大數(shù)據(jù)時代個人信息安全現(xiàn)狀與保護(hù)

黨振興

(甘肅省岷縣人民法院，甘肅 岷縣 748400)

目前，我國互聯(lián)網(wǎng)用戶已超過數(shù)十億，互聯(lián)網(wǎng)網(wǎng)站超過500余萬個，應(yīng)用小程序、APP更是層出不窮。大數(shù)據(jù)的迅速發(fā)展為社會發(fā)展帶來巨大的經(jīng)濟(jì)價值，給予日常生活便捷高效，但同時個人信息的大規(guī)模收集和廣泛使用、透明化和網(wǎng)格化趨勢，侵蝕著個人信息安全邊界，也引發(fā)諸多個人信息安全保護(hù)的問題。政府監(jiān)管下的企業(yè)自利行為、數(shù)據(jù)和信息擁有者所處的環(huán)境及自我隱私管理存在的盲點，為互聯(lián)網(wǎng)信息安全的監(jiān)管增添了不確定性[1]。私密信息的泄露對個人正常的生產(chǎn)生活危害巨大，嚴(yán)重阻礙經(jīng)濟(jì)社會的發(fā)展進(jìn)步。作為大數(shù)據(jù)時代面臨的核心任務(wù)，加強個人信息安全保護(hù)需要社會各個層面的聯(lián)動機制建設(shè)，信息使用主體及個人用戶等均需要提高保護(hù)認(rèn)知，從法律規(guī)范、行政監(jiān)管、技術(shù)創(chuàng)新、安全意識等方面入手，提高信息保護(hù)能力，完善個人信息安全保護(hù)體系，逐步構(gòu)建一個安全有序、健康發(fā)展、利用規(guī)范的網(wǎng)絡(luò)環(huán)境?！吨腥A人民共和國個人信息保護(hù)法》于2021年8月20日通過，并于2021年11月1日起實施。面對個人信息安全保護(hù)新的時代契機，學(xué)界需要更多理論關(guān)注，通過在制度架構(gòu)、權(quán)責(zé)清單、監(jiān)管機制、技術(shù)研發(fā)、法治宣傳等方面建章立制，共同為促進(jìn)個人信息安全有效利用和保護(hù)，加快社會經(jīng)濟(jì)發(fā)展服務(wù)。

一、我國公民個人信息安全保護(hù)現(xiàn)狀

公民個人信息是指以紙質(zhì)、電子或者其他方式為載體記錄的能直接或者間接反映特定個人身份的標(biāo)識，包括個人身份信息、電話號碼、醫(yī)療記錄、收入及消費和購買習(xí)慣、行動軌跡、婚姻狀況等基本信息，IP地址、互聯(lián)網(wǎng)Cookie、社交賬號等賬戶信息，個人照片、血型、指紋、DNA等涉及個人隱私的全部社會性和生物性信息的總稱。其有隱私性和識別性兩種，具體可分為可公開與不可公開的個人信息、可識別與不可識別的個人信息、一般信息與敏感信息等[2]。個人信息的內(nèi)涵和外延豐富，包含與公民衣食住行相關(guān)的所有個人信息，包括聯(lián)系方式、身份號碼、在線標(biāo)識、主觀數(shù)據(jù)等。據(jù)中國互聯(lián)網(wǎng)協(xié)會調(diào)查結(jié)果顯示，我國每年網(wǎng)民因個人信息泄露遭受的經(jīng)濟(jì)損失高達(dá)數(shù)百億元，50%以上的網(wǎng)民認(rèn)為我國個人信息泄露嚴(yán)重[3]。個人信息的非法收集和泄露行為屢禁不止，信息非法買賣行為愈發(fā)猖獗，而且發(fā)生頻率逐漸增強，且信息泄露后維權(quán)困難，此現(xiàn)狀嚴(yán)峻，嚴(yán)重影響著公民的信息安全?！皞€人信息商品化”“個人信息公用化”帶來相關(guān)領(lǐng)域侵權(quán)手段高科技化，侵權(quán)可能性增加，侵權(quán)后果更為嚴(yán)重，侵權(quán)救濟(jì)更為困難[4]。

(一)個人信息安全保護(hù)立法尚不完善

近年來，隨著依法治國的推進(jìn)，我國在個人信息安全保護(hù)方面的立法和修法較快，《中華人民共和國刑法》第二百五十三條之一規(guī)定了侵犯公民個人信息罪，《中華人民共和國民法典》第一千零三十二條至一千零三十九條整章規(guī)定了“隱私權(quán)和個人信息保護(hù)”，以及《中華人民共和國電子商務(wù)法》《中華人民共和國網(wǎng)絡(luò)安全法》等相繼出臺，這些法律法規(guī)對于保護(hù)個人信息安全和公民個人合法權(quán)益有著十分重要的意義。但這些法律規(guī)定的內(nèi)容相對寬泛，具有零散性和原則宣示性特征，統(tǒng)一協(xié)調(diào)性差，尚未形成完整的架構(gòu)體系，保護(hù)力度和范圍欠缺，存在實際操作性不強、無法具體適用、侵權(quán)舉證較難、責(zé)任難以認(rèn)定、賠償數(shù)額較低等問題。許多法律條款雖規(guī)定了單位對個人信息具有保密義務(wù)，但缺乏違反保密義務(wù)后需要承擔(dān)何種法律責(zé)任和對該行為如何處罰的具體內(nèi)容。長期以來個人信息安全保護(hù)以維護(hù)基本社會秩序為出發(fā)點，重刑事打擊和行政處罰，忽視個人信息保護(hù)的預(yù)防機制和遭受侵害后民事侵權(quán)責(zé)任的追究，導(dǎo)致即使侵權(quán)行為人最終被科處刑罰或行政制裁，但對于受害者而言，其個人財產(chǎn)或非財產(chǎn)的名譽等損失卻無法得到相應(yīng)補償。

