念好大数据时代下个人信息保护的“紧箍咒”

摘要：大数据时代下对公民个人信息的收集、应用与日俱增，计算机数据中个人信息的商业价值属性日益凸显，新法益的产生与旧法益保护的滞后相互碰撞，对当前这种重信息网络轻数据安全的格局发起了挑战。值得关注的是，《刑法修正案（九）》虽对侵犯公民个人信息类犯罪进行了修改，降低了行为入罪的门槛，但没有明确将大数据有关的网络信息数据内容进行规定，而对于信息保护的全面性依然没有实现。为此建议：国家针对数据保护单位立法，设立《个人信息保护法》;企业收集用户信息严格遵循相应法规;公民提高自我信息保护意识;全社会共同念好数据保护“紧箍咒”。

关键词：大数据;刑法保护;个人信息保护;合理使用

中图分类号：D924    文献标识码：A文章编号：CN61-1487-（2019）14-0068-03

随着计算机网络的不断发展，信息交互日益频繁，伴随于此产生了大量各种类别的数据，数据的日益增多使人们认识到潜藏在大量数据背后的实际价值。大数据是信息时代的新概念，但其应用却迅速地扩展到各个领域，在预防犯罪、航天工程、药品研发、社会服务等多个领域的应用实例，显示了大数据在社会运行中的重要作用。[1]计算机运行技术的迅速发展使得商业公司收集各类数据后进行各种分析已不再是难事，通过对大量数据信息的整合，挖掘出对自己有用的内容，已是公司间竞争力的有力组成部分。在这个过程中，势必涉及到公民个人信息的收集、应用问题。這对当前刑法对公民个人信息的保护发起了挑战。

《刑法修正案（九）》（以下简称《修九》）对侵犯公民个人信息类犯罪进行了修改，不仅扩大了犯罪主客体的范围，而且降低了行为入罪的门槛，加大了处罚力度，这更有利于对公民信息进行合理的保护。但“修九”更多的是将目光放在信息网络中，对“数据”、“个人信息”的保护不够明确，法益保护的对象具有杂糅性、网络数据法益的独立地位不明与保护意识淡薄等问题也存在。[2]

一、公民个人信息在大数据社会所处的位置

“大数据”是近年来炙手可热的一个词汇，在人们对何为“大数据”还不甚了解时，“大数据”却已悄悄走进我们的生活，影响着社会每一步的发展。其实，大众在很早之前就对大数据有所感受，比如，当我们在淘宝进行网上购物的时候，在网站页面展示最多的物品“恰巧”就是我们最需要的。我们会感觉到电脑很“懂”我们所想。其实，这就是大数据的一个应用——收集大量数据进行整合处理，从中选出最优数据进行展示，以此提高数据的使用率，带动更大商业价值的产生。古希腊学者毕达哥拉斯试图用“数”去认识世界，而在大数据时代，人们不仅用“数据”去认识日益变化的世界，更会通过对数据的分析去预测未来。

在大数据时代，个人信息的商业价值日益凸显。通过计算机技术的发展和应用，原先不具有意义的零散信息有了意义。一些原本信息显示不出来的更为隐晦的内容，甚至是信息主体不想被人所知的隐私，以及一些在网上由信息主体或他人所发布的个人碎片信息，按照既有标准是不构成隐私的，但经过计算机整合成“大数据”后，这些碎片在整合分析后，得出的结果却可以勾勒出信息主体的“数据形象”，所以在此情况下，个人信息已不再有所谓不重要的资料，社交网站的朋友动态、手机位置信息、上网及网购记录等传统隐私法中被排除在外的因素，在大数据时代都可能被纳入到个人信息概念的外延中。[3]个人在大数据面前近乎于“裸奔”。

进一步讲，在大数据背景下，之所以强调“数据”，是因为数据所包含的信息即是财富，所以数据本身即是经济的一部分。个人信息在特定的大数据环境条件下往往蕴含了一定的经济利益，正是这种经济利益的驱动使得信息数据变得需要法律的保护。

在大的时代背景下，个人信息被加工、整合、分析、利用，从中迸发出从未有过的巨大价值，但是相应的，个人信息被滥用、交易等也为社会造成了大量不稳定的因素，甚至导致大量的违法犯罪现象的发生。主要包括以下几个方面：一是非法收集个人信息。二是非法利用个人信息。三是非法公开个人信息。这里的公开既指信息收集者非法出售个人信息，倒买倒卖，又是指处于各种非法目的，公开所收集到的信息。

