大数据时代如何保护个人隐私

大数据时代如何保护个人隐私

前瞻产业研究院指出大数据的四大特征：海量的数据规模(vast)、快速的数据流转和动态的数据体系(velocity)、多样的数据类型(variety)和巨大的数据价值(value)。仅从海量的数据规模来看，全球IP流量达到1EB所需的时间，在2001年需要1年，在2013年仅需1天，到2016年则仅需半天。全球新产生的数据年增40%，全球信息总量每两年就可翻番。

大数据时代促进信息的自由流动和共享是政府管理、商业发展和技术创新的需要。与此同时，海量个人信息的收集、处理、利用和共享又会对公民的个人信息安全尤其是隐私和其他一些敏感信息的安全带来巨大威胁。如何处理好促进信息自由流动与保护个人信息安全之间的关系，是信息社会不可回避的问题。我国如果不及早和国际接轨建立个人信息保护制度，必将在国际贸易中受到排挤，国际企业和组织大量采集我国公民个人信息的行为得不到有效规制也会对我国经济社会安全带来威胁。欧盟法院近日宣布欧美间的“安全港”协议立即失效值得我们警醒。下面就完善我国个人信息保护制度提出六点建议：

信息社会中的个人信息保护具有不同于传统社会隐私保护的特征，需要兼顾数据的利用价值与保护之间的平衡。信息的自由流动和开发利用对社会进步具有重大作用，而一国对数据利用和保护的法律制度的宽严程度又会对该国数据技术的创新带来影响。美国加州大学戴维斯分校教授Chander研究发现：美国法律制度对中间平台的保护更为有力，在美国属于创新范畴的活动在欧洲、亚洲国家可能会被认定为违法，正是这种对于中间平台的法律保护，奠定了美国互联网产业飞速发展的基础。但如果利益的天平过分偏向企业，又会阻碍整个行业的健康持续发展。

在个人信息保护领域，如果公民的个人信息尤其是敏感信息被滥用而得不到有效保护，则既会侵害公民的基本权利，又会降低网民的安全感，全社会将陷于对“透明人”的恐惧之中，极端情况甚至会引发“反互联网”、“反信息化”的浪潮。因此，我国个人信息保护制度在设计理念上必须兼顾保护与利用的平衡。

世界范围内对个人信息的保护存在两种模式：以美国为代表的“分散立法+行业自律”模式和以欧盟为代表的国家主导统一立法模式。结合我国法制传统和立法现状、政府管理理念以及行业发展现状，我国应兼收并蓄，采取“国家统一立法为主、行业自律为辅”的个人信息保护模式。

首先，世界范围内采取立法模式通过制定个人信息保护法来保护个人信息的国家居大多数。其次，相较于美国的分散立法模式，欧盟的统一立法模式更适合我国。美国之所以采用

分散立法模式，一是因为在个人信息保护的需求大量出现前，其已经有比较完备的隐私法，而且其判例法制度也使得其法院可以通过判例不断扩展“隐私”的范围。

二是因为其行业协会非常发达，在广大的私领域行业自律发挥着重要作用，国家只需在少数隐私法和行业自律不能解决问题的领域立法补充。而我国这两方面的条件均不具备，通过统一立法来规范个人信息的收集处理行为既不会造成立法资源的重复浪费，相反却有利于充分发挥统一立法的优势。最后，通过政府引导积极发挥行业自律的作用可以成为立法保护的有力补充。网络技术日新月异，无论是立法还是政府行政管理手段难免会滞后，行业自律可以弥补统一立法滞后、僵化、针对性不足等方面的缺陷，从而很好地平衡个人信息保护与产业发展和技术进步的关系。

在任何国家政府都是最大的个人信息收集和处理者，对政府的个人信息收集和处理(包括共享)行为予以规范，是个人信息保护的重要方面。政府出于其行使职权的必要和便利很容易掌握公民的大量个人信息尤其是高度敏感信息，公民在个人信息被采集和处理时对政府也比对企业有更多信任。政府掌控的个人信息不仅对政府公共管理意义重大，企业也有强烈的共享需求。一方面，政府需要对企业的共享请求作出回应，在不侵害信息主体合法权益的基础上向社会公开或者依申请提供这些信息;另一方面，政府收集处理包括向其他政府机构和企业传输、共享个人信息的行为也必须受到法律的严格规范，否则极有可能导致政府成为侵害公民个人信息的最大威胁，不仅损害政府公信力，还有可能导致政府后续采集个人信息的行为受阻。因此，政府理应在公民的个人信息保护方面比企业尽更多义务。

世界上绝大部分对个人信息保护予以立法的国家都对政府的信息处理行为予以立法调整，即便是在商业领域实行行业自律的美国同样有数部法律专门规范政府的个人信息收集和处理行为。从我国现有立法看，《电信和互联网用户个人信息保护规定》仅适用于电信业务经营者和互联网信息服务提供者，《信息安全技术、公共及商用服务信息系统个人信息保护指南》则明确排除政府机关等行使公共管理职责的机构的适用，这使得政府的个人信息收集、处理、利用和共享行为缺乏法律调整。当前正在起草的《个人信息保护法》如果继续将政府的行为排除在调整范围之外，必将造成我国公民个人信息保护的重大疏漏，不利于良好社会环境的形成。

依国际经验，采用国家统一立法的个人信息保护模式，需要建立相应的行政管理机构和实施个人信息保护法律法规的机制。结合我国情况，建议在《网络安全法》和《个人信息保护法》的制定中，以国家立法形式将国家互联网信息办公室确定为国务院组成机构，负责履行法律赋予的包括个人信息保护方面的行政管理职能。具体包括：制定个人信息保护与合理利用的政策与部门规章;协调国家机关之间在政府信息公开、信息共享等方面的政策和制度执行;负责国家机关向产业开放信息资源方面的政策制定与监管执行;监管信息业者个人信

2