(二)依靠行業(yè)自律建立的管理體系缺乏有效運行

目前，我國對個人信息安全保護(hù)尚沒有建立專門的監(jiān)管機構(gòu)和長效管理機制。長期以來，部分企業(yè)對收集的個人信息隨意共享和交易，甚至買賣個人信息。寄予厚望的行業(yè)協(xié)會由于信息不對稱、自律意識欠缺和法律未授予強制執(zhí)法權(quán)，無法承擔(dān)有效保護(hù)個人信息安全的權(quán)責(zé)之重。僅僅依靠政府、企業(yè)等組織內(nèi)部自我口號式或倡導(dǎo)性條款，缺乏具體實施細(xì)則和制裁措施，沒有強制力做后盾，自律機制往往陷入失靈困局，無法起到應(yīng)有的保障作用。大數(shù)據(jù)時代個人信息不可避免地會被收集和利用，而這些信息的使用會涉及正當(dāng)與不當(dāng)?shù)膯栴}。大數(shù)據(jù)尚未高度發(fā)達(dá)時期，企業(yè)對數(shù)據(jù)的收集主要依靠人力采集和錄入原始資料，需要對用戶的告知和得到權(quán)利主體的許可，否則無法實現(xiàn)數(shù)據(jù)收集，其數(shù)據(jù)的收集和共享也僅限于一定區(qū)域內(nèi)，傳播范圍不廣，相對安全。大數(shù)據(jù)時代，個人信息的收集已經(jīng)不需要經(jīng)過信息權(quán)利主體的許可，也不需要提交相關(guān)記錄個人信息的原始載體，電話號碼、身份證號碼，甚至是一次網(wǎng)絡(luò)行為的使用、一個網(wǎng)站的訪問等就可以將個體所有的信息聯(lián)結(jié)，在無法察覺的情形下，個人信息被悄無聲息地收集和濫用。如果管理機制失靈，僅僅依靠行業(yè)自律或個人自我保護(hù)，勢必會造成個人信息的濫用。

(三)行政監(jiān)督管理機制在個人信息保護(hù)中缺位

面對個人信息大量濫用、網(wǎng)絡(luò)黑灰產(chǎn)盛行的現(xiàn)實語境下，政府執(zhí)法部門應(yīng)當(dāng)承擔(dān)起對個人信息安全保護(hù)的切實義務(wù)。但目前我國尚未建立明確的個人信息保護(hù)專門機構(gòu)。對于大數(shù)據(jù)的行政監(jiān)管職能一直由公安、工信、市場監(jiān)督管理等不同部門行使。管理職責(zé)分散于不同執(zhí)法部門，沒有明確的職責(zé)分工，造成都有管理權(quán)，但都不愿意履行職責(zé)的現(xiàn)象時有發(fā)生，遇事互相推諉，監(jiān)管職責(zé)無法有效履行。對個人、企業(yè)等私權(quán)利主體收集個人信息的管理缺位，以及對公權(quán)力機關(guān)諸如公安、政府等部門，更是缺失收集儲存?zhèn)€人隱私信息的相關(guān)法律規(guī)范，處于無人監(jiān)管態(tài)勢，使個人信息安全岌岌可危。

(四)大數(shù)據(jù)時代人臉識別等智能技術(shù)的濫用，對個人信息安全形成沖擊

人臉識別技術(shù)在便利生活、發(fā)揮技術(shù)潛力的同時，也引發(fā)了用戶個人隱私信息被過度采集和濫用的風(fēng)險[5]。大數(shù)據(jù)時代，個人之間的交流溝通，民眾日常生產(chǎn)生活等大部分社交活動都無法避開大數(shù)據(jù)的適用，常常需要通過虛擬網(wǎng)絡(luò)進(jìn)行，大數(shù)據(jù)資源成為聯(lián)系個人社交活動不可或缺的紐帶。人與人之間的社會生活、經(jīng)濟(jì)交往等都依托個人標(biāo)志信息，如QQ、微信、支付寶等網(wǎng)絡(luò)APP。這些即時聊天、支付工具都捆綁著個人姓名、銀行賬戶、密碼等基本數(shù)據(jù)信息。其中人臉識別是智能技術(shù)的代表，最為普及，“刷臉”一度成為社會熱詞，其作為個人特有的生物識別信息，正不斷滲入社會生活的各個領(lǐng)域，包括購物、社交、交通旅游、工作考勤等，與個人隱私和財產(chǎn)賬號緊密相連，一旦濫用，將給公民造成巨大損失。新京報《人臉識別技術(shù)濫用行為報告》指出，半數(shù)以上APP收集人臉信息時不會征求用戶意見，個人應(yīng)有的知情權(quán)喪失。通過密碼輸入、人臉識別、指紋解碼等便捷了人們的生活，但同時這些技術(shù)受制于保密意識、管理手段、技術(shù)水平等不足，也為個人信息安全埋下隱患，違法者可以通過密碼破解、人臉生物特征偽造等技術(shù)手段隨時復(fù)制并竊取個人信息，如果缺乏有效的法律規(guī)制，會導(dǎo)致侵權(quán)行為頻發(fā)，造成公民個人人身和財產(chǎn)損失。

