情況下收集并利用個人信息。

其次，完善個人信息侵權(quán)的賠償數(shù)額、舉證責任的規(guī)則。第一，完善隱私情況定義，對被允許知曉隱私情況的人來說，隱私人的隱私情況仍然是隱私，其權(quán)利也僅被限定為知曉，仍需遵守保護隱私的法律；第二，把私人生活安寧單獨規(guī)定加以保護，做到對隱私定義的名正言順；第三，完善與賠償相關的規(guī)則，可以在法律中規(guī)定最高與最低的標準，給予法官一定的自由裁量權(quán)。

最后，我們要建立多元糾紛解決渠道，可以從以下三方面入手：第一，提供良好投訴渠道，明確好投訴的受理結(jié)構(gòu)，實施多樣化受理方式。建立統(tǒng)一投訴管理部門，接收到投訴后，必須依法及時給予反饋，盡快解決；第二，實施網(wǎng)絡和解措施。信息所有者和網(wǎng)絡企業(yè)距離較遠，因此，需要充分利用好通信技術(shù)，實施網(wǎng)絡和解，實現(xiàn)降本增效；第三，采用社會信用機制，組建征信部門，賦予信息數(shù)據(jù)整合權(quán)限，公示征信結(jié)果。

六、結(jié)語

總之，做好對個人信息的保護加強工作，在規(guī)范化網(wǎng)絡服務者工作發(fā)展的同時還能有效凈化網(wǎng)絡空間。對此，在個人信息保護法即將施行的背景下，需提高關注度，加強監(jiān)管力度，完善法律法規(guī)，保障合法權(quán)益。