综上所述，个人信息在大数据时代所处的位置十分微妙，若监管得当，法律配套设施完善，将为公民的生活带来极大的便利，信息数据背后隐藏的信息也会通过数据交易迸发更大的商业价值。如若监管不力，将会为公民的社会生活和财产安全带来巨大风险。值得庆幸的是，在应对大数据潮流上，我国公民保护个人信息安全的意识和能力在逐渐提高。尤其是近几年政府、媒体对保护个人信息安全问题的大力宣传，使得公民对信息风险的防范意识逐渐增强。

二、《刑法修正案（九）》在个人信息保护问题上的得与失

从整体来看，大数据被视为科学技术的第三次浪潮，也从一个侧面推动着刑事立法的不断发展，法律在大数据方面的一个关注点也由注重计算机信息系统逐步向注重计算机数据转变。《修九》便是在我国立法应对大数据时代到来所做的前期准备。修九针对当前信息数据发展的态势对刑法作出了相应的调整，但在概念界定、规定内容不全面等方面又存在不足。

首先，《修九》加强了对侵害公民个人信息犯罪的惩处力度。主要表现在：第一，不需要特殊主体，均可以被追责。为进一步加强对公民个人信息的保护，修改了出售、非法提供因履行职责或者提供服务而获得的公民个人信息犯罪的规定。对于出售、非法提供公民个人信息的行为，不再要求必须是“国家机关或者金融、电信、交通、教育、医疗等”领域。同时扩大了犯罪主体的范围，不再限于以上领域的主体，对于在履行职责或者提供服务的过程中获得的公民的个人信息进行非法提供或者非法买卖的，要从重处罚。《修九》扩大了犯罪主体，将原先的特殊主体扩展到一般主体及单位，既规制了有关单位，也规制了手握大量公民个人信息的个人，这对打击电信诈骗等犯罪活动起到了很好的震慑作用。第二，对获取公民个人信息的方式不再加以限制。原刑法条文对出售、非法提供公民个人信息罪，仅就个人或单位履行职责或者提供服务两种途径获取信息的方式进行规制，对于通过履行职责或者提供服务以外的其他方式合法地获取公民个人信息后，又将该信息出售、非法提供给他人的行为并没有进行惩处，《修九》弥补了这一空白点，扩大了对侵犯公民个人信息行为的打击范围。第三，加重处罚力度，降低了入罪条件。将自由刑由“处三年以下有期徒刑或者拘役”变为“处三年以上七年以下有期徒刑”，将“并处或者单处罚金”改为“并处罚金”，加重了刑罚处罚的力度。将“违反国家规定”改为“违反国家有关规定”，如此降低入罪门槛，能够更切合实际地对个人信息进行保护。

同时，我们也应该看到《修九》的不足，其中对大数据方面的关注仍然将信息网络保护立于主导地位，并没有凸显数据保护的特殊性和重要性。首先，法益保护的对象具有杂糅性，没有明确保护主体。条文中的保护对象既有计算机系统中的数据，也有个人PC机中的数据，还包括网络信息中的海量数据。信息保护边界不够清晰，定位不准确，没有明确地将与大数据有关的网络信息数据内容进行规定，还仍是运用传统的线性思维模式对传统的信息数据进行规范，使得刑法对于信息保护的全面性依然没有实现。其次，对新产生的数据法益没有进行独立的保护，其独立地位不明确。《修九》的规定以及后来出台的司法解释，都仅是片面化地规定了目前来讲特别紧迫的大数据法益，比如说公民的个人信息安全，对大数据没有很好地把握。这也有可能是法律在观望，等大数据相关产业发展到一定阶段后，再有针对性的进行立法吧。当前，由信息网络到网络数据的网络代际过渡正在加速形成，具有发展性和扩容性的网络数据正在确立统领地位，网络数据法益的独立属性也将不断显现和充实化。[4]而关于网络数据的刑法保护只有独立出来，才能更全面地对数据进行保护，针对其中关乎社会发展和国家安全的方面，建议单独立法，正如很多学者呼吁的设立《个人信息保护法》以期对个人信息进行多方面保护。