(五)個人信息泄露維權(quán)頻頻出現(xiàn)“舉證難、成本高”的尷尬困境

隨著法治意識的提高，民眾在遭遇個人信息不當(dāng)泄露之后，往往會選擇訴諸法律，但在維權(quán)過程中，從公民證據(jù)收集、技術(shù)依賴、權(quán)利維護(hù)等方面來看，個人舉證和維權(quán)能力十分有限，與信息泄露者很難在同一層面平等抗衡。由于個人信息被濫用的舉證對證據(jù)意識和技術(shù)要求相對較高，根據(jù)“誰主張誰舉證”的原則，常常出現(xiàn)如何證明自己是受侵害者，以及證據(jù)搜集難、投入成本高，但收效甚微的尷尬境地。即便有個案勝訴，但維權(quán)者往往付出巨大的時間和精力等，與企業(yè)等侵權(quán)者的賠償責(zé)任相比，難以形成正比關(guān)系，使受害者得不償失，甚至出現(xiàn)自我放棄尋求法律救濟(jì)的現(xiàn)象。

(六)對侵犯公民個人信息安全的犯罪行為懲罰力度不夠

個人信息安全與隱私保護(hù)已然成為一種社會性問題，如處理不當(dāng)，輕則損害人們的個人隱私權(quán)，重則傷及人們的生命財產(chǎn)安全[6]。侵犯個人信息安全行為具有較強的隱蔽性，大多發(fā)生于虛擬網(wǎng)絡(luò)世界中，交易過程隱秘、迅速，點對面的傳播方式使侵權(quán)后果以幾何倍數(shù)遞增，危害巨大，且不易被侵權(quán)人發(fā)現(xiàn)和舉證困難，與之相對的是侵犯個人信息安全違法行為卻能夠獲得巨額的經(jīng)濟(jì)利益。我國現(xiàn)有法律法規(guī)對侵犯個人信息安全的行為處罰散見于《中華人民共和國民法典》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國刑法》等法律規(guī)范和司法解釋中，但保護(hù)范圍較窄，處罰模式單一，懲戒力度不夠。如《中華人民共和國民法典》人格權(quán)編規(guī)定了隱私權(quán)和個人信息保護(hù)，對個人信息進(jìn)行界定和原則性規(guī)定不得非法侵犯，但對侵害行為如何處罰沒有具體規(guī)定。《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定了網(wǎng)絡(luò)運營者對用戶信息的保密義務(wù)和責(zé)任，并規(guī)定對違法行為的警告、罰款等處罰措施，但與數(shù)以億計的信息泄露給企業(yè)帶來巨額獲利相比，最高一百萬元的罰款數(shù)額較低，加之非法所得收繳規(guī)定缺失，低廉的違法成本使企業(yè)往往鋌而走險，個人信息泄露屢禁不絕。甚至最為嚴(yán)厲的刑罰規(guī)范《中華人民共和國刑法》第二百五十三條之一規(guī)定了侵犯公民個人信息罪，但較高的入罪要求和舉證標(biāo)準(zhǔn)，以及最高刑罰為有期徒刑三年以上七年以下，也難以對潛在侵害個人信息的犯罪行為形成有效抑制。同時，簡單的刑罰打擊雖然能夠?qū)€案的侵權(quán)行為起到懲戒作用，但這種僅僅依靠刑罰保護(hù)的方式相對單一，缺乏相應(yīng)民事法律保護(hù)、侵權(quán)賠償?shù)默F(xiàn)實境況下，刑法保護(hù)勢單力薄，無法實現(xiàn)全面保護(hù)個人信息安全的作用，且容易造成刑罰權(quán)的濫用，過分干擾經(jīng)濟(jì)自由。懲戒措施力度不夠、模式單一，使違法犯罪者敢于鋌而走險、一犯再犯，導(dǎo)致侵犯個人信息安全的行為愈演愈烈。在法律法規(guī)的震懾力尚不足以制裁高額利潤誘導(dǎo)下的違法犯罪時，越來越多的個人和組織就會參與其中，使個人信息安全的保護(hù)更加步履維艱。

二、域外對個人信息安全的立法保護(hù)

個人信息安全保護(hù)已經(jīng)成為全世界共同關(guān)注的焦點，世界各國均從立法規(guī)范、技術(shù)研發(fā)、公民個人安全意識的培育等層面著手，針對自身國情，出臺了一系列各具特色的認(rèn)定標(biāo)準(zhǔn)、法律規(guī)范和保護(hù)模式，致力于個人信息安全保障。

(一)歐盟對個人信息的全方位保護(hù)

歐盟是個人信息安全保護(hù)的先驅(qū)，1995年《數(shù)據(jù)保護(hù)指令》出臺，成為第一個在國家層面為個人信息安全立法的主體。經(jīng)過不斷修正和完善，2018年5月歐盟制定《一般數(shù)據(jù)保護(hù)條例(GDPR)》(以下簡稱《條例》)，規(guī)定了72小時毫不遲疑報告義務(wù)，即信息管理者必須在自己所保管使用的個人信息泄露后的72小時內(nèi)向行政管理部門報告，否則，將視情節(jié)對信息管理者進(jìn)行處罰?！稐l例》增加個人信息所有者的遺忘權(quán)和信息攜帶權(quán)，強化個人對自我信息的控制保護(hù)權(quán)能。在公民個人信息保護(hù)和權(quán)利救濟(jì)層面，加強信息保護(hù)的監(jiān)管主體責(zé)任，對違反條例的行為加重懲罰力度?！稐l例》還引入具體場景下個人信息安全風(fēng)險防范原則，即在評估個人信息“合理使用”的閾值時摒棄傳統(tǒng)的目的評估方式，以隱私風(fēng)險評估為手段，動態(tài)管理個人信息是否被“合理使用”[7]。在權(quán)利受損后的司法救濟(jì)上，強調(diào)行政救濟(jì)和私法救濟(jì)的雙重保障，全面保護(hù)公民個人的信息安全。統(tǒng)一立法模式、綜合保護(hù)成為歐盟對個人信息保護(hù)的一大特點，這對于傳統(tǒng)單一的權(quán)利保護(hù)機制而言是一種值得借鑒的模式，保障范圍也更加廣泛。

(二)美國對個人信息安全保護(hù)的無縫銜接

美國的隱私權(quán)具有很大的外延，包括身體權(quán)、名譽權(quán)、肖像權(quán)、姓名權(quán)、信用權(quán)等具體人格權(quán)的內(nèi)容。對于個人信息保護(hù)強調(diào)立法層面和行業(yè)自律雙重保障。政府引導(dǎo)下的行業(yè)自律機制是美國個人信息保護(hù)的顯著特點[8]。美國重視個人信息安全的“防火墻”建設(shè)，注重個人信息安全保護(hù)，公民隱私意識培養(yǎng)。2015年10月制定了《網(wǎng)絡(luò)安全信息共享法》，明確規(guī)定對個人隱私、自由等私權(quán)利的保護(hù)。1974年制定了最為典型的《隱私法案》，該法案以建立動態(tài)信息保護(hù)機制為核心，對政府機構(gòu)收集、使用、披露個人信息都做了較詳細(xì)的規(guī)定，為公民個人財產(chǎn)信息、健康信息等提供相應(yīng)的安全性保護(hù)。2000年施行的《兒童網(wǎng)上隱私保護(hù)法》對網(wǎng)絡(luò)從業(yè)者如實告知義務(wù)，以及收集13歲以下兒童個人信息前獲得家長同意的義務(wù)等均進(jìn)行嚴(yán)格規(guī)定。首創(chuàng)行業(yè)自律安全港模式，制定行業(yè)行為規(guī)范和價值指引，以信息使用主體的自我管理為核心，使信息保護(hù)更加靈活高效，同時也實現(xiàn)了與其他法律規(guī)范的無縫銜接。

(三)英國對個人信息安全保護(hù)獨樹一幟

英國于1984年制定了《數(shù)據(jù)保護(hù)法》，該法對個人信息規(guī)定了差異化保護(hù)，注重精細(xì)化保護(hù)個人敏感信息，建立了完善的個人信息安全保障措施，對個人信息的獲取、利用、保存、給第三方提供等方面進(jìn)行嚴(yán)格的規(guī)定：對信息主體的明確同意，信息使用者依法處理，政府基于公益活動對個人信息的合法利用，權(quán)利受損后訴訟救濟(jì)的程序等都有嚴(yán)格而細(xì)致的規(guī)定，對公民個人信息作出全面保護(hù)?！稊?shù)據(jù)保護(hù)法》設(shè)立信息保護(hù)專員制度，同時設(shè)立信息專員辦公室(ICO)，集信息保護(hù)和信息公開監(jiān)督職能于一體，規(guī)定任何未經(jīng)信息被收集者同意，企業(yè)不得收集個人信息，并必須保證收集到的信息在合理范圍內(nèi)使用。

(四)法國對個人信息安全保護(hù)注重權(quán)利本位

法國于1970年修訂《法國民法典》，在民法中增加了自然人私生活受尊重，防止隱私泄露的私權(quán)利條款，注重個人數(shù)據(jù)保護(hù)和市場秩序維護(hù)之間的平衡，明確指出信息技術(shù)應(yīng)該為公眾服務(wù)，不得侵犯公民的尊嚴(yán)和隱私權(quán)，也不得妨礙自由權(quán)利的享有。2016年10月，法國《數(shù)字共和國法》(DigitalRepublicLaw)頒布，規(guī)定個人能夠自行決定和控制其個人數(shù)據(jù)的用途，強化個人權(quán)利。同時，法國還制定了《法國數(shù)據(jù)保護(hù)法》《消費法典》等多個相關(guān)法案，對與個人信息保護(hù)相關(guān)的領(lǐng)域均有詳細(xì)規(guī)范，規(guī)定了公民的數(shù)據(jù)便攜權(quán)、被遺忘權(quán)、死后隱私權(quán)等，強化了個人權(quán)利，增強了通信的保密性。同時，對個人信息安全的侵權(quán)行為處罰較重，規(guī)定了高額罰金。法國的這些法案都以公民個人的權(quán)利本位為出發(fā)點，注重對權(quán)利主體信息安全保護(hù)的引導(dǎo)和意識培育，盡力在權(quán)利保障和經(jīng)濟(jì)自由上尋求平衡。