通过个人信息在刑法保护中的变迁，可以看出国家对个人信息的态度从没有保护的概念，到通过修正案和司法解释加以规定，说明在大数据到来之际国家有积极应对的态度，已经受到了高度的关注。《修九》对于公民个人信息犯罪的修正体现了极大的进步性，但是为了更全面、准确地打击侵犯个人信息的违法犯罪行为，对不足之处应当予以重视和进一步完善，以最大限度地保障个人信息安全。[5]

三、在大數据背景下处理好权利保护和数据应用之间的关系

个人信息泄露或者通过大数据手段对个人信息数据进行分析并不当利用无疑是对公民权的致命打击，但合理合法的应用大数据技术对公民信息的收集无疑也会促进社会的发展。收集什么样的公民信息、怎样利用公民信息，应协调好二者之间的关系，使之既要保护公民权利，又不能束缚数据产业的发展。

依据知情同意（notice-and-consent）所建立起的传统机制架构很难在实际中发挥作用。其要求相关机构在收集用户个人信息前，需告知用户所要收集的信息状况，通常表现为在使用相关程序时会遇到弹出的窗口发布隐私相关声明，用户在阅读后进行选择同意与否，根据此来作为对用户个人信息的合法授权。但这一做法在实际操作中并没有很好地将保护个人隐私和对数据应用结合起来。首先，隐私条款大多为格式条款，其中有大量的专业性词汇和术语，且行文晦涩难懂，很少有用户会认真阅读其中的内容，基本是直接跳过，直接点击勾选文末的“我已知情并同意”选项，这使得隐私声明沦为一纸空文，正如Susan Landau所说，隐私声明远非为人类使用而设计。[6]其次，即使有了隐私条款，用户对收集数据一事并没有实际控制权，并且很难以此来维护自身隐私。在使用手机时安装APP是无法避免的，在安装APP应用时，无法回避的问题是给APP进行授权，大多包括如发送短信、定位、获取手机信息、读取应用列表、读写手机存储等，APP必须获得相应的授权才能正常使用。总而言之，用户对个人资料的收集不能很好地把控，而数据收集者不能合理合法地对所收集到的信息进行利用，传统的信息数据架构方式已不适应时代的发展要求。

正如前文所提到的，对于像网络购物平台收集消费者个人购买喜好等类似的个人信息，法律则无需加以干涉。因为这样的数据对消费者的信息安全并没有造成侵害，相反在一定程度上方便了消费者进行购物，商家也可从中快速获利，对于类似“外围”的个人信息，法律若进行过多的干预则不利于市场经济的发展。“两高”在五月份作出的《解释》中对个人信息作出的定义以“识别”做为重要条件，那么，是否可以这么理解，能够通过“识别”信息数据判断出数据所有人的为个人信息，“识别”不出来的作为“外围”信息则可以供商家进行收集和分析。但是，由于对过多的侧面信息进行分析后，也可能得出公民个人的隐私数据，涉及到此的就需要刑法中关于隐私权的相关规定进行规制，进行隐私权和侵犯公民个人信息权的区分。

除了在刑法中对此加以规定外，还需出台相关配套法律法规，对危害结果轻微，构不成犯罪的，需要在《治安管理处罚条例》中加以处罚。公民个人信息与人身权益密切相关，法律法规能否进行全面保护则会涉及到民众对法律的信心。鉴于此，不仅需要在法律层面进行规制，企业、公民个人等主体也要提高意识，才能更好地推动大数据合法合理的应用。

首先，对于企业而言，收集用户资料是非常普遍的事，但要遵循相应的规章制度。第一，要注重诚信。诚信是经商的根本，企业对于在运营过程中收集的公民个人信息，要在法律规定的范围内按照约定的用途进行使用，不能随便买卖公民的个人信息，更不能违法使用公民个人信息，防止道德失范。第二，要加强行业自律。网络行业进行严格自律也是保护公民个人信息的重要环节。针对大数据时代的特殊性，要减少以往网络行业中各自为政的局面，行业内和行业间都要加强监督管理，及时结合实际遇到的问题出台相关行业和行业间的行为准则，将违法苗头扼杀在适用法律之前。