國外對數(shù)據(jù)隱私的保護(hù)給予相當(dāng)?shù)闹匾?，希望可以通過立法來打擊數(shù)據(jù)隱私侵害行為[9]?？v觀世界各國對個人信息安全的保護(hù)機制，個人信息安全保護(hù)和經(jīng)濟(jì)發(fā)展的平衡是普遍關(guān)注的核心。注重全面保護(hù)原則和侵權(quán)賠償規(guī)則的適用，建立完善的法律法規(guī)，貫穿于人們的日常生活之中，都強調(diào)多模態(tài)下的個人私密信息安全保護(hù)。美國采取以市場為主導(dǎo)、以行業(yè)自治為中心的策略，通過分散立法的方式，奉行行業(yè)自律和用戶個人救濟(jì)相結(jié)合的保護(hù)模式[10]。借鑒“隱私的合理性期待”“毫不遲疑報告義務(wù)”，以及個人信息所有者享有的“遺忘權(quán)和信息攜帶權(quán)”等域外經(jīng)驗，進(jìn)行國際合作，滿足數(shù)據(jù)流通國際化趨勢，保障數(shù)據(jù)互惠流通、對等保護(hù)。推進(jìn)個人信息安全保護(hù)在我國的本土化應(yīng)用，要注重立法指引，細(xì)化法律規(guī)范，關(guān)注司法應(yīng)用，嚴(yán)格落實規(guī)章制度，加大自我權(quán)利保護(hù)法治宣傳教育，對侵權(quán)行為懲戒和損害賠償?shù)龋@些措施的配合使用是構(gòu)建完善個人信息安全保障體系的基礎(chǔ)。

三、完善公民個人信息安全保護(hù)的應(yīng)然路徑

個人信息權(quán)作為具體人格權(quán)，是絕對權(quán)，權(quán)利人以外的其他任何主體都是其義務(wù)人，對個人信息權(quán)人負(fù)有不可侵犯的義務(wù)[11]。完善個人信息安全保護(hù)體系建設(shè)，需要在立法、執(zhí)法、技術(shù)研發(fā)和法治宣傳等各個層面著手，不斷完善立法規(guī)范，引導(dǎo)行業(yè)自律建設(shè)，加強行政監(jiān)督管理和違法行為打擊力度，優(yōu)化技術(shù)手段，強化法制宣傳，提升公民安全意識，多措并舉，共同保障個人私密信息不受非法侵害。

(一)平衡個人信息保護(hù)與利用之間的價值利益

個人隱私與個人信息保護(hù)面臨更多的威脅，解決問題的核心在于對信息主體的保護(hù)和信息利用的利益平衡[12]。信息隱私保護(hù)的重點已不是保密或不發(fā)布，而是在數(shù)據(jù)自由流動與合理利用的過程中對數(shù)據(jù)主體的權(quán)益進(jìn)行全方位保護(hù)[13]。要完善規(guī)范體系建設(shè)，通過制定統(tǒng)一的安全標(biāo)準(zhǔn)和規(guī)范，對個人數(shù)據(jù)信息的收集、利用、保密等進(jìn)行區(qū)別保護(hù)，促使政府、企業(yè)信息公開共享的合法化與規(guī)范化，才能實現(xiàn)便利個人生活與個人信息保護(hù)相互協(xié)調(diào)、統(tǒng)籌兼顧。完善“個人數(shù)據(jù)采集與使用許可”制度，在政府、企業(yè)收集使用個人信息時，應(yīng)充分保障公民的知情權(quán)、同意權(quán)，使個人明確、清楚地了解自己的信息被用于何處，會產(chǎn)生何種結(jié)果，效益如何。同時作為服務(wù)提供者的政府、企業(yè)，要確保收集個人信息的目的與利用的正當(dāng)性，防止信息濫用，損害個人利益。對經(jīng)營領(lǐng)域的個人信息收集、處理者，基于利益平衡的理由，賦予嚴(yán)格的個人信息安全保障義務(wù)，更有利于保障個人信息主體的相關(guān)權(quán)益，更利于推動數(shù)字經(jīng)濟(jì)發(fā)展[14]。簡言之，為了實現(xiàn)某一特定目的和用途，在數(shù)字經(jīng)濟(jì)時代必須收集和利用個人信息，這是必然，但要堅持目的限定、利用適度和最小擴散原則，平衡好個人信息利用與保護(hù)的關(guān)系，全面衡量二者的價值利益后，明確個人信息的收集范圍和利用限度。如為了重大疫情防控的需要，收集個人姓名、身份證號碼、家庭住址、電話號碼等，這是為了公共安全和聯(lián)防聯(lián)控的需要，其利用具有正當(dāng)性，符合社會公共價值和公民個人利益，但該信息的收集應(yīng)僅限于疫情防控和疾病救治，不能另外用作他途。同時，對外公布時，要對個人私密信息進(jìn)行脫敏處理。如網(wǎng)絡(luò)購物時，為了完成共同獲益的交易行為，商家必須獲取個人地址、電話號碼、支付賬戶等隱私信息，這就需要商家在個人提交數(shù)據(jù)信息時妥善保管、利用，避免過度采集、數(shù)據(jù)泄露和大數(shù)據(jù)殺熟等行為。

(二)健全行政監(jiān)管，明確信息使用者的權(quán)利，劃定權(quán)責(zé)清單，規(guī)范個人信息安全保護(hù)職責(zé)

《中華人民共和國個人信息保護(hù)法(草案)》對個人信息的保護(hù)作出了明確規(guī)定，個人信息使用者收集個人信息必須堅持合法、正當(dāng)、必要的原則，不得收集與其服務(wù)無關(guān)的信息。對其在提供服務(wù)過程中收集到的自然人姓名、電話、家庭住址等個人信息必須嚴(yán)格保管，慎防泄露，因個人信息不當(dāng)泄露造成他人損害的，應(yīng)承擔(dān)侵權(quán)責(zé)任。信息權(quán)利人允許信息收集并不等于允許信息分享[15]。個人信息保護(hù)應(yīng)加強權(quán)利主體對其享有的知情權(quán)、同意權(quán)等基本性權(quán)能的獲知和明示，將個人信息權(quán)利的收集和利用以權(quán)責(zé)清單的方式列舉呈現(xiàn)，賦予個人對其關(guān)鍵信息享有的被遺忘權(quán)和拒絕權(quán)。應(yīng)當(dāng)制定隱私協(xié)議的強制性國家標(biāo)準(zhǔn)來設(shè)置隱私保護(hù)的底線[16]。嚴(yán)格規(guī)定信息使用者的責(zé)任，明確信息處理流程，制定相應(yīng)的制度，以完善和加強對個人信息的保護(hù)能力。加強和完善公民信息私密權(quán)利被不當(dāng)侵害后的司法保障和權(quán)利救濟(jì)措施，以及其他行政救濟(jì)手段的適用。制定完善信息主體申訴的權(quán)利和渠道，以保障個人信息權(quán)益被不當(dāng)侵害后及時獲得私力救濟(jì)的同時獲得公力救濟(jì)。大數(shù)據(jù)時代，只有依法保障信息主體對其個人信息享有的知情權(quán)和遺忘權(quán)，透明數(shù)據(jù)信息，明確了解個人信息被使用的全部過程，規(guī)范使用者的利用行為，才能切實保護(hù)個人信息權(quán)利不被濫用。

企業(yè)在對收集的個人信息進(jìn)行商業(yè)化利用過程中，為了追求利潤最大化，極有可能會超范圍利用個人信息，造成用戶的信息泄露和形成侵害后果，需要政府行政監(jiān)管機制的大力監(jiān)督。一是建立專門的監(jiān)督管理機構(gòu)。應(yīng)剝離各部門都有管理權(quán)而又無人管理的交叉監(jiān)管空白，建立以工業(yè)和信息化部為主的監(jiān)管機制，積極整合執(zhí)法資源，專門監(jiān)管個人信息的規(guī)范化使用。二是制定嚴(yán)格規(guī)范的監(jiān)管流程，規(guī)范信息掌握者的使用行為。應(yīng)當(dāng)建立健全個人信息數(shù)據(jù)庫管理制度，明確不同層級、不同類別的工作人員接觸個人信息的權(quán)限范圍，實時監(jiān)控組織或個人使用數(shù)據(jù)的行為，保證個人信息得到有效保護(hù)。三是通過行政機關(guān)建立“違法黑名單”數(shù)據(jù)庫、“一票否決”制度等方式，徹底防范侵犯個人信息安全的違法行為。只有法律規(guī)范和技術(shù)規(guī)范同步實施、相互補充，構(gòu)建良好的大數(shù)據(jù)環(huán)境，才能更好地保護(hù)個人信息安全。

(三)完善個人信息保護(hù)的相關(guān)法律規(guī)范，從立法層面完善個人信息安全保障體系

我國個人信息立法還屬于法律法規(guī)分散立法和征信業(yè)、互聯(lián)網(wǎng)行業(yè)有限專門立法保護(hù)的狀態(tài)，仍然存在保護(hù)對象不明確、信息主體權(quán)利缺失、權(quán)利義務(wù)不完善和法律責(zé)任不到位等[17]。要實現(xiàn)個人信息安全，織牢防護(hù)網(wǎng)，國家層面的體系化立法規(guī)范不可或缺。個人數(shù)據(jù)保護(hù)立法的核心是權(quán)利保障與救濟(jì)[18]。首先需要完善刑事立法。刑罰是最嚴(yán)厲也是最直接有效的打擊保護(hù)手段，要制定完備的法律條文，嚴(yán)格法律適用，只要實施了侵犯公民個人信息安全的行為，達(dá)到一定情節(jié)的都要處罰。同時應(yīng)從泄露信息類型、行為次數(shù)、損害后果等明確規(guī)定具體違法情節(jié)的判斷標(biāo)準(zhǔn)，根據(jù)不同犯罪情節(jié)科處不同刑罰，以實現(xiàn)罰當(dāng)其責(zé)。要完善侵權(quán)責(zé)任的舉證規(guī)則，采取過錯推定和舉證責(zé)任倒置規(guī)則，由侵權(quán)人舉證自己不存在過錯或者沒有泄露個人信息，如果無法舉證，則推定其具有過錯。要在完善一般法律法規(guī)的同時，完善部門規(guī)章制度，細(xì)化法律法規(guī)，堅持完善《中華人民共和國個人信息安全保護(hù)法》等法律規(guī)范對個人信息安全的事前預(yù)防與事后保護(hù)機制。事前預(yù)防以明確個人享有的信息安全權(quán)利為基礎(chǔ)， 通過權(quán)力建構(gòu)、法制宣傳，引導(dǎo)社會民眾對該項權(quán)能的認(rèn)可度和保護(hù)力，從源頭防止個人信息被非法收集、利用和買賣。