其次，公民个人要提高自我保护意识。面对大数据时代，在相关法律法规尚未健全的情况下，提高自我保护意识则显得尤为重要。第一，要提高自我保护意识。在最大可能的条件下，尽可能防止自己个人信息无端泄露。当第三方没有正当理由或者需要，向自己索要或者通过其他合法途径收集自己有关的个人信息时，要及时拒绝并且采取拖入黑名单等方式。第二，加强自身安全常识学习。必要时可以学习一些网络安全小知识，识破网络安全骗局，或者采取技术手段，对个人信息进行加密处理，以此防止个人信息的泄露或者通过网络被不法分子盗取。比如可以安装杀毒软件，定期对PC进行安全扫描，将有安全漏洞的软件或者网页进行过滤。第三，养成保护个人信息的习惯。很多人对个人信息保护并不在意，甚至觉得多此一举，这是非常错误的想法。个人信息的重要性以及我们所处时代的特殊性要求我们必须严格保护个人信息，养成保护个人信息的习惯。比如，在网站进行注册时，尽量少的填写个人信息，对姓名、电话、身份证号码等敏感信息尤其注意。在网吧等公共场所上网时，及时清除个人遗留的信息，不可将重要信息备份在不安全的存储介质上。在微博、朋友圈发布消息时，尽量避免个人信息的过多透露，如将自己的火车票没有打马赛克就上传至网络，这很容易被不法分子破解车票上的二维码以此盗取信息。在办理一些必须要提供个人信息的事情时，要与对方明确约定信息使用的范围，比如，银行业务需要提供的身份证复印件，可在提供的身份证复印件上写明本张复印件仅供某次银行业务使用，以此来进行防范。第四，强化维权意识，保护自己合法权益。遇到自己个人信息遭受侵犯或者给非法利用，应及时维护自身合法权益，可以与侵害人联系，采取删除、屏蔽等措施，若造成重大损失构成刑事犯罪的，应及时报警。

最后，应通过扩大宣传等方式，提高全民的个人信息保护意识，增强全社会防控能力。政府、媒体应当积极进行舆论宣传，解读有关的法律法规，向群众普及防止信息泄露方法，让更多公民明白大数据给生活带来的变化和影响，以促进大数据对社会生活的健康推动。只有在合法合理的范围内使用大数据技术，才能既保护公民的合法权益，又使数据应用更好地服务社会。

在大数据与互联网技术发展日趋加快的时代背景下，我国在个人信息保护方面能不能形成合理有效的顶层设计，关乎公民个人信息安全、数据产业长足发展甚至国家在世界发展潮流中的兴衰。不仅在中国，世界上所有国家均处在大数据背景下，个人信息保护的立法改革与制度设计的关键时期。发达国家当下也正在努力摆脱传统框架所带来的束缚，我国更应该吸取发达国家前期发展的经验与不足，避开传统框架中的“雷区”，抓着机遇，在大数据时代引领世界潮流。《修九》在个人信息保护方面已经体现了极大的进步性，尤其是对相关犯罪条款的修正符合当下时代发展趋势，但是为了更全面、有效地保护个人信息、打击违法犯罪，针对其中的不足之处更应进一步完善。符合大数据时代的刑事立法并非一蹴而就，还需要理论实践的不断调整融合。加强网络司法监控，念好数据保护的“緊箍咒”，是我们的伟大使命。

参考文献：

[1]田刚.大数据安全视角下计算机数据刑法保护之反思[J].重庆邮电大学学报（社会科学版），2015（3）.

[2]孙道萃.大数据法益刑法保护的检视与展望[J].中南大学学报（社会科学版），2017（1）.

[3]郝思洋.大数据时代个人信息保护的路径探索[J].北京邮电大学学报（社会科学版），2016（5）.

[4]孙道萃.大数据法益刑法保护的检视与展望[J].中南大学学报（社会科学版），2017（1）.

[5]杨燮蛟，张怡静.大数据时代个人信息刑法保护新探——以《刑法修正案（九）》为视角[J].浙江工业大学学报（社会科学版），2016（4）.

[6]Susan Landau.Control use of data to protect privacy，2015（6221）.347：6221 Sci.Issue 504，506（2015）.

作者简介：张天姝（1993—），女，汉族，山东淄博人，单位为上海政法学院。研究方向为刑法学。

（责任编辑：董惠安）