(四)強化行業(yè)自律意識，提升行業(yè)道德觀念，負(fù)責(zé)任地使用個人信息

在個人信息安全保障方面，部分人員缺乏自律意識，以權(quán)謀私，利用職務(wù)之便將客戶的個人信息販賣，這是個人信息泄露的源頭。要制止個人信息的不當(dāng)泄露，除了法律法規(guī)的嚴(yán)厲打擊之外，加強行業(yè)自律也是關(guān)鍵。在個人信息保護(hù)法尚未出臺的情況下，行業(yè)自律是改變大數(shù)據(jù)收集與利用默認(rèn)規(guī)則的最有力路徑[19]。國家應(yīng)積極引導(dǎo)，處理好政府與協(xié)會之間管制與支持的關(guān)系，為行業(yè)協(xié)會提供適當(dāng)?shù)馁Y金和政策支持，促進(jìn)企業(yè)的自我約束和互相監(jiān)督，努力實現(xiàn)對用戶數(shù)據(jù)的“負(fù)責(zé)任使用”[20]。首先，要加強宣傳，樹立單位、個人規(guī)則意識和社會責(zé)任感，在對個人信息進(jìn)行必要利用時應(yīng)事先得到用戶允許，并嚴(yán)格限制使用范圍。其次，建立行業(yè)內(nèi)責(zé)任追究機制，采取企業(yè)和個人雙罰制。一旦出現(xiàn)私自收集個人信息或造成個人信息泄露的，無論故意或過失，都應(yīng)當(dāng)承擔(dān)相應(yīng)的責(zé)任。最后，建立健全行業(yè)內(nèi)部專門的自我監(jiān)督管理機構(gòu)，通過制度建設(shè)，有效防止個人信息泄露。政府、企業(yè)收集管理的個人信息需要提取時，要嚴(yán)格審批流程，非工作需要不得存儲、拷貝、傳送個人私密信息。督促企業(yè)制定相應(yīng)的行業(yè)自律規(guī)范，引導(dǎo)重點行業(yè)對個人信息保護(hù)的監(jiān)管和教育，采取警示、黑名單、退出機制等措施處罰違法行為，規(guī)范個人信息的使用范圍和流程，促使行業(yè)健康發(fā)展。

(五)強化技術(shù)研發(fā)，從技術(shù)制度層面確保個人信息安全

大數(shù)據(jù)時代對個人信息安全的保護(hù)，制度保障是基礎(chǔ)，強化技術(shù)研發(fā)，提高物理層面的技術(shù)防護(hù)手段是關(guān)鍵。應(yīng)將個人隱私信息保護(hù)納入國家戰(zhàn)略資源的保護(hù)和規(guī)劃范疇[21]。要投入專門的人力、物力，加強技術(shù)研發(fā)，提升個人信息安全保護(hù)的科技手段。通過多層防火墻設(shè)置、量子密碼技術(shù)、數(shù)據(jù)庫算法編譯、云存儲加密、數(shù)據(jù)獲取權(quán)限分層設(shè)置、區(qū)塊鏈技術(shù)應(yīng)用等高科技手段，讓竊密者無法撬動個人信息防護(hù)之門，全面堵住個人信息遭泄露的漏洞，避免黑客攻擊等非人為的隱私泄露，從技術(shù)層面確保個人信息安全得到有效防護(hù)。

(六)提高個人信息自我保護(hù)安全守護(hù)意識，從源頭防止個人信息的不當(dāng)泄露

個人信息保護(hù)意識薄弱，反個人信息侵害能力低下，以及企業(yè)的干擾使得我國公民個人信息控制能力總體較低，制約了法律在維護(hù)公民個人信息安全方面發(fā)揮重要效用[22]。要加強法制宣傳教育和個人信息安全教育，提高用戶安全防范和隱私保護(hù)意識，引導(dǎo)民眾養(yǎng)成良好的使用個人信息習(xí)慣，不隨意泄露自己的個人信息，從源頭保護(hù)個人信息安全。同時對于第三人侵害自己信息安全的行為及時制止、舉報，要求對方刪除、屏蔽、斷開鏈接等。非經(jīng)法定程序，非因法定事由，對不當(dāng)獲取公民個人信息的行為，公民和信息掌握者應(yīng)當(dāng)拒絕告知。在利用網(wǎng)絡(luò)的過程中，不貪圖便宜，不隨意掃碼、登錄不明鏈接，及時刪除利用過的個人信息等，提高警惕，防止被蒙騙掉入他人設(shè)置的陷阱。對于必須提供自己個人信息的事項，要明確知悉收集利用者的主體資格、使用范圍、保密責(zé)任、利用限度等。對于個人信息泄露的，公民個人要及時向工商行政部門、網(wǎng)絡(luò)監(jiān)管部門、消費者協(xié)會等職責(zé)部門投訴舉報，造成嚴(yán)重?fù)p害的，向公安機關(guān)及時報案，并樹立證據(jù)意識，及時收集保存證據(jù)材料，維護(hù)自身合法權(quán)益。

(七)完善侵害個人信息安全的損害賠償規(guī)則

建立個人信息侵權(quán)的民事賠償制度，在侵權(quán)人實施侵權(quán)行為后，不僅要追究侵權(quán)人的行政責(zé)任和刑事責(zé)任，還要依據(jù)實際情況追究侵權(quán)人對受害人的民事賠償責(zé)任[23]。民事賠償對于公民來說是最直接和有效的損害賠償方式，能最大限度彌補個人損失，也能使侵權(quán)者付出對等補償，甚至是懲罰性代價。當(dāng)公民個人信息安全面臨不當(dāng)侵害的危險時，權(quán)利人可要求侵權(quán)者立即停止侵害并賠償損失，包括賠禮道歉、金錢賠償、恢復(fù)名譽等財產(chǎn)性和精神撫慰性損害賠償。對于具體侵權(quán)行為，在司法層面，采取物質(zhì)利益和精神利益相結(jié)合的二元救濟(jì)模式，通過損害賠償和懲罰性賠償規(guī)則的設(shè)置，賦予公民依托監(jiān)管職能部門或自身收集證據(jù)后進(jìn)行民事?lián)p害賠償訴訟的權(quán)利，形成公權(quán)力打擊和私權(quán)利追償相結(jié)合的權(quán)利救濟(jì)模式，是個人權(quán)利保障的根本。加強雙向打擊力度，增加侵權(quán)行為人的違法成本，是更好地保障個人信息安全的基礎(chǔ)，也是反向引導(dǎo)政府、企業(yè)、公民樹立規(guī)則意識的有效途徑。

(八)加快社會誠信體系建設(shè)，弘揚社會傳統(tǒng)美德

“人無信不立，城無信不興。”建設(shè)新時代中國特色社會主義，離不開科學(xué)完善的社會誠信體系[24]。在社會活動中，個人需要基于信任和必要原則，根據(jù)服務(wù)與被服務(wù)的需要，將自己的私密信息提供給一些商家或單位使用。信息享有主體和信息利用者之間是不對稱關(guān)系，社會個體之間、企業(yè)和個人之間、政府和個人之間如果誠信缺失，會束縛經(jīng)濟(jì)的自由流通和社會正常秩序的維護(hù)，或?qū)е氯巳俗晕?，不敢出示個人信息，合理利用也會遭到質(zhì)疑，帶來社會發(fā)展停滯不前，或個人信息被侵害的行為泛濫，隱私泄露、矛盾叢生。部分人員為了追求、獲取眼前的不當(dāng)利益，違反法律規(guī)定，利用工作便利隨意泄漏、販賣公民的個人信息，同時也會產(chǎn)生社會誠信危機。在信息安全領(lǐng)域，道德通過人們內(nèi)化于心的價值認(rèn)同自覺規(guī)范行為，能夠主動避免信息安全風(fēng)險，及時彌補信息安全可能存在的其他隱患[25]。因此，在加強對侵權(quán)者責(zé)任追究的同時，要加大誠實守信和責(zé)任意識教育，通過開展“道德講堂”，送法進(jìn)校園、進(jìn)社區(qū)，制作露天展板等形式，弘揚社會主義核心價值觀和“言必行、諾必守”的傳統(tǒng)美德。重構(gòu)社會誠信體系，使信息利用主體和個人都規(guī)范自身行為，完善社會信用體系和服務(wù)水平，讓法治和德治共同保障個人信息的安全。

四、結(jié)語

個人信息安全保護(hù)與公民的人格權(quán)益和財產(chǎn)權(quán)益息息相關(guān)，與社會發(fā)展、經(jīng)濟(jì)繁榮昌盛緊密相連。大數(shù)據(jù)使市域社會治理更加高效便捷，也使得以隱私和識別為基礎(chǔ)的個人信息范圍大大擴展。同時，大數(shù)據(jù)與人工智能發(fā)展的需要使得數(shù)據(jù)的二次利用成為必要，對個人信息權(quán)利保護(hù)中的“目的限制”“信息最小化”等原則形成挑戰(zhàn)[26]。越來越多個人信息被不當(dāng)泄露、濫用、買賣，公民個人在信息“裸奔”下生活。加強個人信息安全保護(hù)需要處理好個人權(quán)益保護(hù)、商業(yè)數(shù)據(jù)利用和政府服務(wù)職能實現(xiàn)之間的平衡，明確制度規(guī)范和信息使用、管理流程。政府在利用標(biāo)準(zhǔn)開展個人信息安全治理時，應(yīng)當(dāng)更多關(guān)注服務(wù)，而不是執(zhí)法[27]。要不斷完善制度建設(shè)，強化行業(yè)監(jiān)管，建立健全社會誠信體系，規(guī)范利用數(shù)據(jù)信息，實現(xiàn)法律與技術(shù)共同治理的統(tǒng)一，防止政府和民眾因噎廢食，對高效便捷的大數(shù)據(jù)產(chǎn)生抵觸心理。通過創(chuàng)建安全可控的信息化發(fā)展環(huán)境，構(gòu)筑完善、高效的個人信息保護(hù)體系，才能保障公民個人信息的全面安全。